UFV 2012/716 Riktlinjer för informationssäkerhet Anvisningar för genomförande av egenkontroller av informationssäkerheten i systemförvaltningsobjekt Fastställd av: Säkerhetschef 2012-05-22
Innehållsförteckning 1 Inledning 3 1.1 Syfte 3 1.2 Mål 3 1.3 Målgrupper 3 2 Planering 4 3 Genomförande 4 3.1 Definiera omfattning 4 3.1.1 Klassificera informationen 4 3.1.2 Anpassa checklistan 4 3.2 Gör nulägesbedömning 5 3.3 Sammanställ rapport och föreslå förbättringsåtgärder 5 4 Uppföljning 5 5 Bilagor 5 2
1 Inledning Till följd av ökande användning av informationsteknik och internetbaserade informationstjänster utsätts universitetets informationstillgångar för ett växande antal och en större bredd av hot och sårbarheter. Information är en tillgång som i likhet med personal och egendom är avgörande för vår verksamhet och måste följaktligen få ett adekvat skydd. Säkerhetsåtgärder i vår verksamhet kan vara organisatoriska, administrativa, fysiska eller tekniska och har som mål att skydda med avseende på säkerhetsaspekterna konfidentialitet, riktighet, och tillgänglighet. När säkerhetsåtgärderna granskas är det viktigt att tänka i flera dimensioner: Är säkerhetsåtgärden dokumenterad? Är säkerhetsåtgärden verkligen på plats och används den? Fungerar säkerhetsåtgärden som det är tänkt? Underhålls säkerhetsåtgärden? En säkerhetsanalys av de informationssystem som ingår i ett förvaltningsobjekt ger ett bra kvitto på hur sårbart förvaltningsobjektet är för de risker som kan uppträda. Det skapar en trygghet för objektägare (OÄ) att känna till status på informationsskyddet och få ett underlag för prioriteringar av och beslut om säkerhetsförbättringar som är en del av det löpande förvaltningsarbetet. 1.1 Syfte Syftet med att genomföra regelbundna egenkontroller av informationssäkerheten är framför allt att säkerställa att säkerhetsåtgärder med avseende på konfidentialitet, riktighet och tillgänglighet är införda i tillräcklig omfattning i det aktuella förvaltningsobjektet. 1.2 Mål Att metoden som beskrivs i dessa anvisningar, inklusive dess bilagor, ska upplevas som ett stöd vid egenkontroller av hur informationsskyddet i ett förvaltningsobjekt uppfyller de mål och regler som omfattas av universitets riktlinjer för informationssäkerhet 1. 1.3 Målgrupper Metoden är i första hand framtagen för förvaltningsledare (FL) som stöd för att leda arbetet med att genomföra egenkontroller av informationssäkerheten i sitt förvaltningsobjekt. 1.4 Omfattning Vilka säkerhetsåtgärder som egenkontrollen av ett förvaltningsobjekt omfattas av framgår av Checklistan (Bilaga 1). Checklistan i sin helhet är baserad på ISO/IEC 27001:2006 men bör anpassas till förvaltningsobjektets bedömda säkerhetsnivå (Bas, Hög eller Särskilda krav) enligt det förfarande som beskrivs i avsnittet Genomförande nedan. 1 http://regler.uu.se/digitalassets/8/8850_riktlinjer_f r_informationss kerhet.pdf 3
Att notera: Utöver de säkerhetsåtgärder som beskrivs i checklistan kan säkerhetsåtgärder tillkomma, eller behöva anpassas, för specifika situationer eller behov i ett förvaltningsobjekt. 1.5 Stöd till genomförandet Informationssäkerhetsspecialister vid universitetets IT-organisation kan bistå FL vid planering av en säkerhetsanalys eller för bedömning av resultatet. Se kontaktuppgifter på universitetsförvaltningens hemsida 2. 2 Planering En säkerhetsanalys av förvaltningsobjektet, eller valda delar av objektet, bör göras på årsbasis och enligt en tidplan som möjliggör att prioriterade säkerhetsförbättringar i slutrapporten kan inkluderas i förvaltningsplanen för kommande verksamhetsår. 3 Genomförande En säkerhetsanalys i ett förvaltningsobjekt består i huvudsak av tre arbetsuppgifter vilka förklaras närmare i de följande avsnitten. 3.1 Definiera omfattning Säkerhetsanalyser kan göras av hela förvaltningsobjektet eller valda delar av objektet, dvs. även av ett enskilt system inom objektet. 3.1.1 Klassificera informationen För att kunna avgöra vilka säkerhetsåtgärder som är relevanta för förvaltningsobjektet behöver en informationsklassificering göras av de informationstillgångar som objektet hanterar. Informationsklasserna som används är Bas, Hög eller Särskilda krav. Anvisningar för hur en informationsklassificering ska genomföras, inklusive stödblanketter, finns på universitetets hemsida för informationssäkerhet 3. 3.1.2 Anpassa checklistan 2 http://uadm.uu.se. 3 http://uadm.uu.se/iti/informationssakerhet 4
När klassificeringen enligt ovan har utvisat vilken önskad säkerhetsnivå som förvaltningsobjektet är nästa steg att anpassa checklistan (Bilaga 1) till att omfatta de säkerhetsåtgärder som motsvarar denna säkerhetsnivå. Detta görs genom att följa de inledande användarinstruktioner som finns i checklistan. 3.2 Gör nulägesbedömning FL, eller annan av OÄ utsedd person, leder arbetet med säkerhetsanalysen och ansvarar för att analysen dokumenteras och rapporteras till OÄ. Analysen genomförs i form av en eller flera workshops i en analysgrupp där de personer som har viktiga roller i förvaltningsorganisationen deltar. Även s.k. super users eller andra nyckelpersoner kan vara tänkbara deltagare i hela eller delar av analysen. Analysgruppen går metodiskt igenom checklistan för objektet och bedömer efterlevnaden av de angivna säkerhetssåtgärderna enligt följande skala: 3 = Hög efterlevnad (säkerhetsåtgärden fungerar enligt dokumenterad och implementerad rutin) 2 = Acceptabel efterlevnad (säkerhetsåtgärden kan anses fungera tillfredställande) 1 = Bristfällig efterlevnad (säkerhetsåtgärden har stora brister) 0 = Ingen efterlevnad (säkerhetsåtgärden är ej implementerad/följs ej) Et = Ej tillämpligt (t.ex. för IT-relaterade förvaltningsobjekt som Teknisk plattform, IT-arbetsplats etc) Att notera: För nivåerna 0-1 ska förslag på förbättringar för att uppnå acceptabel nivå anges i checklistan. 3.3 Sammanställ rapport och föreslå förbättringsåtgärder När nulägesbedömningen är slutförd gör FL en sammanställning av resultatet och skickar denna på remiss till övriga workshopdeltagare och gör erforderliga ändringar och kompletteringar. Därefter skriver FL en slutrapport från säkerhetsanalysen, som stöd för detta finns ett rapportexempel (Bilaga 2). Som en bilaga till slutrapporten upprättas en åtgärdsplan (Bilaga 3). Avslutningsvis skickas slutrapporten från säkerhetsanalysen till OÄ som underlag för prioritering och beslut om föreslagna säkerhetsförbättringar. 4 Uppföljning Uppföljning av att de beslutade säkerhetsförbättringarna genomförs sker därefter i det löpande förvaltningsarbetet för objektet. 5 Bilagor Bilaga 1 Checklista 5
Bilaga 2 Slutrapport (mall) Bilaga 3 Åtgärdsplan (mall) 6