Bilaga 3 - Anvisningar Regler för informationssäkerhet vid Karolinska Institutet

(1)

Bilaga 3 - Anvisningar Regler för

informationssäkerhet vid Karolinska Institutet

Dnr 1-516/2013

(ersätter Dnr 6255-2012-060)

Version 2.0

Gäller från och med 2013-10-01

(2)

Informationsklass: K1R2T1

Version 2.0 2013-10-01

Innehåll

Bilaga 3. Anvisningar ... 1

3.1 Genomförande av riskanalyser ... 1

3.2 Informationsklassningsmodell Karolinska Institutet (KI) Under omarbetning ... 3

3.3 Hantering av personuppgifter ... 6

3.4 Kravställning vid drift utanför Karolinska Institutet ... 7

3.5 Informationshantering vid rekrytering, anställning och avslut av anställning ... 8

Rekrytering ... 8

Anställning och anställningsvillkor ... 8

Avslut av anställning ... 8

Hantering av konsulter och annan extern personal... 9

3.6 Kravställning av kommunikations- och nätverkssäkerhet ... 9

Nätverksmiljön ... 9

Trådlösa nätverk ... 9

Externa nätverk ... 9

Utrustning i nätverket ... 9

Telefoni ... 10

3.7 Kravställning av driftsäkerhet och servicenivå ... 10

3.8 Åtkomstadministration ... 12

3.9 Granskning av åtkomsträttigheter ... 13

3.10 Loggning och loggranskning ... 15

3.11 Kravställning vid anskaffning och utveckling av system ... 16

3.12 Kravställning av systemförvaltning ... 17

3.13 Rapportering och hantering av informationssäkerhetsincidenter ... 18

3.14 Kontinuitetsplanering ... 20

3.15.1 Konfidentialitet – krav på hantering Under omarbetning ... 21

3.15.2 Riktighet – krav på hantering Under omarbetning ... 25

3.15.3 Tillgänglighet – krav på hantering Under omarbetning ... 27

Övriga Bilagor

Bilaga 1. Handledning i informationssäkerhet

Bilaga 2. Ansvarsbeskrivningar 2.1 Universitetsdirektören 2.2 Säkerhetschefen 2.3 Prefekter

2.4 Informationsansvariga 2.5 IT-direktören

2.6 Systemägare

Revisionshistorik

Versions- nummer

Datum Ansvarig Ändringar mot tidigare version

1.0 2013-04-01

2.0 2013-10-01 Annika Sjöborg, säkerhetschef

Ändrad dokumentstruktur – uppdelad i tre delar, åtgärder för att förbättra läsbarheten - läsanvisning samt förtydliganden i vissa textavsnitt.

(3)

Version 2.0

Bilaga 3. Anvisningar

3.1 Genomförande av riskanalyser

I enlighet med Regler och riktlinjer för intern styrning och kontroll vid KI, Dnr

1795/2009-010, ska riskanalyser genomföras regelbundet på olika nivåer och olika om- råden inom Karolinska Institutets verksamhet. Det finns olika metoder och modeller för att genomföra riskanalyser. Inom KI finns en beslutad riskanalysmetod som företrädes- vis ska användas. Som alternativ metod kan exempelvis Myndigheten för samhälls- skydd och beredskaps (MSB) ”Riskanalys¹”användas. Oavsett vilken metod som an- vänds ska nedanstående aktiviteter alltid utföras vid genomförandet av en riskanalys.

1. Analysens omfattning och avgränsning ska definieras

Ramarna för den riskanalys som ska genomföras sätts genom att det område eller den process som ska analyseras definieras och avgränsas. Riskanalysmetod ska väljas och personer med god kännedom om aktuellt område/process ska identifieras och bjudas in att delta i analysen. Dessa personer ska också ges till- fälle att förbereda sig och inhämta nödvändig information/fakta för att kunna genomföra uppgiften på ett effektivt och ändamålsenligt sätt.

2. Hot ska identifieras

För varje delområde, eller steg i processen, som analyseras ska de hot som före- ligger identifieras, grupperas och dokumenteras. Hoten ska dokumenteras på tillräcklig detaljnivå så att även utomstående förstår vad som avses.

3. Konsekvens och sannolikhet ska bedömas

Vilka konsekvenserna blir om identifierade hot inträffar, och hur sannolikt det är att de inträffar, ska identifieras, analyseras och resultatet dokumenteras. Om- fattningen av risken, dvs. konsekvensen och sannolikheten för att ett hot inträf- far, bör bedömas utifrån en definierad metod som också gör det möjligt att jäm- föra risker och deras omfattning.

4. Åtgärdsförslag ska utarbetas

Det kan ligga flera olika orsaker bakom varje identifierad risk, och förslag för att hantera dessa måste därför arbetas fram. Konsekvensen av förslagen måste analyseras innan beslut om åtgärd fattas. Åtgärder kan exempelvis vidtas för att förhindra eller minska sannolikheten för att de bakomliggande orsakerna inträf- far, eller att konsekvenserna av om de inträffar minimeras.

5. Riskanalysen ska dokumenteras

En rapport ska sammanställas utifrån den genomförda riskanalysen. Rapporten bör, förutom själva analysresultatet och beskrivningen av de risker man funnit, innehålla information kring alla steg i genomförandet av riskanalysen. Rappor- ten bör även innehålla eventuella förslag till åtgärder och rekommendationer till den som ska fatta beslut i frågan. Dessa förslag ska ligga till grund för planering av det fortsatta arbetet kring riskhanteringen.

1 Se MSB:s Ramverk för Informationssäkerhet, http://www.informationssäkerhet.se/Ramverket/, där förklaringar, metoder och mallar återfinns.

(4)

Karolinska Institutet - Riktlinjer och regler för informationssäkerhet 2 (28) Informationsklass: K1R2T1

Version 2.0 2013-10-01

6. Handlingsplan ska tas fram och följas upp

En prioriterad handlingsplan, med angivande av vilka åtgärder som ska vidtas, vem som ansvarar för dessa och när de ska vara genomförda ska tas fram och följas upp. Föreligger det risker för vilka verksamheten bedömer att det inte be- hövs några åtgärder ska även denna accept av kvarvarande risker dokumenteras.

(5)

Version 2.0

3.2 Informationsklassningsmodell Karolinska Institutet (KI) Under omarbetning

All information inom KI ska klassificeras utifrån aspekterna:

 Konfidentialitet – att information inte tillgängliggörs eller avslöjas för obehöriga.

 Riktighet – att säkerställa tillförlitlighet och fullständighet gällande informationen.

 Tillgänglighet – att informationen är åtkomlig vid begäran av behörig.

Kombinationen av de olika klasserna (Kx, Rx, Tx) ska anges på därför avsedd plats i elektroniska handlingar och pappersdokument där informationen återfinns, och det ska framgå av systemdokumentation eller motsvarande vilken/vilka informationsklasser respektive system hanterar.

När en handling inkommer till, eller upprättas hos, Karolinska Institutet ska den således informationsklassificeras. Trots nedanstående principer för informations- klassificering måste KI alltid pröva en begäran om utlämnande i det enskilda fallet. Nedanstående principer för klassificering av en uppgift är aldrig överordnad den enskilda prövningen enligt lagen om offentlighet och sekretess, utan klassificeringen kan behöva frångås i enskilda fall.

Viss information kan också vara av sådan typ att den vandrar mellan de olika klasserna över tiden (exempelvis kan forskningsinformation ha hög konfidentialitetsklass innan informationen formellt har publicerats, men när den väl är publicerad har den låg konfidentialitetsklass), och det måste därför säkerställas att informationen är värderad på rätt sätt vid varje tidpunkt. Ansvarig för att detta görs är informationsansvarige.

Informationsklass Konfidentialitet Riktighet Tillgänglighet

4. Allvarlig

a) orsakar en allvarlig begränsning i KI:s förmåga att lösa sina verksamhetsuppgifter i en utsträckning och varaktighet som innebär att verksamheten inte kan fullgöra en eller flera av sina primära uppgifter;

b) resulterar i omfattande skador på verksamhetens eller annan parts tillgångar;

c) resulterar i stora ekonomiska förluster för KI eller annan part, eller

d) förorsakar allvarligt negativ påver- kan på enskild individs rättigheter eller liv och hälsa.

Informationstillgång som innehåller känslig information som om den kommer i orätta händer kan medföra allvarlig skada.

Generellt tillämpligt för:

1. Informationstillgång som är eller kan bli föremål för sekretess enligt offentlighets- och sekretesslagen (t.ex. uppgifter om enskildas sjukdomar och missbruk, pågående ärende om avskiljande av studerande från högskoleutbildning).

2. Informationstillgång som kan bli föremål för tillämpningskrav enligt särskild lagstiftning (t.ex.

patientdata, sjukdomsuppgifter tillsammans med pers.nr.).

3. Informationstillgång som utgör den egna eller annan verksamhets företagshemligheter (t.ex. forsknings- rådata som härrör till enskild individ, ej offentliggjord forskningsdata, lösenord, IT-säkerhetsinställningar).

4. Informationstillgång som inte utgör allmän handling och vilken kan innehålla för enskild individ eller enskilt företag/verksamhet känslig information (t.ex.

forskningsinformation från personer i brottsregistret).

5. Information om djurförsök med avsevärd svårig- hetsgrad för djuren.

6. Information som identifierar personer som handhar

Information som, om den inte är korrekt och fullständig, kan medföra allvarlig skada.

1. Informationstillgång med särskilt höga krav på

riktighet (t.ex. personuppgifter och metadata om forskningsdata).

2. IT-system eller informationstillgång för kritiska processer i verksamheten (t.ex.

………) .

IT-system eller informationstillgång som ingår i eller stödjer kontinuerlig verksamhet där avbrott kan medföra allvarlig skada.

1. För verksamheten mycket kritiska IT- system eller informationstillgångar (t.ex.

………).

(6)

Version 2.0 2013-10-01

djur som ingår i djurförsök.

7. Information om fysisk förvaring av djurförsöksdjur (t.ex. byggnadsritningar, information om transport av djur).

3. Betydande

a) orsakar en signifikant minskning i förmågan att lösa KI:s verksamhetsuppgifter i en utsträckning och varaktighet innebärande att effektiviteten i att fullgöra verksamhetens primära uppgifter är påtagligt reducerad;

b) resulterar i betydande skador på verksamhetens eller annan parts tillgångar;

c) resulterar i betydande ekonomiska förluster för KI eller annan part, eller

d) förorsakar betydande negativ på- verkan på enskild individs rättig- heter eller hälsa.

Informationstillgång som innehåller känslig information som om den kommer i orätta händer kan medföra betydande skada.

1. Information som, innan utlämning, alltid ska föregås av en sekretessprövning (t.ex. sjukdomsdiagnoser på avlidna personer som identifieras via löpnummer, arbetsdokument från andra myndigheter).

2. Personuppgifter i allmänhet eller som

enligt PuL är att betrakta som känsliga (t.ex. där sjukdomsuppgifter framgår men identifiering sker via löpnummer och inte pers.nr, enskilda studentärenden rörande personliga problem).

3. Uppgifter av intern karaktär vilka, utan andra restriktioner, endast egen personal

bör ha tillgång till (t.ex. metodbeskrivningar avseende forskning, information som identifierar manipulation av rådata dvs. forskningsfusk, information om känsliga möten såsom rekryteringar och donatorer, arbetsdokument och minnesanteckningar innehållande känsliga uppgifter).

Information som, om den inte är korrekt och fullständig, kan medföra betydande skada.

Generellt tillämpligt:

1. Informationstillgång som omfattas av lagrum där

riktighetskrav anges (t.ex. PuL, eller speciallag- stiftning).

2. IT-system eller informationstillgång somingår i myndighetsutövning (t.ex. system som lagrar betyg……).

3. Information eller IT-system där krav på spårbar-het eller oavvislighet föreligger.

IT-system eller informationstillgång som ingår i eller stödjer kontinuerlig verksamhet där avbrott kan medföra betydande skada.

Generellt tillämpligt:

1. IT-system eller informationstillgång som ingår i eller utgör stöd för myndighetsutöv- ning

och/eller kärnverksamhet.

2. E-tjänster mot allmänhet och andra intressenter.

2. Måttlig

a) orsakar en minskning i förmågan att lösa KI:s verksamhetsuppgifter i en utsträckning och varaktighet innebärande att effektiviteten i att fullgöra verksamhetens primära uppgifter är påvisbart reducerad;

b) resulterar i mindre skador på verksamhetens eller annan parts till- gångar;

c) resultera i smärre ekonomiska förluster för KI eller annan part, eller d) förorsakar begränsad negativ på- verkan på enskild individs rättigheter eller hälsa.

Informationstillgång som innehåller känslig information som om den kommer i orätta händer kan medföra måttlig skada.

1. Information erhållen från andra parter (t.ex. jobban- sökningar).

2. Avidentifierad patientdata, rådata från kliniska försök (ej spårbara till individ) och källkod.

3. Informationstillgång som inte utgör allmän handling och vilken endast innehåller generell information (t.ex.

arbetsmaterial som inte innehåller någon känslig information eller i övrigt någon information som kan härledas till enskilt företag, produkt eller individ).

4. Information som styrs av verksamhetsspecifik lagstiftning.

5. Uppgifter av intern karaktär vilka, utan andra restriktioner, endast egen personal

Information som, om den inte är korrekt och fullständig, kan medföra måttlig skada.

IT-system eller informationstillgång där verksamhetsberoendet är relativt lågt och där avbrott kan medföra måttlig skada.

(7)

Version 2.0

bör ha tillgång till (t.ex. forskningsplaner, strategisk plan för verksamheten, styrande dokument, utvärde- ringar och omdömen om personal och studenter, personalmeddelanden och kommunikationsplaner).

6. Information om vilka djurslag som KI bedriver djurförsök på.

1. Ingen/Försumbar Informationstillgång som endast innehåller information som är offentlig allmän uppgift eller information som om den kommer obehöriga till del medför ingen skada.

Information som är avsedd för eller kan spridas till en obestämd krets mottagare utan risk för negativa konse- kvenser.

Generellt tillämpligt för exempelvis:

1. Färdigställda interna riktlinjer, processbeskriv- ningar, instruktioner, kursmaterial och resultat från tentamina, manualer och arbetsordningar etc. som inte innehåller uppgifter vilka kan bli föremål för sekretess enligt lagen om offentlighet och sekretess.

2. Färdigställda och redan publicerade forskningsrap- porter, publika presentationer, externa nyhetsbrev och övrigt kommunikationsmaterial.

3. Metadata.

4. Beviljade anslagsansökningar, etiktillstånd och därtill hörande forskningsansökningar.

5. Personuppgifter rörande anställda och anknutna personer.

6. Information om ekonomi, utrustning, teknik, kemi- kalier etc. som används inom KI.

Information som, om den inte är korrekt och fullständig, endast kan medföra ringa eller ingen skada.

IT-system eller informationstillgång där verksamhetsberoendet är lågt och avbrott endast kan medföra ringa eller ingen skada.

(8)

3.3 Hantering av personuppgifter

Hantering av personuppgifter inom Karolinska Institutet (KI) regleras av Personuppgiftsla- gen (1998:204) och lag (2003:460) om etikprövning av forskning som avser människor.

Personuppgifter ska alltid hanteras i enlighet med vid var tid gällande lagstiftning och denna anvisning utgör ett stöd för att definiera den miniminivå på skyddsåtgärder för personuppgifter som ska följas inom KI.

Personuppgifter

Personuppgifter får endast samlas in och behandlas för särskilda, uttryckligt angivna och berättigade ändamål och de får inte bevaras under längre tid än som är nödvändigt. Grund- principen är att personuppgifter endast får behandlas om den registrerade, det vill säga den som en personuppgift avser, har lämnat samtycke till behandlingen eller om det krävs för att KI ska kunna uppfylla sina rättsliga skyldigheter. Känsliga personuppgifter, till exempel uppgifter om hälsa eller sexualliv, och uppgifter om lagöverträdelser får endast behandlas om behandlingen har godkänts enligt lagen (2003:460) om etikprövning av forskning som avser människor. Innan någon form av behandling av ovan nämnda personuppgifter sker måste det således säkerställas att relevanta medgivanden och godkännanden har inhämtats.

Godkännanden och medgivanden ska sparas åtminstone så länge som den aktuella person- uppgiftsbehandlingen sker och i enlighet med gällande arkivlagstiftning.

Information till den registrerade

I samband med insamlande av personuppgifter ska den registrerade få; information om behandlingen (syfte och ändamål), vilka som är mottagare av personuppgifterna, information om KI:s skyldighet att lämna uppgifter till den registrerade om behandlingen, hur den registrerade kan ansöka om information om behandlingen hos KI och hur den registrerade kan ansöka om rättelse av eventuellt felaktiga uppgifter. Eftersom KI är skyldig att en gång per kalenderår gratis lämna besked om personuppgifter som rör den som ansöker om att få reda på dessa uppgifter måste all personuppgiftsbehandling hanteras och lagras så att det är möjligt för KI att inom en månad från ansökan informera om; vilka uppgifter om den sö- kande som behandlas, varifrån dessa uppgifter har inhämtats, ändamålen med behandlingen och till vilka mottagare som uppgifterna lämnats ut. Besked om behandling av personuppgifter för enskild individ får endast lämnas ut efter en skriftlig undertecknad ansökan från personen i fråga och under förutsättning att en utlämning inte bryter mot Offentlig- hets- och sekretesslagen (2009:400). Uppgifterna får endast skickas till den ansökande personens folkbokföringsadress.

Utlämnande av personuppgifter

För att hantera registrerades, myndigheters och andra aktörers begäran om information ska det finnas instruktioner för hantering vid utlämnande av personuppgifter. Av instruktionerna ska det framgå vem eller vilka som har rätt att fatta beslut om utlämnande. Innan utläm- nande görs ska alltid en prövning om utlämnade i enlighet med Offentlighets- och sekretesslagen (2009:400) genomföras. Om utlämnande bedöms kunna ske får detta göras på löstagbara elektroniska lagringsmedier vilket innefattar bärbara hårddiskar, USB-minnen, cd-skivor etcetera. Informationen måste dock krypteras och hanteras på ett säkert sätt för att förhindra att obehöriga tar del av den. Personen som lämnar ut information ska alltid försäkra sig om att det är rätt person som tar emot informationen.

(9)

Version 2.0

Lagring av personuppgifter

Känsliga personuppgifter som lagras i bärbara datorer och på löstagbara lagringsmedier ska vara krypterade, och hanteras på ett sådant sätt att obehöriga inte kan ta del av uppgifterna.

Bevarande, rensning och gallring av personuppgifter

Personuppgifter ska bevaras, rensas och gallras enligt aktuell lagstiftning och det ska finnas dokumenterade instruktioner avseende hur detta ska hanteras inom KI.

Obehörig åtkomst till personuppgifter

Det ska finnas rutiner och instruktioner för hur misstanke om obehörig åtkomst till personuppgifter ska hanteras. Instruktionen ska minst innefatta tillvägagångssätt och tågordning för hur ärendet ska hanteras och eventuellt tas vidare till högre instanser (t.ex. om polisan- mälan blir aktuell).

3.4 Kravställning vid drift utanför Karolinska Institutet

Då Karolinska Institutet (KI) köper tjänster eller förlägger drift av IT-system utanför KI ska minst samma regler avseende informationssäkerhet gälla som när driften hanteras i egen regi. Utöver detta ska även följande regler gälla då drift sker utanför KI:

 Kraven på informationssäkerhet ska definieras baserat på riskanalys och regleras i avtal parterna emellan. Systemägaren ansvarar för kravställning avseende det specifika systemet men samordning bör ske då drift av flera system sker hos samma le- verantör.

 Då systemanskaffning, utveckling eller underhåll ingår i den externa partens åta- gande ska säkerhetskraven i Anvisning för kravställning vid anskaffning och ut- veckling av system följas.

 Uppföljning av avtalade säkerhetskrav ska ske regelbundet. Detta ska möjliggöras genom att i avtalet specificera att KI har rättighet att genomföra revision och granskning av den tillhandahållna tjänsten och hur väl leverantören uppfyller gäl- lande och relevanta informationssäkerhetskrav.

 Om informationen i systemen innehåller personuppgifter ska parternas roller som personuppgiftsansvarig och personuppgiftsbiträde regleras i avtal. I avtalet ska det specificeras att personuppgiftsbiträdet endast får behandla personuppgifterna i enlighet med instruktioner från den personuppgiftsansvarige. Utöver detta måste per- sonuppgiftsbiträdet även vidta lämpliga och tillräckliga tekniska och organisato- riska åtgärder för att skydda personuppgifterna.

 Risker som följer av beroende till en viss leverantör ska minimeras.

Molntjänster

Drift av system som innehåller känslig information, alternativt behöver integreras med andra system, ska inte upphandlas som en molntjänst utan att en noggrann riskanalys först har genomförts och dokumenterats. Utifrån analysens resultat ska nödvändiga åtgärder vidtas och minst följande ska säkerställas:

 Garantier på tillgänglighet ska finnas med i avtalet med leverantören. Tillgänglig- heten ska motsvara verksamhetens krav.

 Om tillgänglighetskraven är höga ska det finnas en redundant internetförbindelse.

(10)

Version 2.0 2013-10-01

 Avtalet bör innehålla en vitesklausul.

 Avtalet ska specificera vilken eller vilka organisationer som har tillgång till informationen.

 Antalet personer som har tillgång till informationen ska vara begränsat.

 Avtalet ska uttryckligen specificera att leverantören inte få använda sig av KI:s information för eget eller annan parts bruk utöver vad som specifikt är avtalat.

 Om informationen kommer att hanteras utanför Sverige ska rättsläget vara analyse- rat och det ska säkerställas att säkerhetskraven för till exempel personuppgifter kan garanteras.

 Exportfunktioner ska finnas i tjänsten så att KI vid avtalsslutet, eller i övrigt vid behov, lätt kan byta leverantör.

 Avtalet ska specificera KI:s revisionsmöjligheter så att uppföljning av avtalade sä- kerhetskrav möjliggörs.

3.5 Informationshantering vid rekrytering, anställning och avslut av anställning

Vid hanteringen av information avseende Karolinska Institutets anställda finns ett flertal moment där informationssäkerheten ska beaktas. Nedan återfinns krav för att säkerställa informationssäkerheten inom respektive delprocess.

Rekrytering

 Den arbetssökandes formella meriter (så som utbildning, diplom, referenser etc.) ska kontrolleras.

 Den arbetssökandes identitet ska kontrolleras för att säkerställa att personen verkligen är den som den utger sig för att vara.

 Vid rekrytering till särskilt känsliga arbetsuppgifter bör ytterligare register- kontroller genomföras av den som rekommenderas för tjänsten.

Anställning och anställningsvillkor

 I samband med anställning ska den anställde informeras om sin skyldighet att uppfylla de krav som ställs i KI:s informationssäkerhetsriktlinjer och regelverk, samt i tillhörande anvisningar.

 Alla anställda ska kontinuerligt under anställningstiden göras medvetna om sina skyldigheter enligt punkten ovan samt informeras om gällande regler avseende in- formationssäkerhet och tillämpliga lagkrav, så som exempelvis Offentlighets- och sekretesslagen (2009:400).

 Det ska vara tydligt vilken information som ägs av arbetsgivaren och som inte får förstöras eller kopieras vid avslut av anställningen.

 Det ska tydliggöras för de anställda att brott mot gällande riktlinjer, regler och anvisningar för informationssäkerhet kan bedömas som misskötsel, vilket är ett brott mot anställningsavtalet, och kan komma att leda till arbetsrättsliga åtgärder.

Avslut av anställning

 Aktiviteter ska ske för att säkerställa att ansvarsuppgifter överlämnas och att åt- komsträttigheter upphör vid anställningens slut. Det ska även säkerställas att nyck- lar, tjänstekort och övrig utrustning återlämnas.

(11)

Version 2.0

Hantering av konsulter och annan extern personal

 Vid anlitande av konsult eller annan extern uppdragstagare ska det klargöras huruvida han eller hon deltar i verksamheten på samma sätt som en anställd och därmed omfattas av offentlighets- och sekretesslagen. I annat fall ska tystnads- plikten regleras civilrättsligt, det vill säga i avtal.

 Konsulter och annan extern personal ska göras medvetna om sina skyldigheter att uppfylla de krav som ställs i KI:s riktlinjer, regler och anvisningar för informat- ionssäkerhet.

 De åtkomsträttigheter (både logiska och fysiska) som tilldelas konsulter och annan extern personal ska följa uppdragstiden. Aktiviteter ska ske för att säkerställa att åt- komsträttigheterna upphör i samband med uppdragets slut.

3.6 Kravställning av kommunikations- och nätverkssäkerhet

Karolinska Institutets säkerhetschef ansvarar för övergripande kravställning rörande säker- heten avseende KI:s nätverk och infrastruktur. Nivån på kravställningen ska samordnas med informationsägarnas krav på tillgänglighet och skyddsåtgärder. Denna anvisning ska endast ses som ett stöd avseende vilka områden som ska ingå i kravställningen samt den miniminivå som ska följas inom KI.

Nätverksmiljön

Nätverksmiljön och dess komponenter ska vara dokumenterade och övervakade ur ett sä- kerhetsperspektiv. Det ska finnas systemskisser över samtliga komponenter som ingår i nätverket och alla anslutningspunkter mot andra nätverk ska vara tydligt utmärkta. Varje komponent ska vara dokumenterad med nätverksnamn, märke, modell, programvara och konfiguration. Det ska även finnas en eller flera logiska systemskisser över samtliga systemsamband. Tekniska lösningar så som kablage, aktiva nätverkskomponenter och kommunikationsprotokoll ska väljas med utgångspunkt från KI:s krav på informationssä- kerhet.

Trådlösa nätverk

Då information överförs med hjälp av trådlösa nätverk uppkommer risker, bland annat avseende avlyssning, och därför ska kommunikation över trådlösa nätverk krypteras. Detalje- rade instruktioner ska fastställas för design, konfiguration och användning av trådlösa nät- verk. Risken för störning av känslig elektronisk utrustning ska alltid beaktas vid användan- det av trådlösa nätverk.

Externa nätverk

Anslutning till externa nätverk (utanför KI:s nät) och Internet ska regleras genom specifika anvisningar. Internetuppkopplingar och datorer som används av andra än KI:s medarbetare (till exempel gästföreläsare eller besökare) ska vara logiskt separerade från KI:s nät (så kallade gästnät).

Utrustning i nätverket

Det är inte tillåtet att installera eller köra mjukvara som inte är verksamhetsrelaterad på KI:s utrustning som är kopplad mot det interna nätverket. All utrustning (arbetsstationer, bärbara datorer, handdatorer, surfplattor, mobiltelefoner etc.) som ansluts till nätverket ska uppfylla KI:s gällande säkerhetsregler. Användning av programvara på KI:s utrustning får

(12)

Version 2.0 2013-10-01

inte ske i strid med gällande upphovsrättslagstiftning. Utrustning som är kopplad till KI:s nät får inte samtidigt anslutas till andra fasta eller trådlösa nät. All utrustning som ansluts till KI:s nätverk ska skyddas och vara konfigurerad enligt definierade och dokumenterade standardkonfigurationer. Synkronisering av e-post, kalender etc. får endast ske på utrustning på vilka godkända säkerhetslösningar finns installerade.

Telefoni

Användning av mobiltelefoner ska regleras genom anvisningar avseende användande av e- post och andra interna resurser.

Trådlösa telefoner är i regel inte krypterade och lämpar sig därför inte för utbyte av känslig information. Detta gäller till viss del även SMS och taltrafik från mobiltelefon. Vid kommunikation kring känsliga uppgifter över telefon ska det alltid säkerställas att det är rätt person som tar del av uppgifterna.

3.7 Kravställning av driftsäkerhet och servicenivå

Ägaren till en specifik IT-resurs (system/applikationer, nätverk, tekniska plattformar etc.) ansvarar för kravställning avseende dess driftsäkerhet. Nivå på kravställning bör baseras på genomförd riskanalys och med systemets- eller informationstillgångens informationsklassi- ficering i åtanke. Denna anvisning anger den miniminivå som ska följas inom Karolinska Institutet och utgör även ett stöd för att definiera vilka områden som exempelvis, men inte uteslutande, bör ingå i kravställningen.

Drift och driftsdokumentation

Drift av KI:s IT-resurser ska ske i enlighet med god praxis och dokumenterade, implementerade processer. Det ska finnas dokumenterade och kontinuerligt uppdaterade operation- ella driftsrutiner och driftsinstruktioner, och all drift ska ske i enlighet med dessa. Den dokumenterade driftsdokumentationen ska uppdateras vid behov och revideras minst årligen eller när behov i övrigt föreligger. Där så är möjligt ska bevis på att rutinerna/ instruktionerna följs dokumenteras och lagras.

Kopior av driftsdokumentationen ska förvaras separerade från originalen och arkivering av dokumentationen ska ske i enlighet med fastställda rutiner.

Säkerhetsuppdateringar

Säkerhetsuppdateringar avseende operativsystem och program ska hanteras kontrollerat och skyndsamt. För att säkerställa att driften inte påverkas negativt ska säkerhetsuppdate- ringarna testas och analyseras innan de installeras i produktionsmiljön. Om analysen påvi- sar att säkerhetsuppdateringen genererar risker för stabiliteten i produktionsmiljön ska en dokumenterad motivering finnas för varför säkerhetsuppdateringen inte genomförs.

Detaljerade anvisningar ska finnas för hantering av akuta säkerhetsuppdateringar, det vill säga säkerhetsuppdateringar som måste installeras så skyndsamt att de inte hinner testas.

Instruktionerna bör säkerställa att tester genomförs efter installationen, och att åtgärder vidtas baserat på testernas resultat.

Förändringshantering

Alla förändringar som görs i KI:s IT-system ska noggrant planeras och analyseras, och alla förändringar, liksom test och överföring till produktionsmiljön av dessa, ska vara formellt godkända av behörig person. Godkännanden ska dokumenteras och lagras. Dualitetsprinci- pen ska tillämpas – det vill säga utveckling, test och produktionssättning får inte ske av en

(13)

Version 2.0

och samma person och ska ske i separata miljöer. Utvecklings- och testmiljön får inte, utan att särskilda av systemägaren godkända säkerhetsåtgärder vidtagits, innehålla känslig information.

Det ska finnas detaljerade anvisningar för hur förändringar ska hanteras och testas, liksom planer för att, vid behov, kunna återgå till läget innan förändringen påbörjades.

Detaljerade anvisningar ska även finnas för akuta förändringar som måste åtgärdas omgå- ende, och där tid inte finns för att följa den normala förändringsprocessen. Sådana föränd- ringar kan exempelvis vara störningar i produktionsmiljön. Akuta förändringar ska dokumenteras och i efterhand följas upp enligt detaljerade anvisningar för akut förändrings- hantering.

Kapacitetsplanering

Syftet med kapacitetsplanering är att förutse och förebygga kapacitets- och prestandapro- blem i KI:s IT-miljö. För att möjliggöra detta ska mätning och uppföljning av IT-

kapaciteten genomföras regelbundet. För verksamhetskritiska system inom KI ska kapacitetsplanering alltid ske.

Skydd mot skadlig kod

IT-utrusning som riskerar att drabbas av skadlig kod ska skyddas med lämplig programvara som ska vara kapabel att identifiera, ta bort och skydda mot kända typer av skadlig kod. Användare ska inte kunna avinstallera eller stänga av programvaran (anti-virus-

funktionen), utan detta ska endast kunna göras av behöriga administratörer. Uppdatering av programvarans definitionsfiler, liksom kontroll av utrustningen, ska ske automatiskt. Scan- ning av servrar och klienter efter skadlig kod ska utföras dagligen. Filer smittade av skadlig kod ska automatiskt oskadliggöras och händelser relaterade till skadlig kod ska loggas, larmas och följas upp. Om skadlig kod upptäcks ska detta rapporteras som en incident, se Anvisning Incidenthantering och rapportering.

Säkerhetskopiering och återläsning av data

Säkerhetskopiering av information och programvara ska genomföras regelbundet på sådant sätt att individuella filer kan återskapas. Frekvens och omfattning av säkerhetskopieringen varierar men bör baseras på de krav på tillgänglighet som definieras i informationsklass- ningen, se Informationsklassningsmodell KI. Systemägaren är ansvarig för att, efter samråd med informationsansvarige, dokumentera dessa krav och säkerställa att lämpliga skydds- mekanismer finns på plats utifrån informationens klassning.

Säkerhetskopiorna ska vara tydligt märkta och skyddade mot överskrivning och fysisk för- störelse, och förvaras åtskilda ifrån originalen och i lokaler som följer kraven i kapitel 6, Fysisk säkerhet i Regler för informationssäkerhet.

Återläsningstester ska genomföras regelbundet för att säkerställa att säkerhetskopiorna kan användas vid behov. Testresultaten ska dokumenteras.

Systemdokumentation

Det ska finnas fullständig och kontinuerligt uppdaterad systemdokumentation för alla IT- system inom KI. Systemdokumentation ska tas fram i enlighet med god praxis och dokumenterade, implementerade processer. Kopior av systemdokumentationen ska förvaras separerade från originalen, och arkivering av dokumentationen ska ske i enlighet med fast- ställda rutiner. De delar av systemdokumentationen som behandlar känslig information, så som exempelvis säkerhetsfunktioner, ska förvaras så att endast behörig personal kommer åt dessa.

(14)

Version 2.0 2013-10-01

3.8 Åtkomstadministration

För åtkomst till Karolinska Institutets (KI) nätverk och system ska det finnas detaljerade instruktioner och en organisation för administration av åtkomsträttigheter. Detta för att säkerställa att det endast är godkända åtkomsträttigheter som läggs upp i systemen. Syste- mägaren, eller motsvarande roll för de fall att information inte lagras i ett specifikt system (utan exempelvis i en mappstruktur på gemensam lagringsyta), är ansvarig för instruktion och organisation för respektive system/miljö.

Vid administration av åtkomsträttigheter gäller följande:

 En behovs- och riskanalys ska göras gällande uppsättningen av åtkomsträttigheter i systemet, eller annan elektronisk lagringsyta. Detta för att kunna tilldela rättighet- erna på ett korrekt sätt. Analyserna ska genomföras och utvärderas i samråd med informationsansvarige.

 De åtkomsträttigheter som tilldelas en användare i ett system, eller annan elektronisk lagringsyta, ska inte vara högre än vad som krävs för att denne ska kunna ut- föra sina aktuella arbetsuppgifter.

 Åtkomsträttigheter till system, eller annan lagringsyta, får endast användas för att utföra de arbetsuppgifter som användaren är ålagd av KI att utföra.

 Om det finns flera ägare till information som behandlas i ett och samma system ska dessa gemensamt komma överens om arbetssätt och instruktioner för åtkomst- administration.

 Användaridentiteter ska vara unika och användas i kombination med personliga lö- senord.

 Höga åtkomsträttigheter, så kallade administratörsrättigheter, ska vara personliga och begränsas till så få personer som möjligt. Dessa får endast delas ut efter skriftligt beslut från respektive systemägare, eller motsvarande roll i de fall information inte lagras i ett specifikt system. Gällande centrala IT-system krävs även ett formellt skriftligt beslut från IT-direktören.

 Höga åtkomsträttigheter, så kallade administratörsrättigheter, för teknisk IT- utrustning ska vara personliga och begränsas till så få användare som möjligt och åtkomster får endast delas ut efter skriftligt beslut från respektive informationsansvarig.

 För åtkomst till information som informationsklassificerats till den högsta nivån avseende konfidentialitet krävs stark autentisering (så kallad två-faktors autentisering²).

 Lösenord ska hållas hemliga och bytas regelbundet, i normalfallet minst var 90:e dag. Finns systemstöd för att säkerställa lösenordens komplexitet ska det användas.

2 Med två-faktors autentisering avses identitetskontroll med hjälp av två skilda former av information, nor- malt något som man har och något som man vet. Till exempel som ett bankomatkort där kortet i sig är något man har och pinkoden är något man vet.

(15)

Version 2.0

Instruktioner för åtkomstadministration

Instruktion för kontroll över beställning, förändring och borttag av åtkomsträttigheter ska fastställas för varje system, eller övrig elektronisk lagringsyta. Instruktionerna ska inne- hålla minst följande information:

 Hur beställning av tillägg, borttag och förändring av åtkomsträttigheter ska gå till.

 Vilka mallar eller blanketter som ska fyllas i och hur dessa ska användas.

 Hur de specifika åtkomsträttigheterna som beställs ska specificeras och att konkreta arbetsuppgifter ska kunna kopplas till de olika rättigheterna som beställs.

 Vilka kriterier och arbetsuppgifter användaren ska ha för att ansökan om åtkomst- rättighet till systemet, eller annan elektronisk lagringsyta, ska få göras.

 Vem/vilka (roller) som får beställa åtkomsträttigheter.

 Vem/vilka (roller) som beslutar om användaren ska erhålla en åtkomsträttighet.

 Vart beställningen ska skickas samt vem/vilka (roller) som lägger upp åtkomst- rättigheten i systemet/annan lagringsyta alternativt beställer rättigheten hos eventuell IT-leverantör.

 Hur leveransen av åtkomsträttigheten och dess tillfälliga lösenord ska ske samt hur det säkerställs att rätt användare erhåller uppgifterna.

 Hur spårbarheten säkerställs, det vill säga hur beställning och godkännande ska sparas och arkiveras.



3.9 Granskning av åtkomsträttigheter

Befintliga åtkomsträttigheter i Karolinska Institutets system och IT-miljöer ska regelbundet följas upp i syfte att säkerställa att de är förenliga med användarnas behov och arbetsuppgifter och att inte obehöriga har åtkomst till känslig information. Granskningarna ska ge- nomföras med olika frekvens baserat på informationens/systemets informationsklassning enligt följande:

Informationsklass: Frekvens:

K4 och/eller R4 Kvartalsvis K3 och/eller R3 Kvartalsvis K2 och/eller R2 Halvårsvis K1 och/eller R1 Årligen

Behörigheter för särskilda privilegierade åtkomsträttigheter, s.k. administratörsrättigheter, ska alltid granskas minst kvartalsvis.

Utöver ovan beskrivna frekvens ska granskningar av alla åtkomsträttigheter även ske vid större organisations- och systemförändringar.

Dokumentation

Då granskningar genomförs är det viktigt att dokumentationen sparas, både för att kunna följa upp hantering kring åtkomsträttigheter men även för att kunna visa för revisorer och annan tillsynsverksamhet att granskningarna verkligen har genomförts.

(16)

Version 2.0 2013-10-01

Nedanstående punkter ger en vägledning kring vilken typ av dokumentation som ska sparas som ett minimum:

 Underlag (användarlista från systemet) som granskningen baserats på.

 Godkännande/bekräftelse avseende systemets alla tilldelade åtkomsträttigheter.

 Underlag för beställning avseende förändring och borttag som granskningen genererat.

 Nytt underlag (användarlista från systemet) som visar att förändringar från gransk- ningen har genomförts.

Generell vägledning för granskning av åtkomsträttigheter

OBS! Nedanstående vägledning är generell, förenklad och framtagen för att passa de flesta system, eller annan elektronisk lagringsplats, inom KI. Vägledningen är tänk som ett stöd vid framtagandet av lokala instruktioner för att säkerställa att regelbunden och ändamålsenlig granskning av åtkomsträttigheter sker.

Regelbundna granskningar av åtkomsträttigheter bör minst innefatta följande aktiviteter:

1. Informationsansvarige, eller systemägaren om aktuell arbetsuppgift har blivit dele- gerad till denne, initierar granskningen genom att be relevant administratör att be- ställa/ta fram en lista över det aktuella systemets användare och dess åtkomsträttig- heter.

2. Listan med behörigheter skickas därefter till relevanta chefer, prefekter, administra- tiva chefer och eventuella andra intressenter (t.ex. informationsansvarig) vilka såle- des involveras i granskningen genom att de granskar alla konton (både användar- konton och systemkonton) i systemet utifrån följande aspekter:

a. Vem är ägare av kontot?

b. Har den personen behov av ett konto utifrån sina arbetsuppgifter?

c. Är det rätt nivå på åtkomsträttigheter baserat på personens arbetsuppgifter och organisatorisk tillhörighet?

3. Administratören av granskningen sammanställer informationen från verksamhetens genomgång och tar därefter fram en förteckning över de förändringar och/eller borttag av åtkomsträttigheter som ska göras.

4. Administratören genomför förändringarna alternativt beställer dem från IT- leverantören.

5. Administratören beställer/tar fram en ny lista över systemets åtkomsträttigheter och säkerställer att de beställda förändringarna verkligen har genomförts.

6. Administratören slutför granskningen genom att spara den dokumentation som granskningen genererat på därför angiven plats.

(17)

Version 2.0

3.10 Loggning och loggranskning

Loggning ska ske på alla system och lagringsplatser (exempelvis då forskningsdata inte lagras i ett specifikt system utan till exempel i en mappstruktur på gemensam lagringsyta) där verksamhetskritisk information lagras. Detta för att säkerställa att relevanta användar- aktiviteter och informationssäkerhetshändelser registreras och är spårbara. Det är informationsansvarig som är ansvarig för att säkerställa att tillfredsställande loggning och logg- granskning sker gällande hantering av informationen. Systemägaren, eller motsvarande roll för de fall att information inte lagras i ett specifikt system (utan exempelvis i en mappstruktur på gemensam lagringsyta), ansvarar för att de faktiska granskningarna genomförs. Loggning

Vid loggning gäller följande:

 Övervakning och loggning ska följa vid var tid gällande relevanta lagkrav. Loggarna ska åtminstone innehålla uppgifter om följande:

- samtliga händelser i systemet, eller i annan elektronisk lagringsplats, initierade av en användare eller ett annat system,

- vilken användare som initierat händelsen och tidpunkten,

- samtliga misslyckade inloggningsförsök i systemet samt vilken IP-adress varifrån inloggningsförsöket gjordes,

- systemlarm eller fel, och

- ändringar, eller försök till ändringar, i systemets säkerhetsuppsättningar och sä- kerhetsåtgärder.

 Användarna ska informeras om att deras aktiviteter i nätverk och system etc. loggas och i vilket syfte dessa loggar följs upp. Denna information kan exempelvis ges i respektive systems användarinstruktioner eller som automatiskt meddelande i samband med inloggning.

 Samtliga loggfiler ska skyddas mot obehörig åtkomst och manipulation samt omfattas av relevant säkerhetskopiering i enlighet med fastställda instruktioner. Loggar ska sparas i enlighet med vid var tid gällande lagstiftning och informationsansvariges krav.

 För att säkerställa loggarnas bevisvärde ska loggande systems systemklockor synkro- niseras med ett utpekat normalur.

Granskning av loggar

Avseende system som är högt klassade vad avser konfidentialitet (K3 och K4) och riktighet (R3 och R4) ska loggranskning genomföras regelbundet. Granskningarna ska genomfö- ras utifrån fastställda instruktioner enligt följande:

 Instruktionerna ska beskriva vad som loggas, hur ofta loggarna ska granskas, vem som ska utföra granskningen samt vad som betraktas som överträdelse och hur eventuella överträdelser ska hanteras och rapporteras. Beslut om hur ofta loggarna, i sin helhet eller endast vissa delar, ska granskas bör baseras på förekommande risker, där exempelvis värde och känslighet av aktuell information bör övervägas. Systemadministratörers och -operatörers aktiviteter bör dock granskas minst månatligen.

 Om möjligt ska loggarna analyseras med hjälp av automatiserade verktyg. Om detta inte är möjligt ska tillräckliga manuella kontroller i stället utföras.

(18)

Version 2.0 2013-10-01

 Tillgång och åtkomst till logg och logganalysverktyg ska begränsas och regleras med individuell åtkomsttilldelning.

 Underlag från genomförda loggranskningar ska sparas och åtkomst till dessa regleras med individuell åtkomsttilldelning.

3.11 Kravställning vid anskaffning och utveckling av system

Vid utveckling eller anskaffning av informationssystem ska informationsansvarige säker- ställa att nedanstående aktiviteter genomförs:

Innan utveckling eller anskaffning

 En riskanalys ska genomföras för att definiera de informationssäkerhetskrav som ställs på systemet. Dessa krav ska sedan dokumenteras som en del av kravspecifikationen.

 I samband med riskanalysen ska även en bedömning göras hur den tilltänkta systemlösningen förhåller sig till lagar och förordningar, till exempel Personupp- giftslagen (1998:204).

Upphandling av leverantör för utveckling eller anskaffning

 Vid upphandling av system ska dokumenterade krav på leverantörernas informat- ionssäkerhetsarbete ingå i förfrågningsunderlaget.

 KI:s krav på informationssäkerhet ska definieras och avtalas med utvald leverantör.

 Vid systemutveckling ska en bedömning göras över vilken programvara, information och vilka rättigheter som ska ägas av KI efter uppdragets slut. Avtal med vald leverantör ska utformas enligt denna bedömning.

Under utveckling eller anskaffning

 Vid utveckling ska vedertagna systemutvecklingsmodeller användas för att säker- ställa spårbarheten i utvecklingens alla led.

 Tester ska genomföras i separat testmiljö för att säkerställa riktigheten i systemets utdata. Anonymiserad testdata ska alltid användas och faktiska personuppgifter får aldrig användas i testsammanhang. Utdatas riktighet ska utvärderas under testfasen med hjälp av rimlighetskontroller.

 Det ska säkerställas att identifierade säkerhetskrav för systemet implementerats i enlighet med vad som definierats i kravspecifikationen.

 Innan systemet får sättas i produktion ska det genomgå acceptanstest/validering som beställaren ska godkänna.

 En systemägare ska utses för systemet.

Produktionssättning av utvecklat eller anskaffat system

 I beställarens driftgodkännande, som ska ligga till grund för beslut gällande pro- duktionssättning av systemet, ska det ingå en uppföljning över de fördefinierade in- formationssäkerhetskraven.

 Vid utveckling eller anskaffning ska fullständig system-, användar- och driftsdokumentation framställas. Driftsdokumentationen ska även översiktligt behandla de återstartsrutiner som behövs för systemets avbrottsplanering. All dokumentation ska vara färdigställd och tillgänglig för berörda personer senast vid produktions- sättning av systemet.

(19)

Version 2.0

3.12 Kravställning av systemförvaltning

Systemägaren ansvarar själv, eller genom särskilt utsedd förvaltare, för förvaltningen av systemet och de säkerhetskrav som är relaterade till förvaltningen. Systemägaren ansvarar för att åtminstone, men inte uteslutande, nedanstående krav uppfylls inom ramen för för- valtningen av systemet. Ytterligare krav kopplat till drift finns även i Anvisning Kravställ- ning av driftsäkerhet och servicenivå.

 Det ska finnas en dokumenterad systemförvaltningsplan, innehållande instruktioner för administration, drift och underhåll, i syfte att säkerställa att systemet hanteras korrekt utifrån ett informationssäkerhetsperspektiv.

 Det ska finnas aktuell och uppdaterad systemdokumentation vilken ska vara till- gänglig för berörda och behöriga personer vid behov.

 Det ska finnas en avbrottsplan för systemet och planen ska vara kopplad till kontinuitetsplanerna för de verksamhetsområden som systemet stödjer.

 Systemets användare ska informeras om systemets skyddsåtgärder och användarna ska erhålla nödvändig säkerhetsutbildning innan de tillåts åtkomst till systemet.

 Alla informationssäkerhetsincidenter som uppdagas inom ramen för förvaltningen ska rapporteras i enlighet med vid var tid gällande anvisningar. För ytterligare in- formation kring incidentrapportering se Anvisning Rapportering och hantering av informationssäkerhetsincidenter.

 Funktionella fel och brister relaterat till systemet ska kontinuerligt analyseras och rapporteras till systemägaren.

 Då förändringar görs i systemet ska alltid KI:s informationssäkerhetskrav avseende förändringshantering följas.

Systemförvaltaren ska, utöver den praktiska hanteringen av ovanstående ställda krav, bistå systemägaren och informationsansvarige avseende:

 hanteringen av åtkomstadministration och granskning av åtkomsträttigheter, se An- visning Åtkomstadministration och Anvisning Granskning av åtkomsträttigheter för mer information

 riskanalyser för systemet samt framtagande av åtgärds- och förbättringsförslag ba- serade på dessa, se Anvisning Genomförande av riskanalys för mer information.

(20)

Version 2.0 2013-10-01

3.13 Rapportering och hantering av informations- säkerhetsincidenter

Det huvudsakliga syftet med denna anvisning är att:

 ange hur rapportering av informationssäkerhetsincidenter (incidenter) ska ske

 definiera hur incidenter ska klassas

 beskriva hur incidenter i olika klasser ska hanteras Rapportering av incidenter

Informationssäkerhetsincidenter är händelser som påverkar, eller kan komma att påverka, säkerheten för KI:s informationstillgångar negativt. Incidenter som inträffar relaterat till informationshantering i verksamheten, det vill säga har påverkan på information med avseende på konfidentialitet, riktighet eller tillgänglighet, ska snarast möjligt rapporteras av den eller de som upptäckt incidenten. Rapportering ska primärt ske via systemstöd alternativt till institutionens prefekt eller av denne utsedd kontaktperson för informationssäkerhet.

Rapporterade incidenter värderas mot följande fyra klasser:

Bedöms incidenten som mindre allvar- lig där konsekvenserna inte ska negli- geras men incidenten kan hanteras utan större ansträngning?

Ska hanteras av Informationssäker- hetssamordnaren. Dessa aktiviteter ska regelbundet rapporteras till säker- hetschefen.

Bedöms det som att incidenten får obetydlig konsekvens med försumbar påverkan på verksamheten? Kan den vara av karaktären säkerhetsbrist dvs ännu icke inträffad incident?

Rapportering av incidenter

Klassning av incident

Bedöms incidenten som mycket allvarlig och potentiellt kan skapa längre avbrott och påverka flera system och/eller verksamheter?

Bedöms incidenten som allvarlig där omfattande resurser och insatser krävs för att hantera situationen?

Kan den få påverkan på enstaka system eller institution?

Hantering av incident

Ska eskaleras till Säkerhetschefen som ansvarar för hanteringen av incidenten till dess att annat beslutats.

Universitetsdirektören informeras omgående

Ska eskaleras till Säkerhetschefen som ansvarar för hanteringen av incidenten till dess att annat beslutats.

Universitetsdirektören informeras efter att incidenten har hanterats.

Ska hanteras av Informationssäker- hetssamordnaren som avgör eventuell vidare eskalering. Säkerhetschefen ska informeras i efterhand.

Rapportering incidenter

NEJ

JA

NEJ NEJ

Klass 2 Klass 3 Klass 4

Klass 1 JA

JA

JA System-

stöd

(21)

Version 2.0

Incidenthantering

Informationssäkerhetssamordnaren ska (eventuellt i samråd med säkerhetschefen) skyndsamt göra en första analys av incidentens potentiella påverkan för att bedöma hur den ska klassas och om den eventuellt ska eskaleras vidare i organisationen. Informationssäkerhets- samordnaren och/eller säkerhetschefen beslutar också om prefekten vid berörd institution eller motsvarande ska informeras om den inrapporterade incidenten.

Rapporterade incidenter ska hanteras i prioritetsordning i relation till den klass som incidenten fått. Hanteringen av incidenter ska omfatta:

 Dokumenterad information om incidenten innehållande; tidpunkt, vad som inträf- fat, omständigheter m.m.

 Eventuella bevis ska fastställas genom exempelvis granskning av loggar.

 KI:s IT-avdelning och andra relevanta leverantörer av IT-tjänster ska informeras då detta bedöms nödvändigt. Det ska finnas en formell väg att rapportera incidenter till dessa leverantörer.

 Vid incident som även har fysisk påverkan ska ansvarig funktion/person för fysisk säkerhet informeras.

 Erfarenhetsåtervinning av hanterade incidenter ska genomföras för att säkerställa en effektiv och ändamålsenlig hantering i framtiden.

Avrapportering

Avrapportering av incidenter ska göras beroende på klass enligt beskrivning av hantering ovan. Säkerhetschefen ska årligen tillse att det skapas en summerande rapport över alla informationssäkerhetsrelaterade incidenter. Dessutom ska det genomföras en analys och ges förslag på eventuella förbättrande åtgärder för att om möjligt undvika liknande incidenter i framtiden. Erfarenheter från incidentrapportering och -hantering bör användas vid genomförande av riskanalyser och som underlag för uppdatering av reglerna för informa- tionssäkerhet.

(22)

Version 2.0 2013-10-01

3.14 Kontinuitetsplanering

Kontinuitetsplanering ska ske för KI:s alla institutioner och dess kritiska verksamhetsdelar och dokumenteras i en kontinuitetsplan. Följande områden ska beaktas:

1. Definition av områden/omfattning och strategi

Kontinuitetsplanen ska tydligt ange vilka verksamhetsdelar den täcker och den valda strategin för att återställa dessa. Det kan finnas olika strategier beroende på typ av händelse som får konsekvens för verksamhetsdelens tillgänglighet, samt vilken del planen avser att täcka. Risk- och konsekvensanalyser ska genomföras och bilda grund för den valda strategin.

2. Risk- och konsekvensanalyser

Riskanalyser, som beaktar potentiella sårbarheter och hot för verksamheten och dess nyckeldelar, ska genomföras regelbundet (för mer information se Anvisning Genomförande av riskanalyser). Genom riskanalysarbetet inhämtas information som är nödvändig för att bland annat kunna ta fram en relevant kontinuitetsplan och genomföra förebyggande arbete. I kontinuitetsplaneringen ska riskanalysen även innefatta en konsekvensanalys, där fokus ska ligga på konsekvenserna av bristande tillgänglighet till kritisk information. På så sätt identifieras verksamhetens behov av, och krav på tillgänglighet till, information i syfte att kunna upprätthålla kritiska verksamhetsdelar.

3. Återställningstider

Utifrån resultatet av konsekvensanalysen ska kritiska återstartstider för väsentliga verksamhetsdelar definieras. Fastställande av återstartstider innebär att den maxi- mala tid som aktuell verksamhetsdel tillåts vara otillgänglig ska definieras. Denna tid får i sin tur påverkan på utformningen av de kontinuitetslösningar, åtgärdsaktivi- teter och reservrutiner som ska dokumenteras i kontinuitetsplanen.

4. Kontinuitetslösningar

De definierade återställningstiderna utgör underlag för vilka kontinuitetslösningar som ska väljas och hur reservrutinerna ska utformas. Lösningarna för att uppnå kontinuitet i verksamheten ska utformas så att de är praktiskt och ekonomiskt ge- nomförbara utifrån vald strategi. Utformningen av reservrutinerna ska vara så detal- jerad att den kan ligga till grund för kontinuitetsplaneringen.

5. Organisation för att utarbeta, införa och underhålla planen

Roller och ansvar för att ta fram och kontinuerligt arbeta med kontinuitetsplanerna ska definieras och kommuniceras. Arbetet med och ansvaret för detta kan med för- del delas upp relaterat till de olika verksamhetsdelar som ska täckas av kontinuitetsplanering. Det är dock viktigt att det finns en utsedd ansvarig person som ansvarar för förvaltning och underhåll av den övergripande kontinuitetsplanen.

6. Granskning, test och övning

Kontinuitetsplaner behöver underhållas, och som en del av detta arbete ingår att planerna regelbundet granskas och uppdateras. Regelbundna övningar av planerna ska också genomföras för att på så sätt testa att de är aktuella, ändamålsenliga och att de verkligen fungerar när de behövs. Dessa övningar fungerar även som utbildning i kontinuitetsplanernas reservrutiner för medarbetare och andra berörda.

(23)

3.15.1 Konfidentialitet – krav på hantering Under omarbetning

Informationsklass Konfidentialitet Krav Skyddsåtgärd

4

Definition av allvarlig skada:

d) orsakar en allvarlig begränsning i KI:s för- måga att lösa sina verksamhetsuppgifter i en utsträckning och varaktighet som innebär att verksamheten inte kan fullgöra en eller flera av sina primära uppgifter;

e) resulterar i omfattande skador på verksamhetens eller annans parts tillgångar;

f) resulterar i stora ekonomiska förluster för KI eller annan part, eller

d) förorsakar allvarligt negativ påverkan på enskild individs rättigheter eller liv och hälsa.

Informationstillgång som innehåller känslig information som om den kommer i orätta händer kan medföra allvarlig skada.

1. Informationstillgång som är eller kan bli föremål för sekretess enligt offentlighets- och sekretesslagen (t.ex. uppgifter om enskildas sjukdomar och missbruk, pågående ärende om avskiljande av studerande från högskole- utbildning).

2. Informationstillgång som kan bli föremål för tillämpningskrav enligt särskild lagstiftning (t.ex. patientdata, sjukdomsuppgifter tillsammans med pers.nr.).

3. Informationstillgång som utgör den egna eller annan verksamhets företagshemligheter (t.ex.

forskningsrådata som härrör till enskild individ, ej offentliggjord forskningsdata, lösenord, IT- säkerhetsinställningar).

4. Informationstillgång som inte utgör allmän handling och vilken kan innehålla för enskild individ eller enskilt företag/verksamhet känslig information (t.ex. forskningsinformation från personer i brottsregistret).

5. Information om djurförsök med avsevärd svårighetsgrad för djuren.

6. Information som identifierar personer som handhar djur som ingår i djurförsök.

7. Information om fysisk förvaring av djurför- söksdjur (t.ex. byggnadsritningar, information om transport av djur).

Skapa:

Ange informationsklassen ”K4” i sidhu- vudet eller på därför avsett ställe

Förvara:

Inlåst i säkerhetsskåp om det är pappersdokument. Utskrifter ska hållas under omedelbar uppsikt. Ej tillåtet att förvara utanför ordinarie arbetsplats. Förvaring på hårddisk/PC/smart phone o dyl kräver behörighetskontroll och stark kryptering.

Lagring på CD/USB/annan bärbar media inte tillåten.

Samtala:

Inte tillåtet via telefon vare sig internt eller externt.

Distribuera:

Får under inga omständigheter spridas internt/externt utan speciella skydds- åtgärder. Om informationen skickas externt ska endast godkända budfirmor användas, och mottagandet kvitteras av behörig person. Digital överföring endast via krypterad förbindelse. Överföring via fax är ej tillåtet.

E-posta:

Internt: måste krypteras. Verifiera mottagaren.

Externt: ej tillåtet.

Extern avtalspartner: endast via krypterad förbindelse, verifiera mottagaren.

Kasta:

Pappersutskrifter makuleras i papperstugg.

Digital information skrivs över med hjälp av speciellt program.

Begränsad och behovsstyrd åtkomst med stark autentisering.