Utredning av behov for HTTPS i offentlig sektor. Tillit, tilgjengelighet, brukervennlighet og effektivisering
|
|
- Thea Ask
- 7 år siden
- Visninger:
Transkript
1 Utredning av behov for HTTPS i offentlig sektor Tillit, tilgjengelighet, brukervennlighet og effektivisering
2 Innhold Utredning av behov for HTTPS i offentlig sektor... 1 Tillit, tilgjengelighet, brukervennlighet og effektivisering Sammendrag Innledning Formål med utredningen Omfang og avgrensning Tidligere utredninger på området Metode for informasjonsinnhenting Informasjon om standardiseringsarbeidet i Difi Introduksjon til bruksområdet Offentlige virksomheters behov på området Tillit Tilgjengelighet Brukervennlighet Effektivisering Eksterne føringer (PCI DSS) Kartlegging av standarder på bruksområdet RFC HTTP Over TLS Transport Layer Security (TLS) protokoller RFC 2246 The Transport Layer Security (TLS) Protocol Version RFC 4346 The Transport Layer Security (TLS) Protocol Version RFC 5246 The Transport Layer Security (TLS) Protocol Version draft-ietf-tls-tls The Transport Layer Security (TLS) Protocol Version NSM veileder i HTTP over TLS RFC 6962 Certificate Transparency RFC 6960 Internet Public Key Infrastructure Online Certificate Status Protocol NSM Cryptographic Requirements RFC HTTP Strict Transport Security (HSTS) RFC Transport Layer Security (TLS) Extensions: Extension Definitions RFC Public Key Pinning Extension for HTTP Best practice i veilederen Evaluering av standarder RFC HTTP Over TLS... 10
3 6.2 Vurdering av Transport Layer Security (TLS) protokoller NSM veileder i HTTP over TLS Vurdering av alternativer Ulike alternative sammensetninger Enkel vurdering av økonomiske og administrative konsekvenser... 11
4 1 Sammendrag Utredningen har som mål å utrede behovet og muligheten for å gi sentrale anbefalinger for sikker overføring av informasjon på web ved å oppdatere bruksområdet protokoller for grunnleggende datakommunikasjon. Målsetningen med endringen er å øke tilliten til offentlige tjenester ved å tilby både autentisering av tjenesten og integritets- og konfidensialitetsbeskyttelse av informasjonen som sendes, og øke tilgjengeligheten for brukerne. Autentisering av en tjeneste er avgjørende for å bekrefte at man utveksler data med korrekt tjeneste. Ved å ivareta integritetsbeskyttelse vet man at den samme informasjonen som ble sendt av avsender også når mottaker, det vil si at det ikke er gjort endringer i informasjonen under overføringen. Konfidensialitetsbeskyttelse gjør at uvedkommende ikke får innsyn i informasjonen som sendes. Utredningen har identifisert fire sentrale behov hos offentlige virksomheter. Behovene som utredningen regner som de mest sentrale er: Tillit, tilgjengelighet, brukervennlighet og effektivisering. I tillegg har vi i utredningen også identifisert eksterne føringer (Betalingstjenester på nett hos statlige virksomheter via PCI DSS) med krav til kryptering. Det foreslås å anbefale at følgende standard og retningslinjer benyttes innen bruksområdet: - RFC HTTP Over TLS: Et notat som beskriver hvordan TLS benyttes for å sikre HTTP tilkoblinger over internett og bør supplere RFC TLS protokollen finnes i flere versjoner. - RFC 5246 The Transport Layer Security (TLS) Protocol Version 1.2: Denne standarden beskriver kommunikasjonssikkerhet over internett. For at kommunikasjonen skal sikres i nødvendig og tilstrekkelig grad, er det viktig at standardene implementeres korrekt. NSM forvalter en veileder som omhandler implementasjon av HTTP over TLS. Difi og NSM anbefaler at NSMs veileder «HTTP over TLS» 1 følges så langt det er hensiktsmessig og ikke i konflikt med annet regelverk. 2 Innledning Direktoratet for forvaltning og IKT (Difi) har ansvar for å forvalte innholdet i Forskrift om ITstandarder i forvaltningen og Referansekatalogen for anbefalte og obligatoriske IT-standarder i offentlig sektor. Denne utredningen er utarbeidet i samarbeid med Nasjonal sikkerhetsmyndighet (NSM) og deler av utredningen er basert på NSMs publikasjoner. Offentlige tjenester på web har behov for høy tillitt fra borgere, og det er avgjørende at brukeren snakker med korrekt myndighet, at kommunikasjonen er korrekt og at den skjermes for tredjepart. Det er også viktig at brukeren av offentlige tjenester tydelig ser at denne tilliten er tilstede når kommunikasjonen pågår. Dette notatet er en utredning som identifiserer behovet for standarder for å ivareta tilliten til offentlige tjenester på web, beskriver hvilke standarder som finnes, evaluerer standardene og 1 NSM veileder i HTTPS over TLS,
5 vurderer i hvilken grad det bør fastsettes anbefalte eller obligatoriske forvaltningsstandarder på området. 2.1 Formål med utredningen Formålet med utredningen er å anbefale bruk av Hypertext Transport Protocol Secure (HTTPS) for overføring av informasjon på web. Dette vil gi både autentisering av tjenesten og integritets- og konfidensialitetsbeskyttelse av informasjonen som sendes. 2.2 Omfang og avgrensning Utredningen dekker offentlige tjenester på web som tilbys brukere i tillegg til tjenester som benyttes av andre tjenester (API er). Med dette menes alle nettleserbaserte tjenester levert fra offentlig sektor, f.eks. slike tjenester som er i målgruppen for Kvalitet på nett (Difi). Anbefalingen bør ikke inkludere parkerte domener og nettsteder der offentlig sektor har betalt for domenenavn og drift, men ikke står ansvarlig for innhold (eks velforeninger, etc.). 2.3 Tidligere utredninger på området På bakgrunn av oppdrag 2 fra Justis- og beredskapsdepartementet (JD) vurderte Nasjonal sikkerhetsmyndighet (NSM) i mai 2016 hvorvidt offentlige nettsteder bør benytte kryptering (HTTPS) for autentisering av offentlige nettsteder, og integritets- og konfidensialitetsbeskyttelse av overføringen av informasjon mot disse nettstedene. Denne sikkerhetsfaglige vurderingen er publisert på NSMs nettsider Metode for informasjonsinnhenting - Informasjonsinnhentingen har foregått gjennom litteraturstudier, ved at utredningsgruppen har gjennomgått relevante standarder og veiledere. - Utredningen vil videreføres frem mot mars 2017, og da med innspill fra referansegruppe og høring. Dette vil gi et bredere bilde av behovet og utfordringene virksomhetene måtte ha. 2.5 Informasjon om standardiseringsarbeidet i Difi Difi er ansvarlig for å forvalte et sett med anbefalte og obligatoriske IT-standarder i offentlig sektor. Målet med dette er å sikre samhandling mellom offentlige virksomheter, og å sikre alle brukere tilgang til offentlig informasjon og tjenester. Listen over anbefalte og obligatoriske IT-standarder går gjennom en revisjonsvurdering årlig og utvikles med flere bruksområder etter behov. Alt arbeid med standardisering i forvaltningen vil framover forankres i faglige kompetansesentra. Dette innebærer at disse vil ha et faglig forvaltningsansvar på et gitt område. Kompetansesentra vil også følge med på utvikling og status på et område, og ved behov utrede på vegne av forvaltningen. Besøk gjerne våre nettsider på Difi.no, (tidligere standard.difi.no) dersom du ønsker mer informasjon. På sidene om standardiseringsrådet finner dere informasjon om standardiseringsrådets arbeidsmetodikk og mandat for standardisering. 2 Oppdragsbrev til NSM fra JD publisert av NRK, 0NSM%20-%20sikker%20tilkobling%20-%20HTTPS.Pdf 3 NSM rapport,
6 3 Introduksjon til bruksområdet Bruksområdet gjelder protokoller for grunnleggende datakommunikasjon og anbefaler standarder for bruk innen området. Referansekatalogen anbefaler bruk av Hypertext Transfer Protocol (HTTP) 4 for overføring av informasjon på web. Protokoll for overføring av informasjon på web omhandler at offentlige kommunikasjonstjenester bør ha støtte for for HTTP 1.1 [RFC 2616] 5. Med tradisjonell HTTP overføres webtrafikk ukryptert mellom en webserver (tjenestetilbyder) og en klient (kunde). Dette gjør at man verken er sikker på hvem man snakker med, om noen avleser innholdet eller om informasjonen er korrekt. HTTPS er overføring av webtrafikk over en sikker forbindelse. Ved å benytte krypteringsprotokollen Transport Layer Security (TLS) kan klienten verifisere identiteten til tjenesteleverandøren (autentisering). Deretter overføres webtrafikken kryptert, og er dermed uleselig for uvedkommende (konfidensialitetsbeskyttelse). I tillegg kan ikke dataene som overføres manipuleres under overføring (integritetsbeskyttelse). Bruken av TLS-protokollen deles opp i to faser. I den første fasen etableres det en sikker forbindelse mellom klient og tjener. Det innebærer at det velges protokoll og kryptografiske algoritmer. Deretter kan server (og eventuelt klient) autentiseres basert på et sertifikat. Når partene i kommunikasjonen er autentisert utveksles det kryptografiske parametere og det etableres en krypteringsnøkkel for sesjonen. I neste fase utveksles applikasjonsdata over den sikre forbindelsen. En webserver som skal støtte HTTPS-forbindelser må derfor konfigureres med et sertifikat som blant annet inneholder informasjon om tilbyderen av webtjenesten og hvor lenge sertifikatet er gyldig. Sertifikatet må være signert av en sertifikatutsteder som nettlesere har tiltro til. Det er derfor viktig at man har tillit til sertifikatene, og dermed også utstederen av sertifikatet, slik at sikre protokoller og kryptografiske mekanismer velges for at kommunikasjonen sikres tilstrekkelig. Feilaktig implementering av slike løsninger kan medføre at både bruker og tjenestetilbyder opplever falsk sikkerhet, det vil si at man tror man har oppnådd en sikring som i realiteten ikke eksisterer. I de tilfeller har man hverken oppnådd autentisering av tjener, eller tilstrekkelig konfidensialitets- eller integritetsbeskyttelse. Tilgjengeligheten for brukerne kan bli påvirket ved at moderne nettlesere blokkerer usikre forbindelser, og søkemotorer kan svarteliste domener som er feil satt opp slik at tjenesten ikke blir promotert tilstrekkelig. 4 Offentlige virksomheters behov på området 4.1 Tillit Offentlig sektor er avhengig av høy tillit hos norske borgere. Det er avgjørende at brukere er sikker på at det kommuniseres med riktig myndighet (autentisitet) og at informasjonen som sendes ikke er endret under overføringen (integritet). Offentlige tjenester har også behov for konfidensialitetsbeskyttelse av kommunikasjonen som overføres til sluttbruker. For kommunikasjon som sendes over web vil konfidensialitetsbehovet løses ved å implementere HTTPS. Samtidig vil HTTPS bidra til autentisitets- og integritetsbeskyttelse, som er avgjørende for offentlige Internet Engineering Task Force (IETF) RFC 2616 HTTP 1.1,
7 webtjenester. Tap av dette vil potensielt ha et skadepotensiale for både tjenesteleverandør og bruker Den økte tillitten til tjenesten ved å implementere sikker tilkobling vil også gi en økt kvalitet på tjenesten. Difi gjennomfører gjennom prosjektet kvalitet på nett årlige kvalitetsvurderinger av både digitale tjenester og nettsteder for å kartlegge status på området 6. Som en del av dette arbeidet har Difi utarbeidet et kriteriesett for å evaluere kvaliteten, og ved å tilby sikker tilkobling vil det kunne gi økt måloppnåelse på følgende to kriterier 7 : Identitet, formål og oppgaver kommer klart fram De offentlige nettstedene er en viktig kilde til informasjon om virksomhetenes oppgaver og ansvar. Det skal framgå tydelig hvilken offentlig instans som er ansvarlig for nettstedet og for tilknyttede tjenester Tjenester med sensitiv informasjon er kryptert All kommunikasjon som innebærer utveksling av sensitive opplysninger eller fødselsnummer mellom innbygger og tjenesteeier, skal være kryptert. Tjenestene bør benytte SSL-sertifikater med utvidet validering. (SKAL REVIDERES) 4.2 Tilgjengelighet Toneangivende internasjonale aktører har også økt fokus på sikre tilkoblinger. Eksempelvis belønner Google sikre sider i deres søkeresultater 8. For statlige sider som har behov for eksponering av eget innhold vil dermed HTTPS gi økt synlighet for aktuelle sluttbrukere. Tilsvarende planlegger nettleserleverandører å markere HTTP sider som usikre. Dette gjelder også der HTTPS er implementert, men med utdaterte og usikre sertifikater. Offentlige sider som ikke har HTTPS implementert vil dermed kunne oppleve både redusert tillit og redusert tilgjengelighet til tjenesten hvis siden aktivt merkes som usikker. 4.3 Brukervennlighet I dag benytter web-tjenester HTTP/1.1. Denne standarden er gammel, fra 1999, og HTTP/2 ble for kort tid siden godkjent 9. HTTP/2 er mer effektiv for dataoverføring og reduserer båndbreddebehov, noe som gjør at websider vises raskere. Både Google Chrome, Microsoft Internet Explorer 11 og Mozilla Firefox21 10 støtter HTTP/2. Det er viktig å påpeke at selv om HTTP/2 ikke krever kryptering, så har Google og Mozilla sagt at de kun vil benytte HTTP/2 med kryptering. HTTP/2 vil kreve TLS versjon 1.2. Tester har vist at bruk av HTTP/2 med riktig konfigurert kryptering kan gi inntil 20% raskere sidelasting. Dette gir økt brukervennlighet. I tillegg vil det være en potensiell økonomisk gevinst å støtte HTTP/2. 6 Difi kvalitet på nett, 7 Difi kvalitet på nett kriterier, 8 Google webmaster Central Blog, 9 Internet Engineering Task Force (IETF) RFC 7540, 10 Oversikt over HTTP/2 støtte I nettlesere utviklet av Alexis Deveria,,
8 4.4 Effektivisering Sikringsmekanismene som anbefales i utredningen, kan også brukes på e-post (for eksempel START- TLS) og VPN. Ved å se underliggende teknologier i sammenheng oppnås en ekstragevinst fordi en del av teknologi-investeringene da kun gjøres en gang for løsningene. Ett eksempel er sertifikater. Ved å implementere teknologiene i sammenheng, vil virksomhetene redusere sine kostnader. Å etterleve anbefalingene i NSM sin veileder er derfor også en måte å redusere kostnader. 4.5 Eksterne føringer (PCI DSS) For statlige virksomheter som tilbyr betalingstjenester over nett tilkommer krav fra Payment Card Industry Data Security Standard (PCI DSS). Det er en internasjonal standard for organisasjoner som behandler betalingstransaksjoner. Kravene omfatter de aktører som oppbevarer og behandler kredittkortinformasjon. PCI DSS v3.1-standarden krever at alle eksisterende systemer må tilby minst TLS 1.1 innen juni 2016 og gå totalt bort fra eldre versjoner av SSL og TLS innen juni Nye systemer må minimum benytte TLS 1.1, men TLS 1.2 anbefales Kartlegging av standarder på bruksområdet Her vurderes standarder, spesifikasjoner og veiledninger som er relevante for bruksområdet. 5.1 RFC HTTP Over TLS 12 Notat som beskriver hvordan TLS benyttes for å sikre HTTP tilkoblinger over internett. TLS protokollen finnes i flere versjoner og spesifisert i ulike RFC-er. Denne utredningen vurderer de aktuelle versjonene av TLS opp mot anbefaling i referansekatalogen. 5.2 Transport Layer Security (TLS) protokoller Krypteringsprotokollen TLS er den vanligste løsningen for autentisering, integritets- og konfidensialitetsbeskyttelse av kommunikasjon mellom ulike systemer over usikre kanaler. TLS befinner seg på applikasjonslaget, og de mest kjente anvendelsene av TLS er HTTPS, SMTP over TLS, STARTTLS og OpenVPN. TLS er en videreutvikling av Secure Sockets Layer (SSL) som ble publisert i SSL 3.0 var siste versjon av SSL og kom i SSL-protokollen ble knekt i 2014 og forkastet i 2015 gjennom RFC TLS eksisterer i tre versjoner med en fjerde under utvikling: RFC 2246 The Transport Layer Security (TLS) Protocol Version Denne standarden beskriver versjon 1.0 av TLS protokollen RFC 4346 The Transport Layer Security (TLS) Protocol Version Denne standarden beskriver versjon 1.1 av TLS protokollen. 11 PCI Security Standards Council Guidance document, 12 Internet Engineering Task Force (IETF) RFC HTTP Over TLS, 13 Internet Engineering Task Force (IETF) RFC 2246 TLS 1.0, 14 Internet Engineering Task Force (IETF) RFC 4346 TLS 1.1,
9 5.2.3 RFC 5246 The Transport Layer Security (TLS) Protocol Version Denne standarden beskriver versjon 1.2 av TLS protokollen draft-ietf-tls-tls The Transport Layer Security (TLS) Protocol Version Draft standard som beskriver neste versjon av TLS, som er under utarbeidelse av IETF. 5.3 NSM veileder i HTTP over TLS 1 NSM har utviklet en veileder i bruk av HTTPS over TLS for å veilede virksomheter i å implementere mekanismene på en sikker måte. NSM anbefaler at tiltrodde sertifikater benyttes sammen med moderne kryptografiske protokoller og mekanismer, og at systemet konfigureres korrekt. Flere av anbefalingene peker også til standarder og veiledninger, i tillegg til NSMs andre relevante sikkerhetsmekanismer som ikke er spesifisert i standarder. Følgende standarder er i veilederen anbefalt implementert: RFC 6962 Certificate Transparency 17 Certificate transparency innebærer en offentlig logg over alle utstedte sertifikater fra sertifikatutstederen. En slik offentlig logg gir mulighet for innsyn i, og kontroll med, hvilke sertifikater som er utstedt RFC 6960 Internet Public Key Infrastructure Online Certificate Status Protocol 18 Standarden omtaler Online Certificate Status Protocol (OCSP). OCSP er en måte nettlesere kan verifisere at sertifikatet som websiden tilbyr ikke er revokert NSM Cryptographic Requirements 19 NSM utgir råd om kryptografiske mekanismer og algoritmer i NSM Cryptographic Requirements og spesifikke råd om TLS i en egen veiledning 20. For en oppdatert oversikt over hvilke mekanismer, algoritmer og nøkkellengder som anbefales, må denne veiledningen studeres RFC HTTP Strict Transport Security (HSTS) 21 Spesifikasjonen omtaler en mekanisme som kan instruere nettlesere til utelukkende å benytte HTTPS for fremtidige tilkoblinger RFC Transport Layer Security (TLS) Extensions: Extension Definitions 22 Dokumentet er et tilleggsdokument til RFC5246 (TLS 1.2) som omhandler tillegg som bør vurderes. 15 Internet Engineering Task Force (IETF) RFC 5246 TLS 1.2, 16 Internet Engineering Task Force (IETF) Draft TLS 1.3, 17 Internet Engineering Task Force (IETF) RFC 6962 Certificate transparency, 18 Internet Engineering Task Force (IETF) RFC 6960 OSCP, 19 NSM Cryptoligical requirements, 20 NSM Sikring av kommunikasjon med TLS, 21 Internet Engineering Task Force (IETF) RFC HSTS, 22 Internet Engineering Task Force (IETF) RFC TLS extensions,
10 5.3.6 RFC Public Key Pinning Extension for HTTP 23 Standarden definerer hvordan HTTP har et header-felt som kan binde nettstedet mot et sertifikat Best practice i veilederen NSMs veileder 11 inneholder også flere anbefalinger som ikke direkte er standarder, men som regnes som «best practice». Difi henviser til NSMs veileder 11 for detaljer om dette. 6 Evaluering av standarder Nedenfor følger vurderinger av standarder og veiledninger. 6.1 RFC HTTP Over TLS Notatet er tatt frem av IETF og beskriver hvordan TLS kan benyttes for å sikre HTTP. Det anbefales at notatet inkluderes i bruksområdet for å supplere RFC 2616, og dermed anbefale sikker tilkobling som en del av bruksområdet. Bruk av TLS over HTTP gir konfidensialitets- og integritetsbeskyttelse av informasjonen som overføres over HTTP. Protokollen TLS finnes i flere versjoner, og korrekt versjon forutsettes brukt for å oppnå tilstrekkelig beskyttelse av informasjonen som oversendes. I tillegg kan serveren som tilbyr innholdet, og dermed også tjenesteleverandøren, autentiseres av brukeren ved hjelp av sertifikater. Ved å implementere klient-sertifikater kan det også oppnås autentisering av klienten for to-veis autentisering. Dette er ikke en del av denne anbefalingen. Bruk av HTTPS har begrenset mulighet til å beskytte mot falske sertifikater. Høy tillit til disse sertifikatene er derfor en forutsetning for å oppnå tillitsfull autentisering. I tillegg kan kompenserende tiltak iverksettes for å redusere sårbarheten med falske sertifikater. Implementasjon av HTTPS vil ikke påvirke tjenestens tilgjengelighet og gir ikke beskyttelse av angrep mot klient eller tjener. Konklusjon RFC 2818 RFC 2818 er egnet som anbefalt forvaltningsstandard i offentlig sektor i kombinasjon med RFC Standarden må sees i sammenheng med RFC 5246 og NSMs veileder for å ivareta sikker implementasjon og vurdering av kompenserende tiltak for kjente sårbarheter. 6.2 Vurdering av Transport Layer Security (TLS) protokoller Nyeste versjoner av TLS-protokollen tilbyr mer sikkerhet og NSM anbefaler per tid at TLS versjon 1.2 benyttes. Dette er siste tilgjengelige versjon og har for tiden ingen kjente sårbarheter. Så lenge dette stemmer kan man tilby TLS 1.2 for bakoverkompabilitet med gamle klienter. NSM vil anbefale at versjon 1.3 tas i bruk så snart den er ferdigstilt. Dersom man benytter oppdatert programvare og installerer tilhørende sikkerhetsoppdateringer vil disse protokollene normalt være tilgjengelige. Sluttbrukerutstyr levert siden 2013 som Windows 7, Internet Explorer 11, ios og Android er eksempler på utstyr som støtter de anbefalte protokollene 24. I de tilfeller der enten tjenesteleverandør eller sluttbrukere benytter utdatert maskin- eller programvare, som ikke støtter 23 Internet Engineering Task Force (IETF RFC7469 HPKP, 24 Støtte for TLS protokoller,
11 de anbefalte standarder, vil man risikere at tjenesten ikke kan leveres sluttbruker. Sluttbruker inkluderer her også andre tjenester som er avhengige av andre tjenester, (eksempelvis brukere av et programmeringsgrensesnitt (API) over HTTPS). I de tilfeller der utdatert maskin- og programvare benyttes, enten hos sluttbruker eller hos tjenesteleverandøren, vil det potensielt medføre økte kostnader til oppdatering eller at anbefalt sikkerhet ikke oppnås. For å ivareta eldre sluttbrukerutstyr en skissert over, eksempelvis Windows Vista eller XP, kan TLS 1.1 og eventuelt TLS 1.0 inkluderes som anbefalte standarder 25. Fra et sikkerhetsperspektiv vil bruk av slikt utstyr frarådes da Microsoft vil avslutte støtte av Windows Vista 11. april For Windows XP er dette allerede avsluttet. Avsluttet støtte medfører at sikkerhetsoppdateringer ikke vil være tilgjengelige slik at sårbarheten til utstyret vil øke over tid. Dette vil gjøre at effekten av sikker tilkobling vil reduseres kraftig. Det anbefales derfor at sluttbruker som et minimum benytter Windows 7, og at TLS 1.2 eller nyere da kan anbefales. Tilsvarende er også gjeldende for Mac OS X, der TLS 1.2 støttes fra OS X 10.9 Mavericks. OS X 10.8 Mountain Lion hadde kun støtte for TLS 1.0, men anbefales ikke brukt da Apple avsluttet støtte til operativsystemet i september Konklusjon RFC 5246 RFC 5246 (TLS 1.2) er egnet som anbefalt forvaltningsstandard i offentlig sektor. draft-ietf-tls-tls13-18 er ikke egnet som anbefalt forvaltningsstandard i offentlig sektor per tid, men anbefales inkludert i referansekatalogen når standarden godkjennes av IETF. RFC 2246 (TLS 1.0) og RFC 4326 (TLS 1.1) anbefales ikke inkludert som anbefalte forvaltningsstandarder da TLS 1.2 understøttes i det sluttbrukerutstyret som anbefales brukt. 6.3 NSM veileder i HTTP over TLS Veilederen forvaltes av Nasjonal sikkerhetsmyndighet og gir en sikkerhetsfaglig vurdering av hvordan HTTPS bør implementeres. For at kommunikasjonen skal sikres i nødvendig og tilstrekkelig grad, er det viktig at standardene implementeres korrekt. Veilederen NSM forvalter omhandler implementasjon av HTTP over TLS. Difi og NSM anbefaler at NSMs veileder «HTTP over TLS» følges så langt det er hensiktsmessig og ikke i konflikt med annet regelverk. Konklusjon NSM veileder i HTTP over TLS Veilederen er egnet som anbefaling i offentlig sektor. 7 Vurdering av alternativer 7.1 Ulike alternative sammensetninger Det finnes ingen gode alternativer for sikring av HTTP trafikk utover bruk av TLS. 8 Enkel vurdering av økonomiske og administrative konsekvenser Kostnaden ved å implementere HTTPS vil variere. Anskaffelse- og vedlikeholdskostnader av sertifikater ansees ikke å være kostnadsdrivende. For eksisterende tjenester vil det påløpe kostnader relatert til implementering av og vedlikehold av selve tjenesten. Med dette menes for eksempel å 25 Støtte for TLS protokoller i Windows, 26 Windows support oversikt,
12 konfigurere nettverksutstyr, endre tjenestekonfigurasjon, tilpasse innhold og eventuell anskaffelse av maskinvarebasert nøkkelmodul. For utviklere / offentlige leverandører av spesialprogramvare som omfattes av anbefalingene, vil anbefalingene kunne bety at programvaren må fornyes. Sikringsmekanismene som anbefales i utredningen, kan også brukes på e-post (for eksempel START- TLS) og VPN. Ved å se underliggende teknologier i sammenheng får man en ekstragevinst fordi en del av teknologi-investeringene da kun gjøres en gang for løsningene. Ett eksempel er sertifikater. Ved å implementere teknologiene i sammenheng, vil virksomhetene redusere sine kostnader. Å etterleve anbefalingene i NSM sin veileder er derfor også en måte å redusere kostnader.
13
Grunnleggende datakommunikasjon sikker datakommunikasjon fra offentlige nettsteder
HØRINGSNOTAT Høring av forslag til nye eller reviderte forvaltningsstandarder Dato for utsendelse 23.01.17 Behandles i Standardiseringsrådet 22.03.17 Frist for høringssvar 27.02.17 Implementeres i referansekatalogen
DetaljerProsjektrapport HTTPS for offentlige webtjenester
Rapport Sist oppdatert: 2016-05-12 Prosjektrapport HTTPS for offentlige webtjenester 1 Innledning Cybersikkerhetsavdelingen i (NSM) har utarbeidet anbefaling om bruk av Hypertext Transfer Protocol Secure
DetaljerNasjonal sikkerhetsmyndighet
Nasjonal sikkerhetsmyndighet IT-veiledning for ugradert nr 14 (U-14) Oppdatert: 2016-09-30 Transport Layer Security (TLS) Sikring av kommunikasjon med TLS Beskrivelse av grunnleggende tiltak for sikring
DetaljerVedlegg A: Behandling i Standardiseringsrådet, HTTPS
Vedlegg A: Behandling i Standardiseringsrådet, HTTPS Innhold: Saksframlegg til Standardiseringsrådets møte 20180925-A Oppsummering av høringssvar - HTTPS Oppdatert forslag til anbefaling - HTTPS Side 1
DetaljerBEDRE KRYPTERING AV WEB-TRAFIKK OG E-POST (TLS)
BEDRE KRYPTERING AV WEB-TRAFIKK OG E-POST (TLS) Olav Ligaarden Nasjonal sikkerhetsmyndighet Sikkerhetskonferansen 2015 Oslo Kongressenter 17 18.03.2015 SLIDE 1 INNHOLD Kryptering av web-trafikk Kryptering
DetaljerTransportsikring av e-post rfc 3207 - STARTTLS
Transportsikring av e-post rfc 3207 - STARTTLS Innhold 1 Innledning... 1 1.1 Formål... 1 1.2 Bakgrunn... 1 1.3 Avgrensninger... 2 2 Behov... 2 3 Mål... 2 4 Om rfc 3207 - STARTTLS... 3 4.1 Bruksområder...
DetaljerNasjonal sikkerhetsmyndighet
Nasjonal sikkerhetsmyndighet IT-veiledning for ugradert nr 2 (U-02) Oppdatert: 2014-02-03 E-post Kryptering av e-postoverføring Beskrivelse av grunnleggende tiltak for sikring av overføring av e-post mellom
DetaljerNasjonal sikkerhetsmyndighet
Nasjonal sikkerhetsmyndighet IT-veiledning for ugraderte systemer nr. 15 (U-15). Oppdatert: 2016-10-20 HTTP over TLS Hypertext Transport Protocol Secure Hvordan autentisere nettsteder og konfidensialitets-
DetaljerHøring - Anbefalt standard for transportsikring av epost
Vår dato 1.11.2018 Deres dato Vår referanse 18/00643-57 Deres referanse Saksbehandler: Rune Karlsen Høring - Anbefalt standard for transportsikring av epost På vegne av Kommunal- og moderniseringsdepartementet
DetaljerStandarder for sikker informasjonsutveksling på Internett
Difi-notat ISSN 1892-1728 2018:4 Standarder for sikker informasjonsutveksling på Internett Konsekvenser og anbefalinger Forord God informasjonssikkerhet er grunnleggende for at offentlig sektor skal kunne
DetaljerStandardiseringsrådsmøte
Standardiseringsrådsmøte Standardiseringsrådsmøte #3 2015 16.09.2015 Transportsikring av e-post 16.09.2015 Forslag Foreslått første gang av Gjøran Breivik, Bergen kommune i arbeidsgruppen for sikkerhet
DetaljerVedlegg B: Behandling i Standardiseringsrådet, DANE
Vedlegg B: Behandling i Standardiseringsrådet, DANE Innhold: Saksframlegg til Standardiseringsrådets møte 20180925-B Oppsummering av høringssvar - DANE Oppdatert forslag til anbefaling - DANE Side 1 av
DetaljerStandarder for sikker bruk av VPN med og i offentlig sektor
Standarder for sikker bruk av VPN med og i offentlig sektor Standardiseringsrådsmøte 23.-24. november 2011 beslutningssak Bakgrunn Grønn IKT (Hjemmekontor, videokonferanser) Fjernarbeid og distribuert
DetaljerVedlegg C: Behandling i Standardiseringsrådet, DMARC
Vedlegg C: Behandling i Standardiseringsrådet, DMARC Innhold: Saksframlegg til Standardiseringsrådets møte 20180925-C Oppsummering av høringssvar - DMARC Oppdatert forslag til anbefaling - DMARC Side 1
DetaljerVedlegg D: Behandling i Standardiseringsrådet, DNSSEC
Vedlegg D: Behandling i Standardiseringsrådet, DNSSEC Innhold: Saksframlegg til Standardiseringsrådets møte 20180925-D Oppsummering av høringssvar - DNSSEC Oppdatert forslag til anbefaling - DNSSEC Side
DetaljerForelesning 4: Kommunikasjonssikkerhet
Universitetet i Oslo IN2120 Informasjonssikkerhet Høst 2018 Workshop-spørsmål med svarforslag Forelesning 4: Kommunikasjonssikkerhet Spørsmål 1: Sikkerhetsprotokoller a) Hva er en sikkerhetsprotokoll,
DetaljerNasjonal sikkerhetsmyndighet
Nasjonal sikkerhetsmyndighet IT-veiledning for ugradert nr 3 (U-03) Oppdatert: 2015-03-16 TLS Sikring av Windows TLS Valg av protokoll og kryptografiske algoritmer for Windows Schannel TLS Dette dokumentet
DetaljerRevisjonsnotat høsten 2014
Revisjonsnotat høsten 2014 16.10.2014 Bakgrunn Referansekatalog for IT-standarder i offentlig sektor er en liste over anbefalte og obligatoriske tverrsektorielle krav til bruk av IT-standarder i offentlig
DetaljerStandardiseringsarbeidet
Standardiseringsarbeidet Kristian Bergem 10.02.2010 Standardiseringsportalen Dato Totaloversikt standard.difi.no http://standard.difi.no/forvaltningsstandarder Dato 1. Ver av referansekatalogen Kom i desember
DetaljerStandardisering av krypto i offentlig sektor. Standardiseringsrådsmøte (beslutningssak)
Standardisering av krypto i offentlig sektor Standardiseringsrådsmøte 14.09.11 (beslutningssak) Bakgrunn Det er lite hensiktsmessig at hvert prosjekt som skal ta i bruk krypteringsteknologi, selv skal
DetaljerAnvendelsesområder for bruk av e-id med og i offentlig sektor- forprosjekt
Anvendelsesområder for bruk av e-id med og i offentlig sektor- forprosjekt Standardiseringsrådsmøte 23.-24. november 2011 Prioriterings/informasjons -sak Om forprosjektet sett på de mest aktuelle anvendelsesområdene
DetaljerSikrere E-post en selvfølgelighet
Sikrere E-post en selvfølgelighet Sikkerhetssymposiet - Bergen Ernst Unsgaard Sikkerhetssymposiet 2018 Bergen, 18.10.201 E-POST SOM ANGREPSVEKTOR 91 % av den norske befolkning bruker e-post (SSB, 2017)
DetaljerNasjonal arbeidsgruppe IPv6
Nasjonal arbeidsgruppe IPv6 IPv6 i offentlig sektor 25.08.2015 Anbefalte og obligatoriske ITstandarder i offentlig sektor Underbygge god samhandling mellom offentlige virksomheter Underbygge god samhandling
DetaljerPrioritering 2011. 26. møte i Standardiseringsrådet 16.03.11 Beslutningssak
Prioritering 2011 26. møte i Standardiseringsrådet 16.03.11 Beslutningssak Prioriteringsnotat 2011 Gjennomgang av forslag til standardiseringsarbeidet Prioritering i henhold til kriterier Utkast til prioriteringsnotat
DetaljerAnbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet
Anbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet Bakgrunn Utredningen av standarder for informasjonssikkerhet har kommet i gang med utgangspunkt i forprosjektet
DetaljerTI GRUNNLEGGENDE TILTAK FOR SIKRING AV EGNE NETTVERK MED ET SPESIELT FOKUS PÅ MACSEC
TI GRUNNLEGGENDE TILTAK FOR SIKRING AV EGNE NETTVERK MED ET SPESIELT FOKUS PÅ MACSEC Aleksander Rasmussen Nasjonal Sikkerhetsmyndinghet Sikkerhetskonferansen 2017 Oslo Kongressenter 28 29.03.2017 SLIDE
DetaljerHVILKE RISIKOER LØPER VI NÅR ALLE DATAENE VÅRE ER I NETTSKYEN?
HVILKE RISIKOER LØPER VI NÅR ALLE DATAENE VÅRE ER I NETTSKYEN? Bente Hoff Seksjonssjef Strategisk IKT-sikkerhet NSM SLIDE 1 Nasjonal sikkerhetsmyndighet (NSM) er Norges ekspertorgan for informasjons- og
DetaljerFIRE EFFEKTIVE TILTAK MOT DATAANGREP
FIRE EFFEKTIVE TILTAK MOT DATAANGREP Olav Ligaarden Nasjonal sikkerhetsmyndighet Offentlig seminar SINTEF, Oslo 2016-01-22 SLIDE 1 Innhold Motivasjon Fire effektive, enkle og viktige tiltak Tre andre enkle
DetaljerHøringsnotat ny delversjon av Referansekatalog for anbefalte og obligatoriske IT-standarder i offentlig sektor, våren 2015
Høringsnotat ny delversjon av Referansekatalog for anbefalte og obligatoriske IT-standarder i offentlig sektor, våren 2015 1 Innhold 1. Bakgrunn og innledning... 3 2. Standarder for publisering av nettleserbaserte
DetaljerForelesning 3: Nøkkelhåndtering og PKI
Universitetet i Oslo IN2120 Informasjonssikkerhet Høst 2018 Workshop-spørsmål med svarforslag Forelesning 3: Nøkkelhåndtering og PKI Spørsmål 1 a. Hvorfor er god håndtering av kryptografiske nøkler essensiell
DetaljerTeknisk informasjon om bruk av BankID - Ansattes bruk av nettbank fra arbeidsplassen
Teknisk informasjon om bruk av BankID - Ansattes bruk av nettbank fra arbeidsplassen Dette notatet gir teknisk informasjon om hvordan man kan løse problemer dersom BankID ikke virker som det skal. Informasjonen
DetaljerTeori om sikkerhetsteknologier
Avdeling for informatikk og e-læring, Høgskolen i Sør-Trøndelag Tomas Holt 22.8.2007 Lærestoffet er utviklet for faget LN479D/LV473D Nettverksikkerhet Innhold 1 1 1.1 Introduksjon til faget............................
DetaljerOppsummering fra Workshop om IT-standarder Vika konferansesenter 12. november 2010. 25. møte i Standardiseringsrådet 22. og 23.
Oppsummering fra Workshop om IT-standarder Vika konferansesenter 12. november 2010 25. møte i Standardiseringsrådet 22. og 23. november 2010 Nøkkeltall 25 påmeldte deltakere 22 forskjellige virksomheter
DetaljerSTANDARDISERINGSRÅDETS ARBEID
S ARBEID OLAF ØSTENSEN STATENS KARTVERK ANDRE BAKGRUNNSDOKUMENTER Arkitektur for elektronisk samhandling i offentlig sektor Bruk av åpne IT-standarder og åpen kildekode i offentlig sektor FAD OPPRETTER
DetaljerLaget av Dato Orginal plassering fil. Johnny Andre Sunnarvik. Nov 2016
Laget av Dato Orginal plassering fil. Johnny ndre Sunnarvik Nov 2015 http://innsiden.helse-vestikt.no/avdelinger/tjenesteproduksjon/anbudskrav/documents/sikkerhet.docx Dato Nov 2015 Des 2015 Nov 2016 Beskrivelse
DetaljerGRUNNLEGGENDE TILTAK FOR SIKRING AV E-POST
NASJONAL SIKKERHETSMYNDIGHET Beskrivelse av grunnleggende tiltak for sikring av overføring av e-post mellom e-posttjenere. GRUNNLEGGENDE TILTAK FOR SIKRING AV E-POST INNHOLD 1. Beskrivelse...................................................................4
DetaljerELMER for innbyggerskjemaer? Anbefalinger til Standardiseringsrådet
ELMER for innbyggerskjemaer? Anbefalinger til Standardiseringsrådet 02.06.10 ELMER for innbyggerskjemaer Skal ELMER gjøres til obligatorisk/anbefalt forvaltningsstandard for offentlige skjemaer på Internett,
DetaljerVeiledning i kryptering med Open PGP
Veiledning i kryptering med Open PGP GNU Privacy Guard for Windows (Gpg4win) er en gratis programvare for kryptering av tekst, filer og eposter ved hjelp av standarden OpenPGP for Windows-operativsystem.
DetaljerStandardiseringsrådsmøte # Standarder for pekere til offentlige ressurser på nett
Standardiseringsrådsmøte #2 2016 Standarder for pekere til offentlige ressurser på nett 02.06.2016 Kristian Bergem Direktoratet for forvaltning og IKT Innhold Anbefaling Kommentarer Referansegruppens anbefaling
DetaljerPrENV 13608 : Sikkerhet for kommunikasjon i helsevesenet. Del 3 : Sikre datakanaler. Oversatt ved Kompetansesenter for IT i Helsevesenet
PrENV 13608 : Sikkerhet for kommunikasjon i helsevesenet Del 3 : Sikre datakanaler Oversatt ved Kompetansesenter for IT i Helsevesenet Forord Denne Europeiske Prestandard ble forberedt av CEN/TC251 Helseinformatikk
DetaljerGrunnleggende tiltak for sikring av e-post
IT-veiledning for ugradert nr 2 (U-02) Oppdatert: 2018-01-25 Grunnleggende tiltak for sikring av e-post Beskrivelse av grunnleggende tiltak for sikring av overføring av e-post mellom e-posttjenere. Dette
DetaljerID-Porten bruk av elektronisk ID i offentlige tjenester på nett
ID-Porten bruk av elektronisk ID i offentlige tjenester på nett NorStellas eid-gruppe Oslo, 22. juni 2010 Jon Ølnes, eid-programmet, Difi Difis mandat Etablere en felles infrastruktur for bruk av elektronisk
DetaljerVeikart Standardiseringsrådet
Veikart Standardiseringsrådet 17.03.2016 Kristian Bergem Direktoratet for forvaltning og IKT Avdeling for digital forvaltning Seksjon for nasjonal arkitektur Mål (endepunkt) Følgende mål er foreslått for
DetaljerVEDLEGG 7 SIKKERHET 1. KRAV TIL SIKRING AV DATAFILER VED OVERFØRING TIL/FRA BANKEN
VEDLEGG 7 SIKKERHET 1. KRAV TIL SIKRING AV DATAFILER VED OVERFØRING TIL/FRA BANKEN 1.1 Sikkerhetskravene bygger på at det til enhver tid skal være et 1 til 1-forhold mellom det som er registrert i Virksomhetens
DetaljerStandardisering og gjenbruk / sambruk av IT-komponenter i offentlig sektor
Standardisering og gjenbruk / sambruk av IT-komponenter i offentlig sektor IKT-konferansen Høgskolen i Buskerud 4. november 2010 Kristin Kopland (Difi) (kristin.kopland@difi.no) Agenda Hvilke oppgaver
DetaljerIdentitetshåndtering og Single Sign-On (SSO)
Identitetshåndtering og Single Sign-On (SSO) Gjør livet enklere for sluttbrukere -men svekkelse av sikkerhet? Ivar Jørstad, PhD Oversikt Utfordringer og mål Løsninger Konsepter Teknologier & rammeverk
DetaljerNORSK EDIEL BRUKERVEILEDNING. bruk av SMTP. for. Versjon: 1.0 Revisjon: E Dato: 3. Mars 2008
NORSK EDIEL BRUKERVEILEDNING for bruk av SMTP Versjon: 1.0 Revisjon: E Dato: 3. Mars 2008 Systemstøtte for Ediel / Norsk Ediel Ekspertgruppe Side: 1 INNHOLDSFORTEGNELSE 1 Bakgrunn... 3 2 Referanser...
DetaljerDigital kommunikasjon som hovedregel endringer i eforvaltningsforskriften
Vår saksbehandler Simon Kiil Vår dato Vår referanse 2013-09-10 A03 - S:13/02202-5 Deres dato Deres referanse 2013-06-11 13/1249 Antall vedlegg Side 1 av 5 Fornyings-, administrasjonskirkedepartementet
DetaljerHøring av Referansekatalogen v Marit Grønntun og Kristian Bergem
Høring av Referansekatalogen v. 3.1. Marit Grønntun og Kristian Bergem 16.05.2012 Generelle kommentarer Positive til standardisering Flertallet mener de følger standardene Viktig med konsekvensvurderinger,
DetaljerEpost og Anti-spam. Standard autentisering AUTH-metode. Receiver s server. Receiver. Your server
Epost og Anti-spam Standard autentisering AUTH-metode Som spammere blir mer aggressive blir flere og flere legitime e-poster utestengt som spam. Når du sender e-post fra ditt webcrm-system, bruker vi webcrm-serverne
DetaljerHuldt & Lillevik Ansattportal. - en tilleggsmodul til Huldt & Lillevik Lønn. Teknisk beskrivelse
Huldt & Lillevik Ansattportal - en tilleggsmodul til Huldt & Lillevik Lønn Teknisk beskrivelse Huldt & Lillevik er trygghet Trygghet er å vite at løsningen du bruker virker, hver eneste dag, enkelt og
DetaljerPersonvernerklæring. Nordix Data AS Gjeldende fra
Personvernerklæring Nordix Data AS Gjeldende fra 30.06.2018 Ditt personvern er viktig for oss. Informasjon om vår behandling av opplysninger om deg skal være tydelig og lett tilgjengelig slik at du har
DetaljerOppkobling mot trådløst internett for studenter og ansatte som bruker egen datamaskin eller benytter MAC/smarttelefon/nettbrett. (Gruppe B): Innhold
Trådløst KHiO Oppkobling mot trådløst internett for studenter og ansatte som bruker egen datamaskin eller benytter MAC/smarttelefon/nettbrett. (Gruppe B): Innhold Oversikt over trådløse nettverk på KHiO:...
DetaljerSentrale krav til IKT-anskaffelser. Gardermoen, 16. januar 2014 Kristian Bergem, Difi
Sentrale krav til IKT-anskaffelser Gardermoen, 16. januar 2014 Kristian Bergem, Difi Poenget Det finnes en liste over anbefalte og obligatoriske IT-standarder i offentlig sektor. Alle kravspesifikasjoner
DetaljerIT Grunnkurs. Nettverk. Foiler av Bjørn J. Villa, Førsteamanuensis II bv@item.ntnu.no. Presentert av Rune Sætre, Førstelektor satre@idi.ntnu.
1 IT Grunnkurs Nettverk Foiler av Bjørn J. Villa, Førsteamanuensis II bv@item.ntnu.no Presentert av Rune Sætre, Førstelektor satre@idi.ntnu.no 2 Innhold Del 1 Motivasjon, Analog/Digital Meldingskomponenter,
DetaljerVurdering av standarder fra NOSIP. Oktober 2010
Vurdering av standarder fra NOSIP Oktober 2010 1 Innholdsfortegnelse 1 Sammendrag...4 2 Bakgrunn og formål...4 3 Om gjennomgang av standarder i NOSIP...5 4 Grunnleggende kommunikasjon og interoperabilitet...6
Detaljereforum: drøfting av Seid leveranse 2
eforum: drøfting av Seid leveranse 2 16. februar 2006 John Bothner Teknisk Avdeling john.bothner@nsm.stat.no www.nsm.stat.no Nasjonal sikkerhetsmyndighet Sikre samfunnsverdier 1 Agenda Kort om NSM Om Seid
DetaljerTil IT-ansvarlige på skolen
Til IT-ansvarlige på skolen Klargjøring av WebRTC ved deltakelse i «Fjernundervisning i norsk tegnspråk» «FU klasserom Oslo» Statped IKT, 19.09.2018 Innhold 1. Kort om WebRTC og valg av Google Chrome 3
Detaljer1.4 Det skal leveres en beskrivelse av eierskapsmodell for registrerte data og fordeling av ansvar for behandling og vedlikehold av disse.
1. Tekniske krav 1. Generelle krav 1.1 Databehandleransvar i henhold til Lov om behandling av personopplysninger med tilhørende forskrifter skal tydelig fremgå av beskrivelsene som etterspørres i punkt
DetaljerVeileder for gjennomføring av valg. Teknisk veileder i bruk av EVA Admin for kommuner og fylkeskommuner
Veileder for gjennomføring av valg Teknisk veileder i bruk av EVA Admin for kommuner og fylkeskommuner Versjon 1.0 10. januar 2019 Innholdsfortegnelse 1 Innledning... 3 2 Brukervilkår EVA Admin... 3 2.1
DetaljerBuypass. Martin Otterstad Salgssjef. Citrix User Group.
Buypass Citrix User Group Martin Otterstad Salgssjef Mail:Martin.otterstad@buypass.no 1 2 Fakta om Buypass Norsk selskap Et løsningshus for sikker identifikasjon, e-signatur og betaling Løsninger for utstedelse,
DetaljerHøringsuttalelse - referansekatalog over anbefalte og obligatoriske IKTstandarder
Fornyings- og administrasjonsdepartementet Postboks 8004 Dep 0030 OSLO (Referanse må oppgis) Vår referanse: 200700852-2 Arkivkode: 064 Saksbehandler: Line Richardsen Deres referanse: Dato: 20.08.2007 Høringsuttalelse
DetaljerPolitikk for åpen kildekode Jørund Leknes, politisk rådgiver
Politikk for åpen kildekode Jørund Leknes, politisk rådgiver 4. oktober 2006 Politiske målsetninger (utdrag fra Soria Moria) Fornye og utvikle offentlig sektor ved økt brukermedvirkning, bedre samordning,
DetaljerENKEL MASKINOVERSETTING MED HØY SIKKERHET
ENKEL MASKINOVERSETTING MED HØY SIKKERHET https:// I SAMARBEID MED: Amesto secure Machine Translation Amesto secure Machine Translation (AsMT) er vår tjeneste for maskinoversetting. Dette er et verktøy
DetaljerForelesning 3: Nøkkelhåndtering og PKI
Universitetet i Oslo IN2120 Informasjonssikkerhet Høst 2019 Workshop-oppgaver med løsningsforslag Forelesning 3: Nøkkelhåndtering og PKI Oppgave 1 a. Hvorfor er god håndtering av kryptografiske nøkler
DetaljerStandardiseringsrådsmøte #4 i November 2015
Standardiseringsrådsmøte #4 i 2015 12. November 2015 Revisjon av referansekatalogen høsten 2015 Kristian Bergem 12. November 2015 Revisjon av referansekatalogen høsten 2015 Difi gjennomfører en årlig vurdering
DetaljerLarge Scale Single Sign-on Scheme by Digital Certificates On-the-fly
Large Scale Single Sign-on Scheme by Digital Certificates On-the-fly Martin Eian 1 & Stig F. Mjølsnes Institutt for Telematikk 20 oktober 2006 2 Oversikt Terminologi Bakgrunn Problemformulering og tilnærming
DetaljerInnholdsstandard (meldinger) ebxml-rammeverk (innpakking, adressering, transportkvittering, kryptering, autentisering, virksomhetssignatur)
NOTAT Fra KITH v/bjarte Aksnes m.fl. Dato 29.03.06 Samhandlingsarkitektur for helsesektoren En viktig forutsetning for at aktører i helsesektoren skal kunne samhandle elektronisk på en god måte er at alle
DetaljerKravspesifikasjon Digital distribusjon av sakspapirer
Kravspesifikasjon Digital distribusjon av sakspapirer Kravspesifikasjon 1.1. Tilbudets omfang og fylkeskommunens forventninger Aust-Agder fylkeskommune ber om tilbud på verktøy som legger til rette for
DetaljerTRÅDLØS TILKOBLING PÅ KHIO
TRÅDLØST KHIO TRÅDLØS TILKOBLING PÅ KHIO Vi har delt brukere i tre forskjellige grupper A) Ansatte med KHiO-PC 1 B) Ansatte/studenter med hjemme-pc/mac. Kan også benyttes for smarttelefoner og nettbrett
Detaljer6107 Operativsystemer og nettverk
6107 Operativsystemer og nettverk Labøving 5 Transportlaget: porter, forbindelser og pakkeformater Introduksjon I denne øvingen skal du studere TCP-protokollen og hvordan TCP etablerer og lukker forbindelser
DetaljerStandarder for en tjenesteorientert arkitektur
Standarder for en tjenesteorientert arkitektur Forslag til anbefalinger Standardiseringsrådet 16. mars 2010 Bakgrunn Standardiseringssekretariatet har fått utarbeidet en rapport om mulige standarder for
DetaljerPolitikk for åpne standarder og fri programvare Linuxdagen - Oslo, 1. juni 2006
Politikk for åpne standarder og fri programvare Linuxdagen - Oslo, 1. juni 2006 Jørund Leknes, politisk rådgiver 1 Politiske målsetninger (utdrag fra Soria Moria) Fornye og utvikle offentlig sektor ved
DetaljerVemma Europes personvernerklæring
Vemma Europes personvernerklæring Vemma Europe forstår at du er opptatt av hvordan informasjon om deg blir behandlet og fordelt, og vi setter pris på at du stoler på at vi gjør det forsiktig og fornuftig.
DetaljerReferat Standardiseringsrådet - møte #
Standardiseringsekretariatet Standardiseringsrådet - møte # 4 2016 Sted og tid Difi, 16.11.16 kl. 10:00 15:30 Møtetype Tema Ordinært møte i Standardiseringsrådet Se saksliste Innkalling, saksliste og faktisk
DetaljerUtredning av standarder for styring av informasjonssikkerhet
Utredning av standarder for styring av informasjonssikkerhet 26. standardiseringsrådsmøte Beslutningssak 16.03.2011 Bakgrunn I 23.rådsmøte (2.- 3. juni) ble forprosjektsrapporten og arbeidsgruppens innstilling
DetaljerStatus for arbeidet med ID-Porten, eid i markedet
Status for arbeidet med ID-Porten, eid i markedet Felles infrastruktur for eid i offentlig sektor Tor Alvik og Jon Ølnes, eid-programmet, Difi Difis mandat Etablere en felles infrastruktur for bruk av
DetaljerPersonvernerklæring. Telenor Norge AS. (Gjeldende fra )
Personvernerklæring Telenor Norge AS (Gjeldende fra 24.5.2018) Ditt personvern er viktig for oss. Informasjon om vår behandling av opplysninger om deg skal være tydelig og lett tilgjengelig slik at du
DetaljerGoogle Cloud Print-guide
Google Cloud Print-guide Version A NOR Definisjoner av merknader Vi bruker denne merknadsstilen i denne brukermanualen: Merknader gir informasjon om hva du bør gjøre i en bestemt situasjon, eller gir tips
DetaljerVedlegg - om anvendelser og standarder Forprosjektrapport - Standarder for anvendelse av elektronisk ID med og i offentlig sektor
Vedlegg - om anvendelser og standarder Forprosjektrapport - Standarder for anvendelse av elektronisk ID med og i offentlig sektor Versjon 1.01 13. oktober 2011 Innhold 1 Innledning 2 2 Om anvendelser av
DetaljerVurdering av standarder fra NOSIP. Beslutningssak i det 25. standardiseringsrådsmøte
Vurdering av standarder fra NOSIP Beslutningssak i det 25. standardiseringsrådsmøte 23.11.10 Om utredningen Utredningen omhandler hvilke standarder fra NOSIP som bør videreføres som obligatoriske forvaltningsstandarder
Detaljer6105 Windows Server og datanett
6105 Windows Server og datanett Denne øvingen forutsetter at du har gjort disse øvingene tidligere: Labøving 7b Skriveradministrasjon Laboving 9a Installere og konfigurere webtjeneren IIS I denne øvingen
Detaljerblir enda viktigere en før fordi tjenestene bllir meget tilgjengelige på Internett
" %$ # " >9 : B D 1. Åpne og lukkede nettverk - Internett og sikkerhet 2. Krav til sikre tjenester på Internett 3. Kryptografi 4. Kommunikasjonssikkerhet og meldingssikkerhet 5. Elektronisk legitimasjon
DetaljerGoogle Cloud Print-guide
Google Cloud Print-guide Version 0 NOR Definisjoner av merknader Vi bruker disse merknadene i brukermanualen: Merknader gir informasjon om hva du bør gjøre i en bestemt situasjon, eller de gir tips om
DetaljerForskrift 25. september 2009 nr. 1222 om IT-standarder i offentlig forvaltning
Forskrift 25. september 2009 nr. 1222 om IT-standarder i offentlig forvaltning Hjemmel: Fastsatt ved kgl.res. 24.06 2011 med hjemmel i lov 10. februar 1967 om behandlingsmåten i forvaltningssaker (forvaltningsloven)
DetaljerReferat. Standardiseringsrådet - møte # Agenda. Deltakere. Faste medlemmer. Deltakere i forbindelse med sakene
Standardiseringsrådets møte #3 2018 Referat Standardiseringsrådet - møte #3 2018 Sted og tid: Difi Oslo, tirsdag 25 september kl 09:00 12:00 Agenda Tid Sak Ansvarlig 0900 Velkommen og godkjenning av referat
DetaljerNSMs kryptoaktiviteter
NSMs kryptoaktiviteter Norsk kryptoseminar 2007 Terje Jensen Seksjon for kryptoteknologi terje.jensen@nsm.stat.no www.nsm.stat.no Norwegian National Security Authority Making Society Secure 20. november,
DetaljerSlik stoppes de fleste dataangrepene
Slik stoppes de fleste dataangrepene Oktober 2014, Nasjonal sikkerhetsmåned John Bothner Avdeling for Teknologi Nasjonal sikkerhetsmyndighet 1 Agenda 1. De mest populære sikkerhetstiltakene er lite effektive
DetaljerCompello Invoice Approval
Compello Invoice Approval Godkjenning Webmodul brukerdokumentasjon Nettbrett og desktop via nettleser Index 1 Innledning... 3 2 Funksjonalitet... 4 Nettbrett og desktop via nettleser... 4 2.1.1 Desktop
DetaljerTjenestebeskrivelse Webhotelltjenester
Tjenestebeskrivelse Webhotelltjenester Sist endret: 2004-12-01 Innholdsfortegnelse 1 INTRODUKSJON... 3 1.1 GENERELT... 3 1.2 NYTTEVERDI WEBHOTELLTJENESTER FRA TELENOR... 3 2 FUNKSJONALITET... 4 2.1 INNHOLD
DetaljerHvordan lage gode offentlige nettsider?
Hvordan lage gode offentlige nettsider? Oslo 11. nov 2009 Direktoratet for forvaltning og IKT Velkommen Kristian Bergem 12.11.2009 11. nov 2009 Direktoratet for forvaltning og IKT Direktoratet for forvaltning
DetaljerDokumentformater 23. møte i Standardiseringsrådet
Dokumentformater 23. møte i Standardiseringsrådet Difi, avdeling for IKT styring og samordning (ITS) 3. Juni 2010 Agenda Repetisjon av anbefalinger og aksjonspunkter fra forrige møte Rapporten fra Bouvet
DetaljerONLINE BETALING DIBS QUICK GUIDE
ONLINE BETALING DIBS QUICK GUIDE DIBS OVERBLIKK Her kan du se hvilke aktører som er involvert i prosessen rundt online betaling. NETTBUTIKK Nettbutikken er kunde hos DIBS eller en av DIBS partnere DIBS
DetaljerINF329,HØST
TTHROUGH THROUGH THE FIREWALL KAPITTEL 16 BUILDING SECURE SOFTWARE INF329,HØST 2005 Isabel Maldonado st10900@student.uib.no 1 Innledning Kort om firewall Hva er det som foresaker at en brannmur blokkerer
DetaljerInstallasjon av webtjener
Installasjon av webtjener Installasjon/Konfigurering Installasjon av webtjener Oppsett av kataloger som skal være tilgjengelig på web Spesifisering av aksesskontroll - i henhold til sikkerhetspolitikk
DetaljerArbeidsgruppens behandling av rapporten Forberedende vurderinger av standarder d for. Møte i Standardiseringsrådet 16. mars 2010
Arbeidsgruppens behandling av rapporten Forberedende vurderinger av standarder d for dokumentformater Møte i Standardiseringsrådet 16. mars 2010 Disposisjon Kort historikk behandling av rapporten Forberedende
DetaljerGoogle Cloud Print-guide
Google Cloud Print-guide Version B NOR Definisjoner av merknader Vi bruker denne merknadsstilen i denne brukermanualen: Merknader gir informasjon om hva du bør gjøre i en bestemt situasjon, eller gir tips
DetaljerPersonvern og sikkerhet
Personvern og sikkerhet Formålet med personvern er å verne om privatlivets fred, den personlige integritet og sørge for tilstrekkelig kvalitet på personopplysninger. Behandlingen av personopplysninger
Detaljer