UPPSALA UNIVERSITET CHECKLISTA - Bilaga 1 till Anvisningar Informationssäkerhetsanalyser egenkontroll Hans Carlbring Version: 2012-05-29 Avdelningen för IT och inköp Informationssäkerhetsanalyser Checklista egenkontroll Checklistan är baserad på LIS, Ledningssystem för informationssäkerhet (ISO/IEC 27001:2006 och 27002:2005).
Instruktioner Användning Denna checklista är avsedd att vara ett stöd till en systemförvaltningsorganisation för att göra en egenkontroll av informationssäkerheten i: Hela förvaltningsobjektet Ett antal system, databaser e.d. med likartade säkerhetskrav Ett enskilt system, eller en enskild informationstillgång Innan analysen startar ska därför omfattningen, vad som ska analyseras, vara tydligt avgränsad, samt en informationsklassificering av det valda analysobjektet vara genomförd. Därefter kan bedömningen av efterlevnad av de säkerhetsåtgärder som anges i checklistan göras enligt följande nivåer: 3 Hög efterlevnad (säkerhetsåtgärden fungerar enligt dokumenterad och implementerad rutin) 2 Acceptabel efterlevnad (säkerhetsåtgärden kan anses fungera tillfredställande) 1 Bristfällig efterlevnad (säkerhetsåtgärden har stora brister) 0 Ingen efterlevnad (säkerhetsåtgärden är ej implementerad/följs ej) Et Ej tillämpligt (t.ex. för IT-relaterade förvaltningsobjekt som Teknisk plattform, IT-arbetsplats etc) Definitioner Begrepp Informationsbehandlingsresurs Informationstillgång SLA Definition Materiell tillgång som används för informationsbehandlig, t.ex server, printer etc. Immateriella tillgångar, t.ex databas eller på annat sätt elektroniskt lagrad information, dokument etc. Service Level Agreement (avtal med system- och/eller driftsleverantören) Referenser Se http://uadm.uu.se/iti/informationssakerhet/styr--och-stoddokument för en sammanställning av styr- och stöddokument för informationssäkerhet vid universitet. Om en säkerhetsåtgärd har en direkt referens till universitetets styr- och stöddokument för informationssäkerhet anges detta med en kommentar som visas med en röd symbol i de aktuella cellerna. Vid utskrift finns en i
Checklista Läs användarinstruktionerna innan ni börjar använda checklistan. 5 Säkerhetspolicy 5.1 Informationssäkerhetspolicy Mål: Att objektägaren (OÄ) tydligt visar viljeinriktning och stöd för informationssäkerhetsarbetet i förvaltningsobjekt. 5.1.1 Policydokument för informationssäkerhet OÄ ska känna till universitetets riktlinjer för informationssäkerhet och ha kommunicerat dem till förvaltningsorganisationen. 3
6 Organisation av informationssäkerheten 6.1 Intern organisation Mål: Att ansvarsfördelningen för informationsäkerheten inom förvaltningsobjektet är tydligt och att grundläggande säkerhetsrutiner och avtal finns på plats. 6.1.1 Ledningens engagemang för informationssäkerhet OÄ ska vara införstådd med sitt ansvar för informationssäkerheten i objektet och aktivt initiera, stödja och följa upp säkerhetsförbättringar. 6.1.3 6.1.4 Tilldelning av ansvar för informationssäkerhet Godkännandeprocess för informationsbehandlingsresurser Hur ansvaret för informationssäkerheten är fördelat inom objektet ska vara dokumenterat i förvaltningsspecifikationen. Det ska finnas en fastställd rutin för överlämning av nya system eller IT-tjänster till förvaltning inom objektet. Rutinen ska vara känd av både överlämnande och mottagande parter. 6.1.5 Sekretessavtal Sekretessavtal ska finnas med externa parter som på något sätt har tillgång till känsliga informationstillgångar i objektet. (Hög nivå K/R). 6.2 Utomstående parter Mål: Att säkerställa att förvaltningsobjektets informationstillgångar hanteras på ett säkert sätt av utomstående parter. 6.2.1 Identifiering av risker med utomstående parter En riskbedömning ska alltid göras innan externa parter ges tillgång till känsliga informationstillgångar i objektet. (Hög nivå K/R). 4
6.2.3 Hantering av säkerhet i tredjepartsavtal Avtal med externa parter som på något sätt har tillgång till känsliga informationstillgångar i objektet ska innehålla tydliga krav på informationssäkerhet. (Hög nivå K/R). 5
7 Hantering av tillgångar 7.1 Ansvar för tillgångar Mål: Att förvaltningsobjektets informationstillgångar förtecknas och hanteras enligt universitetes regler. 7.1.1 Förteckning över tillgångar OÄ ska säkerställa att objektets informationstillgångar diarieförs och/eller förtecknas och märks enligt universitetets regler för detta, samt att register som innehåller personuppgifter anmäls till personuppgiftsombudet. 7.1.2 Ägarskap för tillgångar Förvaltningsplanen ska tydligt ange vilka system och vilken information som förvaltningsobjektet omfattar. 7.1.3 Godtagbar användning av tillgångar OÄ ska vara införstådd med universitetets regler för hantering av information och för anslutning av datorer till universitets nätverk. 7.2 Klassificering av information Mål: Att säkerställa att informationen i objektet skyddas på en nivå motsvarande skyddsvärdet av informationen. Efter- levnad 7.2.1 Informationsklassificering Den information som objektet omfattar ska vara klassificerad enligt universitetets riktlinjer för informationsklassificering. 6
8 Personalresurser och säkerhet 8.1 Före anställning (inhyrd personal) Mål: Att säkerställa att externa uppdragstagare i förvaltningsobjektet är lämpliga för de roller de avses ha och förstår sitt ansvar för informationssäkerheten. 8.1.3 Anställningsvillkor OÄ ska säkerställa att all extern personal som hyrs in för uppdrag i objektet ska omfattas av och vara införstådda med de sekretess- och säkerhetskrav som avtalats i pkt. 6.1.5 och 6.2.3 ovan. 8.2 Under anställning Mål: Att förvaltningsobjektets användare blir mer medvetna om sitt ansvar för informationssäkerheten i förvaltningsobjektet. 8.2.2 Informationssäkerhetsmedvetande, utbildning och övning OÄ ska säkerställa att användare av objektet har fått relevant (baserad på roller och ansvar) informationssäkerhetsutbildning, 8.3 Upphörande eller förändring av anställning Mål: Att säkerställa att användares åtkomsträttigheter avslutas eller justeras när anställning upphör eller vid förändrade arbetsuppgifter. 8.3.3 Indragning av åtkomsträttigheter 1. Det ska finnas en fungerande rutin för indragning och/eller förändring av åtkomsträttigheter till objektets system och information när anställning/uppdrag/ anknytning upphör eller förändras. 2. Rutinen för indragning och/eller förändring av åtkomsträttigheter ska vara dokumenterad och formellt beslutad av OÄ. (Hög nivå K/R) 7
9 Fysisk och miljörelaterad säkerhet 9.1 Säkra utrymmen Mål: Att förhindra obehörigt fysiskt tillträde, brand, stöld eller annan skada i lokaler där känslig information eller utrustning finns. 9.1.1 Skalskydd OÄ ska i SLA eller motsv. säkerställa att ett tillräckligt skalskydd (lås, larm, passagesystem etc) finns i de lokaler där objektets informationstillgångar förvaras. 9.1.2 Tillträdeskontroll OÄ ska i SLA eller motsv. säkerställa att endast behörig personal har tillträde till de lokaler där objektets informationstillgångar förvaras. 9.2 Skydd av utrustning Mål: Att förhindra oplanerade driftsavbrott orsakade av försörjningssystem (el, kyla etc). 9.2.2 Tekniska försörjningssystem OÄ ska i SLA eller motsv. säkerställa att avbrottsfri kraft finns för objektets datordrift samt att regelbundna tester av reservsystemet görs. (Hög nivå T) 8
10 Styrning av kommunikation och drift 10.1 Driftrutiner och driftsansvar Mål: Att säkerställa korrekt och säker drift. 10.1.1 10.1.2 10.1.3 10.1.4 Dokumenterade driftrutiner Ändringshantering av hårdvara, systemprogramvara och operativsystem. (Not: motsv för applikationsprogramvara i pkt 12.5.1) Uppdelning av arbetsuppgifter Uppdelning av utvecklings-, testoch driftresurser OÄ ska i SLA eller motsv. säkerställa att dokumenterade driftsrutiner finns och tillämpas av IT-organisationen/leverantören. 1. OÄ ska i SLA eller motsv. säkerställa att förändringar i hårdvara, systemprogramvara och operativssystem dokumenteras. 2. OÄ ska i SLA eller motsv. säkerställa att en formaliserad ändringshanteringsprocess tillämpas av IT-organisationen/leverantören (Hög nivå K/R/T) En tydlig ansvarsfördelning som förhindrar att en och samma person kan både kan godkänna och utföra en viktig åtgärd, t.ex. godkänna och lägga in behörigheter, registrera och sända betalningar etc, ska vara dokumenterad och tillämpas. (Hög nivå K/R) OÄ ska i SLA eller motsv. säkerställa att produktionsmiljöer inte får användas för test eller utveckling. 10.2 Hantering av tredjepartsleverantör av tjänster Mål: Att förvaltningsobjektets krav på säkerhetsåtgärder tillgodoses av externa leverantörer (t.ex. underleverantör till IT-organisationen) 9
10.2.1 10.2.2 Tjänsteleverans Övervakning och granskning av tjänster från extern part För utvecklings-, förvaltnings- och drifts- och supporttjänster som köps av extern part ska säkerhetsåtgärder motsvarande objektets/systemets informationsklassning vara tydligt definierade i SLA eller motsv. med leverantören. Avtalade säkerhetsåtgärder i utvecklings-, förvaltnings-, drifts och supporttjänster som köps av extern part ska övervakas och granskas regelbundet samt inför större förändringar i tjänsten. (Hög nivå K/R/T) 10.3 Systemplanering och systemgodkännande Mål: Att säkerställa driftsättning av nya och uppdaterade system samt att kontinuerligt övervaka och justera kapacitetskraven. 10.3.1 Kapacitetsplanering Kapacitetsplanering ska göras regelbundet för att säkerställa erforderlig prestanda. (Hög nivå T) 10.4 Skydd mot skadlig och mobil kod Mål: Att säkerställa att driftsleverantören har ett fungerande skydd mot skadlig och mobil kod. 10.4.1 er mot skadlig kod 1. OÄ ska i SLA eller motsv. säkerställa att driftsleverantören har ett fungerande skydd mot skadlig kod. Skyddet ska vara både upptäckande och förebyggande samt omfatta rutiner för att återställa efter angrepp. 2. OÄ ska säkerställa att användarna har fått information om hur angrepp med skadlig kod ska undvikas. 10
10.4.2 er mot s.k molntjänster och mobil kod 1. Om s.k molntjänster utnyttjas så ska en riskbedömning av säkerheten i tjänsten utföras. 2. Om s.k molntjänster utnyttjas så ska en formell riskanalys av säkerheten enligt universitetets riskanalysmetod genomföras och dokumenteras. (Hög nivå K/R) 3. Om s.k mobil kod utnyttjas, t.ex kod som laddas ner till webläsare, så ska en riskbedömning av säkerheten i tjänsten utföras. 4. Om s.k mobil kod utnyttjas så ska en formell riskanalys av säkerheten enligt universitetets riskanalysmetod genomföras och dokumenteras. (Hög nivå K/R) 10.5 Säkerhetskopierings- och återställningsrutiner Mål: Att säkerställa fungerande säkerhetskopierings- och återläsningsrutiner för system inom förvaltningsobjektet. 10.5.1 Säkerhetskopiering av information 1. Information, styrande parametrar och programvara ska säkerhetskopieras. 2. Säkerhetskopieringen ska testas regelbundet genom återläsning. Efter återläsning ska systemtest genomföras för att säkerställa bibehållen funktionalitet. 3. Säkerhetskopieringen ska testas minst en gång per år genom fullständig återstart från säkerhetskopia. Systemtest ska göras på det återstartade systemet. (Hög nivå K/R/T) 10.6 Hantering av säkerhet i nätverk Mål: Att säkerställa att ett tillförlitligt skydd för förvaltningsobjektets information i nätverk och i tillhörande infrastruktur finns på plats. 11
10.6.1 er för nätverk 1. OÄ ska säkerställa att samtliga nätverk som används inom objektet är uppbyggda, administrerade och övervakade på sätt som säkerställer tillräcklig säkerhet. 2. Om Internet eller andra nätverk utanför OÄs kontroll utnyttjas, ska kommunikationen vara skyddad genom kryptering. (Hög nivå K/R) 10.6.2 Säkerhet i nätverkstjänster OÄ ska säkerställa att samtliga nätverkstjänster som utnyttjas är uppbyggda, underhålls och övervakas på sätt som säkerställer tillräcklig säkerhet. Om externa nätverkstjänster utnyttjas ska säkerheten säkerställas genom SLA eller andra avtal. Om säkerheten i nätverkstjänsterna inte kan säkerställas, ska användningen anpassas med hänsyn till detta. 10.7 Hantering av media Mål: Att förhindra obehörig åtkomst, manipulering eller förstörande av förvaltningsobjektets informationstillgångar. 10.7.1 Hantering av mobila enheter och andra flyttbara datamedia 1. OÄ ska säkerställa att användare av system inom objektet känner till och följer säkerhetsanvisningarna i universitetets regler och rekommendationer för mobiltelefoner (smartphones) och surfplattor. 2. OÄ ska säkerställa att användare av system inom objektet är medvetna om det personliga ansvaret för hantering av känslig information på andra flyttbara media (t.ex USB-minnen) (Hög nivå K/R) 12
10.7.2 Avveckling av datamedia 1. OÄ ska säkerställa att användarna har fått information om universitetets regler för utrangering av hårddiskar och att dessa gäller även för bärbara datorer. 2. OÄ ska säkerställa i SLA eller motsv. att universitetets regler för utrangering av hårddiskar och bärbara datorer följs. (Hög nivå K/R) 10.7.4 Säkerhet för systemdokumentation Systemdokumentation innehållande information om säkerhetsåtgärder ska skyddas mot obehörig åtkomst. (Hög nivå K/R) 10.8 Utbyte av information Mål: Att bibehålla säkerheten i information som utbyts mellan förvaltningsobjektet och externa parter. 10.8.1 Policies och rutiner för informationsutbyte Vid överföring av känslig information till annat förvaltningsobjekt eller system ska OÄ försäkra sig om att motsvarande skyddsåtgärder är vidtagna som inom det egna objektet. (Hög nivå K/R) 10.8.2 Överenskommelser om utbyte 1. Vid överföring av känslig information till annan myndighet ska OÄ försäkra sig om motsvarande skyddåtgärder som på Uppsala universitet. (Hög nivå K/R) 2. Vid överföring av känslig information till andra externa parter ska skyddsåtgärder vid bearbetning, lagring och publicering av informationen regleras i ett avtal. (Hög nivå K/R) 10.8.4 Distribution via e-post, sociala medier etc OÄ ska säkerställa att känslig information i objektet inte distribueras via okrypterad e-post, sociala medier, molntjänster etc. (Hög nivå K) 13
10.9 Tjänster för elektronisk handel Mål: Att tillgodose säker användning av s.k e-handelstjänster. 10.9.1 Elektronisk handel Om systemet hanterar information som används för elektronisk handel, t.ex. elektronisk beställning eller fakturering, så ska särskilda skyddsåtgärder vidtas för att förhindra bedrägerier, oavsiktlig eller obehörig förändring, avtalstvister etc. Skydd för att säkerställa oavvislighet, liksom extern tidsstämpling av tredje part, ska övervägas. 10.10 Övervakning Mål: Att upptäcka obehörig användning av förvaltningsobjektets informationstillgångar. 14
10.10.1 Revisions- och/eller säkerhetsloggning 1. OÄ ska i SLA eller motsv. med driftsleverantören säkerställa att alla in- och utloggningar och andra särskilt viktiga säkerhetsrelaterade användaraktiviteter i system inom objektet loggas. 2. OÄ ska i SLA eller motsv. med driftsleverantören säkerställa att alla viktiga säkerhetsrelaterade användaraktiviteter (vem, vad, när etc.) i objektet/systemet loggas. (Hög nivå K/R) 3. OÄ ska i SLA eller motsv. med driftsleverantören säkerställa att säkerhetsloggarna skyddas mot obehörig åtkomst och oavsiktlig förändring. 4. OÄ ska, med beaktande av gällande lagar och förordningar, besluta om hur länge loggarna ska sparas. 5. OÄ ska i SLA eller motsv. med driftsleverantören säkerställa att loggarna ska sparas på ett säkert sätt, helst ej i omedelbar ansluting till lokalen för drift. (Hög nivå K/R) 15
10.10.4 Administratörs- och operatörsloggar 1. OÄ ska i SLA eller motsv. med driftsleverantören säkerställa att systemadministratörers och operatörers in- och utloggningar och andra viktiga säkerhetsrelaterade händelser i operativsystem och databaser inom objektet loggas (säkerhetsloggar). 2. OÄ ska i SLA eller motsv. med driftsleverantören säkerställa att säkerhetsloggarna skyddas mot obehörig åtkomst och oavsiktlig förändring. 3. OÄ ska, med beaktande av gällande lagar och förordningar, besluta om hur länge säkerhetsloggarna ska sparas. 4. OÄ ska i SLA eller motsv. med driftsleverantören säkerställa att säkerhetsloggarna ska sparas på ett säkert sätt, helst ej i omedelbar ansluting till lokalen för drift. 10.10.5 Loggning av problem och incidenter 1. OÄ ska säkerställa att problem och incidenter rapporteras, registreras och hanteras på ett adekvat sätt. 2. En formaliserad problem- och ändringshanteringsrutin ska vara implementerad. (Hög nivå K/R/T) 10.10.6 Klocksynkronisering OÄ ska i SLA eller motsv. med driftsleverantören säkerställa att universitetets centrala tidsservrar används av de system som är anslutna till nätverket. 16
11 Styrning av åtkomst 11.1 Verksamhetskrav på styrning av åtkomst Mål: Att styra åtkomsten till förvaltningsobjektets information. 11.1.1 Åtkomstpolicy (Behörighetstilldelning) Det ska finnas dokumenterade och av OÄ beslutade riktlinjer för behörighetstilldelning till information, system och tjänster inom objektet. 11.2 Styrning av användares åtkomst Mål: Att säkerställa att endast behöriga användare har åtkomst till förvaltningsobjektets information. 11.2.1 Användarregistrering (Behörighetsadministration) Det ska finnas dokumenterade och av OÄ beslutade rutiner för behörighetsadministration. Rutinerna ska omfatta att medge, förändra och återkalla åtkomst till ingående information, system och tjänster inom objektet. 11.2.2 Hantering av särskilda rättigheter 1. Rättigheter till sysadmin-konton och andra priviligierade behörigheter ska begränsas så långt möjligt är. Det ska finnas rutiner för tilldelning av särskilda rättigheter och tilldelningen ska dokumenteras. 2. Granskning och revidering av sysadmin-konton och andra privligierade behörigheter ska göras regelbundet eller vid behov. 3. Särskilda ansvarsförbindelser ska undertecknas av systemadministratörer och andra användare med högre behörigheter. (Hög nivå K/R) 17
11.2.3 Lösenordshantering Rutinerna för behörighetstilldelning (se 11.1.1 ovan) till information, system eller tjänster inom objektet ska vara utformade så att lösenord hanteras och används i enlighet med de riktlinjer för lösenord som gäller vid universitet. 11.2.4 Granskning av användares åtkomsträttigheter (gäller priviligierade behörigheter) Det ska finnas en rutin för regelbunden (1-2 gånger per år) granskning av priviligierade behörigheter inom objektet. Granskningen ska genomföras av förvaltningsledningen och resultatet ska dokumenteras. (Hög nivå K/R) 11.3 Användares ansvar Mål: Att förhindra obehöriga användares åtkomst och kompromettering eller stöld av förvaltningsobjektets informationstillgångar. 11.3.1 Användning av lösenord OÄ ska säkerställa att användarna har fått information universitetets riktlinjer för lösenord och är medvetna om det personliga ansvaret för att skydda sina lösenord till information, system eller tjänster inom objektet. 11.3.2 Obevakad användarutrustning OÄ ska säkerställa att användare med åtkomst till känslig information inom objektet har fungerande tidsstyrd skärmsläckare och/eller utloggningsfunktion på sina datorer för att förhindra obehörig användning eller åtkomst till objektets informationstillgångar. (Hög nivå K/R) 11.4 Styrning av åtkomst till nätverk Mål: Att förhindra obehörig åtkomst till nätverkstjänster. 18
11.4.1 Policy för användning av nätverkstjänster OÄ ska överväga behovet av att begränsa åtkomsten till förvaltningsobjektet/systemet till att avse enskilda utpekade organisatoriska enheter eller utrustningar. Om sådana behov finns, ska åtkomsten begränsas och rutiner sättas upp för att säkerställa att åtkomstbegränsningen underhålls. (Hög nivå K/R) 11.4.2 11.4.5 Autenticering av användare vid extern anslutning Nätverkssegmentering 1. Extern anslutning till objektet/systemet ska skyddas i enlighet med universitetets riktlinjer för distansarbete hemifrån eller från annan extern arbetsplats. 2. Autenticeringen av användare ska uppfylla samma säkerhetskrav via extern anslutning som i universitetets nät. OÄ ska överväga om det finns behov av att skydda kommunikationen mot/inom objektet genom utnyttjande av WLAN eller liknande tekniker. Om sådana behov finns, ska skyddet införas och rutiner sättas upp för att säkerställa att skyddet underhålls. (Hög nivå K/R) 11.5 Styrning av åtkomst till operativsystem och tjänster Mål: Att förhindra obehörig åtkomst. 11.5.1 Säker påloggningsrutin Åtkomst till operativsystem och viktiga nätverkstjänster ska skyddas av tekniska system för åtkomstkontroll (behörighetssystem). System för åtkomstkontroll ska ge ett tillförlitligt skydd mot obehörig och oavsiktlig åtkomst. 19
11.5.2 Identifiering och autenticering av användare 1. Universitetets standardiserade användaridentiteter användas. 2. En systemanvändare inom objektet ska ha en unik användaridentitet 3. Inga gruppidentiteter får finnas 4. Universitetets standardiserade tekniker för autenticering ska användas där så är möjligt. 5. Tvåfaktorautenticering ska övervägas. (Särskilda krav K/R) 11.5.3 11.5.4 Lösenordsrutin Användning av systemverktyg Universitetets regler för lösenord och för hanteringen av dessa ska tillämpas även för åtkomst till operativsystem, systemverktyg etc. 1.Användning av SQL-verktyg eller motsv.som kan gå förbi gällande behörighetssystem ska ej tillåtas utan särskild prövning. 2. Om transaktioner mot produktionsdatabaser görs via SQL-verktyg eller motsv. (som går förbi gällande behörighetssystem) så ska dessa registreras i manuell logg. (Hög nivå K/R) 11.5.5 Tidsfördröjd nedkoppling Sessioner ska kopplas ned efter en fastställd period av inaktivitet. (Hög nivå K/R) 11.6 Styrning av åtkomst till information och tillämpningar Mål: Att förhindra obehörig åtkomst till information inom förvaltningsobjektet. 11.6.1 Begränsning av åtkomst till information 1. Det ska gå att begränsa användares åtkomst till system och databaser utifrån roll, organisationstillhörighet etc. 2. Det ska gå att förhindra programvaruleverantörers och annan underhållspersonals åtkomst till känslig information. (Hög nivå K/R) 20
11.6.2 Isolering av känsliga system Särskilt känsliga system ska separeras logiskt eller fysiskt avseende databaser, systemkod etc. (Särskilda krav K/R) 11.7 Mobil datoranvändning och distansarbete Mål: Att säkerställa informationssäkerheten vid användning av mobila enheter och utrustning för distansarbete. 11.7.1 Mobil datoranvändning och kommunikation Om känsliga system används via mobila enheter (smarta mobiltelefoner, surfplattor etc) ska en särskild bedömning av riskerna med detta göras. (Hög nivå K/R) 11.7.2 Distansarbete 1. OÄ ska säkerställa att universitetets regler för distansarbete tillämpas. 2. Om distansarbete sker/kommer att ske i känsliga system ska en särskild bedömning av riskerna med detta göras. (Hög nivå K/R) 21
12 Anskaffning, utveckling och underhåll av informationssystem 12.1 Säkerhetskrav på informationssystem Mål: Att informationssäkerhet hanteras som integrerad del av förvaltningsobjektet. 12.1.1 Analys och specifikation av säkerhetskrav 1. En riskanalys ska genomföras i alla utvecklings-, vidareutvecklings- och anskaffningsprojekt. 2. IT-organisationens rekommendationer avseende säkerhetsaspekter vid inköp/utveckling av IT-system ska följas. 12.2 Korrekt bearbetning i tillämpningar Mål: Att förhindra fel, förlust, obehörig förändring eller missbruk av informationen i förvaltningsobjektet. 12.2.2 Styrning av intern bearbetning Vid dataöverföring ska valideringskontroller (t.ex checksummor) användas för att upptäcka eventuella förvanskningar av informationen genom bearbetningsfel eller avsiktliga försök till bedrägerier. (Hög nivå R) 12.2.3 Meddelandeintegritet Dataöverföringar av känsliga data ska alltid ske via krypterad transport, https-anslutning eller motsv. (Hög nivå K/R) 12.3 Kryptering Mål: Att skydda konfidentialitet, autenticitet eller riktighet i förvaltningsobjektets information genom kryptering. 12.3.1 Krypteringspolicy OÄ ska fastställa vad som ska gälla avseende kryptering av känslig informationen i objektet. (Hög nivå K) 22
12.4 Skydd av systemfiler Mål: Att säkerställa hanteringen av testdata samt att skydda källprogramkod inom förvaltningsobjektet. 12.4.2 Skydd av testdata 1. Tester ska aldrig göras med produktionsdata, utan med separata testdatabaser och i särskilda testmiljöer. 2. Vid testning med personnummerbundna data ska dessa avidentifieras, eller testpersonnummer som kan beställas från Skatteverket användas. 12.4.3 Styrning av åtkomst till källprogramkod 1. Om objektet/systemet innehåller egenutvecklad kod ska: a. Åtkomst till källprogramkoden kontrolleras av ett behörighetssystem. (Hög nivå K/R) b. Versionshantering och loggning av förändringar i koden göras. (Hög nivå K/R) 2. Om objektet/systemet innehåller källkod som är explicit utvecklad för universitetet av extern leverantör ska OÄ överväga att i avtal (s.k escrowavtal) säkerställa att universitetet har rätten till källkoden om affärsrelationen med leverantören upphör. 12.5 Säkerhet i utvecklings- och underhållsprocesser Mål: Att bibehålla säkerheten vid förändringar av system, IT-tjänster, systemprogramvara och operativsystem inom förvaltningsobjektet. 12.5.1 Rutiner för ändringshantering 1. Alla förändringar som görs i objektet/systemet ska dokumenteras. 2. En formaliserad ändringshanteringsrutin ska finnas och efterlevnaden kunna verifieras av OÄ (Hög nivå K/R/T) 23
12.5.2 Teknisk granskning av tillämpningar efter ändringar i operativsystem Vid förändringar i hårdvara, systemprogramvara eller operativssystem ska kritiska funktioner i objektet/systemet testas för att säkerställa att ändringen inte har påverkat funktionalitet eller säkerhet. (Hög nivå K/R/T) 12.6 Hantering av tekniska sårbarheter Mål: Att förebygga säkerhetsrisker i förvaltningsobjektets hårdvara, systemprogramvara, operativssystem etc. 12.6.1 Skydd för tekniska sårbarheter OÄ ska i SLA eller motsv. med driftsorganisationen försäkra sig om att en formaliserad rutin för patchhantering används för att förebygga nya säkerhetsrisker i hårdvara, systemprogramvara och operativssystem. 24
13 Hantering av informationssäkerhetsincidenter 13.1 Rapportering av informationssäkerhetshändelser och svagheter Mål: Att säkerställa att universitetets rutiner för incidenrapportering är kända och tillämpas inom förvaltningsobjektet. 13.1.1 Rapportering av informationssäkerhetshändelser 13.1.2 Rapportering av säkerhetsbrister Informationssäkerhetsincidenter (intrång, intrångsförsök, nätmissbruk etc) ska rapporteras enligt IT-organisationens rutin för detta. Även brister i informationssäkerheten (observerade eller misstänkta) ska rapporteras enligt rutinen för säkerhetsincidenter ovan. 13.2 Hantering av informationssäkerhetsincidenter och -förbättringar Mål: Att säkerställa säkerhetsincidenter/-brister som har inrapporterats för förvaltningsobjektet regelbundet följs upp och åtgärdas. 13.2.1 Ansvar och rutiner Inrapporterade informationssäkerhetsincidenter eller -brister som berör objektet ska följas upp med avseende på vilka avhjälpande och/eller förebyggande åtgärder som har vidtagits. 25
14 Kontinuitetsplanering för verksamheten 14.1 Informationssäkerhetsaspekter på kontinuitetsplanering för verksamheten Mål: Att säkerställa en alternativ planering av verksamheten vid katastrof eller allvarlig störning i system som tillhör förvaltningsobjektet. 14.1.1 Analys av behovet av kontinuitetsplanering OÄ ska säkerställa att behovet av kontinuitetsplanering inom objektet analyseras i samband med att informationsklassificering av de system som ingår i objektet görs. 14.1.3 Utveckling och införande av kontinuitetsplaner 1. OÄ ska genom SLA eller motsv. säkerställa att driftsleverantören vidtar de åtgärder som behövs för att motsvara objektets återstartskrav. 2. Motsvarande ska gälla för andra parter vars system eller IT-tjänster är en förutsättning för verksamheten i det aktuella objektet/systemen. 3. Vid behov ska även en (manuell) reservrutin upprättas för att säkerställa att verksamhet kan bedrivas även under ett långvarigt avbrott i ordinarie IT-system. 14.1.5 Översyn, underhåll och test av kontinuitetsplaner 1. En översyn och vid behov uppdatering av kontinuitetsplanerna inom objektet ska göras årligen. 2. Regelbunda tester av kontinuitetsplaner för system inom objektet ska göras. Även kontinuitetsplaner för andra system eller IT-tjänster som dessa system är beroende ska beaktas i testerna, liksom driftsleverantörers återstartsplaner. (Hög nivå T) 26
15 15.1 av rättsliga krav Mål: Att undvika överträdelser av lagar, författningar eller universitetets avtalsförpliktelser. 15.1.1 Identifiering av tillämplig lagstiftning 1.De krav som ställs på hantering av allmänna handlingar och personuppgifter i myndigheter ska följas. 2. Förvaltningsobjektet/systemet ska vara utformat i enlighet med kraven i offentlighetslagstiftningen och andra tillämpliga lagar och regler. Om osäkerhet råder ska universitetets jurister, registrator och/eller personuppgiftsombud tillfrågas. 15.1.2 Immaterialrätt OÄ ska försäkra sig om att universitetet har rätt att nyttja samtliga programvaror, bilder e.d. som nyttjas inom objektet eller av system- eller underhållsleverantörer till objektet. Om osäkerhet råder ska universitetets jurister tillfrågas. 27
Cell: I9 Kommentar: Se universitets riktlinjer för informationssäkerhet på http://uadm.uu.se/iti/informationssakerhet/styr--och-stoddokument. Cell: I13 Kommentar: Se pkt. 2 Ansvar i universitets riktlinjer för informationssäkerhet på http://uadm.uu.se/iti/informationssakerhet/styr--och-stoddokument. Cell: I15 Kommentar: Se även 10.3.2 Cell: I16 Kommentar: Se även 6.3.2 Cell: I19 Kommentar: Se anvisningar för genomförande av Risk- och hotbildsanalyser på http://uadm.uu.se/iti/informationssakerhet/styr--och-stoddokument. Cell: I26 Kommentar: Referenser: 1. Hantering av allmänna handlingar vid universitetet http://regler.uu.se/digitalassets/2/2549_hantering_av_allm nna_handlingar.pdf 2. Hantering av känsliga handlingar http://regler.uu.se/listsida/?kategoriid=107 3. Allmänna regler för användning av nätverk vid Uppsala univ. http://www2.irt.uu.se/dokument/regler_fr_datorer_anslutna_upunet.html Cell: I29 Kommentar: Se pkt. 7.2.3 Hantering av tillgångar i universitets riktlinjer för informationssäkerhet på http://uadm.uu.se/iti/informationssakerhet/styr--och-stoddokument. Cell: I36 Kommentar: Se pkt. 7.2.4 Personalresurser och säkerhet i universitets riktlinjer för informationssäkerhet på http://uadm.uu.se/iti/informationssakerhet/styr--och-stoddokument. Cell: I64 Kommentar: Se Regler för datorer anslutna till UpUnet och Anslutning till Uppsala universitets datornät för studenter, UpUnet-S på http://uadm.uu.se/iti/informationssakerhet/styr--och-stoddokument. 28
Cell: I65 Kommentar: Se anvisningar för genomförande av Risk- och hotbildsanalyser på http://uadm.uu.se/iti/informationssakerhet/styr--och-stoddokument. Cell: I68 Kommentar: Se krav på regelbunden säkerhetskopiering i Regler för datorer anslutna till UpUnet på http://uadm.uu.se/iti/informationssakerhet/styr--och-stoddokument. Cell: I75 Kommentar: Referenser: 1. Regler och rekommendationer för Surfplattor resp. Mobiltelefoner (ägs av förvaltningsobjektet IT-arbetsplats). 2. Hantering av känsliga handlingar http://regler.uu.se/listsida/?kategoriid=107 Cell: I76 Kommentar: Se Hantering av utrangerade hårddiskar på http://uadm.uu.se/iti/informationssakerhet/styr--och-stoddokument. Cell: I77 Kommentar: Exempelvis avseende känslig system som Ladok, Primula och Kemia (kemikaliesystem). Cell: I82 Kommentar: Referenser: 1. Hantering av känsliga handlingar på http://regler.uu.se/listsida/?kategoriid=107 2. Kryptering av e-post på http://uadm.uu.se/iti/informationssakerhet/styr--och-stoddokument. Cell: I88 Kommentar: Se Regler för datorer anslutna till UpUnet på http://uadm.uu.se/iti/informationssakerhet/styr--och-stoddokument. Cell: I89 Kommentar: Se Regler för datorer anslutna till UpUnet på http://uadm.uu.se/iti/informationssakerhet/styr--och-stoddokument. Cell: I99 Kommentar: Se avsnittet om ansvarsförbindelser i pkt. 7.2.4 Personalresurser och säkerhet i universitets riktlinjer för informationssäkerhet på http://uadm.uu.se/iti/informationssakerhet/styr--ochstoddokument. Cell: I100 29
Kommentar: Se Regler för hantering av lösenord vid Uppsala universitet på http://uadm.uu.se/iti/informationssakerhet/styr--och-stoddokument. Cell: I104 Kommentar: Se Regler för hantering av lösenord vid Uppsala universitet på http://uadm.uu.se/iti/informationssakerhet/styr--och-stoddokument. Cell: I109 Kommentar: Se information om universitetets rekommendationer om säkert distansarbete på http://uadm.uu.se/iti/helpdesk/tjanster/vpn. Cell: I110 Kommentar: Se universitetets policy för anslutning av trådlösa nät på http://regler.uu.se/detaljsida/?contentid=14443&kategoriid=243 Cell: I115 Kommentar: Se Regler för hantering av lösenord vid Uppsala universitet på http://uadm.uu.se/iti/informationssakerhet/styr--och-stoddokument. Cell: I129 Kommentar: Referenser: 1. Anvisningar för genomförande av Risk- och hotbildsanalyser på http://uadm.uu.se/iti/informationssakerhet/styr--och-stoddokument. 2. Rekommendationer vid inköp/utveckling av IT-system http://uadm.uu.se/iti/informationssakerhet/styr--och-stoddokument. Cell: I133 Kommentar: Se Regler för datorer anslutna till UpUnet på http://uadm.uu.se/iti/informationssakerhet/styr--och-stoddokument. Cell: I136 Kommentar: Se Regler för datorer anslutna till UpUnet på http://uadm.uu.se/iti/informationssakerhet/styr--och-stoddokument. Cell: I151 Kommentar: Se instruktion för inrapportering av incident på http://www2.irt.uu.se/dokument/rapportera_incident.html Cell: I155 30
Kommentar: Se avsnitt 7.3.1 Uppföljning av informationssäkerhetsincidenter i universitets riktlinjer för informationssäkerhet på http://uadm.uu.se/iti/informationssakerhet/styr--och-stoddokument. Cell: I165 Kommentar: Se Hantering av allmänna handlingar vid universitetet http://regler.uu.se/digitalassets/2/2549_hantering_av_allm nna_handlingar.pdf 31