Gebruikers- en toegangsbeheer: beschikbare diensten

1
(No Transcript)
2
Gebruikers- en toegangsbeheerbeschikbare
diensten

• Frank Robben
• Administrateur-generaal Kruispuntbank Sociale
  Zekerheid
• Gedelegeerd bestuurder SmalS-MvM
• Sint-Pieterssteenweg 375
• B-1040 Brussel
• E-mail Frank.Robben_at_ksz.fgov.be
• Website KSZ www.ksz.fgov.be
• Eigen website www.law.kuleuven.ac.be/icri/frobben

3
Beschikbare diensten

• 3 doelgroepen
• burgers
• beroepsbeoefenaars
• ondernemingen en hun dienstverleners
• verschillende aspecten
• registratie van de identiteit
• authenticatie van de identiteit
• registratie van kenmerken en mandaten
• verificatie van kenmerken en mandaten
• registratie van autorisaties
• verificatie van autorisaties

4
Identiteit, kenmerken en mandaten wat ?

• identiteit
• een uniek nummer of een reeks attributen van een
  entiteit (natuurlijke persoon, onderneming,
  vestiging van een onderneming, ) dat toelaat om
  eenduidig te weten wie de entiteit is
• een entiteit heeft één en slechts één identiteit
• kenmerk
• een attribuut van een entiteit, ander dan de
  attributen die de identiteit van de entiteit
  bepalen, zoals een hoedanigheid, een functie in
  een bepaalde organisatie, een beroepskwalificatie,
  ...
• een entiteit kan verschillende kenmerken hebben

5
Identiteit, kenmerken en mandaten wat ?

• mandaat
• een recht verstrekt door een geïdentificeerde
  entiteit aan een andere geïdentificeerde entiteit
  om in zijn naam en voor zijn rekening welbepaalde
  (juridische) handelingen te stellen
• een entiteit kan aan één of meerdere entiteiten
  één of meerdere mandaten verstrekken

6
Registratie wat ?

• het proces waarbij de identiteit van een
  entiteit, een kenmerk van een entiteit of een
  mandaat
• met een voldoende zekerheid wordt vastgesteld
• vooraleer middelen ter beschikking worden gesteld
  aan de hand waarvan de identiteit, een kenmerk of
  een mandaat kunnen worden geauthentiseerd of
  geverifieerd

7
Authenticatie van de identiteit wat ?

• het proces waarbij wordt nagegaan of de
  identiteit die een entiteit beweert te hebben om
  gebruik te kunnen maken van een elektronische
  dienst, de juiste identiteit is
• de authenticatie van de identiteit kan geschieden
  op basis van een controle van
• kennis (vb. een paswoord)
• bezit (vb. een certificaat op een elektronisch
  leesbare kaart)
• biometrische eigenschap(pen)
• een combinatie van één of meerdere van deze
  middelen

8
Verificatie van een hoedanigheid of mandaat wat ?

• het proces waarbij wordt nagegaan of een kenmerk
  of mandaat die een entiteit beweert te hebben om
  gebruik te kunnen maken van een elektronische
  dienst, effectief een kenmerk of een mandaat van
  deze entiteit is
• de verificatie van een kenmerk of een mandaat kan
  geschieden op basis van
• dezelfde soort middelen als deze gebruikt voor de
  authenticatie van de identiteit
• na authenticatie van de identiteit van een
  entiteit, door de raadpleging van een
  gegevensbank (authentieke bron) waarin kenmerken
  of mandaten m.b.t. een geïdentificeerde entiteit
  worden opgeslagen

9
Actie
op
Actie
toepassing
Policy
op
GEWEIGERD
toepassing
Gebruiker
Toepassing
Toepassing
TOEGESTAAN
(
PEP
)
Actie
op
toepassing
Beslissings
Beslissings
aanvraag
antwoord
Informatie
vraag
/
Policy
Ophalen
antwoord
policies
Beslissing
(
PDP
)
Informatie
Vraag
/
Antwoord
Autorisatie
Policy Administratie
Policy Informatie
Policy Informatie
beheer
(
PIP
)
(
PAP
)
(
PIP
)
Beheerder
Authentieke bron
Authentieke bron
Policy
repository
10
Niv Registratie identiteit burgers Authenticatie identiteit burgers Toepassingen
0 geen geen openbare info/diensten
1 on line door ingave Rijksregisternummer, nummer identiteitskaart en nummer SIS-kaart gebruikersnummer en paswoord gekozen door gebruiker info/diensten van lage gevoeligheid
2 niveau 1 verzending e-mail met activerings-url naar door burger opgegeven e-mailadres en verzending papieren token naar hoofdverblijfplaats burger in Rijksregister niveau 1 ingave van 1 willekeurig gevraagde letterreeks vermeld op het token (bevat 24 letterreekss) info/diensten van gemiddelde gevoeligheid
3 fysieke aanmelding bij de gemeente voor verwerving EID authenticatie-certificaat op EID paswoord per sessie info/diensten van hoge gevoeligheid
4 fysieke aanmelding bij de gemeente voor verwerving EID authenticatie-certificaat op EID handtekening-certificaat op EID paswoord per transactie diensten die elektronische handtekening vereisen
11
(No Transcript)
12
(No Transcript)
13
Burgers

• een burger krijgt op heden enkel toegang tot
• openbare informatie en diensten
• niet-openbare diensten m.b.t. zichzelf
• dus enkel nood aan
• registratie van de identiteit
• authenticatie van de identiteit op een niveau
  aangepast aan de graad van gevoeligheid van de
  dienst
• (vooralsnog) geen
• verificatie van kenmerken
• verificatie van mandaten

14
Beroepsbeoefenaars

• wie ?
• medewerkers van de overheidsdiensten
• vrije beroepen zorgverstrekkers (artsen,
  apothekers, ), notarissen, gerechtsdeurwaarders,
  boekhouders,
• ...
• registratie en authenticatie van de identiteit
• zie burgers
• voor medewerkers van overheidsdiensten wordt bij
  niveau 2 het token evenwel opgestuurd naar de
  veiligheidsconsulent van de overheidsdienst
  waarvan de betrokkene een medewerker is en door
  die veiligheidsconsulent aan de medewerker
  overhandigd

15
Beroepsbeoefenaars

• registratie van kenmerken en mandaten
• aanduiding door de overheid, per soort van
  beroepsbeoefenaar, van een instantie die met
  voldoende zekerheid het kenmerk of het mandaat
  kan vaststellen
• ingave van het kenmerk of mandaat door de
  betrokken instantie in een authentieke bron (PIP)
  toegankelijk voor alle belanghebbenden
• verificatie van kenmerken en mandaten
• raadpleging van de authentieke bron (PIP)
  toegankelijk voor alle belanghebbenden
• indien gebruik van het token, ook willekeurig
  gevraagde letterreeks vermeld op het token

16
Niv Registratie identiteit mandaathouders van ondernemingen Authenticatie identiteit mandaathouders van ondernemingen Toepassingen
0 geen geen openbare info/diensten
1 lokale beheerder brief aan de RSZ vanwege de onderneming waarvoor de betrokkene als lokale beheerder optreedt andere medewerkers validatie door de lokale beheerder gebruikersnummer en paswoord info/diensten van lage en gemiddelde gevoeligheid
2 fysieke aanmelding bij de gemeente voor verwerving EID authenticatie-certificaat op EID paswoord per sessie info/diensten van hoge gevoeligheid
3 fysieke aanmelding bij de gemeente voor verwerving EID authenticatie-certificaat op EID handtekening-certificaat op EID paswoord per transactie diensten die elektronische handtekening vereisen
17
Registratie mandaten ondernemingen

• voor alle belanghebbenden toegankelijke
  authentieke bron (PIP) bij de RSZ met
• per onderneming, mandaat van lokale beheerder om
  namens de onderneming gebruik te maken van
  bepaalde info/diensten
• per onderneming, eventueel mandaat van
  dienstverlener (erkend sociaal secretariaat of
  andere dienstverlener) om namens onderneming
  gebruik te maken van bepaalde info/diensten
• per dienstverlener, mandaat van lokale beheerder
  om namens dienstverlener gebruik te maken van
  bepaalde info/diensten
• mogelijkheid voor lokale beheerders van
  ondernemingen/ dienstverleners om mandaten toe te
  kennen aan andere aangestelden van een
  onderneming/dienstverlener om namens onderneming/
  dienstverlener gebruik te maken van bepaalde
  info/diensten

18
Registratie mandaten ondernemingen

• voorziene evolutie
• uitbreiding toepassingsgebied tot alle
  ondernemingen en dienstverleners (was
  oorspronkelijk beperkt tot werkgevers)
• mogelijkheid tot elektronische registratie van
  het mandaat van de lokale beheerder van een
  onderneming/dienstverlener op basis van een
  elektronische handtekening van de persoon die
  bevoegd is om de onderneming/dienstverlener te
  verbinden
• aanpassing aan nieuwe behoeften van onderscheiden
  belanghebbenden onder coördinatie van een
  gebruikersgroep

19
Autorisatiebeheer begrippen

• autorisatie toelating voor een entiteit om een
  welbepaalde verwerking te verrichten of een
  welbepaalde dienst te gebruiken
• autorisatiegroep een groep van autorisaties
• rol een groep van autorisaties of
  autorisatiegroepen gerelateerd aan een
  welbepaalde dienst
• role based access control (RBAC) een methode
  waarbij de toewijzing van autorisaties aan
  entiteiten geschiedt via autorisatiegroepen en
  rollen, om het beheer van de autorisaties en de
  toewijzing ervan aan entiteiten administratief te
  vereenvoudigen

Autorisatie
Entiteit

Rol

Dienst

(groep)


20
Registratie en verificatie van autorisaties

• registratie
• ingave in een authentieke bron van autorisaties
  (PAP) door de aanbieder van de elektronische
  dienst, met specificatie van welke verwerkingen
  mogen worden verricht m.b.t. welke diensten onder
  welke voorwaarden (bvb. kenmerken, mandaten, )
  gedurende welke tijdsperiode
• bepaalde entiteiten (vb. lokale beheerders)
  kunnen de aan hen toegekende autorisaties verder
  toekennen aan entiteiten die zij aanduiden door
  ingave in een authentieke bron van autorisaties
  (PAP)
• verificatie
• raadpleging van de relevante authentieke bronnen
  van autorisaties (PAP)

21
Welk veiligheidsniveau kiezen ?

• verantwoordelijkheid van de aanbieder van een
  elektronische dienst onder toezicht van de
  Commissie voor de Bescherming van de Persoonlijke
  Levenssfeer
• gebaseerd op risico-analyse en afhankelijk van
  o.a.
• soort verwerking mededeling, raadpleging,
  wijziging,
• personeel toepassingsgebied van de dienst
  verwerking van de gegevens van enkel de gebruiker
  of ook van andere personen
• vertrouwelijkheidsgraad van de soorten verwerkte
  gegevens
• mogelijke impact van de verwerking
• bovenop het gewenste beveiligingsniveau kan het
  gebruik van de elektronische handtekening ook
  worden vereist om de aanbieder tegen elke latere
  betwisting te behoeden

22
Principe van "cirkels van vertrouwen"

• doel
• vermijden van onnodige centralisatie
• vermijden van onnodige bedreigingen voor de
  persoonlijke levenssfeer
• vermijden van meervoudige identieke controles en
  opslag van loggings

23
Principe van "cirkels van vertrouwen"

• methode taakverdeling tussen de bij
  elektronische dienstverlening betrokken
  instanties met duidelijke afspraken inzake
• wie welke authenticaties, verificaties en
  controles verricht aan de hand van welke middelen
  en daarvoor verantwoordelijk en aansprakelijk is
• hoe tussen de betrokken instanties de resultaten
  van de verrichte authenticaties, verificaties en
  controles op een veilige wijze elektronisch
  worden uitgewisseld
• wie welke loggings bijhoudt
• hoe ervoor wordt gezorgd dat bij onderzoek, op
  eigen initiatief van een controle-orgaan of
  n.a.v. klacht, een volledige tracing kan
  geschieden van welke natuurlijke persoon welke
  dienst of transactie m.b.t. welke burger of
  onderneming wanneer, via welk kanaal en voor
  welke doeleinden heeft gebruikt

24
Besluit

• geïntegreerd basissysteem voor gebruikers- en
  toegangsbeheer voor burgers, beroepsbeoefenaars
  en ondernemingen bestaat
• met gecoördineerde toewijzing van taken aan meest
  geschikte partners
• toegankelijk via open standaarden
• systeem laat gebruik van basisdiensten toe zonder
  verlies van autonomie
• systeem moet verder evolueren in functie van de
  behoeften van de belanghebbenden gt meld u !