Vi er i dag helt avhengige av riktig tilgang til IT-systemer. Samtidig representerer informasjonsgrunnlaget store verdier både for samfunnet og for privat sektor. Kontroll med tilgang til informasjonen er derfor en viktig forutsetning for å sikre verdier og tillit til offentlig sektor.
På denne siden kan du lese mer om:
Om tilgangskontroll
Sikkerhetsarkitektur
- Autentisering - hvordan brukere blir identifisert
- Autorisasjon - styrer hvilke funksjoner og data en autentisert bruker får tilgang til
Krav til innebygd informasjonssikkerhet
I henhold til eForvaltningsforskriften (https://lovdata.no/dokument/SF/forskrift/2004-06-25-988) skal virksomheten ha en internkontroll (styring og kontroll) på informasjonssikkerhetsområdet som baserer seg på anerkjente standarder og styringssystem for informasjonssikkerhet.
Informasjonssikkerhet handler om å sikre at informasjonen
- ikke blir kjent for uvedkommende (konfidensialitet)
- ikke blir endret utilsiktet eller av uvedkommende (integritet)
- er tilgjengelig ved behov (tilgjengelighet)
Sentrale nasjonale felleskomponenter
ID-porten er en felles innloggingsløsning til offentlige tjenester på internett. ID-porten gir tilgang til over 1000 tjenester fra offentlige virksomheter. I ID porten kan en velge mellom fem alternativer for elektronisk ID: MinID, BankID på mobil, BankID, Buypass, Commfides eller Buypass ID i mobil. ID porten blir driftet av Digitaliseringsdirektoratet.
Altinn er en internettportal for digital dialog mellom næringslivet, privatpersoner og offentlige etater. Altinn er også en teknisk plattform, som offentlige virksomheter kan benytte for å lage digitale tjenester
Tilgangskontroll - krav og anbefalinger
Krav (Digitaliseringsrundskrivet)
(139) Virksomheten skal ta i bruk ID-porten for digitale tjenester som krever innlogging og autentisering. ID porten er obligatorisk for statlige virksomheter og anbefalt for kommunal sektor.
Merknad: Se også krav 122 om strategiske prinsipper for nasjonale felleskomponenter.
(140) Virksomheten skal i utgangspunktet ta i bruk Altinns infrastruktur og tjenesteplattform for produksjon av relevante tjenester. Virksomheter som på kort sikt ikke kan få dekket sine behov i Altinn på en hensiktsmessig måte, kan benytte løsninger i markedet eller utvikle løsningen selv. Virksomheten må kunne begrunne unntak. Aktuelle digitale tjenester rettet mot næringsdrivende skal gjøres tilgjengelige på Altinns portal.
(141) Virksomheten skal bruke Digital postkasse til innbyggere for utsending av post til innbyggere som har valgt digital postkasse, og som ikke har reservert seg. Kravet om bruk av digital postkasse til innbyggere, gjelder alle tjenester hvor det sendes brev som har dokumentasjonsverdi for innbygger. Slike brev kan være både vedtak og andre viktige henvendelser. Virksomheten skal vurdere hvilke brev som har viktig dokumentasjonsverdi for innbygger.
Merknad: Se også krav 122 om strategiske prinsipper for nasjonale felleskomponenter.
Anbefaling (Digitaliseringsdirektoratet)
(142) Virksomheter bør ta i bruk Digital dialog i brukerdialog med innbyggere og næringsliv.
(143) Virksomheter bør ta i bruk Altinn Samtykke ved innhenting av samtykke fra personer og organisasjoner.
Anbefaling (Sluttrapport fra arbeidsgruppe rundt Geointegrasjon og Geosynkronisering)
(144) For brukerinitiert autentisering mot applikasjon over usikre nettverk bør en bruke id-porten/Maskinporten med OpenID connect og Oauth2.
Merknad: OpenID Connect og Oauth2 er protokoller som er laget for autentisering og autorisasjon over usikre nettverk. Dette er protokollene ID-Porten, Difi og Altinn legger opp til å bruke. Derfor ser vi det som lite lurt å legge seg på noe annet. Dette er veletablerte protokoller som har god støtte i de fleste språk og plattformer. Facebook og Google bruker disse for deres fødererte påloggingsløsninger. Det er også lett å få tak i kompetanse rundt dette siden de er så utbredt. Vår anbefaling vil være å basere alle nye API og protokoller på Maskinporten/IDPorten med OpenID Connect og Oauth2. Da vil alle forholde seg til det samme, og usikre halvveis gode metoder vil forsvinne.
Anbefaling (Rammeverk)
(145) Systemer som har egen innlogging eller bruker ansatt pålogging, bør bruke Maskinporten.
(146) Det anbefales å sette opp en tilgangstjeneste i organisasjonen der brukeren er ansatt. Dette kan tilbys som ADFS tjeneste (Active Directory Federation Services), Azure AD eller andre autentiseringstjenester som støtter OpenID connect og Oauth2.
(147) Implementer autentisering og autorisasjon basert på anerkjente standarder (som OAuth2/OpenIdConnect), og benytt i størst mulig grad etablerte biblioteker fra anerkjente leverandører for selve implementasjonen.
Merknad: Henviser til Digitaliseringsdirektoratetet vedrørende bruk av ID-porten og Maskinporten.