I anvisningen finns underlag som ger hjälp till att införa och upprätthålla lämplig nivå av säkerhetsåtgärder som relaterar till driftsäkerhet. Som ni kommer se är det fråga om en mix av arbetssätt, dokumentation, faktiska säkerhetsåtgärder och regler.

Allmänt om Anskaffning underhåll och förvaltning av system

Anskaffning underhåll och förvaltning av system handlar i huvudsak om följande delar:

  • Struktur för framtagning och uppföljning av informationssäkerhetskrav
    -i samband med nyanskaffning/nyutveckling eller förändring/vidareutveckling av informationssystem och applikationer
    -i syfte att upprätthålla skydd mot bedrägliga aktiviteter i publika applikationstjänster
    -i syfte att skydda transaktioner/information vid överföring via nätverk
  • I de fall man utövar utveckling av informationssystem
    -Upprätthålla metoder och arbetssätt som främjar säker utveckling
    -Upprätthålla en säker utvecklingsmiljö
    -Upprätthålla rutiner kring hur man hanterar ändringar i driftmiljö, ex. driftsätter en ny release.
    -Upprätthålla rutiner för att säkra att ändringar i driftmiljö inte får negativa konsekvenser för verksamhet eller säkerhet.

Dessa delar gäller som komplement till de regler som gäller vid upphandling angivna i upphandlingshandboken.

Dokumentation och arbetssätt

Analys och specifikation av informationssäkerhetskrav

När kraven på informationssäkerhet tas fram för ett nytt eller förändrat informationssystem (tjänst eller produkt), egenutvecklad eller anskaffad, bör hänsyn tas till:

  • klassificering av informationen systemet hanterar
  • resultat av riskanalys för applikationen
  • om informationssystemet innehåller personuppgiftsbehandlingar
  • vem som äger koden samt att säkra tillgången till densamma

Kravställningen bör dokumenteras.

Kraven styr sedan utvecklingen eller upphandlingen. Är det en egen utveckling sker detta internt i projekt eller motsvarande, och är det en upphandling med extern part sker detta i avtal med motparten.

Ställda krav följs upp genom verifiering att ställda krav är uppfyllda, innan informationssystemet tas i drift/produktionssätts. På Medarbetarwebben under fliken Råd och stöd står beskrivet att uppföljning av avtalade säkerhetskrav ska ske regelbundet. Detta möjliggörs genom att i avtal specificera att universitetet har rättighet att genomföra revision och granskning av den tillhandahållna tjänsten och hur väl leverantören uppfyller gällande och relevanta informationssäkerhetskrav.

I de fall extern part hanterar informationssystem som innehåller och behandlar personuppgifter, ska detta regleras och styras i ett personbiträdesavtal som tecknas med leverantören. Leverantören ska hantera personuppgifterna på ett säkert sätt och vidta de tekniska åtgärder som krävs för att skydda personuppgifterna.

  • Kontakta vid behov infosak@su.se för stöd i kravställningsprocessen.

Säkerställande av programtjänster på publika nätverk samt skydd av transaktioner

Även detta kan med fördel uppnås genom en strukturerad kravställning. Programtjänster och transaktioner är ofta en del av ett informationssystem vilket normalt sett gör att det per automatik omfattas i föregående kapitel. Hänsyn ska därmed tas till klassificering av informationen som programtjänsten kan ge tillgång till eller som transaktionerna består av samt resultat av riskanalys för tillämpningen.

För just publika programtjänster tillika transaktioner brukar säkerhetsåtgärder som bör kravställas vara till exempel nivå och metod för autentisering av klient, nivå och metod för autentisering av server, nivå och metod för kryptering av kommunikation.

Säker utveckling

I de fall som det förekommer systemutveckling inom verksamheten, bör regler upprättas för utveckling av program och system. Det kan också innefatta tillämpningar i Office-program, skript, webbläsare och databaser. Egenskaper som tillämpas för att erhålla säker utveckling ska framgå i en utvecklingsprocess vilken ligger till grund för hur ni bedriver utveckling.

För att bygga upp säkra tjänster, arkitekturer, program och system tänk på följande:

  • Sätt upp regler för säkerhet i utvecklingsmiljön
  • Säkerheten i utvecklingscykeln för program, säkerhet i utvecklingsmetodik och skapande av säker kod för varje programmeringsspråk som används
  • Säkerhetskrav i designfasen
  • Inför särskilda kontrollpunkter för säkerhet i samband med milstolpar inom projektet
  • Säkerhet i system för versionshantering och lagring av kod
  • Säkerhet i versionskontroll
  • Att det finns nödvändig kunskap om säkerhet för tillämpningar
  • Vilken förmåga utvecklarna har för att undvika, söka efter och korrigera sårbarhet

Använd säker teknik för programmering både för utveckling och för återanvändning av kod där normerna som tillämpats för utveckling kanske inte är kända eller inte var förenliga med gällande praxis.

Hur skapas och hanteras säker kod? Styrs utvecklingen av säker kod med tester och kodgranskning? Behöver utvecklare utbildas i skapande av säker kod?

Om utveckling läggs ut bör organisationen försäkra sig om att den externa parten uppfyller kraven för säker utveckling.

Mer information om risker finns att läsa i: OWASP top 10 The Ten Most Critical Web Application Security Risks

Rutin för ändringshantering inom utvecklingscykeln

Hämta gärna inspiration från ändringshanteringen i Anvisning för driftsäkerhet. Gör också tillägg för byggprocessen för de fall där fler personer har tillgång till, och kan förväntas ändra i, koden.

Testdata

Utvärdera behovet av säkerhet för testdata, om till exempel känslig produktionsdata kopieras för att användas i testmiljö stiger kraven på säkerhet i testmiljön. Här kan det bli aktuellt med både tekniskt skydd, åtkomstkontroll och sekretess hos en eventuell leverantör – se övriga anvisningar.

Om personer som genomför tester också ofta arbetar i produktionsmiljö finns risk för sammanblandning, och därmed för felaktig bearbetning av produktionsdata då testaren tror sig befinna sig i testmiljö. Överväg i dessa fall att tydligt markera testmiljön med till exempel en tydlig färg e.d.

Undvik i alla lägen att koppla testmiljöer till samma databaser som någon produktionsmiljö använder.