Versions Compared

Old Version 29

changes.mady.by.user Anders Malmros

Saved on

compared with

New Version 30

changes.mady.by.user Anders Malmros

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

Detta kan synliggöras genom ställa upp värdena i en matris med konfidentialitet och riktighet på axlarna, där det högsta värdet styr utfallet.

K/R

1

2

3

4

44444
33334
22234
11234

Det vill säga att när antingen konfidentialiteten eller riktigheten överstiger ett visst värde så faller likvärdiga krav och säkerhetsåtgärder ut kopplat till identitet och behörighet.

...

Vi föreslår att Ena baserar sina tillitsnivåer på stödet "Klassningsmatris A - Fyra nivåer". Modellen Klassa som används av kommuner använder har en tregradig skala men där ser vi det som att nivå 4 som beskriver säkerhetskyddsklassificerad information har utelämnats. 

Level of Trust

När ska man kräva det och vad innebär det?

LoT-1

Ett riktmärke är att konsekvenser ligger på försumbar skada avseende konfidentialitet eller riktighet.

LoT-2

Ett riktmärke är att konsekvenser ligger på måttlig skada avseende konfidentialitet eller riktighet.

LoT-3

Ett riktmärke är att konsekvenser ligger på betydande skada avseende konfidentialitet eller riktighet.

LoT-4

Ett riktmärke är att konsekvenser ligger på allvarlig skada avseende konfidentialitet eller riktighet.

ANTAGANDE: Krav på att flerfaktorsautentisering formellt enligt Svensk e-legitimation (eller andra av X godkända ramverk, ex statlig e-leg?) på minst LoA-X används. Att användning avser samtliga funktionsobjekt där det är relevant och inte endast kopplat till slutanvändaren.

För systemanvändare .... 

Det finns två olika modeller för hur man kan kombinera tillitsmärken och tillitsnivåer. Antingen har man fristående tillitsmärken för tillitsnivån man som komponent erbjuder, eller så har man nivåspecifika tillitsmärken för varje IAM-förmåga. Då vi strävar efter en så enkel modell som möjligt att hantera och administrera för parterna förordar vi i dagsläget fristående tillitsmärken för tillitsnivåer, men vår rekommendation kan förändras längre fram.

...

En tillämpning som kräver en viss tillitsnivå kan kräva att alla komponenter som ingår i tillitskedjan erbjuder IAM-förmågor på minst den tillitsnivån.

Notera att LoT-nivå inte nödvändigtvis kan mappas mot Svensk e-legitimations LoA-nivåer!

Tillitsskapande krav

@TODO

...

--- Anders förslag är att allt nedan tas bort (utom kanske 3. Exempel...)---



Tillitsmärken och tillitsnivåer

...