Revisorer Distribution
IR, Mats-Rune Hejenstedt RE, Katarina Norén*) Omegapoint AB, Hans Pettersson
Riksrevisionen, Anders Tormod
IT, Mathias Persson*) ICT, Jan Fahlén GD, Gunnar Malm E, Caroline Ottosson Riksrevisionen
*) Ansvarig för handlingsplanen
Revisionsrapport –
Informationssäkerhet
Internrevisionen 2011-09-30
TRV 2011/75924
Innehållsförteckning
1 Introduktion ... 4
1.1 Sammanfattning ... 4
1.2 Bakgrund ... 5
1.3 Omfattning ... 5
1.4 Generella kommentarer ... 6
2 Observationer och rekommendationer ... 7
2.1 Allmänt ... 7
2.2 Säkerhetspolicy ... 7
2.3 Organisation av informationssäkerheten ... 8
2.4 Personalresurser och säkerhet ... 9
2.5 Incidenthantering ... 10
2.6 Säkerhetskrav på leverantörer och underleverantörer ... 10
2.7 Åtkomst till IT-resurser och information ... 10
2.8 Kontinuitetshantering ... 11
Skapat av: Mats-Rune Hejenstedt Dokumenttyp: Rapport
4
TDOK 2010:270 Internrevisionsrapport v.1.0
1 Introduktion
1.1 Sammanfattning
Såsom ägare till ICT har det betydelse för Trafikverket hur ICT klarar kraven på informationssäkerhet i sina leveranser till alla kunder. Som Trafikverkets största leverantör av IT-drift har ICT även en viktig roll i att säkerställa att
Trafikverkets interna krav på informationssäkerhet klaras.
Syftet med revisionen har varit att bedöma om Trafikverket ICT säkerställer att kraven på en
säker
informationshantering klaras. Revisionen har utgått från kraven i ISO 27001,standard avseende ledningssystem för informationssäkerhet, då GD har beslutat att dessa ska vara integrerade i Trafikverketsledningssystem. Detta har kompletterats med krav på informationssäkerhet som Trafikverket som ägare och kund ställer på ICT.
Revisionen har omfattat Trafikverket ICT:s verksamhet. Då ICT beslutat att certifiera sig avseende standarden för den del av verksamheten som avser transmissionstjänster har revisionen i första hand omfattat denna del av ICT:s verksamhet men övergripande även övriga delar av ICT:s verksamhet.
Generellt finns inom ICT en hög medvetenhet om och ambition att klara kundens krav på tillgänglighet samt järnvägssektorns höga krav på säkerhet.
Införandet av ett ledningssystem för informationssäkerhet, som beaktar alla aspekter av informationssäkerhet, sker parallellt med att ett nytt generellt ledningssystem/verksamhetssystem håller på att införas för Trafikverket ICT och tillgängliggöras via en portal i intranätet. Vid granskningstillfället återstod för båda en stor del av arbetet med att göra ledningssystemet känt och att tillfullo implementera det.
Revisionens mest väsentliga observationer
Observation # Rekommendation Ansvar
Det råder otydlighet inom ICT inom området
informationssäkerhet främst med avseende på roller, uppgifter mandat och gränser mot andra organisationsenheter. Det finns även brister i uppföljningen av styrande dokument inom
informationssäkerhets- området.
1 Säkerställ att ansvar och uppgifter är beslutade och kända i
organisationen.
cIT cR
5 Säkerställ att det äger rum och dokumenteras regelbunden uppföljning av hur
informationssäkerhetspolicyn följs
cIT cR
1.2 Bakgrund
Enligt den av styrelsen fastställda revisionsplanen för 2011 ska Trafikverkets informationssäkerhet granskas. Internrevisionen har valt att inrikta revisionen mot ICT:s verksamhet. Revisionens inriktning har preciserats efter diskussioner med centrala funktionen IT och ICT.
Såsom ägare till ICT har det betydelse för Trafikverket hur ICT klarar kraven på informationssäkerhet i sina leveranser till alla kunder. Som Trafikverkets största leverantör av IT-drift har ICT även en viktig roll i att säkerställa att
Trafikverkets interna krav på informationssäkerhet klaras. Trafikverkets krav framgår av det ramavtal som slutits med ICT samt av de Riktlinjer som fastställts av chefen för CF IT.
GD har beslutat att kraven på ledningssystem för informationssäkerhet enligt ISO27001:2006 ska vara integrerade i Trafikverkets ledningssystem. Detta stämmer överens med de krav som Myndigheten för samhällsskydd och
beredskap ställer på statliga myndigheter i MSBFS 2009:10. Enligt dessa ska
en myndighet i sitt arbete med att upprätthålla säkerhet i sin informationshantering tillämpa ett ledningssystem för informationssäkerhet.
Myndighetens arbete ska vidare bedrivas i former enligt etablerade svenska standarder förinformationssäkerhet, det vill säga enligt kraven i SS-ISO/IEC 27001: 2006 och enligt riktlinjerna i SS-ISO/IEC 27002:2005.
ICT har gått ett steg längre och ska även certifiera sig avseende standarden för den del av verksamheten som avser transmissionstjänster.
1.3 Omfattning
Syftet har varit att bedöma om Trafikverket ICT säkerställer att kraven på en
säker
informationshantering klaras.De övergripande revisionsfrågorna har formulerats som:
-Hur säkerställer ICT att man uppfyller kraven i ISO 27001,standard avseende ledningssystem för informationssäkerhet.
- Hur säkerställer Trafikverket ICT att man uppfyller de krav på
informationssäkerhet som Trafikverket som ägare och kund ställer på ICT.
Revisionen har fokuserat på tre aspekter av standarden (Säkerhetspolicy, Organisation av informationssäkerheten samt Personalresurser och säkerhet) och fem områden av Trafikverkets krav (Incidenthantering, Säkerhetskrav på underleverantörer, Åtkomst till IT-resurser och information samt
Kontinuitetshantering).
För vart och ett av dessa områden finns underfrågor. Dessa återfinns i det granskningsprogram som tagits fram för revisionen.
Revisionen har omfattat Trafikverket ICT:s verksamhet. Revisionen har i första hand omfattat ICT:s transmissionstjänster men övergripande även övriga delar av ICT:s verksamhet.
6
TDOK 2010:270 Internrevisionsrapport v.1.0
De förvaltningsansvarigas roll i arbetet med informationssäkerhet har inte granskats i denna revision. Implementering och tillämpning av
förvaltningsstyrningsmodellen och projektstyrningsmodellen har berörts i andra revisioner under år 2011.
Revisionen har genomförts utifrån standard för ledningssystem för
informationssäkerhet samt utifrån Trafikverkets och ICT:s styrande dokument såsom policydokument, rutiner, ramavtal mellan Trafikverket och Trafikverket ICT. Revisionen har även utgått från andra dokument som tagits fram i arbetet med ICT:s certifiering. Inom ramen för revisionen har intervjuer genomförts med ett tjugotal personer inom ICT. Urvalet omfattar i första hand personer som vi bedömer har stor betydelse för att ledningssystemet för informationssäkerhet tillämpas. Urvalet omfattar i första hand personer med chefsansvar,
processansvar eller som har speciellt ansvar avseende informationssäkerhet samt att personerna direkt eller genom sitt övergripande ansvar är berörda av arbetet med leveransen av transmissionstjänster.
Revisionen har genomförts enligt den revisionssed och metodik som beskrivs i aktuell version av Internrevisionshandboken som gäller för Internrevisionen (IR) inom Trafikverket.
1.4 Generella kommentarer
Generellt finns en hög medvetenhet om och ambition att klara kundens krav på tillgänglighet samt järnvägssektorns höga krav på säkerhet.
Alla intervjuade upplevs vilja göra ett bra jobb. En stor andel av de intervjuade var relativt nya i sin nuvarande roll och några befann sig delvis i ett skede av introduktion till/etablering för den nya rollen.
Införandet av ett ledningssystem för informationssäkerhet, som beaktar alla aspekter av informationssäkerhet, sker parallellt med att ett nytt generellt ledningssystem/verksamhetssystem håller på att införas för Trafikverket ICT och tillgängliggöras via en portal i intranätet. Vid granskningstillfället återstod för båda en stor del av arbetet med att göra ledningssystemet känt och att tillfullo implementera det.
Alla intervjuade har varit tillmötesgående och aktivt bidragit till att underlätta arbetet med revisionen.
Borlänge den 30 september 2011
Mats-Rune Hejenstedt Peter Funck
Revisionsledare Internrevisionschef
2 Observationer och rekommendationer
Enligt revisionslagets bedömning finns följande observationer och
rekommendationer. Vi har grupperat dem i områden som följer indelningen i bilaga A till svensk standard för ledningssystem för informationssäkerhet, ISO27001:2006, samt indelningen i den bilaga till Trafikverkets Riktlinje
Informationssäkerhet i Trafikverket, TDOK 2011:175 som anger ”krav riktade till IT-driftleverantör”, TDOK 2011:177.
2.1 Allmänt
Observation # Rekommendation Ansvar
Flera av de intervjuade känner viss otydlighet om egen roll, eget mandat och gränser mot andra vad avser informationssäkerhetsarbetet.
1 Säkerställ att ansvar och uppgifter är beslutade och kända i
organisationen.
cR
Enligt uppgift finns det ingen intern arbetsordning inom ICT.
2.2 Säkerhetspolicy
Benämningen säkerhetspolicy används här som en sammanfattande benämning på ICT:s och Trafikverkets övergripande styrande dokument inom området informationssäkerhet. En intervjuad påpekade att bestämmelserna i ICT:s policydokument inte motiveras, t ex av en dimensionerande hotbild. Från pedagogisk synpunkt kan det vara lämpligt att de hotbilder och regelverk som motiverar policies redovisas i lämplig form i eller i anslutning till dokumenten.
Observation # Rekommendation Ansvar
Några av de intervjuade uppger att de har sett och läst Trafikverkets och ICT:s informationssäkerhets- policydokument i olika faser av deras utveckling.
Kunskapen om innehållet i dokumenten är generellt låg.
Några ansåg att dokumenten inte gjorts kända i
organisationen.
2 Peka ut de personer/roller som måste känna till
informationssäkerhetspolicyns innehåll i detalj och säkerställ att de har erforderlig kunskap.
cR
Det var oklart för de flesta hur policyerna påverkar – eller borde påverka – det egna arbetet.
3 Säkerställ att rutiner och
processer tar erforderlig hänsyn till beslutade policies.
cR
8
TDOK 2010:270 Internrevisionsrapport v.1.0
Observation # Rekommendation Ansvar
Generellt var de intervjuade väl medvetna om behovet av att säkerställa tillgänglighet och i viss utsträckning även sekretess för kundrelaterad information. Däremot var medvetenheten om riktighets- och
spårbarhetsaspekter vid informationshantering lägre, liksom medvetenheten om behovet av
informationssäkerhet för intern information.
4 Säkerställ att regelbunden utbildning och information i informationssäkerhet genomförs.
cR
Ingen av de intervjuade hade kunskap om eventuell
uppföljning av hur policyerna följs.
5 Säkerställ att regelbunden uppföljning av hur
informationssäkerhetspolicyn följs äger rum och dokumenteras.
cR
2.3 Organisation av informationssäkerheten
Observation # Rekommendation Ansvar
De intervjuade ger en av två principiellt olika bilder av hur ansvaret för
informationssäkerheten är distribuerat. Den ena bilden, främst representerad av högre chefspersoner, är att ansvaret för informationssäkerheten är distribuerat och följer annat ansvar. Den andra bilden är att informationssäkerhetsansvaret åvilar utpekade
befattningshavare, t ex säkerhetschefen. I något fall utpekas kunden eller den kundansvarige som
informationssäkerhetsansvarig.
6 Säkerställ att ansvar och uppgifter avseende informationssäkerhet är beslutade och kända i organisationen.
cR
Enligt uppgift finns inga
säkerhetsaspekter medtagna på styrkorten.
7 Säkerställ att
informationssäkerhetsarbetet är tillfredsställande planerat
cR
Observation # Rekommendation Ansvar Flera uppger att det inte sker
någon systematisk uppföljning av informationssäkerhetsarbetet.
och följs upp regelbundet.
2.4 Personalresurser och säkerhet
Observation # Rekommendation Ansvar
Flera intervjuade påpekar att de introduktionsaktiviteter som tidigare fanns inte längre
förekommer och inte ersatts av nya.
8 Säkerställ att regelbunden utbildning och
information i
informationssäkerhet genomförs med utgångspunkt i Trafikverkets
gemensamma rutiner.
cR
I samband med
anställning/uppdragsstart genomförs registerkontroll och andra motsvarande kontroller för säkerhetsklassade
befattningar/uppdrag. För övrigt förekommer enligt uppgift inga specifika
informationssäkerhetskontroller innan anställning/uppdragsstart.
9 Säkerställ att erforderliga informationssäkerhets- kontroller genomförs före, under och efter
anställning/uppdrag.
cR
Systematisk uppföljning av anställda/uppdragstagare från informationssäkerhetssynpunkt under anställningens/uppdragets gång förekommer enligt uppgift inte.
Ingen av de intervjuade hade kännedom om några systematiska informationssäkerhetsrelaterade aktiviteter i samband med
anställnings/uppdrags upphörande.
10
TDOK 2010:270 Internrevisionsrapport v.1.0
2.5 Incidenthantering
IT-relaterade incidenter, främst kundrelaterade, hanteras enligt ITIL- processen Incident Management. Medvetenheten om processen är hög.
Observation # Rekommendation Ansvar
Övriga incidenter och IT- incidenter som inte är kundrelaterade, inklusive
”säkerhetsincidenter”, hanteras i regel utanför Incident
Management-processen, antingen i andra processer eller ad hoc. Det är oklart på vilket sätt dessa incidenter syns i rapporteringen.
10 Säkerställ att likvärdig och samordnad hantering och rapportering av alla typer av incidenter sker.
cR
2.6 Säkerhetskrav på leverantörer och underleverantörer
Observation # Rekommendation Ansvar
Den generella bild som
intervjuerna ger är att det inte säkerställs att alla för uppdragen relevanta
informationssäkerhetskrav är dokumenterade i upphandlings- underlag och/eller avtal.
11 Säkerställ att erforderliga krav avseende
informationssäkerhet dokumenteras i
upphandlingsunderlag och avtal.
cR
Ingen intervjuad kände till om det görs regelbunden uppföljning av att informations-
säkerhetskraven uppfylls under uppdragets gång.
12 Säkerställ att erforderliga informationssäkerhets- kontroller genomförs före, under och efter uppdrag.
cR
2.7 Åtkomst till IT-resurser och information
ICTs ambition är att gå mot rollbaserad behörighetskontroll. Arbete pågår.
Observation # Rekommendation Ansvar
Den generella bilden från
intervjuerna är att det inom ICT är lätt att få de behörigheter man behöver, även högre behörigheter och administratörsbehörigheter – kanske för lätt – och att det inte sker någon systematisk rensning av behörigheter man inte behöver.
13 Säkerställ att det finns och används en behovsbaserad process för tilldelning, ändring och borttag av behörigheter vid inledning, förändring respektive avslut av anställning/uppdrag.
cR
Observation # Rekommendation Ansvar Enligt uppgift saknas regler för hur
vissa behörigheter får tilldelas, t ex behörighet till andras personliga mappar och e-postkonton. Det verkar inte finnas någon systematisk process för hur behörighetsregler beslutas och dokumenteras.
14 Säkerställ att en
systematisk process för ICT:s beslut och
dokumentation av behörighetsregler finns och följs.
cR
15 Överväg att tilldela befogenheter för beslut om behörighet i de fall specifika regler inte beslutats.
cR
I praktiken kan chefer inte få komplett information om vilka behörigheter anställda har.
ARTUR innehåller
tilldelningsbeslut, inte faktiskt resultat av besluten, och omfattar inte alla former av behörighet.
16 Överväg att genomföra periodisk kartläggning och gallring av faktiska
behörigheter.
cR
Intervjuerna gav en oklar bild av hur regelverket för åtkomst till och skydd av fysiskt lagrad information (på papper etc) är uppbyggt, tillämpas och kontrolleras.
17 Säkerställ att tillfredsställande
åtkomstkontroll för fysiska dokument är etablerad.
cR
2.8 Kontinuitetshantering
Det pågår uppbyggnad av redundans för stödsystemen för NOC/SOC, men reservarbetsplatser saknas för närvarande. Förslag finns. Beslut avvaktas.
Observation # Rekommendation Ansvar
Intervjuerna ger vid handen att det finns rutiner för att hantera de flesta avbrotts- situationer, men att det generellt saknas
alternativplaner för de processer som drabbas av avbrott i produktionen.
18 Säkerställ att erforderliga alternativplaner finns och fungerar.
cR