...
Som ett led i det pågående policyarbetet har SWAMID Operations tillsammans med SUNET CERT tagit fram en ny incidenthateringsrutin för SWAMID som är baserad på eduGAIN Security Incident Response Handbook. Orsaken till att arbetet utgått från eduGAINs handbok för incidenthantering är att det mycket troliga scenriet att en incident inom SWAMID inte begränsas till endast SWAMID utan även till en eller flera av våra systerfederationer i eduGAIN alternativt uppstår i en av systerfederationenerna. Från slutet av februari till sista mars har alla medlemmar samt alla registrerade tjänster haft möjlighet att påverka förslaget via SWAMIDs konsultationsprocess. Under konsultationsperioden genomföres även ett webbmöte via Zoom där SWAMID Operations gick igenom förslaget samt öppnade för en allmän diskussion runt det under mötet. Kommentarer från mötet samt ytterligare kommentarer via e-post togs om hand av SWAMID Operations efter konsultationsperiodens slut. De kommentarer vi fick in var positiva men föresog föreslog några få förtydliganden som vi har arbetat in i förslaget som ligger till beslut.
Den föreslagna incidenthanteringsrutinen är uppdelad i två, en för identitetsutfärdare och tjänster samt en för federationsoperatören SWAMID. Dessa båda delar samspelar med varandra såsom tydliggjort i diagramet nedanför att misstänkt incident ska hanteras så bra som möjligt i samråd. Incidenthanteringsprocessen åsidosätter inte organisationens egna incidenthanteringsprocess utan kompletterar den med SWAMID specifika steg.
Som vanligt är SWAMIDs policydokument skrivna på engelska beroende på att SWAMID verkar i en internationell sammanhang och de olika federationerna inom eduGAIN behöver kunna läsa varandras policydokument. Incidenthetieringsrutinens numrerade checklistor kommer att översättas till Svenska och ersätta dagens incidenthantieringsrutiner från 2012 efter beslut.
Beslut om formell konsultationsprocess för SWAMID (PA)
Vid alla policyförändringar efter att första policyn för SWAMID skapades och beslutades 2007 har vi inom SWAMID använt en publik konsultationsprocess för att både vara transparenta och förankra förändringar som föreslås. Vad vi dock inte har haft är en formelt nedskriver konsultationsprocess. SWAMID Operations har under våren 2021 formaliserat och skrivit ner den process vi har använt under många år. Processe förankrades inom SWAMID under maj enligt processen förutom att inget presentations- och diskussionsmöte hölls. Inga kommentarer förutom enstaka positiva kommentarer inkom.
Som vanligt är SWAMIDs policydokument skrivna på engelska beroende på att SWAMID verkar i en internationell sammanhang och de olika federationerna inom eduGAIN behöver kunna läsa varandras policydokument.
Information om det pågående policyarbetet (PA)
...