...

När två parter behöver utbyta information kan det vara så att respektive sida först behöver säkerställa att motparten är den den utger sig att vara, och att denne är behörig att ta del av den information som delas. Det är informationsägaren som ansvarar för säkerställa att man är behörig innan informationen kan lämnas ut. Det finns fall där man inte alls ställer särskilda krav på behörighet - till exempelvis för öppen data. I andra fall kan det krävas säkerställd information om vem organisationen, systemet och/eller individen som begär åtkomst är och vad som berättigar åtkomsten - till exempelvis att man har ett tilldelat uppdrag, en specifik kvalifikation, eller liknande. Man kan förenklat säga att det är en skala från inget behov alls till hög tillförlitlighet till underlaget som ger behörighet. Var på skalan man är för en specifik åtkomst står normalt i direkt proportion till informationens känslighet.Inom ramen för detta dokument beskrivs ett ramverk för att ge tillit till att förmedling och hantering av identiteter och behörighetsgrundande information sker på ett säkert sätt. Detta ramverk ska minimera risken för obehörig åtkomst till information. I dagens komplexa samverkan, där man ofta behöver hämta och behandla information från flera parter för att stödja verksamhetsbehov, behöver också tilliten upprätthållas i flera led mellan alla parter som tar fram det underlag som behövs för åtkomstbeslut. För att möjliggöra korrekta åtkomstbeslut krävs att tillit kan skapas till alla inblandade parter och komponenter - detta är målet med Enas tillitsramverk.

...

Den föreslagna modellen utgår ifrån att de olika komponenter som deltar i en samverkan med utbyte av skyddsvärd information, bidrar med olika förmågor vid hantering av metadata, identiteter och behörighetsgrundande information. En grundsten i modellen är tillitsmärken som signalerar tillit och tilldelas komponenterna efter att specifika krav kopplade till tillitsmärket är uppfyllda. Vilka tillitsmärken som en komponent behöver beror på vilka förmågor som den realiserar.

Bild 1 - logisk modell som beskriver relationer mellan tillitsmärken, krav, IAM-förmågor och tekniska komponenter

Tekniska komponenter och IAM-förmågor

...

En IAM-förmåga innefattar här både en tekniska förmåga inom identitets- och behörighetsområdet och de verksamhetsprocesser som behövs för att upprätta och underhålla förmågan. IAM-förmågor realiseras av specifika tekniska komponenter och fungerar som byggstenar för tillit vid samverkan som kräver säker hantering av identiteter och åtkomstbeslut.

I modellen som visas i nedanstående bild och efterföljande tabell beskrivs de olika typer av tekniska komponenter och de vilka IAM-förmågor som de realiserar. 

Status
title TODO

Intygsutfärdade => Intygsutfärdande i bilden

Bild 2 - logisk modell som beskriver vilka IAM-förmågor som realiseras av vilka tekniska komponenter i en IAM-infrastruktur

Komponent	Beskrivning	IAM-förmåga	Beskrivning
Tillitsankare	Status title TODO	Betrodd metadatapublicering	Betrodd metadata är information om parter som är kontrollerad och publicerad av en betrodd aktör i federationen.
Anslutningspunkt	Status title TODO
Tillitsmärkesutfärdare	Status title TODO
Uppslag och verifieringstjänst	Status title TODO	Metadatavalidering	Status title TODO
Legitimeringstjänst	Status title TODO	Intygsutfärdande	Digitalt signerade påståenden om en användare, såsom vilken nivå av autentisering som skett, vilka behörighetsgrundande attribut som gäller, eller vilka rättigheter användaren tilldelats.
Auktorisationstjänst	Status title TODO
Attributkälla	Status title TODO	Attributhantering	Status title TODO
		Åtkomstkontroll	Status title TODO
Resurs Server (API)	Status title TODO
E-tjänst	Status title TODO
Klient	Status title TODO	Åtkomstbegäran	Här, en begäran om identitet- eller åtkomstintyg, innehållande avsett syfte med intyget, samt underlag för begärans behandling och för intygets utformning.

...

Tekniska komponenter och tillitsmärken

Att en teknisk komponent tilldelas ett tillitsmärke innebär tillitsmärke innebär att komponenten (och den organisation och verksamhet som ansvarar för komponenten) uppfyller de krav som krävs för att på ett tillitsfullt sätt kunna utföra eller erbjuda IAM-förmågor. För viss samverkan via digitala tjänster kan det finnas informationssäkerhetskrav som föranleder mer omfattande tillitskrav och detta tänker vi oss ska representeras av nivåindelad tillitsmärkning.

Underlag för exakt utformning av tillitsmärken, tillitsnivåer och tillitskrav presenteras nedan.

Tillitsmärken

För att markera en komponents förmåga att på ett tillitsfullt sätt realisera en IAM-förmåga ska kunna uttryckas föreslår vi att en tillitsmärkning per IAM-förmåga används.

1. Ena Tillitsmärke Metadatapublicering
2. Ena Tillitsmärke Metadatavalidering
3. Ena Tillitsmärke Intygsutfärdande
4. Ena Tillitsmärke Attributhantering
5. Ena Tillitsmärke Åtkomstkontroll
6. Ena Tillitsmärke Åtkomstbegäran

 Tillitsnivåer

Vi föreslår att behov av en viss tillitsnivå grundar sig i skyddsklassningen av den information eller funktion som en digital tjänst behandlar. För detta utgår vi ifrån MSB:s stöd för informationsklassning (Ref: Klassningsmodell, MSB). Identitet och behörighet inom Ena är inte en del av den ursprungliga klassningen utan snarare en säkerhetsåtgärd, med det är rimligt att anta att en given klassning har likvärdiga nivåer på åtgärder och att identitet och behörighet skulle kunna skapa mer generella paketeringar och utgöra en bra grund. Det vill säga att utifrån en klassning av en verksamhets information faller säkerhetsåtgärder ut.

Vidare är det huvudsakligen områdena konfidentialitet (behörighet att ta del) och riktighet (inte kunna förändras av obehöriga) som identitet och behörighet aktivt medverkar till att lösa delar av, även om tillgängligheten är viktig så är det snarare ett krav som verksamhetssystemet eller andra nyttjare ställer på tillämpningen av identitet och behörighet och inte en aktiv del av lösningen i den bemärkelsen. Likheterna mellan konfidentialitet och riktighet avseende identitet och behörighet är att på en stigande skala ökar behovet av att säkerställa vem eller vad det är som har åtkomst till, eller förändrar informationen.

Detta kan synliggöras genom ställa upp värdena i en matris med konfidentialitet och riktighet på axlarna, där det högsta värdet styr utfallet.

...

K/R

...

1

...

2

...

3

...

4

...

Vi ser vidare att specifika tillitsmärken behövs för att deklarera en specifik (högre) tillitsnivå för de IAM-förmågor som tillför behörighetsgrundande information. Denna nivåindelning ser vi inte behövs för de komponenter som endast läser och uttolkar existerande information. 

Vi föreslår tillitsmärken som mappar emot tekniska komponenter enligt nedanstående bild och tabell.

Image Added

Det vill säga att när antingen konfidentialiteten eller riktigheten överstiger ett visst värde så faller likvärdiga krav och säkerhetsåtgärder ut kopplat till identitet och behörighet.

https://metodstod-informationssakerhet.msb.se/globalassets/exempel-pa-matris-med-konsekvenskriterier-och-konsekvensnivaer-for-riskanalys.png

Vi föreslår att Ena baserar sina tillitsnivåer på stödet "Klassningsmatris A - Fyra nivåer". Modellen Klassa som används av kommuner använder har en tregradig skala men där ser vi det som att nivå 4 som beskriver säkerhetskyddsklassificerad information har utelämnats. 

Det finns två olika modeller för hur man kan kombinera tillitsmärken och tillitsnivåer. Antingen har man fristående tillitsmärken för tillitsnivån man som komponent komponenter erbjuder, eller så har man nivåspecifika tillitsmärken för varje IAM-förmåga. Då vi strävar efter en så enkel modell som möjligt att hantera och administrera för parterna förordar vi i dagsläget fristående tillitsmärken för tillitsnivåer, men vår rekommendation kan förändras längre fram.

1. Ena tillitsmärke LoT-1
2. Ena tillitsmärke LoT-2
3. Ena tillitsmärke LoT-3
4. Ena tillitsmärke LoT-4

En tillämpning som kräver en viss tillitsnivå kan kräva att alla komponenter som ingår i tillitskedjan erbjuder IAM-förmågor på minst den tillitsnivån.

Tillitsskapande krav

@TODO

Efterlevnadskontroll vid tilldelning av tillitsmärken

@TODO

--- Anders förslag är att allt nedan tas bort (utom kanske 3. Exempel...)---

Tillitsmärken och tillitsnivåer

För att nivåer av tillit ska kunna återanvändas är det viktigt att det finns en neutral och återanvändbar grund. Ansatsen är att den tillitsstruktur som etableras kan ses som säkerhetsåtgärder, vilket krav på, normalt faller ut vid en klassning av informationstillgången. Vidare även att oavsett typ av information (ex personuppgifter, hälsa, ekonomi etc) så är utfallen jämförbara. Vidare antagande är även att vid en visst klassningsresultat faller likvärdiga åtgärder ut.

 Informationssäkerhet och klassning av information

Informationssäkerhet handlar om att förhindra att information läcker ut, förvanskas och förstörs. Det handlar också om att rätt information ska finnas tillgänglig för rätt personer, i rätt tid. Det är normalt sätt informationsägaren som värderar eller klassar sin information och informationsbehandlande resurser utifrån olika skyddsvärden och därmed även identifierar säkerhetskrav. Myndigheten för samhällsskydd och beredskap (MSB) har bland annat ett metodstöd för att klassificera informationstillgångar som exempelvis på en fyrgradig skala klassificerar utifrån konfidentialitet, riktighet och tillgänglighet och för fortsatt resonemang kommer detta metodstöd att ligga till grund.

Utvikning kring tillitsnivåer

Vi föreslår att behov av en viss tillitsnivå grundar sig i klassningen av den information eller funktion som en digital tjänst behandlar. För detta utgår vi ifrån MSB:s stöd för informationsklassning (Ref: Klassningsmodell, MSB). Identitet och behörighet inom Ena är inte en del av den ursprungliga klassningen utan snarare en säkerhetsåtgärd, med det är rimligt att anta att en given klassning har likvärdiga nivåer på åtgärder och att identitet och behörighet skulle kunna skapa mer generella paketeringar som då antas motsvara en viss klassning, alternativt och utgöra en bra grund. Det vill säga att utifrån en klassning av en verksamhets information faller säkerhetsåtgärder eller krav ut, identitet och behörighet skulle genom olika paketering möta upp mot dessa krav. En positiv effekt av detta skulle även kunna vara samverkan runt olika paketeringar som långsiktigt även skulle kunna verka generaliserande och normerande.

Vidare är det huvudsakligen områdena konfidentialitet (behörighet att ta del) och riktighet (inte kunna förändras av obehöriga) som identitet och behörighet aktivt medverkar till att lösa delar av, även om tillgängligheten är viktig så är det snarare ett krav som verksamhetssystemet eller andra nyttjare ställer på tillämpningen av identitet och behörighet och inte en aktiv del av lösningen i den bemärkelsen. Likheterna mellan konfidentialitet och riktighet avseende identitet och behörighet är att på en stigande skala ökar behovet av att säkerställa vem eller vad det är som har åtkomst till, eller förändrar informationen.

Detta kan synliggöras genom ställa upp värdena i en matris med konfidentialitet och riktighet på axlarna, där det högsta värdet styr utfallet.

Det vill säga att när antingen konfidentialiteten eller riktigheten överstiger ett visst värde så faller likvärdiga krav och säkerhetsåtgärder ut kopplat till identitet och behörighet.

https://metodstod-informationssakerhet.msb.se/globalassets/exempel-pa-matris-med-konsekvenskriterier-och-konsekvensnivaer-for-riskanalys.png

Identitet

Inom området identitet finns det redan etablerad standard som Myndigheten för digital förvaltning (Digg) tillhandahåller, Svensk e-legitimation. Nedan följer ett citat från digg.se:

Tillitsramverket för Svensk e-legitimation syftar till att etablera gemensamma krav för utfärdare av Myndigheten för digital förvaltning (Digg) granskade och godkända e-legitimationer. Kraven är fördelade på olika skyddsklasser – tillitsnivåer – som svarar mot olika grader av teknisk och operationell säkerhet hos utfärdaren och olika grader av kontroll av att den person som tilldelas en elektronisk legitimationshandling verkligen är den han eller hon utgett sig för att vara.

De olika tillitsnivåerna som återfinns inom tillitsramverket är på en fyrgradig skala med tillägg för icke bofasta för nivåerna två och uppåt. Även om icke bofast signaleras så är krav och kravuppfyllnad motsvarande och det är huvudsakligen tillvägagångssättet som skiljer sig och exempelvis möjligheten att representeras med exempelvis svenskt personnummer.

Det finns även möjlighet att signalera "uncertified" för nivåerna två och tre, vilket då innebär att man inte har genomgått en granskning utan att tillhandahållaren genomför en självskattning hävdar att relevant nivå är uppfylld.

Utöver e-legitimation som identifierar individer behövs det även stöd för att identifiera system eller tjänster hos en organisation när det inte är individen som har åtkomst, eller när kännedom om individen inte är relevant.

Behörighet

För att en informationsägaren ska kunna ta beslut om åtkomst till informationen krävs normalt som grund identiteten (vem) på den eller det som begär åtkomst och i förekommande fall att autentisering på en viss nivå har skett. Utöver identitet kan andra egenskaper behöva förmedlas. det kan då vara egenskaper som hör till utbildning, anställning eller situation. För system eller tjänster får man tänka om begreppen, då anställning snarare motsvarar driftsatt eller installerad, men att man i grunden har en relation till organisationen och representerar den i vissa avseenden.

Ett tillitsmärke för behörighet ska användas för att uppvisa graden av tillit eller korrekthet av den information som förmedlas, där underlag från autentisering i form av identitet även kan förmedlas. Exempelvis skulle man kunna likställa genomförd autentiseringen och dess identitet som en "attributkälla" motsvarande andra attribut eller egenskaper som kläs på.

Förslag på nivåer av tillit

Vad innebär det att en komponent är innehavare av ett tillitsmärke på en viss tillitsnivå? 

Vi utgår ifrån MSB:s stöd för informationsklassning (Ref: Klassningsmodell, MSB) och väljer att basera våra Vi föreslår att Ena baserar sina tillitsnivåer på stödet "Klassningsmatris A - Fyra nivåer" .Not: Klassa som kommuner använder har en skala på 1-3 och på 4 faller säkerhetskyddsklassificerad information ut. Det vill säga en tre-gradig skalafrån MSB med en tolkning av nivåernas innebörd enligt tabellen nedan.

...

Varje samverkanstillämpning bör kräva att alla komponenter som ingår i tillitskedjan har

...

LoT-tillitsmärke på minst den

...

klassade nivån.

Tillitsskapande krav

@TODO

...

ANTAGANDE: Att befintliga implementationer på ett generellt plan inom hälsa- vård och omsorg i dag ligger på en motsvarande LoT-3 och bör hamna där inom Ena. Med utrymme att i specifika fall, eller specifika tillämpningar där åtkomsten är bred kan kvalificera sig till LoT-4, vidare även kopplingar till eIDAS/HIGH etc.

Tillitsmärken

Image Removed

...

Efterlevnadskontroll vid tilldelning av tillitsmärken

@TODO

 Exempel på tillämpning av tillitsstrukturen

...