Rutine for utstedelse av sterk autentisering gjennom Feide
Dokumenthistorikk Versjon Dato Forfatter Kommentarer 1.0 Juli 2015 HV, SL Første versjon basert på rutiner utarbeidet i pilotprosjektet.
Innholdsfortegnelse 1 Dokumentbeskrivelse... 4 1.1 Innledning... 5 1.2 Formål... 5 1.3 Avgrensing... 5 1.4 Refererte dokumenter... 5 1.5 Autoriserte utstedere... 5 2 Rutine for utstedelse... 6 2.1 Tilleggsrutine for ansatte med utvidete rettigheter... 7 2.2 Rutine ved endret telefonnummer... 7 2.3 Rutine ved glemt passord... 8 2.4 Rutine ved mistet telefon... 8 2.5 Rutine ved mistet godkjenner- klient, mistanke om hemmelig nøkkel for godkjenner- klient på avveie... 8 2.6 Rutine ved avslutning av tilgang... 8 3
Om dokumentet Dette dokumentet gir eksempler på rutiner en vertsorganisasjon kan følge ved utstedelse av ID til bruk ved sterk autentisering. Feide krever at rutinene må tilfredsstille kravene stilt i Rammeverk for autentisering og uavviselighet i elektronisk kommunikasjon med og i offentlig sektor 1. Merk at kravene kan oppfylles på ulike måter, og dette dokumentet gir kun noen eksempler på rutiner som kan fungere. Hver enkelt vertsorganisasjon må finne ut hvilke rutiner som vil fungere best i egen organisasjon. Ta kontakt på support@feide.no om du har spørsmål eller kommentarer til dokumentet. 1 http://www.regjeringen.no/nb/dep/kmd/dok/lover_regler/retningslinjer/2008/rammeverk- for- autentisering- og- uavviseli/4.html?id=505929 4
1 Dokumentbeskrivelse 1.1 Innledning Dette dokumentet beskriver hvilke rutiner som gjelder i <vertsorganisasjon> for utstedelse av identiteter brukt ved sterk autentisering i Feide. 1.2 Formål Formålet med dokumentet er å beskrive rutiner ved <vertsorganisasjon> for utstedelse av identiteter til bruk ved sterk autentisering i Feide. 1.3 Avgrensing Beskrive avgrensinger rundt vertsorganisasjonens bruk av sterk autentisering i Feide. Eksempel 1: Lærere skal kun ha sterk autentisering for <tjeneste X>. IKT- ansatte skal ha sterk autentisering for alle Feide- tjenester Alle andre ansatte som har behov for Feide- tjenester skal ha sterk autentisering for alle Feide- tjenester. IKT- lærlinger skal ikke utstede identiteter til bruk ved sterk autentisering i Feide. Eksempel 2: Sterk autentisering i Feide gjelder kun ansatte som har en nasjonal Feide- identitet. 1.4 Refererte dokumenter Referanser til andre dokumenter henvist til i dokumentet. Sikkerhetspolicyer, risikovurderinger, rutinebeskrivelser etc. Eksempel 1: Rammeverk for autentisering og uavviselighet i elektronisk kommunikasjon med og i offentlig sektor Retningslinjer for offentlige virksomheter som tilrettelegger elektroniske tjenester og samhandling på nett. Eksempel 2: Organisasjonens IKT- reglement. 1.5 Autoriserte utstedere Informasjon om hvem som kan utstede sterk ID, evt hvordan en person kan bli autorisert for å utstede sterk ID. Eksempel 1: Alle utstedere skal ha gjennomgått <vertsorganisasjonens> nanolæringskurs «Autorisasjon av utstedere av identitet til bruk ved sterk autentisering i Feide» og bestått spørsmålene knyttet til kurset. 5
Eksempel 2: Enhetsleder er ansvarlig for utsteding (og evt delegering til merkantilt eller IKT- ansvarlig). 2 Rutiner for utstedelse 2.1 Rutine for nyutstedelse Beskrivelse av rutine som skal følges når <vertsorganisasjonen> utsteder ID til bruk ved sterk autentisering til en ansatt. Eksempel 1: Vertsorganisasjonen tilbyr engangspassord på SMS og krever ikke personlig oppmøte Ansatt må ha tilgjengelig mobiltelefon. Mobiltelefonen må være sikret med minimum 4- sifret pinkode på telefonen. Ansattes telefonnummer som skal benyttes til utsending av engangspassord på SMS må være registrert i personalsystemet på forhånd. <Vertsorganisasjonen> sender ut utstedingskode for mobiltelefon til den ansattes folkeregistrerte adresse. Innen 10 dager etter at utstedingskode er mottatt, må den ansatte oppgi ustedingskoden ved å sende koden på SMS fra det registrerte telefonnummeret sitt til vertsorganisasjonens utstedelsesystem for å bekrefte knytning mellom person på folkeregistrert adresse og registrert telefonnummer. Etter at mottak av utstedingskode er registrert, godkjenner <autorisert utsteder> brukeren for sterk autentisering. TjenesteID og klargjøring oppdateres så i Feide- katalogen. Eksempel 2: Vertsorganisasjonen tilbyr engangspassord på SMS og krever personlig oppmøte Ansatt må ha tilgjengelig mobiltelefon. Mobiltelefonen må være sikret med minimum 4- sifret pinkode på telefonen. Ansattes telefonnummer som skal benyttes til utsending av engangspassord på SMS må være registrert i personalsystemet på forhånd. ID til bruk ved sterk autentisering utstedes kun ved personlig oppmøte hos <list opp autoriserte utstedere>. Bruker må ha gyldig legitimasjon i form av følgende: o Norsk eller utenlandsk pass o Norsk førerkort utstedt fra og med 01.01.1998 o Europeiske identitetskort (Identity Card) Ved fremmøte hos utsteder følges følgende rutine for utstedelse: 1. Utsteder sjekker gyldig legitimasjon. 6
2. Test- SMS sendes fra vertsorganisasjonens webadmin- side for sterk autentisering. 3. Utsteder verifiserer at test- SMS mottas på brukers mobil. 4. Utsteder godkjenner deretter brukeren i <vertsorganisasjonens> webadmin- side for sterk autentisering. TjenesteID og klargjøring oppdateres så i Feide- katalogen. Eksempel 3 (Vertsorganisasjonen tilbyr godkjenner- klient og krever personlig oppmøte) Ansatt må ha godkjenner- klient 2 installert på egen smarttelefon, nettbrett eller pc. Hemmelig kode som genereres må lagres i ansattes klient, og ikke på et hjemmeområde slik at koden hentes via nettet. ID til bruk ved sterk autentisering utstedes kun ved personlig oppmøte hos <list opp autoriserte utstedere>. Bruker må ha gyldig legitimasjon i form av følgende: o Norsk eller utenlandsk pass o Norsk førerkort utstedt fra og med 01.01.1998 o Europeiske identitetskort (Identity Card) Ved fremmøte hos utsteder følges følgende rutine for utstedelse: 1. Utsteder sjekker gyldig legitimasjon. 2. Utsteder genererer QR- kode på webadmin- side for sterk autentisering. 3. Brukers godkjenner- klient leser inn QR- koden for å lagre brukers hemmelige nøkkel 4. Utsteder godkjenner deretter brukeren i <vertsorganisasjonens> webadmin- side for sterk autentisering. TjenesteID og klargjøring oppdateres så automatisk i Feide- katalogen. 2.2 Tilleggsrutine for ansatte med utvidete rettigheter Beskrive eventuell rutine som skal følges når en ansatt med utvidete rettigheter skal få tildelt sterk ID. Utstedelse kan kun skje ved personlig oppmøte hos <utstedere spesielt autorisert til dette>. 2.3 Rutine ved endret telefonnummer Beskrivelse av rutine som skal følges når ansatt bruker mobiltelefon til sterk autentisering og endrer telefonnummer. 2 Klienten må støtte Google Authenticator- implementasjonen av TOTP (for mer info og mulige klienter, se: https://en.wikipedia.org/wiki/google_authenticator). 7
Ansattes telefonnummer må oppdateres i personalsystem. Rutine for nyutstedelse kjøres deretter på nytt. 2.4 Rutine ved glemt passord Vertsorganisasjoner som sender nytt passord pr SMS hvis brukeren har glemt passord bør ikke la ansatte som har fått utstedt ID til bruk ved sterk autentisering ved bruk av mobiltelefon motta sms med nytt passord ved glemt passord. Beskriv alternativ rutine. 2.5 Rutine ved mistet telefon Beskrivelse av rutine som skal følges når bruker har mistet telefon for mottak av engangspassord på SMS. Ansatt må varsle <vertsorganisasjonen> så rakst som mulig. Om brukeren ikke har deaktivert SIM- kortet i mistet telefon hos teleleverandøren deaktiveres dette telefonnumeret som autentiseringsmekanisme for brukeren Når brukeren har ny telefon med nytt SIM- kort kan autentiseringsmekanismen aktiveres igjen etter vanlig rutine. 2.6 Rutine ved mistet godkjenner- klient, mistanke om hemmelig nøkkel for godkjenner- klient på avveie Beskrivelse av rutine som skal følges når bruker har mistet godkjenner- klienten eller det er mistanke om at den hemmelige nøkkelen til godkjenner- klienten er på avveie. Ansatt må varsle <vertsorganisasjonen> så rakst som mulig. Den aktuelle godkjenner- klienten fjernes som autentiseringsmekanisme for brukeren Ny godkjenner- klient kan registreres etter vanlig rutine. 2.7 Rutine ved avslutning av tilgang Beskrivelse av gjeldende rutine når en ansatt ikke lenger er autorisert for sterk autentisering. 8