...

1. Medlemsorganisationen kontrollerar att identitetsutgivaren och underliggande system uppfyller kraven i REFEDS SIRTFI, se nedan.
2. Om medlemsorganisationen anser att identitetsutgivaren uppfyller kraven meddelar ni SWAMID Operations att identitetsutgivare uppfyller REFEDS SIRTFI.
   • När ni informerar SWAMID Operations måste ni även skicka med e-postadressen till incidenthanteringsfunktionen.
   • Om det är möjligt att nå incidenthanteringsfunktionen via telefon kan ni om ni vill även skicka med telefonnumret.
   • Lägg till EntityAttributes för sirtfi och sirtfi2 på https://metadata.swamid.se
   • Lägg till en säkerhetskontakt under ContactPersons
   • Begär publicering och följ instruktionerna som skickas via e-post
3. SWAMID Operations publicerar metadatan som då indikerar SWAMID Operations lägger in markering om att medlemsorganisationens identitetsutgivare uppfyller kraven i REFEDS SIRTFI inkl. aktuella kontaktuppgifter.

...

• att organisationen måste offentligt publicera dessa rutiner.

[OS3]

...

Means are

...

implemented to detect and act on possible intrusions

...

using threat intelligence information in a timely manner

Kravet innebär

• att organisationen använder system för att upptäcka och skydda system från stora och akuta hot via t.ex. intrångsdetektering i brandvägg eller aktiv logganalys samt
• att det är lämpligt att identitetsutgivaren konfigureras på sätt att antalet olämpliga inloggningsförsök begränsas.

...

Incidenthanteringskrav i REFEDS SIRTFI

[IR1] Provide security incident

...

response contact information as may be requested

...

by any federation to which your

...

organisation belongs

Kravet innebär

• att det finns en definierad kontakt för incidenthantering vid organisationen.
  • Det är lämpligt att använda kontaktuppgifter till funktion, inte person.
  • E-postadress måste finnas men gärna även telefonnummer.

...

• att incidenthanteringsfunktionen är bemannad dygnet runt.

[IR2] Respond to requests for assistance with a security incident from

...

other organisations participating in

...

Sirtfi

...

in a timely manner.

Kravet innebär

• att incidenthanteringsfunktionen svarar på förfrågningar från andra organisationer som följer REFEDS SIRTFI inom rimlig tid.

...

• att incidenthanteringsfunktionen är bemannad dygnet runt.

[IR3]

...

Notify security contacts of entities participating in Sirtfi when a security incident investigation suggests that those entities are involved in the incident. Notification should also follow the security procedures of any federations to which your organisation belongs.

Kravet innebär

• att incidenthanteringsfunktionen deltar och samarbetar vid säkerhetsincidenter tillsammans med andra kontaktar andra påverkade organisationer som följer REFEDS SIRTFI i samband med säkerhetsincidenter samt
• att incidenthanteringsfunktionen även följer rutinen för SWAMIDs incidenthantering.
  • Indirekt krav som följer av att organisationen är medlem i SWAMID.

[IR4]

...

Be able and willing to collaborate in the management of a security incident with affected organisations that participate in Sirtfi.

Kravet innebär

• att organisationen har definierade rutiner hur organisationen besvarar anmälningar om säkerhetsincidenter samt
• att incidenthanteringsfunktionen följer dessa rutiner

Kravet innebär inte

• att organisationen måste offentligt publicera dessa rutiner.deltar i hantering av säkerhetsincidenter med påverkade organisationer som följer REFEDS SIRTFI

[IR5] Respect user privacy as determined by the

...

organisation's policies or legal counsel

Kravet innebär

• att organisationen måste vid kommunikationen med tredje part, t.ex. incidentanmälaren, ta hänsyn till användarens behov av integritet enligt gällande personuppgiftslagstiftning i Sverige och i förekommande fall bestämmelserna i Offentlighets- och sekretesslagen (SFS 2009:400).

[IR6] Respect

...

the Traffic Light Protocol [TLP] information disclosure policy and use it during incident response communications with federation participants

Kravet innebär

• att organisationen respekterar och använder begränsningarna i Traffic Light Protocol så länge som organisationen följer gällande svensk lagstiftning, t.ex. gällande personuppgiftslagstiftning, Offentlighets- och sekretesslagen (SFS 2009:400) och Tryckfrihetsförordningen (SFS 1949:105).

Trafikljusprotokollet Traffic Light Protocol (TLP) underlättar utbyte av känslig säkerhetsinformation mellan olika parter. TLP är en uppsättning av beteckningar som används för att säkerställa att känslig information delas med lämplig målgrupp.

Trafikljusprotokollet har Traffic Light Protocol har fyra färger för att ange hur avsändaren förväntar sig att mottagaren hanterar spridning av informationen, fritt översatt:

...

För mer och djupare information om trafikljusprotokollet se Traffic Light Protocol se https://www.first.org/tlp/.

...

Kravet uppfylls av motsvarande krav i SWAMID AL2 men bara delvis av kraven i SWAMID AL1.

[TR2] Information attested to in [TR1] is retained in conformance with the organisation’s security incident response policy or practices   
Kravet innebär

• att loggar ska sparas enligt de rutiner som är definierade i organisationens incidenthanteringsrutiner.

...

Organisationskrav i REFEDS SIRTFI

[

...

UR1] The participant has

...

defined rules and conditions of use

Kravet innebär

• att organisationen måste ha användarregler som gäller för identitetsutgivaren.

Kravet uppfylls av motsvarande krav i SWAMID AL1 och SWAMID AL2.

[

...

UR2] There is a process to

...

notify all users

...

of

...

these rules and conditions of use

Kravet innebär att

• organisationen måste ha rutiner som gör för att säkerställa att användarna godkänner att de följer användarreglerna vid t.ex. kontoaktivering och lösenordsåterställningär informerade om användarreglerna.

Kravet uppfylls av motsvarande krav i SWAMID AL1 och SWAMID AL2.

...