Tillitstruktur och tillitsmärken

Hypoteser om tillitsmärken och kontrollmekanismer

1. Säkerhetskrav på tekniska komponenter och organisationers förmågor

   • Krav ställs på en teknisk komponent, en organisation, eller del av organisation (verksamhet) förmåga att uppfylla vissa säkerhetskrav.

   • Krav delas in i:
     • tekniska,
     • fysiska,
     • administrativa och
     • organisatoriska
   • Ena tillhandahåller en nationell förvaltningsgemensam kravkatalog

2. Tillitsmärkens funktion

   • Ett tillitsmärke omfattar ett antal ställda säkerhetskrav och är det som tekniskt kan verifieras mha infrastrukturen

   • Ett tillitsmärke indikerar att en teknisk komponent, organisation, eller del av organisation (verksamhet) uppfyller en uppsättning krav med en viss grad av tillförlitlighet.

   • Tillitsmärke
     
     • Ett urval av krav från den nationella kravkatalogen

3. Ägare av tillitsmärken, kontrollmekanismer och ansvar

   • Vilken kontrollmekanism som krävs för att påvisa en viss grad av tillförlitlighet kan variera beroende på krav, aktörstyp och ansvarig aktör.

   • Tillitsmärkesägaren äger regelverket för de tillitsmärken de står bakom och beslutar om kontrollmekanismer.

   • En tillitsmärkesutfärdare kan erbjuda kontroll som en tjänst till tillitsmärkesägare, men det är tillitsmärkesägaren som beslutar om hur och av vem kontrollen ska utföras.

   • Kontrollmekanismer måste kunna skilja sig mellan olika aktörstyper, exempelvis kan självdeklaration vara acceptabelt för myndigheter men extern granskning krävas för privata aktörer.

     • Varje tillitsmärkesägare måste öppet publicera sitt regelverk, inklusive krav på kontrollmekanismer för olika aktörer eller aktörstyper.

4. Tillitsmärken och tillitsnivåer

   • Tillitsmärken bör utformas på olika nivåer. Förslag på nivåindelning:

     • Låg – Tjänst finns men inga säkerhetskrav, eller självdeklaration eller mycket låga krav.

     • Bas – Kraven uppfylls genom avtal, motsvarande Skolfederation.

     • Medel – Extern granskning av självdeklaration med möjlighet till stickprovskontroller, motsvarande Sambi.

     • Hög – Kraven uppfylls genom certifiering eller motsvarande granskningsprocess, motsvarande Sweden Connect.

   • Tillitsnivåer beslutas av tillitsmärkesägaren, men en harmonisering bör finnas för tillitsmärken inom Ena.

5. Samverkanskontext och krav på tillitsmärken

   • Varje samverkanskontext avgör tillitsmärken och tillitsnivåer som krävs för deltagande.

   • Nyttjande av Ena-tillitsmärken rekommenderas inom svensk offentlig förvaltning.

6. Livscykelhantering av tillitsmärken

   • Livscykelhanteringen bör sträva efter att kontinuerligt höja kraven för att stärka motståndskraften inom informations- och cybersäkerhet.

7. Kontrollmekanismer och harmonisering

   • En generisk modell för kontrollmekanismer skulle kräva arbete med ackreditering och likabedömning.

   • Harmonisering av krav för Ena-tillitsmärken är önskvärd, men andra tillitsmärkesägare ska kunna ha egna krav.

Modell för tillitstruktur

Baserat på ovan listade hypoteser  har jag skapat en modell (arbetsmaterial: ena-authorization/tillitsmodell/arkitekturell_modell.md at tillitmodell · diggsweden/ena-authorization).

Det jag försöker visa i bilden är att Enas tillitsmärken och de krav de markerar uppfyllnad av, delas in i funktion (även kallat funktionsobjekt i vårt arbetsmaterial).

Funktionsobjekten är:

1. Organisationsanslutning
2. Användaridentifiering
3. Autenticeringsmetod
4. Attributhantering
5. Attributkälla
6. Intygsutfärdardare
7. Åtkomstkontroll
8. Federationsanslutning
9. Specialobjekt

Sättet att läsa och tolka modellen ovan är:

1. Det finns krav samlade i en kravkatalog. Kraven delas in i följande kategorier:
   1. organisatoriska - krav på en organisation eller en verksamhet inom en organisation. Tex solvenskrav, att ha ansvarsförsäkring, att vara registrerat bolag hos bolagsverket, att vara registrerad vårdgivare hos socialstyrelsen.
   2. administrativa - att man skapar styrdokument, rutiner. Att ha ett LIS, att ha en CISO, ett säkerhetsskyddsombud.
   3. tekniska - att en komponent har en viss teknisk förmåga enligt en specifikation.
   4. fysiska - att det finns en viss fysisk skyddsmekanism på plats för system, komponenter eller utrymmen där administration sker.
      
      
2. Det finns ett antal olika kontrollmekanismer för hur uppfyllnad och efterlevnad av ett krav kan säkerställas. Kontrollmekanismer kan vara:
   1. självdeklaration - man deklarerar sitt uppfyllande av krav utan krav på verifiering.
   2. intern revision - organisationen eller de system och komponenter som ska uppfylla krav granskas genom en intern revision. Efterlevnad verifieras via revisionsrapport.
   3. extern revision - organisationen eller de system och komponenter som ska uppfylla krav granskas genom revision av tredje part. Efterlevnad verifieras via revisionsrapport. 
   4. certifiering av ackrediterad part - organisationen eller de system och komponenter som ska uppfylla krav granskas av en ackrediterad tredje part. Efterlevnad verifieras via certifieringsrapport.
      
      
3. De organisationer som önskar ansluta ett system, eller en komponent, delas in i olika aktörskategorier. Vilken kategori ens organisation tillhör kan påverka kraven som ställs på kontrollmekanismer för att påvisa kravuppfyllnad och kravefterlevnad. Identifierade aktörskategorier är:
   1. Statlig myndighet
   2. Region
   3. Kommun
   4. Privat aktör 
      
      
4. Ett tillitsmärke definieras av en uppsättning krav per kundgrupp, inklusive krav på kontrollmekanism.
   
   
5. Det kan finnas olika tillitsmärken för samma funktionsobjekt, med andra eller ytterligare krav, för att förmedla olika grad av tillitsskapande förmåga.

Notera: modellen är mycket flexibel, men man bör som tillitsmärkesägare förenkla modellen genom konsolidering av till exempel kravomfång inom ett tillitsmärke, eller konsolidera kontrollmekanismer per aktörskategori.

Ett exempel på förenklad modell är 

1. Ena tillitsmärke organisation
2. Ena tillitsmärke klient
3. Ena tillitsmärke identitet
4. Ena tillitsmärke attribut
5. Ena tillitsmärke intyg
6. Ena tillitsmärke API

Kontrollmekanism skiljer per aktörstyp och tillitsmärke, men inte per krav som ingår i tillitsmärket.

Tillitsmärkesnivåer är BAS, VÄSENTLIG och HÖG med gemensam syn på vilken typ av information som kan utbytas baserad på åtkomstbeslut fattade med komponenter med en viss tillitsnivå.