Policy Document Number ESS-0002649 Date Mar 14, 2013 Revision 1 (3) Plan för IT Säkerhet



Relevanta dokument
GENERELL SYSTEMSÄKERHETSPLAN FÖR FALKÖPINGS KOMMUNS NÄTVERK 1 INLEDNING BAKGRUND...1

GENERELL SYSTEMSÄKERHETSPLAN FÖR FALKÖPINGS KOMMUN

IT-SÄKERHETSPLAN - FALKÖPINGS KOMMUN

IT-SÄKERHETSPLAN - FALKÖPINGS KOMMUN

INFORMATIONSSÄKERHET 1 INLEDNING MÅL FÖR IT-SÄKERHETSARBETET... 2

IT-säkerhetspolicy. Fastställd av KF

Informationssäkerhetspolicy

IT-Säkerhetsinstruktion: Förvaltning

Informationssäkerhet - Informationssäkerhetspolicy

KOMMUNAL FÖRFATTNINGSSAMLING Nr 005.6

Riktlinjer för IT-säkerhet i Halmstads kommun

SÄKERHETSFÖRESKRIFTER FÖR FÖRVALTNING AV IT-SYSTEM

Policy för tekniska och organisatoriska åtgärder för dataskydd. 14 juni 2018 Peter Dickson

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

IT-säkerhetsinstruktion Förvaltning

Riktlinjer avseende Informationssäkerheten för Götene, Lidköping och Skara kommuner

Bilaga, Definition av roller och begrepp, till policy för IT-säkerhet

Informationssäkerhetspolicy IT (0:0:0)

Informationssäkerhetspolicy för Nässjö kommun

IT-säkerhetspolicy Instruktion Kommunfullmäktige. Senast reviderad Beskriver IT-säkerhetarbetet.

Finansinspektionens författningssamling

IT-SÄKERHETSPOLICY. Stadskontoret. 1 Inledning Definition Omfattning Mål för IT-säkerhetsarbetet... 2

INFORMATIONSSÄKERHET 1 INLEDNING MÅL FÖR IT-SÄKERHETSARBETET... 2

Riktlinje för informationssäkerhet i Skövde kommun motsvarar Informationssäkerhetspolicy enligt BITS såsom Myndigheten för samhällsskydd och

IT-säkerhetspolicy. Finspångs kommun Finspång Telefon Fax E-post: Webbplats:

Finansinspektionens författningssamling

Finansinspektionens författningssamling

RIKTLINJER FÖR IT-SÄKERHET

IT-verksamheten, organisation och styrning

Riktlinjer för Informationssäkerhet Falkenbergs Kommun Kommunledningskontoret

IT - SÄKERHETSPOLICY. Version 1,1

Riktlinje för informationssäkerhet

Informationssäkerhetspolicy

Riktlinjer för informationssäkerhet

FÖRSVARSMAKTENS INTERNA BESTÄMMELSER

Riktlinjer för informationssäkerhet

Bilaga, Definition av roller och begrepp, till policy för IT-säkerhet. Publiceringsdatum Juni 2007 ( rev. September 2011)

Ansvar och roller för ägande av information samt ägande och förvaltande av informationssystem i Umeå kommun

ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) Kommunkansliet Antagen av Kommunfullmäktige , 14 Dnr ks 09/20. Innehållsförteckning

EDA KOMMUN. nformationssäkerhet - Informationssäkerhetspolicy

Handläggningsordning för förvaltning av IT-system vid Högskolan Dalarna

SÅ HÄR GÖR VI I NACKA

GENERELL SÄKERHETSINSTRUKTION FÖR FALKÖPINGS KOMMUNS ADMINISTRATIVA NÄTVERK

Hantering av behörigheter och roller

Bilaga, Definition av roller och begrepp, till policy för IT-säkerhet. Beslutsdatum (rev )

Sjunet Anslutningsavtal Standardregelverk för informationssäkerhet

Sjunet standardregelverk för informationssäkerhet

Riktlinjer för säkerhetsarbetet vid Uppsala universitet

Informationssäkerhetspolicy

Handledning i informationssäkerhet Version 2.0

Bilaga 1 - Handledning i informationssäkerhet

Informationssäkerhet. Riktlinjer. Kommunövergripande. Tills vidare. IT-chef. Dokumenttyp. Fastställd/upprättad av Kommunstyrelsen 26

IT-Policy. Tritech Technology AB

Riktlinjer för IT i Lilla Edets kommun. 2. Syftet med IT i Lilla Edets kommun

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010.

Dnr

Informationssäkerhetspolicy för Ånge kommun

Rikspolisstyrelsens författningssamling

Regler och instruktioner för verksamheten

Informationssäkerhetspolicy

Generell säkerhetsinstruktion. för Falköpings kommuns nätverk

Organisation för samordning av informationssäkerhet IT (0:1:0)

Informationssäkerhetspolicy inom Stockholms läns landsting

Informationssäkerhet. Hur skall jag som chef hantera detta?? Vad är det??

IT-revision Martin Malm CISA CISSP Verksamhetschef IT Governance Transcendent Group

Informationssäkerhet - Instruktion för förvaltning

Riktlinjer. Informationssäkerhet och systemförvaltning

GÖTEBORGS UNIVERSITET IT-policy version sid 2 av Syfte Övergripande Styrning av IT... 3

IT-Säkerhetspolicy för Munkfors, Forshaga, Kils och Grums kommun

Informationssäkerhetsanvisningar Förvaltning

Säkerhet vid behandling av personuppgifter i forskning

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Konsthögskolan 2010.

VISION STRATEGI REGLEMENTE PROGRAM POLICY PLAN» RIKTLINJE REGEL. Riktlinjer för informationssäkerhet

Program för informationssäkerhet 2008:490. kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning

Arkivkrav för IT system med elektroniska handlingar vid Lunds universitet

ORU /2016 Användning av IT-resurser - riktlinjer vid Örebro universitet

Bilaga 9 Säkerhet Dnr: /2015 Förfrågningsunderlag

Informationssäkerhetspolicy KS/2018:260

VGR-RIKTLINJE FÖR KOMMUNIKATION OCH DRIFT

Bilaga till rektorsbeslut RÖ28, (5)

GRUNDSÄKERHET. Allmänna råd. till föreskrifter om. för samhällsviktiga datasystem hos beredskapsmyndigheter. Utgåva 3, december 1999

TJÄNSTESKRIVELSE. Revidering av. informationssäkerhetspolicy TJÄNSTESKRIVELSE. Kommunstyrelsen KS/2019:63

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Musikhögskolan i Stockholm 2010.

Riktlinjer för informationssäkerhet

VÄGLEDANDE RÅD OCH BESTÄMMELSER FÖRVALTNING & DRIFT AV IT INOM TIMRÅ KOMMUN

Informationssäkerhetspolicy för Vetlanda kommun

Systemförvaltnings Modell Ystads Kommun(v.0.8)

Informationssäkerhet är ett medel som bidrar till att uppnå kommunens övergripande mål.

Informationssäkerhetspolicy för Ystads kommun F 17:01

Dnr UFV 2017/93. Informationssäkerhet. Riktlinjer för säkerhetsarbetet vid Uppsala universitet. Fastställda av Universitetsdirektören

IT säkerhetsinstruktion: Förvaltning Organisationen Svenljunga kommun

Sammanfattning av riktlinjer

Övergripande säkerhetsgranskning av kommunens säkerhet angående externa och interna dataintrång. Klippans kommun

Informationssäkerhet. Varför jobbar vi med informationssäkerhet? Vad är informationssäkerhet? Presentation

Regler och riktlinjer för IT-säkerhet vid Karolinska Institutet

SÄKERHETSINSTRUKTIONER FÖR ANVÄNDARE AV IT SYSTEM

Systemförvaltningsmodell för LiU

Riktlinjer för informationssäkerhet

IT-säkerhetspolicy. Antagen av kommunfullmäktige

Ansvarsförbindelse för Stockholms Läns Landstings Elektroniska Katalog (EK)

Transkript:

Revision 1 (3) State Released Plan för IT Säkerhet

DOCUMENT REVISION HISTORY Revision Reason for revision Date 1 New Document 2013-02-26 List of Authors List of Reviewers List of Approvers Skölde, Daniel/Ulrika Agnvik Peter Jacobsson/Heléne Björkman Peter Jacobsson 2(10)

SAMMANFATTNING Detta dokument redovisar ambitioner och avsikter avseende planering och implementering av IT-säkerheten vid anläggningen European Spallation Source ESS AB. 3(10)

INNEHÅLLSFÖRTECKNING Sammanfattning... 3 1. INTRODUKTION... 5 1.1 Sekretess... 5 1.2 Definition av IT-säkerhet... 5 1.3 Avgränsningar... 5 1.4 Målsättning med IT-säkerheten... 5 2. Ledning och ansvar för IT-säkerheten... 6 2.1 Systemägare... 6 2.2 Systemansvarig... 6 2.3 IT-chef... 7 2.4 Systemtekniskt ansvarig... 7 2.5 Användare... 8 3. Grundsäkerhetskrav... 8 3.1 Ledning... 8 3.2 Behörighet... 8 3.3 Loggning... 9 3.4 Skadlig kod... 9 3.5 Informationsklassning... 9 3.6 Säkerhetskopiering... 9 3.7 Datamedia... 9 3.8 Datakommunikation... 9 3.9 Uppföljning av aktivitetslogg... 10 3.10 Driftsäkerhet... 10 4(10)

1. INTRODUKTION Denna säkerhetsplan anger målen för IT-säkerheten vid ESS AB samt riktlinjer för hur dessa ska uppnås. Det är av stor vikt att en strukturerad IT-säkerhetskultur implementeras i god tid innan anläggningens driftskede inleds. 1.1 Sekretess Planen är att betrakta som ett internt dokument inom ESS och spridningen skall därför begränsas. 1.2 Definition av IT-säkerhet Med begreppet IT menas informationsteknik som innefattar teknik för elektronisk framställning, lagring, överföring och presentation av information. Tekniken kan bestå av hårdvara, nät, kommunikation och programvaror av olika slag. IT-säkerhet har inget uttalat självändamål utan syftar i första hand till att skydda de informationstillgångar som hanteras i de olika IT-systemen. Med IT-säkerhet avses att de ingående IT-systemen ska konfigureras, underhållas och användas på ett sådant sätt att säkerheten upprätthålls avseende såväl tillgänglighet, riktighet, konfidentialitet och spårbarhet. Med informationstillgångar menas både informationen och de resurser som används för att hantera informationen. IT-säkerheten omfattar följande områden: Fysisk säkerhet innebär att skydda IT-systemen och hårdvaran mot fysisk åverkan, t.ex brand, vattenskador och inbrott/stöld. Logisk säkerhet innefattar alla de mekanismer som sätts upp för att förhindra otillbörlig tillgång till informationen i de olika systemen. Organisatorisk säkerhet är den administrativa säkerheten i form av regler och riktlinjer som lagstiftning, policies, föreskrifter, metoder m.m. 1.3 Avgränsningar Följande områden hanteras inte i detta dokument. Hantering av hemliga dokument och uppgifter samt identifierade skyddsvärda anläggningsdelar, tekniska system och uppgifter redovisas i Säkerhetsskyddsanalys ESS. 1.4 Målsättning med IT-säkerheten Målen för IT-säkerhetsarbete vid ESS AB är att säkerställa hög tillgänglighet till såväl administrativa som driftsrelaterade IT-system så att de kan utnyttjas till sin avsedda funktion. Särskilt viktigt är att förhindra störningar i de system som är kritiska för styrning av acceleratorn och målstationen samt att bibehålla riktigheten i de producerade forskningsresultaten. 5(10)

Specifikt gäller att: Samtliga IT-system ska uppfylla grundsäkerhetskraven för IT-säkerhet Samtliga IT-system ska ha en utsedd systemägare Samtliga IT-system ska analyseras ur säkerhetssynpunkt för att fastställa om ytterligare verksamhets- eller hotrelaterade krav behöver tillvaratas Säkerhetsinstruktioner och åtgärder i IT-systemen utformas och förvaltas på ett sådant sätt att kraven uppfylls En återkommande uppföljning och kontroll av IT-säkerheten ska ske avseende såväl tillgänglighet, riktighet, konfidentiallitet och spårbarhet 2. LEDNING OCH ANSVAR FÖR IT-SÄKERHETEN En fastställd ansvarsfördelning för IT-säkerheten är en avgörande förutsättning för ESS AB att leva upp till sin IT-säkerhetsplan. Säkerhetsansvaret följer den normala linjeorganisationen. Var och en som är ansvarig för någon del av verksamheten, ansvarar också för IT-säkerheten inom sitt område. Nedan redovisas en fördjupad beskrivning av ansvarsfördelningen för olika rollinnehavare. I vissa fall kan samma person inneha fler än en av dessa roller. 2.1 Systemägare Systemägaransvaret innebär bland annat följande: Fastställa vilket informationsinnehåll IT-systemet ska ha Vilka lagar och andra regelverk som gäller för IT-systemet Identifiera verksamhetens krav på IT-systemet Identifiera hotbilden för IT-systemet Fastställa särskilda säkerhetsinstruktioner för IT-systemet Systemägaransvaret innebär dessutom att: Fastställa organisation och befattningar som rör IT-systemet. Utse systemansvarig Vid behov, fastställa avbrottsplan och reservrutiner för IT-systemet. Tillse att det finns serviceavtal m.m. Besluta om utbildning som rör systemet Följa upp och utvärdera effekterna av gjorda IT-investeringar Bevaka utvecklingen inom det egna verksamhetsområdet och initiera nya IT-lösningar I samråd med IT-chefen, ansvara för att systemet fungerar ihop med samverkande IT-system 2.2 Systemansvarig Systemansvarig utses av systemägaren och är den person i berörd verksamhet som har ansvaret för den dagliga användningen av IT-systemet. Systemansvarig samverkar med ITavdelningens systemtekniker för att säkerställa en säker och rationell daglig drift av ITsystemet. 6(10)

Systemansvarig har som uppgift att: Ha det operativa ansvaret för IT-säkerheten i det egna systemet Verkställa de beslut som systemägaren fattar Dokumentera förslag till ändringar/utveckling av systemet Ge användarsupport beträffande verksamhetsrelaterade frågor i systemet Ansvara för erfoderliga utbildningar i systemet I god tid innan beslut tas om uppdateringar eller förändringar i systemet rådgöra med den systemtekniskt ansvarige om att förändringarna är tekniskt möjliga att genomföra med bibehållen säkerhet Tillsammans med den systemtekniskt ansvarige planera lämplig tidpunkt för installationer och uppgraderingar m.m Delta aktivt i arbetet med säkerhetsfrågor som rör systemet 2.3 IT-chef IT-chefen har det övergripande ansvaret för att de olika IT-systemens tekniska delar fungerar. IT-chefen utövar också systemägaransvaret för ESS ABs generella IT-system. Dessutom ska IT-chefen samverka med systemägarna vad avser drift och resurs fördelning av IT-systemen. IT-chefen har följande ansvarsområden: I samråd med systemägaren tillse att IT-systemet fungerar ihop med samverkande system Besluta om behörighet till de gemensamma resurserna och infrastrukturen Besluta om avregistrering av användare från de gemensamma resurserna och infrastrukturen Att rutinerna för säkerhetskopiering uppfyller systemägarens krav Att säkerhetskopierat material förvaras på ett betryggande sätt och kontrollera att återläsningsrutiner fungerar Tillhandahålla teknisk support till användarna Vara teknisk rådgivare till systemägaren då förändringar i IT-systemet är aktuella Ansvara för att det finns en aktuell förteckning över IT-systemen vid ESS AB Ansvara för att den tekniska IT-säkerheten ligger på en nivå som motsvarar de ställda kraven 2.4 Systemtekniskt ansvarig Den systemtekniskt ansvarige tillhör IT-avdelningen och innehar den tekniska kompetensen. Systemtekniker, tillsammans med systemansvarig, ansvarar för att den dagliga driften upprätthålls enligt gällande ansvarsfördelning mellan systemägaren och IT-chefen. Ansvara för att IT-systemet rent tekniskt fungerar ur tillgänglighetssynpunkt. Tillhandahålla teknisk support till systemansvarig och användare Själva eller tillsammans med leverantörens tekniker ansvara för installation och uppdatering av IT-systemen Ansvara för den tekniska dokumentationen kring IT-systemet Ansvara för den tekniska säkerheten i IT-systemet och delta i säkerhetsfrågor som rör den tekniska infrastrukturen 7(10)

2.5 Användare ESS egen personal samt de konsulter och entreprenörer som arbetar för ESS har ett stort gemensamt ansvar för att bibehålla IT-säkerheten vid ESS. Varje användare är skyldig att ta del av och följa gällande säkerhetsinstruktioner för de ITsystem som denne nyttjar. Användaren har också ansvar för att rapportera olika former av incidenter till systemansvarig. 3. GRUNDSÄKERHETSKRAV 3.1 Ledning Varje IT-system ska ha en utsedd systemägare Systemsäkerhetsplaner innehållande de samlade kraven som ställs på IT-systemet ska upprättas I respektive systemsäkerhetsplan ska det tydligt framgå vem som ansvarar för de ingående delarna i systemet De regler och instruktioner som berör användarnas ansvar och handhavande av ett specifikt IT-system ska dokumenteras och fastställas av systemägare i en särskild säkerhetsinstruktion för användare Säkerhetsinstruktionerna ska utgå från IT-säkerhetsplanens mål och riktlinjer Information om IT-säkerhet ska spridas till samtliga som är verksamma vid ESS AB. Den ska bland annat innehålla aktuella användarinstruktioner samt betydelsen av ITsäkerheten för verksamheten 3.2 Behörighet För att få tillgång till ett eller flera IT-system vid ESS AB krävs att användaren är registrerad som behörig användare i ett behörighetskontrollsystem Endast behöriga, med de rättigheter som beslutats, ska finnas registrerade som användare i IT-systemen Den grundläggande principen ska alltid vara att varje användare har en unik användaridentitet och ett lösenord som endast denne känner till och kan ändra Lösenordsregler ska nyttjas för att säkerställa att de inte är lätta att avslöja Användarna ska tvingas byta lösenord enligt det tidsintervall som systemägaren beslutar Användaren ska ges en behörighetsprofil som endast medger åtkomst till de resurser i nätverken som krävs för att utföra sina arbetsuppgifter För att säkerställa att de endast är beslutade behörigheter som läggs in i ITsystemens behörighetskontrollsystem ska det finnas en fastställd organisation för behörighetsadministration Säkerhetsinstruktionen för behörigheter ska omfatta hela kedjan med tilldelning, information, uppdatering, uppföljning och avslut Systemägaren ska i säkerhetsinstruktionen bland annat fastställa vem som har rätt att besluta om behörighet Beslut om behörighet ska dokumenteras och innehålla uppgifter som är nödvändiga för att behörigheten ska kunna läggas in i behörighetskontrollsystemet 8(10)

3.3 Loggning En grundläggande säkerhetsloggning i systemet ska omfatta användaridentitet, inloggning, utloggning samt datum och klockslag Systemägaren ska fastställa om och i så fall vilka händelser utöver den grundläggande säkerhetsloggningen som ska registreras i de enskilda IT-systemens säkerhetslogg I säkerhetsinstruktionen ska systemägaren fastställa regler för hur ofta analys av säkerhetsloggar ska ske, vem som ansvarar för detta, hur analys av säkerhetsloggar ska genomföras samt hur säkerhetsloggar ska förvaras 3.4 Skadlig kod Det föreligger alltid en risk för att skadlig programvara kan komma in i IT-systemen. Därför ska det, där det är möjligt, finnas program för detektering och oskadliggörande av skadlig programvara Av säkerhetsinstruktionen ska det framgå vilka åtgärder som ska vidtas för att förhindra skadlig programvara i systemet 3.5 Informationsklassning I säkerhetsinstruktionen ska det finnas riktlinjer för informationsklassning och hantering av informationen i systemet Systemägaren ska i säkerhetsinstruktionen bedöma vilken information, lagrad på datamedia, som ska omfattas av särskilda krypterings- och raderingsrutiner så att informationen ej sprids till obeöriga 3.6 Säkerhetskopiering Säkerhetskopiering ska göras regelbundet och information ska kunna återställas vid behov Systemägaren ska i säkerhetsinstruktionen fastställa reglerna för säkerhetskopiering av information. Dessa regler ska reglera vilken information som ska omfattas av säkerhetskopiering, intervall för säkerhetskopiering samt hur säkerhetskopior ska förvaras Systemägaren ska fastställa hur många generationer av säkerhetskopior som ska finnas samt vilka kontroller som ska genomföras av att säkerhetskopiorna är läsbara 3.7 Datamedia Av säkerhetsinstruktionen ska framgå vilka åtgärder som ska vidtas, dels för att förhindra att media förstörs, dels för att säkerställa att informationen är läsbar under hela förvaringstiden Av säkerhetsinstruktionen ska framgå regler för förvaringstid av datamedia. Reglerna ka baseras på de bestämmelser som gäller för den information som lagras 3.8 Datakommunikation För att försvåra för obehöriga att göra intrång i IT-systemen via externa anslutningar ska det finnas en brandväggar installerade samt policy för hur installationen ska utformas och genomföras 9(10)

Brandväggar ska vara den enda kommunikationskanalen för Internetbaserad kommunikation till och från ESS AB De ska finnas en förteckning över samtliga externa anslutningar. Detta inkluderar även alla former av anslutningar för underhåll och service från leverantörer Brandväggarnas utformning ska dokumenteras, gärna som ett särskilt avsnitt i driftdokumentationen Användarnas aktiviteter genom brandväggen ska loggas där så är tekniskt möjligt Systemägaren ska fastställa vilka och vilken typ av interna och externa anslutningar till andra IT-system som tillåts. Exempelvis Internet Systemägaren ska ta ställning till vad ansvaret vid dataöverföring till och från ITsystemet innebär, vilket kan omfatta ansvar i händelse av förlust eller förändring av data 3.9 Uppföljning av aktivitetslogg Uppföljning av brandväggarnas aktivitetsloggar ska ske vid väl grundade misstankar om överträdelser mot gällande lagar och regler eller vid misstanke om intrångsförsök. Beslut om att granska anställdas aktiviteter i IT-systemet fattas i samråd mellan IT-chef eller särskilt utsedd, Säkerhetschef och Personalchef. Resultatet ska vid behov delges berörd verksamhetschef. I säkerhetsinstruktionen ska det finnas riktlinjer för hur länge aktivitetsloggarna ska sparas och hur överträdelser ska hanteras. 3.10 Driftsäkerhet För varje IT-system ska det finnas en systemdokumentation Systemdokumentationen riktas till den som ska underhålla och vidareutveckla ITsystemet Det ska finnas en beskrivning av vilken kompetens som erfordras för drift och underhåll av IT-systemet. Tillträdet till viktiga utrymmen, där till exempel för driften viktiga servrar och kommunikationsutrustningar förvaras, ska vara begränsat Tillträdet ska minst regleras med hjälp av låssystem och helst med en kombination av tekniska och administrativa åtgärder Beslut om vem som får ha tillträde för att kunna utföra sina arbetsuppgifter fattas av systemägaren Serverrummen ska vara utrustade med brand-, temperatur, intrångs- och fuktighetslarm. Larmen ska testas regelbundet. Serverrummen ska ha automatisk släckningsutrustning Rätten att installera program, nya versioner av program eller import av externa filer ska regleras i säkerhetsinstruktionen En analys ska genomföras för att identifiera vilka IT-system och vilka utrustningar i IT-systemen som är av sådan betydelse att de ska utrustas med avbrottsfri kraft 10(10)

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss