EXEMPEL 1 Infrmatinssäkerhetsinstruktin: Förvaltning (Infsäk F) Innehållsförteckning 1 INSTRUKTIONENS ROLL I INFORMATIONSSÄKERHETSARBETET...2 2 ORGANISATION OCH ANSVAR...2 2.1 LEDNINGEN...2 2.2 IT-BEREDNINGSGRUPP...2 2.3 INFORMATIONSSÄKERHETSSAMORDNAREN...2 2.4 SYSTEMÄGARE...2 2.5 SYSTEMFÖRVALTARE...3 2.6 IT-CHEF...3 2.7 SYSTEMADMINISTRATÖR...3 3 REGLER OCH RUTINER...3 3.1 ANSVAR FÖR TILLGÅNGAR...3 3.2 KLASSIFICERING AV INFORMATION...3 3.3 UNDER ANSTÄLLNINGEN...3 3.4 SÄKRADE UTRYMMEN...3 3.5 KONTROLL AV UTOMSTÅENDE TJÄNSTELEVERANTÖR...3 3.6 HANTERING AV DATAMEDIA...4 3.7 UTBYTE AV INFORMATION...4 3.8 ÖVERVAKNING...4 3.9 STYRNING AV ANVÄNDARES ÅTKOMST...4 3.10 STYRNING AV ÅTKOMST TILL NÄTVERK...4 3.11 STYRNING AV ÅTKOMST TILL OPERATIVSYSTEM...4 3.12 MOBIL DATORANVÄNDNING OCH DISTANSARBETE...4 3.13 SÄKERHETSKRAV PÅ INFORMATIONSSYSTEM...5 3.14 SÄKERHET I UTVECKLINGS- OCH UNDERHÅLLSPROCESSER...5 3.15 HANTERING AV INFORMATIONSSÄKERHETSINCIDENTER OCH FÖRBÄTTRINGAR...5 3.16 EFTERLEVNAD AV RÄTTSLIGA KRAV...5
Sida 2 1 Instruktinens rll i infrmatinssäkerhetsarbetet Styrande dkument för infrmatinssäkerhetsarbetet är myndighetens infrmatinssäkerhetsplicy ch infrmatinssäkerhetsinstruktinerna Förvaltning, Kntinuitet ch Drift samt Användare: Infrmatinssäkerhetsplicy Infrmatinssäkerhetsinstruktin Förvaltning (Inf (Infsäk F) Målgrupp: Ledning, systemägare ch samrdningsansvarig Infrmatinssäkerhetsinstruktin Kntinuitet ch Drift (Infsäk KD) Målgrupp: IT-driftansvariga Infrmatinssäkerhetsinstruktin Användare (Infsäk A) Målgrupp: Samtliga medarbetare Infrmatinssäkerhetsplicyn redvisar ledningens viljeinriktning ch mål för infrmatinssäkerhetsarbetet. Infsäk F utgår från plicyn ch syftar till att redvisa: den interna rganisatinen för infrmatinssäkerhetsarbetet mfattningen av det ansvar sm vilar på myndighetens rganisatin för infrmatinssäkerhetsarbetet hur infrmatinssäkerhetsarbetet ska bedrivas de generella krav sm är aktuella 2 Organisatin ch ansvar 2.1 Ledningen Ledningen fattar de avgörande besluten hur infrmatinssäkerhetsarbetet ska bedrivas. Besluten ska framgå av den årliga verksamhetsplaneringen. Ansvarets mfattning i övrigt framgår av BITS. 2.2 IT-beredningsgrupp Gruppen ska, på uppdrag av ledningen, hantera ch utreda generella frågr avseende anskaffning, drift, förvaltning ch avveckling av infrmatinshanteringsresurser. Inm ramen för detta ingår frågr sm avser infrmatinssäkerhet. Ansvariga för lika verksamhetsdelar ska vara representerade i gruppen liksm även IT-chef ch infrmatinssäkerhetssamrdnare. 2.3 Infrmatinssäkerhetssamrdnaren Infrmatinssäkerhetssamrdnaren stödjer arbetet med att uppnå infrmatinssäkerhetsplicyns mål ch ansvarar för analyser av de delar av IT-stödet sm är gemensamma för hela verksamheten. Analyserna ska genmföras med stöd av BITS Plus. Infrmatinssäkerhetssamrdnaren initierar ch stödjer systemägarnas arbete med att genmföra enskilda systemsäkerhetsanalyser. 2.4 Systemägare Inm ramen för antagna mål ch resurser fattar systemägaren beslut m de egna infrmatinssystemens införande, drift, förvaltning ch avveckling. Systemägaren ansvarar för att systemsäkerhetsanalyser för de egna infrmatinssystemen genmförs med stöd av BITS Plus.
Sida 3 2.5 Systemförvaltare Systemförvaltaren utses av systemägaren ch ansvarar, i samverkan med IT-avdelningen, för den dagliga driften ch förvaltningen av aktuellt infrmatinssystem. 2.6 IT-chef IT- chef är systemägare för det interna IT-nätverket ch har ansvaret för att detta ch infrmatinssystemens tekniska delar fungerar. IT-chef ansvarar för att identifiera de delar sm ingår i det interna IT-nätverket ch för att en analys av detta genmförs med stöd av BITS Plus. IT-chef ansvarar ckså för att Infsäk KD upprättas ch att den samrdnas med myndighetens gemensamma kntinuitetsplan. 2.7 Systemadministratör Systemadministratören tillhör IT-avdelningen, innehar den tekniska kmpetensen, ch ansvarar tillsammans med systemägare ch systemförvaltare för att den dagliga driften upprätthålls enligt överenskmmelse mellan systemägaren ch IT-chefen. 3 Regler ch rutiner 3.1 Ansvar för tillgångar Varje fysisk infrmatinsbehandlingstillgång ska vara förtecknad ch märkt ORGANISATION X samt ha ett unikt nummer. Av en förteckning ska framgå var tillgångarna är placerade samt vem sm ansvarar för tillgången. Omflyttning ch överlåtelse av tillgång får inte ske utan samråd med den ansvarige. 3.2 Klassificering av infrmatin ORGANISATION X:s mdell för klassning av infrmatin är avstämd mt BITS Plus. Regler för klassning av infrmatin ska framgå av Infsäk A. 3.3 Under anställningen Infrmatin ch utbildning av anställda ska mfatta: Infrmatinssäkerhetens betydelse för verksamheten Innehållet i Infrmatinssäkerhetsplicyn Infsäk A Nya användare ska ges grundläggande infrmatinssäkerhetsutbildning före tilldelning av behörighet i nätverket. Systemägare ansvarar för att: användarhandledning för aktuellt system finns medarbetare har tillräckliga kunskaper m säkerhetsreglerna för de infrmatinssystem de behöver för de egna arbetsuppgifterna. 3.4 Säkrade utrymmen Känslig infrmatin från infrmatinssystem ska lagras på resurser i datrhallar sm ska vara försedda med kntrllsystem för in- ch utpassering. Utrymmen med knslutrustning ska vara låsta när de är bemannade. Utrymmen med kpplingspunkter ska vara låsta. Känslig infrmatin sm inte hanteras i infrmatinssystem ska förvaras i brandklassade säkerhetsskåp. Övervakning av servicepersnal, städpersnal m.fl. ska ske ch beslut ska tas av IT-chefen m ch när tillträde till säkrade utrymmen tillåts. 3.5 Kntrll av utmstående tjänsteleverantör Beställare av utmstående leverantörers tjänster ska följa upp ch granska att säkerhetsöverenskmmelser följs.
Sida 4 3.6 Hantering av datamedia Datamedia med sekretessbelagd infrmatin sm ska avvecklas överlämnas till IT-enheten sm hanterar avvecklingen. 3.7 Utbyte av infrmatin Om media sm innehåller känslig infrmatin måste transprteras fysiskt ska säkerhetschefen kntaktas för beslut m tillvägagångssätt. 3.8 Övervakning För infrmatinssystems lggar ska systemägaren besluta: Hur fta de ska analyseras Vem sm ansvarar för analyser av dem Hur länge de ska sparas Hur de ska förvaras Detaljerad infrmatin samt anvisningar för användning ch övervakning av lggfiler framgår av separat dkument 3.9 Styrning av användares åtkmst För att säkerställa att endast behöriga användare förekmmer i infrmatinssystemen ska beställning ch brttagande av åtkmst till infrmatinssystem ske på elektrnisk blankett. Systemägare eller systemförvaltare fyller i ch skickar blanketten sm bilaga i e-pst till ITenheten. Blanketten ska sparas hs både beställaren ch IT-enheten. Samma blankett ska användas när knsulter eller andra utför arbete i infrmatinssystem. Leverantörslösenrd ch behörigheter ska förvaras inlåsta. 3.10 Styrning av åtkmst till nätverk IT-chefen ska i anvisningar reglera: autenticering vid externa anslutningar anslutning av utrustning till interna ch externa nätverk anslutning av externa nätverk till myndighetens eget nät med ingående säkerhetsfunktiner, autenticering etc. anslutning av trådlösa nät säkerhet vid Internetanslutning. IT-chefen ska ansvara för att en översikt av säkerhetsarkitekturer för interna nätverket ch kmmunikatinsanslutningar upprättas administratinen av brandväggen samt besluta m vad sm ska lggas i den, vem sm ansvarar för uppföljningen av lggarna, hur fta uppföljning ska ske ch hur länge lggarna ska sparas att upprätta underlag för ledningens beslut m kmmunikatinstjänster 3.11 Styrning av åtkmst till perativsystem IT-chefen beslutar i vilken utsträckning användning av administratinsverktyg eller systemhjälpmedel sm kan förbigå system- ch tillämpningsspärrar ska användas. 3.12 Mbil datranvändning ch distansarbete Verksamhetsansvarig chef beslutar m ett infrmatinssystems infrmatin ska få hanteras på distans med statinär eller mbil utrustning. Distansarbete ska vara reglerat i avtal mellan myndigheten ch den anställde.
Sida 5 3.13 Säkerhetskrav på infrmatinssystem Inför nyanskaffning ch införande av ett infrmatinssystem ska verksamhetsansvarig chef i samråd med IT-beredningsgruppen utfrma en prjektplan för införandet. Denna plan ska minst mfatta: verksamhetens beskrivning av behv ch mål med anskaffningen en inledande systemsäkerhetsanalys med stöd av BITS Plus. Analysen syftar till att klarlägga säkerhetskraven på det system sm planeras införas ch den utökas därefter med en kravspecifikatin sm minst mfattar: integratinskrav med andra system krav på test tidplan persnella ch eknmiska resurser klarlägga behv av användarutbildning Krav på acceptans Ansvarig för nyanskaffningsprjekt förbereder överlämnandet från test ch utveckling till drift ch förvaltning tillsammans med den tilltänkte systemägaren. Beslut m tidpunkt från vilken systemet övergår från prjekt till förvaltning fattas av systemägaren. I ch med detta övergår ansvaret till systemägaren sm då ckså övertar all dkumentatin ch upprättar en systemsäkerhetsanalys. Driftgdkännande avser den prcess sm syftar till att fastställa m ett infrmatinssystem uppfyller ställda säkerhetskrav. Denna prcess mfattar följande steg: systemägare driftgdkänner sina infrmatinssystem efter genmförd systemsäkerhetsanalys systemägaren krdinerar sina krav med infrmatinssäkerhetssamrdnare ch nätverksansvarig infrmatinssäkerhetssamrdnaren ansvarar för att underlag för beslut av ledningen m införande av infrmatinssystemet i myndigheten 3.14 Säkerhet i utvecklings- ch underhållsprcesser Förslag m önskemål på förändringar i systemet lämnas till verksamhetsansvarige för vidare befrdran till systemägaren ch IT-beredningsgruppen. Arbetet bedrivs enligt myndighetens mdell för införande ch utveckling av infrmatinssystemen. 3.15 Hantering av infrmatinssäkerhetsincidenter ch förbättringar Vid misstanke m intrång eller andra incidenter ska användare agera enligt infrmatinssäkerhetsinstruktin användare Infrmatinssäkerhetssamrdnaren ska sammanställa ch rapprtera till ledningen intrång ch försök till intrång brtt mt lagstiftning ch internt regelverk incidenter sm rsakar eller skulle kunna rsaka betydande avbrtt ch störningar knsekvenser ch förslag till åtgärder efter intrång eller funktinsfel. 3.16 Efterlevnad av rättsliga krav Anvisningar för skydd av register ch handlingar ska följas. (Se säki A bilaga).