Utredning av behov for HTTPS i offentlig sektor. Tillit, tilgjengelighet, brukervennlighet og effektivisering

Størrelse: px
Begynne med side:

Download "Utredning av behov for HTTPS i offentlig sektor. Tillit, tilgjengelighet, brukervennlighet og effektivisering"

Transkript

1 Utredning av behov for HTTPS i offentlig sektor Tillit, tilgjengelighet, brukervennlighet og effektivisering

2 Innhold Utredning av behov for HTTPS i offentlig sektor... 1 Tillit, tilgjengelighet, brukervennlighet og effektivisering Sammendrag Innledning Formål med utredningen Omfang og avgrensning Tidligere utredninger på området Metode for informasjonsinnhenting Informasjon om standardiseringsarbeidet i Difi Introduksjon til bruksområdet Offentlige virksomheters behov på området Tillit Tilgjengelighet Brukervennlighet Effektivisering Eksterne føringer (PCI DSS) Kartlegging av standarder på bruksområdet RFC HTTP Over TLS Transport Layer Security (TLS) protokoller RFC 2246 The Transport Layer Security (TLS) Protocol Version RFC 4346 The Transport Layer Security (TLS) Protocol Version RFC 5246 The Transport Layer Security (TLS) Protocol Version draft-ietf-tls-tls The Transport Layer Security (TLS) Protocol Version NSM veileder i HTTP over TLS RFC 6962 Certificate Transparency RFC 6960 Internet Public Key Infrastructure Online Certificate Status Protocol NSM Cryptographic Requirements RFC HTTP Strict Transport Security (HSTS) RFC Transport Layer Security (TLS) Extensions: Extension Definitions RFC Public Key Pinning Extension for HTTP Best practice i veilederen Evaluering av standarder RFC HTTP Over TLS... 10

3 6.2 Vurdering av Transport Layer Security (TLS) protokoller NSM veileder i HTTP over TLS Vurdering av alternativer Ulike alternative sammensetninger Enkel vurdering av økonomiske og administrative konsekvenser... 11

4 1 Sammendrag Utredningen har som mål å utrede behovet og muligheten for å gi sentrale anbefalinger for sikker overføring av informasjon på web ved å oppdatere bruksområdet protokoller for grunnleggende datakommunikasjon. Målsetningen med endringen er å øke tilliten til offentlige tjenester ved å tilby både autentisering av tjenesten og integritets- og konfidensialitetsbeskyttelse av informasjonen som sendes, og øke tilgjengeligheten for brukerne. Autentisering av en tjeneste er avgjørende for å bekrefte at man utveksler data med korrekt tjeneste. Ved å ivareta integritetsbeskyttelse vet man at den samme informasjonen som ble sendt av avsender også når mottaker, det vil si at det ikke er gjort endringer i informasjonen under overføringen. Konfidensialitetsbeskyttelse gjør at uvedkommende ikke får innsyn i informasjonen som sendes. Utredningen har identifisert fire sentrale behov hos offentlige virksomheter. Behovene som utredningen regner som de mest sentrale er: Tillit, tilgjengelighet, brukervennlighet og effektivisering. I tillegg har vi i utredningen også identifisert eksterne føringer (Betalingstjenester på nett hos statlige virksomheter via PCI DSS) med krav til kryptering. Det foreslås å anbefale at følgende standard og retningslinjer benyttes innen bruksområdet: - RFC HTTP Over TLS: Et notat som beskriver hvordan TLS benyttes for å sikre HTTP tilkoblinger over internett og bør supplere RFC TLS protokollen finnes i flere versjoner. - RFC 5246 The Transport Layer Security (TLS) Protocol Version 1.2: Denne standarden beskriver kommunikasjonssikkerhet over internett. For at kommunikasjonen skal sikres i nødvendig og tilstrekkelig grad, er det viktig at standardene implementeres korrekt. NSM forvalter en veileder som omhandler implementasjon av HTTP over TLS. Difi og NSM anbefaler at NSMs veileder «HTTP over TLS» 1 følges så langt det er hensiktsmessig og ikke i konflikt med annet regelverk. 2 Innledning Direktoratet for forvaltning og IKT (Difi) har ansvar for å forvalte innholdet i Forskrift om ITstandarder i forvaltningen og Referansekatalogen for anbefalte og obligatoriske IT-standarder i offentlig sektor. Denne utredningen er utarbeidet i samarbeid med Nasjonal sikkerhetsmyndighet (NSM) og deler av utredningen er basert på NSMs publikasjoner. Offentlige tjenester på web har behov for høy tillitt fra borgere, og det er avgjørende at brukeren snakker med korrekt myndighet, at kommunikasjonen er korrekt og at den skjermes for tredjepart. Det er også viktig at brukeren av offentlige tjenester tydelig ser at denne tilliten er tilstede når kommunikasjonen pågår. Dette notatet er en utredning som identifiserer behovet for standarder for å ivareta tilliten til offentlige tjenester på web, beskriver hvilke standarder som finnes, evaluerer standardene og 1 NSM veileder i HTTPS over TLS,

5 vurderer i hvilken grad det bør fastsettes anbefalte eller obligatoriske forvaltningsstandarder på området. 2.1 Formål med utredningen Formålet med utredningen er å anbefale bruk av Hypertext Transport Protocol Secure (HTTPS) for overføring av informasjon på web. Dette vil gi både autentisering av tjenesten og integritets- og konfidensialitetsbeskyttelse av informasjonen som sendes. 2.2 Omfang og avgrensning Utredningen dekker offentlige tjenester på web som tilbys brukere i tillegg til tjenester som benyttes av andre tjenester (API er). Med dette menes alle nettleserbaserte tjenester levert fra offentlig sektor, f.eks. slike tjenester som er i målgruppen for Kvalitet på nett (Difi). Anbefalingen bør ikke inkludere parkerte domener og nettsteder der offentlig sektor har betalt for domenenavn og drift, men ikke står ansvarlig for innhold (eks velforeninger, etc.). 2.3 Tidligere utredninger på området På bakgrunn av oppdrag 2 fra Justis- og beredskapsdepartementet (JD) vurderte Nasjonal sikkerhetsmyndighet (NSM) i mai 2016 hvorvidt offentlige nettsteder bør benytte kryptering (HTTPS) for autentisering av offentlige nettsteder, og integritets- og konfidensialitetsbeskyttelse av overføringen av informasjon mot disse nettstedene. Denne sikkerhetsfaglige vurderingen er publisert på NSMs nettsider Metode for informasjonsinnhenting - Informasjonsinnhentingen har foregått gjennom litteraturstudier, ved at utredningsgruppen har gjennomgått relevante standarder og veiledere. - Utredningen vil videreføres frem mot mars 2017, og da med innspill fra referansegruppe og høring. Dette vil gi et bredere bilde av behovet og utfordringene virksomhetene måtte ha. 2.5 Informasjon om standardiseringsarbeidet i Difi Difi er ansvarlig for å forvalte et sett med anbefalte og obligatoriske IT-standarder i offentlig sektor. Målet med dette er å sikre samhandling mellom offentlige virksomheter, og å sikre alle brukere tilgang til offentlig informasjon og tjenester. Listen over anbefalte og obligatoriske IT-standarder går gjennom en revisjonsvurdering årlig og utvikles med flere bruksområder etter behov. Alt arbeid med standardisering i forvaltningen vil framover forankres i faglige kompetansesentra. Dette innebærer at disse vil ha et faglig forvaltningsansvar på et gitt område. Kompetansesentra vil også følge med på utvikling og status på et område, og ved behov utrede på vegne av forvaltningen. Besøk gjerne våre nettsider på Difi.no, (tidligere standard.difi.no) dersom du ønsker mer informasjon. På sidene om standardiseringsrådet finner dere informasjon om standardiseringsrådets arbeidsmetodikk og mandat for standardisering. 2 Oppdragsbrev til NSM fra JD publisert av NRK, 0NSM%20-%20sikker%20tilkobling%20-%20HTTPS.Pdf 3 NSM rapport,

6 3 Introduksjon til bruksområdet Bruksområdet gjelder protokoller for grunnleggende datakommunikasjon og anbefaler standarder for bruk innen området. Referansekatalogen anbefaler bruk av Hypertext Transfer Protocol (HTTP) 4 for overføring av informasjon på web. Protokoll for overføring av informasjon på web omhandler at offentlige kommunikasjonstjenester bør ha støtte for for HTTP 1.1 [RFC 2616] 5. Med tradisjonell HTTP overføres webtrafikk ukryptert mellom en webserver (tjenestetilbyder) og en klient (kunde). Dette gjør at man verken er sikker på hvem man snakker med, om noen avleser innholdet eller om informasjonen er korrekt. HTTPS er overføring av webtrafikk over en sikker forbindelse. Ved å benytte krypteringsprotokollen Transport Layer Security (TLS) kan klienten verifisere identiteten til tjenesteleverandøren (autentisering). Deretter overføres webtrafikken kryptert, og er dermed uleselig for uvedkommende (konfidensialitetsbeskyttelse). I tillegg kan ikke dataene som overføres manipuleres under overføring (integritetsbeskyttelse). Bruken av TLS-protokollen deles opp i to faser. I den første fasen etableres det en sikker forbindelse mellom klient og tjener. Det innebærer at det velges protokoll og kryptografiske algoritmer. Deretter kan server (og eventuelt klient) autentiseres basert på et sertifikat. Når partene i kommunikasjonen er autentisert utveksles det kryptografiske parametere og det etableres en krypteringsnøkkel for sesjonen. I neste fase utveksles applikasjonsdata over den sikre forbindelsen. En webserver som skal støtte HTTPS-forbindelser må derfor konfigureres med et sertifikat som blant annet inneholder informasjon om tilbyderen av webtjenesten og hvor lenge sertifikatet er gyldig. Sertifikatet må være signert av en sertifikatutsteder som nettlesere har tiltro til. Det er derfor viktig at man har tillit til sertifikatene, og dermed også utstederen av sertifikatet, slik at sikre protokoller og kryptografiske mekanismer velges for at kommunikasjonen sikres tilstrekkelig. Feilaktig implementering av slike løsninger kan medføre at både bruker og tjenestetilbyder opplever falsk sikkerhet, det vil si at man tror man har oppnådd en sikring som i realiteten ikke eksisterer. I de tilfeller har man hverken oppnådd autentisering av tjener, eller tilstrekkelig konfidensialitets- eller integritetsbeskyttelse. Tilgjengeligheten for brukerne kan bli påvirket ved at moderne nettlesere blokkerer usikre forbindelser, og søkemotorer kan svarteliste domener som er feil satt opp slik at tjenesten ikke blir promotert tilstrekkelig. 4 Offentlige virksomheters behov på området 4.1 Tillit Offentlig sektor er avhengig av høy tillit hos norske borgere. Det er avgjørende at brukere er sikker på at det kommuniseres med riktig myndighet (autentisitet) og at informasjonen som sendes ikke er endret under overføringen (integritet). Offentlige tjenester har også behov for konfidensialitetsbeskyttelse av kommunikasjonen som overføres til sluttbruker. For kommunikasjon som sendes over web vil konfidensialitetsbehovet løses ved å implementere HTTPS. Samtidig vil HTTPS bidra til autentisitets- og integritetsbeskyttelse, som er avgjørende for offentlige Internet Engineering Task Force (IETF) RFC 2616 HTTP 1.1,

7 webtjenester. Tap av dette vil potensielt ha et skadepotensiale for både tjenesteleverandør og bruker Den økte tillitten til tjenesten ved å implementere sikker tilkobling vil også gi en økt kvalitet på tjenesten. Difi gjennomfører gjennom prosjektet kvalitet på nett årlige kvalitetsvurderinger av både digitale tjenester og nettsteder for å kartlegge status på området 6. Som en del av dette arbeidet har Difi utarbeidet et kriteriesett for å evaluere kvaliteten, og ved å tilby sikker tilkobling vil det kunne gi økt måloppnåelse på følgende to kriterier 7 : Identitet, formål og oppgaver kommer klart fram De offentlige nettstedene er en viktig kilde til informasjon om virksomhetenes oppgaver og ansvar. Det skal framgå tydelig hvilken offentlig instans som er ansvarlig for nettstedet og for tilknyttede tjenester Tjenester med sensitiv informasjon er kryptert All kommunikasjon som innebærer utveksling av sensitive opplysninger eller fødselsnummer mellom innbygger og tjenesteeier, skal være kryptert. Tjenestene bør benytte SSL-sertifikater med utvidet validering. (SKAL REVIDERES) 4.2 Tilgjengelighet Toneangivende internasjonale aktører har også økt fokus på sikre tilkoblinger. Eksempelvis belønner Google sikre sider i deres søkeresultater 8. For statlige sider som har behov for eksponering av eget innhold vil dermed HTTPS gi økt synlighet for aktuelle sluttbrukere. Tilsvarende planlegger nettleserleverandører å markere HTTP sider som usikre. Dette gjelder også der HTTPS er implementert, men med utdaterte og usikre sertifikater. Offentlige sider som ikke har HTTPS implementert vil dermed kunne oppleve både redusert tillit og redusert tilgjengelighet til tjenesten hvis siden aktivt merkes som usikker. 4.3 Brukervennlighet I dag benytter web-tjenester HTTP/1.1. Denne standarden er gammel, fra 1999, og HTTP/2 ble for kort tid siden godkjent 9. HTTP/2 er mer effektiv for dataoverføring og reduserer båndbreddebehov, noe som gjør at websider vises raskere. Både Google Chrome, Microsoft Internet Explorer 11 og Mozilla Firefox21 10 støtter HTTP/2. Det er viktig å påpeke at selv om HTTP/2 ikke krever kryptering, så har Google og Mozilla sagt at de kun vil benytte HTTP/2 med kryptering. HTTP/2 vil kreve TLS versjon 1.2. Tester har vist at bruk av HTTP/2 med riktig konfigurert kryptering kan gi inntil 20% raskere sidelasting. Dette gir økt brukervennlighet. I tillegg vil det være en potensiell økonomisk gevinst å støtte HTTP/2. 6 Difi kvalitet på nett, 7 Difi kvalitet på nett kriterier, 8 Google webmaster Central Blog, 9 Internet Engineering Task Force (IETF) RFC 7540, 10 Oversikt over HTTP/2 støtte I nettlesere utviklet av Alexis Deveria,,

8 4.4 Effektivisering Sikringsmekanismene som anbefales i utredningen, kan også brukes på e-post (for eksempel START- TLS) og VPN. Ved å se underliggende teknologier i sammenheng oppnås en ekstragevinst fordi en del av teknologi-investeringene da kun gjøres en gang for løsningene. Ett eksempel er sertifikater. Ved å implementere teknologiene i sammenheng, vil virksomhetene redusere sine kostnader. Å etterleve anbefalingene i NSM sin veileder er derfor også en måte å redusere kostnader. 4.5 Eksterne føringer (PCI DSS) For statlige virksomheter som tilbyr betalingstjenester over nett tilkommer krav fra Payment Card Industry Data Security Standard (PCI DSS). Det er en internasjonal standard for organisasjoner som behandler betalingstransaksjoner. Kravene omfatter de aktører som oppbevarer og behandler kredittkortinformasjon. PCI DSS v3.1-standarden krever at alle eksisterende systemer må tilby minst TLS 1.1 innen juni 2016 og gå totalt bort fra eldre versjoner av SSL og TLS innen juni Nye systemer må minimum benytte TLS 1.1, men TLS 1.2 anbefales Kartlegging av standarder på bruksområdet Her vurderes standarder, spesifikasjoner og veiledninger som er relevante for bruksområdet. 5.1 RFC HTTP Over TLS 12 Notat som beskriver hvordan TLS benyttes for å sikre HTTP tilkoblinger over internett. TLS protokollen finnes i flere versjoner og spesifisert i ulike RFC-er. Denne utredningen vurderer de aktuelle versjonene av TLS opp mot anbefaling i referansekatalogen. 5.2 Transport Layer Security (TLS) protokoller Krypteringsprotokollen TLS er den vanligste løsningen for autentisering, integritets- og konfidensialitetsbeskyttelse av kommunikasjon mellom ulike systemer over usikre kanaler. TLS befinner seg på applikasjonslaget, og de mest kjente anvendelsene av TLS er HTTPS, SMTP over TLS, STARTTLS og OpenVPN. TLS er en videreutvikling av Secure Sockets Layer (SSL) som ble publisert i SSL 3.0 var siste versjon av SSL og kom i SSL-protokollen ble knekt i 2014 og forkastet i 2015 gjennom RFC TLS eksisterer i tre versjoner med en fjerde under utvikling: RFC 2246 The Transport Layer Security (TLS) Protocol Version Denne standarden beskriver versjon 1.0 av TLS protokollen RFC 4346 The Transport Layer Security (TLS) Protocol Version Denne standarden beskriver versjon 1.1 av TLS protokollen. 11 PCI Security Standards Council Guidance document, 12 Internet Engineering Task Force (IETF) RFC HTTP Over TLS, 13 Internet Engineering Task Force (IETF) RFC 2246 TLS 1.0, 14 Internet Engineering Task Force (IETF) RFC 4346 TLS 1.1,

9 5.2.3 RFC 5246 The Transport Layer Security (TLS) Protocol Version Denne standarden beskriver versjon 1.2 av TLS protokollen draft-ietf-tls-tls The Transport Layer Security (TLS) Protocol Version Draft standard som beskriver neste versjon av TLS, som er under utarbeidelse av IETF. 5.3 NSM veileder i HTTP over TLS 1 NSM har utviklet en veileder i bruk av HTTPS over TLS for å veilede virksomheter i å implementere mekanismene på en sikker måte. NSM anbefaler at tiltrodde sertifikater benyttes sammen med moderne kryptografiske protokoller og mekanismer, og at systemet konfigureres korrekt. Flere av anbefalingene peker også til standarder og veiledninger, i tillegg til NSMs andre relevante sikkerhetsmekanismer som ikke er spesifisert i standarder. Følgende standarder er i veilederen anbefalt implementert: RFC 6962 Certificate Transparency 17 Certificate transparency innebærer en offentlig logg over alle utstedte sertifikater fra sertifikatutstederen. En slik offentlig logg gir mulighet for innsyn i, og kontroll med, hvilke sertifikater som er utstedt RFC 6960 Internet Public Key Infrastructure Online Certificate Status Protocol 18 Standarden omtaler Online Certificate Status Protocol (OCSP). OCSP er en måte nettlesere kan verifisere at sertifikatet som websiden tilbyr ikke er revokert NSM Cryptographic Requirements 19 NSM utgir råd om kryptografiske mekanismer og algoritmer i NSM Cryptographic Requirements og spesifikke råd om TLS i en egen veiledning 20. For en oppdatert oversikt over hvilke mekanismer, algoritmer og nøkkellengder som anbefales, må denne veiledningen studeres RFC HTTP Strict Transport Security (HSTS) 21 Spesifikasjonen omtaler en mekanisme som kan instruere nettlesere til utelukkende å benytte HTTPS for fremtidige tilkoblinger RFC Transport Layer Security (TLS) Extensions: Extension Definitions 22 Dokumentet er et tilleggsdokument til RFC5246 (TLS 1.2) som omhandler tillegg som bør vurderes. 15 Internet Engineering Task Force (IETF) RFC 5246 TLS 1.2, 16 Internet Engineering Task Force (IETF) Draft TLS 1.3, 17 Internet Engineering Task Force (IETF) RFC 6962 Certificate transparency, 18 Internet Engineering Task Force (IETF) RFC 6960 OSCP, 19 NSM Cryptoligical requirements, 20 NSM Sikring av kommunikasjon med TLS, 21 Internet Engineering Task Force (IETF) RFC HSTS, 22 Internet Engineering Task Force (IETF) RFC TLS extensions,

10 5.3.6 RFC Public Key Pinning Extension for HTTP 23 Standarden definerer hvordan HTTP har et header-felt som kan binde nettstedet mot et sertifikat Best practice i veilederen NSMs veileder 11 inneholder også flere anbefalinger som ikke direkte er standarder, men som regnes som «best practice». Difi henviser til NSMs veileder 11 for detaljer om dette. 6 Evaluering av standarder Nedenfor følger vurderinger av standarder og veiledninger. 6.1 RFC HTTP Over TLS Notatet er tatt frem av IETF og beskriver hvordan TLS kan benyttes for å sikre HTTP. Det anbefales at notatet inkluderes i bruksområdet for å supplere RFC 2616, og dermed anbefale sikker tilkobling som en del av bruksområdet. Bruk av TLS over HTTP gir konfidensialitets- og integritetsbeskyttelse av informasjonen som overføres over HTTP. Protokollen TLS finnes i flere versjoner, og korrekt versjon forutsettes brukt for å oppnå tilstrekkelig beskyttelse av informasjonen som oversendes. I tillegg kan serveren som tilbyr innholdet, og dermed også tjenesteleverandøren, autentiseres av brukeren ved hjelp av sertifikater. Ved å implementere klient-sertifikater kan det også oppnås autentisering av klienten for to-veis autentisering. Dette er ikke en del av denne anbefalingen. Bruk av HTTPS har begrenset mulighet til å beskytte mot falske sertifikater. Høy tillit til disse sertifikatene er derfor en forutsetning for å oppnå tillitsfull autentisering. I tillegg kan kompenserende tiltak iverksettes for å redusere sårbarheten med falske sertifikater. Implementasjon av HTTPS vil ikke påvirke tjenestens tilgjengelighet og gir ikke beskyttelse av angrep mot klient eller tjener. Konklusjon RFC 2818 RFC 2818 er egnet som anbefalt forvaltningsstandard i offentlig sektor i kombinasjon med RFC Standarden må sees i sammenheng med RFC 5246 og NSMs veileder for å ivareta sikker implementasjon og vurdering av kompenserende tiltak for kjente sårbarheter. 6.2 Vurdering av Transport Layer Security (TLS) protokoller Nyeste versjoner av TLS-protokollen tilbyr mer sikkerhet og NSM anbefaler per tid at TLS versjon 1.2 benyttes. Dette er siste tilgjengelige versjon og har for tiden ingen kjente sårbarheter. Så lenge dette stemmer kan man tilby TLS 1.2 for bakoverkompabilitet med gamle klienter. NSM vil anbefale at versjon 1.3 tas i bruk så snart den er ferdigstilt. Dersom man benytter oppdatert programvare og installerer tilhørende sikkerhetsoppdateringer vil disse protokollene normalt være tilgjengelige. Sluttbrukerutstyr levert siden 2013 som Windows 7, Internet Explorer 11, ios og Android er eksempler på utstyr som støtter de anbefalte protokollene 24. I de tilfeller der enten tjenesteleverandør eller sluttbrukere benytter utdatert maskin- eller programvare, som ikke støtter 23 Internet Engineering Task Force (IETF RFC7469 HPKP, 24 Støtte for TLS protokoller,

11 de anbefalte standarder, vil man risikere at tjenesten ikke kan leveres sluttbruker. Sluttbruker inkluderer her også andre tjenester som er avhengige av andre tjenester, (eksempelvis brukere av et programmeringsgrensesnitt (API) over HTTPS). I de tilfeller der utdatert maskin- og programvare benyttes, enten hos sluttbruker eller hos tjenesteleverandøren, vil det potensielt medføre økte kostnader til oppdatering eller at anbefalt sikkerhet ikke oppnås. For å ivareta eldre sluttbrukerutstyr en skissert over, eksempelvis Windows Vista eller XP, kan TLS 1.1 og eventuelt TLS 1.0 inkluderes som anbefalte standarder 25. Fra et sikkerhetsperspektiv vil bruk av slikt utstyr frarådes da Microsoft vil avslutte støtte av Windows Vista 11. april For Windows XP er dette allerede avsluttet. Avsluttet støtte medfører at sikkerhetsoppdateringer ikke vil være tilgjengelige slik at sårbarheten til utstyret vil øke over tid. Dette vil gjøre at effekten av sikker tilkobling vil reduseres kraftig. Det anbefales derfor at sluttbruker som et minimum benytter Windows 7, og at TLS 1.2 eller nyere da kan anbefales. Tilsvarende er også gjeldende for Mac OS X, der TLS 1.2 støttes fra OS X 10.9 Mavericks. OS X 10.8 Mountain Lion hadde kun støtte for TLS 1.0, men anbefales ikke brukt da Apple avsluttet støtte til operativsystemet i september Konklusjon RFC 5246 RFC 5246 (TLS 1.2) er egnet som anbefalt forvaltningsstandard i offentlig sektor. draft-ietf-tls-tls13-18 er ikke egnet som anbefalt forvaltningsstandard i offentlig sektor per tid, men anbefales inkludert i referansekatalogen når standarden godkjennes av IETF. RFC 2246 (TLS 1.0) og RFC 4326 (TLS 1.1) anbefales ikke inkludert som anbefalte forvaltningsstandarder da TLS 1.2 understøttes i det sluttbrukerutstyret som anbefales brukt. 6.3 NSM veileder i HTTP over TLS Veilederen forvaltes av Nasjonal sikkerhetsmyndighet og gir en sikkerhetsfaglig vurdering av hvordan HTTPS bør implementeres. For at kommunikasjonen skal sikres i nødvendig og tilstrekkelig grad, er det viktig at standardene implementeres korrekt. Veilederen NSM forvalter omhandler implementasjon av HTTP over TLS. Difi og NSM anbefaler at NSMs veileder «HTTP over TLS» følges så langt det er hensiktsmessig og ikke i konflikt med annet regelverk. Konklusjon NSM veileder i HTTP over TLS Veilederen er egnet som anbefaling i offentlig sektor. 7 Vurdering av alternativer 7.1 Ulike alternative sammensetninger Det finnes ingen gode alternativer for sikring av HTTP trafikk utover bruk av TLS. 8 Enkel vurdering av økonomiske og administrative konsekvenser Kostnaden ved å implementere HTTPS vil variere. Anskaffelse- og vedlikeholdskostnader av sertifikater ansees ikke å være kostnadsdrivende. For eksisterende tjenester vil det påløpe kostnader relatert til implementering av og vedlikehold av selve tjenesten. Med dette menes for eksempel å 25 Støtte for TLS protokoller i Windows, 26 Windows support oversikt,

12 konfigurere nettverksutstyr, endre tjenestekonfigurasjon, tilpasse innhold og eventuell anskaffelse av maskinvarebasert nøkkelmodul. For utviklere / offentlige leverandører av spesialprogramvare som omfattes av anbefalingene, vil anbefalingene kunne bety at programvaren må fornyes. Sikringsmekanismene som anbefales i utredningen, kan også brukes på e-post (for eksempel START- TLS) og VPN. Ved å se underliggende teknologier i sammenheng får man en ekstragevinst fordi en del av teknologi-investeringene da kun gjøres en gang for løsningene. Ett eksempel er sertifikater. Ved å implementere teknologiene i sammenheng, vil virksomhetene redusere sine kostnader. Å etterleve anbefalingene i NSM sin veileder er derfor også en måte å redusere kostnader.

13

Grunnleggende datakommunikasjon sikker datakommunikasjon fra offentlige nettsteder

Grunnleggende datakommunikasjon sikker datakommunikasjon fra offentlige nettsteder HØRINGSNOTAT Høring av forslag til nye eller reviderte forvaltningsstandarder Dato for utsendelse 23.01.17 Behandles i Standardiseringsrådet 22.03.17 Frist for høringssvar 27.02.17 Implementeres i referansekatalogen

Detaljer

Prosjektrapport HTTPS for offentlige webtjenester

Prosjektrapport HTTPS for offentlige webtjenester Rapport Sist oppdatert: 2016-05-12 Prosjektrapport HTTPS for offentlige webtjenester 1 Innledning Cybersikkerhetsavdelingen i (NSM) har utarbeidet anbefaling om bruk av Hypertext Transfer Protocol Secure

Detaljer

Nasjonal sikkerhetsmyndighet

Nasjonal sikkerhetsmyndighet Nasjonal sikkerhetsmyndighet IT-veiledning for ugradert nr 14 (U-14) Oppdatert: 2016-09-30 Transport Layer Security (TLS) Sikring av kommunikasjon med TLS Beskrivelse av grunnleggende tiltak for sikring

Detaljer

Vedlegg A: Behandling i Standardiseringsrådet, HTTPS

Vedlegg A: Behandling i Standardiseringsrådet, HTTPS Vedlegg A: Behandling i Standardiseringsrådet, HTTPS Innhold: Saksframlegg til Standardiseringsrådets møte 20180925-A Oppsummering av høringssvar - HTTPS Oppdatert forslag til anbefaling - HTTPS Side 1

Detaljer

BEDRE KRYPTERING AV WEB-TRAFIKK OG E-POST (TLS)

BEDRE KRYPTERING AV WEB-TRAFIKK OG E-POST (TLS) BEDRE KRYPTERING AV WEB-TRAFIKK OG E-POST (TLS) Olav Ligaarden Nasjonal sikkerhetsmyndighet Sikkerhetskonferansen 2015 Oslo Kongressenter 17 18.03.2015 SLIDE 1 INNHOLD Kryptering av web-trafikk Kryptering

Detaljer

Transportsikring av e-post rfc 3207 - STARTTLS

Transportsikring av e-post rfc 3207 - STARTTLS Transportsikring av e-post rfc 3207 - STARTTLS Innhold 1 Innledning... 1 1.1 Formål... 1 1.2 Bakgrunn... 1 1.3 Avgrensninger... 2 2 Behov... 2 3 Mål... 2 4 Om rfc 3207 - STARTTLS... 3 4.1 Bruksområder...

Detaljer

Nasjonal sikkerhetsmyndighet

Nasjonal sikkerhetsmyndighet Nasjonal sikkerhetsmyndighet IT-veiledning for ugradert nr 2 (U-02) Oppdatert: 2014-02-03 E-post Kryptering av e-postoverføring Beskrivelse av grunnleggende tiltak for sikring av overføring av e-post mellom

Detaljer

Nasjonal sikkerhetsmyndighet

Nasjonal sikkerhetsmyndighet Nasjonal sikkerhetsmyndighet IT-veiledning for ugraderte systemer nr. 15 (U-15). Oppdatert: 2016-10-20 HTTP over TLS Hypertext Transport Protocol Secure Hvordan autentisere nettsteder og konfidensialitets-

Detaljer

Høring - Anbefalt standard for transportsikring av epost

Høring - Anbefalt standard for transportsikring av epost Vår dato 1.11.2018 Deres dato Vår referanse 18/00643-57 Deres referanse Saksbehandler: Rune Karlsen Høring - Anbefalt standard for transportsikring av epost På vegne av Kommunal- og moderniseringsdepartementet

Detaljer

Standarder for sikker informasjonsutveksling på Internett

Standarder for sikker informasjonsutveksling på Internett Difi-notat ISSN 1892-1728 2018:4 Standarder for sikker informasjonsutveksling på Internett Konsekvenser og anbefalinger Forord God informasjonssikkerhet er grunnleggende for at offentlig sektor skal kunne

Detaljer

Standardiseringsrådsmøte

Standardiseringsrådsmøte Standardiseringsrådsmøte Standardiseringsrådsmøte #3 2015 16.09.2015 Transportsikring av e-post 16.09.2015 Forslag Foreslått første gang av Gjøran Breivik, Bergen kommune i arbeidsgruppen for sikkerhet

Detaljer

Vedlegg B: Behandling i Standardiseringsrådet, DANE

Vedlegg B: Behandling i Standardiseringsrådet, DANE Vedlegg B: Behandling i Standardiseringsrådet, DANE Innhold: Saksframlegg til Standardiseringsrådets møte 20180925-B Oppsummering av høringssvar - DANE Oppdatert forslag til anbefaling - DANE Side 1 av

Detaljer

Standarder for sikker bruk av VPN med og i offentlig sektor

Standarder for sikker bruk av VPN med og i offentlig sektor Standarder for sikker bruk av VPN med og i offentlig sektor Standardiseringsrådsmøte 23.-24. november 2011 beslutningssak Bakgrunn Grønn IKT (Hjemmekontor, videokonferanser) Fjernarbeid og distribuert

Detaljer

Vedlegg C: Behandling i Standardiseringsrådet, DMARC

Vedlegg C: Behandling i Standardiseringsrådet, DMARC Vedlegg C: Behandling i Standardiseringsrådet, DMARC Innhold: Saksframlegg til Standardiseringsrådets møte 20180925-C Oppsummering av høringssvar - DMARC Oppdatert forslag til anbefaling - DMARC Side 1

Detaljer

Vedlegg D: Behandling i Standardiseringsrådet, DNSSEC

Vedlegg D: Behandling i Standardiseringsrådet, DNSSEC Vedlegg D: Behandling i Standardiseringsrådet, DNSSEC Innhold: Saksframlegg til Standardiseringsrådets møte 20180925-D Oppsummering av høringssvar - DNSSEC Oppdatert forslag til anbefaling - DNSSEC Side

Detaljer

Forelesning 4: Kommunikasjonssikkerhet

Forelesning 4: Kommunikasjonssikkerhet Universitetet i Oslo IN2120 Informasjonssikkerhet Høst 2018 Workshop-spørsmål med svarforslag Forelesning 4: Kommunikasjonssikkerhet Spørsmål 1: Sikkerhetsprotokoller a) Hva er en sikkerhetsprotokoll,

Detaljer

Nasjonal sikkerhetsmyndighet

Nasjonal sikkerhetsmyndighet Nasjonal sikkerhetsmyndighet IT-veiledning for ugradert nr 3 (U-03) Oppdatert: 2015-03-16 TLS Sikring av Windows TLS Valg av protokoll og kryptografiske algoritmer for Windows Schannel TLS Dette dokumentet

Detaljer

Revisjonsnotat høsten 2014

Revisjonsnotat høsten 2014 Revisjonsnotat høsten 2014 16.10.2014 Bakgrunn Referansekatalog for IT-standarder i offentlig sektor er en liste over anbefalte og obligatoriske tverrsektorielle krav til bruk av IT-standarder i offentlig

Detaljer

Standardiseringsarbeidet

Standardiseringsarbeidet Standardiseringsarbeidet Kristian Bergem 10.02.2010 Standardiseringsportalen Dato Totaloversikt standard.difi.no http://standard.difi.no/forvaltningsstandarder Dato 1. Ver av referansekatalogen Kom i desember

Detaljer

Standardisering av krypto i offentlig sektor. Standardiseringsrådsmøte (beslutningssak)

Standardisering av krypto i offentlig sektor. Standardiseringsrådsmøte (beslutningssak) Standardisering av krypto i offentlig sektor Standardiseringsrådsmøte 14.09.11 (beslutningssak) Bakgrunn Det er lite hensiktsmessig at hvert prosjekt som skal ta i bruk krypteringsteknologi, selv skal

Detaljer

Anvendelsesområder for bruk av e-id med og i offentlig sektor- forprosjekt

Anvendelsesområder for bruk av e-id med og i offentlig sektor- forprosjekt Anvendelsesområder for bruk av e-id med og i offentlig sektor- forprosjekt Standardiseringsrådsmøte 23.-24. november 2011 Prioriterings/informasjons -sak Om forprosjektet sett på de mest aktuelle anvendelsesområdene

Detaljer

Sikrere E-post en selvfølgelighet

Sikrere E-post en selvfølgelighet Sikrere E-post en selvfølgelighet Sikkerhetssymposiet - Bergen Ernst Unsgaard Sikkerhetssymposiet 2018 Bergen, 18.10.201 E-POST SOM ANGREPSVEKTOR 91 % av den norske befolkning bruker e-post (SSB, 2017)

Detaljer

Nasjonal arbeidsgruppe IPv6

Nasjonal arbeidsgruppe IPv6 Nasjonal arbeidsgruppe IPv6 IPv6 i offentlig sektor 25.08.2015 Anbefalte og obligatoriske ITstandarder i offentlig sektor Underbygge god samhandling mellom offentlige virksomheter Underbygge god samhandling

Detaljer

Prioritering 2011. 26. møte i Standardiseringsrådet 16.03.11 Beslutningssak

Prioritering 2011. 26. møte i Standardiseringsrådet 16.03.11 Beslutningssak Prioritering 2011 26. møte i Standardiseringsrådet 16.03.11 Beslutningssak Prioriteringsnotat 2011 Gjennomgang av forslag til standardiseringsarbeidet Prioritering i henhold til kriterier Utkast til prioriteringsnotat

Detaljer

Anbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet

Anbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet Anbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet Bakgrunn Utredningen av standarder for informasjonssikkerhet har kommet i gang med utgangspunkt i forprosjektet

Detaljer

TI GRUNNLEGGENDE TILTAK FOR SIKRING AV EGNE NETTVERK MED ET SPESIELT FOKUS PÅ MACSEC

TI GRUNNLEGGENDE TILTAK FOR SIKRING AV EGNE NETTVERK MED ET SPESIELT FOKUS PÅ MACSEC TI GRUNNLEGGENDE TILTAK FOR SIKRING AV EGNE NETTVERK MED ET SPESIELT FOKUS PÅ MACSEC Aleksander Rasmussen Nasjonal Sikkerhetsmyndinghet Sikkerhetskonferansen 2017 Oslo Kongressenter 28 29.03.2017 SLIDE

Detaljer

HVILKE RISIKOER LØPER VI NÅR ALLE DATAENE VÅRE ER I NETTSKYEN?

HVILKE RISIKOER LØPER VI NÅR ALLE DATAENE VÅRE ER I NETTSKYEN? HVILKE RISIKOER LØPER VI NÅR ALLE DATAENE VÅRE ER I NETTSKYEN? Bente Hoff Seksjonssjef Strategisk IKT-sikkerhet NSM SLIDE 1 Nasjonal sikkerhetsmyndighet (NSM) er Norges ekspertorgan for informasjons- og

Detaljer

FIRE EFFEKTIVE TILTAK MOT DATAANGREP

FIRE EFFEKTIVE TILTAK MOT DATAANGREP FIRE EFFEKTIVE TILTAK MOT DATAANGREP Olav Ligaarden Nasjonal sikkerhetsmyndighet Offentlig seminar SINTEF, Oslo 2016-01-22 SLIDE 1 Innhold Motivasjon Fire effektive, enkle og viktige tiltak Tre andre enkle

Detaljer

Høringsnotat ny delversjon av Referansekatalog for anbefalte og obligatoriske IT-standarder i offentlig sektor, våren 2015

Høringsnotat ny delversjon av Referansekatalog for anbefalte og obligatoriske IT-standarder i offentlig sektor, våren 2015 Høringsnotat ny delversjon av Referansekatalog for anbefalte og obligatoriske IT-standarder i offentlig sektor, våren 2015 1 Innhold 1. Bakgrunn og innledning... 3 2. Standarder for publisering av nettleserbaserte

Detaljer

Forelesning 3: Nøkkelhåndtering og PKI

Forelesning 3: Nøkkelhåndtering og PKI Universitetet i Oslo IN2120 Informasjonssikkerhet Høst 2018 Workshop-spørsmål med svarforslag Forelesning 3: Nøkkelhåndtering og PKI Spørsmål 1 a. Hvorfor er god håndtering av kryptografiske nøkler essensiell

Detaljer

Teknisk informasjon om bruk av BankID - Ansattes bruk av nettbank fra arbeidsplassen

Teknisk informasjon om bruk av BankID - Ansattes bruk av nettbank fra arbeidsplassen Teknisk informasjon om bruk av BankID - Ansattes bruk av nettbank fra arbeidsplassen Dette notatet gir teknisk informasjon om hvordan man kan løse problemer dersom BankID ikke virker som det skal. Informasjonen

Detaljer

Teori om sikkerhetsteknologier

Teori om sikkerhetsteknologier Avdeling for informatikk og e-læring, Høgskolen i Sør-Trøndelag Tomas Holt 22.8.2007 Lærestoffet er utviklet for faget LN479D/LV473D Nettverksikkerhet Innhold 1 1 1.1 Introduksjon til faget............................

Detaljer

Oppsummering fra Workshop om IT-standarder Vika konferansesenter 12. november 2010. 25. møte i Standardiseringsrådet 22. og 23.

Oppsummering fra Workshop om IT-standarder Vika konferansesenter 12. november 2010. 25. møte i Standardiseringsrådet 22. og 23. Oppsummering fra Workshop om IT-standarder Vika konferansesenter 12. november 2010 25. møte i Standardiseringsrådet 22. og 23. november 2010 Nøkkeltall 25 påmeldte deltakere 22 forskjellige virksomheter

Detaljer

STANDARDISERINGSRÅDETS ARBEID

STANDARDISERINGSRÅDETS ARBEID S ARBEID OLAF ØSTENSEN STATENS KARTVERK ANDRE BAKGRUNNSDOKUMENTER Arkitektur for elektronisk samhandling i offentlig sektor Bruk av åpne IT-standarder og åpen kildekode i offentlig sektor FAD OPPRETTER

Detaljer

Laget av Dato Orginal plassering fil. Johnny Andre Sunnarvik. Nov 2016

Laget av Dato Orginal plassering fil. Johnny Andre Sunnarvik. Nov 2016 Laget av Dato Orginal plassering fil. Johnny ndre Sunnarvik Nov 2015 http://innsiden.helse-vestikt.no/avdelinger/tjenesteproduksjon/anbudskrav/documents/sikkerhet.docx Dato Nov 2015 Des 2015 Nov 2016 Beskrivelse

Detaljer

GRUNNLEGGENDE TILTAK FOR SIKRING AV E-POST

GRUNNLEGGENDE TILTAK FOR SIKRING AV E-POST NASJONAL SIKKERHETSMYNDIGHET Beskrivelse av grunnleggende tiltak for sikring av overføring av e-post mellom e-posttjenere. GRUNNLEGGENDE TILTAK FOR SIKRING AV E-POST INNHOLD 1. Beskrivelse...................................................................4

Detaljer

ELMER for innbyggerskjemaer? Anbefalinger til Standardiseringsrådet

ELMER for innbyggerskjemaer? Anbefalinger til Standardiseringsrådet ELMER for innbyggerskjemaer? Anbefalinger til Standardiseringsrådet 02.06.10 ELMER for innbyggerskjemaer Skal ELMER gjøres til obligatorisk/anbefalt forvaltningsstandard for offentlige skjemaer på Internett,

Detaljer

Veiledning i kryptering med Open PGP

Veiledning i kryptering med Open PGP Veiledning i kryptering med Open PGP GNU Privacy Guard for Windows (Gpg4win) er en gratis programvare for kryptering av tekst, filer og eposter ved hjelp av standarden OpenPGP for Windows-operativsystem.

Detaljer

Standardiseringsrådsmøte # Standarder for pekere til offentlige ressurser på nett

Standardiseringsrådsmøte # Standarder for pekere til offentlige ressurser på nett Standardiseringsrådsmøte #2 2016 Standarder for pekere til offentlige ressurser på nett 02.06.2016 Kristian Bergem Direktoratet for forvaltning og IKT Innhold Anbefaling Kommentarer Referansegruppens anbefaling

Detaljer

PrENV 13608 : Sikkerhet for kommunikasjon i helsevesenet. Del 3 : Sikre datakanaler. Oversatt ved Kompetansesenter for IT i Helsevesenet

PrENV 13608 : Sikkerhet for kommunikasjon i helsevesenet. Del 3 : Sikre datakanaler. Oversatt ved Kompetansesenter for IT i Helsevesenet PrENV 13608 : Sikkerhet for kommunikasjon i helsevesenet Del 3 : Sikre datakanaler Oversatt ved Kompetansesenter for IT i Helsevesenet Forord Denne Europeiske Prestandard ble forberedt av CEN/TC251 Helseinformatikk

Detaljer

Grunnleggende tiltak for sikring av e-post

Grunnleggende tiltak for sikring av e-post IT-veiledning for ugradert nr 2 (U-02) Oppdatert: 2018-01-25 Grunnleggende tiltak for sikring av e-post Beskrivelse av grunnleggende tiltak for sikring av overføring av e-post mellom e-posttjenere. Dette

Detaljer

ID-Porten bruk av elektronisk ID i offentlige tjenester på nett

ID-Porten bruk av elektronisk ID i offentlige tjenester på nett ID-Porten bruk av elektronisk ID i offentlige tjenester på nett NorStellas eid-gruppe Oslo, 22. juni 2010 Jon Ølnes, eid-programmet, Difi Difis mandat Etablere en felles infrastruktur for bruk av elektronisk

Detaljer

Veikart Standardiseringsrådet

Veikart Standardiseringsrådet Veikart Standardiseringsrådet 17.03.2016 Kristian Bergem Direktoratet for forvaltning og IKT Avdeling for digital forvaltning Seksjon for nasjonal arkitektur Mål (endepunkt) Følgende mål er foreslått for

Detaljer

VEDLEGG 7 SIKKERHET 1. KRAV TIL SIKRING AV DATAFILER VED OVERFØRING TIL/FRA BANKEN

VEDLEGG 7 SIKKERHET 1. KRAV TIL SIKRING AV DATAFILER VED OVERFØRING TIL/FRA BANKEN VEDLEGG 7 SIKKERHET 1. KRAV TIL SIKRING AV DATAFILER VED OVERFØRING TIL/FRA BANKEN 1.1 Sikkerhetskravene bygger på at det til enhver tid skal være et 1 til 1-forhold mellom det som er registrert i Virksomhetens

Detaljer

Standardisering og gjenbruk / sambruk av IT-komponenter i offentlig sektor

Standardisering og gjenbruk / sambruk av IT-komponenter i offentlig sektor Standardisering og gjenbruk / sambruk av IT-komponenter i offentlig sektor IKT-konferansen Høgskolen i Buskerud 4. november 2010 Kristin Kopland (Difi) (kristin.kopland@difi.no) Agenda Hvilke oppgaver

Detaljer

Identitetshåndtering og Single Sign-On (SSO)

Identitetshåndtering og Single Sign-On (SSO) Identitetshåndtering og Single Sign-On (SSO) Gjør livet enklere for sluttbrukere -men svekkelse av sikkerhet? Ivar Jørstad, PhD Oversikt Utfordringer og mål Løsninger Konsepter Teknologier & rammeverk

Detaljer

NORSK EDIEL BRUKERVEILEDNING. bruk av SMTP. for. Versjon: 1.0 Revisjon: E Dato: 3. Mars 2008

NORSK EDIEL BRUKERVEILEDNING. bruk av SMTP. for. Versjon: 1.0 Revisjon: E Dato: 3. Mars 2008 NORSK EDIEL BRUKERVEILEDNING for bruk av SMTP Versjon: 1.0 Revisjon: E Dato: 3. Mars 2008 Systemstøtte for Ediel / Norsk Ediel Ekspertgruppe Side: 1 INNHOLDSFORTEGNELSE 1 Bakgrunn... 3 2 Referanser...

Detaljer

Digital kommunikasjon som hovedregel endringer i eforvaltningsforskriften

Digital kommunikasjon som hovedregel endringer i eforvaltningsforskriften Vår saksbehandler Simon Kiil Vår dato Vår referanse 2013-09-10 A03 - S:13/02202-5 Deres dato Deres referanse 2013-06-11 13/1249 Antall vedlegg Side 1 av 5 Fornyings-, administrasjonskirkedepartementet

Detaljer

Høring av Referansekatalogen v Marit Grønntun og Kristian Bergem

Høring av Referansekatalogen v Marit Grønntun og Kristian Bergem Høring av Referansekatalogen v. 3.1. Marit Grønntun og Kristian Bergem 16.05.2012 Generelle kommentarer Positive til standardisering Flertallet mener de følger standardene Viktig med konsekvensvurderinger,

Detaljer

Epost og Anti-spam. Standard autentisering AUTH-metode. Receiver s server. Receiver. Your server

Epost og Anti-spam. Standard autentisering AUTH-metode. Receiver s  server. Receiver. Your  server Epost og Anti-spam Standard autentisering AUTH-metode Som spammere blir mer aggressive blir flere og flere legitime e-poster utestengt som spam. Når du sender e-post fra ditt webcrm-system, bruker vi webcrm-serverne

Detaljer

Huldt & Lillevik Ansattportal. - en tilleggsmodul til Huldt & Lillevik Lønn. Teknisk beskrivelse

Huldt & Lillevik Ansattportal. - en tilleggsmodul til Huldt & Lillevik Lønn. Teknisk beskrivelse Huldt & Lillevik Ansattportal - en tilleggsmodul til Huldt & Lillevik Lønn Teknisk beskrivelse Huldt & Lillevik er trygghet Trygghet er å vite at løsningen du bruker virker, hver eneste dag, enkelt og

Detaljer

Personvernerklæring. Nordix Data AS Gjeldende fra

Personvernerklæring. Nordix Data AS Gjeldende fra Personvernerklæring Nordix Data AS Gjeldende fra 30.06.2018 Ditt personvern er viktig for oss. Informasjon om vår behandling av opplysninger om deg skal være tydelig og lett tilgjengelig slik at du har

Detaljer

Oppkobling mot trådløst internett for studenter og ansatte som bruker egen datamaskin eller benytter MAC/smarttelefon/nettbrett. (Gruppe B): Innhold

Oppkobling mot trådløst internett for studenter og ansatte som bruker egen datamaskin eller benytter MAC/smarttelefon/nettbrett. (Gruppe B): Innhold Trådløst KHiO Oppkobling mot trådløst internett for studenter og ansatte som bruker egen datamaskin eller benytter MAC/smarttelefon/nettbrett. (Gruppe B): Innhold Oversikt over trådløse nettverk på KHiO:...

Detaljer

Sentrale krav til IKT-anskaffelser. Gardermoen, 16. januar 2014 Kristian Bergem, Difi

Sentrale krav til IKT-anskaffelser. Gardermoen, 16. januar 2014 Kristian Bergem, Difi Sentrale krav til IKT-anskaffelser Gardermoen, 16. januar 2014 Kristian Bergem, Difi Poenget Det finnes en liste over anbefalte og obligatoriske IT-standarder i offentlig sektor. Alle kravspesifikasjoner

Detaljer

IT Grunnkurs. Nettverk. Foiler av Bjørn J. Villa, Førsteamanuensis II bv@item.ntnu.no. Presentert av Rune Sætre, Førstelektor satre@idi.ntnu.

IT Grunnkurs. Nettverk. Foiler av Bjørn J. Villa, Førsteamanuensis II bv@item.ntnu.no. Presentert av Rune Sætre, Førstelektor satre@idi.ntnu. 1 IT Grunnkurs Nettverk Foiler av Bjørn J. Villa, Førsteamanuensis II bv@item.ntnu.no Presentert av Rune Sætre, Førstelektor satre@idi.ntnu.no 2 Innhold Del 1 Motivasjon, Analog/Digital Meldingskomponenter,

Detaljer

Vurdering av standarder fra NOSIP. Oktober 2010

Vurdering av standarder fra NOSIP. Oktober 2010 Vurdering av standarder fra NOSIP Oktober 2010 1 Innholdsfortegnelse 1 Sammendrag...4 2 Bakgrunn og formål...4 3 Om gjennomgang av standarder i NOSIP...5 4 Grunnleggende kommunikasjon og interoperabilitet...6

Detaljer

eforum: drøfting av Seid leveranse 2

eforum: drøfting av Seid leveranse 2 eforum: drøfting av Seid leveranse 2 16. februar 2006 John Bothner Teknisk Avdeling john.bothner@nsm.stat.no www.nsm.stat.no Nasjonal sikkerhetsmyndighet Sikre samfunnsverdier 1 Agenda Kort om NSM Om Seid

Detaljer

Til IT-ansvarlige på skolen

Til IT-ansvarlige på skolen Til IT-ansvarlige på skolen Klargjøring av WebRTC ved deltakelse i «Fjernundervisning i norsk tegnspråk» «FU klasserom Oslo» Statped IKT, 19.09.2018 Innhold 1. Kort om WebRTC og valg av Google Chrome 3

Detaljer

1.4 Det skal leveres en beskrivelse av eierskapsmodell for registrerte data og fordeling av ansvar for behandling og vedlikehold av disse.

1.4 Det skal leveres en beskrivelse av eierskapsmodell for registrerte data og fordeling av ansvar for behandling og vedlikehold av disse. 1. Tekniske krav 1. Generelle krav 1.1 Databehandleransvar i henhold til Lov om behandling av personopplysninger med tilhørende forskrifter skal tydelig fremgå av beskrivelsene som etterspørres i punkt

Detaljer

Veileder for gjennomføring av valg. Teknisk veileder i bruk av EVA Admin for kommuner og fylkeskommuner

Veileder for gjennomføring av valg. Teknisk veileder i bruk av EVA Admin for kommuner og fylkeskommuner Veileder for gjennomføring av valg Teknisk veileder i bruk av EVA Admin for kommuner og fylkeskommuner Versjon 1.0 10. januar 2019 Innholdsfortegnelse 1 Innledning... 3 2 Brukervilkår EVA Admin... 3 2.1

Detaljer

Buypass. Martin Otterstad Salgssjef. Citrix User Group.

Buypass. Martin Otterstad Salgssjef. Citrix User Group. Buypass Citrix User Group Martin Otterstad Salgssjef Mail:Martin.otterstad@buypass.no 1 2 Fakta om Buypass Norsk selskap Et løsningshus for sikker identifikasjon, e-signatur og betaling Løsninger for utstedelse,

Detaljer

Høringsuttalelse - referansekatalog over anbefalte og obligatoriske IKTstandarder

Høringsuttalelse - referansekatalog over anbefalte og obligatoriske IKTstandarder Fornyings- og administrasjonsdepartementet Postboks 8004 Dep 0030 OSLO (Referanse må oppgis) Vår referanse: 200700852-2 Arkivkode: 064 Saksbehandler: Line Richardsen Deres referanse: Dato: 20.08.2007 Høringsuttalelse

Detaljer

Politikk for åpen kildekode Jørund Leknes, politisk rådgiver

Politikk for åpen kildekode Jørund Leknes, politisk rådgiver Politikk for åpen kildekode Jørund Leknes, politisk rådgiver 4. oktober 2006 Politiske målsetninger (utdrag fra Soria Moria) Fornye og utvikle offentlig sektor ved økt brukermedvirkning, bedre samordning,

Detaljer

ENKEL MASKINOVERSETTING MED HØY SIKKERHET

ENKEL MASKINOVERSETTING MED HØY SIKKERHET ENKEL MASKINOVERSETTING MED HØY SIKKERHET https:// I SAMARBEID MED: Amesto secure Machine Translation Amesto secure Machine Translation (AsMT) er vår tjeneste for maskinoversetting. Dette er et verktøy

Detaljer

Forelesning 3: Nøkkelhåndtering og PKI

Forelesning 3: Nøkkelhåndtering og PKI Universitetet i Oslo IN2120 Informasjonssikkerhet Høst 2019 Workshop-oppgaver med løsningsforslag Forelesning 3: Nøkkelhåndtering og PKI Oppgave 1 a. Hvorfor er god håndtering av kryptografiske nøkler

Detaljer

Standardiseringsrådsmøte #4 i November 2015

Standardiseringsrådsmøte #4 i November 2015 Standardiseringsrådsmøte #4 i 2015 12. November 2015 Revisjon av referansekatalogen høsten 2015 Kristian Bergem 12. November 2015 Revisjon av referansekatalogen høsten 2015 Difi gjennomfører en årlig vurdering

Detaljer

Large Scale Single Sign-on Scheme by Digital Certificates On-the-fly

Large Scale Single Sign-on Scheme by Digital Certificates On-the-fly Large Scale Single Sign-on Scheme by Digital Certificates On-the-fly Martin Eian 1 & Stig F. Mjølsnes Institutt for Telematikk 20 oktober 2006 2 Oversikt Terminologi Bakgrunn Problemformulering og tilnærming

Detaljer

Innholdsstandard (meldinger) ebxml-rammeverk (innpakking, adressering, transportkvittering, kryptering, autentisering, virksomhetssignatur)

Innholdsstandard (meldinger) ebxml-rammeverk (innpakking, adressering, transportkvittering, kryptering, autentisering, virksomhetssignatur) NOTAT Fra KITH v/bjarte Aksnes m.fl. Dato 29.03.06 Samhandlingsarkitektur for helsesektoren En viktig forutsetning for at aktører i helsesektoren skal kunne samhandle elektronisk på en god måte er at alle

Detaljer

Kravspesifikasjon Digital distribusjon av sakspapirer

Kravspesifikasjon Digital distribusjon av sakspapirer Kravspesifikasjon Digital distribusjon av sakspapirer Kravspesifikasjon 1.1. Tilbudets omfang og fylkeskommunens forventninger Aust-Agder fylkeskommune ber om tilbud på verktøy som legger til rette for

Detaljer

TRÅDLØS TILKOBLING PÅ KHIO

TRÅDLØS TILKOBLING PÅ KHIO TRÅDLØST KHIO TRÅDLØS TILKOBLING PÅ KHIO Vi har delt brukere i tre forskjellige grupper A) Ansatte med KHiO-PC 1 B) Ansatte/studenter med hjemme-pc/mac. Kan også benyttes for smarttelefoner og nettbrett

Detaljer

6107 Operativsystemer og nettverk

6107 Operativsystemer og nettverk 6107 Operativsystemer og nettverk Labøving 5 Transportlaget: porter, forbindelser og pakkeformater Introduksjon I denne øvingen skal du studere TCP-protokollen og hvordan TCP etablerer og lukker forbindelser

Detaljer

Standarder for en tjenesteorientert arkitektur

Standarder for en tjenesteorientert arkitektur Standarder for en tjenesteorientert arkitektur Forslag til anbefalinger Standardiseringsrådet 16. mars 2010 Bakgrunn Standardiseringssekretariatet har fått utarbeidet en rapport om mulige standarder for

Detaljer

Politikk for åpne standarder og fri programvare Linuxdagen - Oslo, 1. juni 2006

Politikk for åpne standarder og fri programvare Linuxdagen - Oslo, 1. juni 2006 Politikk for åpne standarder og fri programvare Linuxdagen - Oslo, 1. juni 2006 Jørund Leknes, politisk rådgiver 1 Politiske målsetninger (utdrag fra Soria Moria) Fornye og utvikle offentlig sektor ved

Detaljer

Vemma Europes personvernerklæring

Vemma Europes personvernerklæring Vemma Europes personvernerklæring Vemma Europe forstår at du er opptatt av hvordan informasjon om deg blir behandlet og fordelt, og vi setter pris på at du stoler på at vi gjør det forsiktig og fornuftig.

Detaljer

Referat Standardiseringsrådet - møte #

Referat Standardiseringsrådet - møte # Standardiseringsekretariatet Standardiseringsrådet - møte # 4 2016 Sted og tid Difi, 16.11.16 kl. 10:00 15:30 Møtetype Tema Ordinært møte i Standardiseringsrådet Se saksliste Innkalling, saksliste og faktisk

Detaljer

Utredning av standarder for styring av informasjonssikkerhet

Utredning av standarder for styring av informasjonssikkerhet Utredning av standarder for styring av informasjonssikkerhet 26. standardiseringsrådsmøte Beslutningssak 16.03.2011 Bakgrunn I 23.rådsmøte (2.- 3. juni) ble forprosjektsrapporten og arbeidsgruppens innstilling

Detaljer

Status for arbeidet med ID-Porten, eid i markedet

Status for arbeidet med ID-Porten, eid i markedet Status for arbeidet med ID-Porten, eid i markedet Felles infrastruktur for eid i offentlig sektor Tor Alvik og Jon Ølnes, eid-programmet, Difi Difis mandat Etablere en felles infrastruktur for bruk av

Detaljer

Personvernerklæring. Telenor Norge AS. (Gjeldende fra )

Personvernerklæring. Telenor Norge AS. (Gjeldende fra ) Personvernerklæring Telenor Norge AS (Gjeldende fra 24.5.2018) Ditt personvern er viktig for oss. Informasjon om vår behandling av opplysninger om deg skal være tydelig og lett tilgjengelig slik at du

Detaljer

Google Cloud Print-guide

Google Cloud Print-guide Google Cloud Print-guide Version A NOR Definisjoner av merknader Vi bruker denne merknadsstilen i denne brukermanualen: Merknader gir informasjon om hva du bør gjøre i en bestemt situasjon, eller gir tips

Detaljer

Vedlegg - om anvendelser og standarder Forprosjektrapport - Standarder for anvendelse av elektronisk ID med og i offentlig sektor

Vedlegg - om anvendelser og standarder Forprosjektrapport - Standarder for anvendelse av elektronisk ID med og i offentlig sektor Vedlegg - om anvendelser og standarder Forprosjektrapport - Standarder for anvendelse av elektronisk ID med og i offentlig sektor Versjon 1.01 13. oktober 2011 Innhold 1 Innledning 2 2 Om anvendelser av

Detaljer

Vurdering av standarder fra NOSIP. Beslutningssak i det 25. standardiseringsrådsmøte

Vurdering av standarder fra NOSIP. Beslutningssak i det 25. standardiseringsrådsmøte Vurdering av standarder fra NOSIP Beslutningssak i det 25. standardiseringsrådsmøte 23.11.10 Om utredningen Utredningen omhandler hvilke standarder fra NOSIP som bør videreføres som obligatoriske forvaltningsstandarder

Detaljer

6105 Windows Server og datanett

6105 Windows Server og datanett 6105 Windows Server og datanett Denne øvingen forutsetter at du har gjort disse øvingene tidligere: Labøving 7b Skriveradministrasjon Laboving 9a Installere og konfigurere webtjeneren IIS I denne øvingen

Detaljer

blir enda viktigere en før fordi tjenestene bllir meget tilgjengelige på Internett

blir enda viktigere en før fordi tjenestene bllir meget tilgjengelige på Internett " %$ # " >9 : B D 1. Åpne og lukkede nettverk - Internett og sikkerhet 2. Krav til sikre tjenester på Internett 3. Kryptografi 4. Kommunikasjonssikkerhet og meldingssikkerhet 5. Elektronisk legitimasjon

Detaljer

Google Cloud Print-guide

Google Cloud Print-guide Google Cloud Print-guide Version 0 NOR Definisjoner av merknader Vi bruker disse merknadene i brukermanualen: Merknader gir informasjon om hva du bør gjøre i en bestemt situasjon, eller de gir tips om

Detaljer

Forskrift 25. september 2009 nr. 1222 om IT-standarder i offentlig forvaltning

Forskrift 25. september 2009 nr. 1222 om IT-standarder i offentlig forvaltning Forskrift 25. september 2009 nr. 1222 om IT-standarder i offentlig forvaltning Hjemmel: Fastsatt ved kgl.res. 24.06 2011 med hjemmel i lov 10. februar 1967 om behandlingsmåten i forvaltningssaker (forvaltningsloven)

Detaljer

Referat. Standardiseringsrådet - møte # Agenda. Deltakere. Faste medlemmer. Deltakere i forbindelse med sakene

Referat. Standardiseringsrådet - møte # Agenda. Deltakere. Faste medlemmer. Deltakere i forbindelse med sakene Standardiseringsrådets møte #3 2018 Referat Standardiseringsrådet - møte #3 2018 Sted og tid: Difi Oslo, tirsdag 25 september kl 09:00 12:00 Agenda Tid Sak Ansvarlig 0900 Velkommen og godkjenning av referat

Detaljer

NSMs kryptoaktiviteter

NSMs kryptoaktiviteter NSMs kryptoaktiviteter Norsk kryptoseminar 2007 Terje Jensen Seksjon for kryptoteknologi terje.jensen@nsm.stat.no www.nsm.stat.no Norwegian National Security Authority Making Society Secure 20. november,

Detaljer

Slik stoppes de fleste dataangrepene

Slik stoppes de fleste dataangrepene Slik stoppes de fleste dataangrepene Oktober 2014, Nasjonal sikkerhetsmåned John Bothner Avdeling for Teknologi Nasjonal sikkerhetsmyndighet 1 Agenda 1. De mest populære sikkerhetstiltakene er lite effektive

Detaljer

Compello Invoice Approval

Compello Invoice Approval Compello Invoice Approval Godkjenning Webmodul brukerdokumentasjon Nettbrett og desktop via nettleser Index 1 Innledning... 3 2 Funksjonalitet... 4 Nettbrett og desktop via nettleser... 4 2.1.1 Desktop

Detaljer

Tjenestebeskrivelse Webhotelltjenester

Tjenestebeskrivelse Webhotelltjenester Tjenestebeskrivelse Webhotelltjenester Sist endret: 2004-12-01 Innholdsfortegnelse 1 INTRODUKSJON... 3 1.1 GENERELT... 3 1.2 NYTTEVERDI WEBHOTELLTJENESTER FRA TELENOR... 3 2 FUNKSJONALITET... 4 2.1 INNHOLD

Detaljer

Hvordan lage gode offentlige nettsider?

Hvordan lage gode offentlige nettsider? Hvordan lage gode offentlige nettsider? Oslo 11. nov 2009 Direktoratet for forvaltning og IKT Velkommen Kristian Bergem 12.11.2009 11. nov 2009 Direktoratet for forvaltning og IKT Direktoratet for forvaltning

Detaljer

Dokumentformater 23. møte i Standardiseringsrådet

Dokumentformater 23. møte i Standardiseringsrådet Dokumentformater 23. møte i Standardiseringsrådet Difi, avdeling for IKT styring og samordning (ITS) 3. Juni 2010 Agenda Repetisjon av anbefalinger og aksjonspunkter fra forrige møte Rapporten fra Bouvet

Detaljer

ONLINE BETALING DIBS QUICK GUIDE

ONLINE BETALING DIBS QUICK GUIDE ONLINE BETALING DIBS QUICK GUIDE DIBS OVERBLIKK Her kan du se hvilke aktører som er involvert i prosessen rundt online betaling. NETTBUTIKK Nettbutikken er kunde hos DIBS eller en av DIBS partnere DIBS

Detaljer

INF329,HØST

INF329,HØST TTHROUGH THROUGH THE FIREWALL KAPITTEL 16 BUILDING SECURE SOFTWARE INF329,HØST 2005 Isabel Maldonado st10900@student.uib.no 1 Innledning Kort om firewall Hva er det som foresaker at en brannmur blokkerer

Detaljer

Installasjon av webtjener

Installasjon av webtjener Installasjon av webtjener Installasjon/Konfigurering Installasjon av webtjener Oppsett av kataloger som skal være tilgjengelig på web Spesifisering av aksesskontroll - i henhold til sikkerhetspolitikk

Detaljer

Arbeidsgruppens behandling av rapporten Forberedende vurderinger av standarder d for. Møte i Standardiseringsrådet 16. mars 2010

Arbeidsgruppens behandling av rapporten Forberedende vurderinger av standarder d for. Møte i Standardiseringsrådet 16. mars 2010 Arbeidsgruppens behandling av rapporten Forberedende vurderinger av standarder d for dokumentformater Møte i Standardiseringsrådet 16. mars 2010 Disposisjon Kort historikk behandling av rapporten Forberedende

Detaljer

Google Cloud Print-guide

Google Cloud Print-guide Google Cloud Print-guide Version B NOR Definisjoner av merknader Vi bruker denne merknadsstilen i denne brukermanualen: Merknader gir informasjon om hva du bør gjøre i en bestemt situasjon, eller gir tips

Detaljer

Personvern og sikkerhet

Personvern og sikkerhet Personvern og sikkerhet Formålet med personvern er å verne om privatlivets fred, den personlige integritet og sørge for tilstrekkelig kvalitet på personopplysninger. Behandlingen av personopplysninger

Detaljer