Anvisningens syfte

Syftet med anvisningen är att stödja institutionerna att implementera säkerhetsåtgärder i enlighet med Riktlinjer för informationssäkerhet vid Stockholms universitet.

I anvisningen finns underlag som ger hjälp till att införa och upprätthålla lämplig nivå av säkerhetsåtgärder som relaterar till Kommunikationssäkerhet.

Allmänt om kommunikationssäkerhet

Kommunikation/nätverk är en central del i IT-infrastruktur. Det finns exempelvis risker för att trafik avlyssnas, att intrång sker, att överförd information förändras.

Kommunikationssäkerhet handlar om att implementera och upprätthålla säkerhetsåtgärder som i olika aspekter relaterar till kommunikation/nätverk. En lämplig nivå av dimensionering och implementation av lämpliga säkerhetsåtgärder, etablerade rutiner och regler samt arbetssätt ger ett stöd i att nå/upprätthålla detta mål.

Kommunikationssäkerhet ärett brett område. Ett aktivt val och dimensionering av säkerhetsåtgärder är viktigt.

Dokumentation och arbetssätt

Se Anvisning för Driftsäkerhet. Denna omfattar även driftaspekter för nätverks/kommunikations-infrastruktur.

Säkerhetsåtgärder

Denna del av anvisningen talar om ett antal säkerhetsåtgärder som ska beaktas. Anvisning styr inte på något sätt omfattning och nivå på säkerhetsåtgärder. De kan realiseras med olika omfattning och nivå beroende på vilket behov man har. För alla säkerhetsåtgärder gäller dock följande;

Skyddsåtgärdernas omfattning och dimensionering kan utformas utifrån resultatet av informationstillgångarnas klassificering samt verksamhetsanalys med tillhörande risk- och sårbarhetsanalys. Valet av omfattning och nivå bör kunna motiveras.

Säkerhetsåtgärder för nätverk

Exempel på delar som omfattas av begreppet kommunikation/nätverk, vilka är aktuella att implementera tekniska säkerhetsåtgärder kring, listas nedan. 

  • Intern nätverksarkitektur och dess hantering (både trådbunden och trådlös)
    • Segmentering/zonidelning och syfte för detta (separation av nätverk)
    • Autentisering av anslutande utrustning
    • Val av kryptering, ex för WiFi eller VPN mellan platser
    • Fysiskt tillträde till nätverksutrustning
    • Kravställning i upphandlade nätverkstjänster, ex. WAN-länkar, internetanslutningar etc.
  • Kommunikation över interna och externa nätverk
    • Applikationstjänster
    • Lösning för fjärranslutning (t.ex. Klient-VPN, IPSEC eller SSL)
    • Administration av IT-infrastruktur
    • Överföring av information
    • Relaterat till ovan punkter ska man beakta aspekter som ex. Klient-autentisering, Server-autentisering, skydd av nätverkssessioner eller innehåll ex. genom kryptering etc.
  • Perimeterskydd
    • Brandväggsarkitektur och dess hantering
    • Intrångsskydd och dess hantering
    • Proxy-funktioner och dess hantering (ex. för inkommande SMTP eller utgående http/https

Säkerhetsåtgärder för nätverkstjänster

Denna del relaterar till de fall man i någon form av avtalsrelation (med extern eller intern leverantör) tillhandahålls nätverkstjänster som tjänst. Om så är fallet ska man tillse att relevanta krav ställs i avtal samt följa upp dessa realiseras i leveransen genom uppföljning. Syftet är således att leverans sker i paritet med den nivå av säkerhetsåtgärder man är i behov av.

Exempel på nätverkstjänster är:

  • WAN-länkar som förbinder verksamhetens interna nätverk
  • Utlagd drift av nätverkskomponenter/nätverksfunktioner
  • Proxy-tjänst för e-post, surftrafik etc.

Separation av nätverk

Denna del betraktas som en säkerhetsåtgärd för nätverk, se därför avsett kapitel.

Informationsöverföring

De tekniska aspekterna inom detta område (att skydda elektroniskt överförd information från avlyssning, förändring, oönskad nätverksstyrning och förstörelse) betraktas som en säkerhetsåtgärd för nätverk, se därför avsett kapitel.

Utöver detta ska formella regler för samt medvetenhetsinsatser riktat mot medarbetare för att information ska behandlas efter sitt värde vid följande typer av kommunikation:

  • muntlig
  • via e-post (detta kan även stödjas med tekniska säkerhetsåtgärder)
  • utskrifter eller pappersbunden information i original
  • via telefonsvarare
  • telefax

Sekretessavtal ska tecknas med individer och/eller andra organisationer, där så krävs.

Det bör även finnas ansvarsregler för anställda, externa parter, studenter eller andra användare som förhindrar misstänkliggörande av verksamheten, t.ex. genom förtal, personifiering, obehöriga köp etc. 

Håll gärna utbildning och sätt upp rutiner samt ge rådgivning till personal för att informera om de risker som finns och försiktighetsåtgärder som behövs för att skydda den konfidentiella information som hanteras av dem. 

Det kan vara att t ex:

  • inte lämna meddelande på telefonsvarare med konfidentiell information, därför att risken finns att informationen sparas på felaktiga grunder eller spelas upp av obehöriga. 
  • risker som finns vid användning av telefax eller tjänster, det kan innebära obehörig åtkomst till lagrade meddelanden, att inte programmera nummer för att skicka meddelanden, som kan innebära att fel mottagare får dokument skickade till sig med konfidentiell information mm.
  • inte genomföra samtal som berör konfidentiell information på offentliga platser, över osäkra kommunikationskanaler, sociala medier, eller i öppna kontorslandskap. 

Vilka verksamhetsrelaterade, rättsliga och säkerhetsmässiga konsekvenser av elektroniskt datautbyte, elektronisk handel och elektronisk kommunikation finns och vad behöver åtgärdas med tanke på att uppfylla kraven för säkerhetsåtgärder.

Ansvarsfördelning

Ansvar för förvaltning och för drift av nätverksutrustning/nätverkslösningar bör fastställas och delegeras.