...
Table of Contents | ||
---|---|---|
|
Inledning
När två parter behöver utbyta information kan det vara så att respektive sida först behöver säkerställa att motparten är den den utger sig att vara, och att denne är behörig att ta del av den information som delas. Det är informationsägaren som ansvarar för säkerställa att man är behörig innan informationen kan lämnas ut. Det finns fall där man inte alls ställer särskilda krav på behörighet - till exempelvis för öppen data. I andra fall kan det krävas säkerställd information om vem organisationen, systemet och/eller individen som begär åtkomst är och vad som berättigar åtkomsten - till exempelvis att man har ett tilldelat uppdrag, en specifik kvalifikation, eller liknande. Man kan förenklat säga att det är en skala från inget behov alls till hög tillförlitlighet till underlaget som ger behörighet. Var på skalan man är för en specifik åtkomst står normalt i direkt proportion till informationens känslighet.
...
- Ramverket ska skapa en struktur för bred återanvändning av gemensamma, generella och överenskomna nivåer av tillit.
- Oavsett tillämpningar/sektorer/domäner eller typen av information.
- En gemensam grund som alla kan acceptera och känna igen sig i.
- Ramverket ska möjliggöra aktiv vidareutveckling och förvaltning av tillitsmärken
- När digitala tjänster med krav som skiljer sig avsevärt från andras, ska det gå att ta fram nya tillitsmärken inom ramverket.
- När nya säkerhetsambitioner, eller nya säkerhetshot, uppkommer ska ramverket stödja aktiv livscykelhantering för existerande tillitsmärken.
- Det ska vara lätt för befintliga digitala tillämpning i samhället att relatera till Ena tillitsramverk och se eventuella förflyttningar som krävs för att kunna erbjuda tillämpningar inom Ena.
Summering
...
Förslag på tillitsmodell
Vår modell utgår ifrån att olika komponenter som deltar i en samverkan med utbyte av skyddsvärd information bidrar med olika förmågor vid hantering av metadata, identiteter och behörighetsgrundande information.
Mappning komponenttyp - IAM-förmåga
I modellen som visas i nedanstående bild visas hur olika komponenttyper erbjuder IAM-förmågor. Notera att en specifik komponent i infrastrukturen kan erbjuda funktionalitet som i modellen motsvarar flera olika komponenttyper.
Status | ||
---|---|---|
|
- Ena-infrastruktur
- Komponenterna tillitsankare, anslutningspunkt och tillitsmärkesutfärdare tillhandahåller IAM-förmågan betrodd metadatapublicering.
- Komponenten uppslags- och verifieringstjänst tillhandahåller IAM-förmågan metadatavalidering.
- Anslutande part
- Komponenterna legitimeringstjänst och auktorisationstjänst tillhandahåller IAM-förmågan intygsutfärdande.
- Komponenten attributkälla erbjuder IAM-förmågan attributshantering.
- Komponenterna resursserver och e-tjänst erbjuder IAM-förmågan åtkomstkontroll.
- Komponenten klient utför IAM-förmågan åtkomstbegäran.
Mappning IAM-förmåga - krav
Den föreslagna tillitsmodellen bygger på att olika tillitsmärken som signalerar tillit tilldelas tekniska komponenter efter att specifika krav kopplade till tillitsmärket är uppfyllda. Vilka tillitsmärken som en teknisk komponent behöver beror på vilka förmågor som den realiserar inom ramen för identitet och behörighet.
Nästa steg i modellen är att, beroende på IAM-förmåga, leva upp till de tillitsskapande krav som krävs för att möjliggöra tillitsfull samverkan via en digital tjänst. Här behandlasFör att harmonisera krav och kravefterlevnad så tänker vi oss paketera vilka krav som behöver efterlevas beroende på IAM-förmåga. Gällande Dessa paketeringar namnger vi tillitsmärken.
...
Denna kravkatalog håller på att tas fram, men finns ännu inte dellevererad.
Tillitsmärken och tillitnivåer
Förslag på tillitsstruktur
...
IAM förmågor (och tekniska komponenter)
I modellen som visas i nedanstående bild visas hur olika komponenttyper erbjuder IAM-förmågor. Notera att en specifik komponent i infrastrukturen kan erbjuda funktionalitet som i modellen motsvarar flera olika komponenttyper.
Strukturerad tillit mellan parter i en federation behövs för att möjliggöra säker och effektiv informationsdelning mellan olika organisationer. Detta är särskilt viktigt inom offentlig förvaltning där komplexa värdenätverk kräver samordnad digital infrastruktur. Tillit kan delas in i tre huvudsakliga områden:
...
Utöver denna områdesindelning så utgår vi ifrån en modell där
Tillitsobjekt
Inom en federation förmedlar federationens aktörer strukturerad information som parterna behöver kunna lita på. Informationen delas in i följande typer, eller tillitsobjekt:
Metadata
Information om parter som är kontrollerad och publicerad av en betrodd aktör i federationen.Intyg
Digitalt signerade påståenden om en användare, såsom vilken nivå av autentisering som skett, vilka behörighetsgrundande attribut som gäller, eller vilka rättigheter användaren tilldelats.Intygsbegäran
Här, en begäran om identitet- eller åtkomstintyg, innehållande avsett syfte med intyget, samt underlag för begärans behandling och för intygets utformning.Kontext
En ram inom vilken övriga tillitsobjekt verkar. Vilken kontext man agerar inom kan påverka interoperabilitets- och säkerhetskrav.
Funktionsobjekt
Funktionsobjekt är de tekniska funktioner och processer som tillsammans är det som skapar tillitsobjekten.
De fungerar alltså som byggstenar för tillitsobjekten, och varje tillitsobjekt tillhandahålls av antal specifika funktionsobjekt Status
Komponenter i federationen som hanterar tillit
Alla funktionsobjekt representeras inte i federationen, vilket innebär att det är den tekniska komponenten som beskrivs med metadata i federationen. Tex komponenten Auktorisationstjänst omfattar eller inkluderar ett antal funktionsobjekt.
Status | ||
---|---|---|
|
Status | ||
---|---|---|
|
Intygsutfärdade => Intygsutfärdande i bilden Status title TODO
...
- Ena-infrastruktur
- Komponenterna tillitsankare, anslutningspunkt och tillitsmärkesutfärdare tillhandahåller IAM-förmågan betrodd metadatapublicering.
- Komponenten uppslags- och verifieringstjänst tillhandahåller IAM-förmågan metadatavalidering.
- Anslutande part
- Komponenterna legitimeringstjänst och auktorisationstjänst tillhandahåller IAM-förmågan intygsutfärdande.
- Komponenten attributkälla erbjuder IAM-förmågan attributshantering.
- Komponenterna resursserver och e-tjänst erbjuder IAM-förmågan åtkomstkontroll.
- Komponenten klient utför IAM-förmågan åtkomstbegäran.
Tillitsmärken och tillitsnivåer
För att nivåer av tillit ska kunna återanvändas är det viktigt att det finns en neutral och återanvändbar grund. Ansatsen är att den tillitsstruktur som etableras kan ses som säkerhetsåtgärder, vilket krav på, normalt faller ut vid en klassning av informationstillgången. Vidare även att oavsett typ av information (ex personuppgifter, hälsa, ekonomi etc) så är utfallen jämförbara. Vidare antagande är även att vid en visst klassningsresultat faller likvärdiga åtgärder ut.
Informationssäkerhet och klassning av information
Informationssäkerhet handlar om att förhindra att information läcker ut, förvanskas och förstörs. Det handlar också om att rätt information ska finnas tillgänglig för rätt personer, i rätt tid. Det är normalt sätt informationsägaren som värderar eller klassar sin information och informationsbehandlande resurser utifrån olika skyddsvärden och därmed även identifierar säkerhetskrav. Myndigheten för samhällsskydd och beredskap (MSB) har bland annat ett metodstöd för att klassificera informationstillgångar som exempelvis på en fyrgradig skala klassificerar utifrån konfidentialitet, riktighet och tillgänglighet och för fortsatt resonemang kommer detta metodstöd att ligga till grund.
...
Identitet
Inom området identitet finns det redan etablerad standard som Myndigheten för digital förvaltning (Digg) tillhandahåller, Svensk e-legitimation. Nedan följer ett citat från digg.se:
...
Utöver e-legitimation som identifierar individer behövs det även stöd för att identifiera system eller tjänster hos en organisation när det inte är individen som har åtkomst, eller när kännedom om individen inte är relevant.
Behörighet
För att en informationsägaren ska kunna ta beslut om åtkomst till informationen krävs normalt som grund identiteten (vem) på den eller det som begär åtkomst och i förekommande fall att autentisering på en viss nivå har skett. Utöver identitet kan andra egenskaper behöva förmedlas. det kan då vara egenskaper som hör till utbildning, anställning eller situation. För system eller tjänster får man tänka om begreppen, då anställning snarare motsvarar driftsatt eller installerad, men att man i grunden har en relation till organisationen och representerar den i vissa avseenden.
Ett tillitsmärke för behörighet ska användas för att uppvisa graden av tillit eller korrekthet av den information som förmedlas, där underlag från autentisering i form av identitet även kan förmedlas. Exempelvis skulle man kunna likställa genomförd autentiseringen och dess identitet som en "attributkälla" motsvarande andra attribut eller egenskaper som kläs på.
Förslag på nivåer av tillit
Vad innebär det att en komponent är innehavare av ett tillitsmärke på en viss tillitsnivå?
...
ANTAGANDE: Att befintliga implementationer på ett generellt plan inom hälsa- vård och omsorg i dag ligger på en motsvarande LoT-3 och bör hamna där inom Ena. Med utrymme att i specifika fall, eller specifika tillämpningar där åtkomsten är bred kan kvalificera sig till LoT-4, vidare även kopplingar till eIDAS/HIGH etc.
Tillitsmärken
Tillitsskapande krav
Efterlevnadskontroll vid tilldelning av tillitsmärken
Exempel på tillämpning av tillitsstrukturen
Status | ||||
---|---|---|---|---|
|
...