SID 1 (6) Bilaga 4A Säkerhetskrav Förfrågningsunderlag Systemdrift ch Systemförvaltning Centrala verksamhetssystem Service Desk 105 35 STOCKHOLM. Telefn 08-508 29 000. Fax 08-508 29 036. Org. nr 212000-0142 Besöksadress: Ragnar Östbergsplan 1 www.stckhlm.se
SID 2 (6) 1 BAKGRUND OCH SYFTE... 3 2 KRAV PÅ SÄKERHETSARBETE... 3 2.1 INFORMATIONSSÄKERHETSSYSTEM... 3 2.2 INGÅENDE AKTIVITETER I IT-SÄKERHETSARBETET:... 3 3 UPPFÖLJNING AV INTERN KONTROLL... 4 4 HANTERING AV SEKRETESSBELAGDA UPPGIFTER... 5 5 STADENS SÄKERHETSPROGRAM... 5 6 KRAV PÅ KOMMUNIKATIONSLÖSNINGAR... 5 7 KRISBEREDSKAP... 6
SID 3 (6) 1 BAKGRUND OCH SYFTE Av denna bilaga framgår de säkerhetskrav sm ställs på leveransen. Stckhlm stad bedriver samhällsviktig verksamhet sm mfattas av Lag (2006:544) m kmmuners ch landstings åtgärder inför ch vid extrardinära händelser i fredstid ch höjd beredskap. Utöver de krav sm ställs i denna bilaga ska leverantören följa stadens vid var tid gällande säkerhetsprgram inklusive riktlinjer. 2 KRAV PÅ SÄKERHETSARBETE Leverantören ska kntinuerligt arbeta med att planera, följa upp ch förbättra kvalitet ch säkerhet i leveransen. Detta för att uppfylla verksamhetens säkerhetsbehv ch se till att infrmatinen hanteras på ett säkert sätt för alla it-tjänster ch prcessaktiviteter. Detta arbete ska vara rganiserat med ansvariga utpekade hs leverantören ch ha stöd ch engagemang från leverantörens verkställande företagsledning. Syftet med säkerhetsarbetet är att förhindra, eller minska knsekvenserna av, önskade händelser inm leveransen ch att under alla mständigheter upprätthålla stadens förmåga att fullgöra sina åtaganden. I arbetet ingår alla åtgärder vars samlade effekt är att förebygga ch begränsa knsekvenserna av störningar för infrmatinshanteringen. I detta ingår: Åtkmstbegränsning (Sekretess) skydd mt behörig åtkmst av infrmatin Riktighet åtgärder för att åstadkmma rätt kvalitet på infrmatin Tillgänglighet åtgärder för att säkra drift ch funktinalitet Spårbarhet möjligheten att fastställa vem sm gjrt vad eller att kunna verifiera rsaken till en händelse 2.1 Infrmatinssäkerhetssystem Leverantören ska, utöver de prcesser för egenkntrll sm leverantören anger i sitt anbud, ha ett generellt prcessrienterat it-säkerhetsarbete, sm i enlighet med ITIL v3 är sammanhållet av ett infrmatinssäkerhetssystem, där plicys, säkerhetskntrller, andra säkerhetsåtgärder, säkerhetsrevisiner, schemalagda säkerhetstester ch klassificering av känslig data ch risker finns dkumenterade. Systemet ska möjliggöra för leverantören att leva upp till krav enligt detta avtal. Infrmatinssäkerhetssystemet ska minst ha beaktat följande aspekter: Stadens infrmatin, rganisatin, struktur, interna/externa krav ch risker med dessa Stadens strategier, planer ch budget för it-leveranser ch risker med dessa Specifik känslig data Lagstiftning Incidenter Förändringar sm påverkar säkerheten, till exempel framtida planer ch krav 2.2 Ingående aktiviteter i it-säkerhetsarbetet: Styrning: Organisera it-säkerhetsarbetet med tydligt ansvar ch mandat - Planering: Planera för säkerhetshöjande åtgärder, inkluderande att genmföra riskanalyser, dkumentera detta samt besluta m åtgärder med anledning av detta. Klartgöra interna krav på nödvändiga avtal,
SID 4 (6) rller, ch andra säkerhetsrelaterade krav, samt sätta plicies för: Nyttjande av it (inklusive beivrandet av missbruk), behörigheter, lösenrd, e-pst, internet, anti-virus, säkerhetsklassning av infrmatin, fjärråtkmst, underleverantörsstyrning inklusive ch deras tillgång till system ch data samt eventuella kmpletterande särskilda säkerhetsstrategier - alternativa arbetssätt ch rutiner för den händelse att leverantören själv drabbas av störningar i sin interna verksamhet. Implementering: Kmmunicera ch säkra awareness hs leverantörens persnal, klassificering av data ch infrmatin. Definiera krav på persnlig ch fysisk säkerhet, fastställa riktlinjer för behörigheter ch för hanteringen av säkerhetsincidenter. Utse ch dkumentera ansvariga för säkerheten i leveransens lika delar, både för de levererade tjänsterna i sin helhet ch för enskilda system. Utvärdera: Genmföra revisiner av säkerhetsarbetet (både interna samt ge tillgång till av staden utsedda revisrer). Struktur för kntinuerlig utvärdering av säkerhetsincidenter. Löpande arbete: Genmföra dagliga aktiviteter såsm: kmmunicera plicys ch övervaka efterlevnaden av dessa, övervaka, hantera ch rapprtera säkerhetsincidenter genmföra penetratinstester löpande följa upp vilka persner sm har lika frmer av administratörsrättigheter i stadens verksamhetssystem ch tillhörande nätverk samt rapprtera till stadens kntaktpersner hur många ch vilka dessa persner är ha en kntinuerlig översyn av skydd mt behörig åtkmst säkerställa uppnådd säkerhet mellan stadens resurser ch leverantörens resurser sm används för att leverera tjänsterna genmföra kntinuitetsplanering ch riskanalyser för kntinuitet genmföra kapacitetsplanering ch riskanalys för kapacitet verifiera att leveransen lever upp till ställda krav i stadens säkerhetsprgram ch riktlinjer samt föreslå åtgärder vid eventuella avvikelser. Detta arbete ska halvårsvis rapprteras till staden i frm av en skriftlig rapprt ch en föredragning på kntraktsnivån enligt samverkansmdellen, se bilaga 7. kntinuerligt arbeta med förbättringar av it-säkerhetsarbetet. 3 UPPFÖLJNING AV INTERN KONTROLL Staden har en stark ambitin ch ansvar för att upprätthålla gd intern kntrll ch säkerhet inm it, med gda möjligheter till övervakning ch effektiv uppföljning. Detta gäller ckså de delar av verksamheten sm är föremål för utkntraktering. Den interna kntrllen inbegriper till exempel rganisatin, prcesser ch teknik. Leverantören ska ha ett kntinuerligt arbete med intern kntrll sm syftar till att säkerställa att aktiviteter inm säkerhetsarbetet enligt 2.2 van sker ch ger avsedd effekt. Detta arbete ska dkumenteras ch minst var sjätte månad rapprteras till stadens bjektansvariga ch på ett övergripande plan till staden på kntraktsnivån. Uppföljning av intern kntrll ch säkerhet kan genmföras genm revisiner av staden. Vid revisiner ska leverantören inm skälig tid ställa infrmatin ch resurser till stadens förfgande sm stöd för genmförande av revisinen.
SID 5 (6) Uppföljningen kan ckså genmföras genm att leverantören tillhandahåller rapprter avseende internkntrll sm är verifierade av berende tredje part. För system där staden så begär ch sm har en påverkan på den finansiella rapprteringen inm staden, ska leverantören årligen inm ramen för avtalad leverans, tillhandahålla en tredjepartsrapprt enligt standarden ISAE 3402 typ 2 (Internatinal Standard n Assurance Engagements, Bestyrkanderapprter m Kntrller på en Servicebyrå) eller annan mtsvarande bestyrkanderapprt. Leverantören ska även på förfrågan från staden medverka i att utfrma ch ta fram bestyrkanderapprter avseende internkntrll ch säkerhet inm mråden sm inte täcks av ISAE 3402. Exempel på mråden är sekretess/åtkmst, riktighet, tillgänglighet ch spårbarhet rapprterade i enlighet med standarden ISAE 3000. 4 HANTERING AV SEKRETESSBELAGDA UPPGIFTER Leverantören ska inm systemförvaltningen begränsa antalet persner sm har åtkmst till känsliga uppgifter sm bearbetas i stadens system. Sådan åtkmstbegränsning kan behöva vara lgisk (behörigheter ch rättighetsstyrning i system) men ckså fysisk (åtgärder vidtas för åtkmstbegränsning ch spårbarhet av åtkmst till de delar av leverantörens lkaler sm används i förvaltning, utveckling ch test av system sm innehåller känsliga data). 5 STADENS SÄKERHETSPROGRAM Leverantören ska följa tillämpliga delar av staden Infrmatinssäkerhetsprgram, inklusive riktlinjer. Prgrammet ch riktlinjerna utgör bilaga 4B ch 4C. 6 KRAV PÅ KOMMUNIKATIONSLÖSNINGAR Leverans sker till överenskmmen överlämningspunkt inm Stckhlms kmmungräns. Överlämningspunkten kmmer att finnas i någn av stadens knutpunkter, sm i dagsläget finns på Östermalm, Södermalm eller Alvik, berende på vilket gegrafiskt läge sm passar bäst i förhållande till leverantörens datacenter. Staden svarar för drift ch hårdvara för all kmmunikatinsutrustning på sin sida överlämningspunkten ch leverantören för all drift ch hårdvara på sin sida överlämningspunkten. I detta ansvar ingår att svara för all säkerhet rörande förbindelsen till leverantörens datacenter ch säkerheten i datacentret, inklusive layer 2 ch layer 3säkerhet samt eventuella brandväggar. De krav på säkerhet sm ställs vid infrmatinsklassning av stadens system ska uppfyllas av leverantören. Leverantören ska ha en egen serverarea/lan för stadens system. Uppkppling från stadens system i leverantörens datacenter får inte ske direkt mt internet. Anslutning till internet ska ske via stadens nät, det vill säga via överlämningspunkten. Leverantören får inte heller ansluta nät sm är anslutet till stadens överlämningspunkt direkt mt internet. För att undvika IP-krckar ska leverantören använda sig av IP-adresser inm stadens IPplan eller av egna publika IP-adresser. Om leverantören använder sig av egna publika IPadresser ska dessa inte finnas rutade på internet.
SID 6 (6) I de fall vissa delar av tjänsterna, efter överenskmmelse med staden, kmmer att realiseras via mlntjänster får dessa tjänster anslutas direkt mt internet. Stadens säkerhetsriktlinjer ska dck alltid uppfyllas, se bilaga 4B ch 4C. 7 KRISBEREDSKAP Leveransen av tjänsterna mfattar delar sm är av str betydelse för stadens krisledning, varför det är av str vikt att kunna upprätthålla leveransen även under situatiner sm kris ch krig. Leverantören ska kunna samöva ch samverka med stadens krisledningsrganisatin.