LÅST FÖR REDIGERING P.G.A DELNING
Status: UTKAST
I denna bilaga:
1. Bakgrund och inriktning
1.1 Vad detta dokument är
Detta dokument anger grundläggande komponentkrav för aktörer som tillhandahåller anslutningstjänst (Intermediate Entity), tillitsankartjänst (Trust Anchor) eller uppslags- och verifieringstjänst (Federation Resolver) inom en federationskontext. Med grundläggande komponentkrav avses miniminivåer för tekniska och organisatoriska egenskaper hos komponenten avseende säkerhet, livscykelhantering, interoperabilitet och tekniskt beteende.
Kraven är utformade för att kunna verifieras med ett oberoende tredjepartsutlåtande. Varje krav ska kunna besvaras med ja eller nej utifrån objektiv observation utan att granskaren behöver göra en bedömning av överensstämmelse mellan ett abstrakt krav och en lokalt utformad rutin.
1.2 Relation till anslutnings- och registreringskrav
Detta dokument är ett komplement till tillämpningskraven. Tillsammans bildar de en sammanhängande kravstruktur för federationsinfrastrukturen, men de reglerar olika saker.
Tillämpningskraven anger hur en process, roll eller anslutningssituation ska genomföras, d.v.s. hur aktörer ska agera i ett visst sammanhang. Dit hör verifiering av aktörens identitet och juridiska status, vilka roller aktören ska anmäla gentemot federationen, krav på systematiskt informationssäkerhetsarbete, samt dokumentation och spårbarhet av de kontroller som genomförs vid anslutning och registrering.
Detta dokument anger i stället miniminivåer för komponentens egenskaper:
- hur nyckelmaterial skyddas,
- hur komponentens åtkomst är begränsad,
- hur komponenten beter sig tekniskt och
- hur dess tekniska händelser är spårbara.
De två kravmängderna förutsätter och refererar till varandra. En aktör som tillhandahåller en federationsinfrastrukturtjänst ska uppfylla både kraven i detta dokument och de tillämpningskrav som gäller för den verksamhet aktören bedriver. Frågor som regleras i tillämpningskraven som t.ex. verifiering av juridisk person, anmälda roller gentemot federationen, systematiskt informationssäkerhetsarbete och processdokumentation av anslutningsärenden upprepas inte i detta dokument.
1.3 Granskningsprinciper
Kraven i detta dokument är utformade med följande principer:
- Aktören bär kostnaden. Granskning bekostas av den aktör som tillhandahåller tjänsten.
- Tredjepartsutlåtande. Granskningen genomförs av en oberoende part (revisionsbyrå eller motsvarande) som gör ett utlåtande om huruvida kraven är uppfyllda.
- Verifiering, inte bedömning. Granskaren ska kunna konstatera uppfyllnad genom observation, dokumentgranskning och stickprov, inte genom att bedöma lämpligheten i en rutin.
- Genomförbarhet och proportionalitet. Granskningen ska kunna genomföras inom rimlig tid och kostnad. Om granskningen av kraven är för omfattande eller kostnadsdrivande riskerar genomförbarheten att gå förlorad, då få eller inga aktörer kan ta de roller som skapar förutsättningar för federativ samverkan.
- Stickprovsbaserad uppföljning. Federationsoperatören följer löpande upp aktörens efterlevnad av tillämpningskraven genom att begära in ärendedokumentation från genomförda anslutningar och registreringar (stickprov).
2. Krav
Betrodda roller och behörigheter
| Krav-ID | Krav | Verifiering |
|---|---|---|
| K1 | Aktören ska ha identifierat och dokumenterat vilka fysiska personer som har behörighet att administrera federationsinfrastrukturtjänsten, hantera kryptografiskt nyckelmaterial eller godkänna publicering av metadata. Förteckningen ska ange namn, roll och vilken behörighet personen har. | Granskaren begär ut aktörens förteckning över behöriga personer. Granskaren kontrollerar att förteckningen existerar, har en fastställd version, anger namn, roll och behörighet för varje person, samt att förteckningen är daterad och formellt fastställd. |
| K2 | Behörigheter till federationsinfrastrukturtjänstens administrativa funktioner och nyckelhanteringsfunktioner ska vara begränsade till de personer som identifierats enligt K1. Inga andra personer ska ha åtkomst. | Granskaren jämför förteckningen enligt K1 med den faktiska behörighetskonfigurationen i tjänstens administrativa funktioner. Granskaren kontrollerar att varje konto eller behörighet i systemet motsvarar en person i förteckningen och att inga ytterligare konton eller behörigheter finns. |
| K3 | Aktören ska ha dokumenterat vilka säkerhetskritiska roller som av säkerhetsskäl inte samtidigt får innehas av samma fysiska person, samt hur beslut om sådan rolltilldelning fattas. Dokumentationen ska minst omfatta separation mellan den som administrerar behörigheter och den som administrerar säkerhetsloggar. Den faktiska rolltilldelningen ska överensstämma med dokumentationen. | Granskaren begär ut aktörens dokumentation över oförenliga roller och beslutsordning för rolltilldelning. Granskaren kontrollerar att dokumentationen finns, är fastställd, och minst omfattar separation mellan behörighetsadministration och loggadministration. Granskaren jämför den faktiska rolltilldelningen (enligt K1) med dokumentationen och kontrollerar att ingen person innehar roller som dokumentationen anger som oförenliga. |
Kryptografiskt nyckelmaterial
| Krav-ID | Krav | Verifiering |
|---|---|---|
| K4 | Signeringsnycklar som används för att signera subordinate statements, entity statements eller annan federationsmetadata ska lagras i kryptografisk hårdvarumodul (HSM) eller likvärdig hårdvarubunden säkerhetsmekanism med aktiva säkerhetsmekanismer som motverkar såväl fysiska som logiska försök att röja nyckelmaterialet. Nyckelmaterialet ska inte kunna exporteras eller läsas i klartext utanför säkerhetsmekanismen. | Granskaren tar del av dokumentation om vilken hårdvarumodul eller säkerhetsmekanism som tillämpas (modellbeteckning, certifieringsnivå eller motsvarande) och observerar den tekniska konfigurationen. Granskaren kontrollerar att säkerhetsmekanismen är konfigurerad så att den inte medger att nyckelmaterialet exporteras eller läses i klartext utanför mekanismen (t.ex. att nyckeln är genererad som icke-exporterbar). |
| K5 | Aktören ska ha en dokumenterad rutin för nyckelgenerering, nyckelrotation, nödåterkallelse och backup av nyckelmaterial. Rutinen ska ange vem som får genomföra respektive åtgärd, hur åtgärden genomförs och hur den dokumenteras. | Granskaren begär ut rutindokumentet och kontrollerar att det finns, har en fastställd version, och beskriver samtliga delmoment (generering, rotation, nödåterkallelse, backup). Granskaren kontrollerar att rutinen anger ansvariga roller och att rollerna motsvarar personer i förteckningen enligt K1. |
| K6 | Genomförd nyckelgenerering och nyckelrotation ska kunna verifieras genom logg eller annat spår som anger tidpunkt, utförare och åtgärd. | Granskaren begär att aktören visar logg eller annat spår från minst en genomförd nyckelgenerering eller nyckelrotation. Granskaren kontrollerar att loggen anger tidpunkt, utförare och vilken åtgärd som genomfördes. |
| K7 | Kritiska nyckeloperationer som nyckelgenerering, nyckelaktivering, backup eller export av nyckelmaterial, återställning från backup, nyckelförstöring och nyckelrotation ska endast kunna genomföras genom medverkan av minst två behöriga personer (flerpersonkontroll). Varje genomförd nyckelceremoni ska dokumenteras med datum, deltagare, utförda moment och resultat. | Granskaren begär ut dokumentation (ceremoniprotokoll) från genomförda nyckelceremonier. Granskaren kontrollerar att protokoll finns för genomförda ceremonier och att varje protokoll anger datum, namngivna deltagare (minst två), utförda moment och resultat, samt att deltagarna finns i förteckningen enligt K1. Granskaren kontrollerar att den tekniska eller administrativa lösningen är konfigurerad så att kritiska nyckeloperationer inte kan genomföras av en ensam person. Har aktören ännu inte genomfört en skarp ceremoni ska minst ett dokumenterat verifieringsprotokoll från en testad genomförandeprocedur kunna uppvisas. |
Drift och skydd
| Krav-ID | Krav | Verifiering |
|---|---|---|
| K8 | Federationsinfrastrukturtjänsten ska vara tillgänglig och nåbar för federationskontextens parter för uppslag och verifiering av metadata enligt tillämplig teknisk profil. Aktören ska transparent deklarera tjänstens tillgänglighet på det sätt som anges i tillämplig federationskontext. | Granskaren verifierar att tjänsten exponerar och korrekt besvarar samtliga de federationsgränssnitt som tillämplig teknisk profil (se Bilaga B - Tekniskt ramverk) föreskriver för tjänstens roll (tillitsankartjänst, anslutningstjänst respektive uppslags- och verifieringstjänst), och att inget föreskrivet gränssnitt saknas. Granskaren kontrollerar att aktören har dokumenterad driftövervakning som visar att tjänsten är aktivt övervakad, och att aktören deklarerat tillgängligheten enligt federationskontextens format. |
| K9 | Kommunikation till och från federationsinfrastrukturtjänsten ska skyddas med kryptografiska protokoll mot insyn och manipulation, i enlighet med erkänd praxis för transportkryptering (t.ex. NIST SP 800-52 Rev. 2 eller motsvarande). | Granskaren kontrollerar TLS-konfiguration eller motsvarande transportskydd på tjänstens publika endpoints. Granskaren verifierar att protokollversion och krypteringssviter följer den standard som anges i tillämplig teknisk profil eller erkänd praxis (t.ex. TLS 1.3, eller TLS 1.2 med starka krypteringssviter enligt NIST SP 800-52 Rev. 2). |
| K10 | Åtkomst till federationsinfrastrukturtjänstens administrativa funktioner och nyckelhanteringsfunktioner ska kräva stark autentisering med flerfaktorsautentisering (MFA). Åtkomst kan därutöver begränsas till identifierade och kontrollerade nätverksmiljöer som ett kompletterande skydd. | Granskaren kontrollerar att åtkomst till administrativa funktioner kräver flerfaktorsautentisering. Granskaren verifierar att gränssnittet inte är åtkomligt utan MFA. Om aktören tillämpar nätverksbegränsning som kompletterande skydd kontrolleras att denna är konfigurerad, men nätverksbegränsning ersätter inte kravet på MFA. |
Teknisk spårbarhet
| Krav-ID | Krav | Verifiering |
|---|---|---|
| K11 | Varje signering, publicering, ändring eller borttagning av subordinate statement, entity statement eller annan federationsmetadata ska loggas med minst tidpunkt, utförare (person eller system), förändring och åtgärd. Loggen ska skyddas mot förändring av den personal som administrerar federationsinfrastrukturtjänsten. | Granskaren kontrollerar att loggsystemet registrerar angivna uppgifter genom att inspektera minst tre loggposter. Granskaren kontrollerar att loggarna är skyddade mot förändring av administrerande personal genom tekniska kontroller, exempelvis separat loggsystem som administreras av andra personer, write-once-lagring, eller annan kontrollmekanism som hindrar ändring och radering. Granskaren verifierar att de personer som har administrationsbehörighet enligt K1 inte samtidigt kan ändra eller radera loggar. |
| K12 | Åtkomst till federationsinfrastrukturtjänstens administrativa funktioner och nyckelhanteringsfunktioner ska loggas med minst tidpunkt, identitet på den som fått åtkomst och vilken autentiseringshändelse som skett. Loggen ska skyddas mot förändring av den personal som administrerar tjänsten. | Granskaren inspekterar minst tre loggposter från åtkomst- eller autentiseringsloggen och kontrollerar att de anger tidpunkt, identitet och autentiseringshändelse. Granskaren kontrollerar att loggen är skyddad mot förändring av administrerande personal enligt samma princip som K11. |
Federationsstruktur
| Krav-ID | Krav | Verifiering |
|---|---|---|
| K13 | Federationsinfrastrukturtjänsten ska enbart exponera sådana tillitsvägar, subordinate-relationer och policyrelationer som uttryckligen beslutats. Konfigurationen ska kunna kontrolleras mot beslutsdokumentation. | Granskaren begär ut aktörens beslutsdokumentation som anger vilka tillitsvägar och relationer som ska exponeras. Granskaren jämför den faktiska konfigurationen i tjänsten (publicerade entity statements, subordinate statements, federation entity configuration) med beslutsdokumentationen och kontrollerar att de överensstämmer. Granskaren kontrollerar att inga tillitsvägar eller relationer exponeras som saknar motsvarighet i beslutsdokumentationen. |
3. Granskning och uppföljning
3.1 Krav på granskare
Granskningen ska genomföras av en oberoende granskare som uppfyller följande:
Oberoende. Granskaren ska vara oberoende från den aktör som granskas. Granskaren får inte ha deltagit i utformning, implementation eller drift av den tjänst som granskas.
Kompetens. Granskningen ska genomföras under ansvar av en granskare med dokumenterad revisionskompetens i kombination med dokumenterad kompetens inom informationssäkerhet. Granskningsteamet ska sammantaget täcka både revisionsmetodik och teknisk informationssäkerhet. Kravet kan uppfyllas genom att:
en auktoriserad eller godkänd revisor enligt Revisorsinspektionens regelverk genomför granskningen med stöd av sakkunnig inom informationssäkerhet i granskningsteamet, eller
en certifierad informationssäkerhetsrevisor (t.ex. CISA enligt ISACA eller QSA enligt PCI DSS) genomför granskningen.
- Ansvar. Granskaren ska ha yrkesmässig ansvarsförsäkring.
3.2 Utlåtandets form
Utlåtandet ska ange:
- vilka krav som granskats,
- vilken metod som använts för verifiering av respektive krav,
- eventuella avvikelser med beskrivning av vad som observerats,
- datum för granskning,
- granskarens namn, yrkeskvalifikation och kontaktuppgifter.
Granskningen bör utformas som ett uppdrag enligt ISRS 4400 (Agreed-Upon Procedures) eller motsvarande standard för överenskomna granskningsåtgärder. Granskaren rapporterar iakttagelser från de överenskomna åtgärderna, och federationsoperatören drar slutsats om kravuppfyllnad utifrån rapporterade iakttagelser.
3.3 Tidpunkt för granskning
Innan en aktör börjar tillhandahålla anslutningstjänst eller tillitsankartjänst ska aktören överlämna ett utlåtande till federationsoperatören som bekräftar att samtliga tillämpliga krav är uppfyllda. Utlåtandet gäller i högst 24 månader. Inför förnyelse ska en ny granskning genomföras.
3.4 Stickprovsbaserad uppföljning
Utöver tredjepartsgranskningen av kraven i detta dokument följer federationsoperatören löpande upp aktörens efterlevnad av tillämpningskraven genom att begära in den ärendedokumentation som tillämpningskraven föreskriver för genomförda anslutningar och registreringar.
För nya aktörer ska dokumentation för de tio första ärendena överlämnas till federationsoperatören. Därefter sker uppföljning genom stickprov i den omfattning och frekvens som federationsoperatören beslutar.
4. Avgränsningar
4.1 Vad som regleras i tillämpningskraven, inte i detta dokument
Följande frågor regleras i tillämpningskraven och ingår inte i detta dokument:
- Verifiering av aktörens identitet och juridiska status (registrerad juridisk person, organisationsnummer, säte).
- Roller som aktören anmäler gentemot federationen (behörig företrädare, kontaktpersoner och deras mandat).
- Krav på systematiskt och riskbaserat informationssäkerhetsarbete.
- Processdokumentation och spårbarhet av genomförda kontroller vid anslutning och registrering (vem som verifierade vad, med vilka källor, med vilket utfall).
4.2 Vad som regleras i annan ordning
Följande frågor regleras av annan normering eller inom respektive federationskontext och ingår inte i detta dokument:
- Informationssäkerhetsarbetets detaljerade utformning och mognad (fullständigt ledningssystem, kontinuitetsplanering), regleras genom cybersäkerhetslagen, myndighetsinstruktioner eller aktörens egna åtaganden.
- Servicenivåer och beredskap (garanterade tillgänglighetsnivåer, responstider, beredskap utanför kontorstid), regleras inom respektive federationskontext.
- Underleverantörshantering, aktörens eget ansvar och annan reglering.