EBITS 2007-11-23 Arbetsgruppen för Energibranschens Reviderad 2009-10-21 Informationssäkerhet



Relevanta dokument
EBITS Arbetsgruppen för Energibranschens Reviderad Informationssäkerhet

Säkra trådlösa nät - praktiska råd och erfarenheter

Säker hantering av mobila enheter och portabla lagringsmedia

EBITS Arbetsgruppen för Energibranschens Reviderad Informationssäkerhet

EBITS E-MÖTE / VIRTUELLT MÖTE 5 INFORMATIONSKLASSNING. 1 Syfte. 2 Avgränsningar. 3 Bakgrund. 4 Informationsformer

IT-säkerhetsinstruktion

Handledning i informationssäkerhet Version 2.0

Regelverk. Infrastrukturen för vidareförmedling av grundläggande uppgifter om företag. Bilaga D. Personuppgiftsbiträdesavtal. Version: 2.

Informationssäkerhet vid Lunds Universitet. Mötesplats Rydberg 3:e oktober Lennart Österman

Tips och råd om trådlöst

Bilaga 1 - Handledning i informationssäkerhet

Juridik och informationssäkerhet

Bilaga, Definition av roller och begrepp, till policy för IT-säkerhet

Regel. Användning av Riksbankens IT-resurser. Inledning. Användning av IT-resurser

DOKUMENTNAMN: IT-användarpolicy SKAPAT DEN: TYP AV DOKUMENT: Policy SENAST ÄNDRAT DEN:

Rekryteringsmyndighetens interna bestämmelser

Bilaga 3 Säkerhet Dnr: /

EBITS Arbetsgruppen för Energibranschens Reviderad Informationssäkerhet

EBITS Arbetsgruppen för Energibranschens Informationssäkerhet

Inlämningsuppgift 12b Router med WiFi. Här ska du: Installera och konfigurera en trådlös router i nätverket.

Metoder för datasäkerhet. Vad handlar en sådan kurs om???

Plattform 2010 Ansluta till Skellefteå kommun via VPN

Foto: Björn Abelin, Plainpicture, Folio bildbyrå Illustrationer: Gandini Forma Tryck: Danagårds Grafiska, 2009

Posthantering och annan överföring av sekretessbelagd och integritetskänslig information

För att du som användare skall kunna leva upp till de säkerhetskrav som ställs på dig måste du känna till. Lärare och Elever har olika krav: Lärare

Informationssäkerhetsinstruktion: Användare

IT-Policy Vuxenutbildningen

Regler för användning av Riksbankens ITresurser

Din manual OLIVETTI D-COLOR MF3000

ANVÄNDARHANDBOK. Advance Online

Denna genomgång behandlar följande: Trådlösa tekniker WLAN Utrustning Säkerhet Konfiguration

Tillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter via e-post

VGR-RIKTLINJE FÖR KOMMUNIKATION OCH DRIFT

Riktlinjer för Informationssäkerhet

Säkerhetsinstruktion 1 BAKGRUND INLOGGNING HANTERING AV INFORMATION INTERNET E-POST INCIDENTER...

Användarhandbok AE6000. Wireless Mini USB AC580-adapter med Dualband

Bilaga, Definition av roller och begrepp, till policy för IT-säkerhet. Publiceringsdatum Juni 2007 ( rev. September 2011)

Snabbstartsguide. Mobil WiFi ZTE MF910

Sammanfattning av riktlinjer

tillägg till AnvändarmANUAL För LarmSystemet Lansen Home Installera, Använda och Administrera

Säkerhetsanalys. The Dribble Corporation - Krav. The Dribble Corporation - Mål. The Dribble Corporation Produkt: Dribbles. Vill börja sälja över nätet

installation av bredband via telejacket. Att installera ditt ADSL-modem tar bara någon minut.

Nej, Latitude ON Flash är för närvarande endast tillgängligt på följande Dell datorer: Dell Latitude E4200 Dell Latitude E4300

Din guide till en säkrare kommunikation

3) Routern kontrollerar nu om destinationen återfinns i Routingtabellen av för att se om det finns en väg (route) till denna remote ost.

Innehållsförteckning. L3044_MobilWiFi_Manual_110x90.indd

SNABBGUIDE för studenter windows. Utskriftshantering, Kopiering och Scanning

Bilaga 3c Informationssäkerhet

Handbok för installation av programvara

BIPAC-7402 / 7402W (Trådlös) ADSL VPN Firewall Router med 3DES-accelerator Snabbstartsguide

TEKNISK SPECIFIKATION. för TIDOMAT Portal version 1.7

SÄKERHETSINSTRUKTIONER FÖR ANVÄNDARE AV IT SYSTEM

Student. DisCo, Mitt konto, Min sida, Studentportal, Office e-post. IT-avdelningen

Bilaga IT till förfrågningsunderlag Bil 3 Inledning

SÄKERHET. Konica Minoltas branschledande säkerhetsstandarder SÄKERHET

HP Next Day Hardware Support HP Care Pack Services

om trådlösa nätverk 1 I Om trådlösa nätverk

INSTALLATIONSHANDBOK. Gateway-tillbehörsbox EKLONPG EKBNPG

Informationssäkerhet

Version /10. Xerox ColorQube 9301/9302/9303 Internettjänster

snabbmanual för installation av trådlöst bredband och telefoni

Trådlöst (endast vissa modeller) Användarhandbok

Datasäkerhet. Informationsteknologi sommarkurs 5p, Agenda. Slideset 10. Hot mot datorsystem. Datorsäkerhet viktigare och viktigare.

Spårbarhet i digitala system. Biografi. Spårbarhet. Osynlig övervakning och de spår vi lämnar efter oss

Informations- säkerhet

snabbmanual för installation av bredband och telefoni

BIPAC 7402G g ADSL VPN Firewall Router. Snabbstartsguide

bredband Bredbandsbolaget Kundservice:

Lathund för tipsare. Vill du lämna information till media? Läs det här först för att få koll på läget.

Fick-router MP-01. tre i en fick-router med 6 olika lägen

Utförande: I exemplet så kommer vi att utgå från att man gör laborationen i en Virtuell miljö (Virtualbox).

Xerox WorkCentre 3655 Flerfunktionsskrivare Kontrollpanel

Checklista Identitetshanteringssystem för SWAMID 2.0. Utarbetad tillsammans med SUNET CERT och SUSEC

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

Startboxen innehåller följande utrustning. Modem Nätverkskabel Strömadapter

Handbok. Installation av Dovado Tiny

Administratör IT-system Kursplan

Systemkrav och tekniska förutsättningar

IT-INTRODUKTION. Student. Mitt konto, hv.se/student, lärplattform, MyPage, e-post, Office 365. IT-avdelningen

Checklista, så planerar du ditt WiFi

Informationssäkerhet - en översikt. Louise Yngström, DSV

Handbok för installation av programvara

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter

Bilaga 1 till avtal om hemtjänst enligt lagen om valfrihetssystem

Juridiska säkerhetskrav

Novi Net handelsbolag. Produkter och tjänster

Installationshandbok

Tillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter via e-post

Informationssäkerhet. Hur skall jag som chef hantera detta?? Vad är det??

IT-INTRODUKTION. Student. DisCo, Mitt konto, hv.se/student, MyPage, e-post, Office 365. IT-avdelningen

Instruktion: Trådlöst utbildningsnät orebro-utbildning

Bilaga 9 Säkerhet Dnr: /2015 Förfrågningsunderlag

Rutin vid kryptering av e post i Outlook

IT-INTRODUKTION. Student. DisCo, Mitt konto, Studentportal, MyPage, e-post, Office 365. IT-avdelningen

Konfigurering av eduroam

Lathund Beställningsblankett AddSecure Control

Informationssäkerhetspolicy. Informationssäkerhetspolicy för Vingåkers kommun

Användarmanual CallPad

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter

Informationssäkerhetsanvisning

Transkript:

2007-11-23 Arbetsgruppen för Energibranschens Reviderad 2009-10-21 Informationssäkerhet Hur hanteras och förebyggs hoten mot informationssäkerheten i multifunktionsmaskiner Syfte Syftet med detta dokument är att synliggöra säkerhetsproblematiken med multifunktionsmaskiner och dela med oss av våra erfarenheter. Med multifunktionsutrustning avses kontorsutrustning som klarar två eller fler informations- och pappershanteringsfunktioner såsom utskrift, kopiering, fax, skanning, lagring och e-post. Inledning Multifunktionella skrivare har i många företag ersatt ett antal specialiserade apparater såsom faxar, skannrar, kopiatorer och skrivare. Integrationen av flera apparater har förutom de uppenbara fördelarna fört med sig ett antal informationssäkerhetsrelaterade aspekter och risker som måste beaktas. Annars kan i värsta fall apparaten kompromettera det interna datanätet och bidra till ett okontrollerat flöde av (känslig) information. Risk föreligger att känslig information kommer obehöriga till del t ex vid reparationer och maskinbyten. Säkerhetsrisker Följande informationssäkerhetsrisker måste beaktas för denna typ av maskiner oavsett maskinens storlek och användningssätt: Mellanlagring av känslig information på apparatens interna hårddisk eller i internminne Oavsett om man kopierar, skannar, faxar eller skriver ut dokument lagras all information på maskinens interna hårddisk. Denna hårddisk är som regel på flera GB (gigabyte). Lagring av information på apparatens interna hårddisk Information som lagras på apparatens interna hårddisk blir kvar efter det att man utfört begärd aktivitet vilket innebär att stora mängder information ligger lagrad i maskinen. OBS! Detta gäller även känslig information! Den lagrade informationen blir åtkomlig i samband med service av apparaten Servicetekniker ansluter som regel en bärbar dator till apparaten i samband med service och kan då kopiera ner all information som finns på hårddisken. Har känslig information för företaget eller dess kunder hanterats i apparaten måste detta beaktas. Vid utbyte, försäljning eller 091021 Multifunkmaskiner v1.1.doc 1 (7)

skrotning av apparaten kan den information som finns lagrad komma i orätta händer Anslutning till det interna datanätet och eventuellt till Internet Det är inte helt ovanligt att man i samband med upphandlingar skriver avtal med möjlighet till fjärrdiagnostik vilket innebär att apparaten är åtkomlig från aktuellt serviceföretag över Internet och därmed även den lagrade informationen. Apparatens anslutning till det interna datanätet gör den åtkomlig för ett större antal anställda än just de personer som den är avsedd att betjäna. Skicka inskannad och lagrad känslig information med e-post utanför företaget Inskannad och lagrad information kan sändas till fel mottagare inom eller utom företaget. Från multifunktionsskrivare skickad e-post har ofta en anonym avsändare (t ex multimaskin@företaget.se), och detta kan på ett effektivt sätt användas för att nästan utan risk läcka känslig information. Övervakning/loggning Brist på övervakning och loggning av vad som händer med denna typ av apparater gör det svårt att ha kontroll på informationssäkerheten. Spårbarhet Då flera funktioner på maskinen (som att kopiera, skanna och skicka e-post) kan utföras anonymt, blir det omöjligt att i efterhand kontrollera vad som hänt och vem som gjort vad. Fysisk åtkomst till apparaten (och manipulation) då den står i allmänna utrymmen Risk för att obehöriga tar del av information som skrivs ut eller erhålls från inkommande fax motsvarande under den tid som förflyter från utskrift tills dokumenten hämtas. Här föreligger även risk för extern åtkomst. Säkerhetsmässiga krav och önskemål rörande multifunktionsmaskiner Nedan beskrivs krav och önskemål vid användande av multifunktionsmaskiner eller kombinationsmaskiner. Dessa krav kan med fördel användas (delvis, i sin helhet eller i kombination med andra krav) som ett underlag för en upphandling av multifunktionsmaskiner. Kraven kan också användas som en checklista för en existerande installation av multifunktionsmaskiner. De exempel som ges i dokumentet är avsedda att exemplifiera vad som menas med kravet och är ej uttömmande eller kompletta uppräkningar av samtliga kombinationer, möjligheter eller val. 091021 Multifunkmaskiner v1.1.doc 2 (7)

Kraven är dels riktade mot Leverantör och avtalspartner (återförsäljare, underhålls- och servicepartners och motsvarande) Intern driftsorganisation Definitioner Med utrustning i nedanstående text menas multifunktionsapparater (kombinationsutrustning) som används i kombination med andra funktioner eller för ett eller fåtal av de funktioner som utrustningen möjliggör (t.ex att en kombinationsmaskin enbart används som nätverksskrivare) De olika kraven och önskemålen är angivna med vilken kategori av krav de skall uppfylla. De olika kategorierna som använts i dokumentet är: Autenticiering - Identifikation och kontroll av att användare har rätt att nyttja tjänster i utrustningen. Auktorisation - Behörighetskontroll av att en användare har rätt att nyttja en viss tjänst eller funktion. Konfidentialitet - Insynsskydd och sekretess av information under behandling, under transport eller lagring. Spårbarhet - Att utrustningen har stöd för olika typer av loggar och underlag så att man kan följa händelser som inträffat i systemet/utrustningen. Grundläggande systemsäkerhet Nätverkssäkerhet - Att inte utrustningen medför risker på nätverket, att inte de externa kopplingar och anslutningsmetoder som utrustningen innehar medför ökad risk för obehörig åtkomst till nätverket eller till själva utrustningen. Tillgänglighet - Att utrustning och tjänster finns tillgängliga när behov uppstår. Datakvalitet/Riktighet - Att dataintegritet upprätthålls, att data är beständigt. Fysisk säkerhet - Stöld, brand och liknande. Informationsförlust - Att inte utrustningen kan användas för att läcka information under drift eller i samband med utrangering. Informationssäkerhet - Allmänt skydd och säkerhet i samband med informationshantering Avtalsmässiga och juridiska krav och riktlinjer Krav A.1: Företagets avtal med leverantör skall vara så utformat att företaget förfogar (äger eller har rätt att köpa loss) över utrustningen eller dess komponenter så att exempelvis hårddiskar får avlägsnas för radering eller destruktion vid behov. [Juridik] 091021 Multifunkmaskiner v1.1.doc 3 (7)

Krav A.2: Säkerhetskrav på leverantören bör vid vite vara inskrivet i avtal med leverantören. [Juridik] Krav A.3: Krav på installatörer (exempelvis mellan leverantör och installatör, eller mellan köpare (företaget) och serviceinstans såsom ITsupport) skall vid vite vara inskrivet i avtal med installatörer. [Juridik] Krav A.4: I avtalet skall företaget ha kontroll över leverantörens och serviceleverantörens möjlighet till fjärrdiagnostik och fjärrservice samt utrustningens larmutsändning. Innebörden av denna avtalsskrivelse skall vara att företaget förbehåller sig rätten att som standard inte tilllåta fjärråtkomst för diagnostik och service samt förbehåller sig rätten att inte tillåta utrustningen att leverera status-, larm eller diagnostik till leverantören. [Nätverkssäkerhet] Krav A.5: Säkerhetskraven skall inte omförhandlas eller strykas ur upphandlingsunderlag eller avtal utan godkännande från företagets säkerhetsfunktion. [Juridik] Tekniska krav och riktlinjer Krav T.1: Leverantören skall kunna garantera att externanslutning (faxmodem, modem, nätverksanslutning, USB-portar, Skärm- och tangentbordsportar, flyttbara medier såsom Compact Flash eller disketter, och andra liknande externa portar) går att avaktivera. [Grundläggande systemsäkerhet] Krav T.2: Leverantören skall kunna garantera att trådlös anslutning (IR, Bluetooth, 802.11 eller liknande) går att avaktivera [Grundläggande systemsäkerhet] Krav T.3: Installatören skall för samtliga eller enstaka anslutningar stänga av externa anslutningar (faxmodem, modem, nätverksanslutning, USB-portar, Skärm- och tangent- bortsportar, flyttbara medier såsom Compact Flash eller disketter, och andra liknande externa portar) för vissa installationsscenarios och för användning av utrustningen där känslig information skall hanteras. [Grundläggande systemsäkerhet] Krav T.4: Installatören skall stänga av trådlösa anslutningar (IR, Bluetooth, 802.11 eller liknande) för vissa installationsscenarios och för användning av utrustningen där känslig information skall hanteras. [Grundläggande systemsäkerhet] Krav T.5: Administrativ åtkomst via utrustningens konsol (fysiska användargränssnitt i form av knappar och display) skall kunna stängas av eller skyddas med lösenord, PIN-kod eller motsvarande. [Grundläggande systemsäkerhet] Krav T.6: Utrustningen bör ha PIN-kodsskydd av själva utskriften av ett utskriftsjobb, mottaget fax eller liknande. När utrustningen är delad och/eller används i en öppen kontorsmiljö (exempelvis skrivarrum) kan enskilda eller samtliga utskrifter förses med PIN-kod för att fullfölja utskriften. [Autenticiering] 091021 Multifunkmaskiner v1.1.doc 4 (7)

Krav T.7: Utrustningen bör ha möjlighet att lagrad data temporärt eller långsiktigt (formulär, fonter, etc) skyddas av kryptering. [Konfidentialitet] Krav T.8: Oönskad eller oanvända funktioner (exempelvis inbyggda nättjänster såsom webbservrar, nätverksprotokoll såsom Novell IPX/AppleTalk/SNMP/telnet/ leverantörsspecifika protokoll, logg- statistiksammanställningar, sändarmodul för e-post, etc) skall gå att avaktivera via administrativa gränssnitt (konsol, nätverksmässig åtkomst eller liknande) [Grundläggande systemsäkerhet] Krav T.9: Det skall gå att begränsa vem eller vilka som får utföra fjärrövervakning av utrustningen. [Autentisering] Krav T.10: Utrustningen bör behålla mottagen information, såsom exempelvis utskriftsjobb eller mottagna fax, i händelse av strömavbrott eller driftstörning (exempelvis papperstrassel vid utskrift). [Tillgänglighet] Krav T.11: Utrustningen bör klara att göra utskrifter på arkivbeständigt pappersmaterial som uppfyller arkiveringskrav, exempelvis SS-ISO 11798. [Datakvalitet / Riktighet] Krav T.12: Utrustningen bör ha logg- och användarsammanställningar på vem som utfört en viss operation, exempelvis en utskrift. [Spårbarhet] Krav T.13: Det skall finnas modeller att beställa som inte har inbyggd hårddisk. [Informationsförlust] Krav och riktlinjer för drift, service och underhåll Krav vid service Krav S.1: Utrustningen skall ha PIN-kod, lösenordsskydd eller motsvarande för att åtkomst till administrativa åtgärder (t ex ändra inställningar eller konfiguration, få ut statistik eller loggar, etc). [Autentisering] Krav S.2: Fabriks- eller standardlösenord på utrustningen skall ej användas för administrativa åtgärder eller när service utförs. [Autentisering]. Krav S.3: Det bör finnas enkla verktyg eller metoder för att ändra lösenord för en mängd utrustningar eller samtliga utrustningar. [Autentisering] Krav S.4: Vid service av viss typ av utrustning, främst sådan som har använts för stora mängder information (som därmed inte går att klassificera) eller känslig information skall hårddisk eller annan lagringsmedia tas ut innan utrustningen lämnar företagets lokaler. [Informationssäkerhet] Krav S.5: Det skall gå att uppdatera programvaran (styrprogramvara, bios, operativ-system eller liknande) i utrustningen i händelse av att 091021 Multifunkmaskiner v1.1.doc 5 (7)

säkerhetsproblem hittas i utrustningen. [Grundläggande systemsäkerhet] Krav vid installation Krav I.1: Viss utrustning som används för hantering (utskrift/inskanning/faxning/ kopiering eller liknande) av känslig, företagshemlig eller kvalificerat företagshemlig information skall 1. Vara helt fristående 2. Anslutas direkt till datorn 3. Hållas i stängda och kontrollerade utrymmen [Informationssäkerhet] Krav I.2: Utrustningen bör vara försedd med anordningar så att det med hjälp av tilläggsutrustning går att låsa fast utrustningen. Detta gäller särskilt för utrustning som skall installeras i publika utrymmen såsom foajéer och liknande. [Fysisk säkerhet] Krav vid drift Krav D.1: Delade utrymmen som används för utskrift, kopiering och liknande informationsbehandling av känslig eller hemlig information skall vara utrustade med papperstugg. [Informationssäkerhet] Krav vid utrangering, skrotning eller liknande Krav U.1: Datamedia som använts i utrustningen (exempelvis hårddisk, Compact Flashminnen, etc.) skall raderas eller destrueras på ett av företagets godkända metoder. [Informationssäkerhet] Övriga krav och riktlinjer Krav Ö.1: Utrustningen skall säkerställas mot överhettning och brand [Fysiskt skydd] Krav Ö.2: Levererad dokumentation skall beskriva de olika säkerhetsfunktioner som utrustningen tillhandahåller. [Informationssäkerhet/tillgänglighet] Övrigt Frågor kan ställas till EBITS via e-post ebits_box@svenskenergi.se 091021 Multifunkmaskiner v1.1.doc 6 (7)

Ordförklaringar Bluetooth En industrispecifikation för radiobaserad kommunikation med begränsad räckvidd (1m, 10m eller 100m) som dock kan fångas upp på betydligt större avstånd. Bluetooth används för informationsutbyte mellan t.ex. mobiltelefoner, bärbara datorer, skrivare, digitala kameror osv. IEEE 802.11i En utökning av IEEE 802.11-standarden som specificerar säkerhetsmekanismer för trådlösa nät. IDS Intrusion Detection System - Ett system för att upptäcka olika typer av oönskade aktiviteter i datorsystem (datornät och datorer). Dessa aktiviteter inkluderar bl.a. överbelastningsattacker, intrångsförsök och virusangrepp. IPSec IPSec är en samling protokoll för att säkra IPprotokollet m.h.a. autenticering och/eller kryptering av datapaket. IPSec kan användas för att upprätta och skydda ett VPN (Virtual Private Network). VPN Virtual Private Network - Ett samlingsnamn för ett antal tekniker och protokoll som använder publika nät för att skapa privata datornät. På detta sätt kan lokala datornät (LAN) kopplas ihop och externa användare kan ges åtkomst till företags interna nät. IR Olika tekniker för att på korta avstånd trådlöst kommunicera m.h.a. infrarött ljus. PoE Power over Ethernet - Ett samlingsnamn för olika tekniker att tillsammans med data skicka elektrisk energi till apparater (t.ex. trådlösa accesspunkter, IP-telefoner och webbkameror) i en tvinnad parkabel i ett Ethernet. "Rogue" accesspunkt En accesspunkt i ett WLAN som satts upp utan administratörens tillåtelse och som kan t.ex. användas av en angripare för att avlyssna trafik på WLAN:et. SSID Service Set Identifier - Ett namn som delas av de utrustningar som vill kommunicera med varandra i ett trådlöst nät (enligt IEEE 802.11-standarden). WLAN Wireless Local Area Network - Ett samlingsnamn för olika typer av trådlösa nät. Den vanligaste typen är de nät som bygger på IEEE 802.11-standarden och används bl.a. för att koppla ihop datorer med trådlösa accesspunkter både i hem och på företag. 091021 Multifunkmaskiner v1.1.doc 7 (7)

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss