Anvisningens syfte

Syftet med anvisningen är att stödja institutionerna att implementera säkerhetsåtgärder i enlighet med Riktlinjer för informationssäkerhet vid Stockholms universitet.

I anvisningen finns underlag som ger hjälp till att införa och upprätthålla lämplig nivå av säkerhetsåtgärder som relaterar till driftsäkerhet. Som ni kommer se är det fråga om en mix av arbetssätt, dokumentation och faktiska säkerhetsåtgärder.

Allmänt om driftsäkerhet

Driftsäkerhet handlar om att säkerställa en korrekt och säker drift av informationsbehandlingsresurser (IT-infrastruktur). En lämplig nivå av dokumentation av infrastrukturens implementation/design, dimensionering och implementation av lämpliga säkerhetsåtgärder, etablerade rutiner och regler samt arbetssätt ger ett stöd i att nå/upprätthålla detta mål.

Dokumentation och arbetssätt

Dokumenterade underlag och driftsrutiner

Syftena med dokumenterade driftrutiner är flera. Gemensamma egenskaper som denna typ av dokumentation ska uppfylla är dock att den ska främja kvalitet och effektivitet både i den löpande driften och i problemsituationer samt underlätta kunskapsöverföring och därmed minska nyckelpersonsberoende. 

Observera att dokumentation inte uteslutande behöver upprättas i form av traditionella dokument. Delar av den kan med fördel realiseras i ett övervaknings- eller managementsystem, vilka i regel har fördelen att de speglar det verkliga nuläget. Ett målande exempel är dokumentation av nätverk. Detta kan med fördel utgöras av innehåll i ett managementsystem.

För att upprätthålla en säker hantering av IT-infrastruktur ska det i tillräcklig omfattning finnas underlag som beskriver följande:

  • Befintliga systems, och tillhörande infrastrukturs, arkitektur i form av systemdokumentation eller motsvarande. 
    • Denna typ av dokumentation ska exempelvis främja syftet att underlätta för personal att snabbt förstå systems/nätverks/applikationers samband eller förmedla samband till annan part.
  • Installationsguider för typiska infrastrukturkomponenter, ex operativsystem, databashanterare, nätverkskomponenter.
    • Denna typ av dokumentation ska exempelvis främja syftet att infrastrukturens konfiguration (både funktionellt och säkerhetsmässigt) utformas som avsett, oavsett vem som realiserar den.
  • Rutiner för periodiska kontroller
    • Exempelvis rutiner för att kontrollera tjänsters status, verifiera att automatiserade jobb körts, kontrollera att tillstånd i lokaler och infrastruktur.
  • Eventuella supportavtal och kontaktuppgifter för att tillämpa dem.
    • Syftar till att underlätta för avsedd personal att nyttja avtalen.
  • Rutiner för destruktion av datamedia vid ex. avveckling av utrustning
    • Syftar till att säkra insamling av media samt överskrivning/destruktion av dito, för att förhindra att information kan läsas eller återskapas.

Utöver dessa finns krav på dokumentation i kapitlet säkerhetsåtgärder.

Grad och omfattning av dokumentationen avgörs av faktorer som komplexitet i infrastruktur, aktuell bemanning, krav på tillgänglighet eller konfidentialitet (informationstillgångarnas klassificering) etc. 

Process/rutin för ändringshantering

Syftet med detta är att erhålla en god kontroll över planering/genomförande samt en spårbarhet av ändringar i IT-infrastrukturen.

Ändringar kan vara t. ex. byte av hårdvara, uppdatering eller nyinstallation av operativsystem eller programvara, utökning av en logisk diskvolym, skapande av ett nytt användarkonto, justering av regelverk i brandvägg, ändring av routing i nätverket. Med andra ord olika typer av aktiviteter som innebär en förändring av IT-infrastrukturen.

En process för ändringshantering bör med fördel stödja följande egenskaper:

  • Hur ändringen (ärendet) ska dokumenteras (ärendet bör innehålla resultatet av samtliga punkter nedan.)
  • Beredning av ändringen.
    • Plan för genomförande
    • Hur verifiering ska ske att ändringen lyckats.
    • Hur ändringen ska kunna backas om den misslyckas
  • Tilldelning av vem som ska utföra ändringen samt dess planering i tid.
  • Godkännande att ändringen får genomföras (ev. enbart ändringar av viss dignitet).
  • Kommunikation till berörda inför, under och efter ändringen.
  • Uppdatering av berörd dokumentation med vad den utförda ändringen innebär.

Process/rutin för incident- och problemhantering

En dokumenterad och kommunicerad rutin för rapportering och hantering av incidenter och problem bör tas fram och kopplas samman med den centrala rutinen för incidentrapportering.

En incidentrutin kan med fördel innehålla

  • En incidentansvarig som
    • Tar emot ärenden
    • Prioriterar och hanterar ärenden
    • Vid behov eskalerar ärenden
    • Rapporterar ärenden vidare
  • En rapporteringsmall
    • Kontaktuppgifter till incidentansvarig
    • Rapportör
    • Symptom
    • Ev. felmeddelanden
    • Tidpunkt för upptäckt
    • Vilka system/informationsmängder har påverkats
  • En beskrivning av processen och vad som ska ske i varje steg
  • En eskaleringstrappa
  • Inom vilken tid är det rimligt att ett ärende löses?
  • I vilken ordning ska ärendet eskaleras om det inte löses inom rimlig tid?

 

Samtliga incidenter ska rapporteras till infosak@su.se

Säkerhetsåtgärder

Denna del av anvisningen talar om ett antal säkerhetsåtgärder som ska beaktas. Anvisning styr inte på något sätt omfattning och nivå på säkerhetsåtgärder. De kan realiseras med olika omfattning och nivå beroende på vilket behov man har. För alla säkerhetsåtgärder gäller dock följande;

Skyddsåtgärdernas omfattning och dimensionering kan utformas utifrån resultatet av informationstillgångarnas klassificering samt verksamhetsanalys med tillhörande risk- och sårbarhetsanalys. Valet av omfattning och nivå bör kunna motiveras.

Skydd mot skadlig kod

Här finns två perspektiv. Det ena är de tekniska skydd som implementeras för att skydda miljön. Det andra är de mått och steg som vidtas för att hjälpa de som använder miljön motverka hot relaterade till skadlig kod.

Exempel på tekniskt skydd:

  • Program/tjänst som detekterar/förhindrar skadlig kod i server- och klientutrustning.
  • Program/tjänst som detekterar/förhindrar skadlig kod i protokollflöden (T.ex. kontroll av inkommande e-post eller utgående surftrafik)
  • Brandväggsregler
  • Begränsning av administratörsrättigheter

Exempel på handhavandeskydd:

  • Information om risker som användarna kan möta
    • Utformning för att nå den specifika målgruppen
    • Forum och kommunikationskanaler
    • Intervall för återkommande information
  • Information om installation av säkerhetsuppdateringar som måste genomföras manuellt
  • Information om risker med att använda okända lagringsmedia
  • Information om vart användarna kan vända sig om de upptäcker eller har misstanke om att skadlig kod finns på någon enhet

Inför en regelbunden översyn av program och datainnehåll för system som stöder verksamhetskritiska processer. 

Säkerhetskopiering

Säkerhetskopiering av information/funktioner ska utföras i nivå med de krav på tillgänglighet man har på hanterade informationssystem och infrastruktur.

Säkerhetskopiering kan ske genom en mängd olika metoder och med hjälp av olika verktyg och lagringsmedia. För att illustrera ett exempel kan den sammantagna förmågan av daglig backup av VM-Ware image, en daglig inkrementell filbackup på operativsystemsnivå samt en timvis dump av databas X säkra förmågan att upprätthålla nödvändig kontinuitet för Applikation Y. 

En annan aspekt som rör kontinuitetsförmåga är att realisera en plattform med redundans, vilket även detta kan ske genom olika metoder och lösningar. Denna aspekt skyddar dock främst mot hårdvarufel. Om till exempel en databas blir korrupt däremot, i en miljö där databasen löpande replikeras till en kall eller varm standby, blir även kopian korrupt.

Punkter att beakta vid utformning av rutiner för säkerhetskopiering:

  • Vilka/vilken typ och nivå av säkerhetskopiering tillämpas
  • Hur ofta tas säkerhetskopia
  • Hur länge sparas säkerhetskopia
  • Hur skiljs lagring av säkerhetskopior fysiskt sett från produktionssystem. (Säkerhetskopior och original ska förvaras i olika byggnader eller brandceller och med skyddsåtgärder som överensstämmer med informationens klassificering.)
  • Hur sker behörighetsstyrning och åtkomstkontroll till säkerhetskopiorna. 
  • Ska säkerhetskopior skyddas genom kryptering (exempelvis vid känsliga personuppgifter). 
  • Hur övervakas att exekvering av säkerhetskopieringen fortlöper utan fel. 
  • Hur testas att säkerhetskopior är återläsningsbara. (Tester för att återskapa information från säkerhetskopior ska genomföras regelbundet och resultatet ska dokumenteras.)

Beakta även säkerhetskopiering av stödfunktioners (t.ex. nätverkskomponenter, lagringslösningar, övervakningslösningar) konfiguration.

Rutiner och metoder för säkerhetskopiering ska utformas och tillämpas så de möjliggör aktuella krav på tillgänglighet. Tillämpade rutiner och metoder ska dokumenteras. 

Loggning och övervakning

För att kunna skapa ett fullgott säkerhetsskydd behövs övervakning av system och loggning av händelser. Behovet av och rutiner för loggning och uppföljning av loggar (analys) ska fastställas av systemägaren i enlighet med verksamhetens behov och informationsklassificering. Lagkrav som är tillämpliga på övervakningsaktiviteterna ska följas. 

Områden som ska övervägas att logga är

  • Åtkomstkontroll, privilegierade aktiviteter (administratörs konton) 
  • Åtkomstkontroll, obehöriga åtkomst/ misslyckade åtkomster/ intrångsförsök
  • Åtkomstkontroll, förändringar av behörighetsnivåer
  • Informationstillgång, informationsändringar   
  • Systemaktiviteter, datum, tider och uppgifter om viktiga händelser; t.ex. inloggning och utloggning.

Loggar ska skyddas mot radering, manipulation och obehörig åtkomstförsök, systemlarm, ändringar eller försök till ändringar av IT-systems säkerhetsuppsättningar.

Syftet med loggning är att säkerställa att spårbarhet för registrerade som anförtror sin information till Stockholmuniversitet och att kontrollera att åtkomstprivilegier inte missbrukas 

Exempel:

System som är verksamhetskritiska ska driftövervakas kontinuerligt och loggas för att minimera avbrott och andra IT-incidenter.

Rutiner och metoder för övervakning och loggning ska utformas och tillämpas. Rutiner och metoder ska dokumenteras.

Hantering av tekniska sårbarheter

I begreppet hantering av tekniska sårbarheter ingår att löpande underhålla befintliga installationer med säkerhetsuppdateringar samt att i lämplig omfattning kontrollera utvalda tjänsters säkerhetsnivå ex. genom sårbarhetsscanning/sårbarhetsanalys.

Delar att beakta vad gäller uppdatering:

Komponenttyper som är relevanta att löpande uppdatera

  • Hårdvara (BIOS etc.)
    • Operativsystem server
    • Databashanterare
    • Applikationer
    • Brandväggsutrustning
    • Switchutrustning
    • Etc.
  • Test av uppdateringar i testmiljö innan applicering i produktionsmiljö
  • Frekvens med vilken uppdatering ska ske.
  • Metod för uppdatering (automatiserade verktyg, manuella aktiviteter.)
  • Säkra plan för back-out om uppdatering orsakar störning. (Ex. genom snapshot i VMWare)
  •  

Rutiner och metoder för uppdatering/patchning ska utformas och tillämpas. Rutiner och metoder ska dokumenteras.

Delar att beakta vad gäller sårbarhetsanalys:

  • Vilka delar av IT-infrastrukturen bör analyseras och med vilken frekvens?
  • Metod/verktyg för analys? 
  • Vissa tjänster med hög grad av exponering som bör kontrolleras mer frekvent och/eller djupare?
  • Hur hantering av identifierade sårbarheter ska ske?

Rutiner och metoder för sårbarhetsanalys ska utformas och tillämpas. Rutiner och metoder ska dokumenteras.

Kapacitetshantering

Här finns det lite olika vinklar man kan anlägga för att identifiera kapacitetsbehov – generellt sett handlar detta om att identifiera resurser eller funktioner som kan tänkas bli överfulla eller på något annat sätt ta slut. 

Det kan finnas anledning att med jämna mellanrum lyfta blicken och se över hur pass väl kapaciteten täcker nuvarande behov och hur den kan komma att räcka till inom överskådlig framtid så att rätt åtgärder vid behov kan vidtas i god tid.

Exempel på parametrar som bör bevakas och prognostiseras är:

  • Serverutrustning och tjänster
    • Diskutnyttjande
    • Minnesutnyttjande
    • Processorbelastning
    • Transaktionstider
  • Nätverk
    • Översyn av antal tillgängliga IP-adresser
    • Bandbreddsutnyttjande
    • Minnesutnyttjande
    • Processorbelastning
  • Licensutnyttjande

Rutiner och metoder för kapacitetshantering ska utformas och tillämpas. Rutiner och metoder ska dokumenteras.

Fysisk säkerhet

Aspekter för fysiska skalskyddet:

  • Skalskyddet ska anpassas till säkerhetskrav för tillgångarna (informationssäkerhets klassificering) och resultatet av en riskbedömning.
  • För att säkerställa att endast behörig personal ges tillträde till säkrade utrymmen, ska dessa skyddas med hjälp av lämpliga passersystem.
  • Alternativa strömkällor testas regelbundet för att säkerställa att övergången till reservkraft fungerar. 
  • Risker rörande den elektromagnetiska miljön bör beaktas. 

Miljö för utveckling/test skilt från produktion

Om det finns ett behov av utvecklings- och/eller testaktiviteter är grundregeln att dessa aktiviteter ska ske separerat från produktionsmiljön. Utvecklings- och testaktiviteter bör alltså inte utföras i produktionsmiljö.

Detta har sin grund exempelvis i att tidiga releaser av programvara kan innehålla sårbarheter, tester kan orsaka driftstörningar, behörigheter för testaktiviteter kan utgöra säkerhetsrisker.

Exempel på åtgärder för att åstadkomma detta är:

  • Fysisk eller virtuell separation (Serverinstanser, nätverkssegment etc.)
  • Separata användarkonton för utveckling/test.
  • Tydlig markering genom ex. färg eller text som uppmärksammar användaren på aktuell miljö
  • Regelverk för hur och när installationer sker och ”färdas” mellan miljöerna
  • I de fall skarpa data används i utveckling/test-miljö ska en riskbedömning göras om det finns anledning att anonymisera data innan den används.

Restriktioner för installation av program

Om det finns behov att användare själva installerar program är det viktigt att det införs och upprättas regler för detta.

  • Vilka typer av program får installeras
  • Ta hänsyn till berörda användarroller
  • Informera om riskerna att okontrollerad installation kan leda till sårbarhet och kan leda till obehörig åtkomst till information