Table of Contents maxLevel 2 indent 10px style none
| Info |
|---|
Den tidigare arbetsytan för Tillitsstruktur som låg här har flyttas till Leveransteam Tillitsstruktur. Tanken är att vi här istället dokumenterar resultatet av arbetet, det vill säga själva leveransen. |
Table of Contents
Inledning
När två parter behöver utbyta information kan det vara så är det ofta krav på att respektive sida först behöver säkerställa att motparten är den den utger sig att vara, och att denne är behörig att ta del av den information som delas. Det är informationsägaren som ansvarar för att säkerställa att man är behörig innan informationen kan lämnas ut. Det finns fall där man inte alls ställer särskilda krav på behörighet - till exempelvis för öppen data. I andra dessa fall kan krävs det krävas säkerställd information om vem organisationen, systemet och/eller individen som begär åtkomst är och , samt vad som berättigar åtkomsten - till exempelvis att man har ett tilldelat uppdrag, . Exempelvis kan organisationen vara en myndighet, region, eller kommun, och användaren agerar utifrån ett tilldelat uppdrag. Det kan också ställas krav på att användaren har en specifik kvalifikation, eller liknandeagerar i en legitimerad yrkesroll. Man kan förenklat säga att det är en skala från inget behov alls till hög tillförlitlighet till underlaget som ger behörighet. Var på skalan man är för en specifik åtkomst står normalt i direkt proportion till informationens känslighet.
Inom ramen Inom ramen för detta dokument beskrivs ett ramverk för att ge skapa tillit till till att förmedling och hantering av identiteter och behörighetsgrundande information sker på ett säkert sätt. Detta ramverk Ramverket ska minimera risken för obehörig åtkomst till information. I dagens komplexa samverkan, där man ofta behöver hämta och behandla information från flera parter för att stödja verksamhetsbehov, behöver också tilliten upprätthållas i flera led mellan alla parter som tar fram det underlag som behövs för åtkomstbeslut. För att möjliggöra korrekta åtkomstbeslut krävs att tillit kan skapas till alla inblandade parter och komponenter - detta är målet med Enas tillitsramverktillitshantering, vilken innehåller en tillitsmodell och en realisering av denna modell för Enas federationsinfrastruktur.
Drivkrafter och principer
- Ramverket ska skapa en struktur för bred återanvändning av gemensamma, generella och överenskomna nivåer av tillit.
- Oavsett tillämpningar/sektorer/domäner eller typen av information.
- En gemensam grund som alla kan acceptera och känna igen sig i.
- Ramverket ska möjliggöra aktiv vidareutveckling och förvaltning av tillitsmärken
- När digitala tjänster med krav som skiljer sig avsevärt från andras, ska det gå att ta fram nya tillitsmärken inom ramverket.
- När nya säkerhetsambitioner, eller nya säkerhetshot, uppkommer ska ramverket stödja aktiv livscykelhantering för existerande tillitsmärken.
- Det ska vara lätt för befintliga digitala tillämpning i samhället att relatera till Ena tillitsramverk och se eventuella förflyttningar som krävs för att kunna erbjuda tillämpningar inom Ena.
Summering
Förslag på
...
Tillitsskapande funktioner
Strukturerad tillit mellan parter i en federation behövs för att möjliggöra säker och effektiv informationsdelning mellan olika organisationer. Detta är särskilt viktigt inom offentlig förvaltning där komplexa värdenätverk kräver samordnad digital infrastruktur. Tillit kan delas in i tre huvudsakliga områden:
Verksamhetstillit – baserat på lagar och reglering.
Informationstillit – etableras via informationssäkerhet och gemensamma överenskommelser.
Teknisk tillit – genom tekniska standarder och säkerhetskrav.
Tillitsobjekt
Inom en federation förmedlar federationens aktörer strukturerad information som parterna behöver kunna lita på. Informationen delas in i följande typer, eller tillitsobjekt:
Metadata
Information om parter som är kontrollerad och publicerad av en betrodd aktör i federationen.Intyg
Digitalt signerade påståenden om en användare, såsom vilken nivå av autentisering som skett, vilka behörighetsgrundande attribut som gäller, eller vilka rättigheter användaren tilldelats.Intygsbegäran
Här, en begäran om identitet- eller åtkomstintyg, innehållande avsett syfte med intyget, samt underlag för begärans behandling och för intygets utformning.Kontext
En ram inom vilken övriga tillitsobjekt verkar. Vilken kontext man agerar inom kan påverka interoperabilitets- och säkerhetskrav.
Funktionsobjekt
Funktionsobjekt är de tekniska funktioner och processer som tillsammans är det som skapar tillitsobjekten.
De fungerar alltså som byggstenar för tillitsobjekten, och varje tillitsobjekt tillhandahålls av antal specifika funktionsobjekt
| Status | ||
|---|---|---|
|
Komponenter i federationen som hanterar tillit
Alla funktionsobjekt representeras inte i federationen, vilket innebär att det är den tekniska komponenten som beskrivs med metadata i federationen. Tex komponenten Auktorisationstjänst omfattar eller inkluderar ett antal funktionsobjekt.
| Status | ||
|---|---|---|
|
Nivåer av tillit
För att nivåer av tillit ska kunna återanvändas är det viktigt att det finns en neutral och återanvändbar grund. Ansatsen är att den tillitsstruktur som etableras kan ses som säkerhetsåtgärder, vilket krav på, normalt faller ut vid en klassning av informationstillgången. Vidare även att oavsett typ av information (ex personuppgifter, hälsa, ekonomi etc) så är utfallen jämförbara. Vidare antagande är även att vid en visst klassningsresultat faller likvärdiga åtgärder ut.
Informationssäkerhet och klassning av information
Informationssäkerhet handlar om att förhindra att information läcker ut, förvanskas och förstörs. Det handlar också om att rätt information ska finnas tillgänglig för rätt personer, i rätt tid. Det är normalt sätt informationsägaren som värderar eller klassar sin information och informationsbehandlande resurser utifrån olika skyddsvärden och därmed även identifierar säkerhetskrav. Myndigheten för samhällsskydd och beredskap (MSB) har bland annat ett metodstöd för att klassificera informationstillgångar som exempelvis på en fyrgradig skala klassificerar utifrån konfidentialitet, riktighet och tillgänglighet och för fortsatt resonemang kommer detta metodstöd att ligga till grund.
tillitsmodell
Den föreslagna modellen utgår ifrån att de olika komponenter som deltar i en samverkan med utbyte av skyddsvärd information, bidrar med olika förmågor vid hantering av metadata, identiteter och behörighetsgrundande information. En grundsten i modellen är tillitsmärken som signalerar tillit och tilldelas komponenterna efter att specifika tillitsskapande krav kopplade till tillitsmärket är uppfyllda. En komponent kan även realisera förmågor med hjälp av under- eller bakomliggande komponenter och representerar då dessa förmågor i infrastrukturen. Vilka tillitsmärken som en specifik komponent således behöver ansöka om att få tilldelade beror på vilka förmågor som den realiserar i infrastrukturen.
draw.io Diagram border false diagramName Metamodell simpleViewer false links auto tbstyle inline lbox true diagramWidth 406 height 306 revision 13
IAM-förmågor och tillitsfull information
En IAM-förmåga innefattar här både en tekniska förmåga inom identitets- och behörighetsområdet och de verksamhetsprocesser som behövs för att upprätta och underhålla förmågan. IAM-förmågor realiseras av specifika tekniska komponenter och fungerar som byggstenar för tillit vid samverkan som kräver säker hantering av identiteter och åtkomstbeslut.
IAM-förmågorna skapar, behandlar, eller förmedlar information som är strukturerad och man behöver ha tillit till. De idag identifierade typerna av sådan tillitsfull information är:
- Metadata - information om komponent, publicerad av kontrollerad och betrodd part i federationen
Intygsbegäran - en begäran om intygande om identitet, behörighetsstyrande attribut, eller behörighet.
- Intyg - betrodda påståenden om en användare, såsom identitet, behörighetsstyrande information, eller behörighet.
I modellen som visas i nedanstående bild och efterföljande tabell beskrivs de olika typer av tekniska komponenter, vilka IAM-förmågor de realiserar, samt hur dessa relaterar till olika typer av tillitsfull information.
draw.io Diagram border false diagramName IAM-Förmågor och komponenter simpleViewer false width links auto tbstyle inline lbox true diagramWidth 857 height 761 revision 9
| Komponent | Beskrivning | IAM-förmåga | Beskrivning |
|---|---|---|---|
| Tillitsankartjänst | Ett Tillitsankartjänst är en komponent som utgör den yttersta källan till tillit i en federationsinfrastruktur och publicerar signerad metadata som omfattar godkända underordnade entiteter, som tex Anslutningstjänster och Tillitsmärkestjänster. Det möjliggör validering av tillitskedjor genom kryptografisk signaturvalidering. Parter vars metadata ingår i en tillitskedja som kan valideras upp till samma Tillitsankartjänst anses ingå i samma federation och omfattas av den tillit som Tillitsankartjänsten representerar. | Betrodd Metadatapublicering | Metadatapublicering är en IAM-förmåga som innebär att en komponent på ett kontrollerat, säkert och tillförlitligt sätt publicerar signerad metadata om sig själv – och i vissa fall även om andra entiteter – inom ramen för en federation. Publiceringen sker för att möjliggöra teknisk tillit, interoperabilitet och korrekt tolkning av entitetens roll och kapacitet i federationen. Den metadata som publiceras kan inkludera:
Funktionen är central för att federationens övriga parter ska kunna validera, lita på och kommunicera med komponenten på ett säkert sätt. |
| Anslutningstjänst | En Anslutningstjänst är en mellanliggande komponent i federationsinfrastrukturen som publicerar signerad metadata för underordnade entiteter som tex Legitimeringstjänster, Auktorisationstjänster, E-tjänster och API:er Den möjliggör en delegerad och skalbar struktur för förmedling av tillitsinformation genom att fungera som ett tekniskt och organisatoriskt gränssnitt för anslutning av nya federationstjänster till ett eller flera Tillitsankartjänst. | ||
| Tillitsmärkestjänst | En Tillitsmärkestjänst är en komponent i federationsinfrastrukturen som utfärdar tillitsmärken till entiteter som uppfyller definierade krav kopplade till specifika IAM-förmågor. Tillitsmärkestjänster publicerar signerad metadata som innehåller dessa tillitsmärken och agerar som betrodd part inom ramen för den federativa tillitsmodellen. | ||
| Uppslag och verifieringstjänst | En Uppslag- och verifieringstjänst är en komponent i federationsinfrastrukturen som används för att slå upp, hämta och verifiera metadata för andra entiteter inom en federation. Tjänsten möjliggör tillitsvalidering genom att rekonstruera tillitskedjor, kontrollera signaturer och säkerställa att metadata uppfyller definierade policykrav. Parter vars metadata kan verifieras via en Uppslag- och verifieringstjänst till ett gemensamt Tillitsankare anses omfattas av samma tillit och därmed ingå i federationen | Metadatavalidering | Metadatavalidering är en IAM-förmåga som innebär att en komponent kan hämta, tolka och kryptografiskt verifiera signerad metadata från andra entiteter inom en federation. Denna förmåga är avgörande för att säkerställa att tilliten mellan parter i federationen är tekniskt grundad och uppdaterad. Funktionen omfattar flera moment:
Metadatavalidering skapar teknisk tillit genom att identifiera och autentisera entiteter innan någon interaktion sker, och används som grund för vidare beslut inom t.ex. åtkomstbegäran och åtkomstkontroll. |
| Legitimeringstjänst | En Legitimeringstjänst är en komponent i federationsinfrastrukturen som ansvarar för att autentisera en användare. Tjänsten utfärdar digitalt signerade intyg som kan innehålla behörighetsgrundande information, såsom användarens identifierare eller autentiseringsnivå. | Intygsutfärdande | Intygsutfärdande är en IAM-förmåga som innebär att en komponent på ett tillförlitligt och säkert sätt kan skapa och leverera digitalt signerade intyg. Dessa intyg innehåller påståenden om en användare eller klient, exempelvis vilken nivå av autentisering som har genomförts, vilka attribut som är giltiga och aktuella, eller vilka åtkomsträttigheter användaren är tilldelad. Funktionen utgör en kärna i federativ åtkomsthantering, där beslut om åtkomst ofta baseras på dessa intyg. Förmågan inkluderar inte enbart den tekniska akten att signera data, utan även processer för att säkerställa:
|
| Auktorisationstjänst | En Auktorisationstjänst är en komponent som beslutar om och utfärdar information om användares åtkomsträttigheter till digitala resurser, baserat på tillgänglig identitets- och attributinformation. Den skapar intyg som beskriver vilka resurser en användare har rätt att använda, och på vilka villkor. | ||
| Attributkälla | En Attributkälla är en komponent som tillhandahåller information om användare, exempelvis roller, organisatorisk tillhörighet eller andra behörighetsgrundande attribut. Den fungerar som en betrodd källa till information som används av andra komponenter, som legitimerings- och auktorisationstjänster. | Attributhantering | Attributhantering är en IAM-förmåga som innebär att en organisation har kapacitet att säkert förvalta, kvalitetssäkra och tillgängliggöra användarattribut som används som underlag för identitetsverifiering, åtkomstbeslut eller intygsutfärdande. Förmågan omfattar både den tekniska leveransen och det verksamhetsmässiga ansvaret för att attributinformationen är:
Attributhantering omfattar hela attributets livscykel: från skapande och uppdatering, via lagring och styrning, till selektiv utlämning i rätt sammanhang. Förmågan bygger ofta på samverkan mellan tekniska system (t.ex. katalogtjänster, IAM-lösningar, HR-system) och organisatoriska rutiner (t.ex. kontroll av rolltilldelning och uppdrag) |
| Resursserver (API) | En Resursserver är en komponent som tillhandahåller åtkomst till skyddade digitala resurser, och som kontrollerar åtkomst baserat på presenterade intyg eller behörigheter. | Åtkomstkontroll | Åtkomstkontroll är en IAM-förmåga som innebär att en komponent kan fatta och tillämpa beslut om en användares eller klients rätt att få tillgång till en specifik digital resurs, baserat på tillgänglig identitets- och behörighetsinformation. Förmågan utgör ett centralt skydd mot obehörig åtkomst och realiserar själva åtkomstbeslutet, ofta i en federerad kontext. Förmågan innebär att komponenten:
Förmågan kan implementeras både centralt (t.ex. i en auktorisationstjänst) eller lokalt (t.ex. i en resursserver eller applikation), beroende på arkitektur och säkerhetsmodell. |
| E-tjänst | En E-tjänst är en applikation som erbjuder funktionalitet till användare, ofta via en webbläsare. Den fungerar som användarens direkta kontaktpunkt mot digitala tjänster och ansvarar för att initiera åtkomstförfrågningar och inhämta identitets- och behörighetsinformation. | ||
| Klient | En Klient är en fristående applikation, eller en del av en E-tjänst som agerar å användarens vägnar, ibland fristående och utan direkt användarinteraktion. Den används exempelvis i automatiserade system, mobilappar eller verksamhetssystem som kommunicerar med API:er för att hämta information eller utföra åtgärder. | Åtkomstbegäran | Åtkomstbegäran är en IAM-förmåga som innebär att en komponent kan initiera en begäran om ett identitetsintyg eller ett åtkomstintyg, i syfte att möjliggöra fortsatt åtkomst till en digital resurs eller tjänst. Förmågan omfattar att formulera och skicka en strukturerad begäran som innehåller tydlig information om:
Förmågan är viktig i federerade miljöer eftersom den formaliserar och initierar flöden som bygger på tillit och verifierbarhet. En korrekt utformad åtkomstbegäran möjliggör tillförlitlig intygsutfärdning, och är därmed en nyckelkomponent i säker och interoperabel åtkomsthantering |
Tillitsmärken
Att en teknisk komponent tilldelas ett tillitsmärke innebär att komponenten (och den organisation och verksamhet som ansvarar för komponenten) uppfyller de tillitsskapande krav som krävs för att på ett tillitsfullt sätt kunna utföra eller erbjuda IAM-förmågor. För viss samverkan via digitala tjänster kan det finnas informationssäkerhetskrav som föranleder mer omfattande tillitsskapande krav och detta tänker vi oss ska representeras av nivåindelad tillitsmärkning.
Det finns två olika modeller för hur man kan kombinera tillitsmärken och tillitsnivåer. Antingen har man fristående tillitsmärken för tillitsnivån komponenter erbjuder, eller så har man nivåspecifika tillitsmärken för varje IAM-förmåga. Då vi strävar efter en så enkel modell som möjligt att hantera och administrera för parterna förordar vi i dagsläget fristående tillitsmärken för tillitsnivåer. Vi ser vidare att specifika tillitsmärken endast behövs för att deklarera en specifik (högre) tillitsnivå för hos de komponenter som tillför behörighetsgrundande information och inte för de som endast hanterar existerande information.
Vi föreslår således tillitsmärken som mappar emot IAM-förmågor och tilldelas tekniska komponenter enligt nedanstående bild och tabell.
draw.io Diagram border false diagramName Komponenter och tillitsmärken simpleViewer false links auto tbstyle inline lbox true diagramWidth 836 height 440 revision 3
| Komponent | Tillitsmärken |
|---|---|
| Legitimeringstjänst | Ena Tillit Intygsutfärdande Ena Tillitsnivå 1, Ena Tillitsnivå 2, Ena Tillitsnivå 3, eller Ena Tillitsnivå 4 |
| Auktorisationstjänst | Ena Tillit Intygsutfärdande Ena Tillitsnivå 1, Ena Tillitsnivå 2, Ena Tillitsnivå 3, eller Ena Tillitsnivå 4 |
| Attributkälla | Ena Tillit Attributhantering Ena Tillitsnivå 1, Ena Tillitsnivå 2, Ena Tillitsnivå 3, eller Ena Tillitsnivå 4 |
| Resursserver (API) | Ena Tillit Åtkomstkontroll |
| E-tjänst | Ena Tillit Åtkomstkontroll |
| Klient | Ena Tillit Åtkomstbegäran |
| Info | ||
|---|---|---|
| ||
|
Utvikning kring tillitsnivåer
Vi föreslår att behov av en viss tillitsnivå grundar sig i klassningen av den information eller funktion som en digital tjänst behandlar. För detta utgår vi ifrån MSB:s stöd för informationsklassning (Ref: Klassningsmodell, MSB). Identitet och behörighet inom Ena är inte en del av den ursprungliga klassningen utan snarare en säkerhetsåtgärd, med det är rimligt att anta att en given klassning har likvärdiga nivåer på åtgärder och att identitet och behörighet skulle kunna skapa mer generella paketeringar som då antas motsvara en viss klassning, alternativt och utgöra en bra grund. Det vill säga att utifrån en klassning av en verksamhets information faller säkerhetsåtgärder eller krav ut, identitet och behörighet skulle genom olika paketering möta upp mot dessa krav. En positiv effekt av detta skulle även kunna vara samverkan runt olika paketeringar som långsiktigt även skulle kunna verka generaliserande och normerande.
Vidare är det huvudsakligen områdena konfidentialitet (behörighet att ta del) och riktighet (inte kunna förändras av obehöriga) som identitet och behörighet aktivt medverkar till att lösa delar av, även om tillgängligheten är viktig så är det snarare ett krav som verksamhetssystemet eller andra nyttjare ställer på tillämpningen av identitet och behörighet och inte en aktiv del av lösningen i den bemärkelsen. Likheterna mellan konfidentialitet och riktighet avseende identitet och behörighet är att på en stigande skala ökar behovet av att säkerställa vem eller vad det är som har åtkomst till, eller förändrar informationen.
Detta kan synliggöras genom ställa upp värdena i en matris med konfidentialitet och riktighet på axlarna, där det högsta värdet styr utfallet.
K/R | 1 | 2 | 3 | 4 |
|---|---|---|---|---|
| 4 | 4 | 4 | 4 | 4 |
| 3 | 3 | 3 | 3 | 4 |
| 2 | 2 | 2 | 3 | 4 |
| 1 | 1 | 2 | 3 | 4 |
Det vill säga att när antingen konfidentialiteten eller riktigheten överstiger ett visst värde så faller likvärdiga krav och säkerhetsåtgärder ut kopplat till identitet och behörighet.
Identitet
Inom området identitet finns det redan etablerad standard som Myndigheten för digital förvaltning (Digg) tillhandahåller, Svensk e-legitimation. Nedan följer ett citat från digg.se:
Tillitsramverket för Svensk e-legitimation syftar till att etablera gemensamma krav för utfärdare av Myndigheten för digital förvaltning (Digg) granskade och godkända e-legitimationer. Kraven är fördelade på olika skyddsklasser – tillitsnivåer – som svarar mot olika grader av teknisk och operationell säkerhet hos utfärdaren och olika grader av kontroll av att den person som tilldelas en elektronisk legitimationshandling verkligen är den han eller hon utgett sig för att vara.
De olika tillitsnivåerna som återfinns inom tillitsramverket är på en fyrgradig skala med tillägg för icke bofasta för nivåerna två och uppåt. Även om icke bofast signaleras så är krav och kravuppfyllnad motsvarande och det är huvudsakligen tillvägagångssättet som skiljer sig och exempelvis möjligheten att representeras med exempelvis svenskt personnummer.
Det finns även möjlighet att signalera "uncertified" för nivåerna två och tre, vilket då innebär att man inte har genomgått en granskning utan att tillhandahållaren genomför en självskattning hävdar att relevant nivå är uppfylld.
Utöver e-legitimation som identifierar individer behövs det även stöd för att identifiera system eller tjänster hos en organisation när det inte är individen som har åtkomst, eller när kännedom om individen inte är relevant.
Behörighet
För att en informationsägaren ska kunna ta beslut om åtkomst till informationen krävs normalt som grund identiteten (vem) på den eller det som begär åtkomst och i förekommande fall att autentisering på en viss nivå har skett. Utöver identitet kan andra egenskaper behöva förmedlas. det kan då vara egenskaper som hör till utbildning, anställning eller situation. För system eller tjänster får man tänka om begreppen, då anställning snarare motsvarar driftsatt eller installerad, men att man i grunden har en relation till organisationen och representerar den i vissa avseenden.
Ett tillitsmärke för behörighet ska användas för att uppvisa graden av tillit eller korrekthet av den information som förmedlas, där underlag från autentisering i form av identitet även kan förmedlas. Exempelvis skulle man kunna likställa genomförd autentiseringen och dess identitet som en "attributkälla" motsvarande andra attribut eller egenskaper som kläs på.
Förslag på nivåer av tillit
Vad innebär det att en komponent är innehavare av ett tillitsmärke på en viss tillitsnivå?
Vi föreslår att Ena baserar sina Vi utgår ifrån MSB:s stöd för informationsklassning (Ref: Klassningsmodell, MSB) och väljer att basera våra tillitsnivåer på stödet "Klassningsmatris A - Fyra nivåer" .
Not: Klassa som kommuner använder har en skala på 1-3 och på 4 faller säkerhetskyddsklassificerad information ut. Det vill säga en tre-gradig skala
från MSB med en tolkning av nivåernas innebörd enligt tabellen nedan.
TillitsnivåLevel of Trust | När ska man kräva det och vad innebär det? |
|---|---|
| LoT-1 | Ett riktmärke är att konsekvenser ligger på försumbar på försumbar skada avseende konfidentialitet eller riktighet. |
| LoT-2 | Ett riktmärke är att konsekvenser ligger på måttlig på måttlig skada avseende konfidentialitet eller riktighet. |
LoT-3 | Ett riktmärke är att konsekvenser ligger på betydande på betydande skada avseende konfidentialitet eller riktighet. |
| LoT-4 | Ett riktmärke är att konsekvenser ligger på allvarlig på allvarlig skada avseende konfidentialitet eller riktighet. ANTAGANDE: Krav på att flerfaktorsautentisering formellt enligt Svensk e-legitimation (eller andra av X godkända ramverk, ex statlig e-leg?) på minst LoA-X används. Att användning avser samtliga funktionsobjekt där det är relevant och inte endast kopplat till slutanvändaren. För systemanvändare .... |
...
Att omfattningen av konsekvenserna endast är ett riktmärke beror på att samma information skulle kunna ge olika klassningar hos olika aktörer, vilket inte betyder att det är fel på något sätt men det behövs en jämkning. Exempelvis om man tar en ekonomisk skada uttryckt i fasta belopp så kommer organisationens totala omsättning rimligen att styra hur betydande man anser att skadan kan bli. Medans om man uttrycker det i procent skulle man rimligen hamna mer lika. Därav att det inte kan vara mer än ett riktmärke och att dialog mellan parterna i ett större sammanhang behövs där en gemensam bedömning görs.
| Info | ||
|---|---|---|
| ||
Varje samverkanstillämpning bör kräva att alla komponenter som ingår i tillitskedjan har |
...
ett tillitsmärke |
...
motsvarande minst den utifrån informationsklassningen klassade tillitsnivån. |
...
Tillitsskapande krav
Tillitsskapande krav kan vara av olika karaktär. Inom Enas tillitsarbete har vi identifierat fyra huvudkategorier av tillitsskapande krav:
- Organisatoriska krav
- Administrativa krav
- Fysiska krav
- Tekniska krav
Vi har genomfört en analys och sammanställning av tillitsskapande krav ställda inom federationerna Sweden Connect, Sambi, Skolfederation, SITHS och HSA. De olika federationernas tillitsskapande krav överlappar till stor del och vi har föresatt oss att skapa en nettolista av krav i Enas terminologi och anpassade för komponenter som hanterar identiteter och behörighetsgrundande information för samverkan via digitala tjänster inom Ena.
ALLA tillitsskapande krav som stipuleras av något tillitsmärke SKA finnas registrerade med unika identiteter per krav i en gemensam Ena Kravkatalog. Detta innebär att ett enskilt tillitsmärke blir en listning av identiteterna på de krav som omfattas, samt hur efterlevnadskontroll ska genomföras.
Målen med denna påbörjade men ännu inte färdiga övning är flera:
- Verksamheter som redan genomgått tillitsgranskning för någon av de genomgångna tillitsramverken ska automatiskt kunna vara kvalificerade för att bli tilldelade nödvändiga tillitsmärken och kunna etablera samverkan via digitala tjänster i Ena.
- Digitala tjänster som erbjuds inom någon av de genomgångna federationerna ska kunna erbjuda samma tjänst inom Ena till parter som är anslutna till Enas federationsinfrastruktur.
- Existerande federationer ska på sikt kunna luta sig emot Enas tillitsmärken för existerande tillgång till digitala tjänster och därmed minska samhällets totala kostnad för återkommande tillitsgranskningar.
| Info | ||
|---|---|---|
| ||
Vi siktar på att kunna presentera en första version av Enas kravkatalog under Q3 2025. |
Efterlevnadskontroll vid tilldelning och revision av tillitsmärken
Tanken bakom det sätt som strukturen med tillitsmärken och en central kravkatalog är uppbyggd är att alla granskningsaktiviteter ska anpassas utifrån vilka tillitsskapande krav som en organisation, verksamhet, eller teknisk komponent redan uppfyller baserat på redan tilldelade tillitsmärken. Ett steg i utfärdandet av ett tillitsmärke är att ta fram vilka tillitsskapande krav som ansökanden behöver granskas emot. Det vill säga gapet mellan aktuellt tillitsmärkes kravomfång och de krav som den tekniska komponenten och dess bakomliggande ansvariga verksamhet eller organisation redan uppfyller.
För att påvisa efterlevnad av de tillitsskapande krav som omfattas av ett tillitsmärke krävs det initiala och periodiskt återkommande mekanismer för efterlevnadskontroll. Vi har identifierat nedanstående mekanismer som används idag i liknande sammanhang:
- Lagstadgad efterlevnad - granskning av många myndigheters efterlevnad av lagstadgade krav genomförs dels av myndigheten intern och av utpekad tillsynsmyndighet.
- Självdeklarerad efterlevnad baserad på intern revision - parter granskar sin egen efterlevnad genom internrevision och redovisar granskningsresultatet till Ena i en självdeklaration.
- Självdeklarerad efterlevnad baserad på extern revision - parter låter genomföra en externt kontrakterad revision och redovisar granskningsresultatet till Ena i en självdeklaration.
- Granskning - en av ena godkänd part granskar efterlevnad
Vilken granskning som genomförs beror dels av vilken part det är som granskas, dels av vilket tillitsmärke granskningen gäller. Exakt utformning av regelverk för efterlevnadskontroll och tillhörande processer kvarstår att utforma.
| Info | ||
|---|---|---|
| ||
Vi siktar på att kunna presentera en första version av Enas regelverk för efterlevnadskontroll för tillitsmärken under Q4 2025. |
ANTAGANDE: Att befintliga implementationer på ett generellt plan inom hälsa- vård och omsorg i dag ligger på en motsvarande LoT-3 och bör hamna där inom Ena. Med utrymme att i specifika fall, eller specifika tillämpningar där åtkomsten är bred kan kvalificera sig till LoT-4, vidare även kopplingar till eIDAS/HIGH etc.
Tillitsmärken
Tillitsskapande krav
...
Exempel på tillämpning av tillitsstrukturen
Från möte 12/6 - det är bra om vi exemplifierar en eller flera tillämpningar av föreslagen struktur.Status colour Yellow title TODO