GRUNDSÄKERHET. Allmänna råd. till föreskrifter om. för samhällsviktiga datasystem hos beredskapsmyndigheter. Utgåva 3, december 1999

Transkript

1 2 ALLMÄNNA BESTÄMMELSER Allmänna råd till föreskrifter om GRUNDSÄKERHET för samhällsviktiga datasystem hos beredskapsmyndigheter Utgåva 3, december 1999 Utgiven av Överstyrelsen för civil beredskap

2

3 ALLMÄNNA RÅD till föreskrifter om GRUNDSÄKERHET för samhällsviktiga datasystem hos beredskapsmyndigheter ny utgåva (nummer 3, december 1999) utgiven av överstyrelsen för civil beredskap

4 Utgåva 3, december 1999 Layout: Neo Media AB Illustrationer: Helena Halvarsson Tryck: Grafiska punkten, Växjö 1999

5 1 Inledning 5 2 Allmänna bestämmelser Definitioner 7 3 Ledning Säkerhetsplan Systemsäkerhetsplan Säkerhetsinstruktion Information och utbildning Beredskapsplan 13 4 Behörighet Behörighetskontroll Behörighetsadministration Loggning 16 5 Datakommunikation Externa anslutningar Ansvarsgränser Skydd vid datakommunikation 21 6 Driftsäkerhet Dokumentation Nyckelpersonberoende Tillträdes- och brandskydd Virusskydd Elförsörjning Säkerhetskopiering Datamedia 27 7 Kontinuitetsplanering 28 8 Driftgodkännande 30 Dessa allmänna råd avser de föreskrifter om grundsäkerhet för samhällsviktigt datasystem med anledning av 22 a i beredskapsförordningen som gäller för de statliga myndigheter på vilka förordningen är tillämpbar. Föreskrifterna och de allmänna råden kallas FA22 (Föreskrifter och Allmänna råd till 22a). För kommuner och landsting samt kris- och krigsviktiga företag (K-företag) utgör FA22 rekommendationer.

6

7 1 INLEDNING Inledning ÖCBs verksamhetsmål inom området IT-säkerhet är att inom ramen för samordningsrollen stödja och motivera ansvariga inom civila försvaret i deras arbete med att uppnå acceptabel säkerhet i samhällsviktiga datasystem d v s datasystem som är nödvändiga för verksamhet av betydelse för samhällets förmåga att fungera såväl under fred, kris som höjd beredskap. För att realisera denna målsättning genomförs utredningar kring IT-beroendet i samhället, analyser av säkerheten i viktiga datasystem samt olika utbildningsinsatser. Arbetet omfattar även viss utveckling av metoder som stöd i arbetet samt bevakning av utvecklingen inom IT-området. Som en följd av ett uppdrag av regeringen att utreda möjligheterna för en certifieringsprocess för samhällsviktiga datasystem föreslog ÖCB i december 1996 att samtliga sådana system ska uppfylla krav på säkerhet enligt en definierad grundsäkerhetsnivå. Som en följd av detta beslutade regeringen den 26 juni 1997 om ett tillägg i beredskapsförordningen. Den nya 22 a gäller fr o m den 1 september 1997 och dess lydelse framgår av textrutan i höger marginal. Enligt 52 beredskapsförordningen har ÖCBrätt att utfärda de föreskrifter som behövs för verkställigheten av bland annat 22 a. Som en konsekvens härav har ÖCB gett ut föreskrifter om grundsäkerhet för samhällsviktiga datasystem hos beredskapsmyndigheter (ÖCB FS 1998:1). I syfte att förtydliga föreskrifterna meddelar ÖCB allmänna råd till dessa. Föreskrifterna och de allmänna råden kallas FA22 (Föreskrifter och Allmänna råd till 22a). De av ÖCBframtagna allmänna råden utgavs i en första utgåva i mars Dessa har utgjort ett stöd för olika organisationer i arbetet med att bedöma i vilken grad IT-säkerheten fyller grundsäkerheten enligt FA22. Synpunkter på och erfarenheter av de allmänna rådens utformning och användbarhet som framkommit sedan utgivningstillfället har genererat idéer och uppslag till hur råden kan förbättras. Denna tredje utgåva har tillkommit i syfte att förtydliga råden med en striktare koppling till grundsäkerhet. De följande allmänna råden är disponerade så att först står en sammanfattning. Därefter följer de allmänna råd som ÖCB meddelar. I marginalen återfinns textrutor innehållande föreskrifterna. 22 a En beredskapsmyndighet som i sin verksamhet under höjd beredskap är i behov av elektronisk informationsbehandling ansvarar för att dator- och kommunikationssystemet uppfyller sådana säkerhetskrav att myndighetens uppgifter kan utföras på ett tillfredsställande sätt. (SFS 1997:640) Utöver FA22 har ÖCB tagit fram IT-säkerhetsguide FA22. Den består av fördjupningar inom vissa avsnitt av FA22 samt hjälpmedel i form av mallar. Detta ger en möjlighet, för beslutsfattare och personal i övrigt som har ansvar för säkerheten i och kring samhällsviktiga datasystem, att få en överblick av vad ett strukturerat säkerhetsarbete innebär, och visar också på lämpligt tillvägagångssätt för att uppnå grundsäkerhet enligt FA22. 5

8 2 ALLMÄNNA BESTÄMMELSER Allmänna bestämmelser 1 Dessa föreskrifter avser grundsäkerhet för samhällsviktiga datasystem hos beredskapsmyndigheter och anger den lägsta säkerhetsnivå som måste vara uppfylld för att en beredskapsmyndighet skall kunna utföra sina uppgifter på ett tillfredsställande sätt även under höjd beredskap. Olika faktorer påverkar de krav som måste ställas på säkerhet för samhällsviktiga datasystem. Säkerhetsnivån måste i varje enskilt fall fastställas med utgångspunkt från bland annat hur allvarliga konsekvenserna blir för verksamheten om ett datasystem inte fungerar på avsett vis. Den grundsäkerhet som avses i föreskrifterna är en lägsta nivå för samhällsviktiga datasystem. Utgångspunkten för att bedöma om ett datasystem ska betraktas som samhällsviktigt är att kartlägga vilken verksamhet som en organisation har krav på sig att bedriva även vid svåra påfrestningar på samhället i fred och under höjd beredskap. Om sådan verksamhet är beroende av ett visst datasystem för att kunna bedrivas på avsedd nivå, kan detta datasystem anses vara samhällsviktigt. Med utgångspunkt från grundsäkerheten och egna förhållanden måste varje myndighet fastställa vilken grad av säkerhet som krävs för de egna datasystemen för att myndigheten ska kunna utföra sina uppgifter på ett tillfredsställande sätt under såväl fred, kris som höjd beredskap. I detta sammanhang är det viktigt att även beakta i vilken omfattning det egna datasystemet utgör en länk i en övergripande samhällsviktig informationsbehandlingskedja. Föreskrifterna är uppbyggda så att de indirekt anger en logisk arbetsprocess för IT-säkerhetsarbetet, vilket illustreras i nedanstående bild. Säkerhetsprocessen SÄKERHETS- PLAN Grundsäkerhet Tilläggskrav SYSTEMSÄKER- HETSPLAN Säkerhetsåtgärder SÄKERHETS- INSTRUKTION Granskning av säkerheten DRIFTGOD- KÄNNANDE Förenklat kan man säga att denna säkerhetsprocess innebär att: Myndigheten enligt 3 definierar målen och inriktningen för sitt säkerhetsarbete i en säkerhetsplan. Säkerhetsplanen kallas i olika sammanhang även för policy, ADB-säkerhetspolicy, IT-säkerhetspolicy etc. Utgående från säkerhetsplanen tas enligt 4 en systemsäkerhetsplan fram för varje enskilt datasystem. I systemsäkerhetsplanen identifieras utöver grundsäkerheten så kallade tilläggskrav. Detta är en sammanfattande beteckning på övriga styrande lagkrav, verksamhetskrav på sekretess, tillförlitlighet och tillgänglighet samt hotbild. Systemsäkerhetsplanen kallas i andra sammanhang även för säkerhetsmålsättning, mål för säkerheten, security target etc. Med utgångspunkt från säkerhetsplanen och systemsäkerhetsplanen tas också enligt 4 säkerhetsinstruktioner fram. I säkerhetsinstruktionerna fastställs vilka säkerhetsregler som gäller. De i systemsäkerhetsplanen fastställda kraven innebär att vissa säkerhetsåtgärder kan behöva vidtas. Föreskrifterna redovisar i 3 19 åtgärder för 6

9 att tillgodose grundsäkerheten. Övriga åtgärder som behövs enligt systemsäkerhetsplanen måste fastställas av systemägaren. För att kontrollera att vidtagna säkerhetsåtgärder i datasystemet uppfyller ställda krav genomförs en granskning av befintliga säkerhetsåtgärder i datasystemet. Granskningen leder till att en säkerhetsutvärdering kan genomföras. Denna säkerhetsutvärdering ligger till grund för beslut om driftgodkännande av datasystemet enligt Allmänna bestämmelser 2.1 Definitioner 2 I dessa föreskrifter avses med Datasystem: Konstellation av datorer, in- och utmatningsutrustningar, minnesenheter, kommunikationsutrustningar, metoder och procedurer organiserade med uppgift att genomföra elektronisk informationsbehandling. Samhällsviktigt datasystem: Datasystem som utgör nödvändigt stöd för verksamhet av betydelse för samhällets förmåga att fungera även under höjd beredskap. Systemägare: Myndighetschefen eller av denne särskilt utsedd tjänsteman med ansvar för anskaffning, förvaltning, drift, säkerhet och användning i övrigt av ett samhällsviktigt datasystem. Central systemägare: Systemägaren vid en myndighet som först fattat beslut om anskaffning av ett samhällsviktigt datasystem vilket används gemensamt av flera myndigheter. Säkerhetsplan: Dokument i vilket anges övergripande krav inom en myndighet på datasystemsäkerhet utgående från lagstiftning, föreskrifter, för verksamheten aktuella krav och hot samt av myndigheten uppställda mål för datasystemsäkerhetsarbetet. Systemsäkerhetsplan: Dokument i vilket anges krav på sekretesskydd, tillförlitlighet och tillgänglighet för ett enskilt samhällsviktigt datasystem utgående från den övergripande säkerhetsplanen samt från systemspecifika krav och hot. Säkerhetsinstruktion: Konkreta säkerhetsmässiga regler, rutiner och procedurer som gäller för samhällsviktigt datasystem. Grundsäkerhet: Den lägsta säkerhetsnivå som kan godtas beträffande ett samhällsviktigt datasystem för att myndighetens uppgifter skall kunna utföras på ett tillfredsställande sätt även under höjd beredskap. Driftgodkännande: Formellt myndighetsbeslut att godkänna ett samhällsviktigt datasystem för drift. 7

10 3 LEDNING 3.1 Säkerhetsplan Ledning Sammanfattning grundsäkerhet säkerhetsplan Det ska finnas en dokumenterad och av myndighetens ledning fastställd säkerhetsplan. Säkerhetsplanen ska på ett tydligt sätt uttrycka ledningens mål för IT-säkerheten. Säkerhetsplanen ska utgå från lagar och föreskrifter. En grundläggande del i säkerhetsplanen är att fastställa hur ansvaret för IT-säkerheten ska fördelas mellan olika funktioner inom organisationen. 3 En beredskapsmyndighet som ansvarar för ett samhällsviktigt datasystem skall fastställa en övergripande säkerhetsplan för datasystemsäkerheten inom myndigheten. Av säkerhetsplanen skall bland annat ansvarsfördelningen beträffande datasystemsäkerheten inom myndigheten framgå. Säkerhetsplanen och ansvarsfördelningen för datasystemsäkerheten skall dokumenteras. En säkerhetsplan är en förutsättning för att på ett tillfredsställande sätt leda och styra IT-säkerheten inom en beredskapsmyndighet. Säkerhetsplanen ska på ett tydligt sätt uttrycka ledningens mål för IT-säkerheten. De mål som formuleras på ledningsnivå utgör en ram för de beslut som tas inom organisationens olika delar. Målen måste därför vara konkreta och mätbara samt beskriva vad som ska uppnås inom en angiven tid. De ska vara accepterade och kända i organisationen. Hur målen ska uppfyllas måste i de flesta fall förtydligas i form av riktlinjer, d v s praktiska anvisningar för hur målen ska förverkligas. Säkerhetsplanen anger således såväl målen för IT-säkerheten som riktlinjer för hur man uppnår målen. Säkerhetsplanen ska dokumenteras och fastställas av myndighetens ledning. Säkerhetsplanen ska utgå från lagar och föreskrifter och kan ges följande omfattning: mål för IT-säkerheten, d v s vad som ska uppnås, vilket bland annat omfattar; ansvaret för IT-säkerhet verksamhetens krav på och hot mot datasystemen vilken säkerhetsnivå säkerhetsåtgärderna i datasystemen ska uppnå uppföljning och kontroll av IT-säkerhet driftgodkännande av datasystem riktlinjer för hur målen ska nås, till exempel för; ansvaret för information, ansvaret för samordning av IT-säkerheten inom hela myndigheten, systemägaransvarets omfattning, gränsytorna till andra ansvarsområden samt användarnas ansvar IT-säkerhetsarbetet, bland annat hur arbetet ska bedrivas med att ta fram säkerhetsinstruktioner och systemsäkerhetsplaner samt hur driftgodkännande ska genomföras hur utbildning ska planeras och genomföras planering för de datasystem som ska användas under höjd beredskap I vissa fall kan säkerhetsplanen behöva kompletteras med riktlinjer för gemensamma system, till exempel e-postsystem, Internet, externa anslutningar, brandvägg (se 5.1) En grundläggande del i säkerhetsplanen är att fastställa hur ansvaret för IT-säkerheten ska fördelas mellan olika funktioner inom organisationen. Av särskild betydelse är att klarlägga ansvaret för gemensamma IT-resurser, till exempel nätverk, e-postsystem och Internet. Ledningen har dock alltid det övergripande ansvaret för verksamheten och de datasystem som används som stöd. 8

11 Delegering av ansvaret för IT-säkerhet sker normalt enligt samma principer som gäller för delegering av verksamhetsansvaret inom myndigheten. Under ledningen är var och en som är ansvarig för någon del av verksamheten, också ansvarig för IT-säkerheten inom sitt område. IT-säkerhetsansvaret följer alltså organisationsstrukturen. Säkerhetsplanen är ett övergripande och för flera datasystem gemensamt dokument. Detaljeringsgraden i säkerhetsplanen måste därför hållas på en rimlig nivå. Den får inte vara alltför detaljerad, men får heller inte vara så allmänt hållen att den blir svår att följa upp. Detaljer som berör enskilda datasystem redovisas i respektive datasystems systemsäkerhetsplan, se 3.2. Säkerhetsplanen kan därför vara relativt långsiktig medan systemsäkerhetsplanen revideras vid förändringar i verksamhetens inriktning och omfattning, större ändringar i datasystemets utformning, om hotbilden förändras, ändrad inriktning av informations- och IT-strategin och dylikt. Ledning 3.2 Systemsäkerhetsplan Sammanfattning grundsäkerhet systemsäkerhetsplan En systemsäkerhetsplan ska upprättas för varje enskilt samhällsviktigt datasystem. Av systemsäkerhetsplanen ska framgå vem som är systemägare. Systemsäkerhetsplanen ska dokumenteras och formellt fastställas av systemägaren Systemsäkerhetsplanen ska innehålla de samlade kraven på säkerhet som ställs på datasystemet under såväl fred, kris som höjd beredskap. Dessa samlade krav ska, utöver grundsäkerhet, även omfatta tilläggskrav som kan finnas beroende på lagar och föreskrifter, verksamhetens art samt specifika hot mot denna. En systemsäkerhetsplan avser ett enskilt datasystem. Den ska innehålla de samlade kraven på säkerhet som ställs på datasystemet under såväl fred, kris som höjd beredskap. Det är viktigt att systemsäkerhetsplanen dokumenteras och formellt fastställs av systemägaren eftersom den ligger till grund för beslut om vilka säkerhetsåtgärder som ska vidtas. Den innehåller därmed de krav mot vilka ett driftgodkännande ska ske. (se 8.) För att kunna definiera säkerhetskraven på ett datasystem i fred, kris och under höjd beredskap är det nödvändigt att identifiera verksamheter som behöver datasystemet, samt deras beroende av datasystemet. Systemsäkerhetsplanen inleds därför med en översiktlig beskrivning av den verksamhet datasystemet stödjer, kopplingar till andra datasystem, vilka som är ansvariga, bland annat systemägare samt vilken information som hanteras i datasystemet. Den beskriver även informationsflödet, d v s hur indata hämtas och hur utdata lämnas till annat system. I arbetet med att ta fram systemsäkerhetsplanen ska hänsyn tas till alla de faktorer som kan påverka säkerhetsskyddet kring datasystemet, bland annat den inriktning som uttrycks i säkerhetsplanen och den grundsäkerhet som återfinns i dessa föreskrifter. För de allra flesta systemen räcker det dock inte att uppnå grundsäkerhet. Lagar och föreskrifter, verksamhetens egna krav och de hot som finns kan 4 För ett samhällsviktigt datasystem skall utöver den övergripande säkerhetsplanen fastställas dels en särskild systemsäkerhetsplan Av systemsäkerhetsplanen skall bland annat framgå vem som inom myndigheten är systemägare. Systemsäkerhetsplanen skall dokumenteras. 9

12 Ledning ställa högre krav på säkerhet än den föreskrivna grundsäkerheten. Dessa så kallade tilläggskrav ska ingå i systemsäkerhetsplanen och tas lämpligen fram genom en övergripande analys. Krav utgående från lagar och föreskrifter värderas med avseende på hur de påverkar informationshanteringen i datasystemet. Förutom generella lagar som till exempel tryckfrihetsförordningen, sekretesslagen, personuppgiftslagen, arkivlagen och säkerhetsskyddslagen, är vissa verksamheter även beroende av speciallagstiftning och föreskrifter som exempelvis socialtjänstlagen, registerlagar, tullagen och rikspolisstyrelsens föreskrifter. De specifika verksamhetskraven identifieras vad avser krav på att förhindra eller försvåra för en obehörig att få tillgång till informationen (sekretess), på att säkerställa att den information som produceras och bearbetas i datasystemet är riktig, aktuell och fullständig (tillförlitlighet) samt på att datasystemet är tillgängligt när verksamheten behöver informationen (tillgänglighet). En bedömning görs av vilka hot som finns och vilka konsekvenser de kan medföra för verksamheten/datasystemet om de realiseras. Både avsiktliga händelser som utförs av en angripare med ett speciellt mål såväl som oavsiktliga händelser som uppkommer på grund av misstag, okunskap, olyckor eller liknande är aktuella. Delar som ingår i systemsäkerhetsplanen illustreras i nedanstående bild: Systemsäkerhetsplanen Grundsäkerhet enl 3 21 Lagar och föreskrifter Systemsäkerhetsplan Specifika verksamhetskrav Tilläggskrav Hotrelaterade krav Beslut om säkerhetsåtgärder baseras på grundsäkerhet och tilläggskrav. De högsta kraven inom respektive område sekretess, tillförlitlighet och tillgänglighet avgör vilken säkerhetsnivå som måste uppnås genom dessa säkerhetsåtgärder för att verksamhetens sammantagna krav ska tillgodoses. Förändringar i verksamhetens inriktning och omfattning, förändrad hotbild, ändringar i systemutformning innebär att systemsäkerhetsplanen kan behöva revideras. Detta innebär också att systemsäkerhetsplanens giltighet måste definieras för en viss tidsperiod. 10

13 3.3 Säkerhetsinstruktion Sammanfattning grundsäkerhet säkerhetsinstruktion Säkerhetsinstruktionen ska ta hänsyn till säkerhetsplanens mål och inriktning. De regler som berör användarnas ansvar och handhavande av ett specifikt datasystem ska dokumenteras och fastställas av systemägaren. Ledning Säkerhetsinstruktionen syftar till att klarlägga vilka säkerhetsregler som gäller för att säkerhetsåtgärderna ska få avsedd effekt. Säkerhetsinstruktionen skall utgå från säkerhetsplanens och systemsäkerhetsplanens mål och inriktning. I de flesta fall sker driften av flera datasystem i en gemensam driftmiljö av särskilt utsedd personal, vilket innebär att det kan finnas behov av generella säkerhetsinstruktioner som alla måste känna till. De regler som berör användarnas ansvar och handhavande av ett specifikt datasystem kan med fördel sammanställas och dokumenteras i en säkerhetsinstruktion för ett specifikt datasystem. Respektive systemägare fastställer sådana och dessa utgör systemägarens styrinstrument för att säkerställa önskad säkerhet för ett datasystem. Inom en organisation kan det alltså finnas dels en gemensam säkerhetsinstruktion dels säkerhetsinstruktioner specifika för respektive datasystem. 4 För ett samhällsviktigt datasystem skall utöver den övergripande säkerhetsplanen fastställas en säkerhetsinstruktion. säkerhetsinstruktionen skall dokumenteras. Säkerhetsinstruktionen Generella regler Säkerhetsinstruktion Systemspecifika regler Exempel på områden som kan ingå i en generell säkerhetsinstruktion är: regler som gäller för tilldelning av behörighet och hantering av lösenord för organisationens gemensamma datanät, generella regler för tillträdeskontroll och andra åtgärder, som har att göra med skydd av lokaler och datorutrustning, regler för säkerhetskopiering av gemensamma resurser samt säkerhetsinstruktioner som finns för olika datasystem. För att säkerhetsinstruktionen ska bli läst och tillämpad måste stor möda läggas ner på att göra framställningen klar, konkret och anpassad till respektive personalgrupps kunskaper och arbetsförhållanden. Varje verksamhet förändras ständigt och det är av grundläggande vikt att säkerhetsinstruktionen hålls aktuell för att inte förlora sitt värde. I dessa allmänna råd redovisas de delar av säkerhetsinstruktionen som berör specifika områden under respektive avsnitt. Dessa är; Behörighetsadministration avsnitt 4.2, Loggning avsnitt 4.3, Datavirus avsnitt 6.4, Säkerhetskopiering avsnitt 6.6 samt Datamedia avsnitt

14 3.4 Information och utbildning Ledning Sammanfattning grundsäkerhet information och utbildning Utbildningsinsatser ska genomföras regelbundet. En allmän information om IT-säkerhet ska innehålla bland annat myndighetens säkerhetsplan samt betydelsen av IT-säkerheten för verksamheten Målinriktade utbildningar ska säkerställa att alla användare, före tilldelning av behörighet, har tillräckliga kunskaper om de regler i säkerhetsinstruktionen som gäller för datasystem i anslutning till den egna arbetsuppgiften. 5 Personal som använder ett samhällsviktigt datasystem skall regelbundet informeras om innehållet i säkerhetsplanen, systemsäkerhetsplanen och säkerhetsinstruktionen. Goda kunskaper hos personalen, och en väl underbyggd motivation för säkerhet är av stor betydelse för att upprätthålla beslutad IT-säkerhetsnivå. Bristande kunskaper kan leda till störningar, till exempel i form av driftavbrott. De kan också medföra att svagheter uppstår i säkerhetssystemet som gör att detta inte fungerar vid en störning. Utbildning i IT-säkerhet får inte inskränka sig till att lära ut enbart tekniska färdigheter. Vikten av att ett säkerhetsmedvetande upprätthålls inom hela organisationen och att personalen är väl motiverad får aldrig underskattas. Även goda kunskaper om hur en säkerhetsåtgärd ska genomföras minskar avsevärt i betydelse, om den som ska vidta åtgärden inte förstår varför den är nödvändig. Den verksamhetsansvarige, som i allmänhet också är systemägaren har ett ansvar, inte bara för att kunskapen om IT-säkerhet är tillräcklig, utan också för att medvetandet och motivationen upprätthålls. För att åstadkomma detta ska utbildningsåtgärder genomföras kontinuerligt. Den information som delges användare kan med fördel delas upp i allmän information om IT-säkerhetens roll i myndighetens verksamhet samt utbildning som är anpassad till den egna arbetsuppgiften. Den allmänna informationen om IT-säkerhet ska innehålla bland annat myndighetens säkerhetsplan samt betydelsen av IT-säkerheten för verksamheten. Den målinriktade utbildningen ska säkerställa att alla användare, före tilldelning av behörighet, har tillräckliga kunskaper om de regler från säkerhetsinstruktionen som gäller för datasystem i anslutning till den egna arbetsuppgiften. För att verksamhetsansvariga på olika nivåer ska kunna leva upp till ålagt ansvar kan en för dem målinriktad information genomföras. Denna innehåller då uppgifter som följer av ansvarsrollen, till exempel ansvar för uppföljning av tilldelade behörigheter, granskning av loggar m m. Säkerhetsutbildning kan med fördel ske i en mycket nära samordning med annan utbildning, på samma sätt som säkerhetsansvaret är väl integrerat i organisationsstrukturen. 12

15 3.5 Beredskapsplan Sammanfattning grundsäkerhet beredskapsplan De verksamheter som en organisation har krav på sig att bedriva även vid svåra påfrestningar på samhället i fred och under höjd beredskap och som är beroende av datasystem ska identifieras. Beredskapsplanen ska redovisa vilka åtgärder som ska vidtas vid höjd beredskap. Ledning För att en beredskapsmyndighet ska kunna fullgöra sin verksamhet även vid svåra påfrestningar på samhället i fred och under höjd beredskap krävs att man identifierar: vilken verksamhet som en organisation har krav på sig att bedriva även vid svåra påfrestningar och under höjd beredskap vilka datasystem som krävs för att genomföra denna verksamhet. Först när detta är gjort kan myndighetens beredskapsplan, som ska finnas enligt 19 beredskapsförordningen (1993:242), kompletteras med de åtgärder som ska vidtas för de datasystem som verksamheten kräver under höjd beredskap. En av de viktigare åtgärderna i detta sammanhang är att säkerställa att nödvändig personal för dataverksamheten ingår i krigsorganisationen. De beredskapsmyndigheter som har en alternativ krigsuppehållsplats måste dessutom planera för drift av datasystem på denna. 6 Av myndighetens beredskapsplan enligt 19 beredskapsförordningen (1993:242) skall framgå vilka åtgärder som vid höjd beredskap skall vidtas beträffande de samhällsviktiga datasystem för vilka myndigheten ansvarar. 13

16 4 BEHÖRIGHET Med behörighet avses en användares rättighet att utnyttja olika resurser i ett datorsystem på ett visst, reglerat sätt. För att uppnå detta krävs flera samverkande tekniska och administrativa åtgärder i syfte att överföra organisationens regler för vem som ska ha tillgång till information till en struktur som kan användas i en automatisk kontroll. 4.1 Behörighetskontroll Behörighet Sammanfattning grundsäkerhet behörighetskontroll För att få tillgång till ett samhällsviktigt datasystem krävs att användaren är registrerad som behörig användare i ett behörighetskontrollsystem. Endast behöriga, med de rättigheter som beslutats, ska finns registrerade som användare av datasystemet. Varje användare ska ha en unik användaridentitet och ett lösenord som endast denne känner till och kan ändra. Ett lösenord ska bestå av minst 6 tecken och vara konstruerat så att det inte lätt går att avslöja. Användarna ska tvingas byta lösenord enligt de tidsintervall som systemägaren beslutar. Användaren ska, vid behov, ges en behörighetsprofil som endast medger åtkomst till de resurser i datasystemet som krävs för att lösa dennes arbetsuppgifter. Central systemägare ska säkerställa att datasystemet är så konstruerat att ovanstående kan tillgodoses. 7 De delar av ett samhällsviktigt datasystem i vilka information lagras eller bearbetas skall vara så konstruerade att det för tillgång till systemet krävs behörighetskontroll eller fysisk tillträdeskontroll. För ett samhällsviktigt datasystem som används gemensamt av flera myndigheter åligger det den myndighet där den centrale systemägaren finns att tillse att datasystemet är konstruerat så att det för tillgång till systemet krävs behörighetskontroll... Med behörighetskontroll avses administrativa och tekniska åtgärder för kontroll av användares identitet, styrning av användares behörighet att använda datasystemet och dess resurser samt för uppföljning av denna användning. Denna kontroll sker vanligen i ett behörighetskontrollsystem, som möjliggör identifiering av användaren och verifiering av identiteten, reglering av åtkomsträttigheter samt registrering av användarens aktiviteter i datasystemet (loggning). För att få tillgång till ett datasystem krävs att användaren är registrerad som behörig användare i ett behörighetskontrollsystem. Endast behöriga, med de rättigheter som beslutats, ska finnas registrerade som användare i datasystemet. För att behörighetskontrollen ska fungera måste varje användare ha en unik användaridentitet och ett lösenord som endast denne känner till och kan ändra. Ett lösenord ska bestå av minst 6 tecken och vara konstruerat så att det inte lätt går att avslöja. Användarna ska tvingas byta lösenord enligt de tidsintervall som systemägaren beslutar. Första gången en användare ges behörighet till ett datasystem är det lämpligt att använda ett initialt lösenord som endast medger en enda påloggning med möjlighet att byta till ett eget lösenord. Detta förfarande säkerställer att det endast är användaren som känner till sitt eget lösenord. Samma rutin kan med fördel tillämpas vid alla tillfällen då användaren behöver få ett förnyat lösenord, till exempel då användaren glömt sitt lösenord. Användaren ska, vid behov, ges en behörighetsprofil som endast medger åtkomst till de resurser i datasystemet som krävs för att lösa dennes arbetsuppgifter. Detta kan till exempel innebära individuella begränsningar för användares rätt att läsa, skriva, ändra etc. 14

17 För att systemägare inom myndigheter ska kunna ta ansvar för säkerhetsskyddet i datasystem som används av flera myndigheter, krävs att central systemägare säkerställer att datasystemet är så konstruerat att ovanstående kan tillgodoses. I datasystem där samtliga användare är behöriga till all information kan systemägaren besluta att personligt lösenord ej erfordras, till exempel i vissa processystem. I sådana fall kan annan likvärdig åtgärd vidtas som till exempel att förstärka tillträdeskontrollen till de lokaler där åtkomst till datasystemet medges. Detta kan ske till exempel med loggande passagekontrollsystem eller i undantagsfall med en manuell tillträdesjournal. Behörighet 4.2 Behörighetsadministration Sammanfattning grundsäkerhet behörighetsadministration Säkerhetsinstruktionens regler ska omfatta hela kedjan tilldelning, uppdatering och uppföljning av behörighet dvs från initialt beslut om behörighet till att denna upphör. För att säkerställa att det endast är beslutade behörigheter som läggs in i datasystemet ska det finnas en fastställd organisation för behörighetsadministration. Systemägaren ska i säkerhetsinstruktionen bland annat fastställa vem som har rätt att besluta om behörighet. Beslut om behörighet ska dokumenteras och innehålla alla uppgifter som är nödvändiga för att behörigheten ska kunna läggas in i datasystemet. Behörighetsadministration omfattar att enligt fastställda regler tilldela behörigheter samt att lägga in, ändra eller ta bort beslutade behörigheter i datasystemet. Behörighetsadministration omfattar således två delar, dels beslut om vem som ska tilldelas en behörighet dels det praktiska arbetet att lägga in beslutade behörigheter i datasystemet. Säkerhetsinstruktionens regler för tilldelning, uppdatering och uppföljning av behörighet ska därför täcka in alla led i tilldelningsförfarandet för behörigheter, från det initiala beslutet om behörighet till datasystemet till det att användaren ej längre behöver behörighet. Reglerna måste utformas så att de blir praktiskt användbara och kan följas. En alltför detaljerad behörighetsstruktur kan motverka syftet med behörighetskontrollen. Generellt kan sägas att om administrationen baseras på rollbegreppet dvs att all behörighet utgår från att en användare får agera i en eller flera roller så blir administrationen greppbar. Ingen användare tilldelas unika rättigheter till enskilda filer eller dataposter. Istället knyts sådana rättigheter till en roll. Användare knyts sedan till en eller flera sådan roller. Därmed kan antalet detaljer i behörighetsadministrationen begränsas och hela administrationen hanteras avsevärt mycket lättare. För att säkerställa att det endast är beslutade behörigheter som läggs in i datasystemet ska det finnas en fastställd organisation för behörighetsadministration. Systemägaren ska därför i säkerhetsinstruktionen bland annat fastställa vem som har rätt att besluta om behörighet. Vanligtvis är beslutande person den som har kunskap om vilken information användaren är i behov av, till exempel närmaste chef eller uppdragsgivare. 9 I säkerhetsinstruktionen skall anges hur tilldelning, uppdatering och uppföljning av behörighet till samhällsviktigt datasystem skall ske. 7 Beslut om tilldelad behörig- het skall dokumenteras. 15

18 Behörighet På motsvarande sätt ska administratörernas befogenheter regleras. Vanligtvis ska inte administratören i något fall ha rätt att besluta om att tilldela eller förändra behörigheter. Beslut om behörighet ska dokumenteras och ska innehålla alla uppgifter som är nödvändiga för att behörigheten ska kunna läggas in i datasystemet. Beslutet är också det underlag som behörighetsadministratören ska kräva för att lägga in användarens behörighet i datasystemet. Alla förändringar av behörigheter, till exempel när en användare byter arbetsuppgifter, slutar sin anställning eller när ett konsultuppdrag avslutas, kan med fördel ske enligt samma rutin som vid tilldelning av behörighet. Detta innebär att förändringarna initieras av samma befattningshavare som godkänt behörigheten eller eventuell efterträdare, beslutet dokumenteras och behörighetsadministratören verkställer beslutet. 4.3 Loggning Sammanfattning grundsäkerhet loggning En grundläggande säkerhetsloggning ska omfatta användaridentitet, (godkänd) inloggning, utloggning samt datum och klockslag. Systemägaren ska fastställa vilka händelser utöver den grundläggande säkerhetsloggningen som ska registreras i datasystemets säkerhetslogg. Central systemägare ska säkerställa att datasystemet är så konstruerat att ovanstående kan tillgodoses. I säkerhetsinstruktionen ska systemägaren fastställa regler för hur ofta analys av säkerhetsloggar ska ske, vem som ansvarar för detta, hur analys av säkerhetsloggar ska genomföras samt hur säkerhetsloggar ska förvaras. Systemägaren ska fastställa hur länge säkerhetsloggar ska sparas. 8 De delar av ett samhällsviktigt datasystem i vilka information lagras, bearbetas eller kommuniceras skall vara så konstruerade att det finns en logg av vilken det framgår vem som har använt systemet och när detta skett. För samhällsviktigt datasystem som används gemensamt av flera myndigheter åligger det den myndighet där den centrale systemägaren finns att tillse att systemet är konstruerat med en loggfunktion. I särskilt fall kan logg ersättas med manuell registrering. Detaljerade loggar är ett mycket viktigt underlag för att avgöra vad som skett vid misstanke om säkerhetsrelaterade incidenter. Ju fler detaljer som loggas desto större är sannolikheten att den önskade informationen faktiskt går att återfinna. Dock finns det praktiska problem i samband med loggning. Först och främst måste man vara på det klara med vad som ska loggas. Loggas för mycket riskerar man att överhopas av data och få hanteringsproblem vid lagring samtidigt som uppföljning av loggarna försvåras. Det är därför av stor vikt att noggrant definiera vilka händelser som ska loggas. En grundläggande säkerhetsloggning ska omfatta: användaridentitet, godkänd inloggning, utloggning samt datum och klockslag. Av andra skäl kan ytterligare uppgifter behöva loggas. Systemägaren ska därför fastställa vilka händelser utöver den grundläggande säkerhetsloggningen som ska registreras i datasystemets säkerhetslogg. Sådan uppgifter kan till exempel vara: händelse samt om händelsen utförts eller inte, felaktiga inloggningsförsök, behörighetstilldelning och förändring av behörighet. 16

19 För att systemägare inom myndigheter ska kunna ta ansvar för säkerhetsskyddet i datasystem som används av flera myndigheter, krävs att central systemägare säkerställer att datasystemet är så konstruerat att ovanstående kan tillgodoses. I ett datasystem där samtliga användare är behöriga till all information kan systemägaren besluta att ingen logg erfordras. I sådana fall ska annan likvärdig åtgärd vidtas som till exempel att förstärka tillträdeskontrollen till de lokaler där åtkomst till datasystemet medges. Detta kan ske exempelvis med loggande passagekontrollsystem eller i undantagsfall med en manuell tillträdesjournal. För att uppnå avsedd effekt med loggning måste säkerhetsloggarna kontinuerligt följas upp. En sådan analys omfattar alla former av överträdelser mot gällande regler. I säkerhetsinstruktionen ska därför systemägaren fastställa regler för: hur ofta analys av säkerhetsloggar ska ske, vem som ansvarar för detta, hur analys av säkerhetsloggar ska genomföras, till exempel periodiska kontroller eller stickprovskontroller samt hur säkerhetsloggar ska förvaras, till exempel om loggarna ska förvaras i säkerhetsskåp eller på annan plats och vilken personal som är behörig att ta del av säkerhetsloggarna. Utöver detta ska systemägaren fastställa hur länge säkerhetsloggar ska sparas. Normalt räcker två år men i vissa fall kan de av särskilda orsaker behöva sparas längre. Detta kräver då att förutsättningar finns för att läsa informationen vid behov. 9 I säkerhetsinstruktionen skall Därutöver skall framgå vem som ansvarar för analys av loggar, i vilken omfattning analys skall ske och hur länge en logg skall sparas. Behörighet 17

20 5 DATAKOMMUNIKATION 5.1 Externa anslutningar Datakommunikation Sammanfattning grundsäkerhet externa anslutningar För att försvåra för obehöriga att göra intrång i ett datasystem via externa anslutningar ska det finnas en brandväggsfunktion installerad samt en policy för hur installationen ska utformas och genomföras. Brandväggen ska vara den enda kommunikationskanalen för TCP/IP baserad datakommunikation till och från organisationen. Det ska finnas en aktuell förteckning över samtliga externa anslutningar. Om fjärrdiagnostik erfordras ska sådan ske enligt fastställda/överenskomna rutiner. Brandväggens utformning ska dokumenteras, gärna som ett särskilt avsnitt i driftdokumentationen. Systemägaren ska fastställa vad som ska loggas i brandväggen, vem som ansvarar för uppföljningen av loggarna samt hur ofta detta ska ske. 10 Myndighet skall vidta sådana åtgärder att egna tele- och datanät som betjänar samhällsviktiga datasystem inte blir tillgängliga för obehöriga via externa anslutningar. För att försvåra för obehöriga att göra intrång i ett datasystem via externa anslutningar ska det finnas en brandvägg installerad samt en policy för hur installationen ska genomföras. För att skyddet ska få avsedd verkan ska brandväggen vara den enda kommunikationskanalen för TCP/IP baserad datakommunikation till och från organisationen. En brandvägg består av en eller flera nätkomponenter som placeras mellan två datanät för att enligt en fastställd policy kontrollera och begränsa trafiken mellan dem. All trafik mellan datanäten passerar genom brandväggen och endast trafik som är godkänd enligt policyn tillåts passera. För att kunna erbjuda en effektiv funktion måste brandväggen även kunna skydda sig själv från angrepp. Med brandvägg avses alltså dels de komponenter som ingår i en brandväggsfunktion (oftast routrar samt datorer med särskild programvara) och som ger möjlighet att kontrollera trafiken mellan nätverk, dels organisationen runt brandväggen. Brandväggar på nätverksnivå: Består av en router (»dataväxel«) eller speciellt anpassad dator som undersöker inkommande datapakets IP-adress och information om paketets innehåll, s k paketfiltrering samt bestämmer om ett paket får passera brandväggen. Brandvägg på applikationsnivå: Består vanligtvis av en värddator som kör programvara kallad»proxy server applikation«eller bara»proxyserver«. Applikationen kontrollerar trafiken mellan två nätverk, det egna interna nätverket och Internet, och när den körs är dessa nät inte sammankopplade. Proxy server applikationens arbete är att överföra en isolerad kopia av datapaketet från det ena nätet till det andra och ska givetvis även omfatta att bestämma vilka datapaket som får släppas fram. Alternativa vägar vid sidan av brandväggen i form av uppringbara modem in till det interna nätverket måste undvikas för att det inte ska vara möjligt att kringgå det skydd en brandvägg ger. Det ska därför finnas en aktuell förteckning över samtliga anslutningar. Detta är en förutsättning för att bland annat regelbundet kunna kontrollera befintliga anslutningar och att anslutningar inte ordnas på ett otillåtet sätt. Detta inkluderar även alla former av anslutningar för underhåll/service från leverantörer. Om fjärrdiagnostik används ska sådan ske enligt fastställda/överenskomna rutiner. 18

21 Det svåraste vid installation av en brandvägg är att fastställa exakt vilka behov av datakommunikation som finns och hur dessa ska översättas till den policy som brandväggen måste»programmeras«med för att filtrera trafiken. Två alternativa inriktningar kan urskiljas vad gäller policy för hur en brandvägg kan installeras och administreras. Alternativ A Det som uttryckligen inte är tillåtet är förbjudet vilket innebär att: brandväggen ska blockera allt, tjänster tillåts från fall till fall, d v s efter en ordentlig genomgång av behovsbilden kontra riskbilden, användarna är relativt begränsade i sin handlingsfrihet. Alternativ B Allt som uttryckligen inte är förbjudet är tillåtet vilket innebär att: det ställs stora krav på brandväggsadministratören som delvis måste ha förmågan och kompetensen att förutse vilka typer av hot och risker som kan tänkas uppstå och därmed hela tiden jaga säkra alternativ, användarna har total frihet, Av dessa två är från ett säkerhetsperspektiv det första, alternativ A, att rekommendera. Datakommunikation En brandvägg kräver noggrann installation och en genomtänkt policy för att nå avsedd skyddseffekt. Som regel är brandväggen en gemensam resurs för en organisation vilket innebär att dess säkerhetsnivån måste ta hänsyn till dimensionerande säkerhetskrav från flera verksamhetsområden. Nedan ges exempel på några punkter som kan vara aktuella att beakta vid utarbetandet av en policy för en brandvägg: vilka tjänster ska brandväggen tillhandahålla, vilka uppgifter ska döljas av brandväggen, exempelvis strukturen på det egna nätet, egna IP-adresser och användaridentitet, vad ska loggas i brandväggen, ska e-post kontrolleras i brandväggen, ska viruskontroll ske i brandväggen, vilken kontroll ska ske av Internetaccess/loggning, krävs integritetskontroll av brandväggsprogramvara, vilken övervakning ska ske, logiskt (vad och dygnet runt, rapportering), vilket fysiskt skydd behövs för brandväggen (begränsad tillträdeszon), hur ska brandväggsadministration ordnas, vilken autenticering krävs till brandväggen, till exempel vid fjärråtkomst (remote access) samt vad ska säkerhetskopieras. Brandväggens utformning ska dokumenteras, gärna som ett särskilt avsnitt i driftdokumentationen. En komplett dokumentation omfattar utformningen av brandväggsprodukten, tillhörande tjänsteservrar, underliggande system som agerar värddator för produkten samt den nätverksteknik som används. Det bör observeras att information om brandväggens utformning kan vara känslig och bör hanteras i enlighet med detta. En viktig del är att följa upp att brandväggens skydd fungerar som avsett. Systemägaren ska därför fastställa vad som ska loggas i brandväggen och vem som ansvarar för uppföljningen av loggarna samt hur ofta logguppföljning ska ske. Analys av loggarna påverkas först och främst av brandväggens roll. En brandvägg som skyddar en Internetaccess har en helt annan roll än en 19

22 Datakommunikation brandvägg som reglerar trafiken inom en organisation eller mellan en tjänsteleverantör och dess kunder. Nedan ges exempel på några punkter som kan vara aktuella att beakta vid beslut om vad som ska loggas i brandväggen: alla försök att upprätta trafik, oberoende av om de lyckas eller inte, användare eller det som upprättat förbindelsen, till exempel nät, datum och tid för förbindelsens upprättande och när förbindelsen avbröts, vilka tjänster som används. Vid IP-förbindelse betyder detta information om vilka olika Internet-protokoll som används, information för varje tjänst om mängden överförd data i varje riktning, till exempel antal bytes, antal filer eller antal TCP/IP-paket samt alla förändringar i autenticeringsinformationen. 5.2 Ansvarsgränser Sammanfattning grundsäkerhet ansvarsgränser För samhällsviktigt datasystem ska systemägare fastställa vilka och vilken typ av interna och externa anslutningar till tele- och datanät som ska tillåtas (exempelvis Internet). Detta ska dokumenteras. Systemägaren ska ta ställning till vad ansvaret vid dataöverföring till och från datasystemet innebär vilket kan omfatta ansvar i händelse av förlust eller förändring av data samt ansvar för säkerhetsåtgärder vid sändning/mottagning av data. 11 Innan samhällsviktigt datasystem ansluts till tele- och datanät skall gränserna för ansvaret rörande säkerheten som skall gälla vid informationsöverföring bestämmas. Beslut om anslutning skall dokumenteras. Vilka anslutningar av samhällsviktigt datasystem till tele- och datanät, inom eller utanför myndigheten, samt vilken typ av anslutningar som ska tillåtas (till exempel Internet) ska dokumenteras och fastställas av systemägare. Systemägaren ska ta ställning till vad ansvaret vid dataöverföring till och från datasystemet innebär vilket kan omfatta ansvar i händelse av förlust eller förändring av data samt ansvar för säkerhetsåtgärder vid sändning/mottagning av data. Om dataöverföring sker mellan två organisationer med skilda ansvar är det systemägaren för det mottagande datasystemet som ansvarar för informationen från det att den kommer in i datasystemet. Detta innebär att det måste ske en samverkan i säkerhetsfrågor mellan de båda systemägarna och mellan dessa och nätoperatören. Systemägaren måste också beakta att ansvarsfrågorna kompliceras av att dataöverföringen ofta sker med hjälp av kommunikationslinjer och annan kommunikationsutrustning över vilka systemägaren inte förfogar. En separat nätoperatör har ofta ansvaret för att överföringen tekniskt fungerar i enlighet med överenskomna specifikationer. Detta innebär också att nätoperatören är ansvarig för de säkerhetsåtgärder som behövs för att skydda utrustningen i nätet. 20

23 5.3 Skydd vid datakommunikation Sammanfattning grundsäkerhet skydd vid datakommunikation Systemägaren ska bland annat ta ställning till om de tjänster som nätoperatören erbjuder, vad avser driftsäkerhet, framkomlighet, tillgänglighet och sekretess, är acceptabla från säkerhetssynpunkt och vilka egna åtgärder som eventuellt måste vidtas. För att kunna bedöma om verksamhetens krav på datasystemet tillgodoses i systemsäkerhetsplanen ska systemägaren bland annat ta ställning till om de tjänster som nätoperatören erbjuder, vad avser driftsäkerhet, framkomlighet, tillgänglighet och sekretess, är acceptabla från säkerhetssynpunkt och vilka egna åtgärder som eventuellt måste vidtas. Utöver detta måste systemägaren också ta hänsyn till gällande lagstiftning. Inom totalförsvaret finns viss särskild lagstiftning avseende datakommunikation. Till exempel regleras i säkerhetsskyddsförordningens 13 (SFS1996:633) att hemliga uppgifter endast får krypteras med kryptosystem som har godkänts av Försvarsmakten. Förändrade arbetsrutiner och tekniska möjligheter såsom distansarbete, mobila kontor etc ökar kraven på åtkomst till organisationens nätverk genom olika former av uppkopplingar. Bland annat beroende på ovanstående faktorer men även på storleken av nätverket och känsligheten på informationen kan behov föreligga att införa,utöver vad som sägs i 10, ytterligare säkerhetsåtgärder. Exempel på sådana åtgärder kan vara: användning av motringningsutrustning, stark autenticering, till exempel användning av aktiva kort, användning av elektroniskt sigill, användning av digital signatur, användning av kryptering, skydd av kablar och annan utrustning som bär eller förmedlar information, skydd av lokaler med kommunikationsutrustning, instruktioner för och kontroll av personal som administrerar och underhåller kommunikationsutrustning samt tilläggstjänster från nätoperatör, till exempel sluten användargrupp. 12 Vid informationsutbyte i tele- och datanät till vilket samhällsviktigt datasystem är anslutet skall skyddet för informationen upprätthållas på den säkerhetsnivå som gäller för datasystemet enligt systemsäkerhetsplanen. Datakommunikation 21

24 6 DRIFTSÄKERHET 6.1 Dokumentation Sammanfattning grundsäkerhet dokumentation För ett samhällsviktigt datasystem ska det finnas en fullständig dokumentation som omfattar systemdokumentation, driftdokumentation samt användardokumentation. Driftdokumentation ska ange vilka säkerhetsåtgärder som administratören kan påverka respektive vilka som endast tillåter honom att erhålla information. Därtill ska den innehålla instruktioner om hur systemet/produkten ska installeras och konfigureras. Driftsäkerhet 13 Ett samhällsviktigt datasystem skall vara så beskrivet i en dokumentation att säker förvaltning, drift och användning av datasystemet möjliggörs. För samhällsviktigt datasystem som används gemensamt av flera myndigheter skall den myndighet där den centrale systemägaren finns upprätta denna dokumentation över gemensamma delar. Möjligheten till en säker och ändamålsenlig förvaltning och drift av ett datasystem är till stor del beroende av en fullständig och aktuell dokumentation. Brister i dokumentationsregler och i dokumentationens kvalitet kan medföra svårigheter. Anpassningar och modifieringar som görs på olika ställen i systemet under årens lopp måste dokumenteras för att det ska vara möjligt att förstå systemuppbyggnaden. Behörighet att göra anpassningar och modifieringar i ett visst datasystem samt ansvaret för detta och att sådana modifieringar införs i systemdokumentationen ska regleras av systemägaren i säkerhetsinstruktionen. För ett samhällsviktigt datasystem ska det finnas en fullständig dokumentation som omfattar: systemdokumentation, driftdokumentation samt användardokumentation. Systemdokumentation Systemdokumentationen riktas till den som ska underhålla och vidareutveckla datasystemet och kan mot denna bakgrund lämpligen delas in i en översiktlig systembeskrivning och en detaljerad systembeskrivning. Den översiktliga systembeskrivningen är till för att få en överblick över datasystemet och förstå systemuppbyggnaden, den kan till exempel innehålla: en översikt som visar datasystemets plats i organisationens totala datadrift, det fysiska och logiska nätets struktur, vilka delar/moduler systemet/programmet består av, beskrivning av delarnas uppgift utan detaljer (gärna bilder som visar hur delarna är beroende av varandra) samt viktiga datastrukturer (gärna med bilder). Den detaljerade systembeskrivningen är till för den personal som ska genomföra förändringar eller tillföra nya funktioner. Den kan till exempel innehålla: beskrivning av varje del/modul för sig, beskrivning av datatyper samt en väl kommenterad programkod. Delar av systemdokumentationen kan innehålla känsliga uppgifter om datasystems säkerhetsfunktioner. Sådan uppgifter kan vara till exempel behörighetskontrollsystemets uppbyggnad. I vissa fall kan det därför finnas behov av att reglera åtkomsten till dukumentationen, samt att en fullständig kopia förvaras väl skild från originalet. 22