GIRS

Teknisk rapport SIS/TK 318 N46 Version 6.
00 2006-08-07
Ge din information rtt skerhet

Handbok i informationsskerhetsarbete
Baserad p standarderna: ISO-ISO/IEC 27001 Ledningssystem fr informationsskerhet - Krav SS-ISO/IEC 17799 Riktlinjer fr styrning av informationsskerhet
Innehllsfrteckning
Innehllsfrteckning
Kapitel Frord Kapitel 1 Inledning Kapitel 2 Termer och definitioner Kapitel 3 Standardens struktur Kapitel 4 Riskbedmning och riskhantering Kapitel 5 Klassificering och styrning av tillgngar Kapitel 6 Organisation av informationsskerheten Kapitel 7 Hantering av tillgngar Kapitel 8 Personalresurser och skerhet Kapitel 9 Fysisk och miljrelaterad Kapitel 10 Styrning av kommunikation och drift Kapitel 11 Styrning av tkomst Kapitel 12 Anskaffning, utveckling och underhll av informationssystem Kapitel 13 Hantering av informationsskerhetsincidenter Kapitel 14 Kontinuitetsplanering i verksamheten Kapitel 15 Efterlevnad Appendix 1 Exempelfretaget Medytekk AB Appendix 2 Lagrum, efterlevnad av rttsliga krav Appendix 3 Riskanalysmetoder Appendix 4 Handledning fr LIS planeringsfas Appendix 5 Certifiering av ledningssystem fr informationsskerhet LIS Sida I 1-1 2-1 3-1 4-1 5-1 6-1 7-1 8-1 9-1 10-1 11-1 12-1 13-1 14-1 15-1 A1-1 A2-1 A3-1 A4-1 A5-1
Frord
Information r frmodligen en av de mest vrdefulla tillgngarna i din verksamhets. Nya snabba, kreativa och komplexa mjligheter att skapa, anvnda och utbyta information skapas varje dag. Elektronisk information och synen p information som den centrala tillgngen omvandlar vrt stt att leva och arbeta. Men riskerna r stora att information gr frlorad, frvanskas eller kommer i fel hnder. Fljderna av sdana incidenter r ibland frdande. Den internationella standarden SS-ISO/IEC 27001 str fr ett affrsmssigt synstt fr att styra informationsskerheten i din verksamhet. Standarden specificerar hur alla verksamheter kan bygga upp ett ledningssystem fr informationsskerhet (LIS) som tillhandahller en organisationsanpassad skerhetsniv. Aktivt riskanalysarbete r krnan i SSISO/IEC 27001. Din organisation mste identifiera sina informationstillgngar och frst de risker och hot som finns mot dessa. Standarden SS-ISO/IEC 17799 ger rd fr vad som kan gras fr att minska srbarheten hos informationstillgngarna. Inom SIS, Swedish Standards Institute, har projekt LIS nu verkat i snart tio r. Projektets frsta delml var att ta fram de tv standarderna SS-ISO/IEC 27001 och SS-ISO/IEC 17799. Fr att underltta infrandet av LIS, i framfr allt mindre och medelstora fretag, vcktes idn om en handbok som ger en praktisk handledning och exempel frn verksamheter. Beslut om att ge ut denna handbok har tagits av SIS tekniska kommittn TK 318 Ledningssystem fr informationsskerhet. Denna handbok hjlper dig att bygga ett LIS via SS-ISO/IEC 27001 med std av SS-ISO/IEC 17799. Alla grtonade rutor i handboken r hmtade frn SS-ISO/IEC 17799 och innehller de ml som finns inom dessa delomrden. Fler exemplar av denna handbok i pdf-format finns att hmta gratis via Internet frn SIS:s webbplats: www.sis.se eller frn SWEDACs hemsida: www.swedac.se.
Frndringshistorik
Version 1.0 2.10 3.0 Utkom 2001-01-17 2002-03-05 2004-01-23 Frndringar Anpassning till nya SS-ISO/IEC 17799 Beskrivning av ledningssystem utgr nya Kapitel 2 och anpassning till nya SS 62 77 99-2, utgva 2 (processinriktning, etc.) Korrigering av hnvisningar fr att f ett Ledningssystem fr informationsskerhet, LIS Tillgg av avsnitt rrande handledning fr LIS planeringsfas i Appendix 4 Redaktionella frndringar (Kapitel 13 r numera Appendix 2, Kapitel 2 r numera Appendix 3 och Kapitel 14 r numera Appendix 5) Anpassningar till SS-ISO/IEC 27001:2006 och SS-ISO/IEC 17799:2005
6.0
2006-07-10
Revideringen till version 6.0 har utfrts av:

Gunnar Lindstrm, SWEDAC, med std av deltagare i TK 318.
Medverkande vid det ursprungliga framtagande av denna skrift var:

Johan Karlsson, frilansjournalist som sammanstllde handboken i version 1.0 Jan-Olof Andersson, Riksbanken Gran Antonsson, Clemens Wallen stlund Advokater AB Anders Carlstedt, hrlings Price Waterhouse Coopers Per Anders Eriksson, Arthur Andersen Thomas Keisu, StoSec Gunnar Lindstrm, SWEDAC ordfrande i arbetsgruppen Per Lundin, Svensk Brand- och Skerhetscertifiering AB Inger Nordin, DNV Certification AB Istvn Orci, Statskontoret Thomas Osvald, Thomas Osvald IT-Konsult Bengt Rydstedt, SIS, Swedish Standards Institute Jan Svenson, Protect Data Konsult
Inledning
Kapitel 1 Inledning
Idag r informationsskerhet ett begrepp som r av stor betydelse fr att skerstlla en organisations lnsamhet och ven dess fortsatta existens. Denna handbok r framtagen under SIS projekt TK 318 vilket allmnt benmns LIS-projektet. LIS str fr Ledningssystem fr Informationsskerhet. LIS motsvaras i engelskan av ISMS, Information Security Management System. De viktigaste standarderna i den vxande familjen inom detta omrde r kravstandarden fr ledningssystem informationsskerhet SS- ISO/IEC 27001 samt Riktlinjer fr styrning av informationsskerhet SS-ISO/IEC 17799:2005. (Denna standard kommer under 2007 f beteckningen SSISO/IEC 27002) Handboken r tnkt att fungera som ett komplement till riktlinjerna och ven att anvndas vid utbildning inom omrdet. Handboken r utformad som en teknisk rapport och som en fljd av detta r en del av standardens text tergiven ordagrant i handbokens grtonade rutor. Handbokens kapitelindelning och disposition fljer helt standardens disposition. I slutet av varje kapitel finns en checklista och vningsexempel. vningsexemplen utgr frn ett fiktivt fretag Medytekk vilket r beskrivet under en bilaga till boken. Informationsskerhet r ett begrepp vilket av mnga felaktigt frknippas med IT-skerhet. Nedanstende figur beskriver relationen mellan de underordnade begreppen.
Informationsskerhet
Administrativ skerhet
IT-skerhet
ADB-skerhet
Kommunikationsskerhet
Nyckelbegreppen som omfattas av informationsskerhet r Sekretess Riktighet Tillgnglighet Sprbarhet Handboken bygger p standarden SS-ISO/IEC 17799, Ledningssystem fr informationsskerhet - Riktlinjer fr styrning av informationsskerhet. Vid internrevision av informationsskerheten br standarden SS-ISO/IEC 27001, Ledningssystem fr informationsskerhet - Krav anvndas. Detta gller ven d bedmning grs av underleverantrers informationsskerhet. Certifieringsorgan vilka certifierar ledningssystem fr informationsskerhet gr detta mot SS-ISO/IEC 27001. I den normativa bilagan till SS-ISO/IEC 27001 r dispositionen lika med rekommendationerna i SS-ISO/IEC 17799. I SS-ISO/IEC 27001 r det dremot skall-krav och inte rekommendationer.
Kapitel 1 Sida 1
Inledning
SS-ISO/IEC 27001 fljer samma struktur som SS-EN ISO 9001, Ledningssystem fr kvalitet och SS-EN ISO14001 Miljledningssystem och kan med frdel integreras med dessa i ett verksamhetssystem. SIS Swedish Standards Institute ISO Internationella standardiseringsorganisationen (International Organization for Standardization) IEC Internationell standardiseringsorganisation (International Electrical Commissions) Standardisering inom elektronik och telekommunikation
Kapitel 1 Sida 2
Termer och definitioner
2 Termer och definitioner

Termerna och definitionerna 2.1 till och med 2.17 r de vilka nmns under kapitel 2 i SS-ISO/IEC 17799:2005. Termerna och definitionerna utan beteckning r ett urval av kompletterande termer och definitioner vilka frekommer i denna handbok. 2.1 Tillgng Allt som r av vrde fr organisationen 2.2 Skyddstgrd Handling, procedur eller tekniskt arrangemang som genom att minska srbarheten mter identifierat hot 2.3 Vgledning Beskrivning som klargr vad som ska gras och hur, fr att n mlen i policys 2.4 Informationsbehandlingsresurser Informationsbehandlingssystem, -tjnst eller stdjande infrastruktur, eller lokaler som inhyser resurserna 2.5 Informationsskerhet Frmgan att bevara sekretess, riktighet och tillgnglighet hos information. Drutver kan begreppet innefatta t.ex. autenticitet, sprbarhet, oavvislighet och tillfrlitlighet 2.6 Informationsskerhetshndelse En faststlld frekomst av ett tillstnd i ett system, ntverk eller fr en tjnst som indikerar ett tnkbart brott mot informationsskerhetspolicyn eller brister i skyddstgrder, eller en ny och oknd situation som kan pverka skerheten 2.7 Informationsskerhetsincident En eller flera hndelser som kan tnkas f eller kunnat f allvarliga konsekvenser fr verksamheten och hota informationsskerheten 2.8 Policy vergripande avsikt och viljeinriktning formellt uttryckt av ledningen 2.9 Risk Produkten av sannolikheten fr att ett givet hot realiseras och drmed uppkommande skadekostnad 2.10 Riskanalys Process som identifierar skerhetsrisker och bestmmer deras betydelse 2.11 Riskbedmning vergripande process fr riskanalys och riskutvrdering 2.12 Riskutvrdering Process som jmfr uppskattad risk mot given riskbedmningsgrund fr att faststlla riskens betydelse
Kapitel 2 Sida 1
2.13 Riskhantering Samordnande aktiviteter fr att styra och kontrollera en organisation med avseende p risk 2.14 Riskbearbetning Bearbetningsprocess fr val och infrande av tgrder fr att begrnsa risker 2.15 Tredje part Person eller organisation som anses fristende frn de berrda parterna i den aktuella frgan 2.16 Hot Mjlig, onskad hndelse med negativa konsekvenser fr verksamheten * 2.17 Srbarhet Brist i skyddet av en tillgng exponerad fr hot
Kompletterande termer och definitioner ADB Automatisk Databehandling (ADB) r ett begrepp som anvnds i datalagen ADB-skerhet Skerhet betrffande skydd av datorsystem och dess data syftande till att frhindra obehrig tkomst och obehrig eller oavsiktlig frndring eller strning vid databehandling Arkivering Arkivering r en lngtidslagring. Viktiga beslut att ta vid lagring r vad som skall lagras, hur lnge, p vilket media och vilken skerhet krvs Attack Aktiviteter som syftar till att stadkomma skada p verksamheten eller verksamhetens resurser Autenticering En kontroll av en anvndares identitet fr att skerstlla att anvndaren verkligen r den han eller hon utger sig fr att vara Avveckling Att lgga ned, stnga ett system eller organisation Certifiering av ledningssystem fr informationsskerhet En formell certifieringsprocess dr ett certifieringsorgan genom bedmning faststller att det implementerade ledningssystemet uppfyller kraven i standarden Elektronisk handel/Elektroniska affrer Parter utvxlar affrsinformation via olika former av elektronisk kommunikation Elektroniska signaturer/Digitala signaturer Omvandling av ett meddelande (eller ett kondensat av detta) p ett stt som endast avsndaren kan utfra och som tillter mottagaren att kontrollera meddelandets kthet, innehll och avsndarens identitet Hotbild Hot som bedms frekomma mot en viss verksamhet
Kapitel 2 Sida 2
Intrng Onskad interaktion och aktiviteter mot system - i strid med systemets policy - som kan medfra frndringar, strningar eller skada Kontinuitetsplan Dokument som beskriver hur verksamheten skall bedrivas nr identifierade, kritiska verksamhetsprocesser allvarligt pverkas eller strs under en lngre, specificerad tidsperiod, d.v.s. en typ av reservplan fr verksamheten Kryptering Omvandling av klartext till kryptotext med ett krypteringssystem och kryptonyckel i syfte att frhindra obehrig tkomst Kvarvarande risk Skyddstgrder tar inte bort risken till fullo. Det finns alltid en viss sannolikhet att den kvarvarande risken realiseras och medfr skada i ngon form Lsenord Teckenstrng som anges fr att verifiera anvndaridentitet Resurs 1. ngot som anvnds eller frbrukas nr en operation utfrs 2. systemkomponent med viss faststlld funktion fr lagring, verfring eller bearbetning Riskacceptans Den medvetna handlingen att leva med riskens konsekvens/er Riskreduktion Att minska risken genom att mildra, frebygga eller fregripa den. Det kan ske genom att undvika risken, verfra den genom exempelvis frskringar eller genom att reducera hotet, srbarheten eller den mjliga pverkan. Det kan ocks ske genom att upptcka onskade hndelser, reagera p dessa och vidta tgrder Svaghet Se Srbarhet Upphovsrtt Upphovsrtt ger rttsligt skydd till personer som skapat ngot med s kallad verkshjd. Exempel p sdant skapande kan vara litterra verk, bilder, musik och programvara *Definitioner vilka anvnds fr olika former av hot Avsiktligt hot Hot och aktivitet som syftar till att skada verksamheten Oavsiktligt hot Hot och aktiviteter som existerar trots att illasinnad avsikt saknas. Brist p kompetens och utbildning kan vara en anledning Yttre hot Hot som har sitt ursprung utanfr organisationen Inre hot Hot mot skerheten som orsakas av individer inom organisationen
Kapitel 2 Sida 3
Standardens struktur
Kapitel 3 Standardens struktur

3.1 Avsnitt
Standarden SS-ISO/IEC 17799 omfattar elva avsnitt fr styrning av skerhet samt en inledande beskrivning av riskbedmning och riskhantering. Kapitelindelningen och ven underliggande rubriker verensstmmer med standarden SS-ISO/IEC 17799:2005. Vid certifiering av ett ledningssystem eller annan bedmning av verensstmmelse mot krav som exempelvis vid internrevision anvnds standarden SS-ISO/IEC 27001 Ledningssystem fr informationsskerhet - Krav. Denna standard har en disposition vilken i stort verensstmmer med kravstandarderna SS-EN ISO 9001, ledningssystem fr kvalitet och SS-EN ISO 14001, ledningssystem fr milj. Standarden innehller ven under bilaga C en korsreferenslista till SS-EN ISO 9001:2000 och SS-EN ISO 14001:2004. SS-ISO 27001 har en bilaga A vilken r utformad som en checklista dr de olika punkterna direkt verensstmmer med motsvarande kapitel och underrubrik i SS-ISO/IEC 17799:2005. Att implementera och frvalta ett ledningssystem fr informationsskerhet r att systematiskt styra verksamheten utgende frn kraven p verksamheten, se nedanstende figur.
Intressenter
Planera
Upprtta LIS
Intressenter
Genom- Infr och driv LIS fra
Utvecklings-, underhlls- och frbttrings-cykel
Upprtthll och frbttra LIS
Frbttra
Informationsskerhetskrav och frvntningar
Flj upp och granska LIS
Flja upp
Styrd informationsskerhet
3.2
Indelning inom huvudomrden
Fr varje omrde beskriver standarden SS-ISO/IEC 17799 ett ml fr styrning och vilka tgrder som kan tillmpas fr att uppn detta. Standarden ger ven vgledning fr infrande av tgrder och i flera fall ven viktig vrig information.
10.1 Driftrutiner och driftans var 10.10 verva kning 10.9 E lektronis k ha ndel
10.2 Kontroll a v utoms t ende tj ns televera ntre
M l lomr den M omr den

10.8 Utbyte a v informa tion 10.7 Ha ntering a v media
10: SStyrning aa v 10: tyrning v kommunia ktion kommunia ktion och drift och drift
10.3 S ys templa nering och s ys temg odk nna de
10.6 Ha ntering a v s kerhet I n tverk
10.4 S kydd mot 10.5 S kerhets kopiering s ka dlig och mobil kod.
Kapitel 3 sida 1
Standardens struktur
Exempel p utformning av ett mlomrde

10.1.1 Dokumenterade drifrutiner 10.1.4 Uppdelning a v utveckling s - tes toch driftres urs er. 10.1.2 ndring s ha ntering
10.1: Driftrutiner 10.1: Driftrutiner Och drifta ns va rr Och drifta ns va tg rder tg rder
10.1.3 Uppdelning a v a rbets uppg ifter
Kapitel 3 sida 2
Riskbedmning och riskhantering
Kapitel 4 Riskbedmning och riskhantering

4.1 Allmnt
Riskhantering r att hantera risker och drmed mjliga onskade hndelse eller skador som en organisation kan drabbas av. Detta kan gras p mnga olika stt och sttet br anpassas till organisations inre och yttre milj. Riskhanteringen grs enligt ett antal steg i en riskhanteringsprocess.
Error! Objects cannot be created from editing field codes. Figur 1 Riskhanteringsprocess
Processen bestr av ett antal aktiviteter: 1. Kommunikation 2. Etablering av milj; intern & extern 3. Riskbedmning som bestr av a. Riskanalys som bestr av i. Identifiera risker ii. Analysera risker b. Riskutvrdering 4. Riskbearbetning 5. Utvrdering
4.1.1
Kommunikation
Denna del av processen r viktig fr varje steg i hela processen. Fr att uppn en effektiv riskhanteringsprocess mste det finnas mjlighet fr interna diskussioner mellan olika interna intressenter men ocks med externa intressenter. Det r viktigt att kartlgga organisationens interna och externa intressenter. Organisationen br utveckla en kommunikationsplan med dessa. Planen br innehlla processen fr en sdan kommunikation. En effektiv kommunikationsplan ger mjlighet att samla in olika synpunkter och perspektiv frn olika kompetensgrupper, frst intressenternas krav och frvntningar etc. fr att den vidare delen av processen som riskbedmning och riskhantering blir rtt. Kommunikationen bidrar till att riskhanteringsprocessen tar hnsyn till intressenternas krav och frvntningar.
4.1.2
Etablera extern och intern milj
Fr att f en effektiv riskhanteringsprocess mste alla tillgngar och resurser bda internt och externt identifieras och ligga som grund fr att upprtta rtt skerhetskrav. Rtt skerhetskrav mste allts baseras p bde intern och extern milj.
4.1.3
Etablering av extern milj
Att etablera extern milj betyder att definiera relationen mellan organisationen och dets externa milj. Detta inkluderar: Politisk situation, social och kulturell milj Externa intressenter s som o Styrelse och gare o Kunder och affrsrelationer o Konkurrenter o Leverantrer o Etc.
Kapitel 4 Sida 1
Det r viktigt att upprtta en policy fr extern kommunikation.
4.1.4
Etablering av intern milj
Att etablera en intern milj innebr att definiera organisationens verksamhet och interna intressenter. Detta inkluderar att identifiera kultur, struktur(er), organisation(er), processer, tillgngar som kapital etc. Det r viktigt att upprtta en policy fr intern kommunikation.
4.1.5
Riskbedmningsgrund eller kriterier fr riskbearbetning
Definiera kriterier fr hur en risk skall utvrderas och identifiera riskhanteringskrav r viktigt. Detta skall gra med hnsyn tagen till den interna och externa miljn. Fr att ta beslut fr om riskkriterierna r det viktigt att ta hnsyn till: konsekvenserna intressenternas krav etc.
4.2 Bedmning av skerhetsrisker

Riskbedmningen innebr att hantera risker p ett systematiskt stt och bestr av tv delar: 1. Riskanalys 2. Riskutvrdering
4.2.1
Riskanalys
Riskanalysen r en viktig del. Denna bestr av tv steg: 1. Identifiera risker 2. Analysera risker
Konsekvenser
Flytta
Undvik
Accepter
Minska Sannolikhet
Kapitel 4 Sida 2
4.2.2
Identifiera risker
Hr r det viktigt att identifiera alla risker i en organisation, svl nya som de vilka eventuellt redan r under hantering. I detta steg skall alla risker identifieras; de som kanske kan intrffa, de som redan finns och r identifierade. Hr identifieras ocks olika onskade hndelser som skall kunna intrffa och kllor eller orsaker till dessa. Resultatet r en lista av risker och kllor fr olika onskade hndelser.
4.2.3
Analysera risker
Analysera risker betyder definiera och frst riskniv och riskernas natur. Det ger input till ett senare beslut om risken skall hanteras eller inte. Riskanalysen skall innehlla alla riskkllor, negativa och positiva konsekvenser med hnsyn till intressenterna. Analysering av risken skall ske genom att kombinera konsekvenser och intressenter.
4.2.4
Riskutvrdering
Riskutvrdering r en process som jmfr uppskattad risk mot given riskbedmningsgrund (eller kriterier fr riskhantering) fr att faststlla riskens betydelse. Detta grs mot det underlag som r tagit fram under steget Etablering av milj. De risker som vrderas som acceptabla hanteras inte vidare utan vervakas och utvrderas kontinuerligt. De risker som utvrderas till att tas hand om och minska eller eliminera skall hanteras i steget Hantering av skerhetsrisker.
4.3 Bearbetning av skerhetsrisker

Efter en vrdering av riskerna och en prioritering av de risker som skall hanteras skall en plan fr hanteringen gras. Besluten omfattar: Gr det att reducera riskerna Helt undvika risker verfra risker till andra Planen skall innehlla tydliga roller och ansvar.
4.3.1
Utvrdering
Riskbearbetning r en kontinuerlig process och denna skall stndigt utvrderas. Detta kan ske genom aktiv granskning eller p annat stt.
Kapitel 4 Sida 3
Skerhetspolicy
Kapitel 5 Skerhetspolicy
5.1 Informationsskerhetspolicy
Ml: Att ange ledningens viljeinriktning och std fr informationsskerhet i enlighet med organisationens verksamhetskrav och relevanta lagar och freskrifter. Organisationens ledning br klart ange en viljeinriktning i enlighet med verksamhetens ml och visa sitt std och tagande fr informationsskerhet genom att faststlla och underhlla en informationsskerhetspolicy fr hela organisationen. Informationsskerhetspolicyn r ledningens instrument fr att klart ange inriktningen och visa sitt engagemang fr informationsskerheten "det hr r vr avsikt, s hr vill vi ha det och s nr vi dit". Att tillfra fretagskulturen en ny dimension "i vr verksamhet r skerhet ett sjlvklart inslag i arbetet". Den ger kad trygghet, trivsel och bidrar till ett bttre resultat. Den ska ocks vara en plattform fr konsekvent agerande, gra de anstllda medvetna om skerhetens betydelse samt visa vgen fr att uppn skerhetsmlen. Informationsskerhetspolicyn ska besvara fljande frgor: Vad r det som ska skyddas? P vilken niv ska skyddet vara? Vem r ansvarig fr informationsskerheten? Hur bedrivs informationsskerhetsarbetet? Var gller informationsskerhetspolicyn? Hur ska informationsskerhetspolicyn flja verksamheten och hotbilden? Vilka rttigheter och skyldigheter har medarbetarna? Hur ska incidenter hanteras? Pfljder d informationsskerhetspolicyn ej fljs? Fr att en informationsskerhetspolicy ska f avsedd effekt r det ngra punkter som br beaktas vid framtagandet av informationsskerhetspolicyn. Den ska vara relevant i frhllande till organisationens verksamhet, vara lngsiktig, vara vergripande, visa ambitionsniv och inriktning, vara kommunicerbar med organisationens samarbetspartners, ha ett enkelt sprk, vara kortfattad, fras ut p ett tydligt stt. Det finns tillfllen d informationsskerhetspolicyn har ett extra stort vrde. Det kan rra sig om verksamheter som har speciellt skyddsvrd information som personuppgifter och finansiell verksamhet. Det kan ocks vara att skerheten precis blivit en viktig frga och det finns ett behov av att markera vad som gller. Ytterligare ett exempel kan vara att man gr in i ett nytt verksamhetsomrde. Organisationer som har ett markant skerhetsinslag i sin verksamhet nationella som internationella, privata som statliga har en av ledningen uttalad och antagen informationsskerhetspolicy som kan delges interna och externa intressenter vilket minskar risken fr missfrstnd och kan ka affrsmjligheter och minska affrsrisken/-riskerna, underlttar granskning av det verkliga tillstndet med hnsyn till informationsskerhetspolicyn. En informationsskerhetspolicy ska peka ut den vergripande inriktningen, sl fast de principer som ska glla och tydliggra organisationens instllning till arbetet, i detta fall informationsskerhetsarbetet. En informationsskerhetspolicy r ett centralt och viktigt dokument som utgr grunden fr organisationens vergripande och detaljerade skerhetsml. Det r organisationens hgsta ledning som faststller informationsskerhetspolicyn och drmed ocks ansvarar fr dess innehll och att den uppfylls. Ansvar, befogenheter, arbetsstt och beslutsordning i speciella frgor liksom verksamhetsinriktning p kort sikt (13 r) kan vidareutvecklas inom organisationen och beslut ska framg av ett upprttat protokoll.
Kapitel 5 Sida 1
Skerhetspolicy
Organisationen mste kunna redovisa och dokumentera p vilket stt man fljer upp sina tagande enligt informationsskerhetspolicyn. Det ska drfr med hjlp av fastlagda rutiner dokumenteras och skerstllas vilka resultat som uppntts fr att leva upp till innehllet i och innebrden av informationsskerhetspolicyn. Svl leverantrer och entreprenrer som kunder och samarbetspartners ska informeras om organisationens informationsskerhetspolicy och syn p skerhet samt de nskeml och krav som r frknippade med detta. Det innebr exempelvis att organisationens entreprenrer mste leva upp och ta hnsyn till organisationens informationsskerhetspolicy.
5.1.1
Policydokument fr informationsskerhet
Informationsskerhetspolicyn mste vxa fram stegvis och vara frankrad i verksamheten. Den ska vara godknd av ledningen. Efter beslut ska informationsskerhetspolicyn frankras i verksamhetens alla delar. Informationsskerhetspolicyn kan utgra en del av ett strre policydokument. Policyn br minst omfatta: Definition av begreppet informationsslerhet Ledningens viljeinriktning Ml och metoder fr styrning Incidentrapportering Normer och krav p efterlevnad samt konsekvenser vid vertrdelse Kontinuitetsplanering En informationsskerhetspolicy kan tas fram enligt fljande steg: 1. G igenom frgelistan (se punkt 3.2 Underlag fr att skriva en informationsskerhetspolicy) och skaffa svar p frgorna. Vlj struktur och mall (se punkt 3.3 Exempel p informationsskerhetspolicy) fr hur informationsskerhetspolicyn ska utformas. 2. Ta stllning till de svar du ftt p frgorna. 3. Stm av relevansen i informationsskerhetspolicyn genom att intervjua nyckelpersoner i verksamheten. 4. Frankra informationsskerhetspolicyn i verksamheten. 5. Faststll informationsskerhetspolicyn i ledningen. 6. Infr och frankra den i organisationen. 7. Vid behov, minst rligen, revidera informationsskerhetspolicyn. Parallellt med arbetet att ta fram informationsskerhetspolicyn br en plan hur den ska frankras i verksamheten tas fram. I strre organisationer kan det vara bra med en mix av tgrder som exempelvis en kortfattad folder, presentationer ute i verksamheten, via intranet eller informationsskerhetspolicyn som en bilaga i lnebeskedet. En informationsskerhetspolicy antagen av ledningen visar ledningens viljeinriktning och utgr en vgledning fr den fortsatta utvecklingen av informationsskerhetsarbetet och hur det ska bedrivas. En del i detta arbete r att ta fram det underliggande regelverket baserat p organisationens processer. Policyn: vergripande avsikt och viljeinriktning formellt uttalad av ledningen Riktlinjer: de ska ange hur de vergripande mlen i policyn ska uppns. Riktlinjen beskriver "vad" som ska gras. Anvisningar: ska p en funktionell niv ange vilka skyddstgrder som ska infras. Anvisningar beskriver "p vilket stt" skyddet ska infras. Instruktioner: ges fr specifika system eller tgrder. Instruktioner beskriver "hur och av vem" tgrderna ska infras/fljas.
Policy Riktlinjer Anvisningar Instruktioner
Figuren ovan visar p olika niver av dokumentation och vad varje niv br omfatta. Checklista att anvnda vid utformning av policy, riktlinjer, anvisningar och instruktioner: Skerhetsansvar och skerhetsorganisation. Informationsklassning. Skerhetsplan. Hantering av information. Incidenthantering. Datariktighetsskydd. Risk- och srbarhetsanalys. Tillgnglighetsskydd. Lagar och bestmmelser. Sprbarhet.
Kapitel 5 Sida 2
Skerhetspolicy
Logiskt tkomstskydd. Fysisk skerhet. Personal. Nyckelpersoner. Externa resurser/anvndare. Information och utbildning. Persondatorer och arbetsstationer.
Ntverk, tele- och datakommunikation. E-post och Internet. Systemutveckling/milj. IT-drift. Systemfrvaltning. ndringshantering. Kontinuitetsplanering
Omfattningen kan begrnsas med hnsyn till organisationens storlek.
5.1.2
Granskning av informationsskerhetspolicyn
Informationsskerhetspolicyn br granskas med planerade intervall eller d strre frndringar med pverkan p verksamheten intrffar. Ett minimum r att policyn granskas i samband med ledningens genomgng. Det br finnas rutiner fr detta. Vid granskning br nedanstende beaktas: Resultat frn tidigare ledningens genomgng Resultat frn internrevisioner och oberoende granskningar Rapporterade skerhetsincidenter tgrder fr att frbttra informationsskerheten och de processer som berrs
Kapitel 5 Sida 3
Skerhetspolicy
Underlag fr att skriva en informationsskerhetspolicy

Det r viktigt att skaffa sig underlag innan man brjar skriva informationsskerhetspolicyn. I texten nedan finns ett antal frgor som r viktiga att stlla sig innan man brjar skriva. 22. Hur frdelas kostnaderna fr 1. Vilket ml har organisationen fr sin verksamhet? informationsskerhetstgrder? 2. Vad r prioriterat i verksamheten? 23. Hur mycket har investerats i fysiska 3. Vad sger IT-strategin? skyddstgrder? 4. Finns det ngot faststllt dokument som beskriver 24. Hur mycket kostar den personella bevakningen per dokumentniver i verksamheten (policy, riktlinjer, r? anvisningar, instruktioner)? 25. r ledningen involverad i skerhetsarbetet? 5. Finns det ngon allmn skerhetspolicy fr organisationen? 26. Vem hanterar skerhetsfrgor i organisationen? 6. Vilken information ska omfattas av 27. Vem har ansvaret fr skerhetsfrgor i informationsskerhetspolicyn? organisationen? 7. Vilka problem ska lsas med 28. Finns det en skerhetschef eller motsvarande? informationsskerhetspolicyn? 29. Beslutsniver fr skerhetsfrgor? 8. Vad ger analyserna fr underlag till 30. Knner cheferna till verksamhetens informationsskerhetspolicyn (risk-, skerhetsregler? affrsberoende- och skerhetsanalys)? 31. Finns det en samordningsgrupp fr skerhet? 9. Kan avsteg frn informationsskerhetspolicyn 32. Vilka instruktioner om informationsskydd finns i tilltas? Hur ska sdana avsteg regleras/hanteras? dag? 10. Vilka pfljder kan vara aktuella om 33. Finns det anvisningar om klassificering av informationsskerhetspolicyn inte fljs? information? 11. Krav p riktlinjer fr informationsskerheten? 34. Hur sker kunskapsspridningen rrande internet? skerhetsfrgor? e-post? 35. Finns det ngon intern utbildning i skerhet? personlig integritet? 36. Finns det behov av utbildning i skerhet? anvndningsstt? 37. r informationsskerhet kopplad till det vriga konfidentiell/sekretessbelagd information? arbetet/skerhetsarbetet? programvarulicenser? 38. Vem ska ha tillgng till vilken information? utlggning (outsourcing)? 39. tkomstrttigheter? 12. Finns det en revideringsperiod fr 40. Loggning? informationsskerhetspolicyn? 41. Extern kommunikation? 13. Vilka hot finns mot organisationen (i dag och i 42. Externa beroenden? framtiden)? 43. Frekommer distansarbete? 14. Mot vilken typ av information riktas hoten? 44. Fr anvndare ta hem arbetsutrustning? 15. Har sannolikheten fr och konsekvensen av dessa 45. Incidenthantering? hot analyserats? 46. Kritiska hndelser de senaste 3 ren? 16. Vilka resurser ska skyddas? 47. Hur ser skadestatistiken ut? 17. Sekretess/riktighet/tillgnglighet? 48. Hur bedriver organisationen det 18. Fred-, kris- och krigsaspekten, pverkar detta hur skadefrebyggande arbetet? informationsskerhetspolicyn utformas? 49. Finns rutiner fr att hantera skador/incidenter? 19. Vilken r den nskade nivn fr 50. Erfarenheter av skador/incidenter? informationsskerhet? 51. Frndringar som gjorts i system/rutiner efter en 20. Skyddskrav p utrustning och information utanfr skada/incident? arbetsplatsen? 52. Medverkandes ansvarsomrden? 21. Tredje parts tillgng till information? 53. Hur stor r personalomsttningen?
Kapitel 3 Sida 4
Skerhetspolicy
Exempel p informationsskerhetspolicy Informationsskerhetspolicy fr Medytekk

Daterad 2005-xx-xx. Faststlld av fretagsledningen 2005-xx-xx. All personal ska tilldelas ett personligt exemplar av informationsskerhetspolicyn. Informationsskerhetspolicyn kommer att presenteras vid interna mten under hsten. Motiv Vi som arbetar p Medytekk anvnder IT fr att stdja, utveckla och effektivisera verksamheten. Vrt fretag r beroende av informationsbehandlingen. Kraven p snabb och relevant information inom olika funktioner av Medytekks verksamhet kar. Att skerstlla hg tillgnglighet och samtidigt innehlla ndvndiga krav p sekretess r vsentligt ur affrssynpunkt. Definition Informationsskerhet inbegriper all skerhet kring Medytekks totala informationsbehandling. Svl organisatoriska tgrder som fysiska och logiska skyddstgrder inbegrips. Exempel p skerhetsrelaterade tgrder r en faststlld informationsskerhetspolicy, ansvarsfrdelning, utbildning, riskanalys, katastrofplan, behrighetsregler, informationsklassning, skrad driftmilj, tkomstskydd i datorer, regler fr hantering av datamedia, behrighetsadministration, skerhetskopiering, regler fr extern kommunikation och modemuppkopplingar etc och kontroll av uppgiven identitet vid till exempel ploggning med hjlp av aktiva kort (frstrkt autentisering). Fr att tillgodose kraven som stlls p informationssystemen, dr s gott som all Medytekks information hanteras p ett eller annat stt, r det ndvndigt att hanteringen av information sker p ett s tillfrlitligt stt som mjligt. Informationsskerheten ska motverka risker fr svl obehrig lsning och frndring av data som fr frlust av data. Informationsskerheten syftar ven p informationens kvalitet, riktighet och tillgnglighet. Nyckelord fr informationsskerheten r att skra informationens sekretess, tillgnglighet, riktighet, sprbarhet. Informationsskerhetspolicyn utgr ett komplement till Medytekks mlbeskrivning och IT-strategi, som anger inriktningen fr den totala informationsbehandlingen. Informationsskerhetspolicyn r det grundlggande underlaget fr informationsskerhet och berr samtliga anstllda, samarbetspartners och konsulter. Informationsskerhetspolicyn ger inriktningen och de vergripande mlen fr hur informationsskerhetsarbetet ska bedrivas inom fretaget - fr verksamheten, personalen, kunderna och samarbetspartners. Tillhrande dokument Riktlinjer fr informationsskerhet r ett deldokument till informationsskerhetspolicyn som beskriver riktlinjerna fr informationsskerhetsarbetet. Detta deldokument innehller motiv, ml, tidplan, definition, omfattning och ansvarsfrdelning. Som ett komplement till den vergripande informationsskerhetspolicyn och riktlinjerna kommer dokument att finnas i form av anvisningar inom olika omrden fr informationsskerhetsarbetet. Dessa samlas i en informationsskerhetshandbok som sammantaget visar hur informationsskerhetsarbetet ska bedrivas. Fr specifika omrden kan det ven finnas instruktioner p en mer detaljerad niv som beskriver vad som gller. Dessa dokument beskriver tillsammans alla fysiska och logiska tgrder som syftar till att frebygga eller minimera onskade konsekvenser av olika hndelser p informationssystemsomrdet. Ml fr informationsskerheten Mlsttningen med denna informationsskerhetspolicy r att skerstlla sekretess, tillgnglighet och sprbarhet fr verksamhetens information och data, samt att reducera risken fr skador p verksamheten oavsett orsak och angripare. Avsikten med denna informationsskerhetspolicy r att skydda organisationens informationstillgngar mot alla typer av hot - interna eller externa, avsiktliga eller oavsiktliga. Det ska finnas skyddsmekanismer som utifrn nedanstende punkter skerstller informationens sekretess, tillgnglighet,
Kapitel 3 Sida 5
Skerhetspolicy
riktighet, sprbarhet. Informationsskerhetsarbetet ska bedrivas enligt standarden SS-ISO/IEC 27001. Alla anstllda inom organisationen som i sina arbetsuppgifter berrs av IT ska vara medvetna om informationsskerhetsfrgornas betydelse samt ha kunskaper om vad som gller fr att bevara och utveckla en sker och stabil IT-milj. Informationsskerheten ska vara en integrerad del i Medytekks ordinarie verksamhet och stdja verksamheterna i att uppn de uppsatta mlen fr kvalitet och effektivitet. Till grund fr informationsskerhetstgrder ska freligga dokumenterade bedmningar eller genomfrda riskanalyser. Skydden fr knda hot ska vara uppbyggda till rtt niv med hnsyn till skyddskostnad och konsekvens fr Medytekks verksamhet vid eventuellt tillfogad skada. Alla skerhetsincidenter, konstaterade eller misstnkta, ska rapporteras till och utredas av informationsskerhetschefen. Uppfljning av riskanalyser, skyddstgrder och utbildningsinsatser ska ske kontinuerligt. En kontinuerlig drift ska garanteras genom att skerstlla driftmiljn fr samtliga datordriftstllen. Medytekk ska ha egen IT-personal, det vill sga anstllda med rtt kompetens och som fortlpande utbildas i takt med att datorsystemen utkas och frndras. Knslig data ska skyddas mot otillbrlig tkomst inom och utom fretaget med hjlp av behrighetskontroll och i vissa fall kryptering. Skerhetsarbetet ska skydda personalen i dess tjnsteutvning. Kommunikationslsningar ska vara gjorda s att resursdatorer och ntverk skyddas mot driftsstrningar och intrng. Driftstrningar och intrng ska kunna fljas upp med hjlp av dokumenterad historik (loggar). Man ska leva upp till gllande lagar och kommersiell sekretess. Exempelvis ska personuppgiftslagen (PUL) fljas s att den personliga integriteten beaktas i anvndningen av personregister. Bokfringslagen ska fljas vad gller ansvarsfrdelning och behandlingshistorik fr att uppn en tillfrlitlighet och en god intern kontroll av redovisningen.
Omfattning Informationsskerhetspolicyn rr all informationsbearbetning oavsett driftmilj, allts oberoende av om datorbearbetningen sker i resursdator (stor-, minidator, eller server) eller persondator. Informationsskerhetspolicyn gller ven om datorbearbetningen sker externt och via datakommunikation eller motsvarande. Med datorbearbetning menas hela informationssystemet: system-/programutveckling, klldataframstllning, registrering, dataverfring, bearbetning, datalagring, utdatahantering, arkivering och makulering. Genomfrande Fr att n de uppsatta mlen ska resurser avdelas fr att systematisk genomfra riskbedmningar och konsekvensanalyser, riktlinjer och handlingsplan, informationsskerhetshjande tgrder, utbildning och information. rligen ska en plan fr skerhetsarbetet inom varje avdelning upprttas. Planen ska innehlla en beskrivning av skerhetslget samt de planerade tgrderna som ska vidtas fr att hja skerhetsnivn. Planerna sammanstlls till en handlingsplan och en budget fr informationsskerheten fr hela Medytekk. Ledningen fattar beslut om planen, dess genomfrande och budget. vergripande ansvar Fretagsledningen r ytterst ansvarig fr ml och ramar fr informationsskerhetsarbetet och br det yttersta ansvaret fr skador som kan intrffa. Ledningen fljer upp informationsskerhetslget genom att ta del av skerhetsplanen. Ansvarsfrdelning Informationsskerhetschefen sammanstller avdelningarnas skerhetsplaner och upprttar en skerhetsplan fr hela Medytekk samt svarar fr initiering och uppfljning av informationsskerhetsarbetet enligt planen. Informationsskerhetssamordnaren r ansvarig fr att informationsskerhetstgrder genomfrs enligt ledningens och informationsskerhetschefens beslut. Samordnaren ska leda informationsskerhetsarbetet inom respektive tilldelat ansvarsomrde och r ven registeransvarig fr avdelningens personregister.
Kapitel 3 Sida 6
Skerhetspolicy
Den system-/driftansvarige har det operativa ansvaret fr att beslutade tgrder genomfrs. Ansvaret kan glla ett eller flera IT-system. Den ansvarige r skyldig att omgende meddela skerhetsproblem och misstanke om eller redan intrffade incidenter till informationsskerhetssamordnaren eller informationsskerhetschefen. Anvndaren ska verka fr en god informationsskerhet inom sitt omrde och flja de regler och riktlinjer som gller inom Medytekk. Nivn p informationsskyddet inom fretaget beror p hur varje enskild person hanterar verktygen fr informationsbehandling ssom datorer, disketter, datakommunikation (e-post, fax etc). Dotterbolag/partners I enlighet med fretagsgarnas enhlliga beslut vid faststllandet av denna informationsskerhetspolicy r 2005, gller samma informationsskerhetspolicy fr dotterbolag och partners.
Informationsskerhetspolicyns giltighet Planering av framtida informationsstrategier ska ske i samarbete med respektive fretagsledning. Informationsskerhetschefen ska arbeta fr att informationsskerheten i samtliga bolag uppnr jmlika niver till det fjrde kvartalet 2006. Revidering av informationsskerhetspolicyn samt riktlinjerna kommer att gras drefter fr att i ny upplaga brja glla fr.o.m. 2007
Checklista Informationsskerhetspolicy
Frga Ger informationsskerhetspolicyn ledningens viljeinriktning och std fr informationsskerhetsarbetet? Har ledningen faststllt informationsskerhetspolicyn? r det beskrivet hur informationsskerhetspolicyn ska underhllas och p vilket stt? r informationsskerhetspolicyn frankrad i verksamheten och finns det ett system fr detta? Finns det en definition av informationsskerhetsbegreppet? Tar informationsskerhetspolicyn hnsyn till hoten frn anstllda och utomstende? Visar informationsskerhetspolicyn ml och omfattning samt vikten av informationsskerhet? r ansvaret definierat? Finns det reglerat hur rapportering av incidenter ska g till? Hnvisar informationsskerhetspolicyn till andra styrande dokument inom organisationen? r det klart och tydligt beskrivet vem som r gare till informationsskerhetspolicyn? . Ja Delvis Nej
Kapitel 3 Sida 7
Organisation av informationsskerheten
Kapitel 6 Organisation av informationsskerheten

Att ha kontroll ver organisationens informationstillgngar r ndvndigt fr att skerstlla kontinuitet av verksamheten. Fr att p ett skert stt hantera informationstillgngarna behver en infrastruktur upprttas fr informationsskerhetsarbetet. Skerhetsorganisationens storlek och sammansttning r beroende av vilken verksamhet som bedrivs (produktion/tillverkning, tjnstefretag etc.), vilken hotbild som finns och organisationens storlek.
6.1
Intern organisation
Ml: Att hantera informationsskerheten inom organisationen. Ett ledningssystem br upprttas fr att initiera och styra infrandet av informationsskerhet inom organisationen. Ledningen br godknna informationsskerhetspolicyn, tilldela roller i skerhetsarbetet, samt samordna och granska infrandet av skerhet i hela organisationen. Om det r ndvndigt br en enhet fr specialistrdgivning i skerhetsfrgor inrttas och gras tillgnglig fr hela organisationen. Kontakter med externa skerhetsspecialister eller grupper, inklusive relevanta myndigheter br utvecklas fr att kunna flja med i skerhetstrender i olika branscher. Syftet r att kunna flja utvecklingen av standarder och riskanalysmetoder samt ven fr att etablera lmpliga kontakter nr det gller hantering av skerhetsincidenter. Ett tvrfunktionellt stt att hantera informationsskerhet br uppmuntras
6.1.1
Ledningens engagemang fr informationsskerhet
Fr att arbetet med informationsskerhet ska kunna bedrivas p ett strukturerat stt br man, speciellt i strre organisationer, ta stllning till att inrtta en ledningsgrupp fr detta. I ledningsgruppen br nyckelpersoner i organisationens ledning ing. Gruppen kan med frdel utgra en del av den befintliga ledningsgruppen. Att roller och ansvar identifieras och faststlls r av stor betydelse fr informationsskerheten. I organisationer r det i dag vanligt att nyckelpersoner frn ledningen inte finns representerade i liknande forum. Gruppen bestr d endast av skerhets- och/eller informationsskerhetschef samt olika linjechefer. Fr att kunna driva skerhetsfrgor p ett effektivt stt r det ndvndigt att ven inkludera vd och andra nyckelpersoner p ledningsniv. Skerhetsarbetet ska emellertid ske i linjeorganisationen och r allas ansvar. Fr att f kontinuitet i skerhetsarbetet br gruppen sammantrda med relativt tta tidsintervall. Alla aktiviteter och beslut br dokumenteras i protokoll. Vid ledningens genomgng ska frgor som granskning och godknnande, vervakning, uppfljning, stdjande och analyserande arbete, kravstllande etc. tas upp. ven periodiska granskningar av informationsskerhetspolicyn samt omvrldsanalys br behandlas. Ansvar fr genomfrande av faststllda aktiviteter br finnas hos en person inom gruppen, grna fretagsledningens representant. I mindre organisationer kan frgor som rr informationsskerhet behandlas i samband med exempelvis ordinarie ledningsgruppsmte.
6.1.2
Samordning av informationsskerhetsarbetet
I framfr allt strre organisationer r det oftast ndvndigt att inrtta ett forum med representanter p ledningsgruppsniv fr samordning av de aktiviteter som ska genomfras. Samordningen ska syfta till att utjmna skillnader mellan funktioner, avdelningar och geografiska platser inom organisationen. Ett sdant forum kan till exempel se nrmare p hur gemensamma metoder och processer kan anvndas fr att f bttre mjlighet till utvrdering och jmfrelse. Det kan ocks rra sig om att samordna stdet fr organisationen i gemensamma frgor och att granska och tydliggra behovet av tgrder vid exempelvis skerhetsincidenter och bristande efterlevnad av regelverk. Alla aktiviteter br ven hr dokumenteras tillsammans med rapporter och beslut.
6.1.3
Frdelning av ansvar fr informationsskerhet
Ansvaret fr att skydda organisationens tillgngar br vara tydligt definierat. Ledningen har det yttersta ansvaret fr informationsskerheten och mste vara medveten om vad som krvs fr att arbetet med informationsskerhet ska bli s effektivt som mjligt. Genom den informationsskerhetspolicy och det
Kapitel 4 Sida 1
underliggande regelverket som ledningen faststllt br frdelning av ansvar och befogenheter i organisationen framg. Om mjligt br en informationsskerhetschef utses med ett verordnat ansvar fr samordning av informationsskerhetsfrgor.
6.1.4
Godknnandeprocess fr informationsbehandlingsresurser
I mnga organisationer saknas riktlinjer fr hur anskaffning av ny utrustning fr informationsbehandling ska ske. Nr det saknas en dokumenterad process fr detta ges utrymme fr att felaktig utrustning anskaffas. Detta kan ventyra organisationens information bde vad gller sekretess, riktighet och tillgnglighet, vilket i sin tur ventyrar organisationens affrsverksamhet. En grundprincip br vara att personlig utrustning inte anvnds p arbetsplatsen utan att en riskanalys har genomfrts och att rustningen godknts. Utrustning br vljas s att den svarar mot svl de uppstllda skerhets- och kontrollkraven som affrsbehoven i verksamheten, men ocks s att den r kompatibel med annan utrustning. Godknnande av syfte, anvndning och skerhet kring utrustning r ngra punkter som klart mste framg i en dokumenterad beslutsprocess. Det br ocks st klart vem som godknner utrustningen.
6.1.5
Sekretessavtal
Vid anstllning svl som vid kontraktsskrivning med konsult br ett sekretessavtal upprttas. Avtalet ska vara s skrivet att det entydigt definierar vad sekretessen avser samt vilka befogenheter och vilket ansvar fr sekretessbehandlad information som gller. Inom den offentliga sektorn r sekretess reglerat i lagstiftning fr de anstllda och personer som anlitas av offentliga uppdragsgivare. Sekretessfrbindelse r i dessa fall inte mjlig att anvnda utan erstts i stllet av en sekretesserinran. Denna skrivs inte under utan, som namnet sger, erinrar om gllande lagstiftning.
6.1.6
Myndighetskontakt
Det r viktigt att utgende frn sin egen verksamhet identifiera vilka myndigheter man kan tnkas behva kontakt med och ven identifiera eventuella kontaktpersoner p dessa myndigheter. Inom den egna organisationen br det finnas faststllda rutiner fr hur kontakter skall tas. Betrffande informationsskerhetsincidenter och hur dessa skall rapporteras kan det vara lmpligt att lyssna med berrda myndigeter och f deras synpunkter p lmplig hantering.
6.1.7
Kontakt med srskilda intressegrupper
Fr att skerstlla snabba tgrder vid exempelvis skerhetsincidenter r det viktigt fr organisationen att etablera ntverk med andra fretag, organisationer och myndigheter. Ntverken ger bland annat mjligheter att hlla sig informerad om nya hot och hur de kan bemtas. Det r ocks mjligt att f rd i skerhetsfrgor, bygga upp kompetens inom organisationen och s vidare. Personliga ntverk r oftast det bsta och snabbaste sttet att f kunskap om hur akuta problem kan lsas. Medlemskap i skerhetsorganisationer och information via Internet r andra instrument. Utbyte av information br begrnsas s att konfidentiell information ej delges obehriga. Det r drfr alltid p sin plats att hlla sig jour med vad som fr tillfllet r konfidentiell information, samt hur lnge skyddet gller. Detta fr att skerstlla att samarbetet sker p korrekta grunder
6.1.8
Oberoende granskning av informationsskerhet
Oberoende granskningar av att styrmedel och tillmpningar som infrts i organisationen verkligen fyller sina syften och svarar mot den faststllda informationsskerhetspolicyn br ske med jmna mellanrum. En oberoende granskning kan ske svl av en extern (tredje part) som intern resurs. Det viktiga r att den som genomfr granskningen inte r en del av den verksamhet som ska granskas eller p annat stt medverkat till uppbyggnaden av det som granskningen omfattar.
Kapitel 4 Sida 2
6.2
Utomstende parter
Ml: Att bibehlla skerheten hos organisationens information och resurser fr informationsbehandling som r tkomlig, bearbetas, kommuniceras till eller styrs av utomstende parter. Skerheten hos organisationens information och informationsbehandlingsresurser br inte minskas genom introduktionen av utomstende parters produkter eller tjnster. All tkomst till organisationens informationsbehandlingsresurser liksom utomstendes bearbetning och kommunikation av information br styras. Dr organisationen har behov av att arbeta med utomstende parter som kan krva tkomst till organisationens information och informationsbehandlingsresurser eller att ta emot eller lmna en produkt eller tjnst frn eller till en utomstende part br en riskbedmning gras fr att avgra skerhetskonsekvenser och behov av styrning. Metoder fr styrning br verenskommas och definieras i verenskommelse med den utomstende parten.
6.2.1
Identifiering av risker med utomstende parter
Vid genomfrandet av riskanalysen br man frst identifiera de informationsbehandlingsresurser som den utomstende parten mste f tkoms till. Avstmning mot organisationens tkomstpolicy br gras fr att skerstlla att behoven ryms inom denna. Riskerna skiljer sig mellan fysisk och logisk tkomst. Med fysisk tkomst menas bland annat tillgng till arkiv, vrdeskp och utrymmen fr servrar. Den logiska tkomsten innefattar exempelvis tillgng till organisationens databaser, ekonomisystem och personalinformation. Om information lagras i databaser och den dr skyddas p ett visst stt r det inte ovanligt att den skrivs ut och blir tillgnglig i pappersformat. Hantering och lagring av information brukar d ofta ske p andra premisser ofta felaktiga n vad som ursprungligen var fallet nr den var lagrad p datamedia. Detta utan att involverade personer frstr att de gr fel. En annan faktor att beakta r sklen fr tkomst frn tredje part. Vilka risker finns till exempel nr det gller fysisk och logisk tkomst d organisationen behver utnyttja inhyrd servicepersonal fr sina ITsystem? Mnga organisationer kper i dag frdiga programvaror, exempelvis ekonomisystem. Programvarorna ska uppdateras och anpassas i olika skeden och det krver i de flesta fall att tredjepartskunskap mste anvndas fr att genomfra arbetet. Finns medvetenhet om riskerna med detta? Finns vetskap om vilken tillgng till organisationens vriga informationsresurser som mjliggrs i samband med arbetet? Eventuella behov av sekretessavtal br alltid vervgas. Utomstendes tkomst till organisationens informationsresurser br tilltas frst nr eventuella avtal skrivits under och de skerhetstgrder infrts som har bedmts vara ndvndig.
6.2.2
Hantering av skerhet vid kundkontakt
I de fall d organisationens kunder nskar eller ha behov av att f tillgng till organisationens information br detta fregs av en genomgripande analys. Vid riskhantering mste ven beaktas de mjligheter till begrnsningar som kan genomfras. Rutiner fr att skydda organisationens tillgngar kan behva upprttas. Vilken information kunden skall ges tillgng till och frutsttningarna fr detta br regleras i ett avtal med kunden.
6.2.3
Hantering av skerhet i avtal med utomstende
Tredjepartstkomst br alltid baseras p ett formellt avtal. Avtalet r en mycket viktig form fr att reglera skerhetsvillkoren mellan parterna. Nr avtalet upprttas br det ven avtalas om de fall dr andra parter ska omfattas av avtalet, som exempelvis tredjeparts samverkan med egna underleverantrer. Avtalet br omfatta alla ndvndiga skerhetsvillkor och reglera ansvarsfrhllanden. Det br ocks omfatta mjligheten att omfrhandla eller frndra avtalet, om och hur skadestnd ska utg, garefrhllande till gemensamt utfrt arbete, mjlighet att genomfra revision och kontroll etc. Av vikt r ocks att se ver likheter och olikheter mellan den egna organisationen och den motsatta parten innan en affrsrelation upprttas. Att ta hnsyn till d r frmst instllningen till, och behovet av skerhet fr hantering av information. Ref. Sekretessavtal Kapitel 6.1.3. Detta stller hga krav p kontraktsgenomgngen och den riskanalys som denna omfattar.
Kapitel 4 Sida 3
Exempel Ledningskonferens
Fr tv mnader sedan publicerades delar av en affrsplan, som ledningen p Medytekk jobbar med, i kvllspressen. Tidpunkten fr publiceringen stmde vl verens med nr ledningsgruppen p Medytekk hade varit p en helgkonferens dr affrsplanen diskuterades och strategier lades upp. Hur borde Medytekk ha skyddat sig?
Operatrsansvar
Medytekk har vid ett antal tillfllen haft problem med sina servrar och vid ett tillflle var informationen p back up-media ofullstndig. Normalt brukar det inte vara problem med terlsning av skerhetskopior, men vid det senaste tillfllet lyckades man inte terskapa informationen och informationen blev ofullstndig. Detta berodde p att back up-krningen avbrutits under natten och den ansvarige teknikern hade inte gjort en ny tidigt nsta dag. Skerhetskopiering gjordes dessutom endast en gng i veckan. Mnga forskare blev ursinniga och menade att en veckas arbete gtt frlorat. Ansvaret fr skerhetskopieringen nr den ordinarie teknikern var borta var oklart. Vad borde Medytekk ha tnkt p?
Tredjepartsavtal
Fr en tid sedan uppmrksammades ledningen p att resultat frn delprover i projekt A6 blivit knda av medarbetare i projekt B3. Det visade sig att gstforskarna, som delade lgenhet, diskuterat sina rn, stick i stv med den sekretesspolicy som ledningen hade och trodde fanns inskriven i avtalen med forskarna. Vad borde Medytekk ha tnkt p?
Frskringsskydd
Fr tre r sedan intrffade en brand p FoU-avdelningen. Skadorna var relativt begrnsade men saneringsarbetet tog tre veckor. Det visade sig att frskringsskyddet fr avbrottet i verksamheten inte tckte skadan fullt ut. Vad borde Medytekk ha tnkt p?
Organisation och ansvar IT-avdelningen

It-chef Lennart Jakobsson har ppekat fr vd att it-avdelningen r verbelastad med arbete och att det r viktigt att en strategi tas fram. Medytekk expanderar kraftigt varje r och fretaget har ingen itstrategi. Lennart har ptalat problemet fr vd, Stefan Eriksson, men har ftt en ganska sval respons. Lennart har tillsammans med sin
Kapitel 4 Sida 4
ersttare arbetat som administratrer och svarar fr driften av nt och servrar. En annan person svarar fr std till de anstllda och fungerar ven som ntverkstekniker. Den fjrde personen p avdelningen arbetar i huvudsak med applikationer och applikationsutveckling. Vad borde Medytekk ha tnkt p?
Vad kan vi lra oss av dessa exempel? Exempel 1 Ledningskonferens

Medytekk borde ha tnkt p att frskra sig om att konfidentiell information inte kommer i obehriga hnder genom att ha regler fr klassning av information, ha regler fr hantering av klassad information, skerstlla personalens lojalitet. Dessutom borde Medytekk tnka p sekretessfrgan vid samtal vid val av konferensanlggning samt vad som fr diskuteras utanfr konferenssalen. Fr att skerstlla att information inte lcks ut frn ledningsniv i framtiden borde Medytekk tnka p att infra ett system fr klassning av information, infra en sekretessklausul i anstllningsvillkoren.
Exempel 2 Operatrsansvar
Medytekk borde ha tnkt p att utbildad personal som ansvarar fr skerhetskopiering fanns tillgnglig fr att minska srbarhet vid sjukdom, semester eller annan frnvaro. Fr att skerstlla detta i framtiden borde Medytekk tnka p att identifiera viktiga funktioner och skerstlla att det finns utbildade ersttare vid frnvaro, skerstlla funktion hos utrustning fr skerhetskopiering genom kontinuerlig validering.
Exempel 3 Tredjepartsavtal
Medytekk borde tnka p att se ver tredjepartsavtalen fr att skerstlla att sekretessen efterlevs, skerstlla att tredje part erhller motsvarande information och utbildning i informationsskerhet som den egna personalen har, klargra skerhetsniverna fr varje avgrnsat projekt, se till att riskanalys fr de enskilda projekten utfrs och dokumenteras, tydliggra ansvar och befogenheter fr projektledare i utvecklingsprojekt.
Exempel 4 Frskringsskydd
Fr att skerstlla att frskringsskyddet r det rtta borde Medytekk tnka p att genomfra riskanalys som ger svar p vilka konsekvenser produktionsbortfall fr, uppdatera sin frskringsplan, utse en ansvarig fr frskringsfrgor inom fretaget, upprtta kontinuerlig kontakt med frskringsmklare och frskringsbolag.
Exempel 5 Organisation och ansvar IT-avdelning

Fr att skerstlla att IT-avdelningen fungerar i framtiden borde Medytekk tnka p att definiera ansvar och befogenheter fr tjnsten som IT-chef.
Kapitel 4 Sida 5
Checklista Organisation av informationsskerheten

Frga Ja Delvis Nej
Finns det en ledningsgrupp fr informationsskerhet? r ansvaret fr informationsskerhetsarbetet tydligt definierat? Finns det en beslutsprocess fr hur anskaffning av informationsbehandlingsresurser ska ske? Nyttjar organisationen egna experter vid skerhetsincidenter? Nyttjar organisationen externa experter vid skerhetsincidenter? Finns det frutsttningar inom organisationen att skapa ntverk med andra fretag, organisationer eller myndigheter? Finns faststllda processer fr hur oberoende granskning av informationsskerheten ska ske? Finns det tredjepartsavtal som innehller skerhetsaspekter vid utlggning (outsourcing)? Genomfrs riskanalyser innan tredjepartstkomst av organisationens informationsbehandlingsresurser tillts?
Kapitel 4 Sida 6
Hantering av tillgngar
Kapitel 7 Hantering av tillgngar

Information och data som skapas, inhmtas, distribueras, bearbetas och lagras i en organisation r en av dess viktigaste tillgngar. Graden av tillgnglighet, sekretess och riktighet hos informationen r i mnga fall en utslagsgivande faktor fr en organisations effektivitet, trovrdighet och lngsiktiga konkurrensfrmga. Men det frutstter att man har knnedom om vilka informationstillgngar som finns, deras karaktr och vrdet fr organisationen. Att skerstlla att man har uppdaterad och korrekt kunskap om organisationens informationstillgngar r ndvndigt fr att bedriva ett effektivt informationsskerhetsarbete. En frutsttning fr att p ett effektivt stt frdela ansvaret fr informationstillgngarna r att klassificera informationen med avseende p behov, prioritet och skyddsniv. En korrekt klassificering och styrning av informationstillgngarna utgr ett viktigt underlag fr informationsskerhetsarbete och riskhantering, svl i det dagliga arbetet som nr det gller strategiska beslut som rr informationstillgngarna.
7.1 Ansvar fr tillgngar

Ml: Att uppn och upprtthlla lmpligt skydd av organisationens tillgngar. Alla tillgngar br redovisas och ha en utsedd gare. gare br utpekas fr alla tillgngar och ansvaret fr underhll av lmpliga skyddstgrder br utpekas. Infrandet av srskilda skyddstgrder kan delegeras av garen om det anses lmpligt, men garen frblir ansvarig fr att tillgngarna ges rtt skydd. Att identifiera, vrdera och dokumentera organisationens informationstillgngar r en mycket viktig del i ett aktivt skerhetsarbete. Utver identifiering och dokumentation br varje tillgng ocks tilldelas en gare. Respektive gare ansvarar sedan fr att en korrekt skyddsniv infrs och vidmakthlls. Skyddsnivn br motsvara de krav som faststllts i organisationens system fr klassificering av informationstillgngar.
7.1.1
Frteckning ver tillgngar
Inom organisationen br det finnas en upprttad inventariefrteckning ver organisationens informationstillgngar. Ngra exempel r programvaror, databaser som exempelvis kundregister och leverantrsregister fysiska tillgngar, nyckelpersoner, immateriella tillgngar som patent och varumrken. Varje identifierad tillgng br ha en definierad och registrerad gare. ven garens ansvar fr den enskilda tillgngen br vara klarlagd och dokumenterad. Fr att ett effektivt terstllande efter exempelvis en stld ska kunna genomfras br det ven dokumenteras var i organisationen varje tillgng normalt finns.
7.1.2
garskap fr tillgngar
Alla informationstillgngar br ha en utsedd gare. Det r vsentligt att ta hnsyn till hur tillgngarna anvnds i verksamheten s att det finns en naturlig koppling mellan verksamhetsprocesser och garskap av tillgngar. Vid frndringar av verksamheten kan detta medfra att garskapet mste omprvas. garskap innebr att skerstlla att informationstillgngar r rtt klassade och att de har ett skydd som str i relation till den faststllda klassningen. Rutinuppgifter kan delegeras men ansvaret fr att de utfrs kvarstr hos garen.
7.1.3
Godtagbar anvndning av tillgngar
Viktigt r att upprtta svl rutiner som instruktioner fr hur informationstillgngarna fr anvndas. I de fall d tillgngarna ven nyttjas av utomstende som exempelvis leverantrer, kunder, inhyrda konsulter etc. br
Kapitel 5 Sida 1
avtal upprttas dr villkor och krav tydligt framgr. Vid upprttande av instruktioner och avtal mste dessa givetvis avspegla den skyddsniv vilken str i relation till hur tillgngen klassats. Glm inte bort den utrusning och de informationstillgngar vilka anvnds utanfr kontoret som exempelvis brbara datorer och mobiltelefoner. Vid avveckling av utrustning r det ndvndigt att ta hnsyn till den information vilken kan finnas lagrad i utrustningen. Se information under punkten 9.2.6.
7.2
Klassificering av information
Ml: Att skerstlla att informationstillgngar fr en lmplig skyddsniv. Informationen br klassificeras fr att ange behov, prioritet och frvntad grad av skydd vid hantering av informationen. Information r knslig och kritisk i varierande grad. Vissa informationstillgngar kan behva utkat skydd eller srbehandling. En modell fr informationsklassificering br anvndas fr att definiera ett lmpligt antal skyddsniver och anvisa behov av srskild hantering. Genom att upprtta och implementera ett system av informationsklasser inom organisationen skapas ett instrument fr att effektivt kunna bestmma hur stora mngder information som ska skyddas och hanteras. Respektive klass br tydligt avspegla vrdet och betydelsen av tillgngarna. De informationstillgngar som r viktiga fr verksamheten br analyseras fr att f reda p hur stor tillgngens betydelse egentligen r. I analysarbetet br parametrarna tillgnglighet, riktighet och sekretess vara grundbegrepp. Tillgngen tillfrs sedan en informationsklass som motsvarar dess betydelse fr verksamheten.
7.2.1
Riktlinjer fr klassificering
Det br vara den utsedde garen eller den som skapat eller inhmtat informationen som ansvarar fr att den ocks klassificeras. Det gller oavsett vilken typ av information det r frgan om eller hur den lagras. Ett effektivt klassificeringssystem vinner p att vara enkelt, och antalet klasser br faststllas redan frn brjan. Fr att skerstlla att beslut tagits angende klass br ven icke knslig information ges en identitet genom att exempelvis mrkas som oklassificerad. Exempel p klassning r oklassificerad, hemlig och kvalificerat hemlig. Ett annat exempel r oklassificerad, endast internt bruk, hemligt, kvalificerat hemligt och kvalificerat hemligt med restriktioner. Information upphr ibland att vara knslig efter en viss tid eller genom att den exempelvis publiceras offentligt. Organisationens riktlinjer br ta hnsyn till detta, och gra det mjligt fr garen eller den som klassificerat informationen att regelbundet omprva klassificeringen. P s stt undviks p sikt ondiga kostnader fr en eventuell verklassificering Lmpligt r att alltid kombinera klassen med ett bst fre datum ex. Kvalificerat hemligt t.o.m. 2008-06-21. Ett alternativ till datum kan vara en hndelse som exempelvis annonsering. Ex. Kvalificerat hemligt t.o.m. annonsering. Vrt att notera r att den faktiska betydelsen av likartade benmningar av informationsklasser ofta skiljer sig t mellan olika organisationer. Drfr br klassificerade dokument som hrstammar frn kllor utanfr den egna organisationen hanteras med srskild frsiktighet om man r osker p vad som gller i det enskilda fallet.
7.2.2
Mrkning och hantering av information
Fr att vara sker p att informationen hanteras riktigt r det av stor betydelse att det finns fungerande rutiner fr mrkning och hantering. Rutinerna ska sjlvklart vara anpassade till det klassificeringssystem som organisationen antagit. Srskilt viktigt r detta fr information som tillhr knsliga eller kritiska klasser. Nr utdata som kan klassas som just knslig eller kritisk genereras i form av utskrifter, skrmbilder, epost eller filverfringar br klassificeringen framg tydligt. Om det gr att mrka informationen med fysiska etiketter r detta att fredra. Gr inte det br informationen i stllet mrkas elektroniskt. Rutiner och riktlinjer br p detta omrde ven omfatta information som tidigare klassats som knslig av andra organisationer. Fljande punkter betraktas som srskilt knsliga kopiering, lagring,
Kapitel 5 Sida 2
verfring via post, fax, e-post, verfring via tal (ven mobiltelefon, rstbrevlda, telefonsvarare), frstring, arkivering. Inom varje informationsklass br det finnas srskilda hanteringsrutiner fr punkterna ovan. Vid arkivering av information liksom vid avveckling av utrustning vilken innehller inform r det vsentligt att beakta den klassning som informationstillgngen har. Ref. 9.2.6
Exempel 1 Frstrda data p lagringsmedia

Fr sex mnader sedan slutade en av de anstllda p Medytekks FoU Samtidigt terlmnade han sin brbara dator till ITavdelningen. Ngon vecka senare visade det sig att de forskningsdata den anstllde tagit fram saknades p fretagets server. Forskaren kontaktades d och han berttade att han tagit egna kopior p diskett av de dokument och data som han bedmde som viktiga. Att lagra data p den centrala utrustningen kndes alldeles fr oskert srskilt mot bakgrund av risken fr virus. D disketterna senare terfanns hade forskarens kollegor formaterat om dem och de anvndes fr andra ndaml. Vad borde Medytekk tnkt p?
2 Frlust av forskningsrapport
I samband med ett internt sammantrde frsvann en viktig forskningsrapport.Den glmdes kvar efter ett sammantrde. Rapporten berrde centrala delar av bolagets forskningsresultat. D personen som glmt den ngra timmar senare tervnde till sammantrdesrummet var rapporten frsvunnen. Senare visade det sig att bland annat en inhyrd IT-konsult disponerat rummet direkt efter mtet. Vad borde Medytekk tnkt p?
3 Spridning av knslig information
Jan r nyanstlld laboratorieassistent. Som sdan har han tillgng till knslig information kring Medytekks verksamhet. Efter frsta veckan p nya jobbet blir han inbjuden p middag hos en av de nya kollegorna, Kalle. Efter middagen blir han, som en av flera gster, freml fr vrdinnans srskilda intresse. Hon visar sig vara mycket intresserad av Jans arbete. D Jan har
Kapitel 5 Sida 3
stort frtroende fr sin nya kollega ser han ingen anledning att inte kunna ha en ingende diskussion kring jobbet med Kalles sambo. Ngra dagar senare publiceras en anonym insndare i lokalpressen som i detalj beskriver frekomsten och omfattningen av djurfrsk i Medytekks verksamhet. Vad borde Medytekk tnkt p?
4 Mrkning av skerhetskopior
Under en diskussion i samband med ett mte i ledningsgruppen vcker vd frgan hur det ser ut med fretagets skerhetskopior. IT-chefen, som har stort frtroende fr sina medarbetare, berttar att man regelbundet skerhetskopierar vsentliga delar av datorsystemen. Samma eftermiddag beslutar sig IT-chefen fr att fr skerhets skull kontrollera hur det frhller sig. Det visar sig att det finns ett otal kassetter lagrade i det kassaskp som r avsett fr kopiorna. Ngon enhetlig mrkning eller struktur finns emellertid inte. Detta trots att han vid ett mte bara arton mnader tidigare muntligen informerade sin personal om hur kopiorna ska mrkas och lagras. Vad borde Medytekk tnka p?
Vad kan vi lra oss av dessa exempel? Exempel 1 Frstrda data p lagringsmedia
Med ett system fr klassificering och mrkning av information hade man skerligen minskat riskerna fr att kritisk information hanteras som i exemplet. Med ett sdant system p plats br de anstllda vara medvetna om hur olika typer av information rutinmssigt ska hanteras och varfr. Genom mrkning minskar ven risken fr felaktigt hantering av information p grund av vad som brukar kallas den mnskliga faktorn.
Exempel 2 Frlust av forskningsrapport

ven inhyrda konsulter, tillflligt anstllda och vikarier br informeras om rutiner kring hur man hanterar knslig eller kritisk information. Med ett fungerande system fr klassificering och mrkning av information kar mjligheterna att skerstlla att ven dessa personer informeras om interna freskrifter. Ansvarsfrgan ska ocks regelmssigt regleras i avtal.
Exempel 3 Spridning av knslig information

Medytekk borde ha tydliggjort att det r otilltet att delge utomstende knslig information. Om Jan p ett bttre stt knt till hur den information han har kunskap om klassificerats och vilka regler som gllde fr just den klassen hade han antagligen vetat bttre n att i detalj beskriva sitt intressanta arbete.
Exempel 4 Mrkning av skerhetskopior

Med klara regler fr hur mrkning av information ska g till kunde detta ha undvikits. Reglerna br ocks innehlla srskilda freskrifter om hur den rutinmssiga kontrollen av kritisk information ska g till fr att fungera tillsammans med klassificeringssystemet.
Checklista Klassificering och styrning av tillgngar

Frga Ja Delvis Nej
Har informationstillgngarna inventerats? Har en frteckning ver informationstillgngarna upprttats? Har samtliga gare av informationstillgngar faststllts och dokumenterats? Finns det faststllda informationsklasser? r skyddsniver faststllda fr respektive klass? Tillfrs informationstillgngar rutinmssigt den informationsklass som motsvarar dess betydelse fr organisationen?
Kapitel 5 Sida 4
Frga
Ja
Delvis
Nej
Finns det riktlinjer p plats som definierar rutiner fr mrkning och hantering av information?
Kapitel 5 Sida 5
Personalresurser och skerhet
Kapitel 8 Personalresurser och skerhet

Mnniskorna i en organisation brukar oftast kallas fr kunskapskapitalet och betraktas som den viktigaste resursen. Men de r inte enbart en frutsttning fr verksamheten utan ingr ocks i hotbilden mot den. Vsentligt r att hotbilden inte enbart kommer frn alla anstllda utan ocks frn personer med anknytning till organisationen som konsulter, praktikanter, entreprenadarbetare (stdare, catering, vxeltelefonist, IT-tekniker) etc. Lojala medarbetare r en frutsttning fr att skerstlla en kontinuerligt hg niv av informationsskerhet i en organisation. En god arbetsmilj, i vid bemrkelse, bidrar till att hja skerheten. Arbetsmiljverkets freskrifter AFS 2001: 1, Systematiskt arbetsmiljarbete, stller krav p organisationens ledningssystem inom arbetsmiljomrdet. En verksamhet som vilar helt p en eller flera nyckelpersoner r srbar. Det r viktigt att utforma organisation och befattningar s att beroendet av nyckelpersoner reduceras. Mngkunnighet hos de anstllda minskar srbarheten. En organisation som vrnar svl informationsskerhet som en god arbetsmilj har frutsttningen att tcka in hela skerhetsbegreppet fr omrdet personal och skerhet.
8.1
Fre anstllning
Ml: Att skerstlla att anstllda, leverantrer och utomstende anvndare frstr sitt ansvar och r lmpliga fr de roller de avses ha och fr att minska risken fr stld, bedrgeri eller missbruk av resurser. Skerhetsansvar br klargras fre anstllning i lmpliga befattningsbeskrivningar och i villkor och frutsttningar fr anstllningen. Alla platsskande, leverantrer och utomstende anvndare br kontrolleras p lmpligt stt srskilt d det gller knsliga arbetsuppgifter. Anstllda, leverantrer och utomstende anvndare av informationsbehandlingsresurser br skriva under en frbindelse om sina skerhetsroller och sitt ansvar. Organisationens olika befattningar br identifieras och analyseras utifrn ett riskperspektiv. En riskprofil fr varje befattning som hanterar knsligt material br tas fram som innehller information om bland annat hantering av klassificerat material och ekonomiskt ansvar. Vid rekrytering och omplacering av personal br en avstmning ske mot befattningens riskprofil. Ovanstende gller inte enbart tillsvidareanstllda utan ven praktikanter och korttidsanstllda. Vid anvndning av en resursfrstrkning som exempelvis inhyrda konsulter, br en avtalsgenomgng innehlla en motsvarande avstmning mot den riskprofil som finns kopplad till uppdraget.
8.1.1
Roller och ansvar
Befattningsbeskrivningar eller motsvarande br upprttas p ett sdant stt att de omfattar den riskprofil som finns. Formuleringen av det ansvar och de befogenheter som r kopplade till tjnsten br vara entydiga. Viktigt r att befattningsbeskrivningen innehller vilka informationsskerhetstillgngar som befattningen ansvarar fr och att ansvaret fr svl skydd som underhll av dessa klart framgr.
8.1.2
Kontroll av personal
Vid all rekrytering eller anlitande av tillfllig personal br fljande omrden beaktas Identitet br kontrolleras p erforderlig niv. Normalt via allmnt accepterade id-handlingar, som krkort, pass eller SIS-mrkt id-handling. Referenser br alltid kontrolleras. Meritfrteckning br kontrolleras utifrn bde riktighet och rimlighet. Kvalifikationer br vara bekrftade med betyg eller intyg. Kreditupplysning br tas fr befattningar dr riskprofilen innefattar ekonomiskt ansvar och dr ytterligare kontroll kan anses befogad. Utdrag ur polisregister kan vara befogat fr knsliga befattningar. Ett sdant utdrag kan dock vara ofullstndigt p grund av sekretessregler, varfr det inte br tillmtas ett alltfr stort vrde.
Kapitel 8 Sida 1
8.1.3
Anstllningsvillkor och anstllningsfrhllanden
Anstllningsvillkoren br tydligt definiera det ansvar samt de rttigheter och skyldigheter en anstllning medfr utifrn ett informationsskerhetsperspektiv. Frgor rrande upphovsrtt, anvndning och spridande av information, anvndning av organisationens resurser fr egen del etc. r omrden vilka br regleras i anstllningsvillkoren. Rutiner fr upphrande av anstllning alternativt ndrad befattning br finnas definierade i det regelverk vilket reglerar anstllningsfrhllanden.
8.2
Under anstllningen
Ml: Att skerstlla att anstllda, leverantrer och utomstende anvndare r medvetna om hot och problem som rr informationsskerhet, sitt ansvar och sina skyldigheter samt r utrustade fr att stdja organisationens skerhetspolicy nr de utfr sitt normala arbete och att minska risken fr mnskliga fel. Ledningsansvar br definieras fr att skerstlla att skerhet tillmpas under en persons hela anstllningstid inom organisationen. Tillrcklig niv av medvetenhet, utbildning och vning i skerhetsrutiner och korrekt anvndning av informationsbehandlingsresurser br ges till alla anstllda, leverantrer och utomstende anvndare i syfte att minimera mjliga skerhetsrisker. Ett formellt disciplinrt frfarande fr att hantera skerhetsvertrdelser br inrttas. En medarbetare kan oavsiktligt samka organisationen hga kostnader och annan stor skada beroende p bristande introduktion och utbildning. Det r drfr viktigt att introduktion och utbildning av nya medarbetare hller hg kvalitet. Detsamma gller naturligtvis vid omplacering av redan anstllda medarbetare. Lika viktigt r det att detta grs ven nr tillfllig personal och externa konsulter anlitas. Generell kompetensutveckling av personalen r viktig eftersom den ocks pverkar medarbetarnas trivsel med arbetsuppgifterna och drmed kar lojaliteten med organisationen.
8.2.1
Ledningens ansvar
Att skerstlla att medarbetarna i organisationen r lojala mot ledningen r en grundfrutsttning fr att de i sitt arbete skall leva upp till stllda informationsskerhetspolicys. Ledningens agerande och framfrallt frmgan att frankra och f acceptans fr uppstllda krav r drfr mycket viktigt. Givetvis mste uppstllda krav kunna motiveras utifrn genomfrda analyser. D organisationen anlitar konsulter eller underleverantrer vilka kommer i kontakt med informationstillgngarna inom organisationen mste p motsvarande stt som fr egen personal skerstllas att krav r definierade, frstdda och accepterade Den psykosociala arbetsmiljn har en mycket stor betydelse fr lojaliteten. Medarbetare som mr dligt frlorar lojaliteten och drmed tilltron till existerande rutiner. I extrema fall kan de bli ett direkt hot mot organisationen genom en drivkraft att avsiktligen vilja skada denna.
8.2.2
Informationsskerhetsmedvetande, utbildning och vning
Alla i organisationen, ven tillflligt anstllda och konsulter, br f information om den gllande informationsskerhetspolicyn. Information om det regelverk som ser till att policyn efterlevs br ocks ges. Grundlggande information br ges redan vid introduktion p arbetsplatsen och drefter fljas upp med kontinuerliga utbildningar. Utbildningens omfattning r beroende av den riskprofil och det ansvar och de befogenheter som gller fr befattningen. Utbildningen br fljas upp minst en gng om ret. I samband med uppfljningen br ocks en omvrldsanalys eller annan aktuell information inom omrdet presenteras. Resultatet av genomfrda riskanalyser baserade p incidentrapporteringen br ocks presenteras. Fr att p sikt hja skerheten i organisationen r det viktigt att de incidenter som inrapporteras hanteras p ett effektivt stt. Det innebr att olika tgrder, som att genomfra nya riskanalyser och andra omedelbara kortsiktiga tgrder, vidtas s snart som mjligt.
Kapitel 8 Sida 2
8.2.3
Disciplinr process
De olika disciplinra tgrder som kan vara aktuella r varning, omplacering till tjnst med annan riskprofil, uppsgning och polisanmlan. tgrderna mste ha ett tydligt std av ett regelverk som r vl frankrat hos de anstllda och deras fackliga organisationer. I samband med information och utbildning i informationsskerhet br ocks information om detta regelverk ges. Det fr aldrig rda ngon tvekan om att nr en disciplinr tgrd anvnds r det till fljd av en avsiktligt illojal handling mot organisationen.
8.3
Upphrande av anstllning eller frflyttning
Ml: Att skerstlla att anstllda, leverantrer och utomstende anvndare lmnar organisationen eller ndrar anstllningsfrhllande p ett ordnat stt. Ansvar br definieras fr hanteringen av nr en anstllds, leverantrs eller utomstende anvndares lmnar organisationen och fr att all utrustning terlmnas och att alla tkomstrttigheter avslutas. Frndring av ansvar och anstllning inom en organisation br styras p samma stt som upphrande av respektive ansvar och anstllning, i enlighet med detta avsnitt, och nya anstllningar br behandlas som beskrivs i avsnitt 8.1
8.3.1
Ansvar vid upphrande
Rutiner liksom att det r tydligt definierat vem som ansvarar fr vad d en anstllning upphr alternativt en anstlld vergr till andra arbetsuppgifter br finnas. Det vanliga i strre organisationer r att personalavdelningen r vergripande ansvarig. Om riskprofiler upprttats fr befattningar inom organisationen br en avstmning mot denna gras innan en medarbetare erbjuds en annan tjnst.
8.3.2
terlmnande av tillgngar
D en anstllning upphr br skerstllas att all mobil utrusning vilken anvnds som informationsbrare terlmnats exempelvis brbar dator och mobiltelefon. Skerstll ven att eventuella lsenord, smarta kort eller andra nycklar vilka ger tkomst till information terlmnas och att register fr tillgng till information uppdateras. ven d en medarbetare gr ver till nya arbetsuppgifter inom organisationen kan det vara lmpligt att omprva tillgng till information.
8.3.3
Indragning av tkomstrttigheter
Alla medarbetare i organisation mste ha tillgng till den information vilken r ndvndig fr att de skall kunna utfra sina arbetsuppgifter med hg kvalitet. Samtidigt br information vilken ej r ndvndig eller rent av olmplig att knna till skyddas. Vid frndring av arbetsuppgifter eller infr att en anstllning upphr br tkomsrttigheter ses ver. Begrnsning av tkomstrttigheter kan ven utgra en disciplinr tgrd.
Kapitel 8 Sida 3
Exempel 1 Rekrytering
Fr tv r sedan var Medytekk AB tvunget att lgga ner ett projekt p grund av att tv forskare gick till ett konkurrerande fretag. Projektet blev inte avslutat innan uppsgningstidens slut. Ledningen fr Medytekk lyckades inte heller hyra tillbaka forskarna frn konkurrenten fr att avsluta projektet. Vad borde Medytekk ha tnkt p?
2 Frndring av anstllningsvillkor
Vid starten av Medytekks produktion i Polen fr ett r sedan fick man allvarliga leveransproblem. Vid starten upptcktes det att en stor del av de ndvndiga databaserna fr produktions- och kvalitetsstyrning mste ha varit manipulerade, eftersom den frdiga slutprodukten inte uppfyllde kravspecifikationen. Nr Medytekk fr ett r sedan flyttade en del av sin produktion till Polen permitterades ett 30-tal medarbetare. Vad borde Medytekk ha tnkt p?
3 Militant djurrttsaktivist
Laboratorieassistenten Kalles sambo r militant djurrttsaktivist. Hon har deltagit i ett antal aktioner mot fretag och institutioner som, precis som Medytekk, sysslar med djurfrsk. Hon var ven med i den demonstration som freningen "Stopp av djurfrsk nu" hade utanfr Medytekk. Rykten har cirkulerat inom Medytekk vilka bekrftades i samband med demonstrationen utanfr Medytekk. Chefen fr Test och Produktion hos Medytekk har blivit utsatt fr vissa hot, antagligen frn olika militanta djurrttsaktivister, hon har dock aldrig tagit dessa p allvar eller polisanmlt dem. Vad borde Medytekk ha tnkt p?
4 Virusproblem
Fr en mnad sedan var Medytekk AB tvungna att ta in en extern konsult fr att f bukt med ett datorvirus som kommit in i fretaget via e-post. Konsulten upptckte att en av orsakerna till problemet var att virusprogramvaran inte var uppdaterad. Uppdateringen av virusskyddet var inte prioriterad och ingick inte heller i skerhetsutbildningen hos fretaget. Konsulten upptckte ocks att den instruktion som fanns p fretaget fr hur e-post fick anvndas inte fljts. Vad borde Medytekk ha tnkt p?
Kapitel 8 Sida 4
5 Sjukligt spelberoende
Den administrative chefen Gran Rubens gnar en allt strre del av sin tid t totospel p Solvalla. Spelandet har ftt sdana konsekvenser att det privat resulterat i skilsmssa och att familjens grd i Knivsta har ftt sljas fr att tcka spelskulderna. Stefan Eriksson, vd, har av sin sekreterare, Berit Qvick, hrt talas om att Gran Rubens vid ett flertal tillfllen bett om frskott samt att han vid flera tillfllen sjukskrivit sig p onsdagar. Vad borde Medytekk ha tnkt p?
Vad kan vi lra oss av dessa exempel? Exempel 1 Rekrytering

Medytekk borde ha tnkt p att kompetens- och resursskra forskningsprojektet via anpassad uppsgningstid till projekts varaktighet, sekretessavtal och identifiering av nyckelpersoner vid riskanalys fr projektet. Dessutom borde Medytekk tnka p sekretessfrgan om forskarna skulle ha hyrts tillbaka fr att slutfra projektet. Fr att skerstlla att framtida kompetensbehov tcks borde Medytekk tnka p att skerstlla personalens lojalitet via anstllningsfrmner, rtt lneniv, etc., identifiera nyckelpersoner och arbeta fr att minska beroendet av dem, se ver sina anstllningsvillkor, och att inkludera sekretess i anstllningsvillkoren ven efter anstllningens upphrande.
Exempel 2 Frndring av anstllningsvillkor

Medytekk borde ha tnkt p att permittering av personal ofta kan innebra strningar i verksamheten nr lojaliteten hos medarbetarna minskar eller nr arbetsgivarens attraktivitet hos arbetstagaren minskar. Fr att skerstlla en flytt utan problem borde Medytekk ha tnkt p att gra en riskanalys utifrn den nya hotbild som uppstr vid frndringen, uppdatera behrigheter, frstrka skalskyddet, och att informera de anstllda bttre om fretagets planer och konsekvenserna fr personalen.
Exempel 3 Militant djurrttsaktivist

Medytekk borde tnka p att diskutera frgan i utvecklingssamtal med Kalle, skerstlla tydlig informationshantering, utka det fysiska skyddet och att eventuellt omplacera Kalle om riskanalysen visar att han utgr en stor risk. Dessutom br Medytekk tnka p att skerstlla att incidenter rapporteras och fljs upp s att hot tas p allvar och att de utgr en del i framtida riskanalys. Fr att skerstlla fortlevnad borde Medytekk tnka p att utka sin omvrldsbevakning fr att i framtiden vara frberedda fr eventuell e-postbombning (spamming) och andra typer av hot, och att vara lyhrd vid personalrekrytering.
Exempel 4 Virusproblem
Medytekk borde ha tnkt p att uppmrksamma alla anstllda p de problem virus kan stadkomma i en organisation, infra rutiner fr hantering av disketter, cd-skivor, filer bifogade till e-post, och s vidare som frs in i organisationen, detta fr att skerstlla att viruskontroll sker, skerstlla informationsfldet till organisationen frn experter p omrdet, exempelvis via medverkan i branschorganisationer och liknande och att
Kapitel 8 Sida 5
ha en aktiv omvrldsbevakning fr att s tidigt som mjligt f kunskap om nya virus s att tgrder mot dessa kan sttas in.
Exempel 5 Sjukligt spelberoende

Fr att skerstlla informationsskerheten borde Medytekk tnka p att inrtta rutiner fr personer som har personliga problem, stta upp tydliga riktlinjer fr vad som r tilltet samt regler fr hur vertrdelser ska hanteras, tillstta en krisgrupp som hjlper Gran Rubens att ta itu med sitt spelberoende och att i utvecklingssamtal flja upp personalens privata situation.
Checklista Personal och Skerhet

Frga Ja Delvis Nej
Har nyckelpersoner identifierats? Har riskprofiler fr organisationens befattningar tagits fram? Framgr ansvar och befogenhet fr informationsskerhet av befattningsbeskrivning? Kontrolleras identitet, referenser och meritfrteckning vid rekrytering? r rutiner fr sekretessavtal/-erinran infrda? Ges anstllda erforderlig information och utbildning vad gller informationsskerhet? Finns rutiner fr rapportering och hantering av skerhetsincidenter? Finns rutiner fr disciplinra tgrder mot anstllda som bryter mot organisationens informationsskerhetspolicy?
Kapitel 8 Sida 6
Fysisk och miljrelaterad skerhet
Kapitel 9 Fysisk och miljrelaterad skerhet

Fysisk skerhet syftar till att skydda organisationens lokaler, utrustning och informationskapital. Brister i fysisk skerhet kan medfra att de logiska skerhetsskydden stts ur spel. Nyttan med ett behrighetskontrollsystem frsvinner om okrypterade kommunikationskanaler kan avlyssnas och system- och tillmpningsloggar frlorar sitt vrde som kunskapsklla eller bevismaterial om de kan manipuleras av obehriga, etc. Fysisk skerhet handlar inte enbart om skydd mot kriminella handlingar. Naturolyckor och -katastrofer som brand, versvmning, ovder eller kraftig ska samt olyckor och katastrofer som orsakas av fel i tekniska system eller mnskliga misstag eller slarv utgr ett nnu strre hot mot organisationens informationstillgngar. Vid utformning av fysiska skydd r det ltt att fastna i tekniska frgor och att verskatta skerhetsprodukternas skyddsfrmga. Man fr aldrig glmma att fysiska skydd ls, larm, belysning, intern-tv och s vidare bara fungerar effektivt med tillrckliga personella resurser och korrekta administrativa rutiner.
9.1
Skrade utrymmen
Ml: Att frhindra obehrigt fysiskt tilltrde, skador och strningar i organisationens lokaler och information. Kritiska eller knsliga informationsbehandlingsresurser br inrymmas i skra utrymmen inom ett avgrnsat skalskydd med lmpliga skerhetssprrar och tilltrdeskontroller. De br fysiskt skyddas mot otillten tkomst, skada och strning. Skyddet br st i proportion till frekommande risker.
9.1.1
Skalskydd
Ett stt att skapa fysiskt skydd r att bygga rent fysiska hinder runt verksamhetens omrden och lokaler eller mindre delar av den. Dessa fysiska hinder, som brukar kallas skalskydd, kan i sin yttre del bland annat best av stngsel eller staket. De inre delarna baseras p byggtekniska konstruktioner som frstrkt betongvgg, stldrr eller galler. Oforcerbara skalskydd skalskydd som med skerhet motstr ett kompetent och mlinriktat angrepp finns inte. Skalskyddets funktion r dels att avskrcka en angripare, dels att frsvra och frdrja ett pbrjat angrepp. Frutom det mekaniska skyddet mste komplettering ske med lmpliga larm och riktiga larmtgrder fr att fylla sin funktion.
9.1.2
Tilltrdeskontroll
Tilltrde till skrade utrymmen br kontrolleras. Detta kan ske manuellt via exempelvis en bemannad reception, eller automatiserat med hjlp av id-kort med behrighetskod eller ngon annan teknisk metod. I bda fallen r det lmpligt att svl inpassering som utpassering registreras fr att medge sprbarhet. Vid automatisk intrdeskontroll till srskilt knsliga utrymmen r det av vikt att systemet hindrar insmitning tillsammans med en behrig person. I organisationen br det finnas en central funktion fr administration av behrighetstilldelning.
9.1.3
Skydd av kontorsbyggnader, rum och utrustning
Skrade utrymmen innanfr skalskyddet mste i vissa fall frstskyddas. Det innebr att de vervakas fr att upptcka obehrig verksamhet. Detta kan bland annat ske med larm och/eller med hjlp av TV-vervakning. Speciellt vrdefull utrustning eller annan tillgng br punktskyddas, allts skras med ett separat skydd som bara har till uppgift att vervaka denna tillgng. Vid utformning av skydd r det viktigt att man ven ser frbi de rent kriminella hot som finns, och tittar p de hot som finns inom svl den interna som den externa miljn, men ocks de onskade konsekvenser som kan bli fljden av mnskliga misstag och rent slarv.
Kapitel 7 Sida 1
9.1.4
Skydd mot externa hot och miljhot
Identifiering av tnkbara hot och genomfrd riskanalys r en frutsttning fr att kunna bedma vilket fysiskt skydd som krvs fr att skydda organisationens informationstillgngar. Det r vsentligt att beakta miljpverkande faktorer som omkringliggande fastigheter och dess verksamhet, risk fr versvmning, jordskred etc.
9.1.5
Arbete i skrade utrymmen
Extern och egen personal som normalt inte har behrighet till utrymmet br vervakas kontinuerligt vid arbete i skrade utrymmen. Detta sker enklast genom nrvaro av egen personal eller med hjlp av TV-vervakning.
9.1.6
Allmnhetens tilltrde, leverans- och lastutrymmen
Utrymme fr godsmottagning mste organiseras s att de begrnsar ondigt tilltrde till knsliga omrden. Inkommande gods ska registreras och godknnas av egen personal vid leveranstillfllet och eventuella avvikelser frn frvntad leverans ska kvitteras av leverantren. Allt inkommande gods ska dessutom kontrolleras s att det inte br med sig eventuella farligheter.
9.2
Skydd av utrustning
Ml: Att frhindra frlust, skada, stld eller skadlig pverkan p tillgngar och avbrott i organisationens verksamhet. Utrustning br skyddas mot fysiska hot och miljmssiga hot Skydd av utrustning (ven sdan som anvnds utanfr organisationens lokaler, och vid bortflyttning av egendom) krvs fr att minska risken fr obehrig tkomst av information och skydda mot frlust och skada. Det br ocks beaktas var utrustning installeras och hur den avvecklas. Srskilda tgrder kan krvas fr att skydda mot fysiska hot och fr att skydda frsrjningsutrustning, t.ex. elfrsrjning och kablage.
9.2.1
Placering och skydd av utrustning
Vid placering och skydd av utrustning br man bland annat tnka p hot frn intern och extern milj, risken fr obehrig tkomst, risken fr obehrig insyn, risken fr avlyssning. Speciellt knslig utrustning och utrustning som behandlar knslig eller kritisk information br placeras s att ondigt tilltrde minimeras och s att utformningen av punktskydd fr utrustningen underlttas. Miljfrhllanden ska vervakas p ett sdant stt att negativ pverkan p IT-utrustningen och dess anvndning kan upptckas p ett mycket tidigt stadium. Brand utgr alltid en miljrisk som r viktigt att ha rtt skyddstgrder mot. Frutom byggteknisk sektionering (indelning i brandzoner), minimal brandbelastning, lmpliga slcksystem och relevanta brandlarm r det viktigt att det finns utrymningsplaner som vas regelbundet.
9.2.2
Tekniska frsrjningssystem
De vanligaste orsakerna till strningar i elfrsrjningen r avgrvda kraftkablar, ska och interna kraftvariationer som kan bero p bland annat flktregulatorer och hissmotorer. Ett genomtnkt skyddssystem mot strningar i elfrsrjningen r A och O fr effektiv tillgnglighet. Skyddssystemet ska omfatta skydd mot exempelvis elavbrott, spnningsspikar/transienter och statisk elektricitet. Anvnds avbrottsfri elfrsrjning UPS, uninterruptable power supply mste man tnka p att elkraft ska skerstllas ven till IT-utrustningens kringmilj som klimatanlggningar och arbetsbelysning. Av vikt r ocks att UPS-systemet regelbundet testas samt att de aktuella underhllsrutinerna fljs. Fr srskilt avbrottsknsliga eller kritiska IT-system br skyddstgrder som dubblerade och av varandra oberoende matningsvgar fr elkraft och egen reservkraftsgenerator vervgas.
9.2.3
Kablageskydd
Starkstrmsledningar samt data- och telekablar br skyddas mot verkan och avlyssning samt elektromagnetisk strning. Fiberoptiska data- och telekablar eliminerar risken fr elektromekanisk strning och minimerar hotet
Kapitel 7 Sida 2
fr avlyssning. De r, ur skerhetssynpunkt, att fredra framfr traditionellt trdkablage utom i miljer med risk fr radioaktiv strlning.
9.2.4
Underhll av utrustning
Frutsttningarna fr en strningsfri driftsmilj r att flja leverantrens rekommenderade underhllsplan fr utrustningen. Hemlig eller p annat stt knslig information mste skyddas vilket kan vara problematiskt i samband med underhllsarbete. I verksamhet vars informationsbehandling har bring p rikets skerhet br all underhllspersonal skerhetsprvas.
9.2.5
Skerhet fr utrustning utanfr egna lokaler
Risker i samband med anvndning av utrustning utanfr de egna lokalerna mste analyseras srskilt. Detta gller fr informationsbrare i vid mening och omfattar bland annat persondatorer, handdatorer, mobiltelefoner och pappersdokument. Vid utformning av skyddstgrder mste man beakta att skerhetsrisker kan variera avsevrt mellan olika platser och vid olika tidpunkter. Samtidigt br aktuella skyddstgrder diskuteras med organisationens frskringsbolag. Viktigt att ven beakta riskerna d utrustning lmnas ut fr service externt.
9.2.6
Sker avveckling eller teranvndning av utrustning
Lagringsmedia som innehller knslig information eller licensierade program br frstras, avmagnetiseras eller verskrivas p ett skert stt i samband med avveckling eller teranvndning. Alla verksamheter accepterar inte verskrivning som en sker metod. Det kan ocks finnas speciella bestmmelser fr fysisk frstring av ITutrustning.
9.2.7
Avlgsnande av egendom
Ut- och infrsel av skerhetsklassad IT-utrustning mste godknnas och registreras vid ut- och inpassering. Det mste dessutom finnas klara riktlinjer/regler fr hur sdan utrustning ska hanteras. Skerhetsklassningen mste vara realistisk och rimlig. Skerhetstgrder som frhindrar ett effektivt arbete eller som omotiverat inskrnker de anstlldas handlingsfrihet kommer frr eller senare att kringgs.
Exempel 1 Brand
En sndagskvll fr lite mer n sex mnader sedan utbrt en brand p vervningen hos fretaget Pappum Nova i byggnaden intill Medytekk. Branden spred sig snabbt ver till Medytekks huvudbyggnad, frst till ver- och sedan till bottenvningen. Pappum Nova och Medytekk saknade bda brandlarm. Industriomrdet r tmligen folktomt p kvllarna s det drjde lnge innan branden uppmrksammades. Resultatet blev katastrofalt. Bda vningsplanen brndes ut och bland annat datarummet och arkivet totalfrstrdes. IT-utrustningen kunde ltt ersttas men att samtliga reservkopior frintades av branden tillsammans med alla pappersdokument, bde i arkivet och i kontorsrummen, fick katastrofala fljder. Omfattande och vsentlig forskningsinformation gick frlorad, liksom kund-, leverantrs- och personaldata. Medytekk kunde inte heller betala sina rkningar, fakturor kunde inte fljas upp, bokfringen kunde omjligen rekonstrueras, etc. Dessutom frlorades en stor del av de egenutvecklade programmen fr forskningsstd. Forskningsarbetet kunde visserligen fortstta men de aktuella projekten frdyrades avsevrt. Som ett resultat av ovanstende fick Medytekk ett (ofrtjnt) dligt rykte som fretag och affrspartner. Efterfrgan p fretagets forskningsprodukter minskades i princip till noll. Det hade nu gtt sex mnader och Medytekk ska rekonstrueras efter det att nra femton rs hrt arbete gtt upp i rk. Vad borde Medytekk ha tnkt p?
Kapitel 7 Sida 3
2 Kidnappning och utpressning

B-G Sjstrm jobbade ver p Medytekk en torsdagskvll. Efter att han ringt hem flera gnger utan att ngon svarade brjade han bli orolig och beslutade sig fr att ka hem. Vid hemkomsten var huset mrkt. Telefonen ringde just nr han fick av sig klderna och frskte hitta ngot meddelande frn sin fru Marianne. En grov, manlig rst meddelade att hans fru och dotter kidnappats och uppmanade honom att mta kidnapparna vid sluthllplatsen fr den lokala bussen, ngra minuters promenadvg frn Sjstrms hus. Rsten uppmanade honom att ta med sig huvudnyckeln till Medytekk, och varnade honom fr att kontakta polisen det kunde g illa fr bde hustrun och dottern i s fall. Efter mtet vid busshllplatsen kte kidnapparna till Medytekk dr de frstrde samtliga dataservrar och tog med sig skerhetsskpet med alla reservkopior. Sjstrm fick 24 timmar p sig att verlmna 1 miljon kronor i sm valrer i utbyte mot reservkopiorna. Han uppmanades dessutom att skynda sig hem och befria hustrun och dottern som var fastbundna och inlsta i vinkllaren. Vad borde Medytekk ha tnkt p?
3 Donation av pc
Ett av Medytekks hittills strsta forskningssatsning har arbetsnamnet Projekt A 6. Det syftar till att framstlla en ny smrtstillande substans, som frvntas revolutionera smrtbehandling och bedms ha ett mycket stort kommersiellt vrde. Forskningen har tagit mycket tid och resurser och har belastat Medytekks ekonomi hrt. Forskningen har dock varit mycket lyckad, och det terstr bara ett begrnsat antal tester. Medytekk har brjat frhandla med ett antal intresserade lkemedelsfretag. Bestrtnigen r drfr mycket stor en mndagsmorgon d en av huvudstadens strre morgontidningar rapporterar om en sensationell medicinsk nyhet frn ett stort utlndskt lkemedelsfretag. Det gller en ny smrtstillande substans som verkar bygga p samma principer som Medytekks. Efter en frsiktig frfrgan och mera detaljerad produktinformation frn lkemedelsfretaget str det klart fr Medytekks ledning att det mste vara resultatet frn Projekt A 6 som utgr grunden fr den utlndska produkten. Stefan Eriksson r mycket upprrd och anlitar en utomstende skerhetsexpert fr att utreda hndelsen. Skerhetsexperten kan efter ett tag konstatera att fr ngra mnader sedan har forskarna i Projekt A 6 framfrt krav p kraftigare persondatorer vilket har blivit tillgodosett. B-G Sjstrm vars farmor var fdd i Estland och som r mycket aktiv i olika aktiviteter fr att stdja de baltiska lnderna beslt d att Medytekk skulle donera den gamla utrustningen till en baltisk forskningsorganisation. Innan persondatorerna skickades ivg raderades alla program- och datafiler med hjlp av operativsystemets raderingsfunktion. Det frekommer ett visst samarbete mellan ngra forskare frn den baltiska forskningsorganisationen och det aktuella lkemedelsfretaget bland annat finansierar lkemedelsfretaget ngra pgende forskningsprojekt. Flera av forskarna har dessutom tidigare anklagats fr illojal hantering av knsliga forskningsdata och skerhetsexperten misstnker att forskningsinformation frn Projekt A 6 har lckt frn den baltiska forskningsorganisationen till lkemedelsfretaget. Vad borde Medytekk ha tnkt p?
Kapitel 7 Sida 4
Vad kan vi lra oss av dessa exempel? Exempel 1 Brand

Medytekk borde ha tnkt p att vidta effektiva tgrder mot brand (som r den allra strsta enskilda risken fr nringsverksamhet) genom att installera automatiskt brandlarm i huvudbyggnaden, frvara viktiga dokument i skerhetsskp, frvara datamedia i datamediaskp, eller i skerhetsskp med datamediainsats (brand- och stldskydd), frvara reservkopior p skert avstnd frn det normala driftstllet (se ven SS ISO/IEC 17799, Kapitel 8 Styrning av kommunikation och drift). Medytekk borde ocks diskuterat brandrisken och eventuella gemensamma tgrder fr att minska konsekvenserna av en brand med Pappum Nova, vervgt byggnadstekniska tgrder fr att brandskra datarummet och arkivet.
Exempel 2 Kidnappning och utpressning

Medytekk borde ha tnkt p att frvara reservkopior p ett skert stt ven med hnsyn till stld, till exempel genom en extra kopia i ett bankfack. Medytekk borde ocks ha tnkt ver innehav och frvaring av huvudnycklar, genom att exempelvis endast ha tv huvudnycklar: den ene hos det lokala vaktbolaget (med en srskild procedur fr utkvittering), den andra i ett bankfack.
Exempel 3 Donation av pc
Medytekk borde ha tnkt p att bttre skra avveckling/teranvndning av IT-utrustning genom att verskriva data p ett skert stt p fasta hrddiskar, alternativt fysiskt frstra dessa. Medytekk borde ocks underskt den baltiska forskningsorganisations verksamhet ur bland annat skerhetssynpunkt innan man bestmde sig fr att donera persondatorerna.
Checklista Fysisk och miljrelaterad skerhet

Frga Ja Delvis Nej
Har man vid riskanalysen beaktat potentiella hot frn den externa miljn? Har den interna miljn utformats med hnsyn till skerhetskrav, det vill sga, r skerheten inbyggd i miljn? r skalskyddet entydigt definierat? r kraven p brandskydd uppfyllda utan att vriga skerhetsaspekter har ignorerats? r alla branddrrar larmade och sjlvstngande? Finns det ett fungerande administrativt system fr tilldelning och frntagning av behrigheter fr fysiskt tilltrde? Fungerar den operativa tilltrdeskontrollen utan strningar och/eller klagoml? r lokalerna utformade s att ondigt tilltrde till skrade utrymmen har minimerats?
Kapitel 7 Sida 5
Frga
Ja
Delvis
Nej
r larmsystemet fackmssigt installerat och regelbundet testat? Finns det klara regler, inklusive entydig ansvarsfrdelning, fr aktivering och avaktivering av larm? Frvaras reservkopior och annan reservutrustning p ett skert avstnd frn driften? r vervakning av skrade utrymmen ordnad fr normala frhllanden? Finns det beredskap fr ovanliga situationer? Finns det rutiner fr hantering och anvndning av utrustning fr fotografering och video-, ljud- eller annan upptagning i knsliga utrymmen? Kontrolleras inkommande gods med avseende p eventuell farlighet? r rutinerna fr godsmottagning utformade s att ansvar fr inleverans, mottagning och leveransavvikelser kan spras och faststllas vid en eventuell tvist eller misstanke om brott? r all it-utrustning placerad och skyddad p ett riktigt stt? Har ondigt tilltrde till knsliga utrymmen minimerats? Har tgrder vidtagits mot potentiella hot som stld, brand, vatten, EMI, etc.? Finns det en policy mot intagning av mat och drycker, rkning med mera i nrheten av it-utrustning? r ovanstende policy accepterad av berrd personal? Har konsekvenserna av strningar i elfrsrjningen (avbrott, spikar, statisk elektricitet, etc.) beaktats tillrckligt? Har eventuella UPS tillrcklig kapacitet? Sker underhll och test av eventuella UPS: er enligt leverantrens anvisningar? r startbatteri- och drivmedelsfrsrjningen till eventuella reservkraftsgeneratorer skrad? Gller ovanstende ven i en strre kris- eller katastrofsituation? r starkstrmsledningar och data- och telekablar skyddade mot skada, avlyssning och EMI? Finns det administrativa system fr underhll av it-utrustning dr misstnkta fel, verkliga fel samt underhllsaktiviteter registreras (och planeras i tillmpliga fall)? r skerhetsskyddet fr utrustning som anvnds utanfr de egna lokalerna tillrckligt? Omfattar det alla typer av it-utrustning (personoch handdatorer, mobiltelefoner, pappersdokument, etc.)? r frskringsskyddet fr utrustningen ovan tillfredstllande? Finns det klara regler och procedurer fr hur utrustning ska avvecklas eller teranvndas? r det skerstllt att knsliga IT-resurser inte lmnas oskyddade nr de inte anvnds? Sker ovanstende s lngt som mjligt med hjlp av tekniska skydd och s litet som mjligt genom frhllningsregler fr anvndare? r reglerna fr avlgsnande av egendom acceptabla ur skerhetssynpunkt? r reglerna ovan sdana att de inte leder till ineffektivitet i arbetet eller missnje bland personalen?
Kapitel 7 Sida 6
Styrning av kommunikation och drift
Kapitel 10 Styrning av kommunikation och drift

En frutsttning fr att de flesta informationssystem ska fungera r den underliggande kommunikationen. Varje enhet mste kunna lita p att ndvndiga resurser r tillgngliga vid behov. Fr att skerstlla och vervaka detta r ndamlsenlig drift en annan frutsttning fr vl fungerande informationssystem. Redan d en kommunikationslsning planeras r det viktigt att ta skerhetsaspekter i beaktande. Infrastrukturen fr svl LAN som WAN pverkar i hgsta grad skerhetsnivn och dess mjligheter. Kommunikation och drift krver att kompetent personal finns svl fr att konfigurera och upprtta korrekta rutiner som fr att vervaka och flja upp loggar och eventuella incidenter.
10.1
Driftrutiner och driftansvar
Ml: Att skerstlla korrekt och sker drift av informationsbehandlingsutrustning. Ansvar och rutiner fr ledning och drift av all informationsbehandlingsutrustning br faststllas. Detta omfattar utveckling av lmpliga driftrutiner. Uppdelning av arbetsuppgifter br i frekommande fall tillmpas fr att minska risken fr frsummelse eller avsiktligt missbruk av system. Fr att skerstlla sker och korrekt drift krvs att ansvar och rutiner r faststllda fr verksamhetens system fr informationsbehandling. Drutver krvs rutiner fr att kunna hantera eventuella incidenter. Det r viktigt att rutiner och ansvar r dokumenterade och att det r tydligt vem som gr vad.
10.1.1
Dokumenterade driftrutiner
Det br vara en naturlig del i informationsskerhetsarbetet att regelmssigt tillse att driftrutiner uppdateras vid frndringar. De dokument som behandlar driftrutiner br betraktas som styrande dokument och hanteras som sdana. Samtliga identifierade rutiner som rr driften br innehlla klara och tydliga instruktioner om tillvgagngsstt. Om s inte r fallet br det finnas hnvisningar till de dokument som behandlar respektive rutin i detalj. Den hr typen av dokumentation br omfatta driften av hela den integrerade systemmiljn, inklusive kommunikation, skerhetskopiering, underhll, ledning och personskerhet i datahallar samt hantering av post.
10.1.2
ndringshantering
Det br finnas formella rutiner p plats fr att skerstlla att erforderlig skerhetsniv kan upprtthllas ven i samband med frndringar i informationsbehandlingsutrustning och -system. Tnk p att frndringar inom ett omrde ven kan ha pverkan p andra delar av systemet.
10.1.3
Uppdelning av arbetsuppgifter
Fr att minska risken fr missbruk av system brukar metoden att dela upp arbetsuppgifter anvndas. Om detta av praktiska skl inom till exempel mindre organisationer inte r genomfrbart kar kraven p loggning, vervakning samt uppfljning av verksamheten. Om en person exempelvis har kontroll ver bde utveckling och driftsttning kan denna gra frndringar utan att ngon annan mrker det.
10.1.4
Uppdelning av utvecklings- test- och driftresurser
En huvudregel, vilken inte nog kan betonas, r att resurser fr drift, utveckling och test ska hllas tskilda. Fr att skerstlla detta br exempelvis program tillhrande de tre angivna kategorierna tskiljas s lngt det r mjligt genom anvndande av skilda processorer, domner eller kataloger. Ej heller br hjlpprogram frn driftsystem vara tkomliga fr test- och utvecklingsarbete.
Kapitel 10 Sida 1
10.2
Kontroll av utomstende tjnsteleverantr
Ml: Att infra och bibehlla lmplig niv p informationsskerhet och utfrande av tjnster i enlighet med utomstende leverantr av tjnster. Organisationen br kontrollera implementeringen av avtal, flja upp verensstmmelsen med avtalen och hantera ndringar fr att skerstlla att utfrda tjnster uppfyller alla krav avtalade med den utomstende parten.
10.2.1
Utfrande av tjnster
Vid utlggning (outsourcing) av hela eller delar av organisationens informationsbehandling kvarstr ansvaret fr informationsskerheten p organisationen. Fr att organisationen ven vid utlggning skall kunna bibehlla skerhetsnivn fr sin information br skerhetskraven regleras i avtal med den utomstende parten. Det r av vikt att granska och bedma svl den organisatoriska som den tekniska skerhetsnivn hos den utomstende parten s att niverna motsvarar den egna organisationens. I utlggningsavtal br framfr allt fljande punkter beaktas/regleras. Rttsliga krav och hur de ska uppfyllas. tgrder fr att skapa medvetenhet om skerhetsansvar. Hur riktighet och sekretess upprtthlls. Hur tkomsten ska begrnsas bde logiskt och fysiskt. Hur verksamheten ska fortleva i hndelse av en katastrof. Mjligheten att genomfra revisioner och kontroll av den utomstende organisationen. Krav p sekretess. Hur informationen fr spridas och hur den ska frstras. Uppdragets omfattning med avgrnsningar. Typen av material som ska hanteras och dess skerhetsklassificering.
10.2.2
Uppfljning och granskning av utomstendes utfrande av tjnster
Innan man anvnder sig av externa resurser br de srskilda risker detta kan medfra noga analyseras. Utfallet av en sdan analys br ing som en del i underlaget vid frhandlingar med leverantren. Vid anvndning av externa leverantrer br leverantrens hantering av fljande omrden srskilt beaktas: Riktlinjer fr skerhet och metoder fr kontroll av efterlevnad, avbrottsplan, incidenthantering, skerhetsorganisation, acceptans av systemgare.
10.2.3
ndringshantering av tjnster frn utomstende part
I avtalet med utomstende part br det finnas beskrivet hur ndringshantering skall hanteras. Vid frndringar kan det beroende p hur pass kritisk informationen som behandlas r vara ndvndigt att analysera de risker som finns med hanteringen.
10.3
Systemplanering och systemgodknnande
Ml: Att minimera risken fr systemfel. Planering och frberedelse krvs i frvg fr att skerstlla att tillgnglig kapacitet och resurser finns fr att leverera den systemprestanda som krvs. Planlggning fr framtida kapacitetskrav br gras fr att minska risken fr verbelastning av system. Driftkraven hos nya system br faststllas, dokumenteras och testas innan de godknns och anvnds. Genom ett aktivt, frutseende och lngsiktigt arbete med systemplanering vilket innefattar vl avvgda formella rutiner fr systemgodknnande kan risken fr systemfel minimeras.
Kapitel 10 Sida 2
10.3.1
Kapacitetsplanering
Genom en effektiv planering av resursbehovet, som ven tar hnsyn till framtida behov, skerstlls att det finns tillgng till erforderliga resurser ver tiden. Srskild hnsyn br tas till nya system- och verksamhetskrav samt utvecklingen av organisationens informationsbehandling. Genom att ha tillgng till denna typ av information br ledningen via effektiv planering kunna undvika kapacitetsmssiga flaskhalsar.
10.3.2
Systemgodknnande
Ledningen ansvarar fr att det i samband med systemgodknnande finns faststllda krav och kriterier som r definierade, verenskomna, dokumenterade och testade. Frst drefter kan man godknna ett system efter leverans, uppgradering eller motsvarande typ av frndring.
10.4
Skydd mot skadlig och mobil kod
Ml: Att skydda riktighet i program och data. Frsiktighetstgrder krvs fr att frhindra och upptcka att skadlig kod och icke godknd mobil kod installeras. Program och informationsbehandlingsresurser r srbara fr att skadlig kod, ssom virus, maskar, Trojanska hstar och logiska bomber installeras. Anvndarna br gras medvetna om farorna med skadlig kod. Dr det r lmpligt, br ledningen infra skyddstgrder fr att skydda mot, upptcka och rensa bort skadlig kod liksom fr att styra mobil kod. Fr att skydda riktigheten i program och data br infrande av srskilda tgrder vervgas.
10.4.1
tgrder mot skadlig kod
Ett effektivt skydd mot skadliga program frutstter ett aktivt frebyggande arbete, som ocks omfattar tgrder fr att tillse att personalens skerhetsmedvetande ligger p rtt niv. Det krvs ven styrning av tkomst och ndringshantering. Organisationens riktlinjer br i de flesta fall omfatta fljande punkter: ett formellt frbud i policy mot anvndning av program som ej godknts samt mot att hmta hem datafiler eller program frn externa kllor som Internet, program fr detektering av skadliga program samt stdprogram fr terstllande, regelbunden granskning av program och data i samband med kritiska verksamhetsprocesser, antivirusprogram, som ocks inbegriper kontroll av s kallade bifogade filer i e-post, faststllande av ledningsrutiner och ansvar fr virusskydd, avbrottsplan, verifiering av och tillgng till information som rr skadliga program. Oknda program som installeras kan ppna bakvgar fr obehriga in i systemmiljn.
10.4.2
tgrder mot mobil kod
Mobil kod r kod som d den verfrs till en dator automatiskt kr program. Mobil kod levereras ofta med svl hrdvara som programvara. Innan anvndande av mobil kod tillts br verifieras att den inte p ngot stt skadar de applikationer som anvnds och de informationstillgngar som finns lagrade i systemet Skrast r att sprra all anvndning av mobil kod som inte verifierats i en logiskt isolerad milj.
10.5
Skerhetskopiering
Ml: Att bevara informationens och informationsbehandlingsresursernas riktighet och tillgnglighet. Rutintgrder br faststllas fr att infra den beslutade policyn och strategin (se ocks 14.1) fr skerhetskopiering av data och fr att va terstllande av data inom rimlig tid. Genom infrandet av formella rutiner fr skerhetskopiering, reservkopiering av data, loggning, vervakning samt terkommande vningar av terstllande kar man mjligheterna att i alla lgen bevara riktigheten hos och tillgngligheten till verksamhetens kommunikations- och informationsbehandlingsresurser. Ju tydligare och renare systemmiljn r desto svrare blir det att maskera otillten anvndning.
Kapitel 10 Sida 3
10.5.1
Skerhetskopiering av information
Det kan inte nog understrykas vikten av att organisationen har tillgng till ett antal generationer skerhetskopior (minst tre nr det rr sig om kritiska tillmpningar) av vsentlig verksamhetsinformation och program som finns lagrade utanfr det normala driftstllet. Samma krav p lagringsbetingelserna br stllas p alla frvaringsplatser. Fr att skerstlla att kraven i kontinuitetsplanen uppfylls br fljande punkter omfattas av regelbundna tester: rutiner fr skerhetskopiering samt terlsning av kopiorna, lagrade data p skerhetskopior samt terstartsrutiner. Utver det br ven fljande omrden vara freml fr formellt faststllda rutiner: tidpunkter fr skerhetskopiering, permanent lagring av skerhetskopior. En skerhetskopia r vrdels om den inte kan anvndas testa drfr regelbundet att den gr att terlsa!
10.6
Hantering av skerhet i ntverk
Ml: Att skerstlla skyddet av information i ntverk och i tillhrande infrastruktur. Sker hantering av ntverk, som kan strcka sig ver organisationsgrnserna, krver noggrann hnsyn till dataflde, legala konsekvenser, vervakning och skydd. Ytterligare tgrder kan ocks krvas fr skyddet av knsliga data som verfrs via allmnna nt. Fr att n en acceptabel niv av skerhet i ntverk och infrastruktur r det ndvndigt att effektivt kombinera de nedan angivna tgrderna.
10.6.1
Skyddstgrder fr ntverk
De formellt faststllda styrmedlen och tgrderna fr skerhet i ntverksmiljer br ta hnsyn till behovet av skydd av data i ntverksmiljn. Ansvaret fr att dessa rutiner bde infrs och anvnds br ligga hos ntverksansvariga, och dessutom vara skilt frn ansvaret fr datordrift. ven ansvarsfrgor betrffande lokal utrustning som exempelvis arbetsstationer och skrivare br beaktas. Nr det gller tkomst till organisationens resurser kan srskilda krav stllas p skerheten som kan tillfredsstllas genom exempelvis brandvggar och en lmplig indelning av ntverksmiljn. Fr att kunna avgra huruvida de ml organisationen stllt upp fr kommunikationsskerhet uppntts eller inte, kan det vara lmpligt att genomfra regelbundna intrngstester.
10.6.2
Skerhet i ntverkstjnster
Erforderliga skerhetsegenskaper och andra krav br klarlggas och dokumenteras. D ntverkstjnsterna utfrs av en leverantr r det vsentligt att skerhetskrav och ndvndiga arrangemang fr att uppfylla dessa finns beskrivna i avtalet med leverantren
10.7
Hantering av media
Ml: Att frhindra obehrigt avsljande, modifiering, borttagning eller frstrande av tillgngar och avbrott i organisationens verksamhet. Lagringsmedia br styras och skyddas fysiskt. Lmpliga driftrutiner br upprttas fr att skydda dokument, datamedia (t.ex. databand och skivor), in- och utdata och systemdokumentation frn obehrig tkomst, frndring, borttagande och frstrande
10.7.1
Hantering av flyttbara datamedia
Flyttbara datamedia innebr inte bara ett praktiskt std fr verksamheten utan ven ett reellt hot nr det brister i rutiner och hantering. Det r drfr mycket viktigt att all lagrad information skyddas. Med rtt och fungerande rutiner kan man skydda media frn skada, stld och obehrig tkomst. P s stt skyddas verksamheten mot avbrott och frlust av tillgngar.
10.7.2
Avveckling av media
Det br finnas vl avvgda riktlinjer p plats fr att se till att information inte kommer i ortta hnder d man tnker kassera lagringsmedia.
Kapitel 10 Sida 4
Dokumenterade riktlinjer och rutiner br omfatta alla aktuella typer av lagringsmedia. Det kan behvas rutiner fr loggning och attestering fr att uppn ndvndig skerhetsniv.
10.7.3
Rutiner fr informationshantering
Inom organisationen br det finnas tydliga riktlinjer med tfljande rutiner fr hantering av information. P s stt kan risken fr missbruk eller obehrig tkomst minskas.
10.7.4
Skerhet fr systemdokumentation
Oavsett hur man vljer att lagra systemdokumentation mste det regelmssigt skerstllas att lagringsbetingelserna r korrekta vad gller exempelvis tkomsten av lagringsmedia vid fysisk frvaring.
10.8 Utbyte av information

Ml: Att bibehlla skerheten hos information och programvara som utbyts inom organisationen och med ngon extern enhet. Utbyte av information och programvara mellan organisationer br baseras p en formell utbytespolicy genomfrd enligt verenskommelser om utbyte och br vara i verensstmmelse med eventuell relevant lagstiftning (se avsnitt 15). Det br upprttas rutiner och normer fr att under verfring av information skydda fysiska media som innehller information. Lagstiftarens krav, ingngna avtal och eventuella interna skerhetskrav samt fljder fr verksamheten och skerheten kring verfringen av information frn en organisation till en annan br utvrderas innan ett utbyte genomfrs.
10.8.1
Policy och rutiner fr informationsutbyte
Informationsutbyte kan idag ske med anvndning av mnga olika typer av utrustning. Det r dock viktigt att inte glmma bort traditionella rstmeddelanden, brev och fax. Hur informationsutbyte fr ske br vara reglerat i en policy. En frutsttning fr att f en fungerande policy r att det inom organisationen finns ett system fr klassning av information beroende p dess vrde ur informationsskerhetssynpunkt. Regelverket kan exempelvis definiera vilken klass som r tillten att anvnda vid kommunikation med e-post, nr kryptering krvs etc.
10.8.2
verenskommelse om verfring
I samband med upprttande av avtal om utbyte av information och program br skerhetsaspekterna utvrderas redan p ett tidigt stadium. Den egna organisations bedmning av hur knslig eller kritisk den aktuella informationen eller programmet r, eller kommer att vara, br ligga till grund fr avtalets utformning.
10.8.3
Fysiska media under transport
Vid transport av media br rutiner finnas som innebr att det skyddas p ett stt som terspeglar dess vrde fr organisationen.
10.8.4
Elektroniska meddelanden
E-post, EDI och andra former av elektroniska meddelanden mste ges ett skydd vilken str i relation till hur informationen klassats. Har informationen hg skerhetsklassning kan det vara ndvndigt att anvnda annan metod fr verfring av information.
10.8.5
Verksamhetsrelaterade informationssystem
Integrerade informationssystem innebr ofta stora frdelar och effektiviserar verksamheten. Samtidigt kar srbarheten och det kan vara ndvndigt att ha fungerande reservlsningar tillgngliga. Fr att minimera riskerna r det viktigt identifiera vilken information som skall vara tillgnglig och fr vilka informationen skall vara tillgnglig. Bra fungerande rutiner fr skerhetskopiering av information r en ndvndighet.
Kapitel 10 Sida 5
10.9
Elektronisk handel
Ml: Att skerstlla skra e-handelstjnster och en sker anvndning av dessa. Skerhetsfrhllanden vid e-handel, inklusive direktanslutna transaktioner och kraven p skyddstgrder br beaktas. Riktigheten och tillgngligheten hos information som publiceras elektroniskt via publikt tillgngliga system br ocks beaktas.
10.9.1
Elektronisk handel
Det finns en rad tekniker som stdjer elektronisk handel. En generell skiljelinje gr dock mellan lsningar som anvnder enskilda nt, som exempelvis EDI, eller publika nt som Internet. Med std av en vl genomfrd risk/srbarhetsanalys kan man optimera tekniklsningar, skerhetsorganisation och rutiner. Drigenom minskar risken fr strningar som kan resultera i bland annat avtalstvister eller frlust av marknadens frtroende.
10.9.2
Direktanslutna transaktioner
Vid anvndande av direktanslutna transaktioner som exempelvis finansiella eller avtalsrelaterade r det vsentligt att analysera vilka risker som detta kan medfra och upprtta de skydd som r ndvndiga baserat utifrn riskanalysen.
10.9.3
ppen information
Information som skall vara ppen och tillgnglig p exempelvis en webbplats br skyddas p ett effektivt stt fr att motverka att informationen frvanskas vilket allvarligt kan skada organisationens rykte. Innan information grs allmnt tillgnglig mste organisationen frskra sig om att svl informationen som det stt p vilket den presenteras r korrekt och uppfyller gllande lagstiftning som exempelvis personuppgiftslagen.
10.10
vervakning
Ml: Att upptcka obehrig informationsbehandling. System br vervakas och infornationsskerhetshndelser registreras. Operatrs- och felloggar br anvndas fr att skerstlla att problem med informationssystem identifieras. Organisationen br flja alla relevanta lagkrav som r tillmpliga p dess vervakning och loggning. Systemvervakning br anvndas fr att kontrollera effektiviteten hos anvnda skyddstgrder och verifiera att en modell fr tkomstpolicy fljs.
10.10.1
Revisionsloggning
Loggning av anvndaraktiviteter r en grundlggande frutsttning fr sprbarhet. Revisionsloggar som registrerar avvikelser, oregelbundenheter och andra skerhetsrelaterade hndelser br fras och frvaras vl skyddade. D loggning kan medfra registrering av konfidentiella persondata mste tgrder infras fr att skerstlla den personliga integriteten. Ur skerhetssynpunkt br inte systemansvarig eller systemadministratr ha mjlighet att radera eller frndra loggning av egna aktiviteter.
10.10.2
vervakning av systemanvndning
vervakning och p vilken niv denna skall genomfras krver att det finns en frstelse av vilka hot som finns. Fr att dimensionera vervakningsresurserna krvs riskanalyser. Berrd personal br vara informerad om att vervakning sker och fr att skapa frstelse fr detta mste givetvis sklen som ligger till grund fr vervakning redovisas.
10.10.3
Skydd av logginformation
D systemanvndningen loggas r det ndvndigt att dessa loggar verkligen ger korrekt information. Fr att skerstlla detta mste loggarna ges ndvndigt skydd mot tkomst och manipulering. Det br finnas rutiner vilka beskriver vilka som har tkomst till loggarna. Systemadministratrens roll r viktig att definiera. Det r inte sjlvklart att denna befattning innebr full tillgng till alla loggar.
10.10.4
Administratrs- och operatrsloggar
Allt arbete som utfrs av operatrer br loggas. Operatrsloggar br regelbundet kontrolleras av oberoende personal mot driftrutiner. ven operatrer r mnniskor som kan gra misstag, omedvetet eller medvetet.
Kapitel 10 Sida 6
10.10.5
Loggning av fel
Tydliga regler br finnas fr rapportering och hantering av fel i informations- och kommunikationssystemen. Loggar br fras ver rapporterade fel, annars r det omjligt att spra fel och andra incidenter. Hanteringen av rapporterade fel br innefatta: granskning av felloggar, granskning av korrigerande tgrder.
10.10.6
Klocksynkronisering
Korrekt instllning och exakt funktion av datorklockor r vsentligt fr att skerstlla giltigheten hos de loggar som frs. Det rekommenderas att samtliga datorklockor i organisationens ntverk stlls till en verenskommen standardtid. !
Exempel 1 Virus
Fr ett r sedan drabbades Medytekk av ett virus som spreds via e-post. Viruset kom in via Internet till en anstlld, och vidarebefordrade sedan sig sjlv till alla anvndare i de drabbade anvndarnas adressbcker. Det frorsakade att en stor mngd e-brev skickades fram och tillbaka inom och utom fretaget. Resultatet blev att servern som hanterar e-post blev verbelastad och "hngde" sig. Samma server hade ocks uppgiften att bland annat kra ett fr forskarna viktigt analysprogram. Fr att rensa server och starta analysprogrammet anlitades en konsult. Driften var nere i totalt tre dygn. Forskarna ansg att detta var oacceptabelt, d viktiga berkningar inte kunde genomfras under tiden. Vad borde Medytekk ha tnkt p?
2 Skerhetskopiering
D en hrddisk kraschade i en av servrarna frlorades viktig information. D skerhetskopian skulle terstllas upptcktes att den inte fungerade. Man frskte d terlsa ldre kopior men fann att inte heller dessa fungerade. Efter lite underskningar kom man fram till att en ny typ av band fr skerhetskopiering hade brjat anvndas fr tv veckor sedan, och att inget av dessa fungerade. Man hade aldrig tidigare testat att terlsa ngon av dessa kopior. Vad borde Medytekk ha tnkt p?
3 Militant djurrttsaktivist
Medytekk har i olika sammanhang haft problem med demonstrerande djurrttsaktivister. En gng tog sig hackers med sdana intressen in p fretagets hemsida och ndrade den. I samband med detta spreds falsk information dr det bland annat sades att fretaget genomfr plgsamma djurfrsk. Aktivisterna uppmanade till bojkott av fretagets produkter.
Kapitel 10 Sida 7
Vad borde Medytekk ha tnkt p?
Vad kan vi lra oss av dessa exempel? Exempel 1 Virus

Medytekk borde ha tnkt p att skerstlla att uppdatering av anvndarnas virusskydd sker automatiskt och regelbundet. Detta kan uppns genom att: Medytekk prenumererar p virusuppdateringar frn leverantren av programvaran, automatisk uppdatering av anvndarnas virusskydd sker d de loggar p ntverket, servrarna regelbundet genomsks efter virus. Genom utbildning av anvndare kan man tillfrskra sig att de r medvetna om riskerna med "maskerade" bifogade filer och vid minsta tveksamhet inte ppnar dem.
Exempel 2 Skerhetskopiering
Medytekk borde ha bttre rutiner fr att skra att skerhetskopiorna verkligen fungerar bland annat genom att: anvnda funktionen fr verifiering av skerhetskopiorna i direkt samband med att de tas, infra rutiner fr att regelbundet testa att terlsning av bde nya och ldre skerhetskopior fungerar.
Exempel 3 Militant djurrttsaktivist

Medytekk borde ha skyddat sin hemsida bttre, genom att bland annat: upprtta en brandvgg mellan Internet och den server som innehller hemsidan, skerstlla att brandvggen r korrekt konfigurerad och att den vervakas p ett ndamlsenligt stt, dela upp ntverket i ett flertal zoner s att hackers ej kan komma t eller ndra information betrffande produktionen.
Checklista Styrning av kommunikation och skerhet

Frga Ja Delvis Nej
Tas rutinmssigt schemalagda skerhetskopior av data? Tas rutinmssigt schemalagda skerhetskopior av program? Tas rutinmssigt schemalagda skerhetskopior av system? Tas rutinmssigt schemalagda skerhetskopior av loggar? Har antivirusprogramvara installerats heltckande p alla arbetsstationer och servrar? Sker regelbundna uppgraderingar av programvaror? Har behovet av kryptering faststllts? I de fall kryptering anvnds har behovet av stark eller svag kryptering analyserats? Tas loggar frn centrala delar i systemmiljn samt brandvgg? Kontrolleras konfigurationen av centrala delar i systemmiljn samt brandvgg regelbundet? Finns rutiner fr rapportering av iakttagelser? Finns rutiner fr uppfljning av iakttagelser? Finns rutiner fr incidenthantering? Finns eskaleringsrutiner?
Kapitel 10 Sida 8
Styrning av tkomst
Kapitel 11 Styrning av tkomst

Information representerar kunskap och kunskap r en av de viktigaste resurserna i varje organisation. Skydd av information r drfr av vital betydelse fr verlevnad och framgng. IT-system i moderna organisationer tillhandahller en ndvndig infrastruktur fr verksamheten. Strningar i dessa system kan f allvarliga, i vrsta fall fatala, konsekvenser fr organisationen i sin helhet. tkomstskydd av information r datorvrldens motsvarighet till tilltrdes- och anvndningsskydd av fysiska tillgngar i den fysiska vrlden. Det finns mnga kopplingar mellan informationsskerhet och fysisk skerhet, bland annat krver IT-resurser fysiska skydd. Men det finns ocks betydande skillnader svl nr det gller hot och risker som skyddsmetoder. I dagens samhlle har svl informationsskerhet som fysisk skerhet sin givna och ndvndiga plats i framgngsrika verksamheter.
11.1
Verksamhetskrav p styrning av tkomst
Ml: Att styra tkomst till information. tkomst till information, informationsbehandlingsresurser och verksamhetsprocesser br styras p grundval av verksamhets- och skerhetskrav. Regler fr styrning av tkomst br ta hnsyn till policies fr spridning och behrighet till information.
11.1.1
tkomstpolicy
En organisations informationsskerhetspolicy ska klart och tydligt ange de riktlinjer som gller fr tilldelning/frntagning av tkomstrttigheter till information, men ocks hur dessa rttigheters operativa anvndning ska kontrolleras. Styrande fr riktlinjerna r de krav som verksamheten stller p organisationens samlade IT-resurser. Dessa krav kan vara av olika slag: funktionella, effektivitet, skerhet, legala och avtalsmssiga. Informationsskerhetspolicyn mste klarlgga de vergripande principer som ska glla fr informationsanvndning. En ofta tillmpad princip r behov-att-veta-principen, som sger att varje medarbetare ska ha tillgng till exakt den information som krvs fr att han eller hon ska kunna utfra sina arbetsuppgifter. En annan vanlig princip som ocks styr utformningen av regler fr styrning av tkomst sger att det som inte r explicit tilltet r frbjudet. Riktlinjerna och principerna ovan utgr grunden fr det regelverk som ska styra tkomst till IT-resurser i den operativa verksamheten Operativ styrning av tkomst kan ske p tv olika stt: obligatorisk- och frivillig tkomststyrning. Vid obligatorisk tkomststyrning mste tkomstrttigheter definieras fr samtliga anvndare till varje informationsresurs. Detta sker centralt som en systemadministrativ funktion. Vid frivillig tkomststyrning definieras tkomstrttigheter decentraliserat av garen till respektive informationsresurs. Obligatorisk tkomststyrning r resurskrvande men att fredra ur skerhetssynpunkt.
11.2
Styrning av anvndares tkomst
Ml: Att skerstlla behrig anvndares tkomst och frhindra obehrig tkomst till informationssystem. Formella rutiner br finnas fr styrning av tkomstrttigheter till informationssystem och tjnster. Rutinerna br tcka alla stadier i anvndartkomstens livscykel, frn registrering av nya anvndare till slutlig avregistrering av anvndare som inte lngre behver tkomst till informationssystem och tjnster. Srskild frsiktighet br iakttas, dr det r lmpligt, ifrga om behovet av att styra frdelning av privilegierade tkomstrttigheter som tillter anvndare att frbig normala systemsprrar.
11.2.1
Anvndarregistrering
Systemet fr anvndarregistrering ska omfatta samtliga anvndares livscykel som systemobjekt, det vill sga strcka sig frn nyregistrering till slutlig avregistrering. En unik anvndaridentitet (tillsammans med lmplig loggning av anvndaraktiviteter) r en frutsttning fr sprbarhet varigenom en anvndare kan gras ansvarig fr sina handlingar. En rutin br finnas och ett register upprttas vilket visar de tkomstrttigeter varje individ tilldelats.
Kapitel 11 Sida 1
Styrning av tkomst
Viktigt r att alltid beakta de krav som finns fr att skydda individers personliga integritet.
11.2.2
Styrning av srskilda rttigheter
Privilegierad behrighet en tkomstrtt som vertrder normal tkomstkontroll ska tillmpas ytterst restriktivt. Det r vsentligt att tilldelning och anvndning av privilegierad behrighet sker s att sprbarheten upprtthlls. Olmplig tilldelning av priviligerad behrighet kan resultera i onskade intrng i system.
11.2.3
Styrning av lsenord fr anvndare
Tilldelning av lsenord br ske genom en formell och sekretesskyddad rutin. Det r av vikt att utgivning av lsenord fregs av en sker anvndaridentifikation, regler fr hur lsenord br hanteras r faststllda, anvndaren har frsttt och accepterat dessa regler. Temporra lsenord br anvndas sparsamt och utdelas endast efter positiv identifikation av anvndaren. De br alltid tidsbegrnsas. Anvnds tillflliga lsenord br dessa vara av bra kvalitet och endast glla fr den frsta inloggningen.
11.2.4
Granskning av anvndares tkomstrttigheter
Tilldelade behrigheter br granskas efter varje frndring i arbetsuppgifter, men ocks med regelbundna intervall.
11.3
Anvndares ansvar
Ml: Att frhindra obehrig anvndartkomst och verkan eller stld av information och informationsbehandlingsresurser. De behriga anvndarnas medverkan r vsentlig fr en effektiv skerhet. Anvndarna br gras medvetna om sitt ansvar fr att upprtthlla en effektiv styrning av tkomst srskilt nr det gller anvndning av lsenord och skerheten hos anvndarutrustning. En policy som krver renstdat skrivbord och tom bildskrm br infras fr att minska risken fr otillten tkomst till eller skada p pappersdokument, media och informationsbehandlingsresurser.
11.3.1
Anvndning av lsenord
Sjlvvalda lsenord br vara av bra kvalitet, genom att exempelvis best av minst sex tecken (varav minst tv ska vara numeriska eller specialtecken) samt inte vara associerbara till anvndaren p ett enkelt stt. Lsenorden br hllas hemliga. Lagras de p pappers- eller datamedia br detta ske p ett skert stt. Lsenord br aldrig lagras oskyddat i det IT-system det anvnds.
11.3.2
Obemannad anvndarutrustning
Anvndarutrustning utan tillsyn mste skyddas p ett tillfredstllande stt. Ett bra hjlpmedel r lsenordsskyddade skrmslckare. Lmnas persondatorer eller terminaler obemannade under en lngre tid br anvndaren logga ut. Arbetsstationer eller terminaler ska normalt aldrig sls av utan utloggning.
11.3.3
Policy fr renstdat skrivbord och tom bildskrm
Ett sunt och vaket skerhetsmedvetande r en naturlig komponent i varje skerhetssystem. Som en allmn grundregel gller att knslig information aldrig lmnas oskyddad nr den inte anvnds. Det r bland annat viktigt att ploggade men obevakade persondatorer eller terminaler r lsenordsskyddade (eller skyddade p annat stt) och har skrmar som slocknar nr de inte anvnds, knsliga elektroniska dokument eller pappersdokument inte lmnas obevakade p en ppen plats (inte enbart p grund av risk fr sekretessbrott utan ocks p grund av risk fr brand, vattenskada, etc.).
Kapitel 11 Sida 2
Styrning av tkomst
11.4
Styrning av tkomst till ntverk
Ml: Att frhindra obehrig tkomst till ntverkstjnster. tkomst till bde interna och externa ntverkstjnster br styras. Anvndartkomst till ntverk och ntverkstjnster br inte ventyra ntverkstjnsternas skerhet, genom att skerstlla: (a) att det finns lmpliga grnssnitt mellan organisationens ntverk och ntverk som gs av andra organisationer och publika nt; (b) att lmpliga autenticeringsmetoder anvnds fr anvndare och utrustningar; (c) att styrningen av anvndares tkomst till informationstjnster fungerar.
11.4.1
Policy fr anvndning av ntverkstjnster
Policyn fr utnyttjande av ntverk och ntverkstjnster br reglera tillgng och behrighet till just dessa. Policyn r av srskild betydelse om (delar av) organisationens IT-resurser r sammankopplade med andra interna eller externa ntverk eller ntverkstjnster.
11.4.2
Autenticering av anvndare fr extern anslutning
Externa anslutningar kan innebra stora risker fr obehrig tkomst. Drfr r det viktigt att rtt skerhetstgrder vidtas. Exempel p sdana skerhetstgrder r stark autenticering, dedikerad utrustning, privata linjer, motringning, etc. Vid automatisk uppkoppling till externa datorer br ven dessa autenticeras (autenticering av nod).
11.4.3
Identifiering av utrustning i ntverk
Automatisk identifiering av utrustning kan vara en bra lsning om speciell utrustning anvnds eller anslutning sker frn definierade anslutningspunkter. En riskanalys av aktuella hot kan innebra att automatisk identifiering br kompletteras med annan teknik fr autenticering.
11.4.4
Skydd av extern diagnos- och konfigurationsport
Diagnosportar fr distansunderhll br vara avstngda och fysiskt skyddade nr de inte anvnds. Nr diagnosporten behver anvndas br uppkopplingen var styrd frn organisationen.
11.4.5
Uppdelning i ntverk
Modern informationsteknik har introducerat nya samarbetsformer och nya former att inter-agera organisationer emellan, men ocks nya stt att utfra traditionella arbetsuppgifter. Det har medfrt mnga nya frgor och problem nr det gller informationsskerhet med krav p radikalt nya lsningar. Logiskt sektionerade ntverk med skrad kommunikation mellan sektionerna r ett generellt frsk att besvara och lsa flera av dessa frgor och problem. Ansatsen har introducerat en del nya skerhetskoncept och mekanismer, till exempel intrant, extrant, filtrerande router, brandvgg, DMZ (demilitarized zone) och VPN (virtual private network).
11.4.6
Skydd av ntverksanslutning
Anvndarnas mjligheter att anslutna till ntverket br utg frn att det finns klart definierat vilken information som krvs fr att utfra de arbetsuppgifter som innefattas i befattningen. D behoven omfattar tillgng till delade ntverk och ntverk vilka gr utanfr organisationens avgrnsningar kan srskilda restriktioner behvas.
11.4.7
Styrning av vgval
Regler fr styrning av vgval kan vara ndvndigt fr att inte vertrda krav p tkomstkontroll. Vid anvndning av delade ntverk och ntverk vilka gr utanfr organisationens avgrnsningar kan detta vara extra viktigt.
Kapitel 11 Sida 3
Styrning av tkomst
11.5
Styrning av tkomst till operativsystem
Ml: Att frhindra obehrig tkomst till operativsystem. Skerhetsanordningar br anvndas fr att begrnsa tkomsten till operativsystem till endast behriga anvndare. Dessa anordningar br mjliggra fljande: (a) autenticera behriga anvndare i enlighet med en definierad tkomstpolicy; (b) registrera lyckade och misslyckade frsk till autenticering av system; (c) registrera anvndningen av srskilda systemprivilegier; (d) sl larm nr systemskerhetspolicys bryts; (e) tillhandahlla lmpliga medel fr autenticering; (f) i tillmpliga fall begrnsa anvndarens uppkopplingstid.
11.5.1
Sker ploggningsrutin
En ploggningsrutin br dels tillta effektiv och enkel ploggning av legitima anvndare, dels minimera mjligheten till obehrig tkomst. Systeminformation, hjlprutiner, etc. ska inte visas frrn fullstndig ploggning har skett. Antalet tilltna inloggningsfrsk ska begrnsas och misslyckade frsk ska loggas. Det r lmpligt att ploggningsrutinen varnar fr obehrig anvndning av systemet.
11.5.2
Identifiering och autenticering av anvndare
Samtliga legitima systemanvndare ska tilldelas en unik anvndaridentitet. I speciella fall r det lmpligt att en anvndare, exempelvis en systemadministratr, tilldelas flera identiteter. Autentisering innebr att en pstdd identitet verifieras. En anvndare kan styrka sin identitet genom att veta ngot (till exempel lsenord), ga ngot (till exempel aktivt kort), vara ngot (till exempel fingeravtryck).
11.5.3
Lsenordsrutin
Anvndning av lsenord r den vanligaste metoden fr autentisering utom i srskilt knsliga tillmpningar, som till exempel elektronisk handel, dr starkare metoder krvs. I vissa fall tilldelas permanenta lsenord men i normalfallet vljs lsenordet av anvndaren sjlv. Det r nskvrt att lsenordsrutinen kontrollerar att det valda lsenordet r av tillrckligt god kvalitet, tvingar anvndaren till lsenordsbyte med jmna tidsintervall, hindrar teranvndning av tidigare lsenord. Lsenord br aldrig visas eller lagras i klartext eller annan oskyddad form. Fabriksinstllda lsenord i programvaror br ndras i samband med installation.
11.5.4
Anvndning av systemhjlpmedel
Systemhjlpmedel br anvndas mycket restriktivt och ej vara tillgngliga fr vanliga anvndare. Srskilt gller detta program vilka kan stta system och tillmpnigssprrar ur spel. All anvndning av systemhjlpmedel br loggas.
11.5.5
Tidsfrdrjd nedkoppling
Automatisk utloggning och nedkoppling av terminaler efter en viss tid av inaktivitet kan vara lmplig fr att hindra obehrig tkomst. Tillmpningen av detta br fljas upp.
11.5.6
Begrnsning av uppkopplingstid
Restriktioner i uppkopplingstid kan anvndas fr att ka skerheten. Det kan ske genom att det exempelvis bara r mjligt att vara uppkopplad till IT-systemen under normal kontorstid En frutsttning r naturligtvis att verksamheten tillter att man endast har tillgng till resurserna under normaltid.
Kapitel 11 Sida 4
Styrning av tkomst
11.6
Styrning av tkomst till information och tillmpningar
Ml: Att frhindra obehrig tkomst av information i tillmpningar. Skerhetstgrder br utnyttjas fr att begrnsa tkomst till och inom tillmpningssystem. Logisk tkomst till program och data br begrnsas till behriga anvndare. Tillmpningssystem br: (a) styra anvndares tkomst till data och tillmpningssystem enligt definierad tkomstpolicy; (b) ge skydd mot obehrig tkomst via systemhjlpmedel och operativsystemprogram och mot skadliga program som har funktioner fr att sidostta eller g frbi systemets eller tillmpningssystemets styrning; (c) inte ventyra skerheten i andra system med vilka informationsresurser delas.
11.6.1
Begrnsning av tkomst till information
Tillmpningssystem br utformas s att differentierad tkomst till systemdata och systemfunktioner kan tillmpas. Enskilda anvndare br tilldelas tkomstrtt i enlighet med gllande policy och regler fr tkomst samt de specifika krav tillmpningssystemet stller.
11.6.2
Isolering av knsliga system
Speciellt knsliga eller kritiska system kan krva helt eller delvis dedikerade tekniska plattformar. Systemet br ha en utsedd gare och vara vl dokumenterat. Dedikering kan ske genom anvndning av logiska och/eller fysiska metoder.
11.7
Mobil datoranvndning och distansarbete
Ml: Att skerstlla informationsskerheten vid anvndning av mobilutrustning och utrustning fr distansarbete. Det skydd som krvs br st i proportion till de risker dessa srskilda arbetsmetoder orsakar. Vid mobil bearbetning br risker med att arbeta i en oskyddad milj beaktas och lmpligt skydd anvndas. Vid distansarbete br organisationen anvnda skydd fr arbetsplatsen och skerstlla att lmpliga anordningar r installerade fr detta arbetsstt.
11.7.1
Mobil datoranvndning och kommunikation
Anvndning av brbar IT-utrustning (brbar pc, handdator, mobiltelefon, etc.) innebr srskilda risker, i synnerhet om de anvnds p oskyddade platser som konferenslokal, flygplats och hotellrum. Speciella skyddstgrder kan bli ndvndiga mot stld obehrig insyn eller avlyssning. Vidare kan det krvas speciella maskin- och programvaror fr till exempel skerhetskopiering, kryptering och virusskydd. Det viktigaste skerhetsskyddet vid mobil datoranvndning r dock anvndaren sjlv. Ett hgt skerhetsmedvetande parat med goda kunskaper i olika skerhetsprocedurer r en grundfrutsttning fr effektivt skerhetsskydd. Detta gller naturligtvis fr all IT-anvndning, men r speciellt viktigt vid mobilt bruk. En klart uttalad policy fr mobil databehandling samt klara och heltckande skerhetsprocedurer och en relevant utbildning r drfr tre hrnstenar fr en sker mobil datoranvndning.
11.7.2
Distansarbete
Vid regelbundet och omfattande distansarbete, dvs. arbete frn en fast plats utanfr organisationen exempelvis i hemmet, r det viktigt att legala-, frskrings- och arbetsmiljaspekter har utretts och beaktats ordentligt. Skerhetsaspekter som br beaktas srskilt r bland annat fysiskt skydd och frvaring (stld, brand etc.), kommunikationsskydd, skydd mot obehrig insyn (familjemedlemmar, vnner, grannar, med flera), skydd mot obehrig anvndning, skerhetskopiering och kontinuitetsplanering, revision och vervakning av skerhet, std och underhll av IT-utrustning. Ett speciellt problem r personaldatorer som vanemssigt eller endast tillflligtvis anvnds fr arbetsndaml. Dessa datorer r vanligen bristflligt skyddade men ofta uppkopplade mot publika nt. Organisationen mste ha en klar policy och klara regler fr om, hur och nr personaldatorer kan anvndas i arbetet.
Kapitel 11 Sida 5
Styrning av tkomst
Exempel 1 Slarv med lsenord

Kvllstidningarna var en dag fyllda av sensationella avsljanden om de omnskliga djurfrsk Medytekk utfrt under de senaste ren. Kvllspressen uppehll sig speciellt vid sdana frsk som fick gras om p grund av slarv. Djurfrsken var noggrant beskrivna med antalet frsk och djur av olika slag per frsk noggrant angivna. Det var uppenbart att journalisterna p ngot stt hade ftt tillgng till all forskningsdata fr de senaste ren. Den efterfljande underskningen visade att Ida, laboratorieassistent Kalle Larssons sambo, har lmnat Kalles anvndaridentitet och lsenord till Bengt CyberBee Olsson, en av de datorvana ungdomarna i freningen Stopp av djurfrsk nu. CyberBee hade tidigare frgat henne om hon kunde komma t information om Medytekks djurfrsk. Bengt CyberBee Olsson har sedan loggat in som Kalle, kopierat olika filer samt sammanstllt det underlag som kvllspressen anvnde sig av. Ida rkade se Kalles invndaridentitet och lsenord i Kalles almanacka av en tillfllighet. Kalles hade skrivit upp dessa uppgifter p en gul kom-i-hg-lapp som han sedan klistrade p insidan av almanacksbindningen. Vad borde Medytekk ha tnkt p?
2 Internt virusangrepp
Medytekks IT-chef Lennart Jakobsson och hans medarbetare var frtvivlade nr man drabbades av ett tredje virusangrepp p tv veckor. Viruset spred sig snabbt ven denna gng och bde forskningen och administrationen befann sig i ngot som bst liknar kaos. Man var tvungen att ta ner systemet under tv dagar fr stdning varje gng vilket strt arbetsrutinerna kraftigt. IT-enheten fick arbeta nstan dygnet runt under dessa dagar eftersom anvndarna inte ftt tillrckligt mycket utbildning fr att kunna stda sjlva. Till rga p allt var stmningen ngot otrevlig och mnga har ifrgasatt ITenhetens kompetens. Lennart visste att Gran Rubens vervgde att anlita externa experter. Efter det andra virusangreppet har Jakobsson ltit installera ett ytterligare virusskydd. Det verkar inte ha hjlp och speciellt frbryllande var att ingen annan tycks ha drabbats. Dessutom verkade de aktuella virusen vara oknda fr bda leverantrerna av antivirusprogram. Mitt under det brinnande arbetet ringer VD:s sekreterare Berit Qvick och vill trffa Lennart omgende. Hon berttar att man har sett en av medarbetarna p ekonomienheten, Barbro Sllstrm, anvnda en diskett p ett misstnkt stt under morgonen. Barbro Sllstrm tittade runt om kring som fr att kolla att ingen ser henne innan hon satte disketten i diskettlsaren. Eftert la hon disketten i sin handvska som om hon ville gmma den. Under den efterfljande intern- och polisutredningen erknde Barbro Sllstrm att det var hon som initierade virusangreppen p uppmaning av sin pojkvn. Barbro Sllstrm var kr i en utlndsk forskare, James G. Watson, som arbetade fr Medytekk fr ett r sedan. Hon och Watson fattade tidigt tycke fr varandra och var sambor medan Watson var i Sverige. Watson var en mycket begvad kemist men misskte sitt jobb p grund av sitt stora intresse fr datorer och internet. Efter flera mnaders strul i det projekt han var engagerad i fick han lmna Medytekk och lmnade Sverige. Han var mycket bitter och tanken p hmnd gnagde i hans bakhuvud hela tiden. Idn att hmnas genom interna virusattacker fick han frn en av sina hackerkontakter som ocks frsg honom med ngra nya, oknda virus. Vad borde Medytekk ha tnkt p?
3 Hackerintrng
Sven Holgersson ersatte under en period Lennart Jakobsson. Holgersson kom till arbetet sent en fredagskvll fr att gra en del systemuppdateringar. Han brjade med att se om ngon var inloggad som skulle behva varnas om det kommande systemavbrottet. Holgersson trodde fr all del inte att ngon skulle vara det men mrkte
Kapitel 11 Sida 6
Styrning av tkomst
till sin frvning att Stefan Eriksson var inloggad p distans. Han stirrade misstroget p sin skrm; Stefan Eriksson var ju p Bahamas p semester! Efter samrd p telefon med Lennart Jakobsson kontaktade Holgersson IT-brottsenheten p Rikskriminalen. Man lyckades snabbt identifiera frbindelsens andra ndpunkt och kunde gripa en ung hacker p bar grning. Den unge mannen hll p att experimentera med olika hackerverktyg och lyckades av en tillfllighet ta sig in p Medytekks system. Han var mycket frvnad ver hur ltt det var att kncka de flesta lsenorden med hjlp av en ordboksattack. Ngon egentlig skada fr Medytekks uppstod inte. Samtliga lsenord fick dock ndras fr skerhets skull. Vid den efterfljande rttegngen hvdade den unge hackern att han borde f ersttning frn Medytekk i stllet fr bter och det villkorliga straffet. Genom hackerattacken har Medytekk blivit medveten om en stor svaghet i skerhetssystemet. Vad borde Medytekk ha tnkt p?
4 Fejkade lner
Gran Rubens var frbryllad. Flera av projektledarna har klagat ver felaktiga lnekostnader i samband med de mnatliga uppfljningsmtena. Det var inte frga om ngra stora summor, men i alla fall. Han misstnkte frst att en eller annan mnadsln har blivit felkonterad och bad fr ngra veckor sedan Helene Petterson, en av trotjnarna p ekonomienheten, att kontrollera lneredovisningen. Hon har dock inte hittat ngot av intresse. Rubens bestmde sig fr att sjlv g igenom samtliga lnelistor fr ret. Till sin frvning noterade han att flera utlndska forskare vilka har anlitats tidigare men, s lngt han visste, inte under ret har ftt ln fr en eller tv mnader under ret. Han bestmde sig att kontrollera saken med B-G Sjstrm och respektive projektledare. Den fortsatta underskningen visade att ingen av dessa forskare anlitats av Medytekk under ret. En utskrift av deras personaldata avsljade dessutom att de hade ett och samma bankkonto ett konto som tillhrde Helene Petterson! Helene Petterson erknde grtande och berttade om en svrt alkoholiserad make, trasigt hemliv med frestende skilsmssa samt dlig ekonomi. Hon kom p sttet att skaffa extra pengar nr hon mrkte att hon kunde ndra personaluppgifter p eget bevg samt knde till anvndar-id och lsenord som tillhrde arbetskamrater med behrighet att skapa lnetransaktioner. Nr hon blev ombedd av Gran Rubens att granska lneredovisningen frstod hon att hon skulle bli avsljad men kunde inte komma p ngot stt att sopa igen spren efter sig. Vad borde Medytekk ha tnkt p?
Vad kan vi lra oss av dessa exempel? Exempel 1 Social engineering

Medytekk borde ha tnkt p att informera och utbilda alla datoranvndare om hur lsenord ska hanteras, bland annat frvaring, samt den enskildes ansvar fr att det hanteras skert, periodiskt flja upp hur lsenord hanteras, klassificera forskningsinformation mera finkornigt och begrnsa tkomstrttigheter p ett bra stt, tillta extern tkomst endast fr anstllda som behver det fr sitt arbete, exempelvis med hjlp av stark autentisering av anvndare och/eller utrustning. Medytekk borde ocks ha vervgt att informera personalen om olika hot i fretagets omgivning och klargra fr de anstllda hur de frvntas agera (se ven kapitel 6 Personal och skerhet).
Kapitel 11 Sida 7
Styrning av tkomst
Exempel 2 Internt virusangrepp

Medytekk borde ha tnkt p att infra ett system fr uppfljning och vervakning av driften som registrerar och varnar fr avvikelser frn normalt anvndarbeteende, exempelvis nr en normalanvndare initierar exekvering av ett frmmande program, infra en genomtnkt rutin fr incidenthantering, genom att bland annat utbilda anvndarna i konsten att stda efter ett virusangrepp.
Exempel 3 Hackerintrng
Medytekk borde ha tnkt p att infra ett system fr uppfljning och vervakning av driften som registrerar och varnar fr avvikelser frn normalt anvndarbeteende, exempelvis nr en anvndare brjar anvnda datasystemet p fr honom/henne ovanliga tidpunkter, anvnda lsenord av bra kvalitet, genom att krva att alla lsenord r minst sex tecken lnga och innehller minst tv siffror eller specialtecken.
Exempel 4 Fejkade lner

Medytekk borde ha tnkt p att informera och utbilda alla datoranvndare om en lmplig hantering av lsenord de mste hllas hemliga och det r den enskildes ansvar att de frvaras skert, agera snabbt nr det blev knt att personalen p ekonomienheten har lnat ut sina personliga lsenord till varandra. Medytekk borde ocks ha vervgt att fra en mera aktiv personalpolitik, bland annat fr att stdja sina anstllda vid eventuella personliga problem (se ven SS-ISO/IEC 17799, Kapitel 6 Personal och skerhet).
Kapitel 11 Sida 8
Styrning av tkomst
Checklista Styrning av tkomst

Frga Ja Delvis Nej
Finns det riktlinjer fr tilldelning respektive frntagning av tkomstrttigheter till information? Har man faststllt vergripande principer fr informationsanvndning? Finns det ett regelverk som styr den operativa tkomsten till it-resurserna? Tcker regelverket rttsregler och avtalsmssiga skyldigheter? Finns det ett system fr anvndarregistrering? Omfattar systemet hela livscykeln frn nyregistrering till slutlig avregistrering? Behver anvndning av srskilda rttigheter auktoriseras och kan den spras? Sker tilldelning av lsenord genom en formell och sekretesskyddad rutin? Finns det klara regler fr temporra och tillflliga lsenord? Granskas tilldelade tkomstrttigheter periodiskt? Finns det regler fr utformning, anvndning och frvaring av lsenord? Knner anvndarna till dessa regler och har de accepterat dem? Finns det tekniska skydd och operativa procedurer fr obemannad utrustning? Finns det riktlinjer fr utnyttjande av ntverkstjnster? Finns det regler och teknisk utrustning fr autentisering av externanslutningar inklusive extern anslutning av datorer? r externa diagnosportar fysiskt skyddade nr de inte anvnds? r kommunikationen skrad i logiskt sektionerade ntverk? Finns det avtal/verenskommelse med leverantrer av ntverkstjnster fr samarbete avseende skerhet? r metoden fr identifiering och autentisering av anvndare tillfredstllande med hnsyn till genomfrd riskanalys? Finns det regler fr anvndning av verfalls- och ndfallslarm? Finns det tillmpningar med begrnsad uppkopplingstid? Hindrar begrnsningen effektivt arbete enligt systemanvndarna? r differentierad tkomst till data och funktioner mjlig i de tillmpningssystem detta r nskvrt? Finns det revisionsloggar (avvikelseloggar) fr anvndaraktiviteter? Finns det lmpliga system fr driftsuppfljning och -vervakning? Sker loggning och loggranskning p ett skert stt? Finns det IT-verktyg fr manipulering och sammanstllning av loggar frn olika utrustningar? Finns det en verenskommen standardtid fr datorklockor i ntverket? Har det skett en srskild riskanalys fr mobil datoranvndning? Har alla, enligt riskanalysen relevanta, skyddstgrder vidtagits? Har anvndarna av mobil utrustning ftt en genomgripande utbildning i ndvndiga skerhetsprocedurer? Finns det en policy och klara regler fr distansarbete? Sker det en lmplighetsbedmning och en riskanalys i varje enskilt fall? r anvndning av utrustning fr distansarbete fr privata ndaml reglerad? Regleras anvndning av personaldatorer i hemmilj fr arbetsndaml?
Kapitel 11 Sida 9
Anskaffning, utveckling och underhll av informationssystem
Kapitel 12 Anskaffning, utveckling och underhll av informationssystem

Att sjlv utveckla ett eget tillmpningssystem eller upphandla ett externt system utan att frn frsta brjan ta hnsyn till och vga in skerhetskraven kan bli mycket dyrt. Men redan innan det r dags att bygga in skerheten i systemet finns det faktiskt en del allmnna och ganska sjlvklara rd fr hur man ska ta itu med systemutveckling och upphandling rd som man mste flja fr att, oavsett skerheten, f ett system som fungerar som man nskar. Det r inte ngon vits med bra skerhet i ett system som inte fungerar.
12.1
Skerhetskrav p informationssystem
Ml: Att skerstlla att skerheten r en integrerad del av informationssystemet. Informationssystem omfattar operativsystem, infrastruktur, verksamhetstillmpningar, inkpta standardprodukter, tjnster och anvndarutvecklade tillmpningar. Utformning och infrande av det informationssystem som stdjer verksamhetsprocessen kan vara avgrande fr skerheten. Skerhetskrav br identifieras och verenskommas fre utveckling och/eller infrande av informationssystem. Alla skerhetskrav br identifieras under ett projekts kravspecifikationsfas och motiveras, verenskommas och dokumenteras som ett led i den verordnade motiveringen fr ett informationssystem.
12.1
Analys och specifikation av skerhetskrav
Hur ska man undvika att trilla i de dyrbara systemutvecklingsfllorna? Att infra ett LIS r bra. Dessutom finns det anledning att tnka igenom ngra generella systemutvecklingsstrategier. Fr det frsta mste man ha klara tydliga funktionella ml fr vad man vill att systemet ska gra. Den som vill handla rationellt mste sjlvklart alltid gra klart fr sig varfr han vill eller ska gra ngot och hur det ska gras fr att n det nskade resultatet. Detta r den kravspecifikation som s ofta frsummas eller slarvas ver och som ska glla ven skerheten. Ansvaret fr systemutvecklingen och dess olika delar och faser mste vara skriftligt definierat innan utvecklingsarbetet brjar. Normalt br det vara den verksamhetsansvarige systemgaren som br det slutliga ansvaret. Han kan naturligtvis behva ta std av experter. Frsk att begrnsa komplexiteten. Det finns grnser fr hur komplicerade system en mnniska kan verblicka och kontrollera. Det r bttre att bryta ner systemet i mera ltthanterliga bitar. Erfarenheten visar ocks att evolution r bttre n revolution. En stegvis utvecklingsstrategi r bttre n jtteklivet. Fr vrigt fr ett utvecklingsprojekts tidplaner inte bli s lnga att utgngslgets frutsttningar frndrats nr man ntligen kommer i ml. Det hindrar inte att man kan dra nytta av en vision som ett ml att p sikt strva mot. Annat som mste begrnsas r teknikfixeringen. Det r systemgaren som ska ta ansvar och vara den som bestmmer. Som det str i standarden: Alla skerhetskrav br identifieras under ett projekts kravspecifikationsfas och motiveras, verenskommas och dokumenteras som ett led i den verordnade motiveringen fr ett informationssystem. I kravspecifikationen p nya eller utkade/ndrade system egenutvecklade eller upphandlade programpaket mste allts skerhetskraven specificeras. Hur hga skerhetskrav man mste ha r beroende av vrdet av den aktuella informationen fr fretaget, riskerna och riskhanteringen och den skada som kan bli resultatet av otillrcklig skerhet. Skerhetsarbetets gng under systemutveckling kan illustreras enligt fljande: Strategi: Fretagets riktlinjer fr systemutveckling inklusive skerhet. Analys: Riskbedmning, krav enligt lag och avtal, informationsklassning, specifikation av skerhetskrav. Genomfrande: Behrighet, avbrottsplan, eventuell kryptering, kontroller (indata- utdata- och bearbetningskontroller). Test/verlmnande: Formellt verlmnande till drift. Drift/underhll: Dokumentation, loggning, ndringar (efter frnyad riskanalys). Avveckling: Strategi- och policyfrgor etcetera, behandlas i andra avsnitt i denna handbok liksom riskanalys, informationsklassning, behrighetskontroll med mera. I det fljande behandlas planeringen av kontroller, kryptering och hur test och vergng till drift ska styras. Slutligen berrs frgor om upphandling av utvecklingsarbete och drift.
Kapitel 12 Sida 1
12.2
Korrekt bearbetning i tillmpningar
Ml: Att frhindra fel, frlust, obehrig frndring eller missbruk av information i tillmpningssystem. Lmpliga skyddsmedel br konstrueras i tillmpningssystem inklusive anvndarutvecklade tillmpningar fr att skerstlla korrekt bearbetning. Dessa medel br innefatta validering av indata, intern bearbetning och utdata. Ytterligare skyddsmedel kan krvas fr system som bearbetar eller kan pverka knslig, vrdefull eller kritisk information. Sdana medel br beslutas p grundval av skerhetskrav och riskbedmning.
12.2.1
Validering av indata
Sisu (= skrp-in-skrp-ut) r ett gammalt talestt inom informationsbehandlingen. Det betyder frsts att utdata frn ett informationssystem blir dligt om inmatade data har dlig kvalitet. Det r allts ndvndigt att noga kontrollera sina indata oberoende av hur denna inmatning sker. LIS ger ett antal exempel p lmpliga kontroller: dubbelinmatning av data (samma data registreras tv gnger), rimlighetstester, grnsvrden etcetera. Nivn och omfattningen av kontrollerna, som kan bli kostsamma, br bland annat bestmmas av informationens karaktr. I vissa fall kan det vara frga om textbaserade data dr ett och annat fel, som en felstavning, inte har ngon stor betydelse. I andra fall kan det f frdande konsekvenser om en enda siffra felregistreras. En felinmatning i Medytekks lkemedelsrecept liksom i forskningsresultaten kan f mycket svra och kostsamma fljder. Rtt inmatade data kan frvanskas genom bearbetningsfel. Ocks mot avsiktliga felhandlingar och sabotage kan man behva skydd ven om de frefaller mycket osannolika. Det kan krvas srskilda kontroller av bland annat ndrings- eller raderingsfunktioner, kontroll av att rtt programversion anvnds, att program krs i rtt ordning och i samband med terstart efter fel. Bearbetningskontroller av data kan omfatta buntkontroller fr avstmningar, saldokontroll frn en bearbetning till nsta, checksummering och rimlighetskontroller. Flera exempel p bearbetningskontroller finns i standarden. Slutligen mste utdata kontrolleras p motsvarande stt genom exempelvis rimlighetskontroller och avstmningar.
12.2.2
Styrning av intern bearbetning
Vid utformningen och hanteringen av tillmpningssystem br kontroller lggas in fr att upptcka eventuella bearbetningsproblem. Det kan vara lmpligt att upprtta en checklista med lmpliga kontroller.
12.2.3
Meddelandeintegritet
Bedmning av eventuella skerhetsrisker och meddelandets riktighet avgr vilket skydd som behvs. Kryptering (se 12.3) kan vara en lmplig metod d ett utkat skydd behvs.
12.2.4
Validering av utdata
Fr att skerstlla att utdata frn ett tillmpningssystem r korrekt behvs rutiner fr validering av data. Vsentligt r att det grs ngon form av rimlighetskontroll fr att testa om utdata r rimligt. Likas en kontroll av att all indata verkligen har bearbetats.
12.3
Kryptering
Ml: Att skydda informationens sekretess, autenticitet eller riktighet med kryptering. En policy fr anvndning av kryptering br utvecklas. Nyckelhantering br finnas fr att stdja anvndningen av krypteringsteknik.
12.3.1
Krypteringspolicy
Kryptering skyddar bde informationens sekretess och dess riktighet. Dessutom kan kryptering garantera till exempel ett meddelandes kthet (autenticitet). Tillmpade krypteringstekniker bestr av en formel (krypteringsalgoritm) som r allmnt knd och i bland till och med officiell standard. Algoritmen r lset som ppnas med krypteringsnyckeln. Krypteringsnyckeln, som bestr av en slumpvis genererad datastrng, anvnds
Kapitel 12 Sida 2
tillsammans med algoritmen fr att gra ett meddelande eller andra data obegripliga fr den som r obehrig det vill sga saknar krypteringsnyckeln med vars hjlp den behrige kan lsa upp och f tillbaka det okrypterade klartextmeddelandet. Skyddsvrdet av krypteringen r frsts helt beroende av att den hemliga nyckeln inte kommer i ortta hnder. Fr ett fretag som anser sig behva kryptering r drfr ett vattenttt system, inklusive tydlig ansvarsfrdelning, fr generering och distribution av nycklar en viktig (och svrlst) frga. Kryptering och dekryptering (=upplsning) av exempelvis en datafil tar naturligtvis en viss processortid i ansprk och f drmed en kostnad. I princip mera ju lngre (och drmed skrare) nyckel man anvnder. ven nyckelhanteringen kostar. Man br drfr fundera ver om man verkligen behver kryptering och om s r fallet, vlja en algoritm och nyckellngd som r anpassad till den risk och srbarhet som rder. Man br inte skjuta mygg med kanon och inte heller vlja krypto s att det krvs timslngt arbete fr en superdator (eller veckor av pc-bearbetning) fr att kncka kryptot om filen eller meddelandet trots allt har begrnsat intresse under kort tid. Sjlvklart mste det vara resultatet av riskanalysen som blir avgrande fr beslut om kryptering. Ett sdant beslut liksom ocks valet av algoritm och nyckelhanteringsrutin r komplicerade frgor dr det r lmpligt att ta rd av experter. Kryptering r dessutom belastat med diverse legala restriktioner, srskilt vid export och import. ven av det sklet finns anledning att inhmta expertrd. Elektroniska signaturer kan anvndas i stllet fr handskrivna signaturer och drmed mjliggra elektroniska, juridiskt bindande avtal, order, betalningar och s vidare vid bland annat e-handel mellan fretag. Elektronisk signering r en kryptografisk teknik som utnyttjar ett unikt sammanhngande nyckelpar dr den ena nyckeln (den privata) anvnds fr att signera till exempel en betalningstransaktion och den andra (den ppna) fr mottagarens kontroll av signaturen. Eftersom endast den ppna nyckeln i paret kan tolka signaturen gjord med motsvarande privata nyckel kan allts signaturens kthet kontrolleras av mottagaren. Den privata nyckeln mste drfr skyddas vl eftersom vem som helst som har tillgng till den kan frfalska signaturen. Naturligtvis kan ett signerat elektroniskt meddelande ven krypteras om man anser att obehriga inte ska kunna ta del av innehllet. En ytterligare frdel med den elektroniska signaturen r att den kan skra oavvislighet. Den som exempelvis skickat en bestllning signerad med den privata nyckeln kan inte hvda att han inte gjort bestllningen. Ett srskilt problem utgr nyckelhanteringen. Krypteringen och den elektroniska signaturens tillfrlitlighet hnger ju helt p att nyckeln som mste hllas hemlig inte hamnar i ortta hnder. SS-ISO/IEC 17799 innehller en rad frslag till hur ett nyckelhanteringssystem br fungera genom bland annat framstllning, distribution, lagring och ndring av nycklar. SS-ISO/IEC 17799 talar ocks om terkallande av frlorade nycklar liksom arkivering och frstring av existerande nycklar.
12.3.2
Nyckelhantering
Har man valt att tillmpa krypteringsteknologi fr kryptering av information och eller elektronisk signering krvs att det finns rutiner implementerade i organisationen fr att stdja detta. Det r ven ndvndigt med fysiskt skydd av den utrustning som anvnds fr framtagning, lagring och arkivering av nycklar.
12.4
Skerhet i databaser och filer
Ml: Att skerstlla skerheten i databaser och filer. tkomst till databaser, filer och kllkod till programmen br styras och IT-projekt och stdaktiviteter utfras p ett skert stt. Frsiktighet br iakttas fr att undvika avsljande av knsliga data i testmiljer.
12.4.1
Styrning av program i drift
Alla system som gr i drift r normalt freml fr kontinuerlig ndring under sin livstid. Man br vara mycket frsiktig vid system- och programndringar. Uppdatering av driftens program mste ske under strikt kontroll och tester mste formellt godknnas innan det nya/ndrade programmet infrlivas med programbiblioteket. Alla ndringar och uppdateringar br dokumenteras s att de kan spras i efterhand. Tidigare programversioner br bevaras. Frsiktighet mste iakttas vid system- och programtester. Man br om mjligt undvika att anvnda produktionens databaser. Blir det trots allt ndvndigt utnyttjar man en srskild kopia, anonymiserad om s r mjligt, som raderas efter fullbordad test. All testverksamhet br loggas. Revisorer vill grna ha ett revisionsspr att flja. verlmnande av program eller system efter test br ske efter strikta formella regler fr att undvika sammanblandning, missfrstnd och ansvarsproblem. Standarden innehller ett antal regler fr hur ett kllprogramarkiv ska sktas. Det rr ansvars- och tkomstfrgor, uppdateringsrutiner fr arkivet och utlmnande av kllprogram till driften liksom ven loggning av tkomst och andra hndelser och slutligen arkivering av inaktuella programversioner.
Kapitel 12 Sida 3
12.4.2
Skydd av testdata
Testdata vilken anvnds vid system- och acceptanstest mste efterlikna ordinarie driftdata s lngt det r mjligt. Ofta mste dock testdata modifieras s att den ej innehller information vilken har inverkan p personlig integritet eller annan knslig information. Det r vsentligt att hlla testdata avskilt frn produktionsdata samt att logga alla testaktiviteter.
12.4.3
Styrning av tkomst till kllprogramkod
Det r frn ett informationskerhetsperspektiv viktigt att skapa ett starkt skydd med strikta tkomstrttigheter fr kllprogramkod. Detta fr att undvika svl avsiktliga som oavsiktliga frndringar av funktioner i program. Rutiner fr att skerstlla ndringshantering liksom loggning av alla vilka getts tkomst till kllprogramkod kan vara ndvndigt.
12.5
Skerhet i utvecklings- och underhllsprocesser
Ml: Att bibehlla skerheten i tillmpningssystemens program och information. Projekt- och underhllsmiljer br styras noggrant. De personer som r ansvariga fr tillmpningssystem br ocks ha ansvar fr skerheten i projekt- eller underhllsmiljn. De br skerstlla att alla freslagna systemndringar granskas fr att kontrollera att de inte ventyrar skerheten vare sig i systemet eller i driftmiljn.
12.5.1
ndringshantering
En formell rutin fr beslut och godknnande br finnas fr systemfrndringar. Frgorna berr behrighet och behrighetskontroll, rtten att fatta beslut om ndring, kontrollen av att inte andra program eller system pverkas av den tilltnkta ndringen, registreringen fr revisionsspr av alla programuppdateringar, att systemdokumentationen uppdateras, att driftdokumentation och dokumentation av anvndarrutiner ndras och anpassas, slutligen en ordnad arkivering av gamla versioner. Upphandlade program br om mjligt anvndas utan modifiering eller anpassning. Om s nd mste ske br man dels samrda med leverantren, dels behlla originalversionen av programpaketet och gra ndringarna i en tydligt identifierad kopia. Man br endast upphandla program frn vlrenommerade programleverantrer som man kan anta kommer att finnas kvar p marknaden under verskdlig tid. Om man uppdrar programutveckling t en extern part r det viktigt med avtal som reglerar bland annat upphovsrtt, kvaliteten i arbetet, rtten till revision av arbetets kvalitet och kontroll ver hur tester ska genomfras.
12.5.2
Teknisk granskning av tillmpningar efter ndringar i operativsystem
Innan ndringar i ett operativsystem installeras i produktionsmilj r det vsentligt att analysera vilken negativ pverkan detta kan ha p svl drift som skerhet. Ansvar och rutiner fr detta br vara dokumenterade och vl knda.
12.5.3
Restriktioner mot ndringar i programpaket
Ur skerhetssynpunkt r det att fredra att programpaket anvnds i originalversion. Nr det bedmts lmpligt att modifiera programpaket br ndringen begrnsas till det absolut ndvndigaste. Det kan vara ndvndigt att ha ett godknnande frn leverantren och frndringar kan ven innebra att leverantren avsger sig supportansvar. Den frndrade versionen br vara tydligt identifierad och utg frn en kopia av originalversionen.
Kapitel 12 Sida 4
12.5.4
Informationslckor
Trojaner utnyttjar ofta dolda eller dligt skyddade kanaler. Det r drfr viktigt vidta ndvndiga tgrder fr att stoppa trojaner. Policies och effektiva rutiner liksom vidtagna tgrder fr att obehriga ej skall komma t ntverket r vsentligt.
12.5.5
Utlagd programutveckling
Nr programutveckling lggs ut till en leverantr br detta ske under avtalsreglerade former. Vid upprttande av avtal r det srskilt viktigt att beakta: Kvalitet och skerhetsfunktioner Test fre leverans och installation Licensfrgor, gandertt till koden och upphovsrtt
12.6
Hantering av teknisk srbarhet
Ml: Att minska riskerna med utnyttjande av publicerade tekniska srbarheter. Skyddet fr teknisk srbarhet br implementeras p ett effektivt, systematiskt och repeterbart stt med tgrder vidtagna fr att bekrfta dess verkan. Dessa vervganden br omfatta operativsystem och alla andra tillmpningar i drift.
12.6.1
Skydd av tekniska srbarheter
Fr att skerstlla en hg informationsskerhet r det ndvndigt att knna till vilka informationskllor som finns och anvnda dessa fr att inhmta information. Rutiner fr detta liksom att ansvarsfrdelningen r definierad r viktigt fr att lyckas. Programuppdateringar som skall tgrda srbarheter br testas innan ndringen implementeras. En korrekt inventariefrteckning r ndvndig fr att skerstlla att man har kontroll ver alla svagheter.
Exempel 1 Systemkontroller
I samband med anvndning av Amacyclin i Kosovo hade ett fall av frgiftning upptckts. Man misstnkte att vaccinet var frorenat eller felsammansatt. FOI ville bland annat veta vilka kontroller som installerats i det system som styrde och kontrollerade produktionen och srskilt i det kvalitetskontrollsystem som varje vaccinsats genomgick fre leverans. FOI tyckte att det fanns anledning att ifrgastta kontrollen i produktionssystemen. All anvndning och alla leveranser av Amacyclin stoppades med omedelbar verkan i vntan p resultat av Medytekks utredning. Vad hade Medytekk frsummat?
2 En brbar frlust
Vid en lng (och ganska blt) lunch hos ett utlndskt konkurrentfretag tillika presumtiv kund blev en av Medytekks sljare bestulen p sin brbara dator. P datorns hrddisk fanns bland annat vissa nnu inte patenterade forskningsresultat och Medytekks produktionsplaner fr det kommande ret. Materialet var avsett att utnyttjas i samband med frhandlingar med fretaget. Datorn med innehll bedmdes representera ett avsevrt vrde fr konkurrenten (cirka 5 miljoner kronor) och motsvarande frlust fr Medytekk jmte en svruppskattad goodwill-frlust i branschen. Vad skulle Medytekks sljare ha gjort?
Kapitel 12 Sida 5
3 Testslarv
Vid en kvalitetskontroll hos ett stort lkemedelsfretag tillika kund till Medytekk, konstaterades uppenbart felaktiga vrden i Medytekks forskningsresultat. Nr saken undersktes konstaterades att Medytekk frvxlat en filkopia avsedd fr vissa programtester med den skarpa filen som avsgs varfr resultatet blivit helt orimligt. Kunden uttryckte sitt utomordentliga missnje med Medytekks slarv. Vad borde Medytekk ha tnkt p?
4 Systemupphandling
Medytekk kpte fr ngot r sedan ett vlrenommerad programleverantr. Medytekks behva frbttra systemet fr att passa bttre i gjorde drfr vissa ndringar i programmen. Vid senare uppdateringar visade det sig att icke frutsedda fljdfel fr vilka inte ansg sig kunna ta ngot ansvar. dessutom skadestnd fr att hans system i strid hade ndrats utan hans vetskap och Vad borde Medytekk ha tnkt p? programpaket frn en forskare ansg sig Medytekks milj och ndringarna frorsakat programleverantren Leverantren begrde med leveransavtal godknnande.
Vad kan vi lra av dessa exempel? Exempel 1 Systemkontroller

Medytekk borde ha planerat sitt systemutvecklingsarbete p ett mera professionellt stt och ha gett IT-chefen tillflle att upprtta en IT-strategi inklusive informationsskerhetsstrategi, klargjort ansvarsfrdelning dr man bland annat utsett ansvariga systemgare innan systemutveckling pbrjats, gjort riskanalys och planerat skerhet, styrning och kontroller innan systemutveckling pbrjats, installerat kontroller i systemet av indata, bearbetning och utdata, som till exempel rimlighets- och grnsvrdeskontroller.
Exempel 2 En brbar frlust

Med tanke p hur knslig som den information r som de resande sljarna ofta mste medfra i sina brbara datorer vid kund- och mssbesk och hur ltt (och ofta) sdana datorer kan stjlas och glmmas p bland annat hotellrum, borde informationen krypteras p hrddisken. Fr att krypteringen ska fungera mste Medytekk upphandla ett passande kryptosystem, utveckla och installera ett tillfrlitligt system fr hantering (generering, distribution, lagring, ndring, frstrelse etcetera) av nycklar. Medytekk br ocks, med tanke p de pc-stlder som skett, installera kryptering i de knsligaste pc-systemen.
Exempel 3 Testslarv
Medytekk borde ha utvecklat och faststllt regler och kontroller fr testverksamhet som bland annat borde omfatta installation av skra rutiner och kontroller fr frvaring, utlmnande till drift, arkivering och frstring av produktionsfiler, fysiskt dr s r mjligt skilja frvaring och hantering av testfiler frn produktionens filer, tillta utnyttjande av produktionens data fr testndaml endast d det r ndvndigt, om produktionens filer trots allt mste anvndas endast utnyttja avidentifierade kopior som frstrs efter genomfrd test.
Kapitel 12 Sida 6
Exempel 4 Systemupphandling
Medytekk borde besluta om policy och regler fr upphandling av programprodukter/system som innebr att IT-chefen samordnar all sdan upphandling, upprtta lmpliga avtal med programleverantrer, som bland annat reglerar frfogandertt, kvalitetskrav, tester, uppdatering och ndringar, sljarens underhllsansvar och eventuellt skadestnd.
Checklista Anskaffning, utveckling och underhll av informationssystem

Frga Ja Delvis Nej
Har bde interna och externa anvndares/intressenters krav specificerats fre utveckling/anskaffning av ett nytt eller frndrat system? Finns tydlig ansvarsfrdelning fr hela projektet? Finns en skerhetskravspecifikation fr systemet/projektet? Genomfrs riskanalyser systematiskt i projektets olika faser? Tas en kontinuitetsplan fram under projektutvecklingen? Har kontrollrutiner utvecklats fr systemet? Indatakontroller? Bearbetningskontroller?
Utdatakontroller? Har ett eventuellt behov av kryptering vervgts? Finns rutiner fr godknnande av systemfrndringar? Tillmpas rutiner/restriktioner fr ndringar i upphandlad programvara? Skapas erforderliga loggar fr uppfljning av skerheten i systemet? Skerstlls det att testdata kontrolleras och skyddas? Sker utveckling och test av programvara i en egen, frn driften avskild milj? Sker verlmnande till drift enligt fasta rutiner? Finns rutiner fr avveckling av system? Finns erforderlig dokumentation som bland annat beskriver systemet och dess kopplingar till andra system
Kapitel 12 Sida 7
Hantering av informationsskerhetsincidenter
Kapitel 13 Hantering av informationsskerhetsincidenter

13.1 Rapportering av skerhetshndelser och svagheter
Ml: Att skerstlla att informationsskerhetsincidenter och svagheter hos informationssystem rapporteras p ett sdant stt att korrigerande tgrder kan vidtas i rtt tid. Formella rutiner br finnas fr hndelserapportering och eskalering. Alla anstllda, entreprenrer och utomstende anvndare br gras medvetna om rutinerna fr rapportering av de olika typerna av hndelser och svagheter som kan pverka skerheten hos organisationens tillgngar. Det br krvas att de rapporterar eventuella informationsskerhetshndelser och svagheter s snart som mjligt till den utsedda kontaktpunkten.
13.1.1
Rapportering av informationsskerhetshndelser
Rutiner fr incidentrapportering br finnas. De ska skerstlla att incidenter rapporteras s snart de observerats. Rutinerna br vara knda av alla i organisationen och s utformade att det inte finns ngra omotiverade byrkratiska hinder. Definitionen av vad som r en incident mste vara entydig och frstdd av alla.
13.1.2
Rapportering av skerhetsbrister
Fr att frebygga uppkomsten av informationsskerhetsincidenter br alla skerhetsbrister dokumenteras och hanteras i enlighet med en formell rutin. Bsta lsningen kan vara att anvnda samma rutin som fr incidentrapportering.
13.2
Hantering av informationsskerhetsincidenter och frbttringar
Ml: Att skerstlla att ett konsekvent och effektivt angreppsstt tillmpas p hanteringen av informationsskerhetsincidenter. Ansvarsfrdelning och rutiner br finnas fr att effektivt hantera informationsskerhetshndelser och brister s snart de har rapporterats En process fr stndig frbttring br tillmpas nr det gller att reagera p, flja upp, vrdera och verordnat hantera informationsskerhetsincidenter. Dr bevis krvs br de insamlas i verensstmmelse med legala krav.
13.2.1
Ansvar och rutiner
Fr att effektivt kunna hantera eventuella incidenter br en rad tgrder vervgas. ven dessa br behandlas p det stt som tidigare angivits, allts som formella rutiner som vilar p en strikt formell grund. I rutiner fr hantering av denna typ av beredskap br skerstllas att rutinerna innefattar tillvgagngsstt fr att kunna avhjlpa: driftavbrott och fel p informationssystem (ven avsiktligt framkallade), strningar och felaktigheter p grund av inkorrekta data, sekretessbrott. Dessa rutiner br ven inbegripa tillvgagngsstt fr att utrna orsaken till strningen, rutinmssigt infrande av lmpliga tgrder fr att frhindra upprepning samt skra sprbarhet. Vsentligt r ven att former fr vidarerapportering innefattas. Frutom att kontakta de som berrs direkt vid ett eventuellt terstllande br det ven vara klarlagt vilka vriga instanser som ska informeras och i vilken ordning. Vid ett intrng handlar det om att agera snabbt och korrekt. Det finns ofta inte tid fr tveksamheter om intrng upptcks medan de pgr.
Kapitel 13 Sida 1
Hantering av informationsskerhetsincidenter
13.2.2
Att lra av skerhetsincidenter
Fr att utveckla ledningssystemet och frbttra skyddet av informationstillgngarna r det vsentligt att utvrdera rapporterade svagheter och incidenter. Analysen br ske utifrn ett strre perspektiv. Det rcker allts inte att gra detta p ett vergripande stt och bara titta p en enskild incident. Genom att klassa incidenter och anvnda statistiska tekniker kan mnster identifieras. Erfarenheterna frn incidentrapporteringen br tillmpas vid svl genomfrande av riskanalyser som vid uppdatering av informationsskerhetspolicyn.
13.2.3
Insamling av bevis
Nr en informationsskerhetsincident kan resultera i juridiska tgrder mot en person eller organisation br bevis insamlas fr styrka hndelsen. Rutiner fr att hantera disciplinra tgrder d medarbetare bryter mot regelverket vilket styr informationsskerheten inom organisationen. Insamling av bevis och hur detta skall hanteras br vara en del av detta regelverk. Det r ndvndigt att skerstlla att de tgrder som vidtages r i enlighet med gllande lagstiftning. Saknas kunskap inom organisationen r det lmpligt att anlita juridisk expertis.
Checklista Hantering av Informationsskerhetsincidenter

Frga Ja Delvis Nej
Finns rutin fr incidentrapportering? Finns rutin fr rapportering av skerhetsbrister? Har det definierats vad en incident r? Finns regler, metoder fr att skerstlla sprbarhet? Finns rutiner fr korrigerande tgrder?
Kapitel 13 Sida 2
Kontinuitetsplanering i verksamheten
Kapitel 14 Kontinuitetsplanering i verksamheten

Varfr ska en organisation spendera delar av sin redan begrnsade budget p ngonting som kanske skapar vrde fr organisationen bara nr eller om en kris/katastrof skulle intrffa? Sdana initiativ verkar ligga i konflikt med mer kortsiktiga prioriteringar, dr fokus p kostnadskontroll och organisationens ml att generera vinst r viktigare. Att det kan vara frdande att resonera p detta stt visar bland annat tgolyckorna i Lillestrm och Borlnge dr farligt gods transporterades (bland annat gasol). Utrymningar och avsprrningar drabbade bde organisationer och enskilda i omkring en vecka. Fljderna vid allvarliga incidenter kan resultera i att fretag mste lggas ner.
14.1
Informationsskerhetsaspekter p kontinuitetsplanering i verksamheten
Ml: Att motverka avbrott i organisationens verksamhet och att skydda kritiska verksamhetsprocesser frn verkningarna av allvarliga fel i informationssystemen eller katastrofer och att skra terstart inom rimlig tid. En ledningsprocess fr kontinuitetsplanering br infras fr att minimera fljderna fr organisationen och terhmtning efter frlust av informationstillgngar (som kan vara ett resultat av t.ex. naturkatastrofer, olyckshndelser, utrustningsfel eller avsiktliga tgrder) till en godtagbar niv genom en kombination av frebyggande och terstllande skydd. Detta frfarande br identifiera kritiska verksamhetsprocesser, samt integrera krav p kontinuitet i verksamheten frn informationsskerhetsperspektiv med andra kontinuitetskrav utifrn aspekter som drift, personbemanning, material, transport och resurser. Konsekvenserna av katastrofer, skerhetsbrister, frlust av tjnster och tjnstetillgnglighet br analyseras med hnsyn till inverkan p verksamheten. Avbrottsplan br upprttas och infras fr att skerstlla att viktiga funktioner kan terstllas inom rimlig tid. Informationsskerhet br vara en integrerad del av den verordnade processen fr kontinuitetsplanering och ven av andra ledningsprocesser inom organisationen. Kontinuitetsplanering fr verksamheten br innefatta tgrder fr att identifiera och minska risker, frutom den allmnna riskbedmningsprocessen, begrnsa konsekvenserna av skadliga incidenter och skerstlla att den information som krvs fr verksamheten r tillgnglig.
14.1.1
Att inkludera informationsskerhet i verksamhetens kontinuitetsplanering
Kontinuitetsplanering r frmgan och beredskapen att hantera avbrott i en organisations verksamhet. Den syftar till att minska skador som frorsakas av avbrott. Dessutom ska den skerstlla att verksamhetens kritiska processer ligger p en accepterad lgsta niv som kan garantera en finansiell och konkurrenskraftig position p lng sikt. Synonymt med begreppet kontinuitetsplan anvnds ocks begrepp som katastrofplan, avbrottsplan och beredskapsplan. Kontinuitetsplanering innefattar att etablera fungerade processer och en organisation som kan koordinera arbetet med att utarbeta och infra planen, genomfra granskningar och tester av planen och som kan hantera kontinuerlig anpassning av planen till nya risker och hot och frndringar i verksamheten. Traditionellt har kontinuitetsplanering endast hanterat organisationens infrastruktur med den frestllningen att med alternativa lokaler kan organisationens verksamhet fortstta som tidigare. SS-ISO/IEC 17799 standardens definition av begreppet kontinuitetsplanering r dock strre och vidare. Hr r det organisationens verksamhet i kontinuitet som ska skerstllas. Kontinuitetsplanen ska utg ifrn organisationens vergripande skerhetspolicy, om sdan finns, och inte vara begrnsad till dess informationsskerhetspolicy. En kontinuitetsplan innefattar sledes mer n en plan fr att skydda organisationens IT-verksamhet och information. En kontinuitetsplan mste hllas aktuell. Planen, rutiner och organisationen kring den, samt lsningarna fr att stdja den, mste kontinuerligt anpassas till frndringar i organisationens verksamhet, organisation och de risker som mste hanteras.
Kapitel 14 Sida 1
Fr att mjliggra fr organisationen att ta fram och underhlla en kontinuitetsplan, ha frmgan att verkstlla den, samt ha en organisation fr att underhlla den, br arbetet med kontinuitetsplaneringen bedrivas i form av en ledningsprocess. Processen br inkludera fljande element: Definition av omrden och strategi Hot- och riskanalys Avbrotts- och konsekvensanalys Etablering av en organisation fr att utarbeta, infra och underhlla planen Framtagning och dokumentation av planen Frvaltning och underhll Granskning, testning och vning. Arbetet med kontinuitetsplanering br inledas med att identifiera de omrden som behver skyddas. Detta inkluderar att identifiera verksamhetens mest kritiska processer och de produkter/tjnster dessa levererar och som mste skyddas. Hr br man ocks reda ut frgor som: Var br den lgsta nivn p en tjnst ligga i en katastrofsituation? Mste man erbjuda samma kontinuitet av service till alla kunder, eller kan man ha olika serviceniver? Mste alla lokaler vara inkluderade i en kontinuitetsplan eller r vissa mer affrskritiska n andra? r det bttre att titta p avdelningarna separat eller br man betrakta affrsprocesserna tvrs igenom avdelningar? r verksamhetens organisation och kultur sdan att det bsta tillvgagngssttet r att planen tas fram centralt medan genomfrandet sker lokalt? En frutsttning fr att ta fram och dokumentera en kontinuitetsplan r att man har genomfrt en riskanalys. Denna har som syfte att identifiera tnkbara hndelser relaterat till svl verksamhetens infrastruktur som dess affrsverksamhet och vilka kan orsaka avbrott i verksamheten. Dessa hndelser br sedan bedmas utifrn ett riskperspektiv dr sannolikheten och konsekvensen av ett avbrott, inklusive omfattning och tid fr att terstlla, analyseras.
14.1.2
Kontinuerlig verksamhet och riskbedmning
I samband med riskanalysen br ocks en avbrotts- och konsekvensanalys genomfras dr olika hndelsers pverkan p verksamheten beskrivs och analyseras. I denna fas r det viktigt att inkludera bde dimensionerna affrsverksamhet och infrastruktur i analysen. Affrsverksamhet inkluderar affrsrelaterade frgor rrande affrsfunktioner och affrs- processer, produkter och tjnster, viktiga kunder och leverantrer och olika affrsenheters specifika behov. Infrastruktur tcker stora delar av IT-sidan som ntverk, datorer, kritiska applikationer, fastigheter, lokaler och logistik mm. Exempel p kontinuitetsplaner associerade med dessa risker inkluderar omlokalisering av kontor, redundanta datorhallar, dubblerade ntverk mm. Allt fr ofta fokuseras planeringen p risker relaterade till infrastrukturen (vad hnder om ntverket inte lngre r tillgngligt, vad hnder om en byggnad brinner ner) nr det finns mnga andra typer av risker som kanske skulle gra strre skada n dessa. I och med att dimensionen affrsverksamhet adderas, s kan man brja stlla sig frgor som: Vad hnder om en viktig leverantr faller ifrn? Vilka r de kritiska produkter och tjnster som pverkas av att huvudkontor och de personer som jobbar dr r otillgngliga? Denna dimension inkluderar ven frgor som njda kunder, efterlevnad av lagar och regler, fretagets livskraft p lngre sikt samt mer immateriella element ssom fretags- och varumrkesimage. Fr mnga organisationer r kundomsorg nyckeln till framgng. Kontinuitet i kundservice br vara del av de strategiska mlen fr ett kundfokuserat fretag. Detta inkluderar inte bara mjligheten att snabbt kunna lsa ntverks problem, eller mjligheten att snabbt teruppta affrsverksamheten, utan ocks hur man hanterar kommunikation med kunderna. Andra tnkbara katastrofsituationer dr ingen direkt skada skett p tillgngar eller infrastruktur, men som nd krver omedelbar handling kan vara utpressning, ddsfall, negativ publicitet, strejk eller lockouter mm.
Kapitel 14 Sida 2
14.1.3
Utveckling och infrande av kontinuitetsplaner innefattande informationsskerhet
Det r viktigt att i tid etablera en organisation som kan utarbeta, infra och underhlla planen. Kontinuitetsplanering berr mnga avdelningar och kan krva integration av mnga verksamheter, processer och rutiner. Nr man etablerar denna organisation r det viktigt att exempelvis beakta fljande: Ledningens std r absolut kritiskt fr att kunna ta fram och underhlla en kontinuitetsplan. Kontinuitetsplanering r genomgripande av sin natur. Detta betyder att den berr alla niver och avdelningar inom ett fretag och krver en hg grad av kommunikation och integration. Det r viktigt att klargra var och hur riskhanteringsbeslut att tas. Ansvaret fr kontinuitetsplaner ska vara entydigt definierat. Det mste skerstllas att delat gandeskap inte frekommer. Att skapa en kontinuitetsplan kan genomfras som ett antal projekt och delprojekt. Frvaltning, gandeskap och beslutstagande befogenheter ligger inom linjeorganisationen. Olika organisationer har olika prioriteringar och begrnsat med tid och resurser. Att skapa riskmedvetande och att involvera anvndarna i projektet med kontinuitetsplanering r viktigt fr ett lyckosamt slutresultat. En central del i etablerandet av en kontinuitetsplan r att involvera organisationen samt att bygga upp organisatorisk skerhet exempelvis via krishantering. Detta r den organisation som effektuerar de rutiner som ska hantera avbrottet. Speciellt mste denna organisation ha rutiner och regler fr att upptcka och aktivera planen nr en ovntad hndelse intrffar, och att frskra sig om att dessa procedurer r knda av alla inblandade parter och att de fungerar effektivt.
14.1.4
Ramverk fr kontinuitetsplanering i verksamheten
Arbetet med att utarbeta och dokumentera en kontinuitetsplan genomfrs med frdel i projektform. Detta projekt br inkludera fljande omrden Bygga upp riskmedvetenhet i verksamheten samt vertyga intressenter om ndvndigheten av kontinuitetsplanering Skapa reservrutiner och rutiner fr terstllande samt definiera ansvarsfrhllanden fr de kritiska omrdena vilka ska inkluderas i planen Definiera en organisation med rtt ansvarsfrdelning samt adekvata processer fr att frvalta planen Dokumentera rutinerna samt rapportera status, fresl tgrder och beslut som br tas av styrmte p ledningsniv En organisation fr respons- och krishantering br definieras som kan besluta nr planen ska aktiveras. Nr br man trappa upp frn en hndelse (som br hanteras av den dagliga driften) till katastrof? Kan en katastrof vara definierad utifrn vilken inverkan den har p organisationen, eller br ett avbrott av en tjnst som kraftigt pverkar en viktig kund ocks bli hanterad som en katastrof? Huvuduppgiften i arbetet med att utarbeta och infra kontinuitetsplanerna r att koordinera den generella planeringsprocessen, samt att integrera de olika projekten och delprojekten i arbetet med att ta fram och implementera specifika avbrottsrutiner. En kritisk framgngsfaktor r att projektet hller versikt p alla initiativ, och har myndighet att ta problem, konflikter eller frgor till en hgre niv, fretrdesvis till styrmte p ledningsniv.
14.1.5
Provning, underhll och ndring av kontinuitetsplaner
Nr projektet att bygga kontinuitetsplanen r avslutat r det stor risk att planen blir inaktuell inom ngra mnader. Det r organisationens ansvar att hlla planen vid liv och att anpassa den till frndringar i verksamhet och organisation. I organisationens ansvar ingr ven att identifiera hinder som kan ventyra dess arbete. Typiska hinder kan vara bristande samarbete mellan avdelningar, inga incitament till att gra insatser fr att underhlla planerna, brist p kommunikation, historiska svrigheter att gra medarbetare medvetna om olika rutiner och procedurer o.s.v. Inom organisationen br ven fljande frgestllningar beaktas: Vem tar garansvar av de olika delarna och lsningarna i den totala kontinuitetsplanen? Hur ska underhll och distribution av planen organiseras fr att skerstlla att alla involverade personer vet exakt vad de ska gra, baserat p den senaste versionen? Det finns organisationer dr en separat avdelning samordnar underhllet av kontinuitetsplanen och dess stdjande delar.
Kapitel 14 Sida 3
Avdelningen ligger i mnga organisationer organisatoriskt under IT-avdelningen. Denna placering upplevs ofta som ett hinder fr integration med andra delar av organisationen, eller skapar svrigheter i kommunikation och frstelse av andra avdelningars anstrngningar rrande kontinuitetsplanering. P grund av dessa orsaker r oftast bsta placering av avdelningen ngonstans i verksamheten dr den kan ha verblick ver hela organisationen. Organisationen mste ocks definiera hur och nr behovet finns fr en granskning av planen. En normal granskning av kontinuitetsplanen mste vara vl organiserad och br inkludera uppfljning av efterfljande rekommendationer frn granskningen. Eftersom kontinuitetsplanen hanterar en mngd mjliga affrsrisker, kan det vara lmpligt att granskningen koordineras med organisationens internrevisionsavdelning om sdan finns. Mnga internrevisionsavdelningar utvecklas i riktning mot att granska organisationens affrsriskhantering och uppfyller en kontrollerande roll gentemot organisationens ledning. Det r viktigt att frskra sig om att kapaciteten fr att verkstlla planen finns, drfr br regelbundna tester och vningar genomfras. Tester kan gras av hela kontinuitetsplanen eller enskilda delar. Dock r det viktigt att testa helheten inkluderande krishanteringsrutiner fr att skerstlla en verksamhet i kontinuitet om ngonting hnder. En kritisk framgngsfaktor fr att hlla en kontinuitetsplan vid liv r att regelbundet granska medvetenheten hos anstllda och andra berrda. Att skapa ett separat program inom organisationen att utbilda och informera om kontinuitetsplanen kan vara ett stt att hja medvetenheten.
Exempel
Normalt kan incidenter klaras av inom och med den normala organisationen, men d verksamheten drabbas av allvarligare skada och d tiden fr maximerat avbrott verskrids, r det att betrakta som katastrof och d skall kontinuitetsplanen aktiveras Vad gr vi nr och om allt pltsligt slutar att fungera? Vilka konsekvenser fr det? Hur och nr kan verksamheten komma igng? Vilka kostnader medfr ett pltsligt stopp i verksamheten? Hur skall vi hantera personalen? Det finns en mngd frgor att besvara som dyker upp och vi har kanske inga konkreta svar p frgorna. Det r skert vid detta tillflle varje fretagsledare nskar att det funnits en vl fungerande kontinuitetsplan att tillg. Varfr har ingen tnkt p detta tidigare att det kunde hnda, eller r det s att vi tyckt det varit ondigt det hnder inte oss, eller var det s att vi tyckte det kostade fr mycket. Det kanske var s att vi planerat att utarbeta en kontinuitetsplan men inte kommit igng med arbetet. Nr det vl hnt r det fr sent att vara efterklok. Om man frutstter att Medytekk kan klara sig 5 dygn utan delar av verksamheten eller IT-stdet Vad innebr 5 dygn utan produktion eller IT-std? Vad hnder om allt blivit frstrt av exempelvis en brand? Det kan vara s att grannfretaget drabbas av en incident som sprider sig till Medytekk med fljden att Medytekk ocks blir utslaget helt eller delvis? Vad som helst kan hnda, smtt som stort, och det gller att vara frberedd p detta bland annat genom att ha en fungerande kontinuitetsplan med utbildad och trnad personal. Fljande exempel ger en fingervisning om vad som kan hnda och med lite eftertanke kan dessa lsas med en kontinuitetsplan som r anpassad till er organisation.
1 Naturkatastrof
Fr ca 3 r sedan drabbades verksamheten i Sverige av en allvarlig incident d blixten slog ned i Medytekk: s stllverk (elcentral) som frsg hela fretaget med kraft. Blixten orsakade samtidigt en brand som totalfrstrde stllverket och angrnsande utrymmen (C testprod, Pretest djur och delar av produktionslokalen plan 2). I stort sett alla djur omkom p.g.a. rkgaserna. Verksamheten drabbades hrt d produktion och verksamhet endast kunde bedrivas i mycket begrnsad omfattning under ca tv veckor, mitt under hgproduktion.
Kapitel 14 Sida 4
Incidenten medfrde att inga larm eller passagekontroller fungerade. Hissen drabbades ocks och var ur funktion. Laboratoriet fick ett antal projekt starkt frsenade, d frsksdjuren omkommit, vilket medfrde att samtliga pgende frsk mste startas frn brjan. De lokala IT-systemen i dessa lokaler skadades och ngra servrar mste nyanskaffas. Vissa problem uppstod vid installationen av de nya servrarna, d skerhetskopiorna inte var fullstndiga och att en dags produktion av information mste terskapas manuellt, vilket medfrde extra arbete p ca en vecka.
Kapitel 14 Sida 5
Vad borde Medytekk ha tnkt p?
2 Explosion
Medytekk drabbades fr ett r sedan av en explosion och brand i sitt laboratorium. Laboratoriet blev totalfrstrt och ett flertal viktiga ITutrustningar frstrdes innehllande mngder av testresultat. Samtliga frsk frstrdes, samtidigt som det fanns stor risk fr smittspridning, d ett antal virus- och bakterieodlingar fanns i lokalerna. Det kan inte skerstllas att dessa frstrts under branden d ett antal av dessa kan vara motstndskraftiga mot vrme. Hela omrdet sprrades av och var i behov av sanering. Samtliga som betrdde omrdet mste bra helskyddsdrkter. Det bedmdes vid tillfllet att det skulle ta minst flera mnader innan verksamheten skulle kunna terupptas i full produktion. Skerhetskopior p den senaste och viktigaste informationen fanns inte annat n i den server som fanns i anslutning till laboratoriet och som totalfrstrts. Resterna av hrddiskarna skickades till ett externt fretag fr att om mjligt kunna terskapa den viktigaste informationen. Dock upptcktes att delar av informationen fanns i de tv brbara utrustningar som tv av forskarna hade fr hemarbete. Frskringsskyddet tckte inte skadorna. Vad borde Medytekk ha tnkt p?
3 Olycka
Medytekk drabbades nyligen terigen av en olyckshndelse. Det var restaurangkket som fattat eld genom verhettning av en flottyrkokare. Branden spred sig till intilliggande lokaler genom ventilationssystemet. Ovanfr restaurangkket finns den centrala datorhallen som skadades svrt vid branden. Skerhetskopior fanns p annan plats, men det visade sig att den senaste skerhetskopian (en vecka gammal) ej verfrts till skerhetsarkivet. Den senaste skerhetskopian var ca tv veckor gammal. Kablar till och frn datorhallen r frstrda d dessa dragits i anslutning till ventilationssystemet. Samtidigt med denna hndelse blev den ansvarige IT-teknikern frolyckad d han var p vg till Medytekk fr att om mjligt rdda ngot. IT-installationerna r mycket komplicerade och genom olyckan upptcktes att ingen annan visste hur systemen var uppbyggda. Vad borde Medytekk ha tnkt p?
Vad kan vi lra oss av dessa exempel? Exempel 1 Naturkatastrof

Med en kontinuitetsplan och frutseende tgrder kunde incidenten (hndelsen) ha begrnsats till ngra dagar. Bland annat borde grundlggande tgrder ha vidtagits enligt nedan: Verksamhetsanalys (identifiering av omrden som behver skyddas). Hot- och riskanalys. Kostnadskalkyl (riskvrdering). Dessa fr att identifiera risker och sannolikheten fr att denna hndelse kunde intrffa, samt vilka kostnader hndelsen skulle medfra med och utan kontinuitetsplan. Fljande tgrder hade i detta exempel minskat kostnader och tiden fr driftstoppet:
Kapitel 14 Sida 6
Kontinuitetsplan (reservrutiner). Skerhets- och brandutbildad personal. skledare. Tillfrlitligt brandlarm med tidig indikation. Dubblerad kraftfrsrjning, kraftmatning frn tv oberoende stllverk. Favoriserad kraft till viktiga delar av verksamheten med UPS. Reservutrustning. Batteribackup p ls, larm och passagekontroll. Frsksdjuren i tv oberoende byggnader.
Exempel 2 Explosion
Hur skulle skadeverkningarna ha kunnat minskas? Vilka tgrder borde ha vidtagits fre olyckan? Med en kontinuitetsplan kunde incidenten (hndelsen) ha begrnsats. ven i detta fall borde tgrder ha vidtagits enligt nedan: Verksamhetsanalys (identifiering av omrden som behver skyddas). Hot- och riskanalys. Kostnadskalkyl (riskvrdering). Dessa fr att identifiera risker och sannolikheten fr att denna hndelse kunde intrffa, samt vilka kostnader hndelsen kunde medfra med och utan kontinuitetsplan. Kontinuitetsplan (reservrutiner). Skerhets- och brandutbilda personalen (katastrofutbildning). Uppdelning av laboratoriet (olika fastigheter). Endast ha mindre mngder brnnbara mnen i lokalerna och ha ett srskilt frrd i egen byggnad som r anpassad fr frvaring av dessa mnen. Automatisk brandslckning p utsatta platser. Online skerhetskopiering till annan fastighet. Skerhetskopior br alltid frvaras p tv platser fysiskt skilda frn varandra. Srskilt anpassat rum fr odlingar med anpassat skydd mot brand etc. Inga knsliga IT-utrustningar i laboratoriet, endast terminaler till ntverket. Ovanstende tgrder br ing i en kontinuitetsplan.
Exempel 3 Olycka
ven i detta fall borde tgrder ha vidtagits enligt nedan: Verksamhetsanalys (identifiering av omrden som behver skyddas). Hot- och riskanalys. Kostnadskalkyl (riskvrdering). Dessa fr att identifiera risker och sannolikheten fr att denna hndelse kunde intrffa, samt vilka kostnader hndelsen kunde medfra med och utan kontinuitetsplan. Kontinuitetsplan (reservrutiner). Felplacerad datorhall. Bttre rutiner fr undanfrsel av skerhetskopior, alternativt onlinekopiering till server i annan byggnad. Kablar till ntverk och datorer br alltid dras s de r skyddade eller p sdant stt att kraft ventilationsrr ej kan pverka dessa. Nyckelpersonal. Det visar sig om man granskar tgrderna vid incidenter att mnga tgrder terkommer vid olika hndelser. Det r viktigt att analysera och skilja ut vad som r krnverksamhet (det man tjnar pengar p) och prioritera tgrder fr krnverksamheten.
Kapitel 14 Sida 7
Checklista Kontinuitetsplanering fr verksamheten

Frga Ja Delvis Nej
Finns en testad och fungerande kontinuitetsplan? r den vl knd och dokumenterad? Finns ansvarig utsedd fr kontinuitetsplanen? Har alla verksamheter deltagit vid utarbetandet av kontinuitetsplanen? Uppdateras kontinuitetsplanen vid frndringar och minst en gng om ret? r personalen vl frtrogen med kontinuitetsplanen? r personalen vad och knner de till hur de skall agera? Finns organisation fr att garantera verksamhetens kontinuitet? Finns enkla checklistor fr vilka tgrder som skall vidtas? Finns rutiner fr bevakning vid allvarlig hndelse? Finns fungerande larmlistor till nyckelpersoner? Finns reservrutiner och reservplats? Finns lokal fr ledning av verksamheten vid avbrott? Finns en aktuell resursfrteckning? Finns ansvariga utsedda att leda verksamheten vid kris/katastrof? Kan tillflligt ntverk snabbt terskapas? Finns klara planer fr terstart? Kan viktig information och utrustning snabbt flyttas om hot freligger? Finns fungerande rutin fr incidentrapportering? Finns och genomfrs konsekvensanalyser vid incidenter? Kan verksamheten komma igng inom planerad tid?
Kapitel 14 Sida 8
Efterlevnad
Kapitel 15 Efterlevnad
Organisationers verksamhet regleras av lagar och avtal. Mnga verksamheter mste ocks flja srskilda frfattningar eller krav som stllts upp av myndigheterna. Att handla i strid med regelverket kan naturligtvis orsaka skador fr verksamheten, och d inte bara ur ett juridiskt perspektiv. ven om direkta skador uteblir finns det risk att frtroendet naggas i kanten, ngot som p sikt kan kosta organisationen vl s mycket. Drfr r det vsentligt att organisationen fljer det lagar och avtal som berr verksamheten.
15.1
Efterlevnad av rttsliga krav
Ml: Att undvika handlande i strid med frfattningar eller avtalsfrpliktelser och andra skerhetskrav. Utformning, drift, anvndning och styrning av informationssystem kan pverkas av bestmmelser i lagar, frfattningar och skerhetskrav i avtal. Rdgivning i frgor om srskilda rttsliga krav br inhmtas frn organisationens juridiska rdgivare eller lmplig juridisk expertis. Rttsliga krav varierar frn land till land och kan vara olika fr information skapad i ett land och som verfrs till annat land (s.k. trans-border data flow). Verksamhetens informationssystem kan pverkas av bestmmelser i lagar, avtal och eventuella andra regler. Det gller svl systemens utformning som dess drift och anvndning. En komplicerande faktor r att hnsyn ofta ven mste tas till andra lnders lagar och regler. Organisationen br ta sin juridiske rdgivare, jurist eller annan person med lmpliga kunskaper till hjlp.
15.1.1
Identifiering av tillmplig lagstiftning
Fr varje informationssystem br organisationen gra klart vilka rtts- och avtalsregler som gller. Drefter br de personer som ansvarar fr efterlevnaden utses. Personerna br frses med de styrmedel som behvs fr att efterlevnaden ska kunna fljas upp.
15.1.2
Immaterialrtt
Immaterialrtten reglerar exempelvis upphovsrtt, patent och varumrkesskydd. Vid upphandling av programprodukter finns det i allmnhet restriktioner i licensavtalen. Brott mot dessa restriktioner, vanligen genom att extra kopior grs och installeras, kan leda till bter och mycket kraftiga skadestnd. Det r drfr viktigt att organisationen har en policy som reglerar programvaruanvndningen. Policyn br kompletteras med regler fr upphandling och den praktiska programanvndningen, exempelvis hur det ska g till om en programvara ska verltas till ngon annan. Det br srskilt regleras hur programvaror fr hmtas frn till bland annat internet. Som alltid br man frskra sig om att alla anstllda knner till regelverket och vad avvikelser frn det kan innebra. Det br ocks finnas uppdaterade register ver vilka program organisationen har licenser fr. Arkivering av bevis p innehav, som handbcker, installationsdiskar etcetera, kan vara ett std vid en eventuell process.
15.1.3
Skydd av organisationens register och andra redovisande dokument
Register och andra frtecknade uppgifter kan behva skyddas fr att inte bli avsljade, frlorade, frstrda och frvanskade. Vissa uppgifter kan behva skyddas fr att lagen sger s medan andra r betydelsefulla fr verksamheten som sdan. Drfr br ett system fr sker lagring och hantering vara upprttat. Alla register br vara utformade s att de r ltta att identifiera. Kategorisering efter typtillhrighet br gras och uppgifter br finnas om hur registret r lagrat och hur lnge det ska behllas. Man br ocks vervga valet av lagringsmedium s att det gr att lsa uppgifterna under hela den tid som det r bestmt att registret ska finnas. Nr det r dags att gr sig av med ett register br informationen makuleras p ett skert stt.
15.1.4
Skydd av persondata
Mnniskors personliga integritet r en stor frga. I Sverige har vi en lagstiftning som ska frhindra att personuppgifter hanteras p ett stt som kan krnka den personliga integriteten. Mnga andra lnder har liknande lagstiftning. Inom EU finns direktiv p omrdet, som bland annat legat till grund fr den svenska Personuppgiftslagen, PUL. Lagar och direktiv freskriver i allmnhet vilka personuppgifter som verhuvud taget fr registreras och behandlas, nr det fr ske samt vilka krav som stlls p den som hanterar uppgifterna. Fr register med personuppgifter ska ett individuellt ansvar vara faststllt.
Kapitel 15 Sida 1
Efterlevnad
Fr att kunna efterleva dessa krav mste det finnas en viss styrning. Exempelvis kan ett personuppgiftsombud utses i organisationen. Ombudet ska kunna vgleda ledning, personuppgiftsansvariga samt andra berrda i frgor som rr ansvar, regelverk och de rutiner som br fljas.
15.1.5
Frhindrande av missbruk av informationsbehandlingsresurser
Datorer, program och annan utrustning fr informationsbehandling tillhr organisationen och finns dr fr att p olika stt stdja verksamheten. Annan anvndning, utan ledningens vetskap och godknnande, kan ses som obehrig. Vissa lnder har infrt lagstiftning mot obehrig anvndning. Det kan d till och med vara brottsligt att anvnda fretagets dator privat. En annan aspekt p missbruk r att obehrigen skaffa sig tillgng till skyddad information. ven detta kan vara brottsligt, oavsett om det grs av anstllda i verksamheten eller i form av externa intrng. Anvndarna i den egna organisationen br informeras om vilken anvndning som r tillten men ocks om eventuella pfljder som kan komma av ett missbruk. Att mottagaren ftt denna information ska bekrftas. Vid frsk att logga p till ngot av organisationens system br anvndaren f ett meddelande om att obehrig tkomst inte r tillten. Fortsatta frsk ska inte vara mjliga utan att anvndaren bekrftar meddelandet. Fr att upptcka ett eventuellt missbruk krvs naturligtvis uppfljning. Rutiner fr detta br drfr finnas. Det innebr ofrnkomligen en viss vervakning av anvndarnas verksamhet i systemen, som i vissa fall innebra att organisationen i stllet gr sig skyldig till lagbrott! Hur vervakningen fr se ut varierar mellan olika lnder, drfr br juridisk kompetens anlitas nr rutinerna utformas.
15.1.6
Reglering av kryptering
Vissa lnder har lagstiftning p krypteringsomrdet. Det kan glla restriktioner fr import/export av utrustning fr kryptering eller krav p statlig tillgng till krypteringsnycklar. Juridisk kompetens br anlitas fr att skerstlla att organisationen inte bryter mot gllande lagstiftning. Innan krypterad information eller utrustning flyttas till ett annat land br det berrda landets lagstiftning utredas.
15.2
Efterlevnad av skerhetspolicys, -standarder och teknisk efterlevnad
Ml: Att skerstlla att system fljer organisationens skerhetspolicys och standarder. Informationssystemets skerhet br granskas regelbundet. Sdana granskningar br ske mot tillmpliga skerhetspolicys. De tekniska plattformarna och informationssystemen br granskas vad avser efterlevnad av tillmpliga standarder fr infrande av skerhet och dokumenterade skerhetstgrder.
15.2.1
Efterlevnad av skerhetspolicys och -standarder
Fr att skerstlla att skerhetsrutinerna tillmpas br regelbundna granskningar genomfras och omfatta: informationssystem, systemleverantrer, gare av information och informationstillgngar, anvndare, ledningspersonal. Arbetet br aktivt stdjas av informationsgarna.
15.2.2
Kontroll av teknisk efterlevnad
Teknisk kontroll, utfrd av specialister, krvs fr att skerstlla att skerhetslsningar r korrekt implementerade. Arbetet kan utfras manuellt eller med hjlp av lmpliga program- och rapportverktyg. Exempelvis kan s kallade penetrationstester pvisa skerhetslsningarnas effektivitet mot systemintrng. Hr r det vsentligt att testerna inte ventyrar systemens skerhet, varfr svl dess utfrande som vervakning br ske av kompetent personal.
Kapitel 15 Sida 2
Efterlevnad
15.3
Att beakta vid revision av informationssystem
Ml: Att maximera revisionens effektivitet och samtidigt minimera driftstrningar orsakade av revisionen. Medel br finnas fr att skydda system i drift och revisionshjlpmedel under pgende revision av informationssystem. Skydd krvs ocks av revisionshjlpmedlen fr att bevara deras riktighet och frhindra missbruk.
15.3.1
Styrning av revision av informationssystem
Fr att systemrevisionen inte i ondan ska stra den operativa verksamheten br fljande iakttas: samrd med tillmplig ledning, verenskommelse om vilka kontroller som ska granskas, revisor och revisionsprogram br endast ha lsbehrighet (undantag kan gras fr eventuella kopior av produktionsdata, vilka sedan br raderas), erforderligt std frn berrda IT-resurser, eventuella srskilda bearbetningar fr revisionsndaml br verenskommas, loggning av all tkomst fr att mjliggra sprbarhet, dokumentation av samtliga revisionsrutiner samt ansvarsfrhllanden.
15.3.2
Skydd av hjlpmedel fr revision av informationssystem
tkomst till revisionshjlpmedel ska begrnsas. Hjlpmedlen br lagras tskilda frn utvecklings- och produktionssystem.
Exempel 1 Olicensierade program

Fr ett par veckor sedan slutade IT-konsulten Stellan T Brk innan han genomfrt sitt uppdrag. Medytekk var inte njda med Stellans stt att skta sitt uppdrag och hade drfr hos dennes arbetsgivare framfrt nskeml om att byta ut honom. Stellan var inte p sitt bsta humr nr han lmnade Medytekk. Medytekk fr en dag besk av representanter frn BSA (Business Software Alliance). BSA sger sig ha ftt tips om att piratkopior av program finns i fretagets datorer och begr att f gra en genomgng. Alla datorer utom de som fr tillfllet inte finns i fretagets lokaler undersks. Det framkommer att ett antal datorer innehller avancerad CAD/CAMprogramvara, trots att fretaget bara kan pvisa att en licens finns. Detsamma gller diverse andra program fr framstllning av ritningar och flden. Dessutom hittas ngra olicensierade spelprogram. Medytekk riskerar att antingen polisanmlas eller att ing en uppgrelse i godo med BSA. Vad borde Medytekk ha tnkt p?
Kapitel 15 Sida 3
Efterlevnad
2 Musikfiler p ntet
Kapacitetsproblem konstateras p en av fretagets servrar. Det visar sig att hrddisken i servern r full, vilket frvnar eftersom den nyligen bytts ut till en strre. Vid analys upptcks omkring 5 000 s kallade MP3-filer med musik. Ytterligare analys, denna gng av loggar, visar att filerna under lng tid laddats ned frn internet och ocks vem som gjort det. Vid samtal med personen, Inge Snygg, framgr det att ett omfattande musikutbyte skett mellan Inge och ett par andra personer p fretaget. Vidare har en cd-brnnare p IT-avdelningen anvnts fr att kopiera musikfiler frn servern. Inge hvdar att han hela tiden sktt sitt jobb och att han inte visste att det inte var tilltet. Vad borde Medytekk ha tnkt p?
3 Datorn fast i tullen

Forskaren Fasth Ulln vid Medytekk ker utomlands fr att medverka vid ett seminarium. Han ska dr hlla fredrag och hoppas naturligtvis p nya internationella kontakter som kan leda till affrer. Hans fredrag har i form av bildspel och stdord lagrats i den brbara datorn som r med p resan. Eftersom Fasth r skerhetsmedveten har han ltit installera skerhetsprogramvara p sin dator. Skulle datorn frsvinna s kan ingen f tillgng till innehllet, som r krypterat i sin helhet. Vid ankomst till flygplatsen i det frmmande landet har Fasth otur och ker in i tullen. Tullaren krver att Fasth ska sl p sin dator. Nr det framgr att informationen skyddas av kryptering sger tullaren att Fasth ska informera om krypteringsnyckeln. Fasth vgrar, d han inte ens vet vad krypteringsnyckel r. Lsenordet vill han frsts inte lmna ut. Datorn stannar kvar i tullen tills Fasth ker hem igen utan att ha kunnat hlla ngot fredrag. Vad borde Medytekk ha tnkt p?
Vad kan vi lra oss av dessa exempel? Exempel 1 Olicensierade program

Om det var Stellan T. Brk som skvallrat om olicensierade kopior eller om det kom fram till BSA p annat stt r i sammanhanget inte relevant. Kopior av det slag som fanns vid Medytekk tas mnga gnger av bekvmlighetsskl fr att slippa bestlla och vnta p ny licens. Mnga betraktar inte heller frfarandet som piratkopiering, d man ju nd en gng betalat fr programmet. En policy med tillhrande regler fr programanvndning frhindrar naturligtvis inte kopieringen i sig, men tydliggr fretagsledningens instllning. Information till alla anstllda om tnkbara fljder, svl fr bolaget som fr den enskilde, skulle sannolikt ha minskat risken fr det intrffade.
Exempel 2 Musikfiler p ntet

Regelverket fr vad som fr laddas ned och upphovsrtt r en frga i sig vilken vi ej tar upp hr. Klart r dock att exemplet r ett fall av missbruk av fretagets resurser. Eftersom fretagsledningen inte explicit uttryckt att datorer och program r avsedda fr arbetet och inget annat, kunde Inge hvda att han var i sin fulla rtt. Som i exemplet med otillten kopiering av program skulle en tydlig policy med information till de anstllda sannolikt ha minskat risken.
Kapitel 15 Sida 4
Efterlevnad
Exempel 3 Datorn fast i tullen

Risken att tullen intresserar sig fr en dator r naturligtvis lg. nd hnde det hr. Exemplet visar att okunskap om lagstiftningen p detta omrde faktiskt kan f ovntade fljder. Om bolaget i frvg rdgjort med en jurist och informerat de anstllda om vad som gller p krypteringsomrdet, hade skerligen ngon annan lsning fr Fasths fredrag kunnat hittas fre avresan.
Checklista Efterlevnad
Frga Ja Delvis Nej
Finns i verksamheten, anstlld eller konsulterad, person med erforderlig juridisk kompetens? Har relevanta lagar och avtal identifierats fr verksamhetens informationssystem? Har ansvarig fr att flja upp efterlevnaden utsetts och finns fungerande metoder fr detta? Finns fungerande policy och regler fr programupphandling och programanvndning? Finns aktuellt register ver inkpta program? Finns system fr sker lagring, hantering och destruktion av information? Finns utsedda ansvariga fr skydd av personuppgifter? Finns policy som reglerar hur fretagets system ska anvndas (skydd mot missbruk) och har de anstllda informerats? Finns rutiner fr att flja upp systemanvndningen?
Kapitel 15 Sida 5
Appendix 1 Exempelfretaget Medytekk
Appendix 1 Exempelfretaget Medytekk AB

Inledning
Detta kompendium innehller information om fretaget Medytekk AB. Fretaget r helt fingerat och eventuella likheter med i verkligheten existerande fretag ska betraktas som en ren tillfllighet. Detta gller ven fr de personer och anstllda som beskrivs i detta material. Att utveckla ett nytt lkemedel r en komplicerad och tidskrvande process. Den krver samverkan mellan specialister frn olika omrden inom biologi, medicin och teknik, ssom biokemi, toxikologi, patologi, fysiologi, farmakologi och klinisk dokumentation. I genomsnitt tar det 1015 r innan ett nytt lkemedel kan introduceras p marknaden frn den inledande grundforskningen. Fr att reducera tiden frn forskning till frdigt lkemedel som kan konsumeras utnyttjar mnga strre lkemedelsfretag mindre forskningsfretag ssom Medytekk AB. Ca 10 procent av de resultat som Medytekk AB sljer blir till lkemedel. De ider som utvecklas syftar till att fylla ett medicinskt behov p marknaden. Kemister och farmakologer diskuterar vilka kemiska strukturer som br underskas och vilka biologiska testsystem som r lmpliga att anvnda fr att den nya substansens effekter ska kunna ringas in. Visar det sig att det finns brkraft i idn avancerar den till att bli ett projekt. Fler vetenskapsmn involveras i processen och fr att skydda idn grs en patentanskan fr de kemiska freningar som r mest intressanta. Farmakologiska studier utfrs fr att ta reda p freningarnas effekter, biverkningar, hur freningarna tas upp, omstts och utsndras ur organismen. Det r ocks viktigt att ta reda p hur freningen pverkar arvsanlag och foster samt undersker eventuell skadlighet vid lngre tids anvndning. Det r inom ramen fr detta som Medytekk AB har sin verksamhet. Efter frsljning av forskning och testresultat tar nsta fas vid. Kunskapen om de utvalda substanserna r nu s omfattande att kparen kan vlja ut en lkemedelskandidat en s kallad Candidate Drug, CD. Efter dessa pre-kliniska studier ansker lkemedelsfretaget om tillstnd att f gra studier p mnniska, s kallad Investigational New Drug (IND). Nr tillstnd erhllits startas kliniska studier p mnniskor. Detta arbete delas in i fyra faser. I fas I grs toleransstudier och underskningar p friska frskspersoner om hur det blivande lkemedlet tas upp, bryts ner och utsndras ur kroppen, s kallade farmakokinetiska studier. I fas II grs liknande frsk p patienter i mindre grupper; och effekterna p sjukdomen fljs upp. I fas III grs underskningar p stora grupper av patienter och det blivande lkemedlet jmfrs med konventionell terapi. Produktens effekter och skerhet dokumenteras. Hr bestms produktens profil, vilken dosering och beredning som r lmpligast, vilka eventuella biverkningar lkemedlet kan medfra, i vilka fall det inte br ges samt dess interaktion med andra lkemedel. Parallellt med de kliniska studierna genomfrs toxikologiska tester och cancerstudier p djur. Nu finns det underlag att gra en anskan om att f slja produkten som ett nytt lkemedel. Denna anskan stlls till Lkemedelsverket, en s kallad New Drug Application (NDA-anskan). Efter godknnande registreras substansen som lkemedel. I fas IV fortstter de jmfrande studierna. I syfte att upptcka eventuella biverkningar samt fr att upprtthlla kvalitn genomfrs kontinuerligt studier under tiden som lkemedlet sljs p marknaden.
Appendix 1.1
Exempelfretaget Medytekk AB
Medytekk AB grundades 1986 av tv lkare, B-G Sjstrm frn Universitetssjukhuset i Ume och Stefan Eriksson frn Akademiska sjukhuset i Uppsala. De bda var gamla kamrater frn studietiden i Lund. Genom ett gemensamt forskningsprojekt vcktes idn om att starta ett eget fretag. Fretaget brjade som ett handelsbolag och verksamheten finansierades egentligen helt genom anslag och bidrag frn olika intresse organisationer. Affrsidn var lika enkel som genial, utfra grundforskning inom vl avgrnsat omrde och slja resultaten till etablerade lkemedelsfretag. Sjlva forskningsresultaten sljs vanligtvis till en engngssumma med en klausul om att utnyttjas resultatet till att framstlla ett lkemedel ska Medytekk AB erhlla en royalty om 15% av frsljningspriset. Idag finansieras verksamheten i huvudsak genom royalty intkter frn lkemedel. Fretaget bedriver ven mindre produktion av ett lkemedel som Medytekk sjlva tagit fram, antibiotikan Amacyklin. Detta r en speciell antibiotika mot s kallad rttpest. Idag omstter fretaget ca 170 miljoner kronor och har 98 anstllda. Sedan hsten 1998 r fretaget noterat p Stockholms fondbrs O-lista. De strsta garna r det tv grundarna av fretaget med vardera 30% av aktierna vriga 40% r frdelade p ett antal investment bolag och lkemedelsfretag.
Appendix 1.1.1
Lokalisering
Medytekk AB ligger i Uppsala nrmare bestmt i Bolndernas industriomrde. Fretaget flyttade till de nuvarande lokalerna fr sex mnader sedan. Flytten var ett resultat av de senaste ren expansion. I Bolndernas industriomrde
Appendix 1 Sida 1
finns bl a en gymnasieskola, ett stort lkemedelsfretag, ett antal bilfirmor, verkstder av olika karaktr samt det lokala bussbolaget, Uppsala Buss.
Appendix 1.1.2
Organisation
Stefan Eriksson VD Berit Qvick Sekreterare
Administration Gran Rubens
FoU B-G Sjstrm
Test o Prod Anna Wiberg
Ekonomi
IT
Projekt A6 Projekt C2
Projekt B3
Test Labb Amacyklin Produktion
Test Djur
Personal
Inkp / Frsljning
Appendix 1.1.3
Ledning
Ledningen inom Medytekk AB bestr utav, frutom vd Stefan Eriksson, de tre enhetscheferna. Ledningen genomfr varje vecka ett formellt ledningsgruppsmte och r fretagets beslutande organ. Ngon stende punkt fr skerhet finns ej med p agendan, inte nnu i alla fall. Man skulle nstan kunna sga att sekreteraren, Berit Qvick, ingr i ledningsgruppen i och med att hon alltid medverkar vid dessa mten. Berit har varit anstlld i fretaget sedan det startade. Alla inom fretaget vet att r det ngon man ska frga om det r ngot man undrar ver s r det Berit, hon vet allt om alla. Hon har haft det lite svrt en period, i och med skilsmssan, och har varit sjukskriven kortare perioder lite d och d.
Appendix 1.1.4
Administrativa enheten (25 st)
Chefen fr den administrativa enheten, Gran Rubens, r 47 r och har ett frflutet inom Uppsala Universitet. Han har arbetet fr Medytekk AB i sju mnader. I och med att han tidigare arbetet med frgor rrande skerhet och skydd har han ven ftt detta som sitt ansvarsomrde inom Medytekk AB. Han r sledes fretagets skerhetschef. Han har ingen formell utbildning inom omrdet men funderar p att g SAF Grundkurs i skerhet. Han har nnu inte hunnit med att aktivt arbeta och frbttra skerheten inom fretaget, han har dock en vilja och intention att ta itu med detta s snart som han hunnit bli varm i klderna. Han vet att han br brja med att gra en risk analys p fretaget fr att identifiera inom vilka omrden de allvarligaste riskerna finns och utforma frslag p tgrder. I och med att fretaget hanterar mycket information som r vital funderar Gran p att ven engagera ITchefen Lennart Jakobsson i detta arbete. Ekonomiavdelningen (6 st) Ekonomiavdelning arbetar i huvudsak med den lpande redovisningen och fakturering till kunder. Samtliga anstllda p avdelningen r kvinnor i ldern 3457 r. De knner varandra ganska bra tycker de och de kompletterar varandra p ett bra stt, ingen utav dem har ngon tjnst eller uppgift som inte ngon av de andra kan klara utav. Det har t o m hnt att de "lnat" ut de personliga lsenorden till varandra fr att kunna lsa vissa uppgifter smidigt. Vissa utav dem brukar erstta Berit Qvick d hon r sjuk eller ledig. Personalavdelningen (4 st) Personalavdelningen arbetar frutom med att rekrytera nya personer till fretaget ven med de externa kontakterna. Bland de externa kontakterna kan olika forskare och universitet runt omkring i vrlden nmnas. Det r s att Medytekk AB sponsrar olika forskningsprojekt och enskilda forskare, i och med denna sponsring fr fretaget tillgng till mnga av de senaste rnen och resultaten inom medicinforskningen. Avdelningen hanterar en mngd olika register rrande anstllda, externa kontakter och personer som ingr i viss frsksverksamhet. Man har nnu inte helt anammat Personuppgiftslagen, PUL. Det beror till stor del p att man inte vet riktigt hur man ska tolka lagen, man har dock utsett en person som ska vara registeransvarig.
Appendix 1 Sida 2
It-avdelningen (4 st) IT-avdelningen r enligt IT-chefen, Lennart Jakobsson mycket verbelastad med arbete. Detta beror p att fretaget expanderar kraftigt varje r och man inte har en IT-strategi. Lennart har ptalat problemet fr VD, Stefan Eriksson men har ftt en ganska sval respons. Lennart tillsammans med hans ersttare arbetar som administratrer och svarar fr driften av nt och servrar. En annan person r svarar fr supporten till de anstllda och arbetar ven en del som ntverkstekniker. Den sista personen p avdelningen arbetar i huvudsak med applikationer och applikationsutveckling. Sjlva IT-miljn beskrivs nrmare i ett eget kapitel. Inkp och Frsljningsavdelningen (10 st) Avdelningen svarar fr samtliga inkp av varor tjnster inom fretaget, dock frekommer det att vissa utav forskarna kringgr dessa rutiner och anskaffar utrustning p egen hand. Avseende kemikalier och andra substanser som anvnds i verksamheten finns det bara en leverantr i Sverige som kan leverera den kvalitet och kvantitet som erfordras, KEBO. Avdelningen hanterar ven externa kunder, det finns bland annat tv stycken sljare som p heltid bearbetar befintliga och presumtiva kunder. Dessa tv har ca 180 resdagar per r. Stor del av deras tid tgr till beska olika mssor runt om i vrlden och "smrja" kunder.
Appendix 1.1.5
Enheten fr Forskning och Utveckling (FoU 34 st)
Enhetens storlek varierar beroende p antalet projekt som bedrivs. Vanligtvis pgr 35 olika projekt. Vissa av forskarna r projektanstllda, detta gller fretrdesvis fr de utlndska forskarna. Projekt A 6 (12 st) Projekt A 6 r arbetsnamnet p det projekt som arbetar med att ta fram en ny smrtstillande substans. I forskarlaget ingr 12 personer, dribland tv stycken forskare frn universitetet i Austin, Texas. Dessa har en projektanstllning som strcker sig fram till och med nyrsskiftet. Projekt B 3 (10 st) Projekt B 3 arbetar med att utveckla en ny substans som kan ing i en ny magsrsmedicin. I forskarlaget ingr 10 personer, utav dessa tio ingr en gstforskare frn Folkets Hlsoministerium i Peking, Kina. Projekt C 2 (11 st) Projekt C 3 arbetar med att utveckla en substans som kan komma att ing in ny typ av kombinationsvaccin mot flera av de vanligaste barnsjukdomarna ssom Rda hund, Vattkoppor, Mssling och Scharlakansfeber. I forskarlaget ingr 11 personer, samtliga r anstllda inom Medytekk AB.
Appendix 1.1.6
Test och Produktion (34 st)
Testenheten arbetar med att genomfra olika typer av tester p de preparat och substanser som fretaget utvecklat. Testerna genomfrs i tv olika miljer. I den frsta miljn, laboratoriemiljn genomfrs tester hur substanserna reagerar med andra etablerade mediciner och onskade effekter dokumenteras. Testenheterna arbetar nra med de olika projekten fr att terkoppla testresultaten till forskarlagen. D resultaten av substanserna r av sdan karaktr, samtliga onskade effekter som gr att identifiera i en laboratoriemilj, genomfrs tester p olika djur. Vanligtvis anvnds mss, rttor och apor, i vissa fall utnyttjas ven grisar d deras organ verensstmmer med mnniskans storleksmssigt. Chefen fr enheten, Anna Wiberg, har blivit utsatt fr vissa hot, antagligen frn olika djurrttsaktivister, hon har dock aldrig tagit dessa p allvar eller polisanmlt dessa. Hon har dock tagit upp det intrffade p ett ledningsgruppmte. Den produktion som frekommer inom Medytekk AB r framstllandet av antibiotikan Amacyklin, en speciell antibiotika mot Rttpest. Produktionen startades p uppdrag av svenska FOA (Frsvarets forskningsanstalt) i samband med att flera fall av Rttpest rapporterades frn de svenska FN-styrkorna i det forna Jugoslavien. Framstllandet av antibiotikan r mycket knslig mot strningar i form av temperatur vxlingar och feldosering av de olika ingende substanserna. Processen, frn blandning av olika substanser till frdiga kapslar tar tre veckor. Produktionen sker lpande ver hela ret. Pretest Labb (13 st ) De 13 laboratorietekniker och assistenter som arbetar p avdelningen r vl medvetna om de risker som r frenade med denna verksamhet. I mnga tester anvnds olika typer av bakterier, vissa utav dem r mycket smittsamma. Verksamheten stller hga krav p hur riskavfallet hanteras, allt avfall frvaras i frigolitfodrade papptunnor vilka mrks med riskavfall. Avfallet hmtas p plats varannan vecka av Sellbergs. Pretest Djur ( 8 st) Det r denna avdelning som allmnheten knappt knner till, medvetet frsker man begrnsa informationen kring denna avdelning d djurfrsk i mngas gon betraktas som kontroversiellt. Under en period genomfrdes flera demonstrationer mot plgsamma djurfrsk, speciellt efter en artikelserie i Uppsala Nya Tidning.
Appendix 1 Sida 3
Amacyklin Produktion (12 st) Detta r produktionsavdelningen inom Medytekk AB som producerar antibiotikan Amacyklin, en speciell antibiotika mot Rttpest. Produktionen startades p uppdrag av svenska FOA (Frsvarets forskningsanstalt) i samband med att flera fall av Rttpest rapporterades frn de svenska FN-styrkorna i det forna Jugoslavien. Antibiotikan r helt utvecklad av Medytekk som har ett patent p Amacyklin som strcker sig ytterligare 4 r. Inom fretaget r man vertygad om att kunna slja antibiotikan till andra intressenter n som nu r fallet enbart till FOA och Frsvaret. Rttpest finns i mnga krigsomrden och inom ledningen funderar man p att ta kontakt med FN och UNHCR, det borde ven finnas ett intresse frn andra hll.
Appendix 1.2 Appendix 1.2.1
Utdrag ur rsredovisningen Resultatrkning i sammandrag (Tkr)

2004 2005
Nettoomsttning Kostnad fr slda varor Bruttovinst Frsljningskostnader Adm. Kostnader Forskning & Utvecklingskostnader Valutakurs vinster Valutakurs frluster Rrelseresultat Rntenetto Resultat fre skatt Skatter Redovisande resultat
172 432 -62 163 110 269 -18 406 -12 918 -39 242 4 566 -6 352 37 917 2 837 40 754 -6 729 34 0251
125 898 -58 587 67 311 -16 671 -11 267 -25 452 5 838 -5 184 14 575 1 244 15 819 -1 875 13 944
Appendix 1.2.2
Anlggningstillgngar vriga omsttningstillgngar Varulager Kundfordringar Likvida medel Summa tillgngar Eget kapital Minoritetsandel Rntebrande skulder Rrelseskulder
Balansrkning i sammandrag (Tkr)

2004 97 175 12 562 4 275 51 067 63 816 222 895 86 390 5 752 74 297 56 456 222 895 2005 56 285 15 283 5 830 38 718 71 284 187 400 78 527 7 392 78 293 23 188 187 400
Summa skulder och eget kapital
Appendix 1.3
Skerhetsskyddet inom Medytekk AB
Fr ngot r sedan hade Medytekk AB en student som gjorde ett examensarbete p fretaget, examensarbetet handlade om skerheten vid fretaget. Som en del av arbetet ingick en kategorisering av fretagets skerhetsskydd. Han valde att dela in skerheten i sju stycken omrden.
1 Den stora skillnaden i resultat mellan 2004 och 2005 beror till strsta del p frsljning av Amacyklin som startade 2005.
Appendix 1 Sida 4
Appendix 1.3.1
Fysiskt skydd
De flesta fysiska skyddstgrderna har vidtagits allteftersom de har aktualiserats. Ngon medveten planering har inte frekommit inom Medytekk AB. Det som fretaget benmner som stldbegrlig egendom r i frsta hand datorerna.
Appendix 1.3.2
Omrdesskydd
Delar av fretaget r inhgnat med ett 230 cm hgt Gunnebostngsel. Grindarna str ppna under dagarna (06.00 18.00), det r ett lokalt vaktbolag som svarar fr ppning och stngning. Det finns en gnggrind som alltid r lst, den utnyttjas enbart under sena kvllar och helger. Samtliga anstllda har nyckel till gnggrinden. Vaktbolaget som svarar fr ppning och stngning genomfr ingen rondering nattetid. P omrdet finns viss belysning. Det r innanfr staketet som de anstllda kan parkera sina bilar, direkt utanfr huvudbyggnaden finns tre gstparkeringar.
Appendix 1.3.3
Skalskydd
Det mekaniska skalskyddet i samtliga omslutningsytor r utformade fr att svara mot frskringsbolagets krav enligt Skyddsklass 2. Skalskyddet r kompletterat med en inbrottslarmanlggning, samtliga fnster och drrar r frsedda med magnetkontakter och fnstren ven med glaskross detektorer. Testavdelningen har frsett sina fnster med insynsskydd, detta insynsskydd ger dock inte ngon reell frstrkning av glasytorna.
Appendix 1.3.4
Tilltrdesskydd
Tilltrdesskyddet bestr av ett nyckelsystem med fyra olika niver. Niv 1 ger tilltrde till samtliga utrymmen utom IT-avdelningens lokaler och testavdelningen. Niv 2 ger tilltrde samtliga utrymmen frutom testavdelningen, denna typ av nyckel innehas av personalen p ITavdelningen och C Adm. Niv 3 ger tilltrde till samtliga utrymmen frutom IT-avdelningens lokaler, denna typ av nyckel innehas av samtliga p Testavdelningen. Niv 4 kan likstllas med en huvudnyckel, vilken ger tilltrde till samtliga lokaler. Denna typ av nyckel innehas av Vd och C FoU, det finns dock en reservnyckel som sekreteraren Berit har frvarad i sitt kassaskrin. Det r Berit Qvick som svarar fr nyckelhanteringen inom Medytekk. I samband med att en anstlld skriver p anstllningsavtalet kvitteras ven nycklarna.
Appendix 1.3.5
Punktskydd
Fretaget har ett arkiv dr alla viktigare handlingar frvaras, detta arkiv r utrustat med ett kodls. Det r fyra personer p den administrativa avdelningen som delgivits koden till detta utrymme. Drren r larmad och ingr i den befintliga inbrottslarmanlggningen. P IT-avdelningen finns ett skerhetsskp som nyttjas till att frvara backup-media. Det r tre personer som har nyckel till detta skp, C IT-avdelningen och tv stycken systemadministratrer.
Appendix 1.3.6
Incidenter och skador inom omrdet
Vid ett flertal tillfllen har fretaget drabbats av skadegrelse i form av klotter p husfasaderna, B-G Sjstrm, C FoU, frmodar att det r skolungdomar frn det nrbelgna gymnasiet. Det var en period som det frekom mindre demonstrationer i omrdet, det var freningen mot plgsamma djurfrsk. Dessa demonstrationer var inte enbart riktade mot Medytekk AB, ven de andra lkemedelsfretagen drabbades. Under de senaste ren har fretaget drabbats tre inbrott, det senaste gde rum i vras. Vid samtliga tillfllen har datorer och annan kontorsutrustning stulits, vid ett tillflle stals handkassan p inkpsavdelningen. Enligt vd, Stefan Eriksson, har ingen form av industrispionage frekommit, ingen som upptckts i alla fall. Vid ett par tillfllen har det funnits misstanke om spionage eller att ngon inom fretaget lckt information till en konkurrent. I och med att varken han eller B-G Sjstrm visste hur de skulle ta sig an problemet lt man det bero. Hans uppfattning r dock att hotet om industrispionage r ngot som man mste ta p fullaste allvar, men han har ingen bra lsning eller frslag p hur man ska skydda sig emot det.
Appendix 1.3.7
Brandskydd
Ingen formell utbildning av de anstllda avseende hantering av brandslckare eller kunskap om brands uppkomst och spridning frekommer inom Medytekk AB. Inom avdelningen fr FoU nyttjas brnnare och andra vrmekllor fr att skapa kemiska freningar, i frsta hand utnyttjas Gasol och Acetylen som brnngas.
Appendix 1 Sida 5
Appendix 1.3.8
Detektering
En brandlarmanlggning finns installerad i de utrymmen som FoU och Testavdelning finns lokaliserade i. Inom fretaget vet man att anlggningen fungerar, larm har gtt vid ngra tillfllen.
Appendix 1.3.9
Slckutrustning
Handbrandslckare finns utplacerade i lokalerna och i erforderligt antal, dessa inspekteras och servas regelbundet. Samtliga slckare r skumslckare.
Appendix 1.3.10
I samband med den senaste julledigheten skedde en incident, det var de bortglmda levande ljusen som orsakade en mindre brand i fika rummet. P morgonen hade det serverats glgg och pepparkakor, efter det att alla hade fikat frdigt glmde man att slcka ljusen. Frn mossan i ljusstaken spred sig elden till trljusstaken och vidare till vaxduken, som tur var kom sekreteraren Berit tillbaka fr lite pfyllning och upptckte vad som hll p att hnda. Hon lyckades att slcka elden genom att kasta en kastrull med vatten p elden. Som tack fr sin insats fick hon de oppnade flaskorna med glgg. Skadorna blev mycket ringa, en frstrd ljusstake, en vaxduk och brnnmrken p kksbordet. En annan incident intrffade p FoU avdelningen fr tre r sedan. Den intrffade sent en tisdag kvll d ingen var kvar p fretaget. Enligt utredningen visade det vara ett verslag i en elektrisk vrmeplatta. Rddningstjnsten var p plats redan efter 8 minuter, Uppsalas strsta brandstation Victoria ligger inte mer r 2 km frn Medytekk AB. Skadorna p utrustning och lokaler vart inte speciellt allvarliga, dock tog det tre veckor innan verksamheten kom igng p allvar p grund av det omfattande saneringsarbetet.
Appendix 1.4
Personalskerhet
Detta r ett omrde som Medytekk AB inte aktivt arbetat med. Det finns skyddsombud p fretaget och arbetsmiljn bedms av samtliga anstllda som relativt bra. Ngot behov av personskydd har inte frelegat under den tid som fretaget varit verksamt.
Appendix 1.4.1
Nyckelpersonal
P frgan om nyckelpersonal svarade vd Stefan Eriksson att det sjlvklart fanns nyckelpersoner inom fretaget men p din frga om han kunde namnge dem blev svaret en aning svvande "det beror naturligtvis p vad man vger in i begreppet nyckelperson". Efter det att du frklarat fr honom kriterierna fr en nyckelperson och en stunds diskuterande frklarade han att de flesta personerna p fretaget borde betraktas som nyckelpersoner med motiveringen att samtliga anstllda har en unik kunskap och r mer eller mindre svra att erstta. Detta var tydligen ngot han inte tidigare hade tnkt p.
Appendix 1.4.2
Fr tv r sedan var man tvungen att lgga ner ett pbrjat projekt p grund av att man frlorade tv stycken forskare till en konkurrent. Man han inte med att avsluta projektet innan uppsgningstiden gick ut, ledningen inom Medytekk frskte t o m att hyra dessa forskare frn deras nya arbetsgivare vilket inte var mjligt. Genom frlusten av dessa tv forskare var man tvungen att lgga ner projektet.
Appendix 1.5
Informationsskerhet
Ingen av personalen p IT-avdelningen har ngon speciell skerhetsutbildning, vilket har medfrt att detta inte r ett prioriterat omrde. De anstllda anser att det viktigaste r att allt fungerar s smidigt som mjligt. Alla r tekniskt kunniga och frsker hitta s smarta lsningar som mjligt, detta har medfrt att dokumentationen avseende IT-miljn inte uppdateras regelbundet. Det finns vissa regler som samtliga fljer, men de r inte formellt dokumenterade. ITchefen Lennart Jakobsson skulle vilja upprtta en it-strategi, men det finns ingen tid fr detta.
Appendix 1.5.1
Administrativ skerhet
Avseende lagring och arkivering av dokumentation finns det faststllda regler och rutiner. Det finns en person som r ansvarig fr arkivet och diariefr allt som ska arkiveras. Samma person har utstts som registeransvarig p fretaget. Ngot formellt klassificeringssystem har inte upprttats. C Adm har funderat p att upprtta en skerhetshandbok i och med att antalet anstllda har kat kraftigt de senaste tv ren. I samband med introduktionen av nyanstllda tecknas ett sekretessbevis och man gr kort igenom vissa regler som gller p fretaget.
Appendix 1 Sida 6
Appendix 1.5.2
IT-skerhet
Samtliga PC r utrustade med antivirus program, uppdatering av programvaran sker genom att anvndarna sjlva laddar hem virusuppdateringar, genom funktionen "live update", frn programvarutillverkarens hemsida. Back-up tas varje natt, kopian som tas natten mellan torsdag och fredag blir veckokopia. Den sista veckokopian i mnaden blir mnadskopia och den sista mnadskopian blir sledes rskopia. Det genomfrs inga regelbundna tester huruvida det gr att terskapa informationen eller ej, det finns ej heller ngra regler fr hur mnga gngen banden kan teranvndas. Kopiorna frvaras i ett lst skerhetsskp som str i it-avdelningens lokaler. Varje anvndare har ett unikt anvndar-id och lsenord. Lsenordet mste minst vara fem tecken fr att godknnas av systemet. Anvndar-id och lsenord krvs fr tkomst till det lokala ntverket. Personalen p Ekonomiavdelningen har ytterligare ett lsenord att hlla reda p fr tkomst till fretagets ekonomi och redovisningssystem, det r samma parametrar som gller fr tkomst. Det finns en modempool p fretaget som forskarna och sljarna utnyttjar. Fr tkomst till ntverket avkrvs anvndarna anvndar-id och lsenord, dessa r desamma som vid ordinarie p-loggning. Uppkopplingen sker ver publikt nt, ngon form av kryptering anvnds inte.
Appendix 1.5.3
Incidenter och skador
Man har haft problem med virus vid ett antal tillfllen, trots att man har ett anti-virus program. Vid det senaste tillfllet var det ett virus som spreds via e-post, vid det tillfllet var man tvungen att ta hjlp av en extern konsult fr att f bukt med viruset. Han meddelade att den stora spridningen berodde till stor del p bristande uppdatering av programvaran. Vid ett antal tillfllen har servrarna gtt ner, omstart brukar inte vara ngot strre problem i och med att man har backup. Det var dock vid ett tillflle som man skulle terskapa information frn backup media och det visade sig att informationen var ofullstndig, detta berodde p att backup krningen hade avbrutits under natten och den ansvariga teknikern hade inte krt en ny p morgonen och det var p den tiden som man krde backup en gng i veckan. Mnga forskare blev ursinniga och menade att en veckas arbete gtt frlorat.
Drift- och produktionsskerhet Avbrottsplanering
Detta omrde var ngot som fretaget inte hade funderat p frrn studenten redovisade sitt examensarbete.
Ngon avbrottsplanering har inte upprttats detta beror till stor del p att man inte gjort eller ltit gra en riskanalys p fretaget och dess verksamhet. Vd, Stefan Eriksson, menar att det som kan f verksamheten att avstanna helt r avbrott i IT-miljn eller ett lngre kraftbortfall. Ngot som kan orsaka avbrott fr vissa delar av verksamheten r om ngon forskare vljer att sluta innan ett projekt r avslutat eller ngon nyckelperson rkar ut fr en olycka eller blir lngtidssjukskriven.
Appendix 1.6.2
El-skerhet
Det finns ingen dubbel matning av kraft till fretaget, ej heller ngon form av reservkraft. Den enda utrustning som har ngon form av skydd r servrarna som har utrustats med UPS (Uninteruptable Power Supply).
Appendix 1.6.3
Frskringsskydd
Medytekk AB har inte haft ngon utarbetad plan fr vilka frskringar som krvs eller behvs, fr fyra r sedan anlitades en frskringsmklare som granskade fretaget och dess verksamhet. Det var dennes bedmning av fretaget som har legat till grund fr utformningen av frskringsskyddet. Ledningen inom Medytekk AB har inte haft ngon anledning till att byta frskringsgivare eller omfrhandla sina villkor.
Appendix 1.6.4
Katastrofplanering
Ngon katastrofplaneringen har aldrig upprttats, varfr detta inte gjorts har vd Stefan Eriksson inget bra svar p "det har vl aldrig knts riktigt aktuellt". Inte ens d stora delar av torvlagret i Uppsala industriomrde brann upp, vilket resulterade i rkskador hos flera olika fretag i omrdet.
Beskrivning av byggnader och lokaler Huvudbyggnad
I detta kapitel beskrivs fretagets olika byggnader och vissa lokaler som kan vara av srskilt intresse.
I huvudbyggnaden finns hela den administrativa enheten samlad, frutom kontorsutrymmen, konferensrum, datarum och arkiv finns ven en mindre cafeteria/matsal.
Appendix 1 Sida 7
Huvudbyggnaden r en tegelbyggnad i tv vningar. Byggnaden r uppfrd i slutet p 60-talet. Det mekaniska inbrottsskyddet uppfyller kraven enligt skyddsklass 2, dessutom r detta kompletterat med en inbrottsanlggning. Ngon form av frstskydd (ir-detektorer eller motsvarande) finns inte installerat. Vissa av mellan vggarna r av betongkonstruktion vilket ger ett gott skydd fr brandspridning dock gller detta inte fr de drrar som finns monterade. Dessutom r inte rrgenomfringar ttade.
Appendix 1.7.2
Datarum
Datarummet r belget p andra vningen i anslutning till IT-avdelningens rum. Rummet r frsedd med en mindre klimatanlggning den reglerar dock inte den relativa luftfuktigheten. Fr att reducera vrmen har man monterat spegelfilm p fnstret. Ngon form av driftlarm finns inte installerat i datarummet. En del av utrustningen r placerad direkt p golvet och en del r placerad i ett rack. Rummet saknar ett upphjt datagolv, det finns vatten ledningar ovan innertaket. Genom avsaknaden av brandlarm har en brandvarnare satts upp. Utanfr sjlva datarummet finns en brandslckare av AB-typ. Fr tilltrde till IT-avdelningens lokaler krvs en nyckel av kategori Niv 2 vilken innehas av samtliga p ITavdelningen och C Adm. eller Niv 4 vilken innehas av VD och C FoU. I praktiken r det allts sju personer som har tilltrde till dessa utrymmen frutom reservnyckeln som finns hos sekreteraren. Datarummet fungerar ven som uppstllningsplats fr diverse utrangerad IT-utrustning.
Appendix 1.7.3
Arkiv
Det finns ett mindre arkiv p bottenvningen dr alla viktigare handlingar frvaras. Arkivet r utrustat med ett kodls. Det r fyra personer p den administrativa avdelningen som delgivits koden till detta utrymme. Drren r larmad och ingr i den befintliga inbrottslarmanlggningen. Rummet saknar brandlarmsanlggning och ven i detta utrymme finns vattenledningar ovan innertak.
Appendix 1.8
Forskning och Utveckling
Enheten fr FoU finns lokaliserade i byggnad som r sammanbyggd med huvudbyggnaden. Sjlva byggnaden r i ett plan. Samtliga mellanvggar r av gips konstruktion. Byggnaden inrymmer 6 strre arbetsutrymmen vilka utnyttjas av de olika projekt som bedrivs samt 2 mindre kontor. I varje arbetsutrymme finns ett antal datorer och annan exklusiv testutrustning. I och med renoveringen av byggnaden installerades ett brandlarm, detta var fr vrigt ett krav frn frskringsbolaget. Handbrandslckare finns i varje strre arbetsutrymme. Samtliga anstllda har tilltrde till FoU lokaler. Det mekaniska inbrottsskyddet uppfyller kraven enligt skyddsklass 2, dessutom r detta kompletterat med en inbrottsanlggning. Ngon form av frstskydd (ir-detektorer eller motsvarande) finns inte installerat.
Appendix 1 Sida 8
Appendix 1.9
Test och Produktion
Byggnaden dr de bgge testavdelningarna och produktionsenheten finns r en fristende pltbyggnad vilken har byggts av Medytekk AB. Samtliga mellanvggar r av gips konstruktion. Byggnaden innehller frutom produktionsenheten tv olika laboratorium varav ett anvnds fr djurfrsk. Frutom dessa lokaler finns en mindre djuravdelning och ett ftal kontor. Det mekaniska inbrottsskyddet uppfyller kraven enligt skyddsklass 2, dessutom r detta kompletterat med en inbrottsanlggning. Ngon form av frstskydd (ir-detektorer eller motsvarande) finns inte installerat. En brandlarmsanlggning finns installerad i denna byggnad. Det r endast innehavare av Niv 3- och Niv 4-nycklar som har tilltrde till dessa lokaler, med andra ord samtliga anstllda p testenheten samt vd och C FoU.
Appendix 1.10
Omrdesbeskrivning
Fretaget ligger i ett industriomrde som heter Bolndernas industriomrde. Granne med huvudbyggnaden ligger ett fretag som sljer bilder, posters och affischer, Pappum Nova. Granne med FoU ligger en ortopedisk klinik. I fretagets nromrde ligger ett antal bilfirmor och bilverkstder, frutom detta finns ett antal mekaniska verkstder samt flera fretag inom samma bransch. I omrdet finns ven en gymnasieskola. Omrdet r lugnt under kvllar och helger. Det frekommer dock viss aktivitet m h t att det r flera fretag som har produktion dygnet runt. P bilden bredvid syns infarten till Pappum Nova, fretaget som ligger granne med huvudbyggnaden. Fr att komma till Test & Produktionsenheten mste man ka genom den gemensamma grinden, alt g igenom H-byggnaden fr att komma ut p baksidan. Innanfr grindarna har personal bde frn Medytekk och Pappum Nova parkeringsplatser. Grindarna lses genom ett lokalt vaktbolag. Samtliga anstllda p Medytekk har nyckel till gnggrinden med skylten. Det ven genom denna grind som alla godstransporter till och frn Medytekk gr. En skiss ver omrdet finns som bilaga 1.
Appendix 1 Sida 9
Appendix 1.11
Beskrivning av IT-miljn
Samtliga hrdvaror r av knda fabrikat ssom HP (servrar och desk top's), Dell (Lap top's), Novell (ntverkskomponenter) och Zyxxel (Modem). Utrustningen r i de flesta fall inte ldre n tv r. Som operativsystem (OS) p servrarna anvnds Windows NT 4 och p klienterna anvnds Windows 2000. Basprogram r Office-paketet (inklusive MS Access och Internet Explorer) samt Norton AntiVirus. Frutom dessa standardprogram anvnds olika programvaror fr analys- och provningsverksamheten inom fretaget. En del av dessa r egenutvecklade. Totalt finns det 98 anvndare inom fretaget.
Appendix 1.11.1
Ntverksskiss
INTERNET
Laptop
Computer
Computer Computer Modem Modem
Modem
Modem
Hub
Server Server
Server
Computer Hub
Computer
Computer
Appendix 1.12
Beskrivning av produktionen
Vgning av de substanser och mnen som ska ing i antibiotikan sker manuellt med hjlp av en elektronisk vg, drefter mals och blandas substansen. I kokning och avkylningsprocessen hettas blandningen upp och avkyls fyra gnger under kontrollerade frhllanden. Efter den sista upphettningen och nedkylningen tas en rapport ut fr att kontrollera temperaturfrhllandena under de tider produktionen varit obemannad. Efter den sista avkylningen ska substansen torkas i 250 timmar. Torkningen kan endast ske i en temperatur mellan 38 och 42 grader fr att samtliga mnen ska bibehlla sina specifika egenskaper. Efter det att torkningen avslutats kontrolleras kvaliteten p den frdiga substansen, fr att sedan pressas in i gelkapslar. Efter ytterligare kvalitetskontroll frpackas det frdiga Amacyklinet. Skulle ngon avvikelse ske i processen, till exempel fel blandning, temperatur avvikelser vid kokning eller nedkylning eller om torkning sker i utanfr ovan avgivna grnsvrden mste hela satsen kasseras d antibiotikan inte fr de
Appendix 1 Sida 10
egenskaper som den ska ha. Skulle detta ske mste en ny sats tillverkas. Hela processen att framstlla en sats Amacyklin tar tre arbetsveckor.
Appendix 1.12.1
Produktionsprocessen
Det r de fyra frsta stegen som r kritiska fr framstllandet av Amacyklin av erforderlig kvalitet. Den utrustning som anvnds i processen r mycket exklusiv, speciellt den elektroniska vg och mtutrustning som anvnds fr vgning av substanser och sjlva kokutrustningen r ocks exklusiv och r special bestlld frn Phoenix Labs i USA. Det finns manuella rutiner som r helt avgrande fr framstllandet av Amacyklin. Vgningen r en, men korrekt avlsning av loggar efter kokning och torkning r den enda kontroll funktion som skerstller leverans av antibiotika av bestmd kvalitet.
Blandning av substans
Manuell vgning
Kokning och avkylning
Torkning 40 grader 250 timmar
Kontroll rapport avseende temperaturer
Kontroll av kvalitet
Yes
No Pressning
Kontroll av kvalitet Yes No
Kassering
Packning
Appendix 1 Sida 11
Appendix 1.12.2
Exterir
Situationsskisser
Plan 1 och 2 i huvud- och FoU-byggnad
Appendix 1 Sida 12
Plan 1 och 2 test- och produktionsbyggnad
Appendix 1 Sida 13
Appendix 2 - Lagrum, efterlevnad av rttsliga krav
Appendix 2 Lagrum, efterlevnad av rttsliga krav

Inledning
Det vergripande mlet fr efterlevnad av rttsliga krav i standarden framgr av kapitel 15.1, vari anges att mlet r att undvika handlande i strid mot lagar och andra frfattningar, avtal och eventuella andra yttre skerhetskrav. vergripande medel fr mluppfyllelse kan delas in i tre huvudgrupper, nmligen identifiering av organisationens rttsliga frpliktelser; skerstllande av efterlevnad inom organisationen; och agerande mot vertrdelser. Vad gller identifiering av organisationens rttsliga frpliktelser kan dessa finnas dels i lagar och andra lgre stende frfattningar, ssom freskrifter utfrdade av frvaltningsmyndighet, dels i avtal och andra typer av frivilliga frbindelser. Det r sjlvklart att dessa frpliktelser kan variera kraftigt mellan olika organisationer, och varje organisation mste sjlv hlla sig informerad om vilka regler som gller. Kunskap om vilka rttsliga frpliktelser som gller inhmtas skrast genom en jurist, antingen organisationens egen eller en externt anlitad. Information kan ven erhllas genom kontakt med branschfrening, tillsynsmyndighet eller dylikt. Skerstllande av efterlevnad rymmer avsevrt mer n enbart juridiska medel, men dessa kan i kombination med andra tgrder av exempelvis teknisk natur bidra till efterlevnaden inom organisationen. Ngra av de viktigaste med juridisk anknytning r fljande. utformning av skerhetspolicy, innefattande bl.a. behrighets- och sekretessregler, fortlpande information om gllande/nya/ndrade rttsregler och/eller avtalsfrpliktelser, begrnsning av informationstkomst, innefattande klassificering av information. Agerandet mot vertrdelser mste givetvis avpassas efter bland annat vertrdelsens art och omfattning. Det r dock viktigt att tgrder vidtas konsekvent och i enlighet med de riktlinjer organisationen stllt upp. Exempel p tgrder r interna pfljder, exempelvis varning, lneavdrag, avstngning frn viss behrighet, uppsgning/avsked, skadestnd, och polisanmlan. Interna pfljder br alltid ske tillsammans med information om hur den anstllde ska agera fr att inte bryta mot de regler som gller och tfljas av en uppfljning av den anstlldes fortsatta agerande. Riktlinjer fr interna pfljder br utarbetas tillsammans med den lokala fackliga organisationen.
Appendix 2.1
Exempel
Nedan fljer ngra hndelsebeskrivningar som ska tjna som exempel och tankevckare i skerhetsarbetet. Exemplen tar sin utgngspunkt i Medytekk.
Appendix 2.1.1
Personuppgifter
P sljavdelningen har man under r 2004 upprttat ett dataregister ver kontaktpersoner hos kunder som kan vara viktiga att bearbeta vid frsljning. Registret innehller frutom uppgift om namn, direkttelefonnummer och e-postadress och dylikt ven en profil avseende respektive kontaktperson, innefattande uppgift om bland annat hur kontaktpersonen tidigare bemtt Medytekks sljtgrder och dennes fritidsintressen. Eftersom registret innehller personuppgifter aktualiseras tillmpning av personuppgiftslagen (PUL) p den behandling av personuppgifter som sker genom registret. Det innebr fr det frsta att Medytekk br utse ett personuppgiftsombud, som ska anmlas till Datainspektionen (DI), eftersom Medytekk annars mste anmla registerbehandlingen till DI. Personuppgiftsombudet ska bland annat fra en frteckning ver de behandlingar av personuppgifter som sker, varav bland annat ska framg ndamlet med behandlingarna. Utgngspunkten r att samtycke erfordras fr att personuppgifter ska f behandlas, svida inte registerbehandlingen omfattas av ett undantag frn plikten p samtycke. Om Medytekk enbart hade registrerat namn, telefonnummer och e-postadress hade Medytekk sannolikt kunnat undg kravet p samtycke genom att hvda att sdan behandling r ndvndig i kundfrhllandet. Nr det gller profiluppgifter mste dock samtycke inhmtas frn kontaktpersonerna. Ur bevishnseende r det lmpligt att samtycke inhmtas skriftligen, eller i vart fall dokumenteras genom e-mail. De personuppgifter som behandlas mste hanteras p ett skert stt. I PUL 31 stlls krav p att den personuppgiftsansvarige skall vidta lmpliga tekniska och organisatoriska tgrder fr att skydda de personuppgifter som behandlas. Ett annat scenario som kan nmnas rr behandlingen av personuppgifter hos myndigheter. Allmnna handlingar innehller inte sllan personuppgifter. I det fall ngon begr att en myndighet skall lmna ut
Appendix 2 1
personuppgifter men myndigheten misstnker att uppgifterna, om de lmnas ut, kommer att behandlas i strid med PUL s gller sekretess fr dessa uppgifter enligt sekretesslagen 7 kap 16 . Vad sger standarden? Standarden frutstter att reglerna i PUL fljs och anger i kapitel 15.1.4 bland annat personuppgiftsombud br utses.
Appendix 2.1.2
Missbruk av e-post
Ett e-brev avsett fr en av de anstllda p personalavdelningen en man i 45-rsldern hamnar av misstag hos vd. Det visar sig komma frn Svenska Folkviljan (SFV), en organisation p den extrema hgerkanten. Nr vd med hjlp av it-chefen kontrollerar den anstlldes e-post uppdagas att mannen r medlem i SFV och att han haft en livlig korrespondens med andra medlemmar i svl SFV som andra likasinnade organisationer. Fr Medytekk r det givetvis vsentligt att inte p ngot stt bli frknippat med sdana politiska organisationer och om s inte skett tidigare br Medytekk snarast utfrda riktlinjer fr de anstlldas e-post- och Internetanvndning. Medytekk br vidare kunna vervga uppsgning av den anstllde (jfr AD: s dom nr 49/1999, dr AD ansg att saklig grund fr uppsgning av en anstlld vid PRO i Halland frelg efter missbruk av organisationens e-post. Frhllandena var dock lite speciella i mlet). Hndelsen aktualiserar ven frgan om vervakning av personalens e-post- och Internetanvndning. Lagstiftning saknas (en utredning benmnd Personlig integritet i arbetslivet utredningsdirektiv 2006:5 r nyligen tillsatt), men utgngspunkten r att arbetsgivaren har rtt att utfrda riktlinjer om e-post- och Internetanvndningen p fretaget och att vervaka att dessa riktlinjer fljs av de anstllda. Om vervakning ska ske br detta uttryckligen anges i riktlinjerna och det r av stor vikt att man skerstller att de anstllda r informerade om riktlinjerna, exempelvis genom att skriva p ngon form av avtal/kontrakt. Finns inga riktlinjer br arbetsgivaren vara mycket frsiktig nr det gller att skaffa sig tillgng till information p de anstlldas datorer, srskilt sdan information som betecknas som privat, eget eller liknande. Om vervakningen sker genom att arbetsgivaren upprttar ett register ver de anstlldas e-post blir sannolikt personuppgiftslagen (PUL) tillmplig p registret, varfr dess regler mste beaktas. Sker motsvarande vervakning hos en myndighet uppfyller registret troligen ven kraven p att vara en allmn handling vilket innebr att om inte ngon sekretessbestmmelse r tillmplig s skall registret vid frfrgan lmnas ut. Vad sger standarden? I kapitel 15.1.5 anges i relativt allmnna ordalag att all anvndning av informationsbehandlingsresurser fr obehriga ndaml br ses som en orttmtig anvndning av resurserna, men att mjligheterna att lagligt vervaka anvndningen varierar mellan olika lnder. Standarden frutstter att fretaget utfrdar riktlinjer fr anvndningen av alla informationsbehandlingsresurser dribland e-post och Internet att anvndningen vervakas i mjlig och laglig utstrckning och att vertrdelser tgrdas p lmpligt stt.
Appendix 2.1.3
Olaglig kopiering frn Internet
I samband med underskningen av en anstllds e-post grs ven en underskning av vilka programvaror som anvnds av de anstllda p Medytekk. Det uppdagas d att ett flertal anstllda anvnder programvaror fr vilka licens inte tecknats. I flera har dessa programvaror hmtats hem frn Internet. Att utan tillstnd licens frn upphovsrttsinnehavaren kopiera ett datorprogram r brottsligt och skadestndsgrundande enligt upphovsrttslagen (53 och 54 URL). Medytekk br snarast tillse att all personal informeras om dessa rttsregler och utfrda riktlinjer fr inkp och anvndning av datorprogram samt fr kontroll av att reglerna efterlevs. Ett register ver gllande licenser br upprttas och licensbevis med mera ska frvaras under ordnade former. Fr de datorprogram som behver anvndas i verksamheten och fr vilka licens ej betalats skall licens snarast tecknas. vriga datorprogram ska avlgsnas frn Medytekks datorer. De anstllda som begtt upphovsrttsintrng har ven gjort sig skyldiga till brott emot anstllningsavtalet. Frgan om uppsgning kan aktualiseras, men sannolikt krvs omfattande eller upprepade frseelser fr att saklig grund fr uppsgning ska freligga. Vad sger standarden? I kapitel 15.1.2 anges allmnt att lmpliga tgrder ska vidtas fr att skerstlla immateriell lagstiftning. Vad gller upphovsrtt till programvaror definieras ett antal tgrder som br vidtas. Bland dessa kan nmnas utfrdande av en skriftlig policy fr efterlevnad av upphovsrttsskyddet som reglerar anvndningen av programvara, regler fr upphandling av programvaror,
Appendix 2 2
medvetenhet inom organisationen om upphovsrttsregler, register ver programvaror, och kontroller av att endast godknd och licensierad programvara anvnds.
Appendix 2.1.4
Avhopp
En av Medytekks tv sljare hoppar av till en konkurrent. Sljaren har givetvis haft full tillgng till Medytekks kundregister och en kort tid efter avhoppet har det konkurrerande fretaget inlett en riktad sljkampanj mot ett flertal av Medytekks viktigaste kunder. Hndelsen aktualiserar frgan om innehllet i Medytekks anstllningsavtal. Avtalen ska i samtliga fall innehlla en heltckande sekretessbestmmelse, vilken ska glla ven efter anstllningens upphrande och helst innehlla en skyldighet att utge ett vitesbelopp. Om sljaren har lmnat kundinformation till den nye arbetsgivaren har han brutit mot sekretessvillkoren, vilket aktualiserar vitet. Fr personal med s avgrande funktion som sljare br avtalet ven innehlla en konkurrensbegrnsningsklausul, som frbjuder sljaren att bedriva/arbeta fr en konkurrerande verksamhet under viss tid efter anstllningens upphrande. Sljaren har sannolikt inte gjort sig skyldig till brott mot straffbestmmelserna i lagen om skydd fr fretagshemligheter (FHL), eftersom han inte kommit ver kundinformationen p olovligt stt, men dremot har han sannolikt brutit mot FHL: s skadestndsgrundande regler, genom att avslja fretagshemlig information som han ftt del av under anstllningen. ven det konkurrerande fretaget kan ha brutit mot dessa regler (se 7 och 8 FHL, jfr Arbetsdomstolens AD dom 80/1998). Vad sger standarden? Standarden anger i kapitel. 8.1.3 att ett sekretessavtal ska ing i anstllningsavtalet fr varje anstlld. Standarden innehller ingen freskrift om konkurrensbegrnsningsklausul.
Appendix 2.1.5
Externt intrng
P Medytekk upptcker man att ngon med konstig systemtillhrighet via Medytekks modempool varit inne i fretagets ntverk och hmtat information om ett av Medytekks mest lovande projekt. Intrngsgraren har sannolikt gjort sig skyldig till dels dataintrng (Brottsbalken BrB 4:9 c ), genom att olovligen ta sig in i ntverket, dels fretagsspioneri (3 FHL), genom att ta del av information om ett av projekten vilket r att betrakta som fretagshemlig information (jfr Stockholms tingsrtts dom 1996-10-16, mlnr. B 466-91). Om intrnget skett p uppdrag av annan exempelvis ett konkurrerande fretag eller om ett konkurrerande fretag tar del av de hemliga uppgifterna (och frstr att dessa tkommits lagstridigt) kan ven det konkurrerande fretaget (eller rttare sagt dess fretrdare) ha gjort sig skyldigt till brott, nmligen olovlig befattning med fretagshemlighet (3 FHL). Att det tekniska skyddet av ntverket br ses ver efter hndelsen r en sjlvklarhet. Med rttsliga tgrder kan man knappast frebygga eller frhindra ett dylikt intrng. Dremot br Medytekk polisanmla hndelsen och om mjligt frska identifiera intrngsgraren samt faststlla vilken information som denne kommit ver. Om frvaren identifieras kan Medytekk vcka skadestndstalan mot denne, antingen i samband med att tal vcks eller separat. Skadestndskrav kan ven framstllas mot exempelvis ett konkurrerande fretag som anvnder information som hrrr frn intrnget. De rttsliga tgrderna frutstter dock att uppst freligger; frvaren mste inse att informationen inte var allmnt tillgnglig och att det denne gjorde var en olovlig handling. Det tekniska skyddet kan hr bidra, inte bara genom att gra det tekniskt sett svrare att f tillgng till skyddsvrd information utan ven fr att tydligt signalera att den informationen r skyddad - kringgs de tekniska skyddstgrderna s freligger uppst. Vad sger standarden? Kapitel 11 i standarden anger relativt detaljerat olika tgrder som br vidtas fr att hindra obehrig tkomst av organisationens information, dribland anvndning av lsenord, och tgrder fr att i efterhand kunna identifiera intrng.
Appendix 2.1.6
Dokumentering av information
En av de ledande forskarna p Medytekk r en kvinna i 50-rsldern som r ngot av en ensamvarg. Hennes ider och forskning har legat till grund fr flera av Medytekks produkter och en stor del av dessa och nya ider finns enbart i hennes huvud. Den senaste tiden har hon verkat vara lite ur gngorna. Tv dagar under en och samma vecka kommer hon kraftigt frsenad till arbetet och vid bda tillfllena r hon alkoholpverkad. Att upptrda alkoholpverkad p jobbet r ett brott mot anstllningsavtalet, eftersom den anstllde inte kan utfra sina arbetsuppgifter p ett korrekt stt. Medytekk br skicka hem kvinnan, med uppmaningen att terkomma nykter dagen efter. Drefter br Medytekk varna henne fr att en upprepning av beteendet kan medfra att uppsgning kan aktualiseras. Mjligheterna att sga upp forskaren under beropande av att hon inte
Appendix 2 3
kan utfra sitt arbete r dock begrnsade om hon har alkoholmissbruk, eftersom detta i arbetsrtten jmstlls med sjukdom. Fr de dagar hon inte varit arbetsfr har Medytekk rtt att gra lneavdrag. Den kvinnliga forskaren r utan tvekan att anse som en nyckelperson, eftersom hon sitter inne med mycket vsentlig information om delar av den forskning som bedrivs i fretaget. Givetvis br fretaget erbjuda henne det std och den hjlp som r mjlig fr att hon ska komma till rtta med hennes alkoholproblem. Ur fretagets synvinkel r det dock ven mycket viktigt att s lngt som mjligt se till att den kunskap och information hon besitter dokumenteras s att den inte riskerar att frloras om hon inte kan fortstta arbeta. Hndelsen aktualiserar ven frgan om drogtester av personalen. Lagstiftning saknas f.n., men en utredning arbetar med en versyn (se Utredningsdirektiv 2006:55 Personlig integritet i arbetslivet). Vgledning fr tillsvidare hmtas ur AD: s rttspraxis (bl.a. AD: s dom 1991 nr 45 och 1998 nr 97). I korthet kan sgas att arbetsgivaren torde ha rtt att inom sin rtt att leda arbetet p fretaget bestmma att drogtester ska ske, men att det frutstts att de anstllda informeras om att tester ska ske och att testerna r adekvata och inte krnker den personliga integriteten mer n ndvndigt. Vad sger standarden? Standarden innehller i kapitel 7 freskrifter om ansvar fr, frteckning ver och klassificering av information. All vsentlig information ska i enlighet med detta dokumenteras och tilldelas en namngiven gare. Informationen ska vidare klassificeras samt frtecknas i ett register. Standarden innehller inga freskrifter om drogtester.
Appendix 2.2
Checklista
Nedan fljer en checklista avseende relevant lagstiftning och en frteckning ver riktlinjer/freskrifter med juridisk anknytning som br antas av organisationen. Checklistan och frteckningen ger inte ansprk p att vara fullstndiga; ytterligare relevant lagstiftning kan freligga och ytterligare riktlinjer/freskrifter kan behvas.
Appendix 2.2.1
Rttsregler som br beaktas vid informationsbehandlingen
Regler om sekretess och tystnadsplikt Sekretesslagen avgr (exklusivt) vilken information hos myndigheter och andra offentliga organ som r offentlig respektive sekretessbelagd. Regler om sekretess- och tystnadsplikt i srskilda verksamheter finns bland annat fr sjukvrdsverksamhet, tele- och postverksamhet och advokatverksamhet. Regler om fysiskt och logiskt skydd Skerhetsskyddslagen Lag om skydd fr samhllsviktiga anlggningar Reglerna om dataintrng, BrB 4:9c Lagen om elektroniska signaturer Regler om frvaring och arkivering Arkivregler fr myndigheter och andra offentliga organ; bland annat arkivlagen. Bokfringslagen: Uppstller bland annat krav p betryggande arkivering av allt rkenskapsmaterial i minst tio r. Aktiebolagslagen: Uppstller bland annat krav p att aktiebok och protokoll frn styrelsemten frvaras p betryggande stt. Regler om skydd fr personlig integritet PUL: Innehller detaljerade bestmmelser om behandling av personuppgifter. Lagen gller bde manuell och automatisk (data) behandling av personuppgifter. Lagen uppstller krav p bland annat i) utseende av personuppgiftsombud ii) frteckning ver organisationens registerbehandlingar iii) samtycke frn och information till de personer som omfattas av behandling av personuppgifter. Immaterialrttsliga regler Upphovsrttslagen (URL): Innebr att upphovsmannen till exempelvis bilder, texter och datorprogram har ensamrtt att sprida och mngfaldiga dessa. ven databaser skyddas av URL. I princip innebr detta ett frbud fr andra att utan tillstnd (licens) frn upphovsmannen kopiera bild, text, datorprogram eller databaser. Reglerna i URL och de begrnsningar som fljer av dessa gller ven p Internet. Frbudet att kopiera r straffbelagt och vertrdelse kan dessutom medfra skadestndsskyldighet. Ensamrtten gller i 70 r efter upphovsmannens dd (fr databaser gller normalt kortare tid). Varumrkeslagen (VML) och firmalagen (FL): Dessa lagar innebr att den som inregistrerat eller inarbetat ett varumrke eller en firma (namn p bolag, freningar och andra organisationer) har ensamrtten till detta
Appendix 2 4
och att andra r frbjudna att utan tillstnd (licens) anvnda samma eller frvxlingsbart varumrke respektive firma i nringsverksamhet. VML: s respektive FL: s regler och de begrnsningar som fljer av dessa gller ven p Internet. Frbuden r straffbelagda och vertrdelse kan dessutom medfra skadestndsskyldighet. Ensamrtten gller s lnge varumrket respektive firman anvnds. Patentlagen (PL): Innebr att den som erhllit patent p en uppfinning har ensamrtt att yrkesmssigt utnyttja uppfinningen. Detta innebr i princip att ingen utan samtycke (licens) frn patenthavaren har rtt att utnyttja uppfinningen. Frbudet r straffbelagt och vertrdelse kan dessutom medfra skadestndsskyldighet. Ensamrtten gller initialt i 20 r. Arbetsrttsliga regler Medbestmmandelagen (MBL): Frhandlings- och informationsskyldigheten enligt MBL mste iakttas vid infrande av riktlinjer fr verksamheten i organisationen, exempelvis vid infrande av riktlinjer fr vervakning av anstlldas e-post- och Internetanvndning, och vid infrandet av sanktioner fr vertrdelse av riktlinjerna. Regler om krypteringsprodukter Rdsfrordning (EG) nr. 3381/94 och lag (1998:397) om strategiska produkter: Krypteringsprogramvara omfattas generellt av exportkontrollagstiftning svl inom EU som i Sverige varfr utgngspunkten r att tillstnd krvs frn Inspektionen fr strategiska produkter fr export och i vissa fall utfrsel av sdan programvara. Det finns dock generella undantag fr vissa typer av krypteringsprogramvara. Tillgngliggrande via Internet anses normalt innebra export. Sverige har dremot inga importrestriktioner avseende krypteringsprodukter.
Appendix 2.2.2

Riktlinjer/freskrifter med juridisk anknytning som br utarbetas
Behrighetsregler: Behrighetsfreskrifterna br s lngt det r mjligt begrnsa tillgngen till information (need-to-know-basis). Freskrifterna br ange hur information ska klassificeras samt ven innehlla ordning-och-reda-regler. Om distansarbete frekommer kan ven detta regleras hr. Sekretessregler: Sekretessreglerna kan utformas som ett separat avtal, som utgr bilaga till anstllningsavtalet. Skyldigheten att iaktta sekretess br omfatta all information som den anstllde erhller genom sin anstllning och glla ven efter anstllningens upphrande. E-post- och Internetanvndning: Riktlinjerna br s tydligt som mjligt avgrnsa vad som utgr tillten anvndning och uttryckligen ange att annan anvndning inte r tillten. Om vervakning av de anstlldas anvndning ska ske ska detta uttryckligen anges i riktlinjerna. Anvndning och inkp av programvara: Riktlinjerna br utformas s att anvndning och inkp av programvara inte medfr brott mot upphovsrttsreglerna. Hantering av vertrdelser: Riktlinjerna br faststlla vilka tgrder som vidtas fr det fall vertrdelse sker av de bestmmelser som gller inom organisationen. Riktlinjerna br tas fram tillsammans med den lokala fackliga organisationen. D det r viktigt att skerstlla att de anstllda har tagit del av ovan nmnda riktlinjer och regler kan det vara lmpligt att ett kontrakt/avtal upprttas vilket den anstllde signerar.
Appendix 2 5
Appendix 3 Riskanalysmetoder
Appendix 3- Riskanalys metoder

Det finns ett stort antal olika metoder fr riskanalys. Mnga av dessa r branschspecifika. Detta appendix beskriver vergripande ngra vanliga metoder.
Appendix 3.1
Riskanalys med sannolikhet och konsekvens
En ofta anvnd metod fr analysering av risker r att bedma risknivn som r sannolikheten multiplicerad med konsekvensen. Riskniv = Sannolikhet X Konsekvens Sannolikheten och konsekvensen mste graderas. Det r lmpligt att anvnda en detaljeringsniv p graderingen som str i relation till det underlag man har att arbeta med. Konsekvensen kan ocks uttryckas som kostnader. Ett exempel p gradering eller kriterierna Sannolikhet, Konsekvenser och Riskniv
Sannolikhet 1= Mycket lg 2= Lg 3= Medelstor 4= Stor 5= Mycket stor Konsekvens 1= Mycket liten 2= Liten 3= Medelstor 4= Stor 5= Mycket stor Riskniv 1-4 = Kan accepteras 5-14= Br tgrdas 15-25= tgrdas snarast
Det r viktigt att ta hnsyn till att det kan finnas krav p verksamheten vilka r tvingande och drfr mste tgrdas med hg prioritet. Exempel p detta r krav frn myndigheter och frskringsbolag. Nedanstende mall r ett exempel p hur man anvnder frgor fr att analysera skerhet i en organisation.
Objekt/ Lokal 8
Frgelista Hur hanteras gods eller handling som beskare vill frvara i reception under ett besk?
Aktuell status
K 2
R 10
tgrd eller notering Anskaffning av ett fackindelat stldskyddsskp som placeras inom synhll frn receptionen. Beskaren fr kvittera ut facknyckel frn receptionen varefter denna hanterar medfrt gods sjlv.
5 Vi har inte ngra regler eller rutiner fr hantering av beskares bagage, vrdehandlingar eller annat som lmnas i receptionen!
Om vi ser p exemplet objekt 8, frvaring i receptionen hmtat frn frgelistan ovan: S: Sannolikheten fr att ngon obehrig fr tillgng till gods i receptionen bedms som mycket hg och klassas till 5. K Konsekvensen om inlmnat gods eller vrdehandling frsvinner eller skadas? (Hr r det konsekvenserna fr fretaget som skall bedmas 1-5). Vi bedmer konsekvensen som liten och klassar den till 2.
Appendix 3 Sida 1
D risknivn r sannolikheten X konsekvensen ger det niv 10. tgrder br vidtagas fr att reducera risknivn.
Appendix 3.2
Riskanalys med anvndande av metoder fr problemanalys
Nedan beskrivs kortfattat tv metoder vilka ven kan vara mycket anvndbara vid felanalys.
1) FMEA metod, Failure Mode Effect Analysis

Identifiera potentiella fel och brister, samt fljderna av dessa Frm konstruktren/processteknikern att p ett systematiskt stt prva sin lsning Ska och jmfra alternativa lsningar Undvika sena och drmed kostsamma lsningar genom att tidigt finna eventuella svagheter Undvika att tidigare fel inte upptcks Ptala omrden dr kontroll eller kvalitetsstyrning krvs F underlag fr planering av testning och underhll
Frdelar med FMEA

Frutstter ett systematiskt arbetsstt Frutstter en samtidig vrdering av svl felfenomen som allvarlighetsgrad och sannolikhet fr upptckt. Bygger p en objektivkalkylering av ett risktal Frutstter samarbete i grupp
Reducera Felmjligheter Eliminera
Mlet av FMEA
Identifiera
Hur FMEA fungerar

Erfarenheter
FMEA
Godknn
Risk
Plan tgrd
Appendix 3 Sida 2
FMEA bedmningstal
Sannolikheten fr fel Bedm allvarlighetsgraden Bedm sannolikheten fr upptckt Institutionen fr Teknik, Johan Tingstrm
Allvarlighetsgrad
1 Ingen pverkan p produktfunktion eller p tillverkningen 2-3 Konsekvenserna av felet bedms som mindre allvarliga 4-6 Konsekvenserna bedms som ganska allvarliga 7-8 Konsekvenserna bedms som allvarliga 9-10 Konsekvenserna bedms som mycket allvarliga
Sannolikhet fr upptckt
1 Den defekta detaljen kommer nstan helt skert att upptckas 2-3 Den defekta detaljen kommer frmodligen att upptckas 4-6 Den defekta detaljen kommer kanske att upptckas 7-8 Den defekta detaljen kommer frmodligen inte att upptckas 9-10 Den defekta detaljen kommer nstan skert inte att upptckas
FMEA Risktalet
(RPN= Risk Priority Number) RPN = felsannolikhet * allvarlighetsgrad * sannolikhet fr upptckt
2) Ishikawadiagram (Fiskbensdiagram)
Diagrammet anvnds frmst fr att p ett strukturerat stt identifiera, sortera och tydligt illustrera tnkbara orsaker till ett problem eller ett tillstnd. Fiskbensdiagrammet svarar p frgor som: Vilka r de tnkbara orsakerna till att.? Vilka orsaker finns bakom? Varfr har vi problem med?
Steg 1. Definiera tydligt problemet (verkan).

Detta fr inte vara fr allmnt formulerat. Det skall tydligt framg vad sjlva problemet r.
Steg 2. Rita en kraftig pil som kommer att bli ryggraden i diagrammet.
Lt pilen peka t hger. Skriv problemet (verkan) i en ruta vid pilspetsen. Rita ut fem fiskben. Fiskbenen utgrs vanligen av fem M: Mnniskor, Maskiner, Metoder, Material och Milj. (Se p bifogade exempel)
Steg 3. Sk s mnga orsaker som mjligt. (Stll frgan varfr)

Anvnd grna metoden brainstorming. Genom att sortera in alla orsakerna under resp. M i fiskbenet fr man en klar bild av vilka av de fem M:en som dominerar. Man kan ocks se vilka orsaker som eventuellt hnger ihop. Tnk p att en orsaksfaktor kan dyka upp p flera platser i diagrammet.
Appendix 3 Sida 3
Steg 4. Efter att ha sammanstllt en uppsttning av orsaksteorier r nsta steg att finna vilka de viktigaste grundorsakerna r.
Orsakerna kan rangordnas, dvs. vi mste komma fram till vilka av dem som r vsentligaste. Se bifogade exempel p fiskbensdiagram: Problem (Verkan), Mnniskor, Metoder, Material, Milj och Maskiner Mnniskor Metoder Problem(verkan) Material Maskiner Milj
Appendix 3 Sida 4
Appendix 4 Handledning fr LIS planeringsfas
Appendix 4 Handledning fr LIS planeringsfas

Inledning
Som std vid infrandet av ett ledningssystem fr informationsskerhet finns en processorienterad handledning som r tillgnglig kostnadsfritt frn SIS webb, www.sis.se/projekt/lis. Handledningen finns att ladda hem dels som en rapport i pdf-format och dels som en interaktiv webbtjnst. Denna handledning kom till fr att avdramatisera arbetet med att ha standarden som grund fr en organisations informationsskerhetsarbete. Handledningen visar p ett angreppsstt som inte innebr alltfr stor belastning p verksamheten, men nd leder mot en mera fullstndig tillmpning i flera steg. Resultatet ska ses som ett komplement till denna handbok.
Apendix 4.1 Handledningens syfte

Handledningen ska ge vgledning i arbetet med att starta upp och genomfra planeringsfasen i ett ledningssystem fr informationsskerhet enligt SS-ISO/IEC 27001 och med std av SS-ISO/IEC 17799. Det skall ven ge en grund fr fortsatt planering och tillmpning. Hantering av akuta brister som upptcks i det inledande stegen (nulges-, och verksamhetsanalyser) behandlas inte i handledningen. Detta innebr inte att tgrder av det slaget r mindre viktiga. Slutprodukten frn den fas som handledningen beskriver r ett sammanhllande regelverk dr man har tagit hnsyn till resultatet frn verksamhets-, nulges- och riskanalyser.
Appendix 4 Sida 1
Appendix 5 - Certifiering av Ledningssystem fr informationsskerhet LIS
Appendix 5
Appendix 5.1 5.1.1 Bakgrund
Certifiering av ledningssystem fr informationsskerhet LIS

En beskrivning av certifieringsordningen
Certifiering av ledningssystem fr informationsskerhet sker mot SS ISO/IEC 27001, Specifikation fr ledningssystem fr informationsskerhet, och handlar om att skydda organisationens informationstillgngar och att skerstlla en kontinuerlig verksamhet med marknadens och myndigheters frtroende. Syftet med denna beskrivning r att enkelt redogra fr hur processen ser ut enligt de regelverk som gller fr ackrediterade certifieringsorgan. Fr organisationer dr det i verksamheten ingr att utfrda elektroniska signaturer tillmpas utver SS ISO/IEC 27001 kompletterande standarder.
5.1.2
Certifikatens trovrdighet
Certifiering r inget skyddat begrepp. Certifikat kan utfrdas av vem som helst. Fr att skerstlla trovrdighet finns systemet med ackreditering (kompetensprvning) av certifieringsorgan, dvs. godknnande av att organisationer som utfrdar certifikat har tillrcklig kompetens. Fr att f jmfrbar niv p utfrdade certifikat, varigenom trovrdighet skerstlls, finns standarder och riktlinjer fr hur certifieringsorgan br vara organiserade och bedriva verksamhet. Oberoende r hr ett viktigt kriterium. I Sverige utfrdas ackrediteringen inom omrdet ledningssystem fr informationsskerhet av myndigheten SWEDAC. Motsvarande system finns i de flesta industrilnder.
5.1.3
Grundkraven p certifieringsprocessen
Fr certifieringsorgan som ackrediteras fr att utfra certifieringar av ledningssystem fr informationsskerhet gller standarden ISO Guide 62 (EN 45 012). Denna standard beskriver bde de formella kraven p certifieringsorgan nr det gller oberoende, kompetens, beslutsrutiner etc. samt hur certifieringsprocessen br se ut. Standarden ger inga tolkningar till SS ISO/IEC 27001.. Ackrediteringsorganen i flera europeiska lnder har gemensamt och i samarbete med certifieringsorgan, industriorganisationer och andra intressenter utarbetat ett vgledningsdokument fr certifiering av ledningssystem fr informationsskerhet, EA-7/03,EA Guidelines for the Accreditation of Bodies Operating Certification / Registration of Information Security Management Systems. Dokumentet finns tillgngligt p Internet <http://www.europeanaccreditation.org>. Kraven r inte heltckande utan ger certifieringsorgan mjlighet att utveckla och anpassa rutinerna utifrn sina och kundernas behov. Certifieringsorganen ska ha en detaljerad beskrivning av sitt revisions- och certifieringsfrfarande som r tillgngligt fr deras kunder.
Appendix 5.2 5.2.1
Certifieringsordningen ingende delar
Anskan/offertbegran
Fretag, myndigheter och andra organisationer som nskar bli certifierade skickar normalt en offertfrfrgan till ett eller flera certifieringsorgan. Certifieringsorganen tillhandahller formulr fr detta. Organisationen frser certifieringsorganet med bland annat basuppgifter om organisationens verksamhet, storlek och lokalisering, information om dess ledningssystem fr informationsskerhet och genomfrda riskanalyser samt relevant lagstiftning som organisationen berrs av. Dessutom br nskad start av certifieringsprocessen anges. Certifieringsorganet kan p grundval av basuppgifterna, och eventuella kompletteringar, g igenom handlingarna och frskra sig om att kunden har frsttt kraven fr certifiering den insnda dokumentationen r tillrcklig. Bilagor till offertfrfrgan br vara karta som visar hur man kommer till primrorten organisationsschema beskrivning av ledningssystemet fr informationsskerhet riskanalysrapport uttalande om tillmplighet kopia(or) p ISO 9001, ISO 14001 och/eller andra certifikat som rr verksamheten
Appendix 5 Sida 1
Certifieringsorganet har nu att bedma om man har kompetens inom branschen samt kapacitet att utfra det aktuella uppdraget. Om organisationens verksamhet bedrivs p flera platser ska certifieringsorganet gra en srskild bedmning enligt regler i ackrediteringsorganens vgledningsdokument. Denna genomgng r ndvndig fr att certifieringsorganet ska kunna ge en relevant offert.
5.2.2
Offert
Offerten baseras p information som givits i offertfrfrgan och br bland annat inkludera pris, leveransvillkor, revisionslag, beskrivning av certifieringsprocessen samt uppfljande revisioner.
5.2.3
Planering
Nr en offert accepterats av kunden planerar certifieringsorganet uppdraget mer i detalj och begr in ytterligare dokumentation frn fretaget. En bekrftelse p revisionslag som utsetts samt kontaktpersoner skickas. Kunden har mjlighet att komma med invndningar mot personer i laget till exempel av konkurrensskl.
Appendix 5.3
Revision i tv steg p plats
Certifieringsorganet genomfr sin granskning p plats i tv steg.

Sekretessavtal
Uppfljnings aktivitet Dokument granskning Inledande revision Certifierings revision
Certifikat 7799
Revisionslag
Stegindelningen r franledd av att ledningssystem fr informationsskerhet utgr frn ett antal baselement. Dessa r Riskhanteringsprocessen informationsskerhetspolicy och processen fr kontinuitetsplanering. Riskanalyser och kontinuitetsplaner ska vara utfrda utifrn affrsverksamhetens perspektiv. Analyser och planer mste finnas p plats fr att det fortsatta arbetet ska vara meningsfullt.
5.3.1
Steg 1
Som minimum ska det frsta steget bland annat skerstlla att informationsskerhetspolicyn uppfyller standardens krav, uttalande om tillmplighet har upprttats, informationsskerhetspolicyn, utfall frn genomfrda riskanalyser samt validering av kontinuitetsplaner harmoniserar med uttalande om tillmplighet, riskanalyser r utfrda utifrn ett affrsperspektiv samt att dessa r relevanta med hnsyn till den verksamhet som bedrivs i organisationen och den milj i vilken verksamheten bedrivs, organisationen har rutiner fr identifiering av relevant lagstiftning och andra krav som fretaget berrs av, ledningssystemet r s utformat att organisationens informationsskerhetspolicy kan uppfyllas, systemet r implementerat i sdan utstrckning att en detaljerad granskning kan genomfras i nsta steg, interna revisioner av ledningssystemet har gt rum och att resultatet frn revisionerna finns tillgngliga, ledningens genomgng har genomfrts och att denna omfattat systemets lmplighet och effektivitet, kontinuitetsplaner finns utformade utifrn affrsverksamhetens frutsttningar och att deras lmplighet har validerats.
Appendix 5 Sida 2
Steg 1 syftar vidare till att ge organisationen erfarenhetsterfring om systemets funktion och revisionsprocessen, utgra underlag fr en detaljplanering av steg 2 inkluderande en utvrdering av behov av revisionskompetens, inklusive tekniska experter, avstmning av att planerad tid r tillrcklig, samla information infr steg 2 och identifiera omrden som ska gnas srskild uppmrksamhet i detta steg, peka p omrden dr kompletterande information krvs frn kunden. Normalt franleder steg 1 att justeringar och kompletteringar av systemet krvs fre steg 2. Planeringen br drfr vara sdan att tid avstts till detta. De eventuella avvikelser/frbttringsmjlighet som identifierats under steg 1 ska ha tgrdats innan steg 2 inleds.
5.3.2
Steg 2
Det grundlggande syftet med detta steg i revisionen r att skerstlla att fretaget verkar enligt sin egen policy, sina ml samt enligt sitt ledningssystem fr informationsskerhet ledningssystemet uppfyller verksamhetens samt standardens krav Viktiga omrden vid revisionen r riskanalysprocessen, skerhetsorganisationen, klassificering och kontroll av tillgngar, personal och skerhet, styrning av kommunikation och drift, styrning av tkomst, systemutveckling och underhll, kontinuitetsplanering, efterlevnad. Revisionen utfrs genom stickprov. Den omfattar svl utvrdering av att systemet r dokumenterat som att det r implementerat, det vill sga att ledningssystemet uppfyller ledningens och standardens krav samt att det anvnds och att det finns ett frtroende fr dess fortlevnad och utveckling.
5.3.3
Rapportering
Revisorerna ska p plats, som en avslutning p revisionen, ge fretaget och dess ledning en redogrelse fr resultatet av revisionen samt lmna ver avvikelser och skerstlla att dessa r frstdda. Mjlighet till frgor och frtydliganden ges vid detta tillflle. En skriftlig rapport lmnas ver eller skickas senare till fretaget. De avvikelser frn kraven, verksamhetens svl som standardens, som identifierats ska vara klart angivna. Rapporteringen ska ven innehlla mera versiktliga kommentarer kring systemet. Fretaget ska ges mjlighet att kommentera rapporten. Revisionsledaren ska beskriva den fortsatta processen och ge besked om rekommendation till certifiering kommer att utfrdas nr eventuella avvikelser tgrdats och verifierats av certifieringsorganet. Om avvikelserna r omfattande eller av allvarlig grad kan en ny revision p plats krvas. Fretaget ska inom avtalad tid vidta tgrder fr att korrigera de avvikelser som konstaterats under revisionen. Om avvikelserna har varit omfattande kan, som ovan nmnts, en ny revision av delar av eller hela systemet erfordras. Revisionsledaren ska utfrda en rekommendation till certifiering nr alla avvikelser r stngda.
5.3.4
Beslut om certifiering samt utstllande av certifikat
Beslut om certifiering tas av oberoende personal inom certifieringsorganet med motsvarande kompetens. Beslutet fregs av en genomgng av de uppgifter som redovisats av revisionslaget. Vid denna genomgng kan kompletteringar och frtydliganden krvas. Certifieringsorganet utfrdar drefter ett certifikat dr bland annat fljande framgr Fretagets namn Standard fr certifiering (SS-ISO/IEC 27001) Eventuella andra standards och tolkningsdokument som tillmpats vid bedmningen Verksamhetens omfattning (scope) detta kan medfra att bilaga till certifikat erfordras fr att med nskvrd tydlighet klargra verksamhetens omfattning Referens till organisationens aktuella uttalande om tillmplighet Giltighetstid Certifieringsorganets namn Ackreditering
Appendix 5 Sida 3
I bilagor ges vidare bland annat regler fr: Uppfljande revisioner, oftast kallad periodiska besk Anvndning av certifierings- och ackrediteringsmrke Anvndning av certifiering i marknadsfring Dessutom bifogas ofta en periodisk plan dr preliminra tider fr uppfljande besk anges samt omrden som ska revideras vid dessa tas upp. Detta fr att skerstlla att hela verksamheten tcks in under den trersperiod som certifikatet r giltigt.
5.3.5
Uppfljning av certifikat
Certifieringsorgan fljer under certifikatets giltighetstid upp att fretagets certifierade ledningssystem fr informationsskerhet fortsatt fungerar fr verksamheten och uppfyller kraven i standarden. Denna uppfljning ska ske minst en gng per r. Besken kan omfatta hela eller delar av systemet. De avvikelser som noteras vid uppfljande revisioner ska tgrdas fr att certifikatet ska fortstta att glla. Ytterst handlar det om att frtroendet fr organisationens frmga att skydda sina informationstillgngar hlls levande.
5.3.6
Frnyelse av certifikat
Minst vart tredje r ska en total genomlysning av ledningssystemet gras fr att skerstlla dess vergripande verensstmmelse med organisationens ledningssystem fr informationsskerhet och standardens krav och att detta har vidmakthllits korrekt. Denna ska tminstone skerstlla att alla element i ledningssystemet fr informationsskerhet, LIS, harmoniserar, vergripande effektivitet hos LIS i sin helhet med hnsyn taget till organisationens verksamhetsfrndringar finns, fretagsledningen visar sitt uttalade std fr ett effektivt LIS.
Appendix 5 Sida 4

GIRS

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

GIRS

Uploaded by

Copyright:

Available Formats

Teknisk rapport SIS/TK 318 N46 Version 6.

Ge din information rtt skerhet

Revideringen till version 6.0 har utfrts av:

Medverkande vid det ursprungliga framtagande av denna skrift var:

Termer och definitioner

2 Termer och definitioner

Termer och definitioner

Termer och definitioner

Kapitel 3 Standardens struktur

Genom- Infr och driv LIS fra

Utvecklings-, underhlls- och frbttrings-cykel

Upprtthll och frbttra LIS

Informationsskerhetskrav och frvntningar

Flj upp och granska LIS

Indelning inom huvudomrden

10.2 Kontroll a v utoms t ende tj ns televera ntre

M l lomr den M omr den

10.3 S ys templa nering och s ys temg odk nna de

10.6 Ha ntering a v s kerhet I n tverk

Exempel p utformning av ett mlomrde

Riskbedmning och riskhantering

Kapitel 4 Riskbedmning och riskhantering

Etablera extern och intern milj

Etablering av extern milj

Riskbedmning och riskhantering

Det r viktigt att upprtta en policy fr extern kommunikation.

Etablering av intern milj

Riskbedmningsgrund eller kriterier fr riskbearbetning

4.2 Bedmning av skerhetsrisker

Riskbedmning och riskhantering

4.3 Bearbetning av skerhetsrisker

Policy Riktlinjer Anvisningar Instruktioner

Omfattningen kan begrnsas med hnsyn till organisationens storlek.

Underlag fr att skriva en informationsskerhetspolicy

Exempel p informationsskerhetspolicy Informationsskerhetspolicy fr Medytekk

Kapitel 6 Organisation av informationsskerheten

Ledningens engagemang fr informationsskerhet

Frdelning av ansvar fr informationsskerhet

Kontakt med srskilda intressegrupper

Oberoende granskning av informationsskerhet

Identifiering av risker med utomstende parter

Hantering av skerhet vid kundkontakt

Hantering av skerhet i avtal med utomstende

Organisation och ansvar IT-avdelningen

Vad kan vi lra oss av dessa exempel? Exempel 1 Ledningskonferens

Exempel 5 Organisation och ansvar IT-avdelning

Checklista Organisation av informationsskerheten

Kapitel 7 Hantering av tillgngar

7.1 Ansvar fr tillgngar

Frteckning ver tillgngar

Godtagbar anvndning av tillgngar

Mrkning och hantering av information

Exempel 1 Frstrda data p lagringsmedia

3 Spridning av knslig information

Exempel 2 Frlust av forskningsrapport

Exempel 3 Spridning av knslig information

Exempel 4 Mrkning av skerhetskopior

Checklista Klassificering och styrning av tillgngar

Personalresurser och skerhet

Kapitel 8 Personalresurser och skerhet

Roller och ansvar

Personalresurser och skerhet

Anstllningsvillkor och anstllningsfrhllanden

Informationsskerhetsmedvetande, utbildning och vning