1. Start
  2. Våra sakområden
  3. Säkerhet och beredskap
  4. Säkerhetshandbok för VA-verksamhet
  5. Bilaga 2: Checklistor till avsnitt om IT-säkerhet

Bilaga 2: Checklistor till avsnitt om IT-säkerhet

Checklista – Generella frågor

  • Finns det en utpekad systemägare, det vill säga en person som ”äger” VA-verksamhetens system och har befogenhet att bestämma vem som får använda dem samt ansvarar för att träffa avtal om förutsättningarna för systemens drift?
  • Finns det en uppdaterad lista över vilka datorsystem som används i VA-verksamheten?
  • Har systemen klassificerats efter hur viktigt det är att de är tillgängliga?
  • Finns det reglerat vilka krav som gäller för de olika VA-systemen när det gäller:
    - insatstid till service.
    - sekretesskrav med åtföljande krav på utbildning av inblandad personal.
    - krav på reservkraft till kritiska system.
    - regler för när system får tas ur drift för underhåll och vem som då ska aviseras.
    - krav på sekretess i kommunikationsnätverk.
    - krav på lagringsutrymme.
    - krav på säkerhetsklassning av personal.
    - krav på säkerhetskopiering.
    - krav på loggning.
    - krav på registrering av förändringar av systemet. 

Frågor vid inköp och installation

  • Har man fastställt hur känsligt detta system är? Hur länge kan det vara ur drift? Vilka blir konsekvenserna om obehöriga manipulerar data? Finns det sekretessbelagda uppgifter?
  • Kan man uppdatera systemet lokalt eller kräver leverantören rätt till fjärruppkoppling?
  • Är systemet byggt för en udda datorplattform där det tar lång tid och är förenat med stora kostnader att få fram en specialist vid driftstörningar?
  • Finns det ett utrymme för datorn som uppfyller kraven på datanätverk, eventuell reservkraft, inbrotts- och brandskydd? 

Regelbunden uppföljning 

  • Har det testats, det senaste året, att reservkopieringen verkligen fungerar?
  • Har loggarna lästs på det sätt man har bestämt? (Enklaste och bästa uppföljningen är ett papper där man noterar datum och signatur varje gång det utförts.)
  • Fungerar rensningen av stora databaser?
  • Har man under det gångna året rensat bort obehöriga användare, både i datorsystemet och i applikationerna?
  • Har man under det gångna året kontrollerat att systemen inte anslutits till externa eller interna nätverk på ett icke överenskommet sätt?
  • Har man under det gångna året gått igenom att incidenterna följts upp på det sätt som föreskrivs?
  • Har man under det gångna året kontrollerat att antalet programlicenser stämmer
  • Har det senaste året skett kontroll av att användningen av systemet inte har förändrats? Om verksamheten har blivit mer beroende kanske det krävs fler säkerhetsmekanismer, har man blivit mindre beroende kanske man spenderar pengar på säkerhet i onödan.
  • Har reservplanen för brand i datorhallen kontrollerats under året? 

Övriga frågor med fokus på industriella kontrollsystem (OT-system)

  • Har det genomförts en kartläggning av alla installerade industriella kontrollsystem med alla dess kopplingar och beroenden till andra delsystem?
  • Har identifierade industriella kontrollsystem klassificerats utifrån deras känslighet och vilka konsekvenser som en störning kan innebära?
  • Genomförs en analys av tänkbara konsekvenser innan industriella kontrollsystem kopplas samman med administrativa system och nätverk?
  • Har datornätverken i möjligaste mån segmenterats för att minska effekterna av störningar från exempelvis skadlig kod eller felaktig funktion i nätverk?
  • Övervakas kontinuerligt status hos tekniska system och nätverk så att man snabbt kan upptäcka oönskade inkopplingar eller felaktiga beteenden?
  • Har det tagits fram konkreta åtgärdsplaner för vad som ska göras för att mildra effekterna av olika IT-relaterade störningar?
  • Har det införts ett relevant fysiskt skydd av den infrastruktur som är kritisk för bibehållen funktion hos de industriella kontrollsystemen?
  • Genomförs löpande utbildningar och övningar för att vidmakthålla och öka säkerhetsmedvetandet hos personal och eventuellt inhyrda entreprenörer?
  • Genomförs regelbundna sårbarhetsanalyser som beaktar vad oönskade avvikelser i industriella kontrollsystemen kan medföra ur ett helhetsperspektiv?
  • Genomförs årligen säkerhetsgranskningar av installerade tekniska system
  • Kontrolleras årligen hur väl krav i riktlinjer och anvisningar följs?
  • Utvärderas graden av säkerhetsmedvetande i organisationen löpande?
  • Finns en löpande omvärldsbevakning av sårbarheter och hot mot industriella kontrollsystem?
  • Sker en samverkan kring säkerheten hos industriella kontrollsystem med andra i och utanför branschen?
  • Ställs säkerhetsmässiga krav på kvalitets- och utvecklingsprocessen hos tänkbara leverantörer/entreprenörer?
  • Har det genomförts oberoende revision av kvalitets- och utvecklingsprocessen hos leverantörer/entreprenörer?
  • Finns det avtalat om kännbara vitesbelopp för leverantör/entreprenör som inte lever upp till överenskomna säkerhetskrav?  

Checklista – Grundläggande skydd

Här är en kompletterande checklista som kan vara användbar för att få en snabb överblick över sårbarheterna i den egna organisationen, notera att den överlappar föregående checklista. 

Förvaltningen av IT-säkerhet 

  • Används skyddsmekanismer i applikationer och program?
  • Används antivirusprogram över hela linjen?
  • Har roller och profiler tilldelats alla systemanvändare?
  • Finns kontroller på plats för vilka uppgifter varje anställd får tillgång till? Finns det rimliga begränsningar?
  • Finns det olika roller och profiler för administratörer, eller får varje administratör göra allt?
  • Är privilegier och behörigheter för program kända och kontrollerade?
  • Är säkerhetsrelevanta standardinställningar av program och IT-system lämpligt anpassade eller bibehålls leveransstatus?
  • Avinstalleras eller inaktiveras onödiga säkerhetsrelevanta program och funktioner systematiskt?
  • Läses manualer och produktdokumentation omgående?
  • Skapas och uppdateras detaljerad installations- och systemdokumentation regelbundet?

Nätverk och internetuppkoppling

  • Finns det en brandvägg?
  • Övervakas och kritiskt granskas brandväggens konfiguration och funktionalitet med jämna mellanrum?
  • Finns det ett koncept för vilken data som måste erbjudas till omvärlden?
  • Har det specificerats hur farliga tilläggsprogram (plugin-program) och aktivt innehåll ska undvikas?
  • Har alla onödiga tjänster och programfunktioner inaktiverats?
  • Är webbläsare och e-postprogram säkert konfigurerade?
  • Har all personal fått tillräcklig utbildning? 

Överensstämmelse med säkerhetskrav 

  • Förvaras konfidentiell information och datamedia på säker plats?
  • Raderas konfidentiell information från datamedia eller IT-system innan underhålls- och reparationsarbeten?
  • Får personalen regelbunden utbildning i säkerhetsrelevanta ämnen?
  • Finns det åtgärder som syftar till att öka organisationens säkerhetsmedvetenhet
  • Övervakas befintliga säkerhetsbestämmelser och disciplineras säkerhetsöverträdelser? 

Underhåll av IT-system – hantera uppdateringar

  • Installeras säkerhetsuppdateringar regelbundet?
  • Har någon utsetts för att hålla sig uppdaterad om säkerhetsegenskaperna för den programvara som används och relevanta säkerhetsuppdateringar?
  • Finns det ett testkoncept för mjukvaruändringar? 

Lösenord och kryptering 

  • Tillhandahåller program och applikationer säkerhetsmekanismer som lösenordsskydd och kryptering?
  • Har säkerhetsmekanismerna aktiverats?
  • Har standardlösenord eller tomma lösenord ändrats?
  • Är all personal utbildad i att välja säkra lösenord?
  • Är arbetsstationer skyddade av en lösenordskyddad skärmsläckare i frånvaro av sin ”ägare”?
  • Är konfidentiella data i system som är särskilt utsatta, som bärbara datorer, tillräckligt skydd med kryptering eller andra skyddsåtgärder? 

Beredskapsplanering

  • Finns det en beredskapsplan med instruktioner och kontaktadresser? Finns den utskriven?
  • Täcks alla nödvändiga beredskapssituationer?
  • Är varje medlem av personalen bekant med beredskapsplanen och är den lätt att komma åt? 

Säkerhetskopiering av data

  • Finns det en backupstrategi?
  • Har det fastställts regler för vilken data som ska säkerhetskopieras och hur länge?
  • Inkluderar säkerhetskopior även bärbara datorer och icke-nätverkssystem?
  • Kontrolleras backup-banden regelbundet? Testas även full återställning av maskiner?
  • Är säkerhetskopierings- och återställningsprocedurerna dokumenterade? 

Infrastruktursäkerhet

  • Är IT-systemen tillräckligt skyddade mot brand, överhettning, skador på grund av vatten, överspänning och strömavbrott?
  • Kontrolleras tillgången till viktiga IT-system och lokaler? Måste besökare, hantverkare, servicepersonal och andra ledsagas och övervakas?
  • Finns det tillräckligt skydd mot inkräktare?
  • Är all hårdvara och mjukvara (även firmware) registrerad i en inventeringslista?