EBITS Energibranschens IT-säkerhetsforum

Transkript

1 EBITS Energibranschens IT-säkerhetsforum REGLER OCH RIKTLINJER FÖR INFORMATIONSSÄKERHET Version 0.1 Revisionshistorik Datum Version Ansvarig Kommentar L Castenhag Ett första utkast

2 2

3 Innehåll 1. ORGANISATION FÖR INFORMATIONSSÄKERHET Infrastruktur för informationssäkerhet Säkerhet vid utomstående parts åtkomst Utkontraktering (outsourcing) Skydd av personuppgifter KLASSIFICERING AV TILLGÅNGAR Ansvar för tillgångar Klassificering av informationstillgångar PERSONAL OCH INFORMATIONSSÄKERHET Säkerhet i arbetsbeskrivning och vid rekrytering och omplacering Användarutbildning Reaktion på säkerhetsincidenter och funktionsfel FYSISK OCH MILJÖRELATERAD SÄKERHET Säkrade utrymmen Skydd av utrustning Allmänna åtgärder STYRNING AV KOMMUNIKATION OCH DRIFT Driftrutiner och ansvar Systemplanering och systemgodkännande Skydd mot skadliga program Ordning och reda Styrning av nätverk Mediahantering och mediasäkerhet Utbyte av information och program STYRNING AV ÅTKOMST Verksamhetskrav på styrning av åtkomst Styrning av användares åtkomst Användares ansvar Styrning av åtkomst till nätverk Styrning av åtkomst till operativsystem Styrning av åtkomst till tillämpningar Övervakning av systemåtkomst och systemanvändning Mobil datoranvändning och distansarbete SYSTEMUTVECKLING OCH UNDERHÅLL Säkerhetskrav på system Säkerhet i tillämpningssystem Krypteringsåtgärder Säkerhet i databaser och filer Säkerhet i utvecklings- och underhållsprocesser KONTINUITETSPLANERING Aspekter på kontinuitetsplanering EFTERLEVNAD AV LAGAR OCH AVTAL Efterlevnad av rättsliga krav Granskning av säkerhetspolicy och teknisk efterlevnad Hänsynstagande vid revision av system

4 4

5 Förord Föreliggande dokument ingår i den samling dokument och rutiner som tillsammans utgör [fs] ledningssystem för informationssäkerhet. Dokumentets struktur är baserad på standarden SS-ISO/IEC Se följande översikt som visar de viktigaste dokumenten: 1. Policy för informationssäkerhet Detta är kortfattat dokument (på en till två A4-sidor) som på ett övergripande plan beskriver [fs] viljeinriktning. 2. Regler och riktlinjer för informationssäkerhet Dessa regler beskriver organisation, ansvar, roller och vad vi som anställda skall tänka på i vårt dagliga arbete för att hålla informationssäkerheten på en acceptabel nivå. detta dokument 3. IT-säkerhetskrav för system Detta är inget dokument utan en databas med säkerhetskrav. Utifrån en given säkerhetsprofil, dvs ett systems fastställda nivåer på säkerhetsklasserna S (sekretess), R (riktighet) och T (tillgänglighet) är det möjligt att vaska fram de säkerhetskrav som är relevanta för det aktuella systemet. 4. Anvisningar och förklaringar till regler och riktlinjer för informationssäkerhet Detta är en samling förtydliganden av de regler och riktlinjer för informationssäkerheten som tidigare utformats som ett antal paragrafer. Anvisningarna är numrerade med säkerhetsreglernas paragrafnummer med tillägg av en bokstav. Första anvisningen för en regel har tilläggsbokstaven a och andra anvisningen har tilläggsbokstaven b, osv. Exempel: Informationssäkerhetsregel Ledningsgrupp för informationssäkerhet Här beskrivs mycket kortfattat på två rader vad som gäller. Anvisning 1.1.1a Ledningsgrupp för informationssäkerhet Här visas i detalj vad som gäller. Den inbördes relationen mellan de fyra dokumentgrupperna som här beskrivits kan åskådliggöras med en pyramid enligt följande: Informationssäkerhetspolicy Regler och riktlinjer för informationssäkerhet IT-säkerhetskrav för system Det figuren vill förmedla är att omfattningen av materialet är störst i botten på pyramiden. Där sker också en kontinuerlig förändring. I toppen av pyramiden råder minst rörlighet. Informationssäkerhetsanvisningar och förklaringar 5

6 Definition av begreppet IT-säkerhet IT-säkerhet är en delmängd av informationssäkerhet vilket kan beskrivas med följande figur: IT-säkerhet kvalitet i elektronisk hantering av information Informationssäkerhet kvalitet i hanteringen av information generellt Ledningssystem för informationssäkerhet Som sagts tidigare är föreliggande dokument en del av ledningssystemet för informationssäkerhet. Följande bild visar principen för ett ledningssystem: ACT ACT (förbättra) (förbättra) A Underhåll och förbättra LIS CHECK CHECK (följ upp) (följ upp) Följ upp och granska att regler och rutiner följs och att de fungerar PDCA - hjulet PLAN PLAN (planera) (planera) Skapa ledningssystem P för IT-säkerhet (LIS) DO (genomför) DO (genomför) Driftsätt regler och rutiner för LIS Riskanalysen den motor som håller igång hjulet Den motor som håller PDCA-hjulet igång är riskanalysen, dvs alla förslag till förbättringar har sin grund i att identifierade risker är på acceptabel nivå. Det är således begreppet RISKHANTERING som är av central betydelse. Riskerna identifieras kontinuerligt och åtgärder sätts in för att eliminera risker eller sänka risknivåer. Efter en tid görs nya riskanalyser för att se om åtgärderna har haft önskad effekt eller om nya hot har uppstått som har förändrat riskbilden. Ovanstående bild har två budskap: 1. Kontinuerlig förbättring av organisationen (människornas säk-medvetande och IT-systemens säkerhet) Begreppet ledningssystem har följande innebörd: Det skall ske en kontinuerlig kontroll av att organisationen följer informationssäkerhetsregelverket. Det skall också kontrolleras att organisationen och IT-systemen möter upp till gällande informationssäkerhetskrav. De brister som uppdagas skall åtgärdas genom utbildning, rutinförändringar och upprättandet av åtgärdslistor som sedan följs upp. 2. Kontinuerlig förbättring av säkerhetsregelverket, säkerhetskraven och säkerhetsarbetet Begreppet ledningssystem har följande innebörd: Det skall ske en kontinuerlig kontroll av att regelverket är utformat på ett sådant sätt att det är styrande för verksamheten. Det skall också kontrolleras att säkerhetskraven för systemens olika säkerhetsprofiler är de rätta. Det skall också kontrolleras att säkerhetsarbetet bedrivs på ett strukturerat sätt. De brister som uppdagas korrigeras genom att regelverk, säkerhetskrav och rutinerna för säkerhetsarbetet revideras. Därefter fortbildas berörd personal. Med ett fungerande ledningssystem för informationssäkerhet är ambitionen att det vid [f] bedrivs ett strukturerat informationssäkerhetsarbete. 6

7 1. Organisation för informationssäkerhet Syfte: Gällande princip: Att beskriva organisation och ansvar för utformandet och fastställandet av regler och riktlinjer för hur informationssäkerheten skall hanteras inom [f]. Målsättningen är att minska riskerna för misstag och resursmissbruk. För att skydda informationstillgångarna måste det finnas en infrastruktur för informationssäkerhetsarbetet. Ansvarsfördelning: [här formuleras i grova drag hur ansvaret för informationssäkerheten vid företaget fördelats] Referenser: [här refereras till andra dokument som kan vara av intresse i sammanhanget] 1.1 Infrastruktur för informationssäkerhet Mål: Att styra informationssäkerhet inom [f] Ledningsgrupp för informationssäkerhet [beskriv vad som gäller på företaget] Se också anvisningen 1.1.1a Ledningsgrupp för informationssäkerhet Fördelning av ansvar för informationssäkerheten [beskriv vad som gäller (i detalj)] Se också anvisningen 1.1.3a Fördelning av ansvar för informationssäkerheten Samarbete mellan organisationer [här beskrivs vem som ansvarar för att kontakter med andra företag och möjligen även kritiska tjänsteleverantörer] 7

8 1.2 Säkerhet vid utomstående parts åtkomst Mål: Att upprätthålla säkerheten för [fs] informationsbehandlingsresurser och informationstillgångar även vid tredjepartsåtkomst. Säkerheten för [fs] informationsbehandlingsresurser skall upprätthållas även vid tredjepartsåtkomst 1 genom dokumenterade regler för de situationer detta kan vara aktuellt. Tredjepartsåtkomst skall föregås av beslut av ansvarig chef. Beslut skall föregås av riskanalys och efter de eventuella åtgärder som riskanalysen föreslår. Avtal mellan parterna skall reglera gemensamma synsätt för informationssäkerhet och villkor för beviljad åtkomst Riskanalys vid utomståendes åtkomst Innan utomstående bereds åtkomst till [fs] information eller informationssystem skall en riskanalys genomföras som grund för beslut och förslag till nödvändiga skyddsåtgärder Säkerhetsvillkor i avtal med utomstående part Avtal skall upprättas med utomstående part där tjänsterna avser åtkomst till informationsresurser, system, information, lokaler och anläggningar. Extern personal (servicepersonal, konsulter, hantverkare) skall informeras om reglerna för åtkomst, tillträde, brandskydd etc. Om åtkomsten avser system med sekretessklass [ange sekretessklass] eller högre skall särskilt sekretessavtal skrivas. Med utomstående part avses alla situationer där en av [f] engagerad leverantör eller annan samarbetspartner genom av [f] utdelad behörighet har tillgång till information. Servicepersonal och hantverkare som skall utföra arbete inom utrymme för serverdatorer och/eller nätverksanläggningar skall informeras om reglerna för dessa lokaler, t ex brandbestämmelser, passagebestämmelser. 1 Med tredjepartsåtkomst avses alla situationer där [f] engagerat leverantör eller annan samarbetspartner med behörighet att tillgå [fs] information. 8

9 1.3 Utkontraktering (outsourcing) Mål: Att upprätthålla informationssäkerhet när ansvaret för informationsbehandling har lagts ut på en utomstående organisation. [fs] krav på informationssäkerhet skall säkerställas när utföraransvaret för informationsbehandling läggs ut på entreprenad. Avtal skall upprättas som också omfattar gällande säkerhetskrav. Riskanalys skall föregå beslut om utkontraktering/outsourcing Säkerhetskrav i utkontrakteringsavtal Då extern part kontrakteras för att ta hand om informationssystem, nätverk och/eller andra datamiljöer skall [fs] säkerhetskrav finnas med i avtalet. Följande punkter bör beaktas: 1. Hur de rättsliga kraven i olika författningar skall uppfyllas, t ex personuppgiftslagen. 2. Vilka åtgärder som skall vidtagas för att säkerställa att alla berörda parter, inklusive underleverantörer är medvetna om sitt säkerhetsansvar. 3. Hur riktighet och sekretess rörande [sf] verksamhetstillgångar kan upprätthållas och testas. 4. Vilka fysiska åtgärder som kommer att vidtas för att begränsa åtkomsten till [fs] känsliga information till enbart behöriga användare. 5. Vilka logiska åtgärder (t ex behörighetskontroller) som kommer att vidtas för att begränsa åtkomsten till [fs] känsliga information till enbart behöriga användare. 6. Hur verksamheten kommer att kunna hållas igång vid en eventuell katastrofhändelse. 7. Vilken fysisk säkerhetsnivå som skall gälla för utrustning som läggs ut. 8. Det bör säkerställas att [f] har rätt att genomföra revision av säkerheten hos tjänsteleverantören. 9. [f] skall ha rätt att kontrollera att avtalade regler fullföljs. 1.4 Skydd av personuppgifter Mål: Att se till att [f] följer vad som sägs i personuppgiftslagen PUL Behandling av personuppgifter Behandling av personuppgifter som är helt eller delvis automatiserad skall anmälas på särskild blankett. Blanketten skall sändas till [ange roll] som är personuppgiftsombud enligt personuppgiftslagen (1998:203), PUL. Blanketten finns att tillgå på [ange plats] under rubriken [ange rubrik]. Se också anvisningen 1.4.1a Hantering av anmälan av personuppgifter. 9

10 2. Klassificering av tillgångar Syfte: Gällande princip: Visa hur man praktiskt går tillväga för att klassificera [fs] informationstillgångar. Ansvaret för att så sker ligger på respektive informationsägare som normalt är samma person som systemägaren. Varje informationstillgång skall dels ha en utpekad ägare och dels vara klassad avseende sekretess. Ansvarsfördelning: [här beskrivs ansvarsfördelningen] Referenser: [här refereras till andra dokument som kan vara av intresse i sammanhanget] 2.1 Ansvar för tillgångar Mål: Att upprätthålla tillräckligt skydd för [fs] informationstillgångar Förteckning över tillgångar Informationsbehandlingsresurser (information, IT-system, tillämpningssystem, register, PCprogram, utrustning och samtliga användare) skall vara förtecknade. Utrustning, i synnerhet sådan som är stöldbegärlig, skall vara märkt. Eventuell omflyttning och överlåtelse till annan användare skall ske enligt fastställda rutiner. Identifiera alla viktiga informationstillgångar och skapa en förteckning. Håll förteckningen uppdaterad. Den som är utpekad som informationsägare är ansvarig för att detta sker. Exempel på informationstillgångar är ritningar, databaser, föreskrifter, mm. När förteckningen har upprättats, skall informationstillgångarna värderas. Det finns två principer att värdera efter: 1. Vad har det kostat att ta fram informationstillgångarna? 2. Vad skulle det kosta idag att ta fram motsvarande? Möjligen är det den senare principen som bör användas. 10

11 2.2 Klassificering av informationstillgångar Mål: Att säkerställa att informationstillgångar ges en lämplig skyddsnivå Riktlinjer för klassificering av systems skyddsklasser (säkerhetsprofil) Informationstillgångar som lagras elektroniskt skall klassificeras med hänsyn till skyddsbehovet. Skyddsbehovet indelas i tre skyddsklasser. Var och en av skyddsklasserna indelas i tre skyddsnivåer. För sekretess finns en fjärde nivå som avser information som om den kommer obehöriga till del kan leda till skada för rikets säkerhet. Skyddsklass S (sekretess) Sekretess är ett mått på informationens känslighetsgrad i händelse av att den kommer obehöriga till del. Synonym: konfidentialitet. Skyddsklass R (riktighet) Med riktighet avses användbarhet av information för en given användare och ett givet problem (att kunna lita på informationen). Riktighet mäts i termer av kvalitet i verksamheten. Kvalitetsaspekter på informationen kan vara av många slag: objektiv felfrihet, noggrannhet, detaljeringsgrad, validitet, tillförlitlighet, konsistens (fritt från inbördes motsägelser) etc och kan därmed ha olika typer av effekter. Synonym: informationskvalitet. Skyddsklass T (tillgänglighet) Med tillgänglighet avses möjligheten att utnyttja informationsresurser efter behov i förväntad utsträckning och inom önskad tid (informationen finns när den behövs). Se också anvisningen 2.2.1a Klassificering av IT-system i avseende på skyddsbehov Sekretessklassning av information Det finns två slag av sekretess och den gäller för all information (ritningar, strukturer, mm) oberoende av format (muntlig, på papper och elektroniskt): KH Kvalificerat företagshemlig enligt lagen (1990:409) om skydd av företagshemligheter H Hemlig enligt lagen (1990:409) om skydd av företagshemligheter. Öppen information är information som ej är belagd med sekretess. Det är varje medarbetares ansvar att se till att den information han/hon upprättar åsätts rätt sekretessklass. Datamedia skall märkas med avseende på innehåll och det skall också framgå om sekretess råder. Se också anvisningen 2.2.2a Märkning och klassificering av information 11

12 3. Personal och informationssäkerhet Syfte: Gällande princip: Att minimera riskerna för mänskliga misstag, missbruk av resurser i verksamheten samt brott såsom t ex stöld och bedrägeri. De anställda brukar kallas företagets viktigaste resurs, men för att denna resurs skall vara av fullgott värde krävs utbildning. Utbildningen måste också följas upp, dvs det måste säkerställas att det finns ett säkerhetsmedvetande hos de anställda. Ansvarsfördelning: Chefer ansvarar för att egen och extern personal får en god och anpassad utbildning. Chefer ansvarar också för att underställd personal ej utnyttjar informationstillgångar på ett otillbörligt sätt. Den som anlitar konsult ansvarar för att avtal med konsulten upprättas, att han/hon får utbildning i [fs] säkerhetsregler och rutiner, att konsulten genomför sitt uppdrag i enlighet med [fs] säkerhetsregler. Referenser: [här refereras till andra dokument som kan vara av intresse i sammanhanget] 3.1 Säkerhet i arbetsbeskrivning och vid rekrytering och omplacering Mål: Att minska riskerna för mänskliga misstag, stöld, bedrägeri och missbruk av resurser Inkluderande av säkerhet i beskrivning av ansvar i arbetet Alla medarbetare, chefer som medarbetare, skall vara medvetna om sitt ansvar vad gäller informationssäkerhet. Chefer i linjeorganisationen ansvarar för att medarbetare och eventuella leverantörer till linjeorganisationen är säkerhetsmedvetna. De skall vara informerade om och arbeta i enlighet med [fs] informationssäkerhetsföreskrifter Sekretessavtal 1. Driftpersonal, leverantörens personal och konsulter skall vara medvetna om gällande sekretessbestämmelser. För leverantörer och konsulter skall detta regleras i avtal. 2. Användare skall ha fått information om gällande sekretessbestämmelser för att få tillgång till systemet. 3. För all personal som har tillgång till system som åsatts sekretesskyddsnivå [ange skyddsnivå] gäller att de: skall ha fått skriftlig information om sekretessbestämmelser skall ha skriftligen bekräftat detta genom sekretessförbindelse. 12

13 3.2 Användarutbildning Mål: Att säkerställa att användare är medvetna om hoten mot informationssäkerheten och är rustade så att de i sitt dagliga arbete kan stödja [fs] säkerhetsregler. Utbildning och information till all egen och all inhyrd personal skall ingå i en kontinuerlig process för att skapa medvetande om informationssäkerhet i allmänhet och gällande säkerhetsregler i synnerhet Utbildning och övning i informationssäkerhet Utbildning och information i informationssäkerhet skall ges till all personal dels allmänt och dels enligt identifierade behov. Användardokumentation skall finnas - för alla IT-system som används av mer än en person, - för alla IT-system i övrigt som ingår som en del i verksamheten. Användardokumentationen riktas till användare av datasystemet. Den utformas med hänsyn till olika användarens kunskaper och behov och riktas både till normal användare och till nybörjare. Dokumentationen skall minst innehålla: - Övergripande beskrivning - Handhavande av systemets funktioner - Systemets förvaltningsorganisation - Vart man vänder sig för att få hjälp samt anmäler fel och incidentrapporter. - Säkerhetsbestämmelser för systemet och dess information. Användardokumentation kan med fördel integreras i systemet eller vara tillgänglig "on line". 13

14 3.3 Reaktion på säkerhetsincidenter och funktionsfel Mål: Att undvika skador på grund av säkerhetsincidenter och brister samt att övervaka och dra lärdom av dessa Rapportering av säkerhetsincidenter Säkerhetsincidenter skall snarast möjligt rapporteras för att möjliggöra nödvändiga åtgärder för att minimera skada, åtgärda brister och utreda eventuell brottslighet. Följande gäller för rapporteringen: - Den ligger till grund för uppföljning av inträffade incidenter och redovisning till verksamhetsledning. - Den skall göras till närmaste chef eller enligt fastlagd rapporteringsrutin som sedan sänds vidare till [ange ansvarig roll]. IT-incidenter inom [f] skall rapporteras med hjälp av framtagen blankettmall. Det är systemägaren som har rapporteringsplikten, men alla som berörs av en IT-incident skall göra ansvarig systemägare uppmärksammad på att en IT-incident har inträffat så att denne kan skriva en rapport om det inträffade. Observera att även tekniska haverier som varit till allvarligt men för verksamheten är att betrakta som incidenter. Se instruktionen Rutin för rapportering av IT-incidenter. Instruktionen och blankett för rapportering finns att tillgå på intranätet med följande sökväg: [ange sökväg] Rapportering av säkerhetsmässiga svagheter Användare av information och IT-system skall till [ange roll] rapportera de säkerhetsmässiga svagheter i system och rutiner som denne uppmärksammar. Rapporteringen kan i enkla fall göras via epost. Allvarligare säkerhetsmässiga svagheter noteras på papper och sänds via internposten i slutet kuvert till systemägaren Rapportering av funktionsfel i program Användare som uppmärksammar funktionsfel i IT-system skall rapportera detta enligt rutin för sådan rapportering Disciplinär process Överträdelser av [fs] regler och riktlinjer för informationssäkerhet är en personalfråga och hanteras av den anställdes närmaste chef. Misstanke om att någon grovt nyttjat [fs] IT-systemresurser i eget vinstsyfte för privat sidoverksamhet skall anmälas till [ange roll] för utredning. 14

15 4. Fysisk och miljörelaterad säkerhet Syfte: Gällande princip: Förhindra att obehöriga får tillträde till utrymmen där [f] har IT-system som hanterar känslig information. Informationstillgångarna skall skyddas mot fysisk och miljörelaterad skada. Brister i det fysiska skyddet kan leda till att det logiska skyddet sätts ur spel. Ansvarsfördelning: [ange roll] ansvarar för det fysiska skyddets utformning. Varje medarbetare ansvarar för att hålla uppsikt över att det fysiska skyddet inte har satts ur spel. Fysisk säkerhet är ett ägarkrav och är också ett krav i lagstiftningen. För att hålla tillräckligt hög nivå krävs säkerhetsmedveten personal. Referenser: [här refereras till andra dokument som kan vara av intresse i sammanhanget] 4.1 Säkrade utrymmen Mål: Att förhindra obehörigt tillträde och åtkomst, skador och störningar i organisationens lokaler och information. För säkrade utrymmen gäller: - Information om ett säkrat utrymmes existens och syfte skall begränsas. - Säkrade utrymmen skall vara låsta. - Utomståendes (även servicepersonals) tillträde skall begränsas så långt möjligt. - Fotografering och annan avbildning får endast ske efter särskilt tillstånd Skalskydd För verksamheten kritiska eller viktiga informationsbehandlingsresurser bör inrymmas i säkra utrymmen inom ett avgränsat skalskydd med lämpliga spärrar och tillträdeskontroller. De bör skyddas fysiskt mot otillåten åtkomst, skada och störning. Nivån på skalskyddet fastställes med hjälp av riskanalys. Etablerat fysiskt skydd skall samverka med [fs] yttre skalskydd. Utrymmen för gemensamma informationsbehandlingsresurser, centrala datorer, serverdatorer och nätverkskomponenter som är kritiska för verksamheten betecknas som "säkra utrymmen". Installationer av tillträdesskydd, inbrottslarm och brandlarm bör grundas på av auktoriserad organisations normer om sådana finns, t ex Försäkringsförbundets regler RUS, nivå 2. 15

16 4.2 Skydd av utrustning Mål: Att förhindra förlust, skada eller åverkan på utrustning samt förhindra avbrott i verksamheten. Utrustning för informationsbehandling, servrar, arbetsplats-pc etc. skall skyddas fysiskt mot säkerhetshot och miljörisker. Skyddets nivå skall följa [fs] generella regler eller fastställas genom riskanalys Placering och skydd av utrustning Som riktlinjer och anvisningar för fysiskt skydd vid placering av informationsbehandlingsutrustning gäller följande - Utrustning skall skyddas för obehörigas tillträde. Skyddet skall vara anpassat efter vad som framkommit i riskanalys. - Om känslig eller sekretessbelagd information behandlas skall insynsaspekten beaktas vid placering, t.ex. vid fönster. - Eventuellt anvisat stöldskydd skall användas eller alternativa skyddsåtgärder skall övervägas. - Påverkan av skada p.g.a. brand, rök, vatten, damm, vibrationer, kemiska substanser, brister i elförsörjning skall beaktas. En påslagen terminal eller arbetsplatsdator som är inloggad i ett eller flera system innebär en exponering av systemets information. Arbetsplatsutrustning som inte är bemannad dygnet runt skall därför loggas ut ur och stängas av efter arbetstidens slut. Skärmsläckaren skall vara aktiverad så att lösenord måste ges när arbetsplatsen stått orörd 20 minuter. Observera gällande regler för lösenord. Skrivares placering skall ur säkerhetssynpunkt avgöras utifrån den information som skrivaren skall användas för. Skrivare som skall användas för information som klassats i sekretessklass 2 eller 3 skall placeras på sådant sätt att obehöriga ej får tillgång till skrivaren. I utrymme där sekretessbelagd eller i övrigt känslig information skrivs ut bör ej finnas telefax, kopiator, skanner eller liknande utrustning. Verksamhetsansvarig linjechef (eller den denne utser) ansvarar för ordningen runt skrivaren. Kvarliggande utskrifter skall makuleras och pappersdamm avlägsnas för att minska brandrisken vid eventuella elfel. PC, skrivare och annan datorutrustning är stöldbegärlig. Arbetsplatsutrustning får därför inte placeras i lokaler som inte har skalskydd som är anpassat för hotbilden. Utrymmen för serverdatorer och nätverksutrustning i drift får ej användas som förråd. 16

17 4.2.5 Säkerhet för utrustning utanför egna lokaler Utrustning som används utanför [fs] lokaler skall skyddas så att samma säkerhetsnivå uppnås som om utrustningen användes i de egna lokalerna. Detta skall uppnås genom lämplig kombination av tekniska, fysiska och logiska skyddsåtgärder samt genom regler för handhavande. Bärbar PC: Samma regler för säkerhetsnivå som för nätansluten standard-pc skall gälla vid användning av bärbar PC. Vid arbete utanför ordinarie arbetsplats skall förvaring av såväl utrustning som disketter ägnas särskild uppmärksamhet på grund av stöldrisk, virusrisk och risk för informationsförlust. Användaren ansvarar för att backup och säkerhetskopiering av lokalt lagrad data sker. Beroende på vilken information PC:n innehåller kan särskilda säkerhetsåtgärder behöva vidtas. Distansarbetsplats: Samma regler för säkerhetsnivå som för nätansluten arbetsplats inom [f] skall gälla vid arbete på distansarbetsplats. Detta innebär bland annat att samma fysiska skydd, BKS, m.m. (beroende på klassificering) som krävs för arbetsplats inom [f] skall anordnas innan arbetsplatsen kan tas i bruk Säker avveckling eller återanvändning av utrustning Avveckling eller återanvändning av utrustning skall ske så att informationsförlust eller obehörig åtkomst förhindras. Standard-PC, eller annan utrustning för informationsbehandling, som inte utnyttjas skall återlämnas till [fs] IT-enhet eller motsvarande eller hanteras enligt särskild instruktion för uttjänt utrustning. För all datorutrustning som skrotas skall formellt skrotningsprotokoll upprättas. All förvaring av reservutrustning, ny utrustning som inte hunnit installeras och utrustning som skall återanvändas eller utrangeras skall ske i låsta utrymmen. Lagrad information skall raderas säkert, alternativt skall minnesmedia, hårddisk, diskett etc. förstöras vid utrangering, skrotning, avyttring eller återanvändning av standard-pc, bärbar PC eller annan utrustning där information lagrats. Hårddisk med kvalificerat hemlig information skall alltid förstöras vid utrangering. Beträffande datamedia med känslig information, se

18 4.3 Allmänna åtgärder Mål: Att förhindra att information och informationsbehandlingsresurser äventyras eller stjäls. Information och informationsbehandlingsresurser kan skyddas både genom tekniska skyddsåtgärder och personalens handhavande. Alla förhållanden kan vanligen inte regleras utan ordning, reda och sunt förnuft bör uppmuntras som en del av arbetskulturen. Alla chefer har en viktig uppgift i att uppträda föredömligt Policy för dokumentförvaring på rummet och på bildskärm Ordningsregler skall finnas för hantering av information både i form av dokument och med hjälp av datorer. Dokument med känsligt innehåll skall förvaras så att obehöriga inte kan ta del av informationen. Följande bör beaktas: Hur olika typer av känslig information skall förvaras och hanteras på rummet, så att de anställda är medvetna om att information som ligger framme lätt kan komma obehöriga till del till skada för [f]. Vilken information som skall låsas in i brandsäkert skåp respektive säkerhetsskåp. Hur utskrifter av känslig information skall hanteras. Regler för dokumentförvaring på skrivbord och på bildskärm bör övervägas. 18

19 5. Styrning av kommunikation och drift Syfte: Säkerställa korrekt och säker drift av IT-utrustningarna. Gällande princip: Säkerhetskraven för varje IT-system eller kritisk informationsresurs skall anges utifrån genomförd klassificering. Angivna säkerhetskrav skall jämföras med aktuell situation för att utforma åtgärdsprogram. Redan på planeringsstadiet av datorsystem och kommunikationslösningar måste säkerhetsaspekterna beaktas. Ansvarsfördelning: IT-chefen ansvarar för all datorutrustning vilket inkluderar utrustning för LAN och i viss mån WAN. K-chefen ansvarar för viss utrustning för kommunikation mot anläggningar. Referenser: [här refereras till andra dokument som kan vara av intresse i sammanhanget] 5.1 Driftrutiner och ansvar Mål: Att säkerställa korrekt och säker drift av informationsbehandlingsresurser. Chefen för IT-avdelningen är ansvarig för ledning och drift av gemensamma informationsbehandlingsresurser för verksamheten. Ansvaret omfattar att tillgodose överenskomna krav på sekretess, riktighet och tillgänglighet i tillämpad infrastruktur för informationsbehandling inklusive datakommunikation Dokumenterade driftrutiner Driftrutiner skall vara dokumenterade och hållas aktuella och ändringsrutin för driftdokumentation skall tillämpas Styrning av ändringar i drift Fastställda processer för hantering av förändringar i system skall alltid följas. Process för ändringshantering skall följas även för åtgärder som är av ren infrastrukturell karaktär. Motsvarande process skall följas när det gäller program som erhålls från programleverantör. Samtliga ändringar skall också kunna härledas till en ansvarig beställare. Förändringar i driftmiljö, utrustning och rutiner skall styras genom formell rutin som innebär: - identifiering och registrering av större ändringar; - konsekvensanalys av sådana ändringar; - godkännande/beslutsform för ändringar; - informationskrav till verksamheten; - rutin för avbrytande av och återställande av misslyckade ändringar. Systemförvaltaren ansvarar för att ovanstående regler följs. 19

20 5.1.3 Rutin för att återställa system efter allvarlig IT-incident Att återställa system efter allvarlig IT-incident kräver både förberedelser och kompetens. Processen för att återställa system efter allvarlig IT-incidenthantering kännetecknas bland annat av att: - det skall vara klarlagt hur och till vem rapportering skall ske; - det skall finnas resurser för att prioritera och åtgärda inträffade incidenter, inklusive beslutsmodell; - det skall finnas rutin för information, som del av åtgärderna, statistiskt och till ledning och övriga; - skeenden och åtgärder skall vara spårbara eller möjliga att följa upp i efterhand; - det skall finnas rutiner för återställning till normal drift efter att en incident åtgärdats; - rutinerna skall ta hänsyn till eventuellt behov av polisutredning vid misstanke om brottslig handling. Varje organisation som genom avtal eller delegation ansvarar för drift av IT-system för [fs] räkning skall i samarbete med uppdragsgivaren alternativt systemägarna för aktuella system upprätta rutiner för vissa onormala situationer. Rutinerna skall bl.a. ange: - Hur användarna informeras vid driftstörningar. - Hur rapportering skall ske vid störningar, fel och IT-incidenter. - Hur prioritering skall göras mellan system. - Hur man skall agera vid samtidiga störningar i flera system Uppdelning av arbetsuppgifter Arbetsuppgifter och ansvarsområden skall delas upp så att möjligheter till obehörig förändring eller missbruk av information eller tjänster minskas Uppdelning av utvecklings- och produktionsresurser Utvecklings-, test- och driftmiljö skall utformas så att risk för sammanblandning minimeras. Åtgärderna bör medge att: - utvecklings- och driftprogram kan köras i skilda tekniska miljöer; - utvecklings- och testarbete kan åtskiljas. 20