EBITS Energibranschens IT-säkerhetsforum

Transkript

1 EBITS Energibranschens IT-säkerhetsforum Bruksanvisning till malldokument för REGLER OCH RIKTLINJER FÖR INFORMATIONSSÄKERHET Version Dokumentet skall anpassas specifikt för företaget. - Sök upp de ställen i dokumentet där det står [f]. Denna teckenkombination ska ersättas med företagets namn. - Sök upp de ställen i dokumentet där det står [fs]. Teckenkombinationen ska ersätta företagets i namn i genitiv. - Sök på klammerparentes, dvs tecknet [. Detta tecken inleder en anvisning om att man t ex ska skriva in gällande roll för en person eller ett dokumentnamn. 2. Dokumentet ska skrivas ut dubbelsidigt, helst i färg. 3. På sidan 5 hänvisas till IT-säkerhetskrav för IT-system. Detta är databas med ett antal säkerhetskrav. Gällande krav för ett givet system bestäms av informationsklassningen, dvs tillgänglighet, sekretess och riktighet bedöms med en 5-gradig skala. 4. Du kan skapa olika utdrag ur regelverket för t ex chefer och generella användare. Förslag till sådana utdrag ges i bilaga 1 och 2. När du gör ett sådant utdrag kan det vara lämpligt att ta med alla kapitelrubriker, målformuleringar, mm. Det är således bara antalet paragrafer (regler) som begränsas. 5. Strukturen för regelsystemet baserar sig på standarden SS-ISO/IEC med följande skillnad: - Kapitel 1 i malldokumentet motsvarar kapitel 4 i standarden. - Alla paragrafer i standarden har inte tagits med. För den som vill ha en mer fullständig omfattning av sitt regelverk hänvisas standarden som finns att köpa på SIS förlag. Den kan beställas över Internet på följande adress: - SIS förlag publicerar också via Internet en handledning för planeringsfasen av regelverket. Du kan ladda hem den från följande adress: Revisionshistorik Datum Version Ansvarig Kommentar L Castenhag Ett första utkast Bruksanvisning för malldokument.doc 1 (5)

2 Bilaga 1: Utdrag ur regelverket för chefer och chefer 1. IT-säkerhetsorganisationen 1.1 Infrastruktur för IT-säkerhet Ledningsgrupp för IT-säkerhet X Fördelning av ansvar för IT-säkerheten X Samarbete mellan organisationer 1.2 Säkerhet vid utomstående parts åtkomst Riskanalys vid utomstående åtkomst X Säkerhetsvillkor i avtal med utomstående part 1.3 Utkontraktering Säkerhetskrav i utkontrakteringsavtal X 1.4 Skydd av personuppgifter Behandling av personuppgifter X X 2. Klassificering av tillgångar 2.1 Ansvar för tillgångar Förteckning över tillgångar 2.2 Klassificering av informationstillgångar Riktlinjer för klassificering av system (säkerhetsprofil) X Sekretessklassning av information X 3. Personal och säkerhet 3.1 Säkerhet i befattningsbeskrivning och Inkluderande av säkerhet i beskrivning av ansvar i arbetet X X Sekretessavtal X X 3.2 Användarutbildning Utbildning och övning i informationssäkerhet X X 3.3 Reaktion på säkerhetsincidenter och funktionsfel Rapportering av säkerhetsincidenter X X Rapportering av säkerhetsmässiga svagheter X Rapportering av funktionsfel i program X Disciplinär process X X 4. Fysisk och miljörelaterad säkerhet 4.1 Säkrade utrymmen Skalskydd 4.2 Skydd av utrustning Placering och skydd av utrustning X X Säkerhet för utrustning utanför egna lokaler X X Säker avveckling eller återanvändning av utrustning X X 4.3 Allmänna åtgärder Policy för dokumentförvaring på rummet och på bildskärm X X 5. Styrning av kommunikation och drift 2

3 5.1 Driftrutiner och ansvar Dokumenterade driftrutiner X Styrning av ändringar i drift Rutin för att återställa system efter allvarlig IT-incident Uppdelning av arbetsuppgifter X Uppdelning av utvecklings- och produktionsresurser 5.2 Systemplanering och systemgodkännande Systemgodkännande 5.3 Skydd mot skadliga program Åtgärder mot skadliga program X X 5.4 Ordning och reda Säkerhetskopiering Övriga loggar 5.5 Styrning av nätverk 5.6 Mediahantering och mediasäkerhet Avveckling av media X X Rutiner för informationshantering X X 5.7 Utbyte av information och program Avtal och utbyte av information och program Säkerhet för media under transport Säkerhet för elektronisk post X X Allmänt tillgängliga system 6. Styrning av åtkomst 6.1 Verksamhetskrav på styrning av åtkomst Policy för styrning av åtkomst 6.2 Styrning av användares åtkomst Användarregistrering Styrning av särskilda rättigheter Styrning av lösenord för användare Granskning av användares åtkomsträttigheter X 6.3 Användares ansvar Användning av lösenord X Obemannad användarutrustning X 6.4 Styrning av åtkost till nätverk Policy för nyttjande av nätverkstjänster X Tvingande vägval X Autentisering av användare för extern utrustning Autentisering av nod Skydd av extern diagnosport Uppdelning i nätverk Kontroll över nätverksanslutning Styrning av vägval Säkerhet i nätverkstjänster 6.5 Styrning av åtkomst till operativsystem 3

4 6.5.1 Automatisk terminalidentifikation Påloggningsrutin för terminal Identifiering och autentisering av användare Tekniska krav på lösenordsrutin 6.6 Styrning av åtkomst till tillämpningar Begränsning av åtkomst till informationen X Isolering av känsliga system 6.7 Övervakning av systemåtkomst och systemanvändn Loggning av händelser Övervakning av systemanvändning Klocksynkronisering 6.8 Mobil datoranvändning och distansarbete Mobil datoranvändning X X Distansarbete X X 7. Systemutveckling och underhåll 7.1 Säkerhetskrav på system Analys och specifikation av säkerhetskrav Dokumentation av driftsatta system 7.2 Säkerhet i tillämpningssystem 7.3 Krypteringsåtgärder Policy för användning av krypteringsmetoder Digitala signaturer X Tjänster avseende oavvislighet X Nyckelhantering 7.4 Säkerhet i databaser och filer Styrning av program i drift Skydd av testdata 7.5 Säkerhet i utvecklings- och underhållsprocesser Rutiner för styrning av ändring Restriktioner mot ändringar i programpaket Dolda kanaler och trojansk kod Utlagd programutveckling 8. Kontinuitetsplanering 8.1 Aspekter på kontinuitetsplanering Process för verksamhetens kontinuitetsplanering Ramverk för verksamhetens kontinuitetsplanering 9. Efterlevnad av lagar och avtal 9.1 Efterlevnad av rättsliga krav Identifiering av rättsliga krav X X Immaterialrätt X 4

5 9.1.5 Förhindrande av missbruk informationsbehandlingsresurser X Reglering av kryptering 9.2 Granskn av säkerhetspolicy och teknisk efterlevnad Efterlevnad av säkerhetspolicy X Kontroll av teknisk efterlevnad X 9.3 Hänsynstaganden vid revision av system Styrning av revision av system Skydd av hjälpmedel för revision av system 5