Versions Compared

Old Version 16

changes.mady.by.user Joakim Sandberg

Saved on

compared with

New Version Current

changes.mady.by.user Joakim Sandberg

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

När olika parter ska utbyta information är det ofta relevant att säkerställa vem man pratar med, från båda sidor sätt. Vidare att den man utbyter information med har den behörighet som krävs för att få åtkomst. Traditionellt eller historiskt sätt finns det ofta lokala behörighetskataloger i olika former med replikerad eller lokalt hanterad information, likaså att man "loggar in" i det system som man avser att ha tillgång till. I ett mer federativt ekosystem så loggar man in i sin egen information, behörigheten administreras i stor även inom den egna organisationen och dessa förmedlas vid anrop (som användare eller som systemanvändare) som ett behörighetsunderlag som beslut om åtkomst kan utgå från.

I en sådan förmedling är det viktigt att det finns tillit till behörighetsunderlaget, med olika nivåer för att inte driva mer långtgående krav än vad som är adekvat på en viss nivå. Signalering av förväntad nivå av tillit avseende behörighetsunderlaget sker med hjälp av tillitsmärken där Ena (läs: Digg som ledningsaktör) är ägare av dessa märken. De partar som bidrar direkt till underlaget eller förmedlar eller på annat sätt bearbetar eller hanterar underlaget behöver även omfattas av krav kopplat till tilliten.


Grundläggande faktorer som är viktiga kopplat till arbetet:

  • Bred återanvändning av gemensamma LoT-märken oavsett tillämpningar/sektorer/domäner eller typen av information.
    • Generella och med en gemensam grund som alla kan acceptera och känna igen sig i
  • Aktiv vidareutveckling och förvaltning av märken och dess krav
    • När nya parter ansluter kan det komma nya krav eller upptäcker som föranleder ändringar i den gemensamma grunden.
    • Säkerhet eller snarare hot mot är under ständig förändring och därmed behöver en aktiv livscykelhantering finnas för att möte upp mot det.

  

Gemensam grund att utgå från vid framtagande av tillitsmärken 

...

Level of TrustNär ska man kräva det och vad innebär det?
LoT-1

Tillräcklig tillitsgrundande förmåga hos komponenten för att tillåta samverkan där grad av konsekvens av brist på riktighet är högst R1 och brist på konfidentialitet är högst K1

Konsekvenser som ligger på försumbar skada.

LoT-2

Tillräcklig tillitsgrundande förmåga hos komponenten för att tillåta samverkan där grad av konsekvens av brist på riktighet är högst R2 och brist på konfidentialitet är högst K2.

Konsekvenser som ligger på måttlig skada.

LoT-3

Tillräcklig tillitsgrundande förmåga hos komponenten för att tillåta samverkan där grad av konsekvens av brist på riktighet är högst R3 och brist på konfidentialitet är högst K3.

Konsekvenser som ligger på betydande skada.

LoT-4

Tillräcklig tillitsgrundande förmåga hos komponenten för att tillåta samverkan där grad av konsekvens av brist på riktighet är högst R4 och brist på konfidentialitet är högst K4.

Konsekvenser som ligger på allvarlig skada.

Status
subtletrue
colourYellow
titleANTAGANDE:
Krav på att flerfaktorsautentisering formellt enligt Svensk e-legitimation (eller andra av X godkända ramverk, ex statlig e-leg?) på minst LoA-X används. Att användning avser samtliga funktionsobjekt där det är relevant och inte endast kopplat till slutanvändaren.

För systemanvändare .... 

...