Bilaga 10 Säkerhet. Dnr: / stockholm.se. Stadsledningskontoret It-avdelningen

Transkript

1 stockholm.se Stadsledningskontoret It-avdelningen Ragnar Östbergs Plan Stockholm Växel

2 Innehåll 1 Inledning 3 2 Krav på säkerhetsarbete Allmänt Ledningssystem för informationssäkerhet Ingående aktiviteter i it-säkerhetsarbetet Skydd mot skadlig kod Krav på säkerhet för Kritiska Tjänster och System Krav på säkerhet för Mycket Kritiska Tjänster och System 8 2 (9) Upphandling GSIT 2.0

3 1 Inledning Definitioner som används i detta dokument har den betydelse som anges i Bilaga 1 (Begrepp och definitioner). Denna bilaga reglerar på en övergripande nivå arbetet med krav på säkerhet som beskrivs i Avtalet. Leverantören ska följa dessa krav samt Stadens vid var tid gällande riktlinjer för informationssäkerhet. Riktlinjerna framgår av Bilaga 11 (Riktlinje informationssäkerhet). 2 Krav på säkerhetsarbete 2.1 Allmänt Leverantören ska kontinuerligt arbeta med att planera, följa upp och förbättra kvalitet och säkerhet i tillhandahållandet av Tjänsterna. Detta för att uppfylla Stadens säkerhetsbehov och se till att information hanteras på ett säkert sätt för alla Tjänster och processaktiviteter. Detta arbete ska vara organiserat med ansvariga utpekade hos Leverantören och genomsyra Leverantörens arbete med leverans av Tjänsterna. Syftet med säkerhetsarbetet är att förhindra, eller minska konsekvenserna av eller sannolikheten för, oönskade händelser inom tillhandahållandet av Tjänster och att upprätthålla Stadens förmåga att fullgöra sina åtaganden innefattande bland annat myndighetskrav och krav enligt Gällande Rätt. I arbetet ingår alla åtgärder vars samlade effekt är att förebygga och minimera konsekvenserna av störningar och Avbrott för informationshanteringen. I detta åtagande ingår att säkerställa att informationen får rätt nivå av säkerhet med avseende på informationssäkerhetsaspekterna: Åtkomstbegränsning (sekretess) skydd mot obehörig åtkomst av information, Riktighet skydd mot oönskad förändring, påverkan eller insyn, Tillgänglighet åtgärder för att säkra drift och funktionalitet, och Spårbarhet möjligheten att fastställa vem som gjort vad eller att kunna verifiera orsaken till en händelse. 2.2 Ledningssystem för informationssäkerhet Leverantören ska ha processer för egenkontroll samt ett generellt processorienterat it-säkerhetsarbete, som i enlighet med ITIL Upphandling GSIT (9)

4 Security Management eller motsvarande är sammanhållet av ett ledningssystem för informationssäkerhet (LIS), där policys, säkerhetskontroller, andra säkerhetsåtgärder, säkerhetsrevisioner, schemalagda säkerhetstester och klassificering av känslig data och risker finns dokumenterade. Ledningssystemet ska möjliggöra för Leverantören att leva upp till krav enligt detta Avtal. Ledningssystemet för informationssäkerhet ska minst ha beaktat följande aspekter: Stadens information, organisation, struktur, interna/externa krav och risker med dessa, Stadens strategier, planer och budget för it-leveranser och risker med dessa, Specifik känslig data, Lagstiftning, Incidenter och digitala angrepp, och Förändringar som påverkar säkerheten, till exempel framtida planer och krav. 2.3 Ingående aktiviteter i it-säkerhetsarbetet Leverantören ska bland annat utföra följande aktiviteter: Styrning: - Organisera it-säkerhetsarbetet med tydligt ansvar och mandat. Planering: - Planera för säkerhetshöjande åtgärder, inkluderande att genomföra risk- och sårbarhetsanalyser, dokumentera detta samt besluta om åtgärder med anledning av detta. Analyserna ska genomföras i enlighet med Stadens modell för risk- och sårbarhetsanalys och resultatet ska redovisas för Staden. - Klargöra interna krav på nödvändiga avtal, roller, och andra säkerhetsrelaterade krav, samt sätta regelverk för exempelvis: - Användandet av it (inklusive beivrandet av missbruk), behörigheter, lösenord, e-post, internet, anti-virus, säkerhetsklassning av information, fjärråtkomst, underleverantörsstyrning inklusive deras tillgång till system och data samt eventuella kompletterande särskilda säkerhetsstrategier. - Alternativa arbetssätt och rutiner för den händelse att Leverantören själv drabbas av störningar i sin interna verksamhet. Implementering: - Implementera säkerhetskontroller enligt en för säkerhetsnivån lämplig utvecklingsprocess. 4 (9) Upphandling GSIT 2.0

5 - Kommunicera om och utbilda Leverantörens personal om itsäkerhetsarbetet (exempelvis gällande klassificering av data och information). Personalen kan även behöva underteckna sekretessförbindelser. - Definiera krav på personlig och fysisk säkerhet, fastställa riktlinjer för behörigheter och för hanteringen av säkerhetsincidenter. - Utse och dokumentera ansvariga för säkerheten i leveransens olika delar, både för de levererade Tjänsterna i sin helhet och för enskilda system. Utvärdering: - När Staden begär revisioner ska Leverantören skyndsamt ställa information och resurser till förfogande som stöd för genomförande av revisionen. Leverantören ska även på förfrågan från Staden medverka i att utforma och ta fram bestyrkanderapporter avseende internkontroll och säkerhet inom områden som inte täcks av ISAE Exempel på områden är sekretess/åtkomst, riktighet, tillgänglighet och spårbarhet rapporterade i enlighet med standarden ISAE Genomföra interna och av Staden begärda revisioner av säkerhetsarbetet. - Tillhandahålla en struktur för kontinuerlig utvärdering av säkerhetsincidenter. Löpande arbete, genomföra dagliga aktiviteter såsom: - Kommunicera policys och övervaka att dessa efterlevs. - Övervaka, hantera och rapportera säkerhetsincidenter. - Genomföra sårbarhets- och penetrationstester i enlighet med informationssäkerhetsriktlinjerna. - Löpande följa upp vilka personer som har olika former av administratörsrättigheter samt rapportera till Stadens kontaktpersoner hur många och vilka dessa personer är. - Ha en kontinuerlig översyn av skydd mot säkerhetsbrister och obehörig åtkomst. - Säkerställa uppnådd säkerhet mellan Stadens Resurser och Leverantörens resurser som används för att leverera Tjänsterna. - Genomföra kontinuitetsplanering och riskanalyser för kontinuitet. - Genomföra kapacitetsplanering och riskanalys för kapacitet. - Verifiera att tillhandahållandet av Tjänster lever upp till ställda krav i Bilaga 11 (Riktlinje informationssäkerhet) samt föreslå åtgärder vid eventuella avvikelser. Detta arbete ska halvårsvis rapporteras till Staden i form av en skriftlig rapport Upphandling GSIT (9)

6 och en föredragning på kontraktsnivån enligt samverkansmodellen. - Kontinuerligt och systematiskt arbeta med förbättringar av itsäkerheten. 2.4 Skydd mot skadlig kod Leverantören ansvarar för att hålla Stadens it-miljö fri från skadlig och fientlig kod. I detta ingår bland annat att nödvändiga licenser för säkerhetsprogramvaror, installation och konfiguration av dessa programvaror samt att säkerhetsprogramvarorna hålls uppdaterade vid tillhandahållandet av Tjänsterna. Leverantören ska ha system för att aktivt söka och upptäcka förekomst av skadlig kod samt logga resultatet av övervakningen. Staden ska på begäran kunna ta del av loggarna. 2.5 Krav på säkerhet för Kritiska Tjänster och System Med Kritiska Tjänster och System inom leveransen avses: Namnuppslag (DNS) enligt Bilaga 6A (Generella krav på Tjänsterna), IDM-system enligt Bilaga 6A (Generella krav på Tjänsterna), Certifikatinfrastruktur enligt Bilaga 6A (Generella krav på Tjänsterna), Datalagring enligt Bilaga 8A (Arbetsplatssystem) och enligt Bilaga 8B (Server- och applikationsdrift), och VPN (virtuellt privat nätverk) enligt Bilaga 8A (Arbetsplatssystem). Leverantören ska för Kritiska Tjänster och System uppfylla krav på redundans, driftsäkerhet och diversifiering, enligt avsnitt 2.5.1, och nedan. Leverantören är medveten om att Tjänster och system som klassas som Kritiska Tjänster och System kan ändras över tid genom Ändringsprocessen, varvid Kritiska Tjänster och System kan komma att läggas till eller tas bort Redundans Ingående utrustning ska placeras i minst två (2) datahallar. Avståndet mellan datahallarna ska vara minst tio (10) km. Redundansen ska klara av ett bortfall av femtio (50) procent av ingående komponenter. Leverantören ska styra och reglera vilken del av den redundanta utrustningen som är aktiv i produktionsmiljön. Leverantören ska bevaka vilken utrustning som är aktiv i produktionsmiljön. 6 (9) Upphandling GSIT 2.0

7 Leverantören ska automatiskt och manuellt kunna styra vilken del av den redundanta utrustningen som är aktiv i produktionsmiljön. Leverantören ska tillhandahålla minst två (2) WAN-anslutningar från minst två (2) leverantörer i enlighet med NIST SP800 53R4 CP-8 Telecommunication services eller motsvarande. I tillägg till detta ska minst två (2) av WAN-anslutningar vara aktiva. Leverantören ska kunna genomföra tester avseende Avbrott enlig testplan för Avbrott minst en (1) gång per år. Testerna ska genomföras i enlighet med SS-EN-ISO-22301:2014 kapitel 8.5 Övning och testning eller motsvarande Driftsäkerhet Leverantören ska säkerställa att all hårdvara och all mjukvara är supporterad av tillverkaren. Leverantören ska tillhandahålla skydd för fel i nätverkets datalänkskikt (OSI layer 2), baserad på rekommendationer från leverantören av nätverksutrustning. Omfattningen av skydd ska vara baserad på årligen återkommande riskanalyser som ska godkännas av Staden. Leverantören ska ha ett dedikerat fysiskt nätverk för administration av nätverk och servermiljö, så kallad Out of Band Management. Leverantören ska ha processer för att analysera trender och prognoser för framtida kapacitetsbehov i driftsprocesser och komponenter. Leverantören ska rapportera resultatet från genomförda internkontroller till Staden var sjätte (6:e) månad. I rapporteringen framgår det vilka områden som har testats, hur testerna har genomförts och resultatet av tester. Avvikelser och andra observationer som kan komma att påverka Staden ska inkluderas i rapporteringen Diversifiering Leverantören ska upprätta en plan för hur alternativ datakommunikation under kris säkerställs. Planen ska utformas enligt NIST SP800 53R4 CP-11 Alternate Communications Protocols och CP-13 Alternative Security Mechanisms eller motsvarande. Staden ska godkänna planen för hur alternativ datakommunikation under kris säkerställs. Upphandling GSIT (9)

8 2.6 Krav på säkerhet för Mycket Kritiska Tjänster och System Med Mycket Kritiska Tjänster och System inom leveransen avses: katalogtjänst enligt Bilaga 8A (Arbetsplatssystem), e-post enligt Bilaga 8A (Arbetsplatssystem) och enligt Bilaga 8D (Tjänster för Stadens Pedagogiska Verksamheter), och licensservern inklusive anslutningen mot leveransen av systemdrift och systemförvaltning av Centrala Verksamhetssystem, inom Tjänst för förenklad åtkomst till Applikationer, enligt Bilaga 8B (Server- och applikationsdrift). Leverantören ska för Mycket Kritiska Tjänster och System uppfylla samtliga krav i avsnitten 2.5 Krav på säkerhet för Kritiska Tjänster och System: Redundans, Driftsäkerhet och Diversifiering. I tillägg till detta ska krav på redundans, driftsäkerhet och diversifiering enligt de tre följande avsnitten nedan också uppfyllas. Leverantören är medveten om att Tjänster och system som klassas som Mycket Kritiska Tjänster och System kan ändras över tid genom Ändringsprocessen, varvid Mycket Kritiska Tjänster och System kan komma att läggas till eller tas bort Redundans Mycket Kritiska Tjänster och System ska klara av ett bortfall av sjuttiofem (75) procent av ingående komponenter. Tillgänglighetsrisker för Mycket Kritiska Tjänster och System ska vara analyserade, bedömda och dokumenterade i enlighet med MSBFS 2015:5 eller motsvarande. Tillgänglighetsrisker ska uppdateras minst en (1) gång per år och vid större förändringar Driftsäkerhet Leverantören ska genomföra förebyggande underhåll. Leverantören ska, baserad på statistisk analys av användning, ersätta komponenter när deras tillgänglighet inte längre kan säkerställas, exempelvis när komponenter utsatts för en förhöjd belastning under längre tid. Leverantören ska upprätta kontaktlistor för kommunikation och koordinering av kris och delge Staden dessa. Kontaktlistor för kris ska uppdateras minst en (1) gång per månad. 8 (9) Upphandling GSIT 2.0

9 2.6.3 Diversifiering Leverantören ska kunna, efter överenskommelse med Staden, tillhandahålla Infrastructure as a Service (IaaS) för mycket kritisk utrustning som hanteras av Stadens Övriga Leverantörer. Leverantören ska kunna hantera Mycket Kritiska Tjänster och System tillhandahållen på IaaS av Stadens Övriga Leverantörer. Om Mycket Kritiska Tjänster och System och mycket kritisk utrustning tillhandahålls av samma leverantör, ska en underleverantör anlitas för tillhandahållandet av IaaS för att uppfylla krav på diversifiering. Leverantören ska tillhandahålla en WAN-förbindelse med anpassningsbar prestanda till andra leverantörer i enlighet med NIST SP800 53R4 CP-8 Telecommunication services eller motsvarande. Leverantören ska kunna avaktivera säkerhetskontroller och/eller tillämpa alternativa säkerhetskontroller för Mycket Kritiska Tjänster och System under kris i enlighet med NIST SP800 53R4 CP13 Alternative Security Mechanisms och CP11 Alternate Communications Protocols eller motsvarande. Leverantören ska kunna reducera och återställa utnyttjad kapacitet för övriga Tjänster och system. Detta för att säkerställa tillgänglighet för Mycket Kritiska Tjänster och System under en kris. Upphandling GSIT (9)