...
Förslag på nivåer av tillit
Vad innebär det att en komponent är innehavare av ett tillitsmärke på en viss tillitsnivå?
Vi utgår ifrån MSB:s stöd för informationsklassning (Ref: Klassningsmodell, MSB) och väljer att basera våra tillitsnivåer på stödet "Klassningsmatris A - Fyra nivåer".
Not: Klassa som kommuner använder har en skala på 1-3 och på 4 faller säkerhetskyddsklassificerad information ut. Det vill säga en tre-gradig skala
Level of Trust | När ska man kräva det och vad innebär det? |
|---|---|
| LoT-1 |
Ett riktmärke är att konsekvenser ligger på försumbar skada avseende konfidentialitet eller riktighet. |
| LoT-2 |
Ett riktmärke är att konsekvenser ligger på måttlig skada avseende konfidentialitet eller riktighet. |
LoT-3 |
Ett riktmärke är att konsekvenser ligger på betydande skada avseende konfidentialitet eller riktighet. |
| LoT-4 |
Ett riktmärke är att konsekvenser ligger på allvarlig skada avseende konfidentialitet eller riktighet. ANTAGANDE: Krav på att flerfaktorsautentisering formellt enligt Svensk e-legitimation (eller andra av X godkända ramverk, ex statlig e-leg?) på minst LoA-X används. Att användning avser samtliga funktionsobjekt där det är relevant och inte endast kopplat till slutanvändaren. För systemanvändare .... |
Tanken är sedan att en tillämpning som kräver en viss tillitsnivå kräver att alla komponenter som ingår i tillitskedjan har Ena tillitsmärke på minst den tillitsnivån.
ANTAGANDE: Att befintliga implementationer på ett generellt plan inom hälsa- vård och omsorg i dag ligger på en motsvarande LoT-3 och bör hamna där inom Ena. Med utrymme att i specifika fall, eller specifika tillämpningar där åtkomsten är bred kan kvalificera sig till LoT-4, vidare även kopplingar till eIDAS/HIGH etc.
Tillitsmärken
Krav och efterlevnadskontroll vid tilldelning av tillitsmärken
...