Ledningssystem för Informationssäkerhet - LIS

Inledning

KTH:s verksamhetsinformation är en värdefull resurs såväl för allmänheten som för den egna verksamheten. Syftet med LIS är att bedöma informationens värde och känslighet så att varje informationstillgång kan omges med relevant skydd. Informationsklassning och riskanalys är de fundamentala komponenterna i detta sammanhang.

Enligt Myndigheten för samhällsskydd och beredskaps föreskrifter( MSBFS 2020:6 ) om statliga myndigheters informationssäkerhet skall myndigheten arbeta enligt ett ledningsystem för informationssäkerhet(LIS) som följer SS-ISO/IEC 27000-serien.

Grundläggande för IT- och informationssäkerhetsarbetet är den s.k. PDCA-cykeln (“Plan-Do-Check-Act” eller “Planera-Genomföra-Följa upp-Förbättra”), dvs kontinuerlig uppföljning och förbättring, samt aktiv dialog med ledning och verksamhet.

Planering

Informationsklassning
Klassificeringen är ett hjälpmedel för att korrekt bedöma informationens värde och känslighet och görs i enlighet med anvisningen Klassificerig av information på KTH. Hanteringsregler, där så krävs och med utgångspunkt i anvisningen ovan, tas fram och underhålls av verksamheten med stöd av IT- och informationssäkerhetschefen(CISO), Security Management Center (SMC) samt arkivfunktionen.
KTH:s gemensamma Informationshanteringsplan och klassificeringsstruktur skall även beaktas.

Riskanalys
Riskhantering innefattar huvudsakligen identifiering av:

• risker
• tillgångar
• hot
• befintliga åtgärder
• sårbarheter
• konsekvenser
• kvarstående risk

Eventuell kvarstående risk skall sedan accepteras av ansvarig, t.ex. systemägare.
Så längt det är möjligt skall samverkan ske med KTH:s övriga hantering av risker.

Löpande kontroller utförs i viss typ av verksamhet – tex incidenthantering där motåtgärder sätts in omgående om så anses nödvändigt. Om det tex föreligger risk för påverkan på viktiga systems funktion, anställdas välbefinnande, egendom eller uppmärksamhet i press involveras ledningen omgående.

Arbetet bedrivs enligt en fastställd årskalender där viktiga punkter är:

• Verksamhetsplan
• Verksmhetsberättelse
• Skolbesök
• Revidering av dokument
• Årsrapport
• Granskningar

Genomförande

Policy
Policy- och regeldokument finns och ses över periodiskt – de mest framträdande är:

• Övergripande styrning och delegationer
• Säkerhetspolicy
• Anvisning för informations- och IT-säkerhet
• Anvisning för klassificering av information på KTH
• Anvisning om dokumenthantering vid KTH

Organisation
CISO är sammankallande i informationssäkerhetsgruppen(SMC) där även KTH:s Dataskyddsombud(DSO) ingår.
Vid behov involveras även representatnter för IT, Arkiv och Registratur, Juridik samt Fysisk säkerhet.

Centralt finns en IT-säkerhetsgrupp som främst arbetar med säkerhetsläget - som t.ex. systemuppdateringar.

På respektive skola finns informationssäkerhetsansvariga – som lokalt ansvarar för de tre underområdena (administrativ, IT- och fysisk säkerhet). En förteckning över de ansvariga finns hos samordnaren.

Hantering av tillgångar
Fysisk utrustning inventeras och dokument diarieförs.
Systemägare utses där så krävs.

Personal och säkerhet
Befintliga roller skall beaktas och rutiner i samband med rekryterining skall följas.

Ansvarsförbindelser finns:

• Ansvarsförbindelse för användare
• Ansvar, befogenheter och skyldigheter för systemadministratör
• Ansvarsförbindelse för systemadministratör i incidentgrupp
• Ansvarsförbindelse för egenadministrerade IT-system

Ansvarsförbindelse och anställningsavtal skall undertecknas. Varianten för användare har numera huvudsakligen ersatts med ett elektroniskt godkännande med aktiveringskod.

Introduktionsutbildning finns och genomförs vid behov.
Disciplinär process finns och skall följas.
Rutiner och ansvar i samband med anställningens upphörande finns och skall följas.
 

Fysisk och miljörelaterad säkerhet
Relevant fysisk säkerhet för att reglera fysiskt tillträde skall finnas och sköts i första hand av den centrala funktionen för fysisk säkerhet. Skydd mot miljöhot som tex brand, översvämning skall finnas.
Utrustning som brukas utanför de egna lokalerna skall skyddas.
Tillstånd krävs för att ta med utrustning från de egna lokalerna.
Avveckling görs på ett kontrollerat sätt – grundregelen är att all utrustning skall återlämnas till lärosätet. Information som lagrats i avvecklad utrustning måste raderas på ett tillförlitligt sätt. Om detta ej är möjligt skall lagringsmediet destrueras eller återanvändas i en tillämpning med samma eller högre klassning.
KTH har ett av rektor beslutat aktivt arbete med framtagande samt test av kontinuitetsplaner för alla känsliga system, vilket även innefattar den fysiska säkerheten.
CISO samverkar aktivt med KTH:s chef för fysisk säkerhet bl.a. för att säkerställa att katastrofplanerna är uppdaterade.
De speciellla krav som ställs på IT-lokaler och arkiv skall beaktas redan på projekteringsstadiet.

Styrning av kommunikation och drift
System och rutiner skall dokumenteras och förändringar ske under kontrollerade former - förändringshantering.
Utveckling, testverksamhet och drift skall skiljas åt.
Verksamheten skall granskas regelbundet och upptäckta brister värderas och åtgärdas vid behov.
Samma krav gäller oavsett om systemen är egenutvecklade eller levererade av extern part.
Klassning skall ske i ett tidigt skede så att rätt skydd kommer på plats redan från början.

Styrning av åtkomst
De övergripande kraven på åtkomst styrs av:

• Offentlighetsprincipen
• Offentlighets- och sekretesslagen
• Dataskydsförodningen - GDPR
• Tryckfrihetsförordningen

Behörighetskontroll i form av rutiner och system skall finnas i alla informationssystem.

Anskaffning, utveckling och underhåll av informationssystem
KTH har en upphandlingsfunktion som skall användas så långt det är möjligt.
Genomarbetade rutiner för utveckling, test, driftsättning och avveckling skall, i likhet med de som finns hos den centrala IT-avdelningen, finnas.

Hantering av informationssäkerhetsincidenter
Incidenter skall hanteras av KTH:s Incident Response team som arbetar kontinuerligt.
Endast medlemmer i denna grupp har undertecknat den speciella ansvarsförbindelse som krävs för att få utföra den aktuella typen av arbetsuppgifter.

Kontinuitetsplanering i verksamheten
Kontinuitetsplanering bedrivs enligt mall som grundar sig på rektorsbeslut. Lokala anpassningar skall tas fram och underhållas periodiskt. Arbetet skall ske i samverkan med CISO/SMC.

Efterlevnad
För att säkerställa efterlevnad genomförs följande:

• Granskningar av system och rutiner – periodiskt och vid behov
• Kontinuerlig övervakning av systemfunktion - automatiskt och genom stickprov
• Risk och hotbildsanalyser – regelbundet
• Omvärldsbevakning

Uppföljning

Kontinuerlig uppföljning sker av incidenter och om de anses särskilt allvarliga rapporteras de direkt till ledningen.
En KTH-övergripande sammanställning av händelser, verksamhet och inkomna synpunkter görs årligen och redovisas för ledningen.

Motsvarande aktivitet utförs även hos varje skola och förvaltningens avdelningar där det är relevant – IT-avdelninga är ett exempel.
Enskilda projekt, objekt och processer skall, där det är relevant, i sina respektive verksamhetsberättelser beakta informationssäkerhetsaspekter.

Förändring

Uppföljningsarbetet ger ingångsvärden för förändringar som införs under kontrollerade former
efter beslut i rätt instans - tex så ger den årliga skoldialogen input till revidering av dokument och rutiner.