UTKAST
1. Bakgrund och inriktning
1.1 Vad detta dokument är
Detta dokument anger verifierbara krav som ska gälla för aktörer som tillhandahåller protokollentiteter i sin roll som federationsmedlem.
Kraven kan ligga till grund för utkrävande av ansvar.
1.2 Vad detta dokument inte är
Dokumentet ersätter inte anslutnings- och registreringskrav utan utgör kompletterande grundkrav på protokollentiteter.
Dokumentet ställer inte krav på hur aktören organiserar sitt informationssäkerhetsarbete i stort. Sådana krav följer av annan reglering (NIS 2, myndighetens instruktion, eller aktörens egna åtaganden) och kontrolleras inte inom ramen för federationens granskning.
2. Krav
Betrodda roller och behörigheter
| Krav-ID | Krav |
|---|---|
| K1 | Federationsmedlemmen ska ha identifierat och dokumenterat vilka fysiska personer som har behörighet att hantera protokollentitetens kryptografiska nyckelmaterial. Behörigheter till nyckelhanteringsfunktioner ska vara begränsade till dessa personer. |
Kryptografiskt nyckelmaterial
| Krav-ID | Krav |
|---|---|
| K2 | Protokollentitetens kryptografiska nyckelmaterial ska skyddas så att: (a) åtkomst begränsas, logiskt och fysiskt, till de roller och tillämpningar som kräver det, (b) nyckelmaterialet inte lagras i klartext på beständig lagringsmedia, och (c) säkerhetsmekanismerna är baserade på erkända och väletablerade standarder. |
| K3 | Federationsmedlemmen ska ha en dokumenterad rutin för nyckelgenerering, nyckelrotation och nödåterkallelse av protokollentitetens nyckelmaterial. Rutinen ska ange vem som får genomföra respektive åtgärd och hur den dokumenteras. |
| K4 | Genomförd nyckelgenerering och nyckelrotation ska kunna verifieras genom logg eller annat spår som anger tidpunkt, utförare och åtgärd. |
Incidenthantering
| Krav-ID | Krav |
|---|---|
| K5 | Federationsmedlemmen ska kunna genomföra nödåterkallelse eller nyckelrotation utan onödigt dröjsmål vid misstänkt eller konstaterad kompromittering av protokollentitetens nyckelmaterial, samt informera anslutningsoperatören om aktuell incident. |