Målet er å bevisstgjøre om viktige prinsipper og tiltak for ledere i «Virksomheten».

Transkript

1 Sikkerhetsledelse Målet er å bevisstgjøre om viktige prinsipper og tiltak for ledere i «Virksomheten». Policy Informasjonssikkerhet på overordnet nivå er beskrevet i «Virksomhetens» informasjonssikkerhetspolicy. All informasjon og alle IKT-systemer skal ha en eier. Eier er ansvarlig for at systemet tilfredsstiller virksomhetens behov for funksjonalitet, sikkerhet og kvalitet og skal sørge for at oppgavene knyttet til systemet er ivaretatt. Eier er ansvarlig for å holde en oppdatert oversikt over alle verdier. Med verdi forstås her informasjon, databaser, programmer, fysisk IKT-utstyr. Eier er ansvarlig for å foreta en klassifisering av alle sine verdier. Klassifiseringen «meget kritisk, kritisk og lite kritisk» skal benyttes for tilgjenglighet og integritet. For konfidensialitet benyttes klassifiseringer og graderinger gitt i lover og forskrifter. Risiko Linjeleder er ansvarlig for at det foretas risikovurderinger i sin avdeling på periodisk basis. Risikovurderinger skal dokumenteres. Leder er ansvarlig for å foreta uavhengige gjennomganger (revisjoner) av sikkerheten. Anskaffelse Alle kontrakter skal være ferdigstilt og undertegnet av begge parter før tjenesten leveres eller systemet settes i produksjon. Krav til sikkerhet skal presiseres i alle kontrakter. Alle lisensavtaler, kontrakter og andre bevis på eierskap skal arkiveres. Alle tjenester som utkontrakteres skal tilfredsstille «Virksomhetens» krav til sikkerhet. I tilfeller der utvikling er satt ut til tredjepart må kontrakten minst inneholde: Lisensavtaler og eiendomsrett til koder og intellektuell eiendom. Deponeringsavtaler i tilfelle svikt fra tredjepart. Eier skal dokumentere hvilke lover, vedtekter eller forskrifter systemet skal tilfredsstille. Eier av et system skal spesifiseres hvilke krav som stilles til tilgjengelighet, integritet og konfidensialitet for informasjonen og systemet. Sikkerhetshendelser og brudd En sikkerhetshendelse skader eller truer personell, informasjon eller verdier. Leder er ansvarlig for å vurdere alle kritiske hendelser og sette i verk nødvendige tiltak med tanke på forbedring og læring. Den som oppdager en hendelse skal umiddelbart varsle nærmeste leder. Ved uregelmessigheter og misligheter fra ansatte eller oppdragstakere, skal vanlige regler for intern oppfølging av uregelmessigheter i «Virksomheten» benyttes. Lovbrudd anmeldes. Beredskap Daglig leder skal godkjenne «Virksomhetens» beredskapsplaner. Beredskapsplan skal minst inneholde varslingslister og prosedyrer for å håndtere kritiske sikkerhetsbrudd på utstyr, systemer og informasjon. Daglig leder er ansvarlig for å vurdere behovet for og eventuelt etablere alternativ løsning for informasjon, systemer og infrastruktur.

2 Daglig leder er ansvarlig for å avholde planlagte øvelser minst en gang per år for kritiske situasjoner. Personellsikkerhet Målet med personellsikkerhet er å sikre at ansatte, kontraktører og tredjepartsbrukere forstår sitt ansvar og er egnet for rollen de har, og å redusere risikoen for svindel og misbruk. Organisering Alle eksterne deltakere i et prosjekt skal signere gjeldende taushetserklæring. Leder er ansvarlig for at ansatte er organisert slik at man ikke blir for avhengig av enkeltpersoner. Leder er ansvarlig for å atskille aktiviteter som krever samordning for å gjennomføre svindel eller på andre måter grovt kunne utnytte eller misligholde et system. Holdninger og opplæring Alle som gjør tjeneste for «Virksomheten» skal underskrive taushetserklæring. Enhver leder er ansvarlig for å fremme riktige holdninger. Leder er ansvarlig for at personell får tilstrekkelig opplæring innen trusselbildet og sikkerhet til å ivareta sitt arbeid på en tilfredsstillende måte. Leder er ansvarlig for at de ansatte setter seg inn i gjeldende regler og rutiner. Fysisk sikring Målet er å forhindre adgang til, skade på og forstyrrelser av lokaler og informasjon. Sikre lokaler Fysiske soner skal brukes for å beskytte områder som inneholder informasjon og utstyr for å behandle informasjon. Dette omfatter vegger, dører og porter med godkjente låser / adgangskort eller bemannede skranker. Adgangskontroll Adgang til lokaler bør begrenses til autorisert personale. Alle medarbeidere skal bære synlig identifikasjon. (Fjernes for små virksomheter) Besøkende skal registreres i gjestebok. Bærbare datamaskiner Maskinrom Bærbare datamaskiner skal ikke etterlates ubevoktet på offentlig sted. De skal alltid fraktes som håndbagasje og låses ned på hotellet når bruker ikke er tilstede. Leder skal umiddelbart varsles hvis IKT-utstyr eller mobiltelefon blir stjålet eller mistes. Datamaskiner eid av andre skal ikke koples til «Virksomhetens» infrastruktur. Maskinrom som inneholder datautstyr skal vernes mot brann, flom, lyn og andre fysiske trusler, og som et minimum ha egnet brannvarslings-, brannslukningsutstyr og innbruddsalarmer installert. Alle kabler skal legges beskyttet og merkes. Klimaet i maskinrom skal være i henhold til krav fra leverandøren av datautstyret.

3 Det skal oppbevares minimalt med brennbart materiale på maskinrom. Alle servere som behandler produksjonsdata, skal plasseres i maskinrom. Sikkerhetskopier skal oppbevares fysisk atskilt fra produksjonsmiljøet og minimum i brannsikkert skap. Avhending av utstyr Ved avhending av IKT-utstyr skal all informasjon på utstyret slettes på en sikker måte. Disketter og taper skal tilintetgjøres ved avmagnetisering eller makulering. Optiske disker skal knuses. Disker på PC og server skal informasjon slettes ved bruk av programvare før gjenbruk. Se egen veiledning om sikker sletting. Behandling av informasjon Målet er å sikre integritet, tilgjenglighet og konfidensialitet til informasjon som behandles for å løse «Virksomhetens» oppgaver. Lagring av informasjon Tjenstlig informasjon skal lagres på sentrale disker. Tjenstlig informasjon uten spesielle krav til beskyttelse skal ikke krypteres. Bruker må selv ta sikkerhetskopi av tjenstlig informasjon som lagres på lokal PC. Eier av system eller informasjon er ansvarlig for at det tas sikkerhetskopier av nødvendige informasjon og programmer. Sikkerhetskopi av informasjon og programmer skal også oppbevares utenfor «Virksomhetens» lokaler. Kopiene skal oppdateres jevnlig. Utveksling av informasjon Tjenstlig informasjon skal bare utleveres til autorisert mottaker. Eksterne oppkoplinger skal være regulert av en kontrakt. Spesielt virksomhetskritisk informasjon Informasjon som er spesielt kritisk skal ikke sendes elektronisk utenfor «Virksomhetens» nettverk uten godkjent kryptering. Dokumenter med spesielt kritisk informasjonen skal tydelig merkes. Privat informasjon og programmer For å sikre at «Virksomheten» kan utføre sine oppgaver med tilfredsstillende tilgjenglighet og til en tilfredsstillende kostnad må privat behandling av informasjon begrenses. En begrenset mengde privat informasjon kan lagres på egen mappe merket Privat. Filer av utpreget privat karakter utenfor "PRIVAT"-mappen kan bli slettet uten varsel. Private filer kan lagres på lokal disk på PC så langt det ikke skaper driftsmessige problemer. ITavdeling er ikke ansvarlig for å foreta sikkerhetskopier av lokale disker. Personopplysningsloven omfatter behandling av opplysninger og vurderinger som kan knyttes til en enkeltperson. Lov om behandling av personopplysninger og forskrift til denne regulerer krav til informasjonssikkerhet for behandling av personopplysninger.

4 Sikkerhetsloven omfatter behandling av informasjon som kan skade Norges eller dets alliertes sikkerhet, forholdet til fremmede makter eller andre vitale nasjonale sikkerhetsinteresser om informasjonen blir kjent for uvedkommende. Internett og E-post All bruk av Internett vil bli logget og overvåket av drifts- og sikkerhetsmessige årsaker. All tilgang til Internett skal skje gjennom brannmur. Det er ikke tillatt å foreta endringer i nettleseren i forhold til standard oppsett. Det er ikke tillatt å foreta aktiviteter som er forbudt etter norsk lov eller som kan oppfattes som uetisk eller støtende. Åpen tjenstlig informasjon kan utveksles via E-post. Det er ikke tillatt automatisk å videresende E-post til private postkasser. Å sende eller videresende kjedebrev pr E-post er ikke tillatt. Teknisk sikkerhet Målet er å sikre konfidensialitet, integritet og tilgjengelighet til alle driftsmessige og systemmessige IKTleveranser for «Virksomheten». Tilgangskontroll De ansatte skal gis tilgang (autoriseres) til «Virksomhetens» lokaler, systemer, infrastruktur og informasjon ut fra tjenstlig behov. Alle systemer, informasjon og infrastruktur skal sikres med tilgangskontroll. Alle brukere skal ha en personlig eid brukeridentitet. Alle brukere skal autentisere seg ved hjelp av et personlig eid passord og / eller andre autentiseringsmekanismer. Tilganger til systemet endres løpende når en bruker endrer sine tilgangsbehov eller slutter. Leder er ansvarlig for at det minst årlig foretas en gjennomgang av alle tilganger. Passord skal være på minimum åtte tegn, og skal inneholde både bokstaver, tall og eventuelt spesialtegn. Passordbeskyttet skjermsparer skal aktiveres når arbeidsplassen forlates, og skal automatisk aktiveres etter minimum 10 minutter. Alle standard brukeridentiteter og passord fra leverandører skal endres før produktet settes i produksjon. Bruk av «Virksomhetens» systemer og nettverk logges for å administrere og sikre systemer og informasjon. Aktiviteter skal registreres og kunne spores tilbake til den enkelte bruker. Endringskontroll Eier er ansvarlig for at det utarbeides nødvendig dokumentasjon for nye systemer og at dokumentasjonen oppdateres. Alle endringer skal vurderes med tanke på endret sikkerhet. Risikoen for at endringene påvirker andre komponenter skal vurderes. Alle nye systemer og endringer til systemer skal gjennomgå grundig og systematisk testing før systemet eller endringen settes i produksjon. Testing skal foregå separat fra produksjonsmiljøet. Resultatet av testingen skal dokumenteres. Eier skal sørge for å skille mellom utviklings-/ test- og produksjonsmiljøene.

5 Driftssikkerhet Det skal foretas risikoanalyse før opprettelse av nye tilknytninger og andre større endringer i infrastrukturen. Alle infrastrukturkomponenter skal merkes. IT-ansvarlig er ansvarlig for å dokumentere infrastrukturen. Eier er ansvarlig for å definere hva som er tilstrekkelig tilgjengelighet og svartider. IT-avdeling er ansvarlig for å ha nødvendige tiltak for å sikre tilgjengeligheten for systemet. IT-avdeling skal observere endringer i bruksmønster med tanke på kapasitet og planlegge tiltak for å overholde systemeiers krav. Eier er ansvarlig for konfigurasjonsstyring av sine systemer, infrastruktur og informasjon. Det skal finnes en oppdatert liste over alle komponenter virksomheten er avhengig av; programvare og infrastruktur. Driftsprosedyrer skal etableres og dokumenteres. Eier kan gi mulighet for bruk av fjernstyringsverktøy etter risikoanalyse. Ansvarlig for IT-avdeling skal sørge for at spesielt kraftfulle funksjoner og tjenester, som det ikke er forretningsmessig behov for, er deaktivert. IT-avdelingen er ansvarlig for at det installeres anti-virus program, som til en hver tid er oppdatert IT-avdelingen skal sørge for at det finnes prosedyrer for å fjerne virus. «Virksomheten» skal ha rutiner for sikkerhetskopiering Sikkerhetskopier skal testes periodisk. Det skal jevnlige foretas gjennomganger av feillogger for å sikre at problemer blir løst på tilfredsstillende måte. Rutiner for å oppdage og å forhindre uautorisert tilgang eller inntrenging i systemer og nettverk skal etableres og gjennomføres. Logger gjennomgås jevnlig for å avdekke unormal aktivitet eller bruk. «Virksomheten» skal ha rutiner for oppgradering av all programvare. Nettverkssikkerhet Eksterne oppkoplinger skal beskyttes og kontrolleres i samsvar med den risikoen utvekslingen representerer. Ekstern oppkopling skal fjernes når det ikke lenger er behov for den. Interne nettverk skal beskyttes utenfra med brannmur og autentiseringsmekanismer. Systemer og informasjon med spesielt høye krav til konfidensialitet bør fysisk eller logisk atskilles fra andre nettverk. Trådløse nettverk tillates ikke/tillates bare for åpen informasjon/ tillates kun etter en grundig risikovurdering