Rikspolisstyrelsens författningssamling

Transkript

1 Rikspolisstyrelsens författningssamling ISSN X Utgivare: chefsjuristen Lotta Gustavson Rikspolisstyrelsens föreskrifter om säkerhet vid Polisens informationsbehandling med stöd av IT; beslutade den 24 november RPSFS 2009:4 FAP Utkom från trycket den 1 februari 2010 Rikspolisstyrelsen föreskriver följande med stöd av 13 första stycket 5 och 6 samt 13 e förordningen (1989:773) med instruktion för Rikspolisstyrelsen. 1 kap. Inledande bestämmelser 1 Dessa föreskrifter innehåller bestämmelser om den lägsta säkerhetsnivå som gäller för Polisens IT-system och vid Polisens informationsbehandling med stöd av IT. Bestämmelserna i 7 9 kap. ska inte tillämpas i fråga om bevisföremål. 2 För informationsbehandling med stöd av IT ska riskanalys genomföras för att identifiera behov av säkerhetsåtgärder. 3 Bestämmelser om behandling av sådana hemliga uppgifter som avses i 4 säkerhetsskyddsförordningen (1996:633) samt säkerhetsskydd i övrigt finns i säkerhetsskyddslagen (1996:627) och säkerhetsskyddsförordningen samt Rikspolisstyrelsens föreskrifter och allmänna råd om säkerhetsskydd (FAP 244-1). 4 Vid behandling av information från Europol gäller också de bestämmelser som finns i Rådets akt av den 3 november 1998 (1999/C26/02) med ändring i Rådets akt av den 5 juni 2003 (2003/C 152/01). 5 I enlighet med 3 kap. 16 polisförordningen (1998:1558) ska beslut enligt dessa föreskrifter dokumenteras. 2 kap. Definitioner 1 I dessa föreskrifter avses med: användare: person som använder informationstillgångar. En användare kan vara studerande vid polisutbildning, anställd, praktikant eller uppdragstagare hos Polisen eller hos någon annan som medges åtkomst enligt författning eller Rikspolisstyrelsens beslut, applikation: ett program eller en samling av program avsedda för användare, auktorisationsbeslut: ett beslut om att ett IT-system får anskaffas eller utvecklas eller att väsentliga systemförändringar får göras, 1

2 behandling (av uppgifter): varje åtgärd eller serie av åtgärder som vidtas i fråga om uppgifter, t.ex. insamling, registrering, systematisering, lagring, bearbetning eller ändring, återvinning, inhämtande, användning, utlämnande genom översändande, spridning eller annat tillhandahållande av uppgifter, sammanställning eller samkörning, blockering, utplåning eller förstöring, brandvägg: funktion som på ett definierat sätt begränsar och övervakar datatrafik till ett eller flera nätverk, drifttillstånd: formellt beslut om att ett visst informationssystem kan godkännas för drift från verksamhets- och säkerhetssynpunkt, informationsskyddsklassning: indelning av information i klasser på grundval av hur skyddsvärd informationen är med avseende på konfidentialitet, informationssäkerhet: säkerhet för informationstillgångar avseende förmåga att upprätthålla önskad tillgänglighet, riktighet, konfidentialitet och spårbarhet (även oavvislighet), informationstillgångar: information, program, tjänster eller fysiska tillgångar såsom IT-utrustning, IT-incident: en oönskad eller oplanerad händelse som drabbar och negativt påverkar informationsbehandling med stöd av IT, IT-system: alla i ett informationsbehandlingssystem ingående komponenter, t.ex. applikation, tjänster och databaser m.m. som baseras på informationsteknik såsom radio-, telefoni-, datorkommunikations- eller datorsystem och som samverkar för ett visst syfte, IT-tjänst (teknisk tjänst): en mekanism som är implementerad i mjukvara och som ger tillgång till en eller flera förmågor via ett fastställt gränssnitt och som kan brukas i enlighet med de begränsningar och policyer som specificeras av en tjänstespecifikation, IT-utrustning: materiel såsom datorer, telefoner, radioapparater, datamedia, lagringsmedia, kablage eller nätverksutrustning, konfidentialitet: den del av begreppet informationssäkerhet som innebär att innehållet i ett informationsobjekt (eller ibland även dess existens) inte får avslöjas för obehöriga personer, kontinuitetsplanering: dokument som beskriver en process för hur verksamheten ska bedrivas när identifierade, kritiska verksamhetsprocesser allvarligt påverkas under en längre, specificerad tidsperiod, myndighet: Rikspolisstyrelsen, polismyndigheterna och Statens kriminaltekniska laboratorium, Polisens gemensamma IT-infrastruktur: Polisens gemensamma nätverk för datakommunikation inklusive anslutningar till andra nät samt de godkända programvaror och IT-utrustningar, såväl anslutna till det gemensamma nätverket som fristående, som Rikspolisstyrelsen förvaltar och har driftansvar för, riktighet: den del av begreppet informationssäkerhet som innebär att information inte obehörigen, av misstag eller på grund av funktionsstörning, har förändrats, riskanalys: process som identifierar hot mot verksamheten och uppskattar deras betydelse och identifierar skyddsåtgärder, 2

3 skadlig kod: otillåten programkod såsom datavirus, trojaner och maskar som är till för att röja, störa, avlyssna eller skada ett kommunikationsnät eller funktioner eller informationstillgångar i ett IT-system, skyddsvärdesnivå: beteckning på Polisens nivå av informationsskydd utifrån informationens skyddsvärde, spårbarhet: den princip inom informationssäkerhet som innebär möjlighet att entydigt kunna härleda utförd behandling till en identifierad användare, stark autentisering: verifiering av identitet med hjälp av en kryptografisk algoritm och tillhörande hemlig nyckel, systemägare: av myndigheten utsedd person som bl.a. har ansvar för drift och förvaltning samt säkerheten i ett IT-system, säkerhetsmålsättning: beskrivning av de säkerhetskrav som ett IT-system eller en IT-tjänst ska uppfylla med utgångspunkt från genomförd rättsanalys, hot- och riskanalys, informationsklassificering och verksamhetsanalys, särskilt skyddsvärda uppgifter: uppgifter som omfattas av sekretess enligt offentlighets- och sekretesslagen (2009:400), personuppgifter som är känsliga enligt 13 personuppgiftslagen (1998:204) och personuppgifter om lagöverträdelser enligt 21 personuppgiftslagen, tillgänglighet: den del av begreppet informationssäkerhet som innebär möjlighet att utnyttja informationstillgångar efter behov i förväntad utsträckning och inom önskad tid, utkontraktering: överenskommelse som innebär att en extern part anlitas av en myndighet för att utföra en viss verksamhet eller tjänst, väsentlig förändring: en större förändring av funktion eller en ny användning av befintlig funktion, åtkomst: sätt för en användare att ta del av eller påverka informationstillgångar såsom information, program, tjänster eller utrustning. RPSFS 2009:4 3 kap. Organisation, roller och ansvar Användares ansvar 1 Varje användare av Polisens IT-system ansvarar för att säkerheten upprätthålls genom att följa regler och rutiner samt anmäla iakttagna incidenter, fel och brister. Myndighetschefens ansvar 2 Myndighetschefen har det övergripande ansvaret för säkerheten i samband med all informationsbehandling vid myndigheten. Myndighetschefen har även det övergripande ansvaret för information som myndigheten tillför ett IT-system. Ansvaret innefattar att bedöma känsligheten hos informationen och behovet av skyddsåtgärder. 3

4 Rikspolisstyrelsens ansvar 3 Rikspolisstyrelsen ansvarar för 1. Polisens policydokument om informationssäkerhet, 2. ledning av utvecklingen av metoder, hjälpmedel och utbildning som gäller informationssäkerhet samt 3. samordning och uppföljning av Polisens informationssäkerhetsarbete. Informationssäkerhetsfunktion 4 Varje myndighet ska ha tillgång till en funktion med specialistkompetens som har till uppgift att samordna myndighetens informationssäkerhetsarbete. Systemägarens ansvar 5 För varje IT-system ska det finnas en systemägare som ansvarar för säkerhet och samordning samt IT-systemets överensstämmelse med säkerhetsrelaterade krav. Systemägaren ska vidare ansvara för att IT-systemet har den förvaltningsorganisation som behövs för att säkerheten ska tillgodoses. Beslut om systemägare 6 Rikspolisstyrelsen beslutar om systemägare för IT-system som används vid flera myndigheter. Underlag för myndigheternas användningsbeslut 7 Systemägaren för ett IT-system som används vid flera myndigheter ska, om det inte är uppenbart obehövligt, förse myndigheterna med underlag för myndigheternas beslut om användning av IT-systemet. 4 kap. Utkontraktering m.m. Utkontraktering av verksamhet 1 När Polisen utkontrakterar en verksamhet som innebär kontakt med information eller IT-system inom Polisen, ska säkerhetskraven regleras i ett avtal mellan parterna. Säkerhetskrav som motsvarar vad som gäller för verksamheten inom Polisen ska då gälla. Externa tjänster för informationsbehandling 2 Rikspolisstyrelsen beslutar om användning av samt utser ansvarig för en extern IT-tjänst för informationsbehandling som används av flera myndigheter. Denna funktion ansvarar bl.a. för säkerhet och samordning samt ITtjänstens överensstämmelse med verksamhetens krav. 4

5 För en extern IT-tjänst som används av endast en myndighet ska berörd myndighet utse en ansvarig med ansvar enligt första stycket andra meningen. RPSFS 2009:4 Driftåtaganden 3 Innan Polisen åtar sig drift av ett IT-system för någon annans räkning, ska förhållandet regleras i ett avtal mellan parterna. I avtalet ska kraven på säkerhet regleras. Innan ett sådant avtal ingås ska Rikspolisstyrelsen ge sitt godkännande. 5 kap. Informationsskyddsklassning Klassning med skyddsvärdesnivå 1 Vid behandling i IT-system ska informationen klassas med avseende på sitt skyddsvärde. Vid klassificeringen ska hänsyn tas, inte bara till Polisens behov av skydd för informationen, utan även till motsvarande intresse hos andra organisationer eller enskilda personer. 2 Information ska klassas med avseende på sitt skyddsvärde ur konfidentialitetsaspekt. Klassning sker enligt följande. Öppen: Information som innebär ingen eller obetydlig skada eller kränkning för Polisen, annan myndighet eller enskild fysisk eller juridisk person, om den kommer till obehörigas kännedom. Begränsat skyddsvärde: Information som kan innebära begränsad skada eller kränkning för Polisen, annan myndighet eller enskild fysisk eller juridisk person, om den kommer till obehörigas kännedom. Högt skyddsvärde: Information som kan innebära allvarlig skada eller kränkning för Polisen, annan myndighet eller enskild fysisk eller juridisk person, om den kommer till obehörigas kännedom. Mycket högt skyddsvärde: Information som kan innebära mycket allvarlig skada eller kränkning för Polisen, annan myndighet, rikets säkerhet eller enskild fysisk eller juridisk person, om den kommer till obehörigas kännedom. Informationsskyddsklassning vid behandling i IT-system 3 Systemägaren för ett IT-system ansvarar för att informationsskyddsklassning genomförs och dokumenteras för de typer av uppgifter som ITsystemet är avsett att behandla. Systemägaren ansvarar även för att systemet, där så är lämpligt, innehåller funktioner för att information ska kunna märkas med skyddsvärdesnivå. 5

6 6 kap. Personal och säkerhet Före anställning och uppdrag 1 Innan någon anställs eller ges ett uppdrag inom Polisen som kan ge kännedom om särskilt skyddsvärda uppgifter, ska personens bakgrund kontrolleras och lämplighet prövas. Beslut om lämplighet ska dokumenteras. När det gäller sådan verksamhet som har betydelse för rikets säkerhet eller som är viktig för skyddet mot terrorism finns bestämmelser i säkerhetsskyddslagen (1996:627). Utbildning och information 2 Varje myndighet ska utbilda och återkommande informera anställda och uppdragstagare om informationssäkerhet, om tillämpliga författningar och myndighetens bestämmelser om informationssäkerhet. Informationen ska lämnas innan en anställd eller uppdragstagare påbörjar arbete som kan innebära kontakt med information eller IT-system inom Polisen. Av sådan information ska framgå att loggning förekommer och vad logginformation används till. Anmälan om incidenter, fel och brister 3 Den som upptäcker incidenter, fel eller brister, som kan ha betydelse för konfidentialitet, tillgänglighet, riktighet eller spårbarhet avseende Polisens IT-system, ska anmäla detta till Rikspolisstyrelsen. Anmälan av övriga incidenter, fel eller brister ska ske i enlighet med myndighetens fastställda rutiner. Hantering av och information om incidenter, fel och brister 4 Rikspolisstyrelsen ansvarar för hanteringen av anmälda incidenter, fel och brister som rör Polisens IT-system. Rikspolisstyrelsen ansvarar för att skyndsamt informera berörd myndighet och systemägare när sådana incidenter, fel eller brister anmäls som är väsentliga för myndighetens verksamhet eller som kan påverka verksamheten hos flera myndigheter. Varje myndighet ska ha rutiner för att vid behov sprida informationen vidare till berörda användare inom myndigheten. 6 Åtgärder som kan hindra tillgång till IT-system 5 En användare får inte utnyttja Polisens IT-system eller IT-utrustning på ett sådant sätt att systemet eller utrustningen skadas eller så att andra användares tillgång hindras eller äventyras. Rikspolisstyrelsen får dock efter samråd med berörda verksamhetsgrenar utföra åtgärder som kan medföra att användares tillgång till IT-system tillfälligt hindras.

7 Uppföljning av allvarliga incidenter, fel och brister 6 Rikspolisstyrelsen beslutar om uppföljning av allvarliga incidenter, fel eller brister. RPSFS 2009:4 7 kap. Tillträdeskontroll och fysiskt skydd IT-utrustning i Polisens lokaler 1 IT-utrustning och IT-system som kan ge åtkomst till särskilt skyddsvärda uppgifter ska placeras och skyddas i utrymme med skalskydd och tillträdeskontroll som är godkänt av Rikspolisstyrelsen. Särskilda utrymmen med IT-utrustning såsom serverhallar och växelrum ska även ha skydd mot brand, elavbrott, åverkan, vatten och annan yttre påverkan. För att förhindra olovlig insyn, avlyssning och övrig informationsförlust, ska IT-utrustning som kan ge åtkomst till särskilt skyddsvärda uppgifter hållas under ständig tillsyn när den används. IT-utrustning utanför Polisens lokaler 2 IT-utrustning som kan ge åtkomst till särskilt skyddsvärda uppgifter och som medförs eller används utanför Polisens skalskyddade lokaler ska hållas under ständig uppsikt eller vara inlåst i säkerhetsskåp. IT-utrustningen ska även vara försedd med tekniskt säkerhetsskydd som har godkänts av Rikspolisstyrelsen. Transport av datamedia utanför Polisens lokaler 3 Vid transport eller försändelse av ett datamedium eller annan ITutrustning som innehåller särskilt skyddsvärda uppgifter ska transporten övervakas av myndigheten eller uppgifterna skyddas med godkänd kryptering. Serviceföretag och servicepersonal 4 Service på IT-utrustningar som ägs av Rikspolisstyrelsen eller av någon utanför Polisen och som är kopplad till Polisens gemensamma ITinfrastruktur får utföras endast av företag som har godkänts av Rikspolisstyrelsen. 5 Servicearbete får inte påbörjas innan servicepersonalens identitet har kontrollerats. 6 När servicearbete utförs av en person utan behörighet till IT-systemet eller utan rätt till tillträde till lokalen, ska arbetet övervakas av en anställd eller en uppdragstagare som har sådan kompetens som behövs för att övervaka de åtgärder som utförs. 7

8 Datamedia vid service 7 En reparation av ett datamedium som innehåller särskilt skyddsvärda uppgifter ska övervakas av myndigheten. Om en övervakad reparation inte kan göras, ska datamediet förstöras så att åtkomst och återskapande av uppgifterna omöjliggörs. 8 Bestämmelserna i 4 7 gäller endast om IT-utrustningen kan ge tillgång till särskilt skyddsvärda uppgifter eller servicearbetet utförs i en lokal där särskilt skyddsvärda uppgifter är tillgängliga. Datamedia vid avveckling eller återanvändning av IT-utrustning 9 Vid avveckling av IT-utrustning ska datamedia som innehåller särskilt skyddsvärda uppgifter förstöras så att åtkomst och återskapande av uppgifterna omöjliggörs. Sådan avveckling får ske även genom att informationen på ett datamedium skrivs över med ett raderingsverktyg som godkänts av Rikspolisstyrelsen. IT-utrustning som innehåller särskilt skyddsvärda uppgifter och som ska återanvändas för ändamål där säkerhetskraven är lägre ska hanteras på samma sätt som vid avveckling. 8 kap. IT-infrastruktur och drift IT-utrustning som får anslutas till Polisens gemensamma ITinfrastruktur 1 Endast IT-utrustning som godkänts av Rikspolisstyrelsen får anslutas till Polisens gemensamma IT-infrastruktur. Övervakning av Polisens gemensamma IT-infrastruktur 2 Rikspolisstyrelsen ansvarar för att Polisens gemensamma ITinfrastruktur övervakas och skyddas mot oönskad datakommunikation, såsom intrång eller överbelastning. Information om andra nätverk 3 Om en myndighet använder ett annat nätverk för datakommunikation än Polisens gemensamma IT-infrastruktur, ska användningen föregås av godkännande från Rikspolisstyrelsen. Rikspolisstyrelsens brandväggar för datakommunikation 4 IT-utrustning som är ansluten till Polisens gemensamma ITinfrastruktur får sammankopplas med IT-system utanför denna ITinfrastruktur endast om Rikspolisstyrelsens brandvägg för datakommunikation har används. 8

9 Rikspolisstyrelsens brandväggar får inte användas utan att Rikspolisstyrelsen gett tillstånd till det. RPSFS 2009:4 Klocksynkronisering 5 All IT-utrustning där korrekt tid är av vikt och som är ansluten till Polisens gemensamma IT-infrastruktur ska upprätthålla tid enligt Rikspolisstyrelsens tidgivningstjänst. Polisens gemensamma IT-infrastruktur 6 Rikspolisstyrelsen ansvarar för Polisens gemensamma IT-infrastruktur. Dokumentation inklusive konfigurationer och installationer för klienter och servrar ska hållas uppdaterad hos Rikspolisstyrelsen. IT-systems tillgängliga nätverkstjänster 7 För varje IT-system som är anslutet till Polisens gemensamma ITinfrastruktur ska det finnas en förteckning över de nätverkstjänster som ITsystemet använder. Inga andra nätverkstjänster får vara tillgängliga. Systemägaren har ansvaret för förteckningen. Driftjournal 8 För IT-system som har flera användare ska det föras en driftjournal som omfattar de säkerhetsrelevanta händelser som inte framgår av systemets logg. Godkänd kryptering 9 Endast krypteringsutrustning och krypteringsfunktioner som har godkänts av Rikspolisstyrelsen får användas inom Polisen. Datakommunikation utanför myndighetens kontroll 10 När särskilt skyddsvärda uppgifter överförs med datakommunikation utanför myndighetens kontroll ska kryptering användas. Radio- och telekommunikation utanför myndighetens kontroll 11 När särskilt skyddsvärda uppgifter överförs muntligt med radiokommunikation ska, om möjligt, radioutrustning med talkryptering användas. När särskilt skyddsvärda uppgifter överförs muntligt eller med telefax i ett allmänt telenät ska, om möjligt, kryptotelefon eller kryptofax användas. 9

10 Skadlig kod 12 Varje IT-utrustning ska, där det är tekniskt möjligt, använda av Rikspolisstyrelsen godkända funktioner för upptäckt av skadlig kod. Rikspolisstyrelsen ansvarar för uppdatering av dessa funktioner för ITutrustning som är ansluten till Polisens gemensamma IT-infrastruktur. För andra IT-utrustningar ansvarar myndigheten för att uppdatering av dessa funktioner görs i samråd med Rikspolisstyrelsen. Säkerhetskopiering 13 Säkerhetskopiering av väsentlig information och programvaror ska göras regelbundet och säkerhetskopiornas kvalitet ska verifieras. Säkerhetskopior ska förvaras geografiskt avskilda för att inte påverkas av incidenter, fel eller brister som kan inträffa i Polisens ordinarie IT-miljö. För IT-utrustning innehållande säkerhetskopior gäller bestämmelserna i 7 kap. 9 kap. Behörighetskontroll och loggning Förutsättningar för behörighet till IT-system 1 Behörighet till IT-system får endast den ha som 1. bedöms vara lämplig ur säkerhetssynpunkt, 2. har erforderliga kunskaper för att använda IT-systemet och 3. har behov av uppgifterna i systemet för att kunna fullgöra sina arbetsuppgifter. Förändring av behörighet m.m. 2 När något av kraven enligt 1 inte längre är uppfyllt, ska behörigheten omgående förändras eller tas bort så att användaren inte längre kan utnyttja IT-systemet. Tidigare användning av systemet ska dock fortfarande kunna spåras i IT-systemets logg. Tilldelning av behörighet 3 Myndigheten ska besluta om vilken behörighet en användare ska ha, om inte annat följer av andra föreskrifter. Registrering av en ny eller förändrad behörighet får inte ske utan ett sådant beslut. Av ett beslut om tilldelning eller förändring av behörighet till ett ITsystem ska berörda användares identitet framgå. En användares behörighet ska kunna registreras med bestämd giltighetstid. 10

11 Användares ansvar för tilldelade behörighetskort och lösenord 4 Varje användare ansvarar för att hans eller hennes behörighetskort och lösenord hanteras så att dessa inte kan användas av någon annan person. Förlorat behörighetskort 5 Om ett behörighetskort förlorats eller kortet har utnyttjats av någon annan, ska anmälan skyndsamt göras enligt myndighetens fastställda rutiner. Rikspolisstyrelsen ska informeras omgående för att spärra kortet. Byte av kända lösenord 6 Ett lösenord som kan ha kommit till en annan persons kännedom ska omedelbart bytas ut. Presentation av behörighetsinformation 7 Systemägaren ansvarar för att det finns ett behörighetskontrollsystem till IT-systemet. Varje IT-system ska kunna presentera information om vilka användargrupper som definierats, vilka användaridentiteter som förekommer i varje användargrupp samt vilka behörigheter en användargrupp har. I fråga om IT-system som är avsedda för behandling av särskilt skyddsvärda uppgifter ska alltid en användares identitet kunna härledas, även om åtkomst skett med en grupp- eller rollbaserad identitet. Stark autentisering 8 För ett IT-system, som är avsett för behandling av särskilt skyddsvärda uppgifter och som har fler än fem användare, ska stark autentisering av användare ske. Sådana tekniska åtgärder som driftpersonal endast kan utföra direkt på en viss IT-utrustning, t.ex. start av utrustningen, får göras utan stark autentisering, om åtgärden noteras i driftjournal. Funktioner i behörighetskontrollsystem 9 Vid lagring och överföring av lösenord ska godkänd kryptering användas. IT-system som är tillgängliga för allmänheten 10 En myndighet kan använda IT-system för att informera allmänheten eller tillgodose allmänhetens rätt att ta del av allmän handling enligt 2 kap. tryckfrihetsförordningen. Vid sådan användning ska åtkomst till handlingar eller uppgifter som skyddas av sekretess inte vara möjlig. 11

12 Loggning i IT-system 11 Loggning ska ske av varje åtkomst till och aktiviteter i IT-system som är avsedda för behandling av särskilt skyddsvärda uppgifter. Användaraktiviteter som kan tolkas som försök till intrång eller brott mot behörighetsregler ska registreras i logg samt kunna generera larm. I övriga IT-system ska loggning ske i den utsträckning som myndighetens verksamhet kräver det. Övervakning av loggning 12 För de IT-system där loggning används ska loggningens funktion övervakas. Bevarande av logg 13 Logg ska bevaras i minst fem år. Loggen ska tas om hand så att den fysiska och logiska kvaliteten bibehålls. Logganalysverktyg 14 Systemägaren ansvarar för att det finns verktyg för analys av logg och selektering av delmängder av information från loggar. Användning av loggutdrag 15 Myndigheten ska se till att loggar följs upp och vid behov analyseras. 16 Myndighetschefen eller den denne bestämmer eller chefen för en internutredningsenhet får beställa utdrag ur loggar. Utdrag ur en logg som inte finns tillgänglig vid myndigheten ska beställas hos Rikspolisstyrelsen. Rikspolisstyrelsen ansvarar för att beslut om beviljande av utdrag ur logg som beställs hos Rikspolisstyrelsen dokumenteras. 10 kap. Systemutveckling, anskaffning och väsentlig förändring av IT-system Auktorisationsbeslut 1 Utveckling, anskaffning eller väsentlig förändring av IT-system får inte påbörjas utan att systemägaren för IT-systemet har gett sitt tillstånd (auktorisation). I underlaget för auktorisationsbeslutet ska det ingå en säkerhetsmålsättning som anger säkerhetskraven på IT-systemet och ett förslag till loggbeslut som anger omfattningen av loggningen samt yttrande från Rikspolisstyrelsen. 12

13 Uppfyllande av säkerhetskrav 2 Den som är ansvarig för utveckling, anskaffning eller en väsentlig förändring av ett IT-system ansvarar för att systemet uppfyller de säkerhetskrav som ställs på systemet och dess informationsbehandling när det levereras eller överlämnas. Under utvecklingen av ett IT-system ska systemägaren regelbundet kontrollera att ställda säkerhetskrav uppfylls. Separat utvecklingsmiljö 3 Utveckling och test av programvara eller IT-system ska ske i en ITutvecklingsmiljö som är skild från Polisens ordinarie IT-produktionsmiljö. Drifttillstånd 4 Ett IT-system får tas i drift efter beslut av systemägare. Detta gäller även efter en väsentlig förändring av ett IT-system. Beslut om drifttillstånd förutsätter godkännanden ur säkerhetssynpunkt av Rikspolisstyrelsen. Följande dokument ska finnas för varje IT-system och utgöra beslutsunderlag för drifttillstånd. - Drift- och systemdokumentation. - Dokumentation av genomförda tester. - Användnings- och förvaltningsdokumentation. - Kontinuitetsplaner. - Beslut om omfattning och användning av loggning. - Beslutade undantag. - Dokumentation av systemsäkerhetsgranskning. Godkända programvaror 5 Rikspolisstyrelsen beslutar, efter samråd med berörda systemägare, vilka programvaror som får användas i system som är anslutna till Polisens gemensamma IT-infrastruktur. Förutsättningar för godkänd utrustning, programvara eller tjänst 6 Leverans av utrustning, programvara eller tjänst enligt dessa föreskrifter får utföras endast av en leverantör som omfattas av ett avtal eller ramavtal som har föregåtts av upphandling enligt lagen (2007:1091) om offentlig upphandling. 13

14 11 kap. Kontinuitetsplanering Verksamhetens kontinuitetsplanering 1 Varje myndighet ansvarar för framtagande av verksamhetsmässiga reservrutiner som ska följas vid avbrott eller störningar i IT-stöden. Kontinuitetsplanering för IT-system 2 Systemägaren ansvarar för att det för varje IT-system finns rutiner som beskriver vilka åtgärder som ska vidtas vid avbrott eller störningar i ITsystemets funktioner. Kontinuitetsplanering för Polisens gemensamma IT-infrastruktur 3 Rikspolisstyrelsen ansvarar för att det finns en kontinuitetsplan som säkrar tillgången till driftsatta IT-system inom Polisens gemensamma ITinfrastruktur. Gemensam prioritering av IT-system 4 Rikspolisstyrelsen ska efter samråd med systemägarna och myndigheterna besluta om prioriteringar mellan IT-system som är anslutna till Polisens gemensamma IT-infrastruktur. 12 kap. Uppföljning och kontroll Egenkontroll 1 Varje myndighet ska minst en gång varje år och med högst 18 månaders mellanrum genomföra kontroll av myndighetens informationssäkerhet. Kontrollen ska protokollföras. Inventering av behörigheter 2 Varje myndighet ska minst en gång per år och med högst 18 månaders mellanrum göra en inventering av de behörigheter som gäller för de ITsystem som myndigheten använder. En sammanställning av resultatet ska finnas tillgänglig vid myndigheten. Rikspolisstyrelsens kontroller 3 Rikspolisstyrelsen får utföra förebyggande och utredande kontroller som rör säkerheten avseende Polisens IT-system. Sådana kontroller ska protokollföras. 14

15 13 kap. Övriga bestämmelser Undantag 1 När särskilda skäl finns får Rikspolisstyrelsen medge undantag från dessa föreskrifter. Tillämpning inom Säkerhetspolisen 2 Chefen för Säkerhetspolisen jämställs i denna författning med myndighetschef. 3 Utdrag ur logg som inte finns tillgänglig vid Säkerhetspolisen beställs från Rikspolisstyrelsen. 4 När det gäller Säkerhetspolisens verksamhet får chefen för Säkerhetspolisen medge undantag från dessa föreskrifter. 1. Denna författning träder i kraft den 1 mars Följande upphör då att gälla a) Rikspolisstyrelsens föreskrifter och allmänna råd (RPSFS 2005:1, FAP 174-1) om säkerhet vid Polisens informationsbehandling med stöd av IT. b) Rikspolisstyrelsens föreskrifter och allmänna råd (RPSFS 2005:13, FAP 174-1) om säkerhet vid Polisens informationsbehandling med stöd av IT. 2. Tillstånd eller beslut enligt tidigare bestämmelser ska fortsätta att gälla enligt beslutets innehåll eller till dess att Rikspolisstyrelsen beslutar annat. På Rikspolisstyrelsens vägnar BENGT SVENSON Alireza Hafezi (Staben) 15