...
Att en teknisk komponent tilldelas ett tillitsmärke innebär att komponenten (och den organisation och verksamhet som ansvarar för komponenten) uppfyller de krav som krävs för att på ett tillitsfullt sätt kunna utföra eller erbjuda IAM-förmågor. För viss samverkan via digitala tjänster kan det finnas informationssäkerhetskrav som föranleder mer omfattande tillitskrav och detta tänker vi oss ska representeras av nivåindelad tillitsmärkning.
Det finns två olika modeller för hur man kan kombinera tillitsmärken och tillitsnivåer. Antingen har man fristående tillitsmärken för tillitsnivån komponenter erbjuder, eller så har man nivåspecifika tillitsmärken för varje IAM-förmåga. Då vi strävar efter en så enkel modell som möjligt att hantera och administrera för parterna förordar vi i dagsläget fristående tillitsmärken för tillitsnivåer. Vi ser vidare att specifika tillitsmärken endast behövs för att deklarera en specifik (högre) tillitsnivå för hos de IAM-förmågor komponenter som tillför behörighetsgrundande information . Denna nivåindelning ser vi och inte behövs för de komponenter som endast läser och uttolkar hanterar existerande information.
Vi föreslår således tillitsmärken som mappar emot tekniska komponenter enligt nedanstående bild och tabell.
...
...
Notera att vi inte föreslår tillitsmärken för metadatapublicering och -validering. Detta då dessa förmågor är grundläggande i tillitsinfrastrukturen och det inte är vettigt att säkerställa dem specifik märkning.
| Komponent | Tillitsmärken |
|---|---|
| Legitimeringstjänst | Ena Utfärdare, Ena LoT-1, Ena LoT-2, Ena LoT-3, Ena LoT-4 |
| Auktorisationstjänst | Ena Utfärdare, Ena LoT-1, Ena LoT-2, Ena LoT-3, Ena LoT-4 |
| Attributkälla | Ena Källa, Ena LoT-1, Ena LoT-2, Ena LoT-3, Ena LoT-4 |
| Resursserver (API) | Ena Hantering |
| E-tjänst | Ena Hantering |
| Klient | Ena Hantering |
Det finns två olika modeller för hur man kan kombinera tillitsmärken och tillitsnivåer. Antingen har man fristående tillitsmärken för tillitsnivån komponenter erbjuder, eller så har man nivåspecifika tillitsmärken för varje IAM-förmåga. Då vi strävar efter en så enkel modell som möjligt att hantera och administrera för parterna förordar vi i dagsläget fristående tillitsmärken för tillitsnivåer.
| Info | ||
|---|---|---|
| ||
Notera att vi inte föreslår tillitsmärken för metadatapublicering och -validering. Detta då dessa förmågor är grundläggande i tillitsinfrastrukturen och det inte är vettigt att säkerställa dem specifik märkning. Notera vidare att LoT-nivå inte nödvändigtvis kan mappas rakt av mot Svensk e-legitimations LoA-nivåer! |
...
| Info | ||
|---|---|---|
| ||
Varje samverkanstillämpning bör kräva att alla komponenter som ingår i tillitskedjan har LoT-tillitsmärke på minst den klassade nivån. |
Tillitsskapande krav
@TODO
Efterlevnadskontroll vid tilldelning av tillitsmärken
@TODO
Exempel på tillämpning av tillitsstrukturen
...