...
Ett tillitsmärke för behörighet ska användas för att uppvisa graden av tillit eller korrekthet av den information som förmedlas, där underlag från autentisering i form av identitet även kan förmedlas. Exempelvis skulle man kunna likställa genomförd autentiseringen och dess identitet som en "attributkälla" motsvarande andra attribut eller egenskaper som kläs på.
Förslag på nivåer av tillit
Vad innebär det att en komponent är innehavare av ett tillitsmärke på en viss tillitsnivå?
Vi utgår ifrån MSB:s stöd för informationsklassning (Ref: Klassningsmodell, MSB) och väljer att basera våra tillitsnivåer på stödet "Klassningsmatris A - Fyra nivåer".
Not: Klassa som kommuner använder har en skala på 1-3 och på 4 faller säkerhetskyddsklassificerad information ut. Det vill säga en tre-gradig skala
Level of Trust | När ska man kräva det och vad innebär det? |
|---|---|
| LoT-1 | Konsekvenser som ligger på försumbar skada avseende konfidentialitet eller riktighet. |
| LoT-2 | Konsekvenser som ligger på måttlig skada avseende konfidentialitet eller riktighet. |
LoT-3 | Konsekvenser som ligger på betydande skada avseende konfidentialitet eller riktighet. |
| LoT-4 | Konsekvenser som ligger på allvarlig skada avseende konfidentialitet eller riktighet. ANTAGANDE: Krav på att flerfaktorsautentisering formellt enligt Svensk e-legitimation (eller andra av X godkända ramverk, ex statlig e-leg?) på minst LoA-X används. Att användning avser samtliga funktionsobjekt där det är relevant och inte endast kopplat till slutanvändaren. För systemanvändare .... |
Tanken är sedan att en tillämpning som kräver en viss tillitsnivå kräver att alla komponenter som ingår i tillitskedjan har Ena tillitsmärke på minst den tillitsnivån.
ANTAGANDE: Att befintliga implementationer på ett generellt plan inom hälsa- vård och omsorg i dag ligger på en motsvarande LoT-3 och bör hamna där inom Ena. Med utrymme att i specifika fall, eller specifika tillämpningar där åtkomsten är bred kan kvalificera sig till LoT-4, vidare även kopplingar till eIDAS/HIGH etc.
Tillitsmärken
Krav och efterlevnadskontroll vid tilldelning av tillitsmärken
...
Exempel på tillämpning av tillitsstrukturen
| Status | ||||
|---|---|---|---|---|
|
...
bra om vi exemplifierar en eller flera tillämpningar av föreslagen struktur.