INFORMATIONSSÄKERHETSPOLICY

Relevanta dokument
BILAGA PERSONUPPGIFTSBITRÄDESAVTAL

Informationssäkerhetspolicy inom Stockholms läns landsting

Informationssäkerhetspolicy för Ystads kommun F 17:01

1 (5) Informationssäkerhetspolicy Informationssäkerhetspolicy. Ver 3.0

Informationssäkerhetspolicy för Stockholms läns landsting. Informationssäkerhetspolicy för Stockholms läns landsting

Informationssäkerhet. Hur skall jag som chef hantera detta?? Vad är det??

Informationssäkerhetspolicy

Informationssäkerhetspolicy. Linköpings kommun

Riktlinjer avseende Informationssäkerheten för Götene, Lidköping och Skara kommuner

Informationssäkerhetspolicy S/~LA KOMMUN KOMMUNFULLMÄKTIGE. Bi l aga KS 2015 / 135/1 INFORMATIONSSÄKERHETSPOLICY FÖR SALA KOMMUN

Informationssäkerhet - Informationssäkerhetspolicy

Kommunstyrelsens förslag till antagande av reviderad informationssäkerhetspolicy Ärende 11 KS 2017/336

1 Infrastruktur för RTJP RTJP är placerad i en virtuell miljö som i brist på bättre namn går under benämningen MVK-molnet

Informationssäkerhetspolicy för Ånge kommun

1 INLEDNING ALLMÄNT OM INFORMATIONSSÄKERHET MÃL FÖRKOMMUNENS lnformationssäkerhetsarbete ROLLER OCH ANSVAR...

Informationssäkerhetspolicy

Informationssäkerhetspolicy

1(6) Informationssäkerhetspolicy. Styrdokument

Program för informationssäkerhet 2008:490. kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning

Riktlinje för informationssäkerhet i Skövde kommun motsvarar Informationssäkerhetspolicy enligt BITS såsom Myndigheten för samhällsskydd och

Informationssäkerhetspolicy IT (0:0:0)

Informationssäkerhetspolicy

Informationssäkerhetspolicy för Sunne kommun KS2016/918/01 Antagen av kommunfullmäktige , 57

Bilaga 3 Säkerhet Dnr: /

SURFTOWNS SÄKERHETSMILJÖ. Databehandlingsavtal - Bilaga 1

Icke funktionella krav

Koncernkontoret Enheten för säkerhet och intern miljöledning

Dnr

ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) Kommunkansliet Antagen av Kommunfullmäktige , 14 Dnr ks 09/20. Innehållsförteckning

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010.

Informationssäkerhet. Riktlinjer. Kommunövergripande. Tills vidare. IT-chef. Dokumenttyp. Fastställd/upprättad av Kommunstyrelsen 26

Riktlinje för informationssäkerhet

Din guide till en säkrare kommunikation

Informationssäkerhetspolicy

Säkerhet och förtroende

DNR: KS2016/918/01. Informationssäkerhetspolicy för Sunne kommun KS2016/918/ (1) Kommunstyrelsen

Policy för tekniska och organisatoriska åtgärder för dataskydd. 14 juni 2018 Peter Dickson

Checklista Identitetshanteringssystem för SWAMID 2.0. Utarbetad tillsammans med SUNET CERT och SUSEC

EXEMPEL. Informationssäkerhetsinstruktion: Kontinuitet och Drift (Infosäk KD)

VISION STRATEGI REGLEMENTE PROGRAM POLICY PLAN» RIKTLINJE REGEL. Riktlinjer för informationssäkerhet

Myndigheten för samhällsskydd och beredskaps författningssamling

IT-säkerhetsinstruktion Förvaltning

Vi skyddar din information. Vårt informationssäkerhetsarbete och skydd av personuppgifter

KOMMUNAL FÖRFATTNINGSSAMLING Nr 005.6

Policy. Policy för informationssäkerhet och personuppgiftshantering i Herrljunga kommun DIARIENUMMER: KS 47/2018 FASTSTÄLLD: VERSION: 1

Remote Access Service

Informationssäkerhetspolicy

Finansinspektionens författningssamling

Policy för informations- säkerhet och personuppgiftshantering

SAMMANTRÄDESPROTOKOLL Kommunstyrelsens arbetsutskott Sammanträdesdatum

Policy Document Number ESS Date Mar 14, 2013 Revision 1 (3) Plan för IT Säkerhet

EDA KOMMUN. nformationssäkerhet - Informationssäkerhetspolicy

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

Informationssäkerhetspolicy för Katrineholms kommun

Regelverk. Infrastrukturen för vidareförmedling av grundläggande uppgifter om företag. Bilaga D. Personuppgiftsbiträdesavtal. Version: 2.

Granskning av säkerheten i mobila enheter. Internrevisionsrapport

Kommunal författningssamling för Smedjebackens kommun. Informationssäkerhetspolicy. 97 Dnr 2016/00447

IT-säkerhet i Svenska kyrkan gemensamma IT-plattform GIP

Riktlinje för säkerhetskrav vid upphandling av IT-stöd

Bilaga, Definition av roller och begrepp, till policy för IT-säkerhet. Publiceringsdatum Juni 2007 ( rev. September 2011)

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Musikhögskolan i Stockholm 2010.

Översikt av GDPR och förberedelser inför 25/5-2018

FÖRHINDRA DATORINTRÅNG!

Detta dokument beskriver it-säkerheten i RAMBØLLs it-system SurveyXact och Rambøll Results.

DIG IN TO Nätverkssäkerhet

Bilaga, Definition av roller och begrepp, till policy för IT-säkerhet

Informationssäkerhet - en översikt. Louise Yngström, DSV

Säkerhet vid behandling av personuppgifter i forskning

Policy för informationssäkerhet

I Central förvaltning Administrativ enhet

Informationssäkerhetspolicy för Nässjö kommun

IT-Säkerhetsinstruktion: Förvaltning

Icke funktionella krav

Sjunet standardregelverk för informationssäkerhet

INFORMATIONSSÄKERHET 1 INLEDNING MÅL FÖR IT-SÄKERHETSARBETET... 2

POLICY INFORMATIONSSÄKERHET

Datacentertjänster IaaS

Systemkrav och tekniska förutsättningar

Data Sheet - Secure Remote Access

Checklista IT Artvise Kundtjänst

Informationssäkerhetspolicy

Informationssäkerhetspolicy

Gemensamma anvisningar för informationsklassning. Motala kommun

VGR-RIKTLINJE FÖR KOMMUNIKATION OCH DRIFT

Informationssäkerhetspolicy KS/2018:260

Informationssäkerhetspolicy

Policy och strategi för informationssäkerhet

Riktlinjer för informationssäkerhet

Informationssäkerhet, Linköpings kommun

SÅ HÄR GÖR VI I NACKA

Dokumentationsunderlag avseende:

Bilaga 3c Informationssäkerhet

Finansinspektionens författningssamling

Riktlinjer för Informationssäkerhet Falkenbergs Kommun Kommunledningskontoret

Riktlinjer för informationssäkerhet

Bilaga till rektorsbeslut RÖ28, (5)

RIKTLINJER FÖR IT-SÄKERHET

Bilaga, Definition av roller och begrepp, till policy för IT-säkerhet. Beslutsdatum (rev )

Säkra trådlösa nät - praktiska råd och erfarenheter

VGR-RIKTLINJE FÖR ÅTKOMST TILL INFORMATION

Transkript:

INFORMATIONSSÄKERHETSPOLICY INLEDNING Findity AB (Findity) utvecklar och tillhandahåller digitala finansiella tjänster inom ramen för kvitton och utläggshantering. Information är en av Finditys viktigaste tillgångar och hanteringen av den är en mycket viktig del i arbetet. Med informationstillgångat avses all information som ägs av Findity, kunder eller partners, oavsett om den behandlas manuellt eller digitalt och oberoende av dess form eller miljön den fförekommer i. Informationssäkerhetspolicyn fastställs av ledningsgruppen och anger Finditys grundläggande synsätt och viljeinriktning på en övergripande nivå gällande arbete med informationssäkerhet. I detta dokument, Informationssäkerhetspolicy - Tjänster och infrastruktur, fastställs synen på informationssäkerhet, övergripande mål och organisationens intention med informationssäkerhetsarbetet. Sammantaget är detta Finditys styrdokument för informationssäkerhetsarbete på en strategisk nivå. Utifrån dessa styrande dokument skapas rutiner på delar av organisationen som på en taktisk och operativ nivå beskriver hur och av vem. DEFINITION Informationssäkerhet handlar om att ge Finditys informationstillgångar rätt skydd över tid och omfattar säkerhetsaspekterna: Tillgänglighet att information är tillgänglig i förväntad utsträckning och inom önskad tid Riktighet att information skyddas mot oönskad och obehörig förändring eller förstörelse Konfidentialitet att information inte i strid med lagkrav eller lokala överenskommelser/riktlinjer tillgängliggörs eller delges obehörig Spårbarhet att i efterhand entydigt kunna härleda specifika aktiviteter eller händelser till ett identifierat objekt eller användare (vem, vad, när) ANSVAR Ansvaret för Finditys informationssäkerhetsarbete ska följa det normala delegerade verksamhetsansvaret på alla nivåer. Ägarna uttrycker principer och viljeinriktning genom att fastställa Finditys informationssäkerhetspolicy. Ledningsgruppen har det yttersta ansvaret för Finditys informationssäkerhetsarbete och Findity AB 556838-8200 findity.se 0771 584 886 info@findity.com 1

fastställer Riktlinje för informationssäkerhet. Ledningsgruppen äger och ansvarar för Finditys infrastruktur, tjänster, system och applikationer samt tillsätter informations- och systemägare för dessa. Informationssäkerhetsamordnaren arbetar på uppdrag av ledningsgruppen. Informationssäkerhetssamordnaren har det övergripande och strategiska ansvaret att leda, utveckla och samordna informationssäkerhetsarbetet. Respektive avdelning äger och ansvarar för egen verksamhetsspecifik infrastruktur, tjänster, system och applikationer och tillsätter informations- och systemägare för dessa. Alla medarbetare har ett ansvar för att informationssäkerheten upprätthålls samt att rapportera incidenter. INRIKTNING Informationssäkerhetsarbetet på Findity kännetecknas av: att kunskap finns om hur informationssäkerheten säkerställs, att krishanteringsförmågan fortlöpande analyseras och upprätthålls, att hotbilden mot informationstillgångar fortlöpande analyseras, att händelser som kan leda till negativa konsekvenser förebyggs, och att arbeta med informationssäkerhet är en naturlig del i verksamheten. TJÄNSTER OCH INFRASTRUKTUR APPLIKATIONSDRIFT, UTVECKLING OCH UNDERHÅLL AV PROGRAMVAROR OCH TJÄNSTER Findity använder SCRUM (se: http://www.scrumguides.org) som styrprocess för all utveckling. Pivotal Tracker (https://www.pivotaltracker.com) används för hantering av teamets backlog och inkluderar både nya funktioner och bugghantering. Iterationslängden är två veckor och avslutas på Tisdagar med Iterationsdemo på Onsdagar. Iterationplanering förläggs till Onsdagar varannan vecka. LEVERANSMODELL Leveransmodellen omfattar: Utveckling - Lokalt i respektive utvecklingsmiljö Test - Dedikerad testmiljö för interna integrations- och funktionstester. Acceptans - Dedikerad testmiljö för slutanvändare. Produktion - Dedikerad produktionsmodell Findity AB 556838-8200 findity.se 0771 584 886 info@findity.com 2

STÖDSYSTEM Följande stödsystem används för utvecklingen Källkodshantering: GIT i en intern GIT-server Byggmiljö: Jenkins i dedikerad server PATCH HANTERING Patch hantering omfattar kontroller avseende övervakning av sårbarheter, patchar och fixar. Patch hanteringen är manuell och omfattar genomgång av alla fysiska och virtuella maskiner en gång/vecka. Systempatchning omfattar utvärdering av tillgängliga patchar och manuell applicering på berörda system. FYSISK SÄKERHET Finditys system är utlokaliserade till dedikerade datacenter. Fysisk åtkomst regleras till behörig personal av datacenteroperatören. För tillträde krävs inregistrering. Skalskyddet består av Intrångslarm, brandlarm, vattenlarm, videoövervakning, kodlås samt fysiska lås. REDUNANS Servemiljön består av flera fysiska serverar i separata tackskåp med tillhörande separata diskkabinett för lagring. Varje server har redundant kraftförsörjning, nätverk och kylning. Nätverksinfrastrukturen består i huvudsak av redundanta, fysiskt separerade switchar. och redundanta nätverkskort i varje server. KRAFTFÖRSÖRJNING Kraftförsörjningen till datacentret är redundant och backas upp av dieselgeneratorer om huvudkraftförsörjningen skulle påverkas. Varje fysiskt server och diskkabinett har redundanta kraftaggregat och backas dessutom av UPS för batteridrift. DESTRUKTION AV LAGRINGSMEDIA Destruktion av ej behövd lagringsmedia med känslig information sker genom multipel överskrivning följt av fysisk destruktion av betrodd tredje part där destruktionen dokumenteras av tredje KOMMUNIKATION OCH DRIFT Finditys tjänster driftas uteslutande på egen infrastruktur i form av fysiska och virtuella servrar. EXTERNA NÄTVERKSKOPPLNIGAR Externa nätverkskopplingar härdas och konfigureras för att skydda mot obehörig trafik. Alla Findity AB 556838-8200 findity.se 0771 584 886 info@findity.com 3

externa anslutningar till tjänsterna sker genom ett DMZ och registreras i en authlog. Taggade VLAN separerar interna nätverk (TEST, DMZ, PROD) där extern trafik är separerad från intern trafik via brandvägg och genom separata VLAN. Externt är endast port 25, 80, 443 1194 (UDP för OpenVPN) öppna för inkommande trafik. Utgående trafik tillåts över port ( 22, 80, 443, 7590 (Backup), 9418 (källkodshantering) 2196 (Apple Push)) SYSTEMÅTKOMST OCH LOGGNING Backend skyddas från obehörig åtkomst genom åtkomstkontrollistor, autentisering och kryptering via OpenVPN Access Server i DMZ. Endast systemoperatörer äger tillgång till Backend och dessa registreras i OpenVPN Access Server All trafik går via DMZ. Lokal authlog av samtliga inloggningsförsök mot backend sker i DMZ. Autentiseringsloggar för produktionssystem och tjänster sker i Graylog i respektive applikationsserver med redundans. KRYPTERING All kommunikation till och från Finditys tjänster, system till system eller program till program, som går utanför backend krypteras. Överföring av information mellan internet och backend krypteras via HTTPS/SSL alternativt SSH. Publika TLS-certifikat för (SPARAKVITTOT.SE och FINDITY.COM ställs ut av DigiCert. KONTROLLER AV SKADLIG KOD Kontroller för att upptäcka och förhindra att skadlig kod körs sker regelbundet med hjälp av applikationer för rootkitsdetektering. INFORMATIONSDELNING Findity hanterar känslig finansiell information och behöver förhindra obehörig åtkomst till externt eller internetexponerade applikationer och dess information. Partners data separeras i separata databastabeller och skyddas av åtkomstlistor i syfte att förhindra obehörig åtkomst till informationen ide fall information bearbetas på delade servrar. Brandväggar separerar Webb- och applikationsservrar från databasservrar. Publik webbserver separeras dessutom från applikations och databasservrar i backend i ett DMZ. SYSTEMÅTKOMST Åtkomst till produktionssystemets backend kan endast nås genom trådbundet nätverk och och genom krypterade anslutningar (VPN). Tillgång till backend ges baserat på funktionella krav för tjänsten och åtkomst begränsas till de resurser som krävs för att möta företagets behov. För anslutningar till backendtjänster krävs autentisering och kryptering över OpenVPN respektive Cisco Anyconnect (Under avveckling). För åtkomst till operativsystem i backend krävs SSH (med nycklar) Findity AB 556838-8200 findity.se 0771 584 886 info@findity.com 4

Utbyte av autentiseringsuppgifter mellan klienter och program (t.ex. användarnamn, lösenord och digitala certifikat) över nätverk genomföras så att kontoidentitet och lösenord/nyckel sänds över skilda system. HÄNDELSELOGGAR Händelseloggar generas för system och nätverk som nyttjats inom ramen för tjänsten och sparas i minst 180 dagar. Händelseloggar kan analyseras för säkerhetsrelaterade händelser. Händelseloggar för konton med privilegierad åtkomst i backend loggas och analyseras i ett separat system. UNDERLEVERANTÖRER Anlitade underleverantörer har endast tillgång till de delar av tjänsterna som är nödvändiga för att underleverantörerna skall kunna utföra den tjänst eller de tjänster de är anlitade för. Åtkomst för underleverantörer regleras genom åtkomstkontrollistor, autentisering och kryptering via OpenVPN Access Server i DMZ och genom dedikerade VLAN för de berörda tjänsterna. SÄKERHETSKOPIERING Säkerhetskopiering sker uteslutande till ZFS-baserade disksystem och sker i flera olika nivåer. Filsystemet har utvecklats med fokus på dataintegritet, det vill säga för att skydda information på lagringsminnen mot bitröta, spökskrivningar och liknande. Sådana problem kan bland annat manifestera sig genom att data på hårddiskar spontant börjar ändras och bli felaktiga, utan en användares eller operativsystemets inverkan, eller som ett resultat av mekaniska eller yttre faktorer som till exempel kosmisk strålning eller strömspikar. ZFS ger ett mycket bra skydd mot bitröta och annan datakorruption och innehåller dessutom inbyggda funktioner för backup. Backup körs lokalt och redundant till separata diskar över två fysiska servrar. Lokal ZFS snapshot av applikationsservrar och databaser sker varje timma. Full ZFS backup körs varje natt. Loggning av resultat sker i filsystemets journal. Uppmärkning sker m.ha tidsstämpel. Redundant fjärrbackup sker över SSH till dedikerad backupvolym på annan fysisk plats. Backupvolymerna verifierad varje vecka med zpool scrub. Återställningar från backup för att kontrollera säkerhetskopiors integritet sker regelbundet ÖVRIGT RISKBEDÖMNING OCH SÅRBARHETSANALYSER Findity genomför regelbundet riskbedömning och sårbarhetsanalys med minimum OWASP Top 10 som kravbild. Säkerhetsgenomlysningen sker av en betrodd tredje part genom intrångsförsök med hjälp av standardiserade intrångsverktyg mot produktionssystemet. Resultatet av säkerhetsgenomlysningen dokumenteras separat och resulterar i en backlog Findity AB 556838-8200 findity.se 0771 584 886 info@findity.com 5

för prioritering enligt bedömd risk. Befintlig arkitektur och implementation bedöms vara robust avseende redundans och backuprutiner. Dock saknas geografisk redundans och detta avser vi åtgärda snarast möjligt. SYSTEMDOKUMENTATION Systemdokumentation säkras genom behörighetskontroll och kryptering över HTTPS. Behörighet medges endast till Medarbetare i utvecklingsavdelningen. Findity AB 556838-8200 findity.se 0771 584 886 info@findity.com 6

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss