Modellkriterier för kvalitetsrevision hos leve- rantörer ... · standard ISO 27002 och med standard ETSI EN 319 411-1 till den del standard ISO 27001 inte ... och elektroniska signaturer

Anvisning 211/2016 2.11.2016

Modellkriterier för kvalitetsrevision hos leve-rantörer av identifieringstjänster

Kommunikationsverkets anvisning

211/2016

Anvisning 1 (64) 211/2016 2.11.2016

Kommunikationsverket Kommunikationsverket Finnish Communications Regulatory Authority

Itämerenkatu 3 A PL 313 00181 Helsinki Puhelin 0295 390 100 www.viestintävirasto.fi

Östersjögatan 3A PB 313, FI-00181 Helsingfors, Finland Telefon +358 295 390 100 www.kommunikationsverket.fi

Itämerenkatu 3A P.O. Box 313, FI-00181 Helsinki, Finland Telephone +358 295 390 100 www.ficora.fi

Innehåll

1 Inledning .................................................................................................. 2

1.1 Målen med anvisningen...................................................................... 2

2 Kriterier för kvalitetsrevision .................................................................... 3

2.1 Tjänsteleverantörens tillförlitlighet ...................................................... 4

2.2 Informationssäkerhet i verksamhet ..................................................... 4 2.2.1 Säkerhetsledning ................................................................ 5 2.2.2 Säkerhetsorganisation och resurser ..................................... 10 2.2.3 Personalsäkerhet och hantering av egendom ........................ 13 2.2.4 Klassificering av information ............................................... 17 2.2.5 Risker och säkring av kontinuitet ........................................ 20 2.2.6 Fysisk säkerhet................................................................. 28 2.2.7 Teknisk säkerhet .............................................................. 39

2.3 Informationssäkerhet i identifieringsmetoder ...................................... 62

Anvisning 2 (64) 211/2016 2.11.2016





1 Inledning

I denna anvisning beskrivs modellkriterierna för kvalitetsrevision av identifieringstjänster hos leverantörer av identifieringstjänster. De härvid angivna modellkriterierna ska utvärderas med tanke på den aktuella identifieringstjänsten. Leverantörerna av identifieringstjänster kan använda kriterierna i denna anvisning el-ler några andra kriterier som uppfyller kraven i 15 § i Kommunikationsverkets föreskrift om elektronisk iden-tifiering och betrodda elektroniska tjänster (M72).

1.1 Målen med anvisningen

Anvisningen gäller leverantörer av identifieringsverktyg för stark autentisering, och förmedlingstjänster.

Syftet med anvisningen är att för aktörerna klarlägga vad kvalitetsrevisionerna av tjänsterna bör omfatta för att de ska kunna användas vid tillhandahållande av såväl nationella som gränsöverskridande identifierings-tjänster. Det är inte obligatoriskt att tillämpa exempelkriterierna, men det är ett sätt att visa att kraven en-ligt 15 § i föreskrift 721 uppfylls. Som resultat av en kvalitetsrevision ska leverantören lämna Kommunika-tionsverket en inspektionsberättelse, vars innehåll beskrivs i Kommunikationsverkets anvisning 215/2016 O.

Kraven på tjänsterna ingår i lagen om stark autentisering och betrodda elektroniska tjänster (617/2009, ändrad genom RP 74/2016, nedan IdentL) och Europaparlamentets och rådets förordning (EU) nr 910/2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden och om upphävande av direktiv 1999/93/EG (nedan eIDAS-förordningen).

Enligt 42 a § i lagen om stark autentisering och betrodda elektroniska tjänster ska Kommunikationsverket utöva tillsyn över efterlevnaden av lagen i fråga.

1 Kommunikationsverkets föreskrift om elektronisk identifiering och betrodda elektroniska tjänster 72/2016 M.

Anvisning 3 (64) 211/2016 2.11.2016





2 Kriterier för kvalitetsrevision

Dessa bedömningskriterier har samlats utifrån kraven i standard ISO 27001, kompletterade med kraven i standard ISO 27002 och med standard ETSI EN 319 411-1 till den del standard ISO 27001 inte omfattar kraven enligt 15 § i M72.

Kriterierna för kvalitetsrevision har tagits fram för organisationer som deltar i förtroendenätet. Kraven i dessa kriterier ska ses över utifrån den verksamhet som bedrivs i organisationens förtroendenät.

• Hänvisningar: LoA, eIDAS-genomförandeförordning (EU) 2015/1502 om tillitsnivåer för medel för

identifiering

• IdentL: Lag om stark autentisering och elektroniska signaturer 617/2009

• M72: Kommunikationsverkets föreskrift om elektronisk identifiering och betrodda elektroniska tjänster 72/2016 M

Standarder:

• ISO/IEC 27001–27002

• ETSI EN 319 411-1: Electronic Signatures and Infrastructures (ESI); Policy and security requirements for Trust Service Providers issuing certificates; Part 1: General requirements

Anvisning 4 (64) 211/2016 2.11.2016





2.1 Tjänsteleverantörens tillförlitlighet

En kvalitetsrevision behöver inte omfatta tjänsteleverantörens allmänna tillförlitlighet och inte heller uppgif-ter som lämnas om tjänsten till användare och förlitande parter (principer för identifiering, avtalsvillkor, pris-listor), utan det räcker med en utredning från aktören, som tjänsteleverantören ska lämna till Kommunika-tionsverket för utvärdering. Därför behandlas detta avsnitt inte i exempelkriterierna. Uppgifter som ska läm-nas till Kommunikationsverket tillsammans med anmälningar om inledande, nedläggning eller ändring av verksamhet beskrivs närmare i anvisningen 214/2016 O.

2.2 Informationssäkerhet i verksamhet

Enligt 15 § i Kommunikationsverkets föreskrift ska kvalitetsrevisioner av identifieringstjänster omfatta krav på funktioner som påverkar tillhandahållandet av identifieringstjänsten:

1) ledning avseende informationssäkerhet

2) registerföring

3) anläggningar och personal

4) tekniska åtgärder

5) identifieringsmetodens tillförlitlighet och informationssäkerhet.

Kravuppfyllelsen kan verifieras genom kvalitetsrevision av följande delområden i verksamheten med identifi-eringstjänst: säkerhetsledning, hantering av skyddsorganisation och resurser, personalsäkerhet och egen-dom, klassificering av information, säkring av risker och kontinuitet, fysisk säkerhet och teknisk säkerhet.

Anvisning 5 (64) 211/2016 2.11.2016





2.2.1 Säkerhetsledning

Organisationen ska ha hanteringssystem för säkerhetsledning.

LoA:

med ”ledningssystem för informationssäkerhet” avses en uppsättning processer och förfaranden avsedda att hantera godtagbara risknivåer förknippade med informationssäkerhet.

Kriterium Hänvisning Standard LoA-nivå

Tolkningar

1. Väsentliga externa och interna faktorer som påverkar säkerhetsledningen ska identifieras.

8 § 1 mom. 5 punkten i IdentL 2.4 i LoA 4 § i M72

ISO 27001 (5.1)

eIDAS 2, eI-DAS 3

2. Organisationens och intressenternas anställda ska förstå förhållandet mellan affärsverksamheten och informat-ionssäkerheten. Vilka konsekvenser har en misslyckad informationssäkerhet för affärsverksamheten och dess kontinuitet?


ISO 27001 (4.1)

eIDAS 2, eI-DAS 3

3. Krav på identifierade faktorer och säkerhetskrav ska fastställas.


ISO 27001 (4.1, 4.2)

eIDAS 2, eI-DAS 3

Anvisning 6 (64) 211/2016 2.11.2016






Tolkningar

4. Ändamålsenlighet, användbarhet och objekt ska identi-fieras och fastställas när system för säkerhetsledning och hanteringssystem införs.


ISO 27001 (4.3, 5.1)

eIDAS 2, eI-DAS 3

5. Säkerhetsledningen ska vara godkänd av organisation-ens ledning.


ISO 27001 (5.1)

eIDAS 2, eI-DAS 3

6. Ledningen ska förbinda sig att genomföra säkerhetsled-ningen i organisationen.


ISO 27001 (5.1)

eIDAS 2, eI-DAS 3

7. En informationssäkerhetspolicy ska tillämpas. 8 § 1 mom. 5 punkten i IdentL 2.4 i LoA 4 § i M72

ISO 27001 (5.2)

eIDAS 2, eI-DAS 3

8. Säkerhetsledningen ska vara en helhet som ständigt utvecklas.


ISO 27001 (5.1, 10.2)

eIDAS 2, eI-DAS 3

9. Säkerhetsledningen ska iaktta aktuell lagstiftning och aktuella föreskrifter.

8 § 1 mom. 5 punkten i IdentL

ISO 27001 (5.3, 6.1.3 Bilaga A 5.1)

eIDAS 2, eI-DAS 3

Lagstiftningen om tillhandahållande av elektroniska identifieringstjänster, bland annat lagen om stark autenti-

Anvisning 7 (64) 211/2016 2.11.2016






Tolkningar

2.4 i LoA 4 § i M72

sering och betrodda elektroniska tjänster och personuppgiftslagen.

10. En modell för säkerhetsledning ska planeras, införas, upprätthållas och förbättras kontinuerligt.


ISO 27001 (5.1, 10.2)

eIDAS 2, eI-DAS 3

11. De faktorer som används och som påverkar säkerhets-ledningen ska dokumenteras.


ISO 27001 (7.5, 6.1.3 Bilaga A 6.1)

eIDAS 2, eI-DAS 3

12. Säkerhetsprinciperna och -policyerna ska beskriva inte-greringen av organisationens säkerhetsverksamhet med organisationens övriga verksamhet.


ISO 27001 (5.2)

eIDAS 2, eI-DAS 3

13. Policyerna ska publiceras och de anställda och vid behov intressenterna ska informeras om policyerna.

8 § 1 mom. 5 punkten och 13 § i IdentL 2.4 i LoA 4 § i M72

ISO 27001 (5.2, 6.1.3 Bilaga A 5.1.1)

eIDAS 2, eI-DAS 3

14. Säkerhetsdokumentationen ska vara tillgänglig och känd för alla som deltar i uppgifterna med elektronisk identifi-ering.

8 § 1 mom. 5 punkten och 13 § i IdentL 2.4 i LoA 4 § i M72

ISO 27001 (7.5.3, 6.1.3 Bilaga A 5.1.1)

eIDAS 2, eI-DAS 3

15. Säkerhetsprinciperna och -policyerna ska vara omfat- 8 § 1 mom. 5 ISO 27001 eIDAS

Anvisning 8 (64) 211/2016 2.11.2016






Tolkningar

tande och ändamålsenliga för organisationen och de ob-jekt som ska skyddas.

punkten i IdentL 2.4 i LoA 4 § i M72

(5.2) 2, eI-DAS 3

16. Ledningen svarar för att resurserna för ledning avseende informationssäkerheten är tillräckliga.

13 § i IdentL 2.4.4 och 2.4.5 i LoA 4.2 § punk-terna 2 och 4 i M72

ISO 27001 (5.1)

eIDAS 2, eI-DAS 3

17. Ansvaret för övervakningen av att den specificerade sä-kerhetsdokumentationen är omfattande och aktuell har fastställts. Aktualiteten ska följas upp så att kontinuite-ten och effektiviteten kan säkerställas.


ISO 27001 (7.5, 6.1.3 Bilaga A 5.1.2)

eIDAS 2, eI-DAS 3

18. Säkerhetsprinciperna och -policyerna ska styra säker-hetsverksamheten.

8 § 1 mom. 5 punkten i IdentL 2.4 i LoA 4.2 § punkt 2 i M72

ISO 27001 (5.2, 8.1)

eIDAS 2, eI-DAS 3

19. Efterlevnaden av säkerhetsprinciperna ska följas upp och rapporteras.

8 § 1 mom. 5 punkten i IdentL 2.4 i LoA 4.2 § punk-terna 2 och 6 i M72

ISO 27001 (5.2, 8.1)

eIDAS 2, eI-DAS 3

Anvisning 9 (64) 211/2016 2.11.2016






Tolkningar

20. Organisationen ska ställa upp säkerhetsmål och fast-ställa grunder för uppställandet av målen.

8 § 1 mom. 5 punkten i IdentL 2.4 i LoA 4.2 § punkt 1 i M72 (svarar mot omgiv-ningens be-hov)

ISO 27001 (6.2, 6.1.3 Bilaga A 16.1, 8.1)

eIDAS 2, eI-DAS 3

21. Riskerna för tjänsterna och den övriga verksamheten ska åskådliggöras genom en separat process.

8 § 1 mom. 5 punkten i IdentL 2.4 i LoA 4.2 § punkt 5 i M72 (verk-samhet)

ISO 27001 (8.2)

eIDAS 2, eI-DAS 3

22. En tydlig verksamhetsprocess ska skapas för behandling av riskerna för tjänsterna och den övriga verksamheten.


ISO 27001 (8.3)

eIDAS 2, eI-DAS 3

23. Organisationen ska ha en metod för att följa upp all-männa sårbarheter.

8 § 1 mom. 5 punkten i IdentL 2.4 i LoA 5.1 § punkt 2 i M72

ISO 27001 (10.1, 6.1.3 Bilaga A 12.6)

eIDAS 2, eI-DAS 3

Incidenter ska följas upp. Upptäckta incidenter ska analyseras. Nödvändiga korrigeringar ska uppda-teras i policyerna och principerna.

Anvisning 10 (64) 211/2016 2.11.2016





2.2.2 Säkerhetsorganisation och resurser

Kriterium Hänvisning Standard LoA-nivå Tolkningar

24. Den organisation som ansvarar för säkerheten ska vara utsedd.


ISO 27001 (5.3)

eIDAS 2, eIDAS 3

25. Säkerhetsorganisationens arbetsuppgifter, ansvarsom-råden och medarbetare ska vara fastställda.


ISO 27001 (5.3)

eIDAS 2, eIDAS 3

26. Organisationen ska identifiera och fastställa nödvändiga resurser för att planera, införa, underhålla och ständigt utveckla ledningen avseende informationssäkerheten.


ISO 27001 (5.1, 7.1)

eIDAS 2, eIDAS 3

27. Uppgifterna och ansvarsområdena för fysisk säkerhet har fastställts för de lokaler där organisationens uppgif-ter utförs och utrustningen förvaras.

8 § 1 mom. 4 punkten i IdentL 2.4 i LoA 4 § och 15 § i M72

ISO 27001 (4.2 5.36.1.1, 6.1.3 Bilaga A 11.1)

eIDAS 2, eIDAS 3

Ansvaret för organisationens fysiska säkerhet ska fastställas. ISO 27002 (6.1.1) KATAKRI 2015 (T02) Leverantören av identifieringstjäns-ter ska också svara för underleve-rantörerna och andra aktörer som agerar för leverantörens räkning (13 § 4 mom. i IdentL).

28. Uppgifterna och ansvarsområdena för IT-säkerhet har 8 § 1 mom. 5 ISO 27001 eIDAS 2,

Anvisning 11 (64) 211/2016 2.11.2016






fastställts för alla nödvändiga delområden i organisat-ionen.

punkten i IdentL 2.4 i LoA 4 §, 5 § och 15 § i M72

(4.2, 5.3, 6.1.3 Bilaga A 6.1.1)

eIDAS 3

29. Ansvaret för undantagssituationer och kommunikation med intressenter har fastställts.

8 § 1 mom. 5 punkten i IdentL 2.4 i LoA

(7.4, 5.3, 6.1.3 Bilaga A 6.1)

eIDAS 2, eIDAS 3

De myndigheter och andra intres-senter som är viktiga för verksam-heten har identifierats. Kommunikation som är förenlig med kraven på verksamheten ska iakttas.

30. Organisationen ska fastställa rollerna inom hantering av informationssäkerheten så att varje aktör känner till sina uppgifter och sitt ansvar vid säkerhetsincidenter.


(5.3, 6.1.3 Bilaga A 6.1)

eIDAS 2, eIDAS 3

31. Uppgifterna och rollerna ska dokumenteras.


(7.5, 6.1.3 Bilaga A 6.1)

eIDAS 2, eIDAS 3

32. Systemen ska säkras så att det går effektivt att åter-hämta sig enligt kraven på tillgänglighet efter säkerhets-incidenter.


ISO 27001 (6.1.3 Bi-laga A 17.2)

eIDAS 2, eIDAS 3

Kraven på tillgänglighet är en av-talsfråga.

33. De anställdas arbetsuppgifter och aktiviteter ska fast-ställas så att en person inte genom sin verksamhet kan orsaka allvarliga incidenter i informationssäkerheten.


ISO 27001 (6.1.3 Bi-laga A 6.1)

eIDAS 2, eIDAS 3

34. Organisationen ska ha tillräcklig sakkännedom för att kunna säkerställa informationssäkerheten.


ISO 27001 (7.1)

eIDAS 2, eIDAS 3

Anvisning 12 (64) 211/2016 2.11.2016






2.4 i LoA

35. Genom personalsäkerhet säkerställs kompetensen och tillförlitligheten.

8 § 1 mom. 5 punkten och 13 § i IdentL 2.4 i LoA

ISO 27001 (7.2, 6.1.3 Bilaga A 7.2.2)

eIDAS 2, eIDAS 3

Leverantören av identifieringstjäns-ter ska också svara för underleve-rantörerna och andra aktörer som agerar för leverantörens räkning. (13 § 4 mom. i IdentL)

36. Alla ansvarsområden i informationssäkerheten har fast-ställts och sakkännedomen inom dessa områden har identifierats.


ISO 27001 (7, 6.1.3 Bilaga A 6.1)

eIDAS 2, eIDAS 3

37. Den egendom och de system som används har identifie-rats. En säkerhetsansvarig har utsetts för all egendom och alla system.


ISO 27001 (7.1, 6.1.3 Bilaga A 8.1)

eIDAS 2, eIDAS 3

38. Fler än en lämplig person ska utses för varje ansvarsroll hos personalen.


ISO 27001 (7, 6.1.3 Bilaga A 6.1)

eIDAS 2, eIDAS 3

En ersättare ska utses för den an-svariga personen.

39. Genom personalsäkerhet säkerställs det att de som har en relevant roll, kompetens och befattning på organisa-tionens olika nivåer är representerade i verksamheten.


ISO 27001 (7.2)

eIDAS 2, eIDAS 3

40. En utvärdering av om resurserna är tillräckliga ska göras regelbundet.


ISO 27001 (7.1)

eIDAS 2, eIDAS 3

En utvärdering av om sakkännedo-men är tillräcklig ska göras regel-bundet för att utförandet av säker-hetsarbetet ska kunna säkerställas. KATAKRI 2015 (T03)

41. En bok om utbildningsläget för personalen ska föras och en regelbunden omskolning och påbyggnadsutbildning

8 § 1 mom. 5 punkten i

ISO 27001 (7.2)

eIDAS 2, eIDAS 3

Anvisning 13 (64) 211/2016 2.11.2016






ska säkerställas. IdentL 2.4 i LoA

42. Omskolning ska ordnas när det görs betydande ändring-ar i organisationens verksamheter eller tjänster.


ISO 27001 (7.2)

eIDAS 2, eIDAS 3

Organisationen bör följa ett fastställt program för säkerhetsutbildning. ISO27002 (7.2.2)

2.2.3 Personalsäkerhet och hantering av egendom


43. Personalen ska känna till riskerna för verksamheten och de lagar som gäller verksamheten.


ISO 27001 (7.3)

eIDAS 2, eIDAS 3

Personalen ska känna till vilka effekter deras arbetsuppgifter har på informationssäkerheten. ISO27002 (7.2.2)

44. Separata introduktionsanvisningar om behandling av uppgifter ska utfärdas för personalen.


ISO 27001 (7.3, 6.1.3 Bilaga A 7.1.2)

eIDAS 2, eIDAS 3

Användarna av personuppgifter ska iaktta särskild noggrannhet vid behandling av personuppgif-ter. ISO 27001 (6.1.3 Bilaga A 18.1.4)

45. Organisationen ska ha utarbetat anvisningar om admi-nistration av åtkomsträttigheter.


ISO 27001 (7.3)

eIDAS 2, eIDAS 3

Användarna ska iaktta organisat-ionens policy för åtkomsthante-ring. ISO 27001 (6.1.3 Bilaga A 9.3.1)

46. Säkerhetsutredningar ska göras för behandlarna av klas- 8 § 1 mom. 5 ISO 27001 (7, eIDAS 2,

Anvisning 14 (64) 211/2016 2.11.2016






sificerad information. punkten i IdentL 2.4 i LoA

6.1.3 Bilaga A 7.1.1)

eIDAS 3

47. Personalen ska ingå ändamålsenliga sekretessförbindel-ser.


ISO 27001 (7) eIDAS 2, eIDAS 3

Sekretessförbindelser ska ingås med alla personer som behandlar sekretessbelagda uppgifter. Sekretessförbindelserna och inne-hållet i förbindelserna ska utvär-deras med jämna mellanrum. ISO27002 (7.1.2)

48. Tydliga arbetsuppgifter, roller och ansvarsområden ska vara fastställda för de som arbetar i organisationen.


ISO 27001 (7, 6.1.3 Bilaga A 7.1.2)

eIDAS 2, eIDAS 3

49. Personalens och intressenternas ansvarsområden inom informationssäkerheten ska vara beskrivna.


ISO 27001 (7, 6.1.3 Bilaga A 7.1.2)

eIDAS 2, eIDAS 3

50. Personalens säkerhet ska beaktas vid rekrytering och ändringar och upphörande av anställningar.


ISO 27001 (7, 6.1.3 Bilaga A 7)

eIDAS 2, eIDAS 3

51. En tydlig process för byte och upphörande av arbetsupp-gifter har beskrivits.


ISO 27001 (7, 6.1.3 Bilaga A 7)

eIDAS 2, eIDAS 3

Den kompetens och utbildning som nya arbetsuppgifter kräver ska beaktas vid byte av arbets-uppgifter. ISO27002 (7.2.2)

52. Resursernas kompetens ska upprätthållas genom utbild-ning och ändamålsenliga säkerhetsanvisningar.


ISO 27001 (7, 6.1.3 Bilaga A

eIDAS 2, eIDAS 3

Anvisning 15 (64) 211/2016 2.11.2016






IdentL 2.4 i LoA

7.2.2)

53. Ändamålsenliga säkerhetsanvisningar har utarbetats för olika processer och behandlingsmiljöer och anvisningarna ska beakta hela livscykeln för informationen.


ISO 27001 (7.5, 6.1.3 Bilaga A 8.1)

eIDAS 2, eIDAS 3

54. Personalens medvetenhet om anvisningarna ska upprätt-hållas regelbundet.


ISO 27001 (7.5.3)

eIDAS 2, eIDAS 3

55. Organisationens ledning ansvarar för att säkerhetsutbild-ningen och medvetenheten om säkerheten är aktuella.


ISO 27001 (7.2)

eIDAS 2, eIDAS 3

Att säkerhetsutbildningen och medvetenheten om säkerheten är aktuella ska verifieras regelbun-det. Ledningen ansvarar för att kravet uppfylls. IS27002 (7.2.2)

56. Säkerhetsutbildningen ska vara regelbunden och doku-menterad. Effektiviteten i utbildningen ska följas upp.


ISO 27001 (7.2)

eIDAS 2, eIDAS 3

57. Personalen ska känna till organisationens policyer och anvisningar.


ISO 27001 (7.3)

eIDAS 2, eIDAS 3

58. Iakttagandet av anvisningarna och policyerna ska över-vakas och uppdateras regelbundet.


ISO 27001 (7.2)

eIDAS 2, eIDAS 3

59. Personalen ska känna till vilka effekter deras arbetsupp- 8 § 1 mom. 5 ISO 27001 eIDAS 2,

Anvisning 16 (64) 211/2016 2.11.2016






gifter har på ledningen avseende informationssäkerheten och genomförandet av informationssäkerheten i organi-sationen.

punkten i IdentL 2.4 i LoA

(7.2, 6.1.3 Bilaga A 7.2.2)

eIDAS 3

60. Tydliga sanktioner har fastställts för brott mot informat-ionssäkerheten.


ISO 27001 (7.2, 6.1.3 Bilaga A 7.2.3)

eIDAS 2, eIDAS 3

Organisationen ska ha interna disciplinära förfaranden för perso-nalens uppsåtliga skadegörelser eller försummelser. Organisationen ska ha en metod för rapportering av upptäckta skadegörelser. ISO 27002 (7.2.3)

61. Anvisningar och utbildning ska ges till de som arbetar i organisationen, med beaktande av klassificeringen av in-formation.


ISO 27001 (7) eIDAS 2, eIDAS 3

Säkerhetsutbildningen ska beakta integritetsskyddet och behand-lingen av personuppgifter. ISO 27001 (6.1.3 Bilaga A 18.1.4)

62. Säkerhetsutbildningen ska planeras så att den omfattar alla delområden inom informationssäkerheten.


ISO 27001 (7.2)

eIDAS 2, eIDAS 3

Utbildningen ska omfatta föl-jande: säkerhetsrutiner, medve-tenhet om informationssäkerhet-en, operation av program och utrustning per arbetsuppgift, ad-ministrativa och operativa rutiner per ansvarsområde och förfaran-den i undantagssituationer. KATAKRI 2015 (T11)

63. Användarna ska endast ha rättigheter till delområden som har effekt på arbetet.


ISO 27001 (6.1.3 Bilaga A 9.1)

eIDAS 2, eIDAS 3

Anvisning 17 (64) 211/2016 2.11.2016






64. Åtkomst till information ska endast beviljas utifrån beho-vet av att få information.


ISO 27001 (7, 6.1.3 Bilaga A 9.1.2)

eIDAS 2, eIDAS 3

Katalogiseringen av behovet av att få information ska omfatta alla intressenter som eventuellt har åtkomst till information eller hårdvaror där tjänsten tillhanda-hålls. KATAKRI 2015 (T12)

65. Organisationen ska säkerställa personalens bakgrunder och kompetens för angivna arbetsuppgifter.


ISO 27001 (7, 6.1.3 Bilaga A 7.1)

eIDAS 2, eIDAS 3

66. Behandlingsrätten till klassificerad information ska doku-menteras och uppdateras regelbundet.


ISO 27001 (7.5, 6.1.3 Bilaga A 9.1)

eIDAS 2, eIDAS 3

67. Särskilda kontroller av åtkomsträttigheter ska göras. 8 § 1 mom. 5 punkten i IdentL 2.4 i LoA

ISO 27001 (7.5, 6.1.3 Bilaga A 9.1)

eIDAS 2, eIDAS 3

68. Personalens anställningar och arbetsuppgifter har anteck-nats i gällande avtal.


ISO 27001 (7, 6.1.3 Bilaga A 7.1.2)

eIDAS 2, eIDAS 3

2.2.4 Klassificering av information


Anvisning 18 (64) 211/2016 2.11.2016






69. Material och dokument med sekretessbelagt innehåll ska förses med en anteckning som beskriver klassificering.


ISO 27001 (6.1.3 Bilaga A 8.2)

eIDAS 2, eIDAS 3

70. Ett dokument ska förses med en anteckning som mots-varar den högsta klassificeringen av dokumentets delar.


ISO 27001 (6.1.3 Bilaga A 8.2)

eIDAS 2, eIDAS 3

71. Om klassificeringsnivån mellan ett huvuddokument och bilagor inte är densamma ska detta framgå av doku-mentet.


ISO 27001 (6.1.3 Bilaga A 8.2)

eIDAS 2, eIDAS 3

72. Klassificerad information ska behandlas enligt organisa-tionens anvisningar om klassificering av information.


ISO 27001 (6.1.3 Bilaga A 8.2)

eIDAS 2, eIDAS 3

73. Information som överförs från ett klassificerat system ska behålla samma klassificering.


ISO 27001 (6.1.3 Bilaga A 8.2)

eIDAS 2, eIDAS 3

74. Klassificeringen av system ska beakta hela livscykeln för den information som ska skyddas.


ISO 27001 (6.1.3 Bilaga A 8.2)

eIDAS 2, eIDAS 3

75. Klassificeringen ska beakta informationens värde, juri-diska krav, känslighet och kritiskhet.


ISO 27001 (6.1.3 Bilaga A 8.2)

eIDAS 2, eIDAS 3

76. Utrustning, program och övrig egendom som är anslutna 8 § 1 mom. 5 ISO 27001 eIDAS 2,

Anvisning 19 (64) 211/2016 2.11.2016






till ett identifieringssystem ska katalogiseras. punkten i IdentL 2.4 i LoA

(6.1.3 Bilaga A 8.2)

eIDAS 3

77. Utrustning, program och övrig egendom ska ha en fast-ställd ägare.


ISO 27001 (6.1.3 Bilaga A 8.2)

eIDAS 2, eIDAS 3

78. En godkänd användning av utrustning, program och öv-rig egendom ska vara fastställd.


ISO 27001 (6.1.3 Bilaga A 8.2)

eIDAS 2, eIDAS 3

79. Personalen och intressenterna ska lämna tillbaka alla maskinvaror och programvaror och all övrig egendom till organisationen när personens anställning eller avtalet med intressenten upphör.


ISO 27001 (6.1.3 Bilaga A 8.2)

eIDAS 2, eIDAS 3

80. Klassificeringen av programvaror och system ska bygga på en klassificering av den information som behandlas.


ISO 27001 (6.1.3 Bilaga A 8.2)

eIDAS 2, eIDAS 3

81. Processerna för program som behandlar klassificerad information ska analyseras i fråga om olika risker.


ISO 27001 (6.1.3 Bilaga A 8.2)

eIDAS 2, eIDAS 3

Anvisning 20 (64) 211/2016 2.11.2016






82. Skydd av information ska införas i alla skeden av in-formationens livscykel.


ISO 27001 (6.1.3 Bilaga A 8.2)

eIDAS 2, eIDAS 3

83. En användarpolicy ska vara fastställd för all klassificerad information.


ISO 27001 (6.1.3 Bilaga A 8.2)

eIDAS 2, eIDAS 3

2.2.5 Risker och säkring av kontinuitet


84. Organisationen ska ha en process för riskhantering. 8 § 1 mom. 5 punkten i IdentL 2.4 i LoA

ISO 27001 (6.1)

eIDAS 2, eIDAS 3

85. Riskhanteringen ska vara en regelbunden, kontinuerlig och dokumenterad process.


ISO 27001 (6.1.2)

eIDAS 2, eIDAS 3

86. En etablerad, öppen, begriplig och systematisk metod ska användas vid riskanalyser.


ISO 27001 (6.1)

eIDAS 2, eIDAS 3

Följande faktorer ska beaktas vid riskanalys: de effekter som reali-sering av risker medför, sannolik-het för riskerna och riskklassifice-ring.

Anvisning 21 (64) 211/2016 2.11.2016






ISO 31000 87. En riskhanteringsprocess ska identifiera riskerna för in-

formationens tillförlitlighet, integritet och tillgänglighet. 8 § 1 mom. 5 punkten i IdentL 2.4 i LoA

ISO 27001 (6.1)

eIDAS 2, eIDAS 3

88. Risker ska ha identifierade ägare. 8 § 1 mom. 5 punkten i IdentL 2.4 i LoA

ISO 27001 (6.1)

eIDAS 2, eIDAS 3

89. Identifierade risker ska klassificeras och prioriteras. 8 § 1 mom. 5 punkten i IdentL 2.4 i LoA

ISO 27001 (6.1)

eIDAS 2, eIDAS 3

90. Vid riskhantering ska skyddsåtgärderna ha dimensio-nerats med hänsyn till kraven på den information som ska behandlas.


ISO 27001 (6.1)

eIDAS 2, eIDAS 3

Vid behandling av risker ska skyddsåtgärderna ha dimensio-nerats med hänsyn till följande: klassificering av information, mängd information, form av in-formation, grund för klassificering av information, lokaler där in-formationen finns i förhållande till den uppskattade risken för fientlig eller kriminell verksamhet.

91. Organisationen ska dokumentera de väsentliga delarna av de övervaknings- och skyddsåtgärder som tillämpas.


ISO 27001 (6.1)

eIDAS 2, eIDAS 3

92. Organisationen ska identifiera de interna och externa faktorer som har betydelse när det gäller att tillhanda-


ISO 27001 (6.1)

eIDAS 2, eIDAS 3

Anvisning 22 (64) 211/2016 2.11.2016






hålla tjänsten och genomföra ledningen avseende in-formationssäkerheten.

IdentL 2.4 i LoA

93. Organisationen ska identifiera säkerhetseffekterna och de krav som gäller de identifierade parterna.


ISO 27001 (6.1)

eIDAS 2, eIDAS 3

94. I riskhanteringen deltar nödvändiga instanser inom och utanför organisationen.


ISO 27001 (6.1)

eIDAS 2, eIDAS 3

95. Riskhanteringen ska omfatta åtminstone följande delom-råden: säkerhetsledning, lokal- och informationssäker-het.


ISO 27001 (6.1)

eIDAS 2, eIDAS 3

96. Identifierade risker ska beaktas med tanke på nödvän-diga intressenter.


ISO 27001 (6.1)

eIDAS 2, eIDAS 3

97. Organisationen ska se till att skyldigheterna gällande sekretessbelagda uppgifter också uppfylls i situationer där uppgifter behandlas på uppdrag av organisationen.


ISO 27001 (6.1)

eIDAS 2, eIDAS 3

98. Riskhanteringsprocessen och dess resultat ska utnyttjas när organisationen ställer upp säkerhetsmål.


ISO 27001 (6.1)

eIDAS 2, eIDAS 3

99. Riskhanteringsprocessen och dess resultat ska utnyttjas när organisationen planerar säkerhetsåtgärder.


ISO 27001 (6.1)

eIDAS 2, eIDAS 3

Anvisning 23 (64) 211/2016 2.11.2016






2.4 i LoA

100. Riskhanteringsprocessen och dess resultat ska utnyttjas vid organisationens förändringshantering.


ISO 27001 (6.1)

eIDAS 2, eIDAS 3

101. Riskhanteringsprocessen och dess resultat ska utnyttjas vid organisationens anskaffningsförfaranden (i tillämpliga delar).


ISO 27001 (6.1)

eIDAS 2, eIDAS 3

102. Den nödvändiga kontakten med olika myndig-heter och kritiska intressenter ska vara regelbunden och dokumenterad.


ISO 27001 (6.1)

eIDAS 2, eIDAS 3


103. Planerna för säkring av kontinuiteten har beak-tat behovet av att skydda information i nödsituationer där obehörig åtkomst till information ska förhindras.


ISO 27001 (6.1.3 LiiteA 17.1)

eIDAS 2, eIDAS 3

104. Planerna för säkring av kontinuiteten har beak-tat behovet av att skydda information i nödsituationer där obehörigt spridande av information ska förhindras.


ISO 27001 (6.1.3 Bilaga A 17.1)

eIDAS 2, eIDAS 3

Anvisning 24 (64) 211/2016 2.11.2016






105. Planerna för säkring av kontinuiteten har beak-tat behovet av att skydda information i nödsituationer där förlust av informationens integritet förhindras.


ISO 27001 (6.1.3 Bilaga A 17.1)

eIDAS 2, eIDAS 3

106. Planerna för säkring av kontinuiteten har beak-tat behovet av att skydda information i nödsituationer där förlust av informationens tillgänglighet förhindras.


ISO 27001 (6.1.3 Bilaga A 17.1)

eIDAS 2, eIDAS 3

107. Planerna för verksamhetens kontinuitet ska innehålla förebyggande och korrigerande åtgärder för att minimera de effekter som betydande störningar i verk-samheten eller exceptionella incidenter har på behand-lingen och förvaringen av klassificerad information.


ISO 27001 (6.1.3 Bilaga A 17.1)

eIDAS 2, eIDAS 3

108. Observationer om incidenter ska vara en del av riskbedömningen.


ISO 27001 (6.1.3, 6.1.3 Bilaga A 16.1.6)

eIDAS 2, eIDAS 3

109. Återhämtnings- och kontinuitetsplanerna ska uppdateras utifrån observationer om incidenter.


ISO 27001 (6.1.3 Bilaga A 16.1.6)

eIDAS 2, eIDAS 3

110. Utrustning och program som ansluts från tredje parter ska uppfylla kraven på informationssäkerheten i organisationen.


ISO 27001 (6.1.3 Bilaga A 8.1)

eIDAS 2, eIDAS 3

Personalen och alla externa per-soner ska personligen svara för all användning av organisationens

Anvisning 25 (64) 211/2016 2.11.2016






2.4 i LoA 4–5 § i M72

resurser. ISO 27002 (8.1.3)

111. Organisationen ska utse och dokumentera an-svariga personer för varje utrustning och övrig egen-dom.


ISO 27001 (6.1.3 Bilaga A 8.1)

eIDAS 2, eIDAS 3

112. Rättigheterna till utrustning, lokaler och pro-gram ska dokumenteras.


ISO 27001 (6.1.3 Bilaga A 8.1)

eIDAS 2, eIDAS 3

113. Utrustningen och programmen ska vara inven-terade och omfattas av aktuella underhållsavtal.


ISO 27001 (6.1.3 Bilaga A 8.1)

eIDAS 2, eIDAS 3

114. De ansvariga personernas kompetensnivå ska säkerställas och bevaras.


ISO 27001 (6.1.3 Bilaga A 8.1)

eIDAS 2, eIDAS 3

115. Alla intressenter ska identifieras så att infor-mationssäkerheten kan säkerställas.


ISO 27001 (6.1.3 Bilaga A 8.1 och 17.1)

eIDAS 2, eIDAS 3

Vid genomförandet av kontinui-tetsplanen är det nödvändigt att identifiera alla intressenter.

116. Intressenternas verksamhet ska följas upp och 8 § 1 mom. 5 ISO 27001 eIDAS 2,

Anvisning 26 (64) 211/2016 2.11.2016






övervakas regelbundet. punkten i IdentL 2.4 i LoA 4 § i M72

(Bilaga A 15.2.1)

eIDAS 3

117. Förändringar i de tjänster som har anskaffats från olika intressenter ska följas upp och övervakas re-gelbundet.


ISO 27001 (Bilaga A 15.2.2)

eIDAS 2, eIDAS 3

118. Processerna ska säkras så att informationssä-kerheten och kontinuiteten kan säkerställas.


ISO 27001 (Bilaga A 8.1 och 17.1)

eIDAS 2, eIDAS 3

Vid genomförandet av kontinui-tetsplanen är det nödvändigt att identifiera alla processer.


119. Organisationen ska ha förfaranden för ända-målsenlig behandling av säkerhetsincidenter.

8 § 1 mom. 5 punkten i IdentL 2.4 i LoA 4–5 § i M72

ISO 27001 (10, 6.1.3 Bilaga A 16.1)

eIDAS 2, eIDAS 3

De ändamålsenliga förfaranden som Kommunikationsverket har fastställt för säkerhetsincidenter har beaktats.

120. Organisationen har en fastställd beslutsprocess och verksamhetsmodell vid incidenter.


ISO 27001 (10, 6.1.3 Bilaga A 16.1)

eIDAS 2, eIDAS 3

Anvisning 27 (64) 211/2016 2.11.2016






4–5 § i M72 121. Organisationens ansvarsområden och förfa-

ringssätt vid incidenter har fastställts. 8 § 1 mom. 5 punkten i IdentL 2.4 i LoA 4–5 § i M72

ISO 27001 (6.1.3 Bilaga A 16.1)

eIDAS 2, eIDAS 3

För att säkerställa snabba och effektiva reaktioner bör administ-rativa ansvarsområden och pro-cesser fastställas. ISO 27002 (16.1.1)

122. Organisationen har fastställt de personer och instanser som säkerhetsincidenter eller miss-tankar om en säkerhetsincident ska anmälas till.


ISO 27001 (6.1.3 Bilaga A 16.1)

eIDAS 2, eIDAS 3

123. Organisationen ska ha fastställda processer för att upptäcka incidenter och svagheter i informationssä-kerheten och rapportera om dem.


ISO 27001 (6.1.3 Bilaga A 16.1)

eIDAS 2, eIDAS 3

124. Organisationen ska ha en fastställd modell för eskalering av incidenter och vid behov en modell för in-formation till interna och externa intressenter.


ISO 27001 (6.1.3 Bilaga A 16.1)

eIDAS 2, eIDAS 3

125. Uppgifter som har erhållits från analys av och lösningar till upptäckta incidenter utnyttjas för att för-hindra och minska kommande incidenter.


ISO 27001 (6.1.3 Bilaga A 16.1)

eIDAS 2, eIDAS 3

Följande ska beaktas: verksam-hetens systematik, övervakning av processer, observationer om incidenter, analys av händelser och incidenter, hantering av log-gar, behandling av inspelningar som är viktiga med tanke på ut-redning av dataintrång och krav

Anvisning 28 (64) 211/2016 2.11.2016






på utbildning och information. 126. Organisationen ska göra kvalitetsrevisioner av

hur den planerade informationssäkerheten har genom-förts, och rapportera om detta regelbundet.

29 och 31 § i IdentL 2.4.7 i LoA

ISO 27001 (9.2)

eIDAS 2, eIDAS 3

Enligt 31 § i lagen om stark au-tentisering och betrodda elektro-niska tjänster är inspektionsbe-rättelsen i kraft den tid som anges i den standard som använ-des vid bedömningen, dock högst 2 år.

127. För att kunna säkerställa kontinuitet, tillräck-lighet och effektivitet ska organisationens ledning regel-bundet utvärdera hur informationssäkerheten har ge-nomförts.


ISO 27001 (9.3)

eIDAS 2, eIDAS 3

2.2.6 Fysisk säkerhet


Tolkningar

128. I lokalerna finns en ändamålsenlig tillträdes-övervakning som säkerställer att endast behöriga perso-ner har tillträde till lokalerna.

8 § 1 mom. 5 punkten i IdentL 2.4.5 i LoA 4 § i M72

ISO 27001 (6.1.3 Bilaga A 11.1)

eIDAS 2, eIDAS 3

Tillträdesövervakningen i lokalerna har beaktats i alla möjliga ingångs-öppningar. Ingångsöppningar som inte behövs ska vara under kontroll och vid be-hov skiljas åt från övriga verksam-hetslokaler. KATAKRI 2015 (F)

129. Områden där sekretessbelagda uppgifter förva- 8 § 1 mom. 5 ISO 27001 eIDAS 2, I lokalernas säkerhet ska det säker-

Anvisning 29 (64) 211/2016 2.11.2016






Tolkningar

ras eller behandlas har skyddats med ändamålsenliga låssystem, passerkontroll eller andra åtgärder för att förhindra obehörigt tillträde till lokalerna och de doku-ment som finns i lokalerna.

punkten i IdentL 2.4.5 i LoA 4 § i M72

(6.1.3 Bilaga A 11.1)

eIDAS 3 ställas att policyn för rent bord iakt-tas, olovlig observation av skärmar har beaktats och klassificerad in-formation alltid förvaras i ett låst skåp.

130. Den utrustning som används i organisationen samt användbarheten av utrustningen ska vara skyd-dade mot intrång, skadegörelse, brand, värme, gaser, damm, vibrationer, vatten och avbrott i eldistributionen.


ISO 27001 (6.1.3 Bilaga A 11.2)

eIDAS 2, eIDAS 3

Distansanvändning av den VVS-automationshantering som styr ser-ver- och utrustningslokaler har för-hindrats. Sensorer för förhållanden i server- och utrustningslokalerna ska skyd-das och övervakas. KATAKRI (F08), ISO27002 11.2, VAHTI 2/2013

131. Klassificeringen av information som hanteras i en enhet ska beaktas så att obehörig åtkomst kan för-hindras.


ISO 27001 (6.1.3 Bilaga A 11.2)

eIDAS 2, eIDAS 3

Nödvändiga fysiskt skyddade områden (indelning i zoner) har inrättats så att information kan skyddas på ett fysiskt sätt 132. Lokalerna har indelats i säkerhetszoner med

beaktande av hur sekretessbelagda, känsliga och kritiska uppgifterna är.


ISO 27001 (6.1.3 Bilaga A 11.1)

eIDAS 2, eIDAS 3

Särskilt fokus ska läggas på kraven på behandling av personuppgifter och andra uppgifter som kräver in-tegritetsskydd. I verksamhetslokalernas säkerhet ska hänsyn tas till lokalernas an-vändningsändamål.

Anvisning 30 (64) 211/2016 2.11.2016






Tolkningar

Det finns ingen direkt underhålls-mässig förbindelse mellan administ-rativa lokaler och den utrustningslo-kal som hanterar sekretessbelagda uppgifter. Som tekniska områden för verksam-hetslokaler identifieras de områden där utrustningen som hanterar klas-sificerad information underhålls och administreras. ISO 27002 (11), KATAKRI 2015 (F)

133. Sekretessbelagda uppgifter och utrustning som innehåller sekretessbelagda uppgifter ska inte flyttas från säkerhetszonen utan motivering.


ISO 27001 (6.1.3 Bilaga A 11.2)

eIDAS 2, eIDAS 3

134. Styrkan i det skydd som används i säkerhets-zonerna ska bygga på en klassificering av information som hanteras och en redan gjord riskanalys.


ISO 27001 (6.1.3 Bilaga A 11.2)

eIDAS 2, eIDAS 3

135. Endast personer som har tillträde till området har tillträde till området utan ledsagare.


ISO 27001 (6.1.3 Bilaga A 11.2)

eIDAS2 Endast godkända personer får ha tillträde till lokaler där sekretessbe-lagda uppgifter hanteras. KATAKRI 2015 (F02)

136. Processer och anvisningar för arbete i säker-hetszonerna ska vara fastställda.


ISO 27001 (6.1.3 Bilaga

eIDAS 2, eIDAS 3

Anvisning 31 (64) 211/2016 2.11.2016






Tolkningar

IdentL 2.4.5 i LoA 4 § i M72

A 11.1)

137. Säkerhetssystem och utrustning som är av-sedda för fysiskt skydd av information ska vara förenliga med godkända tekniska standarder eller minimikrav.


ISO 27001 (6.1.3 Bilaga A 11.2.2)

eIDAS 2, eIDAS 3

Säkerhetssystem och -utrustning (t.ex. säkerhetsskåp, kassaskåp, passerkontrollsystem, intrångsde-tekteringssystem, alarmsystem och övervakningssystem). KATAKRI 2015 (F03)

138. System och utrustning för fysisk säkerhet ska testas och hållas i driftskick.


ISO 27001 (6.1.3 Bilaga A 11.1/6.1.3 Bilaga A 11.2)

eIDAS 2, eIDAS 3

139. Säkerhetszonerna ska vara låsta när de inte används och ska övervakas när de används.



eIDAS 2, eIDAS 3

140. Nycklarna till säkerhetszonerna ska övervakas.


ISO 27001 (6.1.3 Bilaga A 11.1)

eIDAS 2, eIDAS 3

141. Säkerhetsförfaranden har tagits fram för säker-hetszonerna och de ska innefatta föreskrifter om tillämp-liga övervaknings- och skyddsåtgärder.

8 § 1 mom. 5 punkten i IdentL 2.4.5 i LoA

ISO 27001 (6.1.3 Bilaga A 11.1)

eIDAS 2, eIDAS 3

Om det inte finns något in-brottslarmsystem i verksamhetslo-kalerna och en del personal arbetar i området dygnet runt, ska området

Anvisning 32 (64) 211/2016 2.11.2016






Tolkningar

4 § i M72 kontrolleras efter den ordinarie ar-betstiden och vid slumpmässiga tid-punkter utanför den ordinarie ar-betstiden. Det ska finnas ett inbrottslarmsy-stem i de lokaler där klassificerad information hanteras, och systemet ska täcka den skyddade gränsen för säkerhetsområdet. Det ska finnas ett brottslarmsystem och en larmöverföring i de utrust-ningslokaler där klassificerad in-formation hanteras, och de ska tes-tas en gång per månad. En utsedd ansvarig person inom organisationen ska svara för kontrollen av brotts-larmsystemet. ISO 27002 (11), KATAKRI 2015 (F)

142. Dokument och annat klassificerat material ska inte öppet förvaras i säkerhetszonerna.


ISO 27001 (6.1.3 Bilaga A 11.2)

eIDAS 2, eIDAS 3

143. Det ska finnas policyer för tomt bord och tom 8 § 1 mom. 5 ISO 27001 eIDAS 2,

Anvisning 33 (64) 211/2016 2.11.2016






Tolkningar

skärm. punkten i IdentL 2.4.5 i LoA 4 § i M72

(6.1.3 Bilaga A 11.2)

eIDAS 3

144. Om klassificerad information förvaras i områ-det, ska det finnas ett godtaget rum eller en godtagen förvaringslösning i området för förvaring av sådan in-formation.

Säkerheten i den förvaringslösning som används ska bygga på en redan gjord riskanalys.


ISO 27001 (6.1.3 Bilaga A 11.1)

eIDAS 2, eIDAS 3

Om sekretessbelagda uppgifter för-varas i lokalerna, ska det finnas ett godtaget rum eller en godtagen för-varingslösning i lokalerna för förva-ring av sådana uppgifter. Om ett låsbart skåp används som förvaringsenhet för klassificerat in-formationsmaterial, ska det säker-ställas att intrång lämnar spår. Om sekretessbelagda uppgifter (t.ex. personuppgifter) förvaras i lokalerna, ska de förvaras i ett sä-kerhetsskåp i klass S2 enligt SFS-EN 14450 eller i ett motsvarande skåp. Om skyddad information förvaras i en godtagen förvaringsenhet i loka-len, ska de konstruktioner för vägg-, tak-, golv-, fönster-, dörr- och hus-tekniska öppningar som avgränsar området ge ett sådant konstruktivt skydd att det går långsamt och är svårt att ta sig till området via

Anvisning 34 (64) 211/2016 2.11.2016






Tolkningar

nämnda öppningar. ISO 27002 (11), KATAKRI 2015 (F)

145. Kablarnas säkerhet ska säkerställas med tanke på avbrott, störningar eller skador.


ISO 27001 (6.1.3 Bilaga A 11.2)

eIDAS 2, eIDAS 3

146. Säkerhetszonerna ska granskas regelbundet så att eventuella olovliga telekommunikationsförbindelser och medier samt annan olovlig elektronisk utrustning kan hittas.



eIDAS 2, eIDAS 3

Det finns inga olovliga telekommuni-kationsförbindelser eller -utrustningar i utrustningslokaler och tekniska verksamhetslokaler. Utrustningslokalerna och de tekniska verksamhetslokalerna ska granskas regelbundet så att eventuella olov-liga telekommunikationsförbindelser och medier samt annan olovlig elektronisk utrustning kan hittas. ISO 27002 (11), KATAKRI 2015 (F)

147. Mobil utrustning ska skyddas och en särskild policy ska tas fram för den.


ISO 27001 (6.1.3 Bilaga A 8.3)

eIDAS 2, eIDAS 3

Klassificerad information ska inte användas utanför den miljö som är avsedd för den (off-site).

Anvisning 35 (64) 211/2016 2.11.2016






Tolkningar

4 § i M72 ISO 27001 (11.2.5)

148. Mobil utrustning ska skyddas. Endast enheter som är skyddade enligt organisationens in-formationssäkerhetsprinciper ska användas vid hantering av operativa nät.

Hanteringen av operativa nät ska ske på tillitsnivån väsentlig så att sådana informationssäkerhetshot som orsakas av or-ganisationens övriga tjänster, som e-post, eller genom webbsurfing och som orsakas av andra funktioner än de som är nödvändiga vid hanteringen i den terminalenhet som an-vänds vid hanteringen, särskilt har analyserats och minime-rats.


ISO 27001 (6.1.3 Bilaga A 11.2)

eIDAS 2 På tillitsnivån väsentlig ska en do-kumenterad riskbedömning göras, om åtkomst till hanteringsnätet för produktion av en identifieringstjänst är möjlig med terminalenheter som är i allmän användning i organisat-ionen och tillåter åtkomst även till organisationens övriga tjänster, som e-post.

149. Mobil utrustning ska skyddas. Hanteringen av operativa nät ska ske på tillitsnivån hög så att sådana informationssäkerhetshot som orsakas av organisationens övriga tjänster, som e-post, eller genom webbsurfing och som orsakas av andra funktioner än de som är nödvändiga vid hanteringen i den terminalenhet som används vid hanteringen, enligt en helhetsbedöm-ning har förhindrats.


ISO 27001 (6.1.3 Bilaga A 11.2)

eIDAS 3 På tillitsnivån hög kan kravet uppfyl-las genom att, för åtkomst till hante-ringsnätet för produktion av en iden-tifieringstjänst, använda organisat-ionens terminalenhet som innehåller en spärr av åtkomsten till organisat-ionens övriga tjänster och där det är möjligt att använda endast funktion-er som är nödvändiga för använd-ning av hanteringsnätet. En imple-

Anvisning 36 (64) 211/2016 2.11.2016






Tolkningar

mentering, där kopplingen mellan en terminalenhet och ett kontorsnät har implementerats terminerat med en lösning som bygger på virtualisering eller KVM-principen (fjärrskrivbord), kan enligt en helhetsbedömning också vara tillräckligt säker.

150. Informationens tillgänglighet och integritet ska säkerställas genom sådant underhåll av utrustning som avses i rekommendationerna.


ISO 27001 (6.1.3 Bilaga A 11.1)

eIDAS 2, eIDAS 3

151. Utrustning eller annan egendom kan inte av-lägsnas utan ändamålsenlig auktorisering.


ISO 27001 (6.1.3 Bilaga A 8.3)

eIDAS 2, eIDAS 3

152. En säker metod ska tillämpas för förstöring el-ler ny användning av utrustning.


ISO 27001 (6.1.3 Bilaga A 8.3)

eIDAS 2, eIDAS 3

153. Utrustningen får inte lämnas obevakad utan ändamålsenligt skydd.


ISO 27001 (6.1.3 Bilaga

eIDAS 2,

Anvisning 37 (64) 211/2016 2.11.2016






Tolkningar


A 8.3) eIDAS 3

154. Klassificerad information får inte behandlas i lokalen under underhåll, installation och städning.


ISO 27001 (6.1.3 Bilaga A 11.1)

eIDAS 2, eIDAS 3

155. Det ska finnas skydd mot olovlig observation och avlyssning.


ISO 27001 (6.1.3 Bilaga A 11.1)

eIDAS 2, eIDAS 3

Oavsett i vilken form klassificerad information finns ska informationen behandlas så att obehöriga inte kan se den. Särskild uppmärksamhet ska fästas vid personuppgifter och iden-tifieringsuppgifter.

Fönstren i den lokal som används vid hanteringen ska vara utrustade med synhinder eller utrustningen ska vara placerad så att ingen kan se den genom fönstren.

Diskussioner om sekretessbelagda uppgifter får inte höras i intilliggande lokaler av de som inte har rätt till sådana uppgifter.

Anvisning 38 (64) 211/2016 2.11.2016






Tolkningar

Bärbara datorer har skärmskydd som hindrar andra från att se skär-men från sidan.

ISO 27001 (18.1.4)

KATAKRI 2015 (F04)

156. Logiska och fysiska kontinuitetsplaner har sä-kerställts så att de är enhetliga och stöder varandra.


ISO 27001 (6.1.3 Bilaga A 17.1)

eIDAS 2, eIDAS 3

Administrativ och underhållsmässig utrustning har identifierats och veri-fierats i enlighet med organisatio-nens kontinuitetsplan.

Servrar och utrustningar har identi-fierats och verifierats i enlighet med verksamhetskraven.

157. Organisationen ska regelbundet kontrollera att de införda metoder som säkerställer kontinuiteten funge-rar.


ISO 27001 (6.1.3 Bilaga A 17.1)

eIDAS 2, eIDAS 3

Anvisning 39 (64) 211/2016 2.11.2016





2.2.7 Teknisk säkerhet


Tolkningar

158. En operativ miljö och processer ska vara doku-menterade och tillgängliga.


ISO 27001 (6.1.3 Bilaga A 12.1)

eIDAS 2, eIDAS 3

Den logiska säkerheten i databe-handlingsmiljön ska vara beskriven och dokumenterad. ISO 27002 (12.1.1)

159. Tydliga processer ska vara fastställda för han-tering av förändringar.


ISO 27001 (6.1.3 Bilaga A 12.1.2)

eIDAS 2, eIDAS 3

160. Tillräckliga resurser ska vara identifierade och ska följas upp.


ISO 27001 (6.1.3 Bilaga A 7.1)

eIDAS 2, eIDAS 3

161. När det gäller tillräckliga resurser ska hänsyn tas till eventuella ytterligare behov i framtiden.


ISO 27001 (6.1.3 Bilaga A 7.1)

eIDAS 2, eIDAS 3

162. Program och system ska installeras och införas i den operativa miljön av en auktoriserad person.


ISO 27001 (6.1.3 Bilaga A 12.5)

eIDAS 2, eIDAS 3

163. Informationssäkerheten i operativa program 8 § 1 mom. 5 ISO 27001 eIDAS 2,

Anvisning 40 (64) 211/2016 2.11.2016






Tolkningar

och system ska säkerställas genom regelbundna gransk-ningar.


(6.1.3 Bilaga A 12.5)

eIDAS 3

164. Den databehandlingsmiljö som används vid hanteringen har skilts åt från andra miljöer.


ISO 27001 (6.1.3 Bilaga A 13.1)

eIDAS 2, eIDAS 3

165. Databehandlingsmiljön i serverhallen har skilts åt från andra miljöer.


ISO 27001 (6.1.3 Bilaga A 13.1)

eIDAS 2, eIDAS 3

Om det inte är möjligt att skilja åt miljöerna ska den övriga miljön också uppfylla kraven på tillhanda-hållande av identifieringstjänster. Det gäller också att säkerställa att kvalitetsrevisorn har åtkomst till hela den databehandlingsmiljö som används för identifieringstjänsten utan att den övriga databehand-lingsmiljön förhindrar det. Kvalitets-revisorerna inom den övriga databe-handlingsmiljön får i inga situationer ha åtkomst till den databehand-lingsmiljö som används vid tillhan-dahållande av identifieringstjänster. Endast utsedda personer har åt-komst till den databehandlingsmiljö som används vid tillhandahållande av identifieringstjänster.

Anvisning 41 (64) 211/2016 2.11.2016






Tolkningar

166. Integrering av databehandlingsmiljön med mil-jöer med andra skyddsnivåer förutsätter åtminstone an-vändning av brandväggar.


ISO 27001 (6.1.3 Bilaga A 13.1)

eIDAS 2, eIDAS 3

167. Trafiken till områden utanför ett kontrollerat, fysiskt säkerhetsområde ska krypteras i enlighet med en fastställd policy.


ISO 27001 (6.1.3 Bilaga A 10.1)

eIDAS 2, eIDAS 3

Krypteringslösningar som är natio-nellt och internationellt godkända ska användas. ISO27002 10.1 KATAKRI (I04)

Indelning av datakommunikationsnät i zoner och filtreringsregler inom den aktuella skyddsnivån 168. Organisationen ska iaktta principen om minsta

privilegium. 8 § 1 mom. 5 punkten i IdentL 2.4.3 i LoA 5 § i M72

ISO 27001 (6.1.3 Bilaga A 13.1)

eIDAS 2, eIDAS 3

Hanteringstrafiken för underhållet i kontorets hanteringsnät ska iaktta principen om minsta privilegium. KATAKRI 2015 (I04)

169. Dokumentationen ska innehålla en tydlig be-skrivning av nätområdena på olika skyddsnivåer och fil-trerings- och övervakningssystemen mellan nätområ-dena.


ISO 27001 (6.1.3 Bilaga A 13.1)

eIDAS 2, eIDAS 3

170. Indelningen av datakommunikationsnäten i zoner och filtreringsreglerna ska göras enligt principen om minsta privilegium (least privilege) och principen om försvar på djupet (defence in depth).


ISO 27001 (6.1.3 Bilaga A 9.1)

eIDAS 2, eIDAS 3

171. Det operativa nätet ska vara logiskt åtskilt från underhålls- och hanteringsnätet.


ISO 27001 (6.1.3 Bilaga

eIDAS 2, eIDAS 3

Endast en administrativ åtkomst till den operativa servicemiljön är tillå-

Anvisning 42 (64) 211/2016 2.11.2016






Tolkningar


A 13.1) ten genom krypterade förbindelser från hanteringsnätet.

172. Underhålls- och hanteringsnätet ska vara lo-giskt åtskilt från det övriga kontorsnätet.


ISO 27001 (6.1.3 Bilaga A 13.1)

eIDAS 2, eIDAS 3

173. Förbindelserna mellan ett operativt nät och ett offentligt nät ska vara riskbaserade förbindelser som endast möjliggör tjänstens funktioner.


ISO 27001 (6.1.3 Bilaga A 13.1)

eIDAS 2, eIDAS 3

Förbindelserna mellan servrar och ett offentligt nät ska begränsas så att de endast kan användas för de nödvändiga gränssnitt som tjänsten erbjuder. Alla onödiga tjänster och protokoll ska tas ur bruk, och de protokoll som används ska endast vara till-låtna med metoder som är nödvän-diga för funktionaliteten. KATAKRI 2015 (I02)

174. Alla andra förbindelser som inte är nödvändiga för verksamheten har uttryckligen förbjudits eller stängts.


ISO 27001 (6.1.3 Bilaga A 13.1)

eIDAS 2, eIDAS 3

175. En auditlogg ska skapas om all administrativ verksamhet.


ISO 27001 (6.1.3 Bilaga A 12.4)

eIDAS 2, eIDAS 3

Anvisning 43 (64) 211/2016 2.11.2016






Tolkningar

4 § i M72

176. Behandlingsrätten till logguppgifter har skilts åt från administrativa rättigheter (segregation of duties).


ISO 27001 (6.1.3 Bilaga A 12.4)

eIDAS 2, eIDAS 3

177. Reglerna och anvisningarna om åtskillnad mel-lan nät ska ses över med jämna mellanrum.


ISO 27001 (6.1.3 Bilaga A 18.2)

eIDAS 2, eIDAS 3

178. Trafiken ska övervakas och incidenter ska in-gripas i omedelbart.


ISO 27001 (6.1.3 Bilaga A 13.1)

eIDAS 2, eIDAS 3

179. Datasystem som finns inom en och samma zon hanteras enligt samma säkerhetsförfaranden.


ISO 27001 (6.1.3 Bilaga A 13.1)

eIDAS 2, eIDAS 3

180. Trafiken mellan olika zoner ska övervakas och begränsas så att endast särskilt godtagen trafik som är nödvändig för verksamheten är tillåten (default-deny).


ISO 27001 (6.1.3 Bilaga A 13.1)

eIDAS 2, eIDAS 3

181. I databehandlingsmiljön har förberedelser gjorts för allmänna webbattacker.


ISO 27001 (6.1.3 Bilaga

eIDAS 2, eIDAS 3

Anvisning 44 (64) 211/2016 2.11.2016






Tolkningar


A 12.6)

182. Under hela livscykeln för databehandlingsmiljön ska det ses till att filtrerings- och övervakningssystemen fungerar på ett ändamålsenligt sätt.


ISO 27001 (6.1.3 Bilaga A 13.1)

eIDAS 2, eIDAS 3

183. Ansvaret för att lägga till, ändra och avaktivera inställningar i de system som filtrerar eller övervakar tra-fiken har fastställts och dessa uppgifter har organiserats.


ISO 27001 (6.1.3 Bilaga A 13.1)

eIDAS 2, eIDAS 3

184. Dokumentationen om nät och därtill anslutna filtrerings- och övervakningssystem ska uppdateras un-der dess livscykel som en oskiljaktig del av hanteringen av förändringar och inställningar.


ISO 27001 (6.1.3 Bilaga A 13.1)

eIDAS 2, eIDAS 3

185. Kontroller av inställningarna och funktionen i databehandlingsmiljön är regelbundna.


ISO 27001 (6.1.3 Bilaga A 12.7)

eIDAS 3 Kontroller ska göras även under un-derhållet och efter exceptionella si-tuationer. Rekommendationen är att inställ-ningarna i de system som filtrerar och övervakar trafiken i datatrafik-miljön kontrolleras två gånger om året (med 6 månaders mellanrum).

Överföring av sekretessbelagda uppgifter till områden utanför fysiskt skyddade områden – Trådlösa nät

Anvisning 45 (64) 211/2016 2.11.2016






Tolkningar

186. Datatrafik som förmedlas via trådlösa nät ska krypteras genom internationellt godkända metoder.

8.1 § punk-terna 4–5 i M72 2.4.3 i LoA 5 § i M72

ISO 27001 (6.1.3 Bilaga A 13.1)

eIDAS 2, eIDAS 3

Radiogränssnitt för trådlösa nät ska be-handlas på samma sätt som ett offentligt nät. En allmän användning av radio-gränssnitt via trådlösa nätförbindelser tolkas som lämnande av ett fysiskt skyddat område.

187. Inga trådlösa nät ska vara aktiverade i ett ope-rativt nät.

8.1 § punk-terna 4–5 i M72 2.4.3 i LoA 5 § i M72

ISO 27001 (6.1.3 Bilaga A 11.2)

eIDAS 2, eIDAS 3

Fysiska, säkra kablar ska användas i utrustningen i serverhallen. ISO27002 (11.2.3)

Administration av åtkomsträttigheter 188. Åtkomsten till information och databehand-

lingsmiljöer ska begränsas på ett systematiskt och do-kumenterat sätt genom administration av organisatio-nens åtkomsträttigheter.

8 § 1 mom. i IdentL 2.4.6 i LoA 5 § i M72

ISO 27001 (6.1.3 Bilaga A 9.1)

eIDAS 2, eIDAS 3

189. Åtkomsten till system och program ska be-gränsas i enlighet med organisationens policy för tillträ-desövervakning.


ISO 27001 (6.1.3 Bilaga A 9.1)

eIDAS 2, eIDAS 3

190. Till användare och automatiska processer i databehandlingsmiljön ges endast den information eller de rättigheter eller befogenheter som är nödvändiga för att de ska kunna utföra sina uppgifter.


ISO 27001 (6.1.3 Bilaga A 9.1)

eIDAS 2, eIDAS 3

Anvisning 46 (64) 211/2016 2.11.2016






Tolkningar

191. Olovlig ändring och annan olovlig eller obefo-gad behandling av sekretessbelagda uppgifter ska för-hindras genom ändamålsenliga säkerhetsarrangemang och andra åtgärder i administrationen av åtkomsträttig-heter och datasystemen.


ISO 27001 (6.1.3 Bilaga A 9.4)

eIDAS 2, eIDAS 3

192. De metoder som används för åtkomstkontroll ska beskrivas separat i organisationens policy för åt-komstkontroll.


ISO 27001 (6.1.3 Bilaga A 9.1)

eIDAS 2, eIDAS 3

Identifiering av aktörer i databehandlingsmiljön inom ett fysiskt skyddat område

193. Tillförlitliga metoder för identifiering av aktörer i databehandlingsmiljön ska införas i databehandlings-miljön.


ISO 27001 (6.1.3 Bilaga A 9.2)

eIDAS 2, eIDAS 3

194. Metoderna ska väljas utifrån databehandlings-miljöns informationssäkerhetsnivå och en riskanalys.

8 § 1 mom. 5 punkten i IdentL 2.4.3 och 2.4.6 i LoA 4–5 § i M72

ISO 27001 (6.1.3 Bilaga A 9.2)

eIDAS 2, eIDAS 3

195. En process för registrering och avregistrering av användare har fastställts, införts och dokumenterats.

8 § 1 mom. 5 punkten i IdentL 2.4.3 och

ISO 27001 (6.1.3 Bilaga A 9.2)

eIDAS 2, eIDAS 3

Anvisning 47 (64) 211/2016 2.11.2016






Tolkningar

2.4.6 i LoA 4–5 § i M72

196. Organisationen har infört en provisionerings-process som gör det möjligt att radera användares rät-tigheter från alla identifierade system.


ISO 27001 (6.1.3 Bilaga A 9.2)

eIDAS 2, eIDAS 3

197. Beviljandet och användningen av åtkomsträt-tigheter ska begränsas och administreras.


ISO 27001 (6.1.3 Bilaga A 9.2)

eIDAS 2, eIDAS 3

198. Beviljandet och förmedlingen av identifierings-uppgifter ska ske enligt en säker process.


ISO 27001 (6.1.3 Bilaga A 9.2)

eIDAS 2, eIDAS 3

199. Informationsägare ska regelbundet granska de åtkomsträttigheter som har beviljats och som används.


ISO 27001 (6.1.3 Bilaga A 9.2)

eIDAS 2, eIDAS 3

200. Användarna ska följa organisationens anvis-ningar vid behandling av identifieringsuppgifter.


ISO 27001 (6.1.3 Bilaga A 9.3)

eIDAS 2, eIDAS 3

Anvisning 48 (64) 211/2016 2.11.2016






Tolkningar

4 § i M72

201. Åtkomsträttigheter ska raderas omedelbart när en anställning, ett underleverantörsavtal eller motsva-rande upphör.


ISO 27001 (6.1.3 Bilaga A 9.2)

eIDAS 2, eIDAS 3

Det räcker med att låsa åtkomsträt-tigheter såvida det har fastställts förfaranden när låsta rättigheter ska raderas.

202. Vid identifiering och verifiering ska en känd teknik som anses vara säker användas eller så ska iden-tifieringen och verifieringen ha organiserats på något annat tillförlitligt sätt.

8 § 1 mom. 5 punkten i IdentL 2.4.3 och 2.4.6 i LoA 4 § i M72

ISO 27001 (6.1.3 Bilaga A 9.4)

eIDAS 2, eIDAS 3

Om verifiering med lösenord an-vänds, ska användarna ha informe-rats om god säkerhetspraxis vid val och användning av lösenord. Vid verifiering med lösenord ska det program som övervakar använd-ningen ställa vissa minimisäkerhets-krav på lösenordet och tvinga an-vändaren att byta lösenord med jämna mellanrum. I underhållsmässiga och administra-tiva förbindelser krävs stark autenti-sering som bygger på minst två fak-torer. KATAKRI 2015 (I07)

203. Åtkomsten till programmets kod ska begränsas på ett planmässigt sätt.


ISO 27001 (6.1.3 Bilaga A 9.4)

eIDAS 2, eIDAS 3

204. Individuella, personliga användarkoder ska 8 § 1 mom. 5 ISO 27001 eIDAS 2,

Anvisning 49 (64) 211/2016 2.11.2016






Tolkningar

användas. punkten i IdentL 2.4.3 i LoA 4–5 § i M72

(6.1.3 Bilaga A 9.2)

eIDAS 3

205. Underhållskoderna för system och program är personliga.

8 § 1 mom. 5 punkten i IdentL 2.4.3 i LoA 4–5 § i M72

ISO 27001 (6.1.3 Bilaga A 9.2)

eIDAS 2, eIDAS 3

206. Alla användare ska identifieras och verifieras.


ISO 27001 (6.1.3 Bilaga A 9.1)

eIDAS 2, eIDAS 3

207. Om en identifiering misslyckas för många gånger i rad, ska koden låsas.


ISO 27001 (6.1.3 Bilaga A 9.4)

eIDAS 2, eIDAS 3

208. Terminalenheter ska identifieras tekniskt innan åtkomsten till nätet eller tjänsten tillåts, såvida upp-kopplingen till nätet inte har begränsats med fysiska sä-kerhetsmetoder.


ISO 27001 (6.1.3 Bilaga A 9.1)

eIDAS 2, eIDAS 3

I kontorsnät ska enheterna identifie-ras i enlighet med organisationens policy. I underhålls- och hanteringsnätet ska de enheter som ansluts till nätet kontrolleras genom fysisk eller tek-nisk kontroll. I det operativa nätet ska skyddet kunna införas genom att fysiskt för-

Anvisning 50 (64) 211/2016 2.11.2016






Tolkningar

hindra anslutning av olovliga utrust-ningar till nätet. KATAKRI 2015 (I07)

Princip om minimalitet och minsta privilegium – systemhärdning

209. Endast sådana funktioner, utrustningar och tjänster som är relevanta med tanke på användnings-kraven och databehandlingen har tagits i bruk.


ISO 27001 (6.1.3 Bilaga A 12.5)

eIDAS 2, eIDAS 3

210. Ett förfaringssätt, på vilket system installeras systematiskt så att resultatet är en härdad installation, ska användas.



eIDAS 2, eIDAS 3

211. En härdad installation ska endast omfatta så-dana komponenter och tjänster samt användarnas och processernas rättigheter som är nödvändiga för att upp-fylla verksamhetskraven och säkerställa säkerheten.



eIDAS 2, eIDAS 3

Skydd mot skadliga program 212. För att olovlig ändring av uppgifter och annan

olovlig eller obefogad behandling av uppgifter ska kunna förhindras, ska tillförlitliga metoder för att förebygga, förhindra och upptäcka hot om skadliga program och för


ISO 27001 (6.1.3 Bilaga A 12.2)

eIDAS 2, eIDAS 3

Rekommendationen är att säker-hetsuppdateringar av de servrar som används hämtas från en separat uppdateringsenhet som är kopplad

Anvisning 51 (64) 211/2016 2.11.2016






Tolkningar

motståndskraft mot skadliga program och för att åt-gärda incidenter tas fram i databehandlingsmiljön.

4 § i M72 till nätet. ISO 27002 (12.2.1)

213. Användarna ska ges anvisningar om tekniska implementeringar och adekvat verksamhet.


ISO 27001 (6.1.3 Bilaga A 12.2)

eIDAS 2, eIDAS 3

214. Förbindelserna mellan kritiska servrar och ett offentligt nät ska begränsas så att de endast möjliggör nödvändiga funktioner i tjänsten.


ISO 27001 (6.1.3 Bilaga A 13.1)

eIDAS 2, eIDAS 3

Spårning av säkerhetshändelser 215. Organisationen ska registrera och övervaka

händelser som sker i systemen genom att se till att åt-minstone insamlingen av logguppgifter från arbetssta-tioner, servrar, nätutrustningar och motsvarande är ak-tiverad.


ISO 27001 (6.1.3 Bilaga A 12.4)

eIDAS 2, eIDAS 3

216. Det ska vara möjligt att utifrån loggar i nätut-rustningen och det operativa nätets servrar i efterhand utreda vilka hanteringsåtgärder som har vidtagits i ut-rustningen samt när och av vem.


ISO 27001 (6.1.3 Bilaga A 12.4)

eIDAS 2, eIDAS 3

217. Logguppgifter ska samlas in om systemets funktion, användarnas åtgärder, säkerhetshändelser och incidenter.


ISO 27001 (6.1.3 Bilaga A 12.4)

eIDAS 2, eIDAS 3

Anvisning 52 (64) 211/2016 2.11.2016






Tolkningar

218. Händelser ska följas upp och kontrolleras re-gelbundet.


ISO 27001 (6.1.3 Bilaga A 12.4)

eIDAS 2, eIDAS 3

219. Klockorna i alla utrustningar i operativa nät ska synkroniseras via en gemensam godkänd NTP-tjänst.


ISO 27001 (6.1.3 Bilaga A 12.4)

eIDAS 2, eIDAS 3

220. Registrering av logguppgifter från utrustningar och program ska specificeras och dokumenteras.


ISO 27001 (6.1.3 Bilaga A 12.4)

eIDAS 2, eIDAS 3

221. Registrering och förvaring av logguppgifter för utredning i efterhand ska vara planerade och genomfö-ras på ett säkert sätt.

8 § 1 mom. 5 punkten i IdentL 2.4.3 i LoA 4 § och 7.5 § i M72

ISO 27001 (6.1.3 Bilaga A 16.1)

eIDAS 2, eIDAS 3

Ett rekommenderat sätt att säkra loggar är att dirigera väsentliga logguppgifter till en centraliserad och starkt skyddad loggserver vars uppgifter säkerhetskopieras regel-bundet.

222. Med tanke på utredning i efterhand ska en till-räckligt lång tid fastställas för förvaring av logguppgif-ter.


ISO 27001 (6.1.3 Bilaga A 16.1)

eIDAS 2, eIDAS 3

Förmåga att observera incidenter samt återhämtning

Anvisning 53 (64) 211/2016 2.11.2016






Tolkningar

223. Tillförlitliga metoder för att upptäcka attacker mot databehandlingsmiljön ska införas i databehand-lingsmiljön.


ISO 27001 (6.1.3 Bilaga A 13.1)

eIDAS 2, eIDAS 3

224. Tillförlitliga metoder för att begränsa konse-kvenser av attacker för en så liten del som möjligt av uppgifterna eller resurserna i databehandlingsmiljön ska införas i databehandlingsmiljön.


ISO 27001 (6.1.3 Bilaga A 13.1)

eIDAS 2, eIDAS 3

225. Tillförlitliga metoder för att förhindra andra skador ska införas i databehandlingsmiljön.


ISO 27001 (6.1.3 Bilaga A 13.1)

eIDAS 2, eIDAS 3

226. Tillförlitliga metoder för att återställa ett skyddat läge i databehandlingsmiljön ska införas i data-behandlingsmiljön.


ISO 27001 (6.1.3 Bilaga A 17.1)

eIDAS 2, eIDAS 3

227. I alla nät ska incidenter vid gränserna observe-ras och rapporteras.


ISO 27001 (6.1.3 Bilaga A 16.1)

eIDAS 2, eIDAS 3

228. Organisationen ska ha tydliga processer för hantering av och information om incidenter.

8 § 1 mom. i IdentL

ISO 27001 (6.1.3 Bilaga

eIDAS 2, eIDAS 3

Anvisning 54 (64) 211/2016 2.11.2016






Tolkningar

2.4.3 i LoA 4 § i M72

A 16.1)

229. Det administrativa ansvaret och de administra-tiva metoderna för hantering av incidenter ska faststäl-las och processen dokumenteras.


ISO 27001 (6.1.3 Bilaga A 16.1)

eIDAS 2, eIDAS 3

Tjänsteleverantören ska utse perso-ner som ansvarar för uppföljning, regelenligt åtgärdande och rapporte-ring av incidenter. ISO27002 (16.1.1)

230. Incidenterna ska rapporteras via överens-komna kanaler så snabbt som möjligt.

8 § 1 mom. 5 punkten och 16 § i IdentL 2.4.3 i LoA 4 § i M72

ISO 27001 (6.1.3 Bilaga A 16.1)

eIDAS 2, eIDAS 3

Det kan finnas olika trösklar för rap-porteringen beroende på om det gäller anmälan till interna instanser eller anmälan till externa instanser.

231. Registrering och rapportering av incidenter ska krävas av anställda och andra parter som använder det operativa nätet.


ISO 27001 (6.1.3 Bilaga A 16.1)

eIDAS 2, eIDAS 3

232. Alla observationer ska behandlas och deras inverkan klassificeras enligt överenskomna metoder.


ISO 27001 (6.1.3 Bilaga A 16.1)

eIDAS 2, eIDAS 3

233. Alarm ska ges om incidenter enligt gränser som organisationen i förväg fastställt.


ISO 27001 (6.1.3 Bilaga A 16.1)

eIDAS 2, eIDAS 3

234. Uppgifter som erhålls från korrigering och ana- 8 § 1 mom. 5 ISO 27001 eIDAS 2,

Anvisning 55 (64) 211/2016 2.11.2016






Tolkningar

lys av incidenter ska utnyttjas för att förhindra kom-mande incidenter.


(6.1.3 Bilaga A 16.1)

eIDAS 3

Bedömning och godkännande av informationssäkerhetsprodukter – krypteringslösningar 235. En policy för användning av krypteringslös-

ningar har fastställts och införts. 8 § 1 mom. 5 punkten i IdentL 2.4.3 i LoA 4 § i M72

ISO 27001 (6.1.3 Bilaga A 10.1)

eIDAS 2, eIDAS 3

Kravet kan uppfyllas så att anskaf-fade krypteringslösningar är fören-liga med internationella rekommen-dationer. ISO 27002 (10.1.1), KATAKRI 2015 (I12)

236. Policyn ska beakta skyddet av krypteringsnyck-lar under nycklarnas hela livscykel.


ISO 27001 (6.1.3 Bilaga A 10.1)

eIDAS 2, eIDAS 3

Endast användare och processer med befogenheter får använda hem-liga nycklar. Processer och rutiner för administ-ration av krypteringsnycklar ska vara dokumenterade och på ett ändamålsenligt sätt införda. Processerna ska kräva åtminstone användning av kryptografiskt starka nycklar, säker utdelning av nycklar, säker förvaring av nycklar, regel-bundet byte av nycklar, byte av gamla eller avslöjade nycklar och förhindrande av sådant nyckelbyte som saknar befogenheter.

Anvisning 56 (64) 211/2016 2.11.2016






Tolkningar

ISO 27002 (10.1.2), KATAKRI 2015 (I12)

Programsäkerhet och implementeringar av åtkomsthantering med program 237. Säkerheten och de tekniska och icke-tekniska

skyddsåtgärderna i databehandlingsmiljön ska testas under godkännandeprocessen i syfte att säkerställa att en ändamålsenlig säkerhetsnivå har uppnåtts och att de har införts, integrerats och konfigurerats klanderfritt.


ISO 27001 (6.1.3 Bilaga A 14.1)

eIDAS 2, eIDAS 3

238. Program som ansluts till det operativa nätet ska vara förenliga med principerna för säker program-mering.


ISO 27001 (6.1.3 Bilaga A 14.2)

eIDAS 2, eIDAS 3

Tillämpas på både utvecklingsprojekt som genomförs inom organisationen och utlagda funktioner för systemut-veckling. Specificering av gränssnitt ska förva-ras separat dokumenterade.

Skydd av databehandlingsmiljön för behandling av klassificerad information: förändrings- och hanteringsförfaranden

239. Att säkerställa säkerheten anses vara ett krav under hela livscykeln för databehandlingsmiljön, från etablering till avveckling.


ISO 27001 (6.1.3 Bilaga A 14.2)

eIDAS 2, eIDAS 3

240. Endast nödvändiga ändringar får göras i pro-grammen. Ändringarna ska kontrolleras och följas upp regelbundet.


ISO 27001 (6.1.3 Bilaga A 14.2)

eIDAS 2, eIDAS 3

Anvisning 57 (64) 211/2016 2.11.2016






Tolkningar

2.4.3 i LoA 4–5 § i M72

241. Informationssäkerheten ska implementeras för ändringarna och godkännandetesterna ska göras innan ändringarna införs.


ISO 27001 (6.1.3 Bilaga A 14.2)

eIDAS 2, eIDAS 3

Särdragen i identifieringsprotokollet ska beaktas vid testningen.

242. Säkerhetsdokumenten om databehandlingsmil-jön ska utvecklas under miljöns livscykel som en oskilj-aktig del av hanteringen av förändringar och inställning-ar.


ISO 27001 (6.1.3 Bilaga A 14.2)

eIDAS 2, eIDAS 3

243. En utvecklingsmiljö som har åtskilts från pro-duktionen ska användas.


ISO 27001 (6.1.3 Bilaga A 14.2)

eIDAS 2, eIDAS 3

Verkliga personuppgifter får inte användas i utvecklingsmiljön. Om det är nödvändigt att använda verk-liga personuppgifter, ska miljön be-handlas på samma sätt som pro-duktionsmiljön.

244. Utlagd utveckling ska övervakas och hanteras på samma sätt som intern utveckling.


ISO 27001 (6.1.3 Bilaga A 14.2)

eIDAS 2, eIDAS 3

Förmedling och behandling av klassificerad information mellan fysiskt skyddade områden: distansanvändning och distanshante-ring 245. Policyer för förmedling och behandling av in- 8 § 1 mom. 5 ISO 27001 eIDAS 2,

Anvisning 58 (64) 211/2016 2.11.2016






Tolkningar

formation ska ha fastställts. Policyerna ska beakta be-handlingen av information i alla möjliga medier.


(6.1.3 Bilaga A 13.2)

eIDAS 3

246. Avtal ska ha fastställts för förmedling av in-formation mellan olika parter.


ISO 27001 (6.1.3 Bilaga A 13.2)

eIDAS 2, eIDAS 3

247. Informationens tillförlitlighet ska beaktas vid förmedling av information.

Vid behov ska nödvändiga sekretessavtal (NDA och CDA) fastställas mellan olika parter. Avtalens nödvändighet ska utvärderas regelbundet.


ISO 27001 (6.1.3 Bilaga A 13.2)

eIDAS 2, eIDAS 3

248. Elektronisk informationsförmedling ska vara skyddad i enlighet med klassificeringen.


ISO 27001 (6.1.3 Bilaga A 13.2)

eIDAS 2, eIDAS 3

249. Distansanvändning och -hantering av klassifice-rad information ska genomföras genom att utnyttja or-ganisationens säkra metoder.


ISO 27001 (6.1.3 Bilaga A 6.2)

eIDAS 2, eIDAS 3

Se även kriterierna 148–149.

250. En lösning för distansanvändning och -hantering av system ska kräva stark autentisering som


ISO 27001 (6.1.3 Bilaga

eIDAS 2, eIDAS 3

Anvisning 59 (64) 211/2016 2.11.2016






Tolkningar

bygger på minst två faktorer. IdentL 2.4.3 i LoA 4 § i M72

A 6.2)

251. De anställda ska ha fått utbildning och instruk-tioner om säker distansanvändning och -hantering.


ISO 27001 (6.1.3 Bilaga A 6.2)

eIDAS 2, eIDAS 3

252. Medier som innehåller okrypterade uppgifter får inte användas.


ISO 27001 (6.1.3 Bilaga A 6.2)

eIDAS 2, eIDAS 3

253. En lösning för distansanvändning och -hantering av system kräver en internationellt godkänd kryptering av trafiken.


ISO 27001 (6.1.3 Bilaga A 6.2)

eIDAS 2, eIDAS 3

254. Klassificerad information får inte öppnas på resor och inte heller läsas på allmänna platser.


ISO 27001 (6.1.3 Bilaga A 6.2)

eIDAS 2, eIDAS 3

Hantering av programsårbarheter 255. Tillförlitliga förfaranden för att hantera pro-

gramsårbarheter ska införas för hela livscykeln för data-8 § 1 mom. 5 punkten i

ISO 27001 (6.1.3 Bilaga

eIDAS 2, eIDAS 3

Anvisning 60 (64) 211/2016 2.11.2016






Tolkningar

behandlingsmiljön. IdentL 2.4.3 i LoA 5 § i M72

A 12.6)

256. Myndigheternas, utrustnings- och programtill-verkarnas samt andra motsvarande instansers informa-tionssäkerhetsmeddelanden ska följas upp och säker-hetsuppdateringar som bedöms som nödvändiga ska in-stalleras på ett kontrollerat sätt.


ISO 27001 (6.1.3 Bilaga A 12.6)

eIDAS 2, eIDAS 3

257. Nätet, tjänsterna i nätet, servrar samt de ar-betsstationer, bärbara datorer och dylika som är an-slutna till nätet ska granskas minst två gånger om året för att hitta reparationsobjekt.


ISO 27001 (6.1.3 Bilaga A 12.7)

eIDAS 2, eIDAS 3

258. Nätet, tjänsterna i nätet, servrar samt de ar-betsstationer, bärbara datorer och dylika som är an-slutna till nätet ska granskas efter betydande ändringar för att hitta reparationsobjekt efter uppdateringar.


ISO 27001 (6.1.3 Bilaga A 12.7)

eIDAS 2, eIDAS 3

259. Hur installationen av uppdateringar har lyckats ska kontrolleras regelbundet i centraliserade tjänster för utdelning av uppdateringar.


ISO 27001 (6.1.3 Bilaga A 12.6)

eIDAS 2, eIDAS 3

Säkerhetskopiering 260. Säkerhetskopior som innehåller sekretessbe-

lagda och klassificerade uppgifter ska skyddas under de-8 § 1 mom. 5 punkten i

ISO 27001 (6.1.3 Bilaga

eIDAS 2, eIDAS 3

Den säkerhetskopiering som införs ska bygga på en redan gjord riskbe-

Anvisning 61 (64) 211/2016 2.11.2016






Tolkningar

ras livscykel med minst motsvarande metoder med vilka ursprungliga uppgifter har skyddats.


A 12.3) dömning. Endast utsedda och identifierade personer får ha åtkomst till säker-hetskopior. Överföring och registrering av upp-gifter ska genomföras genom att utnyttja en krypteringslösning som myndigheterna har godkänt. Frekvensen mellan säkerhetskopie-ringar ska vara tillräcklig i förhål-lande till hur kritiska de uppgifter som säkerhetskopieras är. ISO 27002 (12.3.1), KATAKRI 2015 (I24)

261. Säkerhetskopior ska tas och testas regelbundet i enlighet med en godkänd policy.


ISO 27001 (6.1.3 Bilaga A 12.3)

eIDAS 2, eIDAS 3

262. Specialkraven på kritiska uppgifter ska särskilt beaktas vid skydd av säkerhetskopiering av personupp-gifter och identifieringsuppgifter.



eIDAS 2, eIDAS 3

263. Säkerhetskopieringen ska dimensioneras enligt verksamhetskraven.


ISO 27001 (6.1.3 Bilaga A 12.1)

eIDAS 2, eIDAS 3

Återställningsprocessen ska vara tillräckligt snabb i förhållande till verksamhetskraven. ISO 27002 (12.3.1), KATAKRI 2015

Anvisning 62 (64) 211/2016 2.11.2016






Tolkningar

5 § i M72 (I24)

264. Att säkerhetskopieringen och återställningen fungerar på rätt sätt ska testas regelbundet.


ISO 27001 (6.1.3 Bilaga A 12.3)

eIDAS 2, eIDAS 3

265. Dokumentationen om återställningsprocessen ska vara tillräcklig.


ISO 27001 (6.1.3 Bilaga A 12.3)

eIDAS 2, eIDAS 3

266. Det fysiska stället för säkerhetskopior ska vara tillräckligt åtskilt från det egentliga systemet.


ISO 27001 (6.1.3 Bilaga A 12k.3)

eIDAS 2, eIDAS 3

267. Säkerhetskopior ska skyddas genom metoder för fysisk och logisk åtkomsthantering åtminstone i en-lighet med klassificering av information och en klassifice-ring som en kumulativ effekt eventuellt höjt.


ISO 27001 (6.1.3 Bilaga A 12.3)

eIDAS 2, eIDAS 3

2.3 Informationssäkerhet i identifieringsmetoder

I denna avdelning behandlas kraven i 2.1–2.3 i LoA.

Anvisning 63 (64) 211/2016 2.11.2016






268. 2.1 i LoA Krav på ansökan och registrering 15 §, 17 §, (17 a §), 18 §, (20 §) och 24 § i IdentL. 2.1.1 och 2.1.2 (2.1.3 och 2.1.4) i LoA

FIGUR 309 411: 6.2.2, 6.2.3, 6.2.4, 6.3.4

Villkor och förutsättningar för metoder för elektronisk identi-fiering ingår inte i bedömning-en, utan leverantören av iden-tifieringstjänster ska meddela dem till Kommunikationsverket i form av en utredning enligt 16 § 1) i M72 om uppfyllande av övriga krav. Punkt 6.2.2 i ETSI 319 411 ska tillämpas enligt de specifice-rade kraven i kommissionens genomförandeförordning 2015/1502. BDS-förfrågan kan anses vara en tillförlitlig källa för att kon-trollera att en identitet existe-rar. 2.1.3 och 2.1.4 i LoA Kraven ska gås igenom endast om leverantören av identifierings-tjänster tillhandahåller juri-diska personer identifierings-verktyg.

269. 2.2 i LoA Krav på hantering av medel för elektronisk identifiering

8 §, 8 a §, 21 §, 22 § och 25 § i

ETSI 309 411: 6.2.3,

Anvisning 64 (64) 211/2016 2.11.2016






IdentL 2.2.1, 2.2.2, 2.2.3 och 2.2.4 i LoA

6.3.3, 6.3.4, 6.3.6, 6.3.9 och 6.5.4

270. 2.3 i LoA Krav på autentiseringsmekanism 8 § och 8 a § i IdentL 2.3.1 i LoA

Documents

Modellkriterier för kvalitetsrevision hos leve- rantörer ... · standard ISO 27002 och med standard ETSI EN 319 411-1 till den del standard ISO 27001 inte ... och elektroniska signaturer