Den tidigare arbetsytan för Tillitsstruktur som låg här har flyttas till Leveransteam Tillitsstruktur.
Tanken är att vi här istället dokumenterar resultatet av arbetet, det vill säga själva leveransen.
Inledning
När två parter behöver utbyta information kan det vara så att respektive sida först behöver säkerställa att motparten är den den utger sig att vara, och att denne är behörig att ta del av den information som delas. Det är informationsägaren som ansvarar för säkerställa att man är behörig innan informationen kan lämnas ut. Det finns både fall där man inte ställer särskilda krav på behörighet (exempelvis öppen data) och andra där man behöver veta vem organisationen, systemet eller individen som har åtkomst är och egenskaper kopplade till dem. (exempelvis att man har ett uppdrag, en specifik kompetens etc) Man kan förenklat säga att det är en skala från inget behov alls till hög tillförlitlighet till underlaget som ger behörighet, normalt även i direkt proportion till informationens känslighet.
Inom ramen för detta dokument omfattar tillit främst tilliten till att förmedling och hantering av identiteter och behörighetsgrundande information sker på ett säkert sätt. Detta ska i sin tur minimera risken för obehörig åtkomst till information. I dagens komplexa samverkan, där man ofta behöver hämta och behandla information från flera parter för att stödja verksamhetsbehov, behöver också tilliten upprätthållas i flera led mellan alla parter som tar fram det underlag som behövs för åtkomstbeslut. För att möjliggöra korrekta åtkomstbeslut krävs att tillit kan skapas till alla inblandade parter och komponenter - detta är målet med Enas tillitsstruktur, vilken presenteras nedan.
Drivkrafter och principer
- Bred återanvändning av gemensamma, generella och överenskomna nivåer av tillit.
- Oavsett tillämpningar/sektorer/domäner eller typen av information.
- En gemensam grund som alla kan acceptera och känna igen sig i
- Aktiv vidareutveckling och förvaltning av märken och dess krav
- När nya parter ansluter kan det komma nya krav eller upptäcker som föranleder ändringar i den gemensamma grunden.
- Säkerhet eller snarare säkerhetshot är under ständig förändring och därmed behöver en aktiv livscykelhantering finnas för att möta upp mot detta.
- Det ska vara lätt för befintliga digitala tillämpning i samhället att relatera och kunna förflytta sig mot.
Summering
Förslag på tillitsstruktur
Tillitsskapande funktioner
Strukturerad tillit mellan parter i en federation behövs för att möjliggöra säker och effektiv informationsdelning mellan olika organisationer. Detta är särskilt viktigt inom offentlig förvaltning där komplexa värdenätverk kräver samordnad digital infrastruktur. Tillit kan delas in i tre huvudsakliga områden:
Verksamhetstillit – baserat på lagar och reglering.
Informationstillit – etableras via informationssäkerhet och gemensamma överenskommelser.
Teknisk tillit – genom tekniska standarder och säkerhetskrav.
Tillitsobjekt
Inom en federation förmedlar federationens aktörer strukturerad information som parterna behöver kunna lita på. Dessa är kan beskrivas som tillitsobjekt:
Metadata
Metadata förmedlar information om parter och är kontrollerad och publicerad av betrodd aktör i federationenIntyg
Förmedlar påståenden om en användare, såsom autentisering och attribut. Intygsförmedling sker direkt mellan parter.Intygsbegäran
Initierar en identitet- eller åtkomstförfrågan baserat på ett intyg. Viktigt med säker hantering och syftesbegränsning.Kontext
En ram inom vilken övriga tillitsobjekt verkar. Kontexter kan påverka interoperabilitet och säkerhetskrav
Funktionsobjekt
Funktionsobjekt är de tekniska funktioner och processer som tillsammans är det som skapar tillitsobjekten.
De fungerar alltså som byggstenar för tillitsobjekten, och varje tillitsobjekt tillhandahålls av antal specifika funktionsobjekt
TODO För respektive tillitsskapande funktion, en beskrivning och hur den bidrar med tillit till ekosystemet.
Komponenter i federationen som hanterar tillit
Alla funktionsobjekt representeras inte i federationen, vilket innebär att det är den tekniska komponenten som beskrivs med metadata i federationen. Tex komponenten Auktorisationstjänst omfattar eller inkluderar ett antal funktionsobjekt.
TODO För respektive komponent, en beskrivning och vilka funktionsobjekt som den omfattar/tillhandåller
Nivåer av tillit
För att nivåer av tillit ska kunna återanvändas är det viktigt att det finns en neutral och återanvändbar grund
Informationssäkerhet och klassning av information
Informationssäkerhet handlar om att förhindra att information läcker ut, förvanskas och förstörs. Det handlar också om att rätt information ska finnas tillgänglig för rätt personer, i rätt tid. Det är normalt sätt informationsägaren som värderar eller klassar sin information och informationsbehandlande resurser utifrån olika skyddsvärden och därmed även identifierar säkerhetskrav. Myndigheten för samhällsskydd och beredskap (MSB) har bland annat ett metodstöd för att klassificera informationstillgångar som exempelvis på en fyrgradig skala klassificerar utifrån konfidentialitet, riktighet och tillgänglighet och för fortsatt resonemang kommer detta metodstöd att ligga till grund.
Identitet och behörighet inom Ena är inte en del av den ursprungliga klassningen utan snarare en säkerhetsåtgärd, med det är rimligt att anta att en given klassning har likvärdiga nivåer på åtgärder och att identitet och behörighet skulle kunna skapa mer generella paketeringar som då antas motsvara en viss klassning, alternativt utgöra en bra grund. Det vill säga att utifrån en klassning av en verksamhets information faller säkerhetsåtgärder eller krav ut, identitet och behörighet skulle genom olika paketering möta upp mot dessa krav. En positiv effekt av detta skulle även kunna vara samverkan runt olika paketeringar som långsiktigt även skulle kunna verka generaliserande och normerande.
Vidare är det huvudsakligen områdena konfidentialitet (behörighet att ta del) och riktighet (inte kunna förändras av obehöriga) som identitet och behörighet aktivt medverkar till att lösa delar av, även om tillgängligheten är viktig så är det snarare ett krav som verksamhetssystemet eller andra nyttjare ställer på tillämpningen av identitet och behörighet och inte en aktiv del av lösningen i den bemärkelsen. Likheterna mellan konfidentialitet och riktighet avseende identitet och behörighet är att på en stigande skala ökar behovet av att säkerställa vem eller vad det är som har åtkomst till, eller förändrar informationen.
Detta kan synliggöras genom ställa upp värdena i en matris med konfidentialitet och riktighet på axlarna, där det högsta värdet styr utfallet.
K/R | 1 | 2 | 3 | 4 |
|---|---|---|---|---|
| 4 | 4 | 4 | 4 | 4 |
| 3 | 3 | 3 | 3 | 4 |
| 2 | 2 | 2 | 3 | 4 |
| 1 | 1 | 2 | 3 | 4 |
Det vill säga att när antingen konfidentialiteten eller riktigheten överstiger ett visst värde så faller likvärdiga krav och säkerhetsåtgärder ut kopplat till identitet och behörighet.
Identitet
Inom området identitet finns det redan etablerad standard som Myndigheten för digital förvaltning (Digg) tillhandahåller, Svensk e-legitimation. Nedan följer ett citat från digg.se:
Tillitsramverket för Svensk e-legitimation syftar till att etablera gemensamma krav för utfärdare av Myndigheten för digital förvaltning (Digg) granskade och godkända e-legitimationer. Kraven är fördelade på olika skyddsklasser – tillitsnivåer – som svarar mot olika grader av teknisk och operationell säkerhet hos utfärdaren och olika grader av kontroll av att den person som tilldelas en elektronisk legitimationshandling verkligen är den han eller hon utgett sig för att vara.
De olika tillitsnivåerna som återfinns inom tillitsramverket är på en fyrgradig skala med tillägg för icke bofasta för nivåerna två och uppåt. Även om icke bofast signaleras så är krav och kravuppfyllnad motsvarande och det är huvudsakligen tillvägagångssättet som skiljer sig och exempelvis möjligheten att representeras med exempelvis svenskt personnummer.
Det finns även möjlighet att signalera "uncertified" för nivåerna två och tre, vilket då innebär att man inte har genomgått en granskning utan att tillhandahållaren genomför en självskattning hävdar att relevant nivå är uppfylld.
Utöver e-legitimation som identifierar individer behövs det även stöd för att identifiera system eller tjänster hos en organisation när det inte är individen som har åtkomst, eller när kännedom om individen inte är relevant.
Behörighet
För att en informationsägaren ska kunna ta beslut om åtkomst till informationen krävs normalt som grund identiteten (vem) på den eller det som begär åtkomst och i förekommande fall att autentisering på en viss nivå har skett. Utöver identitet kan andra egenskaper behöva förmedlas. det kan då vara egenskaper som hör till utbildning, anställning eller situation. För system eller tjänster får man tänka om begreppen, då anställning snarare motsvarar driftsatt eller installerad, men att man i grunden har en relation till organisationen och representerar den i vissa avseenden.
Ett tillitsmärke för behörighet ska användas för att uppvisa graden av tillit eller korrekthet av den information som förmedlas, där underlag från autentisering i form av identitet även kan förmedlas. Exempelvis skulle man kunna likställa genomförd autentiseringen och dess identitet som en "attributkälla" motsvarande andra attribut eller egenskaper som kläs på.
Förslag på nivåer av tillit
Vad innebär det att en komponent är innehavare av ett tillitsmärke på en viss tillitsnivå?
Vi utgår ifrån MSB:s stöd för informationsklassning (Ref: Klassningsmodell, MSB) och väljer att basera våra tillitsnivåer på stödet "Klassningsmatris A - Fyra nivåer".
Not: Klassa som kommuner använder har en skala på 1-3 och på 4 faller säkerhetskyddsklassificerad information ut. Det vill säga en tre-gradig skala
Level of Trust | När ska man kräva det och vad innebär det? |
|---|---|
| LoT-1 | Ett riktmärke är att konsekvenser ligger på försumbar skada avseende konfidentialitet eller riktighet. |
| LoT-2 | Ett riktmärke är att konsekvenser ligger på måttlig skada avseende konfidentialitet eller riktighet. |
LoT-3 | Ett riktmärke är att konsekvenser ligger på betydande skada avseende konfidentialitet eller riktighet. |
| LoT-4 | Ett riktmärke är att konsekvenser ligger på allvarlig skada avseende konfidentialitet eller riktighet. ANTAGANDE: Krav på att flerfaktorsautentisering formellt enligt Svensk e-legitimation (eller andra av X godkända ramverk, ex statlig e-leg?) på minst LoA-X används. Att användning avser samtliga funktionsobjekt där det är relevant och inte endast kopplat till slutanvändaren. För systemanvändare .... |
Tanken är sedan att en tillämpning som kräver en viss tillitsnivå kräver att alla komponenter som ingår i tillitskedjan har Ena tillitsmärke på minst den tillitsnivån.
ANTAGANDE: Att befintliga implementationer på ett generellt plan inom hälsa- vård och omsorg i dag ligger på en motsvarande LoT-3 och bör hamna där inom Ena. Med utrymme att i specifika fall, eller specifika tillämpningar där åtkomsten är bred kan kvalificera sig till LoT-4, vidare även kopplingar till eIDAS/HIGH etc.
Tillitsmärken
Krav och efterlevnadskontroll vid tilldelning av tillitsmärken
Exempel på tillämpning av tillitsstrukturen
TODO Från möte 12/6 - det är bra om vi exemplifierar en eller flera tillämpningar av föreslagen struktur.