...
| Id | Krav | |
|---|---|---|
| Ena T.1 | Medlem i Ena-federationen ska säkerställa att de tekniska kontroller som finns införda är tillräckliga för att uppnå den skyddsnivå som bedöms nödvändig med hänsyn till verksamhetens art, omfattning och övriga omständigheter, och att dessa kontroller fungerar och är effektiva. | |
| Ena T.2 | Medlem i Ena-federationen ska säkerställa att elektroniska kommunikationsvägar som nyttjas i verksamheten för överföring av känsliga uppgifter ska skyddas mot manipulation, insyn och annan otillåten åtkomst. | |
| Ena T.3 | Medlem i Ena-federationen ska säkerställa att känsligt kryptografiskt nyckelmaterial som används för kryptering och signering ska skyddas. | |
| Ena T.4 | Medlem i Ena-federationen ska säkerställa att åtkomst till känsligt kryptografiskt nyckelmaterial ska begränsas, logiskt och fysiskt, till de roller och de tillämpningar som kräver det. | |
| Ena T.5 | Medlem i Ena-federationen ska säkerställa att känsligt kryptografiskt nyckelmaterial inte får lagras i klartext på beständigt lagringsmedia. | |
| Ena T.6 | Medlem i Ena-federationen ska säkerställa att känsligt kryptografiskt nyckelmaterial ska skyddas genom användning av kryptografisk hårdvarumodul med aktiva säkerhetsmekanismer som motverkar röjning av nyckelmaterial. | |
| Ena T.7 | Medlem i Ena-federationen ska säkerställa att säkerhetsmekanismerna för skydd av känsligt kryptografiskt nyckelmaterial är genomlysta och baserade på erkända och väletablerade standarder | |
| Ena T.8 | Medlem i Ena-federationen ska säkerställa att aktiveringsdata för skydd av känsligt kryptografiskt nyckelmaterial hanteras genom flerpersonkontroll. | |
| Ena T.9 | Medlem i Ena-federationen ska ha infört dokumenterade rutiner som säkerställer att erforderlig skyddsnivå i IT-miljön kan upprätthållas över tid för att möta förändrade risknivåer eller andra typer av förändringar. Rutinen ska innefatta regelbundna sårbarhetsundersökningar samt beskriva ändamålsenlig beredskap för att hantera inträffade incidenter. | |
| Ena T.10 | Medlem i Ena-federationen ska säkerställa att verifieringen av identiteter sker med adekvata kontroller för den tillitsnivå som förmedlas. | |
| Ena T.11 | Medlem i Ena-federationen ska säkerställa att säkerhetsmekanismer implementerats i hanteringen av digitala identiteter på ett sätt som gör det osannolikt att någon utomstående kan gissa eller räkna ut den konfidentiella information som ligger till grund för den elektroniska identifieringen, ens på maskinell väg. | |
| Ena T.12 | Medlem i Ena-federationen ska säkerställa att utställande av intyg ska föregås av en tillförlitlig identifiering på den tillitsnivå som förmedlas. | |
| Ena T.13 | Medlem i Ena-federationen ska säkerställa att intyg som ställs ut ska vara knutna till kryptografiskt nyckelmaterial som utfärdaren verifierat att endast innehavaren förfogar över. | |
| Ena T.14 | Medlem i Ena-federationen ska säkerställa att utställda intyg ska vara giltiga endast så länge som det krävs för att innehavaren ska kunna bereda sig tillgång till den efterfrågade resursen. | |
| Ena T.15 | Medlem i Ena-federationen ska säkerställa att utställda intyg skyddas mot obehörig åtkomst. | |
| Ena T.16 | Medlem i Ena-federationen ska säkerställa att utställda intyg utfärdas på ett sådant sätt att deras äkthet kan valideras. | |
| Ena T.17 | Medlem i Ena-federationen ska säkerställa att komponenter i Ena-federationen som ställer ut intyg ska, med hänsyn till riskerna för missbruk av intygstjänsten, begränsar den tidsperiod inom vilken flera på varandra följande intyg kan ställas ut för en viss innehavare, innan innehavaren på nytt autentiseras. | |
| Ena T.18 | Medlem i Ena-federationen ska säkerställa att uppdatering av behörighetsgrundande information (i såväl ursprungskälla som i temporära mellanlager) ska gå att spåra avseende tidpunkt för förändringen och vem (person och system) som utfört förändringen. | |
| Ena T.19 | Tillitsnivå för ett intyg ska anges i intyget. Nivån ska anges enligt gällande specifikation och regelverk inom Ena - Sveriges digitala infrastruktur. (Under utredning) | |
| Ena T.20 | Medlem i Ena-federationen ska ha publicerad dokumentation över krav för åtkomst till skyddade resurser. Dessa krav ska inkludera: (1) vilken behörighetsgrundande information behöver förmedlas i åtkomstförfrågan (2) vilket krav på tillitsnivå för intyg i vilket denna behörighetsgrundande information förmedlas föreligger | |
| Ena T.21 | Medlem i Ena-federationen ska säkerställa spårbarheten vid all teknisk åtkomst till känsliga IT-system. Åtkomst ska kunna härledas på individnivå, och identifieringen av individen ska ske på ett betryggande och säkert sätt | |
| Ena T.22 | Medlem i Ena-federationen ska säkerställa att det finns rutiner för egenkontroll av att informationen i en attributkälla är korrekt och aktuell. | |
| Ena T.23 | Medlem i Ena-federationen ska ha processer för systematisk verifiering av attributs korrekthet finns tydligt dokumenterade | |
| Ena T.24 | Medlem i Ena-federationen ska säkerställa att attributs korrekthet verifieras systematiskt med den periodicitet som krävs av gällande lagstiftning och policyer för de tillämpningar där attributen används. | |
| Ena T.25 | Medlem i Ena-federationen ska säkerställa att tilldelade pseudonymiserade personidentifierare lagras för spårning och uppföljning under en period som bestäms av gällande lagstiftning och policyer för de tillämpningar där personidentifierarna används. | |
| Ena T.26 | Medlem i Ena-federationen ska säkerställa att förändringar av behörighetsgrundande information ska loggas. Loggfiler ska innehålla information om vilken förändring som gjorts, om användare och system som gjorde förändringen, samt tidpunkt för förändringen. | |
| Ena T.2727Ena T.14 | Medlem i Ena-federationen ska säkerställa att skyddade personuppgifter ska märkas som sådana i attributkällor och mellanlager, samt att de hanteras enligt gällande lagstiftning och policyer. | |
| Ena T.28 | Medlem i Ena-federationen ska säkerställa att åtkomst till information i attributkällan föregås av behörighetsbeslut utfört enligt ett med informationsägaren överenskommen åtkomstpolicy. Detta gäller både åtkomst till attributkälla och mellanlager. |
...