8 november 2006Frank Robben. Gebruikers- en toegangsbeheer: beschikbare diensten Frank Robben...

8 november 2006Frank Robben

Gebruikers- en toegangsbeheer:beschikbare diensten

Frank RobbenAdministrateur-generaal Kruispuntbank Sociale ZekerheidGedelegeerd bestuurder SmalS-MvMSint-Pieterssteenweg 375B-1040 BrusselE-mail: [email protected] KSZ: www.ksz.fgov.beEigen website: www.law.kuleuven.ac.be/icri/frobben

mailto:[email protected]



http://www.ksz.fgov.be/

http://www.law.kuleuven.ac.be/icri/frobben






Beschikbare diensten

• 3 doelgroepen– burgers– beroepsbeoefenaars– ondernemingen en hun dienstverleners

• verschillende aspecten– registratie van de identiteit– authenticatie van de identiteit– registratie van kenmerken en mandaten– verificatie van kenmerken en mandaten– registratie van autorisaties– verificatie van autorisaties


Identiteit, kenmerken en mandaten: wat ?

• identiteit– een uniek nummer of een reeks attributen van een entiteit

(natuurlijke persoon, onderneming, vestiging van een onderneming, …) dat toelaat om eenduidig te weten wie de entiteit is

– een entiteit heeft één en slechts één identiteit

• kenmerk– een attribuut van een entiteit, ander dan de attributen die de

identiteit van de entiteit bepalen, zoals een hoedanigheid, een functie in een bepaalde organisatie, een beroepskwalificatie, ...

– een entiteit kan verschillende kenmerken hebben


Identiteit, kenmerken en mandaten: wat ?

• mandaat– een recht verstrekt door een geïdentificeerde entiteit aan een

andere geïdentificeerde entiteit om in zijn naam en voor zijn rekening welbepaalde (juridische) handelingen te stellen

– een entiteit kan aan één of meerdere entiteiten één of meerdere mandaten verstrekken


Registratie: wat ?

• het proces waarbij de identiteit van een entiteit, een kenmerk van een entiteit of een mandaat

• met een voldoende zekerheid wordt vastgesteld

• vooraleer middelen ter beschikking worden gesteld aan de hand waarvan de identiteit, een kenmerk of een mandaat kunnen worden geauthentiseerd of geverifieerd


Authenticatie van de identiteit: wat ?

• het proces waarbij wordt nagegaan of de identiteit die een entiteit beweert te hebben om gebruik te kunnen maken van een elektronische dienst, de juiste identiteit is

• de authenticatie van de identiteit kan geschieden op basis van een controle van– kennis (vb. een paswoord)– bezit (vb. een certificaat op een elektronisch leesbare kaart)– biometrische eigenschap(pen)– een combinatie van één of meerdere van deze middelen


Verificatie van een hoedanigheid of mandaat: wat ?

• het proces waarbij wordt nagegaan of een kenmerk of mandaat die een entiteit beweert te hebben om gebruik te kunnen maken van een elektronische dienst, effectief een kenmerk of een mandaat van deze entiteit is

• de verificatie van een kenmerk of een mandaat kan geschieden op basis van– dezelfde soort middelen als deze gebruikt voor de authenticatie

van de identiteit– na authenticatie van de identiteit van een entiteit, door de

raadpleging van een gegevensbank (authentieke bron) waarin kenmerken of mandaten m.b.t. een geïdentificeerde entiteit worden opgeslagen


Gebruiker

Policy

Toepassing (PEP )

Toepassing

Policy

Beslissing (PDP)

Actie op

toepassing Beslissingsaanvraag

Beslissingsantwoord

Actieop

toepassingTOEGESTAAN

Policy Informatie

(PIP)

InformatieVraag /

Antwoord

Policy Administratie(PAP)

Ophalenpolicies

Authentieke bron

Policy Informatie

(PIP)

Informatievraag /

antwoord

Policy

repository

Actieop

toepassingGEWEIGERD

Beheerder

Autorisatiebeheer

Authentieke bron


Niv Registratie

identiteit burgers

Authenticatie

identiteit burgers

Toepassingen

0 geen geen openbare info/diensten

1 on line door ingave Rijksregisternummer, nummer identiteitskaart en nummer SIS-kaart

gebruikersnummer en paswoord gekozen door gebruiker

info/diensten van lage gevoeligheid

2 niveau 1 + verzending e-mail met activerings-url naar door burger opgegeven e-mailadres en verzending papieren token naar hoofdverblijfplaats burger in Rijksregister

niveau 1 + ingave van 1 willekeurig gevraagde letterreeks vermeld op het token (bevat 24 letterreekss)

info/diensten van gemiddelde gevoeligheid

3 fysieke aanmelding bij de gemeente voor verwerving EID

authenticatie-certificaat op EID + paswoord per sessie

info/diensten van hoge gevoeligheid


authenticatie-certificaat op EID + handtekening-certificaat op EID + paswoord per transactie

diensten die elektronische handtekening vereisen


Burgers

• een burger krijgt op heden enkel toegang tot– openbare informatie en diensten– niet-openbare diensten m.b.t. zichzelf

• dus enkel nood aan– registratie van de identiteit– authenticatie van de identiteit op een niveau aangepast aan de

graad van gevoeligheid van de dienst

• (vooralsnog) geen– verificatie van kenmerken– verificatie van mandaten


Beroepsbeoefenaars

• wie ?– medewerkers van de overheidsdiensten– vrije beroepen: zorgverstrekkers (artsen, apothekers, …),

notarissen, gerechtsdeurwaarders, boekhouders, …– ...

• registratie en authenticatie van de identiteit– zie burgers– voor medewerkers van overheidsdiensten wordt bij niveau 2 het

token evenwel opgestuurd naar de veiligheidsconsulent van de overheidsdienst waarvan de betrokkene een medewerker is en door die veiligheidsconsulent aan de medewerker overhandigd


Beroepsbeoefenaars

• registratie van kenmerken en mandaten– aanduiding door de overheid, per soort van beroepsbeoefenaar,

van een instantie die met voldoende zekerheid het kenmerk of het mandaat kan vaststellen

– ingave van het kenmerk of mandaat door de betrokken instantie in een authentieke bron (PIP) toegankelijk voor alle belanghebbenden

• verificatie van kenmerken en mandaten– raadpleging van de authentieke bron (PIP) toegankelijk voor alle

belanghebbenden– indien gebruik van het token, ook willekeurig gevraagde

letterreeks vermeld op het token


Niv Registratie identiteit

mandaathouders

van ondernemingen

Authenticatie identiteit

mandaathouders

van ondernemingen

Toepassingen

0 geen geen openbare info/diensten

1 lokale beheerder: brief aan de RSZ vanwege de onderneming waarvoor de betrokkene als lokale beheerder optreedt

andere medewerkers: validatie door de lokale beheerder

gebruikersnummer en paswoord info/diensten van lage en gemiddelde gevoeligheid


authenticatie-certificaat op EID + paswoord per sessie

info/diensten van hoge gevoeligheid


authenticatie-certificaat op EID + handtekening-certificaat op EID + paswoord per transactie

diensten die elektronische handtekening vereisen


Registratie mandaten ondernemingen

• voor alle belanghebbenden toegankelijke authentieke bron (PIP) bij de RSZ met – per onderneming, mandaat van lokale beheerder om namens de

onderneming gebruik te maken van bepaalde info/diensten

– per onderneming, eventueel mandaat van dienstverlener (erkend sociaal secretariaat of andere dienstverlener) om namens onderneming gebruik te maken van bepaalde info/diensten

– per dienstverlener, mandaat van lokale beheerder om namens dienstverlener gebruik te maken van bepaalde info/diensten

– mogelijkheid voor lokale beheerders van ondernemingen/ dienstverleners om mandaten toe te kennen aan andere aangestelden van een onderneming/dienstverlener om namens onderneming/ dienstverlener gebruik te maken van bepaalde info/diensten


Registratie mandaten ondernemingen

• voorziene evolutie– uitbreiding toepassingsgebied tot alle ondernemingen en

dienstverleners (was oorspronkelijk beperkt tot werkgevers)– mogelijkheid tot elektronische registratie van het mandaat van

de lokale beheerder van een onderneming/dienstverlener op basis van een elektronische handtekening van de persoon die bevoegd is om de onderneming/dienstverlener te verbinden

– aanpassing aan nieuwe behoeften van onderscheiden belanghebbenden onder coördinatie van een gebruikersgroep


Autorisatiebeheer: begrippen

• autorisatie: toelating voor een entiteit om een welbepaalde verwerking te verrichten of een welbepaalde dienst te gebruiken

• autorisatiegroep: een groep van autorisaties• rol: een groep van autorisaties of autorisatiegroepen gerelateerd

aan een welbepaalde dienst• role based access control (RBAC): een methode waarbij de

toewijzing van autorisaties aan entiteiten geschiedt via autorisatiegroepen en rollen, om het beheer van de autorisaties en de toewijzing ervan aan entiteiten administratief te vereenvoudigen

Entiteit

Autorisatie(groep)

Rol

Dienst


Registratie en verificatie van autorisaties

• registratie– ingave in een authentieke bron van autorisaties (PAP) door de

aanbieder van de elektronische dienst, met specificatie van welke verwerkingen mogen worden verricht m.b.t. welke diensten onder welke voorwaarden (bvb. kenmerken, mandaten, …) gedurende welke tijdsperiode

– bepaalde entiteiten (vb. lokale beheerders) kunnen de aan hen toegekende autorisaties verder toekennen aan entiteiten die zij aanduiden door ingave in een authentieke bron van autorisaties (PAP)

• verificatie– raadpleging van de relevante authentieke bronnen van

autorisaties (PAP)


Welk veiligheidsniveau kiezen ?

• verantwoordelijkheid van de aanbieder van een elektronische dienst onder toezicht van de Commissie voor de Bescherming van de Persoonlijke Levenssfeer

• gebaseerd op risico-analyse en afhankelijk van o.a.– soort verwerking: mededeling, raadpleging, wijziging, …

– personeel toepassingsgebied van de dienst: verwerking van de gegevens van enkel de gebruiker of ook van andere personen

– vertrouwelijkheidsgraad van de soorten verwerkte gegevens

– mogelijke impact van de verwerking

• bovenop het gewenste beveiligingsniveau kan het gebruik van de elektronische handtekening ook worden vereist om de aanbieder tegen elke latere betwisting te behoeden


Principe van "cirkels van vertrouwen"

• doel– vermijden van onnodige centralisatie– vermijden van onnodige bedreigingen voor de persoonlijke

levenssfeer– vermijden van meervoudige identieke controles en opslag van

loggings


Principe van "cirkels van vertrouwen"

• methode: taakverdeling tussen de bij elektronische dienstverlening betrokken instanties met duidelijke afspraken inzake– wie welke authenticaties, verificaties en controles verricht aan de hand

van welke middelen en daarvoor verantwoordelijk en aansprakelijk is

– hoe tussen de betrokken instanties de resultaten van de verrichte authenticaties, verificaties en controles op een veilige wijze elektronisch worden uitgewisseld

– wie welke loggings bijhoudt

– hoe ervoor wordt gezorgd dat bij onderzoek, op eigen initiatief van een controle-orgaan of n.a.v. klacht, een volledige tracing kan geschieden van welke natuurlijke persoon welke dienst of transactie m.b.t. welke burger of onderneming wanneer, via welk kanaal en voor welke doeleinden heeft gebruikt


Besluit

• geïntegreerd basissysteem voor gebruikers- en toegangsbeheer voor burgers, beroepsbeoefenaars en ondernemingen bestaat

• met gecoördineerde toewijzing van taken aan meest geschikte partners

• toegankelijk via open standaarden• systeem laat gebruik van basisdiensten toe zonder

verlies van autonomie• systeem moet verder evolueren in functie van de

behoeften van de belanghebbenden => meld u !

8 november 2006Frank Robben. Gebruikers- en toegangsbeheer: beschikbare diensten Frank Robben...

Documents

Transcript of 8 november 2006Frank Robben. Gebruikers- en toegangsbeheer: beschikbare diensten Frank Robben...