Versions Compared

Old Version 12

changes.mady.by.user Pål Axelsson

Saved on

compared with

New Version 13

changes.mady.by.user Pål Axelsson

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

[IR6] Respect and use the Traffic Light Protocol [TLP] information disclosure policy

Kravet innebär

  • att organisationen respekterar och använder begränsningarna i Traffic Light Protocol så länge som organisationen följer gällande svensk lagstiftning, t.ex. Personuppgiftslagen (SFS 1998:204), Offentlighets- och sekretesslagen (SFS 2009:400) och Tryckfrihetsförordningen (SFS 1949:105).

Trafikljusprotokollet (TLP) underlättar utbyte av känslig säkerhetsinformation mellan olika parter. TLP är en uppsättning av beteckningar som används för att säkerställa att känslig information delas med lämplig målgrupp.

Trafikljusprotokollet har fyra färger för att ange hur avsändaren förväntar sig att mottagaren hanterar spridning av informationen, fritt översatt:

FärgBeskrivning
TLP:REDMottagaren ska inte sprida informationen till någon, inte ens inom sin egen organisation.
  
  

 

  • TLP:RED - Mottagaren ska inte sprida informationen till någon, inte ens inom sin egen organisation.
  • TLP:AMBER - Mottagaren får skyddat endast sprida information till andra personer inom organisationen, eller direkt berörda partner och kunder, som behöver ha den för att hantera problemet, TLP-märkningen ska bibehållas.
  • TLP:GREEN - Mottagaren får
    • sprida informationen 
  • skyddat sprida informationen till kollegor och partner inom sektorn, TLP-märkningen ska bibehållas.
  • TLP:WHITE - Inga spridningsbegräsningar, TLP-märkningen ska bibehållas.

För mer och djupare information om trafikljusprotokollet se https://www.us-cert.gov/tlp.

Spårbarhet

[TR1] Relevant system generated information, including accurate timestamps and identifiers of system components and actors, are retained and available for use in security incident response procedures

  • Säkerhetsrelaterade loggar ska sparas för kontoförändringar och inloggningar; när, hur och av vem.
  • Detta är ett krav som finns delvis i SWAMID AL1 och helt i SWAMID AL2.

[TR2] Information attested to in [TR1] is retained in conformance with the organisation’s security incident response policy or practices

  • Informationen som sparas i [TR1] sparas i enligt med de regler som finns för organisationens incidenthantering.

Identitetsutgivares skyldigheter

[PR1] The participant has an Acceptable Use Policy (AUP)

  • Medlemsorganisationen ska användarregler som gäller för den federativa inloggningen.

  • Detta är ett krav som finns både i SWAMID AL1 och SWAMID AL2.

[PR2] There is a process to ensure that all users are aware of and accept the requirement to abide by the AUP, for example during a registration or renewal process

  • Medlemsorganisationer har processer på plats som tillser att användarna aktivt godkänner användarreglerna innan de får använda den federativa inloggningen.
  • Detta är ett krav som finns både i SWAMID AL1 och SWAMID AL2.