Vägledning för IdP-leverantör

Vägledning för tillhandahållare av intygsfunktion: Uppfyllande av tillitsramverkets krav för Svensk e-legitimation. Senast uppdaterad 2022-10-04.

1. Inledning

Denna skrift syftar till att utgöra vägledning för Tillhandahållare av Intygsfunktion (intygsgivare) som avser att ansöka om godkännande för att ställa ut identitetsintyg med angivande av de tillitsnivåer som gäller för utfärdare av Myndigheten för Digital förvaltning (Digg) granskade och godkända e-legitimationer.

I vägledningen beskrivs de krav som är tillämpliga för Tillhandahållare av Intygsfunktion på en mer detaljerad nivå än vad som framgår av Tillitsramverket, samt ger exempel på hur den avsedda skyddsnivån kan uppnås. Vägledningen belyser också tekniska säkerhetsaspekter som är av sådan karaktär att de kan tänkas ändras förhållandevis ofta eller med kort varsel.

Det bör därför noteras att vägledningen är ett levande dokument som förväntas uppdateras i takt med teknikutveckling, omvärldskrav och förändrade risknivåer.

När Tillitsramverket hänvisar till Utfärdare av e-legitimation, avses i denna vägledning Tillhandahållare av Intygsfunktion, om inget annat anges.

2. Organisation och styrning

Övergripande krav på verksamheten

K2.1 Utfärdare av Svensk e-legitimation som inte är ett offentligt organ ska drivas som registrerad juridisk person samt teckna och vidmakthålla för verksamheten erforderliga försäkringar.

K2.2 Utfärdare av Svensk e-legitimation ska ha en etablerad verksamhet, vara fullt operationell i alla delar som berörs i detta dokument, samt vara väl insatt i de juridiska krav som ställs på denne som utfärdare av Svensk e-legitimation.

K2.3 Utfärdare av Svensk e-legitimation ska ha förmåga att bära risken för skadeståndsskyldighet samt förfoga över tillräckliga ekonomiska medel för att kunna bedriva verksamheten i minst 1 år.

Vägledning till 2.1 – 2.3

Bestämmelserna i denna del syftar till att säkerställa att intygsgivare har en stabil ekonomisk och finansiell ställning som är tillräcklig för att Digg, förlitande parter och innehavare av Svensk e-legitimation ska kunna fästa tillit till verksamhetens stabilitet och kontinuitet, samt att intygsgivaren kan hållas ansvarig vid eventuella upptäckta brister.

Gällande kraven på erforderliga försäkringar i K2.1, så avses sådana försäkringar som är nödvändiga för att säkerställa verksamhetens fortlevnad och kontinuitet vid extraordinära händelser. Om intygsgivarens finansiella ställning är sådan att försäkringar inte behövs för att täcka skador som kan tänkas uppkomma (t.ex. genom plötsliga händelser eller att intygsgivaren har befunnits skadeståndsskyldig), kan alltså kravet på försäkringar lämnas utan avseende. Bestämmelsen K2.2 innebär att intygsgivaren, redan då en granskningsaktivitet inleds, ska kunna visa på komplett kravuppfyllnad. Det ska vara möjligt att via revisionsspår följa att samtliga kontroller är införda och är effektiva. I en nyetablerad verksamhet kan det naturligtvis vara så att inga kunder i verklig mening finns anslutna till tjänsten. Då ska tjänstens kravuppfyllnad åtminstone kunna verifieras via ett rimligt antal pilotanvändare som fungerat i tillräckligt lång tid för att revisionsspår till respektive kontroll ska ha uppstått.

Kravet i K2.3 avser alltså inte reglera intygsgivarens eventuella skadeståndsansvar, utan enbart intygsgivarens förmåga att bära risken för sådan skadeståndsskyldighet.

Informationssäkerhet

K2.4 Utfärdare av Svensk e-legitimation ska för de delar av verksamheten som berörs genom tillitsramverket ha inrättat ett ledningssystem för informationssäkerhet (LIS) som i tillämpliga delar baseras på ISO/IEC 27001 eller motsvarande likvärdiga principer för ledning och styrning av informationssäkerhetsarbetet, innefattande bland annat att:

(a) Samtliga säkerhetskritiska administrativa och tekniska processer ska vara dokumenterade och vila på en formell grund, där roller, ansvar och befogenheter finns tydligt definierade.

(b) Utfärdare av Svensk e-legitimation ska säkerställa att denne vid var tid har tillräckliga personella resurser till förfogande för att uppfylla sina åtaganden.

(c) Utfärdare av Svensk e-legitimation ska inrätta en process för riskhantering som på ett ändamålsenligt sätt, kontinuerligt eller minst var tolfte månad, analyserar hot och sårbarheter i verksamheten, och som genom införande av säkerhetsåtgärder balanserar riskerna till acceptabla nivåer.

(d) Utfärdare av Svensk e-legitimation ska inrätta en process för incidenthantering som systematiskt säkerställer kvaliteten i tjänsten, former för vidarerapportering och att lämpliga reaktiva och preventiva åtgärder vidtas för att lindra eller förhindra skada till följd av sådana händelser.

(e) Utfärdare av Svensk e-legitimation ska upprätta och regelbundet testa en kontinuitetsplan som tillgodoser verksamhetens tillgänglighetskrav genom en förmåga att återställa kritiska processer vid händelse av kris eller allvarliga incidenter.

(f) Utfärdare av Svensk e-legitimation ska regelbundet utvärdera arbetet med informations­säkerheten och införa förbättringsåtgärder i ledningssystemet.

K2.5 Ledningssystemets omfattning och mognadsgrad

Nivå 4: Ledningssystemet för informationssäkerhet ska följa SS-ISO/IEC 27001:2017 eller därmed jämställbara efterföljande eller internationella versioner av standarden, och inom avgränsningen för detta inkludera samtliga krav som ställs på Utfärdare av Svensk e-legitimation.

Vägledning till K2.4 – K2.5

Kraven i K2.4 tar fasta på styrning, kontroll och uppföljning av informationssäkerhetsarbetet. Till stöd för detta bör ledningssystemstandarden ISO/IEC 27001 användas, men aktörer som implementerat likvärdiga principer för ledning och styrning av informationssäkerhetsarbetet, och som fyller bestämmelsens syfte, kan också godtas. Centralt för kravuppfyllnad är att ledningen gett bevis på sitt åtagande för att upprätta, införa, driva, övervaka, granska, underhålla och förbättra ledningssystemet, att processerna för varje steg är dokumenterade och planerade, samt att erforderliga resurser för att genomföra detta är tillsatta.

Ledningssystemets omfattning och tillämplighet ska vara dokumenterad och beslutad av ledningen genom ett uttalande om tillämplighet (statement of applicability) eller motsvarande dokument.

Processen för riskhantering ska vara dokumenterad och tillämpad, och ska bygga på en riskanalysmetodik som ger konsistenta, korrekta och jämförbara resultat. Processen ska innefatta att också utforma, införa och följa upp risklindrande åtgärder, samt utverkande av riskägarens godkännande av kvarvarande risk. Dokumentation från riskhanteringsprocessen ska bevaras för att kunna följa de resonemang som förts och skapa spårbarhet i det beslutsunderlag som ligger till grund för införande och förbättring av säkerhetsåtgärder.

För aktörer som levererar tjänster enligt tillitsnivå 4 ska ledningssystemet fullt ut leva upp till kraven i ledningssystemstandarden SS-ISO/IEC 27001:2014 eller motsvarande internationella versioner av standarderna. Kravuppfyllnad på denna nivå kan styrkas genom certifiering av ledningssystemet, genomförd av ackrediterad revisor. Om alternativa standarder eller principer tillämpas ska en analys av överensstämmelse mellan standarderna vara genomförd, för att klargöra att inga väsentliga avvikelser förekommer.

Villkor för underleverantörer

K2.6 En utfärdare av Svensk e-legitimation som på annan part har lagt ut utförandet av en eller flera säkerhetskritiska processer, ska genom avtal definiera vilka kritiska processer som underleverantören är ansvarig för och vilka krav som är tillämpliga på dessa, samt tydliggöra avtalsförhållandet i utfärdardeklarationen.

Vägledning till K2.6

Även om intygsgivare lägger ut utförandet av vissa delar av sitt åtagande på en eller flera underleverantörer, så ansvarar intygsgivaren för dessa som för egen verksamhet. Det avses innefatta samtliga krav som följer av anslutningsavtalet, bland annat att Digg bereds samma möjlighet till insyn i underleverantörs verksamhet som i den egna.

Bestämmelsen K2.6 syftar dock till att i första hand klargöra dessa eventuella under­leverantörs­förhållanden. Vilka underleverantörer som ansvarar för vilka delar ska bland annat belysas för att Digg ska kunna bedöma om det kan finnas några sårbarhetsaspekter i användandet av en leverantör, möjligen genom att flera andra intygsgivare använder samma underleverantör för utförandet av en likartad tjänst. Syftet är också att det inom avtalsförhållandet ska vara reglerat vilka uppgifter underleverantören ska svara för och att det tydligt ska framgå vilka kraven och förutsättningarna för underleverantörens åtaganden är.

Spårbarhet, gallring och handlingars bevarande

K2.7 Utfärdare av Svensk e-legitimation ska bevara

(a) ansökningshandlingar och handlingar som rör utlämnande, mottagande eller spärr av e-legitimationer,

(b) avtal, policydokument och utfärdardeklarationer, och

(c) behandlingshistorik och annan sådan dokumentation som krävs för att styrka efterlevnaden av de krav som ställs på Utfärdare av Svensk e-legitimation och som möjliggör uppföljning som visar att de säkerhetskritiska processerna och kontrollerna är införda och effektiva.

K2.8 Tiden för bevarande ska inte understiga fem år och material ska kunna tas fram i läsbar form under hela denna tid, såvida inte krav på gallring påkallas från integritetssynpunkt och har stöd i lag eller annan författning.

Vägledning till K2.7 – K2.8

Bestämmelserna i denna del syftar till att säkerställa spårbarhet i intygsgivarens verksamhet samt möjlighet till uppföljning av kravuppfyllnad. Spårbarheten är även viktig för möjlighet till uppföljning av eventuella incidenter.

Kravet i K2.7(c) bör läsas så att det innefattar att registrera och bevara spår från alla sådana händelser som kan vara av relevans för uppföljning. Det innefattar särskilt att de tekniska system intygsgivaren använder för att leverera funktionaliteten registrerar sådana händelser i en säkerhetslogg. I termen bevara bör också inläsas att den information som ska bevaras skyddas mot förvanskning och obehörig insyn.

Att information ska kunna tas fram i läsbar form under hela dess arkiveringstid innebär att information som lagras elektroniskt, ska lagras i sådant format och på sådant lagringsmedia, att det är rimligt säkerställt att den utrustning och programvara som krävs för att återsöka och återläsa informationen finns tillgänglig åtminstone fem år framåt i tiden. Kravet omfattar även uppgifter som lagrats i traditionell form på papper.

Denna bestämmelse påverkar inte intygsgivarens möjligheter att tillämpa kortare bevarandetid för spårbarhetsinformation som innehåller personuppgifter, om man anser att uppgifterna inte längre behövs efter denna tid förflutit. Att spårbarhetsinformation innehåller personuppgifter är sannolikt är fallet för den övervägande delen av all sådan information. Det är också av denna orsak den undre gränsen för bevarande är fem år, för att harmonisera med rimliga gallringstider för sådana personuppgifter. Att gränsen fem år har ansetts rimlig är bland annat att 5 års preskription gäller för brott som kan ge fängelse upp till 2 år (preskriptionstiden för bedrägeri av normalgraden är till exempel 2 år).

Samtidigt är intygsgivare fria att bestämma en längre bevarandetid om man anser sig att stöd för detta. Bestämmelsen hindrar inte heller förlitande part att bevara uppgifter om en viss händelse längre tid, då så krävs.

Granskning och uppföljning

K2.9 Utfärdare av Svensk e-legitimation ska inrätta en funktion för internrevision som periodiskt granskar utfärdarverksamheten. Internrevisorn ska vara oberoende i utförandet av uppdraget på ett sätt som tryggar en objektiv och opartisk granskning och ha den kompetens och erfarenhet som krävs för uppdraget. Internrevisorn ska självständigt planera genomförandet av revisionen och dokumentera detta i en revisionsplan som sträcker sig över en 3-årsperiod. Revisionsmoment ska väljas utifrån en risk- och väsentlighetsanalys och grundas i de beskrivningar av verksamheten som Utfärdaren lämnat till Myndigheten för digital förvaltning.

Nivå 3 och 4: Internrevisionen ska ske med utgångspunkt i vedertagna revisionsstandarder.

Vägledning till K2.9

Intygsgivare ska inrätta en oberoende funktion för internrevision som periodiskt granskar verksamheten och som är organisatoriskt separerad från verksamheten som ska granskas. Med termen internrevision avses att revisorn rapporterar internt till sin uppdragsgivare (direkt till ledningen) snarare än externt. Vanligen är internrevisorn är en externt anlitad resurs för att kunna vara oberoende i utförandet av uppdraget på ett sätt som tryggar en objektiv och opartisk granskning.

Intygsgivarens interna kontroll är central för såväl regelefterlevnad över tid som för intygsgivarens möjlighet att bedriva ett effektivt förbättringsarbete. Internrevisionen är myndighetens primära instrument för uppföljning, Digg fäster därför stor vikt vid att internrevisionen utförs med den noggrannhet och omfattning som krävs för en objektiv skärskådande granskning av intygsgivarens verksamhet.

För tillitsnivå 3 och 4 ska internrevisionen ske med utgångspunkt i vedertagna revisionsstandarder. Det innebär att internrevisorn ska arbeta enligt internationella normer för sådan yrkespraxis. Standarder för detta ändamål finns till exempel utarbetade av The Insitute of Internal Auditors. Motsvarande standarder för externrevision kan också tillämpas, till exempel ISAE 3000.

För intygsgivare som endast ger ut identitetsintyg på tillitsnivå 2 behöver revisionen inte ske med utgångspunkt i sådana revisionsstandarder. Revisionen kan därmed göras mer informell, och internrevisorn behöver inte heller ha den kompetens som krävs för att revidera enligt sådan revisionsstandard. Dock ska samtliga övriga krav som anges i K2.9 uppfyllas.

Internrevisorn ska alltså, oavsett tillitsnivå, självständigt planera genomförandet av revisionen och dokumentera detta i en revisionsplan. Revisionsmoment ska väljas utifrån en risk- och väsentlighetsanalys och grundas i de beskrivningar som intygsgivaren lämnat till Digg i samband med ansökan om att bli granskad och godkänd (samt efterföljande ändringar av och tillägg till dessa beskrivningar). Planen ska sträcka sig över treårscykler, och inom varje sådan cykel täcka in samtliga beskrivningar som lämnats i samband med ansökan. Det förväntas dock att internrevision är en återkommande aktivitet inom denna treårscykel, där områden med särskild risk granskas åtminstone årligen. Det förväntas också att revisorn följer upp identifierade avvikelser, så att de avhjälps med den skyndsamhet som krävs mot bakgrund av de ökade risker en avvikelse kan tänkas medföra.

Internrevisorn behöver därmed ha den kompetens och erfarenhet som krävs för att med rimlig säkerhet kunna påvisa att de beskrivningar som lämnats till Digg i samband med ansökan, från tid till annan, inte är behäftade med väsentliga fel. En sådan grad av visshet anses kräva en inte obetydlig insamling och verifiering av objektiva bevis. Det ställs emellertid inga krav på ett formellt uttalande i denna fråga från internrevisorns sida. Internrevisorns engagemang är därmed inte avsett att vara ett så kallat bestyrkandeuppdrag.

Resultatet av internrevisionens granskning ska dokumenteras i en internrevisionsrapport. Observerade avvikelser ska bedömas och klassificeras utifrån bedömd risk. Rapporten ska även omfatta rekommendationer och förslag till förbättringar.

3. Fysisk, administrativ och personorienterad säkerhet

K3.1 För verksamheten centrala delar ska skyddas fysiskt mot skada som följd av miljörelaterade händelser, otillåten åtkomst eller andra yttre störningar. Tillträdeskontroll ska tillämpas så att åtkomst till känsliga utrymmen är begränsad till behörig personal, att informationsbärande media förvaras och utmönstras på ett säkert sätt, samt att tillträde till dessa skyddade utrymmen kontinuerligt övervakas.

Vägledning till K3.1

Alla verksamhetsställen som inhyser utrustning eller informationsbärande media där känsliga uppgifter behandlas eller lagras (tillfälligt eller mer permanent) anses kräva ett omfattande och heltäckande fysiskt skydd för att förhindra informationsförlust eller röjande av sådana känsliga uppgifter till obehöriga.

Det fysiska (mekaniska) skyddet ska vara så pass fördröjande att det reaktiva skyddet (t.ex. skalskydd och försåtsskydd) kan verka genom att påkalla uppmärksamhet från bevakningsbolag, polis, etc., som i sin tur hinner avvärja intrånget. En mer avlägsen driftanläggning kan därför anses kräva ett starkare mekaniskt skydd, jämfört med en driftanläggning där väktare finns till hands dygnet runt.

Det fysiska skyddet bör inordnas i lager av stegvis högre säkerhetsgrad. Enligt detta resonemang bör utrymmen för utrustning som lagrar t.ex. kryptografiskt nyckelmaterial placeras i sådana inre lager som åtnjuter den högsta graden av skydd, och dit endast den personal har tillträde som oundgängligen behöver det för att kunna fullgöra sina arbetsuppgifter.

De normer som utarbetats av Svenska Stöldskyddsföreningen (SSF), kan utnyttjas av intygsgivare för att dimensionera mekaniskt inbrottsskydd och inbrottslarm för skyddade utrymmen. Det mekaniska inbrottsskyddet bör då som regel uppfylla SSF 200 skyddsklass 2, och ha ett larmskydd som uppfyller SSF 130 larmklass 2.

K3.2 Innan en person antar någon av de roller som identifierats i enlighet med K2.4(a), och som är av särskild betydelse för säkerheten, ska Utfärdaren av Svensk e-legitimation ha genomfört bakgrundskontroll i syfte att förvissa sig om att personen kan anses vara pålitlig samt att personen har de kvalifikationer och den utbildning som krävs för att på ett säkert och betryggande sätt utföra de arbetsuppgifter som följer av rollen.

Vägledning till K3.2

Med betrodda roller avses sådana roller av särskild betydelse för säkerheten i intygsgivarverksamheten. Personer som antar en betrodd roll ska ha genomgått en lämplighetsprövning. Denna prövning syftar till att säkerställa att den person som ska anta en betrodd roll kan anses vara lojal mot de intressen som ska skyddas, vara pålitlig från säkerhetssynpunkt samt ha de kvalifikationer och färdigheter som krävs för att fullgöra arbetsuppgifterna på ett säkert och betryggande sätt.

För intygsgivare vars verksamhet omfattas av Säkerhetsskyddslagens (2018:585) bestämmelser kan placering i säkerhetsklass med grundutredning och registerkontroll vara ett sätt att uppfylla kraven.

Om verksamheten däremot inte omfattas av lagen kan det inte heller bli aktuellt med registerkontroller. Rutinerna i övrigt bör emellertid utformas på likvärdigt sätt. En grundutredning ska ske om personliga förhållanden av betydelse för lämplighetsprövningen. En sådan utredning avses omfatta att verifiera akademiska meriter, kontroll av tidigare anställningar, kontakt av både angivna och icke-angivna referenspersoner samt en ekonomisk riskbedömning av personen. Det ska även genomföras en intervju för att klara ut eventuella oklarheter i inhämtat underlag och identifiera potentiella riskbeteenden. Delar av prövningen kan behöva upprepas med vissa intervall, vilket även bör framgå av den process man dokumenterar.

Dokumentation från lämplighetsbedömningen ska bevaras i de fall den mynnat i att personen anses vara pålitlig från säkerhetssynpunkt. Sådan dokumentation kan innehålla känsliga personuppgifter. Personuppgiftsansvarig beslutar utifrån gällande lagstiftning hur dessa uppgifter får bevaras, behandlas och hur de ska skyddas.

Personer i betrodda roller ska också ha fått den utbildning som krävs för uppgiften, och kunskapen måste upprätthållas över tid. Det är därför inte lämpligt att nyanställda eller tillfällig personal på egen hand fullgör de uppgifter som är förknippade med utgivning av identitetsintyg, även om de skulle ha fått vad som kan anses vara tillräcklig utbildning i fullgörandet av de arbetsmoment som krävs av rollen.

K3.3 Utfärdare ska ha rutiner som säkerställer att endast särskilt bemyndigad personal har åtkomst till de uppgifter som samlas in och bevaras i enlighet med K2.7.

Vägledning till K3.3

De uppgifter som ska samlas in och bevaras i enlighet med K2.7 innefattar behandlingshistorik som registreras i säkerhetslogg från de aktuella systemen. Uppgifterna kan också vara av integritetskänslig karaktär. Säkerhetsloggen ska kunna användas för att genomföra regelbunden och systematisk uppföljning och kontroll, i syfte att upptäcka anomalier och säkerställa att otillåten åtkomst till system och information inte förekommit.

Intygsgivare ska därför säkerställa att den personal som har tillgång till den tekniska systemmiljön inte har tillgång till säkerhetsloggen, och att det alltså i denna del finns en separation av arbetsuppgifter.

K3.4 Nivå 3 och 4: Utfärdare ska genom hela kedjan i utfärdandeprocessen säkerställa att separation av arbetsuppgifter tillämpas på ett sådant sätt att ingen ensam person har möjlighet att tillskansa sig en e-legitimation i en annan persons namn.

Vägledning till K3.4

För tillitsnivå 3 och 4 ställs särskilt rigorösa krav kring separation av arbetsuppgifter i verksamheten. Inte i något led ska en person ensam kunna kringgå, upphäva eller annars åsidosätta säkerhetskontrollerna på ett sådant sätt att risker uppträder i förlitandeledet.

Detta innefattar att ordna rutiner, processer och den tekniska infrastrukturen på ett sådant sätt att missbruk av kritiska komponenter inte kan förekomma utan att flera personer agerar i samförstånd. Särskilt kritiska delar utgörs naturligtvis av intygsgivningsfunktionen. Kravet omfattar dock även möjlighet till missbruk av det systemstöd som omgärdar verksamheten. Kritiska komponenter utgörs vanligen av nyckelmaterial som krävs för kommunikation mot delsystem, intygsgivningsfunktionen i sig samt de lagringssystem och databaser som dessa system nyttjar.

4. Teknisk säkerhet

K4.1 Utfärdare av Svensk e-legitimation ska säkerställa att de tekniska kontroller som finns införda är tillräckliga för att uppnå den skyddsnivå som bedöms nödvändig med hänsyn till verksamhetens art, omfattning och övriga omständigheter, och att dessa kontroller fungerar och är effektiva.

Vägledning till K4.1

Tekniska styrmedel och kontroller ska tillämpas för att säkerställa integritet, sekretesskydd, tillgänglighet och spårbarhet i de system och i den information som systemen behandlar. Kontrollernas effektivitet ska regelbundet utvärderas som del i förbättringsarbetet.

Förutom de tvingande åtgärder som anges i K4.2-K4.4, ska intygsgivaren utforma och införa de skyddsåtgärder denne anser vara lämpliga och tillräckliga mot bakgrund av riskanalysen och de uppsatta riskacceptanskriterierna. Principer som bör tillämpas är djupledsförsvar och överlappande säkerhetsåtgärder. Detta innefattar bl.a. krypteringsåtgärder, styrmedel för nätverkskommunikation i flera nivåer och restriktiv åtkomstkontroll till systemresurser och informationstillgångar.

Riskanalysen förväntas identifiera identitetsintygsfunktionen (avsnitt 8 i tillitsramverket) som särskilt utsatt för risk, då denna i normalfallet har en hög exponeringsgrad samtidigt som säkerhetsberoendet till denna är mycket stort. Särskilt rigorösa fysiska och logiska säkerhetskontroller förväntas omgärda denna del, där intygsgivaren utnyttjat alla tillgängliga medel för att förhindra, försvåra och upptäcka säkerhetsöverträdelser.

K4.2 Elektroniska kommunikationsvägar som nyttjas i verksamheten för överföring av känsliga uppgifter ska skyddas mot insyn, manipulation och återuppspelning.

Vägledning till K4.2

Säkerhetskritisk kommunikation till-, från- eller mellan fysiskt skyddade utrymmen kräver skydd mot avlyssning och förvanskning. Vanligen är det effektivare att tillämpa starka kryptografiska metoder för att skydda sådan kommunikation, snarare än att fysiskt skydda anslutningarna längs hela deras sträckning. Skydd av kommunikation avses kunna tillämpas både som skydd av meddelanden eller som skydd endast under transport (transportskydd). Det krävs dock alltid att de kommunicerande parternas identitet är ömsesidigt säkerställd. Säkerhetsprotokoll som används för skydd av kommunikation ska bygga på starka kryptografiska metoder. Autentiseringsmekanismen och hanteringen av de uppgifter som ligger till grund för autentiseringen måste säkerhetsmässigt motsvara minst samma skyddsnivå som de e-legitimationer som systemet hanterar.

K4.3 Känsligt kryptografiskt nyckelmaterial som används för att utfärda e-legitimationer, identifiera innehavare och ställa ut identitetsintyg ska skyddas så att:

(a) åtkomst begränsas, logiskt och fysiskt, till de roller och de tillämpningar som oundgängligen kräver det,

(b) nyckelmaterialet aldrig lagras i klartext på beständigt lagringsmedia,

(c) nyckelmaterialet skyddas genom användning av kryptografisk hårdvarumodul med aktiva säkerhetsmekanismer som motverkar mot både fysiska och logiska försök att röja nyckelmaterialet,

(d) säkerhetsmekanismerna för skydd av nyckelmaterial är genomlysta och baserade på erkända och väletablerade standarder; och

(e) Nivå 3 och 4: aktiveringsdata för skydd av nyckelmaterial hanteras genom flerpersonkontroll.

Vägledning till K4.3

Med kryptografiskt nyckelmaterial avses här sådant nyckelmaterial som används för att autentisera användare samt utfärda identitetsintyg enligt K8.1. Nyckelmaterial som till exempel används i nätverksutrustning och för skydd av kommunikation avses inte omfattas av kraven.

Sådant nyckelmaterial som omfattas av kraven i K4.3, ska skyddas genom användande av kryptografisk hårdvarumodul som erbjuder såväl logiskt som fysiskt skydd. Hårdvarumodulens säkerhetsfunktioner ska vara trovärdiga, innebärande att de ska vara baserade på välkända standarder och principer, samt vara genomlysta av erkänt och fristående granskningsorgan. I det är det lämpligt att använda produkter som är certifierade enligt t.ex. Common Criteria (ISO/IEC15408)*, ISO/IEC 19790:2006 eller FIPS 140-3 (nivå 3 eller högre).

Åtkomst till hårdvarumodulerna och den tekniska och fysiska omgivning där de finns installerade ska begränsas till de personer vars arbetsuppgifter kräver det. För nivå 3 och uppåt ska aktivering av nyckelmaterialet ske genom minst två personer i förening.

*Vid produktcertifiering enligt Common Criteria (ISO/IEC15408) avses att detta ska göras gentemot en för ändamålet utformad skyddsprofil (PP), t.ex. CWA 14167-2, av ett certifieringsorgan erkänt inom Common Criteria Recognition Arrangement (CCRA) och/eller Senior Officials Group Information Systems Security Mutual Recognition Agreement (SOGIS-MRA).

K4.4 Utfärdare ska ha infört dokumenterade rutiner som säkerställer att erforderlig skyddsnivå i IT-miljön kan upprätthållas över tid och i samband med förändringar, innefattande regelbundna sårbarhetsundersökningar samt ändamålsenlig beredskap för att möta förändrade risknivåer och inträffade incidenter.

Vägledning till K4.4

Bestämmelsen omfattar de ingående IT-systemens hela livscykel, från utveckling eller anskaffning, till konfiguration, drift, ändring och avveckling. Samtliga dessa delar ska vila på en formell dokumenterad grund. IT-systemet och dess omgivning ska övervakas för att på ett tidigt stadium kunna upptäcka avvikelser och anomalier. Processer ska inrättas som säkerställer kontinuerlig omvärldsbevakning och att omedelbara preventiva och reaktiva åtgärder kan vidtas som svar på förändrade risknivåer eller uppkomna incidenter. Detta innefattar att intygsgivaren regelbundet ska genomföra sårbarhetsundersökningar av olika slag för att utvärdera den tekniska säkerheten i systemet.

5. Ansökan, identifiering och registrering

Detta avsnitt utgår för Tillhandahållare av Intygsfunktion men rubriken lämnas kvar i denna vägledning för att numreringen i vägledningen ska överensstämma med den som gäller för Utfärdare av Svensk e-legitimation.

6. Utfärdande och spärr av e-legitimation

Detta avsnitt utgår för Tillhandahållare av Intygsfunktion men rubriken lämnas kvar i denna vägledning för att numreringen i vägledningen ska överensstämma med den som gäller för Utfärdare av Svensk e-legitimation.

7. Kontroll av innehavares elektroniska identiteter

Detta avsnitt i tillitsramverket behandlar den tekniska process, ofta benämnd autentisering, genom vilken en innehavare av en e-legitimation uppger och bevisar sin identitet.

K7.1 Utfärdare av Svensk e-legitimation ska säkerställa att det vid verifieringen av innehavarens identitet sker tillförlitliga kontroller av e-legitimationshandlingens äkthet och giltighet.

Vägledning till K7.1

Kraven i K7.1 tar fasta på att autentiseringsprocessen som nyttjas när en e-legitimation används och ska innefatta sådana kontroller som dels säkerställer att e-legitimationen ifråga är äkta, dels att den inte är spärrad eller att dess giltighetstid har löpt ut.

K7.2 Utfärdare av Svensk e-legitimation ska säkerställa att tekniska säkerhetskontroller införts vid verifiering av innehavares elektroniska identiteter så att det är osannolikt att utomstående genom gissning, avlyssning, återuppspelning eller manipulation av kommunikation kan forcera skyddsmekanismerna.

Vägledning till K7.2

Kraven i K7.2 innebär att användarnas kommunikation vid autentiseringstillfället ska skyddas kryptografiskt. Då autentiseringen sker mot en intygutgivningstjänst innefattar dessa krav även att tjänsten ska kunna identifieras av användaren på ett säkert sätt. Det ska i möjligaste mån vara uppenbart för användaren att denne kommunicerar med intygsgivaren, och i detta ska de medel som står till buds användas. Detta bör innefatta att förebygga och förhindra att användaren förleds att identifiera sig mot fel part.

8. Utställande av identitetsintyg

Intygsgivare ska även efterleva bestämmelserna i detta avsnitt.

K8.1 Utfärdare av Svensk e-legitimation ska säkerställa att tjänsten för utställande av identitetsintyg har god tillgänglighet samt att utlämnande av identitetsintyg föregås av en tillförlitlig identifiering i enlighet med bestämmelserna i avsnitt 7.

Nivå 4: Intygen ska innefatta en referens till kryptografiskt nyckelmaterial som utfärdaren verifierat att endast innehavaren förfogar över.

Vägledning till K8.1

Kravet i K8.1 innefattar även att intygsutgivningstjänsten, inför utställande av ett identitetsintyg, med positivt resultat ska ha genomfört en tillförlitlig autentisering i enlighet med avsnitt 7. För att säkerställa att innehavare kan använda sina e‑legitimationer då de behövs, ska utfärdare också ha ändamålsenlig beredskap för att hantera stunder av exceptionell belastning och försök till överbelastningsangrepp i de delar som rör intygsutgivningstjänsten.

För utställande av identitetsintyg på tillitsnivå 4 krävs även att identitetsintygen innefattar en referens som går att härleda till en kryptografisk nyckel som utfärdaren vid tidigare tillfälle verifierat att innehavaren har kontroll över. Vanligen är denna nyckel samma nyckel som används för att upprätta transportskyddet, vilket dock inte med nödvändighet måste vara samma nyckelmaterial som används för att autentisera användaren i intygsgivningsfunktionen.

Syftet med skyddet är att förhindra att en mellanhand som förmår snappa upp ett identitetsintyg obehörigen kan använda detta. Denna variant av identitetsintyg benämns ibland HoK-intyg (Holder-of-Key). Det ska tilläggas att det är frivilligt för förlitande e-tjänst att begära och verifiera denna information.

K8.2 Lämnade identitetsintyg ska vara giltiga endast så länge som det krävs för att användaren ska kunna beredas tillgång till den efterfrågade e‑tjänsten, samt skyddas så att informationen endast är läsbar för den avsedda mottagaren och att de som tar emot intygen kan kontrollera att intygen är äkta.

Vägledning till K8.2

Digg publicerar från tid till annan genom det tekniska ramverket de format och övriga förutsättningar som råder för utformningen av identitetsintyg, samt ombesörjer den distribution av de kryptografiska nycklar som krävs för verifiering av äkthetsskydd (av begäran om intyg samt de intyg som ställs ut) och för kryptering av identitetsintygen. Intygsgivarens egna konfidentiella nyckelmaterial ska hanteras och skyddas i enlighet med K4.3.

K8.3 Utfärdare av Svensk e-legitimation, ska med hänsyn till riskerna för missbruk av intygstjänsten, begränsa den tidsperiod inom vilken flera på varandra följande identitetsintyg kan ställas ut för en viss innehavare, innan denne på nytt ska identifieras i enlighet med bestämmelserna i avsnitt 7.

Vägledning till K8.3

Den maximala tid under vilken användaren tillåts göra single-sign-on ska begränsas i enlighet med de föreskrifter som Digg från tid till annan publicerar i det tekniska ramverket.

Hjälpte denna information dig?

Ditt svar hjälper oss att förbättra sidan

Senast uppdaterad: