Håndbok for informasjonssikkerhet


Dette er et eksempel på hvordan du kan lage en enkel håndbok for informasjonssikkerhet til bruk i små og mellomstore virksomheter. Dokumentet kan brukes av bedrifter, kommuner og frivillige organisasjoner for å lage et eget sikkerhetsregelverk. Bytt da ut “Virksomheten” med navnet på din virksomhet.

En standard, et regelverk eller en håndbok for informasjonssikkerhet kan bygges opp på mange ulike måter. Det finnes en internasjonal/ norsk standard for informasjonssikkerhet, ISO/IEC 27002 som gjerne kan brukes.
Mange små og mellomstore virksomheter synes denne blir for omfattende. Vi har derfor laget et eksempel på en enklere håndbok for informasjonssikkerhet. Denne kan integreres som et kapittel i virksomhetens rutiner eller den kan stå for seg selv. I tillegg til en håndbok bør det finnes overordnede retningslinjer i form av en informasjonssikkerhetspolicy for virksomheten. Håndboken er inndelt i:

Sikkerhetsledelse

Hensikten er å klargjøre viktige prinsipper og tiltak alle ledere i «Virksomheten» skal ivareta.

Policy

Informasjonssikkerhet på overordnet nivå er beskrevet i «Virksomhetens» informasjonssikkerhetspolicy.

  • All informasjon og alle IKT-systemer skal ha en eier. Eier er ansvarlig for at systemet tilfredsstiller virksomhetens behov for funksjonalitet, sikkerhet og kvalitet og skal sørge for at oppgavene knyttet til systemet er ivaretatt.
  • Eier er ansvarlig for å holde en oppdatert oversikt over alle verdier. Med verdi forstås her informasjon, databaser, programmer, fysisk IKT-utstyr.
  • Eier er ansvarlig for å foreta en klassifisering av alle sine verdier. Klassifiseringen «meget kritisk, kritisk og lite kritisk» kan benyttes. Dersom virksomheten er underlagt et eget lovverk (f.eks. Sikkerhetsloven) benyttes klassifiseringer og graderinger som angitt i lovverket.

Risiko

  • Linjeleder er ansvarlig for at det foretas risikovurderinger i sin avdeling på periodisk basis.
  • Risikovurderinger skal dokumenteres.
  • Leder er ansvarlig for å foreta uavhengige gjennomganger (revisjoner) av sikkerheten.

Anskaffelse

  • Alle kontrakter skal være ferdigstilt og undertegnet av begge parter før tjenesten leveres eller systemet settes i produksjon. Krav til sikkerhet skal presiseres i alle kontrakter.
  • Alle lisensavtaler, kontrakter og andre bevis på eierskap skal arkiveres.
  • Alle tjenester som utkontrakteres skal tilfredsstille « Virksomhetens» krav til sikkerhet.
  • I tilfeller der utvikling er satt ut til tredjepart må kontrakten minst inneholde:
  • Lisensavtaler og eiendomsrett til koder og intellektuell eiendom.

  • Deponeringsavtaler i tilfelle svikt fra tredjepart.
  • Eier skal dokumentere hvilke lover, vedtekter eller forskrifter systemet skal tilfredsstille.
  • Eier av et system skal spesifiseres hvilke krav som stilles til tilgjengelighet, integritet og konfidensialitet for informasjonen og systemet.

Sikkerhetshendelser og brudd på sikkerhetsbestemmelsene

  • En sikkerhetshendelse er en aktivitet eller situasjon som har forårsaket skade på eller truer personell, informasjon eller andre verdier.
  • Leder er ansvarlig for å vurdere alle kritiske hendelser og for å sette i verk nødvendige tiltak med tanke på forbedring og læring.
  • Den som oppdager en sikkerhetshendelse skal umiddelbart varsle nærmeste leder.
  • Ved uregelmessigheter og misligheter fra ansatte, innleid personell eller kontraktører, skal vanlige regler for intern oppfølging av uregelmessigheter i « Virksomheten» benyttes. Lovbrudd skal rapporteres til daglig leder og anmeldes.

Beredskap

  • Daglig leder skal godkjenne «Virksomhetens» beredskapsplaner.
  • Beredskapsplaner skal inneholde varslingslister, ansvarsforhold og prosedyrer for å håndtere kritiske sikkerhetshendelser.
  • Daglig leder er ansvarlig for å vurdere behovet for og eventuelt etablere alternativ løsning for tilgang til informasjon, IKT-systemer og -infrastruktur.
  • Daglig leder er ansvarlig for å planlegge og avholde øvelser i håndtering av kritiske situasjoner minst en gang per år.

Personellsikkerhet

Hensikten med personellsikkerhet er å legge til rette for at ansatte, kontraktører og tredjepartsbrukere forstår sitt ansvar og er egnet for rollen de har, slik at risiko for tap, driftsforstyrrelser, svindel og misbruk reduseres til et akseptabelt nivå.

Organisering

  • Alle eksterne deltakere i et prosjekt skal orienteres om hva taushetsplikten omfatter og signere gjeldende taushetserklæring.
  • Leder er ansvarlig for at ansatte er organisert slik at man ikke blir for avhengig av enkeltpersoner.
  • Leder er ansvarlig for å dele opp aktiviteter og kontrollfunksjoner slik at enkeltpersoner ikke gis muligheter til å gjennomføre svindel eller på andre måter grovt kunne utnytte eller misbruke et IKT-system.

Holdninger og opplæring

  • Alle som arbeider i eller for «Virksomheten» skal underskrive taushetserklæring.
  • Enhver leder er ansvarlig for å fremme gode holdninger til å beskytte “Virksomhetens” IKT-systemer og virksomhet.
  • Leder er ansvarlig for at personell får tilstrekkelig opplæring i og informasjon om trusselbildet og sikkerhet til å ivareta sitt arbeid på en tilfredsstillende måte.
  • Leder er ansvarlig for at de ansatte setter seg inn i gjeldende regler og rutiner.
Se egne retningslinjer om Personellsikkerhet

Fysisk sikring

Målet er å forhindre adgang til, skade på og forstyrrelser av lokaler, IKT-systemer og informasjon.

Sikre lokaler

  • Fysiske soner skal brukes for å beskytte områder som inneholder informasjon og utstyr for å behandle informasjon. Dette omfatter vegger, dører og porter med godkjente låser / adgangskort eller bemannede skranker.

Adgangskontroll

  • Adgang til lokaler bør begrenses til autorisert personale.
  • Alle medarbeidere skal bære synlig identifikasjon. (Fjernes for små virksomheter)
  • Besøkende skal registreres i gjestebok.

Bærbare datamaskiner

  • Bærbare datamaskiner skal ikke etterlates ubevoktet på offentlig sted. De skal alltid fraktes som håndbagasje og låses inn på hotellet når bruker ikke er tilstede.
  • Leder skal umiddelbart varsles hvis IKT-utstyr eller mobiltelefon blir stjålet eller mistes.
  • Datamaskiner eid av andre skal ikke koples til «Virksomhetens» infrastruktur.

Maskinrom

  • Maskinrom som inneholder datautstyr skal vernes mot brann, flom, lyn og andre fysiske trusler, og som et minimum ha egnet brannvarslings-, brannslukningsutstyr og innbruddsalarmer installert.
  • Alle kabler skal legges beskyttet og merkes.
  • Klimaet i maskinrom skal være i henhold til krav fra leverandøren av datautstyret.
  • Det skal oppbevares minimalt med brennbart materiale på maskinrom.
  •  Alle servere som behandler produksjonsdata, skal plasseres i maskinrom.
  • Sikkerhetskopier skal oppbevares fysisk atskilt fra produksjonsmiljøet og minimum i brannsikkert skap.

Avhending av utstyr

  • Ved avhending av IKT-utstyr skal all informasjon på utstyret slettes på en sikker måte.
  • Ved avhending av mobiltelefoner skal informasjon slettes og tilbakestilles til fabrikkinstillinger.
  • Lagringsmedier som disker, minnepinner og taper skal tilintetgjøres ved avmagnetisering eller makulering. Optiske disker skal knuses.
  • Disker på PC og server skal informasjon slettes ved bruk av programvare som overskriver innholdet før de eventuelt gjenbrukes.

Se egen veiledning om sikker sletting.

Skytjenester og bortsetting av IKT-drift

  • Ved bortsetting av IKT-drift skal det stilles krav om fysisk sikring som minimum tilsvarer ovennevnte krav
  • Ved bruk av skytjenester skal det velges leverandører som kan dokumentere at de etterlever ovennevnte krav til fysisk sikring

Behandling av informasjon

Hensikten er å sikre integritet, tilgjenglighet og konfidensialitet til informasjon som behandles for å løse «Virksomhetens» oppgaver.

Lagring av informasjon

  • Tjenstlig informasjon skal lagres på “Virksomhetens” fellesområde.
  • Informasjon på bærbare datamaskiner skal være kryptert.
  • Bruker skal påse at det tas sikkerhetskopi av tjenstlig informasjon på bærbar datamaskin.
  • Eier av et system er ansvarlig for at det tas sikkerhetskopier av all informasjon som behandles på systemet.
  • Sikkerhetskopi av informasjon skal også oppbevares utenfor «Virksomhetens» lokaler. Kopiene skal oppdateres jevnlig.

Utveksling av informasjon

  • Tjenstlig informasjon skal bare utleveres til autorisert mottaker.
  • Vilkår for eksterne tilgang til “Virksomhetens” informasjonssystemer skal være regulert i egen kontrakt.

Spesielt virksomhetskritisk informasjon

  • Informasjon som er spesielt kritisk skal ikke sendes elektronisk til mottakere utenfor «Virksomheten» uten godkjent kryptering (f.eks winzip og PGP).
  • Når spesielt kritisk informasjon sendes til ekstern mottaker via skylagring skal den krypteres og tilgang skal kun gis til autoriserte mottakere.
  • Dokumenter med spesielt kritisk informasjonen skal merkes tydelig.

Privat informasjon og programmer

For å sikre at «Virksomheten» kan utføre sine oppgaver med tilfredsstillende tilgjenglighet og til en tilfredsstillende kostnad må privat behandling av informasjon begrenses.

  • Privat informasjon kan lagres på egen mappe merket ”Privat”.
  • Filer av utpreget privat karakter utenfor “PRIVAT”-mappen kan bli slettet uten varsel.
  • Private filer kan lagres på lokal disk på PC så langt det ikke skaper driftsmessige problemer. IT-avdeling er ikke ansvarlig for å foreta sikkerhetskopier av lokale disker.

Personopplysningsloven omfatter behandling av opplysninger og vurderinger som kan knyttes til en enkeltperson. Lov om behandling av personopplysninger og forskrift til denne regulerer krav til informasjonssikkerhet for behandling av personopplysninger.

Sikkerhetsloven omfatter behandling av informasjon som kan skade Norges eller dets alliertes sikkerhet, forholdet til fremmede makter eller andre vitale nasjonale sikkerhetsinteresser om informasjonen blir kjent for uvedkommende.

Internett; e-post, nettsamtaler og skytjenester

  • All bruk av Internett vil bli logget og overvåket av drifts- og sikkerhetsmessige årsaker.
  • All tilgang til Internett skal skje vi “Virksomhetens” godkjente tilgangspunkter eller mobilt bredbånd. Bruk av åpne trådløse nettverk bør unngås hvis ikke VPN benyttes.
  • Tilkobling til virksomhets-systemer på reise skal skje via kryptert VPN forbindelse. Les mer om VPN her.
  • Det er ikke tillatt å foreta endringer i nettleseren i forhold til standard oppsett.
  • Det er ikke tillatt å foreta aktiviteter eller overføre informasjon som er forbudt etter norsk lov eller som kan oppfattes som uetisk eller krenkende.
  • Åpen tjenstlig informasjon kan utveksles via E-post, nettsamtaler (som Messanger og Skype) og godkjente skytjenester.
  • Det er ikke tillatt automatisk å videresende E-post til private postkasser.

Teknisk sikkerhet

Målet er å sikre konfidensialitet, integritet og tilgjengelighet til alle driftsmessige og systemmessige IKT-leveranser for «Virksomheten».

Tilgangskontroll

  • De ansatte skal gis tilgang (autoriseres) til «Virksomhetens» lokaler, systemer, infrastruktur og informasjon ut fra tjenstlig behov.
  • Alle systemer, informasjon og infrastruktur skal sikres med tilgangskontroll.
  • Alle brukere skal ha en personlig brukeridentitet.
  • Alle brukere skal autentisere seg ved hjelp av et personlig passord, biometri eller andre autentiseringsmekanismer.
  • Tilganger til systemet skal endres når en bruker endrer sine tilgangsbehov og bortfaller når arbeidsforholdet avsluttes.
  • Leder er ansvarlig for at det minst årlig foretas en gjennomgang av alle tilganger.
  • Passordbeskyttet skjermsparer skal aktiveres når arbeidsplassen forlates, og skal automatisk aktiveres etter minimum 20 minutter.
  • Alle standard passord fra leverandører skal endres før produktet settes i produksjon.
  • Bruk av «Virksomhetens» systemer og nettverk skal logges for å administrere og sikre systemer og informasjon mot sikkerhetshendelser. Aktiviteter skal registreres og kunne spores tilbake til den enkelte bruker.

Endringskontroll

  • Eier er ansvarlig for at det utarbeides nødvendig dokumentasjon for nye systemer og at dokumentasjonen oppdateres.
  • Eier er ansvarlig for at det utarbeides nødvendige og dekkende kontrakter og avtaleverk ved bortsetting av IKT-drift og ved bruk av skytjenester.
  • Alle vesentlige endringer av “Virksomhetens” IKT-tjenester skal vurderes i forhold til hvordan de påvirker sikkerheten. Risiko for at endringene av en IKT-tjeneste påvirker virksomheten og forholdet til kunder og samarbeidspartnere skal vurderes.
  • Alle nye IKT-tjenester og endringer til tjenester skal gjennomgå grundig og systematisk testing før tjenestene settes i produksjon.
  • Testing skal foregå separat fra produksjonsmiljøet.
  • Resultatet av testingen skal dokumenteres.
  • Eier skal sørge for å skille mellom utviklings-/ test- og produksjonsmiljøene.

Driftssikkerhet

  • Det skal foretas risikoanalyse før større endringer i IKT-infrastrukturen settes i drift, herunder også ved endret bruk av skytjenester og innkjøp av IKT-tjenester.
  • Eier er ansvarlig for å definere hva som er tilstrekkelig tilgjengelighet og svartider.
  • IT-avdelingen er ansvarlig for å etablere nødvendige tiltak for å sikre tilgjengeligheten for systemet.
  • IT-avdelingen skal observere endringer i bruksmønster og kapasitet og planlegge tiltak for å overholde systemeiers krav.
  • IT-avdelingen er sammen med eier ansvarlig for konfigurasjonsstyring av “Virksomhetens” systemer, infrastruktur og informasjon.
  • Driftsprosedyrer skal etableres og dokumenteres.
  • Eier kan gi mulighet for bruk av fjernstyringsverktøy etter risikoanalyse.
  •  IT-avdelingen skal sørge for at funksjoner og tjenester som kan forårsake betydelig skade, som det ikke er forretningsmessig behov for, er deaktivert.
  • IT-avdelingen er ansvarlig for at det installeres tjenester for deteksjon og avvisning av ondsinnet programvare, uautorisert bruk og inntrengningsforsøk.
  • IT-avdelingen skal sørge for at det finnes prosedyrer for å håndtere ondsinnet programvare.
  • Logger gjennomgås jevnlig for å avdekke unormal aktivitet eller bruk.
  • Ved mistanke om mislighold, omfattende uautorisert bruk, alvorlige forstyrrelser av eller inntrengning i “Virksomhetens” IKT-tjenester skal IT-avdelingen sikre nødvendige logger, forberede anmeldelse av forholdet, gjenetablere sikker drift og bistå politiet og intern granskning.
  • IT-avdelingen er ansvarlig for at «Virksomheten» har rutiner for sikkerhetskopiering og at avtaler for eksternt anskaffede tjenester omfatter sikkerhetskopiering.
  • «Virksomheten» skal ha rutiner for oppgradering av all programvare.
  Nettverkssikkerhet
  • Eksterne oppkoplinger skal beskyttes og kontrolleres i samsvar med den risikoen utvekslingen representerer.
  • Ekstern oppkopling skal fjernes når det ikke lenger er behov for den.
  • Interne nettverk skal beskyttes utenfra med brannmur og autentiseringsmekanismer.
  • Systemer og informasjon med spesielt høye krav til konfidensialitet bør fysisk eller logisk atskilles fra andre nettverk.
  • Trådløse nettverk tillates ikke/tillates bare for åpen informasjon/ tillates kun etter en grundig risikovurdering

Informasjon fra Nettvett.no er hentet fra flere kilder. Nettvett.no vurderer informasjon før publisering, men Nettvett.no kan ikke holdes ansvarlig for skade eller tap som kan oppstå som følge av ukorrekt, manglende eller utilstrekkelig informasjon.