Versioner sammenlignet

Gammel version 1

changes.mady.by.user Ulrik Schrøder Esmann

Gemt på

sammenlignet med

Ny version 2

changes.mady.by.user Katja Prause

Gemt på

Nøgle

  • Linjen blev tilføjet.
  • Denne linje blev fjernet.
  • Formatering blev ændret.
Uddrag

Overordnede organisatoriske krav til IdP'er i Unilogin-føderationen

  • Understøttelse af supplerende profil til NSIS med sikringsniveauer for børn og undervisningsformål
  • Juridiske krav
  • Administration af livscyklus for ID
    • registrering, udstedelse, anvendelse og udløb
  • Revision og anmeldelse
  • Informationssikkerhedsledelse (ISO 27001)
  • Faciliteteter og personale

    • Når en kommune eller uddannelsesinstitution vil have tilkoblet en IdP på enten NSIS sikringsniveau Lav eller Unilogin Styrket til Unilogins sikkerhedsføderation skal der i overensstemmelse med NSIS-standarden[1]:

    • Redegøres for den tekniske og sikkerhedsmæssige udformning samt sikringsniveau og navn.
    • Anvendes selvdeklarering, hvormed kommunen eller institutionen selv indestår for, at kravene til IdP’ens sikringsniveau(er) er opfyldt.
    • Etableres periodevis intern revision med henblik på at sikre overholdelse af relevante krav og politikker.

    Når NSIS sikringsniveau Betydelig indføres i føderationen på sigt, skal ovenstående desuden suppleres med en revisionserklæring fra en uafhængig statsautoriseret revisor eller et overensstemmelsesvurderingsorgan (jf. eIDAS artikel 3, stk. 1, nr. 18), som bekræfter, at IdP’ens tekniske og sikkerhedsmæssige udformning er gennemgået, at kravene i NSIS-standarden er overholdt på det angivne sikringsniveau, og at der er implementeret processer for løbende at sikre, at det angivne Sikringsniveau opretholdes. Anmeldelsen suppleres med en ledelseserklæring underskrevet af en tegningsberettiget, hvoraf det fremgår, at alle relevante krav er opfyldt og fornødne processer for opretholdelse er implementeret. Der skal årligt indsendes en ny revisionserklæring, som bekræfter, at kravene til stadighed opfyldes. Revisionserklæringen skal være udarbejdet i henhold til revisionsinstruksen for NSIS på niveau Betydelig.

    En kommune eller en uddannelsesinstitution, der har fået tilkoblet en IdP til Unilogin-brokeren, vil i den forbindelse skulle indgå en aftale med Styrelsen for It og Læring, hvor kommunen eller institutionen forpligter sig til af egen drift straks at meddele Styrelsen for It og Læring, hvis et eller flere krav til sikringsniveauer ikke længere opfyldes, eller hvis Sikringsniveauet ønskes ændret. Styrelsen for It og Læring vil desuden til enhver tid kunne fratage kommunen eller institutionen retten til helt eller delvist at være IdP på Unilogin-brokeren. Styrelsen for It og Læring vil således helt kunne afkoble IdP’en fra Unilogin-brokeren eller kunne sætte IdP’ens sikringsniveau til et lavere sikringsniveau, hvis Styrelsen for It og Læring vurderer, at IdP’en ikke lever op til et eller flere krav til sikringsniveauerne.

    Kommuner eller institutioner, der får koblet IdP’er til Unilogins broker, bærer det fulde ansvar for, at kravene til sikringsniveauer er opfyldt og skal påtage sig erstatningsansvar efter dansk rets almindelige regler over for tjenester, der forlader sig på IdP’en, såfremt tabet skyldes:

    • at oplysninger i udstedte Elektroniske Identifikationsmidler eller Security Tokens er forkerte på tidspunktet for udstedelsen eller manglende spærring på baggrund af gyldig anmodning
    • at security tokens udstedes i strid med kravene til Identitetsbrokere i denne standard,
    • manglende umiddelbar spærring eller suspension af et Elektronisk Identifikationsmiddel efter anmodning om spærring/suspension,
    • alvorlige sikkerhedsbrud som følge af, at sikkerhedskrav ikke er opfyldt, medmindre det kan godtgøres, at der ikke er handlet uagtsomt eller forsætligt

    Kommuner eller institutioner, der får koblet IdP’er til Unilogins broker skal af egen drift dele alvorlige sikkerhedshændelser med Styrelsen for It og Læring samt andre relevante myndigheder, herunder ved begrundet mistanke om, at et eller flere krav i standarden ikke længere overholdes, og/eller at en kontrol er kompromitteret. Kommunen eller institutionen skal ligeledes være til rådighed for en opfølgende dialog samt afklaring af evt. spørgsmål fra Styrelsen for It og Læring. Hvis en sikkerhedshændelse påvirker brugere, skal kommunen eller institutionen informere brugerne om dette, og relevante modforanstaltninger skal træffes som f.eks. spærring af IdP’en mv. Hvis sikkerhedshændelsen påvirker tjenester koblet til Unilogins broker vil Styrelsen for It og Læring informere disse, herunder om modforanstaltninger.

    Tilkobling af IdP

    Ønsker I som myndighed at få tilkoblet jeres IdP til Unilogins sikkerhedføderation skal I følge den beskrevne procedure på viden.stil.dk

    [1] Skemaer og vejledninger findes på: https://digst.dk/it-loesninger/nemlog-in/det-kommende-nemlog-in/vejledninger-og-standarder/nsis-standarden/

    Logning og dokumentation