...

Kraven i SIRTFI är uppdelade i fyra avsnitt. Varje krav har en benämning som står inom hakparanteser.

Operativ säkerhet

[OS1] Security patches in operating system and application software are applied in a timely manner.

• Säkerhetsuppdateringar till programvara i kontohanteringsmiljön ska installeras inom rimlig tid.
• Säkerhetsuppdateras inte programvara längre ska den inte användas i kontohanteringsmiljön.

[OS2] A process is used to manage vulnerabilities in software operated by the organisation.

• Organisationen har processer och rutiner för att hantera säkerhetsproblem i programvara som finns vid organisationen.

[OS3] Mechanisms are deployed to detect possible intrusions and protect information systems from significant and immediate threats.

• Det finns system för att upptäcka och skydda system från stora och akuta hot, ett exempel är brandvägg med intrångsdetektering.

[OS4] A user’s access rights can be suspended, modified or terminated in a timely manner.

• En användares rättighet till federativ inloggning kan vid behov begränsas eller stängas av i samband med säkerhetsproblem.
• Detta är ett krav som finns både i SWAMID AL1 och SWAMID AL2.

[OS5] Users and Service Owners (as defined by ITIL) within the organisation can be contacted.

• Det ska vara möjligt att kontakta en användare om det uppstår säkerhetsproblem.
• För anställda finns oftast andra kontaktvägar såsom mobiltelefon.
• För studenter finns kontaktuppgifter i Ladok men även privat e-postadress om studenten eftersänder sin e-post vid lärosätet.

[OS6] A security incident response capability exists within the organisation with sufficient authority to mitigate, contain the spread of, and remediate the effects of a security incident.

• Det ska finnas incidenthantering vid organisationen som har tillräckliga rättigheter för att hantera och avhjälpa effekterna av säkerhetsincidenten.

Incidenthantering

[IR1] Provide security incident response contact information as may be requested by an R&E federation to which your organization belongs.

[IR2] Respond to requests for assistance with a security incident from other organisations participating in the Sirtfi trust framework in a timely manner.

[IR3] Be able and willing to collaborate in the management of a security incident with affected organisations that participate in the Sirtfi trustframework.

[IR4] Follow security incident response procedures established for the organisation.

[IR5] Respect user privacy as determined by the organisations policies or legal counsel.

[IR6] Respect and use the Traffic Light Protocol [TLP] information disclosure policy

Spårbarhet

[TR1] Relevant system generated information, including accurate timestamps and identifiers of system components and actors, are retained and available for use in security incident response procedures.

...

• Informationen som sparas i [TR1] sparas i enligt med de regler som finns för organisationens incidenthantering.Detta krav finns inte i SWAMID AL1 eller SWAMID AL2.

Identitetsutgivares skyldigheter

...