Följande delar bör behandlas i en informationssäkerhetspolicy.
Riktlinjer för…
Behörighetsadministration/styrning av åtkomst
Riktlinjer för vem ska komma åt vad och hur arbetet med detta ska skötas i organisationen.
För att skydda informationen bör tillgången till den begränsas. Hoten finns både inom organisationen och utanför den, exempelvis leverantörer och konsulter. Hoten behöver inte vara medvetna. Ett misstag kan få stora konsekvenser. Det är därför mycket viktigt att åtkomst endast ges till de it-system som respektive användarkategori behöver och kan använda.
Tänk på:
- Vem ska ha behörighet till it-systemen
- Vad ska de få komma åt, ändra, radera i it-systemen och sin egen dator
- Vem är ansvarig för att besluta om respektive ge behörigheter
- Rutiner för tilldelning, uppföljning och uppdatering av behörigheter
Behörighetskontroll
Riktlinjer för tekniska lösningar för åtkomst, både på applikations- och systemnivå, utifrån och in samt internt på det egna nätet, bör definieras. Riktlinjerna bör också behandla byggregler för intranät på en övergripande nivå. Eftersom området innefattar teknik-, system- och leverantörsval är det viktigt att dessa är medvetna och långsiktiga så att man slipper galopperande kostnader i form av omfattande uppgraderingar eller säkerhetssystem med separata lösningar per produkt.
Tänk på:
- Framtidssäkerhet
- Administrativ arbetsbörda
- Behörighetskontroll av de som ska serva systemen
- Kostnader för hyrda förbindelser/VPN-lösningar
Loggning och spårbarhet
Loggning är att spara data om vilka aktiviteter som ägt rum, vad som gjorts och vem som gjort dem. Spårbarhet är att genom loggning kunna identifiera och följa förloppet för olika aktiviteter. Detta är nödvändigt för att kunna finna den ansvarige vid säkerhetsrelaterade incidenter.
Tänk på att vissa sorters loggning kan innefattas av personuppgiftslagen eller innebära intrång i personers integritet.
Tänk på:
- Vad ska loggas
- Hur följs loggarna upp
- Vem följer upp loggarna
- Hur länge ska de sparas
- Hur ska de förvaras
Informationsklassning
Att klassificera information är en grundpelare i informationssäkerhetsarbete. På detta sätt fastställer man vilken skyddsnivå olika sorters information bör ha. Klassning bör ske utifrån tre aspekter: sekretess (att informationen inte kan nås av obehöriga), riktighet (att informationen inte är felaktig) samt tillgänglighet (att informationen kan nås av behöriga).
Tänk på:
- Skapa ett enkelt klassificeringssystem där antalet klasser är bestämt från början.
- Peka ut ägare för all information
Införande
Alla it-system som införs bör innan de tas i bruk ha granskats utifrån de säkerhetskrav som finns för organisationen. Rutiner bör skapas för vad som ska göras i samband med att ett it-system köps in och tas i drift.
Tänk på:
- Eventuella krav på att använda certifierade och evaluerade produkter
- Tester och testmiljö
- Löpande säkerhetsarbete för systemet
Systemsäkerhetsplan
Varje it-system bör ha en plan som specificerar vilka säkerhetskrav som ställs på den. Olika system behandlar olika data och uppgifter och därför skiljer sig kraven från system till system. En riskanalys med hot och konsekvenser bör göras för varje system. Utifrån riskanalysen formuleras sedan systemsäkerhetsplanen.
Systemsäkerhetsplaner kan brytas ut ur policyn och vara separata dokument.
Tänk på:
- Peka ut systemägare
- Definiera säkerhetskrav för att säkra sekretessen
- Definiera säkerhetskrav för att säkra riktigheten
- Definiera säkerhetskrav för att säkra tillgängligheten
- Ta hänsyn till lagstiftning som eventuellt omfattar systemet
It-säkerhetsinstruktioner
It-säkerhetsinstruktioner är handfasta regler och rutiner för vad och hur olika användargrupper får använda it-systemen. Tre sorters it-instruktioner bör finnas: användarinstruktion – för användare, förvaltningsinstruktion – för förvaltningspersonal samt driftinstruktion – för driftpersonalen.
It-säkerhetsinstruktioner kan brytas ut ur policyn och vara separata dokument.
Tänk på:
- Alla system ska ha någon slags instruktion
- Instruktionerna ska vara beslutade av ledningen
Skydd mot skadlig programkod
Riktlinjer för vilket skydd som bör finnas mot skadlig kod såsom virus, maskar trojaner och dylikt bör finnas. Skydd och rutiner bör finnas i sådan utsträckning att man ska kunna upptäcka skadlig kod, förebygga smitta, förhindra spridning samt återställa system som är smittade.
Se även det separata avsnittet Skydda mot skadlig kod.
Tänk på:
- Anpassa skyddet efter hotbilden
- Installera skydd på flera nivåer i it-miljön
- Begränsa genom regler användning av icke-godkända program och nedladdning av filer från externa källor
It-nätverk (internt)
Riktlinjer för hur det interna nätet ska handhas bör finnas. En organisations nätverk bör delas upp i olika delar beroende på vilka tjänster som finns och vilken säkerhet dessa kräver. Ansvaret för it-nätverket bör skiljas från ansvaret för it-driften.
Se även det separata avsnittet Regler för infrastruktur.
Tänk på:
- En ansvarig person per nätdel
- Bygg åtkomstkontroll baserat på säkerhetsdomäner
- Användarnas tillgång till nätverkstjänsterna bör begränsas med hjälp av åtkomstkontroll
- Begränsa administratörernas rättigheter till vad de behöver för att sköta jobbet
It-nätverk (externt)
Externa anslutningar innebär exponering för potentiellt stora risker. Det är därför mycket viktigt att ha kontroll över vem som får ansluta och hur.
Se även det separata avsnittet Regler för infrastruktur.
Tänk på:
- Bestäm vilka typer av anslutningar som tillåts
- Dokumentera (och uppdatera) en förteckning över anslutningar
- Autentisering vid externa anslutningar
Brandväggar
Brandväggen kontrollerar och begränsar trafiken mellan två datanät, vanligtvis det interna nätet och Internet, och är ett måste.
Se även separat avsnitt Regler för infrastruktur.
Tänk på:
- Det enda sättet för ip-kommunikation att ta sig till och från organisationen ska vara genom brandväggen
- Brandväggen ska innehålla skydd mot skadlig kod
- Riktlinjer för loggning av trafiken (Se även avsnittet ovan: Loggning och spårbarhet)
Elektronisk post
Genom att vara ett effektivt och enkelt sätt att kommunicera har e-post blivit ett allt populärare arbetsverktyg. Eftersom det handlar om en kommunikationsmetod som använder internet innebär e-posten vissa hot: e-brev kan avlyssnas och innehåll eller avsändare kan ändras av obehöriga. Dessutom är e-post ett mycket vanligt sätt att sprida skadlig kod.
Tänk på:
- Vilka ska ha tillgång till e-post
- Vilken information får skickas med e-post
- Skydd mot skadlig kod
- Hantering av bifogade filer
- Kryptering
Distansarbete och mobildatoranvändning (Ansluta på distans)
Det innebär särskilda risker att arbeta utanför den ordinarie arbetsplatsen, vare sig det handlar om mobil datoranvändning, på exempelvis en konferens, eller att arbeta hemifrån.
Se även separat avsnitt Ansluta på distans.
Tänk på:
- Stöldrisk/brandrisk
- Risk för obehörig insyn och användning
- Säkerhetskopiering
- Skydd mot skadlig kod och intrång
- Riktlinjer för support på distans
- Kryptering vid överföring och för lagrad information
- Hantering av utskrifter
- Autentisering vid uppkoppling mot arbetsplatsen
Kontinuitetsplanering
Riktlinjer för vad som ska göras om it-systemen drabbas av störning eller avbrott bör finnas. Det finns två sorters planer som bör upprättas: avbrottsplan och katastrofplan. Avbrottsplanen hanterar avbrott och störningar medan katastrofplanen handlar om omständigheter som anses vara katastrofala. Detta kan naturligtvis också handla om avbrott eller störningar i verksamhetskritiska system.
Tänk på:
- Ge it-systemen en prioriteringsordning – utgå från systemsäkerhetsplanerna
- Klarlägg vad som anses vara katastrofalt
Incidenthantering (Hantera it-incidenter)
För att på bästa sätt förebygga och hantera it-incidenter bör riktlinjer finnas för såväl vanliga användare som för it-personalen.
Se även separata avsnittet Hantera it-incidenter.
Tänk på:
- Förebyggande arbete
- Krishantering
- Efterarbete – följ upp och ta vara på erfarenheterna
Säkerhetskopiering och lagring
Säkerhetskopiering ska göras regelbundet. Det är viktigt att bestämma vilken information ska säkerhetskopieras och hur ofta detta ska ske.
Läs mer i det separata avsnittet Skapa säkerhetskopior.
Tänk på:
- Vilken information som ska säkerhetskopieras
- Hur ofta säkerhetskopiering ska ske
- Hur många versioner bakåt i tid som ska sparas
- Hur och var kopiorna ska förvaras
- Informationen ska vara läsbar under hela sin lagringstid