INFORMATIONSSÄKERHETSPOLICY

Transkript

1 INFORMATIONSSÄKERHETSPOLICY INLEDNING Findity AB (Findity) utvecklar och tillhandahåller digitala finansiella tjänster inom ramen för kvitton och utläggshantering. Information är en av Finditys viktigaste tillgångar och hanteringen av den är en mycket viktig del i arbetet. Med informationstillgångat avses all information som ägs av Findity, kunder eller partners, oavsett om den behandlas manuellt eller digitalt och oberoende av dess form eller miljön den fförekommer i. Informationssäkerhetspolicyn fastställs av ledningsgruppen och anger Finditys grundläggande synsätt och viljeinriktning på en övergripande nivå gällande arbete med informationssäkerhet. I detta dokument, Informationssäkerhetspolicy - Tjänster och infrastruktur, fastställs synen på informationssäkerhet, övergripande mål och organisationens intention med informationssäkerhetsarbetet. Sammantaget är detta Finditys styrdokument för informationssäkerhetsarbete på en strategisk nivå. Utifrån dessa styrande dokument skapas rutiner på delar av organisationen som på en taktisk och operativ nivå beskriver hur och av vem. DEFINITION Informationssäkerhet handlar om att ge Finditys informationstillgångar rätt skydd över tid och omfattar säkerhetsaspekterna: Tillgänglighet att information är tillgänglig i förväntad utsträckning och inom önskad tid Riktighet att information skyddas mot oönskad och obehörig förändring eller förstörelse Konfidentialitet att information inte i strid med lagkrav eller lokala överenskommelser/riktlinjer tillgängliggörs eller delges obehörig Spårbarhet att i efterhand entydigt kunna härleda specifika aktiviteter eller händelser till ett identifierat objekt eller användare (vem, vad, när) ANSVAR Ansvaret för Finditys informationssäkerhetsarbete ska följa det normala delegerade verksamhetsansvaret på alla nivåer. Ägarna uttrycker principer och viljeinriktning genom att fastställa Finditys informationssäkerhetspolicy. Ledningsgruppen har det yttersta ansvaret för Finditys informationssäkerhetsarbete och Findity AB findity.se info@findity.com 1

2 fastställer Riktlinje för informationssäkerhet. Ledningsgruppen äger och ansvarar för Finditys infrastruktur, tjänster, system och applikationer samt tillsätter informations- och systemägare för dessa. Informationssäkerhetsamordnaren arbetar på uppdrag av ledningsgruppen. Informationssäkerhetssamordnaren har det övergripande och strategiska ansvaret att leda, utveckla och samordna informationssäkerhetsarbetet. Respektive avdelning äger och ansvarar för egen verksamhetsspecifik infrastruktur, tjänster, system och applikationer och tillsätter informations- och systemägare för dessa. Alla medarbetare har ett ansvar för att informationssäkerheten upprätthålls samt att rapportera incidenter. INRIKTNING Informationssäkerhetsarbetet på Findity kännetecknas av: att kunskap finns om hur informationssäkerheten säkerställs, att krishanteringsförmågan fortlöpande analyseras och upprätthålls, att hotbilden mot informationstillgångar fortlöpande analyseras, att händelser som kan leda till negativa konsekvenser förebyggs, och att arbeta med informationssäkerhet är en naturlig del i verksamheten. TJÄNSTER OCH INFRASTRUKTUR APPLIKATIONSDRIFT, UTVECKLING OCH UNDERHÅLL AV PROGRAMVAROR OCH TJÄNSTER Findity använder SCRUM (se: som styrprocess för all utveckling. Pivotal Tracker ( används för hantering av teamets backlog och inkluderar både nya funktioner och bugghantering. Iterationslängden är två veckor och avslutas på Tisdagar med Iterationsdemo på Onsdagar. Iterationplanering förläggs till Onsdagar varannan vecka. LEVERANSMODELL Leveransmodellen omfattar: Utveckling - Lokalt i respektive utvecklingsmiljö Test - Dedikerad testmiljö för interna integrations- och funktionstester. Acceptans - Dedikerad testmiljö för slutanvändare. Produktion - Dedikerad produktionsmodell Findity AB findity.se info@findity.com 2

3 STÖDSYSTEM Följande stödsystem används för utvecklingen Källkodshantering: GIT i en intern GIT-server Byggmiljö: Jenkins i dedikerad server PATCH HANTERING Patch hantering omfattar kontroller avseende övervakning av sårbarheter, patchar och fixar. Patch hanteringen är manuell och omfattar genomgång av alla fysiska och virtuella maskiner en gång/vecka. Systempatchning omfattar utvärdering av tillgängliga patchar och manuell applicering på berörda system. FYSISK SÄKERHET Finditys system är utlokaliserade till dedikerade datacenter. Fysisk åtkomst regleras till behörig personal av datacenteroperatören. För tillträde krävs inregistrering. Skalskyddet består av Intrångslarm, brandlarm, vattenlarm, videoövervakning, kodlås samt fysiska lås. REDUNANS Servemiljön består av flera fysiska serverar i separata tackskåp med tillhörande separata diskkabinett för lagring. Varje server har redundant kraftförsörjning, nätverk och kylning. Nätverksinfrastrukturen består i huvudsak av redundanta, fysiskt separerade switchar. och redundanta nätverkskort i varje server. KRAFTFÖRSÖRJNING Kraftförsörjningen till datacentret är redundant och backas upp av dieselgeneratorer om huvudkraftförsörjningen skulle påverkas. Varje fysiskt server och diskkabinett har redundanta kraftaggregat och backas dessutom av UPS för batteridrift. DESTRUKTION AV LAGRINGSMEDIA Destruktion av ej behövd lagringsmedia med känslig information sker genom multipel överskrivning följt av fysisk destruktion av betrodd tredje part där destruktionen dokumenteras av tredje KOMMUNIKATION OCH DRIFT Finditys tjänster driftas uteslutande på egen infrastruktur i form av fysiska och virtuella servrar. EXTERNA NÄTVERKSKOPPLNIGAR Externa nätverkskopplingar härdas och konfigureras för att skydda mot obehörig trafik. Alla Findity AB findity.se info@findity.com 3

4 externa anslutningar till tjänsterna sker genom ett DMZ och registreras i en authlog. Taggade VLAN separerar interna nätverk (TEST, DMZ, PROD) där extern trafik är separerad från intern trafik via brandvägg och genom separata VLAN. Externt är endast port 25, 80, (UDP för OpenVPN) öppna för inkommande trafik. Utgående trafik tillåts över port ( 22, 80, 443, 7590 (Backup), 9418 (källkodshantering) 2196 (Apple Push)) SYSTEMÅTKOMST OCH LOGGNING Backend skyddas från obehörig åtkomst genom åtkomstkontrollistor, autentisering och kryptering via OpenVPN Access Server i DMZ. Endast systemoperatörer äger tillgång till Backend och dessa registreras i OpenVPN Access Server All trafik går via DMZ. Lokal authlog av samtliga inloggningsförsök mot backend sker i DMZ. Autentiseringsloggar för produktionssystem och tjänster sker i Graylog i respektive applikationsserver med redundans. KRYPTERING All kommunikation till och från Finditys tjänster, system till system eller program till program, som går utanför backend krypteras. Överföring av information mellan internet och backend krypteras via HTTPS/SSL alternativt SSH. Publika TLS-certifikat för (SPARAKVITTOT.SE och FINDITY.COM ställs ut av DigiCert. KONTROLLER AV SKADLIG KOD Kontroller för att upptäcka och förhindra att skadlig kod körs sker regelbundet med hjälp av applikationer för rootkitsdetektering. INFORMATIONSDELNING Findity hanterar känslig finansiell information och behöver förhindra obehörig åtkomst till externt eller internetexponerade applikationer och dess information. Partners data separeras i separata databastabeller och skyddas av åtkomstlistor i syfte att förhindra obehörig åtkomst till informationen ide fall information bearbetas på delade servrar. Brandväggar separerar Webb- och applikationsservrar från databasservrar. Publik webbserver separeras dessutom från applikations och databasservrar i backend i ett DMZ. SYSTEMÅTKOMST Åtkomst till produktionssystemets backend kan endast nås genom trådbundet nätverk och och genom krypterade anslutningar (VPN). Tillgång till backend ges baserat på funktionella krav för tjänsten och åtkomst begränsas till de resurser som krävs för att möta företagets behov. För anslutningar till backendtjänster krävs autentisering och kryptering över OpenVPN respektive Cisco Anyconnect (Under avveckling). För åtkomst till operativsystem i backend krävs SSH (med nycklar) Findity AB findity.se info@findity.com 4

5 Utbyte av autentiseringsuppgifter mellan klienter och program (t.ex. användarnamn, lösenord och digitala certifikat) över nätverk genomföras så att kontoidentitet och lösenord/nyckel sänds över skilda system. HÄNDELSELOGGAR Händelseloggar generas för system och nätverk som nyttjats inom ramen för tjänsten och sparas i minst 180 dagar. Händelseloggar kan analyseras för säkerhetsrelaterade händelser. Händelseloggar för konton med privilegierad åtkomst i backend loggas och analyseras i ett separat system. UNDERLEVERANTÖRER Anlitade underleverantörer har endast tillgång till de delar av tjänsterna som är nödvändiga för att underleverantörerna skall kunna utföra den tjänst eller de tjänster de är anlitade för. Åtkomst för underleverantörer regleras genom åtkomstkontrollistor, autentisering och kryptering via OpenVPN Access Server i DMZ och genom dedikerade VLAN för de berörda tjänsterna. SÄKERHETSKOPIERING Säkerhetskopiering sker uteslutande till ZFS-baserade disksystem och sker i flera olika nivåer. Filsystemet har utvecklats med fokus på dataintegritet, det vill säga för att skydda information på lagringsminnen mot bitröta, spökskrivningar och liknande. Sådana problem kan bland annat manifestera sig genom att data på hårddiskar spontant börjar ändras och bli felaktiga, utan en användares eller operativsystemets inverkan, eller som ett resultat av mekaniska eller yttre faktorer som till exempel kosmisk strålning eller strömspikar. ZFS ger ett mycket bra skydd mot bitröta och annan datakorruption och innehåller dessutom inbyggda funktioner för backup. Backup körs lokalt och redundant till separata diskar över två fysiska servrar. Lokal ZFS snapshot av applikationsservrar och databaser sker varje timma. Full ZFS backup körs varje natt. Loggning av resultat sker i filsystemets journal. Uppmärkning sker m.ha tidsstämpel. Redundant fjärrbackup sker över SSH till dedikerad backupvolym på annan fysisk plats. Backupvolymerna verifierad varje vecka med zpool scrub. Återställningar från backup för att kontrollera säkerhetskopiors integritet sker regelbundet ÖVRIGT RISKBEDÖMNING OCH SÅRBARHETSANALYSER Findity genomför regelbundet riskbedömning och sårbarhetsanalys med minimum OWASP Top 10 som kravbild. Säkerhetsgenomlysningen sker av en betrodd tredje part genom intrångsförsök med hjälp av standardiserade intrångsverktyg mot produktionssystemet. Resultatet av säkerhetsgenomlysningen dokumenteras separat och resulterar i en backlog Findity AB findity.se info@findity.com 5

6 för prioritering enligt bedömd risk. Befintlig arkitektur och implementation bedöms vara robust avseende redundans och backuprutiner. Dock saknas geografisk redundans och detta avser vi åtgärda snarast möjligt. SYSTEMDOKUMENTATION Systemdokumentation säkras genom behörighetskontroll och kryptering över HTTPS. Behörighet medges endast till Medarbetare i utvecklingsavdelningen. Findity AB findity.se info@findity.com 6