MSB:s föreskrifter om säkerhet i IT-system
MSB (Myndigheten för samhällsskydd och beredskap) har som uppgift att samordna det svenska samhällets informationssäkerhet, har gett ut föreskrifter om informationssäkerhet som alla svenska statliga myndigheter måste efterfölja. Föreskrifterna handlar om informationssäkerhet, IT-säkerhet och incidentrapportering.
Här presenteras en sammanfattning av den andra av dessa föreskrifter som handlar om säkerhet i IT-system och har det fullständiga namnet:
Myndigheten för samhällsskydd och beredskaps föreskrifter om säkerhetsåtgärder i informationssystem för statliga myndigheter. (MSBFS 2020:7)
Några definitioner
Informationssystem
Applikationer, tjänster eller andra komponenter som hanterar information. I begreppet ingår även nätverk och infrastruktur.
IT-miljö
Den samlade mängden informationssystem som används för att behandla information som myndigheten ansvarar för.
Systemadministrativ behörighet
Behörighet med priviligierade rättigheter som ger möjlighet att förändra grundläggande funktioner och säkerhetsfunktioner i ett informationssystem.
Säkerhetsloggning
Elektronisk registrering av säkerhetsrelaterade händelser
Grundläggande bestämmelser
Ansvar
Myndigheten ska för varje informationssystem tydliggöra vilken befattning som ansvarar för att införa, förvalta, följa upp och utvärdera säkerhetsåtgärder. (systemägare)
Omvärldsbevakning och riskbedömning
Myndigheten ska bedriva omvärldsbevakning för att underlätta identifiering och hantering av hot mot och sårbarheter i myndighetens informationssystem.
Myndigheten ska genomföra riskbedömning för enskilda informationssystem och myndighetens produktionsmiljö i sin helhet.
Dokumentation av IT-miljön
Myndigheten ska upprätthålla uppdaterad dokumentation över:
Hård- och mjukvara
Beroenden mellan olika interna och externa informationssystem
Vilken information som har behov av utökat skydd
Vilka informationssystem som är centrala för myndighetens förmåga att utföra sitt uppdrag
Utkontraktering mm
Myndigheten ska vid utveckling, anskaffning eller utkontraktering av informationssystem identifiera krav på säkerhet avseende en mängd olika punkter.
Externa aktörer (leverantörer, inhyrd personal eller motsvarande) ska säkerhetskontrolleras och förbinda sig genom avtal att följa myndighetens regler.
Myndigheten ska dokumentera vilka säkerhetsåtgärder som valts för att möta respektive krav
Myndigheten ska, innan driftsättning och förändringar
Genomföra säkerhetstester, granskningar och kontroller
Genomföra dokumentationer för drift och förvaltning
Utvecklings- test och utbildningsmiljöer
Utveckling och tester ska ske i en IT-miljö skild från produktionsmiljön
Drift och förvaltning
Uppdelning i nätverkssegment och filtrering av nätverkstrafik ska se
Informationssystem med olika funktioner ska vara skilda i separata nätverkssegment.
Endast nödvändiga dataflöden ska passera mellan de olika nätverkssegmenten.
Behörigheter, digitala identiteter och autentisering
Endast behöriga användare ska ha tillgång till IT-miljön.
Ingen ska ha mer åtkomst än den behöver.
Digitala identiteter som ger systemadministrativ behörighet ska tilldelas restriktivt och endast användas för sitt syfte.
Flerfaktorsautentisering ska användas för åtkomst av produktionsmiljön via externt nätverk. Gäller för både egen och inhyrd personal.
I övrigt ska följande regler följas
Kryptering
Behovet av kryptering ska identifieras och införas för att skydda information mot obehörig åtkomst och åverkan.
Säkerhetskonfigurering
För att skydda informationssystem mot obehörig åtkomst ska myndigheten byta ut förinställda autentiseringsuppgifter och ta bort systemfunktioner som inte behövs.
Säkerhetstester och granskningar
Myndigheten ska kontrollera att informationssystemen är uppdaterade, att säkerhetsåtgärder är iförda på ett korrekt sätt och att genomförda säkerhetskonfigurationer är tillräckliga.
Ändringshantering, uppgradering och uppdatering
Myndigheten ska säkerställa att förändringar i informationssystem genomförs på ett strukturerat och spårbart sätt.
Ska ha regler med krav på vilka kriterier som ska användas för att godkänna hård- och mjukvara.
Krav på hur risker för incidenter och avvikelser i samband med förändring i produktionsmiljön ska identifieras och hanteras.
Mjukvara ska uppdateras till senaste version.
Korrekt och spårbar tid
Myndigheten ska i sin produktionsmiljö använda korrekt och spårbar tid i form av koordinerad universell tid, UTC.
Säkerhetskopiering
För att kunna återställa information som förlorats eller förvanskats vid en incident ska myndigheten regelbundet säkerhetskopiera sin information.
Säkerhetsloggning och övervakning
Myndigheten ska logga följande typer av händelser:
Obehörig åtkomst.
Förändringar av konfigurationer och säkerhetsfunktioner.
Förändringar av behörighet för användare.
Myndigheten ska med jämna mellanrum analysera innehållet i säkerhetsloggarna.
Skydd mot skadlig kod
Myndigheten ska använda mjukvara som ger skydd mot skadlig kod. Om sådan mjukvara inte finns tillgänglig kan andra åtgärder vidtas som ger motsvarande skydd.
Skydd av utrustning
Myndigheten ska skydda informationssystem mot skador och obehörig åtkomst genom att:
Placera centrala servrar och nätverksutrustning i särskilda IT-utrymmen.
Restriktivt tilldela behörighet till särskilda IT-utrymmen.
Hantera behovet av övervakning och larm i särskilda IT-utrymmen.
Ha interna regler för hur mobil utrustning ska skyddas.
Redundans och återställning
Myndigheten ska ha interna regler för återställning av produktionsmiljön efter incidenter, samt öva förmågan att utföra sådana återställningar.
Myndigheter med särskilt ansvar för krisberedskapen.
Dessa myndigheter ska använda flerfaktorsautentisering och realtidsövervakning för informationssystem som är centrala för myndighetens förmåga att utföra dessa uppdrag och en gång per kvartal verifiera förmågan till återställning av dessa system.
Den fullständiga versionen av dessa föreskrifter (MSBFS 2020:7)
Kan laddas ned från MSB:s webbplats www.msb.se