handbok infosäk

Teknisk rapport SIS/TK 318 N46 Version 6.00 2006-08-07

Ge din information rtt skerhet

Handbok i

informationsskerhetsarbete

Baserad p standarderna: ISO-ISO/IEC 27001 Ledningssystem fr informationsskerhet - Krav SS-ISO/IEC 17799 Riktlinjer fr styrning av informationsskerhet

Innehllsfrteckning

Innehllsfrteckning

Kapitel Sida

Frord I Kapitel 1 Inledning 1-1 Kapitel 2 Termer och definitioner 2-1 Kapitel 3 Standardens struktur 3-1 Kapitel 4 Riskbedmning och riskhantering 4-1 Kapitel 5 Klassificering och styrning av tillgngar 5-1 Kapitel 6 Organisation av informationsskerheten 6-1 Kapitel 7 Hantering av tillgngar 7-1 Kapitel 8 Personalresurser och skerhet 8-1 Kapitel 9 Fysisk och miljrelaterad 9-1 Kapitel 10 Styrning av kommunikation och drift 10-1 Kapitel 11 Styrning av tkomst 11-1 Kapitel 12 Anskaffning, utveckling och underhll av

informationssystem 12-1 Kapitel 13 Hantering av informations-

skerhetsincidenter 13-1 Kapitel 14 Kontinuitetsplanering i verksamheten 14-1 Kapitel 15 Efterlevnad 15-1 Appendix 1 Exempelfretaget Medytekk AB A1-1 Appendix 2 Lagrum, efterlevnad av rttsliga krav A2-1 Appendix 3 Riskanalysmetoder A3-1 Appendix 4 Handledning fr LIS planeringsfas A4-1 Appendix 5 Certifiering av ledningssystem

fr informationsskerhet LIS A5-1

Frord Information r frmodligen en av de mest vrdefulla tillgngarna i din verksamhets. Nya snabba, kreativa och kom-plexa mjligheter att skapa, anvnda och utbyta information skapas varje dag. Elektronisk information och synen p information som den centrala tillgngen omvandlar vrt stt att leva och arbeta. Men riskerna r stora att information gr frlorad, frvanskas eller kommer i fel hnder. Fljderna av sdana incidenter r ibland frdande.

Den internationella standarden SS-ISO/IEC 27001 str fr ett affrsmssigt synstt fr att styra informationsskerhe-ten i din verksamhet. Standarden specificerar hur alla verksamheter kan bygga upp ett ledningssystem fr informations-skerhet (LIS) som tillhandahller en organisationsanpassad skerhetsniv. Aktivt riskanalysarbete r krnan i SS-ISO/IEC 27001. Din organisation mste identifiera sina informationstillgngar och frst de risker och hot som finns mot dessa. Standarden SS-ISO/IEC 17799 ger rd fr vad som kan gras fr att minska srbarheten hos informations-tillgngarna.

Inom SIS, Swedish Standards Institute, har projekt LIS nu verkat i snart tio r. Projektets frsta delml var att ta fram de tv standarderna SS-ISO/IEC 27001 och SS-ISO/IEC 17799. Fr att underltta infrandet av LIS, i framfr allt mindre och medelstora fretag, vcktes idn om en handbok som ger en praktisk handledning och exempel frn verk-samheter. Beslut om att ge ut denna handbok har tagits av SIS tekniska kommittn TK 318 Ledningssystem fr infor-mationsskerhet.

Denna handbok hjlper dig att bygga ett LIS via SS-ISO/IEC 27001 med std av SS-ISO/IEC 17799. Alla grtonade rutor i handboken r hmtade frn SS-ISO/IEC 17799 och innehller de ml som finns inom dessa delomrden.

Fler exemplar av denna handbok i pdf-format finns att hmta gratis via Internet frn SIS:s webbplats: www.sis.se el-ler frn SWEDACs hemsida: www.swedac.se.

Frndringshistorik Version Utkom Frndringar 1.0 2001-01-17 - 2.10 2002-03-05 Anpassning till nya SS-ISO/IEC 17799 3.0 2004-01-23 Beskrivning av ledningssystem utgr nya Kapitel 2 och anpassning till nya SS 62 77 99-2,

utgva 2 (processinriktning, etc.) Korrigering av hnvisningar fr att f ett Ledningssystem fr informationsskerhet, LIS Tillgg av avsnitt rrande handledning fr LIS planeringsfas i Appendix 4 Redaktionella frndringar (Kapitel 13 r numera Appendix 2, Kapitel 2 r numera Appen-

dix 3 och Kapitel 14 r numera Appendix 5) 6.0 2006-07-10 Anpassningar till SS-ISO/IEC 27001:2006 och SS-ISO/IEC 17799:2005

Revideringen till version 6.0 har utfrts av: Gunnar Lindstrm, SWEDAC, med std av deltagare i TK 318.

Medverkande vid det ursprungliga framtagande av denna skrift var: Johan Karlsson, frilansjournalist som sammanstllde handboken i version 1.0 Jan-Olof Andersson, Riksbanken Gran Antonsson, Clemens Wallen stlund Advokater AB Anders Carlstedt, hrlings Price Waterhouse Coopers Per Anders Eriksson, Arthur Andersen Thomas Keisu, StoSec Gunnar Lindstrm, SWEDAC ordfrande i arbetsgruppen Per Lundin, Svensk Brand- och Skerhetscertifiering AB Inger Nordin, DNV Certification AB Istvn Orci, Statskontoret Thomas Osvald, Thomas Osvald IT-Konsult Bengt Rydstedt, SIS, Swedish Standards Institute Jan Svenson, Protect Data Konsult

Inledning

Kapitel 1 Sida 1

Kapitel 1 Inledning Idag r informationsskerhet ett begrepp som r av stor betydelse fr att skerstlla en organisations lnsamhet och ven dess fortsatta existens. Denna handbok r framtagen under SIS projekt TK 318 vilket allmnt benmns LIS-projektet. LIS str fr Ledningssystem fr Informationsskerhet. LIS motsvaras i engelskan av ISMS, Information Security Management System. De viktigaste standarderna i den vxande familjen inom detta omrde r kravstandarden fr ledningssystem informationsskerhet SS- ISO/IEC 27001 samt Riktlinjer fr styrning av informationsskerhet SS-ISO/IEC 17799:2005. (Denna standard kommer under 2007 f beteckningen SS-ISO/IEC 27002) Handboken r tnkt att fungera som ett komplement till riktlinjerna och ven att anvndas vid utbildning inom omrdet. Handboken r utformad som en teknisk rapport och som en fljd av detta r en del av standardens text tergiven ordagrant i handbokens grtonade rutor. Handbokens kapitelindelning och disposition fljer helt standardens disposition. I slutet av varje kapitel finns en checklista och vningsexempel. vningsexemplen utgr frn ett fiktivt fretag Medytekk vilket r beskrivet under en bilaga till boken. Informationsskerhet r ett begrepp vilket av mnga felaktigt frknippas med IT-skerhet. Nedanstende figur beskriver relationen mellan de underordnade begreppen.

Nyckelbegreppen som omfattas av informationsskerhet r

Sekretess Riktighet Tillgnglighet Sprbarhet

Handboken bygger p standarden SS-ISO/IEC 17799, Ledningssystem fr informationsskerhet - Riktlinjer fr styrning av informationsskerhet. Vid internrevision av informationsskerheten br standarden SS-ISO/IEC 27001, Ledningssystem fr informationsskerhet - Krav anvndas. Detta gller ven d bedmning grs av underleverantrers informationsskerhet. Certifieringsorgan vilka certifierar ledningssystem fr informationsskerhet gr detta mot SS-ISO/IEC 27001. I den normativa bilagan till SS-ISO/IEC 27001 r dispositionen lika med rekommendationerna i SS-ISO/IEC 17799. I SS-ISO/IEC 27001 r det dremot skall-krav och inte rekommendationer.

Informationsskerhet

Administrativ skerhet

IT-skerhet

ADB-skerhet Kommunikationsskerhet

Inledning

Kapitel 1 Sida 2

SS-ISO/IEC 27001 fljer samma struktur som SS-EN ISO 9001, Ledningssystem fr kvalitet och SS-EN ISO14001 Miljledningssystem och kan med frdel integreras med dessa i ett verksamhetssystem. SIS Swedish Standards Institute ISO Internationella standardiseringsorganisationen (International Organization for Standardization) IEC Internationell standardiseringsorganisation (International Electrical Commissions) Standardisering inom elektronik och telekommunikation

Termer och definitioner

Kapitel 2 Sida 1

2 Termer och definitioner Termerna och definitionerna 2.1 till och med 2.17 r de vilka nmns under kapitel 2 i SS-ISO/IEC 17799:2005. Termerna och definitionerna utan beteckning r ett urval av kompletterande termer och definitioner vilka frekommer i denna handbok. 2.1 Tillgng Allt som r av vrde fr organisationen 2.2 Skyddstgrd Handling, procedur eller tekniskt arrangemang som genom att minska srbarheten mter identifierat hot 2.3 Vgledning Beskrivning som klargr vad som ska gras och hur, fr att n mlen i policys 2.4 Informationsbehandlingsresurser Informationsbehandlingssystem, -tjnst eller stdjande infrastruktur, eller lokaler som inhyser resurserna 2.5 Informationsskerhet Frmgan att bevara sekretess, riktighet och tillgnglighet hos information. Drutver kan begreppet innefatta t.ex. autenticitet, sprbarhet, oavvislighet och tillfrlitlighet 2.6 Informationsskerhetshndelse En faststlld frekomst av ett tillstnd i ett system, ntverk eller fr en tjnst som indikerar ett tnkbart brott mot informationsskerhetspolicyn eller brister i skyddstgrder, eller en ny och oknd situation som kan pverka skerheten 2.7 Informationsskerhetsincident En eller flera hndelser som kan tnkas f eller kunnat f allvarliga konsekvenser fr verksamheten och hota informationsskerheten 2.8 Policy vergripande avsikt och viljeinriktning formellt uttryckt av ledningen 2.9 Risk Produkten av sannolikheten fr att ett givet hot realiseras och drmed uppkommande skadekostnad 2.10 Riskanalys Process som identifierar skerhetsrisker och bestmmer deras betydelse 2.11 Riskbedmning vergripande process fr riskanalys och riskutvrdering 2.12 Riskutvrdering Process som jmfr uppskattad risk mot given riskbedmningsgrund fr att faststlla riskens betydelse


Kapitel 2 Sida 2

2.13 Riskhantering Samordnande aktiviteter fr att styra och kontrollera en organisation med avseende p risk 2.14 Riskbearbetning Bearbetningsprocess fr val och infrande av tgrder fr att begrnsa risker 2.15 Tredje part Person eller organisation som anses fristende frn de berrda parterna i den aktuella frgan 2.16 Hot Mjlig, onskad hndelse med negativa konsekvenser fr verksamheten * 2.17 Srbarhet Brist i skyddet av en tillgng exponerad fr hot Kompletterande termer och definitioner ADB Automatisk Databehandling (ADB) r ett begrepp som anvnds i datalagen ADB-skerhet Skerhet betrffande skydd av datorsystem och dess data syftande till att frhindra obehrig tkomst och obehrig eller oavsiktlig frndring eller strning vid databehandling Arkivering Arkivering r en lngtidslagring. Viktiga beslut att ta vid lagring r vad som skall lagras, hur lnge, p vilket media och vilken skerhet krvs Attack Aktiviteter som syftar till att stadkomma skada p verksamheten eller verksamhetens resurser Autenticering En kontroll av en anvndares identitet fr att skerstlla att anvndaren verkligen r den han eller hon utger sig fr att vara Avveckling Att lgga ned, stnga ett system eller organisation Certifiering av ledningssystem fr informationsskerhet En formell certifieringsprocess dr ett certifieringsorgan genom bedmning faststller att det implementerade ledningssystemet uppfyller kraven i standarden Elektronisk handel/Elektroniska affrer Parter utvxlar affrsinformation via olika former av elektronisk kommunikation Elektroniska signaturer/Digitala signaturer Omvandling av ett meddelande (eller ett kondensat av detta) p ett stt som endast avsndaren kan utfra och som tillter mottagaren att kontrollera meddelandets kthet, innehll och avsndarens identitet Hotbild Hot som bedms frekomma mot en viss verksamhet


Kapitel 2 Sida 3

Intrng Onskad interaktion och aktiviteter mot system

- i strid med systemets policy - som kan medfra frndringar, strningar eller skada

Kontinuitetsplan Dokument som beskriver hur verksamheten skall bedrivas nr identifierade, kritiska verksamhetsprocesser allvarligt pverkas eller strs under en lngre, specificerad tidsperiod, d.v.s. en typ av reservplan fr verksamheten Kryptering Omvandling av klartext till kryptotext med ett krypteringssystem och kryptonyckel i syfte att frhindra obehrig tkomst Kvarvarande risk Skyddstgrder tar inte bort risken till fullo. Det finns alltid en viss sannolikhet att den kvarvarande risken realiseras och medfr skada i ngon form Lsenord Teckenstrng som anges fr att verifiera anvndaridentitet Resurs

1. ngot som anvnds eller frbrukas nr en operation utfrs 2. systemkomponent med viss faststlld funktion fr lagring, verfring eller bearbetning

Riskacceptans Den medvetna handlingen att leva med riskens konsekvens/er Riskreduktion Att minska risken genom att mildra, frebygga eller fregripa den. Det kan ske genom att undvika risken, verfra den genom exempelvis frskringar eller genom att reducera hotet, srbarheten eller den mjliga pverkan. Det kan ocks ske genom att upptcka onskade hndelser, reagera p dessa och vidta tgrder Svaghet Se Srbarhet Upphovsrtt Upphovsrtt ger rttsligt skydd till personer som skapat ngot med s kallad verkshjd. Exempel p sdant skapande kan vara litterra verk, bilder, musik och programvara *Definitioner vilka anvnds fr olika former av hot Avsiktligt hot Hot och aktivitet som syftar till att skada verksamheten Oavsiktligt hot Hot och aktiviteter som existerar trots att illasinnad avsikt saknas. Brist p kompetens och utbildning kan vara en anledning Yttre hot Hot som har sitt ursprung utanfr organisationen Inre hot Hot mot skerheten som orsakas av individer inom organisationen

Standardens struktur

Kapitel 3 sida 1

Kapitel 3 Standardens struktur

3.1 Avsnitt Standarden SS-ISO/IEC 17799 omfattar elva avsnitt fr styrning av skerhet samt en inledande beskrivning av riskbedmning och riskhantering. Kapitelindelningen och ven underliggande rubriker verensstmmer med standarden SS-ISO/IEC 17799:2005. Vid certifiering av ett ledningssystem eller annan bedmning av verensstmmelse mot krav som exempelvis vid internrevision anvnds standarden SS-ISO/IEC 27001 Ledningssystem fr informationsskerhet - Krav. Denna standard har en disposition vilken i stort verensstmmer med kravstandarderna SS-EN ISO 9001, ledningssystem fr kvalitet och SS-EN ISO 14001, ledningssystem fr milj. Standarden innehller ven under bilaga C en korsreferenslista till SS-EN ISO 9001:2000 och SS-EN ISO 14001:2004. SS-ISO 27001 har en bilaga A vilken r utformad som en checklista dr de olika punkterna direkt verensstmmer med motsvarande kapitel och underrubrik i SS-ISO/IEC 17799:2005. Att implementera och frvalta ett ledningssystem fr informationsskerhet r att systematiskt styra verksamheten utgende frn kraven p verksamheten, se nedanstende figur.

Planera

Genom-fra

Flja upp

Frbtt-ra

Infr och driv LIS

Upprtthll och frbttra

LIS

Upprtta LIS

Flj upp och granska LIS

Utvecklings-, underhlls- och

frbttrings-cykel

Intressenter

Styrd informations-skerhet

Intressenter

Informations-skerhetskravoch frvntningar

Planera

Genom-fra

Flja upp

Frbtt-ra

Infr och driv LIS


LIS

Upprtta LIS



frbttrings-cykel

Planera

Genom-fra

Flja upp

Frbtt-ra

Infr och driv LIS


LIS

Upprtta LIS



frbttrings-cykel

Intressenter

Styrd informations-skerhet

Intressenter

Informations-skerhetskravoch frvntningar

3.2 Indelning inom huvudomrden Fr varje omrde beskriver standarden SS-ISO/IEC 17799 ett ml fr styrning och vilka tgrder som kan tillmpas fr att uppn detta. Standarden ger ven vgledning fr infrande av tgrder och i flera fall ven viktig vrig information.

10.7 Hantering a vmedia 10.6

Hantering avskerhet I

n tverk

10.2 Kontroll a vutomstende

tj nsteleverantre

10.1 Driftrutineroch driftans var

10.8 Utbyte a vinforma tion

10.5 S kerhetskopiering

10: S tyrning avkommuniaktion

och drift

10: S tyrning avkommuniaktion

och drift10.3

S ys templanering ochsys temgodknna de

10.4 S kydd mot skadlig och mobilkod.

M l omrdenM l omrden

10.9 E lektronisk handel10.10 vervakning

Standardens struktur

Kapitel 3 sida 2

Exempel p utformning av ett mlomrde

10.1.3 Uppdelning ava rbetsuppg ifter

10.1.2 ndring shantering

10.1.1 Dokumenterade

drifrutiner10.1.4 Uppdelning

av utveckling s - tes t-och driftresurser.

10.1: DriftrutinerOch drifta nsva r

10.1: DriftrutinerOch drifta nsva r

tg rdertg rder

Riskbedmning och riskhantering

Kapitel 4 Sida 1

Kapitel 4 Riskbedmning och riskhantering

4.1 Allmnt Riskhantering r att hantera risker och drmed mjliga onskade hndelse eller skador som en organisation kan drabbas av. Detta kan gras p mnga olika stt och sttet br anpassas till organisations inre och yttre milj. Riskhanteringen grs enligt ett antal steg i en riskhanteringsprocess. Error! Objects cannot be created from editing field codes. Figur 1 Riskhanteringsprocess Processen bestr av ett antal aktiviteter:

1. Kommunikation 2. Etablering av milj; intern & extern 3. Riskbedmning som bestr av

a. Riskanalys som bestr av i. Identifiera risker

ii. Analysera risker b. Riskutvrdering

4. Riskbearbetning 5. Utvrdering

4.1.1 Kommunikation Denna del av processen r viktig fr varje steg i hela processen. Fr att uppn en effektiv riskhanteringsprocess mste det finnas mjlighet fr interna diskussioner mellan olika interna intressenter men ocks med externa intressenter. Det r viktigt att kartlgga organisationens interna och externa intressenter. Organisationen br utveckla en kommunikationsplan med dessa. Planen br innehlla processen fr en sdan kommunikation. En effektiv kommunikationsplan ger mjlighet att samla in olika synpunkter och perspektiv frn olika kompetensgrupper, frst intressenternas krav och frvntningar etc. fr att den vidare delen av processen som riskbedmning och riskhantering blir rtt. Kommunikationen bidrar till att riskhanteringsprocessen tar hnsyn till intressenternas krav och frvntningar.

4.1.2 Etablera extern och intern milj Fr att f en effektiv riskhanteringsprocess mste alla tillgngar och resurser bda internt och externt identifieras och ligga som grund fr att upprtta rtt skerhetskrav. Rtt skerhetskrav mste allts baseras p bde intern och extern milj.

4.1.3 Etablering av extern milj Att etablera extern milj betyder att definiera relationen mellan organisationen och dets externa milj. Detta inkluderar:

Politisk situation, social och kulturell milj Externa intressenter s som

o Styrelse och gare o Kunder och affrsrelationer o Konkurrenter o Leverantrer o Etc.


Kapitel 4 Sida 2

Det r viktigt att upprtta en policy fr extern kommunikation.

4.1.4 Etablering av intern milj Att etablera en intern milj innebr att definiera organisationens verksamhet och interna intressenter. Detta inkluderar att identifiera kultur, struktur(er), organisation(er), processer, tillgngar som kapital etc. Det r viktigt att upprtta en policy fr intern kommunikation.

4.1.5 Riskbedmningsgrund eller kriterier fr riskbearbetning Definiera kriterier fr hur en risk skall utvrderas och identifiera riskhanteringskrav r viktigt. Detta skall gra med hnsyn tagen till den interna och externa miljn. Fr att ta beslut fr om riskkriterierna r det viktigt att ta hnsyn till:

konsekvenserna intressenternas krav etc.

4.2 Bedmning av skerhetsrisker Riskbedmningen innebr att hantera risker p ett systematiskt stt och bestr av tv delar:

1. Riskanalys 2. Riskutvrdering

4.2.1 Riskanalys Riskanalysen r en viktig del. Denna bestr av tv steg:

1. Identifiera risker 2. Analysera risker

Konsekvenser

Sannolikhet

Flytta Undvik

MinskaAccepter


Kapitel 4 Sida 3

4.2.2 Identifiera risker Hr r det viktigt att identifiera alla risker i en organisation, svl nya som de vilka eventuellt redan r under hantering. I detta steg skall alla risker identifieras; de som kanske kan intrffa, de som redan finns och r identifierade. Hr identifieras ocks olika onskade hndelser som skall kunna intrffa och kllor eller orsaker till dessa. Resultatet r en lista av risker och kllor fr olika onskade hndelser.

4.2.3 Analysera risker Analysera risker betyder definiera och frst riskniv och riskernas natur. Det ger input till ett senare beslut om risken skall hanteras eller inte. Riskanalysen skall innehlla alla riskkllor, negativa och positiva konsekvenser med hnsyn till intressenterna. Analysering av risken skall ske genom att kombinera konsekvenser och intressenter.

4.2.4 Riskutvrdering Riskutvrdering r en process som jmfr uppskattad risk mot given riskbedmningsgrund (eller kriterier fr riskhantering) fr att faststlla riskens betydelse. Detta grs mot det underlag som r tagit fram under steget Etablering av milj. De risker som vrderas som acceptabla hanteras inte vidare utan vervakas och utvrderas kontinuerligt. De risker som utvrderas till att tas hand om och minska eller eliminera skall hanteras i steget Hantering av skerhetsrisker. 4.3 Bearbetning av skerhetsrisker Efter en vrdering av riskerna och en prioritering av de risker som skall hanteras skall en plan fr hanteringen gras. Besluten omfattar:

Gr det att reducera riskerna Helt undvika risker verfra risker till andra

Planen skall innehlla tydliga roller och ansvar.

4.3.1 Utvrdering Riskbearbetning r en kontinuerlig process och denna skall stndigt utvrderas. Detta kan ske genom aktiv granskning eller p annat stt.

Skerhetspolicy

Kapitel 5 Sida 1

Kapitel 5 Skerhetspolicy

5.1 Informationsskerhetspolicy Ml: Att ange ledningens viljeinriktning och std fr informationsskerhet i enlighet med organisationens verksamhetskrav och relevanta lagar och freskrifter. Organisationens ledning br klart ange en viljeinriktning i enlighet med verksamhetens ml och visa sitt std och tagande fr informationsskerhet genom att faststlla och underhlla en informationsskerhetspolicy fr hela organisationen. Informationsskerhetspolicyn r ledningens instrument fr att klart ange inriktningen och visa sitt engagemang fr informationsskerheten "det hr r vr avsikt, s hr vill vi ha det och s nr vi dit".

Att tillfra fretagskulturen en ny dimension "i vr verksamhet r skerhet ett sjlvklart inslag i arbetet". Den ger kad trygghet, trivsel och bidrar till ett bttre resultat. Den ska ocks vara en plattform fr konsekvent agerande, gra de anstllda medvetna om skerhetens betydelse samt visa vgen fr att uppn skerhetsmlen. Informationsskerhetspolicyn ska besvara fljande frgor: Vad r det som ska skyddas? P vilken niv ska skyddet vara? Vem r ansvarig fr informationsskerheten? Hur bedrivs informationsskerhetsarbetet? Var gller informationsskerhetspolicyn? Hur ska informationsskerhetspolicyn flja verksamheten och hotbilden? Vilka rttigheter och skyldigheter har medarbetarna? Hur ska incidenter hanteras? Pfljder d informationsskerhetspolicyn ej fljs?

Fr att en informationsskerhetspolicy ska f avsedd effekt r det ngra punkter som br beaktas vid framtagandet av

informationsskerhetspolicyn. Den ska vara relevant i frhllande till organisationens verksamhet, vara lngsiktig, vara vergripande, visa ambitionsniv och inriktning, vara kommunicerbar med organisationens samarbetspartners, ha ett enkelt sprk, vara kortfattad, fras ut p ett tydligt stt. Det finns tillfllen d informationsskerhetspolicyn har ett extra stort vrde. Det kan rra sig om verksamheter som har speciellt skyddsvrd information som personuppgifter och finansiell verksamhet. Det kan ocks vara att skerheten precis blivit en viktig frga och det finns ett behov av att markera vad som gller. Ytterligare ett exempel kan vara att man gr in i ett nytt verksamhetsomrde. Organisationer som har ett markant skerhetsinslag i sin verksamhet nationella som internationella, privata som statliga har en av ledningen uttalad och antagen informationsskerhetspolicy som kan delges interna och externa intressenter vilket minskar risken fr missfrstnd och kan ka affrsmjligheter

och minska affrsrisken/-riskerna, underlttar granskning av det verkliga tillstndet med hnsyn till informationsskerhetspolicyn. En informationsskerhetspolicy ska peka ut den vergripande inriktningen, sl fast de principer som ska glla och tydliggra organisationens instllning till arbetet, i detta fall informationsskerhetsarbetet. En informationsskerhetspolicy r ett centralt och viktigt dokument som utgr grunden fr organisationens vergripande och detaljerade skerhetsml.

Det r organisationens hgsta ledning som faststller informationsskerhetspolicyn och drmed ocks ansvarar fr dess innehll och att den uppfylls. Ansvar, befogenheter, arbetsstt och beslutsordning i speciella frgor liksom verksamhetsinriktning p kort sikt (13 r) kan vidareutvecklas inom organisationen och beslut ska framg av ett upprttat protokoll.

Skerhetspolicy

Kapitel 5 Sida 2

Organisationen mste kunna redovisa och dokumentera p vilket stt man fljer upp sina tagande enligt informationsskerhetspolicyn. Det ska drfr med hjlp av fastlagda rutiner dokumenteras och skerstllas vilka resultat som uppntts fr att leva upp till innehllet i och innebrden av informationsskerhetspolicyn.

Svl leverantrer och entreprenrer som kunder och samarbetspartners ska informeras om organisationens informationsskerhetspolicy och syn p skerhet samt de nskeml och krav som r frknippade med detta. Det innebr exempelvis att organisationens entreprenrer mste leva upp och ta hnsyn till organisationens informationsskerhetspolicy.

5.1.1 Policydokument fr informationsskerhet Informationsskerhetspolicyn mste vxa fram stegvis och vara frankrad i verksamheten. Den ska vara godknd av ledningen. Efter beslut ska informationsskerhetspolicyn frankras i verksamhetens alla delar. Informationsskerhetspolicyn kan utgra en del av ett strre policydokument. Policyn br minst omfatta:

Definition av begreppet informationsslerhet Ledningens viljeinriktning Ml och metoder fr styrning Incidentrapportering Normer och krav p efterlevnad samt konsekvenser vid vertrdelse Kontinuitetsplanering

En informationsskerhetspolicy kan tas fram enligt fljande steg: 1. G igenom frgelistan (se punkt 3.2 Underlag fr att skriva en informationsskerhetspolicy) och skaffa svar p

frgorna. Vlj struktur och mall (se punkt 3.3 Exempel p informationsskerhetspolicy) fr hur informationsskerhetspolicyn ska utformas.

2. Ta stllning till de svar du ftt p frgorna. 3. Stm av relevansen i informationsskerhetspolicyn genom att intervjua nyckelpersoner i verksamheten. 4. Frankra informationsskerhetspolicyn i verksamheten. 5. Faststll informationsskerhetspolicyn i ledningen. 6. Infr och frankra den i organisationen. 7. Vid behov, minst rligen, revidera informationsskerhetspolicyn. Parallellt med arbetet att ta fram informationsskerhetspolicyn br en plan hur den ska frankras i verksamheten tas fram. I strre organisationer kan det vara bra med en mix av tgrder som exempelvis en kortfattad folder, presentationer ute i verksamheten, via intranet eller informationsskerhetspolicyn som en bilaga i lnebeskedet. En informationsskerhetspolicy antagen av ledningen visar ledningens viljeinriktning och utgr en vgledning fr den fortsatta utvecklingen av informationsskerhetsarbetet och hur det ska bedrivas. En del i detta arbete r att ta fram det underliggande regelverket baserat p organisationens processer.

Policy

Riktlinjer

Anvisningar

Instruktioner

Policyn: vergripande avsikt och viljeinriktning formellt uttalad av ledningen Riktlinjer: de ska ange hur de vergripande mlen i policyn ska uppns. Riktlinjen beskriver "vad" som ska gras. Anvisningar: ska p en funktionell niv ange vilka skyddstgrder som ska infras. Anvisningar beskriver "p vilket stt" skyddet ska infras. Instruktioner: ges fr specifika system eller tgrder. Instruktioner beskriver "hur och av vem" tgrderna ska infras/fljas.

Figuren ovan visar p olika niver av dokumentation och vad varje niv br omfatta. Checklista att anvnda vid utformning av policy, riktlinjer, anvisningar och instruktioner: Skerhetsansvar och skerhetsorganisation. Skerhetsplan. Incidenthantering. Risk- och srbarhetsanalys. Lagar och bestmmelser.

Informationsklassning. Hantering av information. Datariktighetsskydd. Tillgnglighetsskydd. Sprbarhet.

Skerhetspolicy

Kapitel 5 Sida 3

Logiskt tkomstskydd. Fysisk skerhet. Personal. Nyckelpersoner. Externa resurser/anvndare. Information och utbildning. Persondatorer och arbetsstationer.

Ntverk, tele- och datakommunikation. E-post och Internet. Systemutveckling/milj. IT-drift. Systemfrvaltning. ndringshantering. Kontinuitetsplanering

Omfattningen kan begrnsas med hnsyn till organisationens storlek.

5.1.2 Granskning av informationsskerhetspolicyn Informationsskerhetspolicyn br granskas med planerade intervall eller d strre frndringar med pverkan p verksamheten intrffar. Ett minimum r att policyn granskas i samband med ledningens genomgng. Det br finnas rutiner fr detta. Vid granskning br nedanstende beaktas:

Resultat frn tidigare ledningens genomgng Resultat frn internrevisioner och oberoende granskningar Rapporterade skerhetsincidenter tgrder fr att frbttra informationsskerheten och de processer som berrs

Skerhetspolicy

Kapitel 3 Sida 4

Underlag fr att skriva en informationsskerhetspolicy Det r viktigt att skaffa sig underlag innan man brjar skriva informationsskerhetspolicyn. I texten nedan finns ett antal frgor som r viktiga att stlla sig innan man brjar skriva.1. Vilket ml har organisationen fr sin verksamhet? 2. Vad r prioriterat i verksamheten? 3. Vad sger IT-strategin? 4. Finns det ngot faststllt dokument som beskriver

dokumentniver i verksamheten (policy, riktlinjer, anvisningar, instruktioner)?

5. Finns det ngon allmn skerhetspolicy fr organisationen?

6. Vilken information ska omfattas av informationsskerhetspolicyn?

7. Vilka problem ska lsas med informationsskerhetspolicyn?

8. Vad ger analyserna fr underlag till informationsskerhetspolicyn (risk-, affrsberoende- och skerhetsanalys)?

9. Kan avsteg frn informationsskerhetspolicyn tilltas? Hur ska sdana avsteg regleras/hanteras?

10. Vilka pfljder kan vara aktuella om informationsskerhetspolicyn inte fljs?

11. Krav p riktlinjer fr informationsskerheten? internet? e-post? personlig integritet? anvndningsstt? konfidentiell/sekretessbelagd information? programvarulicenser? utlggning (outsourcing)?

12. Finns det en revideringsperiod fr informationsskerhetspolicyn?

13. Vilka hot finns mot organisationen (i dag och i framtiden)?

14. Mot vilken typ av information riktas hoten? 15. Har sannolikheten fr och konsekvensen av dessa

hot analyserats? 16. Vilka resurser ska skyddas? 17. Sekretess/riktighet/tillgnglighet? 18. Fred-, kris- och krigsaspekten, pverkar detta hur

informationsskerhetspolicyn utformas? 19. Vilken r den nskade nivn fr

informationsskerhet? 20. Skyddskrav p utrustning och information utanfr

arbetsplatsen? 21. Tredje parts tillgng till information?

22. Hur frdelas kostnaderna fr informationsskerhetstgrder?

23. Hur mycket har investerats i fysiska skyddstgrder?

24. Hur mycket kostar den personella bevakningen per r?

25. r ledningen involverad i skerhetsarbetet? 26. Vem hanterar skerhetsfrgor i organisationen? 27. Vem har ansvaret fr skerhetsfrgor i

organisationen? 28. Finns det en skerhetschef eller motsvarande? 29. Beslutsniver fr skerhetsfrgor? 30. Knner cheferna till verksamhetens

skerhetsregler? 31. Finns det en samordningsgrupp fr skerhet? 32. Vilka instruktioner om informationsskydd finns i

dag? 33. Finns det anvisningar om klassificering av

information? 34. Hur sker kunskapsspridningen rrande

skerhetsfrgor? 35. Finns det ngon intern utbildning i skerhet? 36. Finns det behov av utbildning i skerhet? 37. r informationsskerhet kopplad till det vriga

arbetet/skerhetsarbetet? 38. Vem ska ha tillgng till vilken information? 39. tkomstrttigheter? 40. Loggning? 41. Extern kommunikation? 42. Externa beroenden? 43. Frekommer distansarbete? 44. Fr anvndare ta hem arbetsutrustning? 45. Incidenthantering? 46. Kritiska hndelser de senaste 3 ren? 47. Hur ser skadestatistiken ut? 48. Hur bedriver organisationen det

skadefrebyggande arbetet? 49. Finns rutiner fr att hantera skador/incidenter? 50. Erfarenheter av skador/incidenter? 51. Frndringar som gjorts i system/rutiner efter en

skada/incident? 52. Medverkandes ansvarsomrden? 53. Hur stor r personalomsttningen?

Skerhetspolicy

Kapitel 3 Sida 5

Exempel p informationsskerhetspolicy

Informationsskerhetspolicy fr Medytekk Daterad 2005-xx-xx. Faststlld av fretagsledningen 2005-xx-xx. All personal ska tilldelas ett personligt exemplar av informationsskerhetspolicyn. Informationsskerhetspolicyn kommer att presenteras vid interna mten under hsten. Motiv Vi som arbetar p Medytekk anvnder IT fr att stdja, utveckla och effektivisera verksamheten. Vrt fretag r beroende av informationsbehandlingen. Kraven p snabb och relevant information inom olika funktioner av Medytekks verksamhet kar. Att skerstlla hg tillgnglighet och samtidigt innehlla ndvndiga krav p sekretess r vsentligt ur affrssynpunkt. Definition Informationsskerhet inbegriper all skerhet kring Medytekks totala informationsbehandling. Svl organisatoriska tgrder som fysiska och logiska skyddstgrder inbegrips. Exempel p skerhetsrelaterade tgrder r en faststlld informationsskerhetspolicy, ansvarsfrdelning, utbildning, riskanalys, katastrofplan, behrighetsregler, informationsklassning, skrad driftmilj, tkomstskydd i datorer, regler fr hantering av datamedia, behrighetsadministration, skerhetskopiering, regler fr extern kommunikation och modemuppkopplingar etc och kontroll av uppgiven identitet vid till exempel ploggning med hjlp av aktiva kort (frstrkt autentisering).

Fr att tillgodose kraven som stlls p informationssystemen, dr s gott som all Medytekks information hanteras p ett eller annat stt, r det ndvndigt att hanteringen av information sker p ett s tillfrlitligt stt som mjligt. Informationsskerheten ska motverka risker fr svl obehrig lsning och frndring av data som fr frlust av data. Informationsskerheten syftar ven p informationens kvalitet, riktighet och tillgnglighet.

Nyckelord fr informationsskerheten r att skra informationens sekretess, tillgnglighet, riktighet, sprbarhet. Informationsskerhetspolicyn utgr ett komplement till Medytekks mlbeskrivning och IT-strategi, som anger inriktningen fr den totala informationsbehandlingen. Informationsskerhetspolicyn r det grundlggande underlaget fr informationsskerhet och berr samtliga anstllda, samarbetspartners och konsulter.

Informationsskerhetspolicyn ger inriktningen och de vergripande mlen fr hur informationsskerhetsarbetet ska bedrivas inom fretaget - fr verksamheten, personalen, kunderna och samarbetspartners. Tillhrande dokument Riktlinjer fr informationsskerhet r ett deldokument till informationsskerhetspolicyn som beskriver riktlinjerna fr informationsskerhetsarbetet. Detta deldokument innehller motiv, ml, tidplan, definition, omfattning och ansvarsfrdelning.

Som ett komplement till den vergripande informationsskerhetspolicyn och riktlinjerna kommer dokument att finnas i form av anvisningar inom olika omrden fr informationsskerhetsarbetet. Dessa samlas i en informationsskerhetshandbok som sammantaget visar hur informationsskerhetsarbetet ska bedrivas. Fr specifika omrden kan det ven finnas instruktioner p en mer detaljerad niv som beskriver vad som gller. Dessa dokument beskriver tillsammans alla fysiska och logiska tgrder som syftar till att frebygga eller minimera onskade konsekvenser av olika hndelser p informationssystemsomrdet. Ml fr informationsskerheten Mlsttningen med denna informationsskerhetspolicy r att skerstlla sekretess, tillgnglighet och sprbarhet fr verksamhetens information och data, samt att reducera risken fr skador p verksamheten oavsett orsak och angripare. Avsikten med denna informationsskerhetspolicy r att skydda organisationens informationstillgngar mot alla

typer av hot - interna eller externa, avsiktliga eller oavsiktliga. Det ska finnas skyddsmekanismer som utifrn nedanstende punkter skerstller informationens

sekretess, tillgnglighet,

Skerhetspolicy

Kapitel 3 Sida 6

riktighet, sprbarhet.

Informationsskerhetsarbetet ska bedrivas enligt standarden SS-ISO/IEC 27001. Alla anstllda inom organisationen som i sina arbetsuppgifter berrs av IT ska vara medvetna om

informationsskerhetsfrgornas betydelse samt ha kunskaper om vad som gller fr att bevara och utveckla en sker och stabil IT-milj.

Informationsskerheten ska vara en integrerad del i Medytekks ordinarie verksamhet och stdja verksamheterna i att uppn de uppsatta mlen fr kvalitet och effektivitet.

Till grund fr informationsskerhetstgrder ska freligga dokumenterade bedmningar eller genomfrda riskanalyser.

Skydden fr knda hot ska vara uppbyggda till rtt niv med hnsyn till skyddskostnad och konsekvens fr Medytekks verksamhet vid eventuellt tillfogad skada.

Alla skerhetsincidenter, konstaterade eller misstnkta, ska rapporteras till och utredas av informationsskerhetschefen.

Uppfljning av riskanalyser, skyddstgrder och utbildningsinsatser ska ske kontinuerligt. En kontinuerlig drift ska garanteras genom att skerstlla driftmiljn fr samtliga datordriftstllen. Medytekk ska ha egen IT-personal, det vill sga anstllda med rtt kompetens och som fortlpande utbildas i takt

med att datorsystemen utkas och frndras. Knslig data ska skyddas mot otillbrlig tkomst inom och utom fretaget med hjlp av behrighetskontroll och i

vissa fall kryptering. Skerhetsarbetet ska skydda personalen i dess tjnsteutvning. Kommunikationslsningar ska vara gjorda s att resursdatorer och ntverk skyddas mot driftsstrningar och

intrng. Driftstrningar och intrng ska kunna fljas upp med hjlp av dokumenterad historik (loggar). Man ska leva upp till gllande lagar och kommersiell sekretess. Exempelvis ska personuppgiftslagen (PUL) fljas

s att den personliga integriteten beaktas i anvndningen av personregister. Bokfringslagen ska fljas vad gller ansvarsfrdelning och behandlingshistorik fr att uppn en tillfrlitlighet och en god intern kontroll av redovisningen.

Omfattning Informationsskerhetspolicyn rr all informationsbearbetning oavsett driftmilj, allts oberoende av om datorbearbetningen sker i resursdator (stor-, minidator, eller server) eller persondator.

Informationsskerhetspolicyn gller ven om datorbearbetningen sker externt och via datakommunikation eller motsvarande. Med datorbearbetning menas hela informationssystemet: system-/programutveckling, klldataframstllning, registrering, dataverfring, bearbetning, datalagring, utdatahantering, arkivering och makulering. Genomfrande Fr att n de uppsatta mlen ska resurser avdelas fr att systematisk genomfra riskbedmningar och konsekvensanalyser, riktlinjer och handlingsplan, informationsskerhetshjande tgrder, utbildning och information. rligen ska en plan fr skerhetsarbetet inom varje avdelning upprttas. Planen ska innehlla en beskrivning av skerhetslget samt de planerade tgrderna som ska vidtas fr att hja skerhetsnivn. Planerna sammanstlls till en handlingsplan och en budget fr informationsskerheten fr hela Medytekk. Ledningen fattar beslut om planen, dess genomfrande och budget. vergripande ansvar Fretagsledningen r ytterst ansvarig fr ml och ramar fr informationsskerhetsarbetet och br det yttersta ansvaret fr skador som kan intrffa. Ledningen fljer upp informationsskerhetslget genom att ta del av skerhetsplanen. Ansvarsfrdelning Informationsskerhetschefen sammanstller avdelningarnas skerhetsplaner och upprttar en skerhetsplan fr hela Medytekk samt svarar fr initiering och uppfljning av informationsskerhetsarbetet enligt planen.

Informationsskerhetssamordnaren r ansvarig fr att informationsskerhetstgrder genomfrs enligt ledningens och informationsskerhetschefens beslut. Samordnaren ska leda informationsskerhetsarbetet inom respektive tilldelat ansvarsomrde och r ven registeransvarig fr avdelningens personregister.

Skerhetspolicy

Kapitel 3 Sida 7

Den system-/driftansvarige har det operativa ansvaret fr att beslutade tgrder genomfrs. Ansvaret kan glla ett eller flera IT-system. Den ansvarige r skyldig att omgende meddela skerhetsproblem och misstanke om eller redan intrffade incidenter till informationsskerhetssamordnaren eller informationsskerhetschefen.

Anvndaren ska verka fr en god informationsskerhet inom sitt omrde och flja de regler och riktlinjer som gller inom Medytekk. Nivn p informationsskyddet inom fretaget beror p hur varje enskild person hanterar verktygen fr informationsbehandling ssom datorer, disketter, datakommunikation (e-post, fax etc). Dotterbolag/partners I enlighet med fretagsgarnas enhlliga beslut vid faststllandet av denna informationsskerhetspolicy r 2005, gller samma informationsskerhetspolicy fr dotterbolag och partners. Informationsskerhetspolicyns giltighet Planering av framtida informationsstrategier ska ske i samarbete med respektive fretagsledning. Informationsskerhetschefen ska arbeta fr att informationsskerheten i samtliga bolag uppnr jmlika niver till det fjrde kvartalet 2006. Revidering av informationsskerhetspolicyn samt riktlinjerna kommer att gras drefter fr att i ny upplaga brja glla fr.o.m. 2007

Checklista Informationsskerhetspolicy Frga Ja Delvis Nej Ger informationsskerhetspolicyn ledningens viljeinriktning och std fr informationsskerhetsarbetet?

Har ledningen faststllt informationsskerhetspolicyn? r det beskrivet hur informationsskerhetspolicyn ska underhllas och p vilket stt?

r informationsskerhetspolicyn frankrad i verksamheten och finns det ett system fr detta?

Finns det en definition av informationsskerhetsbegreppet? Tar informationsskerhetspolicyn hnsyn till hoten frn anstllda och utomstende?

Visar informationsskerhetspolicyn ml och omfattning samt vikten av informationsskerhet?

r ansvaret definierat? Finns det reglerat hur rapportering av incidenter ska g till? Hnvisar informationsskerhetspolicyn till andra styrande dokument inom organisationen?

r det klart och tydligt beskrivet vem som r gare till informationsskerhetspolicyn?

.

Organisation av informationsskerheten

Kapitel 4 Sida 1

Kapitel 6 Organisation av informationsskerheten Att ha kontroll ver organisationens informationstillgngar r ndvndigt fr att skerstlla kontinuitet av verksamheten. Fr att p ett skert stt hantera informationstillgngarna behver en infrastruktur upprttas fr informationsskerhetsarbetet.

Skerhetsorganisationens storlek och sammansttning r beroende av vilken verksamhet som bedrivs (produktion/tillverkning, tjnstefretag etc.), vilken hotbild som finns och organisationens storlek.

6.1 Intern organisation Ml: Att hantera informationsskerheten inom organisationen. Ett ledningssystem br upprttas fr att initiera och styra infrandet av informationsskerhet inom organisationen.

Ledningen br godknna informationsskerhetspolicyn, tilldela roller i skerhetsarbetet, samt samordna och granska infrandet av skerhet i hela organisationen. Om det r ndvndigt br en enhet fr specialistrdgivning i skerhetsfrgor inrttas och gras tillgnglig fr hela organisationen. Kontakter med externa skerhetsspecialister eller grupper, inklusive relevanta myndigheter br utvecklas fr att kunna flja med i skerhetstrender i olika branscher. Syftet r att kunna flja utvecklingen av standarder och riskanalysmetoder samt ven fr att etablera lmpliga kontakter nr det gller hantering av skerhetsincidenter. Ett tvrfunktionellt stt att hantera informationsskerhet br uppmuntras

6.1.1 Ledningens engagemang fr informationsskerhet Fr att arbetet med informationsskerhet ska kunna bedrivas p ett strukturerat stt br man, speciellt i strre organisationer, ta stllning till att inrtta en ledningsgrupp fr detta. I ledningsgruppen br nyckelpersoner i organisationens ledning ing. Gruppen kan med frdel utgra en del av den befintliga ledningsgruppen. Att roller och ansvar identifieras och faststlls r av stor betydelse fr informationsskerheten.

I organisationer r det i dag vanligt att nyckelpersoner frn ledningen inte finns representerade i liknande forum. Gruppen bestr d endast av skerhets- och/eller informationsskerhetschef samt olika linjechefer. Fr att kunna driva skerhetsfrgor p ett effektivt stt r det ndvndigt att ven inkludera vd och andra nyckelpersoner p ledningsniv. Skerhetsarbetet ska emellertid ske i linjeorganisationen och r allas ansvar.

Fr att f kontinuitet i skerhetsarbetet br gruppen sammantrda med relativt tta tidsintervall. Alla aktiviteter och beslut br dokumenteras i protokoll.

Vid ledningens genomgng ska frgor som granskning och godknnande, vervakning, uppfljning, stdjande och analyserande arbete, kravstllande etc. tas upp. ven periodiska granskningar av informationsskerhetspolicyn samt omvrldsanalys br behandlas. Ansvar fr genomfrande av faststllda aktiviteter br finnas hos en person inom gruppen, grna fretagsledningens representant.

I mindre organisationer kan frgor som rr informationsskerhet behandlas i samband med exempelvis ordinarie ledningsgruppsmte.

6.1.2 Samordning av informationsskerhetsarbetet I framfr allt strre organisationer r det oftast ndvndigt att inrtta ett forum med representanter p ledningsgruppsniv fr samordning av de aktiviteter som ska genomfras. Samordningen ska syfta till att utjmna skillnader mellan funktioner, avdelningar och geografiska platser inom organisationen.

Ett sdant forum kan till exempel se nrmare p hur gemensamma metoder och processer kan anvndas fr att f bttre mjlighet till utvrdering och jmfrelse. Det kan ocks rra sig om att samordna stdet fr organisationen i gemensamma frgor och att granska och tydliggra behovet av tgrder vid exempelvis skerhetsincidenter och bristande efterlevnad av regelverk. Alla aktiviteter br ven hr dokumenteras tillsammans med rapporter och beslut.

6.1.3 Frdelning av ansvar fr informationsskerhet Ansvaret fr att skydda organisationens tillgngar br vara tydligt definierat. Ledningen har det yttersta ansvaret fr informationsskerheten och mste vara medveten om vad som krvs fr att arbetet med informationsskerhet ska bli s effektivt som mjligt. Genom den informationsskerhetspolicy och det


Kapitel 4 Sida 2

underliggande regelverket som ledningen faststllt br frdelning av ansvar och befogenheter i organisationen framg.

Om mjligt br en informationsskerhetschef utses med ett verordnat ansvar fr samordning av informationsskerhetsfrgor.

6.1.4 Godknnandeprocess fr informationsbehandlingsresurser I mnga organisationer saknas riktlinjer fr hur anskaffning av ny utrustning fr informationsbehandling ska ske. Nr det saknas en dokumenterad process fr detta ges utrymme fr att felaktig utrustning anskaffas. Detta kan ventyra organisationens information bde vad gller sekretess, riktighet och tillgnglighet, vilket i sin tur ventyrar organisationens affrsverksamhet.

En grundprincip br vara att personlig utrustning inte anvnds p arbetsplatsen utan att en riskanalys har genomfrts och att rustningen godknts.

Utrustning br vljas s att den svarar mot svl de uppstllda skerhets- och kontrollkraven som affrsbehoven i verksamheten, men ocks s att den r kompatibel med annan utrustning.

Godknnande av syfte, anvndning och skerhet kring utrustning r ngra punkter som klart mste framg i en dokumenterad beslutsprocess. Det br ocks st klart vem som godknner utrustningen.

6.1.5 Sekretessavtal Vid anstllning svl som vid kontraktsskrivning med konsult br ett sekretessavtal upprttas. Avtalet ska vara s skrivet att det entydigt definierar vad sekretessen avser samt vilka befogenheter och vilket ansvar fr sekretessbehandlad information som gller. Inom den offentliga sektorn r sekretess reglerat i lagstiftning fr de anstllda och personer som anlitas av offentliga uppdragsgivare. Sekretessfrbindelse r i dessa fall inte mjlig att anvnda utan erstts i stllet av en sekretesserinran. Denna skrivs inte under utan, som namnet sger, erinrar om gllande lagstiftning.

6.1.6 Myndighetskontakt Det r viktigt att utgende frn sin egen verksamhet identifiera vilka myndigheter man kan tnkas behva kontakt med och ven identifiera eventuella kontaktpersoner p dessa myndigheter. Inom den egna organisationen br det finnas faststllda rutiner fr hur kontakter skall tas. Betrffande informationsskerhetsincidenter och hur dessa skall rapporteras kan det vara lmpligt att lyssna med berrda myndigeter och f deras synpunkter p lmplig hantering.

6.1.7 Kontakt med srskilda intressegrupper Fr att skerstlla snabba tgrder vid exempelvis skerhetsincidenter r det viktigt fr organisationen att etablera ntverk med andra fretag, organisationer och myndigheter. Ntverken ger bland annat mjligheter att hlla sig informerad om nya hot och hur de kan bemtas. Det r ocks mjligt att f rd i skerhetsfrgor, bygga upp kompetens inom organisationen och s vidare.

Personliga ntverk r oftast det bsta och snabbaste sttet att f kunskap om hur akuta problem kan lsas. Medlemskap i skerhetsorganisationer och information via Internet r andra instrument.

Utbyte av information br begrnsas s att konfidentiell information ej delges obehriga. Det r drfr alltid p sin plats att hlla sig jour med vad som fr tillfllet r konfidentiell information, samt hur lnge skyddet gller. Detta fr att skerstlla att samarbetet sker p korrekta grunder

6.1.8 Oberoende granskning av informationsskerhet Oberoende granskningar av att styrmedel och tillmpningar som infrts i organisationen verkligen fyller sina syften och svarar mot den faststllda informationsskerhetspolicyn br ske med jmna mellanrum. En oberoende granskning kan ske svl av en extern (tredje part) som intern resurs. Det viktiga r att den som genomfr granskningen inte r en del av den verksamhet som ska granskas eller p annat stt medverkat till uppbyggnaden av det som granskningen omfattar.


Kapitel 4 Sida 3

6.2 Utomstende parter Ml: Att bibehlla skerheten hos organisationens information och resurser fr informationsbehandling som r tkomlig, bearbetas, kommuniceras till eller styrs av utomstende parter. Skerheten hos organisationens information och informationsbehandlingsresurser br inte minskas genom introduktionen av utomstende parters produkter eller tjnster. All tkomst till organisationens informationsbehandlingsresurser liksom utomstendes bearbetning och kommunikation av information br styras. Dr organisationen har behov av att arbeta med utomstende parter som kan krva tkomst till organisationens information och informationsbehandlingsresurser eller att ta emot eller lmna en produkt eller tjnst frn eller till en utomstende part br en riskbedmning gras fr att avgra skerhetskonsekvenser och behov av styrning. Metoder fr styrning br verenskommas och definieras i verenskommelse med den utomstende parten.

6.2.1 Identifiering av risker med utomstende parter Vid genomfrandet av riskanalysen br man frst identifiera de informationsbehandlingsresurser som den utomstende parten mste f tkoms till. Avstmning mot organisationens tkomstpolicy br gras fr att skerstlla att behoven ryms inom denna. Riskerna skiljer sig mellan fysisk och logisk tkomst. Med fysisk tkomst menas bland annat tillgng till arkiv, vrdeskp och utrymmen fr servrar. Den logiska tkomsten innefattar exempelvis tillgng till organisationens databaser, ekonomisystem och personalinformation.

Om information lagras i databaser och den dr skyddas p ett visst stt r det inte ovanligt att den skrivs ut och blir tillgnglig i pappersformat. Hantering och lagring av information brukar d ofta ske p andra premisser ofta felaktiga n vad som ursprungligen var fallet nr den var lagrad p datamedia. Detta utan att involverade personer frstr att de gr fel.

En annan faktor att beakta r sklen fr tkomst frn tredje part. Vilka risker finns till exempel nr det gller fysisk och logisk tkomst d organisationen behver utnyttja inhyrd servicepersonal fr sina IT-system?

Mnga organisationer kper i dag frdiga programvaror, exempelvis ekonomisystem. Programvarorna ska uppdateras och anpassas i olika skeden och det krver i de flesta fall att tredjepartskunskap mste anvndas fr att genomfra arbetet. Finns medvetenhet om riskerna med detta? Finns vetskap om vilken tillgng till organisationens vriga informationsresurser som mjliggrs i samband med arbetet?

Eventuella behov av sekretessavtal br alltid vervgas. Utomstendes tkomst till organisationens informationsresurser br tilltas frst nr eventuella avtal skrivits under och de skerhetstgrder infrts som har bedmts vara ndvndig.

6.2.2 Hantering av skerhet vid kundkontakt I de fall d organisationens kunder nskar eller ha behov av att f tillgng till organisationens information br detta fregs av en genomgripande analys. Vid riskhantering mste ven beaktas de mjligheter till begrnsningar som kan genomfras. Rutiner fr att skydda organisationens tillgngar kan behva upprttas. Vilken information kunden skall ges tillgng till och frutsttningarna fr detta br regleras i ett avtal med kunden.

6.2.3 Hantering av skerhet i avtal med utomstende Tredjepartstkomst br alltid baseras p ett formellt avtal. Avtalet r en mycket viktig form fr att reglera skerhetsvillkoren mellan parterna. Nr avtalet upprttas br det ven avtalas om de fall dr andra parter ska omfattas av avtalet, som exempelvis tredjeparts samverkan med egna underleverantrer.

Avtalet br omfatta alla ndvndiga skerhetsvillkor och reglera ansvarsfrhllanden. Det br ocks omfatta mjligheten att omfrhandla eller frndra avtalet, om och hur skadestnd ska utg, garefrhllande till gemensamt utfrt arbete, mjlighet att genomfra revision och kontroll etc.

Av vikt r ocks att se ver likheter och olikheter mellan den egna organisationen och den motsatta parten innan en affrsrelation upprttas. Att ta hnsyn till d r frmst instllningen till, och behovet av skerhet fr hantering av information. Ref. Sekretessavtal Kapitel 6.1.3.

Detta stller hga krav p kontraktsgenomgngen och den riskanalys som denna omfattar.


Kapitel 4 Sida 4

Exempel

Ledningskonferens Fr tv mnader sedan publicerades delar av en affrsplan, som ledningen p Medytekk jobbar med, i kvllspressen.

Tidpunkten fr publiceringen stmde vl verens med nr ledningsgruppen p Medytekk hade varit p en helgkonferens dr affrsplanen diskuterades och strategier lades upp. Hur borde Medytekk ha skyddat sig?

Operatrsansvar Medytekk har vid ett antal tillfllen haft problem med sina servrar och vid ett tillflle var informationen p back up-media ofullstndig.

Normalt brukar det inte vara problem med terlsning av skerhetskopior, men vid det senaste tillfllet lyckades man inte terskapa informationen och informationen blev ofullstndig.

Detta berodde p att back up-krningen avbrutits under natten och den ansvarige teknikern hade inte gjort en ny tidigt nsta dag. Skerhetskopiering gjordes dessutom endast en gng i veckan. Mnga forskare blev ursinniga och menade att en veckas arbete gtt frlorat. Ansvaret fr skerhetskopieringen nr den ordinarie teknikern var borta var oklart. Vad borde Medytekk ha tnkt p?

Tredjepartsavtal Fr en tid sedan uppmrksammades ledningen p att resultat frn delprover i projekt A6 blivit knda av medarbetare i projekt B3.

Det visade sig att gstforskarna, som delade lgenhet, diskuterat sina rn, stick i stv med den sekretesspolicy som ledningen hade och trodde fanns inskriven i avtalen med forskarna. Vad borde Medytekk ha tnkt p?

Frskringsskydd Fr tre r sedan intrffade en brand p FoU-avdelningen. Skadorna var relativt begrnsade men saneringsarbetet tog tre veckor.

Det visade sig att frskringsskyddet fr avbrottet i

verksamheten inte tckte skadan fullt ut. Vad borde Medytekk ha tnkt p?

Organisation och ansvar IT-avdelningen It-chef Lennart Jakobsson har ppekat fr vd att it-avdelningen r verbelastad med arbete och att det r viktigt att en strategi tas fram.

Medytekk expanderar kraftigt varje r och fretaget har ingen it-strategi. Lennart har ptalat problemet fr vd, Stefan Eriksson, men har ftt en ganska sval respons. Lennart har tillsammans med sin


Kapitel 4 Sida 5

ersttare arbetat som administratrer och svarar fr driften av nt och servrar. En annan person svarar fr std till de anstllda och fungerar ven som ntverkstekniker. Den fjrde personen p avdelningen arbetar i huvudsak med applikationer och applikationsutveckling. Vad borde Medytekk ha tnkt p?

Vad kan vi lra oss av dessa exempel?

Exempel 1 Ledningskonferens Medytekk borde ha tnkt p att frskra sig om att konfidentiell information inte kommer i obehriga hnder genom att ha regler fr klassning av information, ha regler fr hantering av klassad information, skerstlla personalens lojalitet. Dessutom borde Medytekk tnka p sekretessfrgan vid samtal vid val av konferensanlggning samt vad som fr diskuteras utanfr konferenssalen.

Fr att skerstlla att information inte lcks ut frn ledningsniv i framtiden borde Medytekk tnka p att infra ett system fr klassning av information, infra en sekretessklausul i anstllningsvillkoren.

Exempel 2 Operatrsansvar Medytekk borde ha tnkt p att utbildad personal som ansvarar fr skerhetskopiering fanns tillgnglig fr att minska srbarhet vid sjukdom, semester eller annan frnvaro.

Fr att skerstlla detta i framtiden borde Medytekk tnka p att identifiera viktiga funktioner och skerstlla att det finns utbildade ersttare vid frnvaro, skerstlla funktion hos utrustning fr skerhetskopiering genom kontinuerlig validering.

Exempel 3 Tredjepartsavtal Medytekk borde tnka p att se ver tredjepartsavtalen fr att skerstlla att sekretessen efterlevs, skerstlla att tredje part erhller motsvarande information och utbildning i informationsskerhet som

den egna personalen har, klargra skerhetsniverna fr varje avgrnsat projekt, se till att riskanalys fr de enskilda projekten utfrs och dokumenteras, tydliggra ansvar och befogenheter fr projektledare i utvecklingsprojekt.

Exempel 4 Frskringsskydd Fr att skerstlla att frskringsskyddet r det rtta borde Medytekk tnka p att genomfra riskanalys som ger svar p vilka konsekvenser produktionsbortfall fr, uppdatera sin frskringsplan, utse en ansvarig fr frskringsfrgor inom fretaget, upprtta kontinuerlig kontakt med frskringsmklare och frskringsbolag.

Exempel 5 Organisation och ansvar IT-avdelning Fr att skerstlla att IT-avdelningen fungerar i framtiden borde Medytekk tnka p att definiera ansvar och befogenheter fr tjnsten som IT-chef.


Kapitel 4 Sida 6

Checklista Organisation av informationsskerheten Frga Ja Delvis Nej Finns det en ledningsgrupp fr informationsskerhet? r ansvaret fr informationsskerhetsarbetet tydligt definierat? Finns det en beslutsprocess fr hur anskaffning av informationsbehandlingsresurser ska ske?

Nyttjar organisationen egna experter vid skerhetsincidenter? Nyttjar organisationen externa experter vid skerhetsincidenter? Finns det frutsttningar inom organisationen att skapa ntverk med andra fretag, organisationer eller myndigheter?

Finns faststllda processer fr hur oberoende granskning av informationsskerheten ska ske?

Finns det tredjepartsavtal som innehller skerhetsaspekter vid utlggning (outsourcing)?

Genomfrs riskanalyser innan tredjepartstkomst av organisationens informationsbehandlingsresurser tillts?

Hantering av tillgngar

Kapitel 5 Sida 1

Kapitel 7 Hantering av tillgngar Information och data som skapas, inhmtas, distribueras, bearbetas och lagras i en organisation r en av dess viktigaste tillgngar. Graden av tillgnglighet, sekretess och riktighet hos informationen r i mnga fall en utslagsgivande faktor fr en organisations effektivitet, trovrdighet och lngsiktiga konkurrensfrmga. Men det frutstter att man har knnedom om vilka informationstillgngar som finns, deras karaktr och vrdet fr organisationen.

Att skerstlla att man har uppdaterad och korrekt kunskap om organisationens informationstillgngar r ndvndigt fr att bedriva ett effektivt informationsskerhetsarbete. En frutsttning fr att p ett effektivt stt frdela ansvaret fr informationstillgngarna r att klassificera informationen med avseende p behov, prioritet och skyddsniv. En korrekt klassificering och styrning av informationstillgngarna utgr ett viktigt underlag fr informationsskerhetsarbete och riskhantering, svl i det dagliga arbetet som nr det gller strategiska beslut som rr informationstillgngarna.

7.1 Ansvar fr tillgngar Ml: Att uppn och upprtthlla lmpligt skydd av organisationens tillgngar. Alla tillgngar br redovisas och ha en utsedd gare. gare br utpekas fr alla tillgngar och ansvaret fr underhll av lmpliga skyddstgrder br utpekas. Infrandet av srskilda skyddstgrder kan delegeras av garen om det anses lmpligt, men garen frblir ansvarig fr att tillgngarna ges rtt skydd. Att identifiera, vrdera och dokumentera organisationens informationstillgngar r en mycket viktig del i ett aktivt skerhetsarbete. Utver identifiering och dokumentation br varje tillgng ocks tilldelas en gare. Respektive gare ansvarar sedan fr att en korrekt skyddsniv infrs och vidmakthlls. Skyddsnivn br motsvara de krav som faststllts i organisationens system fr klassificering av informationstillgngar.

7.1.1 Frteckning ver tillgngar Inom organisationen br det finnas en upprttad inventariefrteckning ver organisationens informationstillgngar. Ngra exempel r programvaror, databaser som exempelvis kundregister och leverantrsregister fysiska tillgngar, nyckelpersoner, immateriella tillgngar som patent och varumrken. Varje identifierad tillgng br ha en definierad och registrerad gare. ven garens ansvar fr den enskilda tillgngen br vara klarlagd och dokumenterad.

Fr att ett effektivt terstllande efter exempelvis en stld ska kunna genomfras br det ven dokumenteras var i organisationen varje tillgng normalt finns.

7.1.2 garskap fr tillgngar Alla informationstillgngar br ha en utsedd gare. Det r vsentligt att ta hnsyn till hur tillgngarna anvnds i verksamheten s att det finns en naturlig koppling mellan verksamhetsprocesser och garskap av tillgngar. Vid frndringar av verksamheten kan detta medfra att garskapet mste omprvas. garskap innebr att skerstlla att informationstillgngar r rtt klassade och att de har ett skydd som str i relation till den faststllda klassningen. Rutinuppgifter kan delegeras men ansvaret fr att de utfrs kvarstr hos garen.

7.1.3 Godtagbar anvndning av tillgngar Viktigt r att upprtta svl rutiner som instruktioner fr hur informationstillgngarna fr anvndas. I de fall d tillgngarna ven nyttjas av utomstende som exempelvis leverantrer, kunder, inhyrda konsulter etc. br


Kapitel 5 Sida 2

avtal upprttas dr villkor och krav tydligt framgr. Vid upprttande av instruktioner och avtal mste dessa givetvis avspegla den skyddsniv vilken str i relation till hur tillgngen klassats. Glm inte bort den utrusning och de informationstillgngar vilka anvnds utanfr kontoret som exempelvis brbara datorer och mobiltelefoner. Vid avveckling av utrustning r det ndvndigt att ta hnsyn till den information vilken kan finnas lagrad i utrustningen. Se information under punkten 9.2.6.

7.2 Klassificering av information Ml: Att skerstlla att informationstillgngar fr en lmplig skyddsniv. Informationen br klassificeras fr att ange behov, prioritet och frvntad grad av skydd vid hantering av informationen. Information r knslig och kritisk i varierande grad. Vissa informationstillgngar kan behva utkat skydd eller srbehandling. En modell fr informationsklassificering br anvndas fr att definiera ett lmpligt antal skyddsniver och anvisa behov av srskild hantering. Genom att upprtta och implementera ett system av informationsklasser inom organisationen skapas ett instrument fr att effektivt kunna bestmma hur stora mngder information som ska skyddas och hanteras. Respektive klass br tydligt avspegla vrdet och betydelsen av tillgngarna.

De informationstillgngar som r viktiga fr verksamheten br analyseras fr att f reda p hur stor tillgngens betydelse egentligen r. I analysarbetet br parametrarna tillgnglighet, riktighet och sekretess vara grundbegrepp. Tillgngen tillfrs sedan en informationsklass som motsvarar dess betydelse fr verksamheten.

7.2.1 Riktlinjer fr klassificering Det br vara den utsedde garen eller den som skapat eller inhmtat informationen som ansvarar fr att den ocks klassificeras. Det gller oavsett vilken typ av information det r frgan om eller hur den lagras.

Ett effektivt klassificeringssystem vinner p att vara enkelt, och antalet klasser br faststllas redan frn brjan. Fr att skerstlla att beslut tagits angende klass br ven icke knslig information ges en identitet genom att exempelvis mrkas som oklassificerad. Exempel p klassning r oklassificerad, hemlig och kvalificerat hemlig. Ett annat exempel r oklassificerad, endast internt bruk, hemligt, kvalificerat hemligt och kvalificerat hemligt med restriktioner.

Information upphr ibland att vara knslig efter en viss tid eller genom att den exempelvis publiceras offentligt. Organisationens riktlinjer br ta hnsyn till detta, och gra det mjligt fr garen eller den som klassificerat informationen att regelbundet omprva klassificeringen. P s stt undviks p sikt ondiga kostnader fr en eventuell verklassificering Lmpligt r att alltid kombinera klassen med ett bst fre datum ex. Kvalificerat hemligt t.o.m. 2008-06-21. Ett alternativ till datum kan vara en hndelse som exempelvis annonsering. Ex. Kvalificerat hemligt t.o.m. annonsering.

Vrt att notera r att den faktiska betydelsen av likartade benmningar av informationsklasser ofta skiljer sig t mellan olika organisationer. Drfr br klassificerade dokument som hrstammar frn kllor utanfr den egna organisationen hanteras med srskild frsiktighet om man r osker p vad som gller i det enskilda fallet.

7.2.2 Mrkning och hantering av information Fr att vara sker p att informationen hanteras riktigt r det av stor betydelse att det finns fungerande rutiner fr mrkning och hantering. Rutinerna ska sjlvklart vara anpassade till det klassificeringssystem som organisationen antagit. Srskilt viktigt r detta fr information som tillhr knsliga eller kritiska klasser. Nr utdata som kan klassas som just knslig eller kritisk genereras i form av utskrifter, skrmbilder, e-post eller filverfringar br klassificeringen framg tydligt. Om det gr att mrka informationen med fysiska etiketter r detta att fredra. Gr inte det br informationen i stllet mrkas elektroniskt. Rutiner och riktlinjer br p detta omrde ven omfatta information som tidigare klassats som knslig av andra organisationer.

Fljande punkter betraktas som srskilt knsliga kopiering, lagring,


Kapitel 5 Sida 3

verfring via post, fax, e-post, verfring via tal (ven mobiltelefon, rstbrevlda, telefonsvarare), frstring, arkivering. Inom varje informationsklass br det finnas srskilda hanteringsrutiner fr punkterna ovan. Vid arkivering av information liksom vid avveckling av utrustning vilken innehller inform r det vsentligt att beakta den klassning som informationstillgngen har. Ref. 9.2.6

Exempel

1 Frstrda data p lagringsmedia Fr sex mnader sedan slutade en av de anstllda p Medytekks FoU Samtidigt terlmnade han sin brbara dator till IT-avdelningen. Ngon vecka senare visade det sig att de forskningsdata den anstllde tagit fram saknades p fretagets server. Forskaren kontaktades d och han berttade att han tagit egna kopior p diskett av de dokument och data som han bedmde som viktiga. Att lagra data p den centrala utrustningen kndes alldeles fr oskert srskilt mot bakgrund av risken fr virus. D disketterna senare terfanns hade forskarens kollegor formaterat om dem och de anvndes fr andra ndaml. Vad borde Medytekk tnkt p?

2 Frlust av forskningsrapport I samband med ett internt sammantrde frsvann en viktig forskningsrapport.Den glmdes kvar efter ett sammantrde. Rapporten berrde centrala delar av bolagets forskningsresultat. D personen som glmt den ngra timmar senare tervnde till sammantrdesrummet var rapporten frsvunnen. Senare visade det sig att bland annat en inhyrd IT-konsult disponerat rummet direkt efter mtet. Vad borde Medytekk tnkt p? 3 Spridning av knslig information

Jan r nyanstlld laboratorieassistent. Som sdan har han tillgng till knslig information kring Medytekks verksamhet. Efter frsta veckan p nya jobbet blir han inbjuden p middag hos en av de nya kollegorna, Kalle. Efter middagen blir han, som en av flera gster, freml fr vrdinnans srskilda intresse. Hon visar sig vara mycket intresserad av Jans arbete. D Jan har


Kapitel 5 Sida 4

stort frtroende fr sin nya kollega ser han ingen anledning att inte kunna ha en ingende diskussion kring jobbet med Kalles sambo. Ngra dagar senare publiceras en anonym insndare i lokalpressen som i detalj beskriver frekomsten och omfattningen av djurfrsk i Medytekks verksamhet. Vad borde Medytekk tnkt p?

4 Mrkning av skerhetskopior Under en diskussion i samband med ett mte i ledningsgruppen vcker vd frgan hur det ser ut med fretagets skerhetskopior. IT-chefen, som har stort frtroende fr sina medarbetare, berttar att man regelbundet skerhetskopierar vsentliga delar av datorsystemen. Samma eftermiddag beslutar sig IT-chefen fr att fr skerhets skull kontrollera hur det frhller sig. Det visar sig att det finns ett otal kassetter lagrade i det kassaskp som r avsett fr kopiorna. Ngon enhetlig mrkning eller struktur finns emellertid inte. Detta trots att han vid ett mte bara arton mnader tidigare muntligen informerade sin personal om hur kopiorna ska mrkas och lagras. Vad borde Medytekk tnka p?


Exempel 1 Frstrda data p lagringsmedia Med ett system fr klassificering och mrkning av information hade man skerligen minskat riskerna fr att kritisk information hanteras som i exemplet. Med ett sdant system p plats br de anstllda vara medvetna om hur olika typer av information rutinmssigt ska hanteras och varfr. Genom mrkning minskar ven risken fr felaktigt hantering av information p grund av vad som brukar kallas den mnskliga faktorn.

Exempel 2 Frlust av forskningsrapport ven inhyrda konsulter, tillflligt anstllda och vikarier br informeras om rutiner kring hur man hanterar knslig eller kritisk information. Med ett fungerande system fr klassificering och mrkning av information kar mjligheterna att skerstlla att ven dessa personer informeras om interna freskrifter. Ansvarsfrgan ska ocks regelmssigt regleras i avtal.

Exempel 3 Spridning av knslig information Medytekk borde ha tydliggjort att det r otilltet att delge utomstende knslig information. Om Jan p ett bttre stt knt till hur den information han har kunskap om klassificerats och vilka regler som gllde fr just den klassen hade han antagligen vetat bttre n att i detalj beskriva sitt intressanta arbete.

Exempel 4 Mrkning av skerhetskopior Med klara regler fr hur mrkning av information ska g till kunde detta ha undvikits. Reglerna br ocks innehlla srskilda freskrifter om hur den rutinmssiga kontrollen av kritisk information ska g till fr att fungera tillsammans med klassificeringssystemet.

Checklista Klassificering och styrning av tillgngar Frga Ja Delvis Nej Har informationstillgngarna inventerats? Har en frteckning ver informationstillgngarna upprttats? Har samtliga gare av informationstillgngar faststllts och dokumenterats? Finns det faststllda informationsklasser? r skyddsniver faststllda fr respektive klass? Tillfrs informationstillgngar rutinmssigt den informationsklass som motsvarar dess betydelse fr organisationen?


Kapitel 5 Sida 5

Frga Ja Delvis Nej Finns det riktlinjer p plats som definierar rutiner fr mrkning och hantering av information?

Personalresurser och skerhet

Kapitel 8 Sida 1

Kapitel 8 Personalresurser och skerhet Mnniskorna i en organisation brukar oftast kallas fr kunskapskapitalet och betraktas som den viktigaste resursen. Men de r inte enbart en frutsttning fr verksamheten utan ingr ocks i hotbilden mot den. Vsentligt r att hotbilden inte enbart kommer frn alla anstllda utan ocks frn personer med anknytning till organisationen som konsulter, praktikanter, entreprenadarbetare (stdare, catering, vxeltelefonist, IT-tekniker) etc.

Lojala medarbetare r en frutsttning fr att skerstlla en kontinuerligt hg niv av informationsskerhet i en organisation. En god arbetsmilj, i vid bemrkelse, bidrar till att hja skerheten. Arbetsmiljverkets freskrifter AFS 2001: 1, Systematiskt arbetsmiljarbete, stller krav p organisationens ledningssystem inom arbetsmiljomrdet.

En verksamhet som vilar helt p en eller flera nyckelpersoner r srbar. Det r viktigt att utforma organisation och befattningar s att beroendet av nyckelpersoner reduceras. Mngkunnighet hos de anstllda minskar srbarheten.

En organisation som vrnar svl informationsskerhet som en god arbetsmilj har frutsttningen att tcka in hela skerhetsbegreppet fr omrdet personal och skerhet.

8.1 Fre anstllning

Ml: Att skerstlla att anstllda, leverantrer och utomstende anvndare frstr sitt ansvar och r lmpliga fr de roller de avses ha och fr att minska risken fr stld, bedrgeri eller missbruk av resurser.

Skerhetsansvar br klargras fre anstllning i lmpliga befattningsbeskrivningar och i villkor och frutsttningar fr anstllningen. Alla platsskande, leverantrer och utomstende anvndare br kontrolleras p lmpligt stt srskilt d det gller knsliga arbetsuppgifter. Anstllda, leverantrer och utomstende anvndare av informationsbehandlingsresurser br skriva under en frbindelse om sina skerhetsroller och sitt ansvar. Organisationens olika befattningar br identifieras och analyseras utifrn ett riskperspektiv. En riskprofil fr varje befattning som hanterar knsligt material br tas fram som innehller information om bland annat hantering av klassificerat material och ekonomiskt ansvar.

Vid rekrytering och omplacering av personal br en avstmning ske mot befattningens riskprofil. Ovanstende gller inte enbart tillsvidareanstllda utan ven praktikanter och korttidsanstllda. Vid anvndning av en resursfrstrkning som exempelvis inhyrda konsulter, br en avtalsgenomgng

innehlla en motsvarande avstmning mot den riskprofil som finns kopplad till uppdraget.

8.1.1 Roller och ansvar Befattningsbeskrivningar eller motsvarande br upprttas p ett sdant stt att de omfattar den riskprofil som finns.

Formuleringen av det ansvar och de befogenheter som r kopplade till tjnsten br vara entydiga. Viktigt r att befattningsbeskrivningen innehller vilka informationsskerhetstillgngar som befattningen ansvarar fr och att ansvaret fr svl skydd som underhll av dessa klart framgr.

8.1.2 Kontroll av personal Vid all rekrytering eller anlitande av tillfllig personal br fljande omrden beaktas Identitet br kontrolleras p erforderlig niv. Normalt via allmnt accepterade id-handlingar, som

krkort, pass eller SIS-mrkt id-handling. Referenser br alltid kontrolleras. Meritfrteckning br kontrolleras utifrn bde riktighet och rimlighet. Kvalifikationer br vara

bekrftade med betyg eller intyg. Kreditupplysning br tas fr befattningar dr riskprofilen innefattar ekonomiskt ansvar och dr

ytterligare kontroll kan anses befogad. Utdrag ur polisregister kan vara befogat fr knsliga befattningar. Ett sdant utdrag kan dock vara

ofullstndigt p grund av sekretessregler, varfr det inte br tillmtas ett alltfr stort vrde.


Kapitel 8 Sida 2

8.1.3 Anstllningsvillkor och anstllningsfrhllanden Anstllningsvillkoren br tydligt definiera det ansvar samt de rttigheter och skyldigheter en anstllning medfr utifrn ett informationsskerhetsperspektiv. Frgor rrande upphovsrtt, anvndning och spridande av information, anvndning av organisationens resurser fr egen del etc. r omrden vilka br regleras i anstllningsvillkoren. Rutiner fr upphrande av anstllning alternativt ndrad befattning br finnas definierade i det regelverk vilket reglerar anstllningsfrhllanden.

8.2 Under anstllningen Ml: Att skerstlla att anstllda, leverantrer och utomstende anvndare r medvetna om hot och problem som rr informationsskerhet, sitt ansvar och sina skyldigheter samt r utrustade fr att stdja organisationens skerhetspolicy nr de utfr sitt normala arbete och att minska risken fr mnskliga fel. Ledningsansvar br definieras fr att skerstlla att skerhet tillmpas under en persons hela anstllningstid inom organisationen. Tillrcklig niv av medvetenhet, utbildning och vning i skerhetsrutiner och korrekt anvndning av informationsbehandlingsresurser br ges till alla anstllda, leverantrer och utomstende anvndare i syfte att minimera mjliga skerhetsrisker. Ett formellt disciplinrt frfarande fr att hantera skerhetsvertrdelser br inrttas. En medarbetare kan oavsiktligt samka organisationen hga kostnader och annan stor skada beroende p bristande introduktion och utbildning. Det r drfr viktigt att introduktion och utbildning av nya medarbetare hller hg kvalitet. Detsamma gller naturligtvis vid omplacering av redan anstllda medarbetare. Lika viktigt r det att detta grs ven nr tillfllig personal och externa konsulter anlitas.

Generell kompetensutveckling av personalen r viktig eftersom den ocks pverkar medarbetarnas trivsel med arbetsuppgifterna och drmed kar lojaliteten med organisationen.

8.2.1 Ledningens ansvar Att skerstlla att medarbetarna i organisationen r lojala mot ledningen r en grundfrutsttning fr att de i sitt arbete skall leva upp till stllda informationsskerhetspolicys. Ledningens agerande och framfrallt frmgan att frankra och f acceptans fr uppstllda krav r drfr mycket viktigt. Givetvis mste uppstllda krav kunna motiveras utifrn genomfrda analyser. D organisationen anlitar konsulter eller underleverantrer vilka kommer i kontakt med informationstillgngarna inom organisationen mste p motsvarande stt som fr egen personal skerstllas att krav r definierade, frstdda och accepterade Den psykosociala arbetsmiljn har en mycket stor betydelse fr lojaliteten. Medarbetare som mr dligt frlorar lojaliteten och drmed tilltron till existerande rutiner. I extrema fall kan de bli ett direkt hot mot organisationen genom en drivkraft att avsiktligen vilja skada denna.

8.2.2 Informationsskerhetsmedvetande, utbildning och vning Alla i organisationen, ven tillflligt anstllda och konsulter, br f information om den gllande informationsskerhetspolicyn. Information om det regelverk som ser till att policyn efterlevs br ocks ges. Grundlggande information br ges redan vid introduktion p arbetsplatsen och drefter fljas upp med kontinuerliga utbildningar. Utbildningens omfattning r beroende av den riskprofil och det ansvar och de befogenheter som gller fr befattningen. Utbildningen br fljas upp minst en gng om ret. I samband med uppfljningen br ocks en omvrldsanalys eller annan aktuell information inom omrdet presenteras. Resultatet av genomfrda riskanalyser baserade p incidentrapporteringen br ocks presenteras. Fr att p sikt hja skerheten i organisationen r det viktigt att de incidenter som inrapporteras hanteras p ett effektivt stt. Det innebr att olika tgrder, som att genomfra nya riskanalyser och andra omedelbara kortsiktiga tgrder, vidtas s snart som mjligt.


Kapitel 8 Sida 3

8.2.3 Disciplinr process De olika disciplinra tgrder som kan vara aktuella r varning, omplacering till tjnst med annan riskprofil, uppsgning och polisanmlan. tgrderna mste ha ett tydligt std av ett regelverk som r vl frankrat hos de anstllda och deras fackliga organisationer. I samband med information och utbildning i informationsskerhet br ocks information om detta regelverk ges. Det fr aldrig rda ngon tvekan om att nr en disciplinr tgrd anvnds r det till fljd av en avsiktligt illojal handling mot organisationen.

8.3 Upphrande av anstllning eller frflyttning Ml: Att skerstlla att anstllda, leverantrer och utomstende anvndare lmnar

organisationen eller ndrar anstllningsfrhllande p ett ordnat stt. Ansvar br definieras fr hanteringen av nr en anstllds, leverantrs eller utomstende anvndares lmnar organisationen och fr att all utrustning terlmnas och att alla tkomstrttigheter avslutas. Frndring av ansvar och anstllning inom en organisation br styras p samma stt som upphrande av respektive ansvar och anstllning, i enlighet med detta avsnitt, och nya anstllningar br behandlas som beskrivs i avsnitt 8.1

8.3.1 Ansvar vid upphrande Rutiner liksom att det r tydligt definierat vem som ansvarar fr vad d en anstllning upphr alternativt en anstlld vergr till andra arbetsuppgifter br finnas. Det vanliga i strre organisationer r att personalavdelningen r vergripande ansvarig.

Om riskprofiler upprttats fr befattningar inom organisationen br en avstmning mot denna gras innan en medarbetare erbjuds en annan tjnst.

8.3.2 terlmnande av tillgngar

D en anstllning upphr br skerstllas att all mobil utrusning vilken anvnds som informationsbrare terlmnats exempelvis brbar dator och mobiltelefon. Skerstll ven att eventuella lsenord, smarta kort eller andra nycklar vilka ger tkomst till information terlmnas och att register fr tillgng till information uppdateras. ven d en medarbetare gr ver till nya arbetsuppgifter inom organisationen kan det vara lmpligt att omprva tillgng till information.

8.3.3 Indragning av tkomstrttigheter Alla medarbetare i organisation mste ha tillgng till den information vilken r ndvndig fr att de skall kunna utfra sina arbetsuppgifter med hg kvalitet. Samtidigt br information vilken ej r ndvndig eller rent av olmplig att knna till skyddas. Vid frndring av arbetsuppgifter eller infr att en anstllning upphr br tkomsrttigheter ses ver. Begrnsning av tkomstrttigheter kan ven utgra en disciplinr tgrd.


Kapitel 8 Sida 4

Exempel

1 Rekrytering Fr tv r sedan var Medytekk AB tvunget att lgga ner ett projekt p grund av att tv forskare gick till ett konkurrerande fretag.

Projektet blev inte avslutat innan uppsgningstidens slut. Ledningen fr Medytekk lyckades inte heller hyra tillbaka forskarna frn konkurrenten fr att avsluta projektet. Vad borde Medytekk ha tnkt p?

2 Frndring av anstllningsvillkor Vid starten av Medytekks produktion i Polen fr ett r sedan fick man allvarliga leveransproblem.

Vid starten upptcktes det att en stor del av de ndvndiga databaserna fr produktions- och kvalitetsstyrning mste ha varit manipulerade, eftersom den frdiga slutprodukten inte uppfyllde kravspecifikationen.

Nr Medytekk fr ett r sedan flyttade en del av sin produktion till Polen permitterades ett 30-tal medarbetare. Vad borde Medytekk ha tnkt p?

3 Militant djurrttsaktivist Laboratorieassistenten Kalles sambo r militant djurrttsaktivist.

Hon har deltagit i ett antal aktioner mot fretag och institutioner som, precis som Medytekk, sysslar med djurfrsk. Hon var ven med i den demonstration som freningen "Stopp av djurfrsk nu" hade utanfr Medytekk.

Rykten har cirkulerat inom Medytekk vilka bekrftades i samband med demonstrationen utanfr Medytekk.

Chefen fr Test och Produktion hos Medytekk har blivit utsatt fr vissa hot, antagligen frn olika militanta djurrttsaktivister, hon har dock aldrig tagit dessa p allvar eller polisanmlt dem.

Vad borde Medytekk ha tnkt p?

4 Virusproblem Fr en mnad sedan var Medytekk AB tvungna att ta in en extern konsult fr att f bukt med ett datorvirus som kommit in i fretaget via e-post.

Konsulten upptckte att en av orsakerna till problemet var att virusprogramvaran inte var uppdaterad. Uppdateringen av virusskyddet var inte prioriterad och ingick inte heller i skerhetsutbildningen hos fretaget. Konsulten upptckte ocks att den instruktion som fanns p fretaget fr hur e-post fick anvndas inte fljts. Vad borde Medytekk ha tnkt p?


Kapitel 8 Sida 5

5 Sjukligt spelberoende Den administrative chefen Gran Rubens gnar en allt strre del av sin tid t totospel p Solvalla. Spelandet har ftt sdana konsekvenser att det privat resulterat i skilsmssa och att familjens grd i Knivsta har ftt sljas fr att tcka spelskulderna.

Stefan Eriksson, vd, har av sin sekreterare, Berit Qvick, hrt talas om att Gran Rubens vid ett flertal tillfllen bett om frskott samt att han vid flera tillfllen sjukskrivit sig p onsdagar. Vad borde Medytekk ha tnkt p?


Exempel 1 Rekrytering Medytekk borde ha tnkt p att kompetens- och resursskra forskningsprojektet via anpassad uppsgningstid till projekts varaktighet, sekretessavtal och identifiering av nyckelpersoner vid riskanalys fr projektet. Dessutom borde Medytekk tnka p sekretessfrgan om forskarna skulle ha hyrts tillbaka fr att slutfra projektet.

Fr att skerstlla att framtida kompetensbehov tcks borde Medytekk tnka p att skerstlla personalens lojalitet via anstllningsfrmner, rtt lneniv, etc., identifiera nyckelpersoner och arbeta fr att minska beroendet av dem, se ver sina anstllningsvillkor, och att inkludera sekretess i anstllningsvillkoren ven efter anstllningens upphrande.

Exempel 2 Frndring av anstllningsvillkor Medytekk borde ha tnkt p att permittering av personal ofta kan innebra strningar i verksamheten nr lojaliteten hos medarbetarna minskar eller nr arbetsgivarens attraktivitet hos arbetstagaren minskar.

Fr att skerstlla en flytt utan problem borde Medytekk ha tnkt p att gra en riskanalys utifrn den nya hotbild som uppstr vid frndringen, uppdatera behrigheter, frstrka skalskyddet, och att informera de anstllda bttre om fretagets planer och konsekvenserna fr personalen.

Exempel 3 Militant djurrttsaktivist Medytekk borde tnka p att diskutera frgan i utvecklingssamtal med Kalle, skerstlla tydlig informationshantering, utka det fysiska skyddet och att eventuellt omplacera Kalle om riskanalysen visar att han utgr en stor risk. Dessutom br Medytekk tnka p att skerstlla att incidenter rapporteras och fljs upp s att hot tas p allvar och att de utgr en del i framtida riskanalys.

Fr att skerstlla fortlevnad borde Medytekk tnka p att utka sin omvrldsbevakning fr att i framtiden vara frberedda fr eventuell e-postbombning

(spamming) och andra typer av hot, och att vara lyhrd vid personalrekrytering.

Exempel 4 Virusproblem Medytekk borde ha tnkt p att uppmrksamma alla anstllda p de problem virus kan stadkomma i en organisation, infra rutiner fr hantering av disketter, cd-skivor, filer bifogade till e-post, och s vidare som frs in i

organisationen, detta fr att skerstlla att viruskontroll sker, skerstlla informationsfldet till organisationen frn experter p omrdet, exempelvis via medverkan

i branschorganisationer och liknande och att


Kapitel 8 Sida 6

ha en aktiv omvrldsbevakning fr att s tidigt som mjligt f kunskap om nya virus s att tgrder mot dessa kan sttas in.

Exempel 5 Sjukligt spelberoende Fr att skerstlla informationsskerheten borde Medytekk tnka p att inrtta rutiner fr personer som har personliga problem, stta upp tydliga riktlinjer fr vad som r tilltet samt regler fr hur vertrdelser ska hanteras, tillstta en krisgrupp som hjlper Gran Rubens att ta itu med sitt spelberoende och att i utvecklingssamtal flja upp personalens privata situation.

Checklista Personal och Skerhet Frga Ja Delvis Nej Har nyckelpersoner identifierats? Har riskprofiler fr organisationens befattningar tagits fram? Framgr ansvar och befogenhet fr informationsskerhet av befattningsbeskrivning?

Kontrolleras identitet, referenser och meritfrteckning vid rekrytering? r rutiner fr sekretessavtal/-erinran infrda? Ges anstllda erforderlig information och utbildning vad gller informationsskerhet?

Finns rutiner fr rapportering och hantering av skerhetsincidenter? Finns rutiner fr disciplinra tgrder mot anstllda som bryter mot organisationens informationsskerhetspolicy?

Fysisk och miljrelaterad skerhet

Kapitel 7 Sida 1

Kap

handbok infosäk

Documents