ANVISNING Säkerhetsuppdateringar för IT infrastruktur

Transkript

1 Koncernkontoret IT-avdelningen Datum: Dnr: Dokumentförvaltare: Axel Tonning Koncernkontoret, IT-avdelningen Dokumentets status: Fastställd Dokumentid: Säkerhetsuppdageringar för IT-infrastruktur Dokumentformat: doc Version: 1.0 Dokumenttyp: ANVISNING Dokumentklass: Styrande dokument Ämne: Ledningssystem för informationssäkerhet ANVISNING Säkerhetsuppdateringar för IT infrastruktur Org. nr: Sidan 1 av 7

2 Revisionshistorik Datum Ver. Namn Kommentar Michael Öhman Grund Axel Tonning Redigering Rolf Bengtsson Ny dokumentmall, redigerat Johan Åbrandt Fastställd av tf Chef IT Avdelningen Org. nr: Sidan 2 av 7

3 Beslutad Datum: Datum: Underskrift dokumentförvaltare Underskrift Chef IT-avd Namnförtydligande Namnförtydligande Org. nr: Sidan 3 av 7

4 Innehållsförteckning 1. SYFTE GILTIGHET ALLMÄNT DEFINITIONER STANDARDER SÄKERHETSNIVÅ FÖR EN PATCH PATCH-HANTERING RUTINER SERVICEFÖNSTER TIDSRAM NIVÅFÖRÄNDRING UNDANTAG TEST OCH ÖVERVAKNING... 7 Org. nr: Sidan 4 av 7

5 1. Syfte Syftet är att skydda Region Skånes verksamheters-och samverkande parters informationstillgångar mot felaktig hantering, otillbörlig åtkomst, utnyttjande, förändring och förvanskning. Detta dokument utgör en instruktion för hur patchning av hård- och mjukvara ska hanteras för de IT-system och den IT-infrastruktur som finns förtecknad och som IT- Avdelningen driftar och ansvarar för. 2. Giltighet Denna instruktion är utformad efter de riktlinjer som gäller för Region Skånes alla förvaltningar och ägda bolag där IT-Avdelningen har i uppdrag att ansvara för IT-infrastruktur 3. Allmänt IT-infrastrukturen inom Region Skåne ska skyddas och risker för otillbörlig förändring, nyttjande och åtkomst ska utredas och minimeras. Information som skapas, bearbetas och lagras ska skyddas mot tillgång för obehöriga. Detta gäller såväl intern som extern personal. IT-Avdelningens övergripande målsättning är att personal endast har tillgång till den information som behövs för att Utföra sina arbetsuppgifter. Behörigheter till system ska vara styrt av det behov som föreligger med hänsyn till Arbetsuppgiften. Detta gäller åtkomst till Region Skånes samtliga IT-system och även i tillämpliga delar för processnära system och funktioner 4. Definitioner IT-Avdelningen levererar service inom infrastruktur, logistik, utveckling och närservice. Ordet patch (eng. vedertaget ord inom IT branschen i Sverige) avser en uppdatering av ett program (dataprogram, applikation, system osv.) för att rätta till ett fel, problem eller för att ta bort en icke önskvärd funktion Standarder SS-ISO/ICE serien och gäller som svensk standard, Ledningssystem för Informationssäkerhet. SS-ISO/ICE serien och gäller som svensk standard, Ledningssystem för Tjänster. ISO/IEC Hälso- och sjukvårdsinformatik Ledningssystem för informationssäkerhet i hälso- och sjukvården. ITIL (IT Infrastructure Library) är en sammanställning (ett ramverk) av "Best Practices" (goda erfarenheter) som gjorts under många år med medverkan av företag från hela Världen. SLA (Service Level Agrement) används enligt ITIL-förkortning. Org. nr: Sidan 5 av 7

6 4.2. Säkerhetsnivå för en patch Grad Kritisk (Critical) Viktig (Important) Måttlig (Moderate) Låg (Low) Definition Ett säkerhetsproblem vars utnyttjande möjliggör en förökning av t.ex en mask eller drastisk förändring av miljön utan att slutanvändaren måste eller behöver agera. Ett säkerhetsproblem vars utnyttjande skulle kunna leda till kompromettering av och förändring av sekretess, integritet och tillgänglighet. Ett säkerhetsproblem där den driftstekniska infrastrukturen kan klara attacken, om det finns faktorer som standardkonfigurationen, övervakning och revision av infrastruktur. Ett säkerhetsproblem vars utnyttjande är mycket svår att utföra och/eller vars effekter är minimala. 5. Patch-hantering 5.1. Rutiner Standarder enligt SS-ISO/ICE 20000, SS-ISO/ICE och ISO/IEC och rutiner enligt ITIL ska följas för processen patch manager som analyserar och prioriterar inom IT- Avdelningen Servicefönster Servicefönster bör finnas varje månad, skall-nivå är varje kvartal för samtliga av de resurser som IT-Avdelningen driftar och ansvarar för. Synkronisering av regiongemensamma servicefönster görs Tidsram Säkerhetsuppdateringar som leverantörerna annonserar och som påverkar resurser och funktioner inom Region Skåne ska göras enligt följande: Kritiska säkerhetspatchar ska installeras inom 48 timmar från det att de annonserats av leverantören. Org. nr: Sidan 6 av 7

7 Viktiga säkerhetspatchar ska senast införas vid nästa servicefönster förutsatt att servicefönster finns utsatta månadsvis, annars senast inom 31 dagar. Nivån Måttlig till Låg bör göras vid nästa servicefönster, dock ska patchen installeras senast efter 90 dagar Nivåförändring IT-Avdelningen har rätt att höja, men inte sänka en gradering. Höjer IT-Avdelningen från Viktigt till Kritisk ska tiden räknas från det att patchen släpptes från leverantören med ett tillägg av åtta timmar Undantag Avsteg från att installera en säkerhetspatch kan tas enligt normala rutiner och processer (nedskrivna i gällande SLA) och att systemet eller resursen är isolerad från den ordinarie ITmiljön på så sätt att både resursen är skyddad och inte heller kan påverka eller skada övriga ITmiljö. System som inte kan startas om, s.k. reboot (enligt gällande SLA med verksamheten) inom 48 timmar från det att en leverantör släpper sin säkerhetspatch av graden Kritisk ska skyddas eller isoleras på annat sätt, t.ex. via nätverksbaserad IPS Test och övervakning Tester och verifiering ska genomföras innan patchar installeras och det ska vara möjligt att hantera en återgång till nivån som gällde innan. (se gällande processer och rutiner). Kontinuerlig bevakning av säkerhetspatchar ska finnas av alla system, program, applikationer, etc. på såväl mjuk- som hårdvara som är ansluten till den infrastruktur som IT- Avdelningen är ansvariga för inom Region Skåne, Org. nr: Sidan 7 av 7