AVTALAD SPECIFIKATION
RPSFS 2009:4 FAP 174-1
Utkom från trycket den 1 februari 2010
2
brandvägg: funktion som på ett definierat sätt begränsar och övervakar datatrafik till ett eller flera nätverk,
drifttillstånd: formellt beslut om att ett visst informationssystem kan god-kännas för drift från verksamhets- och säkerhetssynpunkt,
informationsskyddsklassning: indelning av information i klasser på grund-val av hur skyddsvärd informationen är med avseende på konfidentialitet,
informationssäkerhet: säkerhet för informationstillgångar avseende för-måga att upprätthålla önskad tillgänglighet, riktighet, konfidentialitet och spårbarhet (även oavvislighet),
informationstillgångar: information, program, tjänster eller fysiska till-gångar såsom IT-utrustning,
IT-incident: en oönskad eller oplanerad händelse som drabbar och negativt påverkar informationsbehandling med stöd av IT,
IT-system: alla i ett informationsbehandlingssystem ingående komponen-ter, t.ex. applikation, tjänster och databaser m.m. som baseras på informa-tionsteknik såsom radio-, telefoni-, datorkommunikations- eller datorsystem och som samverkar för ett visst syfte,
IT-tjänst (teknisk tjänst): en mekanism som är implementerad i mjukvara och som ger tillgång till en eller flera förmågor via ett fastställt gränssnitt och som kan brukas i enlighet med de begränsningar och policyer som speci-ficeras av en tjänstespecifikation,
IT-utrustning: materiel såsom datorer, telefoner, radioapparater, datame-dia, lagringsmedatame-dia, kablage eller nätverksutrustning,
konfidentialitet: den del av begreppet informationssäkerhet som innebär att innehållet i ett informationsobjekt (eller ibland även dess existens) inte får avslöjas för obehöriga personer,
kontinuitetsplanering: dokument som beskriver en process för hur verk-samheten ska bedrivas när identifierade, kritiska verksamhetsprocesser all-varligt påverkas under en längre, specificerad tidsperiod,
myndighet: Rikspolisstyrelsen, polismyndigheterna och Statens kriminal-tekniska laboratorium,
Polisens gemensamma IT-infrastruktur: Polisens gemensamma nätverk för datakommunikation inklusive anslutningar till andra nät samt de godkän-da programvaror och IT-utrustningar, såväl anslutna till det gemensamma nätverket som fristående, som Rikspolisstyrelsen förvaltar och har driftan-svar för,
riktighet: den del av begreppet informationssäkerhet som innebär att in-formation inte obehörigen, av misstag eller på grund av funktionsstörning, har förändrats,
riskanalys: process som identifierar hot mot verksamheten och uppskattar deras betydelse och identifierar skyddsåtgärder,
3 ifrån informationens skyddsvärde,
spårbarhet: den princip inom informationssäkerhet som innebär möjlighet att entydigt kunna härleda utförd behandling till en identifierad användare,
stark autentisering: verifiering av identitet med hjälp av en kryptografisk algoritm och tillhörande hemlig nyckel,
systemägare: av myndigheten utsedd person som bl.a. har ansvar för drift och förvaltning samt säkerheten i ett IT-system,
säkerhetsmålsättning: beskrivning av de säkerhetskrav som ett IT-system eller en IT-tjänst ska uppfylla med utgångspunkt från genomförd rättsanalys, hot- och riskanalys, informationsklassificering och verksamhetsanalys,
särskilt skyddsvärda uppgifter: uppgifter som omfattas av sekretess enligt offentlighets- och sekretesslagen (2009:400), personuppgifter som är känsli-ga enligt 13 § personuppgiftslagen (1998:204) och personuppgifter om lag-överträdelser enligt 21 § personuppgiftslagen,
tillgänglighet: den del av begreppet informationssäkerhet som innebär möjlighet att utnyttja informationstillgångar efter behov i förväntad utsträck-ning och inom önskad tid,
utkontraktering: överenskommelse som innebär att en extern part anlitas av en myndighet för att utföra en viss verksamhet eller tjänst,
väsentlig förändring: en större förändring av funktion eller en ny använd-ning av befintlig funktion,
åtkomst: sätt för en användare att ta del av eller påverka informations-tillgångar såsom information, program, tjänster eller utrustning.
3 kap. Organisation, roller och ansvar
Användares ansvar
1 § Varje användare av Polisens IT-system ansvarar för att säkerheten upprätthålls genom att följa regler och rutiner samt anmäla iakttagna inci-denter, fel och brister.
Myndighetschefens ansvar
2 § Myndighetschefen har det övergripande ansvaret för säkerheten i samband med all informationsbehandling vid myndigheten. Myndighetsche-fen har även det övergripande ansvaret för information som myndigheten tillför ett IT-system. Ansvaret innefattar att bedöma känsligheten hos infor-mationen och behovet av skyddsåtgärder.
4
2. ledning av utvecklingen av metoder, hjälpmedel och utbildning som gäller informationssäkerhet samt
3. samordning och uppföljning av Polisens informationssäkerhetsarbete.
Informationssäkerhetsfunktion
4 § Varje myndighet ska ha tillgång till en funktion med specialistkompe-tens som har till uppgift att samordna myndighespecialistkompe-tens informationssäkerhets-arbete.
Systemägarens ansvar
5 § För varje IT-system ska det finnas en systemägare som ansvarar för säkerhet och samordning samt IT-systemets överensstämmelse med säker-hetsrelaterade krav. Systemägaren ska vidare ansvara för att IT-systemet har den förvaltningsorganisation som behövs för att säkerheten ska tillgodoses.
Beslut om systemägare
6 § Rikspolisstyrelsen beslutar om systemägare för IT-system som an-vänds vid flera myndigheter.
Underlag för myndigheternas användningsbeslut
7 § Systemägaren för ett IT-system som används vid flera myndigheter ska, om det inte är uppenbart obehövligt, förse myndigheterna med underlag för myndigheternas beslut om användning av IT-systemet.
4 kap. Utkontraktering m.m.
Utkontraktering av verksamhet
1 § När Polisen utkontrakterar en verksamhet som innebär kontakt med information eller IT-system inom Polisen, ska säkerhetskraven regleras i ett avtal mellan parterna. Säkerhetskrav som motsvarar vad som gäller för verk-samheten inom Polisen ska då gälla.
Externa tjänster för informationsbehandling
2 § Rikspolisstyrelsen beslutar om användning av samt utser ansvarig för en extern IT-tjänst för informationsbehandling som används av flera myn-digheter. Denna funktion ansvarar bl.a. för säkerhet och samordning samt IT-tjänstens överensstämmelse med verksamhetens krav.
5 3 § Innan Polisen åtar sig drift av ett IT-system för någon annans räkning,
ska förhållandet regleras i ett avtal mellan parterna. I avtalet ska kraven på säkerhet regleras. Innan ett sådant avtal ingås ska Rikspolisstyrelsen ge sitt godkännande.
5 kap. Informationsskyddsklassning
Klassning med skyddsvärdesnivå
1 § Vid behandling i IT-system ska informationen klassas med avseende på sitt skyddsvärde. Vid klassificeringen ska hänsyn tas, inte bara till Poli-sens behov av skydd för informationen, utan även till motsvarande intresse hos andra organisationer eller enskilda personer.
2 § Information ska klassas med avseende på sitt skyddsvärde ur konfi-dentialitetsaspekt. Klassning sker enligt följande.
Öppen: Information som innebär ingen eller obetydlig skada eller kränk-ning för Polisen, annan myndighet eller enskild fysisk eller juridisk person, om den kommer till obehörigas kännedom.
Begränsat skyddsvärde: Information som kan innebära begränsad skada eller kränkning för Polisen, annan myndighet eller enskild fysisk eller juri-disk person, om den kommer till obehörigas kännedom.
Högt skyddsvärde: Information som kan innebära allvarlig skada eller kränkning för Polisen, annan myndighet eller enskild fysisk eller juridisk person, om den kommer till obehörigas kännedom.
Mycket högt skyddsvärde: Information som kan innebära mycket allvarlig skada eller kränkning för Polisen, annan myndighet, rikets säkerhet eller enskild fysisk eller juridisk person, om den kommer till obehörigas känne-dom.
Informationsskyddsklassning vid behandling i IT-system
3 § Systemägaren för ett IT-system ansvarar för att informationsskydds-klassning genomförs och dokumenteras för de typer av uppgifter som IT-systemet är avsett att behandla. Systemägaren ansvarar även för att IT-systemet, där så är lämpligt, innehåller funktioner för att information ska kunna mär-kas med skyddsvärdesnivå.
6
kännedom om särskilt skyddsvärda uppgifter, ska personens bakgrund kon-trolleras och lämplighet prövas. Beslut om lämplighet ska dokumenteras.
När det gäller sådan verksamhet som har betydelse för rikets säkerhet eller som är viktig för skyddet mot terrorism finns bestämmelser i säkerhets-skyddslagen (1996:627).
Utbildning och information
2 § Varje myndighet ska utbilda och återkommande informera anställda och uppdragstagare om informationssäkerhet, om tillämpliga författningar och myndighetens bestämmelser om informationssäkerhet.
Informationen ska lämnas innan en anställd eller uppdragstagare påbörjar arbete som kan innebära kontakt med information eller IT-system inom Poli-sen. Av sådan information ska framgå att loggning förekommer och vad logginformation används till.
Anmälan om incidenter, fel och brister
3 § Den som upptäcker incidenter, fel eller brister, som kan ha betydelse för konfidentialitet, tillgänglighet, riktighet eller spårbarhet avseende Poli-sens IT-system, ska anmäla detta till Rikspolisstyrelsen. Anmälan av övriga incidenter, fel eller brister ska ske i enlighet med myndighetens fastställda rutiner.
Hantering av och information om incidenter, fel och brister
4 § Rikspolisstyrelsen ansvarar för hanteringen av anmälda incidenter, fel och brister som rör Polisens IT-system.
Rikspolisstyrelsen ansvarar för att skyndsamt informera berörd myndighet och systemägare när sådana incidenter, fel eller brister anmäls som är vä-sentliga för myndighetens verksamhet eller som kan påverka verksamheten hos flera myndigheter.
Varje myndighet ska ha rutiner för att vid behov sprida informationen vi-dare till berörda använvi-dare inom myndigheten.
Åtgärder som kan hindra tillgång till IT-system
5 § En användare får inte utnyttja Polisens IT-system eller IT-utrustning på ett sådant sätt att systemet eller utrustningen skadas eller så att andra an-vändares tillgång hindras eller äventyras.
Rikspolisstyrelsen får dock efter samråd med berörda verksamhetsgrenar utföra åtgärder som kan medföra att användares tillgång till IT-system till-fälligt hindras.
7
7 kap. Tillträdeskontroll och fysiskt skydd
IT-utrustning i Polisens lokaler
1 § IT-utrustning och IT-system som kan ge åtkomst till särskilt skydds-värda uppgifter ska placeras och skyddas i utrymme med skalskydd och till-trädeskontroll som är godkänt av Rikspolisstyrelsen. Särskilda utrymmen med IT-utrustning såsom serverhallar och växelrum ska även ha skydd mot brand, elavbrott, åverkan, vatten och annan yttre påverkan.
För att förhindra olovlig insyn, avlyssning och övrig informationsförlust, ska IT-utrustning som kan ge åtkomst till särskilt skyddsvärda uppgifter hållas under ständig tillsyn när den används.
IT-utrustning utanför Polisens lokaler
2 § IT-utrustning som kan ge åtkomst till särskilt skyddsvärda uppgifter och som medförs eller används utanför Polisens skalskyddade lokaler ska hållas under ständig uppsikt eller vara inlåst i säkerhetsskåp. IT-utrustningen ska även vara försedd med tekniskt säkerhetsskydd som har godkänts av Rikspolisstyrelsen.
Transport av datamedia utanför Polisens lokaler
3 § Vid transport eller försändelse av ett datamedium eller annan IT-utrustning som innehåller särskilt skyddsvärda uppgifter ska transporten övervakas av myndigheten eller uppgifterna skyddas med godkänd krypte-ring.
Serviceföretag och servicepersonal
4 § Service på IT-utrustningar som ägs av Rikspolisstyrelsen eller av nå-gon utanför Polisen och som är kopplad till Polisens gemensamma IT-infrastruktur får utföras endast av företag som har godkänts av Rikspolissty-relsen.
5 § Servicearbete får inte påbörjas innan servicepersonalens identitet har kontrollerats.
6 § När servicearbete utförs av en person utan behörighet till IT-systemet eller utan rätt till tillträde till lokalen, ska arbetet övervakas av en anställd eller en uppdragstagare som har sådan kompetens som behövs för att över-vaka de åtgärder som utförs.
8
kan göras, ska datamediet förstöras så att åtkomst och återskapande av upp-gifterna omöjliggörs.
8 § Bestämmelserna i 4 – 7 §§ gäller endast om IT-utrustningen kan ge tillgång till särskilt skyddsvärda uppgifter eller servicearbetet utförs i en lo-kal där särskilt skyddsvärda uppgifter är tillgängliga.
Datamedia vid avveckling eller återanvändning av IT-utrustning 9 § Vid avveckling av IT-utrustning ska datamedia som innehåller särskilt skyddsvärda uppgifter förstöras så att åtkomst och återskapande av uppgif-terna omöjliggörs. Sådan avveckling får ske även genom att informationen på ett datamedium skrivs över med ett raderingsverktyg som godkänts av Rikspolisstyrelsen.
IT-utrustning som innehåller särskilt skyddsvärda uppgifter och som ska återanvändas för ändamål där säkerhetskraven är lägre ska hanteras på sam-ma sätt som vid avveckling.
8 kap. IT-infrastruktur och drift
IT-utrustning som får anslutas till Polisens gemensamma IT-infrastruktur
1 § Endast IT-utrustning som godkänts av Rikspolisstyrelsen får anslutas till Polisens gemensamma IT-infrastruktur.
Övervakning av Polisens gemensamma IT-infrastruktur
2 § Rikspolisstyrelsen ansvarar för att Polisens gemensamma IT-infrastruktur övervakas och skyddas mot oönskad datakommunikation, så-som intrång eller överbelastning.
Information om andra nätverk
3 § Om en myndighet använder ett annat nätverk för datakommunikation än Polisens gemensamma IT-infrastruktur, ska användningen föregås av godkännande från Rikspolisstyrelsen.
Rikspolisstyrelsens brandväggar för datakommunikation
4 § IT-utrustning som är ansluten till Polisens gemensamma infrastruktur får sammankopplas med system utanför denna IT-infrastruktur endast om Rikspolisstyrelsens brandvägg för datakommunika-tion har används.
9 5 § All IT-utrustning där korrekt tid är av vikt och som är ansluten till
Po-lisens gemensamma IT-infrastruktur ska upprätthålla tid enligt Rikspolissty-relsens tidgivningstjänst.
Polisens gemensamma IT-infrastruktur
6 § Rikspolisstyrelsen ansvarar för Polisens gemensamma IT-infrastruktur.
Dokumentation inklusive konfigurationer och installationer för klienter och servrar ska hållas uppdaterad hos Rikspolisstyrelsen.
IT-systems tillgängliga nätverkstjänster
7 § För varje system som är anslutet till Polisens gemensamma infrastruktur ska det finnas en förteckning över de nätverkstjänster som IT-systemet använder. Inga andra nätverkstjänster får vara tillgängliga. System-ägaren har ansvaret för förteckningen.
Driftjournal
8 § För IT-system som har flera användare ska det föras en driftjournal som omfattar de säkerhetsrelevanta händelser som inte framgår av systemets logg.
Godkänd kryptering
9 § Endast krypteringsutrustning och krypteringsfunktioner som har god-känts av Rikspolisstyrelsen får användas inom Polisen.
Datakommunikation utanför myndighetens kontroll
10 § När särskilt skyddsvärda uppgifter överförs med datakommunikation utanför myndighetens kontroll ska kryptering användas.
Radio- och telekommunikation utanför myndighetens kontroll
11 § När särskilt skyddsvärda uppgifter överförs muntligt med radiokom-munikation ska, om möjligt, radioutrustning med talkryptering användas.
När särskilt skyddsvärda uppgifter överförs muntligt eller med telefax i ett allmänt telenät ska, om möjligt, kryptotelefon eller kryptofax användas.
10
Rikspolisstyrelsen ansvarar för uppdatering av dessa funktioner för IT-utrustning som är ansluten till Polisens gemensamma IT-infrastruktur. För andra IT-utrustningar ansvarar myndigheten för att uppdatering av dessa funktioner görs i samråd med Rikspolisstyrelsen.
Säkerhetskopiering
13 § Säkerhetskopiering av väsentlig information och programvaror ska göras regelbundet och säkerhetskopiornas kvalitet ska verifieras.
Säkerhetskopior ska förvaras geografiskt avskilda för att inte påverkas av incidenter, fel eller brister som kan inträffa i Polisens ordinarie IT-miljö.
För IT-utrustning innehållande säkerhetskopior gäller bestämmelserna i 7 kap.
9 kap. Behörighetskontroll och loggning
Förutsättningar för behörighet till IT-system 1 § Behörighet till IT-system får endast den ha som 1. bedöms vara lämplig ur säkerhetssynpunkt,
2. har erforderliga kunskaper för att använda IT-systemet och
3. har behov av uppgifterna i systemet för att kunna fullgöra sina arbets-uppgifter.
Förändring av behörighet m.m.
2 § När något av kraven enligt 1 § inte längre är uppfyllt, ska behörighe-ten omgående förändras eller tas bort så att användaren inte längre kan ut-nyttja IT-systemet. Tidigare användning av systemet ska dock fortfarande kunna spåras i IT-systemets logg.
Tilldelning av behörighet
3 § Myndigheten ska besluta om vilken behörighet en användare ska ha, om inte annat följer av andra föreskrifter. Registrering av en ny eller föränd-rad behörighet får inte ske utan ett sådant beslut.
Av ett beslut om tilldelning eller förändring av behörighet till ett IT-system ska berörda användares identitet framgå. En användares behörighet ska kunna registreras med bestämd giltighetstid.
11 lösenord hanteras så att dessa inte kan användas av någon annan person.
Förlorat behörighetskort
5 § Om ett behörighetskort förlorats eller kortet har utnyttjats av någon annan, ska anmälan skyndsamt göras enligt myndighetens fastställda rutiner.
Rikspolisstyrelsen ska informeras omgående för att spärra kortet.
Byte av kända lösenord
6 § Ett lösenord som kan ha kommit till en annan persons kännedom ska omedelbart bytas ut.
Presentation av behörighetsinformation
7 § Systemägaren ansvarar för att det finns ett behörighetskontrollsystem till IT-systemet. Varje IT-system ska kunna presentera information om vilka användargrupper som definierats, vilka användaridentiteter som förekommer i varje användargrupp samt vilka behörigheter en användargrupp har.
I fråga om IT-system som är avsedda för behandling av särskilt skydds-värda uppgifter ska alltid en användares identitet kunna härledas, även om åtkomst skett med en grupp- eller rollbaserad identitet.
Stark autentisering
8 § För ett IT-system, som är avsett för behandling av särskilt skyddsvärda uppgifter och som har fler än fem användare, ska stark autentisering av an-vändare ske.
Sådana tekniska åtgärder som driftpersonal endast kan utföra direkt på en viss IT-utrustning, t.ex. start av utrustningen, får göras utan stark autentise-ring, om åtgärden noteras i driftjournal.
Funktioner i behörighetskontrollsystem
9 § Vid lagring och överföring av lösenord ska godkänd kryptering an-vändas.
IT-system som är tillgängliga för allmänheten
10 § En myndighet kan använda IT-system för att informera allmänheten eller tillgodose allmänhetens rätt att ta del av allmän handling enligt 2 kap.
tryckfrihetsförordningen. Vid sådan användning ska åtkomst till handlingar eller uppgifter som skyddas av sekretess inte vara möjlig.
12
I övriga IT-system ska loggning ske i den utsträckning som myndighetens verksamhet kräver det.
Övervakning av loggning
12 § För de IT-system där loggning används ska loggningens funktion övervakas.
Bevarande av logg
13 § Logg ska bevaras i minst fem år. Loggen ska tas om hand så att den fysiska och logiska kvaliteten bibehålls.
Logganalysverktyg
14 § Systemägaren ansvarar för att det finns verktyg för analys av logg och selektering av delmängder av information från loggar.
Användning av loggutdrag
15 § Myndigheten ska se till att loggar följs upp och vid behov analyseras.
16 § Myndighetschefen eller den denne bestämmer eller chefen för en in-ternutredningsenhet får beställa utdrag ur loggar.
Utdrag ur en logg som inte finns tillgänglig vid myndigheten ska beställas hos Rikspolisstyrelsen. Rikspolisstyrelsen ansvarar för att beslut om bevil-jande av utdrag ur logg som beställs hos Rikspolisstyrelsen dokumenteras.
10 kap. Systemutveckling, anskaffning och väsentlig för-ändring av IT-system
Auktorisationsbeslut
1 § Utveckling, anskaffning eller väsentlig förändring av IT-system får inte påbörjas utan att systemägaren för IT-systemet har gett sitt tillstånd (auktorisation).
I underlaget för auktorisationsbeslutet ska det ingå en säkerhetsmålsätt-ning som anger säkerhetskraven på IT-systemet och ett förslag till loggbeslut som anger omfattningen av loggningen samt yttrande från Rikspolisstyrel-sen.
13 förändring av ett IT-system ansvarar för att systemet uppfyller de
säkerhets-krav som ställs på systemet och dess informationsbehandling när det levere-ras eller överlämnas.
Under utvecklingen av ett IT-system ska systemägaren regelbundet kon-trollera att ställda säkerhetskrav uppfylls.
Separat utvecklingsmiljö
3 § Utveckling och test av programvara eller system ska ske i en IT-utvecklingsmiljö som är skild från Polisens ordinarie IT-produktionsmiljö.
Drifttillstånd
4 § Ett IT-system får tas i drift efter beslut av systemägare. Detta gäller även efter en väsentlig förändring av ett IT-system. Beslut om drifttillstånd förutsätter godkännanden ur säkerhetssynpunkt av Rikspolisstyrelsen.
Följande dokument ska finnas för varje IT-system och utgöra beslutsun-derlag för drifttillstånd.
- Drift- och systemdokumentation.
- Dokumentation av genomförda tester.
- Användnings- och förvaltningsdokumentation.
- Kontinuitetsplaner.
- Beslut om omfattning och användning av loggning.
- Beslutade undantag.
- Dokumentation av systemsäkerhetsgranskning.
Godkända programvaror
5 § Rikspolisstyrelsen beslutar, efter samråd med berörda systemägare, vilka programvaror som får användas i system som är anslutna till Polisens gemensamma IT-infrastruktur.
Förutsättningar för godkänd utrustning, programvara eller tjänst 6 § Leverans av utrustning, programvara eller tjänst enligt dessa föreskrifter får utföras endast av en leverantör som omfattas av ett avtal eller ramavtal som har föregåtts av upphandling enligt lagen (2007:1091) om offentlig upphandling.
14
reservrutiner som ska följas vid avbrott eller störningar i IT-stöden.
Kontinuitetsplanering för IT-system
Kontinuitetsplanering för IT-system