Tilbudskonferanse TTP Tord Ingolf Reistad Statens vegvesen Vegdirektoratet
Agenda Innledning om anskaffelsen Presentasjon av prosjektet og løsning Gjennomgang av de viktigste arbeidsprosessene Spørsmål/svar
AutoPASS Nøkkelhåndtering i AutoPASS startet i 2000/2001 AutoPASS samordnet betaling startet i 2003 Utvidet gjennom EasyGo til Sverige, Danmark i 2007 (Østerrike 2013) Teleplan tok over rollen som TTP i 2007/2008
Behov Det overordnede behovet for AutoPASS når det kommer til sikkerhetsnøkler kan beskrives som følger: –Det skal finnes administrative og tekniske system som sikrer at all oppbevaring, transport og bruk av EFC-nøkler i AutoPASS blir håndtert på en sikker og hensiktsmessig måte. Administrative oppgaver -> TTP-tjeneste Teknisk system-> Nøkkelhåndteringssystem (KMS)
Dekking av behov Trenger organisasjon som har erfaring med IKT- sikkerhet (erfaring med håndtering av kryptonøkler) Trenger organisasjon som selv eller gjennom underleverandører kan gjøre endringer i kildekode om nødvendig. Disse behovene kan pr. dags dato ikke dekkes internt i Statens vegvesen.
Oppgaver som skal dekkes TTP Administrative oppgaver -Revisjon -Avtaler -Rådgivning -Adgangskontroll til KMS Nøkkel- håndtering (KMS) -genering -oppbevaring -registrator -import/eksport
Nøkkelhåndteringssystem (KMS)
Overgang TTP 1.0 TTP 2.0 TTP 1.0 Kryptert EFC key record Dekryptering TTP1.0 Master Key TTP1.0 Operator Key Kryptering Public TTP2.0 Import Key Kryptert EFC key record for TTP 2.0 Dekryptering PrivateTTP2.0 Import Key Kryptering (Public)TTP2.0 Master Key TTP 2.0 Databas e HSM keyfile Kryptert EFC key record for TTP 2.0 HSM keyfile EFC key record TTP1.0TTP2.0
Nøkkelhåndteringssystem (KMS)
Hvorfor overgang til versjon 2.0 –Trekke nøkkelhåndteringsystemet helt av nettet. –Sikkerhet dreies mer mot administrativ sikkerhet i forhold til teknisk sikkerhet. –Behov for Statens vegvesen skal eie systemet. –Behov for å kunne videreføre systemet uten å gjøre endringer på vegkant. –KMS trenger bare være aktiv 0-2 ganger i måneden
Registrator oppgaven I hovedsak følgende: Register over enheter som har fått EFC-nøkler. Register over utstedere. Register over hvilke brikker som er utstedt.
Prosjekt og fremdrift Signert kontrakt ca Fase 1: Etablering ca –Detaljert fremdriftsplan, testplan, etc. Fase 2: Godkjenning (FAT) Fase 3: Godkjenning (SAT) Fase 4: Godkjenningsperiode
Hva forventes i etableringsfasen Detaljere rutiner –Tenkt gjennom rutinene og gjort de til egne Spesifisere administrativ sikkerhet –Hvem i organisasjonen får hvilke roller, adganger –Bestille bankbokser eller på annen måte sikre løsninger Sette seg inn i KMS kildekode –Trenger ikke full forståelse fra –Men må ha ressurser tilgjengelig ved behov
Overtagelse av TTP-rollen 3/9 Overta som TTP –Overta KMS + sikkerhetskopier –Beskytte KMS i forhold til rutiner –Beskytte sikkerhetskopier i forhold til rutinene Kan være behov for store avrop på rammeavtale rett etter 3/9 eller det kan gå måneder uten behov for avrop. –Behovet etter 3/9 vil være klart nærmere sommeren. –Lagt inn i kontrakten 1 mnd. varseltid
Videreutvikling av KMS/TTP fremover Nåværende kontrakt på AutoPASS brikker går ut i august Nye brikker i omløp fra vår Ny kontrakt på AutoPASS brikker vil antagelig innebære større endringer i nøkkelhåndtering. –Behovene er ennå ikke helt klarlagt. –Kan ikke si så mye før anbudet på AutoPASS brikker er klart (vår/sommer 2013). Utsteder rolle, etc. kan endres.
Tjenestene som ytes Fast pris på drift av tjenester (f.eks. sikkerhetskopi – prosess 8) Fast pris på registratortjenester (prosess 5) Faste tjenester –1. Ny utsteder – generering av EFC-nøkler –2. Bestilling av nye OBUer for utstedere –3. Distribusjon av EFC-nøkler til operatører Faste oppgaver –6. Registrering og initialisering av SAM (prosessen må vurderes) –7. Avregistrering og destruksjon av SAM
Tjenestene som ytes Konsulentbistandsprosessene 13 Sertifisering av ny CP/OBU leverandør 14. Endringer i KMS 16. Konsultasjonstjenester i tilknytning til sikkerhet
Tjenestene som ytes Mulige prosesser som kan eller kan ikke bli tatt i bruk –4. Validering av transaksjoner –8. Sikkerhetskopi og gjenoppretting av EFC-nøkkel informasjon og registrar informasjon. –9. Gjennomgå KMS og rutiner. –10. Generisk prosess for import av EFC-nøkler –11. Generisk prosess for eksport av EFC-nøkler –12. Overføring av EFC-nøkler og TTP rollen fra eksisterende til ny TTP (prosessen blir antagelig forenklet) – 15. Ekstern revisjon
Evalueringsstruktur Pris 45% –Estimat av hva som trengs av faste tjenester de neste 3 årene –Behov for rådgivningstjenester er veldig vanskelig å estimere Leverandørens løsning 20% –Forståelse av oppgaven, forståelse av sikkerhet Personell’s kompetanse 35% –CV’er + refeanser