BILAGA 3 Tillitsramverk Version: 2.1

Relevanta dokument
BILAGA 3 Tillitsramverk Version: 2.02

BILAGA 3 Tillitsramverk

BILAGA 3 Tillitsramverk Version: 1.3

Tillitsdeklaration Version: 2.1 Ska användas vid tillitsdeklaration enligt Sambi Tillitsramverk version 2.1

BILAGA 3 Tillitsramverk Version: 1.2

Version: 2.0 Ska användas vid tillitsdeklaration enligt Sambi Tillitsramverk version 2.01

Version: Ska användas vid tillitsdeklaration enligt Sambi Tillitsramverk version 1.3.1

Granskningsinstruktioner och checklista för Tillitsgranskare

Granskningsinstruktion och checklista för Tillitsdeklaration

Sambis tillitsarbete Staffan Hagnell, Internetstiftelsen

Målgrupper för Sambi ... Privata omsorgsgivare Apoteksaktörer. Kommuner. Veterinärer Landsting. Tandläkare Privata vårdgivare.

BILAGA 1 Definitioner Version: 2.01

BILAGA 5 - Fö reskrifter fö r Sambiömbud Versiön: 1.0.1

BILAGA 1 Definitioner Version: 2.02

Tillitsramverket. Detta är Inera-federationens tillitsramverk.

BILAGA 1 Definitioner

BILAGA 1 Definitioner

Tillitskrav för Valfrihetssystem 2017 E-legitimering

Introduktion. September 2018

Lennart Beckmanä Beckman Security.

Tillitsramverk för Svensk e-legitimation. 1 (11) Ref.nr: ELN-0700-v1.2 Tillitsramverk för Svensk e-legitimation

Lennart Beckmanä Beckman Security.

Anslutningsavtal för medlemskap i Sambi

Tillitsramverk ÄRENDENUMMER: Tillitsramverk. för kvalitetsmärket Svensk e-legitimation. Version digg.se 1

Lennart Beckmanä Beckman Security.

Tillitsramverk för Svensk e-legitimation

Mö tesanteckningar fra n Sambis arbetsgrupp

Frågor och svar. Frågor kring åtkomstlösning

BILAGA 4 - Fö reskrifter fö r Sambis Federatiönsöperatö r Versiön: 2.0.1

BILAGA 3 Tillitsramverk Version 0.8

Säkerhet och Tillit vid elektronisk identifiering. Fredrik Ljunggren

ehälsomyndighetens nya säkerhetslösning

Sammansta llning av remissvar och rekommendation till nytt Tillitsramverk fo r Sambi

BILAGA 4 - Fo reskrifter fo r Sambis Federationsoperato r

Sambiombudsavtal. 1 Inledning

BILAGA 2 Tillitsramverk Version 1.0

Allmänna villkor för infrastrukturen Mina meddelanden

Tillitsdeklarationen och revisionsprocessen. Åsa Wikenståhl Efosdagen

Säkerhetsgranskning

Tillitsramverk och granskning April 2014

Anslutningsavtal för medlemskap i Sambi

Tillitsgranskningsavtal

TJÄNSTEBESKRIVNING FÖR SAMBIS TILLITSGRANSKNINGSTJÄNST

Allmänna villkor för infrastrukturen Mina meddelanden

Innehåll 1(14) Granskningsdokumentation

Tillitsramverk för E-identitet för offentlig sektor

Finansinspektionens författningssamling

Tillitsramverk. Identifieringstjänst SITHS

AVTAL FÖR MEDLEMSKAP I SKOLFEDERATION För Tjänsteleverantör

Internetstiftelsen i Sverige.

Tillitsgranskningsavtal

Svensk e-legitimation

Vad händer här och nu? E-legitimationsnämndens aktiviteter

Myndigheten för samhällsskydd och beredskaps författningssamling

AVTAL FÖR MEDLEMSKAP I SKOLFEDERATION. För Användarorganisation

E-legitimering och e-underskrift Johan Bålman esam

Policy. Policy för informationssäkerhet och personuppgiftshantering i Herrljunga kommun DIARIENUMMER: KS 47/2018 FASTSTÄLLD: VERSION: 1

Strukturerat informationssäkerhetsarbete

Elevlegitimation ett konkret initiativ.

Regelverk. Infrastrukturen för vidareförmedling av grundläggande uppgifter om företag. Bilaga D. Personuppgiftsbiträdesavtal. Version: 2.

Underlag till möte om Sambis testbädd och pilotverksamhet

Tekniskt ramverk för Svensk e- legitimation

Sambi och Sambis roll Håkan Josefsson Service Manager, Apotekens Service AB

Myndigheten för samhällsskydd och beredskaps författningssamling

Nuvarande MSBFS 2009:10 Förslag till ny föreskrift Tillämpningsområde Tillämpningsområde 1 1 första stycket 2 1 andra stycket 3 2 första stycket

TJÄNSTEBESKRIVNING FÖR SAMBIS FEDERATIONSTJÄNST

Skåne läns författningssamling

eidas i korthet Eva Sartorius

Tekniskt ramverk för Svensk e-legitimation

Tillitsregler för Valfrihetssystem 2018 E-legitimering

Mötesunderlag till Sambis arbetsgrupp

Finansinspektionens författningssamling

Styrande dokument. Riktlinjer för dataskydd. Fastställd av Kommunstyrelsen. Senast reviderad av Gäller från och med

Identifieringstjänst SITHS. - Beskrivning och tjänstespecifika villkor

Transportstyrelsens föreskrifter om hantering av krypteringsnycklar och certifikat för tillverkning av digitala färdskrivare;

Finansinspektionens författningssamling

Finansinspektionens författningssamling

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

Pratpunkter. Siths och Efos godkänd som Svensk e-legitimation Sambi Förtida utbyte av kort Prisbild för Efos.

Anteckningar från Sambis arbetsgrupp

Introduktion till eidas. Dnr: /

Riktlinjer för dataskydd

ehälsomyndighetens nya säkerhetslösning

eidas-förordningens krav det juridiska perspektivet Anna Månsson Nylén

RUTIN FÖR RISKANALYS

Finansinspektionens författningssamling

Välkommen som Sambi-kund!

Förslag till Myndigheten för samhällsskydd och beredskaps allmänna råd och kommentarer om krav på informationssäkerhet.

Styrande dokument. Policy och riktlinje för hantering av personuppgifter i Göteborgs Stad

Utveckling av Skolfederations tillitshantering

Regionalt samarbete. Tillit Federativ lösning för identitets och behörighetshantering

Policy. Dataskyddspolicy. För kommunstyrelse och nämnder KS Föreskrifter Plan. Program Reglemente Riktlinjer Strategi Taxa

Policy för informations- säkerhet och personuppgiftshantering

Sweden Connect ÖVERENSKOMMELSE. med förlitande myndighet beträffande funktioner för elektronisk identifiering UTKAST kl.

Viktiga steg för gränsöverskridande e-legitimation

Bilaga 1 Allmänna villkor för Socialnämnds anslutning till Sammansatt Bastjänst Ekonomiskt Bistånd (SSBTEK)

Avtal om Kundens användning av Identifieringstjänst SITHS

Internetstiftelsens remissvar på betänkandet Ett säkert statligt ID-kort - med e-legitimation

Principer för digital samverkan i Stockholms län PRINCIPER FÖR DIGITAL SAMVERKAN

Tillsyn över säkerhetsarbete hos underleverantör

Transkript:

BILAGA 3 Tillitsramverk Version: 2.1 Innehåll Inledning... 2 Läs tillitsramverket så här... 2 A. Generella krav... 3 Övergripande krav på verksamheten... 3 Säkerhetsarbete... 3 Kryptografisk säkerhet... 3 Ansvar för användning av Underleverantörer... 3 Handlingars bevarande... 4 Informationsplikt... 4 B. E-legitimationsutfärdare... 4 C. Attribututgivare... 4 D. Identitetsintygsutgivare... 4 E. Tjänsteleverantör... 5 F. Sambiombud... 5 Övergripande krav på verksamheten... 5 Tillitsgranskning av anslutna er... 5 Incidenthantering... 6 Revisionshistorik... 6 V. 2.1 Sida 1 av 6

Inledning Syftet med detta tillitsramverk är att skapa tillit mellan medlemmar avseende användares elektroniska identiteter och behörighetsstyrande attribut, samt att skydda användares personliga integritet. Tillitsramverket specificerar de säkerhetskrav som ställs på medlemmar och andra betrodda parter. Tillitsramverkets begrepp finns definierade i Bilaga 1 Definitioner. Läs tillitsramverket så här Tillitsramverkets krav är uppdelade i sex avsnitt. Avsnitten (kolumnerna) är tillämpliga för rollerna (raderna) enligt tabellen nedan. A. Generella krav B. E-legitimationsutfärdare C. Attributsutgivare D. Identitetsintygsutgivare E. Tjänsteleverantör F. Sambiombud krav - - Sambiombud Tjänsteleverantör Underleverantör - - - krav - - Valbar Valbar Valbar Valbar - V. 2.1 Sida 2 av 6

A. Generella krav Övergripande krav på verksamheten A.1 Betrodd Part som inte är ett offentligt organ ska drivas som registrerad juridisk person samt teckna och vidmakthålla för verksamheten erforderliga försäkringar. A.2 Betrodd Part ska ha en etablerad verksamhet och vara fullt operationell i alla delar som berörs i detta dokument. Säkerhetsarbete A.3 Betrodd Part ska för den Funktion Tillitsdeklarationen avser ha infört ett strukturerat säkerhetsarbete anpassat efter risker och säkerhetsbehov, bestående av: (a) Riskanalys avseende den Funktion som Tillitsdeklarationen avser. Denna ska ta hänsyn till skyddsvärde, befintliga skyddsåtgärder och legala krav. Riskanalysen ska omfatta analys av hot och sårbarheter, samt sannolikhet och konsekvens (skada) på Användare, den egna organisationen, andra Medlemmar och Federationsoperatören. Riskanalysen ska genomföras årligen och leda till en förbättringsplan innehållande rekommenderade säkerhetsåtgärder. (b) Ett ledningssystem för informationssäkerhet (LIS) för Funktionen baserat på ISO/IEC 27001. Säkerhetsåtgärderna ska hantera riskerna enligt riskanalysen för Funktionen. (c) Genomförd internrevision av införandet och efterlevnaden av ledningssystemet för informationssäkerhet (b). Ledningssystemet för informationssäkerhet och efterlevnaden av de krav som ställs i detta Tillitsramverk ska minst en gång per treårsperiod vara föremål för internrevision, utförd av en till Funktionen oberoende kontrollfunktion. A.4 Betrodd Part har inrättat en process för incidenthantering i enlighet med de av Federationsoperatören angivna instruktionerna. Kryptografisk säkerhet A.5 Betrodd Part ska skydda Funktionen mot obehörig åtkomst. Ansvar för användning av Underleverantörer A.6 Betrodd Part som, i delar eller helhet, lägger ut utförande av Funktionen på Underleverantör är, oavsett avtalsform, ansvarig för Underleverantörens uppfyllande av kraven i Tillitsramverket och ska på begäran informera om vilka delar av Funktionen som är utlagda. V. 2.1 Sida 3 av 6

Handlingars bevarande A.7 Betrodd Part ska, i tillämpliga delar, bevara: (a) avtal, (b) styrande dokument, (c) handlingar som rör förändringar av uppgifter hänförliga till Användare, Attribut och Metadata, och (d) övrig dokumentation som stöder efterlevnaden av de krav som ställs på denne, och som visar att de säkerhetskritiska processerna och kontrollerna fungerar. A.8 Tiden för bevarande ska inte understiga tre år och material ska kunna tas fram i läsbar form under hela denna tid, såvida inte krav på gallring påkallas från integritetssynpunkt och har stöd i lag eller annan författning. Informationsplikt A.9 Betrodd Part ska informera Federationsoperatören vid incidenter, samt vid ändringar av kontaktpersoner och federationsgemensamma metadata. på användarorganisationer B. E-legitimationsutfärdare B.1 E-legitimationsutfärdare ska (a) vara godkänd av Myndigheten för digital förvaltning (DIGG) i enlighet med Tillitsramverket för Svensk e-legitimation eller (b) vara anmäld av annat land enligt EU:s eidas-förordning. C. Attribututgivare C.1 Informationsinnehållet i Attribut ska vara korrekt, aktuellt samt verifierat mot ursprungskällan. C.2 Förändringar av informationsinnehållet i Attribut ska gå att spåra avseende tidpunkt för förändring och vem som utfört förändringen. D. Identitetsintygsutgivare D.1 Betrodd Part som tillhandahåller tjänst för utgivning av Identitetsintyg ska se till att denna tjänst har god tillgänglighet och att utlämnande av Identitetsintyg föregås av en tillförlitlig kontroll av att den angivna Användarens Elektroniska identitet och Attribut är giltiga. V. 2.1 Sida 4 av 6

D.2 Tillitsnivå ska anges i identitetsintyget. Hur Tillitsnivå anges och tolkas ska följa specifikation från Myndigheten för digital förvaltning (DIGG). D.3 Lämnade Identitetsintyg ska vara giltiga endast så länge som det krävs för att Användaren ska få tillgång till den efterfrågade E-tjänsten. D.4 Informationen i identitetsintyg ska skyddas mot obehörig åtkomst. D.5 Identitetsintyg ska utfärdas på ett sådant sätt så att Tjänsteleverantören kan kontrollera att mottagna intyg är äkta. D.6 Identifierad Användares inloggningssession mot intygsutgivningstjänsten ska tidsbegränsas, varefter en ny identifiering av Användaren ska ske i enlighet med D.1. på övriga roller E. Tjänsteleverantör E.1 Tjänsteleverantör ska ha en dokumenterad rutin för publicering av Attribut och Tillitsnivåer som används för Tjänstens behörighetskontroll. E.2 Tjänsteleverantör ska skydda Användares identitet och tillhörande Attribut. E.3 Tjänsteleverantör ska informera Användare om informationen sprids eller används på annat sätt än för behörighetsstyrning. F. Sambiombud Övergripande krav på verksamheten F.1 Sambiombudet ska ha erforderliga försäkringar samt förfoga över tillräckliga ekonomiska medel för att kunna bedriva verksamheten vidare i minst 1 år. Tillitsgranskning av anslutna er F.2 Sambiombudet ska ha väl dokumenterade rutiner för att säkerställa att anslutna er uppfyller Tillitsramverket, samt aktuella Tillitsdeklarationer för samtliga er. Dessa rutiner ska minst omfatta kraven i Bilaga 5, Föreskrifter för Sambiombud, till Sambiombudsavtalet. Sambiombudet ska kunna visa att dessa rutiner tillämpas och efterlevs. Om en för sin kravuppfyllnad använder ytterligare riktlinjer utfärdade av Sambiombudet ska denne säkerställa att dessa följs och uppfylls. V. 2.1 Sida 5 av 6

Incidenthantering F.3 Sambiombudet ska ha väl dokumenterade rutiner för hantering av incidenter i den egna verksamheten och hos sina er. Dessa ska minst omfatta att: informera Federationsoperatören om det inträffade, vidta åtgärder för att återställa förtroende, och bistå Medlemmen i dess arbete att återskapa förtroendet för Medlemmens Elektroniska identiteter och Attribut. Revisionshistorik Revisionshistorik Version Datum Författare Kommentar 1.0 2013-09-23 Staffan Hagnell Första utgåva 1.1 2014-11-04 Staffan Hagnell Ändringar enligt arbetsgruppens förslag 1.2 2014-11-26 Staffan Hagnell Sista stycket under Allmänt tillagt 1.3 2015-09-17 Staffan Hagnell Ändringar enligt remissammanställningen och styrgruppens beslut 2.0 2017-10-06 Staffan Hagnell Revidering av Tillitsramverket inför införandet av Sambiombud och synpunkter inkomna från remissen 2017-08-17. 2.01 2017-10-10 Staffan Hagnell Ändrade Funktion till funktion, då detta inte är en definierad term. 2.0.2 2018-04-04 Staffan Hagnell Förtydliganden efter den första granskningen av ett Sambiombud. Ändra texten tjänst och dess funktioner till funktioner 2.1 2018-11-28 Eva Sartorius Förenklat texter. Ändrat funktion till Funktion efter tillägg i bilaga Definitioner. Ändrat skrivning om e- legitimationsutfärdare (B.1). Lagt till punkt om att DIGG är normerande för tillitsnivåer (D.2). Skrivmässigt delat upp punkten om skydd mot obehörig åtkomst och åtgärder för äkthet i två (D.4 och D.5). V. 2.1 Sida 6 av 6

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss