Frågor och svar

Sambi

Tillitsramverk och tillitsgranskning

Vad är Sambi?
Sambi (Samverkan för behörighet och identitet inom hälsa, vård och omsorg) är en federativ infrastrukturlösning för identitets- och behörighetshantering inom hela hälso-, vård- och omsorgssektorn.

Vad är en federativ infrastrukturlösning för identitets- och behörighetshantering?
Förenklat är det en sammanhållen teknisk infrastruktur där hanteringen av användares identiteter och åtkomsträttigheter knyts samman med alla e-tjänster som är med i federationen.

Grunden för federationen är tillit. Med tillit avses tillit till att alla organisationer som är medlemmar följer det gemensamma regelverket. Det gäller exempelvis hantering av tillitsnivåer, autentisering, behörigheter och elektroniska intyg.

Varför behövs Sambi?
Visionen är att federationen Sambi ska fungera som en nationell mötesplats mellan säkra e-tjänster och användarorganisationer i en lösning som bygger på tillit och skydd för den personliga integriteten.

Vilka står bakom Sambi?
Sambi är ett samarbete mellan eHälsomyndigheten, Inera och IIS (Internetstiftelsen i Sverige).  Vi som står bakom Sambi idag tycker att det är viktigt med samverkan och tror att öppenhet bidrar till en bättre lösning. Vi strävar efter att vara transparenta i vårt utvecklingsarbete och välkomnar alla som är intresserade av att bidra.

Hur fungerar Sambi?
Förenklat är federationen en sammanhållen teknisk infrastruktur där hanteringen av användares identiteter och åtkomsträttigheter inom hälsa, vård och omsorg knyts samman med de e-tjänster som ingår i Sambi. Federationsoperatörens roll är att sköta federationens löpande verksamhet, däribland förvalta tillitsramverket och ansvara för centrala funktioner. Attributtjänster för behörighetsinformation och e-legitimationer med intygstjänster kan köpas på marknaden, eller tillhandahållas i egen regi.

Användare inom federationen får åtkomst till e-tjänster utifrån den egna rollen, definierad av den egna organisationen. Inom den egna organisationen hanteras behörighetstilldelning och -administration.

Intygsutfärdaren (IdPn) utfärdar elektroniskt intyg som innehåller information om användarens identitet, roll, åtkomsträttigheter och andra relevanta egenskaper.

Tillitsramverket redovisar vilken fastställd tillitsnivå som federationen tillämpar.

I ett större sammanhang innebär det att Sambi ger en långsiktig trygghet för federationens medlemmar tack vare Sambis skalbara infrastruktur.  Det är en stabil och säker lösning baserad på öppna gemensamma standarder som kompletterar nuvarande identitetslösningar.

Grunden för federationen är tillit. Tilliten är beroende av att alla ingående medlemmar följer det gemensamma regelverket i Sambi.

Läs mer om federationens uppbyggnad här.

Vilka tog initiativ till federationen och varför?
Syftet med Sambi är att skapa ett betydelsefullt komplement inom identitets- och behörighetshantering. Målet är att åstadkomma en nationell lösning dels för att länka samman, dels skapa högre säkerhetsskydd och kostnadseffektivitet, inom hälso-, vård- och omsorgssektorn.

Slutrapporten som ligger till grund för Sambi finns att läsa här.

Finns det andra federationslösningar för vård och omsorg?
Idag finns det fungerande ”tvåpartsfederationer” inom hälso-, vård- och omsorgsområdet. Sambi ska vara ett komplement till dessa och fungera som en nationell mötesplats mellan säkra e-tjänster och betrodda intygstjänster, inom hälso-, vård- och omsorgssektorn.

Varför behövs ytterligare en federation?
Det har sedan många år tillbaka genomförts arbete på flera olika håll för att framtidsanpassa nuvarande identitetslösningar. Vår förhoppning är att Sambi ska vara en kompletterande lösning, som gör det möjligt att samla olika modeller i en nationell federation inom hälsa, vård och omsorg. På så sätt skapas en säker och användarvänlig lösning för såväl professionella användare som invånare.

En nationell lösning är därtill kostnadseffektiv och ger ökad samverkan inom hälso-, vård- och omsorgsområdet.

Inom området finns ett behov av en infrastrukturlösning som garanterar en patientsäker, kostnadseffektiv och enkel åtkomst till e-tjänster både inom och mellan organisationer.

Vad kostar det att bli medlem i federationen?
För att bli medlem i Sambi behöver en part först genomgå en tillitsgranskning med godkänt resultat. Tillitsgranskningens avgifter framgår på webbplatsen för tillitsgranskningsavtalet.

Sambis avgiftsstruktur framgår av Sambi Bilaga 5 – Avgifter.

På vilket sätt blir Sambi kostnadseffektivt?
Gemensamma riktlinjer, -vägledningar och -praxis för hur regelverket ska tillämpas bidrar till kostnadseffektivitet. När olika aktörer inom hälso-, vård- och omsorgsområdet arbetar med lösningar som är baserade på gemensamma och öppna standarder skapas kostnadseffektivitet. Därtill förbättras förutsättningarna för vidgat samarbete inom, och mellan, befintliga aktörer.

För e-tjänstleverantörer innebär federationens gemensamma skalbara infrastruktur att man över tid kan införa många nya tjänster på ett kostnadseffektivt sätt.

För användarorganisationerna ger en gemensam lösning ett effektivare inloggningsförfarande, vilket självklart är tidsbesparande. Det är en av flera nyttoeffekter som en gemensam infrastruktur ger.

På vilket sätt höjer Sambi säkerhetsnivån för den personliga integriteten?
Genom att alla aktörer som är medlemmar i federationen tillämpar samma tekniska och administrativa säkerhetsnivåer – vilka även ligger på en högre säkerhetsnivå jämfört med flertalet av nuvarande lösningar – åstadkommer vi en högre nivå. Dessutom minskar risken för så kallad överskottsinformation i intygen.

Federationens tillitsramverk baseras på tillitsnivå 3 (LoA3) enligt det nationella tillitsramverket för Svensk e-legitimation, som Myndigheten för digital förvaltning (DIGG) ansvarar för. Det tillitsramverket tar sin utgångspunkt i NIST SP800-63-1, Kantara Initiative Identity Assurance Framework, EU:s eIDAS-förordning och E-legitimationsutredningen SOU 2010:104 (bilaga 9). I det fortsatta utvecklingsarbetet som ska ske i samverkan med Myndigheten för digital förvaltning (DIGG), Skolfederation och SWAMID samt federationens intressenter, ska vi utreda huruvida tillitsnivån i delar eller som helhet ska höjas ytterligare till högsta nivå 4 (LoA4) för vård- och omsorgssektorn.

Vem får bli medlem i Sambi?

Federationen är öppen för alla organisationer inom hälso-, sjukvårds- eller omsorgsområdet, som behandlar känsliga personuppgifter inom sin verksamhet. Federationen är även öppen för de som arbetar med djurens hälso- och sjukvård. Medlem som Användarorganisation i Sambi kan vara statliga myndigheter, landsting, kommuner eller annan juridisk person eller enskild näringsidkare inom vård-, omsorgs- och hälsoområdet, till exempel:

  • Myndigheter
  • Landsting
  • Kommuner
  • Privata vårdgivare
  • Privata omsorgsgivare
  • Tjänsteleverantörer
  • Apotek
  • Veterinärer

Medlem som Tjänsteleverantör i Sambi kan utöver de ovan nämnda organisationerna även sådan verksamhet vara som rekommenderats av befintlig Medlem att vara Tjänsteleverantör i Sambi.

Hur blir man medlem?

Man kan bli medlem i Sambi på två sätt. Antingen genom ett samboimbud, vars uppgift är att förenkla en Användarorganisations anslutning till Sambi, eller ansluta direkt via federationsoperatören. Vid det senare sättet behöver man först genomgå en tillitsgranskning med godkänt resultat. När en tillitsgranskning avslutats med godkänt resultat kan ett medlemskap ingås genom att underteckna Sambis anslutningsavtal och medlemsuppgiftsblankett.

Ett ytterligare ett alternativ att bli medlem är genom Sambiombud. Sambiombudets uppgift är att förenkla Användarorganisationers anslutning till Sambi genom att paketera en teknisk och administrativ tjänst inom Sambis ramar och bistå Användarorganisationen med att leva upp till kraven i Sambis Tillitsramverk. Här finns våra godkända Sambiombud.

Hur ser avtalet ut?

Sambi har två avtal som ska undertecknas: tillitsgranskningsavtal och anslutningsavtal.

När gick federationen i drift?
Under våren 2015 gick den första användarorganisationen (Stockholms stad) och tjänsten (SLL:s Beställningsportalen) i drift.

Finns det en testmiljö för intresserade?
Det finns en testmiljö till vilken inte bara Sambis medlemmar kan ansluta utan även de som planerar att bli medlemmar samt leverantörer till Sambis medlemmar.

För att få tillgång till testmiljön behöver man först skicka in en intresseanmälan via vår webbplats. Efter registrering hos IIS behöver man inkomma med metadata för att börja använda testmiljön. Att lämna metadata sker enligt samma förfarande som för produktionsmiljön.

Vilken anpassning krävs av våra egna system?
Generellt sett måste man göra nedanstående:

  • Etablera en eller flera SAML-tjänsteleverantörer som frontar tjänsten gentemot resten av Sambis infrastruktur
  • Se till att de SAML-tjänsteleverantörer man använder sig av tillämpar de SAML-profiler (eGov2 samt saml2int) samt de övriga krav som Sambi ställer på nyttjandet av SAML
  • Se till att tjänstens identitets- och behörighetssystem kan använda sig av de identiteter och attribut som identitetsutfärdare utfärdar inom Sambi. Man måste även se över behörighetsregler så att de kan knytas till de egenskaper som federerade identiteter kan uppvisa. Man behöver också fundera över huruvida man behöver fråga efter specifika attribut som inte associeras med en identitet ”automatiskt” i samband med att ett identitetsintyg utfärdas
  • Se över anropsprofiler, om tjänsten är en webbtjänst, så att dessa ligger i linje med Sambis SAML-profiler och regler för bland annat vidarebefordran av identitetsintyg
  • Bestämma sig för vilken eller vilka tillitsnivåer man tillåter för nyttjande av tjänsten
  • Se till att tjänstens loggning har tillräckligt underlag vid övergången till federerade identiteter

Vem ska jag kontakta om jag vill veta mer?
Hör gärna av dig till Stephen Dorch, säkerhetschef på eHälsomyndigheten eller till Internetstiftelsen i Sverige, info@sambi.se. Här hittar du samtliga e-postadresser till medlemmarna i arbetsgruppen.

Du kan också prenumerera på vårt nyhetsbrev genom att ange din e-postadress via startsidan på www.sambi.se.

Finns det möjlighet att påverka det fortsatta arbetet med Sambi?
Vi som står bakom Sambi idag tycker att det är viktigt med samverkan och tror att öppenhet bidrar till en bättre lösning. Vi strävar därför efter att vara transparenta i vårt utvecklingsarbete och välkomnar alla som är intresserade av att bidra. Ta kontakt med oss, prenumerera på vårt nyhetsbrev genom att ange din e-postadress via startsidan på www.sambi.se och håll koll på vårt kalendarium för kommande evenemang.

Tillitsramverk och säkerhetsgranskning

Varför behövs tillitsgranskningen?
En medlem i Sambi får använda egna lösningar för e-legitimationer, behörighet och tjänster. Övriga medlemmar i Sambi ska kunna lita på och ha tillit till dessa lösningar utan att själva behöva granska dem. För att säkerställa tilliten till identiteter och attribut inom Sambi måste därför alla medlemmar leva upp till det gemensamma regelverket för säkerhet och tillit. Under en tillitsgranskning granskas att en sökandes lösning uppfyller kraven innan ett medlemskap i Sambi kan tecknas. Läs mer om tillit inom Sambi här.

Vad är en initial tillitsgranskning?
En initial granskning är den tillitsgranskning som genomförs för en part som inte har varit granskad tidigare. Här finns mer information om hur tillitsgranskningsprocessen ser ut.

Vad är en återkommande tillitsgranskning?
De som fått ett godkänt granskningsresultat ska genomföra en återkommande granskning vart tredje år. Processen för en återkommande tillitsgranskning är densamma som för den initiala.

Hur kan jag anmäla intresse för att få mer information om tillitsgranskning?
Gör en intresseanmälan så återkommer vi med mer information.

Hur ansöker jag om tillitsgranskning?
Första steget för att kunna tillitsgranskas är att sända in tillitsgranskningsavtalet och kontaktblanketten. Därefter har sökanden tolv månader på sig att inkomma med en fullständig tillitsdeklaration. Under fliken Tillitsgranskning finns mer information om att tillitsdeklarera.

Vad är en fullständig tillitsdeklaration?
En tillitsdeklaration är en självdeklaration över sökandes säkerhetsarbete och ska utgå från det vid var tid gällande tillitsramverket. Tillitsdeklarationen anses som fullständig när tillitsadministratören bedömer att det granskningsunderlag som sökande skickat in är komplett och redo att överlämnas till granskare. Underlaget ska innehålla en tillitsdeklaration med de kompletterande dokument som behövs för att styrka deklarationen. Kompletterande dokument som förväntas bifogas är riskanalys, beskrivning av ledningssystem för informationssäkerhet samt internrevision och uppföljningsarbete som görs för att underhålla den sökandes säkerhetsarbete. Här finns mer information om vad som förväntas ingå i en tillitsdeklaration.

Hur ser Sambis tillitsramverk ut?
Tillitsramverket ställer inte detaljerade krav på medlemmens säkerhetsarbete. Den säkerhetsnivå som medlemmen ska uppfylla ges i stället av kedjan riskanalys – införande av ledningssystem för informationssäkerhet (LIS) – revision. Se beskrivningen av tillitsramverket i sin helhet.

Varför ska underleverantörers säkerhetsåtgärder beskrivas?
Sökande och medlemmarna (parterna) har ett ansvar inom federationen för att uppfylla kraven i Sambis tillitsramverk. När delar eller hela utförandet av säkerhetsåtgärderna delegeras till en underleverantör så har parten, oavsett vad som har avtalats mellan parten och underleverantörerna, fortfarande kvar sitt huvudmannaansvar för att kraven i tillitsramverket uppfylls. Identifiering av risker med utomstående underleverantörer ska därför ske i samma omfattning oavsett om parten själv eller underleverantören utför arbetet. Denna kedja mellan parten och underleverantörerna ska följas så långt ut som riskanalysen visar behov av säkerhetsåtgärder. Detta innebär också att parten ska beskriva situationen och sina underleverantörers säkerhetsåtgärder i sin tillitsdeklaration så som om arbetet vore utfört av parten själva. När parten lever upp till hela sitt ansvar för säkerhetsåtgärderna så kan alla andra inom federationen ha tillit till parten därför att denna oavbrutna kedja av tillitsdeklaration omfattar både parten och underleverantörerna.

På vilket sätt förhåller sig Sambi till Svensk e-legitimation?
I arbetet med Sambi är ambitionen att i möjligaste mån använda Myndigheten för digital förvaltnings (DIGG) modell och regelverk. Granskning och godkännande av e-legitimationsutfärdare i Sambi sköts även av (DIGG).

Varför ansvarar Myndigheten för digital förvaltning för granskning av e-legitimationsutfärdare i Sambi?
Orsaken till att e-legitimationsutfärdare i Sambi ska granskas och godkännas av Myndigheten för digital förvaltning (DIGG) i stället för av Sambis egna granskningstjänst, är att DIGG är den centrala myndigheten i Sverige som har i sitt ansvar att godkänna e-legitimationsutfärdare. Sambi och DIGG ställer samma tillitsnivåkrav på e-legtimationer och e-legitimationsutfärdare.

Varför har Sambi en egen granskningstjänst utöver Myndigheten för digital förvaltnings?
Myndigheten för digital förvaltning (DIGG) granskar Sambis e-legitimationsutfärdare, men granskar inte hanteringen av de behörighetsstyrande attributen och identitetsintygen som används inom Sambi. Inte heller granskar DIGG till Sambi anslutna tjänsteleverantörers hantering av behörighetshantering, utan detta görs av Sambis granskningstjänst.

Hur blir en e-legitimationsutfärdare godkänd av Myndigheten för digital förvaltning?
För att Myndigheten för digital förvaltning (DIGG) ska godkänna en utfärdare av Svensk e-legitimation ska kraven i anslutningsavtalet och dess bilagor uppfyllas, se vidare DIGGs webbplats. En granskning och ett godkännande av utfärdare av e-legitimationer som ska användas i tjänsten inom Sambi görs som för övriga utfärdare av Svensk e-legitimation.

Varför finns kravet på ett LIS (Ledningssystem för informationssäkerhet)?
Ett LIS enligt ISO/IEC 27000 innehåller regler och riktlinjer för alla viktiga aspekter av IT- och informationssäkerhet. Standarden säger att dessa regler och riktlinjer ska avpassas efter verksamhet och hotbilder. Genom att ställa krav på att ett sådant ledningssystem både finns infört och att det följs säkerställs att en tillräckligt hög säkerhetsnivå finns.

Kan ett redan befintligt LIS användas?
Tillitsdeklarationen kan i förekommande fall baseras på godkända, redan befintliga och aktuella underlag som åberopas av sökande. Om den sökande redan har ett certifierat kvalitetssystem och/eller certifiering enligt ISO 27001 eller liknande utfärdat av ett ackrediterat certifieringsorgan kan detta åberopas. Detta gäller såväl för användarorganisation, tjänsteleverantör och deras leverantörer.

Varför är kravet på en riskanalys så viktigt?
En riskanalys hanterar på ett systematiskt sätt hot mot och sårbarheter i de skyddsvärda informationstillgångar som berörs. Riskanalysen visar vilka skyddsåtgärder som behövs och till vilken nivå. Det innebär att den styr vilka delar av ISO/IEC 27000-standarden som ska införas, och vad som inte behövs. Standarden är omfattande, och utan en riskanalys blir arbetet med LIS-införande oproportionerligt stort.

Varför behövs en internrevision av Ledningssystemet för informationssäkerhet?
Revisionen utreder om ledningssystemet uppfyller de skyddsåtgärder som riskanalysen har visat behov av. Vidare utreder den om ledningssystemet finns tillgängligt, är känt och följs.

Varför behöver riskanalysen utföras regelbundet?
Riskanalysen hanterar bland annat de hot som kan finnas mot verksamheten. Dessa förändras med tiden, några minskar i betydelse och nya uppstår. En regelbundet återkommande riskanalys för med sig att en förändrad hotbild hanteras, och att rätt skyddsåtgärder kan vidtas.

Varför finns kravet på återkommande revisioner av informationssäkerheten?
Återkommande revisioner säkerställer att rätt nivå av säkerhet upprätthålls år efter år. Det är en svårighet att vidmakthålla skyddsåtgärder och säkerhetsmedvetenhet i en organisation. Återkommande revisioner är ett sätt att bidra till detta. Vidare är det ett sätt att säkerställa att de förändrade förutsättningar som en ny riskanalys pekar på verkligen också hanteras.

Måste verkligen alla delar utföras, både riskanalys, LIS-införande och revision av detta?
Ja, tillsammans utgör de en helhet som säkerställer att verksamheten håller den säkerhetsnivå som krävs för att vara medlem i Sambi.

Hur gör vi för att införa ett LIS så enkelt som möjligt?
En väl genomförd riskanalys visar på vilka skyddsåtgärder som behövs, och inte minst vad som inte är relevant. De skyddsåtgärder som riskanalysen leder fram till jämförs med punkterna i ISO/IEC 27001 och 27002. Resultatet blir en uppräkning av vad som ska tas med från standarden, till vilken nivå och vad som inte behövs. (Uppräkningen kallas ofta i detta sammanhang SOA, Statement of Applicability). Listan jämförs med de rutiner, riktlinjer och instruktioner som redan finns. Det som saknas läggs till. Ledningssystemet blir då en samling av relevanta riktlinjer och instruktioner för IT- och informationssäkerhet i organisationen.

Hur skickas den fullständiga tillitsdeklarationen till federationsoperatören?
Allt granskningsunderlag överförs via Sambi dokumenttransport, som är ett system för säker överföring av filer. Sambi dokumenttransport skapar en temporär mikrosida där en överföring sker, underlaget som sänds via systemet är krypterat och åtkomst till systemet sker genom tvåstegsinloggning. Endast sökandens kontaktperson för tillitsgranskningsavtalet ges tillgång till Sambi dokumenttransport. För mer information om hur systemet fungerar besök gärna denna wiki.

Hur lång tid tar en tillitsgranskning?
Från det att federationsoperatören mottagit en fullständig tillitsdeklaration från sökande ska ett beslut delges inom 30 arbetsdagar. I särskilda fall kan en förlängning av tillitsgranskningen ske. Läs mer om de aktuella tidsramarna här.

Vem utför tillitsgranskningen?
Alla granskningar genomförs av två granskare, en huvudgranskare och en kvalitetsgranskare, utsedda av federationsoperatören. De granskare som federationsoperatören anlitar har bred erfarenhet inom informationssäkerhet och uppfyller de krav som ställs i dokumentet ”instruktioner för Sambis granskare”. Mer information om de granskare som federationsoperatören anlitar finns här.

Hur länge är ett godkänt resultat av tillitsgranskningen giltig?
Ett godkänt tillitsgranskningsresultat är giltigt i tre år från datumet för godkännandet. Efter tre år behöver parten genomgå en återkommande granskning vilket innebär att parten behöver inkomma med ett nytt tillitsgranskningsavtal och en ny fullständig tillitsdeklaration.

Vad kostar det att tillitsgranskas?
Läs information om avgifter här.

När betalas tillitsgranskningsavgiften?
Federationsoperatören fakturerar sökande när ett tillitsgranskningsavtal inkommit och har skrivits under av båda parter. Faktureringen sker till den angivna fakturakontakten på kontaktblanketten.