Versions Compared

Old Version 28

changes.mady.by.user Fredrik Domeij

Saved on

compared with

New Version Current

changes.mady.by.user Pål Axelsson

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

Lärosäten, och andra medlemmar, som uppfyller SWAMID AL1, SWAMID AL2 och/eller SWAMID AL2 AL3 för sin identitetsutgivare uppfyller automatiskt flera av kraven i SIRTFI. Främst behöver de säkerställa att de uppfyller de operativa kraven i profilen samt att de har rutiner på plats för incidenthantering innan de meddelar SWAMID Operations att de uppfyller säkerhetsprofilen REFEDS SIRTFI.

...

Kraven i REFEDS SIRTFI är uppdelade i fyra avsnitt och varje krav har en benämning som står inom hakparanteser. I de fall som SWAMIDs tillitsprofiler SWAMID AL1, SWAMID AL2 och/eller SWAMID AL2 AL3 tillgodoser ett krav står detta tydligt.

För de av SWAMID:s medlemsorganisationer som är statliga myndigheter har Myndigheten har Myndigheten för samhällsskydd och beredskap, numera Myndigheten för civilt försvar, enligt 19§ i Förordning (SFS 2015:1052) om krisberedskap och bevakningsansvariga myndigheters åtgärder vid höjd beredskap rätt att skapa föreskrifter kring myndigheters informationssäkerhetsarbete. Genomförande av MSB:s föreskrifter, t.ex. MSBFS 20162020:16MSBFS 20162020:7 och MSBFS 2 och MSBFS 2016020:7, 8, samt cybersäkerhetslagen (NIS2-direktivet) inom medlemsorganisationen kan vara till hjälp i analysen om identitetsutfärdaren och underliggande system uppfyller kraven i REFEDS SIRTFI.

...

  • att säkerhetsuppdateringar till programvaror i kontohanteringsmiljön ska installeras inom rimlig tid samt
  • att programvaror i kontohanteringsmiljön som inte längre uppdateras eller supporteras av leverantören ska inte användas.
    • Indirekt krav som följer av att programvaran inte längre uppdateras.

[OS2] A process is used to manage vulnerabilities in software operated by the organisation

Kravet innebär

  • att det finns definierade rutiner för att åtgärda säkerhetsproblem i programvaror som finns vid organisationen.

...

  • att organisationen måste offentligt publicera dessa rutiner.

[OS3] Means are implemented to detect and act on possible intrusions using threat intelligence information in a timely manner

...

  • att organisationen använder system för att upptäcka och skydda system från stora och akuta hot via t.ex. intrångsdetektering i brandvägg eller aktiv logganalys samt
  • att det är lämpligt att identitetsutgivaren konfigureras på sätt att antalet olämpliga inloggningsförsök begränsas.

[OS4] A user’s access rights can be suspended, modified or terminated in a timely manner

Kravet innebär

  • att en användares rättighet till federativ inloggning vid behov kan begränsas eller stängas av i samband med säkerhetsmässigt felaktig användning.

Kravet uppfylls av motsvarande krav i SWAMID AL1, SWAMID AL2 och SWAMID AL2AL3.

[OS5] Users and Service Owners (as defined by ITIL) within the organisation can be contacted

...

  • att organisationen har en utpekad driftorganisation som är kontaktbar samt
  • att organisationen har möjlighet att kontakta en användare vid behov.
    • För anställda, och övrigt verksamma eller motsv., finns oftast kontaktvägar såsom mobiltelefon registrerat i katalog- eller personalsystem. Anställda brukar dessutom ha en e-postadress i tjänsten.
    • För studenter finns kontaktuppgifter i Ladok men ofta även en privat e-postadress om studenten eftersänder sin e-post vid lärosätet.

Kravet uppfylls av motsvarande krav i SWAMID AL1, SWAMID AL2 och SWAMID AL3.

[OS6] A security incident response capability exists within the organisation with sufficient authority to mitigate, contain the spread of, and remediate the effects of a security incident

Kravet innebär

  • att det finns en incidenthanteringsfunktion vid organisationen som har tillräckliga rättigheter för att tillse att effekterna av en säkerhetsincident mildras, begränsas och till sist åtgärdas.

Kravet uppfylls av motsvarande krav i SWAMID AL1, SWAMID AL2 och SWAMID AL3.

Incidenthanteringskrav i REFEDS SIRTFI

...

Kravet uppfylls av motsvarande krav i SWAMID AL2 och SWAMID AL3 men bara delvis av kraven i SWAMID AL1. I SWAMID AL1 är kraven för loggning kraftigt rekommenderat medan i SWAMID AL2 och SWAMID AL3 är det ett krav.

[TR2] Information attested to in [TR1] is retained in conformance with the organisation’s security incident response policy or practices   
Kravet innebär

...

Kravet uppfylls av motsvarande krav i SWAMID AL1, SWAMID AL2 och SWAMID AL2AL3.

[UR2] There is a process to notify all users of these rules and conditions of use

...

Kravet uppfylls av motsvarande krav i SWAMID AL1, SWAMID AL2 och SWAMID AL2AL3.