TEKNISKA RIKTLINJER IT- SÄKERHET

Storlek: px
Starta visningen från sidan:

Download "TEKNISKA RIKTLINJER IT- SÄKERHET"

Transkript

1 ENHET, VERKSAMHETSOMRÅDE VÅR BETECKNING I, Informationssystem TR4-02 DATUM SAMRÅD NI, NK, SB TEKNISK RIKTLINJE VERSION B TEKNISKA RIKTLINJER IT- SÄKERHET Introduktion Denna Tekniska Riktlinje gäller för all IT-utrustning som används inom Svenska Kraftnät. För utrustning placerad i transformator- och kopplings-stationer finns kompletterade krav i enlighet med TR2-03. För EMC-krav hänvisas till TR samt för stationsbuss hänvisas till TR SvK405, v2.2, TEKNISKA RIKTLINJER TR4-02 revb 1/18

2 Revision Revision Ändringsnot Datum A Utgiven efter intern remiss B Kommentarer borttagna /18

3 Innehåll 1 Normativa hänvisningar Tekniska riktlinjer Tillämpliga normer och riktlinjer Inledning Definitioner och nomenklatur Undantagshantering Svenska Kraftnäts åtagande Leverantörens åtagande Tillgång till information och IT-infrastruktur IT-säkerhetstester och granskning av leverabler Hantering av säkerhetspåverkande fel och sårbarheter Uppdragets eller leveransens färdigställande Legala krav Arkitektur och principer Standarder Programvara Programmering Kommunikation /18

4 11.1 Kommunikationsinfrastruktur WAN-kommunikation och kommunikation via publika/semipublika transmissionsnät LAN-kommunikation Integration och informationsutbyte Fjärråtkomst Datalagring Behörighetssystem och behörighetshantering Spårbarhet och övervakning Specifika säkerhetsfunktioner Skydd mot skadlig kod Intrångsdetektering Programuppdateringar och programfixar Incidenthantering Kontrollutrustning och ändutrustning Extern IT-utrustning Fysiskt skydd Dokumentation Utbildning Revision Referenser /18

5 1 Normativa hänvisningar Vid utformning av IT-system och digital anläggningsutrustning gäller följande publikationer i senaste utgåva. 1.1 Tekniska riktlinjer TR Systemuppbyggnad TR Datorer i kontrollanläggning TR Stationsbuss TR9-04 Anläggningsskydd TR9-10 Fysisk säkerhet 1.2 Tillämpliga normer och riktlinjer SIS HB550 SIS Handbok 550 Terminologi för informationssäkerhet SS-ISO/IEC 27002:2005 Riktlinjer för styrning av informationssäkerhet 2 Inledning Denna tekniska riktlinje är en sammanställning av krav, regler, principer och rutiner. De har tagits fram för att skydda Svenska Kraftnäts verksamhet och samhällsviktig infrastruktur mot oavsiktliga händelser såväl som avsiktliga angrepp samt säkerställa verksamhetens kontinuitet. Ett grundskydd skapas genom att SvK kravställer mot leverantörer och entreprenörer så att de komponenter som levereras håller en godkänd miniminivå samt att leverantören har vissa underhållsåtaganden som fokuserar på IT-säkerhet. Anläggningsutrustning i Svenska Kraftnäts ägo består till allt större del på digitalteknik och datorer. Kontrollsystem, och tillhörande datorsystem, nyttjar i större utsträckning allmänna standarder: komponenter, mjukvara och kommunikationsprotokoll. Kundkrav på informationsutbyte med administrativa ITlösningar samt den tekniska utvecklingen har drivit fram dessa standardlösningar. Effekten av detta blir att vissa principer och rutiner som gäller för administrativ IT även måste överföras att gälla på den utrustning som används i anläggningar. De speciella krav och förutsättningar som gäller i anläggningar innebär dock att vissa nya krav och regler måste hanteras samt att några av de överförda principerna och rutinerna måste anpassas. Anläggnings-IT används som en del av fysiska processer där felaktigheter, missbruk eller aktiva angrepp kan leda till direkta fel i eldistributionen, medföra personskador eller leda till skador på anläggning och utrustning. IT används också i skyddsutrustning för skydda anläggningar och utrustning på ett säkert sätt. När IT används för skyddsfunktioner är det extra viktigt att IT-säkerheten är god, eller att skyddsfunktionerna hålls logiskt eller fysiskt separerade från andra IT-komponenter. IT i industriella sammanhang innebär ofta särskilda förutsättningar. En viktig aspekt är att system eller komponenter nyttjas under lång tid. Detta påverkar behovet att få in skydd och säkerhetsfrågor i IT-lösningarna rätt ifrån början. Arkitekturella fel eller grundläggande designmissar kan sällan ändras efter drifttagning eftersom särskilda omständigheter gäller vid underhåll av IT-baserade komponent i driftsatta anläggningar. Att upprätthålla ett grundskydd i de digitala systemen kräver aktiva insatser under planerings- och föreberedelsefaser, projektfas, aktiv produktion samt under utfasning 5/18

6 eller reservdelsersättning. Eftersom säkerhet i sig är en process, så avslutas inte säkerhetsarbetet i samband med projektavslut. Ansvaret för detta upprätthållande faller till delar på SvK och dess förvaltarroll, dels på leverantören genom kontraktsåttaganden. De skyddsåtgärder som framgår av denna tekniska riktlinje skall förebygga och ge skydd mot, bland annat: Förlust av systemtillgänglighet eller funktionalitet Påverkan som leder till systemintegritet eller dataintegritet längre inte kan uppnås eller garanteras Intrång, obehörigt användande Obehörig informationsåtkomst Spridning av skadlig kod Denna tekniska riktlinje innehåller enbart vissa delar om skydd för fysiska hot då detta avhandlas i TR9. Vissa fysiska skyddskrav, som skydd mot obehörig anslutning mot kommunikationsnät eller fysiskt skydd mot manipulation och åtkomst av ITutrustning omfattas av denna text. Detta är ett kravställande dokument. Målgruppen är alla som tillhandahåller ITbaserade system utanför ordinarie kontors-it-miljö, såsom exempelvis datorbaserade kontrollsystem, mätutrustning, datorbaserade system för fysiskt anläggningsskydd (passagesystem, larm, kameraövervakning, etc.), med mera. Texten är i vissa fall allmänt hållen, men detta är något som måste anpassas och preciseras när detta underlag slutligen omvandlas till del av ett avtal. 3 Definitioner och nomenklatur Autentisering. (eng. authentication). Verifiering av uppgiven identitet eller av ett meddelandes riktighet. Metod för att knyta en identitet till ett subjekt. Auktorisation (eng. authorisation). Princip att tilldela eller fastställa rättigheter hos ett subjekt för åtkomst till objekt. Kallas även behörighetshantering. Avsiktligt skadlig kod (eng. malicious code, hostile code eller malware) är en fackterm och ett samlingsnamn på en mängd säkerhetsproblem som är förknippade med program som består av, eller innehåller, avsiktligt skadliga program- och programdelar. Brandvägg (eng. firewall). En eller flera nätverkskomponenter vars regelverk kontrollerar, begränsar eller övervakar trafikutbyte mellan två, eller fler, nätverk. Dataintegritet (eng. data integrity). Försäkran, ofta med hjälp av tekniska skydd, att data är komplett och korrekt. Hot (eng. threat). Oönskade medvetna eller omedvetna handlingar eller händelser, som utförs eller orsakas av människor, av människan skapade artefakter eller naturliga fenomen och som antas kunna riktas mot viktiga värden eller en aktuell tillgång. Härdning (eng. hardening) Ett härdat system är ett system där funktioner i operativsystem är anpassade till att stödja systemets primära funktion och administrativa åtgärder. Övriga funktioner är avslagna, nedlåsta och på annat sätt konfigurerade för att förhindra att systemet används på ett oönskat sätt. Systemets primära funktion är även mycket begränsat så att den primära funktionen endast får genomföra de förändringar som det är designat för och att dessa kontroller inte främst kontrolleras av programmet, utan av operativsystemet. Informationssäkerhet (eng. information security). Åtgärder för att skydda information mot obehörig förändring, hindra informationsläckage, hindra 6/18

7 förstörelse av information samt se till att information är tillgänglig med rätt kvalitet i rätt tid. IT-säkerhet (eng. IT security). Skydd av informationstillgångar såsom information, mjuk- och hårdvara. IT-säkerhetsarkitektur. Den sammanhållna skydds- och säkerhetsmodellen för ett IT-landskap inkluderande system, infrastruktur och mjukvara. Logisk säkerhet (eng. logical security) Alla aspekter av säkerhet som är relaterat till elektroniska, digitala objekt. Kryptering (eng. encryption) är processen för att omvandla klartext till kryptotext. Kryptosystem (eng. encryption system) är en utrustning eller program som, inklusive nyckelhantering, som används för kryptografisk tillämpning omvandling mellan klartext och kryptotext. Oavvislighet (eng. non-repudiation). Ett specifik åtagande eller en utförd handling i efterhand inte skall kunna förnekas av utföraren. Risk- och sårbarhetsanalys (eng. risk assessment). Analys för att hitta vilka hot och risker som finns mot ett viss system eller en viss verksamhet. Ibland även kallad hot- och riskanalys. Sekretess (eng. confidentiality). Att information enbart är tillgänglig och åtkomlig för behöriga. Kallas ibland också för konfidentialitet. Spårbarhet (eng. accountability). Möjlighet att ifrån spårdata i efterhand entydigt kunna härleda specifika aktiviteter eller händelser till ett identifierad objekt, oftast en användare. Systemintegritet. (eng. system integrity). Att tillståndet för ett IT-system hålls inom de driftskriterier och tekniska specifikationer som systemet är avsett att operera under. Att dessa förutsättningar bibehålls under tid. Sårbarhet (eng. vulnerability). Skillnaden i form av bristande förmåga att motstå hot, mellan önskad säkerhet och verklig säkerhet i ett system vid ett visst givet tillfälle. Säkerhetsrevision (eng. security assessment, security audit). Att granska och värdera de säkerhetsfel, sårbarheter i mjukvara och system samt de risker som finns. Tillgänglighet (eng. availability). Möjligheten att efter behov kunna nyttja IT- och informationstillgångar i förväntad utsträckning samt inom önskad tid. Nomenklaturen använd för IT i detta dokument är av naturen vag. Ibland används termen SCADA med den allmänna meningen att det är anläggnings-it eller processkontrollsystem. Ibland beskriver SCADA, EMS, NMS, etc., specifika system och systemlösningar. Då anläggnings-it är ett brett begrepp som inkluderar allt mellan enkretsdatorer, inbyggda system och standard PC:s, så kan riktlinjerna i detta dokument vara svåra att applicera fullt ut på samtliga delar av anläggnings-it. Vissa krav skall ses mot enskilda komponenter, vissa krav skall ses mot lösningen i sin helhet. 7/18

8 4 Undantagshantering För de fall då dessa riktlinjer inte kan följas krävs det särskild hantering: Undantag från regelverket skall för varje enskilt undantag beslutas av ITsäkerhetschef och driftchef i samråd. Beslutet skall föregås av en analys av vilka hot som kvarstår samt vilka risker som SvK löper på grund av undantaget. Undantaget skall nogsamt dokumenteras i relevant framtagen dokumentation (systemdokumentation, etc.) Driftansvariga för system/anläggning eller motsvarande skall informeras om vilka undantag från IT-säkerhetskraven som tagits. 5 Svenska Kraftnäts åtagande Svenska kraftnäts åtagande omfattar att: Kunna bestämma, samt godkänna, eventuella avsteg från tekniska riktlinjer. Tillsammans med leverantör ta fram underlag för att bestämma nivå på skydd. Som ett viktigt moment att förstå vilka hot som existerar, vilka skydd som är viktiga att införa, vilka informationsutbytesmässiga eller systemtekniska beroenden som existerar, så skall det utföras en risk- och sårbarhetsanalys. Analysen skall göras av den tilltänkta upphandlade lösningen och det systemmiljö med vilket denna skall samexistera och samverka. 6 Leverantörens åtagande Som en del av ett åtagande gäller det att redogöra för ingående (mjukvaru- och hårdvaru) komponenter, dess kritikalitet för övergripande systemfunktionalitet, och komponenters IT-säkerhetsmässiga egenskaper. Leverantören skall i sin lösning se till att IT-skydd och IT-säkerhetsfunktioner är en vital del av levererad lösning. 6.1 Tillgång till information och IT-infrastruktur Den information som tillhandahålls eller skapas under entreprenad, projekt eller uppdrag skall hanteras och skyddas i enlighet med Svenska Kraftnäts regler. Det innebär bland annat att entreprenören eller konsulten ska iakttaga stor försiktighet i sin informationshantering i händelse av att uppdragstagaren får tillgång till känslig information. Om åtkomsten inte är i paritet med säkerhetsgodkännandet inför uppdraget måste omedelbart uppdragsgivaren göras uppmärksam på detta. Inom Svenska Kraftnät gäller att varje medarbetare själv är ansvarig för att säkerhetsklassa den information som denne nedtecknar elektroniskt eller på papper. För uppdragstagare gäller att denne rådgör med sin uppdragsgivare när det kan befaras att producerad information behöver sekretessklassas. 8/18

9 Arbete som innebär tillgång till IT-system och IT-infrastruktur innebär att Svenska kraftnät skall godkänna såväl personal som skall få åtkomst, samt godkänner de arbetsmoment som skall utföras. Leverantören skall tillgodose att det finns rutiner för att hantera konfidentiell information, att personal är utbildad och kunnig till relevant kompetensgrad med avseende IT- och informationssäkerhet. 6.2 IT-säkerhetstester och granskning av leverabler Som del i upphandling, eller i driftsatt system, skall granskningar, tekniska säkerhetsgenomgångar eller säkerhetsrevisioner tillåtas. Det kan vara SvK, av SvK utsett tredje part eller annan myndighet, eller myndigheter som utför granskning och kontroll. Leverantören bör självt ha genomfört IT-säkerhetstester av komponenter och hela systemlösningar och ha testresultat som kan redovisas i samband med anbud eller senare i projektcykeln. IT-säkerhetstester skall utföras med komponenter, system, applikationer, parametersättningar och kommunikationsmekanismer som avses användas i målsystemet. IT-säkerhetstester skall utföras i ett så tidigt skede som möjligt, så att testresultatet kan användas och eventuella brister kan åtgärdas. Testerna bör utföras på den utrustning som skall levereras; härdning skall vara utförd, patchning utförd till aktuell nivå, loggning aktiverad, integration och kommunikation uppsatt och aktiverad. Säkerhetstester skall genomföras som ett separat moment i samband med acceptanstestförfarande (FAT/SAT). Traditionell testning av funktioner utför positiva tester (att en funktion finns, att ett protokoll verifieras följa specifikation, etc.) medan säkerhetstester ofta fokuserar på negativa tester (t.ex. att en komponent inte kraschar om för stora datamängder skickas, att inte ett oförväntat nätpaket kan störa ut en nätverkstjänst, att en säkerhetsfunktion kan förbigås). 6.3 Hantering av säkerhetspåverkande fel och sårbarheter Leverantören skall ha rutiner och beredskap för att med kort varsel kunna meddela Svenska kraftnät när säkerhetsbrister hittats i programkomponenter eller konfigurationsuppsättningar som existerar i det som levererats till SvK. Leverantören skall ha en informationsplikt att kontakta Svenska Kraftnät när leverantören har kännedom om hot, sårbarheter eller säkerhetsproblem i sina produkter i allmänhet, såväl som i SvK:s anläggningar i synnerhet. Leverantören skall ha rutiner och beredskap för att till Svenska kraftnät kunna leverera programuppdateringar, eller temporära lösningar i form av instruktioner, när säkerhetsbrister hittats i programkomponenter eller konfigurationsuppsättningar som existerar i det som levererats till SvK. Leverantören skall ha testprocedurer för att kunna kvalitetstesta egna eller underleverantörers patchar (programfixar), programuppdateringar eller ändringar. Dessa testprocedurer skall också nyttjas för att testa komponenter från tredjepartsleverantörer, vars program ingår i leverantörens system. 9/18

10 Leverantören bör ha samarbete, eller förklara sig villig att samarbeta, med nationella och internationella organisationer för IT-sårbarhetshanteringar och incidenthantering, exempelvis SITIC, CERT-CC med flera. 6.4 Uppdragets eller leveransens färdigställande Leverantören skall under såväl projektfas som underhållsfas uppfylla de krav som ställs i TR9 gällande hantering av fysiskt tillträde Leverantören skall uppfylla de krav vad det gäller uppdragets avslut som finns i instruktionen Konsultuppdrag vid SvK rutiner och krav, inklusive regler för införsel och utförsel av information, införsel av programvara, uppgraderingar, etc. 6.5 Legala krav System, information och komponenter skall uppfylla svenska lagar, författningar i avseende skydd av system och information behandlat i systemen. Exempel på lagar som måste beaktas är Säkerhetsskyddslagen (1996:627), 30 i personuppgiftslagen (1998:204), Lag om skydd av landskapsinformation (1993:1742) m.fl. Leverantör och upphandlare skall närmare gå igenom lagar som är applicerbara för lösningen innan avtal skrivs eller arbete påbörjas. 7 Arkitektur och principer En grundläggande skyddsprincip i IT-säkerhetssammanghang är skydd i djupled (eng. defence in depth), där flera samverkande eller kompletterande skydd existerar och därmed motverkar att fel eller manipulation av enstaka skydd får omfattande konsekvenser. Exempel på skydd kan vara nätverksskydd (brandväggar, säkra kommunikationsprotokoll, innehållskontroll, etc.), operativsystems- och applikationsskydd (behörighetskontroll, loggning av utförd handling, etc.) eller användarskydd (pop-upruta som kräver lösenord för känslig operation). Levererad lösning skall uppfylla principer för skydd i djupled. En annan skyddsprincip är att utrustning skall ha inbyggd säkerhet, inte att säkerhet är en option som kan läggas till i efterhand. Behörighetskontroll, filskydd, etc., är exempel på sådana skyddsfunktioner som måste vara integrerade på en låg nivå (exempevis i själva operativsystemet eller kontrollprogram) för att inte kunna manipuleras. Levererad lösning skall uppfylla principer för inbyggt skydd. Att undvika exponering av sårbarheter i mjukvara, oftast genom att inte ha dessa sårbarheter installerade eller aktiverade, är ett enkelt sätt att undvika ITsäkerhetsproblem. Härdning innebär att Onödig funktionalitet stängs av, tas bort eller undviks att installeras. Användaråtkomst (inkl. system-, tjänste - eller applikationsanvändare) och behörigheter sätts restriktivt. Parametersättning och inställningar sätts för att vara så säkra som möjligt. Programuppdateringar och systemändringar görs så att kända säkerhetsproblem åtgärdas. Extra säkerhetsfunktioner installeras. 10/18

11 Komponenter och system skall vara härdade av leverantören. Skydda information under bearbetning, lagring och under förmedlan. Oavsett i vilket läge som informationshanteringen är bör information hållas skyddad. Lösningen bör vara utformad att skydda information under alla steg i informationshanteringen. Beställaren definierar om särskilda krav på kryptering eller skydd av information finns. Eftersträva enkelhet. Ett vanligt förekommande problem med IT-system och ITsäkerhet är komplexitet. Komplexa lösningar är svåra att såväl förstå som att säkra upp. Lösningsdesign bör följa KISS-principen ( Keep it Simple and Stupid ) för att eftersträva lättförståelighet och enkelhet, inte komplexitet i lösningen. Enklare lösningar medför bättre verifierbarhet och översiktbarhet, både ur ett felsökningshänseende såsom ur säkerhetshänseende. Inga standardlösenord. System kommer ofta med allmänt välkända fabriksinställningar och leverantörsspecifika standardlösenord eller krypteringsnycklar. Fabriksinställningar och leverantörsspecifika standardlösenord eller krypteringsnycklar skall ersättas med nyskapade motsvarigheter som uppfyller SvK:s krav. Det är viktigt att detta sker i samband med systemöverlämnande så att frånträdande entreprenörer eller temporärt involverad personal inte längre känner till gällande autentiseringsinformation. Fristående funktion. Levererad lösning skall kunna ha bibehållen funktionalitet även vid tillfällen när supportfunktioner i form av olika nättjänster såsom exempelvis eventuell domännamnshantering (DNS) inte fungerar. Levererad lösning skall kunna fungera fristående med bibehållen funktion. Utgå från att externa/övriga system är osäkra. När ett system eller en komponent skall samexistera med andra komponenter och system, särskilt när dessa är under annan administrativ kontroll, utgå från att dessa system är osäkra. Vissa systemlösningar leder till att en angripare lätt kan hoppa från system till system efter att en gång väl ha kommit in. Lösningsdesign skall utformas så att beroenden mot andra system inte innebär att systemet tappar skydd. Livscykelfokus med bibehållet ansvar. Säkerhetsfrågor existerar under alla faser (analys, design, implementation, produktion, förvaltning, vidareutveckling, avveckling) för ett system. I samband med projektering eller upphandling kan överfokusering ske på att lösa problemen för stunden. Det är viktigt att de andra faserna av ett systems livscykel också täcks in. Levererad lösning skall ha en säkerhet som bygger på att alla delar av systemets/komponentens livscykel täcks in. 11/18

12 8 Standarder Lösningen skall bygga på internationella standarder, nationella standarder, branschstandarder eller de facto standarder vad det gäller säkerhetsteknik, säkerhetsprotokoll, säkerhetsprodukter och säkerhetsplattformar. Vilken standard leverentören tänkt använda skall anges i anbudet för beställarens ställningstagande. En vedertagen hållning i IT-säkerhetssammanhang är att stängda företagslösningar för kryptering inte anses som säkra, främst på grund av att de inte har genomgått den granskning i akademi, av myndigheter och av användare som öppna lösningar har utsatts för. Lösningen får inte bygga på proprietära (leverantörsspecifika eller stängda) lösningar för kryptering eller kryptoteknologi. (Dvs leverantören får inte nyttja egenutvecklade kryptoalgoritmer, kryptografiska checksummeberäkningsalgoritmer, signeringsalgoritmer, etc i säkerhetsfunktioner). 9 Programvara All installerad programvara skall ha giltiga licenser och avtal. Alla programvarulicenser skall sammanställas och redovisas. Det skall finnas versionshantering och en förändringsprocess för hantering av mjukvaruförändringar. För av leverantören utvecklad programvara skall leverantören kunna acceptera källkodsdeposition hos en betrodd tredje part. Normalt sett så gäller särskilda avtal mellan licenstagare, licensgivare och den betrodda tredje part som håller källkoden disponerad till särskilda omständigheter inträffar som ger licenstagaren tillgång till källkoden. 10 Programmering Leverantör av utrustning som innehåller egenutvecklad mjukvara skall innan vunnen upphandling kunna redovisa att utvecklingsmetoder (SDL (Security Development Lifecycle) är exempel på en utvecklingsmetod utvecklad av Microsoft som nått stor popularitet och stor spridning. Metoder syftar till högre kodkvalitet som i sin tur leder till färre IT-säkerhetsproblem.) och processer för mjukvarudesign innehåller delar som leder till programvara som understödjer kvalitetsmässigt god IT- och informationssäkerhet samt robusthet. Leverantör av utrustning som innehåller mjukvara skall kunna redovisa att dessa ställt krav på underleverantörer av mjukvara att dessa har utvecklingsmetoder och processer för mjukvarudesign innehåller delar som leder till programvara som understödjer kvalitetsmässigt god IT- och informationssäkerhet samt robusthet. 11 Kommunikation 11.1 Kommunikationsinfrastruktur Det skall finnas en strukturerad uppdelning och separation mellan de olika delarna av systemet: operatörskonsoler, serverdelar, protokollkonverterare/ kommunikationsutrustning, RTU, PLC, etc. Otillbörlig åtkomst till delar av kommunikationsinfrastrukturen skall inte leda till åtkomst till andra delar av infrastrukturen. 12/18

13 I de fall då det finns säkerhetssystem installerade i nätverket, exempelvis brandväggar eller utrustning för intrångsprevention/intrångsdetektering, så skall nätverksarkitekturen under normaldrift vara sådan att dessa inte är kortslutna eller oanvända genom att andra nätverkskopplingar förbikopplar säkerhetssystemen WAN-kommunikation och kommunikation via publika/semipublika transmissionsnät Det skall finnas någon typ av skydd på kommunikationsnivå. Kommunicerande noder skall autentisera sig mot varandra (S.k. ömsesidig autentisering ) så att mottagande enhet enbart tillåter behörig trafik samt att uppkopplande enhet vet att den nått rätt enhet. Nätverkstrafik bör förändringsskyddas så att dataintegriteten består. Nätverkstrafik skall för vissa typer av information kunna skyddas med hjälp av insynsskydd/sekretess LAN-kommunikation Det bör finnas någon typ av skydd på kommunikationsnivå. Kommunicerande noder bör autentisera sig mot varandra så att mottagande enhet enbart tillåter behörig trafik samt att uppkopplande enhet vet att den nått rätt enhet. Nätverkstrafik bör förändringsskyddas så att dataintegriteten består. Nätverkstrafik skall för viss typ av information (tex inloggningsuppgifter) kunna skyddas med hjälp av insynsskydd/sekretess. Minst ett specifikt LAN skall vara dedikerat för stationsbuss och beskrivs i TR Åtkomst till kommunikationsutrustning och nätverksportar eller liknande kan leda till obehörig åtkomst lokalt (stations-lan) så väl som mer geografiskt utspridd. Därför skall åtkomst till kommunikationsutrustning och nätverksanslutningar skyddas. Trådlös teknik för LAN-kommunikation bör undvikas i anläggnings-it-miljö. Om trådlös kommunikation används skall den säkras upp mot avlyssning, förändring och obehörig åtkomst av nätinfrastruktur och anslutna system Integration och informationsutbyte Särskild säkerhetsutredning skall utföras i samband med att anläggningssystem skall integreras mot administrativa system. Utredningen skall bland annat undersöka hur informationsutbyte sker, vilka risker det finns med sammankopplingen, vilka säkerhetslösningar som påverkas, vilka nya skydds och säkerhetslösningar som kan behöva införskaffas eller aktiveras. Undersökningen skall dokumenteras och kunna redovisas Fjärråtkomst Lösningar för fjärråtkomst skall skyddas mot obehörig användning. Skydd på fjärråtkomst skall vara restriktiv och enbart ge begränsad åtkomst till de system som den behörige explicit tilldelats åtkomst till. Fjärråtkomst skall kunna styras för enskilda användare, för specifika åtkomstmönster (mellan vilka tider åtkomst får ske, hur lång tid uppkoppling får ske, etc.) 13/18

14 All fjärråtkomst skall generera spårdata över vem, när, hur (vilka kommunikationssätt/protokoll) och vad som nyttjades i fjärråtkomstlösningen. 12 Datalagring För informationsbärande enheter, enheter som kan parametersättas eller skräddarsys, skall det gå att göra säkerhetskopiering av information som finns i enheten. Detta inkluderar parametrar, skapad information, programkod och annat som är relevant för att kunna återskapa ett system. För informationsbärande enheter, skall det gå att återläsa och återskapa systemet utifrån den säkerhetskopia av information som skapats. 13 Behörighetssystem och behörighetshantering Åtkomst till system och komponenter skall skyddas med behörighetskontroll. Behörighetssystemet skall vara aktiverat och skydda mot obehörig åtkomst (läsning), obehörig förändring (skrivning), manipulation, obehörig installation av nya program. Personer, komponenter, funktioner och tjänster bör ha unika identiteter så att behörigheter går att anpassa och spårdata blir unikt. Att inte uppfylla detta baskriterium leder till att spårbarhet och oavvislighet inte uppnås. Lägsta möjliga behörigheter bör nyttjas av användare, komponenter, programvaror, tjänster för att inte onödiga rättigheter skall vara utdelade eller nyttjade. Det skall gå att ändra behörighetsinformation (lösenord) i system och komponenter. Det bör gå att centralisera användar- och behörighetsinformation. Leverantören skall kunna redovisa om det finns statiska lösenord sparade i filer, programkod, skript, i hårdvara eller liknande. 14 Spårbarhet och övervakning Installerade enheter bör kunna lämna spårdata i form av loggar. Generad spårdata skall vara användbar för IT-incidentutredningar. Installerade enheter bör ha stöd för att kunna integreras mot eventuella logghanterings- och logguppsamlingssystem hos Svenska Kraftnät. Detta kan vara ett överordnat centralt system för logghantering. Det bör gå att ställa klockan på utrustningen, så att det går att skapa en gemensam tidsuppfattning mellan installerade eller anslutna system. Det bör vara en gemensam tidsuppfattning för alla installerade eller anslutna system. Genererad spårdata skall skyddas mot obehörig åtkomst, åtkomst för insyn likväl som manipulation. 14/18

15 15 Specifika säkerhetsfunktioner 15.1 Skydd mot skadlig kod Ett standardproblem i IT-sammanhang är avsiktligt skadlig kod, exempelvis virus, maskar, trojaner, kan skada ett system, slå ut en funktion eller förbruka resurser såsom kommunikationskapacitet. Skydd mot skadlig kod skall finnas i IT-lösningen som nyttjas för anläggnings-it. Skydd mot skadlig kod skall finnas i test/verifikations- och utvecklingssystem som används i samband anläggnings-it-lösningen. Skydd mot avsiktligt skadlig kod skall även finnas på den datorutrustning som används av servicetekniker, fältpersonal och andra personer som legitimt skall ansluta utrustning mot anläggnings-it-systemen. Skyddet mot skadlig kod skall vara uppdaterat så att aktuella signaturfiler, scanningsprogram och liknande är installerade. Antivirusprogram är ibland inte möjliga att använda i anläggnings-it. Det kan vara ett inbyggt system, de finnas prestandaskäl, det kan vara oförenliga krav på omvärldskoppling för t.ex. uppdatering av signaturfiler eller scanningsmotor, det kan vara att det inte finns produkter för den specifika komponenten. Alternativa lösningar skall då finnas för att skydda systemet mot exekvering av okänd kod, exempelvis lösningar där enbart på förhand godkända program får laddas och exekveras, s.k. white listing Intrångsdetektering Det bör finnas automatiserad detektering av intrångsförsök och intrång. För leverantörsspecifika kommunikationsprotokoll skall leverantören kunna bistå SvK med kunskap om kommunikationsprotokollet så att SvK kan anpassa brandväggar, nätbaserade intrångsdetekteringsystem och liknande så att de kan tolka och fungera med dessa protokoll Programuppdateringar och programfixar Hanteringen av programuppdateringar och programfixar skall skötas rigoröst. Enbart kända fixar från kända tillverkare skall användas. Ursprung och riktighet skall kontrolleras innan uppdateringar och fixar installeras. Operativsystem, applikationer eller systemkomponenter skall inte uppdateras automatiskt. Uppdateringarna måste alltid ske kontrollerat och först efter beslut och godkännande av SvK. För de fall där tillgänglighetskrav är höga skall metoder och design för programuppdateringar och programfixar hantera det faktum att dessa ändringar ofta kräver omstart av enskilda applikationer eller hela system Incidenthantering Systemleverantörer bör kunna bistå med fackkunskap om systemen vid hantering av IT-incidenter som involverar deras system och komponenter. 15/18

16 15.5 Kontrollutrustning och ändutrustning För ansluten ändutrustning eller utrustning för styrning och kontroll, exempelvis RTU (Remote Terminal Unit), IED (Intelligent Electronic Devices) eller PLC (Programmable Logic Controller) skall samma regler gälla som för annan IT-baserad utrustning. De skall exempelvis härdas, kunna patchas, inte innehålla standardlösenord, etc. Då denna typ av utrustning i vissa fall använder anpassade operativsystem måste omständigheterna runt dessa utrustningar bedömas var för sig Extern IT-utrustning För service och underhåll skall en av SvK tillhandahållen eller av SvK godkänd utrustning användas Fysiskt skydd Det skall finnas en genomtänkt och avvägd balans mellan fysiskt och logiskt säkerhet och skydd. Genom kommunikationsgränssnitt så sker datautbyte eller styrning av spridda enheter inom anläggningen. Utsträckningen av det elektroniska skalskyddet (eng. electronic perimeter) bör befinna sig innanför fysiskt områdesskydd eller fysiskt skalskydd. Inga allmänt tillgängliga nätverksportar får finns. Trådlös trafik kan vara åtkomlig utanför skal- och områdesskydd och måste därför skyddas. Utrustning som finns allmänt tillgänglig, skall skyddas mot missbruk av utrustningen självt eller att anslutningar som finns till utrustningen. Det skall t.ex. inte gå att koppla ur utrustningen och ansluta en egen utrustning och därmed komma åt SvK:s nätverksinfrastruktur och därtill anslutna annan utrustning. 16 Dokumentation Dokumentation skall klassas och hanteras i enlighet med regler rörande informationshantering. Leverantören skall redovisa säkerhetsarkitekturen för anläggningen. Leverantören skall kunna dokumentera utförda säkerhetsförbättringar, härdning, ändrade säkerhetspåverkande inställningar. Leverantören skall kunna dokumentera och redovisa all programvara och programvarukomponenter i levererat system. Redovisningen skall innehålla bl.a. program/modulnamn, version samt licensformer. Redovisningen bör innehålla bl.a. checksummor av program och konfigurationsfiler. Detta är särskilt viktigt då vissa program kan omfattas av licenskrav som måste beaktas och hanteras av SvK. Det bör finnas dokumentation för kommunikation som beskriver informationsflöden, kommunikationssätt (protokoll), kommunikationsmetoder (logiska portar, applikationsprotokoll) Det bör finnas dokumentation som beskriver olika körande programs processprioritet, processprivelegiebehov och processresursbehov. Notera att dokumentation som lösenord, krypteringsnycklar, säkerhetskritiska konfigurationsparametrar måste hanteras med särskild eftertanke. Traditionellt så har driftsdokumentation med lösenord, etc, förvarats i närheten av IT-systemen i 16/18

17 exempelvis obemannade anläggningar. Obehöriga kan därför lätt komma över skyddsvärd information vid exempelvis ett inbrott. 17 Utbildning Leverantören skall i sin utbildning för SvK ge särskild information om säkerhetsfunktionerna i systemet i den utbildning som ges. 18 Revision Leverantören skall acceptera att ta emot en IT- och informationssäkerhetsrevision från Svenska Kraftnät. Revisionens uppgift är att kontrollera att leverantören följer dessa riktlinjer samt att den information som SvK tillhandahållit skyddas på ett adekvat sätt. Leverantören skall acceptera att SvK eller tredje part utför IT- och informationssäkerhetsrevision mot levererat system. Revisionens uppgift är att kontrollera att system, komponenter eller infrastruktur uppfyller dessa riktlinjer, myndighetskrav eller branschkrav. 17/18

18 19 Referenser [1] Svenska Kraftnät, TR2-03 Datorer i kontrollanläggning [2] Svenska Kraftnät, TR 8-01 Dokumentationskrav [3] Svenska Kraftnät, TR 9-01 Fysiskt skydd, innehåll [4] Svenska Kraftnät, TR 9-02 Vägledning fysiskt grundskydd, [5] Multi-State Information Sharing Analysis Center, Cyber Security Procurement Language for Control Systems Version. Version 1.8 [6] Krisberedskapsmyndigheten / FIDI-SC Vägledning till ökad säkerhet i digitala kontrollsystem i samhällsviktiga verksamheter. [7] SS-ISO/IEC 27002:2005 Riktlinjer för styrning av informationssäkerhet [8] SIS HB 550 Terminologi för informationssäkerhet [9] Stoneburner mfl Engineering principles for Information Technology Security (A Baseline for Achieving Security) Csrc.nist.gov/publications/nistpubs/800-27/sp pdf [10] Konsultuppdrag vid SvK rutiner och krav 18/18

Bilaga 3 Säkerhet Dnr: /

Bilaga 3 Säkerhet Dnr: / stockholm.se Utbildningsförvaltningen Avdelningen för utveckling och samordning Hantverkargatan 2F 104 22 Stockholm Växel 08-508 33 000 www.stockholm.se Innehåll 1 Inledning 3 2 Krav på säkerhetsarbete

Läs mer

Riskanalys och informationssäkerhet 7,5 hp

Riskanalys och informationssäkerhet 7,5 hp Riskanalys och informationssäkerhet 7,5 hp Margaretha Eriksson Civ.Ing. och doktorand i informationssäkerhet KTH irbiskonsult@tele2.se Föreläsning 1 Vad menar vi med säkerhet? Säkerhet är en grad av skydd

Läs mer

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010. Revisionsrapport Verket för högskoleservice Box 24070 104 50 Stockholm Datum Dnr 2011-03-08 32-2010-0738 Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice

Läs mer

Regler för användning av Riksbankens ITresurser

Regler för användning av Riksbankens ITresurser Regler för användning av Riksbankens ITresurser MAJ 2009 1 Inledning I det följande ges regler för användning av Riksbankens IT-resurser, vilka gäller för alla medarbetare i Riksbanken samt konsulter och

Läs mer

Sjunet Anslutningsavtal Standardregelverk för informationssäkerhet

Sjunet Anslutningsavtal Standardregelverk för informationssäkerhet Sjunet Anslutningsavtal Standardregelverk för informationssäkerhet Innehållsförteckning 1. Generell informationssäkerhet... 4 1.1. Styrande dokumentation... 4 1.2. Organisation... 4 Incidenthantering...

Läs mer

Policy Document Number ESS-0002649 Date Mar 14, 2013 Revision 1 (3) Plan för IT Säkerhet

Policy Document Number ESS-0002649 Date Mar 14, 2013 Revision 1 (3) Plan för IT Säkerhet Revision 1 (3) State Released Plan för IT Säkerhet DOCUMENT REVISION HISTORY Revision Reason for revision Date 1 New Document 2013-02-26 List of Authors List of Reviewers List of Approvers Skölde, Daniel/Ulrika

Läs mer

EBITS 2003-10-14 Energibranschens IT-säkerhetsforum

EBITS 2003-10-14 Energibranschens IT-säkerhetsforum EBITS 2003-10-14 Energibranschens IT-säkerhetsforum Bruksanvisning till malldokument för REGLER OCH RIKTLINJER FÖR INFORMATIONSSÄKERHET Version 0.1 1. Dokumentet skall anpassas specifikt för företaget.

Läs mer

Bilaga 3 till F:203. Säkerhet. Dnr Fasta och mobila operatörstjänster samt transmission -C. Bilaga 3. Säkerhet

Bilaga 3 till F:203. Säkerhet. Dnr Fasta och mobila operatörstjänster samt transmission -C. Bilaga 3. Säkerhet Bilaga 3 Säkerhet Säkerhet samt transmission -C 2 (7) Innehåll 1 Allmänt 3 2 Säkerhet 4 2.1 Administrativa säkerhetskrav 4 2.2 Allmänna tekniska säkerhetskrav 6 3 (7) 1 Allmänt Borderlight har styrdokument

Läs mer

Handledning i informationssäkerhet Version 2.0

Handledning i informationssäkerhet Version 2.0 Handledning i informationssäkerhet Version 2.0 2013-10-01 Dnr 1-516/2013 (ersätter Dnr 6255/12-060) Informationssäkerhet 6 saker att tänka på! 1. Skydda dina inloggningsuppgifter och lämna aldrig ut dem

Läs mer

Informationssäkerhet - en översikt. Louise Yngström, DSV

Informationssäkerhet - en översikt. Louise Yngström, DSV Informationssäkerhet - en översikt Louise Yngström, DSV Närmaste 50 minuterna... Informationssäkerhet? Definition Mål Krav Medel Datasäkerhet säkerhet beträffande skydd av datorsystem och dess data syftande

Läs mer

Finansinspektionens författningssamling

Finansinspektionens författningssamling Observera att denna konsoliderade version är en sammanställning, och att den tryckta författningen är den officiellt giltiga. En konsoliderad version är en fulltextversion där alla ändringar har införts

Läs mer

FÖRSVARSMAKTENS INTERNA BESTÄMMELSER

FÖRSVARSMAKTENS INTERNA BESTÄMMELSER FÖRSVARSMAKTENS INTERNA BESTÄMMELSER FIB 2010:2 Utkom från trycket 2010-01-21 Omtryck Föreskrifter om ändring i Försvarsmaktens interna bestämmelser (FIB 2006:2) om IT-säkerhet; beslutade den 15 januari

Läs mer

Riktlinjer för IT i Lilla Edets kommun. 2. Syftet med IT i Lilla Edets kommun

Riktlinjer för IT i Lilla Edets kommun. 2. Syftet med IT i Lilla Edets kommun Datum Dnr Dpl 2009-09-10 2009/KS0203-1 005 Riktlinjer för IT i Lilla Edets kommun 1. Introduktion Det politiskt styrande dokumentet för IT-användning i Lilla Edets kommun är denna riktlinje, som fastställs

Läs mer

Informationssäkerhetspolicy IT (0:0:0)

Informationssäkerhetspolicy IT (0:0:0) Informationssäkerhetspolicy IT (0:0:0) Kommunalförbundet ITSAM och dess medlemskommuner Revision: 2013031201 Fastställd: Direktionen 20130926 Dnr:0036/13 Kommunalförbundet ITSAM, Storgatan 36A, 590 36

Läs mer

Internt penetrationstest. Tierps kommun. Revisionsrapport. Juni 2011. Erik Norman 1(6)

Internt penetrationstest. Tierps kommun. Revisionsrapport. Juni 2011. Erik Norman 1(6) Internt penetrationstest Tierps kommun Revisionsrapport Juni 2011 Erik Norman 1(6) Innehållsförteckning 1. Sammanfattning... 3 1.1. Bakgrund... 3 1.2. Revisionsfråga... 3 2. Angreppssätt... 4 2.1. Omfattning

Läs mer

Rikspolisstyrelsens författningssamling

Rikspolisstyrelsens författningssamling Rikspolisstyrelsens författningssamling ISSN 0347 545X Utgivare: chefsjuristen Lotta Gustavson Rikspolisstyrelsens föreskrifter om säkerhet vid Polisens informationsbehandling med stöd av IT; beslutade

Läs mer

Checklista Identitetshanteringssystem för SWAMID 2.0. Utarbetad tillsammans med SUNET CERT och SUSEC

Checklista Identitetshanteringssystem för SWAMID 2.0. Utarbetad tillsammans med SUNET CERT och SUSEC Checklista Identitetshanteringssystem för SWAMID 2.0 Utarbetad tillsammans med SUNET CERT och SUSEC Bakgrund För att upprätta förtroende i en federation krävs inte bara att identitetsutdelningsprocessen

Läs mer

IT-Säkerhetsinstruktion: Förvaltning

IT-Säkerhetsinstruktion: Förvaltning n av 7 för Munkfors, Forshaga, Kils och Grums kommun april 2006 av IT-samverkansgruppen n 2 av 7 IT SÄKERHETSINSTRUKTION: FÖRVALTNING Innehållsförteckning IT-säkerhetsinstruktion Förvaltnings roll i IT-säkerhetsarbetet...3

Läs mer

Regel. Användning av Riksbankens IT-resurser. Inledning. Användning av IT-resurser

Regel. Användning av Riksbankens IT-resurser. Inledning. Användning av IT-resurser Regel BESLUTSDATUM: 2014-03-24 BESLUT AV: Anders Vredin BEFATTNING: Avdelningschef ANSVARIG AVDELNING: Stabsavdelningen FÖRVALTNINGSANSVARIG: Lars Andersson HANTERINGSKLASS: Ö P P E N SVERIGES RIKSBANK

Läs mer

Riktlinje för säkerhetskrav vid upphandling av IT-stöd

Riktlinje för säkerhetskrav vid upphandling av IT-stöd 1 (5) Ver. 1.1-2008-11-06 Riktlinje för säkerhetskrav vid upphandling av IT-stöd 1. Inledning Detta dokument redogör för vissa grundläggande säkerhetskrav som bör ställas i samband med anskaffning eller

Läs mer

Förslag till Myndigheten för samhällsskydd och beredskaps allmänna råd och kommentarer om krav på informationssäkerhet.

Förslag till Myndigheten för samhällsskydd och beredskaps allmänna råd och kommentarer om krav på informationssäkerhet. Förslag till Myndigheten för samhällsskydd och beredskaps allmänna råd och kommentarer om krav på informationssäkerhet. Följande allmänna råd ansluter till förordningen (2006:942) om krisberedskap och

Läs mer

Bilaga 3c Informationssäkerhet

Bilaga 3c Informationssäkerhet SID 1 (9) Bilaga 3c Informationssäkerhet Förfrågningsunderlag Upphandling av ett helhetsåtagande avseende IT-stöd för pedagogiskt material inom Skolplattform Stockholm Box 22049, 104 22 Stockholm. Besöksadress

Läs mer

Bilaga 10 Säkerhet. Dnr: / stockholm.se. Stadsledningskontoret It-avdelningen

Bilaga 10 Säkerhet. Dnr: / stockholm.se. Stadsledningskontoret It-avdelningen stockholm.se Stadsledningskontoret It-avdelningen Ragnar Östbergs Plan 1 105 35 Stockholm Växel 08-508 29 000 www.stockholm.se Innehåll 1 Inledning 3 2 Krav på säkerhetsarbete 3 2.1 Allmänt 3 2.2 Ledningssystem

Läs mer

Riktlinjer för informationssäkerhet

Riktlinjer för informationssäkerhet Dnr UFV 2014/1307 Riktlinjer för informationssäkerhet Fastställda av Säkerhetschef 2014-10-28 Innehållsförteckning 1 Inledning 3 2 Ansvar 3 2.1 Efterlevnad 3 2.2 Uppdatering av riktlinjerna 4 3 Definitioner

Läs mer

Utredning av central teknisk lösning för att upptäcka avvikelser och potentiella hot i landstingets nätverk och kritiska IT-system

Utredning av central teknisk lösning för att upptäcka avvikelser och potentiella hot i landstingets nätverk och kritiska IT-system Stockholms läns landsting Landstingsstyrelsens förvaltning SLL Informationssäkerhet SLL IT Handläggare: Vesna Lucassi Landstingsstyrelsens innovationsberedning Ankom Stockholms läns landsting 2015-08-

Läs mer

Säkra trådlösa nät - praktiska råd och erfarenheter

Säkra trådlösa nät - praktiska råd och erfarenheter Säkra trådlösa nät - praktiska råd och erfarenheter Emilie Lundin Barse Informationssäkerhetsdagen 2007, Karlstad 1 Om mig och Combitech Informationssäkerhetskonsult på Combitech Stationerad på Karlstadskontoret

Läs mer

Säkerhet i fokus. Säkerhet i fokus

Säkerhet i fokus. Säkerhet i fokus Säkerhet i fokus Säkerhet i fokus Säkerhet är en av våra viktigaste frågor. Våra hyresgäster bedriver en daglig verksamhet i allt från kriminalvårds anstalter och domstolsbyggnader till speciella vårdhem

Läs mer

Regelverk för informationssäkerhet Omformulering av tidigare version 3.0

Regelverk för informationssäkerhet Omformulering av tidigare version 3.0 Regelverk för informationssäkerhet Omformulering av tidigare version 3.0 Innehållsförteckning 1. Generell informationssäkerhet... 4 1.1. Styrande dokumentation... 4 1.2. Organisation... 4 1.3. Incidenthantering...

Läs mer

Icke funktionella krav

Icke funktionella krav 1 (9) Underskriftstjänst Svensk e-legitimation 2 (9) INNEHÅLL 1 Inledning... 3 2 Tillgänglighet och kapacitet... 3 2.1 Svarstider... 3 3 Administrativ säkerhet... 4 3.1 Policy och regelverk... 4 3.1.1

Läs mer

Rikspolisstyrelsens författningssamling

Rikspolisstyrelsens författningssamling Rikspolisstyrelsens författningssamling ISSN 0347 545X Utgivare: chefsjuristen Lars Sjöström Rikspolisstyrelsens föreskrifter och allmänna råd om anskaffning, användning, utveckling och förändring av Polisens

Läs mer

Finansinspektionens författningssamling

Finansinspektionens författningssamling Finansinspektionens författningssamling Utgivare: Finansinspektionen, Sverige, www.fi.se ISSN 1102-7460 Finansinspektionens föreskrifter och allmänna råd om informationssäkerhet, it-verksamhet och insättningssystem;

Läs mer

Strategi Program Plan Policy» Riktlinjer Regler

Strategi Program Plan Policy» Riktlinjer Regler Strategi Program Plan Policy» Riktlinjer Regler Borås Stads Riktlinjer för IT Riktlinjer för IT 1 Fastställt av: Kommunstyrelsen Datum: 20 juni 2011 För revidering ansvarar: Kommunstyrelsen För ev uppföljning

Läs mer

Riktlinjer för IT-säkerhet i Halmstads kommun

Riktlinjer för IT-säkerhet i Halmstads kommun Riktlinjer för IT-säkerhet i Halmstads kommun VER 1.0 Innehåll Inledning...3 Definition av IT-säkerhet...3 Omfattning...3 Vikten av IT-säkerhet...3 Mål för IT-säkerhetsarbetet...4 Ledning och ansvar...4

Läs mer

Informationssäkerhet - Informationssäkerhetspolicy

Informationssäkerhet - Informationssäkerhetspolicy Informationssäkerhet - Informationssäkerhetspolicy Informationssäkerhetspolicy 2008-08-29 Innehållsförteckning 1 Inledning... 1 2 Mål för IT-sbäkerhetsarbetet... 2 2.1 Långsiktiga mål... 2 2.2 Årliga mål...

Läs mer

Informationssäkerhet och medicintekniska produkter eller Information security with respect to safety considerations

Informationssäkerhet och medicintekniska produkter eller Information security with respect to safety considerations Informationssäkerhet och medicintekniska produkter eller Information security with respect to safety considerations Mats Ohlson Informationssäkerhet = Information security Informationssäkerhet the preservation

Läs mer

EBITS 2007-11-23 Arbetsgruppen för Energibranschens Reviderad 2009-10-26 Informationssäkerhet

EBITS 2007-11-23 Arbetsgruppen för Energibranschens Reviderad 2009-10-26 Informationssäkerhet 2007-11-23 Arbetsgruppen för Energibranschens Reviderad 2009-10-26 Informationssäkerhet TRÅDLÖS KOMMUNIKATION Inledning En stor del av den IT-utrustning som finns på marknaden idag och som i allt större

Läs mer

Metoder för datasäkerhet. Vad handlar en sådan kurs om???

Metoder för datasäkerhet. Vad handlar en sådan kurs om??? Metoder för datasäkerhet Vad handlar en sådan kurs om??? Vad avses då media rapporterar om datasäkerhet? Oftast resultat av brister i säkerheten Allt möjligt av helt olika karaktär, som Försvunna viktiga

Läs mer

Introduktion till protokoll för nätverkssäkerhet

Introduktion till protokoll för nätverkssäkerhet Tekn.dr. Göran Pulkkis Överlärare i Datateknik Introduktion till protokoll för nätverkssäkerhet Innehåll Varför behövs och hur realiseras datasäkerhet? Datasäkerhetshot Datasäkerhetsteknik Datasäkerhetsprogramvara

Läs mer

ISA Informationssäkerhetsavdelningen

ISA Informationssäkerhetsavdelningen ISA Informationssäkerhetsavdelningen Peter Nilsson, ISA N CISSP, GSLC FRA Signalunderrättelsetjänsten Drygt 600 personer Informationssäkerhetstjänsten Cirka 35 personer, sakta ökande Se även www.fra.se

Läs mer

Riktlinjer för informationssäkerhet

Riktlinjer för informationssäkerhet Dnr UFV 2015/322 Riktlinjer för informationssäkerhet Riskanalyser av informationssystem Fastställda av Säkerhetschefen 2015-03-06 Innehållsförteckning 1 Inledning... 3 2 Definitioner... 3 3 Syfte... 3

Läs mer

IT-revision Martin Malm CISA CISSP Verksamhetschef IT Governance Transcendent Group

IT-revision Martin Malm CISA CISSP Verksamhetschef IT Governance Transcendent Group IT-revision Martin Malm CISA CISSP Verksamhetschef IT Governance Transcendent Group www.transcendentgroup.com Målsättning Öka förståelsen för nyttan med IT-revision Vad innebär intern IT-revision? Jmf

Läs mer

Bilaga 1 - Handledning i informationssäkerhet

Bilaga 1 - Handledning i informationssäkerhet Bilaga 1 - Handledning i informationssäkerhet Regler för informationssäkerhet vid Karolinska Institutet Dnr 1-516/2013 (ersätter Dnr 6255-2012-060) Gäller från och med Bilagor Bilaga 1. Handledning i informationssäkerhet

Läs mer

INFORMATIONSSÄKERHET 1 INLEDNING... 2 2 MÅL FÖR IT-SÄKERHETSARBETET... 2

INFORMATIONSSÄKERHET 1 INLEDNING... 2 2 MÅL FÖR IT-SÄKERHETSARBETET... 2 INFORMATIONSSÄKERHET 1 INLEDNING... 2 2 MÅL FÖR IT-SÄKERHETSARBETET... 2 3 RIKTLINJER FÖR ATT UPPNÅ MÅLEN... 3 3.1 ALLMÄNT... 3 3.2 LEDNING OCH ANSVAR FÖR IT-SÄKERHET... 3 3.2.1 Systemägare... 3 3.2.2

Läs mer

FÖRHINDRA DATORINTRÅNG!

FÖRHINDRA DATORINTRÅNG! FÖRHINDRA DATORINTRÅNG! Vad innebär dessa frågeställningar: Hur görs datorintrång idag Demonstration av datorintrång Erfarenheter från sårbarhetsanalyser och intrångstester Tolkning av rapporter från analyser

Läs mer

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Konsthögskolan 2010.

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Konsthögskolan 2010. Revisionsrapport Kungl. Konsthögskolan Box 163 65 103 26 Stockholm Datum Dnr 2011-03-09 32-2010-0732 Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Konsthögskolan 2010

Läs mer

STYRKAN I ENKELHETEN. Business Suite

STYRKAN I ENKELHETEN. Business Suite STYRKAN I ENKELHETEN Business Suite HOTET ÄR VERKLIGT Onlinehot mot ditt företag är verkliga, oavsett vad du gör. Om du har data eller pengar är du ett mål. Säkerhetstillbuden ökar drastiskt varje dag

Läs mer

Gallrings-/bevarandetider för loggar i landstingets IT-system

Gallrings-/bevarandetider för loggar i landstingets IT-system 2006-09-21 LiÖ 2006-632 Sida 1 (5) Loggtyp Bevarandetider (avser minimitider) Informationsklassning krav på spårbarhet, säkerhetsklass: Höga krav Normala krav Händelseloggar (system- och transaktionsloggar)

Läs mer

Bilaga 3 till F:203. Säkerhet. Dnr 93-25-09 Fasta och mobila operatörstjänster samt transmission -C. Bilaga 3. Säkerhet

Bilaga 3 till F:203. Säkerhet. Dnr 93-25-09 Fasta och mobila operatörstjänster samt transmission -C. Bilaga 3. Säkerhet Bilaga 3 Säkerhet Säkerhet 2 (8) Innehållsförteckning Bilaga 3 Säkerhet 1 Allmänt 3 2 Säkerhet 4 2.1 Administrativa säkerhetskrav 4 2.1.1 Basnivå för informationssäkerhet 4 2.1.2 Uppföljning och kontroll

Läs mer

Bilaga 3 Säkerhet. Bilaga 3 Säkerhet. Dnr 93-25-09 Kommunikation som tjänst - A

Bilaga 3 Säkerhet. Bilaga 3 Säkerhet. Dnr 93-25-09 Kommunikation som tjänst - A 2 (8) Innehållsförteckning 1 Allmänt 3 2 4 2.1 Administrativa säkerhetskrav 4 2.2 Allmänna tekniska säkerhetskrav 7 3 (8) 1 Allmänt 4 (8) 2 Tele2 bedriver en verksamhet vars produktion till största delen

Läs mer

Myndigheten för samhällsskydd och beredskaps författningssamling

Myndigheten för samhällsskydd och beredskaps författningssamling Myndigheten för samhällsskydd och beredskaps författningssamling Utgivare: Key Hedström, Myndigheten för samhällsskydd och beredskap ISSN 2000-1886 MSBFS Utkom från trycket den 11 mars 2016 Myndigheten

Läs mer

Informationssäkerhetspolicy

Informationssäkerhetspolicy 2006-09-07 Informationssäkerhetspolicy Antagen av kommunfullmäktige 2006-09-28, 140 Innehåll 1 INLEDNING...3 2 MÅL FÖR INFORMATIONSSÄKERHETSARBETET...4 2.1 LÅNGSIKTIGA MÅL...4 2.2 ÅRLIGA MÅL...4 3 ORGANISATION,

Läs mer

Sammanfattning av riktlinjer

Sammanfattning av riktlinjer Sammanfattning av riktlinjer INFORMATIONSSÄKERHET FÖR ANVÄNDARE inom Luleå kommunkoncern 2015-03-04 Informationssäkerhet för användare beskriver hur Luleå kommun hanterar den information som används i

Läs mer

KOMMUNAL FÖRFATTNINGSSAMLING Nr 005.6

KOMMUNAL FÖRFATTNINGSSAMLING Nr 005.6 Bromölla kommun KOMMUNAL FÖRFATTNINGSSAMLING Nr 005.6 Antagen/Senast ändrad Gäller från Dnr Kf 2013-09-30 151 2013-10-01 2013/320 RIKTLINJER FÖR INFORMATIONSSÄKERHET Riktlinjer för informationssäkerhet

Läs mer

Juridik och informationssäkerhet

Juridik och informationssäkerhet 2 KAPITEL Juridik och informationssäkerhet Sammanfattning Information som hanteras i socialtjänstens hemtjänstverksamhet (hemtjänst) och i kommunal hälso- och sjukvård (hemsjukvård) innehåller känsliga

Läs mer

Program för informationssäkerhet 2008:490. kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning

Program för informationssäkerhet 2008:490. kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning Program för informationssäkerhet 2008:490 kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning Program för informationssäkerhet Fastställt av kommunfullmäktige 2008-10-02 302 komplettering gjord

Läs mer

Upphandlingssystem och IT-säkerhet. Britta Johansson Sentensia

Upphandlingssystem och IT-säkerhet. Britta Johansson Sentensia Upphandlingssystem och IT-säkerhet Britta Johansson Sentensia 1 Säkerhetsfrågor i fokus dagligen 2 IT-säkerhet i upphandlingssystem Deltagare presenterar sig för varandra Myndighet Erfarenhet av elektronisk

Läs mer

IT-säkerhetsinstruktion Förvaltning

IT-säkerhetsinstruktion Förvaltning IT-säkerhetsinstruktion Förvaltning 2013-09-24 1.0 IT- S Ä K E R H E T S I N S T R U K T I O N IT-säkerhetsinstruktion Finspångs kommun 612 80 Finspång Telefon 0122-85 000 Fax 0122-850 33 E-post: kommun@finspang.se

Läs mer

Bilaga 1 Allmänna villkor för Socialnämnds anslutning till Sammansatt Bastjänst Ekonomiskt Bistånd (SSBTEK)

Bilaga 1 Allmänna villkor för Socialnämnds anslutning till Sammansatt Bastjänst Ekonomiskt Bistånd (SSBTEK) Bilaga 1 Allmänna villkor för Socialnämnds anslutning till Sammansatt Bastjänst Ekonomiskt Bistånd (SSBTEK) 1. Allmänt Dessa Allmänna villkor reglerar Socialnämndens anslutning till Sammansatt Bastjänst

Läs mer

Bilaga 3 Säkerhet. Bilaga 3 Säkerhet. Dnr 93-25-09 Fasta och mobila operatörstjänster samt transmission -C

Bilaga 3 Säkerhet. Bilaga 3 Säkerhet. Dnr 93-25-09 Fasta och mobila operatörstjänster samt transmission -C Säkerhet Säkerhet 2 (14) Innehåll 1 Allmänt 3 2 Säkerhet 4 2.1 Administrativa säkerhetskrav 4 2.1.1 Basnivå för informationssäkerhet 4 2.1.2 Uppföljning och kontroll säkerhetsrevision 5 2.1.3 Säkerhets-

Läs mer

Datasäkerhet. Informationsteknologi sommarkurs 5p, 2004. Agenda. Slideset 10. Hot mot datorsystem. Datorsäkerhet viktigare och viktigare.

Datasäkerhet. Informationsteknologi sommarkurs 5p, 2004. Agenda. Slideset 10. Hot mot datorsystem. Datorsäkerhet viktigare och viktigare. Informationsteknologi sommarkurs 5p, 2004 Mattias Wiggberg Dept. of Information Technology Box 337 SE751 05 Uppsala +46 18471 31 76 Collaboration Jakob Carlström Datasäkerhet Slideset 10 Agenda Hot mot

Läs mer

Verket för förvaltningsutvecklings författningssamling ISSN 1654-0832 Utgivare: Lena Jönsson, Verva, Box 214, 101 24 Stockholm

Verket för förvaltningsutvecklings författningssamling ISSN 1654-0832 Utgivare: Lena Jönsson, Verva, Box 214, 101 24 Stockholm Verket för förvaltningsutvecklings författningssamling ISSN 1654-0832 Utgivare: Lena Jönsson, Verva, Box 214, 101 24 Stockholm Vervas allmänna råd till föreskrift om statliga myndigheters arbete med säkert

Läs mer

Informationssäkerhet - Instruktion för förvaltning

Informationssäkerhet - Instruktion för förvaltning Informationssäkerhet - Instruktion för förvaltning Innehållsförteckning 1. INFORMATIONSSÄKERHET...3 2. ORGANISATION OCH ANSVAR INFORMATIONSSÄKERHET...4 2.1 KOMMUNSTYRELSEN... 4 2.2 NÄMND OCH BOLAG... 4

Läs mer

Metoder för att öka informationssäkerheten. och därmed minska säkerhetsriskerna

Metoder för att öka informationssäkerheten. och därmed minska säkerhetsriskerna Metoder för att öka informationssäkerheten och därmed minska säkerhetsriskerna Mål Att utifrån en riskanalys identifiera förbättringsåtgärder som ökar säkerheten i verksamheten kunna välja lämpliga åtgärder

Läs mer

VISION STRATEGI REGLEMENTE PROGRAM POLICY PLAN» RIKTLINJE REGEL. Riktlinjer för informationssäkerhet

VISION STRATEGI REGLEMENTE PROGRAM POLICY PLAN» RIKTLINJE REGEL. Riktlinjer för informationssäkerhet Riktlinjer Handläggare Vårt diarienummer Datum Sidan 1(8) Jonas Åström KS2016/222 VISION STRATEGI REGLEMENTE PROGRAM POLICY PLAN» RIKTLINJE REGEL Sandvikens kommuns Riktlinjer för informationssäkerhet

Läs mer

EBITS 2010-02-15 Arbetsgruppen för Energibranschens Reviderad 2010-02-17 Informationssäkerhet

EBITS 2010-02-15 Arbetsgruppen för Energibranschens Reviderad 2010-02-17 Informationssäkerhet 2010-02-15 Arbetsgruppen för Energibranschens Reviderad 2010-02-17 Informationssäkerhet IT SOM TJÄNST - MOLNTJÄNSTER Användning av internetbaserade IT-tjänster tillhandahållna av extern leverantör Syfte

Läs mer

Riktlinjer för säkerhetsarbetet vid Uppsala universitet

Riktlinjer för säkerhetsarbetet vid Uppsala universitet Dnr UFV 2010/424 Riktlinjer för säkerhetsarbetet vid Uppsala universitet Fastställda av Universitetsdirektören 2010-03-31 Innehållsförteckning 1 Inledning 3 2 Ansvar 3 3 Underlåtelse 3 4 Definitioner 3

Läs mer

Finansinspektionens författningssamling

Finansinspektionens författningssamling Finansinspektionens författningssamling Utgivare: Finansinspektionen, Sverige, www.fi.se ISSN 1102-7460 Finansinspektionens föreskrifter och allmänna råd om it-system, informationssäkerhet och insättningssystem;

Läs mer

Informationssäkerhet

Informationssäkerhet Informationssäkerhet Information och anvisningar för medarbetare i Stockholms läns sjukvårdsområde Informationssäkerhet 3 Informationssäkerhet inom Stockholms läns sjukvårdsområde (SLSO) Med informationssäkerhet

Läs mer

IT-generella kontroller i Agresso, skattekontosystemet, Moms AG och Tina

IT-generella kontroller i Agresso, skattekontosystemet, Moms AG och Tina 1 IT-generella kontroller i Agresso, skattekontosystemet, Moms AG och Tina Riksrevisionen har som ett led i den årliga revisionen av Skatteverket granskat IT-generella kontroller i ekonomisystemet Agresso,

Läs mer

Riktlinjer för Informationssäkerhet Falkenbergs Kommun 2009-04-23 Kommunledningskontoret

Riktlinjer för Informationssäkerhet Falkenbergs Kommun 2009-04-23 Kommunledningskontoret Riktlinjer för Informationssäkerhet Falkenbergs Kommun 2009-04-23 Kommunledningskontoret Antagen av Kommunfullmäktige 2009-04-23 57 1. Allmänt... 3 1.1 Inledning... 3 1.2 Begreppet informationssäkerhet

Läs mer

Terminologi inom informationssäkerhetsområdet HB 550 har blivit TR-50

Terminologi inom informationssäkerhetsområdet HB 550 har blivit TR-50 Terminologi inom informationssäkerhetsområdet HB 550 har blivit TR-50 TK 318 2015-09-02 Jan-Olof Andersson Bearbetat underlag från: Lars Söderlund/Rose-Mharie Åhlfeldt 2015-09-07 1 TR-50 Teknisk rapport

Läs mer

GTP Info KP 081113. P-O Risberg per-ola.risberg@logica.com. Jaan Haabma Jaan.haabma@basesoft.se. 2008-11-13 GTP Info KP Inforum 1

GTP Info KP 081113. P-O Risberg per-ola.risberg@logica.com. Jaan Haabma Jaan.haabma@basesoft.se. 2008-11-13 GTP Info KP Inforum 1 GTP Info KP 081113 Jaan Haabma Jaan.haabma@basesoft.se P-O Risberg per-ola.risberg@logica.com 2008-11-13 GTP Info KP Inforum 1 GTP - FM Generell Teknisk Plattform En IT-infrastruktur som bl a tillhandahåller

Läs mer

Informationssäkerhetspolicy

Informationssäkerhetspolicy 2009-07-15 1 (9) Informationssäkerhetspolicy Antagen av kommunfullmäktige den 2009-10-21, 110 Kommunstyrelseförvaltningen Postadress Besöksadress Telefon Telefax E-post Hemsida 462 85 Vänersborg Sundsgatan

Läs mer

Kravställning på e-arkiv från informationssäkerhetsperspektiv

Kravställning på e-arkiv från informationssäkerhetsperspektiv Kravställning på e-arkiv från informationssäkerhetsperspektiv Författare: Delprojektgruppen informationssäkerhet Årtal: 2014 Författare: Delprojektgruppen informationssäkerhet Sammanfattning Inom ramen

Läs mer

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Malmö Högskola 2011. Sammanfattning 2012-05-22 32-2011-0688

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Malmö Högskola 2011. Sammanfattning 2012-05-22 32-2011-0688 Revisionsrapport Malmö Högskola 205 06 Malmö Datum Dnr 2012-05-22 32-2011-0688 Granskning av intern styrning och kontroll av informationssäkerheten vid Malmö Högskola 2011 Riksrevisionen har som ett led

Läs mer

Områdesövervakning - Områdesövervakning inklusive kameraövervakning

Områdesövervakning - Områdesövervakning inklusive kameraövervakning SvK4005, v3.3, 2012-08-09 VÅR BETECKNING TR09-06 DATUM 2007-04-04 TEKNISK RIKTLINJE UTGÅVA A Områdesövervakning - Områdesövervakning inklusive kameraövervakning Inledning Under senare år har elbranschen

Läs mer

Informationssäkerhetspolicy för Vetlanda kommun

Informationssäkerhetspolicy för Vetlanda kommun 1 (10) Informationssäkerhetspolicy för Vetlanda kommun Dokumenttyp: Policy Beslutad av: Kommunfullmäktige (2015-12-16 202) Gäller för: Alla kommunens verksamheter Giltig fr.o.m.: 2015-12-16 Dokumentansvarig:

Läs mer

IT governance i praktiken: Styrning och kontroll över ITriskerna. Fredrik Björck Transcendent Group för ADBJ 2006-01-31. Agenda

IT governance i praktiken: Styrning och kontroll över ITriskerna. Fredrik Björck Transcendent Group för ADBJ 2006-01-31. Agenda IT governance i praktiken: Styrning och kontroll över ITriskerna med ISO2700X Fredrik Björck Transcendent Group för ADBJ 2006-01-31 Agenda IT governance definierat IT governance i praktiken och infosäk

Läs mer

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter Datum Diarienr 2013-05-08 1552-2012 Socialnämnden i Norrköpings kommun Rådhuset 601 81 Norrköping Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter Datainspektionens

Läs mer

Utvärdering Kravspecifikation

Utvärdering Kravspecifikation sida 1 (5) 1 Funktion, prestanda och teknik 1.1 Allmänt 1.1.1 TCP/IP ska användas som kommunikationsprotokoll. 1.1.2 IP version 4 ska stödjas. 1.1.3 Systemet bör vara Microsoft Active Directory-aware,

Läs mer

IT-säkerhet Externt och internt intrångstest

IT-säkerhet Externt och internt intrångstest Revisionsrapport IT-säkerhet Externt och internt intrångstest Region Halland Kerem Kocaer December 2012 Innehållsförteckning Inledning... 3 Bakgrund... 3 Revisionsfråga... 3 Angreppssätt... 4 Syfte och

Läs mer

ISD - IT-säkerhetsdeklaration. Information till SESAME Dan Olofsson PrL ISD 070-6825904

ISD - IT-säkerhetsdeklaration. Information till SESAME Dan Olofsson PrL ISD 070-6825904 ISD - IT-säkerhetsdeklaration Information till SESAME Dan Olofsson PrL ISD 070-6825904 Agenda Varför ISD? Omfattning ISD, Informationssäkerhet kontra IT-säkerhet Status Vad är ISD? Varför ISD? Projekt

Läs mer

EKLIENT STANDARD HANTERING AV KLIENTER MED OPERATIVSYSTEM SOM GÅTT EOL 1.0

EKLIENT STANDARD HANTERING AV KLIENTER MED OPERATIVSYSTEM SOM GÅTT EOL 1.0 EKLIENT STANDARD HANTERING AV KLIENTER MED OPERATIVSYSTEM SOM GÅTT EOL 1.0 1 av 8 2 av 8 Innehåll Historik... Fel! Bokmärket är inte definierat. Dokumentinformation... 3 Syfte... 3 Målgrupper... 3 Revision...

Läs mer

Säkerhet vid behandling av personuppgifter i forskning

Säkerhet vid behandling av personuppgifter i forskning Säkerhet vid behandling av personuppgifter i forskning Magnus Bergström IT-säkerhetsspecialist magnus.bergstrom@datainspektionen.se www.datainspektionen.se Först några ord om informationssäkerhet Organisationens

Läs mer

INFORMATIONSTEKNISK ARKITEKTUR OCH INFRASTRUKTUR

INFORMATIONSTEKNISK ARKITEKTUR OCH INFRASTRUKTUR INFORMATIONSTEKNISK ARKITEKTUR OCH INFRASTRUKTUR Ämnet informationsteknisk arkitektur och infrastruktur behandlar de grundläggande processerna, komponenterna och gränssnitten i ett sammanhängande informationstekniskt

Läs mer

Säkerhetsmekanismer. Säkerhetsmekanismer och risk. Skadlig kod. Tidsperspektiv Säkerhetsprodukter, -system och -lösningar

Säkerhetsmekanismer. Säkerhetsmekanismer och risk. Skadlig kod. Tidsperspektiv Säkerhetsprodukter, -system och -lösningar Säkerhetsmekanismer Säkerhetsmekanismer och risk = Skydd Avser att öka informationssäkerheten Är en typ av informationstillgång IT i vården (28 sidor) 1 2 Skadlig kod Virus (kopierar sig själva inuti andra

Läs mer

Ny samverkan till stöd vid upphandling av kryptolösningar

Ny samverkan till stöd vid upphandling av kryptolösningar Försvarets Materielverk/CSEC 2005 Document ID ED-188 Issue 0.1 Ny samverkan till stöd vid upphandling av kryptolösningar Dag Ströman, Verksamhetschef, Sveriges Certifieringsorgan för IT-säkerhet vid FMV

Läs mer

Bilaga 1. Definitioner

Bilaga 1. Definitioner 1 (6) Bilaga 1 Definitioner 2 (6) Definitioner inom Ramavtal e-förvaltningsstödjande tjänster Definitionerna gäller även för Leveransavtal under detta Ramavtal. Anbudsgivare Användare Användbarhet Applikation

Läs mer

Inte bara det, vi har dessutom fått allt fler arbetsredskap. När vi inte har kontroll på enheterna är det svårare att skydda dem.

Inte bara det, vi har dessutom fått allt fler arbetsredskap. När vi inte har kontroll på enheterna är det svårare att skydda dem. 1 Jobbet har slutat vara något vi går till och det är numera något vi gör. Våra kollegor är vana att använda ny teknik hemma, de vill nu göra det på jobbet. Helst vill de dessutom jobba från sina enheter

Läs mer

SOLLENTUNA FÖRFATTNINGSSAMLING 1

SOLLENTUNA FÖRFATTNINGSSAMLING 1 FÖRFATTNINGSSAMLING 1 IT-STRATEGI FÖR SOLLENTUNA KOMMUN Antagen av fullmäktige 2003-09-15, 109 Inledning Informationstekniken har utvecklats till en världsomspännande teknik som omfattar datorer, telefoni,

Läs mer

Internetsäkerhet. banktjänster. September 2007

Internetsäkerhet. banktjänster. September 2007 Internetsäkerhet och banktjänster September 2007 Skydda din dator Att använda Internet för att utföra bankärenden är enkelt och bekvämt. Men tänk på att din datormiljö måste vara skyddad och att du aldrig

Läs mer

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser Revisionsrapport IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser Landstinget i Östergötland Kerem Kocaer Magnus Olson-Sjölander Björn Johrén IT-specialister Eva Andlert

Läs mer

EDA KOMMUN. nformationssäkerhet - Informationssäkerhetspolicy

EDA KOMMUN. nformationssäkerhet - Informationssäkerhetspolicy EDA KOMMUN nformationssäkerhet - Informationssäkerhetspolicy Innehållsförteckning 1 Inledning... 1 2 Mål för IT-sbäkerhetsarbetet... 2 2.1 Långsiktiga mål... 2 2.2 Årliga mål... 2 3 Organisation, roller

Läs mer

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010.

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010. Revisionsrapport Mälardalens högskola Box 883 721 23 Västerås Datum Dnr 2011-03-08 32-2010-0735 Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010 Riksrevisionen

Läs mer

Personuppgiftsbiträdesavtal

Personuppgiftsbiträdesavtal DNR 13-125/2325 SID 1 (9) Bilaga 9 Personuppgiftsbiträdesavtal Upphandling av ett helhetsåtagande avseende IT-stöd för pedagogiskt material inom Skolplattform Stockholm DNR 13-125/2325 SID 2 (9) INNEHÅLLSFÖRTECKNING

Läs mer

Riktlinjer avseende Informationssäkerheten för Götene, Lidköping och Skara kommuner

Riktlinjer avseende Informationssäkerheten för Götene, Lidköping och Skara kommuner Riktlinjer avseende Informationssäkerheten Sida 1 Riktlinjer avseende Informationssäkerheten för Götene, Lidköping och Skara kommuner Informationssäkerhet är en del i kommunernas lednings- och kvalitetsprocess

Läs mer

Instruktion: Trådlöst utbildningsnät orebro-utbildning

Instruktion: Trådlöst utbildningsnät orebro-utbildning Instruktion: Trådlöst utbildningsnät orebro-utbildning Sida 2 av 19 Innehållsförteckning 1 Inledning... 3 2 Så ansluter du till nätverket orebro-utbildning... 4 2.1 Allmän information:... 4 2.2 Enkel anslutning

Läs mer

Foto: Björn Abelin, Plainpicture, Folio bildbyrå Illustrationer: Gandini Forma Tryck: Danagårds Grafiska, 2009

Foto: Björn Abelin, Plainpicture, Folio bildbyrå Illustrationer: Gandini Forma Tryck: Danagårds Grafiska, 2009 Om trådlösa nät 2 Foto: Björn Abelin, Plainpicture, Folio bildbyrå Illustrationer: Gandini Forma Tryck: Danagårds Grafiska, 2009 Om trådlösa nät Trådlösa nät för uppkoppling mot Internet är vanliga både

Läs mer

IT-säkerhetspolicy för Landstinget Sörmland

IT-säkerhetspolicy för Landstinget Sörmland Bilaga 1, LS 115 /02 1.0 1(5) IT-säkerhetspolicy för Landstinget Sörmland Inledning Bakgrund och motiv Mål Medel Omfattning Organisation och ansvar Regelverk 1.0 2(5) Inledning Policyn är landstingsstyrelsens

Läs mer