Dnr UFV 2010/424 Riktlinjer för säkerhetsarbetet vid Uppsala universitet Fastställda av Universitetsdirektören 2010-03-31
Innehållsförteckning 1 Inledning 3 2 Ansvar 3 3 Underlåtelse 3 4 Definitioner 3 5 Mål 4 6 Strategier 4 7 Omfattning 5 7.1 Planering 5 7.2 Genomförande 5 7.2.1 Säkerhetspolicy 5 7.2.2 Organisation av informationssäkerheten 6 7.2.3 Hantering av tillgångar 6 7.2.4 Personalresurser och säkerhet 6 7.2.5 Fysisk och miljörelaterad säkerhet 6 7.2.6 Styrning av kommunikation och drift 6 7.2.7 Styrning av åtkomst 7 7.2.8 Anskaffning, utveckling och underhåll av informationssystem 7 7.2.9 Hantering av informationssäkerhetsincidenter 7 7.2.10 Kontinuitetsplanering för verksamheten 7 7.2.11 Efterlevnad 7 7.3 Uppföljning 8 7.3.1 Uppföljning av informationssäkerhetsincidenter 8 7.3.2 Uppföljning av efterlevnad 8 7.4 Förbättring 8 8 Implementering 9 2
1 Inledning Till följd av ökande användning av informationsteknik och internetbaserade informationstjänster utsätts universitetets informationsresurser för ett växande antal och en större bredd av hot, vilket medfört en större sårbarhet. Information är en tillgång som i likhet med personal och egendom är avgörande för vår verksamhet och måste följaktligen få ett adekvat skydd. Detta dokument avser att beskriva universitetets ledningssystem för informationssäkerhet (LIS) som är baserat på svensk standard SS-ISO/IEC 27001 och Riktlinjer för säkerhetsarbetet vid Uppsala universitet, Dnr UFV 2009/1929. Syftet med riktlinjerna är att de ska utgöra en grund för informationssäkerhetsarbetet vid universitetet samt ge en övergripande beskrivning av de säkerhetskrav som ställs på våra informationssystem, såväl vid normal verksamhet som i tänkbara krissituationer. 2 Ansvar Ansvaret för efterlevnad av universitetets riktlinjer för informationssäkerhet fördelar sig enligt följande: Rektor har det övergripande ansvaret Prefekt/motsvarande har ansvaret vid sin institution/avdelning Säkerhetschefen ansvarar för planering, samordning, uppföljning och kontroll av efterlevnad Systemägare/Objektägare har vid sidan av ovanstående befattningar ansvaret för implementering och efterlevnad av riktlinjerna inom sitt informationssystem/förvaltningsobjekt, inklusive där ingående informationsresurser. Verksamma vid universitetet ansvarar för att följa riktlinjerna vid egen användning av universitetets informationsresurser. 3 Underlåtelse Om verksamma vid Uppsala universitet underlåter att följa riktlinjerna kan universitetet komma att vidta relevanta åtgärder. 4 Definitioner Informationsresurser innefattar all elektronisk, pappersbaserad, muntlig eller på annat sätt lagrad eller kommunicerad information samt de informationssystem (hård- och mjukvara) och kommunikationslösningar som hanterar informationen. syftar till att upprätthålla önskad nivå av sekretess, riktighet, tillgänglighet och spårbarhet för universitetets informationsresurser. spolicy (Säkerhetspolicy i SS-ISO/IEC27001) är ett övergripande dokument som anger mål och inriktning samt styr organisationens informationssäkerhetsarbete. Motsvaras vid Uppsala universitet av dessa riktlinjer för informationssäkerhet. 3
Ledningssystem för informationssäkerhet (LIS). Process för styrning och ledning av informationssäkerhetsarbetet vid Uppsala universitet, vilket bland annat omfattar organisation, resurser samt tekniska respektive administrativa säkerhetsåtgärder. MSB. Myndigheten för samhällsskydd och beredskap. MSBFS 2009:10. MSB:s föreskrifter om statliga myndigheters informationssäkerhet. PDCA-modellen ( Plan-Do-Check-Act ). En strukturerad process för planering, genomförande, uppföljning och kontinuerlig förbättring som används i ISO s (International Organization for Standardization) olika ledningssystem, känd och använd under sin engelska förkortning Pm3. Den systemförvaltningsmodell som används vid Uppsala universitet. Skyddsnivå för en informationsresurs ska utformas enligt gällande lagar och förordningar. I övrigt ska skyddsnivåer väljas utgående från fortlöpande och systematiska risk- och hotbildsanalyser samt konsekvenser av störningar. Skyddsåtgärder ska väljas utgående från fortlöpande och systematiska risk- och hotbildsanalyser samt konsekvenser av störningar. Skyddsåtgärder ska, där det är möjligt, baseras på etablerade standarder eller de facto-standarder inom informationssäkerhetsområdet. SS-ISO/IEC 27001. Svensk och internationell standard som tillhandahåller en modell för att upprätta, införa och driva, övervaka och granska, samt underhålla och förbättra ett ledningssystem för informationssäkerhet. 5 Mål Det övergripande målet är att upprätthålla en väl avvägd informationssäkerhet med hänsyn till behoven hos universitetet, verksamma vid universitetet och allmänheten. Avsikten med att bedriva informationssäkerhetsarbetet enligt LIS är att följa MSB:s föreskrifter om statliga myndigheters informationssäkerhet, MSBFS 2009:10. 6 Strategier sarbetet ska sträva efter att balansera risker (sannolikhet och konsekvens) mot kostnader för skyddsåtgärder. Uppnådd balans benämns Rätt säkerhet. sarbetet ska styras och utföras enligt universitetets LIS och enligt nedanstående process för planering, genomförande, uppföljning och förbättring (den s.k. PDCA-modellen, se punkt 4 Definitioner). Detta benämns Styrd säkerhet. 4
7 Omfattning Detta avsnitt är strukturerat enligt de fyra processtegen planering, genomförande, uppföljning och förbättring. Det anger övergripande krav på skyddsåtgärder inom de säkerhetsområden som omfattas av LIS. 7.1 Planering Implementering av LIS och därefter löpande förbättringsåtgärder bör planeras i samband med verksamhets- eller systemförvaltningsplanering och göras på universitetsövergripande nivå, för en institution/motsv., för ett förvaltningsobjekt eller ett enskilt informationssystem. Uppföljning görs sedan på regelbunden basis, t.ex. i den löpande förvaltningsstyrningen. Såväl införande av LIS som tillkommande ändringskrav ska vara baserade på risk- och hotbildsanalyser och ange beslutade skyddsåtgärder för de säkerhetsområden som anges i 7.2 Genomförande. För detta finns anvisningar för risk- och hotbildsanalyser. Löpande förbättringsåtgärder ska införas som ett resultat av periodiskt uppföljnings- och förbättringsarbete i punkt 7.3 Uppföljning och 7.4 Förbättring. Därutöver kan säkerhetsförbättringar vid behov införas utom plan, t.ex. vid allvarliga incidenter, införande av nya informationssystem eller IT-tjänster, säkerhetsuppdateringar i programvaror, etc. 7.2 Genomförande Det operativa säkerhetsarbetet som innebär att driva, mäta och följa upp så att LIS, enligt planering och beslut i punkt 7.1, ger avsedd säkerhetsnivå inom följande områden. 7.2.1 Säkerhetspolicy Uppsala universitets riktlinjer för informationssäkerhet (detta dokument) anger övergripande mål och regler för universitetets informationssäkerhetsarbete. 5
7.2.2 Organisation av informationssäkerheten Ansvar för informationssäkerhetsarbetet följer universitetets linjeorganisation (se punkt 2 Ansvar). Ansvaret för externa parter avseende tillgång till universitetets informationsresurser (utnyttjande, förvaltning, underhåll etc.) ska vid behov tydligt regleras i avtal. 7.2.3 Hantering av tillgångar Grundläggande krav för hantering av universitetets informationsresurser är att: de ska vara identifierade och dokumenterade skyddsåtgärder med avseende på sekretess, riktighet och tillgänglighet är baserade på universitetets anvisningar för informationsklassificering handhavande av allmänna handlingar sker enligt handboken Hantering av allmänna handlingar vid universitetet, Dnr 2770/98. 7.2.4 Personalresurser och säkerhet Prefekt/motsv. ansvarar för att verksamma vid institutionen/motsvarande undertecknar en ansvarsförbindelse för att få tillgång till universitetets informationssystem, samt att därefter tillhandahålla relevant information om riktlinjerna. Säkerhetschefen ansvarar för att aktuell och lättillgänglig information om riktlinjerna finns på universitetets webbplats. Informations- och utbildningsinsatser ska erbjudas de verksamma. För ytterligare stöd finns möjlighet att kontakta IT-säkerhetsorganisationen. Informationssystem som innehåller känslig information ska ha speciella ansvarsförbindelser för systemens administratörer och andra användare med högre behörigheter. 7.2.5 Fysisk och miljörelaterad säkerhet Lokaler och utrustning som är avsedda för universitetets informationshantering ska vara utrustade med ett väl avvägt skydd mot intrång, otillåten användning, stöld, brand och annan skada. 7.2.6 Styrning av kommunikation och drift Vid driftssättning och daglig drift av universitetets informationssystem ska universitetets anvisningar för korrekt och säker datakommunikation och drift följas. 6
7.2.7 Styrning av åtkomst Inom universitetet baseras åtkomsträtten till information på offentlighetsprincipen samt på offentlighets- och sekretesslagen, personuppgiftslagen (PUL) och tryckfrihetsförordningen. Alla informationssystem ska ha rutiner och system för behörighetskontroll för att förhindra otillåten åtkomst, förändring eller förstöring av information. Dessa ska följa universitetets anvisningar för styrning av åtkomst till universitetets informationssystem. 7.2.8 Anskaffning, utveckling och underhåll av informationssystem För att säkerställa att säkerhet är en integrerad del av universitetets informationssystem ska en risk- och hotbildsanalys enligt anvisningarna för risk- och hotbildsanalyser genomföras i alla utvecklings- och anskaffningsprojekt. Ansvarig: Projektägare/motsv planering och uppföljning av skyddsåtgärder göras som en del av det löpande förvaltningsarbetet med befintliga informationssystem. Ansvarig: Systemägare/motsv avveckling av informationssystem ske på ett kontrollerat sätt. Ansvarig: Systemägare/ motsv. 7.2.9 Hantering av informationssäkerhetsincidenter Löpande bevakning, uppföljning och rapportering av informationssäkerhetsincidenter, t.ex. om en dator utsatts för intrång eller intrångsförsök, ska göras av universitets IT-säkerhetsorganisation. Verksamma ska vid behov kunna rapportera informationssäkerhetsincidenter. 7.2.10 Kontinuitetsplanering för verksamheten Avbrottsplanering ska genomföras för alla informationssystem som stödjer verksamhet där längre avbrott kan orsaka stor skada för universitetet, verksamma vid universitetet och andra berörda. Baserad på prioriteringar i verksamheternas avbrottsplaner ska en återstartsplan finnas inom ITorganisationen för återgång till drift av ordinarie system. Såväl avbrotts- som återstartsplaner ska testas regelbundet. 7.2.11 Efterlevnad För att säkerställa efterlevnad av LIS i förvaltningsobjekt, informationssystem och utvecklingsprojekt samt att universitetets säkerhetsarbete följer tillämpliga lagar, föreskrifter och avtalsförpliktelser ska: risk- och hotbildsanalyser enligt anvisningarna för risk- och hotbildsanalyser genomföras på regelbunden basis. Ansvarig: Systemägare/motsv eller prefekt/motsv. säkerhetsanalyser enligt anvisningarna för informationssäkerhetsanalyser göras vid särskilda behov. Ansvarig: Säkerhetschef. omvärldsbevakning av tillämplig lagstiftning och föreskrifter om statliga myndigheters informationssäkerhetsarbete ske på löpande basis. Ansvarig: Säkerhetschef. 7
7.3 Uppföljning I detta processteg görs periodisk uppföljning och rapportering av hur LIS fungerar i verksamheten med avseende på uppsatta mål, praktisk erfarenhet och efterlevnad. Förslag på förbättringsåtgärder läggs till grund för prioriteringar och beslut i punkt 7.4 Förbättring. 7.3.1 Uppföljning av informationssäkerhetsincidenter Universitets IT-säkerhetsorganisation ska på regelbunden basis följa upp och rapportera följande statistik till säkerhetschefen: inrapporterade incidenter enligt punkt 7.2.9 Hantering av informationssäkerhetsincidenter under den senaste perioden och förändringar jämfört med tidigare perioder sammanställning av förebyggande eller korrigerande åtgärder under denna och föregående perioder och utfall av dessa 7.3.2 Uppföljning av efterlevnad Universitets IT-säkerhetsorganisation ska på regelbunden basis följa upp och rapportera följande resultat till säkerhetschefen: genomförda risk/hotbilds- och säkerhetsanalyser genomförda interna och externa revisioner avseende informationssäkerhet konsekvenser av genomförda och kommande förändringar i tillämpliga lagar, föreskrifter och avtalsförpliktelser 7.4 Förbättring Ständiga förbättringar av LIS med avseende på funktionalitet och kvalitet genom korrigerande och förebyggande åtgärder, samt för bättre efterlevnad genom information och utbildning. Förbättringsåtgärder ska vara baserade på ledningsbeslut, revisioner eller annan relevant information enligt punkt 7.3. 8
Förslag och prioriteringar av förbättringar i LIS ska ingå som en del av säkerhetschefens löpande planering och uppföljning av informationssäkerhetsarbetet samt utgöra underlag för den årliga verksamhetsplanen. Se även anvisningarna för förvaltning av LIS. För respektive förvaltningsobjekt eller för ett enskilt informationssystem ska förslag och prioriteringar av förbättringsåtgärder ingå i det ordinarie systemförvaltningsarbetet samt utgöra underlag för den årliga förvaltningsplanen. 8 Implementering Implementering av dessa riktlinjer och underliggande stöddokument ska ske genom att aktuell och lättillgänglig information tillhandahålls på universitets webbplats olika informations- och utbildningsinsatser erbjuds de verksamma. en IT-säkerhetsorganisation är tillgänglig för kontakt via telefon, e-post och webb samt för riktade informations- och utbildningssatsningar. särskild uppmärksamhet ägnas implementering av riktlinjerna i systemförvaltningsarbetet 9