presentatie masterclass eherkenning (17 januari 2012) - beheer
TRANSCRIPT
Beheer
Veilig en betrouwbaar
1 7 januari 201 2
Mirjam Gerritsen
mirjam.gerritsen@ ictu.nl
Masterclass eHerkenning
Aanvallen..
Met eHerkenning realiseert men een betrouwbare en veilige manier
van identificatie, authenticatie en autorisatie aan de voordeur.
Is eHerkenning zelf wel veilig?
Betrouwbaar
Het merk eHerkenning is betrouwbaar
Hoe doen we dat?
4.Gebruikelijke beheermaatregelen
5. Ontwerp
6. Informatiebeveiliging
7. Beheerst veranderen
• Een verzameling documenten• Relaties • Een IT netwerk • Digitale S leutels• Communicatie• Toetreding• Wensen en wijzigingen
Wat beheren we?
… we beheren het merk eHerkenning!
Gebruikelijke beheermaatregelen
• Beschikbaarheid
• Besturing en Toezicht
• Goede processen (volgen)
- incidentmanagement
Wat is eHerkenning?
Beheermaatregelen eHerkenning
• Beschikbaarheid – 2 marktpartijen• Besturing en Toezicht
- Beheerorganisatie- Marktpartijen en (eind-)gebruikers
• Goede processen (volgen)- incidentmanagement
Ontwerp eHerkenning
Ontwerp privacy
• S TORK betrouwbaarheidsniveaus• Pseudoniemen
Ontwerp technisch
• Intern vertrouwde certificaten (niet alleen PKI) – ‘white listing’
• Hoge mate van standaardisatie van de koppelvlakken
Ontwerp eHerkenning
Meerdere marktpartijen samen dwingt tot naleven standaarden
Risicoanalyse
stelsel
Gemeenschappelijk
Normenkader
Informatiebeveiliging
eHerkenning
Normenkader voor audit
deelnemerAudit op opzet, bestaan
en werking van de
maatregelen uit de
VvT eHerkenning van
het ISMS van de deelnemer
input
STELSEL eHERKENNINGDEELNEMERS en BEHEERORGANISATIE
Uitvoeren risicoanalyse
Selecteren
beheersmaatregelen uit
ISO27001
Voor deelnemers
verplichte
beheersmaatregelen
AUDIT
ORGANISATIE
ISMS deelnemer
Informatiebeveiliging
Verklaring van
Toepasselijkheid (VvT)
eHerkenning
=
Normenkader voor audit
deelnemer
Uitvoeren risicoanalyse
Selecteren
beheersmaatregelen uit
ISO27001
ISMS deelnemer
Deelnemer
Certificaat
ISO27001
+
VvT
Audit-
rapport
+
BOTPM
TPM
rapport
Gemeenschappelijk
Normenkader IB
eHerkenning
+
+
Audit op Stelsel
eHerkenning
TPM
Stelsel
eHerkenning
Scope stelselaudit
Afsprakenstelsel
eHerkenning
Informatiebeveiliging
Informatiebeveiliging
• ( stelsel)Audit• Peer to peer (bijeenkomsten)• Pentesten
S teeds de 2 niveaus: partij zelf en het stelsel
Beheerst veranderen• RFC's / release risicoanalyse
• Bij implementatie release marktpartij:
- Geteste software in acceptatie-omgeving
- Zelfverklaring (voldoet aan nieuw Afsprakenstelsel en test uitgevoerd)
• Beheerorganisatie toetst en voert regie ketentest
Ook hier marktpartijen en stelsel
Hoe borgen we dit alles bij veranderingen?
Dus..
eHerkenning is veilig en betrouwbaar:• In ontwerp
• Door control als (stelsel-)audit en pentesten
• Door gereguleerd wijzigingenproces
Het heeft permanent onze aandacht
Zo hoort het als je een betrouwbaar merk wil zijn en blijven!
En toch..
Het is aan de orde van de dag...
Als het dan toch echt gebeurt..wat dan?
Wat hebben we geleerd van DigiNotar?
• Wanneer een marktpartij uit het netwerk wordt verwijderd blijft het resterende netwerk functioneren
• Een gebruiker kan snel (binnen een dag) overstappen naar een andere marktpartij mits het standaard dienstverlening betreft
• De eindgebruiker kan op elk gewenst moment een nieuw middel verkrijgen
Ons doel is het Afsprakenstelsel eHerkenning, met daarin o.a.
het normenkader, de besturing en toezicht en
de beheerprocessen
… steeds beter te maken
Dit doen we samen met de marktpartijen en de gebruikers!
Zo kunnen we een sterk en betrouwbaar merk zijn en blijven!
?
Vragen?