Overordnede organisatoriske krav til IdP'er i Unilogin-føderationenNår en kommune eller uddannelsesinstitution vil have tilkoblet en IdP på enten NSIS sikringsniveau Lav eller Unilogin Styrket til Unilogins sikkerhedsføderation skal der i overensstemmelse med NSIS-standarden[1]: - Redegøres for den tekniske og sikkerhedsmæssige udformning samt sikringsniveau og navn.
- Anvendes selvdeklarering, hvormed kommunen eller institutionen selv indestår for, at kravene til IdP’ens sikringsniveau(er) er opfyldt.
- Etableres periodevis intern revision med henblik på at sikre overholdelse af relevante krav og politikker.
Når NSIS sikringsniveau Betydelig indføres i føderationen på sigt, skal ovenstående desuden suppleres med en revisionserklæring fra en uafhængig statsautoriseret revisor eller et overensstemmelsesvurderingsorgan (jf. eIDAS artikel 3, stk. 1, nr. 18), som bekræfter, at IdP’ens tekniske og sikkerhedsmæssige udformning er gennemgået, at kravene i NSIS-standarden er overholdt på det angivne sikringsniveau, og at der er implementeret processer for løbende at sikre, at det angivne Sikringsniveau opretholdes. Anmeldelsen suppleres med en ledelseserklæring underskrevet af en tegningsberettiget, hvoraf det fremgår, at alle relevante krav er opfyldt og fornødne processer for opretholdelse er implementeret. Der skal årligt indsendes en ny revisionserklæring, som bekræfter, at kravene til stadighed opfyldes. Revisionserklæringen skal være udarbejdet i henhold til revisionsinstruksen for NSIS på niveau Betydelig. En kommune eller en uddannelsesinstitution, der har fået tilkoblet en IdP til Unilogin-brokeren, vil i den forbindelse skulle indgå en aftale med Styrelsen for It og Læring | , hvor om tilkoblingen. I denne aftale skal kommunen eller institutionen | forpligter forpligte sig til af egen drift straks at meddele Styrelsen for It og Læring, hvis | et eller flere krav til sikringsniveauer ikke længere opfyldes, eller hvis Sikringsniveauet ønskes ændret. Styrelsen for It og Læring vil desuden til enhver tid kunne fratage kommunen eller institutionen retten til helt eller delvist at være IdP på Unilogin-brokeren. Styrelsen for It og Læring vil således helt kunne afkoble IdP’en fra Unilogin-brokeren eller kunne sikringsniveauet ønskes ændret, eller hvis der er en sikkerhedshændelse i forhold til den lokale IdP. Kommunen eller institutionen skal ligeledes være til rådighed for en opfølgende dialog samt afklaring af evt. spørgsmål fra Styrelsen for It og Læring. Hvis en sikkerhedshændelse påvirker brugere, er det kommunens eller institutionens ansvar at informere brugerne om dette, og relevante modforanstaltninger skal træffes som f.eks. spærring af IdP’en mv. I tilfælde af en sikkerhedshændelse i en lokal IdP, hvor Styrelsen for It og Læring vurderer, at det er nødvendigt at afkoble den lokale IdP fra Unilogin Broker for at dæmme op for sikkerhedshændelsen, kan Styrelsen for It og Læring gøre dette. Styrelsen for It og Læring kan desuden i den forbindelse sætte IdP’ens sikringsniveau til et lavere sikringsniveau, hvis Styrelsen for It og Læring vurderer, at | IdP’en ikke lever op til et eller flere krav til sikringsniveauerne.Kommuner eller institutioner, der får koblet IdP’er til Unilogins broker, bærer det fulde ansvar for, at kravene til sikringsniveauer er opfyldt og skal påtage sig erstatningsansvar efter dansk rets almindelige regler over for tjenester, der forlader sig på IdP’en, såfremt tabet skyldes: - at oplysninger i udstedte Elektroniske Identifikationsmidler eller Security Tokens er forkerte på tidspunktet for udstedelsen eller manglende spærring på baggrund af gyldig anmodning
- at security tokens udstedes i strid med kravene til Identitetsbrokere i denne standard,
- manglende umiddelbar spærring eller suspension af et Elektronisk Identifikationsmiddel efter anmodning om spærring/suspension,
- alvorlige sikkerhedsbrud som følge af, at sikkerhedskrav ikke er opfyldt, medmindre det kan godtgøres, at der ikke er handlet uagtsomt eller forsætligt
Kommuner eller institutioner, der får koblet IdP’er til Unilogins broker skal af egen drift dele alvorlige sikkerhedshændelser med Styrelsen for It og Læring samt andre relevante myndigheder, herunder ved begrundet mistanke om, at et eller flere krav i standarden ikke længere overholdes, og/eller at en kontrol er kompromitteret. Kommunen eller institutionen skal ligeledes være til rådighed for en opfølgende dialog samt afklaring af evt. spørgsmål fra Styrelsen for It og Læring. Hvis en sikkerhedshændelse påvirker brugere, skal kommunen eller institutionen informere brugerne om dette, og relevante modforanstaltninger skal træffes som f.eks. spærring af IdP’en mv. Hvis sikkerhedshændelsen påvirker tjenester koblet til Unilogins broker vil Styrelsen for It og Læring informere disse, herunder om modforanstaltninger. Tilkobling af IdP Ønsker I som myndighed at få tilkoblet jeres IdP til Unilogins sikkerhedføderation skal I følge den beskrevne procedure på viden.stil.dkdette er mere retvisende. Styrelsen for It og Læring vil dog kun gøre dette, hvis dette er proportionalt med den risiko, der er forbundet med ikke at gøre det. Hvis en lokal IdP afkobles brokeren, vil brugerne kunne anvende Unilogin, indtil den lokale IdP evt. kan kobles på brokeren igen. Endelig skal kommunen eller institutionen erklære, at kommunen eller institutionen er opmærksom på, at der på sigt vil blive stillet krav om NSIS-anmeldelse, og at et sådant krav vil medføre, at den lokale IdP enten skal være NSIS anmeldt eller vil blive afkoblet Unilogin Broker. Kravene til NSIS anmeldelsen vil følge implementeringen af NemLog-in og MitID, som forventes lanceret henholdsvis november 2020 og sommer 2021. Hvis denne implementering bliver forsinket, forsinkes kravet om NSIS-anmeldelse tilsvarende. Indtil videre forventes det dog, at der vil blive stillet krav om NSIS anmeldelse på NSIS Lav af lokale IdP'er for voksne inden udgangen af 2020. Det forventes, at lokale 2-faktor IdP'er herudover skal NSIS anmeldes på NSIS Betydelig senest sommeren 2021. Proces for tilkobling af lokal IdPProcessen for at få koblet en lokal IdP på brokeren vil således overordnet være følgende: - Kontakt Styrelsen for It og Lærings Support med henblik på at blive tilkoblet STILs eksterne testmiljø, herunder fremsendelse af relevante metadata (se blanket oven for)
- IdP’en tilkobles STILs eksterne testmiljø og anmelderen af IdP’en sørger for, at den lokale IdP testes på testbrugere i brugerorganisationen
- Indsend underskreven anmeldelse af lokal ID-tjeneste til Styrelsen for It og Lærings Support
- IdP’en kobles på Unilogin Broker på produktionsmiljøet
Som ansvarlig for en IdP tilkoblet Unilogin Broker, skal man tage hånd om alle dele af livscyklussen for Id-midlet. Dette er nærmere beskrevet i NSIS standarden, der kan give inspiration til, hvad der er tilstrækkeligt. Uanset om der er tale om en NSIS anmeldt IdP eller ej, er den der anmelder en IdP til Styrelsen for It og Læring ansvarlig over for evt. fejl og svigt over for dem, der anvender IdP’en. Brokere for IdP’er med flere ansvarlige, kan ikke kobles på Unilogin Broker, så længe føderationen ikke har implementeret NSIS. Det er således kun den ansvarlige myndighed, der kan få koblet en IdP på Unilogin Broker. Det er STIL uvedkommende, om den ansvarlige myndighed selv udvikler sin IdP-løsning eller indgår en aftale med en privat leverandør. STIL har dog brug for et minimum af indblik i den løsning, der er valgt for den lokale IdP af hensyn til de tjenester, der er tilkoblet Unilogin Broker,og for at kunne håndtere sikkerhedshændelser så effektivt som muligt. Private leverandører kan få koblet test-IdP’er på STILs eksterne testmiljø, hvis leverandøren har mindst ét etableret kundeforhold til en ansvarlige myndighed. Ud over Unilogin IdP og lokale IdP’er vil NemID også være tilkoblet brokeren. - Beskrivelse af plan for idriftsættelse og evt. NSIS anmeldelse
- Overordnet beskrivelse af den lokale ID-tjeneste
- Overordnet beskrivelse af det organisatoriske setup, parter, underleverandører mv.
- Underskrevet ledelseserklæring ift.
o at ID-tjenestens samlede data-, system- og driftssikkerhed er betryggede o at ledelsen er opmærksom på, at der på sigt vil blive stillet krav om NSIS-anmeldelse, og at det medfører, at ID-tjeneste skal være NSIS-anmeldt for ikke at blive afkoblet Unilogin Broker o at medsendte dokumentation er retvisende o at ledelsen er opmærksom på, at man som ansvarlig myndighed er ansvarlig for fejl og svigt over for anvenderne af ID-tjenesten o forpligtelsen til af egen drift straks at meddele Styrelsen for It og Læring, hvis sikringsniveauet ønskes ændret, eller ved fejl eller svigt i ID-tjenesten o at være til rådighed for en opfølgende dialog ved fejl eller svigt o at informere brugerne om ændringer i sikringsniveau eller fejl eller svigt samt at træffe relevante modforanstaltninger som f.eks. spærring af ID-tjenesten i relevant omfang mv. o at Styrelsen for It og Læring i tilfælde af en sikkerhedshændelse kan afkoble ID-tjenesten fra Unilogin Broker, hvis Styrelsen for It og Læring vurderer, at dette er en nødvendig modforanstaltning o at Styrelsen for It og Læring kan sætte ID-tjenestens sikringsniveau til et lavere sikringsniveau, hvis Styrelsen for It og Læring vurderer, at dette er mere retvisende
[1] Skemaer og vejledninger findes på: https://digst.dk/it-loesninger/nemlog-in/det-kommende-nemlog-in/vejledninger-og-standarder/nsis-standarden/ |
|