3.2 Systemanskaffning och systemutveckling, fördjupning

Allmänt

Dessa riktlinjer är i första hand avsedda att reglera anskaffnings- och utvecklingsprocessen av IT-system med fler än en användare.

Dessa riktlinjer innehåller därtill grundläggande Informationssäkerhetskrav för större IT-system. Värdering av de grundläggande IT-säkerhetskraven samt eventuellt beslut om fastställande av ytterligare krav för aktuellt IT-system skall anges med hänsyn till aktuell hotbild.

IT-säkerhetskraven är anpassade för klient/server-system.

Organisation och ansvar

Projektorganisation

Vid anskaffning och utveckling av större IT-system med många användare och/eller komplexa IT-system bör en särskild projektgrupp inrättas bestående av:

  • . en styrgrupp med bl.a. för IT-systemet utsedd systemägare och tekniskt ansvarig,

  • . en projektledare,

  • . en teknisk referensgrupp,

  • . en särskild referensgrupp för användare.

Styrgruppen leder via projektledaren anskaffnings- och utvecklingsfaserna fram till överlämnandet av det färdiga IT-systemet till förvaltningsorganisationen som därefter har att ansvara för den framtida driften.

Ett projekt får inte avslutas utan att ett avlämnande skett till förvaltningsorganisationen med tydliga åtaganden.

Vid anskaffning och utveckling av mindre IT-system, leder systemägaren och den tekniskt ansvarige i samråd anskaffnings - och utvecklingsfaserna via en eventuell projektledare.

Systemägare

Systemägare skall utses tidigt i anskaffnings- och utvecklingsfasen. En rekommendation är att utseendet sker redan under en förstudiefas.

Systemägaren ansvarar för:

  • . att det planerade IT-systemet utformas och förvaltas på sätt att det uppfyller uppställda krav på god IT-säkerhet,

  • . att projektorganisationen har tillgång till erforderlig IT-säkerhetskompetens,

  • . att i de fall personuppgifter kommer att behandlas i det planerade IT-systemet, att dessa dokumenteras och anmäls till lärosätets personuppgiftsombud samt att IT-systemet utformas så att det uppfyller personuppgiftslagens stadganden,

  • . att en förvaltningsorganisation utses med förutom systemägaren, en systemförvaltare, en tekniskt ansvarig och en teknisk förvaltare med ansvar för IT- systemets drift och underhåll.

Tekniskt ansvarig

Tekniskt ansvarig ansvarar för:

  • . att de säkerhetstekniska lösningarna följer av lärosätet beslutade standarder,

  • . att IT-systemet i förekommande fall kan integreras med befintliga IT-system utan att IT-säkerheten försämras eller annan olägenhet uppstår,

  • . att beträffande större IT-system en teknisk förvaltare utses till den föreslagna förvaltningsorganisationen,

  • . att IT-systemet i förekommande fall förs in i lärosätet systemförteckning.

Projektledare

Projektledare ansvarar för:

  • . att beslutade IT-säkerhetsaktiviteter genomförs och dokumenteras under projektets faser enligt lärosätets krav,

  • . att incidenter och andra händelser som ur informationssäkerhetssynpunkt påverkar projektet eller IT-systemets slutliga säkerhet rapporteras till systemägaren.

Säkerhetsstyrning i anskaffnings- och utvecklingsfas

Allmänt

Anskaffnings - och utvecklingsfaser utgörs av:

  • . förstudiefas,

  • . analysfas,

  • . upphandlings- och/eller konstruktionsfas,

  • . utbildning,

  • . test och överlämnande,

  • . dokumentation,

  • . källkodsdeponering.

Förstudiefas

I förstudiefasen genomförs informationsklassning av den information som IT-systemet skall omfatta. Informationsklassningen skall svara på:

  • . förekomst av personuppgifter

  • . förekomst sekretessbelagd eller annan skyddsvärd information,

  • . krav på tillförlitlighet,

  • . krav på tillgänglighet,

  • . krav på riktighet.

Analysfas

Under analysfasen skall en informationssäkerhetsanalys genomföras. I säkerhetsanalysen skall hot och risker analyseras och dokumenteras samt förslag till åtgärder utformas. Analysen kan med fördel genomföras med hjälp av allmänt vedertagen metod t.ex. dataföreningens SBA analys.

Upphandlings- och/eller konstruktionsfas

Beslutade systemspecifika IT-säkerhetskrav och -åtgärder skall inarbetas i kravspecifikation och förfrågningsunderlag tillsammans med generella informationssäkerhetskrav. Säkerhetskraven skall viktas mot en eventuell kostnadsökning för att slutligen fastställas.

Vid intern utveckling och konstruktion av IT-system utformas dessa så att systemlösningar uppfyller både beslutade IT-systemspecifika och generella informsäkerhetskrav.

Eventuella avvikelser från beslutade Iinformationssäkerhetskrav dokumenteras och anmäls till systemägaren.

I förekommande fall görs anmälan till personuppgiftsombudet.

Utbildning

Systemägaren ansvarar för att erforderliga utbildningsinsatser för användare av IT-systemet innan driftssättning.

Tekniskt ansvarig ansvarar för att erforderliga utbildningsinsatser för teknisk förvaltare och systemadministratörer planeras och genomförs innan eller i samband med installation.

Vid upphandling kan bör på utbildning ingå i avtalet om det anses lämpligt.

Test och överlämnande

Test och kontroll av IT-säkerhetsåtgärd/-lösning skall dokumenteras och godkännas av systemägare och tekniskt ansvarig innan IT-systemet sätts i produktion.

Dokumentation

Dokumentationen skall utformas så att justering eller uppdatering kan ske i efterhand av annan än ursprunglig konstruktör av IT-systemet. Utöver detta gäller:

  • . att leverantör/konstruktör skall tillhandahålla fullständig användar-, drift-, teknisk- och systemdokumentation,

  • . att dokumentation skall tillhandahållas i minst 2 exemplar varav 1 exemplar skall vara i pappersformat och 1 exemplar på CD-ROM

Dokumentationen skall informationsklassas och hanteras därefter. Förvaring skall ske så att risk för stöld och skada minimeras. De båda exemplaren skall som minimiåtgärd förvaras i skilda brandceller.

Källkodsdeponering

Deponering av källkod till lärosätets IT-system skall vara väl dokumenterade och ske på sätt som säkerställer framtida drift, komplettering och underhåll av IT-system.

  • . Vid upphandling av IT-system skall källkodsdeponering regleras i avtal.

  • . Vid egenutveckling av IT-system ansvarar tekniskt ansvarig för att källkod deponeras/arkiveras tillförlitligt.

  • . Deponering/arkivering skall uppfylla Riksarkivets krav RA-FS 1997:3.

Grundläggande säkerhetskrav på Lärosätets IT-system

Nedan redovisade obligatoriska krav, om ej annat anges.

Grundkrav

Datasäkerhet

Förlust och förändring

IT-system skall vara utformade så att risken för förlust av information, oavsiktlig eller otillåten förändring av informationen, är försumbar.

En förutsättning är väl fungerande rutiner för säkerhetskopiering och ett fullvärdigt skydd för bevarande av säkerhetskopior (vilket är lärosätets ansvar).

Åtkomst

Skydd mot otillåten eller oavsiktlig åtkomst av enstaka information i IT-system behöver inte vara högt.

För IT-system innehållande information som kan bli föremål för sekretess, eller information motsvarande PuL:s, krav måste skyddet mot otillåten eller oavsiktlig åtkomst vara högt.

Skyddet mot otillåten eller oavsiktlig åtkomst av stora mängder information från IT-systemet skall vara högt.

Missbruk

Ett IT-system skall vara utformat så att risk för avsiktligt missbruk av IT-systemet försvåras. Skyddet mot avsiktligt missbruk från behörig användare skall avse väl avpassad behörighet samt åtgärd för att i efterhand kunna upptäcka och spåra eventuellt missbruk.

Ett IT-system skall också vara avpassat till de kontroll- och revisionsrutiner som används vid lärosätet och statligt myndighet.

Datakvalitet

Ett IT-system skall vara utformat så att risk för användarmisstag minimeras. Viktigast är att IT-systemet är konsekvent och begripligt utformat och intuitivt att använda för såväl erfarna användare som nybörjare.

Användargränssnitt skall så långt möjligt följa de facto-standarder.

IT-system skall också ha funktion för automatisk kontroll av indata, liksom funktion som möjliggör för användare att kontrollera samt bekräfta eller ångra/ändra kommandon och inmatad information.

Intrångsskydd

Applikation

IT-system skall vara försett med intrångsskydd vilket inte skall gå att forceras.

Det skall inte heller vara möjligt att med samma resurser kunna komma åt (läsa, kopiera) uppgifter i systemet.

Operativsystem för server

IT-system skall kunna installeras säkert i avsedda operativsystem med hjälp av en handledning eller motsvarande, utan att systemansvarig skall behöva avancerade specialkunskaper för att åstadkomma en säker installation.

Beträffande IT-system förutsätts att operativsystem i sig är säkert installerat (d.v.s.buggar, osäkra funktioner etc. borttagna enligt befintlig handledning).

IT-system skall ha funktion för att säkerställa att inte ens användare med rootaccess (eller motsvarande) skall kunna göra otillåten ändring i databas.

Klient

Ett IT-systems klientdator kan vara placerad i osäker miljö.

Det skall vara möjligt att åstadkomma ett relevant informations- och intrångsskydd i sådant IT-system trots osäker klientmiljö.

Det skall framgå klart av specifikation eller installationshandledning för IT-systemet i vad mån säkerhet i IT-systemet beror på skyddet av klient eller klientdator. Det skall även finnas en beskrivning av vilket skydd av klienterna eller klientdatorerna som de förutsätts ha.

Skydd av datakommunikation

IT-system kan komma att användas i öppna datanät med risk för avlyssning och dataintrång. Det skall vara möjligt att åstadkomma ett relevant informations- och intrångsskydd i sådant IT-system oberoende av osäker datakommunikation. Det skall vara möjligt att skydda datakommunikation mot avlyssning.

Tillgänglighet

IT-system skall möjliggöra drift med en tillgänglighet "ute hos användaren" som motsvarar lärosätets krav.

IT-systemet ska vara utformat så, att det inte enkelt kan överbelastas eller på annat sätt spärras för normal användning, varken av enskilda behöriga användare eller av utomstående.

Tillförlitlighet

Vid normal användning ska IT-systemet fungera som avsett, och enligt den dokumentation och de handböcker som finns tillgängliga för användarna. Normal användning omfattar all användning utom databasunderhåll, avställning för långtidslagring och liknande.

Felfunktion hos IT-systemet ska normalt resultera i felmeddelanden eller varningar till användarna.

Vid normal användning ska risken för felfunktion, som medför odiagnosticerade fel i registrerade uppgifter, för varje användare vara mindre än ett fel per 5.000 användningstimmar.

Behörigheter

Anpassning

Ett behörighetssystem skall vara anpassat till lärosätets organisation. Det skall vara möjligt att anpassa användares behörighet i IT-systemet till arbetsuppgifter etc. som förekommer vid lärosätet, så att användarna endast har tillgång till de funktioner och de uppgifter som de behöver för att kunna fullgöra sitt arbete.

Funktioner

Det skall vara möjligt att begränsa användares behörigheter till att endast gälla specifika funktioner i IT-systemet.

Läs- resp. skrivbehörighet

Det ska vara möjligt att begränsa användares behörigheter, för utpekade uppgifter, till att enbart avse läsning, till att avse även tillägg av uppgifter (där detta är tillämpligt), och till att även avse tillägg, ändring och borttagning av uppgifter.

Begränsningar

Det ska vara möjligt att på ett lämpligt sätt begränsa vilka kostnadsställen, administrativa enheter, institutioner, kategorier anställda, kategorier studenter eller liknande som en användare får se, tillföra eller ändra uppgifter för.

Systemadministration

Det ska vara möjligt att begränsa olika funktioner för administration av behörigheter.

Behörighetssystem

Användaridentiteter

Varje användare ska ha en individuell användaridentitet. IT-systemet skall göra det möjligt att hålla en förteckning över vilka användaridentiteter som använts sedan IT-systemet togs i drift.

IT-systemet ska, förutom användaridentiteterna, också innehålla uppgifter om respektive användares namn och arbetsplats eller annan identitetsuppgift om detta inte framgår i centralt administrerat behörighetssystem.

In- och utloggning

Användarna ska logga in sig (och autenticera sin behörighet) innan de får använda IT-systemet. Efter ett visst antal (normalt tre) misslyckade inloggningsförsök ska identiteten spärras, och endast kunna låsas upp av systemadministratör. Antalet misslyckade försök före spärrning kan vara inställbart (av systemadministratör).

Spärrning kan ersättas med tidsspärr, dvs. att IT-systemet efter misslyckade inloggningsförsök inte tillåter ny inloggning förrän en viss tid gått (tiden bör öka för varje misslyckat försök).

Autenticering

Vid inloggning ska användarna autenticera sin behörighet med lösenord, eller på säkrare sätt. IT-systemet ska vara förberett för autenticering med säkrare metod (t ex IC-kort), dvs. det ska vara möjligt att på ett enkelt sätt koppla extern programvara och/eller maskinvara för autenticering till IT-systemet.

Autenticeringen kan, men behöver inte, göras i operativsystemet, eller i externt IT-system för autenticering, inklusive IT-system för Single Sign On, så länge som säkerheten i överföringen av "autenticeringen" är tillräcklig.

Vid inloggning ska användarna autenticera sin behörighet med IT-system för dynamiska lösenord som utnyttjar "lösenordsdosa" eller med IC-kort, eller på annat sätt med motsvarande säkerhet.

Särskilda säkerhetsfunktioner

Vid felaktig kombination av användaridentitet och lösenord (om autenticeringen sker med lösenord) ska IT-systemet inte upplysa om vilket som var felaktigt.

Vid inloggning ska användaren få meddelande om när användaren senast loggade in och ut.

Automatisk utloggning

IT-systemet ska kunna ställas in så, att det automatiskt loggar ut användare vid en viss tid på dygnet, eller om de inte använt sin dator under en viss (inställbar) tid. Inställning av tid resp. tidsintervall ska kunna göras av systemadministratör.

Paus- (lås-) funktion

IT-systemet ska innehålla en funktion, som gör det möjligt för användarna att enkelt och bekvämt tillfälligt spärra/låsa sin dator. Spärrningen ska vara säker mot intrång. Vid spärrning ska skärmen tömmas från aktuell information, och datorn ska inte ta emot kommandon från tangentbord eller mus.

Spärrningen ska kunna hävas genom att användaren skriver sitt lösenord (följt av vagnretur) eller sätter i sitt IC-kort i läsaren (samt ger ev. PIN-kod).

När spärrningen hävs ska användaren direkt kunna fortsätta sitt arbete i samma läge som före spärrningen. Spärrtid bör kunna begränsas så att automatisk utloggning sker efter viss, förinställd tid.

Pausfunktionen ska kunna ställas in så, att datorn automatiskt spärras efter en tids inaktivitet. Tidsgränsen ska kunna ställas in av systemadministratören.

Tidsbegränsning

Det ska vara möjligt att begränsa enskilda användares behörigheter till att endast gälla utpekade veckodagar och tider på dygnet.

Begränsning till viss utrustning

Det ska vara möjligt att begränsa enskilda användares behörigheter till att endast gälla vissa utpekade utrustningar (klientdatorer eller IP-adresser).

Behörighetsadministration

Behörighet

Användare skall kunna tilldelas behörighet att lägga upp nya användare, tilldela eller ändra behörigheter samt ta bort användare. IT-systemet ska medge begränsningar till delar av dessa behörigheter.

Mallar/klasser

Det ska vara möjligt att definiera behörighetsklasser (alt. mallar), och att ge användare standarduppsättningar behörigheter baserade på sådana klasser eller mallar (med möjlighet till individuella modifikationer).

Lista

Det ska vara möjligt att ta ut en förteckning över samtliga användaridentiteter och deras behörigheter. Det ska också vara möjligt att enkelt ta ut uppgift om en enskild användares behörigheter.

Loggning

IT-systemet ska kunna logga samtliga förändringar av användaridentiteter och behörigheter. Loggen ska innehålla uppgift om vad som ändrats, för vilken användare, vem som gjort ändringen samt tidpunkt.

Tilldelning av nytt lösenord till befintliga användare ska kunna loggas (det nya lösenordet ska naturligtvis inte loggas, utan endast det faktum att ett nytt lösenord tilldelats!).

Lösenord

Detta avsnitt är tillämpligt om fasta lösenord användas för autenticiering.

Tilldelning

Systemadministratören ska kunna tilldela användare ett nytt lösenord (vid första uppläggning samt vid behov). Det tilldelade lösenordet ska bara kunna användas en gång. Så snart inloggning skett, ska systemet kräva byte till nytt lösenord (denna operation ska kunna avbrytas, varvid användaren ska loggas ut).

Giltighet

Det ska vara möjligt att begränsa giltigheten för lösenord. Systemadministratören ska kunna ställa in giltighetstiden.

Användarna ska minst en vecka i förväg få en varning om att giltighetstiden för lösenordet håller på att gå ut.

Minimikrav

IT-systemet ska kunna ställas in så att lösenord måste uppfylla angivna minimikrav för att godkännas som giltiga lösenord vid byte. Minimikraven ska kunna avse längd (antal tecken) vanligtvis 9-12 tecken. Lösenord skall bestå av alfanumeriska tecken och tidigare använt lösenord får inte användas.

Möjlighet för IT-systemet att kontrollera lösenordet mot en fördefinierad lista av kända lösenord och neka användandet av lösenordet vid en matchande träff.

Byte av lösenord

Användarna ska själva kunna byta lösenord. För att byta lösenord ska krävas att användarna är inloggade, och att de kan verifiera det gamla lösenordet.

Vid byte ska IT-systemet begära att det nya lösenordet matas in minst en gång extra för kontroll

Tekniskt skydd

Lösenorden får inte lagras eller överföras i klartext i IT-systemet.

Lösenorden ska lagras envägskrypterade, eller på annat sätt som omöjliggör dekryptering.

IT-system för dynamiska lösenord

Detta avsnitt är tillämpligt om IT-system för dynamiska lösenord används för autenticering.

Med IT-system för dynamiska lösenord avses ett IT-system där användaren med hjälp av ett tekniskt hjälpmedel ("räknedosa" e d) och kompletterande säkerhetsinformation (PIN-kod, lösenord, "challenge" från värdsystemet etc.) tar fram ett engångslösenord, som används för att autenticera användaren mot värdsystemet.

Utförande

Delsystemet för autenticering med dynamiska lösenord ska vara baserat på att användaren måste utnyttja såväl något användaren har (t ex en "räknedosa") som något användaren vet (t ex en PIN-kod eller ett lösenord) för att kunna autenticera sig.

Kopiering

Det användaren har ("räknedosan" e d) ska inte gå att kopiera utan omfattande utrustning och kunskap. Det ska heller inte vara möjligt att på något sätt ta ut information ur "dosan" som gör det möjligt att skapa eller simulera en kopia av den.

Administration och hantering

Delsystemet för autenticering med dynamiska lösenord ska omfatta säkra IT-system och rutiner för administration och hantering av "dosorna" och den övriga information etc. som behövs för IT-systemets funktion.

Teknisk säkerhet

Delsystemet för autenticering med dynamiska lösenord ska uppfylla de säkerhetskrav som enligt accepterad praxis ställs på sådana system.

IC-kort

Detta avsnitt är tillämpligt om IC-kort används för autenticering.

Utförande

Delsystemet för autenticering med IC-kort ska uppfylla gällande standarder och de facto-standarder.

Grundläggande krav

Delsystemet för autenticering med IC-kort ska uppfylla de grundläggande säkerhetskrav som uppställs av SEIS eller motsvarande organisationer.

Administration och hantering

Delsystemet för autenticering med IC-kort ska omfatta säkra IT-system och rutiner för administration och hantering av korten, inklusive utdelning av "första" kort och reservkort till användare.

Se vidare avsnittet Elektroniska ID-tjänster

Dataskydd, allmänt

Operativsystem

IT-systemet ska vara utvecklat för att användas tillsammans med operativsystem, filsystem och system för datakommunikation som medger behörighetsskydd och tekniska skydd för IT-systemet. Skyddsnivån ska kunna motsvara de krav som ställs på IT-systemet.

Dataskydd, manipulering

Checksummor

Uppgifter i IT-systemets databas, som är av särskilt stor betydelse, ska kunna skyddas mot manipulering genom användning av krypterade checksummor ("elektroniskt sigill") eller på annat sätt som ger motsvarande säkerhet. Vilka uppgifter som ska kunna skyddas på detta sätt skall avgöras för resp. system.

Databasskydd

Installation och åtkomst

IT-systemets databas ska kunna installeras så, att den inte – avsiktligt eller oavsiktligt – kan raderas, ändras eller åtkommas av behöriga användare av IT- systemet på något annat sätt än med hjälp av IT-systemet.

Användare ska inte ha behörighet att komma åt databasen med hjälp av andra applikationer än server och klient (t ex med hjälp av generellt SQL-verktyg).

Lösenord m.m.

Lösenord och andra uppgifter som behövs för att använda IT-systemets databas får inte kunna kommas åt av behöriga användare av IT-systemet, eller av andra användare i drift- eller serverdatorerna.

Intrångsskydd

IT-systemet ska ha ett mycket högt skydd mot intrång, dvs. obehörig åtkomst av IT-systemet eller dess databaser eller andra filer. Skyddet mot intrång ska avse alla former av intrång, oavsett teknik och åtkomstsätt.

Nedanstående krav ska inte ses som en uttömmande lista över intrångsskydd.

Skydd av klient och klientdator

IT-systemet ska skydda mot intrång som utförs genom installation av avlyssningsprogramvara, programvara för registrering av tangentnedslag, simulerad eller modifierad klient, eller annan programvara i klientdatorn.

IT-systemet ska skydda mot intrång som utförs genom modifiering av klienten.

IT-systemet ska skydda mot intrång som utförs genom modifiering av operativsystem eller andra program i klientdatorn.

Skydd av server/klient-kommunikation

IT-systemet ska skydda mot intrång som utförs genom förfalskning eller simulering av klient.

IT-systemet ska skydda mot intrång som utförs genom modifiering eller övertagande av kommunikation mellan klient och server.

(S) IT-systemet ska omfatta skydd av att känsliga uppgifter åtkoms genom att kommunikationen mellan klient och server avlyssnas eller manipuleras (t ex genom "man in the middle"-angrepp).

Skydd av server

IT-system skall vara skyddad mot intrång via förändring eller simulering av server.

(S) IT-system skall ge skydd mot att känsliga uppgifter åtkoms genom "förfalskning" av server.

Skydd av driftdator/serverdator

IT-systemet ska möjliggöra normalt skydd av driftdator/serverdator mot intrång enligt accepterad praxis. Detta innebär att IT-systemet inte får innehålla funktioner som omöjliggör sedvanligt skydd mot intrång i drift/serverdatorn eller drift/serverdatorns operativsystem, övrig programvara eller filsystem.

IT-systemet får heller inte utnyttja eller kräva funktioner i driftdator/serverdator eller dess operativsystem etc. som anses osäkra, eller som inte kan skyddas tillräckligt väl mot intrång.

Loggning, generella krav

Allmänt

Varje registrering i en logg ska normalt innehålla en uppgift om tidpunkten för registreringen. För säkerhetsloggar ska r

Sökning och presentation

Det ska vara möjligt att enkelt kunna söka i och ta ut information ur loggarna. Som sökbegrepp ska, för varje logg, normalt kunna användas användare, åtgärds- eller händelsetyp samt tidsintervall.

Behörigheter

Det ska krävas särskild behörighet för att kunna komma åt loggarna.

Skydd

Loggarna ska inte kunna ändras eller raderas av andra än ett mycket begränsat antal systemadministratörer med särskilt hög behörighet. Loggarna ska kunna säkerhetskopieras automatiskt lika ofta som databasen säkerhetskopieras. Loggarna bör förvaras på en separat dator med enbart läsmöjligheter.

Larm

Utvalda händelser av betydelser för säkerheten (t ex upprepade försök till felaktig inloggning) ska kunna resultera i larm till systemadministratörerna eller särskilt utpekade användare.

Säkerhetslogg, systemnivå

In- och utloggning

IT-systemet skall registrera in- och utloggning samt misslyckade försök till inloggning i en logg.

Missbruksförsökoch händelseregistrering

IT-systemet ska kunna registrera avvisade försök att överskrida de behörigheter en användare har (om användaren har möjlighet att försöka). IT-systemet ska kunna registrera felhändelser i logg.

Säkerhetslogg, transaktionsnivå

Ändringsloggning

IT-systemet ska, för varje transaktion som förändrar databasen, kunna registrera vem som utfört transaktionen, när den utförts och vilka poster/fält som ändrats. Denna registrering kan vara kombinerad med historikloggningen och/eller med transaktionsloggningen (se säkerhetskopiering nedan).

Åtkomstloggning

(S) IT-systemet ska kunna registrera vem som får åtkomst till (ser, kopierar, förändrar eller raderar) sekretessbelagda eller integritetskänsliga uppgifter.

Historiklogg

Med historiklogg avses en registrering av historiska (tidigare) värden hos poster, normalt kombinerad med en säkerhetslogg på transaktionsnivå. IT-systemet ska möjliggöra fullständig historikloggning, kombinerat med säkerhetsloggning (registrering av vem som förändrat uppgifterna och när), i databasen, för vissa uppgiftstyper. Det ska vara möjligt för användare att enkelt ta fram de historiska uppgifterna.

Säkerhetslogg, operativsystem

Dessa krav avser operativsystem i driftdatorn/serverdatorn.

In- och utloggning

Om IT-systemet kräver inloggning i serverdatorn (för alla användare eller för vissa särskilda funktioner), ska in- och utloggning samt misslyckade försök till inloggning registreras i logg.

IT-systemkrav

Om säkerhetsloggning som krävs ovan inte görs i applikationen, utan ska göras i operativsystemet, ska detta klart framgå av installationshandledningen för IT- systemet.

Klocka

Förändringar i operativsystemets klocka (datum, tid etc.) ska registreras i logg.

Förändringar av filer

Det ska vara möjligt att i logg registrera förändringar av IT-systemets databaser och filer, som utförs med annan programvara än IT-systemet. Med förändring avses även återladdning från säkerhetskopia.

  • Det ska vara möjligt att i logg registrera åtkomst till sekretessbelagda eller integritetskänsliga uppgifter i IT-systemets databaser och filer, som utförs med annan programvara än IT-systemet, .

Säkerhetskopiering

IT-systemet ska möjliggöra automatisk säkerhetskopiering av samtliga lagrade uppgifter, samt av behörighetstabeller, loggar och annan motsvarande information.

Säkerhetskopieringen ska inte kunna blockeras, ens till någon del, på grund av misstag eller fel från användares sida.

Säkerhetskopierings ska kunna göras så, att säkerhetskopiorna kan utnyttjas i datorer som inte är tekniskt identiska med driftdatorn/serverdatorn.

Viktiga uppgifter i IT-systemets databaser ska inte kunna manipuleras genom att säkerhetskopior ändras och sedan laddas tillbaka. Denna nivå av skydd förutsätter exempelvis krypterade checksummor, eventuellt i kombination med IC-kort,

Transaktionslogg

IT-systemet ska ge möjlighet till löpande transaktionsloggning, på annan teknisk enhet än den där databasen lagras. Transaktionsloggen ska kunna användas tillsammans med säkerhetskopia för att återskapa informationen i databasen fram till ögonblicket före ev. störning.

Kontroll

IT-systemet ska vara utformat så att det är möjligt att med rimliga insatser regelbundet kontrollera att säkerhetskopieringen av databaser, loggar och annan viktig information är fullständig, korrekt och användbar.

Säkerhet hos leverantören

IT-säkerhet

Leverantören skall följa lärosätets informations- och IT-säkerhetspolicy och därtill knutna riktlinjer. Utöver dessa riktlinjer bör rubrikerna nedan beaktas särskilt vid bedömning av en leverantör. Någon överföring av filer eller programvara till nät utanför lärosätet nät får inte ske utan särskilt tillstånd.

Sekretess

För att lärosätet inte skall lida skada i samband med nyttjandet av externa resurser är det lämpligt att följande sekretessklausul ingå:

Leverantören förbinder sig att inte till någon enskild eller juridisk person röja uppgifter om lärosätets verksamhet, anställda, studenter, kunder eller samarbetspartners som leverantören tar del av i samband med uppdraget, var sig det sker muntligen, genom att en handling lämnas ut eller på annat sätt. Leverantören förbinder sig även att inte nyttja sådan uppgift utan särskilt tillstånd från lärosätet.

Vidare förbinder sig leverantören att informera personal och underleverantörer om tystnadsplikten.

Sekretessen gäller även efter det att uppdraget har upphört.

Om leverantören, hans personal eller underleverantörer bryter mot tystnadsplikten utgår ett vite om 5 % av avtalat pris

Personalkontroll

För att ytterligare förvissa sig om att lärosätets rykte eller anseende inte kan skadas kan lärosätet begära att leverantör genomföra en säkerhetsprövning av enskild medarbetare. En sådan prövning skall minst omfatta:

  • . personlig kännedom,

  • . uppgifter som framgår av betyg, intyg och referenser.

  • . leverantörens beroende av enstaka nyckelpersoner för utveckling och förvaltning av IT-systemet.

Fysisk säkerhet

I uppdragsavtal skall:

  • . leverantören förbinda sig att följa lärosätets säkerhetsriktlinjer avseende tillträde till lokalerna.

  • . leverantören förbinda sig att inte föra ut några sekretessbelagda eller känsliga handlingar, filer, disketter, material eller annan information utanför lärosätets lokaler utan särskild tillåtelse. Om leverantör efter särskild tillåtelse för ut material skall den följa lärosätets riktlinjer för förvaring av denna typ av material och information.

Skydd av program

Leverantören måste skydda originalprogram, eventuellt anpassade versioner av program, programdokumentation och annat av väsentlig betydelse för IT-systems fortsatta utveckling och förvaltning, så att dessa inte kan förstöras eller förkomma. Förvaring bör följa lärosätets krav på förvaring av sådant material. Handbok i Informations- och IT-säkerhet


IT-säkerhetshandboken | Utskriftsvänlig sida | Kontakt