Riktlinjer för informationssäkerhet

Transkript

1 UFV 2012/715 Riktlinjer för informationssäkerhet Anvisningar för genomförande av risk- och hotbildsanalyser Fastställd av: Säkerhetschef

2 Innehållsförteckning 1 Riskanalyser av systemförvaltningsobjekt eller enskilda informationssystem Konsekvensanalys (workshop 1) Omfattning Terminologi Skadetyper Metodik Exempel på typskador Exempel på skadekostnader Instruktioner och blanketter Säkerhets- och sårbarhetsanalys (workshop 2) Omfattning Instruktioner och blanketter 6 2 Riskinventering (nulägesanalys) Omfattning Instruktioner och blanketter 7 3 Riskanalyser i systemutvecklings- eller anskaffningsprojekt Omfattning Instruktioner och blanketter 8 2

3 1 Riskanalyser av systemförvaltningsobjekt eller enskilda informationssystem 1.1 Konsekvensanalys (workshop 1) Som det första steget i en riskanalys genomförs en konsekvensanalys för bedömning av hur berörd verksamhet skulle drabbas av skador på IT-verksamheten såsom Systemen fungerar inte Data förloras Data blir fel Data sprids till fel mottagare Konsekvensanalysen ska genomföras som en workshop under ledning av en processledare (risk manager eller motsv). Om analysen avser ett systemförvaltningsobjekt är deltagande av rollerna objektägare och objektansvarig obligatoriskt. För ett enskilt informationssystem gäller motsvarande för systemägare och systemansvarig Omfattning Konsekvensanalysen bör omfatta följande arbetsteg: Inledning o Mål med riskanalyserna o Arbetssätt och terminologi Kritiska processer (verksamhetsstöd) o IT-beroendet i de kritiska processerna o Kritiska IT-komponenter i processerna (verksamhetsstödet) Hotanalys o Signifikanta hot mot IT-komponenterna o Andra hot mot processerna (verksamhetsstödet) Skadetyper o Diskussion av relevanta typskador för den fortsatta analysen Konsekvensanalys (BIA Business Impact Assessment) Terminologi Händelse (incident, störning) - En oönskad händelse med negativa effekter på universitetet Hot - En tänkbar/möjlig händelse som skulle kunna inträffa 3

4 Sannolikhet - Sannolikheten för att en händelse ska inträffa (att ett hot ska resultera i en händelse) Konsekvens - De sammantagna konsekvenserna av en händelse inkluderande direkta och indirekta kostnader, förtroendeskador, vikande studentantal, minskade forskningsmedel Risk - Sammanvägning av konsekvens och sannolikhet för en händelse Skadetyper Avbrott i funktion eller tillgänglighet hos IT-system (exempel: tekniska fel, elavbrott, programfel, virusangrepp, etc) Förlust av data (exempel: diskkrasch, fel vid programuppdatering, etc) Fel i data (exempel: programfel, handhavandefel Bedrägerier (fraud) (exempel: obehöriga utbetalningar, manipulation av tentaresultat, etc) Sekretessproblem (exempel: borttappade USB-minnen, dataintrång, etc) Metodik Följande metodsteg rekommenderas för genomförande av konsekvensanalysen: Avgränsning, beskrivning av analysobjekt e.d. Identifiering av hot o Identifiering av möjliga hot o Avgränsning till signifikanta hot o Identifiering av de skador hoten kan resultera i Identifiering av typskador för analysen o Skador som bedöms relevanta att analysera Analys av konsekvenserna av typskadorna (BIA, Business Impact Assessment) o De sammantagna konsekvenserna av olika skador, inkluderande direkta och indirekta kostnader, förtroendeskador, vikande studentantal, minskade forskningsmedel etc. o Detaljerad analys av konsekvenserna för varje typskada för sig Sannolikhetsbedömning o Sammanvägning av de hot som kan resultera i olika typskador Sammanfattande riskanalys o Sammanvägning av konsekvens och sannolikhet för typskadorna Alternativt bedömning av sannolikhet och konsekvens för enskilda hot (kan användas för att avgöra behovet av enskilda skyddsåtgärder) Exempel på typskador Följande exempel kan användas vid bedömning av konsekvensen av olika typer av skador. Typskadorna ska väljas så att de är relevanta för den verksamhet som analyseras (t.ex. vid bedömning av konsekvenser av driftsavbrott). Avbrott i funktion, tillgänglighet eller användbarhet hos ett system 4

5 o 5 minuters avbrott o 30 minuters avbrott o 4 timmars avbrott o 2dagars avbrott o 1 veckas avbrott Förlust av data (förlust av nyss inmatade data/förändringar) o 24 timmars indata/förändringar förlorade (t.ex. vid återställning från backup) Förlust av data (förlust av databas e.d.) o Förlust av en hel databas e.d. Fel i data o Omfattande fel i en databas e.d. (t.ex. pga. programfel) Exempel på skadekostnader Vid bedömning av konsekvenserna av skador är det praktiskt att använda en enkel skala för skadekostnaderna. Skalan ska väljas så att den är relevanta för den verksamhet som analyseras. Minsta och största skadekostnad ska kännas rimliga för analysen. Ett exempel redovisas nedan. Kod Sammantagna konsekvenser Ungefärlig kostnad totalt E Katastrofala > SEK D Mycket allvarliga ~ SEK C Allvarliga ~ SEK B Kännbara ~ SEK A Obetydliga < SEK Instruktioner och blanketter Bilaga 1a - Instruktion för konsekvensanalys Bilaga 1b - Blankett för konsekvensanalys 5

6 1.2 Säkerhets- och sårbarhetsanalys (workshop 2) Vid den andra workshopen i riskanalysen en riskanalys görs en säkerhets- och såbarhetsanalys för bedömning av berörda IT-systems Nuvarande säkerhetsnivå Önskade säkerhetsnivå Kända sårbarheter/brister i säkerheten Behov av förbättringsåtgärder Workshopen leds av en processledare (risk manager eller motsv) med erforderlig kompetens och erfarenhet av universitetets LIS. Samma deltagare som vid konsekvensanalysen bör delta, samt av objektägaren utsedda specialister inom IT-drift, systemutveckling eller systemanvändning Omfattning Säkerhets- och sårbarhetsanalysen bör omfatta följande arbetsteg: Inledning o Arbetssätt o Sammanfattning av den tidigare konsekvensanalysen (workshop 1) Komplettering av konsekvensanalysen o Infrastruktur (nät, Internetaccess, PC etc.) o Mail och ev. andra gemensamma tjänster Säkerhets- och sårbarhetsanalys o Krav på säkerhetsnivå o Nuläge säkerhetsnivå o Kända sårbarheter o Åtgärdsförslag Instruktioner och blanketter Bilaga 2a - Instruktion för säkerhets- och sårbarhetsanalys Bilaga 2b - Blankett för säkerhets- och sårbarhetsanalys 6

7 2 Riskinventering (nulägesanalys) Att göra en risinventering innebär en enklare form av riskanalys där syftet är att göra en bedömning av nuvarande säkerhetsstatus på berört/berörda IT-system och IT-komponenter samt vilka kända hot och sårbarheter som föreligger. Riskinventeringen genomförs som en workshop under ledning av en processledare (risk manager eller motsv) med deltagande av systemägare och systemansvarig (eller motsv) samt specialister inom ITdrift, systemutveckling eller systemanvändning. 2.1 Omfattning Riskinventeringen bör omfatta följande arbetsteg: Specificering av det objekt som ska analyseras. Detta kan vara ett förvaltningsobjekt, ett enskilt IT-system eller en infrastrukturtjänst. o IT-komponent o Delkomponent Specificerade eller bedömda säkerhetskrav per IT-komponent eller delkomponent o Tillgänglighet o Sekretess o Övrigt Bedömd säkerhetsstatus Kända hot och sårbarheter 2.2 Instruktioner och blanketter Bilaga 3 - Blankett för riskinventering 7

8 3 Riskanalyser i systemutvecklings- eller anskaffningsprojekt Att identifiera säkerhetsrelaterade risker så tidigt som möjligt under systemets livscykel, helst under kravspecificeringen, är viktigt. Dels för att kunna eliminera eller reducera risken att ett reellt hot uppstår, dels för att ju tidigare en risk identifieras desto billigare är den att åtgärda. 3.1 Omfattning En informationsriskanalys i ett systemutvecklings- eller anskaffningsprojekt bör omfatta följande arbetssteg: Bedömning av informationssäkerhetsrisker inkl. sannolikhet och påverkan (konsekvens) om de utfaller i reella skador projektets eller verksamhetens mål o Policy, riktlinjer och/el instruktioner o Beställare o Ägarskap o Säkerhetsmedvetande o Informationsklassificering o Riskanalys o Serviceavtal o Verksamhetskompetens o IT-kompetens o Systemkonfiguration o Backup- och restorerutiner o Kontinuitetsplanering o Fysisk säkerhet o Teknisk säkerhet o Logisk säkerhet (behörighetskontroll) o Ändringshantering o Driftsgodkännande/-sättning o Problemhantering o Periodisk granskning (säkerhetsanalyser) o Övrigt Åtgärder för att eliminera eller reducera identifierade risker 3.2 Instruktioner och blanketter Bilaga 4 - Risklista informationssäkerhet 8