4 Sikkerhet i e-servicetorget | Til innhold |
4.1 Bakgrunn og formål | Til innhold |
Det elektroniske servicetorg forventes å få økende betydning som servicetilbud til innbyggerne og andre som kommunene yter service til. I takt med økende viktighet og rettighetsorienterte tjenester vil også kravene til sikkerhet øke.
Formålet er å spesifisere sikkerhetskrav som vil gi kommunene mulighet for å bruke løsningen til et bredt spekter av anvendelser og samtidig sikre at løsningen har tilstrekkelig mye sikkerhetsfunksjonalitet slik at man kan velge et sikkerhetsnivå som passer til de aktuelle anvendelser.
Valg av sikkerhetsløsninger må ta sitt utgangspunkt i virksomhetsmessige krav, arbeidsprosesser, informasjonens sensitivitet og en analyse av det aktuelle risikobilde. Sikkerhetsløsningene skal oppfylle både de lovmessige krav, innbyggernes forventninger om en sikker informasjonsbehandling og myndighetenes behov for å yte effektiv saksbehandling og god service.
Denne kravspesifikasjonen behandler sikkerheten i e-servicetorgsystemet. Det er de egenskapene ved systemet og den funksjonaliteten som skal gi kommunen muligheter for å tilby tjenester med en sikkerhet som er i overensstemmelse med kravene som de forskjellige tjenester stiller, samt krav som kommer fra lover og regler som kommunene er underlagt, f eks personopplysningsloven.
Sikkerheten i organisasjonen og alle andre deler av kommunens IT-systemer er vel så viktig som sikkerheten i e-servicetorget, for å oppnå ønsket sikkerhet. Dette ligger utenfor det området denne kravspesifikasjon skal dekke. Det finnes imidlertid norsk standard, NS-ISO/IEC 17799, Informasjonsteknologi: En veiledning i administrasjon av informasjonssikkerhet. Denne kan brukes som utgangspunkt for arbeidet med informasjonssikkerhet i kommunene.
I tillegg har Datatilsynet utarbeidet "Veiledning i informasjonssikkerhet for kommuner og fylker" som også bør brukes i forbindelse med arbeidet med informasjonssikkerhet.
Det anbefales å bruke Datatilsynet som veileder og rådgiver i informasjonssikkerhet, spesielt når det gjelder personopplysninger. Lov om personopplysninger og retningslinjene til denne finnes her: Lov om behandling av personopplysninger (POL), Personopplysningsforskriften.
4.2 Begrepet sikkerhet | Til innhold |
Generelt defineres sikkerhet som:
Å sikre kontroll over konfidensialitet, integritet og tilgjengelighet for virksomhetens informasjon i alle situasjoner.
|
Konfidensialitet |
At informasjon kun er tilgjengelig for autoriserte personer |
|
Integritet |
Nøyaktighet og fullstendighet av informasjon og behandlingsmetoder, sikkerhet mot uautorisert endring, sporbarhet av endringer |
|
Tilgjengelighet |
At autoriserte brukere har tilgang til informasjon når de har behov |
I dette kapitlet vil tilgjengelighet kun omfatte teknisk tilgjengelighet, dvs at systemet teknisk fungerer og tilbyr den funksjonalitet som er forutsatt, mens tilgjengelighet i form av enkelhet i bruk samt tilgjengelighet for personer med forskjellige typer av handikap behandles i kapittel 3.
Mellom de forskjellige kommuner vil det være store forskjeller på hvilke typer tjenester som det elektroniske servicetorg brukes til, og det vil også variere over tid for den enkelte kommune. Krav til sikkerhet er helt avhengig av hvilke tjenester som tilbys fra det elektroniske servicetorg. Hvis det f eks brukes til å gi tilgang til informasjon som er offentlig vil det stilles krav til tilgjengelighet og integritet, men sannsynligvis ingen krav til konfidensialitet.
Det er derfor ønskelig at en løsning gir stor fleksibilitet på alle de tre sikkerhetsområder, slik at man har mulighet for høyt nivå av sikkerhet, men ikke blir belastet med kompleksitet eller andre kostnader hvis man ikke har behov for høyt nivå av sikkerhet på alle områder.
4.3 Nasjonale krav og politikk(utvikling) – beste praksis | Til innhold |
4.3.1 Lovgiving | Til innhold |
Det finnes (på nåværende tidspunkt) ingen bestemte tekniske sikkerhetskrav som knytter seg direkte til elektroniske servicetorg eller andre nettsteder.
Sikkerhetskrav er knyttet til typen av informasjon som behandles sammen med typen av saksbehandling som er aktuell. Knyttet til forskjellige typer av informasjon finnes det sikkerhetskrav i en rekke lover.
De generelle lover og regler som gjelder alle behandlingsansvarlige i offentlige og private virksomheter:
Det er spesielt viktig å være oppmerksom på Personopplysningslovens paragraf 13 og noen av forskriftens punkter som gjengis her:
Personopplysningsloven § 13:
Den behandlingsansvarlige og databehandleren skal gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet ved behandling av personopplysninger.
For å oppnå tilfredsstillende informasjonssikkerhet skal den behandlingsansvarlige og databehandleren dokumentere informasjonssystemet og sikkerhetstiltakene. Dokumentasjonen skal være tilgjengelig for medarbeiderne hos den behandlingsansvarlige og hos databehandleren. Dokumentasjonen skal også være tilgjengelig for Datatilsynet og Personvernnemnda.
En behandlingsansvarlig som lar andre få tilgang til personopplysninger, f.eks. en databehandler eller andre som utfører oppdrag i tilknytning til informasjonssystemet, skal påse at disse oppfyller kravene i første og annet ledd.
Forskrift til personoplysningsloven inneholder bl a følgende bestemmelse
Sikkerhetsrevisjon: "Bestemmelsen pålegger den behandlingsansvarlige, eksempelvis årlig, å etterprøve sikkerhetsarbeidet for å verifisere at de sikkerhetstiltak som er besluttet etablert, faktisk er iverksatt og fungerer etter sin hensikt." Sitat fra forskrift til personopplysningsloven.
Sikkerhetstiltak omfatter både administrative og tekniske tiltak og vil således stille krav både til organisering og rutiner rundt løsningen samt til tekniske egenskaper i løsningen.
De finnes en rekke andre eksempler i spesiallovgivingen hvor informasjonssikkerhet behandles:
4.3.2 Standarder | Til innhold |
Det finnes en norsk standard på området informasjonssikkerhet: NS-ISO/IEC 17799 Informasjonsteknologi, Administrasjon av informasjonssikkerhet, 1. utgave mai 2001. Standarden er en oversettelse av ISO/IEC 17799:2000. Standarden inneholder ingen direkte krav men en rekke anbefalinger som hovedsakelig dreier seg om administrasjon av sikkerhet og ikke tekniske krav som f eks kan anvendes på en elektronisk servicetorg løsning.
Det er flere virksomheter som kan sertifisere organisasjoner for innføring av NS-ISO/IEC 17799. Det finnes på nåværende tidspunkt ingen krav om oppfyllelse av deler eller hele standarden.
Det er også mulig å få produkter og systemer sertifisert for IT-sikkerhet av SERTIT (i Nasjonal sikkerhetsmyndighet). Det finnes på nåværende tidspunkt ingen krav om at produkter og systemer skal være sertifiserte. Det kan imidlertid være vært å vurdere om man skal kreve sertifisering av produkter og systemer spesielt hvis det elektroniske servicetorg skal brukes til informasjon og anvendelser hvor det stilles store krav til sikkerhet.
I forbindelse med PKI løsninger er "Samarbeidsprosjektet om samfunnsinfrastruktur for elektronisk ID og elektronisk signatur" satt i gang i regi av NHD og AAD. Målet er bl a å utarbeide en norsk profil for kvalifisert sertifikat, herunder en standard for navnebruk i sertifikater, inklusive bruk av unik identifikator og kobling til fødselsnummer. Resultatene av prosjektet er således planlagt å føre til nasjonale standarder som alle som velger en PKI løsning må forholde seg til.
4.3.3 Politikk og strategier | Til innhold |
Forsvarsdepartementet, Næringsdepartementet og Justisdepartementet har i juni 2003 publisert "Nasjonal strategi for informasjonssikkerhet".
Gjennomføring av de tiltak som er beskrevet i strategien kan føre til at det kommer nye krav til sikkerhet både for systemer, produkter og for virksomheter som leverer og bruker disse.
4.4 Internasjonale standarder og beste praksis | Til innhold |
To av de viktigste organisasjoner i forbindelse med standarder innenfor web er W3C (World Wide WEB Consortium) og OASIS (Organization for the Advancement of Structured Information Standards). Begge har utarbeidet standarder i forbindelse med web sikkerhet.
W3C har spesifisert
OASIS har spesifisert
Det er viktig å følge hvilken utbredelse disse spesifikasjoner og forslag til standarder får.
I tillegg må man være oppmerksom på at store leverandører (f eks IBM og Microsoft) kan etablere egne standarder som ofte får stor utbredelse.
NIST (National Institute of Standards and Technology) utgir en rekke publikasjoner som er anbefalinger eller krav til forvaltningen i USA.
4.5 Sikkerhet som tema i forespørselen | Til innhold |
Sikkerhetsaspektene anses av mange som den vesentligste faktor for utbredelse av digital forvaltning. Det er derfor viktig at sikkerhet får en tilstrekkelig god dekning i forespørselen.
4.6 Krav til sikkerhetsfunksjonalitet | Til innhold |
Som beskrevet i kapitlet "Begrepet sikkerhet" er sikkerhet definert som å sikre kontroll over konfidensialitet, integritet og tilgjengelighet for virksomhetens informasjon i alle situasjoner.
Sikkerhet koster og økende sikkerhet vil generelt gjøre systemer vanskeligere å bruke. Det er derfor viktig å legge kravene til sikkerhet på et hensiktsmessig nivå ut fra den aktuelle anvendelse. For høye krav til sikkerhet vil føre til en løsning som er unødig kostbar og tungvint å bruke.
I det følgende gjennomgås hvilke krav det er aktuelt å stille innenfor de tre områder.
4.6.1 Konfidensialitet | Til innhold |
Det stilles krav til konfidensialitet hvis det elektroniske servicetorg tilbyr tjenester som enten gir tilgang til konfidensiell informasjon eller som overfører konfidensiell informasjon mellom servicetorget og brukeren. Hvor høyt nivå av sikkerhet som kreves og hvilke løsninger som er å foretrekke vil være avhengig av de konkrete tjenester som tilbys.
Å sikre konfidensialitet inkluderer både håndtering av autentisering - dvs å sikre at brukeren er den som vedkommende gir seg ut for å være, autorisering - dvs å holde rede på hvilke tjenester og informasjon en bruker har tilgang til, og kryptering for å kunne overføre informasjon mellom system og bruker uten at uvedkommende kan få tilgang til den.
Ofte vil det også stilles krav om integritet i forbindelse med krav om konfidensialitet.
4.6.1.1 Autentisering | Til innhold |
Autentisering kan baseres på tre prinsipper eller kombinasjoner av dem:
Ved de to første metodene kan kravet til identifisering av personen før brukernavn/passord godkjennes som autentisering eller før passordskalkulator, smartkort eller sertifikat utleveres varierer. Den sikreste metoden er å kreve personlig oppmøte med identifisering ved hjelp av pass eller andre dokument som er utstedt på en tilsvarende sikker måte. For mange anvendelser vil dette være et unødig strengt krav som vil føre til at løsningen vil bli lite brukt.
Avhengig av kravet til anvendelsen stilles det krav til autentiseringsløsning. F eks er det vanlig for banktransaksjoner å velge løsning av type 2, mens det for oppretting av brukerprofil med kreditkortnummer og adresse for å kjøpe bøker, flybilletter etc er mest vanlig med løsning av type 1.
Følgende er krav som det er aktuelt å stille til elektronisk servicetorg. Hvilke krav som skal være med og hvilken prioritet kravene skal ha er avhengig av den enkelte kommunes situasjon og planer for utvikling av det elektroniske servicetorg. Kravene er formulert som beskrivelse av egenskaper. Prioriteten (f eks skal, bør, ønskelig) bestemmer hvor viktig det er at kravet er oppfylt.
|
Kap |
Nr |
Prioritet |
Krav |
Svar kode |
|
4.6.1.1 |
1 |
Systemet har muligheter for autentisering ved hjelp av bruker-id og passord. |
||
|
4.6.1.1 |
2 |
Det er mulig å legge regler (lengde, krav til karakterer, format etc) på utforming av bruker-id og passord for å sikre at disse er vanskelige å gjette og å knekke. |
||
|
4.6.1.1 |
3 |
Passord lagres enveiskryptert. |
||
|
4.6.1.1 |
4 |
Bruker-id og passord overføres kryptert mellom klient og system. |
||
|
4.6.1.1 |
5 |
Det er mulig å definere hvor mange uriktige passord som kan gis til en bruker-id før tilgang blokkeres. |
||
|
4.6.1.1 |
6 |
Det er mulig å definere at passord skal byttes etter et maksimalt valgfritt antall dager. Systemet skal kontrollerer passordskifte |
||
|
4.6.1.1 |
7 |
Systemet har mulighet for autentisering ved hjelp av:
|
||
|
4.6.1.1 |
8 |
Systemet inneholder muligheter for biometrisk autentisering |
5.6.1.2 Autorisering | Til innhold |
Autorisering, dvs hvilke tjenester og informasjon en bruker har tilgang til, er nødvendig i tillegg til autentisering slik at systemet vet hvem brukeren er, men også vet hvilken informasjon brukeren er autorisert til å få tilgang til og hvilke transaksjoner brukeren er autorisert til å gjennomføre mm.
Autorisering krever at systemet holder rede på de forskjellige brukere samt hvilke rettigheter de har. Autoriseringsinformasjon vil ofte ligge i systemer og fagapplikasjoner som det elektroniske servicetorg gir tilgang til. I andre tilfeller kan det være aktuelt at det elektroniske servicetorg inneholder funksjonalitet for håndtering av autorisering. I en rekke tilfeller er det behov for betydelig differensiering av de rettigheter forskjellige brukere skal være autorisert for.
Følgende er krav som det er aktuelt å stille til elektronisk servicetorg. Hvilke krav som skal være med og hvilken prioritet kravene skal ha er avhengig av den enkelte kommunes situasjon og planer for utvikling av det elektroniske servicetorg. Kravene er formulert som beskrivelse av egenskaper. Prioriteten (f eks skal, bør, ønskelig) bestemmer hvor viktig det er at kravet er oppfylt.
|
Kap |
Nr |
Prioritet |
Krav |
Svar kode |
|
4.6.1.2 |
1 |
Systemet har muligheter for å definere brukere og brukergrupper i forbindelse med tilgangskontroll. |
||
|
4.6.1.2 |
2 |
Det er mulig, på en fleksibel måte å definere hvilken informasjon og funksjoner de forskjellige brukere og brukergrupper kan utnytte og hvilken informasjon de kan lese, oppdatere eller slette. Se beskrivelse av brukergrupper i kap. 1.6, 1.7, 1.8 og 1.9 |
4.6.1.3 Kryptering | Til innhold |
Hvis informasjon har en sensitivitet som gjør at den må beskyttes mot uautorisert tilgang når den ligger lagret i det elektroniske servicetorget eller tilknyttede fagsystemer betyr det at det også er behov for beskyttelse når informasjonen skal overføres fra det elektroniske servicetorg til brukerens PC/arbeidsstasjon for fremvising, utskrift eller videre bearbeiding.
Følgende er krav som det er aktuelt å stille til elektronisk servicetorg. Hvilke krav som skal være med og hvilken prioritet kravene skal ha er avhengig av den enkelte kommunes situasjon og planer for utvikling av det elektroniske servicetorg. Kravene er formulert som beskrivelse av egenskaper. Prioriteten (f eks skal, bør, ønskelig) bestemmer hvor viktig det er at kravet er oppfylt.
|
Kap |
Nr |
Prioritet |
Krav |
Svar kode |
|
4.6.1.3 |
1 |
Systemet har mulighet for kryptering av data som overføres mellom systemet og brukerens arbeidsstasjon/PC eller andre systemer som det kommuniseres med. Krypteringen skal være tripple DES, AES eller annen kryptering med tilsvarende hardhet. |
4.6.2 Integritet | Til innhold |
I og med at det elektroniske servicetorg vil være en viktig informasjonskilde for mange mennesker, er det tilsvarende viktig å ha kontroll over integriteten til den informasjon som kommer fra det elektroniske servicetorg. Spredning av feil eller mangelfull informasjon kan føre til betydelige skadevirkninger som det kan være vanskelig å rette opp igjen.
4.6.2.1 Sikring av integritet | Til innhold |
Første trinn for å sikre integritet er å etablere en prosess med god kvalitetssikring for produksjon av informasjonen som skal være tilgjengelig på det elektroniske servicetorg.
Dernest må man sikre at kun autoriserte personer kan legge inn og oppdatere informasjonen. Dette innebærer å gjøre systemet innbruddsikert både mot innlogging av uautoriserte personer og innbrudd via "bakdører".
Som sikring av integriteten for informasjon kan man bruke signering av informasjonen. Dette kan brukes både for informasjon som sendes over nett og for lagret informasjon.
Følgende er krav som det er aktuelt å stille til elektronisk servicetorg. Hvilke krav som skal være med og hvilken prioritet kravene skal ha er avhengig av den enkelte kommunes situasjon og planer for utvikling av det elektroniske servicetorg. Kravene er formulert som beskrivelse av egenskaper. Prioriteten (f eks skal, bør, ønskelig) bestemmer hvor viktig det er at kravet er oppfylt.
|
Kap |
Nr |
Prioritet |
Krav |
Svar kode |
|
4.6.2.1 |
1 |
Systemet har mulighet for signering av data som overføres mellom systemet og brukerens arbeidsstasjon/PC eller andre systemer som det kommuniseres med. |
4.6.3 Tilgjengelighet | Til innhold |
I og med at det elektroniske servicetorg vil være en viktig informasjonskilde for mange mennesker, er det tilsvarende viktig å ha kontroll over tilgjengeligheten til informasjonen på det elektroniske servicetorg. Man må forvente at det stilles store krav til tilgjengelighet etterhvert som det elektroniske servicetorg blir viktigere som informasjonskilde og middel for samhandling mellom kommunene, innbyggerne og andre som kommunene samarbeider med.
Teknisk tilgjengelighet betyr både at løsningen har kapasitet til å håndtere den trafikk som genereres etterhvert som flere og flere brukere tar e-servicetorget i bruk, og at løsningen holdes funksjonelt tilgjengelig inklusiv rask reetablering av tilgjengeligheten, etter feil på forskjellige komponenter som inngår i løsningen.
Det vil normalt være meget vanskelig å forhåndsberegne trafikk og belastning på systemet. Muligheter for enkelt å kunne bygge ut kapasiteten er derfor en viktig egenskap. Dette er nærmere behandlet i kap xxx om krav til skalerbarhet.
For å sikre tilgjengelighet i tilfeller feil på utstyr, programvare eller brukerfeil må systemet inneholde funksjoner for logging, sikerhetskopiering og reetablering (recover). Kravene til disse funksjoner vil være avhengig av kravene til oppetid og også til samspill med f eks fagappliaksjoner og andre systemer som er tilgjengelige via det elektroniske servicetorg.
Følgende er krav som det er aktuelt å stille til elektronisk servicetorg. Hvilke krav som skal være med og hvilken prioritet kravene skal ha er avhengig av den enkelte kommunes situasjon og planer for utvikling av det elektroniske servicetorg. Kravene er formulert som beskrivelse av egenskaper. Prioriteten (f eks skal, bør, ønskelig) bestemmer hvor viktig det er at kravet er oppfylt.
|
Kap |
Nr |
Prioritet |
Krav |
Svar kode |
|
4.6.3 |
1 |
Systemet har muligheter for sikkerhetskopiering daglig av endringer og ukentlig av hele databasen |
||
|
4.6.3 |
2 |
Systemet har mulighet for sikkerhetskopier av transaksjoner (transaksjonslogg). |
||
|
4.6.3 |
3 |
Systemet har tilbakerullings- og tilbakekopieringsmuligheter (rolback, restore) som på en fleksibel måte kan utnytte informasjonen i sikkerhetskopier og transaksjonslogger. |
||
|
4.6.3 |
4 |
Leverandøren kan garanterer xx,x % (her må relevant krav fylles inn) tilgjengelighet på systemet. Tilgjengeligheten er avhengig av hvordan driften av systemet organiseres, men er også avhengig av egenskaper i systemet. Beskriv hvordan tilgjengeligheten beregnes og måles samt hvilke forutsetninger i form av krav til utstyr, konfigurasjoner mm som må være oppfylt. |
4.6.4 Sikkerhetsløsninger | Til innhold |
Foregående kapitler er beskriver krav til sikkerhetsfunksjonalitet på de tre områder konfidensialitet, integritet og tilgjengelighet. De fleste sikkerhetsløsninger vil bestå av løsninger på et eller flere av disse tre områder. En PKI løsning vil f eks inneholde sertifikater og sertifikatutstedelsesprosedyre for å sikre autentisering, kryptering for å sikre konfidensialitet og signering for å sikre integritet. PKI løsningen vil sikre informasjon som overføres mellom to parter, men den bidrar ikke til sikkerheten for informasjon lagret i det elektroniske servicetorget.
Det er derfor viktig å stille krav til sikkerhetsfunksjonaliteten på de tre områder slik at man kan sette sammen kostnadseffektive løsninger som passer for de forskjellige anvendelser.
4.6.5 Sikkerhet i e-servicetorg programvaren | Til innhold |
Ovenfor er beskrevet krav til sikkerhetsfunksjonalitet som e-servicetorgløsningen skal tilby for at den enkelte kommune skal kunne velge rett sikkerhet for sine forskjellige anvendelser av e-servicetorget.
I tillegg er sikkerheten i selve e-servicetorg programvaren viktig. Hvis vi sammenligner e-servicetorget med en bygning med forskjellige rom med innhold som skal kunne sikres på forskjellige måter kan vi si at sikkerhetsfunksjonaliteten er de forskjellige låser som tilbys for å kunne styre adgangen til bygningen og rommene i bygningen, men styrken eller sikkerheten i veggene og dørene ( er de av papp?) er sikkerheten i e-servicetorg programvaren. Det er klart at bygningen og dørene må være solide for at det er umaken verd å sette i gode låser.
En utredningsgruppe under Rådet for IT-sikkerhet utarbeidet høsten 1997 en rapport, som anbefalte å opprette to ordninger for sertifisering av IT-sikkerhet; én ordning for produkter og systemer og én ordning for organisasjoner. Regjeringen besluttet å opprette de to ordningene iht. anbefalingen. Det er sertifiseringsmyndigheten for IT sikkerhet (SERTIT) som utformer regelverk og retningslinjer for evaluering og sertifisering av IT-sikkerhet i Norge. Det er også SERTIT som forestår sertifisering av IT-produkter og systemer. Hensikten med ordningen er å dekke myndighetenes og industriens behov for en kostnadseffektiv og rasjonell sikkerhetsmessig evaluering og sertifisering av IT produkter og systemer. Norge har i en internasjonal samarbeidsavtale forpliktet seg til å anerkjenne sertifikater som er utstedt av kvalifiserte sertifiseringsmyndigheter (KSM) i andre land. IT-produkter- og systemer skal evalueres og sertifiseres i henhold til de internasjonale evalueringskriteriene Common Criteria (CC), svarende til ISO 15408.
Det er aktuelt å spørre leverandører av e-servicetorg programvare hvordan de forholder seg til Common Criteria. Hvis e-servicetorget skal anvendes til spesielt sikkerhetskritiske anvendelser, kan det være aktuelt å stille krav om vurdering eller sertifisering i henhold til Common Criteria.
4.7 Migrering / drift | Til innhold |
Drift av sikkerhetsløsninger kan være faglig krevende og ressurskrevende. Ved valg av sikkerhetsløsninger er det derfor viktig å vurdere behov for kompetanse og ressurser for drift av løsningen.
4.8 Testing av krav | Til innhold |
Det bør legges opp til testing av sikkerheten i godkjenningsperioden.
4.9 Kostnader og kostnyttevurderinger | Til innhold |
Kostnader og kostnytte vurderinger i forbindelse med sikkerhet dreier seg om å velge riktig sikkerhetsnivå for de forskjellige anvendelser det elektroniske servicetorg skal brukes til. Sikkerhet koster og vil ofte i tillegg gjøre systemet vanskeligere å bruke.
Det kan være nødvendig å gjennomføre en risikovurdering med konsekvensvurderinger, inklusiv kostnadsvurderinger for å kunne velge det rette sikkerhetsnivå for de forskjellige anvendelser.