Policy Document Number ESS Date Mar 14, 2013 Revision 1 (3) Plan för IT Säkerhet

Transkript

1 Revision 1 (3) State Released Plan för IT Säkerhet

2 DOCUMENT REVISION HISTORY Revision Reason for revision Date 1 New Document List of Authors List of Reviewers List of Approvers Skölde, Daniel/Ulrika Agnvik Peter Jacobsson/Heléne Björkman Peter Jacobsson 2(10)

3 SAMMANFATTNING Detta dokument redovisar ambitioner och avsikter avseende planering och implementering av IT-säkerheten vid anläggningen European Spallation Source ESS AB. 3(10)

4 INNEHÅLLSFÖRTECKNING Sammanfattning INTRODUKTION Sekretess Definition av IT-säkerhet Avgränsningar Målsättning med IT-säkerheten Ledning och ansvar för IT-säkerheten Systemägare Systemansvarig IT-chef Systemtekniskt ansvarig Användare Grundsäkerhetskrav Ledning Behörighet Loggning Skadlig kod Informationsklassning Säkerhetskopiering Datamedia Datakommunikation Uppföljning av aktivitetslogg Driftsäkerhet (10)

5 1. INTRODUKTION Denna säkerhetsplan anger målen för IT-säkerheten vid ESS AB samt riktlinjer för hur dessa ska uppnås. Det är av stor vikt att en strukturerad IT-säkerhetskultur implementeras i god tid innan anläggningens driftskede inleds. 1.1 Sekretess Planen är att betrakta som ett internt dokument inom ESS och spridningen skall därför begränsas. 1.2 Definition av IT-säkerhet Med begreppet IT menas informationsteknik som innefattar teknik för elektronisk framställning, lagring, överföring och presentation av information. Tekniken kan bestå av hårdvara, nät, kommunikation och programvaror av olika slag. IT-säkerhet har inget uttalat självändamål utan syftar i första hand till att skydda de informationstillgångar som hanteras i de olika IT-systemen. Med IT-säkerhet avses att de ingående IT-systemen ska konfigureras, underhållas och användas på ett sådant sätt att säkerheten upprätthålls avseende såväl tillgänglighet, riktighet, konfidentialitet och spårbarhet. Med informationstillgångar menas både informationen och de resurser som används för att hantera informationen. IT-säkerheten omfattar följande områden: Fysisk säkerhet innebär att skydda IT-systemen och hårdvaran mot fysisk åverkan, t.ex brand, vattenskador och inbrott/stöld. Logisk säkerhet innefattar alla de mekanismer som sätts upp för att förhindra otillbörlig tillgång till informationen i de olika systemen. Organisatorisk säkerhet är den administrativa säkerheten i form av regler och riktlinjer som lagstiftning, policies, föreskrifter, metoder m.m. 1.3 Avgränsningar Följande områden hanteras inte i detta dokument. Hantering av hemliga dokument och uppgifter samt identifierade skyddsvärda anläggningsdelar, tekniska system och uppgifter redovisas i Säkerhetsskyddsanalys ESS. 1.4 Målsättning med IT-säkerheten Målen för IT-säkerhetsarbete vid ESS AB är att säkerställa hög tillgänglighet till såväl administrativa som driftsrelaterade IT-system så att de kan utnyttjas till sin avsedda funktion. Särskilt viktigt är att förhindra störningar i de system som är kritiska för styrning av acceleratorn och målstationen samt att bibehålla riktigheten i de producerade forskningsresultaten. 5(10)

6 Specifikt gäller att: Samtliga IT-system ska uppfylla grundsäkerhetskraven för IT-säkerhet Samtliga IT-system ska ha en utsedd systemägare Samtliga IT-system ska analyseras ur säkerhetssynpunkt för att fastställa om ytterligare verksamhets- eller hotrelaterade krav behöver tillvaratas Säkerhetsinstruktioner och åtgärder i IT-systemen utformas och förvaltas på ett sådant sätt att kraven uppfylls En återkommande uppföljning och kontroll av IT-säkerheten ska ske avseende såväl tillgänglighet, riktighet, konfidentiallitet och spårbarhet 2. LEDNING OCH ANSVAR FÖR IT-SÄKERHETEN En fastställd ansvarsfördelning för IT-säkerheten är en avgörande förutsättning för ESS AB att leva upp till sin IT-säkerhetsplan. Säkerhetsansvaret följer den normala linjeorganisationen. Var och en som är ansvarig för någon del av verksamheten, ansvarar också för IT-säkerheten inom sitt område. Nedan redovisas en fördjupad beskrivning av ansvarsfördelningen för olika rollinnehavare. I vissa fall kan samma person inneha fler än en av dessa roller. 2.1 Systemägare Systemägaransvaret innebär bland annat följande: Fastställa vilket informationsinnehåll IT-systemet ska ha Vilka lagar och andra regelverk som gäller för IT-systemet Identifiera verksamhetens krav på IT-systemet Identifiera hotbilden för IT-systemet Fastställa särskilda säkerhetsinstruktioner för IT-systemet Systemägaransvaret innebär dessutom att: Fastställa organisation och befattningar som rör IT-systemet. Utse systemansvarig Vid behov, fastställa avbrottsplan och reservrutiner för IT-systemet. Tillse att det finns serviceavtal m.m. Besluta om utbildning som rör systemet Följa upp och utvärdera effekterna av gjorda IT-investeringar Bevaka utvecklingen inom det egna verksamhetsområdet och initiera nya IT-lösningar I samråd med IT-chefen, ansvara för att systemet fungerar ihop med samverkande IT-system 2.2 Systemansvarig Systemansvarig utses av systemägaren och är den person i berörd verksamhet som har ansvaret för den dagliga användningen av IT-systemet. Systemansvarig samverkar med ITavdelningens systemtekniker för att säkerställa en säker och rationell daglig drift av ITsystemet. 6(10)

7 Systemansvarig har som uppgift att: Ha det operativa ansvaret för IT-säkerheten i det egna systemet Verkställa de beslut som systemägaren fattar Dokumentera förslag till ändringar/utveckling av systemet Ge användarsupport beträffande verksamhetsrelaterade frågor i systemet Ansvara för erfoderliga utbildningar i systemet I god tid innan beslut tas om uppdateringar eller förändringar i systemet rådgöra med den systemtekniskt ansvarige om att förändringarna är tekniskt möjliga att genomföra med bibehållen säkerhet Tillsammans med den systemtekniskt ansvarige planera lämplig tidpunkt för installationer och uppgraderingar m.m Delta aktivt i arbetet med säkerhetsfrågor som rör systemet 2.3 IT-chef IT-chefen har det övergripande ansvaret för att de olika IT-systemens tekniska delar fungerar. IT-chefen utövar också systemägaransvaret för ESS ABs generella IT-system. Dessutom ska IT-chefen samverka med systemägarna vad avser drift och resurs fördelning av IT-systemen. IT-chefen har följande ansvarsområden: I samråd med systemägaren tillse att IT-systemet fungerar ihop med samverkande system Besluta om behörighet till de gemensamma resurserna och infrastrukturen Besluta om avregistrering av användare från de gemensamma resurserna och infrastrukturen Att rutinerna för säkerhetskopiering uppfyller systemägarens krav Att säkerhetskopierat material förvaras på ett betryggande sätt och kontrollera att återläsningsrutiner fungerar Tillhandahålla teknisk support till användarna Vara teknisk rådgivare till systemägaren då förändringar i IT-systemet är aktuella Ansvara för att det finns en aktuell förteckning över IT-systemen vid ESS AB Ansvara för att den tekniska IT-säkerheten ligger på en nivå som motsvarar de ställda kraven 2.4 Systemtekniskt ansvarig Den systemtekniskt ansvarige tillhör IT-avdelningen och innehar den tekniska kompetensen. Systemtekniker, tillsammans med systemansvarig, ansvarar för att den dagliga driften upprätthålls enligt gällande ansvarsfördelning mellan systemägaren och IT-chefen. Ansvara för att IT-systemet rent tekniskt fungerar ur tillgänglighetssynpunkt. Tillhandahålla teknisk support till systemansvarig och användare Själva eller tillsammans med leverantörens tekniker ansvara för installation och uppdatering av IT-systemen Ansvara för den tekniska dokumentationen kring IT-systemet Ansvara för den tekniska säkerheten i IT-systemet och delta i säkerhetsfrågor som rör den tekniska infrastrukturen 7(10)

8 2.5 Användare ESS egen personal samt de konsulter och entreprenörer som arbetar för ESS har ett stort gemensamt ansvar för att bibehålla IT-säkerheten vid ESS. Varje användare är skyldig att ta del av och följa gällande säkerhetsinstruktioner för de ITsystem som denne nyttjar. Användaren har också ansvar för att rapportera olika former av incidenter till systemansvarig. 3. GRUNDSÄKERHETSKRAV 3.1 Ledning Varje IT-system ska ha en utsedd systemägare Systemsäkerhetsplaner innehållande de samlade kraven som ställs på IT-systemet ska upprättas I respektive systemsäkerhetsplan ska det tydligt framgå vem som ansvarar för de ingående delarna i systemet De regler och instruktioner som berör användarnas ansvar och handhavande av ett specifikt IT-system ska dokumenteras och fastställas av systemägare i en särskild säkerhetsinstruktion för användare Säkerhetsinstruktionerna ska utgå från IT-säkerhetsplanens mål och riktlinjer Information om IT-säkerhet ska spridas till samtliga som är verksamma vid ESS AB. Den ska bland annat innehålla aktuella användarinstruktioner samt betydelsen av ITsäkerheten för verksamheten 3.2 Behörighet För att få tillgång till ett eller flera IT-system vid ESS AB krävs att användaren är registrerad som behörig användare i ett behörighetskontrollsystem Endast behöriga, med de rättigheter som beslutats, ska finnas registrerade som användare i IT-systemen Den grundläggande principen ska alltid vara att varje användare har en unik användaridentitet och ett lösenord som endast denne känner till och kan ändra Lösenordsregler ska nyttjas för att säkerställa att de inte är lätta att avslöja Användarna ska tvingas byta lösenord enligt det tidsintervall som systemägaren beslutar Användaren ska ges en behörighetsprofil som endast medger åtkomst till de resurser i nätverken som krävs för att utföra sina arbetsuppgifter För att säkerställa att de endast är beslutade behörigheter som läggs in i ITsystemens behörighetskontrollsystem ska det finnas en fastställd organisation för behörighetsadministration Säkerhetsinstruktionen för behörigheter ska omfatta hela kedjan med tilldelning, information, uppdatering, uppföljning och avslut Systemägaren ska i säkerhetsinstruktionen bland annat fastställa vem som har rätt att besluta om behörighet Beslut om behörighet ska dokumenteras och innehålla uppgifter som är nödvändiga för att behörigheten ska kunna läggas in i behörighetskontrollsystemet 8(10)

9 3.3 Loggning En grundläggande säkerhetsloggning i systemet ska omfatta användaridentitet, inloggning, utloggning samt datum och klockslag Systemägaren ska fastställa om och i så fall vilka händelser utöver den grundläggande säkerhetsloggningen som ska registreras i de enskilda IT-systemens säkerhetslogg I säkerhetsinstruktionen ska systemägaren fastställa regler för hur ofta analys av säkerhetsloggar ska ske, vem som ansvarar för detta, hur analys av säkerhetsloggar ska genomföras samt hur säkerhetsloggar ska förvaras 3.4 Skadlig kod Det föreligger alltid en risk för att skadlig programvara kan komma in i IT-systemen. Därför ska det, där det är möjligt, finnas program för detektering och oskadliggörande av skadlig programvara Av säkerhetsinstruktionen ska det framgå vilka åtgärder som ska vidtas för att förhindra skadlig programvara i systemet 3.5 Informationsklassning I säkerhetsinstruktionen ska det finnas riktlinjer för informationsklassning och hantering av informationen i systemet Systemägaren ska i säkerhetsinstruktionen bedöma vilken information, lagrad på datamedia, som ska omfattas av särskilda krypterings- och raderingsrutiner så att informationen ej sprids till obeöriga 3.6 Säkerhetskopiering Säkerhetskopiering ska göras regelbundet och information ska kunna återställas vid behov Systemägaren ska i säkerhetsinstruktionen fastställa reglerna för säkerhetskopiering av information. Dessa regler ska reglera vilken information som ska omfattas av säkerhetskopiering, intervall för säkerhetskopiering samt hur säkerhetskopior ska förvaras Systemägaren ska fastställa hur många generationer av säkerhetskopior som ska finnas samt vilka kontroller som ska genomföras av att säkerhetskopiorna är läsbara 3.7 Datamedia Av säkerhetsinstruktionen ska framgå vilka åtgärder som ska vidtas, dels för att förhindra att media förstörs, dels för att säkerställa att informationen är läsbar under hela förvaringstiden Av säkerhetsinstruktionen ska framgå regler för förvaringstid av datamedia. Reglerna ka baseras på de bestämmelser som gäller för den information som lagras 3.8 Datakommunikation För att försvåra för obehöriga att göra intrång i IT-systemen via externa anslutningar ska det finnas en brandväggar installerade samt policy för hur installationen ska utformas och genomföras 9(10)

10 Brandväggar ska vara den enda kommunikationskanalen för Internetbaserad kommunikation till och från ESS AB De ska finnas en förteckning över samtliga externa anslutningar. Detta inkluderar även alla former av anslutningar för underhåll och service från leverantörer Brandväggarnas utformning ska dokumenteras, gärna som ett särskilt avsnitt i driftdokumentationen Användarnas aktiviteter genom brandväggen ska loggas där så är tekniskt möjligt Systemägaren ska fastställa vilka och vilken typ av interna och externa anslutningar till andra IT-system som tillåts. Exempelvis Internet Systemägaren ska ta ställning till vad ansvaret vid dataöverföring till och från ITsystemet innebär, vilket kan omfatta ansvar i händelse av förlust eller förändring av data 3.9 Uppföljning av aktivitetslogg Uppföljning av brandväggarnas aktivitetsloggar ska ske vid väl grundade misstankar om överträdelser mot gällande lagar och regler eller vid misstanke om intrångsförsök. Beslut om att granska anställdas aktiviteter i IT-systemet fattas i samråd mellan IT-chef eller särskilt utsedd, Säkerhetschef och Personalchef. Resultatet ska vid behov delges berörd verksamhetschef. I säkerhetsinstruktionen ska det finnas riktlinjer för hur länge aktivitetsloggarna ska sparas och hur överträdelser ska hanteras Driftsäkerhet För varje IT-system ska det finnas en systemdokumentation Systemdokumentationen riktas till den som ska underhålla och vidareutveckla ITsystemet Det ska finnas en beskrivning av vilken kompetens som erfordras för drift och underhåll av IT-systemet. Tillträdet till viktiga utrymmen, där till exempel för driften viktiga servrar och kommunikationsutrustningar förvaras, ska vara begränsat Tillträdet ska minst regleras med hjälp av låssystem och helst med en kombination av tekniska och administrativa åtgärder Beslut om vem som får ha tillträde för att kunna utföra sina arbetsuppgifter fattas av systemägaren Serverrummen ska vara utrustade med brand-, temperatur, intrångs- och fuktighetslarm. Larmen ska testas regelbundet. Serverrummen ska ha automatisk släckningsutrustning Rätten att installera program, nya versioner av program eller import av externa filer ska regleras i säkerhetsinstruktionen En analys ska genomföras för att identifiera vilka IT-system och vilka utrustningar i IT-systemen som är av sådan betydelse att de ska utrustas med avbrottsfri kraft 10(10)