Microsoft Word - 3386.DOC - medarbejdere.au.dkmedarbejdere.au.dk/fileadmin/Resources/dmuintranet... · Web viewDisse placeres i DMZ zoner på netværket og beskyttes af Firewall’en

DANMARKS MILJØUNDERSØGELSERAARHUS UNIVERSITETIT-SIKKERHEDSUDVALGETTitel: DMUs punkt-for-punkt respons til DS484:2005 – Kapitel 10 Styring af netværk og driftDato: 2007-11-

30Version:

1 Ansvarlig:

bf/bf Side 1 af 16

Dette dokument er en annoteret udgave af DS484:2005, i hvilket DMUs respons er oplistet sideløbende med teksten med angivelse af implementering, kommentar og aktion for hvert enkelt punkt samt angivelse af den/de ansvarshavende og status for arbejdet.

For Ansvarshavende benyttes følgende forkortelser: For Status benyttes følgende forkortelser:ITSU DMUs IT-sikkerhedsudvalg (blank) Ikke startetITST DMUs IT-styringsgruppe I/R Ikke Relevant (Ingen aktion/implementering/kommentar

påkrævet)Koor DMUs IT-sikkerhedskoordinator BEG Proces begyndtIT-afd DMUs IT-afdeling UDK Udkast udarbejdet – afventer godkendelseSEK (-TEK)DMUs Sekretariat (Tekniske sektion) OK Dokumenter godkendt af ITSUQA QA koordinatoren for de DANAK akkrediterede metoder PUB Dokumenter publiceretHSU DMUs hovedsamarbejdsudvalg IMP Politikken er implementeret

DS 484 1. udgave 2005-09-20 Standard for informationssikkerhed

DMUImplementering/Kommentar/Aktion

Ansvarshavende Status

10 Styring af netværk og drift - - I/R

10.1 Operationelle procedurer og ansvarsområder Formål At sikre en korrekt og betryggende driftsafvikling af virksomhedens informationssystemer. Ansvar og retningslinjer for styring og drift af virksomhedens informationssystemer skal være fastlagt. Herunder driftsinstruktioner og reaktionsprocedurer til imødegåelse af uønskede hændelser. For at reducere risici på grund af uagtsomhed eller overlagt misbrug skal funktionsadskillelse gennemføres, hvor det er relevant.

Ansvaret for driftsafvikling ligger hos IT-afdelingen. Overordnet har DMUs IT-sikkerhedsudvalg besluttet kun at tilstræbe funktionsadskillelse på de områder, hvor lovmæssige krav fordrer det eller det i øvrigt ved individuel risikovurdering findes påkrævet eller ønskeligt.

ITSU

10.1.1 Driftsafviklingsprocedurer Sikringsforanstaltning Driftsafviklingsprocedurer for forretningskritiske systemer skal være dokumenterede, ajourførte og tilgængelige for driftsafviklingspersonalet og andre med et arbejdsbetinget behov. Implementeringsretningslinjer Driftsafviklingsprocedurer er en del af virksomhedens informationsaktiver og skal derfor indgå i en formaliseret ændringsstyring, herunder en ledelsesmæssig godkendelse. Procedurerne skal omfatte samtlige informationsbehandlingsopgaver, herunder: a) behandling og håndtering af information b) sikkerhedskopiering, jf. 10.5 c) afviklingsplanlægning, herunder driftsmæssige bindinger til andre systemer og fastlagte tidsterminer d) fejl- og undtagelseshåndtering, herunder begrænsninger vedrørende brug af systemhjælpeværktøjer, jf. 11.5.4 e) kontaktpersoner ved operationelle eller tekniske problemer f) procedurer for håndtering af særlige uddata og databærende medier, eksempelvis brug af særlige blanketter eller håndtering af fortrolige/følsomme uddata, herunder også sikker destruktion af fejlbehæftede uddata, jf. 10.7.2 og 10.7.3 g) retablerings- og genstartsprocedurer ved systemfejl h) styringen af kontrolspor og øvrige systemtekniske logninger, jf. 10.10. Hvor det er teknisk muligt, skal virksomhedens informationssystemer styres og dokumenteres efter ensartede

Det pålægges ejeren af de pågældende systemer at udvikle, vedligeholde og tilgængeligholde den fornødne dokumentation. I visse tilfælde kan opgaven delegeres til IT-afdelingen. Beskrivelsen af de enkelte systemer skal indeholde de i punkterne a) til h) angivne informationer, idet der sædvanligvis vil kunne henvises til fastlagt praksis i den/de relevante baseline dokument(er) for f.eks. omfanget af og terminerne for sikkerhedskopiering jvfr punkt b) eller en standardløsning for kontrolspor jvfr punkt h).

Ejere


30Version:

1 Ansvarlig:

bf/bf Side 2 af 16

retningslinjer.

Bemærkninger Ingen.

10.1.2 Ændringsstyring Sikringsforanstaltning Ændringer til forretningskritisk informationsbehandlingsudstyr, -systemer og -procedurer skal styres gennem en formaliseret procedure. Implementeringsretningslinjer Proceduren skal indeholde følgende: a) entydig identifikation og registrering af væsentlige ændringer b) krav til planlægning og afprøvning af ændringer c) vurdering af ændringens konsekvenser, herunder sikkerhedskonsekvenser inkl. konsekvenser for beredskabsplanen, jf. 14.1.5 d) en formaliseret godkendelsesprocedure e) en informationsformidlingsprocedure f) nødprocedure ved fejlslagne ændringer g) logningsprocedure, jf. 10.10.

Bemærkninger Mangelfuld ændringsstyring er en af de hyppigste årsager til uheld og nedbrud, specielt overgangen fra udvikling til drift kan være kritisk, jf. 12.5.1. Ændringer bør kun gennemføres, når de er forretningsmæssigt velbegrundede. Det bør nøje overvejes om eksempelvis enhver systemteknisk ændring fra en systemleverandør er relevant.

DMUs bestand af forretningskritiske informationsbehandlingsudstyr, -systemer og -procedurer er begrænset og Standardens punkt 10.1.2 kommer primært i brug i forhold til systemer, hardware og datasamlinger som benyttes af DANAK Akkrediterede metoder, som beskrevet nærmere i grænsesnitdokumenterne“ITSU DS484 og DANAK akkrediterede metoder.doc” og“EDBAKR-DS484.doc”

Udvikling, afprøvning og ibrugtagning af mange systemer er i vidt omfang decentraliseret i DMU. Det er ejeren af hvert enkelt system som i systemdokumentation angiver hvilke dele af punkt 10.1.2 som er fundet relevante i forbindelse med risikovurderingen.

QA, Koor

10.1.3 Funktionsadskillelse Sikringsforanstaltning Funktionsadskillelse er en organisatorisk sikringsforanstaltning til minimering af risikoen for fejlagtig eller bevidst misbrug af systemer. Der skal etableres funktionsadskillelse for at minimere risikoen for uautoriserede eller utilsigtede ændringer eller misbrug af virksomhedens informationsaktiver. Implementeringsretningslinjer Det skal sikres, at samme person ikke har adgang til at tilgå, ændre og anvende informationsaktiver, uden at dette er godkendt eller vil blive opdaget. Samme person må ikke både godkende og initiere en given handling. Ved tilrettelæggelse af funktionsadskillelse skal risikoen for indbyrdes aftaler medarbejderne imellem indgå. Hvis funktionsadskillelse ikke kan gennemføres i eksempelvis mindre virksomheder, skal der iværksættes kompenserende kontrolforanstaltninger, fx overvågning, logning eller lignende.


Overordnet har DMUs IT-sikkerhedsudvalg besluttet kun at tilstræbe funktionsadskillelse på de områder, hvor lovmæssige krav fordrer det eller det i øvrigt ved individuel risikovurdering findes påkrævet eller ønskeligt. Dette er primært på økonomi- og personalesystemer og vil fremgå af systembeskrivelse og risikovurderingen for de pågældende systemer.I forbindelse med f.eks. håndteringen af backup-medier finder DMU det ikke praktisk at have en stringent funktionsadskillelse i den daglige driftsafvikling, men tilstræber at opgaven med verifikation af sikkerhedskopier og håndtering af arkiverede medier foretages af en anden personkreds end de medarbejdere som har den daglige håndtering af sikkerhedskopieringen. Herved bliver verifikationen af sikkerhedskopierne en kompenserende kontrolforanstaltning.

SEK, Koor

10.1.4 Adskillelse mellem udvikling, test og drift Sikringsforanstaltning Udviklings-, test- og driftsaktiviteter skal adskilles for at undgå uautoriseret adgang til eller ændringer i driftsmiljøet. Implementeringsretningslinjer Følgende punkter skal være implementeret: a) Retningslinjer for overførsel af forretningskritiske systemer fra udviklings- og testmiljøet til driftsmiljøet. b) * Udviklings- og testmiljøet skal være systemteknisk eller fysisk adskilt fra driftsmiljøet. c) Udviklings- og hjælpeværktøjer må kun findes i driftsmiljøet, hvis det er påkrævet, jf. 11.5.4. d) Testmiljøet skal være så identisk med driftsmiljøet som muligt.

Overordnet har DMU meget få systemer med særskilte udviklings-, test- og driftsmiljøer. Det er primært økonomi- og personalesystemer samt database-servere til fagsystemer hvor en sådan opdeling forekommer og det vil fremgå af systembeskrivelse og risikovurderingen for de pågældende systemer, hvor også respons til punkerne a), c), d), f) vil være optegnet.

SEK, Koor


30Version:

1 Ansvarlig:

bf/bf Side 3 af 16

e) * Hvis en bruger har behov for adgang til både udviklings-, test- og driftsmiljøerne, skal vedkommende benytte forskellige brugerprofiler. f) Følsomme/fortrolige data må ikke benyttes i udviklings- og testmiljøet, medmindre adgangskontrolforanstaltningerne er lige så restriktive som i driftsmiljøet, jf. 12.4.2.

Bemærkninger Manglende adskillelse mellem udvikling, test og drift er en af de største trusler mod både tilgængelighed, integritet og fortrolighed, hvad enten truslen skyldes uagtsomhed eller bevidst misbrug.

10.2 Ekstern serviceleverandør Formål At sikre implementeringen og opretholdelsen af det ønskede sikkerhedsniveau ved samarbejde med en ekstern serviceleverandør, idet virksomheden skal være opmærksom på, at den fortsat har det overordnede ansvar for informationssikkerheden. Virksomheden skal verificere implementeringen af det aftalte sikkerhedsniveau og løbende overvåge, at niveauet fastholdes, og at eksempelvis ændringer i serviceleverandørens driftsmiljø ikke forringer sikkerhedsniveauet. Der skal være udpeget en ansvarlig kontakt både i virksomheden og hos serviceleverandøren.

Som en del af indgåelsen af aftaler om ekstern dataadgang indgår også en vurdering af underpunkterne i Standardens afsnit 10.2Dokumenter: “ITSU Ejer Guide – Ekstern adgang.doc” og “ITSU Ekstern adgangsaftale – skabelon.doc”

10.2.1 Serviceleverancen Sikringsforanstaltning Virksomheden skal sikre sig, at der er indgået en aftale, og at de aftalte sikrings- og kontrolforanstaltninger, serviceydelser og servicemål bliver etableret, leveret og opretholdt, jf. 6.2. Implementeringsretningslinjer For at sikre aftalens overholdelse er det vigtigt, at virksomheden løbende har indsigt i og forholder sig kritisk til: a) serviceleverandørens løbende kapacitetstilpasning b) kvaliteten af og realismen i serviceleverandørens beredskabsplaner. Herudover skal en eventuel overgangsperiode planlægges omhyggeligt.


Se det overordnede svar til punk 10.2. Punkter a) og b) vil blive vurderet hvor det er relevant.

10.2.2 Overvågning og revision af serviceleverandøren Sikringsforanstaltning Virksomheden skal regelmæssigt overvåge serviceleverandøren, gennemgå de aftalte rapporter og logninger samt udføre egentlige revisioner, for at sikre at aftalen overholdes, og at sikkerhedshændelser og -problemer håndteres betryggende. Implementeringsretningslinjer Følgende aktiviteter skal gennemføres løbende: a) overvågning af det aftalte serviceniveau b) * regelmæssige møder med gennemgang af driftsrapport, herunder sikkerhedshændelser c) gennemgang af og opfølgning på sikkerhedshændelser, driftsproblemer, fejl og nedbrud d) gennemgang af sikkerheds- og driftsrelaterede logninger e) indgåelse af aftale, planlægning og opfølgning på løsningen af udestående problemer.

Bemærkninger Den egentlige revision skal gennemføres af en anerkendt revisionsvirksomhed, jf. 6.2.3. Det kan eventuelt være servicevirksomhedens egen revisor, som i så fald afgiver en erklæring om revisionen og dens resultat. Hvis revisor observerer væsentlige forhold, der kræver umiddelbare foranstaltninger, skal det være aftalt, at han varskor begge parter.

Se det overordnede svar til punk 10.2. Punkter a) og c) til e) vil blive vurderet og de fornødne procedurer bliver aftalt hvor dette skønnes relevant. Ligeledes vil IT-sikkerhedsudvalget pålægge ejerne af allerede etablerede systemer at vurdere om Standardens afsnit 10.2.2 er relevant.


30Version:

1 Ansvarlig:

bf/bf Side 4 af 16

10.2.3 Styring af ændringer hos ekstern serviceleverandør Sikringsforanstaltning Virksomheden skal sikre sig, at ændringsstyring af serviceleverandørens ydelser følger samme retningslinjer som virksomhedens egen ændringsstyring, jf. 10.1.2. Implementeringsretningslinjer Ændringsstyring hos en serviceleverandør skal tage højde for følgende specielle forhold: a) * virksomhedens egne ændringsønsker:

1. udvidelser af de eksisterende serviceydelser2. udvikling af nye systemer3. ændringer i virksomhedens politikker og procedurer4. nye sikringsforanstaltninger til forbedring af sikkerheden

b) * serviceleverandørens ændringsønsker:1. ændringer af netværk2. ny teknologi3. nye styresystemer eller nye versioner af eksisterende4. nye udviklingsværktøjer og -miljøer5. bygningsmæssige ændringer6. nye underleverandører.

Bemærkninger Kravene til ændringsstyring skal også omfatte eventuelle underleverandører, jf. 6.2.3 u).

Se det overordnede svar til punk 10.2. Som beskrevet i svaret til punkt 10.1.2 har DMU meget få systemer hvor en egentlig ændringsstyring er påkrævet. De fleste af disse er DANAK akkrediterede metoder som er strengt interne, men ejerne af systemer med ekstern adgang skal ligeledes vurdere om ændringsstyring er nødvendig.

10.3 Styring af driftsmiljøet Formål At minimere risikoen for teknisk betingede nedbrud. En vis grad af langtidsplanlægning er påkrævet for at sikre tilstrækkelig kapacitet. Der skal derfor foretages en løbende kapacitetsfremskrivning baseret på de forretningsmæssige forventninger til vækst og nye aktiviteter og de heraf afledte kapacitetskrav.

IT-afdelingen har det overordnede driftsansvar for alle DMUs informationssystemer. Betydelige resurser (personale og økonomiske) er afsat på sikring af driften

IT-AFD IMP

10.3.1 Kapacitetsstyring Sikringsforanstaltning Ressourceforbruget skal overvåges og tilpasses, og der skal foretages fremskrivninger af det forventede kapacitetsbehov. Implementeringsretningslinjer Kapacitetsstyring skal omfatte: a) løbende overvågning og justering for at sikre optimal anvendelse af kapaciteten b) * varslingssystemer som i tide advarer om eventuelle kapacitetsproblemer c) de forretningsmæssige forventninger til ressourceforbruget i eksisterende forretningssystemer d) de forretningsmæssige forventninger til ressourcebehovet i nye forretningssystemer.

Bemærkninger En effektiv kapacitetsstyring er i særlig grad påkrævet for ressourcer med lang leveringstid eller relativt høje omkostninger, hvor en unødig overkapacitet vil være økonomisk uforsvarlig.

DMUs IT-afdeling har til opgave til stadighed at overvåge om kapaciteten på DMUs informationssystemer imødekommer DMUs forretningsmæssige behov og skal gennem IT-styringsgruppen sikre at DMU vedtager og gennemfører løbende investeringsplaner. Dette besvarer punkterne a) til c). Alle nye systemer skal godkendes, dimensioneres, ordres og installeres af IT-afdelingen. Som et fast led i denne proces foretages en kapacitetsvurdering. Herved opfyldes punkt d)

IT-AFD, ITST IMP

10.3.2 Godkendelse af nye eller ændrede systemer Sikringsforanstaltning Der skal foreligge generelle godkendelseskriterier for nye systemer og nye versioner eller opdateringer af eksisterende systemer samt de afprøvninger, der skal foretages, før de kan godkendes og sættes i drift. Implementeringsretningslinjer Følgende punkter skal overvejes i forbindelse med godkendelsen:

Se svaret til afsnit 10.3.1. Standardens krav i punkterne a) til j) håndteres i forbindelse med udarbejdelsen af risikovurderingen og systemdokumentationen for det nye/ændrede system


30Version:

1 Ansvarlig:

bf/bf Side 5 af 16

a) systemets kapacitetskrav, herunder krav til svartider og lignende b) fejlhåndtering og genstartsprocedurer samt beredskabsplaner c) forberedelse og afprøvning af driftsprocedurerne i overensstemmelse med fastlagte driftsstandarder d) aftalte sikkerhedsprocedurer e) systemets krav til manuelle procedurer f) systemets krav til retablering ved større uheld, jf. 14.1 g) vurdering af systemets indflydelse på eksisterende systemer h) vurdering af systemets indflydelse på det generelle sikkerhedsniveau i) systemets krav til særlig uddannelse og træning j) brugervenlighed, da dette har betydning for brugerfejl og -effektivitet.

Bemærkninger For større eller kritiske systemer vil det være hensigtsmæssigt at involvere driftsafdelingen på et tidligt tidspunkt i udviklingsprocessen for at sikre størst mulig overensstemmelse med de driftsmæssige krav. Det kan endvidere i nogle tilfælde være nødvendigt med en formaliseret efterprøvning af sikkerheden, før systemet sættes i drift.

10.4 Skadevoldende programmer og mobil kode Formål At beskytte mod skadevoldende programmer, som eksempelvis virus, orme, trojanske heste og logiske bomber. Der skal træffes foranstaltninger til at forhindre og konstatere angreb af skadevoldende programmer. Informationsbehandlingssystemer er sårbare over for angreb fra skadevoldende programmer. Beskyttelsen hviler i høj grad på brugernes opmærksomhed og adfærd. Mobil kode udgør dog en særlig trussel, da den ikke forudsætter brugerinitierede handlinger.

DMUs IT-afdeling afsætter løbende betydelige personale- og økonomiske resurser til beskyttelse med skadevoldende programmer. Sammen med IT-sikkerhedsudvalget og Informationsafdelingen gennemføres regelmæssigt kampagner for at højne brugernes opmærksomhed.

IT-AFD,ITSU,SEK

IMP

10.4.1 Beskyttelse mod skadevoldende programmer Sikringsforanstaltning Der skal etableres både forebyggende, opklarende og udbedrende sikrings- og kontrolforanstaltninger, herunder den nødvendige uddannelses- og oplysningsindsats for virksomhedens brugere af informationssystemer. Implementeringsretningslinjer Følgende foranstaltninger skal etableres: a) Et formelt forbud mod anvendelse af uautoriserede systemer, jf. 15.1.2. b) Præcise retningslinjer for håndtering af datafiler fra eksterne netværk eller andre eksterne medier, jf. 11.5.4 og 11.5.5. c) * Regelmæssig gennemgang af system- og datafiler til kritiske forretningssystemer, hvor uautoriserede filer og systemændringer undersøges omhyggeligt. d) Installering og løbende opdatering af systemværktøjer til:

1. at undersøge alle filoverførsler fra åbne netværk eller fra en ukendt eller uautoriseret kilde2. at undersøge al elektronisk post for vedhæftede filer eller anden tilknyttet programkode. Denne undersøgelse bør gennemføres flere steder, fx i virksomhedens logiske netværksfilter, i udstyret til behandling af elektronisk post eller i udstyret på den enkelte arbejdsplads3. * at beskytte imod skadevoldende programmer fra internethjemmesider.

e) Dokumenterede procedurer for håndteringen, rapporteringen og udbedringen af angreb af skadevoldende programmer, jf. 13.1 og 13.2. f) En betryggende beredskabsplan, jf. pkt. 14. g) * Procedurer som sikrer, at virksomheden løbende informeres fra seriøse og pålidelige kilder om nye trusler om og forholdsregler mod skadevoldende programmer.

Se det overordnede svar til afsnit 10.4. Fsv angår punkter a)og b) – og som et generelt eksempel på opfyldelsen af kravet om den nødvendige uddannelses- og oplysningsindsats henvises til dokumentsamlingen Medarbejder Guides.

Vedr punkt d1) er alle arbejdsstationer og servere udstyret med virusbeskyttelsessoftware som opfylder kravet i Standarden. Dette fremgår af baseline risikovurderingen for den relevante klasse af systemer.

Vedr punkt d2) er der scanning af ind- og udgående e-mail for skadevoldende kode 3 steder: På den enkelte arbejdsplads (jvfr d1)ovenfor), på DMUs lokale “posthuse” og endelig gennem den kommercielle partner som varetager DMUs eksterne mail-flow. Dette fremgår af risikovurderingen for e-mail systemer

Vedr punkt d3) vil DMU i forbindelse med overgang til ny Internetleverandør etablere scanning af skadevoldende programmer fra internethjemmesider.

Punkterne e), f) og h) er håndteret i DMUs Virusberedskabsplan, se


30Version:

1 Ansvarlig:

bf/bf Side 6 af 16

h) Retningslinjer for, hvorledes medarbejderne skal reagere, hvis de rammes af et skadevoldende program eller af advarsler mod skadevoldende programmer.

Bemærkninger Beskyttelsen mod skadevoldende programmer kan i nogle situationer øges ved at benytte beskyttelsesværktøjer fra forskellige leverandører på virksomhedens driftsplatforme.

dokument: ”ITSU Virusberedskabsplan.doc”

10.4.2 Beskyttelse mod mobil kode Sikringsforanstaltning Anvendelse af mobil kode skal begrænses til et afgrænset driftsmiljø. Implementeringsretningslinjer Følgende beskyttelsesforanstaltninger skal implementeres: a) * Mobil kode må kun anvendes i et logisk eller fysisk isoleret driftsmiljø. b) * Det skal ikke være muligt at anvende mobil kode i andre miljøer. c) * Det skal ikke være muligt at modtage mobil kode i andre miljøer. d) * Andre systemtekniske foranstaltninger til at beskytte mod mobil kode. e) * Overvågning af potentielle adgangsveje for mobil kode. f) * Sikre entydig kryptografisk autentifikation af mobil kode, jf. 12.3, hvis de forretningsmæssige behov nødvendiggør anvendelsen af mobil kode.

Bemærkninger Mobil kode anvendes hovedsageligt i forbindelse med mobile agentsystemer, eksempelvis ActiveX og Java Applets. Uhensigtsmæssig systemopsætning og utilstrækkelige sikringsforanstaltninger kan føre til alvorlige sikkerhedsbrud.

- - N/A

10.5 Sikkerhedskopiering Formål At sikre den ønskede tilgængelighed til virksomhedens informationsaktiver. Der skal være etableret faste procedurer for sikkerhedskopiering og løbende afprøvning af kopiernes anvendelighed.

Sikkerhedskopiering er IT-afdelingens mest basale og højest prioriterede opgave.

IT-AFD

10.5.1 Sikkerhedskopiering Sikringsforanstaltning Der skal tages sikkerhedskopier af alle virksomhedens væsentlige informationsaktiver, herunder eksempelvis parameteropsætninger og anden driftskritisk dokumentation, i henhold til fastlagte retningslinjer. Implementeringsretningslinjer Følgende punkter skal være implementeret: a) Behovet for sikkerhedskopiering skal være fastlagt. b) En fortegnelse over, hvilke data og systemer der skal sikkerhedskopieres, hvor hyppigt og på hvilke medier, samt hvor og hvor længe de skal opbevares, jf. 15.1.3. Endvidere skal gendannelsesproceduren være beskrevet. c) Omfanget og hyppigheden skal afspejle de forretningsmæssige behov og systemernes væsentlighed. d) Sikkerhedskopier skal opbevares adskilt fra virksomhedens øvrige informationsbehandlingsudstyr, så et uheld ikke vil skade sikkerhedskopierne. e) Sikkerhedskopierne skal i øvrigt beskyttes i henhold til de omfattede datas klassifikation og det aftalte sikkerhedsniveau. f) Sikkerhedskopier skal afprøves regelmæssigt for at sikre, at de stadig er anvendelige. g) Gendannelsesprocedurer skal ligeledes afprøves regelmæssigt for at sikre, at de fungerer og kan udføres inden for den aftalte tidsramme. h) * Hvis fortrolighedskravet tilsiger det, skal sikkerhedskopierne beskyttes med kryptering.

Fastlæggelse af omfang og hyppighed af sikkerhedskopiering indgår i alle risikovurderinger. For en given type af datasamling vil baseline risikovurderingen stipulere standardniveauet. Ejeren af en give datasamling, system eller hardware skal vurdere om standardniveauet er dækkende og i modsat fald indgå aftale med IT-afdelingen om et andet niveau. Den overordnede strategi for sikkerhedskopiering er beskrevet i dokumentet “ITSU Sikkerhedskopiering.doc” som i samspil med baseline risikovurderingerne, de individuelle systemers risikovurderinger samt IT-afdelingens interne dokumentsamling af backup-instrukser for de forskellige systemer udgør DMUs implementering af Standardens afsnit 10.5.1. Fsv angår punkterne d) og e) henvises specifikt til dokumentet “ITSU Datamedier.doc”


30Version:

1 Ansvarlig:

bf/bf Side 7 af 16

Bemærkninger Sikkerhedskopiering kan i vid udstrækning automatiseres. Sådanne automatiserede løsninger skal afprøves omhyggeligt, før de tages i brug.

10.6 Netværkssikkerhed Formål At beskytte transmitterede data og den underliggende infrastruktur.Sikkerheden i netværk skal styres, specielt hvis følsomme/fortrolige informationer transmitteres over åbne netværk, jf. Persondataloven.

Netværkssikkerheden har høj bevågenhed i IT-afdelingen. Sikringen foregår typisk i samspil med eksterne parter. IT-afdelingen vil i forbindelse med fornyelse af aftalerne tilse at disse indrettes i henhold til Standarden

IT-AFD

10.6.1 Netværket Sikringsforanstaltning Netværk skal beskyttes mod trusler for at sikre netværksbaserede systemer og de transmitterede data. Implementeringsretningslinjer Den netværksansvarlige skal sikre, at der er implementeret den fornødne beskyttelse mod uautoriseret adgang, herunder: a) funktionsadskillelse, jf. 10.1.3 b) procedurer og ansvar for styring af netværksudstyr inkl. fjernarbejdspladser c) * ved brug af åbne net og trådløse net skal behovet for særlig beskyttelse vurderes, jf. 11.4 og 12.3 d) de fornødne lognings- og overvågningsprocedurer skal være etableret, jf. 10.10 e) styringen af virksomhedens netværk skal koordineres for at sikre en optimal udnyttelse og et sammenhængende sikkerhedsniveau.

Bemærkninger Yderligere beskrivelse af netværkssikkerhed kan findes i ISO/IEC 18028 Network Security.

Dokumentet “ITSU Netværksdokumentation.doc” beskriver de forskellige dele af DMUs netværk (LAN, WAN, Firewall, Fjernadgang). Dokumentet henviser til IT-afdelingens interne dokumentsamling af konfigurationsdokument for de forskellige systemer og komponenter.

Fsv angår punkt d) har DMU endnu ikke et system til systematisk logning og overvågning af netværksbegivenheder. IT-sikkerhedsudvalget har udpeget dette som en højt prioriteret opgave og IT-afdelingen vil gennem IT-styringsgruppen søge resurser til at gennemføre denne opgave i 2008.

Fsv angår punkt e) foregår koordinering af alle netværkstiltag af IT-afdelingens Netværksansvarlige i nært samspil med IT-sikkerhedskoordinatoren.

IT-AFDITSU

10.6.2 Netværkstjenester Sikringsforanstaltning Aftalen vedrørende netværkstjenester skal beskrive de aftalte sikringsforanstaltninger og servicemål, uanset om tjenesten leveres af en intern eller en ekstern leverandør. Implementeringsretningslinjer Netværksleverandørens evne til at efterleve de aftalte betingelser skal vurderes og løbende overvåges. Muligheden for en uvildig revision skal være aftalt. Netværksleverandøren skal kunne levere: a) de nødvendige teknologiske muligheder for autentifikation, kryptering og overvågning b) de nødvendige tekniske opsætninger til at sikre opkoblinger i overensstemmelse med samarbejdsaftalen c) adgangskontrol, som sikrer mod uvedkommendes adgang.

Bemærkninger Man skal være opmærksom på, at aftalen med netværksleverandøren også kan omfatte supplerende ydelser som eksempelvis logiske filtre og indbrudsalarmer.

DMU baserer store dele af sit netværk på tjenesteydelser. Der er ikke kun tale om køb af “sort fiber” og “rå kobber” men også ydelser på højere lag i OSI modellen. I forbindelse med fornyelse af aftalerne vil IT-afdelingen sikre at leverandørerne overholder Standardens afsnit 10.6.2, at aftalerne afspejler dette og at den fornødne dokumentation er tilgængelig.

10.7 Databærende medier Formål Databærende medier skal beskyttes og deres distribution skal styres i overensstemmelse med de lagrede datas klassifikation og forretningsmæssige betydning.

IT-afdelingen har udarbejdet et dokument som omfatter alle relevante aspekter af omgangen med datamedier i DMU: “ITSU Datamedier.doc”

IT-AFD

10.7.1 Bærbare datamedier Sikringsforanstaltning Der skal foreligge procedurer for modtagelse, registrering, behandling, opbevaring, forsendelse og sletning af bærbare datamedier som eksempelvis papir, magnetbånd, disketter, flytbare diske, mobile lagringsenheder, CDrom'er m.m.

Se det generelle svar til afsnit 10.7.1. Dokumentet håndterer alene elektronisk information.

Fsv angår punkterne e) og f) er problemstillingerne del af

IT-AFD


30Version:

1 Ansvarlig:

bf/bf Side 8 af 16

Implementeringsretningslinjer Procedurerne skal være i overensstemmelse med de lagrede datas klassifikation og skal omfatte: a) sletning af data, hvis datamediet skal genbruges b) autorisation til og logning af flytning af bærbare datamedier, hvis de lagrede datas klassifikation og/eller krav om kontrolspor tilsiger det c) opbevaring i overensstemmelse med de lagrede datas klassifikation og datamediets tekniske specifikationer, jf. 10.7.3 f) d) lagring på alternativt medium, hvis data skal være tilgængelige længere end datamediets angivne levetid e) overvejelse af registrering af bærbare datamedier for at undgå datatab f) forretningsmæssig begrundelse for eventuel adgang til at benytte bærbare datamedier. Procedurer og eventuelle autorisationskrav skal være dokumenteret.

Bemærkninger Ved sletning af data skal der anvendes en metode, som i overensstemmelse med de pågældende datas klassifikation sikrer, at data ikke kan genskabes. En "reformatering" er ikke tilstrækkelig beskyttelse for følsomme/fortrolige data.

dokumentationen og risikovurderingen af de individuelle datasamlinger og dermed i høj grad decentraliseret.

10.7.2 Destruktion af datamedier Sikringsforanstaltning Der skal foreligge en procedure for destruktion af datamedier, som ikke længere skal anvendes. Implementeringsretningslinjer Proceduren for destruktion af datamedier skal være i overensstemmelse med de lagrede datas klassifikation med særligt hensyn til beskyttelsen af følsomme oplysninger: a) Destruktionsmetoden skal være effektiv, dvs. enten afbrænding, opstrimling eller lignende. b) Der skal foreligge retningslinjer for de enkelte datamediers destruktionsmetode. c) Hvis man benytter en ekstern leverandør til destruktion af virksomhedens datamedier, skal man sikre sig, at han efterlever de aftalte sikkerhedskrav, jf. 6.2.1 og 6.2.3. d) Destruktion af følsomme, fortrolige eller kritiske data skal logges af hensyn til kontrolsporet. Ved valg af destruktionsmetode skal man være opmærksom på, at store mængder af lavt eller uklassificeret materiale kan blive mere følsomt på grund af "ophobningseffekten".

Bemærkninger Lemfældige destruktions- og sletteprocedurer kan medføre, at uvedkommende får adgang til klassificerede oplysninger. Det vil i mange tilfælde være enklere at foretage en sikker destruktion af samtlige kasserede datamedier uanset dataindhold.

Se det generelle svar til afsnit 10.7.1

IT-afdelingen tilstræber i sin driftstilrettelæggelse at minimere det Standarden betegner som “ophobningseffekten”.

IT-AFD

10.7.3 Beskyttelse af datamediers indhold Sikringsforanstaltning Der skal være forretningsgange for beskyttelse af følsomme og fortrolige data mod uvedkommende adgang og misbrug. Implementeringsretningslinjer Der skal foreligge forretningsgange, som i overensstemmelse med klassifikationen sikrer beskyttelse af følsomme og fortrolige data såvel på bærbare arbejdsstationer, mobiltelefoner og andre håndholdte enheder som på dokumenter, disketter, magnetbånd, udskrifter, rapporter, CD-rom'er, mobile lagringsenheder, værdiblanketter m.m.: a) håndtering og mærkning b) adgangsbegrænsning c) log over tildelte autorisationer

Se det generelle svar til afsnit 10.7.1 Fsv angår beskyttelsen af følsomme og fortrolige data på arbejdsstationer henvises til dokumentet“ITSU Arbejdspladser med adgang til følsomme systemer.doc”

Mere generelt vil såvel systemdokumentationen og risikovurderingen for systemer, som behandler følsomme og/eller fortrolige data som den tilsvarende systemdokumentation og risikovurdering for de involverede datasamlinger med følsomt og/eller fortroligt indhold indeholde regler angående datamedier. Disse regler vil sædvanligvis, med mindre der er

IT-AFD


30Version:

1 Ansvarlig:

bf/bf Side 9 af 16

d) afstemningsprocedurer e) beskyttelse af midlertidigt lagrede data f) fysiske krav til opbevaringssted, fx temperatur og luftfugtighed ifølge leverandørens specifikationer g) minimering af distribution h) klar markering af alle kopier i) regelmæssig gennemgang af distributions- og autorisationslister.

Bemærkninger Procedurer for blanke værdiblanketter skal også omfatte kontrol med nummersekvens, opbevaring, forbrug og makulering. Værdiblanketter findes som fx checks, betalingskort, betalingsoverførsler, postudbetalingskort, fakturaer, bestillinger, bekræftelser, følgesedler og andre blanketter, der kan have økonomiske konsekvenser.

tvingende grunde til det modsatte og tilstrækkelige sikringsmekanismer kan findes, være et forbud mod lagring af de følsomme/fortrolige data udenfor det primære system.

10.7.4 Beskyttelse af systemdokumentation Sikringsforanstaltning Systemdokumentation kan indeholde fortrolige oplysninger, der beskriver et systems processer, datastrukturer, autorisationer m.m., og skal derfor beskyttes mod uautoriseret adgang. Implementeringsretningslinjer Følgende foranstaltninger skal være implementeret: a) systemdokumentation skal lagres sikkert b) adgangsrettighederne skal holdes på et minimum og godkendes af systemets ejer c) ved overførsler via åbne net skal dokumentationen beskyttes i overensstemmelse med dens forretningsmæssige betydning.

Bemærkninger Systemdokumentation kan indeholde en række følsomme oplysninger, eksempelvis behandlingsprocesser, diagrammer, datastrukturer og autorisationsprocedurer.

IT-sikkerhedsudvalget har vedtaget at balancen mellem åbenhed (med henblik på den størst mulige udbredelse af generelt kendskab til IT-sikkerhed) og sikring (med henblik på at beskytte systemer mod angreb som er gjort nemmere gennem for bredt kendskab til de detaljerede sikringsmekanismer) betyder at alle overordnede dokumenter om IT-sikkerhed (dette dokument, alle dokumenter om organisatoriske forhold, samlingerne af Medarbejder- og Ejer Guides m.fl.) er frit tilgængelige, mens dokumenter om specifikke sikringsmekanismer (herunder baseline dokumenterne) kun er tilgængelige for de relevante medarbejdere, og kun udleveres til trediepart mod afgivelse af fortrolighedserklæring.

I praksis er sonderingen gennemført ved at DMUs IT-sikkerhedsdokumentation er organiseret som to datasamlinger hvor den ene er klassificeret som “offentlig” mens den anden er “følsom”.

ITSU

10.8 Informationsudveksling Formål At fastholde informationssikkerheden under forsendelse, transmission og anden udveksling af information både internt og eksternt. Udveksling af information skal være baseret på faste retningslinjer, og der skal være procedurer og regler for beskyttelse af information under forsendelse, transmission og anden udveksling.

DMUs informationsaktiver indeholder generelt ikke følsomme eller fortrolige oplysninger, hvorfor behovet for særlig beskyttelse i forbindelse med forsendelse sjældent er relevant. I modsat fald påhviler det ejeren at sætte regler for forsendelse i forbindelse med udarbejdelsen af risikovurdering og systemdokumentation. I alle tilfælde gælder at hvis der skal udveksles data med eksterne parter skal der indgås aftale herom, se dokumenterne“ITSU Ejer Guide – Ekstern adgang.doc” og “ITSU Ekstern adgangsaftale – skabelon.doc”

10.8.1 Informationsudvekslingsretningslinjer og -procedurer Sikringsforanstaltning Der skal foreligge retningslinjer og procedurer for enhver form for informationsudveksling både fysisk og elektronisk. Implementeringsretningslinjer Retningslinjer og procedurer for informationsudveksling skal omfatte: a) beskyttelse mod misbrug, modifikation, fejlforsendelser, tab og destruktion

Set det generelle svar til afsnit 10.8.

Fsv angår punkterne a), c), i) og j) indgår dette i systembeskrivelsen for det pågældende system med følsomme/fortrolige dataFsv angår punkt b) henvises til de generelle forholdsregler for beskyttelse mod skadevoldende programmer i baseline


30Version:

1 Ansvarlig:

bf/bf Side 10 af 16

b) forholdsregler til opdagelse af og beskyttelse mod skadevoldende programmer, jf. 10.4.1 c) beskyttelse af følsomme oplysninger i form af vedhæftede data d) retningslinjer for virksomhedens brug af dataudvekslingsfaciliteter e) brug af trådløs kommunikation f) virksomhedens etiske regler for god opførsel for at undgå eksempelvis ærekrænkelser, chikane, kædebreve, uautoriserede indkøb og udveksling af ulovligt materiale g) * brug af kryptografiske teknikker til beskyttelse af fortrolighed, integritet og autenticitet, jf. 12.3 h) * opbevaring af meddelelser, som kan have betydning ved eventuelle retstvister i) forbud mod at efterlade følsomme oplysninger i kopimaskiner, printere, faxmaskiner og lignende, hvis disse kan tilgås af uvedkommende j) sikringsforanstaltninger og begrænsninger ved videresendelse af elektroniske forsendelser, fx automatisk videresendelse af elektronisk postk) retningslinjer for telefonisk udveksling af følsomme oplysninger for at undgå afsløring for uvedkommende specielt ved:

1. brug af mobiltelefoner2. aflytning ved fysiske indgreb eller andet aflytningsudstyr3. medhør hos modtageren

l) forbud mod at efterlade beskeder indeholdende følsomme oplysninger på ubeskyttede telefonsvarerem) retningslinjer for brug af telefax for at undgå:

1. uautoriseret adgang til faxmaskinens hukommelse2. bevidst eller hændelig afsendelse til uvedkommende3. fejlagtige opkald

n) retningslinjer for videregivelse af elektroniske postadresser og lignende for at undgå uautoriseret anvendelse, eksempelvis uønsket post (spam-mail)o) medarbejderne skal orienteres om, at moderne fax- og fotokopieringsmaskiner i tilfælde af fejl gemmer data, som automatisk udskrives, når fejlen er rettet. Herudover skal der være retningslinjer for drøftelse af følsomme/kritiske oplysninger på offentligt tilgængelige steder.

Bemærkninger Informationsudveksling kan ske via en række medier og services, fx trådløse og fysiske netværk, telefoni, samtale, DVD og video med forskellige sårbarheder.

risikovurderingen for den pågældende arbejdsstationFsv angår punkterne c) , d) og f) henvises til Medarbejder Guiderne om net-adfærd og e-mailFsv angår punkt e) henvises til DMUs generelle forbud mod brug af åbne trådløse netværkFsv angår punkterne k) og l) dækkes disse af tavshedspligten for medarbejdere som arbejder med følsomme eller fortrolige områderFsv angår punkterne m) til o) har DMU e-mail integreret fax (modtagelse i Institutionspostkassen [email protected]), hvorfor disse antediluviske punkter ikke er relevante.

10.8.2 Aftaler om informationsudveksling Sikringsforanstaltning Der skal foreligge aftaler om informationsudveksling, hvad enten udvekslingen sker fysisk eller elektronisk. Aftalens sikringsforanstaltninger skal være i overensstemmelse med klassifikationen af de informationer, der udveksles, og deres forretningsmæssige betydning. Implementeringsretningslinjer Følgende skal specificeres: a) placering og omfang af ansvar for styring af, kontrol med og varsling ved forsendelse eller transmission af information for såvel afsender som modtager b) * procedurer for transmissionskvitteringer for såvel afsendelse som modtagelse c) * procedurer til sikring af sporbarhed og uafviselighed d) tekniske specifikationer for pakning, formatering og transmission e) eventuelle deponeringsaftaler f) retningslinjer for identifikationsprocedurer

Set det generelle svar til afsnit 10.8.System-/data-ejeren sikrer at de relevante punkter er medtaget i aftalen om ekstern adgang.


30Version:

1 Ansvarlig:

bf/bf Side 11 af 16

g) ansvarsfordeling og erstatningsansvar i tilfælde af datatab h) entydig og præcis mærkning af følsomme eller kritiske informationer for at sikre den nødvendige beskyttelse i) ejerskabsforhold for data og programmer, ansvar for databeskyttelse, afklaring af ophavsrettigheder m.m., jf. 15.1.2 og 15.1.4j) tekniske specifikationer for ind- og udlæsning af data og programmerk) eventuelle særlige sikringsforanstaltninger for at beskytte vigtige eller fortrolige forhold og emner, fx krypteringsnøgler.

Bemærkninger Aftaler om informationsudveksling kan være digitale eller på papir og kan være en formel kontrakt eller en ansættelsesaftale.

10.8.3 Fysiske datamediers sikkerhed under transport Sikringsforanstaltning Fysiske datamedier skal beskyttes mod tab, forvanskning og misbrug under transport. Implementeringsretningslinjer Følgende skal implementeres: a) Kun pålidelige transportører må anvendes. b) Der skal foreligge en liste over autoriserede transportører. c) Der skal være aftalt en procedure for legitimation af autoriserede transportører. d) Emballagen skal kunne beskytte indholdet mod enhver fysisk ødelæggelse, som med rimelig sandsynlighed kan opstå under transporten, eksempelvis fugt. e) For følsomme oplysninger skal det overvejes at benytte særlige sikringsforanstaltninger, som eksempelvis aflåste transportkasser, personlig aflevering, forsegling eller fremsendelse i mindre enheder ad forskellige kanaler.


Set det generelle svar til afsnit 10.8.Hvor der benyttes fysiske medier til transmission skal system-/data-ejeren vurdere hvilke af punkter a) til e) som er relevante.

10.8.4 Elektronisk post og dokumentudveksling Sikringsforanstaltning Elektroniske meddelelser i form af elektronisk post, dokumentudveksling, fildeling og lignende kommunikationsformer skal beskyttes. Implementeringsretningslinjer Følgende sikringsforanstaltninger skal være implementeret: a) beskyttelse mod uautoriseret adgang og ændringer i overensstemmelse med de transmitterede informationers klassifikation b) forholdsregler mod ukorrekt adressering og fejlrutning c) tilstrækkelig kapacitet og tilgængelighed til at sikre de forretningsmæssige krav d) elektronisk post, der anvendes til at indgå bindende aftaler eller lignende, skal have særlige beskyttelsesforanstaltninger, fx digital signatur e) retningslinjer for medarbejdernes brug af elektronisk post, fildeling (fx "chatting" og "instant messaging") og lignende, herunder håndtering af forretningsrelevant post sendt til fraværende personer f) eventuelt skærpede krav til kontrol af afsenderens autenticitet eller etablering af filtre for at undgå uønsket elektronisk post (spam-mail) ved brug af offentlige netværk.

Bemærkninger Ved udveksling af elektronisk post skal man sikre sig, at man ikke medsender informationer, som ikke er tiltænkt modtageren. Korrektur og lignende kan eksempelvis hænge ved et tekstbehandlet dokument.

Set det generelle svar til afsnit 10.8.Hvor der benyttes elektronisk transmission skal system-/data-ejeren vurdere hvilke af punkter a) , b) som er relevante.Fsv angår punkt c) overvåger IT-afdelingen til stadighed liniekapaciteter og udarbejder investeringsplaner som vil sikre tilstrækkelig kapacitet til DMUs forretningsafvikling, jvfr afsnit 10.3.1Fsv angår punkt d) benyttes signeret e-post med Institutionspostkassen [email protected] som afsender.Fsv angår punkt e) henvises til Medarbejder Guiderne om net-adfærd og e-mailFsv angår punkt f) kan der om fornødent fordres at afsenderen benytter digital signatur også.

DMU finder ikke at diskussionen af SPAM er relevant her.


30Version:

1 Ansvarlig:

bf/bf Side 12 af 16

10.8.5 Virksomhedens informationssystemer Sikringsforanstaltning Mange virksomheder betjener sig af en række kommunikationsmedier for at dække medarbejdernes, samarbejdsparternes og omverdenens informationsbehov: papir, elektronisk post, intranet, fælles kalendersystem, multimedier, almindelig post og telefax. Efterhånden som vægten på disse medier ændrer sig og integrationen øges, opstår der nye risici, som virksomheden skal forholde sig til. Der skal derfor være retningslinjer for brug og integration af virksomhedens informationssystemer. Implementeringsretningslinjer Følgende sikringsforanstaltninger skal være etableret: a) en analyse af de integrerede informationssystemers sårbarheder b) retningslinjer for håndtering af virksomhedens kommunikationsmidler, fx logning af telefonopkald, lagring af telefax, åbning og fordeling af post c) retningslinjer for styring af virksomhedens informationsudveksling d) specifikation af, hvilke informationsklassifikationer der må distribueres på hvilke medier e) eventuelle adgangsbegrænsninger til fx udvalgte personers kalendere f) hvem der må få adgang til de forskellige medier, og hvorfra de må tilgås g) eventuelle restriktioner på specifikke anvendelser h) retningslinjer for oprettelse og indhold af fx medarbejderoversigt ("telefonbog") i) sikkerhedskopiering og opbevaringsperiode for de enkelte medier, jf. 10.5.1 j) eventuelle nødløsninger, jf. pkt.14.


Generelt er disse problemstillinger behandlet i risikovurderingerne af de enkelte systemer, her tænkes navnligt på risikovurderingen og systemdokumentation for e-post systemet

Fsv angår punkt a) henvises til risikovurderingerne (de generelle baselines såvel som de specifikke),Fsv angår punkterne b) og e) gælder at de overordnede principper er beskrevet i, og kommunikeret bredt ud via, Medarbejder Guides som f.eks. opridser logning og brugen heraf, retningslinierne for e-brevhemmelighed og spilleregler for gensidig postkasse og kalenderadgangFsv angår punkterne c), d), f) og g) skal disse punkter håndteres i risikovurderingen og systemdokumentationen for de relevante systemer.Fsv angår punkt h) henvises til systemdokumentationen for DMUsDirectory Services med underdokumenterFsv angår punk i) henvises til afsnit 10.5Fsv angår punk i) henvises til afsnit 14

10.9 Elektroniske forretningsydelser Formål At sikre elektroniske forretningsydelser, herunder onlineydelser og andre offentligt tilgængelige ydelser. 10.9.1 Elektronisk handel Sikringsforanstaltning Informationer i forbindelse med elektronisk handel over offentlige netværk skal beskyttes mod svindel, kontraktlige uoverensstemmelser samt uautoriseret adgang og ændringer. Implementeringsretningslinjer Følgende foranstaltninger skal være fastlagt: a) krav til kontrol af autenticitet af både køber og sælger b) procedure for tildeling af autorisationer til at indgå bindende købs- og salgsaftaler c) procedure for verifikation af autorisationer d) krav til fortrolighed, integritet og uafviselighed for både køber og sælger, fx i forbindelse med kontraktindgåelse e) krav til troværdighed af sælgers prisliste f) krav til fortrolighed for følsomme oplysninger g) krav til fortrolighed og integritet for alle købsordrer, betalingsoplysninger, leveringsadresser og kvitteringer h) kontrolprocedure for betalingsoplysninger i) krav til en sikker og hensigtsmæssig betalingsprocedure j) krav til beskyttelse af fortrolighed og integritet for ordreoplysningerk) beskyttelse mod tab eller gentagelse af transaktioner l) ansvarsplacering ved bedrageri

DMU driver ingen anden elektronisk handel and den som er associeret med Navision Stat systemet, herunder elektroniske fakturaer. Der er derfor ingen overordnede retningslinier i DMUs IT-sikkerhedspolitik, men de individuelle risikovurderinger og systembeskrivelse for de omfattede systemer skal alle tage stilling til de relevante punkter i Standardens afsnit10.9.1

Se systemdokumentationen for Navision Stat og tilhørende underdokumenter.


30Version:

1 Ansvarlig:

bf/bf Side 13 af 16

m) forsikringsforhold. Elektronisk handel mellem virksomheder skal være understøttet af en formel aftale, som forpligter begge parter til et sæt af handelsbetingelser. Offentligt tilgængelige systemer til elektronisk handel skal oplyse deres handelsbetingelser til potentielle købere. Ved brug af systemer til elektronisk handel skal man være opmærksom på, at det ikke er tilstrækkeligt at sikre selve informationsudvekslingen. Beskyttelsesforanstaltningerne på de tilknyttede informationsbehandlingsanlæg skal ligeledes have et niveau, der svarer til de særlige risici ved elektronisk handel, jf. 6.2.1 og 6.2.3 vedrørende risici ved eksternt samarbejde.

Bemærkninger Mange af de særlige beskyttelsesforanstaltninger i forbindelse med elektronisk handel kan kun etableres betryggende ved brug af krypteringsværktøjer, jf. 12.3.

10.9.2 Onlinetransaktioner Sikringsforanstaltning Ved systemer, hvor eksterne brugere tilbydes mulighed for direkte opdatering i virksomhedens databaser, fx mange banksystemer, skal der indføres særlige sikringsforanstaltninger for at forhindre transmissionsfejl, fejladressering, manipulation samt uautoriseret adgang og retransmission. Implementeringsretningslinjer De særlige sikringsforanstaltninger omfatter: a) * brug af digital signatur eller tilsvarende autentifikations- og integritetssikringsværktøj b) * sikring af både brugerens og de transmitterede informationers autenticitet og fortrolighed c) * sikring af at transmissionsvejen mellem de involverede parter er krypteret betryggende d) * sikring af transmissionsprotokollen mellem de involverede parter e) * sikring af de lagrede transaktioner f) * sikring af certifikatudsteders troværdighed.

Bemærkninger Hvis et onlinesystem er placeret i et andet land eller transaktionerne passerer andre lande, skal man være opmærksom på eventuelle lovgivningsmæssige forskelle.

DMU driver et antal fælles-offentlige databaser til hvilket en række af eksterne brugere har skriveadgang. For hver system/datasamling er udarbejdet individuelle risikovurderinger og systembeskrivelser, i hvilke forholdende omkring autentikering af eksterne brugeres transaktioner er beskrevet i henhold til Standardens afsnit 10.9.2. Der henvises endvidere til systemdokumentationen for DMUs Directory Services med underdokumenter

10.9.3 Offentligt tilgængelige informationer Sikringsforanstaltning Ved offentligt tilgængelige systemer, som eksempelvis en hjemmeside, er der ingen begrænsninger i brugeradgang og ingen form for brugeraftaler. Informationsindholdet skal derfor vurderes nøje og gennem en formel godkendelsesprocedure. Der skal endvidere være stærke beskyttelsesforanstaltninger mod uautoriserede ændringer. Implementeringsretningslinjer Følgende foranstaltninger skal være implementeret for at sikre: a) at eventuel registrering af data fra eksterne brugere er i overensstemmelse med lovgivningen, jf. 15.1.4 b) at behandling af eventuelle data fra brugerne sker korrekt, fuldstændigt og inden for den lovede tidsramme c) at følsomme oplysninger beskyttes mod uvedkommende både under behandling og under lagring d) at adgang til et offentligt tilgængeligt system ikke giver utilsigtet adgang til bagvedliggende systemer.

Bemærkninger Uautoriserede ændringer i offentligt tilgængelige systemer kan være skadelige for virksomhedens troværdighed og omdømme. Sådanne systemer skal derfor testes omhyggeligt og eventuelle data fra brugerne skal valideres og verificeres.

DMU driver et antal services med offentlig adgang. Disse placeres i DMZ zoner på netværket og beskyttes af Firewall’en mod uautoriseret adgang (dvs der må kun åbnes for relevante porte). Systemernes individuelle risikovurderinger og systembeskrivelser skal adressere Standardens afsnit 10.9.3. Da systemerne har ekstern adgang, men ingen juridisk ekstern partner, kan dokumentet “ITSU Ekstern adgangsaftale – skabelon.doc” sædvanligvis ikke bringes til anvendelse. I stedet henvises til bestemmelserne i dokumentet “ITSU Ejer Guide – Ekstern adgang.doc” om Web-servere og de overordnede vurderinger og beskrivelser i dokumentet “ITSU Baseline for Web servere.doc”


30Version:

1 Ansvarlig:

bf/bf Side 14 af 16

10.10 Logning og overvågning Formål At afsløre uautoriserede handlinger. Informationsbehandlingssystemer skal overvåges og sikkerhedsrelaterede hændelser skal registreres. Der skal være en logning, som sikrer, at uønskede forhold konstateres. Overvågning skal verificere, at sikringsforanstaltningerne fungerer efter hensigten.

DMUs IT-sikkerhedsudvalg har identificeret logning og overvågning som et primært indsatsområde i 2008. De nuværende logningsmuligheder skal konfigureres og koordineres, og på de områder hvor der ikke findes logning, eller hvor logningsmulighederne er utilstrækkelige, skal der identificeres, anskaffes og ibrugtages tidssvarende logningssystemer. Se også svaret til 10.6.1 Dokumentet “ITSU Logningsdokumentation.doc” indeholder således både afsnit om fuldt implementerede, delvist implementerede og planlagte systemer samt procedurer for håndtering af loggerne.

10.10.1 Opfølgningslogning Sikringsforanstaltning Alle brugeraktiviteter, afvigelser og sikkerhedshændelser skal logges og opbevares i en fastlagt periode af hensyn til opfølgning på adgangskontroller og eventuel efterforskning af fejl og misbrug. Implementeringsretningslinjer Opfølgningsloggen skal, så vidt det er muligt, indeholde: a) brugeridentifikation b) dato og klokkeslæt for væsentlige aktiviteter som eksempelvis log-on og log-off c) arbejdsstationens identitet d) registrering af systemadgange og forsøg herpå e) registrering af dataadgange og forsøg herpå f) ændringer i systemkonfigurationen g) brug af særlige rettigheder h) brug af hjælpeværktøjer i) benyttede datafiler j) benyttede netværk og protokollerk) alarmer fra adgangskontrolsystemetl) aktivering og deaktivering af beskyttelsessystemer, fx antivirus og indbrudsalarmer.

Bemærkninger Opfølgningsloggen vil ikke altid være tilstrækkelig til at opfylde kravene til kontrol- og transaktionsspor i Bogføringsloven. Systemer, der skal efterleve disse krav, må derfor have supplerende logning. Hvis det er muligt, skal systemadministratorer og andre med særlige rettigheder ikke have mulighed for at slette logningen af deres egne aktiviteter, jf. 10.10.3. En opfølgningslog vil ofte indeholde personhenførbare data og skal derfor beskyttes i overensstemmelse med Persondataloven.

Opbevaringstiden for logger skal nøje følge myndighedskrav eller best practices på området – således f.eks. 5 år efter publikationstidspunktet for data som publiceres. Hvert logningssystem er beskrevet i IT-afdelingens interne dokumentsamling af logningskonfigurationer og besvarer de relevante af punkterne a) til l) i Standardens afsnit 10.10.1

Fsv angår bemærkningene gælder for de økonomiske systemer (eksempelvis Navision Stat og omliggende systemer) de omtalte særlige logningsforhold. Disse er beskrevet i systemdokumentationen for Navision Stat med tilhørende underdokumenter.

10.10.2 Overvågning af systemanvendelse Sikringsforanstaltning Brugen af virksomhedens informationsbehandlingssystemer skal overvåges og løbende følges op. Implementeringsretningslinjer Niveauet for overvågning skal fastlægges ud fra en risikovurdering og lovgivningens krav. Følgende områder skal indgå i vurderingen: a) autoriseret adgang:

1. brugeridentifikation2. dato og klokkeslæt3. hændelsestype 4. benyttede datafiler5. benyttede programmer

Under skyldig hensyntagen til evt lovkrav er det op til hver systemejer at fastlægge i hvilket omfang systemanvendelsen skal overvåges. Det vil fremgå af det enkelte systems risikovurdering og systembeskrivelse hvilke punkter og underpunkter i Standardens afsnit 10.10.2 som bringes til anvendelse.

Særlige forhold gør sig gældende for overordnede systemer som drives af IT-afdelingen og som fungerer som vært for individuelle systemer. Hvor granularitet ikke er muligt skal overvågningsniveauet sættes til at opfylde kravene for det mest kritiske system som benytter det overordnede system..


30Version:

1 Ansvarlig:

bf/bf Side 15 af 16

b) anvendelse af særlige rettigheder:1. anvendte rettigheder, fx systemadministrator2. start og stop af systemer3. til- og frakobling af udstyr

c) uautoriserede adgangsforsøg:1. fejlslagne og afviste brugerhandlinger2. fejlslagne og afviste dataadgangsforsøg3. advarsler fra logiske netværksbeskyttelsesfiltre4. alarmer fra logiske indbrudsalarmsystemer

d) systemtekniske alarmer:1. alarmer og meddelelser fra det overordnede styresystem2. undtagelsesrapporteringer3. alarmer og meddelelser fra netværkets styresystem4. alarmer fra adgangskontrolsystemet

e) ændringer og forsøg på ændringer af sikkerhedsopsætninger og sikringsforanstaltninger.

Frekvensen af overvågningsaktiviteterne afgøres af en risikovurdering, hvor følgende risikofaktorer skal indgå i vurderingen: · informationsbehandlingssystemets forretningsmæssige betydning· de behandlede informationers forretningsmæssige betydning og følsomhed · virksomhedens erfaringer med misbrug, trusler og sårbarheder · informationssystemets anvendelse af eksterne forbindelser, specielt offentlige netværk · pålideligheden af logningsfaciliteterne.

Bemærkninger Overvågning er nødvendig for at sikre, at brugerne kun har mulighed for at gøre det, de eksplicit er autoriseret til. Log-gennemgang kræver en god forståelse for de trusler, et informationssystem er udsat for, og hvorledes disse ytrer sig. I 13.1.1 findes eksempler på hændelser, som kan kræve yderligere undersøgelser.

10.10.3 Beskyttelse af log-oplysninger Sikringsforanstaltning Både log-faciliteter og log-oplysninger, skal beskyttes mod manipulation og tekniske fejl. Implementeringsretningslinjer En log skal beskyttes mod: a) enhver form for ændringer af indholdet b) sletninger og ændringer af logfiler c) tekniske fejl, eksempelvis overskrivninger, fordi der ikke er afsat tilstrækkelig plads på lagringsmediet.

Bemærkninger Som udgangspunkt skal en log aldrig ændres. Man kan derfor ikke tale om autoriserede ændringer. Hvis der er fejl i en log, må eventuelle korrektioner fremgå af efterfølgende logninger. En generel systemlog vil ofte indeholde store mængder af information, som ikke har sikkerhedsmæssig interesse. Dette problem kan afhjælpes ved enten automatisk at overføre sikkerhedsrelevante informationer til en egentlig opfølgningslog eller ved at benytte særlige udtræksværktøjer til at fremfinde sikkerhedsrelevante informationer.

For hvert logningssystem defineres det regelsæt, som bedst imødekommer Standardens krav i afsnit 10.10.3 om beskyttelse af log-oplysningerne. I IT-afdelingens interne dokumentsamling af logningskonfigurationer vil der således være defineret de opsætninger og rutiner som sikrere integriteten af de respektive systemer. I forbindelse med kritiske (følsomme/fortrolige) systemer skal der tilstræbes funktionsadskillelse således at en enkelt person ikke kan fjerne spor af egne aktiviteter. Brugen af WORM (write once, read many) medier og MD5 el. lign checksummer skal overvejes.

Ved dannelse af udtræk (data-reduktion) skal det benyttede udtræk dokumenters og gemmes. De originale data skal ligeledes opbevares, jvfr afsnit10.10.1


30Version:

1 Ansvarlig:

bf/bf Side 16 af 16

10.10.4 Administrator- og operatørlog Sikringsforanstaltning Aktiviteter udført af systemadministratorer og -operatører samt andre med særlige rettigheder skal logges. Implementeringsretningslinjer Loggen skal omfatte: a) tidspunktet for en given handling b) oplysninger om handlingen, fx filhåndtering. Ved fejlhåndtering skal de korrigerende og eventuelle kompenserende foranstaltninger fremgå c) den udførende persons identitet d) de benyttede procedurer, værktøjer og systemer e) * loggen skal løbende gennemgås af en uvildig person, jf. 10.1.3.

Bemærkninger Et særligt indbrudsalarmsystem, som ikke er underlagt systemadministratorens kontrol, kan benyttes til at overvåge brugen af særlige rettigheder og systemværktøjer.

For hvert system (herunder værts-systemer for flere underliggende systemer) vurderes behovet for sikringsmekanismerne i Standardens afsnit 10.10.4 Hvor der ikke er tekniske mulighed for automatisk logning af alle punkterne a) til d) kan der i stedet indføres manuel logningspligt – som så f.eks. kan krydsrevideres mod en automatisk logning af punkt a) alene.

Fsv angår punkt e) kan der for de økonomiske systemer (eksempelvis Navision Stat og omliggende systemer) være behov for uvildig revision af loggerne. Dette vil være beskrevet i systemdokumentationen for Navision Stat med tilhørende underdokumenter.

10.10.5 Fejllog Sikringsforanstaltning Fejl skal logges og analyseres, og nødvendige udbedringer og modforholdsregler gennemføres. Implementeringsretningslinjer Både brugerrapporterede og systemregistrerede fejl skal fremgå af fejlloggen. Der skal være klare retningslinjer for fejlhåndtering: a) Regelmæssig gennemgang af fejlloggen, for at sikre at alle fejl er rettet tilfredsstillende. b) Regelmæssig gennemgang af de korrigerende og kompenserende foranstaltninger, for at sikre at virksomhedens sikkerhed ikke er blevet kompromitteret, og at de gennemførte foranstaltninger er autoriseret.

Bemærkninger Hvis informationsbehandlingssystemet har en automatisk fejlregistreringsfunktion, skal denne være aktiv, såfremt en risikovurdering viser, at dette er forretningsmæssigt velbegrundet.

For hvert system (herunder værts-systemer for flere underliggende systemer) skal det i risikovurderingen og systembeskrivelsen specificeres hvilket behov der er for opsætning af, og regelmæssig gennemgang af, fejllogger – evt vil niveauet i baseline risikovurderingen være tilstrækkelig, men dette skal så fremgå.

10.10.6 Tidssynkronisering Sikringsforanstaltning Alle ure i virksomhedens informationsbehandlingsanlæg skal være synkroniseret med en præcis tidsangivelseskilde. Implementeringsretningslinjer Der skal være en procedure for en løbende kontrol med og eventuel korrektion af tidsangivelsen i virksomhedens informationsbehandlingsanlæg.

Bemærkninger En præcis tidsangivelse kan være kritisk i forbindelse med indgåelse af bindende aftaler, realtidstransaktioner eller efterforskning ved hjælp af logningsinformationer.

Alle computersystemer, herunder netværksudstyr, i DMU skal benytte præcis tid. Systemer, som kan benytte automatisk tidssynkronisering skal gøre dette. Andre skal regelmæssigt kontrolleres og sættes. Der skal være særlig opmærksomhed på tidszoner og skift mellem sommer- og vintertid. Se dokumentet “ITSU Tidssynkronisering.doc”

Dokumentet endeligt vedtaget og godkendt 2007-11-29

Documents

Microsoft Word - 3386.DOC - medarbejdere.au.dkmedarbejdere.au.dk/fileadmin/Resources/dmuintranet... · Web viewDisse placeres i DMZ zoner på netværket og beskyttes af Firewall’en