Informationssäkerhet handlar om att förhindra att information läcker ut, förvanskas och förstörs. Det handlar också om att rätt information ska finnas tillgänglig för rätt personer, i rätt tid. Det är normalt sätt informationsägaren som värderar eller klassar sin information och informationsbehandlande resurser utifrån olika skyddsvärden och därmed även identifierar säkerhetskrav. Myndigheten för samhällsskydd och beredskap (MSB) har bland annat ett metodstöd för att klassificera informationstillgångar som på en fyrgradig skala klassificerar utifrån konfidentialitet, riktighet och tillgänglighet och för fortsatt resonemang kommer detta metodstöd att ligga till grund.
Identitet och behörighet inom Ena är inte en del av den ursprungliga klassningen utan snarare en säkerhetsåtgärd, med det är rimligt att anta att en given klassning har likvärdiga nivåer på åtgärder och att identitet och behörighet skulle kunna skapa mer generella paketeringar som då antas motsvara en viss klassning, alternativt utgöra en bra grund. Det vill säga att utifrån en klassning av en verksamhets information faller säkerhetsåtgärder eller krav ut, identitet och behörighet skulle genom olika paketering möta upp mot dessa krav. En positiv effekt av detta skulle även kunna vara samverkan runt olika paketeringar som långsiktigt även skulle kunna verka generaliserande och normerande.
Vidare är det huvudsakligen områdena konfidentialitet (behörighet att ta del) och riktighet (inte kunna förändras av obehöriga) som identitet och behörighet aktivt medverkar till att lösa delar av, även om tillgängligheten är viktig så är det snarare ett krav som verksamhetssystemet eller andra nyttjare ställer på tillämpningen av identitet och behörighet och inte en aktiv del av lösningen i den bemärkelsen. Likheterna mellan konfidentialitet och riktighet avseende identitet och behörighet är att på en stigande skala ökar behovet av att säkerställa vem eller vad det är som har åtkomst till, eller förändrar informationen.
Detta kan synliggöras genom att exempel ställa upp värdena i en matris med konfidentialitet och riktighet på axlarna.
| K/R | 1 | 2 | 3 | 4 |
|---|---|---|---|---|
| 4 | 5 | 6 | 7 | 8 |
| 3 | 4 | 5 | 6 | 7 |
| 2 | 3 | 4 | 5 | 6 |
| 1 | 1 | 3 | 4 | 5 |
Exempel 1: Summan av konfidentialiteten och riktigheten utan särskild viktning.
| K/R | 1 | 2 | 3 | 4 |
|---|---|---|---|---|
| 4 | 4 | 4 | 4 | 4 |
| 3 | 3 | 3 | 3 | 4 |
| 2 | 2 | 2 | 3 | 4 |
| 1 | 1 | 2 | 3 | 4 |
'
Exempel 2: Det högsta värdet av konfidentialiteten eller riktigheten styr värderingen.
Det första exemplet med summerat värde har en svaghet i att ett högt värde i kombination med ett lågt värde ger ett lägre utfall och det är därmed rimligare att det högsta värdet sätter utfallet enligt det andra exemplet. Det vill säga att när antingen konfidentialiteten eller riktigheten överstiger ett visst värde så faller likvärdiga krav och säkerhetsåtgärder ut kopplat till identitet och behörighet.
TLDR; paketering av krav och säkerhetsåtgärder bör ske i förhållande till ett utfall på skalan 1-4 där verksamhetens information avseende det högsta värdet av konfidentialitet eller riktighet (vid förändring av informationen) ligger till grund.
Inom området identitet finns det redan etablerad standard som Myndigheten för digital förvaltning (Digg) tillhandahåller, Svensk e-legitimation. Nedan följer ett citat från digg.se:
Tillitsramverket för Svensk e-legitimation syftar till att etablera gemensamma krav för utfärdare av Myndigheten för digital förvaltning (Digg) granskade och godkända e-legitimationer. Kraven är fördelade på olika skyddsklasser – tillitsnivåer – som svarar mot olika grader av teknisk och operationell säkerhet hos utfärdaren och olika grader av kontroll av att den person som tilldelas en elektronisk legitimationshandling verkligen är den han eller hon utgett sig för att vara.
De olika tillitsnivåerna som återfinns inom tillitsramverket är på en fyrgradig skala med tillägg för icke bofasta för nivåerna två och uppåt. Även om icke bofast signaleras så är krav och kravuppfyllnad motsvarande och det är huvudsakligen tillvägagångssättet som skiljer sig och exempelvis möjligheten att representeras med exempelvis svenskt personnummer.
Det finns även möjlighet att signalera "uncertified" för nivåerna två och tre, vilket då innebär att man inte har genomgått en granskning utan att tillhandahållaren genomför en självskattning hävdar att relevant nivå är uppfylld.
? eIDAS High för hälsodata och att motsvarigheten då är nivå 4 med viss utökning...
Utöver e-legitimation som identifierar individer behövs det även stöd för att identifiera system eller tjänster hos en organisation när det inte är individen som har åtkomst, eller när kännedom om individen inte är relevant.
TODO Finns behov av att kunna identifiera system eller tjänster på ett säkert och motsvarande sätt som för individer.
För att en informationsägare ska kunna ta beslut om åtkomst till informationen krävs normalt som grund identiteten (vem) på den eller det som begär åtkomst. Utöver identitet kan andra egenskaper behöva förmedlas. det kan då vara egenskaper som hör till utbildning, anställning eller situation. För system eller tjänster får man tänka om begreppen, då anställning snarare motsvarar driftsatt eller installerad, men att man i grunden har en relation till organisationen och representerar den i vissa avseenden.
Ett tillitsmärke för behörighet bör användas för att uppvisa graden av tillit eller korrekthet av den information som förmedlas, där underlag från autentisering i form av identitet även kan förmedlas. Exmpelvis skulle man kunna likställa autentiseringen och dess identitet som en "attributkälla" motsvarande andra attribut eller egenskaper som kläs på.
...saknas nivåer eller ens en nivå av tillit och krav kopplat till behörighetsinformation
...ta med de olika parterna som samverkar kring tilliten (adm-katalog, katalog, avsändare/intygare, ev förmedlande parter i en kedja etc.)
Varje specifikt tillitsmärke har följande egenskaper:
Grafiskt kan detta presenteras på två olika sätt:
Ref: https://samarbeta.digg.se/index.php/f/161796
Den övre bilden detaljerar att det finns totalt 4 x 4 = 16 tillitsmärken, medan den undre bilden döljer det faktum att det finns 16 märken och endast beskriver modellen konceptuellt. Detta för att förtydliga att en specifik samverkan ställer krav på tillitsnivå och att detta då gäller alla inblandade komponenter.
Det har diskuterats en alternativ underliggande modell där tillitsmärken är per komponent och tillitsnivå är ene egenskap hos tillitsmärket. Enligt OpenID Federation och deras definition och användande av tilliitsmärken (ref: https://openid.net/specs/openid-federation-1_0.html#name-trust-marks) skulle detta kunna representeras av att vi inom Ena Federation adderar ett claim "level_of_trust" till våra trust mark claims till de tillitsmärken där vi vill kunna signalera olika tillitsnivåer. Huruvida detta är en bra lösning för våra behov kvarstår att diskutera både internt inom arbetsgruppen och även med OIDF-expertis. Framförallt att man då ställer krav på alla komponenter som ingår i en tillitskedja att verifiera värdet av level_of_trust som en del av valideringen. |
|---|
Vad innebär det att en komponent är innehavare av ett tillitsmärke på en viss tillitsnivå?
Vi utgår ifrån MSB:s stöd för informationsklassning (Ref: Klassningsmodell, MSB) och väljer att basera våra tillitsnivåer på stödet "Klassningsmatris A - Fyra nivåer".
| Level of Trust | När ska man kräva det och vad innebär det? |
|---|---|
| LoT1 | Tillräcklig tillitsgrundande förmåga hos komponenten för att tillåta samverkan där grad av konsekvens av brist på riktighet är högst R1 och brist på konfidentialitet är högst K1 |
| LoT2 | Tillräcklig tillitsgrundande förmåga hos komponenten för att tillåta samverkan där grad av konsekvens av brist på riktighet är högst R2 och brist på konfidentialitet är högst K2 |
LoT3 | Tillräcklig tillitsgrundande förmåga hos komponenten för att tillåta samverkan där grad av konsekvens av brist på riktighet är högst R3 och brist på konfidentialitet är högst K3 |
| LoT4 | Tillräcklig tillitsgrundande förmåga hos komponenten för att tillåta samverkan där grad av konsekvens av brist på riktighet är högst R4 och brist på konfidentialitet är högst K4 |
Tanken är sedan att en tillämpning som kräver en viss tillitsnivå kräver att alla komponenter som ingår i tillitskedjan har Ena tillitsmärke på minst den tillitsnivån.
Tillit är subjektiv och uppstår ofta lokalt mellan parter som har en befintlig relation. Vad vi gör inom Ena är att försöka skapa en modell och ett ramverk som gör att tillit kan uppstå till parter man inte har en relation med sedan tidigare. Man behöver dock inte begränsa användandet av tillitsmärken utan man kan tillåta skapandet av lokala tillitsmärken för att markera lokal tillit.
| Tillitsmärke | LoT | Beskrivning | Motivering |
|---|---|---|---|
| Klient | LoT1 | ||
| LoT2 | |||
| LoT3 | |||
| LoT4 | |||
| Legitimering | LoT1 | ||
| LoT2 | |||
| LoT3 | |||
| LoT4 | |||
| Åtkomst | LoT1 | ||
| LoT2 | |||
| LoT3 | |||
| LoT4 | |||
| API | LoT1 | ||
| LoT2 | |||
| LoT3 | |||
| LoT4 |