Rammeverk for autentisering og uavviselighet i elektronisk kommunikasjon med og i offentlig sektor

Retningslinjer for offentlige virksomheter som tilrettelegger elektroniske tjenester og samhandling på nett

Rammeverk for autentisering og uavviselighet i elektronisk kommunikasjon med og i offentlig sektor er et hjelpemiddel for offentlige virksomheter som skal sikre samhandling på åpne eller lukkede nett. Rammeverket er et teknologinøytralt sett med overordnete anbefalinger. Bruk av rammeverket er sterkt anbefalt, både for statlige og kommunale virksomheter.

Rammeverk for autentisering og uavviselighet i elektronisk kommunikasjon med og i offentlig sektor inneholder overordnede retningslinjer for offentlige virksomheter når det gjelder risikovurderinger og valg av sikkerhetsnivå for sikring av elektronisk kommunikasjon med hensyn på krav til autentisering (dvs. bekreftelse av identitet) og uavviselighet (dvs. knytning av identitet til et dokument, en transaksjon el.l.).

Rammeverket skal være et hjelpemiddel for offentlige virksomheter til å foreta egne risikovurderinger, i kraft av eget ansvar for informasjonssikkerhet. Bruk av rammeverket er sterkt anbefalt, både for statlige og kommunale virksomheter.
Det vil bli utviklet en mer omfattende veiledning knyttet til bruken av rammeverket. Direktoratet for forvaltning og IKT (DIFI) skal ha ansvaret for forvaltning av rammeverket, inklusive fremtidige revisjoner og oppdateringer.

 

Forord

Dette rammeverket for autentisering og uavviselighet er et hjelpemiddel for offentlige virksomheter som skal sikre samhandling på åpne eller lukkede nett. Rammeverket skal bidra til å gjøre det enklere å gjenbruke autentiseringsløsninger på tvers av offentlige virksomheter og gjøre det enklere å knytte sammen tjenester, slik at de fremstår som en enhet for brukeren. Målet er forenkling for brukeren ved at hun trenger å forholde seg til færre autentiseringsløsninger (eID). Gjenbruk av løsninger vil også bidra til reduserte kostnader i offentlige virksomheter.

Dette rammeverket for autentisering og uavviselighet er et teknologinøytralt sett med overordnete anbefalinger rettet mot hele offentlig sektor. Anbefalingene gjelder gjennomføring av risikoanalyse og valg av sikkerhetsnivå ved behov for autentisering av brukere av elektroniske tjenester fra forvaltningen samt brukere i offentlig sektor som kommuniserer internt. Videre inneholder rammeverket overordnede anbefalinger for valg av sikkerhetsnivå ved behov for å knytte en bruker til en elektronisk transaksjon (uavviselighet, ”signering”).

I 2005 publiserte FAD 1. versjon av Kravspesifikasjon for PKI i offentlig sektor. Dette er en kravspesifikasjon for autentiseringsløsninger (eID) basert på PKI-teknologi.  Kravspesifikasjonen dekker i tillegg til autentisering og uavviselighet også til en viss grad konfidensialitet. Kravspesifikasjonen inneholder krav til tre sertifikatklasser eller typer eID, som har definerte sikkerhetsnivå. Det er i Kravspesifikasjonen definert to typer eID for personer – Person Standard og Person Høyt, og én type eID for organisasjoner – Virksomhet.

Kravspesifikasjonen er en forvaltningsstandard som ligger til grunn for anskaffelse i markedet av PKI-tjenester til bruk i offentlig sektor.  Standarden er fastsatt med hjemmel i Forskrift om elektronisk kommunikasjon med og i forvaltningen, §27, samt vedtak 2005-10-07 nr 1117 om etablering av koordineringsorgan for forvaltningens bruk av sikkerhetstjenester og -produkter ved elektronisk kommunikasjon med og i forvaltningen. Bruk av standarden er pålagt gjennom instruks i brev av 20. september 2006 fra FAD til alle statlige virksomheter. Bruk av standarden er også anbefalt til kommunesektoren.

I forhold til foreliggende rammeverk vil løsninger som tilfredsstiller krav til Person Standard i Kravspesifikasjon for PKI i offentlig sektor også kunne tilfredsstille krav til sikkerhetsnivå 3. Andre typer teknologiske løsninger enn PKI vil også kunne tilfredsstille krav til sikkerhetsnivå 3 i dette rammeverket.

Løsninger som tilfredsstiller nivå Person Høyt og Virksomhet i Kravspesifikasjon for PKI i offentlig sektor, vil kunne tilfredsstille krav til sikkerhetsnivå 4 i rammeverket. Det er foreløpig ikke avklart hvilke andre løsninger for eID enn de som er basert på PKI som kan tilfredsstille krav til sikkerhetsnivå 4. Det må først utvikles felles kravspesifikasjoner og etableres selvdeklareringsløsninger for slike løsninger. Dette er et arbeid som FAD vil prioritere i forbindelse med det generelle standardiseringsarbeidet innen elektronisk forvaltning.