Uddrag |
---|
Overordnede organisatoriske krav til IdP'er i Unilogin-føderationen
Når en kommune eller uddannelsesinstitution vil have tilkoblet en IdP på enten NSIS sikringsniveau Lav eller Unilogin Styrket til Unilogins sikkerhedsføderation skal der i overensstemmelse med NSIS-standarden[1]:
Når NSIS sikringsniveau Betydelig indføres i føderationen på sigt, skal ovenstående desuden suppleres med en revisionserklæring fra en uafhængig statsautoriseret revisor eller et overensstemmelsesvurderingsorgan (jf. eIDAS artikel 3, stk. 1, nr. 18), som bekræfter, at IdP’ens tekniske og sikkerhedsmæssige udformning er gennemgået, at kravene i NSIS-standarden er overholdt på det angivne sikringsniveau, og at der er implementeret processer for løbende at sikre, at det angivne Sikringsniveau opretholdes. Anmeldelsen suppleres med en ledelseserklæring underskrevet af en tegningsberettiget, hvoraf det fremgår, at alle relevante krav er opfyldt og fornødne processer for opretholdelse er implementeret. Der skal årligt indsendes en ny revisionserklæring, som bekræfter, at kravene til stadighed opfyldes. Revisionserklæringen skal være udarbejdet i henhold til revisionsinstruksen for NSIS på niveau Betydelig. En kommune eller en uddannelsesinstitution, der har fået tilkoblet en IdP til Unilogin-brokeren, vil i den forbindelse skulle indgå en aftale med Styrelsen for It og Læring, hvor kommunen eller institutionen forpligter sig til af egen drift straks at meddele Styrelsen for It og Læring, hvis et eller flere krav til sikringsniveauer ikke længere opfyldes, eller hvis Sikringsniveauet ønskes ændret. Styrelsen for It og Læring vil desuden til enhver tid kunne fratage kommunen eller institutionen retten til helt eller delvist at være IdP på Unilogin-brokeren. Styrelsen for It og Læring vil således helt kunne afkoble IdP’en fra Unilogin-brokeren eller kunne sætte IdP’ens sikringsniveau til et lavere sikringsniveau, hvis Styrelsen for It og Læring vurderer, at IdP’en ikke lever op til et eller flere krav til sikringsniveauerne. Kommuner eller institutioner, der får koblet IdP’er til Unilogins broker, bærer det fulde ansvar for, at kravene til sikringsniveauer er opfyldt og skal påtage sig erstatningsansvar efter dansk rets almindelige regler over for tjenester, der forlader sig på IdP’en, såfremt tabet skyldes:
Kommuner eller institutioner, der får koblet IdP’er til Unilogins broker skal af egen drift dele alvorlige sikkerhedshændelser med Styrelsen for It og Læring samt andre relevante myndigheder, herunder ved begrundet mistanke om, at et eller flere krav i standarden ikke længere overholdes, og/eller at en kontrol er kompromitteret. Kommunen eller institutionen skal ligeledes være til rådighed for en opfølgende dialog samt afklaring af evt. spørgsmål fra Styrelsen for It og Læring. Hvis en sikkerhedshændelse påvirker brugere, skal kommunen eller institutionen informere brugerne om dette, og relevante modforanstaltninger skal træffes som f.eks. spærring af IdP’en mv. Hvis sikkerhedshændelsen påvirker tjenester koblet til Unilogins broker vil Styrelsen for It og Læring informere disse, herunder om modforanstaltninger. Tilkobling af IdP Ønsker I som myndighed at få tilkoblet jeres IdP til Unilogins sikkerhedføderation skal I følge den beskrevne procedure på viden.stil.dk [1] Skemaer og vejledninger findes på: https://digst.dk/it-loesninger/nemlog-in/det-kommende-nemlog-in/vejledninger-og-standarder/nsis-standarden/ Logning og dokumentation |