EXEMPEL. Informationssäkerhetsinstruktion: Kontinuitet och Drift (Infosäk KD)

Transkript

1 EXEMPEL Informationssäkerhetsinstruktion: Kontinuitet och Drift (Infosäk KD)

2 Innehållsförteckning 1 Instruktionens roll i informationssäkerhetsarbetet 4 2 Organisation och ansvar för säkerhetsarbetet 5 3 Organisationens interna nätverk 6 4 Kraven på nätverkets resurser 6 5 Genomförda åtgärder 7 6 Daglig drift Resurser Lokaler och utrustning Programvaror/register nätverk Programvaror/register Applikationer Märkning och benämningar Klassning av resurser Arbetsplatser Omflyttning och överlåtelse av IT-utrustning Fysiskt skydd Larm Klimatutrustning Brandskydd Tillträdeskontroll Kommunikation WAN LAN Fjärraccess/VPN Brandvägg Internet Roller och ansvar - IT Åtkomsträttigheter - användare Konton, grupper och profiler Val av lösenord Loggning och spårbarhet Övervakning Logghantering Logganalys Säkerhetskopiering Intervall och omfattning Informationens läsbarhet Hantering av media Val av media Märkning Klassning Förvaring Avveckling...12

3 7 Störningar/avbrott 12 8 Incidenthantering 12 9 Systemhantering Dokumentation Bilaga 1: Installationer - specifikationer Bilaga 2: Beslut och underhåll av driftinstruktionen 14

4 Instruktionens roll i informationssäkerhetsarbetet Styrande dokument för informationssäkerhetsarbetet är myndighetens informationssäkerhetspolicy och informationssäkerhetsinstruktionerna Förvaltning, Kontinuitet och Drift samt Användare: Informationssäkerhetspolicy Informationssäkerhetsinstruktion Förvaltning Målgrupp: Ledning, systemägare och samordningsansvarig Informationssäkerhetsinstruktion Kontinuitet och Drift Målgrupp: IT-driftansvariga Informationssäkerhetsinstruktion Användare Målgrupp: Samtliga medarbetare Informationssäkerhetspolicyn redovisar ledningens viljeinriktning och mål för informations-säkerhetsarbetet. Informationssäkerhetsinstruktion kontinuitet och drift, (Infosäk KD) utgår från policyn och syftar till att redovisa: Verksamheternas beroende av IT-stöd Organisationens gemensamma kontinuitets- och driftplan

5 Organisation och ansvar för säkerhetsarbetet Nedanstående modell beskriver hur avbrott hanteras under olika faser av störningar/avbrott. Katastrof Incident/störning (inom accepterad avbrottstid vid normal drift) Avbrott (över accepterad avbrottstid) Hanteras av: Service Desk Hanteras av: Service Desk IT-organisation Hanteras av: Service Desk IT-organisation Katastroforganisation Incident/Störning En oönskad händelse som kan hanteras inom accepterad avbrottstid med interna eller externa resurser Avbrott En oönskad händelse som inte kan hanteras inom accepterad avbrottstid med interna resurser Katastrof En mycket allvarlig händelse bortom all kontroll och som kraftigt påverkar verksamheten. Ledningsorganisationen vid olika faser skiftar. Generellt innebär detta att organisationen växer efter hand som händelsen eskalerar. Service Desk Service Desk är alltid bemannad och utgör grunden i organisationen. Service Desk ska: Ta emot anmälan om alla typer av händelser Upprätta dagbok med utrymme för tidpunkt för anmälan, vem anmälde, och om möjligt hur händelsen uppstod eller upptäcktes Klassificera händelserna. (Incident, avbrott eller katastrof?) Klara incidenter och störningar Planera inför avbrottsfas och katastroffas genom att sammankalla berörda Hos Service Desk ska minst finnas: Förteckning över resurspersoner Förteckning över aktuella avtal med kontaktpersoner Hos Service Desk ska också checklistor för de allvarligaste hoten som: Checklista angrepp skadlig kod Checklista återläsning och återställande M fl

6 Organisationens interna nätverk Hemanvändare / Distansanvändare WWW 1 2 DNS Reserv brandvägg Router DMZ - Publika resurser Webmail VPN/Karantän 3 4 Brandvägg Router Internet DMZ Resurser för godkända användare AP Accespunkt Mobil / PDA DMZ Trådlös kommunikation Inloggningsserver E-postserver Webbserver Databasserver Backupenhet Skrivare 12 Klient Klient Dokumentserver Applikationsserver Managementserver LAN LAN/WLAN / VLAN Kraven på nätverkets resurser De enheter i det interna nätverket som ska skyddas framgår av nedanstående tabell. De krav som tabellen visar för respektive enhet baseras på den o samlade hotanalysen för de applikationer i organisationen som ingår i det interna nätverket o information som lagras eller transporteras Organisationens gemensamma Informationssäkerhetsinstruktion för kontinuitet- och drift baseras på tabellen. Resurs Klienter Placering LAN / VPN Informationssystem Klientprogramvara för Kravnivå Tillgänglighet B ärendehanteringssystemet ekonomisystemet lönesystemet e-post office Server 1 Publik webbserver DMZ Publik Webbserver B Server 2 Extern DNS DMZ Publik DNS-server B Server 3 Webmail DMZ Intern E-post program B Server 4 VPN / Karantän DMZ Intern Server program för VPN-uppkoppling B till distans och hemanvändare. AP1 AccessPunkt. DMZ Trådlöst Accesspunkt till trådlöst nätverk. B Server 5 Inloggningsserver LAN / VPN Autentiseringsprogram för inloggning av användare mm (t.ex. ActiveDirectory). Minst två stycken inloggningsservrar ska finnas för att garantera HN

7 Server 6 Fillagring och utskrifter Server 7 E-postserver Server 8 Applikationsserver Server 9 Webbserver Server 10 Databasserver Server 11 Managementserver Backupenhet hög tillgänglighet. IP-adressregister Routingtabell LAN / VPN Server för tjänsterna lagring av filer HN och utskrifter. LAN / VPN Centralt E-postserver program. HN LAN / VPN Ärendehanteringssystemet Ekonomisystemet Lönesystemet Miljö LAN / VPN Hemsidan Intranät LAN / VPN Databas till ärendehanteringssystemet ekonomisystemet lönesystemet mm. LAN / VPN Backup Övervakning Antivirus Patchhantering av servrar och klienter Ansluten till Band och diskenhet. server 11 Brandvägg MHN Router MHN Kablage MHN Switchar, hubbar Datorhall Nätverkets alla resurser MHN Service Desk B B B B HN MHN Genomförda åtgärder Denna driftinstruktion förutsätter att de förslag som BITS Plus ger vid analys av nätverket avseende tillgänglighet har åtgärdats. Resurs Genomförda åtgärder / Reservförfarande Klienter Senaste säkerhetsrelaterade uppdateringarna är installerade både vad det gäller operativsystemet och applikationerna. Antivirusprogram är installerat och uppdateras kontinuerligt på samtliga klienter Server 1-11 Senaste säkerhetsrelaterade uppdateringarna är installerade både vad det gäller operativsystemet och applikationerna. Antivirusprogram är installerat och uppdateras kontinuerligt. Server 8 Programvara för ärendehanteringssystemet ekonomisystemet lönesystemet finns omedelbart tillgänglig Server 10 Databas för ärendehanteringssystemet ekonomisystemet, lönesystemet miljö finns på backup. Server 11 Programvara för backup, övervakning och skadlig kod finns omedelbart tillgänglig. Reservserver En reservserver för servrarna 1 11 finns tillgänglig och dokumenterade rutiner finns för att återställa respektive server i fungerande skick.

8 Backupenhet Brandvägg Installerad brandvägg finns i reserv för omedelbar inkoppling. Jouravtal finns Router Installerad router finns i reserv för omedelbar inkoppling Kablage Avtal 2 timmars inställelsetid finns (Behövs detta på kablage?) Switchar, hubbar Reserv utrustning eller avtal med inställelsetid finns. Datorhall Utrustning för fukt- och temperaturlarm finns. UPS finns. Automatisk brandsläckningsutrustning (Argon) Handbrandsläckare finns Reservkraft Dieselaggregat finns i källaren Service Desk

9 Daglig drift Nedan redovisas exempel på de områden som bör ingå i detta avsnitt. Under varje rubrik ges exempel på vad som bör redovisas inom denna. Resurser Lokaler och utrustning - Lokaler och den IT-utrustning som finns i dessa Programvaror/register nätverk - Lista över ansvariga för säkerheten i programvaror/register som tillhör det interna ITnätverket och eventuella reserver för dessa Programvaror/register Applikationer - Lista över ansvariga för säkerheten i applikationsprogramvaror/register och eventuella reserver för dessa Märkning och benämningar - Namnstandarder som gäller. Avser sådant som arbetsstationer, servrar & övrig utrustning, nät/nätdelar och verksamhetsområden Klassning av resurser - IT-behandlingsutrustning som finns och hur denna ska klassas med avseende på informationsinnehåll Arbetsplatser - Utrustning och programvaror som finns på en standardarbetsplats Omflyttning och överlåtelse av IT-utrustning - Rutin som gäller för omflyttning och överlåtelse av IT-utrustning till annan användare. Fysiskt skydd Larm - Larmutrustning och kontakter som eventuellt kan behöva tas Klimatutrustning

10 - Kontakter till vaktbolag, leverantörer, installationsfirmor, service o.dyl. - Avtal om inställelsetider Brandskydd - Kontakter till brandmyndigheter, vaktbolag, leverantörer, installationsfirmor, service o.dyl. - Avtal om inställelsetider Tillträdeskontroll Fysiskt tillträde skyddade utrymmen - Kontakt vid borttappat kort eller om nycklar behövs. Fysiskt tillträde allmänna utrymmen - Kontakt för åtkomst till allmänna utrymmen. Kommunikation WAN - Filtrering av access till kontor som sitter kopplade via WAN-länkar LAN - Ev. filtrering av speciella protokolltyper Fjärraccess/VPN - Rutin för användning av och verifiering vid fjärraccess Brandvägg - Program som automatiskt larmar om något onormalt inträffar i loggarna. - Intervall och villkor för kontroll av brandväggens loggar Internet - Dokumentation om kommunikation med t.ex externa leverantörer och Internet Roller och ansvar - IT - Rättigheter och begränsningar som gäller för respektive roll/medarbetare inom IT-avdelningen. - Bemanning, ersättare och kompetenskrav.

11 Åtkomsträttigheter - användare Konton, grupper och profiler - Hänvisning till Informationssäkerhetinstruktion, Förvaltning avseende uppbyggnad av konton, gruppbehörigheter och grupprofiler Val av lösenord - Tidsbegränsningar för externa konsulter, vikarier och projektanställda. - Hänvisning till Informationssäkerhetsinstruktion, Förvaltning avseende o kraven på hur lösenord ska konstrueras. o rutin för byte av lösenord. o rutin för kontrollmekanism vid upplåsning av konton. Loggning och spårbarhet Övervakning - Enheter som övervakas och vad som övervakas. - Lista över system som övervakas med avseende på prestanda Logghantering - Rutin för regelbunden överläggning av loggar på andra system/media och förvaringen av dessa Logganalys - Rutiner för analys av loggar och frekvensen av sådana analyser. 6.7 Säkerhetskopiering Intervall och omfattning - Dokumentation över systemägarnas beslut avseende: vilken information som ska omfattas av säkerhetskopiering intervallen för kopiering hur många generationer säkerhetskopior som ska finnas hur säkerhetskopior ska förvaras om vissa säkerhetskopior ska förvaras på plats geografiskt skild från driftstället. om och när kontroll av säkerhetskopiornas läsbarhet ska genomföras Informationens läsbarhet - Förteckning över systemägarnas beslut om kontroll av säkerhetskopiornas läsbarhet.

12 6.8 Hantering av media Val av media - Regler för vilka typer av datamedia som ska användas och för vad Märkning - Regler för hur datamedia ska märkas och förtecknas Klassning - Regler för hur datamedia ska klassas. - Förteckning över media och hur de klassats Förvaring - Regler för hur datamedia ska förvaras beroende på informationsinnehållet i dem. - Förteckning över lokaler och lagringsutrymmen för respektive klass av media. - Regler för vilka förvaringstider som gäller för olika media. - Förteckning över förvaringstider för datamedia Avveckling - Hänvisning till Informationssäkerhetsinstruktion, Förvaltning. Störningar/avbrott 7.1 Avbrottsplan - Hänvisning till befintlig avbrottsplan. 7.2 Reservdrift och reservrutiner - Dokumenterade rutiner för reservdriftförfarande 7.3 Reservkraft - Reservkraftutrustning och kontaktuppgifter för service, underhåll, inställelsetider o.dyl. för denna. 7.4 Återstartsrutiner - Dokumentation av befintliga återstartsrutiner. Incidenthantering 8.1 Uppdatering av antivirusprogram - Rutiner för och frekvensen för uppdatering av antivirusprogram.

13 8.2 Åtgärder för spårning av incidenter - Rutin för genomgång av loggar och trender samt oväntade händelser i systemen. 8.3 Förebyggande åtgärder - Rutiner för säkring av data, spårning av källa och säkring av eventuellt bevismaterial. - Förebyggande åtgärder för att motverka upprepning av incidenter. 8.4 Dokumentation av inträffade incidenter - Rutiner för formulering av slutsatser och dokumentation av en incident med ev. polisanmälan. 8.5 Rutiner för hantering av säkerhetsincidenter och funktionsfel - En mer detaljerad beskrivning av IT-avdelningens åtgärder i de delar av den incidenthanteringsrutin som beskrivs i Informationssäkerhetinstruktion, Förvaltning som berör IT-avdelningen. Systemhantering 9.1 Anskaffning/-införande - En mer detaljerad beskrivning av IT-avdelningens åtgärder i de delar av den anskaffningsrutin för informationssystem som beskrivs i Informationssäkerhetinstruktion, Förvaltning som berör IT-avdelningen. 9.2 Underhåll/-utveckling - Sammanställning av vid vilka tidpunkter systemunderhåll ska göras. - Rutin för kontroll av effekter av ändringar i prestanda för system 9.3 Avveckling - En mer detaljerad beskrivning av IT-avdelningens åtgärder i de delar av den avvecklingsrutin för informationssystem som beskrivs i Informationssäkerhetinstruktion, Förvaltning som berör IT-avdelningen. 9.4 Installationer av funktioner i nätet - Rutiner för installationer av funktioner i nätet. - Regler för rätten att installera nya program, programversioner eller att importera externa filer. 9.5 Rättning av data. - Regler för rättning av data. Dokumentation - Hänvisning till de dokument som finns avseende drift Bilaga 1: Installationer - specifikationer

14 11.1 Installerade mjukvaror - Rutiner för driftgodkännande av installerade programvaror. - Beskrivning av installerade programvaror Installerade hårdvaror - Rutiner för driftgodkännande av installerade hårdvaror. - Beskrivning av installerade hårdvaror. Bilaga 2: Beslut och underhåll av driftinstruktionen - Formalia kring driftinstruktionen om ansvar och godkännande avseende bl.a. vem som ansvarar för underhåll, när revision gjorts och ska göras o.dyl.