Nederlands Normalisatie Instituut. eherkenning. 24 september 2013 Delft. Haydar Cimen Director Security Services Strategy & Innovation

Vergelijkbare documenten
eherkenning, ook voor het onderwijs René van den Assem zelfstandig adviseur

Hoe aansluiten op het koppelvlak voor eherkenning & eidas?

Congres Publiek Private Samenwerking en Identity Management Op het juiste spoor met eherkenning

Bring Your Own ID HET NIEUWE INLOGGEN VOOR OVERHEID EN BEDRIJFSLEVEN

Presentatie Kennisplatform Softwareleveranciers

kansen voor bedrijven & (semi) overheidsorganisaties 12 juni 2012

Normenkader Informatiebeveiliging t.b.v. de Stelselaudit eherkenning

Authenticatie en autorisatie. 31 mei 2012

CreAim. De SBR en eherkenning specialist. Frank Jonker Directeur CreAim CreAim B.V.

eherkenning Douwe Lycklama Adviseur eherkenning

eherkenning Douwe Lycklama Adviseur eherkenning

Welkom. Het eid Stelsel maakt het mogelijk dat mensen altijd en veilig online zaken kunnen doen met de overheid en het bedrijfsleven.

Algemene ontwikkelingen IAM Onderwijs Jaap Kuipers Platform Identity Management Nederland Utrecht

Visie op toegang! Identity management als speerpunt! H-P Köhler, Kennisnet Roel Rexwinkel, Surfnet

Isala en e-id. Isala

Wat als.? U met één aansluiting zowel online diensten voor burgers als organisaties kunt aanbieden, zowel in het publieke als private domein?

Het veilig delen van informatie in de zorg

eid Stelsel NL & eid Wenkend perspectief

Gemeente Alphen aan den Rijn

Ik ga op reis en ik neem mee

Ondertekendienst binnen eherkenning. Congres eherkenning Publiek Private Samenwerking & Identity Management Jacob Bosma 7 juli

eid Stelsel NL Het eid Stelsel maakt het mogelijk dat mensen altijd en veilig online zaken kunnen doen met de overheid en het bedrijfsleven

Betrouwbaar, veilig en gebruiksvriendelijk inloggen bij overheid en bedrijfsleven

UPGRADE YOUR BUSINESS PROCESSES and change the way you work

Standaardisatiemogelijkheden afsprakenstelsel eherkenning. Ten behoeve van Forum Standaardisatie april 2010

m.b.v. digitale certificaten en PKI Versie: mei 2002 Beknopte Dienstbeschrijving beveiligen van VPN s

De hierna met een hoofdletter aangeduide begrippen hebben in deze Voorwaarden de volgende betekenis:

Authenticatie en autorisatie SBR-stromen

Het UZI-register. Eerste hulp bij veilige elektronische communicatie in de zorgsector. Renate de Rijk projectleider implementatie 8 december 2005

Grensoverschrijdend eid gebruik in Europa

Gebruikersdag Vialis Digitale Veiligheid

Een architectuur voor authenticatie en autorisatie van burgers en bedrijven voor de overheid (een tussenstand)

SBR/XBRL Praktijkdag voor intermediairs De rol van certificaten en CSP s (Certificate Service Provider)

Introductie iwelcome. Paul Eertink product marketing lustrum e-herkenning 2015

Maak uw software oplossingen eidas proof

Jaarplan Tactisch Beraad

CERTIFICERING DATASTORAGE ISO 27001:2013 EN NEN7510:2011

Databeveiliging en Hosting Asperion

BABVI/U Lbr. 13/057

m.b.v. digitale certificaten en PKI Versie: mei 2002 Beknopte Dienstbeschrijving beveiligen van

Advocatuur en informatie beveiliging Een hot topic

makkelijke en toch veilige toegang

Opdrachtgeverschap 2.0. Toezien op de afspraken in de verwerkersovereenkomst

Overzicht verantwoordelijkheden, rechten en plichten van de Beheerorganisatie behorende bij het Afsprakenstelsel eherkenning, versie 1.

iemand aan wie hij/zij is, bij authenticatie wordt vastgesteld of deze persoon ook daadwerkelijk is wie die zegt dat die is.

Bedrijvenbijeenkomst informatiebeveiliging en privacy

Informatiebeveiligingsbeleid. Stichting Pensioenfonds Chemours

Rijkspas: veiligheid en flexibiliteit. ID-ware, C. Borgmann, MSc Heerhugowaard 24 november 2011

SBR Platform. Inhoud. 5 juni Indra Henneman Jeroen van Hulten. Waar staan we. Waar gaan we naar toe. Gebruik certificaten binnen SBR

"Baselines: eigenwijsheid of wijsheid?"

% &# / "0!( /!!!"2 3 4"2- % 3,"2!#5*! % 3!" 3 6"!"!. 1!#74 2-"

Whitepaper. Veilig de cloud in. Whitepaper over het gebruik van Cloud-diensten deel 1.

eherkenning De economische en maatschappelijke waarde van een trustframework

Het eid Stelsel maakt het mogelijk dat mensen altijd en veilig online zaken kunnen doen met de overheid en het bedrijfsleven.

Cloud dienstverlening en Informatiebeveiliging. ISACA Round Table Assen - Maart 2017

IAM voor het onderwijs in 2020 Ton Verschuren m7

Altijd waakzaam en betrouwbaar

Anita van Nieuwenborg. Informatiebeveiligingsdienst Het is nu of nooit Assen, 6 Maart 2014

Laat Beveiliging niet over aan Beveiligers! Presentatie voor EAM 2014

Voorstellen inrichting geïntegreerd toezicht Logius programma eid

Tweede Kamer der Staten-Generaal

Maximale ontzorging in eigen regie POWERED BY

NS in beweging, Security als business enabler september 2008

Inhoudsopgave Identificerend nummer... 45

Beknopte dienstbeschrijving beveiligen van Webapplicaties m.b.v. digitale certificaten en PKI

Klantcase. Applicatiebeheer Dennis van Noort van HDSR: Met eherkenning kunnen wij mensen veel beter van dienst zijn

Handreiking Interoperabiliteit tussen XDS Affinity Domains. Vincent van Pelt

Dromen, durven, doen, samen doen

In een keten gaat het om de verbindingen, niet om de schakels.

Afsprakenstelsel eherkenning

ONTSOURCING Ontzorgen en cloud Sourcing in Onderwijs en Onderzoek. Het Rijk in de Wolken 3 november 2016 Harold Teunissen en Michel Wets

Digitale Veiligheid 3.0

Het nieuwe eid-stelsel Wat betekent dit voor de zorg?

Afsprakenstelsel ElD. september Kennisplatform Administratieve Software

NORTHWAVE Intelligent Security Operations

III Stream IT Auditing. UWV / CIP / VU- IT auditing

Programma Borging veilige gegevensuitwisseling via Suwinet Normenkader Suwinet. Webinar, 28 juni 2017

Digitaal Archief Vlaanderen Stappenplan & Projectfiches

Wat betekent dit voor de zorg?

Help, mijn datacenter is gehackt! KPN Security Services / Han Pieterse

De toekomst van online authenticatie. SIDN Connect 29 november 2018 KNVB Campus Zeist

Alle online identificatiemiddelen ontsluiten. via de Connectis Identity Broker

Cloud werkplek anno Cloud werkplek anno 2014

Olde Bijvank Advies Organisatieontwikkeling & Managementcontrol

Informatiebeveiliging voor gemeenten: een helder stappenplan

Ketenmachtigingen voor Intermediairs. Meer zekerheid over online identiteit Veilig online inloggen bij overheden en bedrijven

SURFmarket O365 propositie

Afsprakenstelsel Elektronische Toegangsdiensten Inhoudsopgave 1. Gebruiksvoorwaarden Elektronische Toegangsdiensten Artikel 1. Definities...

Service Level. Versie 1.8. Afsprakenstelsel eherkenning - Service Level - v1.8

Door Niko Visser. Bewijsmomenten met waarborgen voor zekerstelling met ISO 27001

eidas voor de SURF-doelgroep

CMS Ronde Tafel. Cloud Continuity. Ir. Jurian Hermeler Principal Consultant

Gebruiksvoorwaarden eherkenning

Idensys & BankID IN VOGELVLUCHT DE ONTWIKKELING VAN DE STELSELS IDENSYS EN BANKID. What s SURFconext d.d. 24 november Bart Kerver

De weg naar SOA bij de Gemeente Rotterdam

Managementsysteem voor Informatiebeveiliging Publiceerbaar Informatiebeveiligingsbeleid KW1C

Business Continuity Management

eid in de zorg Wat betekent dit voor u? Bob van Os Nictiz Ruben de Boer - Ministerie van VWS 20 juni 2019

Transcriptie:

1 Titel van de presentatie Classificatie

Nederlands Normalisatie Instituut eherkenning 24 september 2013 Delft Haydar Cimen Director Security Services Strategy & Innovation 2

KPN Trusted Services 3

Security strategisch top-5 thema binnen KPN KPN CEO is co/voorzitter van Cyber Security Raad KPN is onderdeel van de Nederlandse vitale infrastructuur 1 Miljard investering in netwerk en veiligheid (KPN Schoon, Blijvend Schoon) KPN CERT werkt nauw samen met publieke en private CERT teams Gezamenlijke oprichting ENCS voor cyber security voor internetveiligheid voor vitale infrastructuren, zoals energie, water en telecom Actieve rol in stimulering van onderzoek, testen, kennisdelen en training ism Alliander, DNV KEMA, TNO en de Radboud Universiteit Deelname aan privacybelangen- en brancheorganisaties, zoals de privacycommissie van het Nederlandse ondernemersverbond VNO-NCW en NL ICT Investeringen in internationale Cybersecurity Innovatie programma s zoals SBIR/NWO research en development KPN is lid van strategische stelselraad eid 4

KPN Trusted Services Identity, Security, Business Continuity 5

Identiteiten en Persona s 6

Publieke Identiteitsdiensten Overheid - Bedrijfsleven 7

KPN Trusted Services als IDSP en eherkenning stelsel KPN is als pionier gestart in 1996 als TTP met identiteit- en vertrouwens-diensten Identiteits diensten b.v. voor Gezondheidszorg, Justitie, Defensie, Transport,.. Ca 2M. Identiteiten in beheer (STORK L1 t/m L4) KPN als eerste ETSI gecertificeerde trustcenter in Europa voor digitale identiteiten en elektronische handtekening diensten KPN participeert actief en contribueert aan ontwikkeling en groei van eherkenning sinds de eerste start in 2009 KPN heeft momenteel 3 jaar operationele ervaring met specifieke eherkennings diensten 8

Wat is eherkenning? Afsprakenstelsel Func./Tech. Operationeel Juridisch Dienstverleners Portalen Websites Systemen Marktpartijen Afnemers Bedrijven Consumenten Professionals Beheerorganisatie Logius 9

eherkenning Stelsel Het eherkenning Stelsel is ontworpen om op een veilige manier electronisch handelen mogelijk te maken en zorgt primair voor Authenticatie en Autorisatie van gebruikers. Daardoor zijn er diverse technische zaken in het stelsel aanwezig zoals: Eissen t.a.v. Vertrouwelijkheid, Integriteit en Beschikbaarheid Pseudonimisering van gebruikers Ook over de proces as wordt e.e.a. geborgd, zoals: Operationele afspraken Periodiek security officers overleg Audit bij toetreding Periodieke Audits waaronder ISO27001 Periodieke Pentests Erkende gecertificeerde aanbieder 10

Welke rollen zijn er binnen eherkenning? Authenticatie Dienst Dienstverleners Makelaar Middelen Uitgever Gebruikers Machtigingen Register 11

KPN biedt gehele keten in het stelsel Dienstverleners Gebruikers CIBG Kiwa Register B.V. Dienst Justis Ministerie van Veiligheid en Justitie CJIB Etc.. Makelaar Authenticatie Dienst Organisaties Middelen Machtigingen Machtigingen Register Middelen Uitgever 12

KPN eherkenning diensten Alle rollen, alle betrouwbaarheids niveau s: Herkenningsmakelaar (HM) Middelenuitgever (MU) Authenticatiedienst (AD) Machtigingenregister (MR) Dienstverlening conform SLA eherkenning, plus: Beschikbaarheid 7x24, 99,9% per maand Volautomatische uitwijk/disaster-recovery ISO 9001/27001 gecertificeerde omgeving/organisatie Maandelijkse rapportage beschikbaarheid/prestaties 13

eherkenning stelselafspraken (1) Het eherkenning stelsel is dé standaard om veilig elektronisch handelen mogelijk met overheid en bedrijfsleven en voorziet primair in authenticatie en autorisatie van gebruikers. Deelnemers en de beheerorganisatie moeten afdoende beveiligingsmaatregelen treffen om een betrouwbare werking te garanderen. Vertrouwen in eherkenning is gebaseerd op: Organisatorisch en administratief door contracten en formele toetsing zoals certificatie en Third Party Mededelingen Gebruikerservaringen van de ongestoorde en veilige werking van de technische infrastructuur Implementatie en ontwikkeling van stelselafspraken: Professionele normen voor informatiebeveiliging: Gemeenschappelijk Normenkader Informatiebeveiliging eherkenning en ISO 27002 Deelnemers voldoen aantoonbaar aan ISO27001 en eherkenning afspraken Toezicht vanuit overheid dmv reguliere securityaudits en 3rd partij pentesten/evaluatie 14

eherkenning stelselafspraken (2) eherkenning definieert vier betrouwbaarheidsniveaus voor authenticatiemiddelen (STORK) en machtigingen (met bijbehorende normen), om proportionele toepassing bij verschillende niveaus van informatieclassificatie te faciliteren Voorbeelden van eisen vanuit het stelsel aan technische voorzieningen: Eisen t.a.v. vertrouwelijkheid, integriteit en beschikbaarheid Pseudonimisering borgt privacy van gebruikers in gegevensuitwisseling Continuiteit van het eherkenning is geborgd door de opzet. Mocht zich onverhoopt een calamiteit met een van de aanbieders voordoen, dan kan: een dienstverlener SNEL (<1 dag) overstappen naar een andere aanbieder gebruikers hun eherkenningsmiddel bij een andere aanbieder betrekken 15

eherkenning: beveiliging en vertrouwen De veiligheid en privacy van gegevens in het KPN eherkenning machtigingenregister is geborgd op meerdere niveau s: 1.eHerkenning stelselafspraken Alle deelnemers aan eherkenning voldoen aan de stelselafspraken eherkenning, waarin veiligheid een prominente rol inneemt (ISO27001) 2.KPN Securitybeleid KPN producten en diensten voldoen aan het stringente informatiebeveiligingsbeleid van KPN (additonele beveiligingsmaatregelen) 3.Machtigingenportaal en eherkenning machtigingenregister Gegevens die via Machtigingenportaal zijn opgeslagen in het eherkenning machtigingenregister, zijn uitsluitend toegankelijk voor geautoriseerde gebruikers 16

KPN security beleid omtrent veiligheid in processen en systemen Alle producten en diensten binnen KPN moeten voldoen aan eisen in KPN Common Security Policy Framework KPN is gecertificeerd tegen ISO 27001/27002 Webservices worden gemonitored door KPN Portal authority mbv pentests, codereviews, vulnerability scans, etc. Binnen KPN Trusted Services is aanvullend de Trusted Employee Policy van toepassing voor (periodieke) screening van personeel door MIVD/AIVD KPN systemen worden aangesloten op het nieuwe KPN Security Operating Center (opgericht ism TNO en Fox-IT) Security architectuur is gebaseerd op Defense In depth aanpak KPN kent CIO, CIO Office, CISO, KPN Audits dienst, security officers, privacy officers en een Security helpdesk KPN Service Line IT past Integrated Control Famework toe omtrent processen en network segementering, voorzien van een TPM 17

Eherkenning Roadmap en KPN Innovaties eherkenning Stelsel v 1.5 1.8 (generiek voor alle marktpartijen) Attribuutverstrekking Ketenmachtigingen Elektronische Handtekening Operationele optimalisatie KPN specifieke ontwikkelingen eherkenning 2013+ eid Stelsel integratie in eherkenning Multi-Middelen (ook middelen externe domeinen) PISA (Personal Information Security Agent) KPN Trusttester (Attribuutverificatie Diensten) KPN Personal Trust Agent & Personal Trust Center (Human centric Security) KPN Wireless mobile PKI (Identity, Security, Crypto esignature) 18

Tips: eherkenning: Stelsel is 3 jaar operationeel en robuust, overweeg EH Stelsel voor portaaltoepassingen en gebruikersauthenticatie Voldoende aanbod in de markt van EH dienstverleners Aansluiten is eenvoudig en snel te realiseren EH biedt toekomst-vaste en solide basis voor elektronische processen Algemeen: Information Security vs effectiviteit Borg security op hoogst mogelijk niveau om bewustwording te stimuleren Spreek dezelfde taal: SABSA als architectuur methode; business attribuut taxonomie Cybersecurity effectiviteit UK : criteria en methode PAS-555 19

Bedankt voor uw aandacht Haydar Cimen Director Security Services Strategy & Innovation haydar.cimen@kpn.com +31629526531 20

Backupslides 21

Roadmap eherkenning @ KPN 2013/2014 SSO 1.7 Keten machtigingen 1.7 AS1.9 Attr 1.7? AS1.8 AS1.8 AS1.7 AS1.7 AS1.5 RP RP User Interface 25/4/13 1/10/13 1/2/14 22

Project Implementation 1.7 Deadlines Transfer to Operations Managed HM Development & Simulator Testing & Deploy to ACC 17d HM Chain Testing 19d HM Deploy to PRD 14d Go Live 5d 16/9/13 14/10/13 1/11/13 12/11/13 19/8/13 AD/MR (+RP) Development & Simulator Testing & Deploy to ACC 24d 18/10/13 AD/MR Chain Testing 24d 18/11/13 HM Deploy to PRD 14d 6/12/13 Go Live 8d 16/12/13 23

Security bekeken langs 3 assen eherkenning Stelsel Intrinsieke veiligheid vanuit het eherkenning Stelsel KPN Security Hoe gaat KPN om met informatiebeveiliging en welke maatregelen User Portaal User interface voor middelen/ machtigingen eind-gebruikers 24

KPN Security - Generiek KPN Trusted Services is het onderdeel binnen KPN dat de eherkenning dienstverlening levert. Trusted Services richt zich primair op security dienstverlening >200 security professional. Kwaliteit management systeem Interne / Externe audits Information Security Organisation Generieke voorzieningen / KPN Security Policy framework: Layered security architectuur Server Hardening Diverse zaken vanuit stelsel zoals: Periodieke screening van beheerders Sterke authenticatie voor beheerders 25

KPN Security Specifiek Omdat KPN zich bewust is van een goed functionerend eherkenning stelsel gaan we nog een stapje verder. Vertegenwoordiging op Strategisch, Tactisch en Operationeel niveau in het eherkenning stelsel Bescherming tegen calamiteiten via Dual-Datacenter concept 7x24 Security Operations Center proactieve monitoring Periodieke Penetratie Tests Continue Vulnerability testing Externe code reviews 26

Herkennings Makelaar implementatieproces Doorlooptijd: een tot twee weken Vergt goede voorbereiding en paraatheid mensen en middelen Effectieve en snelle implementatie door eenduidig afsprakenstelsel Acties: Afstemmen datamodel (afhankelijk van koppelvlak) Firewall instellingen (afhankelijk van koppelvlak) Sleutelgeneratie/aanvragen vereiste certificaten Delen/importeren vereiste certificaten Intake formulier Middelen uitgifte Live! 27

KPN eherkenning Koppelvlak Overheidsdienstverlener en HM Standaard: Conform Afsprakenstelsel eherkenning Implementatie nieuwe techniek Ondersteunde koppelingen: Koppelvlakspecificatie DV-HM Alternatief: KPN Adapter voor eherkenning Hergebruik bestaande techniek Ondersteunde koppelingen: Proxy Mode Microsoft ADFS A-Select API/Filter DigiD, DigiD voor Bedrijven API SAML 2.0 28

eherkenning Services Servicedesk 2e lijns servicedesk aansluitend op iedere 1e lijns servicedesk Per e-mail en telefonisch bereikbaar Ingericht volgens ITIL + Security Management 7x24 voor major incidenten 5x8 voor medium/minor incidenten Standaard reactietijden per type incident (major, medium, minor) Uitvraagscript t.b.v. optimalisatie communicatie incidenten en/of verzoeken Autorisatielijst t.b.v. optimalisatie beveiliging incidenten en/of verzoeken Maandelijkse rapportage incidenten en/of verzoeken Aansluiten van nieuwe diensten Geen onderscheid eerste dienst / nieuwe dienst Zelfde processen, procedures, tarieven Iedere dienst dient apart te worden geïdentificeerd, geclassificeerd en geregistreerd in de dienstencatalogus 29

Machtigingenportaal en machtigingenregister In aanvulling op de eherkenning stelselafspraken en het KPN security beleid geldt specifiek voor het Machtigingenportaal en eherkenning machtigingenregister: De wettelijk vertegenwoordiger stelt een machtigingbeheerder aan Een machtigingbeheerder kan uitsluitend de machtigingen beheren van de organisatie waarvoor hij geautoriseerd is Inloggen op het Machtingenportaal vereist een eherkenning middel 30

Waarom KPN als eherkenning partner? Kennis en knowhow gecombineerd: Identity, Security, Continuity Duurzame partner: 20+ jaar IDentity Service Provider Betrouwbare Identity Services (ca. 2M+ identities) Veilige en schaalbare eherkenning Infrastructuur en security management 50+ implementatie consultants ogv Identity Management Actieve participatie in PKIOverheid, eherkenning en eid Open standaarden Competitief en Innovatief Sterk partner eco-systeem 31

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback