...
Kraven i SIRTFI är uppdelade i fyra avsnitt. Varje krav har en benämning som står inom hakparanteser.
Operativ säkerhet
[OS1] Security patches in operating system and application software are applied in a timely manner.
- Säkerhetsuppdateringar till programvara i kontohanteringsmiljön ska installeras inom rimlig tid.
- Säkerhetsuppdateras inte programvara längre ska den inte användas i kontohanteringsmiljön.
[OS2] A process is used to manage vulnerabilities in software operated by the organisation.
- Organisationen har processer och rutiner för att hantera säkerhetsproblem i programvara som finns vid organisationen.
[OS3] Mechanisms are deployed to detect possible intrusions and protect information systems from significant and immediate threats.
- Det finns system för att upptäcka och skydda system från stora och akuta hot, ett exempel är brandvägg med intrångsdetektering.
[OS4] A user’s access rights can be suspended, modified or terminated in a timely manner.
- En användares rättighet till federativ inloggning kan vid behov begränsas eller stängas av i samband med säkerhetsproblem.
- Detta är ett krav som finns både i SWAMID AL1 och SWAMID AL2.
[OS5] Users and Service Owners (as defined by ITIL) within the organisation can be contacted.
- Det ska vara möjligt att kontakta en användare om det uppstår säkerhetsproblem.
- För anställda finns oftast andra kontaktvägar såsom mobiltelefon.
- För studenter finns kontaktuppgifter i Ladok men även privat e-postadress om studenten eftersänder sin e-post vid lärosätet.
[OS6] A security incident response capability exists within the organisation with sufficient authority to mitigate, contain the spread of, and remediate the effects of a security incident.
- Det ska finnas incidenthantering vid organisationen som har tillräckliga rättigheter för att hantera och avhjälpa effekterna av säkerhetsincidenten.
Incidenthantering
[IR1] Provide security incident response contact information as may be requested by an R&E federation to which your organization belongs.
[IR2] Respond to requests for assistance with a security incident from other organisations participating in the Sirtfi trust framework in a timely manner.
[IR3] Be able and willing to collaborate in the management of a security incident with affected organisations that participate in the Sirtfi trustframework.
[IR4] Follow security incident response procedures established for the organisation.
[IR5] Respect user privacy as determined by the organisations policies or legal counsel.
[IR6] Respect and use the Traffic Light Protocol [TLP] information disclosure policy
Spårbarhet
[TR1] Relevant system generated information, including accurate timestamps and identifiers of system components and actors, are retained and available for use in security incident response procedures.
...
- Informationen som sparas i [TR1] sparas i enligt med de regler som finns för organisationens incidenthantering.Detta krav finns inte i SWAMID AL1 eller SWAMID AL2.
Identitetsutgivares skyldigheter
...