RÅD – SÄKERSTÄLLANDE AV PROGRAM (APPAR) FÖR SMARTA MOBILER/SURFPLATTOR
Detta dokument gäller för
Förvaltningar, bolag och andra organisationer där Göteborgs Stad har avgörande ägarinflytande.
Dokumenttyp Råd
Fastställd/upprättad 2013-04-22
Beslutande -
Giltighetstid Tillsvidare
Dokumentansvarig Informationssäkerhetschef Dokumentinformation
Rekommendationer (ej tvingande) för hur man i verksamheten bör hantera program (s k appar) för smarta mobiler/surfplattor
Senast reviderad 2016-02-13 Version 1.4
Råd – säkerställande av program (appar) för smarta mobiler/surfplattor
Syfte
Dessa råd syftar till att beskriva vad verksamheter säkerhetsmässigt som minimum behöver tänka på när man vill nyttja program (s k appar) för smarta
mobiler/surfplattor.
Inledning
Allt fler verksamheter överväger att använda sig av på marknaden tillgängliga program (s k appar) för smarta mobiler/surfplattor.
En app kan beskrivas som ett program med en specifik uppgift som ofta nyttjar någon central lagrings- eller konfigurationsfunktion som finns på internet, internt i staden etc. Appar kan nyttja uppgifter som hämtas ute på internet men även uppgifter från den egna mobilen/surfplattan såsom telefonboken, platsinformation om var man befinner sig, bilder, information som hanteras i själva appen (t ex information som ägs av staden) etc. Denna typ av information kan också i vissa fall samlas in och hämtas av app-tillverkaren.
Lagar och andra styrande dokument ställer krav på hur man i staden ska hantera information eller utföra vissa arbetsuppgifter. Kraven gäller även när man nyttjar en app.
Hanteringsgång
Steg 1
När man vill använda sig av en app för att hantera stadens information eller utföra arbetsuppgifter är det tre frågeställningar som man initialt måste reda ut och kunna svara på:
1) Hanteras personuppgifter?
2) Hanteras allmänna handlingar?
3) Hanteras information som stöds av ett kommungemensamt system- /tjänsteområde?
Om någon av ovanstående frågor besvaras med ett ”Ja” - se motsvarande avsnitt i råden nedan.
Steg 2
Som nästa steg behöver man reda ut och svara på följande frågeställningar:
4) Vem är ägare till informationen?
5) Hur har ägaren klassat informationen?
Beroende på vilken klass informationen tillhör så gäller olika säkerhetskrav vilka finns beskrivna i de olika avsnitten i råden nedan.
Steg 3
Utifrån svaren från ovanstående fem frågor behöver man sedan syna villkoren för appen. Vad man speciellt behöver vara uppmärksam på finns beskrivet i ett specifikt avsnitt i råden nedan.
Steg 4
Det avslutande och avgörande steget innan man kan nyttja den tilltänkta appen är att få ett godkännande från informationsägaren. Det underlag man tagit fram utifrån dessa råd bör förevisas informationsägaren innan beslut.
Råd
Krav vid hantering av information med personuppgifter
Den verksamhet som använder sig av en app för att hantera personuppgifter är personuppgiftsansvarig för behandlingen även om den utförs av leverantören eller dess underleverantörer. Leverantören, och alla dess underleverantörer som anlitas för behandlingen, är personuppgiftsbiträde. Det är den personuppgiftsansvarige som ansvarar för att personuppgiftshantering uppfyller såväl verksamhetens krav som lagkrav.
Det den personuppgiftsansvarige behöver säkerställa är bl a att
Personuppgifter inte kommer att behandlas för andra ändamål än de ursprungliga
En eventuell överföring av personuppgifter till ett land utanför EU/EES har stöd i personuppgiftslagen
Se till att ett personuppgiftsbiträdesavtal upprättas med leverantören
Bedöma vilka säkerhetsåtgärder som måste vidtas för att skydda de personuppgifter som behandlas
För den sista punkten om säkerhetsåtgärder gäller följande
Om man i appen hanterar personuppgifter så gäller samma säkerhetskrav som för information klassad i nivå 1 (se nedan)
Om man hanterar känsliga personuppgifter gäller samma säkerhetskrav som för information klassad i nivå 2 avseende konfidentialitet och riktighet (se nedan).
Krav vid hantering av allmänna handlingar
Om informationen som hanteras/lagras med appen innefattar allmänna handlingar måste verksamheten kunna säkerställa att informationen är tillgänglig för att lämnas ut om någon begär det. Offentlighets- och sekretesslagen tydliggör att alla
myndigheter ska ha en god ordning och struktur för sina allmänna handlingar.
Hanteras allmänna handlingar ska appen minst uppfylla säkerhetskraven enligt nivå 1 (se avsnitt nedan).
Hanteras information som är klassad i nivå 2 gäller säkerhetskrav enligt nivå 2 (se nedan).
Om appen används som enda lagringsställe för allmänna handlingar måste tjänsten granskas så att driftavbrott eller förändringar i tjänsten inte medför att handlingar går förlorade eller blir otillgängliga under en oacceptabel lång tid.
Tjänsten måste klara av gallring1 samt att detta verkligen innebär att
informationen då tas bort (för tjänster som är utvecklade för den amerikanska marknaden är det vanligt med den omvända principen, att lagrad information inte ska kunna tas bort).
Det måste också finnas möjlighet att kunna arkivera2 information som behöver bevaras. För information kring arkivering och gallring hänvisas till
verksamhetens dokumenthanteringsplan.
Krav på app som agerar inom kommungemensamt system-/tjänsteområde Kommunstyrelsen beslutar om vilka tjänster som ska vara kommungemensamma.
Den som har för avsikt att använda en app som agerar inom ett kommungemensamt tjänsteområde måste därför göra en avstämning med respektive tjänsteansvarig innan en eventuell användning.
Säkerhetskrav för app som hanterar information klassad i nivå 0
För denna typ av information ställs inga direkta säkerhetskrav. Nyttjande av app kan ske utan specifika krav på tjänsten eller leverantören. Det är dock inte troligt att informationen som hanteras i en app kan hamna i denna nivå eftersom leverantören som minimum hanterar användarinformation som är personuppgifter vilket innebär att säkerheten som minst ska motsvara stadens grundsäkerhetsnivå (se kraven nedan).
Säkerhetskrav för app som hanterar information klassad i nivå 1
Användare av app ska följa ” Regler för IT-användare i Göteborgs Stad”.
Funktion motsvarande ”tvingande lösenord” ska vara aktiverad för åtkomst till app och den information som hanteras.
Hemliga nycklar och/eller lösenord ska inte vara hårdkodad i app
1 För information kring gallring hänvisas till verksamhetens dokumenthanteringsplan.
2 För information kring arkivering hänvisas till verksamhetens dokumenthanteringsplan.
Känsliga uppgifter såsom hemliga nycklar och/eller lösenord ska lagras krypterat
Hemliga nycklar och/eller lösenord ska aldrig loggas
Vid inaktivitet krävs ny autentisering efter 10 minuter.
Efter fem misslyckade inloggningsförsök ska all information som hanteras av app raderas, inkluderar även inställningarna för åtkomst till centrala funktioner.
Säkerställande av app ska ske genom s k ”sandbox” princip. Detta innebär att appen körs på ett sådant sätt att den inte kan påverka (eller påverkas av) andra appar, program, filer eller operativsystem utan bara läsa och skriva i ett eget avgränsat minnesutrymme.
Appens behörighet/resurstillgång ska begränsas till vad appen måste ha för att fungera
App ska upptäcka om operativsystemet blivit manipulerat (jailbreak, rooting etc) och i dessa fall inte kunna användas
App ska vara kontrollerad av staden eller en oberoende part. Innebär att man på en rimlig nivå kan verifiera att villkor, tekniska specifikationer, säkerhetskrav etc uppfylls.
Vid utbyte av information med andra funktioner eller IT-lösningar i staden ska kontroll av skadlig kod ske.
Om appen använder sig av någon central lagrings- eller konfigurationsfunktion t ex på internet för hantering av information gäller följande för den funktionen:
Säkerheten som upprätthålls ska minst motsvara stadens grundsäkerhetsnivå (se
”Riktlinjer för informationssäkerhet i Göteborgs Stad” samt ” Regler gällande driftsdokumentation för IT-baserade informationssystem”). Säkerheten ska vara verifierad av staden eller en oberoende part.
Leverantörens säkerhetsarbete ska bedrivas enligt etablerade standarder på området.
Stadens information bör vara krypterad både i ”vila” och vid kommunikation.
Säkerhetskrav för app som hanterar information klassad i nivå 2 Tillkommande krav utöver det som nämnts för nivå 1.
Stark autentisering av användare krävs för åtkomst till app och den information som hanteras vilket innebär att kontrollen av uppgiven identitet ska ske på minst två olika sätt såsom något du kan och något du har. Kravet gäller för åtkomst till information/funktion som klassats i nivå 2 avseende konfidentialitet och
riktighet. Stark autentisering ska vara i nivå med LoA3 enligt standarden ISO/IEC 29115:2013.
Utöver användarautentisering ska även servern omvänt autentisera sig mot klienten/appen
Om SSL/TLS-certifikat används för att säkerställa kommunikationen ska dessa certifikat valideras innan användning
Information klassad i nivå 2 avseende konfidentialitet och riktighet som hanteras av app ska vara krypterad3 både i ”vila” och vid kommunikation.
3 De kryptografiska funktionerna bör ligga i nivå med nationellt godkända kryptografiska funktioner såsom SITHS och KSU. Krypteringen ska som minst ligga i nivå med AES-128.
Krypteringsnycklar ska härledas från dynamiska värden såsom användarens lösenord
Appen ska förhindra läckage av information via multikörningsfunktioner såsom Autosnapshot för Apple iOS
Appen ska inte tillåta lagring, delning eller inklistring av information på flyttbara eller delade medier såsom Micro SD-kort, delade mappar, sociala medier etc om inte dessa är säkerställda, kontrollerade och övervakade
Data som finns i cache-minne ska raderas när app avslutas eller avbryts
Krasch- och felsökningsloggar får inte innehålla information som klassats i nivå 2 avseende konfidentialitet
Om appen använder sig av någon central lagrings- eller konfigurationsfunktion t ex på internet för hantering av information gäller följande för den funktionen
(tillkommande krav utöver det som nämnts för nivå 1):
Stark autentisering krävs för åtkomst till funktion och information. Kravet gäller för säkerställande av konfidentialitet och riktighet.
Informationen som hanteras ska vara krypterad4 både i ”vila” och vid
kommunikation, inkluderar även säkerhetskopieringar och loggar. Kravet gäller för säkerställande av konfidentialitet och riktighet.
Informationen som hanteras ska kunna signeras5. En elektronisk signatur styrker att den som skrivit under är den som han eller hon påstår sig vara samt att informationen inte har förvanskats. Kravet gäller för säkerställande av informationens riktighet.
Granulerad åtkomstkontroll dvs åtkomstkontroll till information ska ske med stor urskiljning. Kravet gäller för säkerställande av konfidentialitet och riktighet.
Granulerad övervakning och loggning. Monitorering, dokumentering och analys av händelser ska vara så detaljerad att den kan användas för att signalera samt utreda felaktig eller obehörig användning av information eller funktion.
Lagringstid för loggar ska uppfylla tillämpliga lagkrav t ex tio år enligt patientdatalagen om det rör sig om hantering av patientdata. Loggar ska ha konfidentialitets- och riktighetsskydd enligt nivå 2.
Katastrofplanering (disaster recovery). Den centrala lagrings-/
konfigurationsfunktionen ska kunna upprätthålla en acceptabel servicenivå även vid extraordinära händelser. Lösningen ska vid varje givet tillfälle kunna
uppfylla verksamhetens krav på tid för återstart och accepterad dataförlust.
Kravet gäller för säkerställande av tillgänglighet enligt nivå 2.
Om appen används och stödjer kontinuerlig och kritisk verksamhet där avbrott kan medföra allvarlig skada för egen eller annan organisations verksamhet eller för enskild person gäller följande
Kontinuitetsplanering ska vara implementerad för området som appen används i så att verksamhetens tillgång till informationen som hanteras via appen är säkerställd oavsett om appen/tekniken fungerar eller ej. Kravet gäller för säkerställande av information klassad i nivå 2 avseende tillgänglighet.
4 De kryptografiska funktionerna bör ligga i nivå med nationellt godkända kryptografiska funktioner såsom SITHS och KSU. Krypteringen ska som minst ligga i nivå med AES-128
5 Signeringsfunktionen bör ligga i nivå med nationellt godkända signeringsfunktioner såsom SITHS
Kontrollera villkoren för appen
Man bör noggrant sätta sig in i de erbjudna villkoren och se om dessa motsvarar den egna verksamhetens krav och behov på informationen. Det är speciellt viktigt att vara uppmärksam att följande områden är beskrivna/reglerade på ett för
verksamheten acceptabelt sätt
Att informationshanteringen säkras för konfidentialitet, riktighet och tillgänglighet i enlighet med ställda krav (se tidigare avsnitt)
Att staden äger sin information
Att tillgång till information endast ges till dem som staden beslutar om
Att tillgången till stadens information begränsas till de personer hos leverantören som behöver åtkomst till data för att kunna utföra sina arbetsuppgifter
Att leverantören ska förvara stadens information avskild från övriga kunders information
Att reglera om stadens information får/inte får lämnas ut till tredje man eller användas/ej användas av leverantören för andra ändamål än att leverera tjänsten
Att reglera på vilket sätt leverantören får övervaka och hantera information om stadens användare samt i så fall hur den informationen ska hanteras (får den spridas vidare t ex). Är det personuppgifter ska utgångspunkten vara att leverantören ska följa lagkraven för personuppgiftshanteringen
Att det ges möjligheter till säkerhetsrevision som genomförs av staden och/eller av tredje part
Att reglera vem som ska ansvara för förlust av data vid t ex tekniska fel, stöld av data eller intrång (det är inte ovanligt med skrivningar om att förlust av data är att anse som indirekt skada som är undantagen från leverantörens ansvar).
Att reglera vilka skyldigheter leverantören har vid flytt av information till annan leverantör eller tillbaka till staden (hur detta ska ske och om leverantören ska förstöra eller anonymisera annan information som inte återgår till staden) samt när dessa skyldigheter aktualiseras t ex vid upphörande av hela eller del av avtalet
Att reglera immateriella rättigheter såsom licenser
Att reglera hur uppföljning och rapportering sker t ex gällande incidenter
Att svensk lag gäller för tvistelösning