Veileder for vurdering av sikkerhetsnivå
Det er utarbeidet en veileder for identifikasjon og sporbarhet i elektronisk kommunikasjon med og i offentlig sektor. Offentlige og private virksomheter som jobber med vurdering av sikkerhetsrisiko og valg av sikkerhetsnivå for identifikasjon vil finne god hjelp i veilederen.
Sikkerhetsnivå skal velges basert på en risikovurdering
Offentlige virksomheter skal gjennomføre tilstrekkelige risiko- og sårbarhetsanalyser ved etablering av nye, eller revidering av eksisterende, digitale tjenester og ved samhandling. Veilederen skal hjelpe virksomhetene til å vurdere aktuelle trusler for en digital tjeneste og velge et egnet sikkerhetsnivå for å ivareta identifikasjons- og sporbarhetsbehov. Det er viktig å merke seg at den enkelte offentlige virksomhet selv er ansvarlig for vurderinger og valg som gjøres for å sikre egne digitale tjenester og elektronisk kommunikasjon, og for eventuelle følger av disse valgene.
Sikkerhetsnivå "betydelig"
Dette nivået tilfredsstiller behovet for de fleste tjenester. Eksempler på løsninger:
- MinID, opprettet med engangspassord sendt til folkeregistrert adresse
- Tofaktorinnlogginger som måtte tilbys av markedet, men som ikke tilfredsstiller nivå høyt
Sikkerhetsnivå "høyt"
Dette nivået tilfredsstiller også behovet for tjenester med særlig høye krav til sikkerhet. Eksempler på løsninger:
- eID utstedt ved manuell identitetskontroll (pass/ID-kort sjekkes ved fysisk fremmøte mot personen), tofaktorløsning, ev. med bruk av PKI-teknologi16
- eID utstedt ved automatisert identitetskontroll (pass/ID-kort sjekkes mot bilde/video som tas av personen), tofaktorløsning med sterk knytning til telefonen og til passord
Praktiske eksempler på tjenester som kan benytte de forskjellige sikkerhetsnivåene
Dette er eksempler på hvordan sikkerhetsnivåene kan brukes. Dere som kunder må gjøre egne vurderinger av trusselbildet for deres tjenester, men her er eksempel på hvordan sikkerhetsnivå kan brukes:
- Nivå "betydelig"
- De fleste tjenester med taushetsbelagte opplysninger, blant annet innsyn og endring i egen skattemelding.
- Nivå "høyt"
- Tjenester som gir innsyn i taushetsbelagte opplysninger med særlig beskyttelsesbehov, herunder stigmatiserende opplysninger, forretningskritisk informasjon, sikkerhetskritisk informasjon og helseopplysninger.
- Tjenester som gir innsyn i taushetsbelagte opplysninger med særlig beskyttelsesbehov, herunder stigmatiserende opplysninger, forretningskritisk informasjon, sikkerhetskritisk informasjon og helseopplysninger.
Veiledning for valg av sikkerhetsnivå for identifikasjon
Risikovurderinger for valg av sikkerhetsnivå for identifikasjon
Kunden skal også gjøre en risikovurdering av egen løsning, her anbefaler vi avsnittet om valg av sikkerhetsnivå fra Veileder for identifikasjon og sporbarhet i elektronisk kommunikasjon med og i offentlig sektor.
Hvordan sette sikkerhetsnivå på tjenesten?
Teknisk dokumentasjon for utviklere om sikkerhetsnivå
På Digdir Docs er det teknisk dokumentasjon for utviklere om sikkerhetsnivå i ID-porten og Ansattporten. Denne dokumentasjonen gjelder integrasjoner som benytter OpenID Connect-grensesnittet.