Versions Compared

Old Version 87

changes.mady.by.user Joakim Sandberg

Saved on

compared with

New Version 88

changes.mady.by.user Joakim Sandberg

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

Vi föreslår således tillitsmärken som mappar emot IAM-förmågor och tilldelas tekniska komponenter enligt nedanstående bild och tabell.

...

KomponentTillitsmärken
Legitimeringstjänst

Ena Tillit Intygsutfärdande

Ena Tillit Nivå-1, Ena Tillit Nivå-2, Ena Tillit Nivå-3, eller Ena Tillit Nivå-4

Auktorisationstjänst

Ena Tillit Intygsutfärdande

Ena Tillit Nivå-1, Ena Tillit Nivå-2, Ena Tillit Nivå-3, eller Ena Tillit Nivå-4

Attributkälla

Ena Tillit Attributhantering

Ena Tillit Nivå-1, Ena Tillit Nivå-2, Ena Tillit Nivå-3, eller Ena Tillit Nivå-4

Resursserver (API)Ena Tillit Åtkomstkontroll 
E-tjänstEna Tillit Åtkomstkontroll
KlientEna Tillit Åtkomstbegäran


Info
titleNotera!
  • Vi föreslår inte tillitsmärken för betrodd metadatapublicering och metadatavalidering. Detta då dessa förmågor är grundläggande i tillitsinfrastrukturen och
det inte är vettigt att säkerställa dem genom specifik tillitsmärkning
  • tilliten till dem signaleras på annat sätt än genom tillitsmärken
    Status
    titleTODO
    Eftersom dessa IAM-förmågor är centrala och krav som ställs på dessa bör vara i stort samma som för Intygsutfärdare bör öven dessa ha Tiillitsmärken om än bara på LoT-nivå 3-4. Annars behöver dessa säkerhetskrav bara hanteras via anslutninsregler och avtal vilket borde ge en mindre flexibel och dynamisk hantering av federationsinfrastrukturaktörer.
LoT-nivå
  • Ena Tillit Nivå kan inte mappas rakt av mot Svensk e-legitimations LoA-nivåer, men en viss
LoT-nivå
  • tillitsnivå kan ställa krav på att legitimering av användare skett på ett visst sätt.

Utvikning kring tillitsnivåer

...

Vi föreslår att Ena baserar sina tillitsnivåer på stödet "Klassningsmatris A - Fyra nivåer" från MSB med en tolkning av nivåernas innebörd enligt tabellen nedan. 

Tillitsnivå

När ska man kräva det och vad innebär det?

1

Ett riktmärke är att konsekvenser ligger på försumbar skada avseende konfidentialitet eller riktighet.

2

Ett riktmärke är att konsekvenser ligger på måttlig skada avseende konfidentialitet eller riktighet.

3

Ett riktmärke är att konsekvenser ligger på betydande skada avseende konfidentialitet eller riktighet.

4

Ett riktmärke är att konsekvenser ligger på allvarlig skada avseende konfidentialitet eller riktighet.

Att omfattningen av konsekvenserna endast är ett riktmärke beror på att samma information skulle kunna ge olika klassningar hos olika aktörer, vilket inte betyder att det är fel på något sätt men det behövs en jämkning. Exempelvis om man tar en ekonomisk skada uttryckt i fasta belopp så kommer organisationens totala omsättning rimligen att styra hur betydande man anser att skadan kan bli. Medans om man uttrycker det i procent skulle man rimligen hamna mer lika. Därav att det inte kan vara mer än ett riktmärke och att dialog mellan parterna i ett större sammanhang behövs där en gemensam bedömning görs.

Info
titleKrav på nivå av tillit
Info
titleKrav på LoT

Varje samverkanstillämpning bör kräva att alla komponenter som ingår i tillitskedjan har ett tillitsmärke motsvarande minst den utifrån informationsklassningen klassade tillitsnivån.

...