Beslut Dm LiU-2010-01529 1(9)
Ledningssystem för Informationssäkerhet (LIS) vid Linköpings universitet
Inledning
Universitetsstyrelsen fastställde 2002-02-27 TT-strategi för Linköpings universitet. Där fastslås att tillämpningen av TT inom universitetet skall vara kostnadseffektivt säkert driftsäker och pålitlig. Detta dokument tar sin utgångspunkt i detta.
Arbetet med informationssäkerhetsarbetet på LiU syftar till att säkerställa att universitetets informationstillgångar har den konfidentialitet, riktighet och tillgänglighet som
verksamheten behöver. För att åstadkomma detta räcker det inte med enskilda tekniska åtgärder. Informationssäkerhetsarbetet utgår från ledningsnivån och omfattar alla verksamma på LiU, inklusive medarbetare och studenter.
I ett särskilt beslut, Informationssäkerhetspolicy, fastställs LiUs övergripande Informationssäkerhetspolicy och för LiU särskilt anpassade kontrollåtgärder.
Definitioner och termer
Nedan återfinns de termer och definitioner som används i LiUs Ledningssystem för informationssäkerhet samt Informationssäkerhetspolicy inklusive kontrollåtgärder.
Term Betydelse
Infonnationssäkerhet Bevarande av konfidentialitet, riktighet och tillgänglighet hos information (ISO 27002:2.5)
Konfidentialitet Egenskapen att information inte tillgängliggörs eller avslöjas till obehöriga individer, enheter, eller processer (ISO 27001:3.3) Riktighet Egenskapen att skydda exaktheten och fullständigheten
gällande [informations-]tillgångar (ISO 27001:3.8)
Tillgänglighet Egenskapen [för information] att vara åtkomlig och användbar vid begäran aven behörig enhet (ISO 27001:3.2)
Infonnationstillgång Informationstillgångar kan vara en eller flera av: information och informationsbehandlande system, programvara, fysiska tillgångar och hårdvara, tjänster, människor och immateriella tillgångar. (ISO 27002:7.1.1)
Linköpings universitet
Universitetsledningen
Kontrollåtgärd / Åtgärd för hantering av risk, innefattandes policyer, rutiner, säkerhetsåtgärd riktlinjer, förfaranden eller organisationsstrukturer vilka kan
vara av administrativ, teknisk, ledningsrnässig eller juridisk karaktär (ISO 27002 2.2)
Risk I detta dokument avses informationssäkerhetsrisk. En
informationssäkerhetsrisk definieras som potential att ett givet hot utnyttjar sårbarheter hos en informationstillgång eller grupp av informationstillgångar och därigenom orsakar skada för organisationen. (ISO 27005:2008 3.2)
Hot Potentiell orsak till en oönskad incident, vilken kan resultera i skada på ett system eller organisation. (ISO 27002:2005 2.16) Sårbarhet Svaghet gällande [informations-]tillgång eller grupp av
[informations-]tillgång, vilken kan utnyttjas av ett eller flera hot.
(ISO 27002:2005 2.17)
Riskanalys Systematisk användning av information för att kartlägga källor till, och för att uppskatta, risken. (ISO 27002:2005 2.10)
Riskbehandling Process för val och införande av åtgärder för att begränsa risk.
(ISO 27002:2005 2.14)
Processer
LiUs Ledningssystem för informationssäkerhet bygger på ISO 27001:2006, ISO 27002:2005, ISO 27005:2008 och www.informationssäkerhet.se.
Ledningssystemet för informationssäkerhet genomförs i stegen Planera, Genomföra, Utvärdera och Förbättra. Varje sådant steg består aven eller flera processer.
En eller flera informationstillgångar grupperas till ett objekt. Varje objekt
informationsklassificeras ur perspektiven konfidentialitet, riktighet och tillgänglighet i nivåerna allvarlig, betydande, måttlig och ingen/försumbar. Se bilaga 2
linköpings universitet
Dm LiU-201O-01529 3 (9)
Klassificeringskriterier. Den sammanvägda informationsklassificeringen är den högsta nivån som uppnåtts i något av de tre perspektiven.
Baserat på informationsklass väljs ut vilka objekt som skall riskanalyseras. Baserat på riskanalysen väljs ut vilka objekt för vilka riskbehandling krävs.
För alla objekt som får en sammanvägd informationsklassificering på betydande eller allvarlig skall en riskanalys genomföras. Därutöver skall dessa objektförvaltas i enlighet med LiUs beslutade objektförvaltningsmodell.
I riskanalysen skall hot mot utvalda informationstillgångar och sårbarheter som kan realisera hoten identifieras. För varje kombination av hot och sårbarhet skall sannolikheten för att de inträffar bedömas såväl som allvarlighetsgraden när de uppträtt. Därefter vägs sannolikhet och allvarlighet ihop, enligt bilaga 3. För de hot där den sammanvägda nivån blir högre än eller lika med hög skall en riskbehandling genomföras.
Utvalda risker enligt ovan måste behandlas på något av dessa fyra sätt:
Sätta in lämpliga kontrollåtgärder för att minska eller eliminera risken Medvetet och objektivt acceptera risken (under förutsättning att detta är förenligt med LiUs regler och kriterier för riskacceptans, se nedan) Undvika risken genom att inte tillåta aktiviteter som kan orsaka att risken uppkommer
Överföra risken till andra parter, t.ex. genom vitesbaserade kontrakt med extern part.
Baserat riskbeh"m(jjiJ:1g<:n revideras kontrollåtgärderna per
UrtiVl2rsitetsli2dl1ingen informeras med utgångspunkt i och granskningen ovan. Genomgången ligger till grund för de förbättringar som eventuellt måste vidtas inom ledningssystemet för informationssäkerhet, informationssäkerhetspolicyn med tillhörande kontrollåtgärder och andra styrande dokument.
linköpings universitet
Ledningssystemet för informationssäkerhet utgör ett av de riskområden som återfinns inom LiUs arbete med förordningen för intern styrning och kontroll (FISK).
Ansvar
Informationssäkerhetssamordnaren ansvarar för att
• Ta fram riktlinjer och mallar för genomförandet av inventering, riskanalys och riskbehandling.
• Kommunicera förbättringsåtgärder inom LiU för att öka medvetenheten om de åtgärder och förändringar som görs.
• Kommunicera resultatet från övervakning och granskning samt de risker som överstiger den sammanvägda informationsklassen på mycket hög till ansvarig för LiUs arbete med FISK.
Regler och kriterier för riskacceptans
För vissa risker kan riskbehandlingen komma att bli att medvetet och objektivt acceptera risken. Detta måste tydligt dokumenteras och rapporteras till
Informationssäkerhetssamordnaren. Detta får enbart ske i dessa fall:
• LiU kan inte påverka risken utan den har en tydligt extern påverkan.
• Om den årliga kostnaden för nödvändiga kontrollåtgärder överstiger den årliga kostnaden för utfallet för risken.
Detta beslut ersätter det tidigare beslutet Dm LiU 1686/02-14 och skall publiceras i LiUs regelverk.
I detta ärende har Rektor Mille Millnert beslutat efter föredragning av IT-direktör Joakim ejdeby.~
Xv:~:itv;J
Mille Millnert KopiatillUniversitetsledningen Fakulteterna
Institutionerna
Universitetsbiblioteket Universitetsförval tningen NSC
Intermevisionen
De lokala fackliga organisationerna Marie Ekström Lorentzon, LiU LES
Linköpings universitet
Beslut DmLiU-201O-01529
5 (9)
Bilaga 1. Klassificeringskriterier
Klassificering av informationstillgångar vid Linköpings universitet sker enligt "Modell för klassificering av information - Rekommendationer" utgiven av Myndigheten för
samhällskydd och beredskap (MSB). Vid användning av skall bedömning göras utifrån konsekvens för hela myndigheten Linköpings universitet. En informationstillgång som för en mindre verksamhet inom universitetet exempelvis kan ge "allvarlig" konsekvens vid brott mot konfidentialitet behöver inte ge en allvarlig konsekvens för myndigheten i helhet.
För att informationsklassning skall vara konsekvent ges förtydligande exempel på nästföljande sida. Syftet med dessa exempel är att ge en gemensam referensram kring de olika nivåerna.
Med påverkan på enskildindivid i nedanstående tabell menas personskada eller kränkning av individs rättighet.
TabelliTabellen nedan är hämtad från Modell för klassificering av information, MSB 0049-09.
Allvarlig I
Konfidentialitet
Information där förlust av konfidentialitet innebär allvarliglkatastrofal negativ påverkan på egen eller annan organisation och dess tillgållgar, ener enskild individ.
Information där förlust konfidentialitetinn,,,,h;;ir
på egen eller annan organisation och dess tillgångar, eller på enskild individ.
Riktighet
Information där förlust av riktighet innebär
allvarlig/katastrofal negativ påverkan på egen eller annan organisation och dess tlllgal1gar, eller enskild individ.
Information
Tillgänglighet
Information där förlust av tillgänglighet innebär allvarlig/katastrofal negativ påverkan på egen eller alman organisation och dess till;gårlgar, eller enskild individ.
egen ener annan organisation och dess tillgångar, eller på enskild.
Linköpings universitet
linköpings universitet
Allvarlig / katastrofal
Betydande
Dm LiU-2010-01529 7 (9)
.. Om händelsen medför att fler än 1000 studenter väljer att inte söka till LiD i första hand på grund av att utbildningen eller examen inte värderas lika högt som motsvarande examen vid andra lärosäten. Det kan vara faktiska händelser eller rykten om händelser.
.. Förfalskade studieresultat registreras i Ladok.
.. Om händelsen medför att forskningsfinansiärer (motsvarande över 100 miljoner kronor per år) väljer att inte medverka i forskningsprojekt vid LiD, då resultat från LiD inte skattas lika högt eller ifrågasätts mer än vid motsvarande lärosäten.
• Annan ekonomisk förlust, t.ex. vid stöld eller förskingring motsvarande över 100 miljoner kronor.
• Allvarlig negativ påverkan på individs rättighet eller liv och hälsa. T.ex. genom att röja en sk ddad identitet eller att händelsen leder till ersonskada/dödsfall.
• Om händelsen medför att fler än 100 studenter väljer att inte söka till LiD i första hand på grund av att utbildningen eller examen inte värderas lika högt som motsvarande examen vid andra lärosäten. Det kan vara faktiska händelser eller rykten om händelser.
.. Om händelsen medför att forskningsfinansiärer (motsvarande över 10 miljoner kronor per år) väljer att inte medverka i forskningsprojekt vid LiD, då resultat från LiD inte skattas lika högt eller ifrågasätts mer än vid motsvarande lärosäten.
.. Annan ekonomisk förlust, t.ex. vid stöld eller förskingring motsvarande över 10 miljoner kronor.
<Il Betydande negativ påverkan på individs rättighet eller liv och hälsa.
.. Om följden av händelsen kräver extra resurser i verksamheten (personal, utveckling, m'uk/hårdvara) för att hanteras.
• Om händelsen medför att forskningsfinansiärer (motsvarande över 1 miljon kronor per år) väljer att inte medverka i forskningsprojekt vid LiV, då resultat från LiV inte skattas lika
eller lärosäten.
kronor.
ton2gaencle tabelL
Linköpings universitet
Bilaga 2. Riskanalys
Riskanalysen skall genomföras enligt riktlinjer från informationssäkerhetssamordnaren.
För varje hot görs en bedömning av sannolikheten för att hotet mot den specifika
. f f fIl· k t ..d
m orma lOns l Lg;ang;en s a upplra a.
Nivå Exempel
Sannolik Inträffar i genomsnitt flera gånger varje år
Möjlig Inträffar i genomsnitt en gång per år
Mindre sannolik Inträffar i genomsnitt en gång var 10:e år
Osannolik Inträffar i genomsnitt en gång var 100:e år
För varje hot en bedömning av konsekvensen av hotet mot den specifika informationstill ån en när det har u trätt.
Nivå
AlIvajdiI! / katastrofal Allvarlig/katastrofalnc",,,h,, nävl2rl<:an på egen eller annan
orj:~alldsaltioinoch eller enskild InC:!IVlCL
linköpings universitet
Sannolikheten och konsekvensen förs in i denna tabell:
Dm LiU-201O-01529 9 (9)
Alla händelser som hamnar på nivåerna extremt hög, mycket hög och hög skall riskbehandlas.
linköpings universitet
