You are viewing an old version of this page. View the current version.

Compare with Current View Page History

« Previous Version 9 Next »

The Security Incident Response Trust Framework for Federated Identity från REFEDS, förkortat SIRTFI, är en internationell säkerhetsprofil för Best Current Practice. SIRTFI ersätter den tidigare IdM-checklistan som SWAMID tog fram tillsammans med SUSEC i samband med SWAMID 2.0. En av skillnaderna mellan IdM-checlistan och REFEDS SIRTFI är att REFEDS SIRTFI gäller både identitetsutgivare (IdP) och tjänsteleverantörer (SP). För djupare information om REFEDS SIRTFI se https://refeds.org/sirtfi.

SWAMID Board of Trustees, styrgruppen för SWAMID, rekommenderar starkt federationens medlemmar att använda säkerhetsprofilen REFEDS SIRTFI!

Lärosäten, och andra medlemmar, som uppfyller SWAMID AL1 eller SWAMID AL2 för sin identitetsutgivare uppfyller automatiskt flera av kraven i SIRTFI. Främst behöver de säkerställa att de uppfyller de operativa kraven i profilen samt att de har rutiner på plats för incidenthantering innan de meddelar SWAMID Operations att de uppfyller SIRTFIs profil.

Varför ska en identitetsutgivare uppfylla och deklarera REFEDS SIRTFI?

Att en identitetsutgivare deklarerar att de följer REFEDS SIRTFI ger tjänsteleverantörer att användarhantering i aktuell organisation sköts på ett säkerhetsmässigt bra sätt, dvs. tjänsteleverantören kan känna högre säkerhetsmässig tillit användare från aktuell organisation.

Vissa tjänster som är kopplade till SWAMID, direkt eller genom eduGAIN, kräver att identitetsutgivare uppfyller SIRTFI för att inloggning ska tillåtas från den aktuella organisationen. Ett tydligt exempel på detta är forskningsorganisationen CERN där användare som ska få tillgång till federerade tjänster vid CERN måste logga in via identitetsutgivare som uppfyller kraven för REFEDS SIRTFI.

Hur gör en identitetsutgivare för att bli godkända för REFEDS SIRTFI?

SWAMID gör ingen granskning av att identitetsutgivaren uppfyller REFEDS SIRTFI utan det är medlemsorganisationen som ensidigt deklarerar att de uppföljer säkerhetsprofilen.

  1. Medlemsorganisationen kontrollerar att identitetsutgivaren och underliggande system uppfyller kraven i REFEDS SIRTFI, se nedan.
  2. Om medlemsorganisationen anser att identitetsutgivaren uppfyller kraven meddelar ni SWAMID Operations att identitetsutgivare uppfyller REFEDS SIRTFI.
    • När ni informerar SWAMID Operations måste ni även skicka med e-postadressen till incidenthanteringsfunktionen.
    • Om det är möjligt att nå incidenthanteringsfunktionen via telefon kan ni om ni vill även skicka med telefonnumret.
  3. SWAMID Operations lägger in markering om att medlemsorganisationens identitetsutgivare uppfyller kraven i REFEDS SIRTFI inkl. aktuella kontaktuppgifter.

Vilka krav ska en identitetsutgivare uppfylla?

Kraven i REFEDS SIRTFI är uppdelade i fyra avsnitt och varje krav har en benämning som står inom hakparanteser. I de fall som SWAMIDs tillitsprofiler SWAMID AL1 eller SWAMID AL2 tillgodoser ett krav står detta tydligt.

Operativ säkerhet

[OS1] Security patches in operating system and application software are applied in a timely manner.

  • Säkerhetsuppdateringar till programvaror i kontohanteringsmiljön ska installeras inom rimlig tid.
  • Säkerhetsuppdateras inte programvaror i kontohanteringsmiljön längre ska den inte användas.

[OS2] A process is used to manage vulnerabilities in software operated by the organisation.

  • Organisationen har processer och rutiner för att hantera säkerhetsproblem i programvaror som finns vid organisationen.

[OS3] Mechanisms are deployed to detect possible intrusions and protect information systems from significant and immediate threats.

  • Det finns system för att upptäcka och skydda system från stora och akuta hot.
  • Ett exempel på sådant skydd är brandvägg med intrångsdetektering.
  • Ett annat exempel är att införa begränsningar i den federativa programvaran så att antalet säkerhetsincidenter begränsas.

[OS4] A user’s access rights can be suspended, modified or terminated in a timely manner.

  • En användares rättighet till federativ inloggning kan vid behov begränsas eller stängas av i samband med säkerhetsproblem.
  • Detta är ett krav som finns både i SWAMID AL1 och SWAMID AL2.

[OS5] Users and Service Owners (as defined by ITIL) within the organisation can be contacted.

  • Det ska vara möjligt att kontakta en användare om det uppstår säkerhetsproblem.
  • För anställda finns oftast kontaktvägar såsom mobiltelefon registrerat i katalog- eller personalsystem. Anställda brukar dessutom ha en e-postadress i tjänsten.
  • För studenter finns kontaktuppgifter i Ladok men även privat e-postadress om studenten eftersänder sin e-post vid lärosätet.

[OS6] A security incident response capability exists within the organisation with sufficient authority to mitigate, contain the spread of, and remediate the effects of a security incident.

  • Det ska finnas incidenthantering vid organisationen som har tillräckliga rättigheter för att hantera och avhjälpa effekterna av en säkerhetsincident.

Incidenthantering

[IR1] Provide security incident response contact information as may be requested by an R&E federation to which your organization belongs.

[IR2] Respond to requests for assistance with a security incident from other organisations participating in the Sirtfi trust framework in a timely manner.

[IR3] Be able and willing to collaborate in the management of a security incident with affected organisations that participate in the Sirtfi trustframework.

[IR4] Follow security incident response procedures established for the organisation.

[IR5] Respect user privacy as determined by the organisations policies or legal counsel.

[IR6] Respect and use the Traffic Light Protocol [TLP] information disclosure policy

Spårbarhet

[TR1] Relevant system generated information, including accurate timestamps and identifiers of system components and actors, are retained and available for use in security incident response procedures.

  • Säkerhetsrelaterade loggar ska sparas för kontoförändringar och inloggningar; när, hur och av vem.
  • Detta är ett krav som finns delvis i SWAMID AL1 och helt i SWAMID AL2.

[TR2] Information attested to in [TR1] is retained in conformance with the organisation’s security incident response policy or practices.

  • Informationen som sparas i [TR1] sparas i enligt med de regler som finns för organisationens incidenthantering.

Identitetsutgivares skyldigheter

[PR1] The participant has an Acceptable Use Policy (AUP)

  • Medlemsorganisationen ska användarregler som gäller för den federativa inloggningen.

  • Detta är ett krav som finns både i SWAMID AL1 och SWAMID AL2.

[PR2] There is a process to ensure that all users are aware of and accept the
requirement to abide by the AUP, for example during a registration or renewal process

  • Medlemsorganisationer har processer på plats som tillser att användarna aktivt godkänner användarreglerna innan de får använda den federativa inloggningen.
  • Detta är ett krav som finns både i SWAMID AL1 och SWAMID AL2.
  • No labels