Sammansta llning av remissvar och rekommendation till nytt Tillitsramverk fo r Sambi

Transkript

1 Sammansta llning av remissvar och rekommendation till nytt Tillitsramverk fo r Sambi Innehållsförteckning 1 Sammanfattning Förslag till beslut Om det remitterade Tillitsramverket version Bakgrund Behovet Inriktning för Tillitsramverk version Om remissen Erhållna kommentarer, analyser och rekommendationer Generella kommentarer Avsnitt - Allmänt Avsnitt - Övergripande krav på verksamheten Avsnitt - Säkerhetsarbete Avsnitt - Granskning och uppföljning Avsnitt - Kryptografisk säkerhet Avsnitt - Ansvar för användning av Leverantörer Avsnitt - Handlingars bevarande Avsnitt - Information Avsnitt - B. Elektronisk identitetsutfärdare Avsnitt - C. Attribututgivare Avsnitt - D. Identitetsintygsutgivare Avsnitt - E. Tjänsteleverantör Förslag på nytt Tillitsramverk för Sambi Sambi (Samverkan för behörighet och identitet inom hälsa, vård och omsorg) Sida 1 av 85

2 Bilaga 1: Följebrev - Remissförfrågan, nytt tillitsramverk för Sambi Bilaga 2: Det remitterade förslaget till Tillitsramverk Bilaga 3: Listning av inkomna remissvar Ulf Palmgren, SKL, Max Korkkinen, Sambi granskningsgruppen, Urban Jarl, Stockholms läns landsting, Jens Lindh/Carina Landberg, KSL/SLL, Asos Shafeek, Danderyds kommun, Martin Johnson, Sollentuna kommun, Björn Skepner, Inera, Christer Allskog, HSA, Inera, Christer Allskog, Inera, Kerstin Arvedson, Inera, Nils Fjelkegård, E-legitimationsnämnden, Bilaga 4: Vidareutveckling av Sambis granskningsarbete Sambi (Samverkan för behörighet och identitet inom hälsa, vård och omsorg) Sida 2 av 85

3 1 Sammanfattning Ett förslag på ett nytt Tillitsramverk Bilaga 3 Tillitsramverk version 1.3 remiss sändes ut på remiss med uppmaning att svara senast Det inkom totalt 11 remissvar med tillsammans 89 kommentarer. Kommentarerna omfattade allmänt beröm och gillande för det nya tillitsramverket, synpunkter på ordval och texters betydelse samt önskemål på förtydliganden av kravställningarna i tillitsramverket. Analysen av inkomna remissvar resulterade i rekommendationer som redovisas nedan. Inga invändningar har framförts mot den i Tillitsramverket v1.3 föreslagna utformningen att förenkla ansökningsförfarande genom att minska mängden detaljkrav och i stället förtydligas kraven på tre kärnpunkterna i den sökande informationssäkerhetsarbete: Riskanalys för att identifiera hot, sårbarheter och nödvändiga säkerhetsåtgärder. Strukturerat regelverk för informationssäkerhet (ledningssystem för informationssäkerhet). Genomförande av internrevision av införandet och efterlevnaden av säkerhetsregelverket. Tillhandahålla dokumentation över genomförd riskanalys, ledningssystem för informationssäkerhet samt genomförda internrevision av efterlevnaden och införandet av säkerhetsregelverket. Detta sammantaget betyder större tilltro till självdeklaration och eget säkerhetsarbete! Remissvaren har givit många goda synpunkter på behov av att förtydliga eller ändra enskilda krav i tillitsramverket. Granskningsgruppen har gått igenom dessa och presenterar i kapitel 5 en rekommendation till nytt Tillitsramverk för Sambi. Detta utgår från det remitterade Tillitsramverket utefter de inkomna synpunkterna. Utöver synpunkterna på det remitterade Tillitsramverket har remissvaren har också givit många goda förslag på att utveckla och förtydliga Sambis granskningsarbete. Dessa förbättringsförslag för granskningsarbetet har sammanställs i Bilaga 4 - Vidareutveckling av Sambis granskningsarbete. När tid ges avser Sambis verksamhet att implementera dessa förbättringar. 1.1 Förslag till beslut Rekommendation till Sambis styrgrupp är att besluta om ett nytt Tillitsramverk för Sambi enligt kapitel 5. Detta Tillitsramverk, utgörs av det remitterade Tillitsramverket men med hänsyn till de inkomna remissvaren. Sambi (Samverkan för behörighet och identitet inom hälsa, vård och omsorg) Sida 3 av 85

4 2 Om det remitterade Tillitsramverket version Bakgrund Sambi är ett infrastruktursamarbete för den svenska vård- och omsorgssektorn med syfte att åstadkomma säkrare och effektivare åtkomst till tjänster inom hela sektorn. Med Sambi ska medlemmarna kunna använda egna lösningar för e-legitimationer, behörighetslösningar och tjänster, men ändå samarbeta. Andra medlemmar ska kunna lita på dessa lösningar utan att själva granska alla dessa i detalj. Federation baseras på ömsesidig tillit. Denna tillit grundas på att varje medlems lösning granskas av federationsoperatören, för att säkerställa att medlemmen uppfyller nödvändiga gemensamma krav på säkerhet och stabilitet. Uppfylls kraven kan samtliga övriga medlemmar därmed ha tillit till denne. Dessa gemensamma krav bör utformas så att de å ena sidan ger tillräcklig säkerhet, å andra vara rimliga att uppfylla och redovisa. Samtidigt bör kraven vara utformade så att de underlättar för en granskning, så att denna blir korrekt, rättvis och inte alltför omfattande att genomföra. 2.2 Behovet Under våren 2015 har 10 ansökningar för tillitsgranskning behandlats av Sambi. Granskningen har baserats på Sambis tillitsramverk v1.2. Vid utvärdering av granskningsarbetet har följande önskemål framförts: Ansökningsförfarandet behöver förenklas. Detta för att minska kalendertiden för att bli godkänd för medlemskap till Sambi, Säkerställ att Sambis tillitsramverk fortsatt kräver en tillräcklig säkerhet i medlemmarnas hantering av identiteter och attribut för att upprätthålla en hög tillit inom Sambi. Tillitsramverket behöver förenklas. Många av de detaljerade kraven kan tas bort. Ett tydligare krav på strukturerat säkerhetsarbete baserat på ISO/IEC 27001, eller motsvarande, gör dessa överflödiga. En övergripande slutsats som Sambis Granskningsgrupp erhållit baserat på de genomförda granskningarna är att det generellt har implementerats många goda säkerhetsåtgärder, men att de implementerade processerna för arbetet med ledningssystem för informationssäkerhet kan utvecklas. 2.3 Inriktning för Tillitsramverk version 1.3 Den bärande tanken med Tillitsramverk version 1.3 är därför att sätta fokus på granskningen på ledningssystemprocessen för informationssäkerhetsarbetet snarare än att nu vidareutveckla detaljkraven för olika säkerhetsåtgärder. Avsikten är att både tillmötesgå kravet på ett enklare ansökningsförfarande med mindre detaljkrav och samtidigt se till att granskningen kan bidra till att Sambi (Samverkan för behörighet och identitet inom hälsa, vård och omsorg) Sida 4 av 85

5 höja ambition för säkerhetsarbetet inom sektorn. Med väl utvecklade processer för att driva säkerhetsarbete på plats, kan under kommande år vidareutvecklingen av Tillitsramverket inriktas på att utveckla detaljkrav på olika säkerhetsåtgärder. Då man inom sektorn har kommit olika långt med att införa sina ledningssystem för informationssäkerhet är ambitionen med Tillitsramverk version 1.3 fastställa en gemensam miniminivå, genom att kravställa på tre de kärnpunkterna i den sökande informationssäkerhetsarbete: Riskanalys för att identifiera hot, sårbarheter och nödvändiga säkerhetsåtgärder. Strukturerat regelverk för informationssäkerhet (ledningssystem för informationssäkerhet). Genomförande av internrevision av införandet och efterlevnaden av säkerhetsregelverket. Den sökande ska för granskning enligt tillitsramverket 1.3 tillhandahålla dokumentation över genomförd riskanalys, ledningssystemet för informationssäkerhet samt genomförd internrevision av efterlevnaden och införandet av säkerhetsregelverket. Detta ställer krav på dokumenthantering hos federationsoperatören och specifikt granskningsgruppen. En målsättning är att granskning ska kunna ske utgående från det nya tillitsramverket direkt efter sommaren (augusti). Sambi (Samverkan för behörighet och identitet inom hälsa, vård och omsorg) Sida 5 av 85

6 3 Om remissen Remissen och remissvaren har sammanställts av, vilken utgjordes av Lennart Beckman, Beckman Security (granskare) Staffan Hagnell, IIS (sammankallande) Lars Johansson, Stöttepelarna (granskare) Max Korkkinen, Knowit, (granskare) Agneta Wistrand, IIS (administrativt ansvarig) I remissen bads om att få kommentarer och synpunkter på det bifogade förslaget till nytt Tillitsramverk, Sambi Bilaga 3, Tillitsramverk v1.3_remiss. Specifikt efterfrågades: 1. Synpunkter på skiftet för Sambis tillitsgranskning. Detta minskar mängden detaljerade krav och lyfter i stället fram kraven på, och granskning av, den sökandes riskanalys, ledningssystem och internrevisorn. 2. Övriga synpunkter på tillitsramverk v1.3 remiss Remissen sändes ut till: Medlemmarna i Sambi arbetsgrupp anders.bjork@phenixid.se birgit.wahlstrom@cgi.com bjorn.skeppner@inera.se bjorn@eqit.se Christer.Allskog@inera.se Christer.Spanne@cambio.se christoffer.johansson@inera.se Fredrik.Stegmark@regionhalland.se gunnar.johansson@mobilityguard.com Hakan.Josefsson@ehalsomyndigheten.se hans.r.andersson@sll.se henrik.j.johansson@knowit.se Henrika.Littorin@inera.se jim.larsson@pulsen.se Joakim.Sandberg@ehalsomyndigheten.se johan.zenk@regionostergotland.se jorgen.hellgren@e-identitet.se kerstin.ankargard@sll.se kerstin.rising@sll.se lars.melander@nexusgroup.com leif.gustafsson@pulsen.se leifj@sunet.se manne.andersson@ehalsomyndigheten.se mikael.engman@cgi.com mikael.olsson@e-identitet.se Mikael.x.Jansson@tieto.com patrik.munter@sll.se Sambi (Samverkan för behörighet och identitet inom hälsa, vård och omsorg) Sida 6 av 85

7 Därutöver sändes remissen till: Nils Fjelkegård, E-legitimationsnämnden Peter Alvinsson, Inera, med uppmaning att sända vidare Stefan Larsson, ehm, med uppmaning att sända vidare till MSB och andra Jens Lindh, Carina Landberg och Karin Bengtsson på KSL som skickade vidare till berörda kommuner Remisstiden sattes till senast Inera begärde och fick förlängd remisstid med en vecka. Följebrevet till remissen finns i bilaga 1. I bilaga 2 finns det föreslagna nya Tillitsramverket Bilaga 3, Tillitsramverk v1.3_remiss. Totalt erhålls 11 remissvar med tillsammans 89 kommentarer från Danderyds kommun, Asos Shafeek E-legitimationsnämnden, Nils Fjelkegård HSA, Inera, Allskog Christer Inera, Allskog Christer Inera, Björn Skepner Inera, Kerstin Arvedson KnowIT, Max Korkkinen (även granskare i granskningsgrupp) KSL/SLL, Jens Lindh/Carina Landberg SKL, Ulf Palmgren SLL, Urban Jarl Sollentuna kommun, Martin Johnson Sambi (Samverkan för behörighet och identitet inom hälsa, vård och omsorg) Sida 7 av 85

8 4 Erhållna kommentarer, analyser och rekommendationer I detta kapitel listas de 89 inkomna kommentarerna från de 11 remissvaren. För att kunna analysera dem och föreslå förändringar av tillitsramverket har de sorterats in efter vilket del att tillitsramverket de avser. Kommentarerna, analysen och rekommendationer till förändringar redovisas nedan under följande rubriker: 1. Generella kommentarer 2. Avsnitt Allmänt 3. Avsnitt Övergripande krav på verksamheten 4. Avsnitt Säkerhetsarbete 5. Avsnitt Granskning och uppföljning 6. Avsnitt Kryptografisk säkerhet 7. Avsnitt Ansvar för användning av Leverantörer 8. Avsnitt Handlingars bevarande 9. Avsnitt Information 10. Avsnitt B. Elektronisk identitetsutfärdare 11. Avsnitt C. Attribututgivare 12. Avsnitt D. Identitetsutgivare 13. Avsnitt E. Tjänsteleverantör Sambi (Samverkan för behörighet och identitet inom hälsa, vård och omsorg) Sida 8 av 85

9 4.1 Generella kommentarer Erhållna kommentarer Om Tillitsramverkets struktur Jag tycker det är OK. En generell synpunkt: vi ser att det här är en gemensam utveckling och förslaget är ett steg i rätt riktning. Bra struktur som ger god översikt Tydligare fokus och avgränsning när det gäller Riskanalysen, rutiner i verksamheten, SITHSkort, EK etc. Föredömligt kort. Jag har dock bara bedömt just bifogade dokument. Faktiskt också mycket tydligare. Gillar uppdelning och struktur på dokumentet. Lätt att orientera sig i. Min allmänna kommentar är att dokumentet har en bra uppdelning och struktur. Fokus på riskanalys, ledningssystem och internrevision ger en tydlig ledstång för en kommuns arbete i att bli medlem och ansluta sig till Sambi. Om tillitsdeklarering vid utökad användning av Sambi Hur hanterar vi en organisation där endast delar organisationen ska granskas? Vi kan t.ex. se detta inom kommunvärlden. Vårt förslag är att man i avtalet talar om vilken del av organisationen som tecknar avtalet. Exempel: vård och omsorgsverksamheten i en kommun går in avtalet, men behovet finns även långsiktigt för andra verksamheter. Kommunen vill stegvis kunna öka antalet verksamheter i federationen. Upplever ni att detta kan täckas av avtalet? Om förvaltning av Tillitsramverket Vi saknar en skrivning om vem som äger regelverket och hur det förvaltas. Ska det finnas en "policy authority"/förvaltningsgrupp bestående av representanter för medlemmarna som beslutar om ändringar i regelverket? Om fördjupad information Eventuellt saknas lite hänvisningar till andra bilagor som ger fördjupande kunskap då många delar känns ganska övergripande. Hoppas på en tydligare bild av det som krävs från kommuner som använder sig av SITHS-kort Analys Om omfattningen för tillitsdeklaration Sambi (Samverkan för behörighet och identitet inom hälsa, vård och omsorg) Sida 9 av 85

10 Sambi definierar inte hur en organisation ska uppfylla kraven utöver det som står i anslutningsavtalet och från avtalet refererade bilagor. Sambi har valt att utnyttja en etablerad standard inom ledningssystem för informationssäkerhet, ISO (eller liknande), som grund för att bygga Tillit mellan Medlemmar, Betrodda Parter 1 och Federationsoperatören. Det är en viktig uppgift för den sökande att definiera och säkerställa omfattningen och avgränsningar för den delen av organisationen som omfattas av Tillitsramverket, ett arbete som ska redovisas i Tillitsdeklarationen. Om tillitsdeklarering vid utökad användning av Sambi Det är ett viktig påpekande som ännu inte har hanterats och för vilket instruktioner saknas. Att en organisation successivt önskar utöka sina verksamheter i Sambi torde dock inte påverka Tillitsramverket, utan är snarare en administrativ fråga. Instruktioner för hur detta ska göras behöver tas fram. Om förvaltning av Tillitsramverket Ägandet av tillitsramverket och de rättsliga konsekvenserna av detta bör snarare regleras i huvudavtalet och inte i denna avtalsbilaga, då dess syfte är att endast att omfatta regel för den sökande och medlemmarnas informationssäkerhet. Om fördjupad information Hänvisningar till andra bilagor som ger fördjupande kunskap ges inte i detta dokument, men på Sambis hemsida, bl.a. under frågor och svar, samlas lärdom från vanligt förekommande problem. Även i Sambi tillitsgranskningskurs diskuteras och tydliggörs bilaga 3 Tillitsramverk. Behovet av lättillgänglig fördjupad information om kraven i Sambis tillitsramverk och de kan uppfyllas är uppenbar och behöver utvecklas. Rekommendation De erhållna kommentarerna medför inget behov av att förändra texten i det föreslagna Tillitsramverk. Det föreligger ett allmänt behov av än mer lättillgänglig fördjupad information om Sambis tillitsramverk. Ta fram information och instruktioner för hur tillitsdeklarering ska göras vid utökad användning av Sambi inom en organisation. 1 En Betrodd part är ett begrepp som används i Tillitsramverket och avser en organisation som har en av Sambi godkänd Tillitsdeklaration. Förutom Sambis Medlemmar kan även Leverantörer till dessa vara en Betrodd part. Sambi (Samverkan för behörighet och identitet inom hälsa, vård och omsorg) Sida 10 av 85

11 4.2 Avsnitt - Allmänt Text i Tillitsramverk version 1.3_remissen Tillitsramverket gäller för Medlemmar i Sambi, samt för det fall Medlemmen har lagt ut delar av Funktion på Leverantör, även för Leverantörernas del av denna Funktion. En Leverantör kan välja att bli granskade enligt detta regelverk. I detta dokument benämns Medlem och sådan Leverantör för Betrodd Part. En Betrodd Part kan vara Användarorganisation Ombud för Användarorganisation Tjänsteleverantör Leverantör av Funktion till någon av ovanstående Tjänsteleverantör ansvarar för Funktionen E-tjänst. Användarorganisation ansvarar för Funktionerna: Elektronisk identitetsutfärdare Attribututgivare Identitetsintygsutgivare De generella kraven gäller för samtliga Betrodda Parter. Kraven under avsnitt B (Elektronisk identitetsutfärdare), C (Attribututgivare), D (Identitetsintygsutgivare) och E (Tjänsteleverantör) gäller för respektive Funktion. Termer av speciell betydelse för denna bilaga finns definierade i Bilaga 1 Definitioner. En Betrodd Part ska bedriva ett aktivt arbete för att uppfylla kraven i Tillitsramverket. Som en del i detta arbete ska den Betrodde Parten upprätta en Tillitsdeklaration som beskriver hur denne uppfyller Tillitsramverket. Tillitsdeklarationen ska vara baserad på den mall som Federationsoperatören tillhandahåller. Erhållna kommentarer Om tillitsdeklarering av Leverantörer Det är en sak att de ansvarar för dessa funktioner, men MEN det måste vara en Tillitsgranskning BARA för själva organisationen (på samma sätt som man avtal för tjänsterna, IdP:er, organisation, mm). Det går inte att kräva Tillitgranskningen avseende organisationen av någon annan än organisationen själv! Detta måste vara tydligt! Vi uppfattar detta som att t.ex. Inera AB kan välja att få HSA, SITHS och Säkerhetstjänster granskade för att våra kunder sen ska kunna hänvisa till den granskningen i sin ansökan om medlemskap. Är det korrekt uppfattat? I så fall bör detta förtydligas. Behov att förtydliga vad som avses med Ombud för Användarorganisation Sambi (Samverkan för behörighet och identitet inom hälsa, vård och omsorg) Sida 11 av 85

12 Ombud för Användarorganisation : Motsvarar detta våra HSA- och SITHS-ombud? Eller är det någon annan form av ombud? Redundant text Som en del i detta arbete ska den Betrodde Parten upprätta en Tillitsdeklaration som beskriver hur denne uppfyller Tillitsramverket. Tillitsdeklarationen ska vara baserad på den mall som Federationsoperatören tillhandahåller. : Detta står längre ner i krav A.13. Behöver det stå här också? Om behov att ensa termer och av tydlighet Många ord som liknar varandra, risk för förvirring. I SITHS finns något som kallas för "Relying Party" och ett "Relying Party Agreement". Detta kan översättas till Betrodd part och innebär ALLA som nyttjar den elektroniska identiteten på något sätt. SP, IdP innehavare att legitimationen etc. Indirekt blir ju således SAMBI och alla IdP:er i SAMBI som använder SITHS identiteter också skyldiga att SITHS våra regelverk. Språklig justering Analys Om tillitsdeklarering av Leverantörer Enligt anslutningsavtalet 2.3 så gäller Om Federationsoperatören anlitar en Leverantör, ansvarar Federationsoperatören för Leverantörens åtgärder såsom Federationsoperatören utfört dessa åtaganden själv. Detta synsätt på leverantörer (oavsett hur många nivåer av leverantörer som används) harmoniserar med hur MSB ser på leverantörer, SOU 2015:32 Nästa fas i e-hälsoarbetet, kraven i ISO och rapporten som låg till grund för att skapa Sambi. På Sambis webb under rubriken Frågor och svar : har följande förtydligande gjorts: Varför ska underleverantörers säkerhetsåtgärder beskrivas? Ansökande och medlemmarna (parterna) har ett ansvar inom federationen för att uppfylla kraven i Sambis Tillitsramverk. När delar eller hela utförandet av säkerhetsåtgärderna delegeras till en underleverantör så har parten, oavsett vad som har avtalats mellan parten och underleverantörerna, fortfarande kvar sitt huvudmannaansvar för att tillitsramverket är på plats, följs upp och ständigt förbättras. Identifiering av risker med utomstående underleverantörer ska därför ske i samma omfattning oavsett om parten eller underleverantören utför arbetet. Denna kedja mellan parten och underleverantörerna ska följas så långt ut som riskanalysen visar behov av säkerhetsåtgärder. Detta innebär också att parten ska beskriva situationen hos sina underleverantörers säkerhetsåtgärder i sin tillitsdeklaration så som om det vore utfört av parten själva. När parten lever upp till hela sitt ansvar för säkerhetsåtgärderna Sambi (Samverkan för behörighet och identitet inom hälsa, vård och omsorg) Sida 12 av 85

13 så kan alla andra inom federationen ha tillit till parten därför att denna oavbrutna kedja av tillitsdeklaration omfattar både parten och underleverantörerna. Leverantör av en funktion till medlem, dvs underleverantör, kan välja att bli granskad av Sambi. Ansökande kan välja att hänvisa till en sådan framgångsrikt genomförd granskning för att effektivisera granskningen. Mer information om detta finns även i kursen om Sambis tillitsgranskning men har ännu inte presenteras på Sambis webb. Behov att förtydliga vad som avses med Ombud för Användarorganisation Huruvida ett Ombud för Användarorganisation ska erbjudas medlemskap i Sambi och förutsättningarna för detta har ännu inte beslutats. Under arbetet med Tillsramverk v1.3 ville man dock ta höjd för det. För det fall Ombud för Användarorganisation inte ska erbjudas medlemskap i Sambi behöver det strykas i Tillitsramverk. Redundant text Det är en korrekt iakttagelse att en del av texten i allmänt och i krav A.13 har blivit replikerade. Denna text bör korrigeras. Om behov att ensa termer och av tydlighet Att arbeta med vedertagna begrepp och termer har varit prioriterat för Sambi. I Sambi Bilaga 1 Definitioner, har de definitioner Sambi använt sig av sammanställts. De har ensats gentemot E- legitimationsnämnden och SIS. Vi välkomnar även en genomgång och ensning av termer i Sambis ordlista gentemot HSA m.fl. inom sektorn. Rekommendation Förändra inte kravet på tillitsdeklarering av Leverantörer i det föreslagna Tillitsramverkets. Fortsätt istället med att sprid information om vad som avses och hur det ska gå till. De två sista meningarna i bilaga 3 avsnitt Allmänt föreslås raderas. Det vill säga att följande text stryks ur tillitsramverket: Som en del i detta arbete ska den Betrodde Parten upprätta en Tillitsdeklaration som beskriver hur denne uppfyller Tillitsramverket. Tillitsdeklarationen ska vara baserad på den mall som Federationsoperatören tillhandahåller. Avgör om Ombud för Användarorganisation ska erbjudas medlemskap i Sambi. Om det inte sker innan Tillitsramverk version 1.3 ska träda i kraft behöver parten tas bort ur texten. Bjud in HSA och andra intresserade/involverade parter för en genomgång och diskussion om ensning av termer. Sambi (Samverkan för behörighet och identitet inom hälsa, vård och omsorg) Sida 13 av 85

14 4.3 Avsnitt - Övergripande krav på verksamheten Text i Tillitsramverk version 1.3_remissen A.1 Betrodd Part som inte är ett offentligt organ ska drivas som registrerad juridisk person samt teckna och vidmakthålla för verksamheten erforderliga försäkringar. Erhållna kommentar Är det entydigt vad ett offentligt organ är? Finns det definierat i den refererade bilagan? Analys Offentligt organ eller ett offentligrättsligt organ är en offentligrättslig juridisk term som används i huvudsak inom EU-rätten, svenska lagar och förarbeten till lagar. Enligt PTS promemoria Vad som skall anses utgöra ett offentligt organ sägs att: Begreppet offentligt organ begränsas därför till att avse endast sådana offentlig verksamhet som utövas genom staten och kommunerna, dvs. sådan offentlig verksamhet som utövas inom den offentliga organisationen. En sådan avgränsning gör att bland annat riksdag, regering, statens förvaltningsmyndigheter, kommuner, kommunstyrelser, landsting, landstingsstyrelsen samt kommunala nämnder inkluderas. Definitionen exkluderar samtidigt ett flertal subjekt såsom kommunala bolag och stiftelser samt arbetslöshetskassor. Rekommendation Den erhållna kommentaren medför inget behov av att förändra det föreslagna Tillitsramverk. Det föreligger ett behov av att definiera termen offentligt organ i Sambis Bilaga 1 Definitioner. Text i Tillitsramverk version 1.3_remissen A.2 Betrodd Part ska ha en etablerad verksamhet, vara fullt operationell i alla delar som berörs i detta dokument, och vara väl insatt i de legala krav som ställs på denne som Betrodd Part i Sambi. Erhållna kommentarer Vilka lagar är det? Något kopplat till avtalet som tecknas med SAMBI? Analys Sambi (Samverkan för behörighet och identitet inom hälsa, vård och omsorg) Sida 14 av 85

15 Inom vård- hälsa och omsorgssektorn regleras verksamheten genom en mängd lagar och förordningar, exempel på några lagar som ofta är relevanta är PUL och patientdatalagen utifrån ett informationssäkerhetsperspektiv. Det är upp till organisationen att själva identifiera vilka legala krav som är relevanta utifrån verksamheten och tjänsterna. Det är sedan genom riskanalysen som nödvändiga säkerhetsåtgärder identifieras och tillit kan uppstå inom federationen. Rekommendation Den erhållna kommentaren medför inget behov av att förändra det föreslagna Tillitsramverket. Det föreligger ett informationsbehov om att exemplifiera vad som kan avses med legala krav. Text i Tillitsramverk version 1.3_remissen A.3 Betrodd Part ska ha förmåga att bära risken för skadeståndsskyldighet samt förfoga över tillräckliga ekonomiska medel för att kunna bedriva verksamheten i minst 1 år. Erhållna kommentarer Är det ett år från avtalstecknande och anslutning till Sambi? Är det ett år från avtalstecknande med kunden där federationen är en förutsättning för att nyttja tjänsten? Otydligt när man ska ha medel att bedriva verksamheten i minst ett(1) år. Är det ett år från avtalstecknande och anslutning till SAMBI? Är det ett år från avtalstecknande med kunden där federationen är en förutsättning för att nyttja tjänsten? Ponera att kunden köper IdP-tjänst av leverantör är det ett år från leverantören blev medlem i SAMBI eller ett år från kundens tjänsteköp av leverantören? Jag tror på då kund/leverantör/medlem ansluter sig till SAMBI och blir en medlem i federationen. Det andra förhållandet är upp till kund och leverantör att avtals skriva. Jag antar att syftet är då kund/leverantör/medlem ansluter sig till SAMBI och blir en medlem i federationen. Hur mäts (definieras) detta? Det är nog inte många företag/organisationer som klarar det utan att merparten av de prognostiserade intäkterna kommer in... Eller får prognostiserade intäkter räknas in? Men om prognosen var fel (eller t o m fejkad)? Räcker 1 år? Elektroniska identiteter är ju oftast giltiga 2-5 år. Blir ju ganska jobbigt om någon leverantör försvinner eftersom det inte är en snabb process att ersätta med en annan. Analys Kravet kommer ursprungligen från Svensk e-legitimations tillitsramverk. Det kan ifrågasättas om kravet är relevant för Sambi på samma sätt som för en utfärdare av Svensk e-legitimation. Avsikten Sambi (Samverkan för behörighet och identitet inom hälsa, vård och omsorg) Sida 15 av 85

16 med kravet är att det skall finnas tillit till att verksamheten som inte är kortsiktig utan den har en längre horisont där perioden har satts till minst 1 år framåt. Alla Offentliga organ torde uppfylla kravet. För övriga kan kravuppfyllnad beskrivas genom exempelvis organisationstillhörighet, budget, avtal och försäkringar. Rekommendation De erhållna kommentarerna medför inget behov av att förändra det föreslagna Tillitsramverket. Ta fram information för hur kravet på att tillräckliga ekonomiska medel för att kunna bedriva verksamheten kan uppfyllas. 4.4 Avsnitt - Säkerhetsarbete Text i Tillitsramverk version 1.3_remissen A.4 Betrodd Part ska för den tjänst som medlemskapet avser ha infört ett strukturerat säkerhetsarbete anpassat efter risker och säkerhetsbehov, bestående av: (a) En riskanalys avseende tjänsten och dess Funktioner. Denna ska ta hänsyn till skyddsvärde, befintliga skyddsåtgärder och legala krav. Riskanalysen ska omfatta analys av hot och sårbarheter, samt sannolikhet och konsekvens (skada) på Användare, den egna organisationen, andra Medlemmar och Federationsoperatören. (b) Ett ledningssystem för informationssäkerhet för tjänsten baserat på ISO/IEC eller motsvarande. Säkerhetsåtgärderna ska hantera riskerna enligt riskanalysen för tjänsten och dess Funktioner. (c) Genomförd internrevision av införandet och efterlevnaden av säkerhetsregelverket för tjänsten. Riskanalys och internrevision ska genomföras årligen och leda till en förbättringsplan av säkerhetsåtgärder. Erhållna kommentarer Kravet på ett strukturerat säkerhetsarbete Att i texten den tjänst som medlemskapet avser ha infört ett strukturerat säkerhetsarbete ändras till den som medlemskapet avser arbetar med ett strukturerat säkerhetsarbete. Vilka alternativ finns till ISO 27001? ISO eller motsvarande: Kan man förtydliga vem som avgör om motsvarande är ok för tydlighetens skull? Behov av att förtydliga termen skyddsvärde Sambi (Samverkan för behörighet och identitet inom hälsa, vård och omsorg) Sida 16 av 85

17 Vad är skyddsvärde? Det värde som tjänsteleverantören kan skadas av, eller de verksamheter som finns bakom tjänsteleverantören? Det kanske behöver definieras bland viktiga termer. Behov av vägledning för riskanalysen Under er utbildning så beskrevs Riskanalysen så att den skall baseras på det urval från ISO27001 som organisationen valt ut och inkluderat i sitt LIS. Kanske kan vara bra att specificera på den nivån om nu det är en förutsättning för inträde i SAMBI. En vägledning för riskanalysen kan vara Hotkatalogen som finns dokumenterad på SAMBIs hemsida. Behov att förtydliga krav på förbättringsplan Finns det krav på hur en sådan förbättringsplan ska se ut? Kommer operatören att följa upp att denna plan efterlevs? Det borde vara ett levande dokument som man jobbar med och tar han om de förbättringar som framkommer. Förbättringsplanen bör ingå i revisioner. Analys Kravet på ett strukturerat säkerhetsarbete Ett förslag till minskning av styrkan för Tillit från att ha infört ett strukturerat säkerhetsarbete till att arbeta med ett strukturerat säkerhetsarbete måste analyseras mot federationen Sambi behov av tillit mellan de Betrodda Parterna. Ändringen motiveras med att en Betrodd Part kan ha svårigheter i sitt arbete med att införa ett strukturerat arbetssätt för de tjänsters säkerhetsåtgärder som Betrodd Part förväntas ha Tillit. Genom att sänka nivån i kravet på säkerhetsåtgärder så förväntas att det finns större möjlighet att kunna godkänna ansökan. Eftersom federationen bygger på Tillit till säkerhetsåtgärderna så skulle en ambitionsnivå sänkning till bara arbetar med innebära i det sämsta fallet att även när det ännu inte finns någon mätbar säkerhetsåtgärd över huvud taget på plats så skall granskningen ändå resultera i ett godkännande. Ett godkännande av en organisation som saknar ett eller flera kritiskt viktiga säkerhetsåtgärder bygger troligen inte tillit till varandra i en federation. Vilka alternativ finns till ISO 27001? Skrivningen ISO eller motsvarande kommer från svensk e-legitimation. Det finns för stunden inget annat känt system som kan sägas uppfylla kravet på motsvarande. Vi har uppfattat det som att gott säkerhetsarbete har pågått under många år inom sektorn, men en användning och anpassning till ISO är relativt för merparten. Då ISO inte är allmänt implementerats ännu har man önskat att ha dörren öppen för andra alternativa ramverk för att strukturera säkerhetsarbetet. Vi är dock övertygade om att alla framgångsrika strukturerade säkerhetsarbeten lätt kan och bör mappas mot ISO Sambi (Samverkan för behörighet och identitet inom hälsa, vård och omsorg) Sida 17 av 85

18 Sambi erbjuder ett konkret exempel på att inom ett begränsat områden lära sig hur ISO ska tillämpas. Tron och förhoppningen är att ISO nu snabbt får en ökad acceptans och att en organisation inte behöver hjälp av skrivningen motsvarande. När väl tiden är mogen vore det därför lämpligt att stryka bort eller motsvarande och i stället i Tillitsramverket bara ange Ett ledningssystem för informationssäkerhet för tjänsten baserat på ISO/IEC Behov av att förtydliga termen skyddsvärde Skyddsvärde finns beskriven i Sambi Hotkatalog avsnitt 3.1 Skyddsvärde. Begreppet är vanligt förekommande inom informationssäkerhet och tas även upp i Sambis kurs men finns inte med i Sambi ordlista. Behov av vägledning för riskanalysen Det föreligger ett behov av att klargöra och exemplifiera hur en riskanalys kan och bör utformas. Riskanalysens innehåll och genomförande lyfts fram i Sambis kurs, men kursen skulle dock kunna utökas med mer material och övningar kring riskanalys. Behov att förtydliga krav på förbättringsplan En organisation som följer ISO ska ha en aktuell förbättringsplan. Denna plan ska vara levande och att den fungerar ska följs upp åtminstone med hjälp av organisationens internrevisioner. I samband med Sambis granskningar så bör ansökande och medlemmar vara bereda på att visa upp sin aktuella åtgärdsplan. Krav på att göra denna redovisning framkommer av anvisningarna i tillitsdeklarationsmallen. Rekommendation Mildra inte kravet i A.4 från att ha infört ett strukturerat säkerhetsarbete till att arbeta med ett strukturerat säkerhetsarbete Styrgruppen behöver ta ställning till om eller motsvarande bör strykas i Tillitsramverkets krav A.4 (b) och texten ändras till: Ett ledningssystem för informationssäkerhet för tjänsten baserat på ISO/IEC Säkerhetsåtgärderna ska hantera riskerna enligt riskanalysen för tjänsten och dess Funktioner. Komplettera Bilaga 1 - Definitioner med en definition av Skyddsvärde. Ta fram vägledning för hur hantering av riskanalysen kan göras och Sambis krav på denna. Ta fram vägledning för hur hantering av förbättringsplan bör göras. Sambi (Samverkan för behörighet och identitet inom hälsa, vård och omsorg) Sida 18 av 85

19 Text i Tillitsramverk version 1.3_remissen A.5 Betrodd Part ska tillhandahålla dokumentation över genomförd riskanalys, ledningssystemet för informationssäkerhet samt genomförd internrevision av efterlevnaden och införandet av säkerhetsregelverket, avseende tjänsten och dess Funktioner. Erhållna kommentarer Förtydliga kravet på den information som ska tillhandahållas Det saknas tydligt krav i A.5 att tillhandahålla dokumentation även på förbättringsplanen som stämmer överens med krav A.4 Riskanalys och internrevision ska genomföras årligen och leda till en förbättringsplan av säkerhetsåtgärder. Enligt MSB så gäller att informationssäkerhetsuppdraget 2015 får myndigheterna i uppgift att i arbetet med 2015 års RSA särskilt beakta och analysera informationssäkerheten. Enligt samma informationssäkerhetsuppdrag 2015 ska inte bara en bedömning av informationssäkerheten redovisas utan även vidtagna åtgärder. Därför föreslås att krav A.5 justeras till följande: A.5 Betrodd Part ska tillhandahålla dokumentation som redovisar ledningssystemet för informationssäkerhet, samt resultat av och genomförda, pågående och planerade åtgärder från genomförd riskanalys, inträffade incidenter och genomförd internrevision av efterlevnaden och införandet av säkerhetsregelverket, avseende tjänsten och dess Funktioner. Kan man kanske punkta några (3-5 stycken) saker som minst ska omfattas av de underlag man skickar in så blir det ännu krispigare? När, på vilket sätt och till vem? Jfr HSA-policyns krav på att internrevision ska genomföras och dokumenteras samt att dokumentationen ska delges HSA Förvaltningsgrupp på begäran. Analys Kommentarerna innebär: a. Att få till överenstämmelse mellan krav A.4 och A.5, b. Vidare framförs att även enligt MSB och informationssäkerhetsuppdraget 2015 så har myndigheterna i uppgift att inte bara redovisa en bedömning av informationssäkerheten utan även vidtagna åtgärder (dock saknas effektiva sanktionsmöjligheter). Eftersom inom federationen Sambi oavsett om medlemmen är en myndighet eller en civilrättslig organisation så förväntas att båda formerna ha samma bas krav för tillit. Vidare beskrivs att MSB:s uppfattning är att redovisningen av åtgärder behöver följa dispositionen som föreskrivs i 8 respektive 9 i MSBFS 2015:3. För att förenkla för medlemmarnas interna och externa redovisning av åtgärder så skall dubbelarbete med dokumentationen minimeras och att alla medlemmar dokumenterar mot samma krav på omfattning. c. Förslaget är även i överenstämmelse med ISO27001 krav på minimum av dokumentation av systemet och säkerhetsåtgärder så som det föreskrivs av standarden i Vilket innebär Sambi (Samverkan för behörighet och identitet inom hälsa, vård och omsorg) Sida 19 av 85

20 att dokumentationen ändå skall tas fram och inget merarbete uppstår därmed. Detta kommer också underlätta granskningsgruppens arbete med att säkerställa att parten bedriver aktivt säkerhetsarbete genom att granskningsgruppen har tillgång till denna dokumentation. d. Tydliggör att det är granskningsgruppen som är mottagare av Betrodd Parts dokumentation. Frekvensen framgår av anslutningsavtalet och av bilaga 4. Rekommendation Krav A.5 i det föreslagna Tillitsramverkets föreslås ändras till: A.5 Betrodd Part ska tillhandahålla dokumentation över genomförd riskanalys, ledningssystemet för informationssäkerhet samt genomförd internrevision av efterlevnaden och införandet av säkerhetsregelverket, inklusive aktuell förbättringsplan, avseende tjänsten och dess Funktioner. Text i Tillitsramverk version 1.3_remissen A.6 Medlem ska inrätta en process för incidenthantering som innefattar vidarerapportering till Federationsoperatören i enlighet med Bilaga 6 - Rapporteringsrutiner. Erhållna kommentarer Vi hittar inte bilaga 6 rapportering i det utskickade materialet eller på webben. Jag hittade inte bilaga 6 rapportering på SAMBIS hemsida eller i det utskickade materialet på remiss. Utan detta kan jag inte svara på A.6 Utfärdare av elektroniska identiteter som ansöker till Svensk e-legitimation måste rapportera till BÅDA federationsoperatörerna i detta fall är det tänkt så? Analys Det är ett helt korrekt påpekande att Bilaga 6 Rapportering inte sändes med granskningsutgåva och inte heller var publicerad på Sambis webb. Huruvida rapporteringsrutiner ska vara en egen avtalsbilaga eller samordnas med andra driftsdokument undersöks för närvarande. Som det är nu skrivet i tillitsramverket så skall E-legitimationsutfärdare rapportera till båda federationsoperatörerna. Rekommendation Klargöra Sambis Rapporteringsrutiner. Texten för krav A.6 till: Medlem ska inrätta en process för incidenthantering som innefattar vidarerapportering till Federationsoperatören i enlighet med de av Federationsoperatören angivna instruktionerna Sambi (Samverkan för behörighet och identitet inom hälsa, vård och omsorg) Sida 20 av 85

21 4.5 Avsnitt - Granskning och uppföljning Text i Tillitsramverk version 1.3_remi ssen A.7 Ledningssystemet för informationssäkerhet och efterlevnaden av de krav som ställs på Betrodd Part ska under en treårsperiod vara föremål för internrevision, utförd av oberoende kontrollfunktion. Erhållna kommentarer Åsså en sak där jag säkert är ute och cyklar, men A7 säger internrevision utförd av oberoende kontrollfunktion. Blir den inte extern då by default? Kanske man kan stryka intern bara för att inte förvirra? Kontrollfunktion : Utsedd av federationsoperatören? Vilka krav ska vara uppfyllda? dels kring "oberoende" dels kring kompetens hos kontrollfunktionen (typ certifierad ISO/IEC Lead Auditor). Saknar någon del där SAMBI/Operatören/Federationen tar ett aktivt ansvar för att löpande och återkommande granska att betrodda parter efterlever tillitsramverket även efter att den betrodda parten anslutit till federationen. Inte bara internrevisioner. Analys Det är korrekt påpekat att kravet är otydlig formulerat eftersom det finns två olika krav på granskning av Betrodd Part. Internrevision av Betrodd Part skall planeras och genomföras av organisationen själva så att all verksamhet inom berörda funktioner/områden har omfattats inom minst en rullande treårsperiod. Oberoende kontrollfunktion kan exempelvis hanteras genom att den interna revisorn inte har samma chef som den organisation som är föremål för internrevisionen. Detta behandlas i Sambi kurs. Sambi ska också genomföra en återkommande tillitsgranskning av Betrodd part med en treårsintervall i enlighet med bilaga 4. Detta behöver också förtydligas i kravtexten Rekommendation Krav A.7 i det föreslagna Tillitsramverket föreslås kompletteras med: Sambi granskningsgrupp ska genomföra en tillitsgranskning vid ansökan och därefter minst var tredje år enligt bilaga 4. Den nya texten för krav A.5 lyder då: A.7 Ledningssystemet för informationssäkerhet och efterlevnaden av de krav som ställs på Betrodd Part ska under en treårsperiod vara föremål för internrevision, utförd av oberoende Sambi (Samverkan för behörighet och identitet inom hälsa, vård och omsorg) Sida 21 av 85

22 kontrollfunktion. Sambi granskningsgrupp ska genomföra en tillitsgranskning vid ansökan och därefter minst var tredje år enligt bilaga 4. Ta fram information för hur och vem som kan genomföra en internrevision. 4.6 Avsnitt - Kryptografisk säkerhet Text i Tillitsramverk version 1.3_remissen A.8 Betrodd Part ska skydda kryptografiskt nyckelmaterial, omfattande minst signeringsnycklar för a) metadata b) identitetsintyg c) kommunikation Erhållna kommentarer Krav på kryptering och algoritmer Vilka kryptoalgoritmer är godkända? (den informationen kommer dessutom att ändras över tid) Vilken källa ska användas för att få information om vilka kryptoalgoritmer som vid var tid är godkända att använda? Och när den informationen ändras, hur lång tid får en Medlem på sig att bygga om sin lösning? Hantering av nyckelmaterial Saknar lite stycken om hur man ska hantera Kommunikationskryptering. Kryptoboxar/TLS/Cipher Suites etc. Det sistnämnda behövs inte minst för Tjänsteleverantörer eftersom säkerheten aldrig blir högre än hur tjänsten är implementerad. Känns lite tunt. HUR ska man skydda det kryptografiska nyckelmaterialet? Krävs en HSM? Hänvisning till Tekniska bilagan? Analys Krav på kryptering och algoritmer Sambi tekniska detaljstyrning är för närvarande begränsat till de krav som återfinns i bilaga 2, där följande anges om godkända kryptoalgoritmer: Där annat inte angetts ska val av algoritmer och nyckellängder för autentisering, kryptering och signering följa NIST SP eller ETSI TS I termer av algoritmval, kan dessa krav t.ex. uppfyllas genom att använda SHA-256 och RSA-nycklar med en nyckellängd (modulus) om minst 2048 bitar. Kommunikationen ska skyddas med TLS/SSL på transportnivå Sambi (Samverkan för behörighet och identitet inom hälsa, vård och omsorg) Sida 22 av 85

23 En översyn av den tekniska profilen pågår och de tekniska kraven i bilaga 2 kan förväntas att utvecklas. Hantering av nyckelmaterial Det är en korrekt observeration att Bilaga 3 Tillitsramverk definierar vad som behöver säkras men inte hur. Med den skrivningen i det befintliga Tillitsramverket förväntas att alla Betrodda parter har vidtagit nödvändiga säkerhetsåtgärder för att skydda sitt nyckelmaterial för att bygga tillit inom federationen. Nödvändiga säkerhetsåtgärder ska identifieras och beskrivas i Riskanalys och efterföljande Åtgärdsplan. Om en gemensam kravnivå önskas för hantering av nyckelmaterial behöver den formuleras i Tekniska specifikationer för Sambi. Rekommendation Komplettera det föreslagna Tillitsramverket med en referens till kravet i på kryptoalgoritmer i bilaga Avsnitt - Ansvar för användning av Leverantörer Text i Tillitsramverk version 1.3_remissen A.9 (a) Betrodd Part som lägger ut utförande av Funktion på Leverantör är ansvarig för Leverantörens uppfyllande av kraven i Tillitsramverket, och ska redogöra för hur Leverantören uppfyller kraven. (b) Betrodd Part ska redovisa vilka Funktioner som har lagts ut på Leverantör och hur denne säkerställer att Leverantörens uppfyller kraven för dessa. (c) Betrodd Part ska genom avtal definiera vilka Funktioner och kritiska processer som har lagts ut, hur kraven ska uppfyllas av Leverantören samt hur uppföljning ska göras. Erhållna kommentarer Tycker att skrivningen är otydligt och svår att se vad kraven är. Förslag till omskrivning: Betrodd part som lägger ut utförande av Funktion på Leverantör är ansvarig för Leverantörens uppfyllande av kraven i Tillitsramverket och ska redogöra för hur Leverantören uppfyller kraven. I denna redogörelse ska bl.a följande redovisas: -Vilka funktioner som är utlagda på Leverantören -Vilka avtal som reglerar Leverantörens ansvar och leveranser -Hur uppföljning ska göras Sambi (Samverkan för behörighet och identitet inom hälsa, vård och omsorg) Sida 23 av 85

24 Analys Bra kommentar för att förbättra läsbarhet. Rekommendation Krav A.9 i det föreslagna Tillitsramverket föreslås ändras till: A.9 Betrodd part som lägger ut utförande av Funktion på Leverantör är som huvudman ansvarig för Leverantörens uppfyllande av kraven i Tillitsramverket, oavsett avtalsform, och ska redogöra för hur Leverantören uppfyller kraven så som om det vore utfört av den Betrodde Parten själv. I denna redogörelse ska Betrodd Part bl.a. redovisa: (a) hur Leverantören uppfyller kraven i Tillitsramverket. (b) vilka Funktioner och kritiska processer som har lagts ut på Leverantör och hur Betrodd Part säkerställer att Leverantörens uppfyller kraven för dessa. (c) de avtal som definierar vilka Funktioner som har lagts ut, hur kraven uppfylls av Leverantören samt hur uppföljning utförs. 4.8 Avsnitt - Handlingars bevarande Text i Tillitsramverk version 1.3_remissen A.10 Betrodd Part ska, i tillämpliga delar, bevara (a) avtal, (b) styrande dokument, (c) handlingar som rör förändringar av uppgifter hänförliga till Användare, Attribut och Metadata, och (d) övrig dokumentation som stöder efterlevnaden av de krav som ställs på denne, och som visar att de säkerhetskritiska processerna och kontrollerna fungerar. Erhållna kommentarer Jag tror liksom jag hävdat tidigare att det skulle behövas exempelmallar på godkänd dokumentation. Vissa delar har jag svårt att tolka hur ett rimligt svar skulle se ut. A10c tolkar jag t ex som loggar, eller är det bara beskrivningar av loggar? Otydligt. Uppgifter hänförliga till Användare? Analys Betrodd Part ska ha ett ledningssystem baserat på ISO enligt krav A.4(b). Enligt denna standard ska det finnas dokumentation som behöver bevaras. Eftersom varje organisation är till viss del unik så är det fel att ställa detaljerade krav som motverkar organisationens behov av anpassning Sambi (Samverkan för behörighet och identitet inom hälsa, vård och omsorg) Sida 24 av 85

25 efter omständigheterna. Detta gäller också om det hade funnits exempelmallar eftersom de inte skulle fungera i organisationen eftersom varje organisations riskanalys resulterar i för den egna verksamheten viktiga säkerhetsåtgärder. Genom detta krav, som är ett förtydligande, kan man inom federationen bygga tillit. Federationen är till för att förenkla inloggning och öka informationssäkerheten för all dess Användare. Användare har identitet, organisationstillhörighet, roll, etc. och till denna finns kopplat behörigheter. Exempelvis behöver förändringar i attributkällor avseende användares behörigheter loggas (vem, när, ) och sparas. Detta diskuteras mera i Sambi kurs. Rekommendation De erhållna kommentarerna medför inget behov av att förändra det föreslagna Tillitsramverket. Ta fram exempel på handlingar som kan behöva bevaras avseende förändringar av uppgifter hänförliga till Användare, Attribut och Metadata. Text i Tillitsramverk version 1.3_remissen A.11 Tiden för bevarande ska inte understiga tre år och material ska kunna tas fram i läsbar form under hela denna tid, såvida inte krav på gallring påkallas från integritetssynpunkt och har stöd i lag eller annan författning. Erhållna kommentarer Saknar något om loggar etc.? Räcker tre år rent juridiskt? Vad är preskriberingstiden för brott kopplade till identitetsstöld och i förlängningen åtkomst/stöld av information som en förfalskad identitet skulle kunna leda till? Analys Sambi har valt att sätta minimum tre år som bevarande av dokumentation enligt A.10 eftersom tillitsgranskningsperiodicitet är inte längre. Men varje Betrodd Part har att följa lagar och förordningar samt organisationens egna regler, dessa kan ställa krav på längre bevarandetid. Eftersom tillitsgranskningen också granskar att relevanta legala krav har nödvändiga säkerhetsåtgärder för bevarande så behöver Betrodd part i förlängningen ha system för att följa dessa. Rekommendation De erhållna kommentarerna medför inget behov av att förändra det föreslagna Tillitsramverket. Tillhandahåll information som förklarar skillnaden på Sambis krav på lagringstid kontra krav på längre bevarandetid från lagar och förordningar samt organisationens egna regler. Sambi (Samverkan för behörighet och identitet inom hälsa, vård och omsorg) Sida 25 av 85

26 4.9 Avsnitt - Information Text i Tillitsramverk version 1.3_remissen A.12 Betrodd Part ska tillhandahålla uppgifter om avtal, villkor samt anknytande uppgifter och eventuella begränsningar i användandet av tjänsten till Användare, Tjänsteleverantörer och andra som kan komma att förlita sig på dennes tjänst. Inga kommentarer har erhållits. Text i Tillitsramverk version 1.3_remissen A.13 Betrodd Part ska tillhandahålla en Tillitsdeklaration som följer Federationsoperatören mall. Till denna ska bifogas efterfrågade dokument. Erhållna kommentarer Sekretess vid granskningen Hur är det med krav på sekretess eftersom vi är olika sorters organisationer? Detta borde det stå något om. Behov av att förtydliga vilka dokument som ska tillhandahållas När, på vilket sätt och till vem? Det är otydligt vilka dokument som refereras till, samt vem som efterfrågar dokumenten.... ska tillhandahålla Till denna ska bifogas efterfrågade dokument. efterfrågade av vem? I A.12 finns Användare, Tjänsteleverantör och andra uppräknade. I A.14 finns andra parter uppräknade. I A.13 är det mer otydligt. Språklig justering Exceldokumentet (ansökan) ligger på en hög nivå, inte så mycket detaljerad information. Därför skulle vi vilja föreslå att det finns ett eller flera (anonymiserade) ifyllda exempel att tillgå som hjälp. Det är dock inte en del av detta dokument så det tillhör formellt sätt inte granskningen men kan vara värt att nämna i en kommentar. Analys Sekretess vid granskningen Sekretess behovet i kommunikationen mellan Parter (Ansökande och Medlemmar) och Federationsoperatören har adresserats i ett förbättringsförslag på dokumentet Sambi Bilaga 4 Föreskrifter för Federationsoperatören v1.0. Behov av att förtydliga vilka dokument som ska tillhandahållas Sambi (Samverkan för behörighet och identitet inom hälsa, vård och omsorg) Sida 26 av 85

27 Dokumentet skall skickas till Federationsoperatören för att vidareförmedlas till granskningsgruppen, texten behöver klargöras. Sambi förväntar sig att ansökande analyserar vilka dokument som är relevanta för tillitsdeklarationen och hur dessa publiceras utan att detaljreglera något som är unikt för varje Betrodd Part. Rekommendation Krav A.13 i det föreslagna Tillitsramverket föreslås ändras till: A.13 Betrodd Part ska till Federationsoperatören tillhandahålla en Tillitsdeklaration som beskriver hur Betrodd Part uppfyller Tillitsramverket. Dokumentet ska följa Federationsoperatörens mall. Till denna ska bifogas efterfrågade dokument enligt detta tillitsramverk. Tillhandahåll exempel på vilka dokument som ska bifogas Tillitsdeklarationen. Text i Tillitsramverk version 1.3_remissen A.14 Betrodd Part ska på begäran av Federationsoperatören eller annan som har ett berättigat intresse lämna uppgifter om hur verksamheten ägs och styrs. Erhållna kommentarer Informationen är ju inte så hemlig då kommuner, myndigheter och landsting redan är öppna, företag finns hos bolagsverket och andra offentliga register (typ allabolag.se). Möjligtvis kan det vara stiftelser som är svåra att få redovisning från. Vi tycker att det är oklart vad annan är. Vi tycker punkten generellt är oklar.... eller annan som har ett berättigat intresse... tycker jag är vagt. Är annan medlemmar i federationen, viss typ av medlem? Analys Federationsoperatören har ett berättigat behov för denna information eftersom exempelvis kommunala stiftelser är inte offentliga organ (om de inte själva har beslutat följa offentligrättslig lagstiftning). Texten..eller annan som har ett berättigat intresse.. torde härröra från den ursprungliga texten från E-legitimationsnämnden. Inget behov har identifierats för skrivningen. Rekommendation Krav A.14 i det föreslagna Tillitsramverket föreslås ändras till: Sambi (Samverkan för behörighet och identitet inom hälsa, vård och omsorg) Sida 27 av 85

28 A.14 Betrodd Part ska på begäran av Federationsoperatören lämna uppgifter om hur verksamheten ägs och styrs. Text i Tillitsramverk version 1.3_remissen A.15 Betrodd Part ska på ett tydligt sätt informera berörda Användare, andra Betrodda Parter och Federationsoperatören om villkor för tjänsten vid nyteckning eller ändring av tjänsten. Detta gäller även ändringar av kontaktpersoner, federationsgemensamma metadata och attribut. Erhållna kommentarer Hur vet jag och kan kontakta dem vid tex ändring av kontaktinformation? Vad menas med andra betrodda parter? Vi behöver få en förklaring av syftet med punkten. Den är i sin nuvarande form oklar, framförallt när det gäller relationen till andra betrodda parter. Avtalsrelationen mellan kund och leverantör i användandet av en tjänst reglerar hur kunden får använda tjänsten även om man använder en federativ inloggning. Jag kan tolka A.15 till att behöva informera alla i federationen om jag ändrar värdet i ett attribut på en användare. Så vill vi väl inte ha det? Kan vi tydliggöra federationsgemensamma metadata och attribut. på något bra sätt? Jag har tyvärr inget bra förslag på text. Vad är nyteckning? Analys Det är korrekt påpekat att texten är oklar och att informationsplikten gäller bara sina egna Användare av tjänsten och Federationsoperatören. Det är upp till Federationsoperatören att bedöma behov av och att informera andra Betrodda Parter. Ändringar av kontaktinformation utförs med den blankett som finns tillgängligt på Sambi hemsida. Ändring av metadata och attribut utförs enligt instruktioner som finns på Sambi hemsida. Rekommendation Krav A.15 i det föreslagna Tillitsramverket föreslås ändras till: A.15 Betrodd Part ska på ett tydligt sätt informera sina Användare och Federationsoperatören om villkor för tjänsten vid nyteckning av tjänsten eller ändring av tjänsten. Betrodd Part ska informera Federationsoperatören även vid ändringar av kontaktpersoner, federationsgemensamma metadata och attribut. Text i Tillitsramverk version 1.3_remissen Sambi (Samverkan för behörighet och identitet inom hälsa, vård och omsorg) Sida 28 av 85

29 A.16 En Betrodd Part som upphör med sin verksamhet ska informera berörda Användare, Betrodda Parter och Federationsoperatören. Den Betrodda Parten ska hålla arkiverat material tillgängligt i enlighet med A.6 och A.7. Erhållna kommentarer Referensen till A.6 och A.7 är felaktig, borde troligen vara A.10 och A.11. Jag tror i enlighet med A.6 och A.7. refererar till en äldre numrering. Hänvisningarna beskriver krav på process för incidenthantering och LIS för informationssäkerhet. Jag tolkar kravet att man egentligen menar A.10 och A.11, men det är min gissning. Hur långt i förväg? Så att användare får rimlig tid på sig att gå över till en annan leverantör. Analys Korrekt påpekat att referenserna är felaktiga i kravtexten. Eftersom upphörande av verksamhet innebär avtalsjuridik mellan Betrodda Parter inom Federationen så finns förnärvarande inte ett behov hos Sambi av ytterligare regleringar. Rekommendation Krav A.16 i det föreslagna Tillitsramverket föreslås ändras till: A.16 En Betrodd Part som upphör med sin verksamhet ska informera sina Användare och Federationsoperatören. Den Betrodda Parten ska hålla arkiverat material tillgängligt i enlighet med A.10 och A Avsnitt - B. Elektronisk identitetsutfärdare Text i Tillitsramverk version 1.3_remissen B.1 Elektronisk identitetsutfärdare ska följa E-legitimationsnämndens Tillitsramverk för Utfärdare av Svensk e-legitimation. Erhållna kommentarer Hantering av ändringar Vad händer om det ramverket uppdateras? Övergångsregler? Förtydliga relation till Svensk e-legitimation Otydligt med skrivelsen "ska följa". Ska elektroniska identitetsutfärdare vara godkända utfärdare av Svensk e-legitimation enligt E-legitimationsnämnden? Sambi (Samverkan för behörighet och identitet inom hälsa, vård och omsorg) Sida 29 av 85

30 Det jag framförallt är ute efter är en ökad tydlighet i vad som avses med att aktören ska "följa E-legitimationsnämndens tillitsramverk". Om tanken är att aktören inte enbart ska följa, utan även vara godkänd som utfärdare av Svensk e-legitimation, tycker jag att det ska förtydligas, exempelvis i enlighet med det förslag till formulering som jag skickade vid föregående remiss. Elektronisk identitetsutgivare ska vara godkänd av E-legitimationsnämnden som Utfärdare av Svensk e-legitimation på tillitsnivå X i enlighet med E- legitimationsnämndens tillitsramverk. X: Här vet jag inte vad ni har landat för krav på tillitsnivå. Det behöver ju hur som helst specificeras i ett tillitsramverk. Hur hantera om Sambi och Svensk e-legitimation kravställningen skiljer sig? Hur styr vi om en Identitetsintygsutfärdare använder en utfärdare av elektroniska identiteter som är godkänd enligt Svensk e-legitimation, men som inte för den delen ingår i SAMBIs regelverk (ex. BankID). Är det någon som för dialog med dem om SAMBI eller vill ingen IdP i SAMBI använda sig av dem kanske? Eftersom de Allmänna och Generella kraven gäller även för Utfärdare av elektroniska identiteter som ansluts till SAMBI. Så måste Utfärdare av elektroniska identiteter (ex. SITHS) mappa mot liknande krav som ställs i ansökan till Svensk e-legitimation. Om det skulle vara motstridigheter vilka krav är det då som gäller? Analys Hantering av ändringar Ändringar av anslutningsavtalet och dess bilagor samt hur dessa påverkar avtalsparterna hanteras i enlighet med Anslutningsavtalets paragraf 8. Denna paragraf gäller även när E- legitimationsnämndens tillitsramverk förändras. Mall för anslutningsavtal finns på sambi.se hemsida. Förtydliga relation till Svensk e-legitimation Det är en korrekt iakttagelse att syftet med B.1 är att det är nödvändigt att ha en godkännande från E-legitimationsnämnden. Sambis styrgrupp har bestämt att endast tillitsnivå 3 är aktuellt förnärvarande. När Betrodd Part visar upp ett godkännande från E-legitimationsnämnden som utfärdare på tillitsnivå 3 så är kravet i B.1 uppfylld men bara för denna lösning på identitetsutfärdandet. Hur hantera om Sambi och Svensk e-legitimation kravställningen skiljer sig? För närvarande finns ingen identifierad skillnad mellan de krav som E-legitimationsnämndens ställer på en utfärdare av Svensk e-legitimation för tillitsnivå 3 och de krav Sambi har på en e- legitimationsutfärdare. Om sådana skillnader uppkommer situationen behöva hanteras. Sambi (Samverkan för behörighet och identitet inom hälsa, vård och omsorg) Sida 30 av 85

31 Där unionen av kraven leder till exempelvis två olika rapportmottagare så förväntas att Betrodd Part rapporterar till båda två. Rekommendationer Krav B.1 i det föreslagna Tillitsramverket föreslås ändras till: B.1 Elektronisk identitetsutfärdare ska vara godkänd av E-legitimationsnämnden som Utfärdare av Svensk e-legitimation på tillitsnivå 3 i enlighet med E-legitimationsnämndens tillitsramverk. Bevaka löpande de krav som E-legitimationsnämndens formulerar på utfärdare av Svensk e- legitimation för tillitsnivå 3 samt de lösningar som blir godkänd som Svensk e-legitimation för att se om skillnader uppstår med Sambis krav och intressen Avsnitt - C. Attribututgivare Text i Tillitsramverk version 1.3_remissen C.1 Informationsinnehållet i Attribut ska vara korrekt, aktuellt samt verifierat mot ursprungskällan. Erhållna kommentarer Terminologi Om det här innebär användarkatalog så är Attribututgivare ett väldigt dåligt ersättningsord. BYT ord! Kravspecifikationens detaljeringsgrad Kan man vara så här generell? Jfr HSA-policyn där vi ställer krav på kontroll mot befolkningsregistret och HOSP en gång per månad, kontroll av anställnings- /uppdragsförhållanden en gång per kvartal o.s.v. Hur ska man kunna granska utifrån detta? Jag tror ingen skulle kunna passera en detaljgranskning med nuvarande skrivning - det finns nog ingen som har möjlighet att uppdatera samma sekund som en förändring sker i ursprungskällan. Och hur bedömer man då vad som är OK och inte i "eftersläpning". Ett dygn? En månad? Var kan anslutande organisation läsa sig till detta? Analys Terminologi Med Attribututgivare avses inte en katalog utan den organisation som ansvarar för att tillhandahålla attributen. För att tillhandahålla denna tjänst behövs givetvis någon form av katalog. Eftersom Sambi (Samverkan för behörighet och identitet inom hälsa, vård och omsorg) Sida 31 av 85

32 tillitsramverket ska vara oberoende av hur den specificerade tekniska lösningen implementeras hos Parterna så väljer Sambi att använda ett begrepp som inte refererar till någon given realisering. Definition av Attribututgivare enligt Sambi bilaga 1: En Användarorganisations om tillhandahåller Attribut för en Användare baserat på en Elektronisk identitet. Kravspecifikationens detaljeringsgrad Då kravställningen på attribut kan förväntas variera mycket mellan olika tjänster, har utgångspunkten här varit att riskanalysens bedömning avseende hot och skyddsvärde ska vara styrande. I väntan på att olika tjänster formulerar sina kravs på olika attribut har exakta krav undvikits. När och om tydligare kravställningar formuleras kan antingen Tillitsramverket uppdateras alternativt kan de hanteras i ett externt dokument. Detta arbete bör dock samordnas med Sambis Attributförvaltning. Rekommendation De erhållna kommentarerna medför inget behov av att för stunden ändra det föreslagna Tillitsramverket. Samordna arbetet med att formulera mer detaljerade kravställningar per tjänst och attribut för Sambis granskningsarbete med arbetet som bedrivs för Sambis Attributförvaltning. Utred om tjänsten/informationsägare bör formulera krav på korrekthet på de använda attributen och LoA för använda identiteter. Text i Tillitsramverk version 1.3_remissen C.2 Förändringar av informationsinnehållet i Attribut ska gå att spåra avseende tidpunkt för förändring och vem som utfört förändringen. Inga kommentarer har erhållits Avsnitt - D. Identitetsintygsutgivare Text i Tillitsramverk version 1.3_remissen D.1 Betrodd Part som tillhandahåller tjänst för utgivning av Identitetsintyg ska se till att denna tjänst har god tillgänglighet och att utlämnande av Identitetsintyg föregås av en tillförlitlig kontroll att den angivna Användarens Elektroniska identitet och Attribut är giltiga. Erhållna kommentarer Krav på tillgänglighet Är god tillgänglighet kvantifierat i SAMBI? Sambi (Samverkan för behörighet och identitet inom hälsa, vård och omsorg) Sida 32 av 85

33 Har vi i SAMBI diskuterat någon mininivå för SLA på en IdP? Vill vi ha IdP:er som inte klarar ex 99.8% (18h/år) Ansvarsfördelning Var görs kontrollen av att användaren har en aktuell och relevant relation till organisationen (anställning, uppdrag e.d.)? Finns vare sig här eller under kraven för Attribututgivare. Är det inte relevant för Sambi? Vilka krav? SLA? Här krävs tydlighet ända in i gränssnitten för att inte en Tjänsteleverantör ska få skulden för inloggningar som misslyckas pga. bristande Intygsutfärdande eller problem hos attributsutgivare och vice versa. Borde finnas krav på attributsutgivaren också? Analys Krav på tillgänglighet Inga explicita SLA:er för tillgänglighet har specificerats för en Identitetsintygsutgivares tjänst. Detta är något som ska utredas och definieras i Riskanalysen beroende på identifierade krav. SLA kan sedan kvantifieras i ett övergripande avtal mellan parter eller beskrivas av operatören. Om tydligare kravställningar formuleras kan Tillitsramverket uppdateras alternativt kan de hanteras i ett externt dokument. Ansvarsfördelning I Tillitsramverket anges under rubriken Allmänt att Användarorganisationen ansvar för sina funktioner för: Elektronisk identitetsutfärdare Attribututgivare Identitetsintygsutgivare D.v.s. Användarorganisation oavsett om denne har valt att om den driver funktionen själv eller köper tjänsten från en Leverantör ansvarar för att användaren har en aktuell och relevant relation till organisationen (anställning, uppdrag e.d.). Tillitsramverk anger att det ska säkras men inte hur. Sambi tekniska detaljstyrning är begränsat till de krav som återfinns i bilaga 2. Därutöver förväntas att alla berörda Betrodda parter genomfört sin riskanalys och därefter vidtagit nödvändiga säkerhetsåtgärder för att bygga tillit inom federationen. På motsvarande sätt ansvarar Tjänsteleverantör för sina E-tjänster. Om inloggningar misslyckas pga. bristande Intygsutfärdande eller problem hos attributsutgivare är detta ett problem som primärt måste hanteras av Användarorganisation och Tjänsteleverantören. Exempelvis bör viten hanteras i separata avtal. Sambi (Samverkan för behörighet och identitet inom hälsa, vård och omsorg) Sida 33 av 85

34 Rekommendation De erhållna kommentarerna medför inget behov av att förändra det föreslagna Tillitsramverket. Ta fram lättillgänglig information Användarorganisationens ansvar för sina funktioner för: Elektronisk identitetsutfärdare, Attribututgivare och Identitetsintygsutgivare. Text i Tillitsramverk version 1.3_remissen D.2 Lämnade Identitetsintyg ska vara giltiga endast så länge som det krävs för att Användaren ska få tillgång till den efterfrågade E-tjänsten. Erhållna kommentarer Bör väl definieras. T ex 10 sekunder eller 1 minut e.d. Det kan väl inte vara upp till resp. tjänst att specificera? Eller? Hur länge är det? Tycker man måste sätta en maxgräns. Analys Frågan om att närmare precisera giltigheten för Identitetsintyg har bedömts vara en teknisk fråga och ska regleras i Sambi Bilaga 2 Tekniska krav. Tillitsramverk definierar att detta behöver kunna säkras men inte hur. Rekommendation De erhållna kommentarerna medför inget behov av att förändra det föreslagna Tillitsramverket. Text i Tillitsramverk version 1.3_remissen D.3 Identitetsintyg ska skyddas så att informationen endast är läsbar för den mottagande Tjänsteleverantören och att denne kan kontrollera att mottagna intyg är äkta. Inga kommentarer har erhållits. Text i Tillitsramverk version 1.3_remissen D.4 Identifierade Användares anslutningar mot intygsutgivningstjänsten ska tidsbegränsas, varefter en ny identifiering av Användaren ska ske i enlighet med D.1. Erhållit följande kommentar: SÄK har 60min. Tycker att det kan vara bra att ha det öppet, hur länge en inloggningssession får vara. Det KAN finnas behov av att vissa IdP:er har kortare och vissa längre. Sambi (Samverkan för behörighet och identitet inom hälsa, vård och omsorg) Sida 34 av 85

35 Vad avses? Är det den tid som krävs för att användaren ska hinna slå sin pin-kod? Därefter är väl användaren bara ansluten till den tjänst han loggat in i, eller? Vad är ett OK tidsspann? En timme? Ett år? Var kan anslutande organisation läsa sig till detta? Handlar detta om SSO biten i SAML? Bör väl även här sättas en max tidsgräns bara för att vara tydlig. Analys Inget krav på exakt tidsangivelse för hur användares anslutningar mot intygsutgivningstjänsten ska tidsbegränsas har formulerats för Sambi. 3 Tillitsramverk anger att det behövs men inte hur lång det ska vara. Motivet är att kravet kommer behöva variera och anpassas för olika verksamheter. För det fall inte Användarorganisationen redan har implementerat tidsgränser är det en skyddsåtgärd som bör ha identifierats efter det att riskanalysen gjorts. Om sektorn bedömer att en maximal tidsgräns bör definieras för alla Användarorganisationer anslutna till Sambi, kan Tillitsramverket uppdateras alternativt kan de hanteras i ett externt dokument. Rekommendation De erhållna kommentarerna medför inget behov av att förändra det föreslagna Tillitsramverket Avsnitt - E. Tjänsteleverantör Allmänna kommentarer Saknar något stycke om vad som gäller för utloggning från tjänsten? Tycker det ska ställas krav på inaktivitetstimeouter i alla tjänster för att förhindra att någon annan ärver sessioner alltför enkelt. Det bör också ställas krav på standardiserade utloggningsgränssnitt och rutiner. Analys Både allmänna och specifika krav på utloggning, inaktivitetstimeouter samt utloggningsgränssnitt och rutiner saknas. Detta är dock tekniska krav som bör hanteras i Sambis tekniska specifikation. Eventuellt kan Riskanalysen för en tjänst komma fram till specifika krav på tider för tjänsten. Rekommendation Sambi (Samverkan för behörighet och identitet inom hälsa, vård och omsorg) Sida 35 av 85

36 Undersök om det finns ett behov för Tjänsteleverantörerna att specificera egna krav på tider avseende utloggning, inaktivitetstimeouter samt utloggningsgränssnitt och rutiner. Text i Tillitsramverk version 1.3_remissen E.1 Tjänsteleverantör ska specificera vilka Attribut och Tillitsnivåer som används för Tjänstens behörighetskontroll. Erhållna kommentarer Hur ska detta specificeras? Via metadata=? Annan dokumentation? Analys Arbetet med hur detta ska specificeras behöver samordnas av Sambis Attributförvaltning. Rekommendation Tag fram instruktioner för hur Tjänsteleverantör ska specificera vilka Attribut och Tillitsnivåer som används. Text i Tillitsramverk version 1.3_remissen E.2 Tjänsteleverantör ska skydda Användares identitet och tillhörande Attribut. Erhållna kommentarer Är kravet att Tjänsteleverantören ej får vidarebefordra dessa uppgifter? Vilka specifika krav ställs kring detta? OK att lägga ut på webbsida med "hemlig länk". Kryptering? Loggkrav på åtkomst? Var kan anslutande tjänst läsa sig till detta? Analys Enligt anslutningsavtalet som Betrodd Part tecknar med federationsoperatören så gäller enligt 3.6 och 3.7: 3.6 Medlemmen ska uppfylla och följa kraven i personuppgiftslagen (1998:204) samt annan tillämplig lagstiftning. 3.7 Medlemmen får endast använda Sambis metadata för att fullgöra nödvändiga uppgifter inom Sambi. Anslutningsavtalet tillsammans med krav E.2 innebär att betrodda Parter inte får vidareförmedla dessa uppgifter om inte detta är särskilt avtalat. Sambi (Samverkan för behörighet och identitet inom hälsa, vård och omsorg) Sida 36 av 85

37 Bilaga 3 Tillitsramverk definierar vad som behöver säkras men inte hur. Det förväntas av alla berörda Betrodda parter att dessa har genomfört sin riskanalys där denna kravställning beaktats och därefter vidtagit nödvändiga säkerhetsåtgärder för att bygga tillit inom federationen. Rekommendation De erhållna kommentarerna medför inget behov av att förändra det föreslagna Tillitsramverket. Text i Tillitsramverk version 1.3_remissen E.3 Tjänsteleverantör ska informera Användare om informationen sprids eller används på annat sätt än för behörighetsstyrning. Erhållna kommentarer Hur ska detta kunna gå till rent praktiskt? Allmän info på egna webbsidan? Pop-up-fönster när användaren loggar in med möjlighet att backa? Sammanställd info på Sambis webb? Vad är godkänt? Och hur kan anslutande tjänst läsa sig till detta? Information om användarna ska inte användas för något annat än för behörighetsstyrning. Analys Utgångspunkten är att informationen ska användas för behörighetsstyrning och inte sprids eller används på annat sätt. Men om informationen likväl användas för andra ändamål ska användaren informeras. Det åligger då Tjänsteägaren att göra detta på lämpligt sätt. Rekommendation De erhållna kommentarerna medför inget behov av att förändra det föreslagna Tillitsramverket. Förtydliga när och hur en Tjänsteleverantör ska informera Användare om informationen sprids eller används på annat sätt än för behörighetsstyrning. Sambi (Samverkan för behörighet och identitet inom hälsa, vård och omsorg) Sida 37 av 85

38 5 Förslag på nytt Tillitsramverk för Sambi I detta kapitel presenteras ett förslag till nytt Tillitsramverk version 1.3 för Sambi. Förslaget utgörs av det remitterade Tillitsramverket där de i kapitel 4 rekommenderade ändringarna har inarbetats. Ändringsmarkeringen avser förändringar från det remitterade förslaget. Tillitsramverk version 1.3 Allmänt Tillitsramverket gäller för Medlemmar i Sambi, samt för det fall Medlemmen har lagt ut delar av Funktion på Leverantör, även för Leverantörenas del av denna Funktion. En Leverantör kan välja att bli granskade enligt detta regelverk. I detta dokument benämns Medlem och sådan Leverantör för Betrodd Part. En Betrodd Part kan vara Användarorganisation Ombud för Användarorganisation Tjänsteleverantör Leverantör av Funktion till någon av ovanstående Tjänsteleverantör ansvarar för Funktionen E-tjänst. Användarorganisation ansvarar för Funktionerna: Elektronisk identitetsutfärdare Attribututgivare Identitetsintygsutgivare De generella kraven gäller för samtliga Betrodda Parter. Kraven under avsnitt B (Elektronisk identitetsutfärdare), C (Attribututgivare), D (Identitetsintygsutgivare) och E (Tjänsteleverantör) gäller för respektive Funktion. Termer av speciell betydelse för denna bilaga finns definierade i Bilaga 1 Definitioner. En Betrodd Part ska bedriva ett aktivt arbete för att uppfylla kraven i Tillitsramverket. Borttaget: Som en del i detta arbete ska den Betrodde Parten upprätta en Tillitsdeklaration som beskriver hur denne uppfyller Tillitsramverket. Tillitsdeklarationen ska vara baserad på den mall som Federationsoperatören tillhandahåller. Sambi (Samverkan för behörighet och identitet inom hälsa, vård och omsorg) Sida 38 av 85

39 A. Generella krav Övergripande krav på verksamheten A.1 Betrodd Part som inte är ett offentligt organ ska drivas som registrerad juridisk person samt teckna och vidmakthålla för verksamheten erforderliga försäkringar. A.2 Betrodd Part ska ha en etablerad verksamhet, vara fullt operationell i alla delar som berörs i detta dokument, och vara väl insatt i de legala krav som ställs på denne som Betrodd Part i Sambi. A.3 Betrodd Part ska ha förmåga att bära risken för skadeståndsskyldighet samt förfoga över tillräckliga ekonomiska medel för att kunna bedriva verksamheten i minst 1 år. Säkerhetsarbete A.4 Betrodd Part ska för den tjänst som medlemskapet avser ha infört ett strukturerat säkerhetsarbete anpassat efter risker och säkerhetsbehov, bestående av: (a) En riskanalys avseende tjänsten och dess Funktioner. Denna ska ta hänsyn till skyddsvärde, befintliga skyddsåtgärder och legala krav. Riskanalysen ska omfatta analys av hot och sårbarheter, samt sannolikhet och konsekvens (skada) på Användare, den egna organisationen, andra Medlemmar och Federationsoperatören. (b) Ett ledningssystem för informationssäkerhet för tjänsten baserat på ISO/IEC Säkerhetsåtgärderna ska hantera riskerna enligt riskanalysen för tjänsten och dess Funktioner. (c) Genomförd internrevision av införandet och efterlevnaden av säkerhetsregelverket för tjänsten. Borttaget: eller motsvarande Riskanalys och internrevision ska genomföras årligen och leda till en förbättringsplan av säkerhetsåtgärder. A.5 Betrodd Part ska tillhandahålla dokumentation över genomförd riskanalys, ledningssystemet för informationssäkerhet samt genomförd internrevision av efterlevnaden och införandet av säkerhetsregelverket, inklusive aktuell förbättringsplan, avseende tjänsten och dess Funktioner. A.6 Medlem ska inrätta en process för incidenthantering som innefattar vidarerapportering till Federationsoperatören i enlighet med de av Federationsoperatören angivna instruktionerna. Kommenterad [F1]: Incidentrapporteringen kommer att vidareutvecklas tillsammans med Sambis Federationsforum. Troligtvis kommer den ses som en del av ITIL-processer som nu diskuteras. En första version av rapporteringsrutiner ska omgående publiceras på webben baserat på Max förslag. Borttaget: Bilaga 6 - Rapporteringsrutiner Sambi (Samverkan för behörighet och identitet inom hälsa, vård och omsorg) Sida 39 av 85

40 Granskning och uppföljning A.7 Ledningssystemet för informationssäkerhet och efterlevnaden av de krav som ställs på Betrodd Part ska under en treårsperiod vara föremål för internrevision, utförd av oberoende kontrollfunktion. Sambi granskningsgrupp ska genomföra en tillitsgranskning vid ansökan och därefter minst var tredje år enligt bilaga 4. Kryptografisk säkerhet A.8 Betrodd Part ska skydda kryptografiskt nyckelmaterial, omfattande minst signeringsnycklar för a) metadata b) identitetsintyg c) kommunikation Krav på nyckelhantering ges i Bilaga 2, Tekniska krav. Ansvar för användning av Leverantörer ( A.9 Betrodd part som lägger ut utförande av Funktion på Leverantör är som huvudman ansvarig för Leverantörens uppfyllande av kraven i Tillitsramverket, oavsett avtalsform, och ska redogöra för hur Leverantören uppfyller kraven så som om det vore utfört av den Betrodde Parten själv. I denna redogörelse ska Betrodd Part bl.a. redovisa: (a) hur Leverantören uppfyller kraven i Tillitsramverket. (b) vilka Funktioner och kritiska processer som har lagts ut på Leverantör och hur Betrodd Part säkerställer att Leverantörens uppfyller kraven för dessa. (c) de avtal som definierar vilka Funktioner som har lagts ut, hur kraven uppfylls av Leverantören samt hur uppföljningen utförs. Borttaget: A.9 Betrodd Part som lägger ut utförande av Funktion på Leverantör är ansvarig för Leverantörens uppfyllande av kraven i Tillitsramverket, och ska redogöra för hur Leverantören uppfyller kraven. Betrodd Part ska redovisa vilka Funktioner som har lagts ut på Leverantör och hur denne säkerställer att Leverantörens uppfyller kraven för dessa. Borttaget: c) Borttaget: Betrodd Part ska genom avtal definiera vilka Funktioner och kritiska processer som har lagts ut, hur kraven ska uppfyllas av Leverantören samt hur uppföljning ska göras. Handlingars bevarande A.10 Betrodd Part ska, i tillämpliga delar, bevara (a) avtal, (b) styrande dokument, (c) handlingar som rör förändringar av uppgifter hänförliga till Användare, Attribut och Metadata, och (d) övrig dokumentation som stöder efterlevnaden av de krav som ställs på denne, och som visar att de säkerhetskritiska processerna och kontrollerna fungerar. A.11 Tiden för bevarande ska inte understiga tre år och material ska kunna tas fram i läsbar form under hela denna tid, såvida inte krav på gallring påkallas från integritetssynpunkt och har stöd i lag eller annan författning. Sambi (Samverkan för behörighet och identitet inom hälsa, vård och omsorg) Sida 40 av 85

41 Information A.12 Betrodd Part ska tillhandahålla uppgifter om avtal, villkor samt anknytande uppgifter och eventuella begränsningar i användandet av tjänsten till Användare, Tjänsteleverantörer och andra som kan komma att förlita sig på dennes tjänst. A.13 Betrodd Part ska till Federationsoperatören tillhandahålla en Tillitsdeklaration som beskriver hur Betrodd Part uppfyller Tillitsramverket. Dokumentet ska följa av Federationsoperatören angivet format. Till denna ska bifogas efterfrågade dokument enligt detta tillitsramverk. A.14 Betrodd Part ska på begäran av Federationsoperatören lämna uppgifter om hur verksamheten ägs och styrs. A.15 Betrodd Part ska på ett tydligt sätt informera sina Användare och Federationsoperatören om villkor för tjänsten vid nyteckning eller ändring av tjänsten. Betrodd Part ska informera Federationsoperatören även vid ändringar av kontaktpersoner, federationsgemensamma metadata och attribut. A.16 En Betrodd Part som upphör med sin verksamhet ska informera berörda Användare, Betrodda Parter och Federationsoperatören. Den Betrodda Parten ska hålla arkiverat material tillgängligt i enlighet med A.10 och A.11. Borttaget: Betrodd Part ska tillhandahålla en Tillitsdeklaration som följer Federationsoperatören mall. Till denna ska bifogas efterfrågade dokument. Borttaget: eller annan som har ett berättigat intresse Borttaget: berörda Borttaget:, andra Betrodda Parter Borttaget: Detta gäller Borttaget: 6 Borttaget: 7 B. Elektronisk identitetsutfärdare B.1 Elektronisk identitetsutfärdare ska vara godkänd av E-legitimationsnämnden som Utfärdare av Svensk e-legitimation på tillitsnivå 3 i enlighet med E-legitimationsnämndens tillitsramverk. Borttaget: Elektronisk identitetsutfärdare ska följa E- legitimationsnämndens Tillitsramverk för Utfärdare av Svensk e- legitimation C. Attribututgivare C.1 Informationsinnehållet i Attribut ska vara korrekt, aktuellt samt verifierat mot ursprungskällan. C.2 Förändringar av informationsinnehållet i Attribut ska gå att spåra avseende tidpunkt för förändring och vem som utfört förändringen. D. Identitetsintygsutgivare Sambi (Samverkan för behörighet och identitet inom hälsa, vård och omsorg) Sida 41 av 85

42 D.1 Betrodd Part som tillhandahåller tjänst för utgivning av Identitetsintyg ska se till att denna tjänst har god tillgänglighet och att utlämnande av Identitetsintyg föregås av en tillförlitlig kontroll att den angivna Användarens Elektroniska identitet och Attribut är giltiga. D.2 Lämnade Identitetsintyg ska vara giltiga endast så länge som det krävs för att Användaren ska få tillgång till den efterfrågade E-tjänsten. D.3 Identitetsintyg ska skyddas så att informationen endast är läsbar för den mottagande Tjänsteleverantören och att denne kan kontrollera att mottagna intyg är äkta. D.4 Identifierade Användares anslutningar mot intygsutgivningstjänsten ska tidsbegränsas, varefter en ny identifiering av Användaren ska ske i enlighet med D.1. E. Tjänsteleverantör E.1 Tjänsteleverantör ska specificera vilka Attribut och Tillitsnivåer som används för Tjänstens behörighetskontroll. E.2 Tjänsteleverantör ska skydda Användares identitet och tillhörande Attribut. E.3 Tjänsteleverantör ska informera Användare om informationen sprids eller används på annat sätt än för behörighetsstyrning. Sambi (Samverkan för behörighet och identitet inom hälsa, vård och omsorg) Sida 42 av 85

43 Bilaga 1: Följebrev - Remissförfrågan, nytt tillitsramverk för Sambi Stockholm Bakgrund Sambi är ett infrastruktursamarbete för den svenska vård- och omsorgssektorn med syfte att åstadkomma säkrare och effektivare åtkomst till tjänster inom hela sektorn. Sambi är en identitets- och behörighetsfederation. Detta innebär att medlemmar kan använda egna lösningar för e-legitimationer, behörighetslösningar och tjänster, men ändå samarbeta. Andra medlemmar ska kunna lita på dessa lösningar utan att själva granska alla dessa i detalj. Federation baseras på ömsesidig tillit. Denna tillit grundas på att varje medlems lösning granskas av federationsoperatören, för att säkerställa att medlemmen uppfyller nödvändiga gemensamma krav på säkerhet och stabilitet. Uppfylls kraven kan samtliga övriga medlemmar därmed ha tillit till denne. Dessa gemensamma krav bör utformas så att de å ena sidan ger tillräcklig säkerhet, å andra vara rimliga att uppfylla och redovisa. Samtidigt bör kraven vara utformade så att de underlättar för en granskning, så att denna blir korrekt, rättvis och inte alltför omfattande att genomföra. Tillit och förtroende, nytt tillitsramverk v1.3 Under våren 2015 har 10 ansökningar för tillitsgranskning behandlats av Sambi. Granskningen har baserats på Sambis tillitsramverk v1.2. Vid utvärdering av granskningsarbetet har följande önskemål framförts: Ansökningsförfarandet behöver förenklas. Detta för att minska kalendertiden för att bli godkänd för medlemskap till Sambi, Säkerställ att Sambis tillitsramverk fortsatt kräver en tillräcklig säkerhet i medlemmarnas hantering av identiteter och attribut för att upprätthålla en hög tillit inom Sambi. Tillitsramverket behöver förenklas. Många av de detaljerade kraven kan tas bort. Ett tydligare krav på strukturerat säkerhetsarbete baserat på ISO/IEC 27001, eller motsvarande, gör dessa överflödiga. För att tillmötesgå kravet på ett enklare ansökningsförfarande, men med en fortsatt hög ambition för säkerhetsarbetet inom sektorn har mängden detaljkrav minskats avsevärt i tillitsramverket v1.3. I stället förtydligas kraven på tre kärnpunkterna i den sökande informationssäkerhetsarbete: Riskanalys för att identifiera hot, sårbarheter och nödvändiga säkerhetsåtgärder. Strukturerat regelverk för informationssäkerhet (ledningssystem för informationssäkerhet). Genomförande av internrevision av införandet och efterlevnaden av säkerhetsregelverket. Sambi (Samverkan för behörighet och identitet inom hälsa, vård och omsorg) Sida 43 av 85

44 Den sökande ska för granskning enligt tillitsramverket 1.3 tillhandahålla dokumentation över genomförd riskanalys, ledningssystemet för informationssäkerhet samt genomförd internrevision av efterlevnaden och införandet av säkerhetsregelverket. De nya kraven för medlemskap Sambis är samlade i bifogad Bilaga 3 Tillitsramverk, version 1.3. Målsättningen är att granskning ska kunna ske utgående från det nya tillitsramverket direkt efter sommaren (augusti). Förfrågan Sambi önskar kommentarer och synpunkter på detta Tillitsramverk. Svar 3. Synpunkter på skiftet för Sambis tillitsgranskning. Detta minskar mängden detaljerade krav och lyfter i stället fram kraven på, och granskning av, den sökandes riskanalys, ledningssystem och internrevisorn. 4. Övriga synpunkter på tillitsramverk v1.3. Sänd svar till Agneta Wistrand, agneta.wistrand@iis.se. Ert svar önskas senast Information Sambi är ett samarbete mellan ehälsomyndigheten och Inera med stöd av.se (Stiftelsen för Internetinfrastruktur), se vidare sambi.se Sambis Tillitsramverk version 1.2 finns på Frågor om remissen besvaras av Agneta Wistrand, agneta.wistrand@iis.se Sambi (Samverkan för behörighet och identitet inom hälsa, vård och omsorg) Sida 44 av 85

45 Bilaga 2: Det remitterade förslaget till Tillitsramverk Bifogat finns det remitterade förslaget till Tillitsramverk: Sambi Bilaga 3 Tillitsramverk version 1.3_remiss. Sambi Bilaga 3 - Tillitsramverk v1 3_remiss.pdf Sambi (Samverkan för behörighet och identitet inom hälsa, vård och omsorg) Sida 45 av 85

46 Bilaga 3: Listning av inkomna remissvar Punkt Datum Organisation Person SKL Ulf Palmgren KnowIT/granskningsgrupp Max Korkkinen SLL Urban Jarl KSL/SLL Jens Lindh/Carina Landberg Danderyds kommun Asos Shafeek Sollentuna kommun Martin Johnson Inera Björn Skepner HSA, Inera Allskog Christer Inera Allskog Christer Inera Kerstin Arvedson E-legitimationsnämnden Nils Fjelkegård Ulf Palmgren, SKL, Jag tycker det är OK. Max Korkkinen, Sambi granskningsgruppen, Identifierad brist Enligt krav A.4 Riskanalys och internrevision ska genomföras årligen och leda till en förbättringsplan av säkerhetsåtgärder. Detta är bra men det saknas tydligt krav i A.5 att tillhandahålla dokumentation även på förbättringsplanen. Motivering Enligt MSB så gäller att informationssäkerhetsuppdraget 2015 får myndigheterna i uppgift att i arbetet med 2015 års RSA särskilt beakta och analysera informationssäkerheten. Enligt samma informationssäkerhetsuppdrag 2015 ska inte bara en bedömning av informationssäkerheten redovisas utan även vidtagna åtgärder. Eftersom inom federationen Sambi oavsett om medlemmen är en myndighet eller en civilrättslig organisation så förväntas att båda formerna ha samma bas krav för tillit. Vidare framgår att MSB:s uppfattning är att redovisningen av åtgärder behöver följa dispositionen som föreskrivs i 8 respektive 9 i MSBFS 2015:3. Rubrikerna är hämtade från MSBFS 2015:3: 8. Genomförda, pågående och planerade åtgärder sedan föregående RSA-rapportering. Informationssäkerhetsuppdraget 2015 [Denna punkt bör redovisas så att det interna respektive externa ansvaret hålls åtskilt i rapporteringen. Här redovisas de åtgärder som vidtagits inom myndighetens verksamhet och ansvarsområde för att hantera risker och minska sårbarheter. Redovisningen behöver enbart omfatta vidtagna åtgärder av betydelse för informationssäkerhetsuppdraget Hur vidtagna åtgärder kan tolkas framgår av avsnitt 5.5. Om det i den externa analysen framkommer att vissa åtgärder har vidtagits av flera aktörer och därför kan ses som mer generella, bör detta särskilt noteras i den övergripande bedömningen. ] Sambi (Samverkan för behörighet och identitet inom hälsa, vård och omsorg) Sida 46 av 85

47 9. Behov av ytterligare åtgärder med anledning av risk- och sårbarhetsanalysens resultat. Informationssäkerhetsuppdraget 2015 [Här redovisas en översikt över identifierade behov av ytterligare åtgärder inom myndighetens verksamhet och ansvarsområde samt en övergripande bedömning av dessa.] Förslag För att förenkla för medlemmarnas interna och externa redovisning av åtgärder, så att dubbelarbete med dokumentationen minimeras och att alla medlemmar dokumenterar mot samma krav på omfattning föreslås därför att texten i tillitsramverkets bilaga 3 krav A.5 justeras till följande: A.5 Betrodd Part ska tillhandahålla dokumentation som redovisar ledningssystemet för informationssäkerhet, samt resultat av och genomförda, pågående och planerade åtgärder från genomförd riskanalys, inträffade incidenter och genomförd internrevision av efterlevnaden och införandet av säkerhetsregelverket, avseende tjänsten och dess Funktioner. Allmänt Urban Jarl, Stockholms läns landsting, Användarorganisation ansvarar för Funktionerna: Det är en sak att de ansvarar för dessa funktioner, men MEN det måste vara en Tillitsgranskning BARA för själva organisationen (på samma sätt som man avtal för tjänsterna, IdP:er, organisation, mm). Det går inte att kräva Tillitgranskningen avseende organisationen av någon annan än organisationen själv! Detta måste vara tydligt! Säkerhetsarbete A.4 Betrodd Part ska för den det tjänst som medlemskapet avser ha infört ett strukturerat säkerhetsarbete anpassat efter risker och säkerhetsbehov, bestående av: Infört är fel ord när det gäller en organisation som SLL. Bättre med tex arbetar med Information Sambi (Samverkan för behörighet och identitet inom hälsa, vård och omsorg) Sida 47 av 85

48 A.13 Betrodd Part ska tillhandahålla en Tillitsdeklaration som följer Federationsoperatören mall. Till denna ska bifogas efterfrågade dokument. Hur är det med krav på sekretess eftersom vi är olika sorters organisationer? Detta borde det stå något om. A.15 Betrodd Part ska på ett tydligt sätt informera berörda Användare, andra Betrodda Parter och Federationsoperatören om villkor för tjänsten vid nyteckning eller ändring av tjänsten. Detta gäller även ändringar av kontaktpersoner, federationsgemensamma metadata och attribut. Hur vet jag och kan kontakta dem vid tex ändring av kontaktinformation? C. Attribututgivare Om det här innebär användarkatalog så är Attribututgivare ett väldigt dåligt ersättningsord. BYT ord! Jens Lindh/Carina Landberg, KSL/SLL, En sammanställning av remissvar från Stockholms läns kommuner, samt Stockholms läns landsting (SLL) avseende nytt tillitsramverk för Sambi version 1.3. De kommuner som inkommit med svar är Sollentuna, Danderyd och Lidingö. Här följer en sammanställning av de svar som inkommit: A. Generella krav A.3: Är det ett år från avtalstecknande och anslutning till Sambi? Är det ett år från avtalstecknande med kunden där federationen är en förutsättning för att nyttja tjänsten? A.6: Vi hittar inte bilaga 6 rapportering i det utskickade materialet eller på webben. A.13: Det är otydligt vilka dokument som refereras till, samt vem som efterfrågar dokumenten. A.14: Vi tycker att det är oklart vad annan är. Vi tycker punkten generellt är oklar. A.15: Vad menas med andra betrodda parter? Vi behöver få en förklaring av syftet med punkten. Den är i sin nuvarande form oklar, framförallt när det gäller relationen till andra betrodda parter. Avtalsrelationen mellan kund och leverantör i användandet av en tjänst reglerar hur kunden får använda tjänsten även om man använder en federativ inloggning. A.16: Referensen till A.6 och A.7 är felaktig, borde troligen vara A.10 och A.11. Sambi (Samverkan för behörighet och identitet inom hälsa, vård och omsorg) Sida 48 av 85

49 Övriga synpunkter: 1. Hur hanterar vi en organisation där endast delar organisationen ska granskas? Vi kan t.ex. se detta inom kommunvärlden. Vårt förslag är att man i avtalet talar om vilken del av organisationen som tecknar avtalet. Exempel: vård och omsorgsverksamheten i en kommun går in avtalet, men behovet finns även långsiktigt för andra verksamheter. Kommunen vill stegvis kunna öka antalet verksamheter i federationen. Upplever ni att detta kan täckas av avtalet? 2. En generell synpunkt: vi ser att det här är en gemensam utveckling och förslaget är ett steg i rätt riktning. Med vänlig hälsning KOMMUNFÖRBUNDET STOCKHOLMS LÄN Jens Lindh KSL Carina Landberg SLL Asos Shafeek, Danderyds kommun, Här kommer mina synpunkter angående SAMBI-Tillitsramverk v Bra struktur som ger god översikt 2. Hoppas på en tydligare bild av det som krävs från kommuner som använder sig av SITHSkort 3. Tydligare fokus och avgränsning när det gäller Riskanalysen, rutiner i verksamheten, SITHS-kort, EK etc. 4. Håller med kommentarerna från Björn Söderlund och Martin Johanson Kommentarana fån punkt fyra ser du i mailen nedan. Citat från e-postmeddelande: Här kommer mina delar. Tänk på att jag inte är expert på sånt här- men den nivån är nog inte ovanlig i kommuner. Har också kollat Martins inspel och håller med om dem genomgående. Jag hade dock inte hittat alla dessa så bra jobbat Martin! 1. Föredömligt kort. Jag har dock bara bedömt just bifogade dokument. Faktiskt också mycket tydligare. 2. Gillar uppdelning och struktur på dokumentet. Lätt att orientera sig i. Sambi (Samverkan för behörighet och identitet inom hälsa, vård och omsorg) Sida 49 av 85

50 3. Jag tror liksom jag hävdat tidigare att det skulle behövas exempelmallar på godkänd dokumentation. Vissa delar har jag svårt att tolka hur ett rimligt svar skulle se ut. A10c tolkar jag t ex som loggar, eller är det bara beskrivningar av loggar? 4. Skulle vilja provtrycka detta för att se om det håller- det är svårt att bedöma textens betydelse och innebörd. Även om det ser relativt överkomligt när jag läser rätt upp och ner. 5. Kan man förtydliga att detta avser och omfattar de tjänster man vill ansluta sig till och inte ALL verksamhet? Scenario: Vi vill ansluta våra SITHS användare till SAMBI, men inte övrig. Det betyder väl att det är dokument och avtal relaterat till den avgränsningen som då kommer i fokus? 6. ISO eller motsvarande: Kan man förtydliga vem som avgör om motsvarande är ok för tydlighetens skull? 7. Kan man kanske punkta några (3-5 stycken) saker som minst ska omfattas av de underlag man skickar in så blir det ännu krispigare? 8. Åsså en sak där jag säkert är ute och cyklar, men A7 säger internrevision utförd av oberoende kontrollfunktion. Blir den inte extern då by default? Kanske man kan stryka intern bara för att inte förvirra? Med vänlig hälsning Björn Söderlund It-strateg Lidingö stad Från: Johnson, Martin [mailto:martin.johnson@sollentuna.se] Skickat: den 10 juni :01 Till: Jens Lindh, Tommy Almström, asos.shafeek@danderyd.se, Björn Söderlund Ämne: SV: Remissförfrågan avseende nytt tillitsramverk för Sambi Hej, Jag tänkte skriva dessa rader till.se A.3 Otydligt när man ska ha medel att bedriva verksamheten i minst ett(1) år. Är det ett år från avtalstecknande och anslutning till SAMBI? Är det ett år från avtalstecknande med kunden där federationen är en förutsättning för att nyttja tjänsten? Ponera att kunden köper IdPtjänst av leverantör är det ett år från leverantören blev medlem i SAMBI eller ett år från kundens tjänsteköp av leverantören? Sambi (Samverkan för behörighet och identitet inom hälsa, vård och omsorg) Sida 50 av 85

51 Jag tror på då kund/leverantör/medlem ansluter sig till SAMBI och blir en medlem i federationen. Det andra förhållandet är upp till kund och leverantör att avtalsskriva. A.6 Jag hittade inte bilaga 6 rapportering på SAMBIS hemsida eller i det utskickade materialet på remiss. Utan detta kan jag inte svara på A.6 A ska tillhandahålla Till denna ska bifogas efterfrågade dokument. efterfrågade av vem? I A.12 finns Användare, Tjänsteleverantör och andra uppräknade. I A.14 finns andra parter uppräknade. I A.13 är det mer otydligt. A eller annan som har ett berättigat intresse... tycker jag är vagt. Är annan medlemmar i federationen, viss typ av medlem? Informationen är ju inte så hemlig då kommuner, myndigheter och landsting redan är öppna, företag finns hos bolagsverket och andra offentliga register (typ allabolag.se). Möjligtvis kan det vara stiftelser som är svåra att få redovisning från. A.15 Jag kan tolka A.15 till att behöva informera alla i federationen om jag ändrar värdet i ett attribut på en användare. Så vill vi väl inte ha det? Kan vi tydliggöra federationsgemensamma metadata och attribut. på något bra sätt? Jag har tyvärr inget bra förslag på text. A.16 Jag tror i enlighet med A.6 och A.7. refererar till en äldre numrering. Hänvisningarna beskriver krav på process för incidenthantering och LIS för informationssäkerhet. Jag tolkar kravet att man egentligen menar A.10 och A.11, men det är min gissning. /MArtin MArtin Johnson IT-arkitekt KLK Sollentuna kommun Sambi (Samverkan för behörighet och identitet inom hälsa, vård och omsorg) Sida 51 av 85

52 Martin Johnson, Sollentuna kommun, Sambi (Samverkan för behörighet och identitet inom hälsa, vård och omsorg) Sida 52 av 85

53 Björn Skepner, Inera, Se remissvaret i separat PDF-dokument: SAMBI Bilaga 3 Tillitsramverk v1 3_remiss-BJSK.pdf Sambi (Samverkan för behörighet och identitet inom hälsa, vård och omsorg) Sida 53 av 85

54 Sambi (Samverkan för behörighet och identitet inom hälsa, vård och omsorg) Sida 54 av 85

55 Sambi (Samverkan för behörighet och identitet inom hälsa, vård och omsorg) Sida 55 av 85

56 Sambi (Samverkan för behörighet och identitet inom hälsa, vård och omsorg) Sida 56 av 85

57 Sambi (Samverkan för behörighet och identitet inom hälsa, vård och omsorg) Sida 57 av 85

58 Sambi (Samverkan för behörighet och identitet inom hälsa, vård och omsorg) Sida 58 av 85

59 Sambi (Samverkan för behörighet och identitet inom hälsa, vård och omsorg) Sida 59 av 85

60 Sambi (Samverkan för behörighet och identitet inom hälsa, vård och omsorg) Sida 60 av 85

61 Sambi (Samverkan för behörighet och identitet inom hälsa, vård och omsorg) Sida 61 av 85

62 Sambi (Samverkan för behörighet och identitet inom hälsa, vård och omsorg) Sida 62 av 85

63 Christer Allskog, HSA, Inera, Se remissvaret i separat PDF-dokument: Sambi-Bilaga-3-Tillitsramverk-v1-3_remiss (Projectplace_12285) Sambi (Samverkan för behörighet och identitet inom hälsa, vård och omsorg) Sida 63 av 85

64 Sambi (Samverkan för behörighet och identitet inom hälsa, vård och omsorg) Sida 64 av 85

65 Sambi (Samverkan för behörighet och identitet inom hälsa, vård och omsorg) Sida 65 av 85

66 Sambi (Samverkan för behörighet och identitet inom hälsa, vård och omsorg) Sida 66 av 85

67 Sambi (Samverkan för behörighet och identitet inom hälsa, vård och omsorg) Sida 67 av 85

68 Sambi (Samverkan för behörighet och identitet inom hälsa, vård och omsorg) Sida 68 av 85

69 Sambi (Samverkan för behörighet och identitet inom hälsa, vård och omsorg) Sida 69 av 85

70 Sambi (Samverkan för behörighet och identitet inom hälsa, vård och omsorg) Sida 70 av 85

71 Sambi (Samverkan för behörighet och identitet inom hälsa, vård och omsorg) Sida 71 av 85

72 Sambi (Samverkan för behörighet och identitet inom hälsa, vård och omsorg) Sida 72 av 85

73 Christer Allskog, Inera, Från Säkerhetstjänster i rollen som intygsutfärdare har vi följande kommentarer: A.4 Riskanalys o En vägledning för riskanalysen kan vara Hotkatalogen som finns dokumenterad på SAMBIs hemsida. Under er utbildning så beskrevs Riskanalysen så att den skall baseras på det urval från ISO27001 som organisationen valt ut och inkluderat i sitt LIS. Kanske kan vara bra att specificera på den nivån om nu det är en förutsättning för inträde i SAMBI. Exceldokumentet (ansökan) ligger på en hög nivå, inte så mycket detaljerad information. Därför skulle vi vilja föreslå att det finns ett eller flera (anonymiserade) ifyllda exempel att tillgå som hjälp. Det är dock inte en del av detta dokument så det tillhör formellt sätt inte granskningen men kan vara värt att nämna i en kommentar. Kerstin Arvedson, Inera, Se remissvaret från SITHS i separat PDF-dokument: Sambi-Bilaga-3-Tillitsramverk-v1-3_remiss_SITHS : Sambi (Samverkan för behörighet och identitet inom hälsa, vård och omsorg) Sida 73 av 85

74 Sambi (Samverkan för behörighet och identitet inom hälsa, vård och omsorg) Sida 74 av 85

75 Sambi (Samverkan för behörighet och identitet inom hälsa, vård och omsorg) Sida 75 av 85

76 Sambi (Samverkan för behörighet och identitet inom hälsa, vård och omsorg) Sida 76 av 85

77 Sambi (Samverkan för behörighet och identitet inom hälsa, vård och omsorg) Sida 77 av 85

78 Sambi (Samverkan för behörighet och identitet inom hälsa, vård och omsorg) Sida 78 av 85

79 Sambi (Samverkan för behörighet och identitet inom hälsa, vård och omsorg) Sida 79 av 85

80 Sambi (Samverkan för behörighet och identitet inom hälsa, vård och omsorg) Sida 80 av 85

81 Sambi (Samverkan för behörighet och identitet inom hälsa, vård och omsorg) Sida 81 av 85