Sitic Sveriges IT-incidentcentrum FR04-01 Informationssäkerhetspolicy Förebyggande Råd från Sveriges IT-incidentcentrum Om Förebyggande Råd från Sitic Bakgrund I uppdraget för Sveriges IT-incidentcentrum (Sitic) ingår det att producera information och råd om förebyggande åtgärder avseende IT-säkerhet. Detta dokument ingår i en serie kallad Förebyggande Råd. Friskrivning Den information Sitic tillhandahåller produceras i enlighet med högt ställda krav på kvalitet och sakinnehåll. Sitic kan dock inte garantera att informationen i alla avseenden är korrekt eller åta sig ansvar för detta. Inte heller kan Sitic åta sig ansvar för användning av informationen, eller resultatet av användning av informationen. Omnämnande av, eller referenser till, annan organisation betyder inte att Sitic stödjer, befrämjar eller på annat sätt gynnar denna organisations verksamhet. Om detta dokument Syfte Information är en tillgång som behöver skyddas. För att få kontroll över organisationens informationstillgångar är det nödvändigt att säkerställa kontinuitet i verksamheten. Inför informationssäkerhetsarbetet behöver en infrastruktur upprättas. En informationssäkerhetspolicy formaliserar hur informationen säkerställs och behandlas inom organisationen, vilket innebär ett styr- och processtänkande inom verksamheten. Dokumentet kommer att ge grundläggande information om vad en organisation bör tänka på när informationssäkerhetspolicyn utformas. Tillämplighet Dokumentet riktar sig till personer i organisationer vars tjänst innefattar arbete av policy-, säkerhets- eller systemadministratörskaraktär. Avgränsningar Dokumentet kommer inte i detalj beskriva varje enskild del av en informationssäkerhetspolicy utan eftersträvar att ge en mer övergripande bild av hur en organisation kan gå tillväga vid utvecklingsarbetet. POST- OCH TELESTYRELSEN Sveriges IT-incidentcentrum, SITIC POSTADRESS Box 5398, 102 49 Stockholm BESÖKSADRESS Birger Jarlsgatan 16 TELEFON 08-678 57 99 KRYFAX 08-679 58 76 FAX 08-678 55 05 E-POST sitic@pts.se WEBBADRESS www.sitic.se www.pts.se
Sakområdet Allmänt Informationssäkerhetspolicyn hjälper till att förhindra avbrott i organisationens verksamhet och skydda kritiska rutiner från följder av oväntade allvarligare avbrott eller katastrofer. Den hjälper till att minska skadan som förorsakas av katastrofer och säkerhetsincidenter till en godtagbar nivå, genom en kombination av förebyggande och återställande skydd. Det diskuteras ofta om nya virus och hackerattacker, men vi glömmer många gånger att de flesta hot kommer inifrån. Dessa utgörs av omedvetna och nyfikna anställda, otillräckliga rutiner, system samt ofullständig kunskap på ledningsnivå. För verksamhetens lönsamhet kan säkerhet i informationsbehandling vara av avgörande. En informationssäkerhetspolicy ska vara de riktlinjer som samtliga anställda arbetar efter för att bibehålla verksamhetens säkerhet. Den ska vara enkel, lättförståelig och koncentrerad. Utifrån informationssäkerhetspolicyn tas en systemsäkerhetsplan för varje enskilt IT-system fram. Informationssäkerhetspolicyn och systemsäkerhetsplanen preciseras i IT-säkerhetsinstruktioner. Dessa är tänkta för användare, drift- och förvaltningspersonal. Hur informationssäkerhetsdokumenten förhåller sig gentemot varandra: Informationssäkerhetspolicy varför Systemsäkerhetsplan vad IT-säkerhetsinstruktioner hur En informationssäkerhetspolicy beskriver varför en verksamhet skyddar sin information. Den är grunden i säkerhetsarbetet och ska vara genomarbetad och väl förankrad på alla nivåer i organisationen för att därigenom spegla verksamhetens värderingar. Organisationens systemsäkerhetsplan beskriver vad verksamheten har för avsikt att göra för att genomföra och upprätthålla informationssäkerheten. Den beskriver säkerhetsmålsättning som gäller för aktuellt IT-system och klarlägger vilka säkerhetskrav som ska ställas utifrån aspekterna sekretess, riktighet och tillgänglighet. Det kan t.ex. vara riktlinjer för incidenthanteringen inom organisationen.
IT-säkerhetsinstruktioner beskriver exakt hur verksamheten kommer att uppnå de krav som den överordnade informationssäkerhetspolicyn och systemsäkerhetsplanerna förordar. Instruktionerna ges för specifika system eller åtgärder t.ex. incidenthanteringen. Där beskrivs det hur och av vem t.ex. incidenthanteringen ska införas och följas upp. Svensk standard för upprättande av ledningssystem för informationssäkerhet (LIS) är SS ISO/IEC 17799. Denna bygger i sin tur på den brittiska standarden BS 7799. Standarden förutsätter att ledningen tar sitt ansvar för informationssäkerheten och att detta tydliggörs och kommuniceras i organisationen. SS ISO/IEC 17799 bygger på att en riskanalys genomförs och att en informationssäkerhetspolicy upprättas som sedan ligger till grund för övriga systemsäkerhetsplaner som skapas. Standarden kräver även att det finns en revisionsfunktion för systemet eftersom informationssäkerhetsarbete är dynamiskt. Krisberedskapsmyndighetens (KBM) rekommendationer finns samlade i BITS (Basnivå för IT-säkerhet). Fleratlet faktorer påverkar de krav som ställas på säkerheten i samhällsviktiga IT-system. Säkerhetsnivån måste i varje enskilt fall fastställas med utgångspunkt från en riskanalys som genomförs innan organisationen börjar utforma informationssäkerhetspolicyn. Kraven på säkerhet i IT-verksamheten ska ställas i relation till de krav som ställs på organisationens verksamhet i övrigt. IT-säkerheten ska ligga på en sådan nivå att IT-stödet inte blir den svaga länken i organisationens verksamhet. Teknik Det här dokumentet behandlar hur en informationssäkerhetspolicy skapas, någon teknisk lösning är inte aktuell. Risker I verksamheten är det viktigt att det finns en gemensam plattform för att därigenom agera konsekvent. Det är nödvändigt att de personer som besitter kunskap om verksamheten och hur den bedrivs också finns med under de praktiska delarna i hela analysarbetet. Personer som ser och förstår helheten. I arbetsgruppen bör det ingå någon representant från de berörda avdelningarna. Det som tas med i informationssäkerhetspolicyn ska inte endast vara saker de känner att de kan göra något åt. Det kan då bli en ojämn kvalitet på arbetet eftersom medarbetarna inte är lika medvetna om säkerhetens betydelse. En annan risk kan vara att de anställda tolkar informationssäkerhetspolicyn som en kravspecifikation eller projektplan. Utan en informationssäkerhetspolicy är risken stor att frågor uppstår som kan skada verksamheten på olika sätt. Det finns oklarheter i organisationen. Vad är det som gäller? Vem är ansvarig för vad? Varför ska jag göra något när ingen annan gör det? Vad anser ledningen egentligen? Allt är prioriterat! Då är det svårt att skapa underliggande dokument som riktlinjer, anvisningar och instruktioner. Det finns tillfällen då policyn har ett extra stort värde. Det kan röra sig om verksamheter som har speciellt skyddsvärd information. Det kan också vara att säkerheten precis blivit en viktig fråga och det finns ett behov av att markera vad
som gäller. Ytterligare ett exempel kan vara att verksamheten går in i ett nytt produktområde. En risk kan vara att informationssäkerhetspolicyn blir för teknikfokuserad eller byggd utifrån dagens lösning. Det är viktigt att rättsregler beaktas vid informationsbehandlingen, t.ex. regler om sekretess och tystnadsplikt, regler om förvaring och arkivering, regler om skydd för personlig integritet, immaterialrättsliga regler, arbetsrättsliga regler och regler om krypteringsprodukter. Utöver dessa kan ytterligare relevant lagstiftning föreligga och ytterligare riktlinjer och föreskrifter kan behövas. Råd om särskilda rättsliga krav bör inhämtas från organisationens juridiska rådgivare eller annan person med kunskaper i juridik. Rättsliga krav varierar från land till land. Risken med att inte ha upprättat en informationssäkerhetspolicy kan vara att allt inte blir uppfångat och att saker därmed blir ogjorda. En särskild svårighet med att nå bra säkerhet är att uppnå balans mellan säkerhetsåtgärder. Det är meningslösa och överflödiga kostnader att satsa pengar på kvalificerat skydd mot virus och hackers om det finns en oärlig medarbetare som kan ställa till större skada. Det är viktigt att bemöta risker och täppa till luckor men samtidigt undvika överdrivna kostnader för skyddet. Genomförande Innan en informationssäkerhetspolicy utformas är det viktigt att genomföra en riskanalys som ligger till grund för verksamhetens kommande standard. Riskanalysen ska identifiera vilka hot som finns mot organisationen. Eftersom hoten inte av sig själva påverkar verksamheten utan behöver ett hål i verksamheten, brukar detta kallas sårbarhet, dock inte att förväxlas med tekniska sårbarheter som kan finnas i produkter. Det är först när ett hot finns tillsammans med en sårbarhet som det blir en större eller mindre påverkan på de tillgångar organisationen försöker att skydda. Hur stor är sannolikheten att det kommer att inträffa, vilka konsekvenser skulle detta ha för verksamheten och, om det är möjligt, gör en kostnadskalkyl. Sannolikheten att en incident inträffar kan vara svår att bedöma när en informationssäkerhetspolicy utarbetas. Vilken av de incidenter som potentiellt orsakar mest skada måste beräknas? Kostnaden behöver inte bara räknas i kronor. Dataförlust, integritet, ansvarsskyldighet, oönskad medieuppmärksamhet, förlust av kund- eller investerarförtroende samt kostnaden för att reparera säkerhetshål måste också värderas. Tänk på sannolikheten för ett säkerhetshål och följderna av en incident. Dessa hot kan vara både externa och interna: Externa hot, t.ex. virus, maskar, trojaner, hacking, före detta anställda som hämnas, industrispionage. Interna hot, kan kosta mycket eftersom brottslingen har större access och insikt i var känslig och betydelsefull information finns lagrad. Interna hot kan också omfatta anställda som felaktigt använder Internet.
Informationssäkerhetspolicyn kan tas fram enligt följande punkter, baserade på LIS: 1. Gå igenom frågelistan (Handbok i Informationssäkerhetsarbete) (se punkt 3.3 Underlag för att skriva en säkerhetspolicy) och ta fram svar på frågorna. Välj struktur och mall (se punkt 3.4 Exempel på säkerhetspolicy) för hur policyn ska utformas. 2. För in de svar som genererats av frågorna i policyn. 3. Stäm av riktigheten i policyn genom att intervjua nyckelpersoner i verksamheten. 4. Förankra policyn i verksamheten genom att sända den på remiss och gör presentationer av den. 5. Arbeta in synpunkter från remissen och anmäl att du vill få den beslutad i ledningen. 6. Fastställande av policyn i ledningen. 7. Implementera den i organisationen. 8. Utvärdera införandet. 9. Revidera policyn. Oavsett val av informationssäkerhetspolicy, måste den tydligt ange säkerhetsansvar och vem som äger de specifika systemen och dess data. Tre delar som måste tillämpas är: Uppföljandet Skapa en process för att säkra att policyn följs, och eventuella konsekvenser om så inte sker. Säkerhetsansvariga Välj en direktansvarig för informationssäkerhet. Se till att det inte är samma person som övervakar, implementerar och kontrollerar säkerheten. Finansiering Se till att varje avdelning har reserverat tillräckligt med pengar för att kunna följa organisationens informationssäkerhetspolicy. Nyckelpunkter i informationssäkerhetspolicyn enligt LIS Policyn bör ses som ett komplement till organisationens affärsplan, ITstrategi och de lagar och avtal som finns. Nedan följer ett antal nyckelpunkter som bör ingå i en policy: Viljedeklaration från högsta ledningen. Fastläggande av att säkerheten är viktig i verksamheten där informationssäkerhetens betydelse för verksamheten anges. Definition av begreppet informationssäkerhet.
Motiv för varför och vilket slags säkerhet som behövs i organisationen: hot-, sannolikhets- och konsekvensbeskrivning, -omvärldens krav eller förväntningar (lagar, avtal och andra krav), -den personliga säkerheten, -incidenthantering, -visa på vilket sätt säkerhet lönar sig. Övergripande mål och detaljmål för säkerhetsarbetet. Beskrivning av kopplingen till andra styrande dokument eller rutiner. Ansvarsfördelningen inom organisationen med en betoning på det personliga ansvaret. Beskrivning av säkerhetsorganisationens utseende, befattningsinnehavare och ansvar Redogörelse för vikten av en avbrottsplan för verksamheten. Plan för policyns förverkligande genom exempelvis -information/utbildning, -säkerhetshöjande åtgärder. Beskrivning av uppföljningssystem. Sanktioner vid i sidosättande av policyn eller andra säkerhetsregler. Angivande av dokumentansvarig för policyn och hur den ska revideras och följas upp. Organisatoriska aspekter Informationssäkerhetspolicyn används för att skapa rutiner, strukturer i verksamheten samt utpekat ansvar för att hantera och skydda information som är avgörande för en organisations nuvarande och framtida verksamhet. Exakt vilken nivå som krävs bestäms naturligtvis av varje organisations särskilda behov. Den visar tydligt ledningens inriktning för informationssäkerheten. Policyn för informationssäkerhet bör vara utformad som ett komplement och stöd för övriga policies t.ex. personalfrågor, resurser och ekonomi. Det ökar både tillförlitligheten och det goda ryktet för organisationen. Det är viktigt att tänka på att informationssäkerhetspolicyn inte bara blir ett dokument. Organisationen ska kunna tillämpa, underhålla samt anpassa verksamheten så att policyn efterlevs och ger ett mervärde. Ansvar ska tilldelas personer för att kontrollera och följa upp ansvarsområden. De ska se till att utsedda rutiner etableras, uppdateras och övas så att de blir ett naturligt, integrerat inslag.
Informationssäkerhetspolicy är grunden i allt säkerhetsarbete och bör därför vara genomarbetad och väl förankrad på alla nivåer i organisationen. Med en aktuell och genomtänkt policy som grund är det betydligt enklare att välja tekniska säkerhetslösningar som är väl integrerade i företagets infrastruktur. Utförda säkerhetsåtgärder enligt systemsäkerhetsplanens krav behöver granskas för att kontrollera att de motsvarar ställda krav. Granskningen leder till den säkerhetsutvärdering som sedan ligger till grund för beslut om driftgodkännande av IT-systemet. När informationssäkerhetspolicyn har blivit godkänd, ska den delas ut till alla anställda, eftersom alla anställda har ansvar i att policyn ska bli resultatrik. Det är viktigt att informera alla som nyanställs. Policys ska uppdateras åtminstone varje år, gärna oftare, för att reflektera förändringar i organisationen. Framtida utvecklingsmöjligheter Informationssäkerhetspolicyn beskriver vilka synsätt, krav på regler och åsikter organisationen har för att skydda sina informationstillgångar. Policyn tar upp den miljö, personal och de processer som gäller samt vilka följderna blir om policyn inte efterlevs. Det är viktigt att informationssäkerhetspolicyn underhålls och kontinuerligt uppdateras så att den följer utvecklingen av verksamheten. Förklaringar Ingår ej. Referenser 1 Att bygga en effektiv säkerhetspolicy. [Elektronisk] Symantec. Tillgänglig: <http://www.symantec.ca/region/se/corporate/building_securitypolicy.html>. [040212] 2 Basnivå för IT-säkerhet (BITS) KBM rekommenderar 2003:2. [Elektronisk] Krisberedskapsmyndigheten. PDF format. Tillgänglig: <http://www.krisberedskapsmyndigheten.se/verksamhet/information/bas_it-sakerhet_bits_rekomm2003-2.pdf>. [040212] 3 En introduktion av policies för informationssäkerhet, standarder och procedurer. [Elektronisk] Symantec. Tillgänglig: <http://www.symantec.ca/region/se/corporate/definitive_intro_to_information_policy.html [040212] 4 Handbok i informationssäkerhetsarbete (STG/TK99 AG6) (2001). SIS. 5 Ledningssystem för informationssäkerhet Riktlinjer för ledning av informationssäkerhet (SS-ISO/IEC 17799) (2001). SIS.
Bilagor Ingår ej. Versionshistorik 1 040212 - Dokumentet skapat.