Fokusområden

För att skiva elefanten och skapa mer fokus på mer avgränsade områden eller frågeställningar så finns ett förslag om att dela upp arbetet med tillitsstruktur i olika delar. De som i nuläget är aktuella att arbeta med beskrivs under respektive avsnitt 1.x.

Målet är att mer isolerat och avgränsat arbete med en fråga eller område i taget och kunna "stänga den" tills vidare.

Förslag på nya fokusområden som ännu inte finns med

Förvaltning och process för förändring av krav.
Ägarskap av gemensamma tillitsmärken.

Gemensamma tillitsmärken med Ena som ägare

Vi behöver landa i vilka tillitsmärken som ska tillhandahållas centralt av Ena och därmed kunna återanvändas mellan exempelvis olika domäner/sektorer eller motsvarande. För att tillitsmärken ska kunna återanvändas görs antagandet om att en bred, neutral och gemensam grund måste finnas och att det är utifrån denna som tillitsmärken tas fram. Exempelvis skulle det kunna vara informationsklassning av informationstillgångar som lägger grunden för skyddsvärden och åtgärder, där ett märke då skulle kunna påvisa en uppfyllnad av en viss nivå av åtgärder.

Mål:

Ta fram förslag på namn och antal tillitsmärken som ska vara gemensamma och ägas av Ena.
Beskriva skillnader mellan tillitsmärkena samt motivation till eller tänkt användning.
- Referenser till den gemensamma grunden som de lutar mot.

Vi som jobbar med området:

Robert, Anders, Jocke

Definiera och beskriva tillitsskapande objekt eller funktioner

Det finns ett förslag till "funktionsobjekt" som skapar tillit inom ekosystemet för identitet och behörighet. Den behöver jobbas vidare med och komplettera med mer beskrivande text.

Leverans till 1.2

Mål:

Term/begrepp för "tillitsskapande objekt eller funktioner/funktionsobjekt"
Definiera och beskriva vilka de är och:
- Vilka andra objekt de direkt samverkar med (grannar)
- Vad de bidrar med (tillitsskapande)

Vi som jobbar med området:

Tomas, Henric, Aras

Kravkatalog - "version 1.0"

Det finns ett tidigare arbete med att ta fram en bruttolista med krav utifrån befintliga federationer eller motsvarande federativa lösningar. Kraven behöver jobbas vidare med, dels textuellt då de i nuläget kommer från olika källor så att det blir en ensad kravkatalog inom Ena.

Krav:

Att det ska finnas en kravkatalog med krav redo att koppla med de olika tillitskapande objekten eller funktionerna. (se 1.2)

Mål:

Att det ska finnas väl formulerade och förståliga krav sammanställda i en kravkatalog.
- Om kraven ska delas upp mellan exempelvis organisatoriska, tekniska, fysiska etc.
- Id-numrering av krav och med framtidssäkring kring exempelvis versionshantering/förändring.
- Huruvida referenser till underliggande standards eller andra regulatoriska krav ska refereras till, och vilka de då är. (Ex ISO27k, NIS2, NIST etc)

Vi som jobbar med området:

Anders, Pelle? (Marcus W, Christer A) - Jocke, spela in Christer.

Efterlevnadskontroll (avvaktar: MAJ)

Ledord att ta med in i arbetet: Genomförbarhet och likabehandling.

Mål:

Ta fram modell, metodik, granskning.

Vi som jobbar med området:

???

Hypoteser om tillitsmärken och kontrollmekanismer

Säkerhetskrav på tekniska komponenter och organisationers förmågor
- Krav ställs på en teknisk komponent, en organisation, eller del av organisation (verksamhet) förmåga att uppfylla vissa säkerhetskrav.
- Krav delas in i:
  - tekniska,
  - fysiska,
  - administrativa och
  - organisatoriska
- Ena tillhandahåller en nationell förvaltningsgemensam kravkatalog
Tillitsmärkens funktion
- Ett tillitsmärke omfattar ett antal ställda säkerhetskrav och är det som tekniskt kan verifieras mha infrastrukturen
- Ett tillitsmärke indikerar att en teknisk komponent, organisation, eller del av organisation (verksamhet) uppfyller en uppsättning krav med en viss grad av tillförlitlighet.
- Tillitsmärke
  - Ett urval av krav från den nationella kravkatalogen
Ägare av tillitsmärken, kontrollmekanismer och ansvar
- Vilken kontrollmekanism som krävs för att påvisa en viss grad av tillförlitlighet kan variera beroende på krav, aktörstyp och ansvarig aktör.
- Tillitsmärkesägaren äger regelverket för de tillitsmärken de står bakom och beslutar om kontrollmekanismer.
- En tillitsmärkesutfärdare kan erbjuda kontroll som en tjänst till tillitsmärkesägare, men det är tillitsmärkesägaren som beslutar om hur och av vem kontrollen ska utföras.
- Kontrollmekanismer måste kunna skilja sig mellan olika aktörstyper, exempelvis kan självdeklaration vara acceptabelt för myndigheter men extern granskning krävas för privata aktörer.
  - Varje tillitsmärkesägare måste öppet publicera sitt regelverk, inklusive krav på kontrollmekanismer för olika aktörer eller aktörstyper.
Tillitsmärken och tillitsnivåer
- Tillitsmärken bör utformas på olika nivåer. Förslag på nivåindelning:
  - Låg – Tjänst finns men inga säkerhetskrav, eller självdeklaration eller mycket låga krav.
  - Bas – Kraven uppfylls genom avtal, motsvarande Skolfederation.
  - Väsentlig – Extern granskning av självdeklaration med möjlighet till stickprovskontroller, motsvarande Sambi.
  - Hög – Kraven uppfylls genom certifiering eller motsvarande granskningsprocess, motsvarande Sweden Connect.
- Tillitsnivåer beslutas av tillitsmärkesägaren, men en harmonisering bör finnas för tillitsmärken inom Ena.
Samverkanskontext och krav på tillitsmärken
- Varje samverkanskontext avgör tillitsmärken och tillitsnivåer som krävs för deltagande.
- Nyttjande av Ena-tillitsmärken rekommenderas inom svensk offentlig förvaltning.
Livscykelhantering av tillitsmärken
- Livscykelhanteringen bör sträva efter att kontinuerligt höja kraven för att stärka motståndskraften inom informations- och cybersäkerhet.
Kontrollmekanismer och harmonisering
- En generisk modell för kontrollmekanismer skulle kräva arbete med ackreditering och likabedömning.
- Harmonisering av krav för Ena-tillitsmärken är önskvärd, men andra tillitsmärkesägare ska kunna ha egna krav.

Modell för tillitstruktur

Baserat på ovan listade hypoteser har jag skapat en modell (arbetsmaterial: ena-authorization/tillitsmodell/arkitekturell_modell.md at tillitmodell · diggsweden/ena-authorization).

Det jag försöker visa i bilden nedan är hur Enas tillitsmärken behöver finnas med olika tillitsnivåer att varje sådant tillitmärke behöver regleras av av ett kontrollregelverk med stöd för krav på olika kontrollmekanismer för olika organisationstyper.

RU Identitet & Behörighet > Leveransteam Tillitshantering > image-2025-4-15_17-41-46.png

Det finns krav samlade i en kravkatalog. Kraven delas in i följande kategorier:
1. organisatoriska - krav på en organisation eller en verksamhet inom en organisation. Tex solvenskrav, att ha ansvarsförsäkring, att vara registrerat bolag hos bolagsverket, att vara registrerad vårdgivare hos socialstyrelsen.
2. administrativa - att man skapar styrdokument, rutiner. Att ha ett LIS, att ha en CISO, ett säkerhetsskyddsombud.
3. tekniska - att en komponent har en viss teknisk förmåga enligt en specifikation.
4. fysiska - att det finns en viss fysisk skyddsmekanism på plats för system, komponenter eller utrymmen där administration sker.
Det finns ett antal olika kontrollmekanismer för hur uppfyllnad och efterlevnad av ett krav kan säkerställas. Kontrollmekanismer kan vara:
1. självdeklaration - man deklarerar sitt uppfyllande av krav utan krav på verifiering.
2. intern revision - organisationen eller de system och komponenter som ska uppfylla krav granskas genom en intern revision. Efterlevnad verifieras via revisionsrapport.
3. extern revision - organisationen eller de system och komponenter som ska uppfylla krav granskas genom revision av tredje part. Efterlevnad verifieras via revisionsrapport.
4. certifiering av ackrediterad part - organisationen eller de system och komponenter som ska uppfylla krav granskas av en ackrediterad tredje part. Efterlevnad verifieras via certifieringsrapport.
De organisationer som önskar ansluta ett system, eller en komponent, delas in i olika aktörskategorier. Vilken kategori ens organisation tillhör kan påverka kraven som ställs på kontrollmekanismer för att påvisa kravuppfyllnad och kravefterlevnad. Identifierade aktörskategorier är:
1. Statlig myndighet
2. Region
3. Kommun
4. Privat aktör
Ett tillitsmärke utmärks av ett syfte definieras av dess typ och tillitsnivå. Det omfattar en uppsättning krav och regleras av ett regelverk som definierar krav på kontrollmekanism per organisationskategori.
Det kan finnas olika tillitsmärken för samma funktionsobjekt, med andra eller ytterligare krav, för att förmedla olika grad av tillitsskapande förmåga.

Kontrollregelverket kan till exempel se ut som nedan

Tillitsmärke	Krav	Organisationskategori	Kontrollmekanism
Intyg Hög	Krav A1 - man bör ha ett LIS...	Myndigheter	Självdeklaration
		Regioner	Intern revision
		Kommuner	Intern revision
		Privat företag	Extern revision
	Krav O2 - lorem ipsum	Myndighet	Självdeklaration
		...	...

Notera: modellen är mycket flexibel, men man bör som tillitsmärkesägare förenkla modellen genom konsolidering av till exempel kravomfång inom ett tillitsmärke, eller konsolidera kontrollmekanismer per aktörskategori.

Exempel på vilka tillitsmärken som krävs för en teknisk komponent:

Komponenten Auktorisationstjänst behöver inneha 3 tillitsmärken utifrån vilka funktioner/förmågor som Auktorisationtjänsten tillhandahåller till federationen.

Komponent	Tillitsmärke	Funktionsobjekt	Tekniska krav	Fysiska krav	Administrativ krav	Organisatoriska krav
Auktorisationstjänst	Ena-Intyg	Intygsutfärdning	T1	F1	A1	O1
			T2	F2
	Ena-Attribut	Attributkälla	T3			O2
		Attributhantering		F5	A5	O3
	Ena-organisation	Organisationsanslutning				O4

Kandidater för tillitsmärken

Komponent	Teknik	Komponent och levererande organisation granskas när det gäller	Användande organisation granskas när det gäller
e-tjänst	WebSSO, OICD/SAMLv2	Teknisk åtföljsamhet för interopalibitet till idP/OP	Informationssäkerhet, personuppgiftshantering
attributkälla	SCIM (provisionering), proprietära protokoll	Attributhantering (upprättande av tillitsramverk)	Följsamhet till attributkällans tillitsramverk
Idp/OP	WebSSO, OICD+SAML	Förmåga att ställa ut intyg baserat på eID och attributkälla, följsamhet till ENAs profiler för OIDC och SAMLv2 och attributlista.	Följsamhet till attributkällans tillitsramverk, livscykelhantering av användare
AS	Oauth2	Förmåga att ställa ut intyg baserat på regler och attributkälla, följsamhet till ENAs Oauth2-profiler.
API	Oauth2	Förmåga att konsumera åtkomstintyg enligt ENAs Oath2-profiler.	Informationssäkerhet, personuppgiftshantering
API-klient	Oauth2	Förmåga att anropa API:er enligt ENAs Oauth2-profiler.	Informationssäkerhet, personuppgiftshantering,
E-legitimation	Autentiseringstjänster (proprietära)	Enligt Svensk E-legitimation