Riktlinjer för informationssäkerhet

Transkript

1 Dnr UFV 2015/322 Riktlinjer för informationssäkerhet Riskanalyser av informationssystem Fastställda av Säkerhetschefen

2 Innehållsförteckning 1 Inledning Definitioner Syfte Mål Process Arbetsform Genomförande Avgränsning Informationsklassificering Nulägesbedömning Risk- och sårbarhetsanalys Åtgärdsplan för säkerhetsförbättringar Bilagor

3 1 Inledning Denna riktlinje beskriver en process för genomförande av riskanalyser för bedömning och behandling av säkerhetsrisker i informationssystem. Riktlinjen är en del av universitetets övergripande riktlinjer för informationssäkerhet (UFV 2010/424). 2 Definitioner Organisation avser i detta dokument en organisatorisk enhet, t.ex. institution eller motsvarande, eller ett projekt, systemförvaltningsobjekt etc. Information eller informationsmängd innefattar all elektronisk, pappersbaserad, muntlig eller på annat sätt lagrad eller kommunicerad information. Informationsresurs avser information enligt definitionen ovan samt de informationssystem (hård- och mjukvara) och kommunikationslösningar som hanterar informationen. Händelse (incident, störning). En oönskad händelse med negativa effekter på universitetet Hot. En tänkbar/möjlig händelse som skulle kunna inträffa. Sannolikhet. Sannolikheten för att en händelse ska inträffa (att ett hot ska resultera i en händelse). Konsekvens. De sammantagna konsekvenserna av en händelse inkluderande direkta och indirekta kostnader, förtroendeskador, vikande studentantal, minskade forskningsmedel. Risk. Sammanvägning av konsekvens och sannolikhet för en händelse. 3 Syfte Dessa riktlinjer avser att ge ett praktiskt och verksamhetsanpassat stöd för kontinuerlig riskhantering av universitetets informationsresurser med avseende på konfidentialitet (sekretess), riktighet (integritet) och tillgänglighet. 4 Mål Att universitetets informationsresurser är skyddade i enlighet med vid universitetet gällande riktlinjer för informationssäkerhet (UFV 2010/424). 3

4 5 Process Riskanalysprocessen i sin helhet genomförs i följande konsekutiva steg men de enskilda arbetsmomenten kan även utföras separat eller i en kombination. Dock är resultatet från informationsklassificeringen alltid en förutsättning för att kunna göra de efterföljande arbetsmomenten. 1. Avgränsning 2. Informationsklassificering 3. Nulägesbedömning 4. Risk- och sårbarhetsanalys 5. Åtgärdsplan för säkerhetsförbättringar 6 Arbetsform Den arbetsform som rekommenderas är en eller flera workshops med representation från berörd organisation eller arbetsgrupp och med en processledare från universitetets säkerhetsenhet. 7 Genomförande 7.1 Avgränsning Innan informationsklassning och efterföljande arbetsmoment i riskanalysprocessen kan starta måste omfattningen definieras. Den entitet som rekommenderas för de kommande stegen i riskanalysprocessen är ett enskilt informationssystem. Under förutsättning att den information och de informationsresurser som ska riskbedömas är relativt homogena kan hela eller delar av riskanalysprocessen användas för grupper av system, ett systemförvaltningsobjekt, ett utvecklings- eller anskaffningsprojekt etc. 7.2 Informationsklassificering Informationsklassificeringen innebär att en bedömning av informationens skyddsvärde görs och måste alltid göras, alternativt vara gjord sedan tidigare, eftersom resultatet är förutsättning för de efterföljande arbetsmomenten i riskanalysprocessen. Universitetet har valt en klassificeringsmodell som är baserad på de, enligt svensk standard (SS-ISO/IEC 27001:2014), tre vedertagna informationssäkerhetsaspekterna: Konfidentialitet, Riktighet och Tillgänglighet. Som en utvidgning av tillgänglighetsaspekten har även Avbrottsskydd lagts till. Skyddsmålen för respektive säkerhetsaspekt framgår av tabellen nedan. 4

5 Konfidentialitet Riktighet Tillgänglighet Avbrottsskydd Informationen ska inte göras tillgänglig eller avslöjas för obehöriga personer, system eller processer. Informationen ska inte förändras eller förstöras, varken obehörigen, av misstag eller på grund av funktionsstörningar. Informationen ska vara åtkomlig och användbar på förväntat sätt och inom önskad tid. Informationen ska vara åtkomlig och användbar på planerat sätt och inom planerad tid även efter omfattande störningar. Informationsklassificeringen görs av den organisation som äger informationen och skyddsbehovet med avseende på säkerhetsaspekterna ovan ska klassificeras i någon av nivåerna: Publik, Bas, Hög eller Särskilda krav. Som stöd för informationsklassificeringen kan checklistan i Bilaga 1 användas. 7.3 Nulägesbedömning I nulägesbedömningen granskas efterlevnadnivån av universitetets riktlinjer för informationssäkerhet (UFV 2010/424). I tabellen nedan framgår de säkerhetsområden som omfattas av riktlinjerna och målen för säkerhetsarbetet (skyddsmålen) inom dessa områden. Riktlinjer Organisation och ansvar Personalsäkerhet Hantering av tillgångar Styrning av åtkomst Kryptering Fysisk och miljörelaterad säkerhet Driftsäkerhet Kommunikationssäkerhet Universitetets riktlinjer för informationssäkerhet är kända inom organisationen. Ansvar och ansvarsområden för informationssäkerhetsarbetet är uttalat inom organisationen. Anställda och övriga berörda parter är medvetna om det egna ansvaret för informationssäkerhet. Informationsresursen/erna skyddas på ett lämpligt sätt. Endast behöriga användare har åtkomst till informationsresursen/erna. Känslig information skyddas genom säker kryptering. Berörda lokaler och utrustning är skyddade mot obehörigt tillträde, skador och störningar. Driften av den aktuella informationsresursen/erna sker på ett korrekt och säkert sätt. Dataöverföring till/från informationsresursen/erna skyddas på ett lämpligt sätt. 5

6 Anskaffning, utveckling och underhåll av system Leverantörsrelationer Incidenthantering Kontinuitetshantering Efterlevnad Informationssäkerhet hanteras som en integrerad del av informationsresursen/erna över hela livscykeln. Informationssäkerhetskrav enligt universitetets riktlinjer är reglerade i avtal med externa leverantörer. Rutiner för hantering av informationssäkerhetsincidenter är kända inom organisationen. Organisationen har en dokumenterad och verifierad plan för tillgång till informationen i en kris eller katastrofsituation. Organisationen följer författningsenliga och avtalsmässiga informationssäkerhetskrav och skyldigheter. Nulägesbedömningen görs av den organisation som äger den aktuella informationsresursen/erna med stöd av de representanter från stöd- och servicefunktioner som t.ex. drift- och förvaltningsorganisationen och efterlevnad ska anges i någon av nivåerna: Låg, Medel eller Hög. Som stöd för nulägesbedömningen kan checklistan i Bilaga 2 användas. 7.4 Risk- och sårbarhetsanalys I risk- och sårbarhetsanalysen bedöms de hot som organisationen exponeras för på grund av sedan tidigare kända eller misstänkta säkerhetsbrister eller de brister som detekterats i nulägesbedömningen av informationsresursen/arna ovan, vilka konsekvenser dessa hot skulle få om det realiseras i en incident eller störning i organisationens verksamhet och sannolikheten för att de skulle inträffa. För varje identifierat hot beräknas en riskfaktor fram som en sammanvägning av konsekvens och sannolikhet. Riskfaktorn kategoriserar risken i någon av grupperna nedan som indikerar hur risken ska hanteras av organisationen. Acceptabel risk Ingen åtgärd behöver vidtas. Hanterbar risk Oacceptabel risk Planera för att implementera en riskreducerande åtgärd för införande vid lämpligt tillfälle, t.ex. versionsbyte eller motsvarande. Omedelbar åtgärd krävs. Risk- och sårbarhetsanalysen görs av den organisation som äger den aktuella informationsresursen/erna med stöd av de representanter från stöd- och servicefunktioner som t.ex. drift- och förvaltningsorganisationen. Som stöd för risk- och sårbarhetsanalysen kan checklistan i Bilaga 3 användas. 6

7 7.5 Åtgärdsplan för säkerhetsförbättringar När risk- och sårbarhetsanalysen är slutförd sammanställer processledaren resultatet och skickar ut på remiss till berörda deltagare i arbetsmomenten ovan för synpunkter och kommentarer. Efter eventuella ändringar och kompletteringar fastställs rapporten med de säkerhetsförbättringar som föreslås och skickas till prefekt, projektledare, objekt- eller systemägare eller annan ansvarig person för den aktuella informationsresursen. Som stöd för rapporten kan mallen i Bilaga 4 användas. 8 Bilagor Bilaga 1 Instruktion för genomförande av informationsklassificering. Bilaga 2 Checklista för nulägesbedömning av informationssäkerheten i en informationsresurs. Bilaga 3 Instruktion för genomförande av risk- och sårbarhetsanalys. Bilaga 4 Mall för slutrapport och åtgärdsplan för säkerhetsförbättringar. 7