Presentatie Masterclass eHerkenning (17 januari 2012) - Beheer
1. Masterclass eHerkenning
Beheer
Veilig en betrouwbaar
17 j
anuari 201 2
Mirj Gerritsen
am
mirj
am.gerritsen@ ictu.nl
2. Aanvallen..
Met eHerkenning realiseert men een betrouwbare en veilige manier
van identificatie, authenticatie en autorisatie aan de voordeur.
Is eHerkenning zelf wel veilig?
3. Betrouwbaar
Het merk eHerkenning is betrouwbaar
Hoe doen we dat?
4. Gebruikelij beheermaatregelen
ke
5. Ontwerp
6. Informatiebeveiliging
7. Beheerst veranderen
4. Wat beheren we?
• Een verzameling documenten
• Relaties
• Een IT netwerk
• Digitale S leutels
• Communicatie
• Toetreding
• Wensen en wijzigingen
… we beheren het merk eHerkenning!
5. Gebruikelij beheermaatregelen
ke
• Beschikbaarheid
• Besturing en Toezicht
• Goede processen ( volgen)
- incidentmanagement
12. Informatiebeveiliging
DEELNEMERS en BEHEERORGA TIE
NISA STELSEL eHERKENNING
Risicoanalyse
Uitvoeren risicoanalyse stelsel
input
Gemeenschappelij k
Normenkader
Inform atiebeveiliging
eHerkenning
Selecteren
beheersmaatregelen uit
ISO27001
V deelnemers
oor
verplichte
beheersmaatregelen
V erklaring van
Toepasselij kheid (VvT)
Norm enkader voor audit
eHerkenning AUDIT A op opzet, bestaan
udit
deelnemer
= ORGA TIE
NISA en werking van de
Norm enkader voor audit
m aatregelen uit de
deelnemer ISMS deelnemer V eHerkenning van
vT
het ISMS van de deelnemer
13. Informatiebeveiliging
Scope stelselaudit
Certificaat
Deelnemer ISO27001 Audit-
+ rapport
V vT +
BO + TPM
TPM rapport
Afsprakenstelsel
eHerkenning
TPM
+ Stelsel
Gemeenschappelijk
eHerkenning
Normenkader IB A op Stelsel
udit
eHerkenning eHerkenning
15. Hoe borgen we dit alles bij veranderingen?
Beheerst veranderen
• RFC's / release risicoanalyse
• Bij implementatie release marktpartij
:
- Geteste software in acceptatie-omgeving
- Zelfverklaring (voldoet aan nieuw A fsprakenstelsel en test
uitgevoerd)
• Beheerorganisatie toetst en voert regie ketentest
Ook hier marktpartijen en stelsel
16. Dus..
eHerkenning is veilig en betrouwbaar:
• In ontwerp
• Door control als (stelsel-)audit en pentesten
• Door gereguleerd wij zigingenproces
Het heeft permanent onze aandacht
Zo hoort het als je een betrouwbaar
merk wil zijn en blijven!
17. En toch..
Het is aan de orde van de dag...
Als het dan toch echt gebeurt..wat dan?
18. Wat hebben we geleerd van DigiNotar?
• Wanneer een marktpartij uit het netwerk wordt verwij
derd blij
ft
het resterende netwerk functioneren
• Een gebruiker kan snel (binnen een dag) overstappen naar
een andere marktpartij mits het standaard dienstverlening
betreft
• De eindgebruiker kan op elk gewenst moment een
nieuw middel verkrij gen
19. Ons doel is het Afsprakenstelsel eHerkenning, met daarin o.a.
het normenkader,
de besturing en toezicht en
de beheerprocessen
… steeds beter te maken
Dit doen we samen met de
marktpartijen en de gebruikers!
Zo kunnen we een sterk en
betrouwbaar merk zijn en blijven!
Een verzameling documenten (beschrijving afsprakenstelsel) Relaties (tussen gebruikers en marktpartijen en tussen marktpartijen onderling) Een IT netwerk Digitale Sleutels Communicatie (website) Toetreding Wensen en wijzigingen … we beheren het merk eHerkenning !
Hierdoor weet u als overheidsdienstverlener met welk bedrijf u zaken doet en of de persoon binnen het bedrijf bevoegd is om namens het bedrijf zaken met u te doen. Belangrijk: in NUP als bouwsteen. Dienstverlening meer online.
Niet in verbinding tussen eindgebruiker en overheid, maar separaat netwerk Alle rollen door meerdere marktpartijen uitgevoerd
Eigenlijk is de implementatie van een release gedeeltelijk een nieuwe toetreding Wat er nog extra gebeurt bij toetreding is een toets op het daadwerkelijk voldoen aan het AS door de beheerorganisatie.
Elke rol -> in toekomst gecertificeerde bedrijven Als overheidsdienstverlener heeft u in principe alleen te maken met uw door eHerkenning gecertificeerde herkenningsmakelaar. De herkenningsmakelaar verzorgt de afspraken en verbindingen met andere actoren binnen het eHerkenningsnetwerk, de machtigingregisters en authenticatiediensten. U stelt de vraag voor herkenning aan de herkenningsmakelaar en u ontvangt het antwoord hierop ook weer terug van de herkenningsmakelaar.