Identitetsintyg enligt Tekniskt ramverk - E

Identitetsintyg enligt Tekniskt ramverk - E

Förvaltningsforum 16 juni 2015
16 juni 2015  1
Dagordning
1. Inledning
2. Statusrapport från undergrupperna
3. Presentation av granskningsprocessen utfärdare/leverantör av Svensk elegitimation
4. Utse delegater från Förvaltningsforum att följa granskningsgruppens arbete
(Förutsatt att det finns delegater anmälda)
5.
6.
7.
8.
Genomgång av remissversionen av tilläggsavtalen för övergångstjänsten
Information om arbetet med underskriftstjänsten
Incidenthantering - Incidentmallen
Kapacitetsplanering i federationen
Prognosmallen – genomgång
9. Utvecklingsplan och ändringshantering
Information om arbetet med förändringar i regelverket
10. Övriga frågor
16 juni 2015  2
Undergrupp för användbarhet
Anvisningstjänsten – planerad ny prototyp och användningstester i höst
o
o
o
o
PTS i samverkan med Användningsforum
Användare från olika målgrupper bl.a. med olika funktionsnedsättningar
Undergrupp för användbarhet är mottagare
E-legitimationsnämnden beställer av Cybercom efter undergruppens
utvärdering och samråd med Förvaltningsforum
o Planen är att en gränssnittsutvecklare från Cybercom följer
prototyparbetet och användningstesterna (beslut i augusti)
o Ansatsen är att ha produktionssatt en ny (tredje) version av
anvisningstjänsten (där man väljer e-legitimation) våren 2016
Länkt till acceptanstestversionen av anvisningstjänsten ”version 2”
16 juni 2015  3
Granskningsmetodik
2015-06-16
Komponenter
• Granskningsgruppen
• Granskningsmetod
– Kommer att publiceras på www.elegnamnden.se inom kort
• Granskningsprogram och granskningsdokumentation
– Interna arbetsdokument till stöd för granskningen
• Granskningsrapport
– Tas fram i samband med första granskningen
• Testplan och generell testmatris
– Särskild testplan tas fram för respektive granskning
• Testrapport
• Acceptanstestmiljö
Granskningsgruppen
• 1 kansliresurs – ordförande i
granskningsgruppen
• 4 IT-revisions och IT-säkerhetskonsulter
• 2 partsrepresentanter från Förvaltningsforum
• Ev. representant från tillsynsmyndighet
• 1 teknisk eID-specialist
• 1 administrativ resurs från kansliet (vid behov)
• 1 testledare (enbart vid aktivering)
Granskningsmetod vid ansökan
• Syfte – bedöm efterlevnad av krav i
tillitsramverket och andra delar av regelverket
• Riskbaserad
• Baseras på ansökan och komplettande
granskningsåtgärder
• Utförs av granskningsgruppen
• Tre faser, tio steg
Granskningsprocessen
Förbereda
Granska
Besluta
Förbereda
Genomför
Informationsmöte
Bekräfta ansökan
Granska
formalia
Fasen beräknas ta ca 2
veckor från inlämnad
ansökan
Granska
Analysera
risker
Granska
ansökan
Planera
kompletteringar
Genomföra kompletteringar
Rapportera
Fasen beräknas ta ca 8
veckor
Besluta
Presentera för
granskningsgruppen
Besluta i nämnden
Fasen beräknas ta ca 4
veckor
Aktivering efter anslutning
• Syftar till att godkänna den produktionssatta
legitimeringstjänsten
• Avstämning mot krav i Tekniskt ramverk,
Bilaga H (användargränssnitt) samt ev.
restpunkter avseende säkerhet från initial
granskning
• Fokus på teknik och tjänst, inte aktör
Förbereda
Ta fram testplan
Kommunicera testplan
Arbetet med att ta fram
testplan görs parallellt med
granskning av ansökan
Granska
Genomför tester
Löpande rapportering
Ev. ändring av tjänst
Testrapport och
beslutsunderlag
E-legitimationsnämnden har
60 dagar på sig att
genomföra acceptanstest
Besluta
Presentera för
granskningsgruppen
Besluta i nämnden
Granskningsmetod vid löpande
uppföljning
• Ett antal initierande faktorer:
– Beslut med förbehåll, Riskområden i ansökan,
Incidentrapportering, Väsentliga förändringar,
Rekommendation från Förvaltningsforum,
Omvärldsbevakning, Rutinkontroller
• Kan ske på ett antal olika sätt:
–
–
–
–
–
Stickprov
Granskning av ändringar
Granskning av särskilda fokusområden
Extern revision
m.m.
Förbereda
Planera granskningsåtgärd
Kommunicera med
granskningssubjekt
Vissa granskningsåtgärder
är inte lämpliga att
kommunicera med
granskningssubjektet
Granska
Genomför
granskningsåtgärd
Avstämning med
granskningssubjekt
Ev. kompletteringsvändor
kan bli aktuella men inte del
av huvudprocess
Besluta
Presentera för
granskningsgruppen
Besluta i nämnden
De flesta
granskningsåtgärder
föranleder inte beslut i
nämnden
Övergångslösningen
2015-06-16
Remiss av tilläggsavtal för
övergångslösning
• Tilläggsavtal för övergångstjänst framtagna
– Ger möjlighet att fram till 31 december 2017
nyttja den gamla tekniken med de nya avtalen
• Informell remiss till förvaltningsforum och
berörda aktörer att inkomma med eventuella
synpunkter
• Kommer att publiceras på vår webbplats i
början av nästa vecka
Huvuddragen i avtalen (1)
• Genom tilläggsavtalet för leverantör av eID-tjänst åtar sig de
leverantörer som vill att leverera den så kallade ”övergångstjänsten”.
• Genom tilläggsavtalet för tillhandahållare av e-tjänst väljer de
tillhandahållare som vill att ta del av övergångstjänsten och nyttja den i
delar eller i sin helhet för sina e-tjänster.
• Genom en fullmaktsordning (på samma sätt som övriga
anslutningsavtal) binds samtliga leverantörer och tillhandahållare till
varandra.
• Tilläggsavtalen löper till 31 december 2017 och upphör därefter att
gälla.
• Tillhandahållare av e-tjänst kan säga upp tilläggsavtalet med 30 dagars
varsel. Leverantör av eID-tjänst kan enbart säga upp tilläggsavtalet på
samma grunder som själva anslutningsavtalet.
• Tillhandahållare av e-tjänst har 18 månader på sig att aktivera
övergångstjänsten i förhållande till leverantör av eID-tjänst.
Huvuddragen i avtalen (2)
• Regelverket gäller i sin helhet, med undantag för de punkter och bilagor
som listas i tilläggsavtalet. Det som anges för identitetsintyg ska även gälla
övergångstjänsten.
• Bilagorna D och E avseende teknisk specifikation och tekniskt ramverk
utgår och ersätts istället med kravspecifikationen för ramavtalet eID2008
(”Kraven”).
• Ersättning utgår enligt den nya ersättningsmodellen och med
identitetsintyg likställs kontroll av identitet och underskrift enligt
ramavtalet.
• Delar av bilaga F om test har brutits ut och lyfts in i tilläggsavtalet.
• Federationsoperatören har inget ansvar utöver det som regleras genom
regelverket. Federationsoperatören kontrollerar alltså inte den tekniska
integrationen av övergångstjänsten.
• Leverantör av eID-tjänst har en skyldighet att erbjuda integration även
fortsättningsvis genom mellanliggande leverantörer av systemintegration
(EFST).
Underskriftstjänst för
Svensk e-legitimation
• Ramavtal
– ”E-förvaltningsstödjande tjänster 2010” (EFST)
Två leverantörer har idag godkänd tjänst.
Ramavtal upphör i november 2015
– ”Programvaror och tjänster 2014, Informations-försörjning”
Börjar gälla i november 2015 (?)
• Mer information om avrop finns på såväl Kammarkollegiets som
E-legitimationsnämndens webbplats
• Vägledning för underskrifttjänst på avropa.se
– Vägledning för avrop
– Avropsmall
– Leveransavtalsmall
• Ramavtalen lämnar olika stöd för avrop och hantering av tjänster
Kommande förändring
Underskriftstjänst
• Det ska bli möjligt att vid underskrift sända
med textmeddelande som visas för
användaren.
• Planen är att tillgängliga underskriftstjänster
ska få denna funktionalitet under 2015.
• Nya underskrifttjänster kommer att testas mot
denna funktion
• Förändringar i specifikationen för tjänsten
• Även förändringar i delar av regelverket
Specifikation underskriftstjänst
• Aktuell tjänstespecifikation för underskriftstjänst
finns på E-legitimationsnämndens webbplats
– Består av policy samt normativ specifikation med bilagor
• Vid avrop av underskriftstjänst för Svensk
e-legitimation – hänvisa till aktuell version av
tjänstespecifikation
https://www.avropa.se/ramavtal/ramavtalsomraden/it-ochtelekom/IT-tjanster/E-forvaltningsstodjande-tjanster-2010/
Länk till specifikation för underskriftstjänst:
http://www.elegnamnden.se/svenskelegitimation/upphandlinga
vunderskriftstjanst.4.133ff59513d6f9ee2eb2a3d.html
Översikt av inrapporterade incidenter
o Mall för incidentrapportering
o Förslag framtaget (finns i projektplatsen, mappen Mallar och utkast)
o Skatteverket ska testa mallen och återkoppla
o Återkoppling?
16 juni 2015  28
Kapacitetsplanering i federationen
o Prognoser ska lämnas senast 1/9
o Förslag framtaget (finns i projektplatsen, mappen Mallar och utkast)
o Lantmäteriet har testat prognosmallen
o Återkoppling?
16 juni 2015  29
Utvecklingsplan och ändringshantering
o Förslag på utvecklingsplan (vidareutvecklat)
o Förslag (finns i projektplatsen, mappen Mallar och utkast)
16 juni 2015  30
Införande av ny tjänst i
regelverket
2015-06-16
Huvuddragen
• Två alternativa sätt att tekniskt ansluta sig som
leverantör mot federationen
– Enligt tekniskt ramverk
– Enligt alternativt gränssnitt
• Leverantör av eID-tjänst tillhandahåller
legitimeringstjänst och levererar identitetsintyg
oavsett teknisk anslutning
• Det alternativa gränssnittet definieras och
begränsas i Bilaga D. Tekniskt ramverk gäller inte.
• I övrigt minimala förändringar av regelverket
Ändringar i Regelverket
• Genom nya definitioner kan de centrala
begreppen ”leverantör av eID-tjänst”,
”legitimeringstjänst” samt ”identitetsintyg”
behållas intakt
• Innebär minimala förändringar i övrigt av
regelverkets huvudtext
• Bilaga E utgår och Bilaga D och G får omfattande
tillägg avseende nya tjänster
• Bilagorna B, J, K och L kvarstår utan ändringar
• Bilagorna A, C, F, H och I får mindre ändringar
Nya definitioner
•
•
•
•
•
•
•
Identitetsintyg – Kvarstår enligt tidigare definition. Förtydligande infogas om att det gäller
”oavsett tekniskt format” (de två format som specificeras nedan).
Identitetsintyg enligt Tekniskt ramverk – Identitetsintyg i sådant tekniskt format som uppfyller
kraven i Teknisk ramverk.
Identitetsintyg enligt alternativt tekniskt gränssnitt – Identitetsintyg i sådant tekniskt format
som levereras av Legitimeringstjänst med alternativt tekniskt gränssnitt.
Legitimeringstjänst – Kvarstår enligt tidigare definition. Förtydligande infogas om att det
gäller oavsett ”teknisk integration mot Identitetsfederationen” (de två alternativ som
specificeras nedan).
Legitimeringstjänst enligt Tekniskt ramverk – Legitimeringstjänst som levererar
Identitetsintyg enligt Tekniskt ramverk och integrerar direkt mot Tillhandahållare av e-tjänst i
Identitetsfederationen.
Legitimeringstjänst med alternativt tekniskt gränssnitt – Legitimeringstjänst som levererar
Identitetsintyg enligt alternativt tekniskt gränssnitt och integrerar mot Tillhandahållare av etjänst via Intygskonverteringstjänsten.
Intygskonverteringstjänst – Den tilläggstjänst som Federationsoperatören tillhandahåller för
att konvertera Identitetsintyg enligt alternativt tekniskt gränssnitt till Identitetsintyg enligt
Tekniskt ramverk.
Bilaga A - Ersättning
• Ändras så att ersättningsmodellen även
omfattar identitetsintyg enligt alternativt
gränssnitt (för tillitsnivå 3)
• Samma pris för Tillhandahållare av e-tjänst
• Leverantör av eID-tjänst som ansluter med
alternativt gränssnitt betalar 15% av
ersättningen från Tillhandahållare av e-tjänst
till Federationsoperatören för
intygskonvertering
Ny Bilaga D – Tekniska specifikationer
• Det alternativa gränssnittet kommer att
specificeras och begränsas
– Kommer inte innebära anslutningsproblem för
nuvarande utfärdare med nuvarande gränssnitt enligt
bedömning
– Begränsar dock möjligheterna att ansluta med mindre
beprövade eller väldigt avvikande tekniska gränssnitt
• Ändringshantering kommer att regleras
– Krav på i vilken omfattning och med vilken
framförhållning ändringar får göras av alternativt
gränssnitt
– Undantag möjliga av säkerhetsskäl
Bilaga G - Tilläggstjänster
• Intygskonverteringstjänsten införs som ny
tjänst hos Federationsoperatören
• Konverterar identitetsintyg från Leverantör av
eID-tjänst så att de passar Tekniskt ramverk
• Ansvar för de behandlingar som görs i
konverteringen av identitetsintyg
• Har ett gränssnitt mot slutanvändare som kan
nyttjas för att initiera legitimeringstjänst eller
visa enklare information
Bilagor C, F, H och I
• Bilaga C - Servicenivåer
– Intygskonverteringstjänsten förs in med samma SLA-krav som
övriga tjänster
– I övrigt inga ändringar
• Bilaga F – Test
– Vissa tillkommande krav avseende medverkan till test om
anslutning med alternativt gränssnitt
• Bilaga H – Användargränssnitt
– Punkten 3 delas upp i krav som gäller legitimeringstjänst enligt
teknisk ramverk och krav som gäller legitimeringstjänst med
alternativt gränssnitt
• Bilaga I – Personuppgiftsansvar
– Förtydligande avseende PU-ansvar för intygskonverteringstjänst
Ansvarsfrågor
• Metodansvar kvarstår som huvudprincip
• Leverantör av eID-tjänst ansvarar för leverans av
identitetsintyg (fram till intygskonverteringstjänst)
– ”Fel i identitetsintyg” hanteras på samma sätt som tidigare
– Samma ansvarsbegräsningar som tidigare gäller
• Federationsoperatör ansvarar för intygskonvertering
– ”Fel i federationsoperatörens fullgörande av åtaganden”
hanteras på samma sätt som tidigare
– Samma ansvarsbegränsningar som tidigare gäller
• Vid rättstvist ska leverantör av eID-tjänst göra sannolikt
att felet låg i intygskonverteringstjänsten