NIST har publisert utkast til veiledning i elektronisk autentisering

Som faste lesere av Sikkerhetsbloggen kanskje har lagt merke til, følger NSM NIST tett med tanke på publisering av veiledninger, anbefalinger og krav.

Ill.: NIST

Ill.: NIST

Denne gang har NIST publisert et utkast til «Electronic Authentication Guideline». Det komplette navnet er «Draft NIST Special Publication 800-63-2 Electronic Authentication Guideline» og utkastet kan lastes ned herfra.

NIST selv beskriver dokumentet slik:

The recommendation covers remote authentication of users (such as employees, contractors, or private individuals) interacting with government IT systems over open networks.

Noe som gjør det interessant er å sammenligne utkastet med Fornyings-, administrasjons- og kirkedepartementets retningslinjer «Rammeverk for autentisering og uavviselighet i elektronisk kommunikasjon med og i offentlig sektor» som er tilgjengelig her.

På samme måte som FADs rammeverk har fire sikkerhetsnivåer, har NISTs utkast fire tillitsnivåer, og begge bruker 1 som laveste og 4 som høyeste nivå. NIST beskriver dette videre som:

It defines technical requirements for each of four levels of assurance in the areas of identity proofing, registration, tokens, management processes, authentication protocols and related assertions.

NISTs utkast går lenger enn FADs retningslinjer og presenterer mer enn  bare krav som antall faktorer og utleveringsprosedyre, men dekker ikke, som FADs dokument, risikohåndtering.

Det kanskje mest spennende i utkastet er gjennomgangen av trusler de anser relevante og som de avhengig av tillitsnivå må beskytte seg mot. For eksempel dekkes trusler ved selve utstedelsesprosessen i kapittel 5.2, trusler mot tokens i kapittel 6.2, trusler mot legitimasjoner i kapittel 7.2 og trusler mot autentiseringsprosessen i kapittel 8.2.

For å gi kommentarer på dokumentet, følg denne lenken og følg beskrivelsen.

About Lars Olaussen

Lars Olaussen er sjefingeniør i Nasjonal sikkerhetsmyndighet, avdeling for teknologi, seksjon for kryptoutvikling. Hans ansvarsområde er råd- og veiledning og krav- og tiltaksutvikling innen elektronisk identifikasjon, kryptoløsninger og nøkkelforvaltning for beskyttelse av lavgradert og annen sensitiv, men ugradert informasjon.
This entry was posted in forvaltningen, Informasjonssikkerhet, Internettsikkerhet. Bookmark the permalink.