Riktlinjer för it-säkerhet inom Region Uppsala

(1)

Godkänt den: 2017-06-26 Ansvarig: Johan Lindqvist Gäller för: Region Uppsala

Riktlinjer för it-säkerhet inom Region Uppsala DocPlus-ID: DocPlusSTYR-4621

Version: 3.0 Handlingstyp: Riktlinje

Sidan 1 av 21

Riktlinjer för it-säkerhet inom Region Uppsala

Inledning

It-säkerhet är en del av informationssäkerheten inom Region Uppsala som ska tillvarata medborgarnas krav på integritet, rättssäkerhet och god service. Information är en tillgång som, i likhet med andra verksamhetstillgångar, är viktig för Region Uppsala att skydda.

God informationssäkerhet innebär att sekretess (konfidentialitet), riktighet och tillgänglighet hos informationen upprätthålls likväl som att det finns en spårbarhet i de förändringar som görs. Det krävs såväl administrativ säkerhet, i form av regler och rutiner, som tekniska säkerhetslösningar.

Syfte och mål

Dessa Riktlinjer för it-säkerhet beskriver skyddet av Region Uppsalas it-miljö.

Målet med Region Uppsalas it-säkerhetsarbete är att:

 den information vi hanterar har ett tillfredsställande skydd mot förlust, förvanskning och obehörig åtkomst.

 Region Uppsala levererar säkra och effektiva it-lösningar med god tillgänglighet, riktighet och sekretess.

 det finns effektiva rutiner för att förebygga, upptäcka och hantera eventuella it- säkerhetsincidenter och krissituationer.

 förvaltningen av information och it-miljö är effektiv och sker i enlighet med gällande rutiner och relevant lagstiftning.

(2)

Sidan 2 av 21

Innehållsförteckning

INLEDNING ... 1

SYFTE OCH MÅL ... 1

ANSVAR OCH ROLLER ... 5

IT-DIREKTÖREN ... 5

INFORMATIONSSÄKERHETSANSVARIG ... 5

IT-SÄKERHETSFUNKTIONEN ... 5

FÖRVALTNINGSCHEF/IT-CHEF/IT-ANSVARIG ... 5

INFORMATIONSÄGARE ... 5

ÄGARE AV IT-SYSTEM ... 5

FÖRVALTARE AV IT-SYSTEM ... 6

VERKSAMHETSCHEF ... 6

MEDARBETARE ... 6

KOMMUNIKATION OCH NÄTVERK ... 6

KOMMUNIKATION ... 6

NÄTVERKET 7 TRÅDLÖSA NÄTVERK ... 7

EXTERNA NÄTVERK ... 7

TILLGÄNGLIGHET ... 7

UTRUSTNING I NÄTVERK... 7

SÄKERHET I NÄTVERK ... 8

DOKUMENTATION AV NÄTVERK ... 8

ÖVERVAKNING ... 8

DRIFT AV IT-UTRUSTNING ... 8

DRIFT INOM REGION UPPSALA ... 8

DRIFT UTANFÖR REGION UPPSALA ... 8

DRIFTANSVAR ... 9

DRIFT- OCH DRIFTSDOKUMENTATION ... 9

MOLNTJÄNSTER ... 9

KONTINUITETSPLANER FÖR IT-MILJÖN ... 10

SÄKERHET I INFORMATIONSSYSTEM ... 10

FÖRTECKNING ÖVER IT-RESURSER, SYSTEM OCH DATABASER ... 10

KORREKT BEARBETNING I TILLÄMPNINGAR ... 10

ANSKAFFNING, UTVECKLING OCH UNDERHÅLL AV INFORMATIONSSYSTEM ... 11

KRAVSTÄLLNING DRIFTSÄKERHET OCH SERVICENIVÅ ... 11

SÄKERHETSKRAV VID FÖRÄNDRING ... 11

(3)

Sidan 3 av 21

Innan utveckling eller anskaffning: ... 11

Upphandling av leverantör för utveckling eller anskaffning: ... 11

Under utveckling eller anskaffning: ... 11

SÄKERHETSUPPDATERINGAR ... 12

KAPACITETSPLANERING ... 12

FÖRÄNDRINGSHANTERING ... 12

Utveckling ... 12

Testning 13 Godkännande för driftsättning ... 13

Driftsättning ... 13

Överlämning till förvaltning ... 13

Teknisk granskning efter ändringar i operativsystem ... 14

KÄLLKOD 14 REGION UPPSALAS FÖRVALTNINGSMODELL ... 14

DRIFTSRUTINER ... 14

SYSTEMDOKUMENTATION ... 14

SKYDD MOT SKADLIG OCH MOBIL KOD ... 14

BEREDSKAP VID INTRÅNG ... 15

SKYDD FÖR TEKNISKA SÅRBARHETER ... 15

SÄKERHETSKOPIERING OCH ÅTERLÄSNING AV DATA ... 15

ÖVERVAKNING ... 16

Loggning 16 Granskning av loggar ... 16

Klocksynkronisering ... 16

HANTERING AV MEDIA FÖR INFORMATIONSBEHANDLING ... 17

ÅTKOMST OCH BEHÖRIGHET ... 17

PRINCIPER FÖR BEHÖRIGHETSTILLDELNING ... 17

BEHÖRIGHETSADMINISTRATION ... 17

STYRNING AV ÅTKOMST OCH BEHÖRIGHET I IT-MILJÖN ... 18

Tilldelning av lösenord ... 18

Användning av lösenord ... 18

Privilegierade behörigheter ... 19

Styrning av privilegierad åtkomst ... 19

GRANSKNING AV ÅTKOMSTRÄTTIGHETER ... 19

1.1 BEHÖRIGHETSKONTROLLSYSTEM ... 19

UTOMSTÅENDES ÅTKOMST ... 20

MOBIL DATORANVÄNDNING OCH ARBETE UTANFÖR KONTORET ... 20

FYSISK SÄKERHET ... 20

(4)

Sidan 4 av 21 FYSISKT SKYDD AV IT-UTRUSTNING ... 20

FYSISKT SKYDD AV BÄRBAR LAGRINGSMEDIA OCH BÄRBAR IT-UTRUSTNING ... 21 FYSISK SÄKERHET VID UTLAGD VERKSAMHET ... 21

(5)

Sidan 5 av 21

Ansvar och roller

Att skydda information på ett lämpligt sätt kräver att informations- och it-säkerhetsarbetet organiseras strukturerat och effektivt. Säkerheten ska vara en naturlig del av det dagliga arbetet, och en tydlig organisation för ansvar över och arbete med it-säkerhet är en förutsättning för att Region Uppsala ska lyckas i detta arbete.

It-direktören

It-direktören har det övergripande ansvaret för Region Uppsalas it-verksamhet och därmed också det övergripande ansvaret för den administrativa säkerheten och it-säkerheten. Detta innefattar hela it- processen inom Region Uppsala med exempelvis it-strategiska beslut, upprätthållande av it-policy, it- strategi, it-standarder, it-säkerhetsnivåer samt säkerställande att verksamhetens krav återspeglas i it- miljön

Informationssäkerhetsansvarig

Informationssäkerhetsansvarig har ansvaret för samordning och koordinering av den administrativa säkerheten och it-säkerhetsarbetet inom Region Uppsala. Detta ska ske på ett verksamhetsanpassat och effektivt sätt. Den informationssäkerhetsansvarige lämnar årligen en rapport till ledningen innehållande incidenter, förbättringsåtgärder, efterlevnad, genomförda granskningar och formulerar olika riktlinjer mm inom området. Informationssäkerhetsansvarig ansvarar vidare för att det finns ett mötesforum vad gäller frågor rörande it-säkerhet.

It-säkerhetsfunktionen

It-säkerhetsfunktionen är en stödfunktion och rådgivande gällande it-säkerhetsfrågor inom teknisk säkerhetsinfrastruktur, såsom brandväggar, virusskydd, krypteringsteknik etc. It-säkerhetsfunktionen ska vara behjälplig i riskanalyser, granskningar, framtagande av lämpliga skyddsåtgärder samt framtagande av regelverk kring it-säkerhet. Förutom detta ingår även att aktivt verka för att it-säkerhetsbrister upptäcks och åtgärdas samt vara delaktig i åtgärdsplanering kring it-säkerhet.

Förvaltningschef/It-chef/It-ansvarig

Varje förvaltning ansvarar att säkerställa efterlevnad avseende it-säkerhetskrav som ställs på de it-system, miljöer och komponenter som förvaltningen själv ansvarar för, samt att drift av dessa bedrivs i enlighet med Region Uppsalas övergripande regler och riktlinjer. Detta gäller även i de fall man anlitat externa leverantörer.

Informationsägare

För varje informationstillgång ska en informationsägare finnas. Grunden i informationsägarens uppgift är att klassificera informationen och ställa krav på att informationen hanteras i paritet med den klassificering den tilldelas. Informationsägaren säkerställer också att riskanalyser genomförs samt att identifiering av kapacitetskrav görs och kommuniceras med berörda parter.

När informationen hanteras i it-system ska informationsägarens krav vara en av grunderna för val av skyddsåtgärder.

Ägare av it-system

Det ska finnas en utpekad ägare för alla it-system inom Region Uppsala, med uppdrag att bland annat ansvara för it-säkerheten i det aktuella systemet. För it-system som förvaltas i enlighet med Region Uppsalas förvaltningsmodell PM3 är detta förvaltningsstyrgruppen.

(6)

Sidan 6 av 21

Om en specifik ägare inte uttryckligen har utsetts är det den som är ansvarig för den huvudsakliga verksamhet som systemet stöder som är ägare.

Ägaren ska tillse att skyddsnivån för it-systemet specificeras och upprätthålls och att denna skyddsnivå regelbundet följs upp. Vidare ska denne också säkerställa att it-säkerhetskrav beaktas i samband med anskaffning och utveckling.

Förvaltare av it-system

För it-system som förvaltas i enlighet med Region Uppsalas förvaltningsmodell PM3, i frågor gällande it- säkerhet, gäller detta främst rollen Förvaltningsledare IT men i vissa fall även rollen Förvaltningsledare.

Förvaltningsledare IT har huvudansvaret gällande den tekniska it-säkerheten medan rollen

Förvaltningsledare har huvudansvaret gällande den administrativa it-säkerheten (rutiner, processer mm) I det fall förvaltare inte är utsedda ankommer det ägaren av it-systemet att utföra motsvarande uppgifter.

Förvaltningsledare ansvarar för att förvaltningsplaner upprättas och att kravställning gentemot

Förvaltningsledare IT sker avseende it-säkerhet. Vidare ansvarar denne för att det finns processer kring administration av åtkomsträttigheter och att åtkomsträttigheter granskas med regelbundet intervall.

Förvaltningsledaren ansvarar också för att det finns processer för rapportering/hantering av incidenter, att avbrottsplaner finns tillgängliga, att riskanalyser genomförs regelbundet och att system- och användardokumentation finns.

Förvaltningsledare IT ansvarar för den tekniska it-säkerheten i det specifika it-systemet och för att definiera, införa och följa upp skyddsåtgärder, att säkerställa att tekniska sårbarheter övervakas, att identifierade sårbarheter riskbedöms och hanteras samt att driften av it-systemet sker i enlighet med gällande regler och riktlinjer. Vidare ansvarar Förvaltningsledare IT för att incidenter, avvikelser och identifierade risker analyseras och hanteras samt att samma krav ställs gällande skyddsåtgärder oavsett om delar eller hela systemet driftas externt utanför Region Uppsala eller internt.

Verksamhetschef

Respektive verksamhetschef är informationssäkerhetsansvarig för den egna verksamheten och ansvarar för att analysera och hantera de risker som finns inom det egna verksamhetsområdet och för att se till att lämpliga säkerhetsåtgärder vidtas och att informationssäkerhetsregler följs. Vidare åligger det

verksamhetschefen att ansvara för att medarbetare får tillräcklig informationssäkerhetsutbildning och att dessa tilldelas korrekta behörigheter samt att behörigheterna tas bort vid avslut eller byte av tjänst. De arbetsuppgifter som ligger i rollen som informationssäkerhetsansvarig får delegeras.

Medarbetare

Medarbetare, till vilka såväl anställda, konsulter som samarbetspartners räknas, ansvarar för säkerheten inom det egna området. Alla medarbetare har ett eget ansvar att följa Region Uppsala säkerhetsregler och ta till sig den information och delta i de utbildningar om informationssäkerhet som genomförs.

Medarbetare ansvarar vidare för att rapportera identifierade risker och incidenter till sin närmaste chef.

Kommunikation och nätverk

Kommunikation

All kommunikation ska ske i enlighet med Region Uppsalas övergripande krav på säkerhet för den information som kommuniceras, eller i övrigt med av den specifika informationsägarens definierade säkerhetskrav.

(7)

Sidan 7 av 21

Internetuppkopplingar och datorer som används av andra än Region Uppsalas medarbetare (t.ex.

patienter) ska vara logiskt eller fysiskt separerade från Region Uppsalas nät.

Nätverket

Region Uppsalas nätverk ska utformas så att det finns definierade gränssnitt, såväl fysiskt som logiskt, mot andra nätverk och nätverket ska skyddas mot obehörig åtkomst. Sammankoppling av Region Uppsalas nätverk med andra parters nätverk får endast ske efter det att säkerhetsaspekterna noga har analyserats och att definierade nödvändiga skyddsåtgärder har vidtagits av respektive nätverks ägare. Det ska finnas ett dokumenterat avtal, inklusive angivande av tekniska och administrativa kontaktpersoner, parterna emellan avseende förutsättningarna för och hanteringen av sådan nätverksförbindelse.

Tekniska lösningar, såsom kablage, aktiva nätverkskomponenter och kommunikationsprotokoll, ska väljas med utgångspunkt från Region Uppsalas övergripande krav på säkerhet.

För nätverk ska det finnas instruktioner som exempelvis, men inte uteslutande, anger

 hur åtkomst till nätverk får ske

 hur nätverkstjänster får användas

 hur autentisering i externa anslutningar ska ske

 hur utrustning ska identifieras i nätverken

 regler för fjärrövervakning och konfiguration av resurser i nätverken

 hur avgränsningar i nätverk ska ske

 hur kontroll av anslutningar till nätverk ska vara utformad

Trådlösa nätverk

En riskanalys för att klarlägga vilka säkerhetsmekanismer som måste finnas för att upprätthålla en säker kommunikation ska ligga till grund för all trådlös nätverkskommunikation. Risken för störning av känslig elektronisk utrustning ska alltid beaktas vid användandet av trådlösa nätverk.

Kommunikation över trådlösa nätverk ska krypteras och det ska finnas detaljerade, dokumenterade och fastställda instruktioner avseende design, konfiguration och användning av trådlösa nätverk.

Externa nätverk

All anslutning till externa nätverk (det vill säga nätverk utanför Region Uppsalas nät) och Internet ska regleras genom specifika anvisningar. Anslutningar ska alltid ske genom Region Uppsalas nätverk och får ske först efter att en riskanalys har genomförts och att tillfredsställande säkerhetsåtgärder har vidtagits.

Tillgänglighet

Krav från relevanta informationsägare och verksamhetens behov ska ligga till grund för vald nivå på nätverkets tillgänglighet. Tillgängligheten ska definieras och dokumenteras och uppfyllnad av dessa krav ska säkerställas genom att tillämpliga servicenivåer (SLA) avtalas med nätleverantör.

Utrustning i nätverk

All it-utrustning (arbetsstationer, bärbara datorer, handdatorer, surfplattor, mobiltelefoner etc.) som ansluts till Region Uppsalas interna driftnätverk ska kontrolleras och vara godkända av Region Uppsala. All it-utrustning som kopplas till Region Uppsalas nät ska vidare vara konfigurerad enligt definierad standard och det ska finnas instruktioner för hantering av sådan utrustning. Utrustning som är kopplad till Region

(8)

Sidan 8 av 21

Uppsalas nät får inte samtidigt anslutas till andra parters fasta eller trådlösa nät om detta inte är särskilt godkänt.

Undantag från ovanstående gäller ”gästnät” eller andra nät som är åtskilda från Region Uppsalas interna driftnätverk.

Säkerhet i nätverk

Brandväggar och andra tekniska skalskydd (perimeterskydd) ska finnas för att förhindra att obehörig nätverkstrafik släpps in till Region Uppsalas interna nätverk. Nätverkssegmentering ska införas där behov föreligger. Riskanalyser avseende behov av nätverkssegmentering ska kontinuerligt genomföras, och behovet bedömas utifrån känsligheten i den specifika informationen som hanteras i nätverket. Det ska finnas god spårbarhet avseende hur perimeterskydd är konfigurerade samt vilka aktiviteter som skett.

Utvecklings-, test-, utbildnings- och produktionsmiljöer ska i möjligaste mån hållas åtskilda från varandra och särskilt känsliga it-resurser ska vid behov hållas åtskilda från övrig it-miljö.

Dokumentation av nätverk

Det ska finnas systemskisser över komponenter som ingår i nätverket och alla anslutningspunkter mot andra nätverk (interna eller externa) ska vara tydligt utmärkta och dokumenterade. I nätverket ingående komponenter ska vara dokumenterade med nätverksnamn, märke, modell, programvara och

konfiguration. Det ska även finnas en eller flera logiska systemskisser över systemsamband.

Dokumentationen ska vara aktuell och förvaras oåtkomlig för obehöriga.

Det ska finnas en utsedd ansvarig för dokumentation av nätverket.

Övervakning

Nätverksmiljön och dess komponenter ska vara kontinuerligt övervakade ur ett säkerhetsperspektiv, och det ska finnas beredskap för att åtgärda störningar i nätverksfunktionalitet. Omfattningen av

övervakningen ska baseras på genomförda riskanalyser. I de fall annan part än Region Uppsala sköter hela eller delar av övervakningen ska detta regleras genom avtal parterna emellan. I avtalet ska utöver

definition av övervakningstjänsten även åtkomstregler och rättigheter regleras.

Drift av it-utrustning

Drift inom Region Uppsala

Produktionsmiljöer ska vara separerade från utvecklings-, test-, och utbildningsmiljöer, och säker- hetsreglerna för produktionsmiljöerna ska i relevanta delar även gälla för utvecklings- och testmiljöerna.

Ägaren till en specifik it-resurs (system/applikation, nätverk, teknisk plattform etc.), ansvarar för att ställa krav på dess driftsäkerhet, vilken omfattas av minst följande områden: säkerhetsuppdateringar,

förändringshantering, kapacitetsplanering, tillgänglighet, övervakning, skydd mot skadlig kod, säker- hetskopiering och återläsning av data samt system- och driftsdokumentation.

Kraven på drifts- och informationssäkerhet ska definieras baserat på en riskanalys och ägaren till den specifika it-resursen ansvarar för uppföljning av att ställda krav uppfylls.

Drift utanför Region Uppsala

Då Region Uppsala köper tjänster eller förlägger drift av it-resurser utanför den egna organisationen gäller samma regler avseende it-säkerhet som när driften hanteras i egen regi, varvid dessa riktlinjer således gäller även i dessa fall. Utöver detta ska även följande regler gälla då drift sker utanför Region Uppsala:

(9)

Sidan 9 av 21

 Skriftliga avtal gällande den aktuella tjänsten ska träffas parterna emellan. Relevanta funktioner inom Region Uppsala ska i ett tidigt skede under upphandlings- eller inköpsprocessen involveras i syfte att säkerställa att juridiska krav och informationssäkerhetskrav återspeglas såväl i

upphandlingsunderlaget som i det slutliga avtalet. Det måste också säkerställas att tjänsten passar in i Region Uppsalas befintliga it-miljö.

 Kraven på informationssäkerhet för den utlagda driften ska definieras baserat på riskanalyser och med underlag från dessa analyser ska specifika säkerhetskrav regleras i avtal parterna emellan.

Ägaren av systemet ansvarar för kravställning avseende det specifika systemet men samordning bör ske med övriga relevanta ägare i de fall då drift av flera av Region Uppsalas system sker hos samma leverantör.

 Möjligheten att kostnadseffektivt kunna ta tillbaka driften, alternativt lägga ut den på annan part, i händelse av att leverantören inte kan leverera fullgod tjänst ska utredas och dokumenteras innan beslut om utläggning fattas.

 Uppföljning av avtalade säkerhetskrav ska ske regelbundet. Detta ska möjliggöras genom att i avtalet specificera att Region Uppsala har rättighet att genomföra granskning och revision, alternativt ta del av oberoende revisioner, gällande den tillhandahållna tjänsten och av hur väl leverantören uppfyller gällande och relevanta informationssäkerhetskrav.

 Om informationen i systemen innehåller personuppgifter ska parternas roller som person- uppgiftsansvarig och personuppgiftsbiträde regleras i avtal. I avtalet ska det specificeras att personuppgiftsbiträdet endast får behandla personuppgifterna i enlighet med instruktioner från den personuppgiftsansvarige. Utöver detta måste det avtalas och säkerställas att

personuppgiftsbiträdet även vidtar lämpliga och tillräckliga tekniska och organisatoriska åtgärder för att skydda personuppgifterna.

 Risker som följer av beroende till en viss leverantör ska analyseras och minimeras.

Driftansvar

För all it-utrustning och alla it-system ska det finnas ett utpekat ansvar för att driften sker i enlighet med fastställda och kommunicerade krav.

Drift- och driftsdokumentation

Drift av Region Uppsalas it-resurser ska ske i enlighet med god praxis och dokumenterade, implementerade processer. Det ska finnas dokumenterade och kontinuerligt uppdaterade operationella driftsrutiner och -instruktioner, och all drift ska ske i enlighet med dessa. Driftsdokumentationen ska

uppdateras vid behov och revideras minst årligen, eller när behov i övrigt föreligger. Där så är möjligt ska bevis på att rutinerna/instruktionerna följs dokumenteras och lagras.

Kopior av driftsdokumentationen ska förvaras separerade från originalen och arkivering av dokumentationen ska ske i enlighet med fastställda rutiner.

Molntjänster

Drift av system som innehåller känslig information, alternativt behöver integreras med andra sådana system, ska inte upphandlas som, eller förläggas till, en molntjänst utan att en noggrann riskanalys först har genomförts. Detsamma gäller för lagring av känslig information. Utifrån analysens resultat ska nödvändiga åtgärder vidtas och minst följande ska säkerställas:

 Garantier på tillgänglighet ska finnas med i avtalet med leverantören. Tillgängligheten ska motsvara verksamhetens krav. Om tillgänglighetskraven är höga ska det finnas en redundant internetförbindelse.

(10)

Sidan 10 av 21

 Antalet personer som har tillgång till informationen ska vara begränsat och det ska specificeras i avtalet vilken, eller vilka, organisationer som har tillgång till informationen.

 Avtalet ska säkerställa att Region Uppsala kan ha kontroll över vilka underleverantörer som används samt att dessa omfattas av samma personuppgiftsbiträdesavtal.

 Avtalet ska uttryckligen specificera att leverantören inte få använda sig av Region Uppsalas information för eget eller annan parts bruk utöver vad som specifikt framgår av det aktuella avtalet.

 Om informationen kommer att hanteras utanför EU/EES ska rättsläget vara analyserat och det ska säkerställas att säkerhetskraven för exempelvis personuppgifter kan garanteras.

 Det ska finnas exportfunktioner i tjänsten så att Region Uppsala vid avtalsslutet, eller i övrigt vid behov, lätt kan byta leverantör.

 Avtalet ska säkerställa att ingen data sparas hos leverantören då tjänsten avslutas

 Avtalet ska specificera Region Uppsalas revisionsmöjligheter så att uppföljning av avtalade säkerhetskrav möjliggörs.

Kontinuitetsplaner för it-miljön

Såväl förebyggande som skadebegränsande åtgärder, som säkerställer att it-miljön kontinuerligt fungerar utan avbrott och störningar, ska vidtas. Stilleståndstider och återstartstider efter eventuella avbrott ska uppnå de krav och mål som har fastställts av ledningen, verksamhetsansvariga eller informationsägarna.

Det ska finnas en dokumenterad och implementerad process och plan som stödjer arbetet med framtagning av ovan nämnda åtgärder. Det ska finnas dokumenterade rutiner för kontinuitetsplanering och rutinerna ska minst omfatta att verksamhetsberoendeanalyser ska genomföras och att strategier och planer för hantering av störningar och avbrott ska tas fram. Planer och övriga åtgärder ska uppdateras kontinuerligt och testas regelbundet.

Säkerhet i informationssystem

Förteckning över it-resurser, system och databaser

Det ska finnas en förteckning över it-resurser (system, applikationer och databaser o. dyl.) som används i verksamhetens produktion vare sig de driftas internt eller externt. Detta gäller även då it-resurser hanteras av extern part som del i en köpt tjänst. Förteckningen ska exempelvis, men inte uteslutande, innehålla: namn på system/applikationer/databaser, driftmiljö, ägare, krav gällande informationssäkerhet samt maximalt acceptabel stilleståndstid. Det ska finnas en utsedd ansvarig för förvaltning av denna förteckning.

Berörda rollinnehavare (se kapitlet om roller och ansvar) ansvarar för att förteckningen är kontinuerligt uppdaterad och med att bistå den som ansvarar för förvaltningen av förteckningen med korrekt information.

Korrekt bearbetning i tillämpningar

Lämpliga säkerhetsåtgärder ska finnas i tillämpningssystem (system, applikationer, databaser etc.) och kontroller för validering av indata, intern bearbetning och utdata ska definieras utifrån

informationsägarens krav. Krav och kontroller ska baseras på en riskanalys. Det ska finnas processer och rutiner på plats för att kontrollera, reagera på och hantera validerings- och bearbetningsfel. Granskning av att definierade kontroller fungerar ska göras minst regelbundet. Granskningen ska dokumenteras och vid behov utmynna i en handlingsplan för att åtgärda upptäckta brister.

(11)

Sidan 11 av 21

Anskaffning, utveckling och underhåll av informationssystem

För att säkerställa att verksamhetskritisk information hanteras på ett säkert sätt är det viktigt att systemen har rätt funktionella och tekniska förutsättningar, och säkerhetskrav måste därför avspeglas i systemen och hanteras redan vid planering av inköp eller utveckling av system. Det ska därför finnas en formell utvecklingsmetod, och ett formellt anskaffningssätt, som säkerställer att informationssäkerhetens olika aspekter sekretess, riktighet, tillgänglighet och spårbarhet beaktas.

Verksamhetens säkerhetskrav och legala krav ska formellt fastställas och behandlas som en del av utvecklings- och anskaffningsprocessen. All systemutveckling och anskaffning av system måste föregås av en riskanalys och utvecklingen eller upphandlingen måste vara godkänd av behörig instans/part.

Endast formellt accepterade och godkända system eller systemkomponenter (it-utrustning) får implementeras i produktionsmiljön. Region Uppsalas centrala funktioner för it-drift måste innan anskaffning

konsulteras i syfte att säkerställa att informationssystemet passar in i Region Uppsalas befintliga it-miljö.

Kravställning driftsäkerhet och servicenivå

Ägaren till en specifik it-resurs (system/applikationer, nätverk, tekniska plattformar etc.), ansvarar för att ställa krav på dess driftsäkerhet. Nivå på kravställning ska baseras på genomförd riskanalys och med verksamhetens behov i åtanke.

Säkerhetskrav vid förändring

Hänsyn till säkerhetskrav ska alltid tas då krav formuleras för en ny informationstillgång (it-resurs), alternativt när en befintlig lösning ska vidareutvecklas. Vilken typ av information som den specifika it- resursen kommer att behandla måste identifieras liksom vilka informationsägare som är berörda av den nya eller utvecklade lösningen.

Innan utveckling eller anskaffning:

Innan utveckling eller anskaffning av en it-resurs ska en riskanalys genomföras för att definiera de

säkerhetskrav som ställs på den specifika resursen. Som en del av riskanalysen ska även en bedömning av hur den tilltänkta lösningen förhåller sig till relevanta lagar och förordningar. Kraven ska dokumenteras och utgöra en del av kravspecifikationen.

Upphandling av leverantör för utveckling eller anskaffning:

De dokumenterade kraven enligt ovan, liksom krav på leverantörens säkerhetsarbete, ska ingå i förfrågningsunderlaget. Region Uppsalas krav på informationssäkerhet ska definieras och avtalas med varje utvald leverantör.

Under utveckling eller anskaffning:

Utveckling ska ske enligt vedertagna och dokumenterade systemutvecklingsmodeller för att säkerställa spårbarheten i utvecklingens alla led. Tester ska i möjligaste mån genomföras i separat testmiljö med anonymiserad testdata. Om detta inte är möjligt ska samma säkerhetskrav gälla som i produktionsmiljön.

Det ska säkerställas att identifierade säkerhetskrav för systemet implementerats i enlighet med vad som definierats i kravspecifikationen. Korrekthet i indata, bearbetningar och utdata ska utvärderas under testfasen med hjälp av rimlighetskontroller. All utveckling/anskaffning ska genomgå acceptanstest/validering som ska godkännas av behörig person innan produktionssättning. Godkännande ska dokumenteras och lagras.

(12)

Sidan 12 av 21

Säkerhetsuppdateringar

Det ska finnas en process och organisation för att säkerställa att information om nya sårbarheter kontinuerligt inhämtas och bevakas, och att relevanta sårbarheter snarast åtgärdas i enlighet med

dokumenterade anvisningar. Säkerhetsuppdateringar avseende operativsystem och program ska hanteras kontrollerat och skyndsamt.

Säkerhetsuppdateringar ska analyseras och där det bedöms relevant testas innan de installeras i produktionsmiljön. Om analysen påvisar att säkerhetsuppdateringen genererar risker för stabiliteten i produktionsmiljön ska en dokumenterad motivering finnas för varför säkerhetsuppdateringen inte genomförs.

Detaljerade och dokumenterade anvisningar ska finnas för hantering av akuta säkerhetsuppdateringar, det vill säga säkerhetsuppdateringar som måste installeras så skyndsamt att de inte hinner testas.

Anvisningarna bör säkerställa att tester genomförs efter installationen, och att åtgärder vidtas baserat på testernas resultat.

Kapacitetsplanering

Mätning och uppföljning av it-resursernas kapacitet ska genomföras regelbundet. För verksamhetskritiska system inom Region Uppsala ska kapacitetsplanering alltid ske.

Förändringshantering

Det ska finnas en fastställd och dokumenterad process för förändringshantering. Processen ska innehålla att endast behöriga personer får initiera och godkänna förändringar. Detaljerade anvisningar för hur förändringar ska hanteras och testas, liksom planer för att, vid behov, kunna återgå till läget innan förändringen påbörjades ska finnas dokumenterade. Detaljerade anvisningar ska även finnas för akuta förändringar som måste åtgärdas omgående, och där tid inte finns för att följa den normala

förändringsprocessen. Akuta förändringar ska dokumenteras och i efterhand följas upp enligt detaljerade anvisningar för akut förändringshantering.

Dualitetsprincipen ska i möjligaste mån tillämpas – d.v.s. utveckling, test och produktionssättning får inte ske av en och samma person och ska ske i separata miljöer.

Det ska finnas en särskild person utsedd med ansvar för att det ändrade eller nyutvecklade systemet uppfyller specificerade säkerhetskrav och att systemet säkerhetstestas under utvecklingsfasen. Vad avser hantering av de behörigheter som behövs för utvecklingen ska dessa följa uppsatta rutiner för

behörighetsadministration.

Informationskvaliteten ska särskilt uppmärksammas för att tillförsäkra informationens riktighet, fullständighet och aktualitet, och rimlighetskontroller ska därför finnas där så är lämpligt.

Utveckling

Alla förändringar som görs i Region Uppsalas it-system ska noggrant planeras och analyseras, och alla förändringar, liksom test och överföring till produktionsmiljön av dessa, ska vara formellt godkända av behörig person. Godkännanden ska dokumenteras och lagras.

Ett system ska utvecklas på ett sådant sätt att det möjliggör säkerhetstester såväl under utveckling som regelbundet i produktion.

(13)

Sidan 13 av 21

Utvecklingsmiljön ska vara separerad från produktionsmiljön så att inte nätverk, program eller användare kan påverka produktionsmiljöerna. Utvecklingsmiljön får inte, utan att särskilda av informationsägaren och informationssäkerhetsansvarig godkända säkerhetsåtgärder har vidtagits, innehålla produktionsdata eller i övrigt känslig information.

Vid utveckling eller anskaffning ska fullständig system-, användar- och driftsdokumentation framställas.

Driftsdokumentationen ska även översiktligt behandla de återstartsrutiner som behövs för systemets avbrottsplanering.

Testning

Testmiljön ska vara separerad från produktionsmiljön. Test i produktionsmiljö får endast ske i undantagsfall och efter särskilt beslut av informationsägaren och informationssäkerhetsansvarig.

All testning ska ske enligt en dokumenterad process och rutin/anvisning och utfallet av testerna vara dokumenterade. Testprocessen ska också innefatta att förändringar även ska testas ur

säkerhetssynpunkt, och att ställda säkerhetskrav måste var uppfyllda för att testet ska godkännas. I de fall säkerhetsbrister identifieras ska en riskanalys utföras och allvarliga brister åtgärdas innan

produktionssättning.

Testmiljön får inte, utan att särskilda av informationsägaren och informationssäkerhetsansvarig godkända säkerhetsåtgärder har vidtagits, innehålla produktionsdata eller i övrigt känslig information. Testmiljön ska vid behov skyddas mot obehörig åtkomst.

Godkännande för driftsättning

Programvarukod/systemlösningar får inte driftsättas om de inte först har testats, granskats,

dokumenterats och godkänts av behörig person enligt fastställd process. Godkännande av driftsättning ska även innefatta lösningen ur säkerhetsaspekt och driftsynpunkt.

Användning av programvara, eller annat material som kan vara föremål för immaterialrätt, får aldrig ske i strid med relevanta avtal och vid var tid gällande immaterialrättsliga regler.

Driftsättning

Alla överföringar till produktionsmiljön ska godkännas av behörig person, och godkännanden ska dokumenteras. Godkännande, som ska ligga till grund för beslut gällande produktionssättning av programvarukoden/systemlösningen, ska omfatta att fördefinierade informationssäkerhetskrav är

uppfyllda och att ändringen i övrigt uppfyller den kravspecifikation som gäller för den specifika ändringen.

Vad avser programvarupaket erhållna från externa leverantörer ska modifieringar av dessa minimeras och begränsas till endast nödvändiga ändringar och alla dylika ändringar ska följa en definierad och

dokumenterad process.

Vid leverans till produktion ska det finnas en dokumenterad utförlig system- och driftsdokumentation som accepterats av förvaltnings- och driftsorganisationen.

Det ska finnas dokumenterade instruktioner för hur programvara får överföras från utvecklingsstatus till driftsstatus. Konfigurering och systemförändring ska kunna följas upp i efterhand.

Överlämning till förvaltning

Innan ett system övergår från utveckling till förvaltning ska en dokumenterad överlämning genomföras där förvaltnings-/driftsorganisationen kommer överens om bland annat SLA, backuper m.m. Det ska också finnas en utsedd ägare och förvaltare av systemet i enlighet Region Uppsalas förvaltningsmodell.

(14)

Sidan 14 av 21

Teknisk granskning efter ändringar i operativsystem

Det ska finnas en dokumenterad och implementerad process för granskning och testning av

verksamhetskritiska tillämpningar efter ändringar i operativsystem. Processen ska omfatta aktiviteter som säkerställer att ändringen inte har negativ påverkan på organisationens drift eller säkerhet.

Källkod

Det ska finnas dokumenterade regler avseende begränsad åtkomst till källkod. Källkod och

källkodsbibliotek för program ska skötas i enlighet med dokumenterade rutiner. Uppdatering av källkods- bibliotek, och vad därtill hör, och utlämning av källkod till programmerare får endast ske efter

godkännande från behörig person.

En strikt ändrings- och versionshantering ska gälla för underhåll och kopiering av källkod och en revisionslogg ska föras över all åtkomst till källkodsbibliotek.

Region Uppsalas förvaltningsmodell

Systemförvaltning ska följa Region Uppsalas gällande förvaltningsmodell. För varje system (it-resurs, system, applikation etc.) ska det finnas en utsedd ägare och förvaltare.

Driftsrutiner

För varje it-resurs ska det finnas relevanta, dokumenterade och kontinuerligt uppdaterade driftsrutiner vilka ska hållas tillgängliga för behöriga personer vid behov. Driftsrutinerna ska innehålla detaljerade instruktioner avseende alla de aktiviteter som krävs för att utföra varje arbetsuppgift som ingår inom ramen för driften. Rutinerna bör exempelvis, men inte uteslutande, innehålla instruktioner avseende

 start och stopp av system och utrustning

 säkerhetskopiering och återställning av data

 underhåll av utrustning

 hantering av fel

 hantering av säkerhetsuppdateringar

 hur känsliga utdata ska hanteras

 hantering av operatörs- och felloggar.

Systemdokumentation

Det ska finnas fullständig och kontinuerligt uppdaterad systemdokumentation för alla it-resurser (system, applikationer etc.) inom Region Uppsala. Systemdokumentation ska tas fram i enlighet med god praxis och implementerade processer. Kopior av systemdokumentationen ska förvaras separerade från originalen, och arkivering av dokumentationen ska ske i enlighet med fastställda rutiner. De delar av systemdokumentationen som behandlar känslig information, så som exempelvis säkerhetsfunktioner, ska förvaras så att endast behöriga kommer åt dessa. Ägaren av it-resursen ansvarar för att

systemdokumentationen tas fram och lagras enligt gällande rutiner.

Skydd mot skadlig och mobil kod

It-utrusning som riskerar att drabbas av skadlig kod ska skyddas med lämplig programvara som ska vara kapabel att identifiera, ta bort och skydda mot kända typer av skadlig kod. Användare ska inte kunna avinstallera eller stänga av programvaran (anti-virusfunktionen), utan detta ska endast kunna göras av behöriga administratörer. Uppdatering av anti-virusprogramvarans definitionsfiler, liksom kontroll av relevant it-utrustning, ska ske automatiskt. Scanning av servrar och klienter efter skadlig kod ska utföras minst dagligen. Filer som befinns vara smittade av skadlig kod ska automatiskt oskadliggöras och händelser relaterade till skadlig kod ska loggas, larmas och följas upp. Det ska finnas dokumenterade

(15)

Sidan 15 av 21

instruktioner för vilka åtgärder som ska vidtas om virus upptäcks. I de fall it-utrustning inte kan ha det skydd mot skadlig kod Region Uppsala normalt kräver, ska en riskanalys göras och alternativa

skyddsåtgärder implementeras. Detta kan exempelvis gälla medicinteknisk utrustning.

Om skadlig kod upptäcks ska detta rapporteras som en incident enligt gällande incidentprocess.

Det ska finnas aktuella metoder för att återställa it-miljön efter angrepp av skadlig kod.

Det ska finnas anvisningar avseende hantering och användning av mobil kod¹.

Beredskap vid intrång

Det ska finnas en plan och organisation som innefattar hantering av intrång, dit obehörig åtkomst till system och information räknas, eller misstanke om oegentligheter. Det ska vidare finnas en

dokumenterad anvisning/rutin avseende hur och när nedkoppling ska ske vid exceptionella händelser.

Skydd för tekniska sårbarheter

Det ska finnas en process och organisation, med definierade roller med utpekat ansvar och tilldelade befogenheter, för övervakning och hantering av tekniska sårbarheter i Region Uppsalas it-miljö.

Riskanalyser avseende tekniska sårbarheter ska genomföras kontinuerligt och lämpliga åtgärder vidtas baserat på resultatet från riskanalyserna. Riskanalyser och efterföljande åtgärdsaktiviteter ska

dokumenteras och lagras.

Säkerhetskopiering och återläsning av data

Säkerhetskopiering ska ske av all väsentlig verksamhetsinformation och alla väsentliga it-system. Det ska finnas dokumenterade rutiner för säkerhetskopiering vilka minst ska innefatta: hur säkerhetskopieringen ska genomföras, i vilken omfattning, vid vilken frekvens och vem som har ansvaret för genomförandet.

Säkerhetskopiering ska ske i enlighet med informationsägarens krav och med hänsyn tagen till gällande relevanta författningskrav.

Säkerhetskopiering ska normalt ske på sådant sätt att individuella filer kan återskapas.

Säkerhetskopiorna vara skyddade mot överskrivning och fysisk förstörelse. Säkerhetskopian ska förvaras på en plats där bedömning är gjord att kopian inte riskerar att förstöras vid samma händelse som eventuellt förstör originalinformationen, exempelvis vid en brand. Säkerhetskopior ska ha ett skydd mot obehörig förändring och obehörig insyn som motsvarar det skydd som originalinformationen har.

Återläsningstester ska genomföras regelbundet, för att säkerställa att säkerhetskopiorna kan användas vid behov, och testresultaten ska dokumenteras och lagras. Ägaren till informationen ansvarar för att ställa krav på återläsningstider så att de tillgänglighetskrav som finns uppfylls.

Säkerhetskopior ska lagras den tid som Region Uppsalas gallringsplan anger eller minst i enlighet med gällande författningskrav. Verksamhetens krav ska vara styrande i bedömningen av lagringstid och lagringsfrekvens.

1Mobil kod är programvarukod som överförs från en dator till en annan och sedan exekveras automatiskt och utför en särskild funktion med obetydlig eller ingen användarmedverkan. Mobil kod används av ett antal mellanprogramstjänster (middleware) och på webbsidor i form av exempelvis Javascript.

(16)

Sidan 16 av 21

Övervakning Loggning

Loggning ska ske på alla system och elektroniska lagringsplatser där verksamhetskritisk eller annan känslig information lagras. Det ska finnas beslut av ägaren till it-systemet om på vilket sätt loggning ska ske samt syftet med loggningen. Ägaren av it-systemet ansvarar vidare för att säkerställa att tillfredsställande loggning och loggranskning sker. Vid loggning gäller minst följande:

 Loggning och övervakning ska följa vid var tid gällande relevanta lagkrav. Loggarna ska åtminstone innehålla uppgifter om följande:

o händelser i systemet, eller i annan elektronisk lagringsplats, initierade av en användare eller ett annat system

o vilken användare som initierat händelsen och tidpunkten för denna o vilka processer som varit involverade

o systemlarm eller fel

o ändringar, eller försök till ändringar, i systemets säkerhetsuppsättningar och säkerhetsåtgärder.

 Användarna ska informeras om att deras aktiviteter i nätverk och system etc. loggas och i vilket syfte dessa loggar följs upp.

 Samtliga loggfiler ska skyddas mot obehörig åtkomst och manipulation samt omfattas av relevant säkerhetskopiering i enlighet med fastställda instruktioner. Loggar ska sparas i enlighet med vid var tid gällande lagstiftning, riktlinjer och informationsägarens krav.

Granskning av loggar

För verksamhetskritiska system ska regelbundna granskningar av loggarna genomföras i enlighet med informationsägarens eller Region Uppsalas övergripande krav. Granskningarna ska genomföras och dokumenteras utifrån fastställda instruktioner enligt minst följande:

 Instruktionen ska beskriva vad som loggas, hur ofta loggarna ska granskas, vem som ska utföra granskningen samt vad som betraktas som överträdelse och hur överträdelser ska hanteras och rapporteras. Beslut om hur ofta loggarna, i sin helhet eller endast till vissa delar, ska granskas bör baseras på förekommande risker, där exempelvis värde och känslighet av aktuell information bör övervägas.

 Om möjligt ska loggarna analyseras med hjälp av automatiserade verktyg. Om detta inte är möjligt ska tillräckliga manuella kontroller i stället utföras.

 Tillgång och åtkomst till logg och logganalysverktyg ska begränsas och regleras med individuell åtkomsttilldelning.

 Underlag från genomförda loggranskningar ska sparas och åtkomst till dessa regleras med individuell åtkomsttilldelning.

 Vid brottsmisstanke får informationssäkerhetsansvarig eller jurist särskilt besluta om ytterligare loggranskningar.

Klocksynkronisering

För att säkerställa loggarnas bevisvärde ska loggande it-resursers klockor synkroniseras med ett utpekat normalur. Det ska finnas en dokumenterad rutin som innefattar regelbundet kontrollerande och

korrigerande av alla signifikanta avvikelser från tidsangivelsen i det utpekade normaluret.

(17)

Sidan 17 av 21

Hantering av media för informationsbehandling

Kassering av elektronisk lagringsmedia (t.ex. hårddiskar, kassettband, film, CD, disketter, USB-minnen, mobiltelefoner) ska ske på säkert sätt och det ska säkerställas att ingen verksamhetskritisk och känslig information riskerar att åtkommas av obehörig i samband med kassering.

Det ska finnas dokumenterade instruktioner för hur elektronisk lagringsmedia ska avvecklas på ett säkert sätt.

Åtkomst och behörighet

Principer för behörighetstilldelning

Medarbetare och konsulter inom Region Uppsala ska endast ha tillgång till den information som krävs för genomförande av deras arbetsuppgifter. Obehöriga personer ska inte kunna få åtkomst till och kunna modifiera, eller använda, en informationstillgång, och obehöriga användaraktiviteter ska kunna upptäckas.

Behörighetsadministration

Det ska finnas en dokumenterad process och organisation för administration av åtkomsträttigheter.

Verksamhetschefen eller motsvarande ansvarar för behörighetstilldelningen gällande medarbetare inom den egna verksamheten. Behörighetstilldelning ska ske efter en behovs- och riskanalys och vid varje tillfälle avgränsas till användarens aktuella behov utifrån dennes arbetsuppgifter och organisatoriska tillhörighet.

Ägaren av it-systemet, eller motsvarande roll för de fall att information inte lagras i ett specifikt system (utan exempelvis i en mappstruktur på gemensam lagringsyta), är ansvarig för kriterier, instruktion och organisation för åtkomstadministration för respektive system/miljö. Förvaltare av systemet ansvarar för att behörighet till system/information kan ges enligt informationsägarens/verksamhetschefens krav.

Vid administration av åtkomsträttigheter gäller exempelvis, men inte uteslutande, följande:

 En behovs- och riskanalys ska göras gällande uppsättningen av åtkomsträttigheter i systemet, eller annan elektronisk lagringsyta, i syfte att kunna tilldela rättigheterna på ett korrekt sätt.

 De åtkomsträttigheter som tilldelas en användare i ett system, eller annan elektronisk lagringsyta, ska inte vara högre än vad som krävs för att denne ska kunna utföra sina aktuella arbetsuppgifter.

 Det ska finnas dokumenterade rutiner över hur beställning av tillägg, borttag och förändring av åtkomsträttigheter ska gå till.

 Det ska finnas skriftlig (på papper eller elektroniskt) dokumentation av alla godkännanden och genomförande av nyuppläggning/borttag av roller och av all tilldelning av roller så att det går att spåra vem som har haft behörighet till vad vid en given tidpunkt.

 Åtkomsträttigheter till system, eller annan lagringsyta, får endast användas för att utföra de arbetsuppgifter som användaren är ålagd av Region Uppsala att utföra.

 Om det finns flera ägare till information som behandlas i ett och samma system ska dessa gemen- samt komma överens om arbetssätt och instruktioner för åtkomstadministration.

 Användaridentiteter ska vara unika och användas minst i kombination med personliga lösenord.

Där högre krav på autentisering har identifierats ska så kallad tvåfaktorsautentisering användas.

 Vid användning av s.k. gruppinlogg ska en riskanalys ske gällande åtkomst och åtgärder vidtas så att legala krav på spårbarhet uppfylls.

(18)

Sidan 18 av 21

 Höga åtkomsträttigheter, s.k. administratörsrättigheter, ska vara personliga och begränsas till så få personer som möjligt. Administratörsrättigheter får endast delas ut efter beslut från ägaren av it-systemet, eller motsvarande roll för de fall där information inte lagras i ett specifikt system.

Detsamma gäller för teknisk it-utrustning.

 En förteckning ska föras över alla utdelade användaridentiteter och det ska finnas en rutin för regelbunden uppdatering av denna förteckning. Rutinen ska även innefatta kontroll av att inte upphörda användaridentiteter återanvänds.

 Användaridentiteter i test- och utvecklingsmiljön får inte vara samma som i produktionsmiljön.

 Privilegierade användaridentiteter får inte användas för normala användaraktiviteter.

Styrning av åtkomst och behörighet i it-miljön

Alla användare ska identifieras och verifieras genom användarnamn och lösenord innan de får åtkomst till informationssystem. För åtkomst till verksamhetskritisk information med högt ställda krav på

konfidentialitet, vid åtkomst eller kommunikation via Internet och vid fjärråtkomst till Region Uppsalas it- resurser, krävs 2-faktorsautentisering. Alla användare ska ha en unik identitet och alla användarkonton ska vara spårbara.

Användaridentiteter som kan ge vägledning om att användaren har privilegierade behörigheter bör inte användas (t.ex. användaridentiteten ”admin”).

Tilldelning av lösenord

Det ska finnas en formell dokumenterad process och dokumenterade regler och rutiner för tilldelning av användarlösenord. Processen ska omfatta såväl tilldelning av nya lösenord som återställande av lösenord i samband med exempelvis spärrat konto eller glömt lösenord. Rutinerna ska exempelvis, men inte uteslutande, innehålla krav på att:

 användaren ska tilldelas ett initialt tillfälligt lösenord, som omedelbart ska ändras vid första inloggning. Lösenordet ska tilldelas användaren på ett säkert sätt, vilket bland annat innebär att lösenordet inte får exponeras i klartext under framtagning eller transport. Ett initialt lösenord som inte är bytt inom en viss tid ska automatiskt spärras för användning.

 det ska finnas dokumenterade rutiner för att kontrollera användaridentitet innan lösenord tilldelas den specifika användaren.

 av leverantör tilldelade tillfälliga eller default-installerade lösenord omedelbart byts så snart det specifika systemet eller programmet har installerats.

Användning av lösenord

Lösenords komplexitet och längd, samt tidsintervall för tvingande byte av lösenord, ska följa vid var tid gällande god praxis. Det ska finnas dokumenterade och kommunicerade krav på säkerhetsåtgärder vid användande av lösenord. Kraven bör exempelvis, men inte uteslutande, innefatta följande krav på hantering av lösenord:

 lösenordet är personligt för varje användare och får inte avslöjas för någon annan utan ska hållas hemligt. Undantaget är initialt lösenord som kan lämnas via linjechef eller utsedd person.

 det ska vara tvingande att byta initialt tilldelat lösenord vid första inloggningstillfället.

 lösenordet ska omedelbart bytas om det finns misstanke om att någon obehörig känner till det.

 inloggning till den specifika informationsresursen ska spärras efter ett beslutat antal felaktiga inloggningsförsök.

 lösenordet får inte lagras i någon automatiserad inloggningsrutin (makro eller funktionstangent).

(19)

Sidan 19 av 21

 datorer och system som använder lösenord vid inloggning mot datorer, databaser, system etc. får inte exponera lösenordet i klartext.

Privilegierade behörigheter

Med privilegierade behörigheter avses sådana roller som ger användaren administrativ åtkomst till operativsystem, databassystem, kommunikations- och systemprogram och motsvarande.

Tilldelning av privilegierade åtkomsträttigheter ska begränsas så långt det är möjligt och då så sker bör rättigheterna vara tidsbegränsade och de ska följa arbetsuppgifterna, inte personen. Det ska finnas en dokumenterad process och rutin för tilldelning av privilegierade behörigheter. Privilegierade behörigheter ska tilldelas med annan användaridentitet än den som används i den normala verksamheten.

Det ska finnas en aktuell förteckning över vilka användare som tilldelats privilegierade behörigheter.

Styrning av privilegierad åtkomst

Privilegierad åtkomst till it-resurser (operativsystem, databassystem, kommunikations- och

systemprogram och motsvarande) ska styras genom en säker påloggningsrutin. Rutinen för påloggning ska utformas så att den minimerar möjligheterna till obehörig åtkomst. Påloggningsrutinen bör exempelvis, men inte uteslutande, innehålla följande.

 att identitetsbegrepp för system eller tillämpningar inte visas förrän en lyckad påloggning har slutförts.

 att tiden för påloggning begränsas och att det inte lämnas sådana hjälpmeddelanden under påloggningsrutinen som skulle kunna underlätta åtkomst för en obehörig.

 att påloggningsinformationen valideras först sedan alla data har matats in.

 att begränsa antalet misslyckade inloggningsförsök till tre stycken och att lägga in en tillfredsställande tidsfördröjning innan nya inloggningsförsök medges.

 att misslyckade och lyckade inloggningsförsök registreras och att larmmeddelande sänds till systemkonsolen om det maximala antalet inloggningsförsök har uppnåtts.

Granskning av åtkomsträttigheter

Åtkomsträttigheter i Region Uppsalas system och it-miljöer ska regelbundet granskas och följas upp i syfte att säkerställa att de är förenliga med användarnas aktuella behov och arbetsuppgifter, och att inte obehöriga har åtkomst till känslig information.

Granskning av åtkomsträttigheter till informationssystem och it-resurser ska genomföras minst en gång per år eller i övrigt i enlighet med informationsägarens krav. Uppföljningen ska minst omfatta om det finns skäl för användaren att ha kvar sin behörighet. Bevis på utförda granskningar, och aktiviteter vid- tagna till följd av dessa, ska dokumenteras och lagras. Exempelvis, men inte uteslutande, bör följande dokumentation sparas:

 underlag (användarlista från systemet) som granskningen baserats på

 godkännande/bekräftelse avseende systemets alla åtkomsträttigheter som bör finnas kvar

 underlag för beställning avseende förändring av användarrättigheter som granskningen genererat (borttag av åtkomsträttigheter eller förändringar av befintliga rättigheter)

 nytt underlag (användarlista från systemet) som visar att beslutade förändringar till följd av granskningen har genomförts.

1.1 Behörighetskontrollsystem

(20)

Sidan 20 av 21

All it-utrustning (så som servrar, stationära och bärbara datorer, brandväggar, routrar och smarta telefoner etcetera) och alla nätverk i vilka verksamhetskritisk information bearbetas eller lagras ska vara utrustade med ett system som kontrollerar att endast behöriga användare får åtkomst till utrustningen och informationen (behörighetskontrollsystem).

It-direktören beslutar om vilka behörighetskontrollsystem som är godkända. Ägaren av respektive system ansvarar för att system respektive information bearbetas, lagras och transporteras i driftmiljöer med godkända behörighetskontrollsystem.

Utomståendes åtkomst

Åtkomst för utomstående, det vill säga icke Landstingsanställda, får endast ske efter beslut av berörd informationsägare/systemägare och för varje verksamhet/system ska det finnas fastställda regler för hur åtkomst får ske. Som grund för beslut om utomstående ska beviljas åtkomst måste det övervägas hur åtkomsten kan påverka säkerheten för Region Uppsala i stort. Råder det oklarhet i denna fråga ska en riskanalys alltid genomföras, och analysen ska dokumenteras och lagras.

Utomståendes åtkomst ska alltid regleras i avtal parterna emellan. Villkoren i avtalet ska utformas med hänsyn tagen till vilken typ av information som den specifika rättigheten ger åtkomst till. Åtkomst får inte ges förrän identifierade säkerhetsåtgärder har granskats och godkänts av informationssäkerhetsansvarig samt har implementerats.

Utomståendes åtkomst ska ske med hjälp av de tekniska lösningar Region Uppsala erbjuder.

Mobil datoranvändning och arbete utanför kontoret

Samtliga arbetsuppgifter som utförs utanför Region Uppsala lokaler betraktas som distansarbeten och det är it-säkerhetsmässigt ingen skillnad på om arbetet utförs från hemmet, på hotellrum eller hos annan part. It-utrustning ska hanteras i enlighet med kraven under kapitlet Fysisk säkerhet nedan.

Ansvaret för att tillräckliga skyddsåtgärder vidtas, och att vid var tid gällande säkerhetsregler uppfylls, ligger på den som hanterar den specifika it-utrustningen.

Fysisk säkerhet

Fysiskt skydd av it-utrustning

Skyddsnivån på det fysiska skyddet för it-utrustning ska baseras på genomförda riskanalyser och stå i proportion till identifierade risker. Grundregeln är att it-utrustning som är känslig, eller behandlar känslig information, ska placeras så att möjligheten till obehörigt tillträde minimeras och utformning av lämpliga skyddsåtgärder underlättas.

Det ska finnas en dokumenterad process och organisation för administration av fysisk åtkomst till it- utrustning och dessa åtkomster ska godkännas av behörig person innan de tilldelas en användare. Endast individer med berättigat behov, utifrån dennes arbetsuppgifter och organisatoriska tillhörighet, ska medges fysisk åtkomst till it-utrustning.

Det ska finnas dokumenterade rutiner över hur beställning av tillägg, borttag, granskning och förändring av fysiska åtkomster till it-utrustning ska gå till. Det ska finnas skriftlig (på papper eller elektroniskt) dokumentation av alla godkännanden och tilldelning av fysisk åtkomst så att det går att spåra vem som har haft möjlighet till fysisk åtkomst vid en given tidpunkt. En förteckning ska föras över alla utdelade åtkomster och det ska finnas en dokumenterad rutin för regelbunden uppdatering av denna förteckning.

(21)

Sidan 21 av 21

Central it-utrustning ska inrymmas i säkra och låsta utrymmen med lämpliga tillträdeskontroller dit endast behöriga personer, i enlighet med ovan angivna krav, ges tillträde. Med säkra utrymmen avses utrymmen som är speciellt utformade för att uppfylla högre krav på skal- och brandskydd än ordinarie lokaler, samt har tillgång till kontinuerlig försörjning av el och kyla. För dessa säkra utrymmen, som ska uppfylla vid var tid gällande god praxis, ska minst följande säkerhetsåtgärder vara uppfyllda:

 Tillträdeskontroller ska innefatta larm, bemannade receptioner och/eller datoriserade passagekontrollsystem med individuella passerkort och koder.

 Brandskydd, så som utrymningslarm och släckutrustning, ska finnas i anpassad omfattning i enlighet med god praxis inom området. Brännbart material får inte förvaras i säkra utrymmen.

 Klimatanläggning ska finnas för att kompensera för den överskottsvärme som utrustningen alstrar.

Elektronisk utrustning ska skyddas mot elavbrott och andra störningar. Strömförsörjning av verksamhetskritisk utrustning och system ska vara avbrottsfri och ansluten till reservkraft. Tester ska regelbundet genomföras för att säkerställa att övergången till reservkraft fungerar, och testerna ska dokumenteras och lagras.

Fysiskt skydd av bärbar lagringsmedia och bärbar it-utrustning

Lagringsmedia och it-utrustning som hanteras utanför Region Uppsalas lokaler ska skyddas med

anpassade skyddsåtgärder för att motverka risk för förlust av, eller obehörig åtkomst till, den information de innehåller. Kraven på skyddsåtgärder innefattar all bärbar lagringsmedia och it-utrustning såsom exempelvis bärbara datorer, mobiltelefoner, cd, dvd och USB-minnen etcetera.

Lagringsmedia som innehåller känslig information eller licensierade program ska fysiskt förstöras eller skrivas över på ett säkert sätt i samband med avveckling eller återanvändning. Det är inte tillräckligt att använda standardfunktioner för att radera data.

Fysisk säkerhet vid utlagd verksamhet

Då Region Uppsala köper tjänster eller förlägger drift av it-resurser utanför den egna organisationen gäller samma regler avseende fysisk säkerhet som när driften hanteras i egen regi, varvid dessa riktlinjer gäller även i dessa fall. Krav på fysisk säkerhet ska avtalas parterna emellan och avtal bör exempelvis, men inte uteslutande, innehålla definierade krav på: skal- och tillträdesskydd, krav på säkra utrymmen, brand- och vattenskydd, klimatanläggning, kraftförsörjning och elmiljö samt underhåll och test av relevant utrustning som omfattas av uppdraget.