2 ALLMÄNNA BESTÄMMELSER
Allmänna råd
till föreskrifter om
GRUNDSÄKERHET
för samhällsviktiga datasystem hos beredskapsmyndigheter
Utgåva 3, december 1999
till föreskrifter om
GRUNDSÄKERHET
för samhällsviktiga datasystem
hos beredskapsmyndigheter
ny utgåva (nummer 3, december 1999)
1 Inledning _________ 5
2 Allmänna bestämmelser _________ 6
2.1 Definitioner _____ 7
3 Ledning _________ 8
3.1 Säkerhetsplan _____ 8
3.2 Systemsäkerhetsplan _____ 9
3.3 Säkerhetsinstruktion _____ 11
3.4 Information och utbildning _____ 12
3.5 Beredskapsplan _____ 13
4 Behörighet _________ 14
4.1 Behörighetskontroll _____ 14
4.2 Behörighetsadministration _____ 15
4.3 Loggning _____ 16
5 Datakommunikation _________ 18
5.1 Externa anslutningar _____ 18
5.2 Ansvarsgränser _____ 20
5.3 Skydd vid datakommunikation _____ 21
6 Driftsäkerhet _________ 22
6.1 Dokumentation _____ 22
6.2 Nyckelpersonberoende _____ 23
6.3 Tillträdes- och brandskydd _____ 24
6.4 Virusskydd _____ 25
6.5 Elförsörjning _____ 25
6.6 Säkerhetskopiering _____ 26
6.7 Datamedia _____ 27
7 Kontinuitetsplanering _________ 28 8 Driftgodkännande _________ 30
1 INLEDNING
ÖCBs verksamhetsmål inom området -säkerhet är att inom ramen för samordningsrollen stödja och motivera ansvariga inom civila försvaret i deras arbete med att uppnå acceptabel säkerhet i samhällsviktiga datasystem d v s datasystem som är nödvändiga för verksamhet av betydelse för samhäl-lets förmåga att fungera såväl under fred, kris som höjd beredskap.
För att realisera denna målsättning genomförs utredningar kring -bero-endet i samhället, analyser av säkerheten i viktiga datasystem samt olika utbildningsinsatser. Arbetet omfattar även viss utveckling av metoder som stöd i arbetet samt bevakning av utvecklingen inom -området.
Som en följd av ett uppdrag av regeringen att utreda möjligheterna för en certifieringsprocess för samhällsviktiga datasystem föreslog i december att samtliga sådana system ska uppfylla krav på säkerhet enligt en definierad grundsäkerhetsnivå. Som en följd av detta beslutade regeringen den juni om ett tillägg i beredskapsförordningen. Den nya a § gäl-ler fr o m den september och dess lydelse framgår av textrutan i höger marginal.
Enligt § beredskapsförordningen har rätt att utfärda de föreskrifter som behövs för verkställigheten av bland annat a §. Som en konsekvens härav har gett ut föreskrifter om grundsäkerhet för samhällsviktiga datasystem hos beredskapsmyndigheter ( :). I syfte att förtydliga föreskrifterna meddelar allmänna råd till dessa. Föreskrifterna och de allmänna råden kallas (Föreskrifter och Allmänna råd till § a).
De av framtagna allmänna råden utgavs i en första utgåva i mars . Dessa har utgjort ett stöd för olika organisationer i arbetet med att bedöma i vilken grad -säkerheten fyller grundsäkerheten enligt . Synpunkter på och erfarenheter av de allmänna rådens utformning och användbarhet som framkommit sedan utgivningstillfället har genererat idéer och uppslag till hur råden kan förbättras. Denna tredje utgåva har tillkommit i syfte att förtydliga råden med en striktare koppling till grundsäkerhet.
De följande allmänna råden är disponerade så att först står en samman-fattning. Därefter följer de allmänna råd som meddelar. I marginalen återfinns textrutor innehållande föreskrifterna.
Inledning
Utöver FA22 har ÖCB tagit fram IT-säkerhetsguide FA22. Den består av för-djupningar inom vissa avsnitt av FA22 samt hjälpmedel i form av mallar. Detta ger en möjlighet, för beslutsfattare och personal i övrigt som har ansvar för säkerheten i och kring samhällsviktiga datasystem, att få en överblick av vad ett strukturerat säkerhetsarbete innebär, och visar också på lämpligt tillvä-gagångssätt för att uppnå grundsäkerhet enligt FA22.
22 a §En beredskapsmyndighet som
i sin verksamhet under höjd beredskap är i behov av elektronisk informations-behandling ansvarar för att dator- och kommunikationssystemet uppfyller sådana säkerhetskrav att myndig-hetens uppgifter kan utföras på ett till-fredsställande sätt. (SFS 1997:640)
§
2 ALLMÄNNA BESTÄMMELSER
Olika faktorer påverkar de krav som måste ställas på säkerhet för sam-hällsviktiga datasystem. Säkerhetsnivån måste i varje enskilt fall fastställas med utgångspunkt från bland annat hur allvarliga konsekvenserna blir för verksamheten om ett datasystem inte fungerar på avsett vis. Den grundsäker-het som avses i föreskrifterna är en lägsta nivå för samhällsviktiga datasy-stem.
Utgångspunkten för att bedöma om ett datasystem ska betraktas som samhällsviktigt är att kartlägga vilken verksamhet som en organisation har krav på sig att bedriva även vid svåra påfrestningar på samhället i fred och under höjd beredskap. Om sådan verksamhet är beroende av ett visst datasys-tem för att kunna bedrivas på avsedd nivå, kan detta datasysdatasys-tem anses vara samhällsviktigt.
Med utgångspunkt från grundsäkerheten och egna förhållanden måste varje myndighet fastställa vilken grad av säkerhet som krävs för de egna data-systemen för att myndigheten ska kunna utföra sina uppgifter på ett tillfreds-ställande sätt under såväl fred, kris som höjd beredskap. I detta sammanhang är det viktigt att även beakta i vilken omfattning det egna datasystemet utgör en länk i en övergripande samhällsviktig informationsbehandlingskedja.
Föreskrifterna är uppbyggda så att de indirekt anger en logisk arbetspro-cess för -säkerhetsarbetet, vilket illustreras i nedanstående bild.
Säkerhetsprocessen
Förenklat kan man säga att denna säkerhetsprocess innebär att:
■ Myndigheten enligt § definierar målen och inriktningen för sitt
säkerhets-arbete i en säkerhetsplan. Säkerhetsplanen kallas i olika sammanhang även
för policy,-säkerhetspolicy,-säkerhetspolicy etc.
■ Utgående från säkerhetsplanen tas enligt § en systemsäkerhetsplan fram
för varje enskilt datasystem. I systemsäkerhetsplanen identifieras utöver grundsäkerheten så kallade tilläggskrav. Detta är en sammanfattande beteckning på övriga styrande lagkrav, verksamhetskrav på sekretess, till-förlitlighet och tillgänglighet samt hotbild. Systemsäkerhetsplanen kallas i andra sammanhang även för säkerhetsmålsättning, mål för säkerheten, security target etc.
■ Med utgångspunkt från säkerhetsplanen och systemsäkerhetsplanen tas
också enligt § säkerhetsinstruktioner fram. I säkerhetsinstruktionerna
fastställs vilka säkerhetsregler som gäller.
■ De i systemsäkerhetsplanen fastställda kraven innebär att vissa
säkerhets-åtgärder kan behöva vidtas. Föreskrifterna redovisar i –§§ åtgärder för
Allmänna bestämmelser
2 ALLMÄNNA BESTÄMMELSER
Grundsäkerhet Tilläggskrav SÄKERHETS-PLAN Säkerhets-åtgärder Granskning av säkerheten SÄKERHETS-INSTRUKTION DRIFTGOD-KÄNNANDE SYSTEMSÄKER-HETSPLAN
1 §Dessa föreskrifter avser grund-säkerhet för samhällsviktiga datasy-stem hos beredskapsmyndigheter och anger den lägsta säkerhetsnivå som måste vara uppfylld för att en bered-skapsmyndighet skall kunna utföra sina uppgifter på ett tillfredsställande sätt även under höjd beredskap.
Allmänna bestämmelser
att tillgodose grundsäkerheten. Övriga åtgärder som behövs enligt system-säkerhetsplanen måste fastställas av systemägaren.
■ För att kontrollera att vidtagna säkerhetsåtgärder i datasystemet uppfyller
ställda krav genomförs en granskning av befintliga säkerhetsåtgärder i datasystemet. Granskningen leder till att en säkerhetsutvärdering kan genomföras. Denna säkerhetsutvärdering ligger till grund för beslut om
driftgodkännande av datasystemet enligt –§§.
2.1 Definitioner
2 §I dessa föreskrifter avses med
Datasystem:Konstellation av datorer, in- och utmatningsutrustningar, minnes-enheter, kommunikationsutrustningar, metoder och procedurer organiserade med uppgift att genomföra elektronisk informationsbehandling.
Samhällsviktigt datasystem:Datasystem som utgör nödvändigt stöd för verk-samhet av betydelse för samhällets förmåga att fungera även under höjd beredskap.
Systemägare:Myndighetschefen eller av denne särskilt utsedd tjänsteman med ansvar för anskaffning, förvaltning, drift, säkerhet och användning i övrigt av ett samhällsviktigt datasystem.
Central systemägare:Systemägaren vid en myndighet som först fattat beslut om anskaffning av ett samhällsviktigt datasystem vilket används gemensamt av flera myndigheter.
Säkerhetsplan:Dokument i vilket anges övergripande krav inom en myndig-het på datasystemsäkermyndig-het utgående från lagstiftning, föreskrifter, för verk-samheten aktuella krav och hot samt av myndigheten uppställda mål för datasystemsäkerhetsarbetet.
Systemsäkerhetsplan:Dokument i vilket anges krav på sekretesskydd, tillför-litlighet och tillgänglighet för ett enskilt samhällsviktigt datasystem utgående från den övergripande säkerhetsplanen samt från systemspecifika krav och hot.
Säkerhetsinstruktion:Konkreta säkerhetsmässiga regler, rutiner och procedu-rer som gäller för samhällsviktigt datasystem.
Grundsäkerhet:Den lägsta säkerhetsnivå som kan godtas beträffande ett samhällsviktigt datasystem för att myndighetens uppgifter skall kunna utföras på ett tillfredsställande sätt även under höjd beredskap.
Driftgodkännande:Formellt myndighetsbeslut att godkänna ett samhällsvik-tigt datasystem för drift.
3 LEDNING
3.1 Säkerhetsplan
En säkerhetsplan är en förutsättning för att på ett tillfredsställande sätt
leda och styra -säkerheten inom en beredskapsmyndighet. Säkerhetsplanen
ska på ett tydligt sätt uttrycka ledningens mål för -säkerheten. De mål som
formuleras på ledningsnivå utgör en ram för de beslut som tas inom organisa-tionens olika delar. Målen måste därför vara konkreta och mätbara samt beskriva vad som ska uppnås inom en angiven tid. De ska vara accepterade och kända i organisationen.
Hur målen ska uppfyllas måste i de flesta fall förtydligas i form av riktlin-jer, d v s praktiska anvisningar för hur målen ska förverkligas.
Säkerhetspla-nen anger således såväl målen för -säkerheten som riktlinjer för hur man
uppnår målen. Säkerhetsplanen ska dokumenteras och fastställas av myndig-hetens ledning.
Säkerhetsplanen ska utgå från lagar och föreskrifter och kan ges följande omfattning:
■ mål för -säkerheten, d v s vad som ska uppnås, vilket bland annat omfattar;
■
■ ansvaret för -säkerhet
■
■ verksamhetens krav på och hot mot datasystemen
■
■ vilken säkerhetsnivå säkerhetsåtgärderna i datasystemen ska uppnå
■
■ uppföljning och kontroll av -säkerhet
■
■ driftgodkännande av datasystem
■ riktlinjer för hur målen ska nås, till exempel för;
■
■ ansvaret för information, ansvaret för samordning av -säkerheten
inom hela myndigheten, systemägaransvarets omfattning, gränsytorna till andra ansvarsområden samt användarnas ansvar
■
■ -säkerhetsarbetet, bland annat hur arbetet ska bedrivas med att ta
fram säkerhetsinstruktioner och systemsäkerhetsplaner samt hur drift-godkännande ska genomföras
■
■ hur utbildning ska planeras och genomföras
■
■ planering för de datasystem som ska användas under höjd beredskap
I vissa fall kan säkerhetsplanen behöva kompletteras med riktlinjer för gemensamma system, till exempel e-postsystem, Internet, externa anslut-ningar, brandvägg (se .)
En grundläggande del i säkerhetsplanen är att fastställa hur ansvaret för
-säkerheten ska fördelas mellan olika funktioner inom organisationen. Av
särskild betydelse är att klarlägga ansvaret för gemensamma -resurser, till
exempel nätverk, e-postsystem och Internet. Ledningen har dock alltid det övergripande ansvaret för verksamheten och de datasystem som används som stöd.
Ledning
3 §En beredskapsmyndighet som ansvarar för ett samhällsviktigt datasy-stem skall fastställa en övergripande säkerhetsplan för datasystemsäkerhe-ten inom myndighedatasystemsäkerhe-ten. Av säkerhets-planen skall bland annat ansvarsför-delningen beträffande datasystem-säkerheten inom myndigheten framgå. Säkerhetsplanen och ansvarsfördel-ningen för datasystemsäkerheten skall dokumenteras.
§
§
Sammanfattning grundsäkerhet – säkerhetsplan
■ Det ska finnas en dokumenterad och av myndighetens ledning fastställd säkerhetsplan.
■ Säkerhetsplanen ska på ett tydligt sätt uttrycka ledningens mål för IT-säker-heten.
■ Säkerhetsplanen ska utgå från lagar och föreskrifter.
Delegering av ansvaret för -säkerhet sker normalt enligt samma princi-per som gäller för delegering av verksamhetsansvaret inom myndigheten. Under ledningen är var och en som är ansvarig för någon del av
verksamhe-ten, också ansvarig för -säkerheten inom sitt område.-säkerhetsansvaret
följer alltså organisationsstrukturen.
Säkerhetsplanen är ett övergripande och för flera datasystem gemensamt dokument. Detaljeringsgraden i säkerhetsplanen måste därför hållas på en rimlig nivå. Den får inte vara alltför detaljerad, men får heller inte vara så all-mänt hållen att den blir svår att följa upp. Detaljer som berör enskilda
data-system redovisas i respektive datadata-systems data-systemsäkerhetsplan, se ..
Säker-hetsplanen kan därför vara relativt långsiktig medan systemsäkerSäker-hetsplanen revideras vid förändringar i verksamhetens inriktning och omfattning, större ändringar i datasystemets utformning, om hotbilden förändras, ändrad
inriktning av informations- och -strategin och dylikt.
3.2 Systemsäkerhetsplan
En systemsäkerhetsplan avser ett enskilt datasystem. Den ska innehålla de samlade kraven på säkerhet som ställs på datasystemet under såväl fred, kris som höjd beredskap. Det är viktigt att systemsäkerhetsplanen dokumen-teras och formellt fastställs av systemägaren eftersom den ligger till grund för beslut om vilka säkerhetsåtgärder som ska vidtas. Den innehåller därmed de
krav mot vilka ett driftgodkännande ska ske. (se .)
För att kunna definiera säkerhetskraven på ett datasystem i fred, kris och under höjd beredskap är det nödvändigt att identifiera verksamheter som behöver datasystemet, samt deras beroende av datasystemet. Systemsäker-hetsplanen inleds därför med en översiktlig beskrivning av den verksamhet datasystemet stödjer, kopplingar till andra datasystem, vilka som är ansvari-ga, bland annat systemägare samt vilken information som hanteras i datasys-temet. Den beskriver även informationsflödet, d v s hur indata hämtas och hur utdata lämnas till annat system.
I arbetet med att ta fram systemsäkerhetsplanen ska hänsyn tas till alla de faktorer som kan påverka säkerhetsskyddet kring datasystemet, bland annat den inriktning som uttrycks i säkerhetsplanen och den grundsäkerhet som återfinns i dessa föreskrifter.
För de allra flesta systemen räcker det dock inte att uppnå grundsäkerhet. Lagar och föreskrifter, verksamhetens egna krav och de hot som finns kan
Ledning
4 §För ett samhällsviktigt datasystem skall utöver den övergripande säker-hetsplanen fastställas dels en särskild systemsäkerhetsplan …… Av system-säkerhetsplanen skall bland annat framgå vem som inom myndigheten är systemägare. Systemsäkerhetsplanen …… skall dokumenteras.
§
§
Sammanfattning grundsäkerhet – systemsäkerhetsplan
■ En systemsäkerhetsplan ska upprättas för varje enskilt samhällsviktigt datasy-stem.
■ Av systemsäkerhetsplanen ska framgå vem som är systemägare.
■ Systemsäkerhetsplanen ska dokumenteras och formellt fastställas av system-ägaren
■ Systemsäkerhetsplanen ska innehålla de samlade kraven på säkerhet som ställs på datasystemet under såväl fred, kris som höjd beredskap.
ställa högre krav på säkerhet än den föreskrivna grundsäkerheten. Dessa så kallade tilläggskrav ska ingå i systemsäkerhetsplanen och tas lämpligen fram genom en övergripande analys.
■ Krav utgående från lagar och föreskrifter värderas med avseende på hur de
påverkar informationshanteringen i datasystemet. Förutom generella lag-ar som till exempel tryckfrihetsförordningen, sekretesslagen, personupp-giftslagen, arkivlagen och säkerhetsskyddslagen, är vissa verksamheter även beroende av speciallagstiftning och föreskrifter som exempelvis social-tjänstlagen, registerlagar, tullagen och rikspolisstyrelsens föreskrifter.
■ De specifika verksamhetskraven identifieras vad avser krav på att
förhind-ra eller försvåförhind-ra för en obehörig att få tillgång till informationen (sekre-tess), på att säkerställa att den information som produceras och bearbetas i datasystemet är riktig, aktuell och fullständig (tillförlitlighet) samt på att datasystemet är tillgängligt när verksamheten behöver informationen (till-gänglighet).
■ En bedömning görs av vilka hot som finns och vilka konsekvenser de kan
medföra för verksamheten/datasystemet om de realiseras. Både avsiktliga händelser som utförs av en angripare med ett speciellt mål såväl som oav-siktliga händelser som uppkommer på grund av misstag, okunskap, olyck-or eller liknande är aktuella.
Delar som ingår i systemsäkerhetsplanen illustreras i nedanstående bild:
Systemsäkerhetsplanen
Beslut om säkerhetsåtgärder baseras på grundsäkerhet och tilläggskrav. De högsta kraven inom respektive område sekretess, tillförlitlighet och tillgäng-lighet avgör vilken säkerhetsnivå som måste uppnås genom dessa säkerhets-åtgärder för att verksamhetens sammantagna krav ska tillgodoses.
Förändringar i verksamhetens inriktning och omfattning, förändrad hot-bild, ändringar i systemutformning innebär att systemsäkerhetsplanen kan behöva revideras. Detta innebär också att systemsäkerhetsplanens giltighet måste definieras för en viss tidsperiod.
Ledning
Lagar och föreskrifter
Specifika verksamhetskrav
Hotrelaterade krav
Grundsäkerhet enl 3–21 §
Systemsäker-hetsplan
3.3 Säkerhetsinstruktion
Säkerhetsinstruktionen syftar till att klarlägga vilka säkerhetsregler som gäller för att säkerhetsåtgärderna ska få avsedd effekt. Säkerhetsinstruktionen skall utgå från säkerhetsplanens och systemsäkerhetsplanens mål och inriktning. I de flesta fall sker driften av flera datasystem i en gemensam driftmiljö av särskilt utsedd personal, vilket innebär att det kan finnas behov av generella säkerhetsinstruktioner som alla måste känna till. De regler som berör använ-darnas ansvar och handhavande av ett specifikt datasystem kan med fördel sammanställas och dokumenteras i en säkerhetsinstruktion för ett specifikt datasystem. Respektive systemägare fastställer sådana och dessa utgör sy-stemägarens styrinstrument för att säkerställa önskad säkerhet för ett data-system.
Inom en organisation kan det alltså finnas dels en gemensam säkerhets-instruktion dels säkerhetssäkerhets-instruktioner specifika för respektive datasystem.
Säkerhetsinstruktionen
Exempel på områden som kan ingå i en generell säkerhetsinstruktion är:
■ regler som gäller för tilldelning av behörighet och hantering av lösenord för
organisationens gemensamma datanät,
■ generella regler för tillträdeskontroll och andra åtgärder, som har att göra
med skydd av lokaler och datorutrustning,
■ regler för säkerhetskopiering av gemensamma resurser samt
■ säkerhetsinstruktioner som finns för olika datasystem.
För att säkerhetsinstruktionen ska bli läst och tillämpad måste stor möda läg-gas ner på att göra framställningen klar, konkret och anpassad till respektive personalgrupps kunskaper och arbetsförhållanden. Varje verksamhet förän-dras ständigt och det är av grundläggande vikt att säkerhetsinstruktionen hålls aktuell för att inte förlora sitt värde.
I dessa allmänna råd redovisas de delar av säkerhetsinstruktionen som berör specifika områden under respektive avsnitt. Dessa är;
■ Behörighetsadministration avsnitt .,
■ Loggning avsnitt .,
■ Datavirus avsnitt .,
■ Säkerhetskopiering avsnitt .samt
■ Datamedia avsnitt ..
Ledning
Säkerhets-instruktion
Generella regler
Systemspecifika regler
4 §För ett samhällsviktigt datasystem skall utöver den övergripande hetsplanen fastställas …… en säker-hetsinstruktion. …… säkerhetsinstruktio-nen skall dokumenteras.
§
§
Sammanfattning grundsäkerhet – säkerhetsinstruktion
■ Säkerhetsinstruktionen ska ta hänsyn till säkerhetsplanens mål och inriktning.
3.4 Information och utbildning
Goda kunskaper hos personalen, och en väl underbyggd motivation för
säkerhet är av stor betydelse för att upprätthålla beslutad -säkerhetsnivå.
Bristande kunskaper kan leda till störningar, till exempel i form av driftav-brott. De kan också medföra att svagheter uppstår i säkerhetssystemet som
gör att detta inte fungerar vid en störning. Utbildning i -säkerhet får inte
inskränka sig till att lära ut enbart tekniska färdigheter.
Vikten av att ett säkerhetsmedvetande upprätthålls inom hela organisatio-nen och att personalen är väl motiverad får aldrig underskattas. Även goda kunskaper om hur en säkerhetsåtgärd ska genomföras minskar avsevärt i betydelse, om den som ska vidta åtgärden inte förstår varför den är nödvändig.
Den verksamhetsansvarige, som i allmänhet också är systemägaren har ett
ansvar, inte bara för att kunskapen om -säkerhet är tillräcklig, utan också
för att medvetandet och motivationen upprätthålls. För att åstadkomma detta ska utbildningsåtgärder genomföras kontinuerligt.
Den information som delges användare kan med fördel delas upp i allmän
information om -säkerhetens roll i myndighetens verksamhet samt
utbild-ning som är anpassad till den egna arbetsuppgiften.
Den allmänna informationen om -säkerhet ska innehålla bland annat
myndighetens säkerhetsplan samt betydelsen av -säkerheten för
verksam-heten.
Den målinriktade utbildningen ska säkerställa att alla användare, före till-delning av behörighet, har tillräckliga kunskaper om de regler från säkerhets-instruktionen som gäller för datasystem i anslutning till den egna arbetsupp-giften.
För att verksamhetsansvariga på olika nivåer ska kunna leva upp till ålagt ansvar kan en för dem målinriktad information genomföras. Denna innehål-ler då uppgifter som följer av ansvarsrollen, till exempel ansvar för uppfölj-ning av tilldelade behörigheter, granskuppfölj-ning av loggar m m.
Säkerhetsutbildning kan med fördel ske i en mycket nära samordning med annan utbildning, på samma sätt som säkerhetsansvaret är väl integrerat i organisationsstrukturen.
Ledning
5 §Personal som använder ett sam-hällsviktigt datasystem skall regelbun-det informeras om innehållet i säker-hetsplanen, systemsäkerhetsplanen och säkerhetsinstruktionen.
§
§
Sammanfattning grundsäkerhet – information och utbildning
■ Utbildningsinsatser ska genomföras regelbundet.
■ En allmän information om IT-säkerhet ska innehålla bland annat myndig-hetens säkerhetsplan samt betydelsen av IT-säkerheten för verksamheten
3.5 Beredskapsplan
För att en beredskapsmyndighet ska kunna fullgöra sin verksamhet även vid svåra påfrestningar på samhället i fred och under höjd beredskap krävs att man identifierar:
■ vilken verksamhet som en organisation har krav på sig att bedriva även vid
svåra påfrestningar och under höjd beredskap
■ vilka datasystem som krävs för att genomföra denna verksamhet.
Först när detta är gjort kan myndighetens beredskapsplan, som ska finnas
enligt § beredskapsförordningen (:), kompletteras med de åtgärder
som ska vidtas för de datasystem som verksamheten kräver under höjd bered-skap.
En av de viktigare åtgärderna i detta sammanhang är att säkerställa att nödvändig personal för dataverksamheten ingår i krigsorganisationen.
De beredskapsmyndigheter som har en alternativ krigsuppehållsplats måste dessutom planera för drift av datasystem på denna.
Ledning
6 §Av myndighetens beredskapsplan enligt 19 § beredskapsförordningen (1993:242) skall framgå vilka åtgär-der som vid höjd beredskap skall vidtas beträffande de samhällsviktiga datasystem för vilka myndigheten ansvarar.
§
§
Sammanfattning grundsäkerhet – beredskapsplan
■ De verksamheter som en organisation har krav på sig att bedriva även vid svåra påfrestningar på samhället i fred och under höjd beredskap och som är beroende av datasystem ska identifieras.
Behörighet
4 BEHÖRIGHET
Med behörighet avses en användares rättighet att utnyttja olika resurser i ett datorsystem på ett visst, reglerat sätt. För att uppnå detta krävs flera sam-verkande tekniska och administrativa åtgärder i syfte att överföra organisa-tionens regler för vem som ska ha tillgång till information till en struktur som kan användas i en automatisk kontroll.
4.1 Behörighetskontroll
Med behörighetskontroll avses administrativa och tekniska åtgärder för kontroll av användares identitet, styrning av användares behörighet att använda datasystemet och dess resurser samt för uppföljning av denna användning. Denna kontroll sker vanligen i ett behörighetskontrollsystem, som möjliggör identifiering av användaren och verifiering av identiteten, regle-ring av åtkomsträttigheter samt registreregle-ring av användarens aktiviteter i data-systemet (loggning).
För att få tillgång till ett datasystem krävs att användaren är registrerad som behörig användare i ett behörighetskontrollsystem. Endast behöriga, med de rättigheter som beslutats, ska finnas registrerade som användare i datasystemet.
För att behörighetskontrollen ska fungera måste varje användare ha en unik användaridentitet och ett lösenord som endast denne känner till och kan
ändra. Ett lösenord ska bestå av minst tecken och vara konstruerat så att det
inte lätt går att avslöja. Användarna ska tvingas byta lösenord enligt de tids-intervall som systemägaren beslutar.
Första gången en användare ges behörighet till ett datasystem är det lämp-ligt att använda ett initialt lösenord som endast medger en enda påloggning med möjlighet att byta till ett eget lösenord. Detta förfarande säkerställer att det endast är användaren som känner till sitt eget lösenord. Samma rutin kan med fördel tillämpas vid alla tillfällen då användaren behöver få ett förnyat lösenord, till exempel då användaren glömt sitt lösenord.
Användaren ska, vid behov, ges en behörighetsprofil som endast medger åtkomst till de resurser i datasystemet som krävs för att lösa dennes arbets-uppgifter. Detta kan till exempel innebära individuella begränsningar för användares rätt att läsa, skriva, ändra etc.
7 §De delar av ett samhällsviktigt datasystem i vilka information lagras eller bearbetas skall vara så konstrue-rade att det för tillgång till systemet krävs behörighetskontroll eller fysisk till-trädeskontroll. För ett samhällsviktigt datasystem som används gemensamt av flera myndigheter åligger det den myndighet där den centrale systemä-garen finns att tillse att datasystemet är konstruerat så att det för tillgång till systemet krävs behörighetskontroll. …..
§
§
Sammanfattning grundsäkerhet – behörighetskontroll
■ För att få tillgång till ett samhällsviktigt datasystem krävs att användaren är registrerad som behörig användare i ett behörighetskontrollsystem.
■ Endast behöriga, med de rättigheter som beslutats, ska finns registrerade som användare av datasystemet.
■ Varje användare ska ha en unik användaridentitet och ett lösenord som endast denne känner till och kan ändra.
■ Ett lösenord ska bestå av minst 6 tecken och vara konstruerat så att det inte lätt går att avslöja.
■ Användarna ska tvingas byta lösenord enligt de tidsintervall som system-ägaren beslutar.
■ Användaren ska, vid behov, ges en behörighetsprofil som endast medger åtkomst till de resurser i datasystemet som krävs för att lösa dennes arbets-uppgifter.
För att systemägare inom myndigheter ska kunna ta ansvar för säkerhets-skyddet i datasystem som används av flera myndigheter, krävs att central sy-stemägare säkerställer att datasystemet är så konstruerat att ovanstående kan tillgodoses.
I datasystem där samtliga användare är behöriga till all information kan systemägaren besluta att personligt lösenord ej erfordras, till exempel i vissa processystem. I sådana fall kan annan likvärdig åtgärd vidtas som till exem-pel att förstärka tillträdeskontrollen till de lokaler där åtkomst till datasyste-met medges. Detta kan ske till exempel med loggande passagekontrollsystem eller i undantagsfall med en manuell tillträdesjournal.
4.2 Behörighetsadministration
Behörighetsadministration omfattar att enligt fastställda regler tilldela behörigheter samt att lägga in, ändra eller ta bort beslutade behörigheter i datasystemet. Behörighetsadministration omfattar således två delar, dels beslut om vem som ska tilldelas en behörighet dels det praktiska arbetet att lägga in beslutade behörigheter i datasystemet.
Säkerhetsinstruktionens regler för tilldelning, uppdatering och uppfölj-ning av behörighet ska därför täcka in alla led i tilldeluppfölj-ningsförfarandet för behörigheter, från det initiala beslutet om behörighet till datasystemet till det att användaren ej längre behöver behörighet.
Reglerna måste utformas så att de blir praktiskt användbara och kan föl-jas. En alltför detaljerad behörighetsstruktur kan motverka syftet med behö-righetskontrollen. Generellt kan sägas att om administrationen baseras på rollbegreppet dvs att all behörighet utgår från att en användare får agera i en eller flera roller så blir administrationen greppbar. Ingen användare tilldelas unika rättigheter till enskilda filer eller dataposter. Istället knyts sådana rät-tigheter till en roll. Användare knyts sedan till en eller flera sådan roller. Där-med kan antalet detaljer i behörighetsadministrationen begränsas och hela administrationen hanteras avsevärt mycket lättare.
För att säkerställa att det endast är beslutade behörigheter som läggs in i datasystemet ska det finnas en fastställd organisation för behörighetsadmini-stration. Systemägaren ska därför i säkerhetsinstruktionen bland annat fast-ställa vem som har rätt att besluta om behörighet. Vanligtvis är beslutande person den som har kunskap om vilken information användaren är i behov av, till exempel närmaste chef eller uppdragsgivare.
Behörighet
9 §I säkerhetsinstruktionen skall anges hur tilldelning, uppdatering och upp-följning av behörighet till samhällsvik-tigt datasystem skall ske. ……
§
§
7 §…… Beslut om tilldelad behörig-het skall dokumenteras.
§
§
Sammanfattning grundsäkerhet – behörighetsadministration
■ Säkerhetsinstruktionens regler ska omfatta hela kedjan tilldelning, uppdate-ring och uppföljning av behörighet dvs från initialt beslut om behörighet till att denna upphör.
■ För att säkerställa att det endast är beslutade behörigheter som läggs in i datasystemet ska det finnas en fastställd organisation för behörighetsadmi-nistration.
■ Systemägaren ska i säkerhetsinstruktionen bland annat fastställa vem som har rätt att besluta om behörighet.
På motsvarande sätt ska administratörernas befogenheter regleras. Van-ligtvis ska inte administratören i något fall ha rätt att besluta om att tilldela eller förändra behörigheter.
Beslut om behörighet ska dokumenteras och ska innehålla alla uppgifter som är nödvändiga för att behörigheten ska kunna läggas in i datasystemet. Beslutet är också det underlag som behörighetsadministratören ska kräva för att lägga in användarens behörighet i datasystemet.
Alla förändringar av behörigheter, till exempel när en användare byter arbetsuppgifter, slutar sin anställning eller när ett konsultuppdrag avslutas, kan med fördel ske enligt samma rutin som vid tilldelning av behörighet. Detta innebär att förändringarna initieras av samma befattningshavare som godkänt behörigheten eller eventuell efterträdare, beslutet dokumenteras och behörighetsadministratören verkställer beslutet.
4.3 Loggning
Detaljerade loggar är ett mycket viktigt underlag för att avgöra vad som skett vid misstanke om säkerhetsrelaterade incidenter. Ju fler detaljer som loggas desto större är sannolikheten att den önskade informationen fak-tiskt går att återfinna. Dock finns det praktiska problem i samband med logg-ning. Först och främst måste man vara på det klara med vad som ska loggas. Loggas för mycket riskerar man att överhopas av data och få hanteringspro-blem vid lagring samtidigt som uppföljning av loggarna försvåras.
Det är därför av stor vikt att noggrant definiera vilka händelser som ska loggas. En grundläggande säkerhetsloggning ska omfatta:
■ användaridentitet,
■ godkänd inloggning,
■ utloggning samt
■ datum och klockslag.
Av andra skäl kan ytterligare uppgifter behöva loggas. Systemägaren ska där-för fastställa vilka händelser utöver den grundläggande säkerhetsloggningen som ska registreras i datasystemets säkerhetslogg. Sådan uppgifter kan till exempel vara:
■ händelse samt om händelsen utförts eller inte,
■ felaktiga inloggningsförsök,
■ behörighetstilldelning och förändring av behörighet.
Behörighet
8 §De delar av ett samhällsviktigt datasystem i vilka information lagras, bearbetas eller kommuniceras skall vara så konstruerade att det finns en logg av vilken det framgår vem som har använt systemet och när detta skett. För samhällsviktigt datasystem som används gemensamt av flera myndigheter åligger det den myndig-het där den centrale systemägaren finns att tillse att systemet är konstrue-rat med en loggfunktion. I särskilt fall kan logg ersättas med manuell regis-trering.
§
§
Sammanfattning grundsäkerhet – loggning
■ En grundläggande säkerhetsloggning ska omfatta användaridentitet, (god-känd) inloggning, utloggning samt datum och klockslag.
■ Systemägaren ska fastställa vilka händelser utöver den grundläggande säkerhetsloggningen som ska registreras i datasystemets säkerhetslogg.
■ Central systemägare ska säkerställa att datasystemet är så konstruerat att ovanstående kan tillgodoses.
■ I säkerhetsinstruktionen ska systemägaren fastställa regler för hur ofta analys av säkerhetsloggar ska ske, vem som ansvarar för detta, hur analys av säkerhetsloggar ska genomföras samt hur säkerhetsloggar ska förvaras.
För att systemägare inom myndigheter ska kunna ta ansvar för säkerhets-skyddet i datasystem som används av flera myndigheter, krävs att central sys-temägare säkerställer att datasystemet är så konstruerat att ovanstående kan tillgodoses.
I ett datasystem där samtliga användare är behöriga till all information kan systemägaren besluta att ingen logg erfordras. I sådana fall ska annan lik-värdig åtgärd vidtas som till exempel att förstärka tillträdeskontrollen till de lokaler där åtkomst till datasystemet medges. Detta kan ske exempelvis med loggande passagekontrollsystem eller i undantagsfall med en manuell tillträ-desjournal.
För att uppnå avsedd effekt med loggning måste säkerhetsloggarna konti-nuerligt följas upp. En sådan analys omfattar alla former av överträdelser mot gällande regler. I säkerhetsinstruktionen ska därför systemägaren fastställa regler för:
■ hur ofta analys av säkerhetsloggar ska ske,
■ vem som ansvarar för detta,
■ hur analys av säkerhetsloggar ska genomföras, till exempel periodiska
kon-troller eller stickprovskonkon-troller samt
■ hur säkerhetsloggar ska förvaras, till exempel om loggarna ska förvaras i
säkerhetsskåp eller på annan plats och vilken personal som är behörig att ta del av säkerhetsloggarna.
Utöver detta ska systemägaren fastställa hur länge säkerhetsloggar ska sparas. Normalt räcker två år men i vissa fall kan de av särskilda orsaker behöva sparas längre. Detta kräver då att förutsättningar finns för att läsa informationen vid behov.
Behörighet
9 §I säkerhetsinstruktionen skall …… Därutöver skall framgå vem som ansvarar för analys av loggar, i vilken omfattning analys skall ske och hur länge en logg skall sparas.
5.1 Externa anslutningar
För att försvåra för obehöriga att göra intrång i ett datasystem via exter-na anslutningar ska det finexter-nas en brandvägg installerad samt en policy för hur installationen ska genomföras. För att skyddet ska få avsedd verkan ska
brandväggen vara den enda kommunikationskanalen för / baserad
datakommunikation till och från organisationen.
En brandvägg består av en eller flera nätkomponenter som placeras mellan två datanät för att enligt en fastställd policy kontrollera och begränsa trafiken mellan dem. All trafik mellan datanäten passerar genom brandväggen och endast trafik som är godkänd enligt policyn tillåts passera. För att kunna erbjuda en effektiv funktion måste brandväggen även kunna skydda sig själv från angrepp.
Med brandvägg avses alltså dels de komponenter som ingår i en brand-väggsfunktion (oftast routrar samt datorer med särskild programvara) och som ger möjlighet att kontrollera trafiken mellan nätverk, dels organisationen runt brandväggen.
Brandväggar på nätverksnivå: Består av en router (»dataväxel«) eller
speci-ellt anpassad dator som undersöker inkommande datapakets -adress och
information om paketets innehåll, s k paketfiltrering samt bestämmer om ett paket får passera brandväggen.
Brandvägg på applikationsnivå: Består vanligtvis av en värddator som kör programvara kallad »proxy server applikation« eller bara »proxyserver«. Applikationen kontrollerar trafiken mellan två nätverk, det egna interna nät-verket och Internet, och när den körs är dessa nät inte sammankopplade. Proxy server applikationens arbete är att överföra en isolerad kopia av data-paketet från det ena nätet till det andra och ska givetvis även omfatta att bestämma vilka datapaket som får släppas fram.
Alternativa vägar vid sidan av brandväggen i form av uppringbara modem in till det interna nätverket måste undvikas för att det inte ska vara möjligt att kringgå det skydd en brandvägg ger. Det ska därför finnas en aktuell förteck-ning över samtliga anslutförteck-ningar. Detta är en förutsättförteck-ning för att bland annat regelbundet kunna kontrollera befintliga anslutningar och att anslutningar inte ordnas på ett otillåtet sätt. Detta inkluderar även alla former av anslut-ningar för underhåll/service från leverantörer. Om fjärrdiagnostik används ska sådan ske enligt fastställda/överenskomna rutiner.
Datakommunikation
5 DATAKOMMUNIKATION
10 §Myndighet skall vidta sådana åtgärder att egna tele- och datanät som betjänar samhällsviktiga datasy-stem inte blir tillgängliga för obehöri-ga via externa anslutninobehöri-gar.
§
§
0010
011101011 0010
011101011
Sammanfattning grundsäkerhet – externa anslutningar
■ För att försvåra för obehöriga att göra intrång i ett datasystem via externa anslutningar ska det finnas en brandväggsfunktion installerad samt en poli-cy för hur installationen ska utformas och genomföras.
■ Brandväggen ska vara den enda kommunikationskanalen för TCP/IP base-rad datakommunikation till och från organisationen.
■ Det ska finnas en aktuell förteckning över samtliga externa anslutningar.
■ Om fjärrdiagnostik erfordras ska sådan ske enligt fastställda/överens-komna rutiner.
■ Brandväggens utformning ska dokumenteras, gärna som ett särskilt avsnitt i driftdokumentationen.
Det svåraste vid installation av en brandvägg är att fastställa exakt vilka behov av datakommunikation som finns och hur dessa ska översättas till den policy som brandväggen måste »programmeras« med för att filtrera trafiken.
Två alternativa inriktningar kan urskiljas vad gäller policy för hur en brandvägg kan installeras och administreras.
Alternativ – Det som uttryckligen inte är tillåtet är förbjudet vilket
inne-bär att:
■ brandväggen ska blockera allt,
■ tjänster tillåts från fall till fall, d v s efter en ordentlig genomgång av
behovsbilden kontra riskbilden,
■ användarna är relativt begränsade i sin handlingsfrihet.
Alternativ – Allt som uttryckligen inte är förbjudet är tillåtet vilket
inne-bär att:
■ det ställs stora krav på brandväggsadministratören som delvis måste ha
förmågan och kompetensen att förutse vilka typer av hot och risker som kan tänkas uppstå och därmed hela tiden jaga säkra alternativ,
■ användarna har total frihet,
Av dessa två är från ett säkerhetsperspektiv det första, alternativ A, att rekommendera.
En brandvägg kräver noggrann installation och en genomtänkt policy för att nå avsedd skyddseffekt. Som regel är brandväggen en gemensam resurs för en organisation vilket innebär att dess säkerhetsnivån måste ta hänsyn till dimensionerande säkerhetskrav från flera verksamhetsområden. Nedan ges exempel på några punkter som kan vara aktuella att beakta vid utarbetandet av en policy för en brandvägg:
■ vilka tjänster ska brandväggen tillhandahålla,
■ vilka uppgifter ska döljas av brandväggen, exempelvis strukturen på det
egna nätet, egna -adresser och användaridentitet,
■ vad ska loggas i brandväggen,
■ ska e-post kontrolleras i brandväggen,
■ ska viruskontroll ske i brandväggen,
■ vilken kontroll ska ske av Internetaccess/loggning,
■ krävs integritetskontroll av brandväggsprogramvara,
■ vilken övervakning ska ske, logiskt (vad och dygnet runt, rapportering),
■ vilket fysiskt skydd behövs för brandväggen (begränsad tillträdeszon),
■ hur ska brandväggsadministration ordnas,
■ vilken autenticering krävs till brandväggen, till exempel vid fjärråtkomst
(remote access) samt
■ vad ska säkerhetskopieras.
Brandväggens utformning ska dokumenteras, gärna som ett särskilt avsnitt i driftdokumentationen. En komplett dokumentation omfattar utformningen av brandväggsprodukten, tillhörande tjänsteservrar, underliggande system som agerar värddator för produkten samt den nätverksteknik som används. Det bör observeras att information om brandväggens utformning kan vara käns-lig och bör hanteras i enkäns-lighet med detta.
En viktig del är att följa upp att brandväggens skydd fungerar som avsett. Systemägaren ska därför fastställa vad som ska loggas i brandväggen och vem som ansvarar för uppföljningen av loggarna samt hur ofta logguppfölj-ning ska ske. Analys av loggarna påverkas först och främst av brandväggens roll. En brandvägg som skyddar en Internetaccess har en helt annan roll än en
brandvägg som reglerar trafiken inom en organisation eller mellan en tjänste-leverantör och dess kunder.
Nedan ges exempel på några punkter som kan vara aktuella att beakta vid beslut om vad som ska loggas i brandväggen:
■ alla försök att upprätta trafik, oberoende av om de lyckas eller inte,
■ användare eller det som upprättat förbindelsen, till exempel nät,
■ datum och tid för förbindelsens upprättande och när förbindelsen avbröts,
■ vilka tjänster som används. Vid -förbindelse betyder detta information
om vilka olika Internet-protokoll som används,
■ information för varje tjänst om mängden överförd data i varje riktning, till
exempel antal bytes, antal filer eller antal /-paket samt
■ alla förändringar i autenticeringsinformationen.
5.2 Ansvarsgränser
Vilka anslutningar av samhällsviktigt datasystem till tele- och datanät, inom eller utanför myndigheten, samt vilken typ av anslutningar som ska till-åtas (till exempel Internet) ska dokumenteras och fastställas av systemägare.
Systemägaren ska ta ställning till vad ansvaret vid dataöverföring till och från datasystemet innebär vilket kan omfatta ansvar i händelse av förlust eller förändring av data samt ansvar för säkerhetsåtgärder vid sändning/mottag-ning av data.
Om dataöverföring sker mellan två organisationer med skilda ansvar är det systemägaren för det mottagande datasystemet som ansvarar för informatio-nen från det att den kommer in i datasystemet. Detta innebär att det måste ske en samverkan i säkerhetsfrågor mellan de båda systemägarna och mellan dessa och nätoperatören.
Systemägaren måste också beakta att ansvarsfrågorna kompliceras av att dataöverföringen ofta sker med hjälp av kommunikationslinjer och annan kommunikationsutrustning över vilka systemägaren inte förfogar. En separat nätoperatör har ofta ansvaret för att överföringen tekniskt fungerar i enlighet med överenskomna specifikationer. Detta innebär också att nätoperatören är ansvarig för de säkerhetsåtgärder som behövs för att skydda utrustningen i nätet.
Datakommunikation
11 §Innan samhällsviktigt datasystem ansluts till tele- och datanät skall grän-serna för ansvaret rörande säkerheten som skall gälla vid informationsöver-föring bestämmas. Beslut om anslut-ning skall dokumenteras.
§
§
Sammanfattning grundsäkerhet – ansvarsgränser
■ För samhällsviktigt datasystem ska systemägare fastställa vilka och vilken typ av interna och externa anslutningar till tele- och datanät som ska tillåtas (exempelvis Internet). Detta ska dokumenteras.
5.3 Skydd vid datakommunikation
För att kunna bedöma om verksamhetens krav på datasystemet tillgodo-ses i systemsäkerhetsplanen ska systemägaren bland annat ta ställning till om de tjänster som nätoperatören erbjuder, vad avser driftsäkerhet, framkomlig-het, tillgänglighet och sekretess, är acceptabla från säkerhetssynpunkt och vilka egna åtgärder som eventuellt måste vidtas.
Utöver detta måste systemägaren också ta hänsyn till gällande lagstiftning. Inom totalförsvaret finns viss särskild lagstiftning avseende
datakommunika-tion. Till exempel regleras i säkerhetsskyddsförordningens § (:)
att hemliga uppgifter endast får krypteras med kryptosystem som har god-känts av Försvarsmakten.
Förändrade arbetsrutiner och tekniska möjligheter såsom distansarbete, mobila kontor etc ökar kraven på åtkomst till organisationens nätverk genom olika former av uppkopplingar. Bland annat beroende på ovanstående fakto-rer men även på storleken av nätverket och känsligheten på informationen
kan behov föreligga att införa ,utöver vad som sägs i §, ytterligare
säker-hetsåtgärder. Exempel på sådana åtgärder kan vara:
■ användning av motringningsutrustning,
■ stark autenticering, till exempel användning av aktiva kort,
■ användning av elektroniskt sigill,
■ användning av digital signatur,
■ användning av kryptering,
■ skydd av kablar och annan utrustning som bär eller förmedlar
informa-tion,
■ skydd av lokaler med kommunikationsutrustning,
■ instruktioner för och kontroll av personal som administrerar och
under-håller kommunikationsutrustning samt
■ tilläggstjänster från nätoperatör, till exempel sluten användargrupp.
Datakommunikation
12 §Vid informationsutbyte i tele- och datanät till vilket samhällsviktigt data-system är anslutet skall skyddet för informationen upprätthållas på den säkerhetsnivå som gäller för datasyste-met enligt systemsäkerhetsplanen.
§
§
Sammanfattning grundsäkerhet – skydd vid datakommunikation
6.1 Dokumentation
Möjligheten till en säker och ändamålsenlig förvaltning och drift av ett datasystem är till stor del beroende av en fullständig och aktuell dokumenta-tion. Brister i dokumentationsregler och i dokumentationens kvalitet kan medföra svårigheter.
Anpassningar och modifieringar som görs på olika ställen i systemet under årens lopp måste dokumenteras för att det ska vara möjligt att förstå system-uppbyggnaden. Behörighet att göra anpassningar och modifieringar i ett visst datasystem samt ansvaret för detta och att sådana modifieringar införs i sy-stemdokumentationen ska regleras av systemägaren i säkerhetsinstruktionen.
För ett samhällsviktigt datasystem ska det finnas en fullständig dokumen-tation som omfattar:
■ systemdokumentation,
■ driftdokumentation samt
■ användardokumentation.
Systemdokumentation
Systemdokumentationen riktas till den som ska underhålla och vidareut-veckla datasystemet och kan mot denna bakgrund lämpligen delas in i en översiktlig systembeskrivning och en detaljerad systembeskrivning.
Den översiktliga systembeskrivningen är till för att få en överblick över datasystemet och förstå systemuppbyggnaden, den kan till exempel innehålla:
■ en översikt som visar datasystemets plats i organisationens totala datadrift,
■ det fysiska och logiska nätets struktur,
■ vilka delar/moduler systemet/programmet består av,
■ beskrivning av delarnas uppgift utan detaljer (gärna bilder som visar hur
delarna är beroende av varandra) samt
■ viktiga datastrukturer (gärna med bilder).
Den detaljerade systembeskrivningen är till för den personal som ska genom-föra förändringar eller tillgenom-föra nya funktioner. Den kan till exempel innehålla:
■ beskrivning av varje del/modul för sig,
■ beskrivning av datatyper samt
■ en väl kommenterad programkod.
Delar av systemdokumentationen kan innehålla känsliga uppgifter om data-systems säkerhetsfunktioner. Sådan uppgifter kan vara till exempel behörig-hetskontrollsystemets uppbyggnad. I vissa fall kan det därför finnas behov av att reglera åtkomsten till dukumentationen, samt att en fullständig kopia för-varas väl skild från originalet.
Driftsäkerhet
6 DRIFTSÄKERHET
13 §Ett samhällsviktigt datasystem skall vara så beskrivet i en dokumenta-tion att säker förvaltning, drift och användning av datasystemet möjlig-görs. För samhällsviktigt datasystem som används gemensamt av flera myndigheter skall den myndighet där den centrale systemägaren finns upprätta denna dokumentation över gemensamma delar.
§
§
Sammanfattning grundsäkerhet – dokumentation
■ För ett samhällsviktigt datasystem ska det finnas en fullständig dokumenta-tion som omfattar systemdokumentadokumenta-tion, driftdokumentadokumenta-tion samt användar-dokumentation.
Driftdokumentation
Driftdokumentation är till för den personal som ansvarar för den dagliga driften av ett datasystem. Den ska därför ange de säkerhetsåtgärder som administratören kan påverka, och vilka som endast tillåter honom att erhålla information. Därtill ska den innehålla instruktioner om hur systemet/pro-dukten ska installeras och konfigureras.
Driftdokumentationen kan till exempel omfatta:
■ en översikt som visar datasystemets plats i organisationens totala datadrift
samt ingående utrustning,
■ det fysiska nätets struktur och ingående komponenter,
■ det logiska nätets struktur,
■ driftsinstruktioner för alla aktiviteter i driften,
■ konfigurationen, inställningar av olika parametrar i datasystemet till
exempel förändringar av default-inställningar i operativsystem, routing-tabeller samt
■ telefonnummer till leverantörer eller motsvarande.
Användardokumentation
Användardokumentationen riktas till användare av datasystemet. Den utfor-mas med hänsyn till användarens kunskaper och behov och kan utgöras av:
■ manual som riktas till normal användare samt
■ grundläggande användarguide som är riktad till nybörjare.
6.2 Nyckelpersonberoende
Driften av datasystemet får inte byggas upp runt enbart en person. Om verksamheten kräver en kontinuerlig drift av datasystemet måste åtgärder vidtas för att kunna hantera situationer med begränsad personalstyrka som till exempel under semestertider.
Detta innebär att det ska finnas fastställda regler för bemanning. Reglerna ska ange vilka befattningshavare som erfordras för drift etc. av datasystemet. I de flesta fall innebär det också att det måste finnas en ersättare för system-administratören med tillräcklig kunskapsnivå.
Att säkerställa att nödvändig personal finns tillgänglig för driften är, som
påpekas i avsnitt ., något som speciellt betonas vid framtagning av en
beredskapsplan.
För att kunna fullgöra sina uppgifter måste personalen för systemadmini-stration få erforderlig arbetstid avsatt för detta och regelbunden utbildning.
Driftsäkerhet
14 §Myndigheten skall i möjligaste mån undvika att göra sig beroende av nyckelpersoner för drift och förvaltning av ett samhällsviktigt datasystem.
§
§
Sammanfattning grundsäkerhet – nyckelpersonberoende
6.3 Tillträdes- och brandskydd
Systemsäkerhetsplanen ger vägledning om vilka säkerhetsåtgärder som behöver vidtas i den fysiska driftmiljön. Detta framgår i huvudsak av verksamhetens krav på tillgänglighet och sekretesskydd av informationen.
För att undvika avsiktliga eller oavsiktliga skador, på för driften viktiga dator- och kommunikationsutrustningar som ingår i ett datasystem ska till-träde till viktiga utrymmen, till exempel utrymmen för sådan utrustning, vara begränsat. Tillträdet ska minst regleras med hjälp av låssystem med separat nyckelsystem och helst med en kombination av tekniska och administrativa åtgärder.
Beslut om vem som får ha tillträde för att kunna utföra sina arbetsuppgif-ter fattas av systemägaren. Detta kan även omfatta begränsningar till vissa tider på dygnet. För att kunna följa upp vem som vid ett visst tillfälle besökt för driften viktiga utrymmen är det nödvändigt att besök registreras. Detta kan till exempel ske manuellt eller med loggande passagekontrollsystem. Den enklaste formen av uppföljning är att alla tillfälliga, normalt ej behöriga, besök i aktuella utrymmen antecknas i en besöksliggare.
Om, som komplement, stöldskydd i form av fastlåsning av utrustning används, rekommenderas att låsanordning som uppfyller Stöldskyddsföre-ningens normer väljs.
Den lägsta nivån på brandskydd är att det, i direkt anslutning till för drif-ten vitala dator- och kommunikationsutrustningar, finns kolsyrehandbrand-släckare i erforderligt antal.
Förebyggande brandskyddsåtgärder är ett kostnadseffektivt skydd. Såda-na kan till exempel vara att utse en ansvarig person för brandskyddet vid datadriftstället, att genomföra brandbesiktning i samråd med brandförsva-ret, etc.
Med hänsyn till de kapitalinvesteringar som gjorts i utrustningar kan andra säkerhetsåtgärder vara motiverade. Sådana kan till exempel vara att låta datadriftstället och utrymmen för klimat- och elinstallationer var för sig
utgöra separata brandceller avgränsade i minst brandteknisk klass , att
brandlarm kopplas till larmmottagare, etc.
Driftsäkerhet
15 §Driftutrymmen med dator- och kommunikationsutrustningar m m som ingår i ett samhällsviktigt datasystem skall vara försedda med tillträdes- och brandskydd samt vara utformade så att den säkerhetsnivå som bestämts för datasystemet enligt systemsäkerhets-planen kan upprätthållas.
§
§
Sammanfattning grundsäkerhet – tillträdes- och brandskydd
■ Tillträdet till viktiga utrymmen, där till exempel för driften viktiga dator- och kommunikationsutrustningar som ingår i ett datasystem förvaras, ska vara begränsat.
■ Tillträdet ska minst regleras med hjälp av låssystem med separat nyckelsys-tem och helst med en kombination av tekniska och administrativa åtgärder.
■ Beslut om vem som får ha tillträde för att kunna utföra sina arbetsuppgifter fattas av systemägaren.
6.4 Virusskydd
Skydd mot datavirus måste stå i relation till de skador ett virusangrepp kan förorsaka. Systemägaren ska därför göra en bedömning av hur stor ris-ken för ett angrepp och effekterna av ett sådant kan vara och utifrån detta vidta åtgärder. Sådana åtgärder kan omfatta att:
■ förebygga virussmitta,
■ upptäcka datavirus,
■ förhindra smittspridning samt
■ återställa ett smittat system.
Den lägsta nivån för virusskydd är att det finns program för detektering av datavirus. Inga sådana antivirusprogram kan garantera ett komplett skydd mot virus eftersom nya typer av virus upptäcks kontinuerligt. Dessa måste därför uppdateras kontinuerligt för att kunna upptäcka kända och nya virus. Vissa antivirusprogram identifierar enbart förändringar i filer medan andra såväl identifierar, tar bort viruset och reparerar skador viruset åstadkommit.
En viktig del av virusskyddet är kontrollen över vilka program som tillåts i datasystemet och på vilket sätt information får tillföras datasystemet, till exempel via datamedia eller via Internet. Rätten att installera program, nya versioner av program eller import av externa filer ska därför regleras i säker-hetsinstruktionen.
I datasystem, där kommunikation med andra system ej sker eller beroende på andra tekniska orsaker, kan systemägaren besluta att virusskydd ej erfordras. I sådana fall är det ändå motiverat att installationer av nya program eller motsva-rande sker under kontrollerade former för att förhindra virus. Detta kan till exempel åstadkommas genom att program först testas i en isolerad miljö.
6.5 Elförsörjning
Med avbrottsfri kraft (, Uninterruptible Power Supply) menas utrust-ning, vanligen batterier, som vid elavbrott försörjer ett datasystem med el. Försörjningen måste ske under tillräckligt lång tid för att datasystemet ska kunna stängas av så att information inte går förlorad eller att eventuellt reservkraftaggregat kan startas.
Driftsäkerhet
16 §Ett samhällsviktigt datasystem skall där det är tekniskt möjligt vara försett med program för detektering av datavirus.
§
§
Sammanfattning grundsäkerhet – virusskydd
■ Systemägaren ska göra en bedömning av risken för ett virusangrepp och effekterna av ett sådant och utifrån detta vidta åtgärder.
■ Den lägsta nivån för virusskydd är att det finns program för detektering av datavirus.
■ Rätten att installera program, nya versioner av program eller import av externa filer ska regleras i säkerhetsinstruktionen.
17 §Ett samhällsviktigt datasystem skall i den omfattning som är nödvän-dig för att säkerställa fortsatt drift under kortvariga elavbrott förses med avbrottsfri kraft.
§
§
Sammanfattning grundsäkerhet – elförsörjning
En analys ska genomföras för att identifiera vilka utrustningar i ett data-system som är av sådan vital betydelse att dessa ska utrustas med avbrottsfri kraft. Sådan utrustningar kan vara:
■ viktiga serverar, till exempel servrar för visst datasystem, nätverksservrar
samt
■ vissa kommunikationsutrustningar, till exempel routrar.
För att en ska fungera som avsett måste regelbundna kontroller göras så
att inte extra utrustningar ansluts till befintlig avbrottsfri kraft som medför
att dess kapacitet därmed överskrids. Vidare måste :ens funktion testas
regelbundet, enligt leverantörens anvisningar.
6.6 Säkerhetskopiering
Intervall för säkerhetskopiering får inte bestämmas utifrån driftens ruti-ner utan måste utgå från verksamhets kraven på informationens aktualitet vid återstart från säkerhetskopia. Systemägare ska därför tillsammans med verksamhetsansvarig, om denne inte är systemägaren, i säkerhetsinstruktion fastställa reglerna för säkerhetskopiering av information. Dessa regler ska minst reglera:
■ vilken information som ska omfattas av säkerhetskopiering,
■ intervall för säkerhetskopiering samt
■ hur säkerhetskopior ska förvaras.
I de flesta fall sker säkerhetskopiering i en för flera datasystem gemensam drift-miljö av särskilt utsedd personal. I sådana fall måste intervallet för säkerhets-kopiering utgå från den verksamhet som har de högst ställda kraven på infor-mationens aktualitet vid återstart. Av systemägarens beslut om säkerhetskopie-ring måste därför intervallet framgå men även hur säkerhetskopiesäkerhetskopie-ringen ska genomföras. Säkerhetskopiering kan omfatta totalkopiering av informationen eller kopiering av förändringar från föregående kopieringstillfälle.
För att säkerställa att säkerhetskopior finns tillgängliga och vid behov går att använda, ska systemägaren fastställa hur många generationer av säkerhet-skopior som ska finnas samt vilka kontroller som ska genomföras av att säkerhetskopiorna är läsbara.
Ett beslut om intervall för säkerhetskopiering kan till exempel omfattar en daglig förändringskopia som förvaras i ett arbetsarkiv, en veckovis totalkopia som förvaras i säkerhetsarkiv samt en månadsvis totalkopia som förvaras på en geografiskt avskild plats från datadriftstället.
Det bör observeras att informationsmängdens omfattning vid enskilda
Driftsäkerhet
18 §I säkerhetsinstruktionen skall regleras vilken information i ett sam-hällsviktigt datasystem som skall om-fattas av säkerhetskopiering, med vilka intervall sådan skall ske samt hur säkerhetskopior skall förvaras.
§
§
Sammanfattning grundsäkerhet – säkerhetskopiering
■ Systemägare ska i säkerhetsinstruktion fastställa reglerna för säkerhetskopie-ring av information. Dessa regler ska minst reglera vilken information som ska omfattas av säkerhetskopiering, intervall för säkerhetskopiering samt hur säkerhetskopior ska förvaras.
säkerhetskopieringar måste avgöra hur väl dessa ska skyddas för obehörig åtkomst.
Förvaring av säkerhetskopior omfattar i stort samma åtgärder som förva-ring av övriga datamedia inom organisationen, vilket beskrivs nedan.
6.7 Datamedia
Åtgärder för att skydda information som lagras på datamedia kan delas upp i två delar, dels generella för alla datamedia dels sådana för datamedia som ska omfattas av särskilda förvaringsrutiner.
Systemägaren ska därför reglera:
■ vilken information lagrad på datamedia som ska omfattas av särskilda
för-varingsrutiner så att informationen ej kan läsas av obehöriga (se §),
■ åtgärder så att media ej förstörs samt
■ åtgärder så att informationen på media är läsbar under hela
förvarings-tiden.
För att kunna bedöma vilka datamedia, med för verksamheten väsentlig information, som ska skyddas mot obehörig åtkomst måste informationen som lagras på dessa datamedia klassas. Klassningen måste ta hänsyn till gäl-lande lagar och föreskrifter samt verksamhetens krav. Utgående från detta tas beslut om vilka datamedia ska omfattas av särskilda förvaringsrutiner.
Av säkerhetsinstruktionen ska framgå hur sådan datamedia med för verk-samheten väsentlig information ska förvaras. Förvaringen av sådana datame-dia kan till exempel ske i säkerhets- eller värdeskåp dit endast behöriga perso-ner har tillgång.
Datamedia är ofta känsliga för värme och rök och måste för att inte riske-ras att förstöriske-ras förvariske-ras i förvaringsutrymme särskilt konstruerat för ända-målet. Av systemägarens beslut ska framgå vilka förvaringsutrymmen som får användas. Ett sådan beslut kan till exempel vara att skåpet ska klara en
brand under två timmar och att temperaturen i skåpet då inte överstiger ca
grader.
För arkivering av datamedia måste åtgärder vid längre arkiveringstid vidtas så att informationen är läsbar under hela arkiveringstiden. Detta kan till exem-pel innebära regelbundna kontroller av att datamedia går att läsa. Av säkerhets-instruktionen ska framgå regler för förvaringstid för datamedia. Reglerna ska baseras på de bestämmelser som gäller för den information som lagras. Exem-pelvis kan nämnas, arkivlagen och riksarkivets författningssamling.
Driftsäkerhet
9 §I säkerhetsinstruktionen skall …… anges hur datamedia tillhörande sam-hällsviktigt datasystem med för verk-samheten väsentlig information skall skyddas mot obehörig åtkomst ……
§
§
Sammanfattning grundsäkerhet – datamedia
■ Systemägaren ska reglera vilken information, lagrad på datamedia, som ska omfattas av särskilda förvaringsrutiner så att informationen ej kan läsas av obehöriga.
■ Av säkerhetsinstruktionen ska framgå vilka åtgärder som ska vidtas dels för att förhindra att media inte förstörs dels för att säkra att informationen är läsbar under hela förvaringstiden.
En avbrottsplan utgör den sammanfattande beteckningen på de åtgärder
som ska säkerställa fortsatt verksamhet vid störning eller avbrott i -driften
inom en viss tid. Avbrottsplanering måste alltid anpassas till hur kritiskt datasystemet är för verksamheten och ska inte ses som ett fristående område i säkerhetsarbetet utan vara en integrerad del i detta. Det innebär att utgångs-punkten för avbrottsplaneringen utgörs av systemsäkerhetsplanen. I system-säkerhetsplanen definieras tilläggskrav, som bland annat omfattar specifika verksamhetskrav.
Detta innebär att när kraven på tillgänglighet identifieras ska systemäga-ren besluta om den längsta tid som datasystemet får vara »obrukbart« innan verksamheten äventyras. Avbrottsplaneringen utgår från att återstart ska kunna genomföras innan denna tidsgräns är nådd.
Avbrottsplanen ska omfatta de reserv- och återstartsrutiner för datadriften som vidtas inom ramen för ordinarie drift för att datasystemet ska kunna återstartas inom fastställd tid. Detta kan omfatta ett stort antal åtgärder, de
områden som redovisas i är:
■ dokumentation, avsnitt .,
■ bemanning, avsnitt .,
■ brand, avsnitt .,
■ virusskydd, avsnitt .,
■ elförsörjning, avsnitt .,
■ säkerhetskopiering, avsnitt .samt
■ förvaring av datamedia, avsnitt ..
Utöver detta finns andra områden som kan vara aktuella, till exempel:
■ redundans, speglade diskar, raid teknik, cluster etc,
■ alternativa kommunikationsvägar,
■ felhantering samt
■ återstartsrutiner.
Det är också viktigt att reglera ansvarsförhållanden för avbrottssituationer. Detta kan bland annat omfatta att reglera vem som ansvarar för de åtgärder som krävs för att hantera den uppkomna situationen.
Avbrottsplanen ska dokumenteras. Detta kan ske antingen i driftdoku-mentationen som ett särskilt avsnitt med hänvisningar till andra delar av den-samma eller som en fristående avbrottsplan.
Avbrottsplan är inte detsamma som katastrofplan. Utgångspunkten för en katastrofplan är verksamhetsledningens definition av vad som för en specifik verksamhet är ett sådant tillstånd/en sådan händelse att konsekvenserna av detta/denna är katastrofala.
En katastrofsituation behöver alltså inte endast uppstå vid ett avbrott i
-driften utan kan även uppstå genom att sekretessbelagda uppgifter blir
A
vbrottsplanering
7 KONTINUITETSPLANERING
19 §I en avbrottsplan skall beskrivas vilka åtgärder som skall vidtagas för den händelse att störningar eller avbrott i ett samhällsviktigt datasystem pågår under så lång tid att myndig-hetens verksamhet kan äventyras.
§
§
Sammanfattning grundsäkerhet – avbrottsplanering
■ Systemägaren ska besluta om den längsta tid som datasystemet bedöms kunna vara ur funktion innan verksamheten äventyras.
■ Avbrottsplanen ska omfatta de reserv- och återstartsrutiner för datadriften som vidtas inom ramen för ordinarie drift för att datasystemet ska kunna återstartas inom fastställd tid.
åtkomliga för obehöriga till exempel att en enskild lider allvarlig skada, eller vid brister i tillförlitligheten till exempel brister i en tillverkningsprocess som leder till allvarlig ekonomisk skada för ett företag.
Katastrofplanering är därmed en »process« som till stor del måste ledas och inriktas av verksamhetsledningen och har som mål att skapa förutsätt-ningar för att upprätta en katastrofledning som operativt ska kunna leda verksamheten.
I många fall definieras hela denna planeringsprocess som kontinuitetspla-nering. En kontinuitetsplan för att säkerställa fortsatt verksamhet vid stör-ning eller avbrott i den ordinarie datadriften omfattar två delar. En avbrotts-plan omfattande reserv- och återstartsrutiner med syfte att säkerställa åter-start inom viss tid samt en katastrofplan med förberedelse av åtgärder som ska vidtas vid sådana situationer som av verksamhetsledningen definieras som katastrofsituation. Detta illustreras i nedanstående bild.
A
vbrottsplanering
Avbrottsplan
Kontinuitetsplan
Driftgodkännande avser den process och det beslut som i en organisa-tion syftar till att fastställa om ett datasystem i en given miljö på ett tillfreds-ställande sätt kan leva upp till ställda säkerhetskrav. Normalt är det systemä-garen som beslutar om driftgodkännande. Beslutet baseras på en granskning och säkerhetsutvärdering som bygger på en jämförelse mellan verksamhetens krav och resultatet av en analys av vidtagna säkerhetsåtgärder. Resultatet av en sådan granskning och säkerhetsutvärdering kan inte uttryckas i absoluta mått. Oftast tvingas man uttrycka resultatet i termer av vilken nivå sårbarhe-ten ligger på.
Driftgodkännandeprocessen relateras till systemsäkerhetsplanen och ska omfatta:
■ avgränsningar,
■ granskning av säkerhetsåtgärderna i datasystemet,
■ utvärdering av granskningen i förhållande till systemsäkerhetsplanens krav,
■ redovisning av beslutsunderlag samt
■ beslut.
Detta illustreras i nedanstående bild:
Före driftgodkännande sker en granskning av datasystemets säkerhet av per-sonal som systemägaren utser. Granskningen omfattar ett enskilt datasys-tem, där avgränsningar till andra datasystem är dokumenterade.
Driftgodkännande
8 DRIFTGODKÄNNANDE
Systemsäker-hetsplan
Granskning av datasystemet
Beslutsunderlag
Driftgodkännande Utvärdering
20 §Myndigheten skall för vart och ett samhällsviktigt datasystem för vilket den har ansvar besluta om driftgod-kännande. Av beslutet skall framgå hur kraven på grundsäkerhet är tillgo-dosedda samt hur systemsäkerhetspla-nen i övrigt tillgodoses. Beslut om drift-godkännande skall dokumenteras.
§
§
Sammanfattning grundsäkerhet – driftg
