1. Öppna frågor
Frågor som inte har hanterats eller behöver hanteras tillsammans med andra leveransteam, dvs bredare än vad detta team kan svara på själva.
1.1. Säkerställa förväntad tillitsnivå vid samverkan
Hur ska förväntad/kravställd nivå av tillit säkerställas vid samverkan?
Via teknik eller utanför/på sidan av. Behöver arbetas med i bredare gruppering och kompetens. (underlag samlas här)
1.2. Öppen fråga: Att kunna verifiera "rätten" att företräda någon annan
Det finns behov av att diskutera eventuell teknisk möjlighet att verifiera att en teknisk komponent som företräder någon annan organisation, exempelvis genom utfärdande av intyg eller attribut/egenskaper kopplade till organisation, system eller användare faktiskt får företräda denna.
Det finns en bred attackvektor mot den här typen av infrastruktur, med redan kända förekomster där man har nyttjat motsvarande sårbarheter, och av den anledningen så bör sannolikheten att liknande skulle kunna inträffa även inom Ena-federationen som hög. Konsekvenserna kan också antas bli omfattande om eller när många av samhällets tjänster både från offentlig- och privata sidan ingår i den digitala samverkan inom infrastrukturen.
Det finns även ett antagande om att ett mer antagonistiskt hot inte effektivt kan motverkas genom exempelvis avtal, krav och granskning fullt kan motverka detta.
1.3. Övrigt
- Vilka IAM-förmågor ska representeras med tillitsmärken och vilka ska representeras genom exempelvis metadata eller andra strukturer.
- Revokering eller annat avslutande av parter inom det tillitsskapande ekosystemet. Hur säkerställs att tillitskedjor som innehåller en revokerad part inte anses vara giltig. (kopplar till ovan om hur det representeras och även vilken validering som implicit eller explicit måste ske vid själva transaktionen)
- Finns det nyttor av att diskutera huruvida Vectors of trust (RFC-8485) är lämplig att tillämpa för delar av tillitshantering. (Bjuda in eller ta möte med Leif)
- Ägarskap av gemensamma tillitsmärken. Förslag: Ledningsaktör/Digg
2. Fokusområden
För att skiva elefanten och skapa mer fokus på mer avgränsade områden eller frågeställningar så finns ett förslag om att dela upp arbetet med tillitsstruktur i olika delar. De som i nuläget är aktuella att arbeta med beskrivs under respektive avsnitt.
Målet är att mer isolerat och avgränsat arbete med en fråga eller område i taget och kunna "stänga den" tills vidare.
Förslag på nya fokusområden som ännu inte finns med
- n/a
2.1. Gemensamma tillitsmärken med Ena som ägare ( KLAR )
Vi behöver landa i vilka tillitsmärken som ska tillhandahållas centralt av Ena och därmed kunna återanvändas mellan exempelvis olika domäner/sektorer eller motsvarande. För att tillitsmärken ska kunna återanvändas görs antagandet om att en bred, neutral och gemensam grund måste finnas och att det är utifrån denna som tillitsmärken tas fram. Exempelvis skulle det kunna vara informationsklassning av informationstillgångar som lägger grunden för skyddsvärden och åtgärder, där ett märke då skulle kunna påvisa en uppfyllnad av en viss nivå av åtgärder.
Mål:
- Ta fram förslag på namn och antal tillitsmärken som ska vara gemensamma och ägas av Ena.
- Beskriva skillnader mellan tillitsmärkena samt motivation till eller tänkt användning.
- Referenser till den gemensamma grunden som de lutar mot.
Vi som jobbar med området:
- Robert, Anders, Jocke
2.2. Definiera och beskriva tillitsskapande objekt eller funktioner ( KLAR )
Det finns ett förslag till "funktionsobjekt" som skapar tillit inom ekosystemet för identitet och behörighet. Den behöver jobbas vidare med och komplettera med mer beskrivande text.
Leverans till 1.2 Tillits- & funktionsobjekt
Mål:
- Term/begrepp för "tillitsskapande objekt eller funktioner/funktionsobjekt"
- Definiera och beskriva vilka de är och:
- Vilka andra objekt de direkt samverkar med (grannar)
- Vad de bidrar med (tillitsskapande)
Vi som jobbar med området:
- Tomas, Henric, Aras
2.3. Kravkatalog - "version 1.0" ( KLAR )
Det finns ett tidigare arbete med att ta fram en bruttolista med krav utifrån befintliga federationer eller motsvarande federativa lösningar. Kraven behöver jobbas vidare med, dels textuellt då de i nuläget kommer från olika källor så att det blir en ensad kravkatalog inom Ena.
Krav:
- Att det ska finnas en kravkatalog med krav redo att koppla med de olika tillitskapande objekten eller funktionerna. (se 1.2)
Mål:
- Att det ska finnas väl formulerade och förståliga krav sammanställda i en kravkatalog.
- Om kraven ska delas upp mellan exempelvis organisatoriska, tekniska, fysiska etc.
- Id-numrering av krav och med framtidssäkring kring exempelvis versionshantering/förändring.
- Huruvida referenser till underliggande standards eller andra regulatoriska krav ska refereras till, och vilka de då är. (Ex ISO27k, NIS2, NIST etc)
Vi som jobbar med området:
- Anders, Christer A, Katrine S, Robert, Åsa W, Pelle?
2.4. Tillitsmärken och dess krav ( PÅGÅR)
Krav:
- Att det finns en uppsättning krav per tillitsmärke och per nivå där det är tillämpligt. (Kommentar på leverans: Saknar bra särskiljning mellan nivåer och specifikt avseende de lägre nivåerna)
- Att inledande analys är genomförd så att kraven kan anses ha bra täckning och ge den förväntade effekten/behovet utifrån dess förmåga.
Mål:
- Att kraven satt i sitt sammanhang (tillitsmärke/förmåga) i de fall det behövs även beskriver mer specifikt vad det betyder mer konkret, eller förtydligande kring avgränsningar i omfattning etc.
Vi som jobbar med området:
- Anders, Christer, Åsa, Jocke, Robert
Arbetsyta: Fokusområde - Tillitsmärken och dess krav
2.5. Efterlevnadskontroll (PÅGÅR)
Ledord att ta med in i arbetet: Genomförbarhet och likabehandling.
Mål:
- Ta fram modell, metodik, granskning.
- Presentation av arbetet storgrupp, tisdagen 2/12 (kom ihåg anmälan agenda)
Vi som jobbar med området:
- Halvfart: Åsa, Robert
2.6. Krav på övriga tillitsmärken/IAM-förmågor och roller som operatörer etc. ( PÅGÅR)
Behöver även synkas med andra grupperingar som verksamhet etc.
BEROENDE: Verksamhet och juridik samt roller och begrepp
Krav:
- Reda ut vad vi avser som leverans etc under denna punkt 2.6.
- Föreslå nytt datum för leverans utifrån ovan...
Mål:
Vi som jobbar med området:
Christer, Robert, Anders
2.7. Modell och struktur för förvaltning av tillitsmärken och krav
Aktivitet från leveransplan - 2026. Men bra att starta tidigt...