Incidenthantering

Incidenthantering i SWAMID

Inom identitetsfederationen SWAMID är tillit till att alla gör rätt nyckeln för en lyckad federation. SWAMID Board of Trustees har beslutat om två incidentprocesser, en för identitetsutgivare och en för tjänsteleverantörer, för att säkerställa att tillit kan bibehållas om en incident skulle uppstå.

SWAMID Board of Trustees rekommenderar även starkt att både identitetsutgivare och tjänsteleverantörer i SWAMID använder säkerhetsprofilen REFEDS SIRTFI för att öka tilltron för att medlemmar och tjänster i SWAMID sköts på ett säkerhetsmässigt bra sätt.

Process för hantering av incident som påverkar identitetsutgivare (IdP) i SWAMID

1. Organisationen som påverkats informerar SUNET CERT och SWAMID Operations (operations@swamid.se) om vad som hänt omedelbart efter att incidenten upptäcks.
1a. SWAMID operations informerar noc@sunet om den inträffade incidenten.
1b. SWAMID operations stänger av identietsutgivaren (IdP) från SWAMID WebSSO och/eller eduroam i förekommande fall. SWAMID Operations fattar beslut om hur incidenten ska hanteras i detta avseende.

2. SUNET CERT gör analys av incidenten och informerar SWAMID Operations löpande.

3a. SWAMID Operations informerar med hänsyn tagen till pågående utredning alla påverkade parter i SWAMID samt operationella kontakter för eventuella interfederationer.
3b. SWAMID Operations informerar fortlöpande noc@sunet.

4. Om intrånget är av allvarlig art kan medlemskap återkallas enligt SWAMID policy.

5. Organisationen återställer operationell säkerhet och informerar SUNET CERT och SWAMID Operations löpande om arbetet.

6. SUNET CERT genomför en granskning av operationell säkerhet och informerar SWAMID Operations när granskningen är godkänd.

7. Organisationen säkerställer att den av SWAMID godkända identitetshanteringsprocessen är uppfylld för alla användare som exponeras mot SWAMIDs tekniska profiler (WebSSO och eduroam).

8a. Om medlemskap blev återkallat i (4) så måste organisationen söka nytt medlemskap.
8b. Tillfälligt avstängda identitetsutgivare (IdP) från punkt (1b) läggs åter in i SWAMID WebSSO och/eller eduroam, baserat på giltigt medlemskap samt återställd identitetsprocess (7) samt efter godkänd granskning av SUNET CERT.

9. SWAMID Operations informerar berörda parter, se punkt 3, om att ärendet är hanterat.

Process för hantering av incident som påverkar tjänsteleverantör (SP) i SWAMID

1. Organisationen som påverkats informerar SWAMID Operations om vad som hänt omedelbart efter att incidenten upptäcks.

2. SWAMID operations stänger av tjänsteleverantören (SP) från SWAMID WebSSO och/eller eduroam i förekommande fall.

3. SWAMID Operations informerar alla påverkade parter i SWAMID samt operationella kontakter för eventuella interfederationer.

4. Organisationen återställer operationell säkerhet och informerar SWAMID Operations.

5. Tjänsteleverantören (SP) läggs in i SWAMID WebSSO och/eller eduroam.

6. SWAMID Operations informerar berörda parter (se punkt 2) om att ärendet är hanterat.

 


 

 

Valter Nordh

CTO, produktchef SWAMID & TCS
0707-884742
Summary in English

Incident management in SWAMID

For an Identity Federation as SWAMID trust is everything. SWAMID Board of Trustees has approved two incident routines, one for the Identity Providers and and one for the Service Providers, to ensure that trust can be maintained if an security incident should occur.

Both processes are described in Swedish but starts with that the affected organisation contact SUNET Cert and SWAMID Operations to activate the routine.

SWAMID Board of Trustees also strongly recommends that both the Identity Providers and Service Providers in SWAMID use the security profile REFEDS SIRTFI to increase the trust that SWAMID members and services manage IT security in good practice.