Presentasjon lastes. Vennligst vent

Presentasjon lastes. Vennligst vent

Hvordan BankID er bygget opp / fungerer (konseptuelt) Banklagret BankID, funksjonell beskrivelse med fokus på sikkerheten i systemet Sammenligning.

PublisertHaakon Løkken Endret for 6 år siden

Liknende presentasjoner

Presentasjon om: "Hvordan BankID er bygget opp / fungerer (konseptuelt) Banklagret BankID, funksjonell beskrivelse med fokus på sikkerheten i systemet Sammenligning."— Utskrift av presentasjonen:

1 BankID FOI Løsningsarkitektur – Komponenter, sikkerhet, drift/forvaltning.

2 Hvordan BankID er bygget opp / fungerer (konseptuelt) Banklagret BankID, funksjonell beskrivelse med fokus på sikkerheten i systemet Sammenligning med andre løsninger (softsertifikater, sesjonssertifikater og evt smartkort). Tilsyn og Kvalitetssikkring

3 Konseptuell modell BBS Infrastruktur BankID FOI Autentisering
Signering Tjenestetilbyder (Brukersted) Sertifikatholder (Bruker) Tjenesteavtale Brukersted Tjenesteavtale Sluttbruker Interbankregler Bank (Sertifikatkontroll) Bank (Utstedelse) Sammarbeidet Felles rot, standarer, policies, regler, etc BBS Infrastruktur BankID FOI

4 Hensikt med banklagret BankID
Hensikten med banklagret BankID: En web-basert PKI-løsning som kan brukes fra alle datamaskiner uten installert programvare, drivere, smartkortleser eller sertifikat Løsningen skal ha minst like høyt sikkerhetsnivå som smartkortbaserte PKI Hvordan gjøre dette? Ved å adressere sikkerhetsutfordringer på en annen måte enn smartkortbaserte PKI – tenke nytt

5 Prinsipper for banklagret BankID
Tofaktor autentisering mot nøkkelager Noe du vet (passord) og noe du har (fysisk enhet) Passord skal aldri lagres Brukerens private nøkkel skal ikke være tilgjengelig for Operatør (BBS) eller bank på noe tidspunkt Fysisk sikring, rutiner og teknisk arkitektur bidrar til svært høy sikkerhet i løsningen

6 Sikkerhet i Systemet Sikkerhet er et vidt begrep og behovet settes ut i fra trusselbildet og risiki til tjenesten. Det er mange angrepsflater og vektorer som gjør at riktig prioritering er viktig. Brudd på integriteten til sentralt nøkkellager har høyest skadevirkning men lav risiko. Truslene mot BankID kommer på flere angrepsflater: Man-In-The-Middle (Protokollangrep) Man-In-The-Mashine (Trojaner) Denial-of-Service (D)DOS (Tjenestenekt) Organisatorisk Sikkerhet (Rutiner etc.) Teknologivalg (Sentrallagrede nøkler)

7 Oversiktsbilde Bank Brukersted Sluttbruker
BankID Klient BankID Server RA OTP-system Server- grensesnitt BankID sentrale servere banklagret Ordre og Distribusjonssystem Front-end server Sentral signeringsserver Nøkkelager OTP-Validator RA-grensesnitt Brukersted Sluttbruker OTP-grensesnitt Klient- ”Sertifikatfabrikk” Validerings Tjeneste Rot CA CA BankID Aktørene og distribuerte komponenter Infrastruktur: 5 miljøer, lastdeling mellom 2 fysiske lokasjoner, over 100 servere Funksjoner og komponenter Administrasjon og bruk

8 Bestilling og utstedelse av BankID
Sluttbruker Banken sender inn bestilling via RA-grensesnitt I bestillingen angis informasjon om utsteder, RA og om personen. Det angis også knytning til OTP-tjeneste og hash av statisk passord. ODS sender over hash av passord til Nøkkellageret og ber om at det genereres nøkler for personen. CA lager sertifikat og det ferdige sertifikatet sendes tilbake til nøkkelager der det lagres sammen med kryptert privat nøkkel i databasen. Personen kan nå benytte sin BankID. RA OTP-system RA-grensesnitt Ordre og Distribusjonssystem BankID Sentrale Servere Banklagret BankID Front-end server ”Sertifikatfabrikk” OTP-Validator Rot CA Sentral signeringsserver CA CA CA CA CA CA CA CA Nøkkelager

9 Sammenligning mellom klienter/nøkkelbærer
bæremedie Mobilitet Brukervennlighet Sikkerhet Support-kostnad Softlokal Medium Lav Høy Nettsentrisk Mobiltelefon Smartkort RAM (eSecureKey) Medium? s.9

10 Kvalitetssikring og tilsyn
Post- og teletilsynet (PT), har i samarbeid med sine europeiske søsterorganisasjoner i FESA, vurdert BankID og funnet at banklagret BankID er innenfor de europeiske rammene på området. Vurderingen ble gjennomført som forberedelse til registrering av BankID som kvalifisert sertifikat iht e-siganturloven. Siste gjennomgang av løsningen med PT var PT har en prosess på ekstern gjennomgang av løsningen. Liste over revisjoner:. Kvalitetsrevisjon av BBS: NS-EN ISO 9001:2000 Gjennomføres halvårlig av Veritas. BBS første gang sertifisert 14. mai 1996. Senest oktober 2007. Informasjonssikkerhets revisjon av BBS: NS 7799:2003 / BS7799-2:2002 BBS første gang sertifisert 28. mai 2002. BankID Samsvarsrevisjon BBS (iht sjekkliste utarbeidet av BSK og Scandpower) Gjennomføres hvert tredje år. Gjennomført første gang i 2004. Senest 12. oktober 2007. BBS’ Kvalitetssystem Løpende revisjon, men oppdateres minst hvert halvår ifm Veritas-revisjon. Utarbeidet av BBS avdelig for Revisjon, Kvalitet og Sikkerhet med basis i ISO 9001.

11 Krav og lover som BankID dekker
Hvitvaskingslovgivning Tillegg: Ekstra krav om pass for utstedelse av legitimasjon innført i 2007 E-signaturloven Registrert som kvalifisert sertifikat Kravspesifikasjon for PKI i offentlig sektor Selvdeklarert som Person-Høyt Personvernlovgivningen Inkludert Personopplysningsforskriftens § 2.9 Taushetsplikt: Medarbeidere hos den behandlingsansvarlige skal pålegges taushetsplikt for personopplysninger hvor konfidensialitet er nødvendig. Taushetsplikten skal også omfatte annen informasjon med betydning for informasjonssikkerheten. § 2.11 Sikring av konfidensialitet(annet ledd): Sikkerhetstiltakene skal også hindre uautorisert innsyn i annen informasjon med betydning for informasjonssikkerheten. Finansavtaleloven

12

Laste ned ppt "Hvordan BankID er bygget opp / fungerer (konseptuelt) Banklagret BankID, funksjonell beskrivelse med fokus på sikkerheten i systemet Sammenligning."

Liknende presentasjoner

Frode B. Nilsen Drifts- og utviklingssjef, BankID Norge

Frode B. Nilsen Drifts- og utviklingssjef, BankID Norge
Kapittel 6 Data Backup Service. Tradisjonell arkitektur •Mange klienter •En server (evt. et cluster) •Klientene tar backup m jevne mellomrom •Inkrementell.

Kapittel 6 Data Backup Service. Tradisjonell arkitektur •Mange klienter •En server (evt. et cluster) •Klientene tar backup m jevne mellomrom •Inkrementell.
Zebra Use case modell av systemet Et løsningsforslag.

Zebra Use case modell av systemet Et løsningsforslag.
Prof. Dag Wiese Schartum, AFIN

Prof. Dag Wiese Schartum, AFIN
Sikring av personopplysninger i offentlig forvaltning Prof. Dag Wiese Schartum, AFIN.

Sikring av personopplysninger i offentlig forvaltning Prof. Dag Wiese Schartum, AFIN.
FUNNKe Risikovurdering informasjonssikkerhet Nettverksmøte Tromsø 10. okt. 2013 Eva Henriksen, Eva Skipenes,

FUNNKe Risikovurdering informasjonssikkerhet Nettverksmøte Tromsø 10. okt Eva Henriksen, Eva Skipenes,
Kvalitetssikring av byggeprosjekt – del 2

Kvalitetssikring av byggeprosjekt – del 2
Instruktørnotater: Instruktør må ha videokanon Velkommen til kurset

Instruktørnotater: Instruktør må ha videokanon Velkommen til kurset
Samordning, arkitektur, PKI Hva skjer? Endre Grøtnes, Statskonsult

Samordning, arkitektur, PKI Hva skjer? Endre Grøtnes, Statskonsult
Krav til sikring av personopplysninger i hht pol § 13 og pof kap. 2 Prof. Dag Wiese Schartum, AFIN.

Krav til sikring av personopplysninger i hht pol § 13 og pof kap. 2 Prof. Dag Wiese Schartum, AFIN.
INTERNKONTROLL - Medlem av Norges største frittstående elektrikerkjede -

INTERNKONTROLL - Medlem av Norges største frittstående elektrikerkjede -
TOB055 Beskrivelse, kalkulasjon og kontrahering Aktører/roller i byggeprosessen ”Prosjektorganisasjonen”

TOB055 Beskrivelse, kalkulasjon og kontrahering Aktører/roller i byggeprosessen ”Prosjektorganisasjonen”
Forprosjekt – nytt skoleadministrativt system Vedlegg 6 – Prosessbeskrivelse Aktivitetsskolen.

Forprosjekt – nytt skoleadministrativt system Vedlegg 6 – Prosessbeskrivelse Aktivitetsskolen.
Digital vurdering og eksamen Juridiske rammer Læringsfestivalen 2015 Maren Magnus Jegersberg Juridisk rådgiver IT-direktørens stab Universitetet i Oslo.

Digital vurdering og eksamen Juridiske rammer Læringsfestivalen 2015 Maren Magnus Jegersberg Juridisk rådgiver IT-direktørens stab Universitetet i Oslo.
BRUKERUNDERSØKELSENE 2015 Det er viktig å minne om at resultatene fra brukerundersøkelsene ikke gir oss den fulle og hele sannheten om kvaliteten på tjenestene.

BRUKERUNDERSØKELSENE 2015 Det er viktig å minne om at resultatene fra brukerundersøkelsene ikke gir oss den fulle og hele sannheten om kvaliteten på tjenestene.
1 1 KOSTRA arbeidsgruppe IPLOS Møte SSB, 02. april 2009 Bjørn Gabrielsen, SSB.

1 1 KOSTRA arbeidsgruppe IPLOS Møte SSB, 02. april 2009 Bjørn Gabrielsen, SSB.
Veileder for gevinstrapportering

Veileder for gevinstrapportering
Nytt personvernregelverk fra EU

Nytt personvernregelverk fra EU
ROS-analyse.

ROS-analyse.
Krav til sikring av personopplysninger

Krav til sikring av personopplysninger

Liknende presentasjoner

Annonser fra Google