...
DIGG driver ett regeringsuppdrag att etablera Ena - Sveriges digitala infrastruktur och som del av detta tas ett ramverk för organisationstillit fram. Det innehåller certifieringsordning, metodik och aktiv förvaltning. Regeringsuppdraget har som förslag att lägga till följande tillägg till definitionen av begreppet organisationstillit ovan:
...
Samverkan kring informationsutbyte baseras till stor del idag på standarder för identifiering, åtkomstbeslut, och datakryptering. Standarderna som rekommenderas att användas beskrivs av Ineras referensarkitektur för identitet och åtkomst.
TLS är den standard för transportkryptering som är dominerande idag. Dess säkerhetsnivå bygger på vilka underliggande kryptografiska algoritmer som används - vilka som är tillförlitliga ändras i takt med att datorer blir snabbare eller man hittar svagheter i algoritmerna. Man måste ha en tillförlitlig och aktivt förvaltad källa för godkända algoritmer. Källan som rekommenderas för T2-arkitekturer är Ineras anvisning för kryptering.
Vår rekommendation att man vid utformandet av sitt säkerhetsramverk utgår från de riktlinjer och det metodstöd som finns publicerat under Informationssäkerhet, cybersäkerhet och säkra kommunikationer (msb.se).
...
Dessa tre mönster stämmer väl överens med mönster som beskrivs i Referensarkitektur för identitet och åtkomst.
Åtkomstpolicy
Den digitala tjänsten behöver formulera sin åtkomstpolicy. Åtkomstpolicyn ska mappa egenskaper hos anropande part och eventuellt för slutanvändaren (åtkomststyrande attribut) mot behörigheter som krävs för olika delar av tjänstens funktionalitet.
...
Förmåga | Beskrivning |
|---|---|
Beskriv tillitsmodell för auktorisering | Ska beskriva vilka utfärdare av identitetsintyg digitala identiteter som ska godkännas inom den specifika arkitekturen samt hur tilliten för dessa upprätthålls. Man ska även beskriva om man nyttjar någon federativ åtkomst, det vill säga om man godkänner åtkomstintyg från fler olika utfärdare av åtkomstintyg samt hur tilliten för dessa upprätthålls. |
Beskriv åtkomststyrande attribut | Ska när det realiseras definiera vilken eller vilka standarder för attributhantering som ska användas, vilka attributprofiler som ska användas, samt hur informationsförsörjning av attribut kan ske. |
Beskriv åtkomstpolicyer och behörigheter | Ska definiera vilken eller vilka standarder för behörighetstilldelning som ska användas samt hur dessa ska dokumenteras. |
Beskriv åtkomstintyg | Ska definiera vilken eller vilka standarder för åtkomstintyg som ska stödjas, samt vilken nomenklatur och format intygen ska ha. |
...