EXEMPEL. Informationssäkerhetsinstruktion: Kontinuitet och Drift (Infosäk KD)



Relevanta dokument
Drift. IT säkerhetsinstruktion: Upprättad av: Johan Israelsson

Informationssäkerhetsanvisningar Kontinuitet och Drift

Informationssäkerhet - Informationssäkerhetspolicy

Informationssäkerhetspolicy IT (0:0:0)

Informationssäkerhetsanvisningar Förvaltning

Informationssäkerhetspolicy

VÄGLEDANDE RÅD OCH BESTÄMMELSER FÖRVALTNING & DRIFT AV IT INOM TIMRÅ KOMMUN

IT-Säkerhetsinstruktion: Förvaltning

EDA KOMMUN. nformationssäkerhet - Informationssäkerhetspolicy

IT-säkerhetsinstruktion Förvaltning

Informationssäkerhetsinstruktion: Användare

Riktlinjer avseende Informationssäkerheten för Götene, Lidköping och Skara kommuner

Policy Document Number ESS Date Mar 14, 2013 Revision 1 (3) Plan för IT Säkerhet

Riktlinjer för Informationssäkerhet Falkenbergs Kommun Kommunledningskontoret

Informationssäkerhetsinstruktion Användare: Övriga (3:0:2)

Informationssäkerhet Riktlinje Förvaltning

Informationssäkerhetsinstruktion Användare: Elever (3:0:1)

Fastställd av kommundirektören Informationssäkerhet Riktlinje Kontinuitet och drift

Förnyad certifiering av driftleverantörerna av Ladok

Informationssäkerhet - Instruktion för förvaltning

Riktlinje för informationssäkerhet i Skövde kommun motsvarar Informationssäkerhetspolicy enligt BITS såsom Myndigheten för samhällsskydd och

Kontinuitetsplan IT. Bilaga till Informationssäkerhetspolicy

VGR-RIKTLINJE FÖR KOMMUNIKATION OCH DRIFT

INFORMATIONSSÄKERHET 1 INLEDNING MÅL FÖR IT-SÄKERHETSARBETET... 2

Organisation för samordning av informationssäkerhet IT (0:1:0)

Informationssäkerhetspolicy för Katrineholms kommun

RIKTLINJER FÖR IT-SÄKERHET

GENERELL SYSTEMSÄKERHETSPLAN FÖR FALKÖPINGS KOMMUNS NÄTVERK 1 INLEDNING BAKGRUND...1

Säkra trådlösa nät - praktiska råd och erfarenheter

Riktlinjer för IT och informationssäkerhet - förvaltning

Regler och instruktioner för verksamheten

Informationssäkerhetspolicy för Ånge kommun

Informationssäkerhetspolicy

1 (5) Informationssäkerhetspolicy Informationssäkerhetspolicy. Ver 3.0

Systemkrav och tekniska förutsättningar

Metoder för att öka informationssäkerheten. och därmed minska säkerhetsriskerna

Bilaga 3c Informationssäkerhet

Bilaga 3 Säkerhet Dnr: /

Handledning i informationssäkerhet Version 2.0

ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) Kommunkansliet Antagen av Kommunfullmäktige , 14 Dnr ks 09/20. Innehållsförteckning

Systemkrav. Artvise Kundtjänst

GENERELL SYSTEMSÄKERHETSPLAN FÖR FALKÖPINGS KOMMUN

IT-säkerhet i Svenska kyrkan gemensamma IT-plattform GIP

KOMMUNAL FÖRFATTNINGSSAMLING Nr 005.6

Informationssäkerhet vid Lunds Universitet. Mötesplats Rydberg 3:e oktober Lennart Österman

Informationssäkerhetsanvisning

Informationssäkerhetspolicy

Tekniskt driftdokumentation & krishantering v.1.0

Policy för tekniska och organisatoriska åtgärder för dataskydd. 14 juni 2018 Peter Dickson

Informationssäkerhetsinstruktion Användare: Personal (3:0:0)

Informationssäkerhetspolicy

Bilaga 9 Säkerhet Dnr: /2015 Förfrågningsunderlag

Program för informationssäkerhet 2008:490. kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning

Informationssäkerhetsinstruktion Användare: Övriga (3:0:2)

Granskning av säkerheten i mobila enheter. Internrevisionsrapport

Riktlinje för informationssäkerhet

Säkerhet vid behandling av personuppgifter i forskning

IT-säkerhetspolicy. Fastställd av KF

Regel. Användning av Riksbankens IT-resurser. Inledning. Användning av IT-resurser

SÄKERHETSFÖRESKRIFTER FÖR FÖRVALTNING AV IT-SYSTEM

Policy för användande av IT

Dnr

Regler för användning av Riksbankens ITresurser

Detta dokument beskriver it-säkerheten i RAMBØLLs it-system SurveyXact och Rambøll Results.

IT-säkerhetsinstruktion

Novi Net handelsbolag. Produkter och tjänster

ANVÄNDARHANDBOK. Advance Online

3.2 1H[W*HQHUDWLRQ6HFXULW\ Användarmanual

SÄKRA DIN AFFÄR VART DEN ÄN TAR DIG. Protection Service for Business

Teknisk spec Flex Lön och Flex API

Systemrekommendation. Artvise Contact Center

1 (7) Arbetsgången enligt BITS-konceptet

Checklista Identitetshanteringssystem för SWAMID 2.0. Utarbetad tillsammans med SUNET CERT och SUSEC

POLICY FÖR DATA- OCH INFORMATIONSSÄKERHET VID BMC I LUND

VISION STRATEGI REGLEMENTE PROGRAM POLICY PLAN» RIKTLINJE REGEL. Riktlinjer för informationssäkerhet

Att införa IPv6 internetprotokoll version 6 En praktisk vägledning

Checklista för Driftsättning - Länsteknik

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Musikhögskolan i Stockholm 2010.

Informationsklassning

Lösenordsregelverk för Karolinska Institutet

Informationssäkerhetspolicy

Service Level Agreement mall för kommunalt IT-stöd

Informationssäkerhetspolicy IT (0:0:0)

Installera SoS2000. Kapitel 2 Installation Innehåll

Allt handlar om att kommunikationen måste fungera, utan avbrott.

Rekommendationer teknisk lösning_samsa_ ver

Tekis-FB Systemkrav

Bengt Sebring OKTOBER 2000 Ordförande GRANSKNINGSRAPPORT 3 Sida: 1

Teknisk kravspecifikation för nytt Omsorgs system

Datacentertjänster IaaS

Katrineholms kommuns. Informationssäkerhetspo licy. IZatrineholms kommun "- Antagen av kommunfullmäktige , 106

Växjö kommun. Övergripande säkerhetsgranskning. säkerhet avseende externt och internt dataintrång. Informationssäkerhetsspecialister:

Sokigo AB OVK 2.0. Pentium- eller AMD-processor (x64 processor) på 1,6 GHz Dual Core eller motsvarande.

Säkerhetsinstruktion. Procapita Vård och Omsorg

Säker hantering av mobila enheter och portabla lagringsmedia

Kurs: Windowsadministration II, 1DV424 Datum: Förberedelseuppgift

Informationssäkerhetsinstruktion Mora, Orsa och Älvdalens kommuner

Sokigo AB Ecos Pentium- eller AMD-processor (x64 processor) på 1,6 GHz Dual Core eller motsvarande.

Gislaveds kommun. Övergripande säkerhetsgranskning. säkerhet angående externt och internt dataintrång. Informationssäkerhetsspecialister:

Sammanfattning av riktlinjer

Transkript:

EXEMPEL Informationssäkerhetsinstruktion: Kontinuitet och Drift (Infosäk KD)

Innehållsförteckning 1 Instruktionens roll i informationssäkerhetsarbetet 4 2 Organisation och ansvar för säkerhetsarbetet 5 3 Organisationens interna nätverk 6 4 Kraven på nätverkets resurser 6 5 Genomförda åtgärder 7 6 Daglig drift 9 6.1 Resurser...9 6.1.1 Lokaler och utrustning...9 6.1.2 Programvaror/register nätverk...9 6.1.3 Programvaror/register Applikationer...9 6.1.4 Märkning och benämningar...9 6.1.5 Klassning av resurser...9 6.1.6 Arbetsplatser...9 6.1.7 Omflyttning och överlåtelse av IT-utrustning...9 6.2 Fysiskt skydd...9 6.2.1 Larm...9 6.2.2 Klimatutrustning...9 6.2.3 Brandskydd...10 6.2.4 Tillträdeskontroll...10 6.3 Kommunikation...10 6.3.1 WAN...10 6.3.2 LAN...10 6.3.3 Fjärraccess/VPN...10 6.3.4 Brandvägg...10 6.3.5 Internet...10 6.4 Roller och ansvar - IT...10 6.5 Åtkomsträttigheter - användare...11 6.5.1 Konton, grupper och profiler...11 6.5.2 Val av lösenord...11 6.6 Loggning och spårbarhet...11 6.6.1 Övervakning...11 6.6.2 Logghantering...11 6.6.3 Logganalys...11 6.7 Säkerhetskopiering...11 6.7.1 Intervall och omfattning...11 6.7.3 Informationens läsbarhet...11 6.8 Hantering av media...12 6.8.1 Val av media...12 6.8.2 Märkning...12 6.8.3 Klassning...12 6.8.4 Förvaring...12 6.8.6 Avveckling...12

7 Störningar/avbrott 12 8 Incidenthantering 12 9 Systemhantering 13 10 Dokumentation 13 11 Bilaga 1: Installationer - specifikationer 13 12 Bilaga 2: Beslut och underhåll av driftinstruktionen 14

Instruktionens roll i informationssäkerhetsarbetet Styrande dokument för informationssäkerhetsarbetet är myndighetens informationssäkerhetspolicy och informationssäkerhetsinstruktionerna Förvaltning, Kontinuitet och Drift samt Användare: Informationssäkerhetspolicy Informationssäkerhetsinstruktion Förvaltning Målgrupp: Ledning, systemägare och samordningsansvarig Informationssäkerhetsinstruktion Kontinuitet och Drift Målgrupp: IT-driftansvariga Informationssäkerhetsinstruktion Användare Målgrupp: Samtliga medarbetare Informationssäkerhetspolicyn redovisar ledningens viljeinriktning och mål för informations-säkerhetsarbetet. Informationssäkerhetsinstruktion kontinuitet och drift, (Infosäk KD) utgår från policyn och syftar till att redovisa: Verksamheternas beroende av IT-stöd Organisationens gemensamma kontinuitets- och driftplan

Organisation och ansvar för säkerhetsarbetet Nedanstående modell beskriver hur avbrott hanteras under olika faser av störningar/avbrott. Katastrof Incident/störning (inom accepterad avbrottstid vid normal drift) Avbrott (över accepterad avbrottstid) Hanteras av: Service Desk Hanteras av: Service Desk IT-organisation Hanteras av: Service Desk IT-organisation Katastroforganisation Incident/Störning En oönskad händelse som kan hanteras inom accepterad avbrottstid med interna eller externa resurser Avbrott En oönskad händelse som inte kan hanteras inom accepterad avbrottstid med interna resurser Katastrof En mycket allvarlig händelse bortom all kontroll och som kraftigt påverkar verksamheten. Ledningsorganisationen vid olika faser skiftar. Generellt innebär detta att organisationen växer efter hand som händelsen eskalerar. Service Desk Service Desk är alltid bemannad och utgör grunden i organisationen. Service Desk ska: Ta emot anmälan om alla typer av händelser Upprätta dagbok med utrymme för tidpunkt för anmälan, vem anmälde, och om möjligt hur händelsen uppstod eller upptäcktes Klassificera händelserna. (Incident, avbrott eller katastrof?) Klara incidenter och störningar Planera inför avbrottsfas och katastroffas genom att sammankalla berörda Hos Service Desk ska minst finnas: Förteckning över resurspersoner Förteckning över aktuella avtal med kontaktpersoner Hos Service Desk ska också checklistor för de allvarligaste hoten som: Checklista angrepp skadlig kod Checklista återläsning och återställande M fl

Organisationens interna nätverk Hemanvändare / Distansanvändare WWW 1 2 DNS Reserv brandvägg Router DMZ - Publika resurser Webmail VPN/Karantän 3 4 Brandvägg Router Internet DMZ Resurser för godkända användare AP Accespunkt Mobil / PDA DMZ Trådlös kommunikation Inloggningsserver E-postserver Webbserver Databasserver 5 6 7 8 9 10 11 Backupenhet Skrivare 12 Klient Klient Dokumentserver Applikationsserver Managementserver LAN LAN/WLAN / VLAN Kraven på nätverkets resurser De enheter i det interna nätverket som ska skyddas framgår av nedanstående tabell. De krav som tabellen visar för respektive enhet baseras på den o samlade hotanalysen för de applikationer i organisationen som ingår i det interna nätverket o information som lagras eller transporteras Organisationens gemensamma Informationssäkerhetsinstruktion för kontinuitet- och drift baseras på tabellen. Resurs Klienter 1-220 Placering LAN / VPN Informationssystem Klientprogramvara för Kravnivå Tillgänglighet B ärendehanteringssystemet ekonomisystemet lönesystemet e-post office Server 1 Publik webbserver DMZ Publik Webbserver B Server 2 Extern DNS DMZ Publik DNS-server B Server 3 Webmail DMZ Intern E-post program B Server 4 VPN / Karantän DMZ Intern Server program för VPN-uppkoppling B till distans och hemanvändare. AP1 AccessPunkt. DMZ Trådlöst Accesspunkt till trådlöst nätverk. B Server 5 Inloggningsserver LAN / VPN Autentiseringsprogram för inloggning av användare mm (t.ex. ActiveDirectory). Minst två stycken inloggningsservrar ska finnas för att garantera HN

Server 6 Fillagring och utskrifter Server 7 E-postserver Server 8 Applikationsserver Server 9 Webbserver Server 10 Databasserver Server 11 Managementserver Backupenhet hög tillgänglighet. IP-adressregister Routingtabell LAN / VPN Server för tjänsterna lagring av filer HN och utskrifter. LAN / VPN Centralt E-postserver program. HN LAN / VPN Ärendehanteringssystemet Ekonomisystemet Lönesystemet Miljö LAN / VPN Hemsidan Intranät LAN / VPN Databas till ärendehanteringssystemet ekonomisystemet lönesystemet mm. LAN / VPN Backup Övervakning Antivirus Patchhantering av servrar och klienter Ansluten till Band och diskenhet. server 11 Brandvägg MHN Router MHN Kablage MHN Switchar, hubbar Datorhall Nätverkets alla resurser MHN Service Desk B B B B HN MHN Genomförda åtgärder Denna driftinstruktion förutsätter att de förslag som BITS Plus ger vid analys av nätverket avseende tillgänglighet har åtgärdats. Resurs Genomförda åtgärder / Reservförfarande Klienter Senaste säkerhetsrelaterade uppdateringarna är installerade både vad det gäller operativsystemet och applikationerna. Antivirusprogram är installerat och uppdateras kontinuerligt på samtliga klienter Server 1-11 Senaste säkerhetsrelaterade uppdateringarna är installerade både vad det gäller operativsystemet och applikationerna. Antivirusprogram är installerat och uppdateras kontinuerligt. Server 8 Programvara för ärendehanteringssystemet ekonomisystemet lönesystemet finns omedelbart tillgänglig Server 10 Databas för ärendehanteringssystemet ekonomisystemet, lönesystemet miljö finns på backup. Server 11 Programvara för backup, övervakning och skadlig kod finns omedelbart tillgänglig. Reservserver En reservserver för servrarna 1 11 finns tillgänglig och dokumenterade rutiner finns för att återställa respektive server i fungerande skick.

Backupenhet Brandvägg Installerad brandvägg finns i reserv för omedelbar inkoppling. Jouravtal finns Router Installerad router finns i reserv för omedelbar inkoppling Kablage Avtal 2 timmars inställelsetid finns (Behövs detta på kablage?) Switchar, hubbar Reserv utrustning eller avtal med inställelsetid finns. Datorhall Utrustning för fukt- och temperaturlarm finns. UPS finns. Automatisk brandsläckningsutrustning (Argon) Handbrandsläckare finns Reservkraft Dieselaggregat finns i källaren Service Desk

Daglig drift Nedan redovisas exempel på de områden som bör ingå i detta avsnitt. Under varje rubrik ges exempel på vad som bör redovisas inom denna. Resurser 6.1.1 Lokaler och utrustning - Lokaler och den IT-utrustning som finns i dessa. 6.1.2 Programvaror/register nätverk - Lista över ansvariga för säkerheten i programvaror/register som tillhör det interna ITnätverket och eventuella reserver för dessa. 6.1.3 Programvaror/register Applikationer - Lista över ansvariga för säkerheten i applikationsprogramvaror/register och eventuella reserver för dessa. 6.1.4 Märkning och benämningar - Namnstandarder som gäller. Avser sådant som arbetsstationer, servrar & övrig utrustning, nät/nätdelar och verksamhetsområden. 6.1.5 Klassning av resurser - IT-behandlingsutrustning som finns och hur denna ska klassas med avseende på informationsinnehåll. 6.1.6 Arbetsplatser - Utrustning och programvaror som finns på en standardarbetsplats. 6.1.7 Omflyttning och överlåtelse av IT-utrustning - Rutin som gäller för omflyttning och överlåtelse av IT-utrustning till annan användare. Fysiskt skydd 6.2.1 Larm - Larmutrustning och kontakter som eventuellt kan behöva tas. 6.2.2 Klimatutrustning

- Kontakter till vaktbolag, leverantörer, installationsfirmor, service o.dyl. - Avtal om inställelsetider 6.2.3 Brandskydd - Kontakter till brandmyndigheter, vaktbolag, leverantörer, installationsfirmor, service o.dyl. - Avtal om inställelsetider 6.2.4 Tillträdeskontroll Fysiskt tillträde skyddade utrymmen - Kontakt vid borttappat kort eller om nycklar behövs. Fysiskt tillträde allmänna utrymmen - Kontakt för åtkomst till allmänna utrymmen. Kommunikation 6.3.1 WAN - Filtrering av access till kontor som sitter kopplade via WAN-länkar. 6.3.2 LAN - Ev. filtrering av speciella protokolltyper. 6.3.3 Fjärraccess/VPN - Rutin för användning av och verifiering vid fjärraccess. 6.3.4 Brandvägg - Program som automatiskt larmar om något onormalt inträffar i loggarna. - Intervall och villkor för kontroll av brandväggens loggar. 6.3.5 Internet - Dokumentation om kommunikation med t.ex externa leverantörer och Internet Roller och ansvar - IT - Rättigheter och begränsningar som gäller för respektive roll/medarbetare inom IT-avdelningen. - Bemanning, ersättare och kompetenskrav.

Åtkomsträttigheter - användare 6.5.1 Konton, grupper och profiler - Hänvisning till Informationssäkerhetinstruktion, Förvaltning avseende uppbyggnad av konton, gruppbehörigheter och grupprofiler. 6.5.2 Val av lösenord - Tidsbegränsningar för externa konsulter, vikarier och projektanställda. - Hänvisning till Informationssäkerhetsinstruktion, Förvaltning avseende o kraven på hur lösenord ska konstrueras. o rutin för byte av lösenord. o rutin för kontrollmekanism vid upplåsning av konton. Loggning och spårbarhet 6.6.1 Övervakning - Enheter som övervakas och vad som övervakas. - Lista över system som övervakas med avseende på prestanda. 6.6.2 Logghantering - Rutin för regelbunden överläggning av loggar på andra system/media och förvaringen av dessa. 6.6.3 Logganalys - Rutiner för analys av loggar och frekvensen av sådana analyser. 6.7 Säkerhetskopiering 6.7.1 Intervall och omfattning - Dokumentation över systemägarnas beslut avseende: vilken information som ska omfattas av säkerhetskopiering intervallen för kopiering hur många generationer säkerhetskopior som ska finnas hur säkerhetskopior ska förvaras om vissa säkerhetskopior ska förvaras på plats geografiskt skild från driftstället. om och när kontroll av säkerhetskopiornas läsbarhet ska genomföras 6.7.3 Informationens läsbarhet - Förteckning över systemägarnas beslut om kontroll av säkerhetskopiornas läsbarhet.

6.8 Hantering av media 6.8.1 Val av media - Regler för vilka typer av datamedia som ska användas och för vad. 6.8.2 Märkning - Regler för hur datamedia ska märkas och förtecknas 6.8.3 Klassning - Regler för hur datamedia ska klassas. - Förteckning över media och hur de klassats. 6.8.4 Förvaring - Regler för hur datamedia ska förvaras beroende på informationsinnehållet i dem. - Förteckning över lokaler och lagringsutrymmen för respektive klass av media. - Regler för vilka förvaringstider som gäller för olika media. - Förteckning över förvaringstider för datamedia. 6.8.6 Avveckling - Hänvisning till Informationssäkerhetsinstruktion, Förvaltning. Störningar/avbrott 7.1 Avbrottsplan - Hänvisning till befintlig avbrottsplan. 7.2 Reservdrift och reservrutiner - Dokumenterade rutiner för reservdriftförfarande 7.3 Reservkraft - Reservkraftutrustning och kontaktuppgifter för service, underhåll, inställelsetider o.dyl. för denna. 7.4 Återstartsrutiner - Dokumentation av befintliga återstartsrutiner. Incidenthantering 8.1 Uppdatering av antivirusprogram - Rutiner för och frekvensen för uppdatering av antivirusprogram.

8.2 Åtgärder för spårning av incidenter - Rutin för genomgång av loggar och trender samt oväntade händelser i systemen. 8.3 Förebyggande åtgärder - Rutiner för säkring av data, spårning av källa och säkring av eventuellt bevismaterial. - Förebyggande åtgärder för att motverka upprepning av incidenter. 8.4 Dokumentation av inträffade incidenter - Rutiner för formulering av slutsatser och dokumentation av en incident med ev. polisanmälan. 8.5 Rutiner för hantering av säkerhetsincidenter och funktionsfel - En mer detaljerad beskrivning av IT-avdelningens åtgärder i de delar av den incidenthanteringsrutin som beskrivs i Informationssäkerhetinstruktion, Förvaltning som berör IT-avdelningen. Systemhantering 9.1 Anskaffning/-införande - En mer detaljerad beskrivning av IT-avdelningens åtgärder i de delar av den anskaffningsrutin för informationssystem som beskrivs i Informationssäkerhetinstruktion, Förvaltning som berör IT-avdelningen. 9.2 Underhåll/-utveckling - Sammanställning av vid vilka tidpunkter systemunderhåll ska göras. - Rutin för kontroll av effekter av ändringar i prestanda för system 9.3 Avveckling - En mer detaljerad beskrivning av IT-avdelningens åtgärder i de delar av den avvecklingsrutin för informationssystem som beskrivs i Informationssäkerhetinstruktion, Förvaltning som berör IT-avdelningen. 9.4 Installationer av funktioner i nätet - Rutiner för installationer av funktioner i nätet. - Regler för rätten att installera nya program, programversioner eller att importera externa filer. 9.5 Rättning av data. - Regler för rättning av data. Dokumentation - Hänvisning till de dokument som finns avseende drift Bilaga 1: Installationer - specifikationer

11.1 Installerade mjukvaror - Rutiner för driftgodkännande av installerade programvaror. - Beskrivning av installerade programvaror. 11.2 Installerade hårdvaror - Rutiner för driftgodkännande av installerade hårdvaror. - Beskrivning av installerade hårdvaror. Bilaga 2: Beslut och underhåll av driftinstruktionen - Formalia kring driftinstruktionen om ansvar och godkännande avseende bl.a. vem som ansvarar för underhåll, när revision gjorts och ska göras o.dyl.

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss