SWAMID Identity Assurance Level 1 Profile Granskningsprocess Allmn

  • Slides: 16
Download presentation
SWAMID Identity Assurance Level 1 Profile Granskningsprocess

SWAMID Identity Assurance Level 1 Profile Granskningsprocess

Allmän information • Kraven för granskningsprocessen definieras i avsnitt 3 (Compliance and Audit) i

Allmän information • Kraven för granskningsprocessen definieras i avsnitt 3 (Compliance and Audit) i SWAMID AL 1 • Årlig bekräftelse att lärosätet uppfyller • Ska genomföras av annan personal vid lärosätet än de som jobbar med den operativa driften – Internrevision – IT/Informationssäkerhetsfunktion • Saknas lämplig personal samverka med andra lärosäten

Viktiga dokument • Ett normativt dokument – SWAMID Identity Assurance Level 1 Profile (SWAMID

Viktiga dokument • Ett normativt dokument – SWAMID Identity Assurance Level 1 Profile (SWAMID AL 1) • Rapportera granskningsresultat – Checklista för AL 1 • Stöddokument finns i SWAMIDs Wiki – FAQ AL 1 – Exempelmallar • http: //www. swamid. se/policy/swamid-2. 0. html • https: //wiki. swamid. se/display/SWAMID+Identity+Assurance+Level+1+Profile

Arbetsgång • Läs igenom kraven – Tillfälliga undantag från kraven i SWAMID AL 1

Arbetsgång • Läs igenom kraven – Tillfälliga undantag från kraven i SWAMID AL 1 • 3. 1: IMPS behöver först till hösten 2015 kompletteras med hur alla krav uppfylls, nu endast användarkontons livscykel. • 4. 1. 2: Den legala analysen behöver inte vara klar. • Komplettera med FAQ • Säkerställ att infrastrukturen uppfyller kraven • Komplettera vid behov Identity Manage Practice Statement (IMPS) • Fyll därefter i checklista

FAQ • Fråga: Ska dokumentation såsom beskrivet i Id. M -checklistan bifogas till checklistan

FAQ • Fråga: Ska dokumentation såsom beskrivet i Id. M -checklistan bifogas till checklistan för SWAMID AL 1? • Svar: Id. M-checklistan ersätts till stor del av AL 1 profilen. Checklistan är endast ett stöd för att ni ska kunna få en så säker miljö som möjligt.

FAQ 3. 4 The member organisation MUST retain records (sv. diarieföras) of all audits

FAQ 3. 4 The member organisation MUST retain records (sv. diarieföras) of all audits … • Fråga: Måste granskningsresultatet vara publikt? • Svar: Granskningarna, eller revisionerna, ska i normalfallet inte publiceras på publika webbsidor utan endast diarieföras. Om organisationen anser att innehållet är känsligt kan handlingen markeras så att särskild utlämningsprövning görs när den efterfrågas, dvs. sekretessbeläggas

FAQ 4. 2. 2 All Subjects MUST indicate acceptance of the Acceptable Use Policy

FAQ 4. 2. 2 All Subjects MUST indicate acceptance of the Acceptable Use Policy before use of the Identity Provider. • Fråga: Om man i anställningsavtal binder den anställde vid alla organisationens policys och riktlinjer räcker då detta? • Svar: Det är möjligt att reglera detta genom anställningsavtalet men det finns nackdelar med det enligt svar på nästa fråga.

FAQ 4. 2. 3 All Subjects MUST indicate renewed acceptance of the Acceptable Use

FAQ 4. 2. 3 All Subjects MUST indicate renewed acceptance of the Acceptable Use Policy is modified. • Fråga: se 4. 2. 2, förra bilden. • Svar: Eftersom det krävs ett explicit godkännande av uppdaterade användarregler bör uppdatering av användareglerna hanteras på något annat sätt än genom anställningsavtalet.

FAQ 4. 3. 3 All network communication between systems related to Identity or Credential

FAQ 4. 3. 3 All network communication between systems related to Identity or Credential management MUST be encrypted. • Fråga: Gäller detta även internt i en egen datorhall? • Svar: Självklart! Får man ett intrång på sitt eget nätverk så skyddar inte datorhallens skalskydd.

FAQ 5. 1. 4 Subjects MUST be actively discouraged from sharing credentials with other

FAQ 5. 1. 4 Subjects MUST be actively discouraged from sharing credentials with other subjects … • Fråga: Vad krävs för att lärosätet aktivt ska avråda användarna från att dela med sig av inloggningsuppgifter till andra? • Svar: Står det i AUP och användarna har godkänt denna räknas det som aktivt. Inför organisationen dessutom att användarna med jämna mellanrum måste godkänna reglerna på nytt blir det ännu mer aktivt.

FAQ • 5. 2. 8 It MUST NOT be possible to assign a credential

FAQ • 5. 2. 8 It MUST NOT be possible to assign a credential to an identity that has not passed a minimum of Assurance Level 1 verification. • Fråga: Vad menas med det här? • Svar: Det betyder att den webbtjänst som används för kontoaktivering eller lösenordsändring/-återställning inte får anslutas till det bakomliggande kontohanteringssystemet, t. ex. AD, utan egen inloggning. Exempel: Webbsidan för kontoaktivering har en AD-användare som denna använder för att skapa AD-kontot för den nya användaren.

FAQ 5. 4. 1 All network communication between systems related to Identity or Credential

FAQ 5. 4. 1 All network communication between systems related to Identity or Credential management MUST be secured and encrypted. • Fråga: Vad menas med detta? • Svar: Använd alltid TLS/SSL för att etablera en krypterad förbindelse mellan olika system som används för återkallande av lösenord eller spärrande av konto. Exempel: Använd en säker webbtjänst för servicedesk som kommunicerar krypterat med bakomliggande kontohanteringssystem, t. ex. AD, för spärrande av konto.

FAQ 5. 6. 3 The Identity Provider MUST use an authentication protocol that requires

FAQ 5. 6. 3 The Identity Provider MUST use an authentication protocol that requires the claimant to prove possession and control of the authentication token. • Fråga: Vad menas med detta? • Svar: För lösenord innebär detta att användaren måste visa att han eller hon kan sitt gamla lösenord innan han eller hon får sätta ett nytt.

Till sist… • Frågor? – Fråga oss nu… – Skicka epost till SWAMID Operations

Till sist… • Frågor? – Fråga oss nu… – Skicka epost till SWAMID Operations eller – ring någon i SWAMID Operations och fråga!

Vad händer mer under hösten? Workshop 3 2014 17 -18 november i Stockholm Kom

Vad händer mer under hösten? Workshop 3 2014 17 -18 november i Stockholm Kom gärna med förslag och idéer på frågor att diskutera dag 2.

Vad händer mer under hösten? Ytterligare två Webinar i höst med fokus på SWAMID

Vad händer mer under hösten? Ytterligare två Webinar i höst med fokus på SWAMID AL 1 • Webinar 5 2014 6 november 10. 00 • Webinar 6 2014 4 december 10. 00

SWAMID AL 1 och AL 2 SWAMID ALSWAMID AL 1 och AL 2 SWAMID AL
Allmn pension fonder ALLMN PENSION Eventuellt eget sparandeAllmn pension fonder ALLMN PENSION Eventuellt eget sparande
Tjna in till allmn pension ALLMN PENSION VarfrTjna in till allmn pension ALLMN PENSION Varfr
Tjna in till allmn pension ALLMN PENSION VarfrTjna in till allmn pension ALLMN PENSION Varfr
Allmn pension ALLMN PENSION Ml med dagen TyckaAllmn pension ALLMN PENSION Ml med dagen Tycka
Allmn pension Allmn pension 16 av din inkomstAllmn pension Allmn pension 16 av din inkomst
Pensionssystemet Eget sparande Tjnstepension Allmn pension Allmn pensionPensionssystemet Eget sparande Tjnstepension Allmn pension Allmn pension
Les Assurances Maritimes Assurance CORPS Assurance FACULTS AssuranceLes Assurances Maritimes Assurance CORPS Assurance FACULTS Assurance
Quality Control Quality Assurance QUALITY ASSURANCE Quality AssuranceQuality Control Quality Assurance QUALITY ASSURANCE Quality Assurance
QUALITY ASSURANCE Quality Assurance Graphs A quality assuranceQUALITY ASSURANCE Quality Assurance Graphs A quality assurance
QUALITY ASSURANCE QUALITY ASSURANCE Quality assurance is anQUALITY ASSURANCE QUALITY ASSURANCE Quality assurance is an
Bluetooth Profile Bluetooth profile A Bluetooth profile isBluetooth Profile Bluetooth profile A Bluetooth profile is
home profile EAGLEON PRESENTATION home profile home profilehome profile EAGLEON PRESENTATION home profile home profile
SWAMID WS 1 2015 Lund 2015 05 2627SWAMID WS 1 2015 Lund 2015 05 2627
SWAMID WS 1 2014 Uppsala 2014 03 1718SWAMID WS 1 2014 Uppsala 2014 03 1718