Versions Compared

Old Version 12

changes.mady.by.user Henric Norlander

Saved on

compared with

New Version 13

changes.mady.by.user Joakim Sandberg

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

När två parter behöver utbyta information kan det vara så att respektive sida först behöver säkerställa att det motparten är den tilltänkta parten som man kommunicerar med samt att man är behörig till informationen. Det den den utger sig att vara, och att denne är behörig att ta del av den information som delas. Det är informationsägaren som ansvarar för säkerställa att man är behörig innan informationen kan lämnas ut. Det finns både fall där man inte ställer särskilda krav på behörighet (exempelvis öppen data) och andra där man behöver veta vem organisationen, systemet eller individen som har åtkomst är och egenskaper kopplade till dem. (exempelvis att man har ett uppdrag, en specifik kompetens etc) Man kan förenklat säga att det är en skala från inget behov alls till hög tillförlitlighet till underlaget som ger behörighet, normalt även i direkt proportion till informationens känslighet.

Inom ramen för detta dokument avser omfattar tillit , tillförlitligheten till den behörighetsgrundande informationen som behövs och förmedlas mellan parterna vid åtkomst. I ett mer komplext ekosystem kan åtkomster dels ske i flera led, men det är även fler parter som samverkar i informationsutbytet och dessa sammantaget är en del av tillitsstrukturen.

...

främst tilliten till att förmedling och hantering av identiteter och behörighetsgrundande information sker på ett säkert sätt. Detta ska i sin tur minimera risken för obehörig åtkomst till information. I dagens komplexa samverkan, där man ofta behöver hämta och behandla information från flera parter för att stödja verksamhetsbehov, behöver också tilliten upprätthållas i flera led mellan alla parter som tar fram det underlag som behövs för åtkomstbeslut. För att möjliggöra korrekta åtkomstbeslut krävs att tillit kan skapas till alla inblandade parter och komponenter - detta är målet med Enas tillitsstruktur, vilken presenteras nedan.

Drivkrafter och principer

  • Bred återanvändning av gemensamma, generella och överenskomna nivåer av tillit. 
    • Oavsett tillämpningar/sektorer/domäner eller typen av information.
    • En gemensam grund som alla kan acceptera och känna igen sig i
  • Aktiv vidareutveckling och förvaltning av märken och dess krav
    • När nya parter ansluter kan det komma nya krav eller upptäcker som föranleder ändringar i den gemensamma grunden.
    • Säkerhet eller snarare säkerhetshot är under ständig förändring och därmed behöver en aktiv livscykelhantering finnas för att möta upp mot detta.
  • Det ska vara lätt för befintliga digitala tillämpning i samhället att relatera och kunna förflytta sig mot.

Summering

Förslag på tillitsstruktur

...

Detta kan synliggöras genom ställa upp värdena i en matris med konfidentialitet och riktighet på axlarna, där det högsta värdet styr utfallet.

K/R

1

2

3

4

44444
33334
22234
11234

Det vill säga att när antingen konfidentialiteten eller riktigheten överstiger ett visst värde så faller likvärdiga krav och säkerhetsåtgärder ut kopplat till identitet och behörighet.

...