Bilag 16, Sikkerhedsprocedurer

Transkript

1 Bilag 16, Sikkerhedsprocedurer Version Ændringer Dato 2.1 Ændret i - Punkt Punkt 2 - Punkt 8 - Krav Krav Krav Krav Krav Krav Krav Krav Krav Krav Krav Krav Krav Krav Krav Krav Krav Krav Krav Krav Krav Krav Krav Krav Krav Krav Krav Krav fjernet - Krav Krav fjernet - Krav Krav Krav Krav Krav

2 - Krav Krav Krav fjernet - Krav Krav Krav Krav Krav Krav Krav Vejledning til udfyldelse - Complianceliste 3.0 Ophøjet til version

3 3 Indholdsfortegnelse Indholdsfortegnelse... 3 Vejledning til udfyldelse Indledning Underbilag Sikkerhedsmæssig risikovurdering for Fællesoffentlig Datafordeler Effektområder Fortrolighed Tilgængelighed: Integritet: Trusler Nedbrud af udstyr Nedbrud af programmel Menneskelige fejl Udefrakommende angreb på Datafordeler, fx DDoS eller uautoriseret adgang Indefra kommende angreb på Datafordeler (Misbrug) Udefrakommende angreb på Registermyndigheder Indefra kommende angreb på Registermyndigheder Generelle forhold Anvendelse af sikkerhedsstandard Sikkerhed i organisationen Sikkerhedshændelser Fysiske kontrolforanstaltninger Sikkerhed i Projektet Sikkerhed i Systemet Sikker drift af Systemet Backup Beredskab Complianceskema... 28

4 4 Vejledning til udfyldelse De behov, som tilbuddet skal dække, er klassificeret og beskrevet som krav. Alle krav er indsat i en kravskabelon, hvor selve kravet fremgår af feltet. Kravtitel og Kravområde er vejledende information til tilbudsgiver som har til formål at danne grundlag for en logisk gruppering af krav. I feltet Delleverance angives vejledende, hvilken eller hvilke bestemte Delleverancer eller Optioner, kravet vedrører. For krav som vedrører alle dele af Projektet angives ingen værdi i feltet Delleverance. Kravtypen kan antage en af følgende værdier: Kravtype Markering af kravtype Betydning Mindstekrav Værdi: MK Mindstekrav skal opfyldes uden forbehold for, at et tilbud kan være konditionsmæssigt Prioriteret krav Værdi: PK Prioriterede krav har stor betydning for opfyldelse af de forretningsmæssige mål, og tillægges derfor særlig vægt ved vurdering af de afgivne tilbud. Krav Værdi: K Almindelige krav, som bidrager til opfyldelse af de forretningsmæssige mål. Tilbudsgiver kan angive alternative forslag til disse krav i form af forbehold. For krav som stilles til Agile Delleverancer, angives i feltet Agil kravtype, om kravet er et Absolut Krav eller et Øvrige Krav som defineret i Bilag 0. Alle krav er nummereret på 2. niveau, med foranstillet bilagsnummer, jf. nedenstående eksempel: Kravnr. 1.1 Kravtitel Eksempel på krav Kravtype K Kravområde Eksempel Agil kravtype Øvrige krav Delleverance Leverandøren skal tage dette krav til efterretning Vejledende tekst i bilag

5 5 I bilagene er der imellem de konkrete krav visse steder indføjet vejledende tekst. Vejledende tekst er unummereret generel tekst til tilbudsgivers orientering. Dette illustreres med følgende eksempel: Dette bilag indeholder Kundens specifikation af krav til Systemets funktion og virkemåde. Tilbudsgivers løsningsbeskrivelse Tekst omgivet af firkantede parenteser og angivet med fed og kursiv skrift er vejledende tekst til tilbudsgiver om, hvad tilbudsgiver med egne ord skal beskrive i tilbuddet. Dette illustreres med følgende eksempel: [Tilbudsgiver beskriver opfyldelsen af kravet i underbilag X.X.] Angivelse af kravsopfyldelse Alle bilag, som indeholder krav til Leverandøren, afsluttes med et complianceskema, hvor tilbudsgiver skal angive hvilke krav, der opfyldes af det afgivne tilbud, og om der er taget forbehold i form af ændring af kravteksten. Ved udfyldelsen af complianceskemaerne placeret sidst i bilaget skal tilbudsgiver for hvert krav angive med afkrydsning, om kravet er opfyldt, om kravet er opfyldt med forbehold i form af ændret kravtekst, eller om kravet ikke er opfyldt. Eksempel på udfyldt complianceskema: Krav nr. Kravet er opfyldt Kravet er opfyldt med forbehold i form af ændret kravtekst Kravet er ikke opfyldt Delkriterie 1.1 X Tidsplan 1.2 X Tidsplan 1.3 X Tidsplan 1.4 X Såfremt et krav er opfyldt uden forbehold skal tilbudsgiver angive dette ved afkrydsning i complianceskemaet ud for det aktuelle kravnummer og Kravet er opfyldt. Mindstekrav er i complianceskemaerne markeret med grå og er på forhånd afkrydset i kolonnen "Kravet er opfyldt", idet enhver anden afkrydsning fører til, at tilbuddet er ukonditionsmæssigt. Såfremt tilbudsgiver tager forbehold til et krav, der ikke er et mindstekrav, indarbejdes forbeholdet direkte i kravteksten som en ændring af denne. Ændringen skal være markeret med ændringsmarkering. Der

6 6 sættes herudover kryds i complianceskemaet ud for det aktuelle kravnummer i kolonnen Kravet er opfyldt med forbehold i form af ændret kravtekst. Der kan herudover henvises til evt. yderligere bilagsmateriale/dokumentation, der er vedlagt tilbuddet. Såfremt tilbudsgiver vil angive at et krav ikke er opfyldt, skal tilbudsgiver angive dette ved afkrydsning i complianceskemaet ud for det aktuelle kravnummer og i kolonnen Kravet er ikke opfyldt. I complianceskemaets højre kolonne fremgår det, hvilket delkriterie, jf. udbudsbetingelsernes punkt 4, det pågældende krav er relateret til.

7 7 1 Indledning I dette bilag opstilles Kundens krav til Leverandørens håndtering af de sikkerhedsmæssige forhold på det proceduremæssige og det organisatoriske område. Der henvises i øvrigt til - bilag 3 Leverancebeskrivelse med Kravspecifikation og Løsningsbeskrivelse, som indeholder tekniske sikkerhedskrav til Systemet. - bilag 7 Servicemål, som indeholder krav til retableringstider. - bilag 10 Ændringshåndtering, som indeholder krav til procedurer ved ændringer i Systemet. - bilag 11 Samarbejdsorganisation, som indeholder krav til samarbejdet mellem Leverandøren og Kunden. - bilag 18 Revisionsstandard og Audit, som indeholder krav vedrørende revision og eksterne audits Der stilles krav til sikkerheden i Leverandørens organisation, i Projektet samt i det leverede System. Udover kravene i dette bilag er de til enhver tid gældende retningslinjer i Finansministeriets (FM) informationssikkerhedspolitik (underbilag 16D) og FM informationssikkerhedsstrategi (underbilag 16E) gældende for Datafordeleren i det omfang, det er relevant. Yderligere informationer om DS 484:2005 fås på Dansk Standards hjemmeside: Yderligere informationer om standarderne i ISO/IEC serien fås på ISO s hjemmeside: Underbilag Dette bilag har følgende underbilag: - Underbilag 16A Sikkerhed - Underbilag 16B - UDGÅET - Underbilag 16C Sikkerhedsplan - Underbilag 16D FMs Informationssikkerhedspolitik - Underbilag 16E FMs Informationssikkerhedsstrategi 2 Sikkerhedsmæssig risikovurdering for Fællesoffentlig Datafordeler I det følgende opsamles overordnede overvejelser omkring den sikkerhedsmæssige risikovurdering for den fællesoffentlige Datafordeler. Som udgangspunkt skal Datafordeleren levere et tilsvarende sikkerhedsniveau, som i dag leveres fra henholdsvis CVR, CPR, Kortforsyningen og OIS/AWS. Men sammenlægningen af distributionen giver også anledningen til en samlet overordnet sikkerhedsmæssig risikovurdering af den samlede løsning, herunder også en vurdering ift. de særlige risici, som gør sig gældende netop ved at distributionsløsningerne samles. 2.1 Effektområder I det følgende beskrives de enkelte effektområder for Datafordeleren, herunder konsekvensvurdering af eventuelle sikkerhedsbrud.

8 Fortrolighed Datafordeleren kommer til at distribuere data fra forskellige registre med forskellige fortrolighedsniveauer. Det fordre at alle data som distribueres via Datafordeleren kategoriseres i følgende kategorier: Private og følsomme Personhenførebare data (medlemsskab af Folkekirken er registreret i CPR) Personhenførbare data (alle øvrige CPR-data, en række registre fra OIS, visse informationer fra CVR) Ikke personhenførbare data (En række registre fra OIS, alle Kortforsyningens registre, de fleste informationer fra CVR) Som private og følsomme personhenførbare data betragtes oplysninger om racemæssig eller etnisk baggrund politisk, religiøs eller filosofisk overbevisning fagforeningsmæssige tilhørsforhold oplysninger om helbredsmæssige og seksuelle forhold strafbare forhold væsentlige sociale problemer og andre rent private forhold Den eneste af ovennævnte type oplysninger, der forekommer i Registrene, er registreringen i CPR af medlemskab af Folkekirken, idet denne oplysning vedrører de registreredes religiøse overbevisning. Datafordeleren som udgangspunkt skal levere det fortrolighedsniveau, som registermyndigheder stiller krav om, og for alle data som distribueres gælder det, at data kun kan videregives til en part (myndighed, virksomhed eller privat person), som forudgående har indgået aftale om at få adgang til data. En part skal altså ikke kunne modtage data, med mindre denne part er oprettet som bruger på Datafordeleren. Data som klassificeres som personlige eller personhenførbare har en høj fortrolighed, og distribution via Datafordeleren skal overholde Persondataloven, herunder krigsreglen, både i forhold til opbevaring og distribution af disse data. Brud på fortrolighed vurderes som værende Graverende og/eller ødelæggende, da en del Grunddata er følsomme personoplysninger og da Registrene opkræver betaling for visse data fra Datafordeleren Tilgængelighed: Selvom et af de væsentligste succeskriterier for Datafordeleren er at sikre en høj tilgængelighed af data på tværs af eksisterende registre, så vurderes integritet og fortrolighed højere. Det vil sige at hvis der er mistanke om at fortroligheden eller integriteten af data er kompromitteret, så kan det medføre at det besluttes midlertidigt at lukke for distributionen af data. Brud på tilgængelighed vurderes som værende alvorlig, stigende til meget alvorlig ved nedbrud på over 30 minutter, til graverende og/eller ødelæggende ved nedbrud på få dage, da data fra Datafordeleren fx er nødvendige for registreringer og myndighedsafgørelser Integritet: Datafordeleren skal konstrueres på en måde, så der kan sikres dataintegritet fra data afsendes fra Registeret til Dataanvender modtager data. Det stiller følgende krav til Datafordeleren: Der stilles krav om krypterede kanaler mellem registermyndigheder og Datafordeler

9 9 Der tilbydes krypterede kanaler mellem Datafordeler og dataanvender Data i Datafordeleren skal sikres mod forvanskning Brud på integritet vurderes som værende Graverende og/eller ødelæggende, da data fra Datafordeleren fx er grundlag for myndighedsafgørelser. 2.2 Trusler I det følgende opgøres trusselsbilledet for Datafordeleren på følgende måde. Truslen angives i overskrift, hvorefter indflydelse på effektområde angives Nedbrud af udstyr Truer først og fremmest tilgængeligheden, men kan i specielle tilfælde også have indflydelse på integritet og fortrolighed. Håndtering: Systemet overvåges og vedligeholdes løbende. Redundans anvendes hvor dette er muligt Nedbrud af programmel Truer både tilgængelighed, integritet og fortrolighed. Håndtering: Systemet overvåges og vedligeholdes løbende. Redundans anvendes hvor dette er muligt. Metoder til sikker udvikling anvendes for at minimere fejlkilder i programmel Menneskelige fejl Truer både tilgængelighed, integritet og fortrolighed. Håndtering: Administratorer uddannes og alle handlinger logges. Der etableres procedurer for roll back Udefrakommende angreb på Datafordeler, fx DDoS eller uautoriseret adgang Truer både tilgængelighed, integritet og fortrolighed. Håndtering: Der etableres foranstaltninger såsom firewalls, IPS/IDS og brugerstyring ligesom Leverandøren samarbejder med ISP for at modvirke DoS-angreb Indefra kommende angreb på Datafordeler (Misbrug) Truer både tilgængelighed, integritet og fortrolighed. Håndtering: Brugerrettigheder for alle brugere, herunder Administratorer, skal begrænses til det, de har behov for at kunne udføre deres rollespecifikke opgaver. Al adgang til Systemet logges og overvåges Udefrakommende angreb på Registermyndigheder Truer først og fremmest integritet, men kan også true tilgængeligheden, hvis det af den vej lykkedes at lægge Datafordeleren ned. Håndtering: Det skal være muligt at rulle Grunddata i Datafordeleren tilbage til en tidligere version, hvis dataintegriteten er blevet kompromitteret af angreb på Registermyndighed.

10 Indefra kommende angreb på Registermyndigheder Truer først og fremmest integritet, men kan også true tilgængeligheden, hvis det af den vej lykkedes at lægge Datafordeleren ned. Håndtering: Det skal være muligt at rulle Grunddata i Datafordeleren tilbage til en tidligere version, hvis dataintegriteten er blevet kompromitteret af angreb på Registermyndighed. 3 Generelle forhold Kravnr Kravtitel Sikkerhedsområder Kravtype MK Kravområde Generelle forhold De samlede implementerede sikringsforanstaltninger vedrørende informationssikkerheden skal sikre nedenstående effekter som beskrevet i Punkt 2.1: Integritet Fortrolighed Tilgængelighed Leverandøren skal løbende og for egne midler holde sig orienteret om Best Practice inden for disse sikkerhedsområder. Kravnr Kravtitel Sikkerhedsniveau Kravtype MK Kravområde Generelle forhold Sikkerhedsniveauet i Systemet skal være højt i enhver henseende og skal være indbygget i Systemets design fra starten. Det generelle sikkerhedsniveau skal være højt, og det skal være særdeles vanskeligt for eksterne hackere så vel som interne medarbejdere hos Leverandøren at kompromittere sikkerhedskontrollerne. Sikkerhedskontroller og det organisatoriske setup skal reflektere, at Datafordeleren er et meget kritisk system og sikkerhedsbrud kan potentielt have store uønskede konsekvenser. Den høje sikkerhed skal sikres i design, implementering og drift og i alle tilfælde leve op til eller overgå god sikkerhedspraksis. Sikkerheden bør fundamentalt set reflektere, at integritet er vigtigere end tilgængelighed eller fortrolighed. Kravnr Kravtitel Vedholdende sikkerhedsoptimering Kravtype MK Kravområde Generelle forhold Leverandøren skal i hele Kontraktperioden som en del af Driftsydelsen kontinuerligt evaluere og optimere Systemets sikkerhedsniveau, så de til enhver tid forudseelige trusler imødegås.

11 11 Kravnr Kravtitel Periode for kravsopfyldelse Kravtype MK Kravområde Generelle forhold Alle krav i dette bilag, herunder krav som er påkrævet implementeret inden udløb af afklaringsfasen, skal være opfyldt i hele kontraktperioden, med mindre, der eksplicit er angivet en anden opfyldelsesperiode. Kravnr Kravtitel Sikkerhedsaudit Kravtype MK Kravområde Generelle forhold Kunden forbeholder sig retten til at afholde sikkerhedsaudit under hele udviklings- og driftsfasen i overensstemmelse med beskrivelsen af sikkerhedsaudit i bilag Anvendelse af sikkerhedsstandard Det er obligatorisk for it-projekter og it-systemer i Staten at overholde en af sikkerhedsstandarderne DS 484:2005 eller ISO 27001:2005. Leverandøren skal derfor redegøre for, hvilken sikkerhedsstandard, der anvendes, og hvordan denne er implementeret. Kravnr Kravtitel Sikkerhedsstandard for Leverandørens egne forhold Kravtype PK Kravområde Generelle forhold Leverandøren har i underbilag 16A beskrevet, hvilken sikkerhedstandard - DS 484:2005 eller ISO/IEC 27001:2005 eller tilsvarende som anvendes i tilrettelæggelsen af sikkerhedsprocedurer i Leverandørens organisation. Hvis Leverandøren anvender en anden standard end DS 484:2005 eller ISO/IEC 27001:2005, skal denne vedlægges Kontrakten som bilag. [I underbilag 16A angives, hvilken sikkerhedsstandard, som anvendes i tilrettelæggelsen af sikkerhedsprocedurer i Leverandørens organisation] Kravnr Kravtitel Sikkerhedsstandard for Projektet Kravtype PK Kravområde Generelle forhold Leverandøren har i underbilag 16A beskrevet, hvilken sikkerhedstandard - DS 484:2005 eller ISO/IEC 27001:2005 eller tilsvarende som påtænkes anvendt i tilrettelæggelsen af sikkerhedsprocedurer i Projektet. Hvis Leverandøren anvender en anden standard end DS 484:2005 eller ISO/IEC 27001:2005, skal denne vedlægges Kontrakten som bilag. [I underbilag 16A angives, hvilken sikkerhedsstandard, som anvendes i

12 12 tilrettelæggelsen af sikkerhedsprocedurer i Projektet] Kravnr Kravtitel Sikkerhedsstandard for Systemet Kravtype PK Kravområde Generelle forhold Leverandøren har i underbilag 16A beskrevet, hvilken sikkerhedstandard - DS 484:2005 eller ISO/IEC 27001:2005 eller tilsvarende som påtænkes anvendt i tilrettelæggelsen af sikkerhedsprocedurer i Systemet under såvel etablering som Drift. Hvis Leverandøren anvender en anden standard end DS 484:2005 eller ISO/IEC 27001:2005, skal denne vedlægges Kontrakten som bilag. [I underbilag 16A angives, hvilken sikkerhedsstandard, som anvendes i tilrettelæggelsen af sikkerhedsprocedurer i Systemet] Kravnr Kravtitel Angivelse af anvendte dele af sikkerhedsstandard Kravtype PK Kravområde Generelle forhold Leverandøren har i underbilag 16A for hvert af de tre perspektiver organisation, Projekt og System - beskrevet, hvilken dele af den anvendte sikkerhedstandard, der er relevante i Kontraktens sammenhæng. Dette kan dokumenteres i form af Statement of Applicability (SOA) som defineret i ISO 27001:2005, eller hvis en sådan ikke er udarbejdet, en tilsvarende redegørelse for de implementerede kontroller og deres relevans. [I underbilag 16A angives for hvert af de tre perspektiver organisation, Projekt og System, hvilke dele af den anvendte sikkerhedstandard, der er relevante i Kontraktens sammenhæng] 5 Sikkerhed i organisationen Sikkerhed skal håndteres på flere niveauer, og det er en forudsætning for at kunne deltage i et sikkert Projekt som leverer et sikkert System, at sikkerheden i Leverandørens organisation også håndteres forsvarligt. Kravnr Kravtitel Ansvar placeret i ledelsen Kravtype K Kravområde Sikkerhedsorganisation Leverandør skal udpege et ansvarligt medlem af ledelsen, som skal være den overordnede ansvarlige for opfyldelsen af alle aftalte krav til sikkerheden i hele Kontraktperioden. Den sikkerhedsansvarlige er ansvarlig for gennemførelse af sikkerhedsprøver

13 13 opretholdelse af det aftalte sikkerhedsniveau rapportering til Kunden vedrørende sikkerhedsspørgsmål Kravnr Kravtitel Kompetencekrav til Leverandørens Sikkerhedsansvarlige Kravtype PK Kravområde Sikkerhedsorganisation Leverandørens sikkerhedsansvarlige skal som minimum have de nedenstående kompetencer: o Stor praktisk erfaring med sikring af it-systemer og håndtering af sikkerhedssystemer. o Sikkerhedscertificeret, eksempelvis i CISSP/CISM eller tilsvarende o Kendskab og/eller erfaring med relevante teknologier i forhold til den aftalte Platform. CV angives i bilag 11 i overensstemmelse med krav Kravnr Kravtitel Erfarne ressourcer Kravtype MK Kravområde Sikkerhedsorganisation Leverandøren skal dedikere tilstrækkelige og erfarne ressourcer til arbejdet med informationssikkerhed. Erfaringer kan med fordel underbygges med sikkerhedscertificeringer såsom CISSP eller CISM. Kravnr Kravtitel Sikkerhedsansvarlig i samarbejdsorganisationen Kravtype K Kravområde Sikkerhedsorganisation Leverandøren skal tilknytte den sikkerhedsansvarlige til samarbejdsorganisationen, jf. bilag 11, med henblik på koordinering af sikkerheden i udviklingsfasen og den daglige drift. Personen skal fungere som den primære kommunikationskanal (single-point-ofcontact) og har ansvaret for at sikkerhedsrelaterede hændelser/issues formidles til Kundens sikkerhedsansvarlige kontaktperson. Kravnr Kravtitel Dokumenteret sikkerhedspolitik Kravtype PK Kravområde Sikkerhedspolitik Leverandør skal have en dokumenteret sikkerhedspolitik. Politikken skal være godkendt af den øverste ledelse og implementeret i organisationen.

14 14 Kravnr Kravtitel Retningslinjer og procedurer Kravtype K Kravområde Sikkerhedshåndbog Som en del af sikkerhedspolitikken skal Leverandøren vedligeholde retningslinjer (beskrivelse af procedurer), der dækker: Sikkerhedsorganisationen Roller og ansvar Awareness Sikkerhedsgodkendelser Overvågning og eskalering Beredskabsplaner System og netværksdokumentation Systemer, tjenester og informationer der må tilgås fra hjemmearbejdspladser Kravnr Kravtitel Udlevering af materiale Kravtype K Kravområde Sikkerhedsstyring Leverandørens samlede materiale (evt. samlet i en sikkerhedshåndbog) i henhold til krav skal udleveres til Kunden på forlangende f.eks. ved audits. Kravnr Kravtitel Compliance Kravtype K Kravområde Sikkerhedsorganisation Leverandøren skal etablere aktiviteter, der sikrer compliance i forhold til regulative krav, standarder og 3. mands sikkerhedskrav. Kravnr Kravtitel Kun autoriseret udstyr Kravtype K Kravområde Funktionsadskillelse Leverandøren skal sikre, at kun autoriseret udstyr, det vil sige udstyr godkendt i forhold til den af Leverandøren anvendte sikkerhedsstandard, må have adgang til Leverandørens interne netværk og telekommunikationslinjer for at sikre, at Leverandørens sikkerhedsniveau ikke kompromitteres. Kravnr Kravtitel Krav til underleverandører Kravtype K Kravområde 3. mands adgang Leverandør skal sikre, at væsentlige underleverandører også efterlever kravene til sikkerhed og beredskabsplanlægning.

15 15 Kravnr Kravtitel Register over 3. mænds systemer og netværk Kravtype MK Kravområde 3. mands adgang Leverandør skal etablere og vedligeholde et opdateret register over 3. mænds systemer og netværk, der direkte er integreret med Leverandørens infrastruktur. Indholdet af registeret kan stilles til rådighed for Kunden på forlangende, f.eks. ved audit. 5.1 Sikkerhedshændelser Kravnr Kravtitel Kategorisering som sikkerhedshændelse Kravtype K Kravområde Sikkerhedshændelser Enhver ikke-planlagt/ikke-aftalt afvigelse fra servicemål, eller hændelse i øvrigt, som forringer mindst et af de angivne sikkerhedsområder for dele eller hele af Systemet, defineres som en sikkerhedshændelse, og skal behandles som en sådan. Sikkerhedsområderne er: - Fortrolighed - Integritet - Tilgængelighed - Autentifikation - Sporbarhed Kravnr Kravtitel Procedure for registrering og logning af sikkerhedshændelser Kravtype K Kravområde Sikkerhedshændelser Leverandøren skal udarbejde procedurer for registrering, logning og kommunikation af alle sikkerhedshændelser, herunder potentielle sikkerhedshændelser, i overensstemmelse med krav i bilag 7, bilag 6 og bilag 8. Kravnr Kravtitel Afrapportering ved sikkerhedshændelser Kravtype MK Kravområde Sikkerhedshændelser Leverandøren skal, i tillæg til den i Bilag 8 kravsatte driftsrapportering, afrapportere af sikkerhedshændelser til Leverandørens sikkerhedsansvarlige og eventuelt styregruppe jf. Bilag 11, og at rapporterne som minimum indeholder: En beskrivelse af hændelsen Hvem var involveret Hvad blev der gjort Resultatet af udførte log-undersøgelse og analyse Læringspunkter Fremadrettede anbefalinger

16 16 Kravnr Kravtitel Kommunikation til Kunden Kravtype MK Kravområde Sikkerhedshændelser Leverandøren skal kommunikere sikkerhedshændelser til Kunden, og hvis Kunden finder det relevant, kan sikkerhedshændelser kommunikeres til eksterne aktører. Kravnr Kravtitel Erfaringsopsamling Kravtype K Kravområde Sikkerhedshændelser Leverandør skal etablere foranstaltninger, som sikrer, at sikkerhedshændelser indgår i en erfaringsopsamlingsproces og videreføres til alle relevante dele af den organisation, Leverandøren har til rådighed. Kravnr Kravtitel Politikker for medarbejderes adgang Kravtype K Kravområde Medarbejderes adgang Leverandøren skal etablere politikker for styring af Leverandørens medarbejderes adgang til Systemet og de deri lagrede Grunddata, således at kun medarbejdere med et dokumenteret, arbejdsbetinget behov får adgang. Leverandør skal derfor beskrive: Oprettelse, ændringer og nedlæggelsesprocedurer for medarbejderes adgang til Systemet Retningslinjer for implementering af funktionsadskillelse i henhold til krav Kravnr Kravtitel Procedure for styring af administratorers adgang Kravtype K Kravområde Medarbejderes adgang Leverandør skal anvende procedurer styring af administratorers adgang og gennemgå disse rettigheder periodisk. Kravnr Kravtitel Opretholdelse af integritet og fortrolighed Kravtype K Kravområde Funktionsadskillelse Leverandør skal opretholde funktionsadskillelse med det formål at opretholde den krævede integritet og fortrolighed og begrænse muligheden for fejlagtig eller bevidst misbrug af systemer. Dette skal både gælde mellem udviklings-, test- og driftsmiljø og andre miljøer. I den forbindelse skal Leverandøren sikre, at følsomme data ikke kan anvendes i udviklings- og testmiljøer og andre miljøer, med mindre adgangskontrolforanstaltningerne er lige så restriktive, som i driftsmiljøet. Kravnr Kravtitel Håndtering af specielle medarbejdere

17 17 Kravtype K Kravområde Funktionsadskillelse Især skal Leverandøren være opmærksom på håndteringen af medarbejdere, der i kraft af deres faglige kvalifikationer kombineret med adgang til applikationer eller sikkerhedscertifikater, har særligt udvidet adgang til Systemet. Leverandøren skal etablere en funktionsadskillelse for disse medarbejdere, samt etablere maskinelle og manuelle kontroller i og omkring Systemet for at forebygge misbrug eller fejlbetjening. Kunden kan enhver tid kræve dokumentation for funktionsadskillelse hos Leverandøren. Kravnr Kravtitel Review af den tekniske sikkerhedsarkitektur Kravtype K Kravområde Teknisk sikkerhedsarkitektur Leverandøren skal etablere en procedure for periodisk review af den tekniske sikkerhedsarkitektur, samt foretage dette. Kravnr Kravtitel Procedurer omkring logning og monitorering Kravtype K Kravområde Funktionsadskillelse Leverandøren skal etablere procedurer omkring logning og monitorering, således at overvågning, undersøgelser og analyser foretages rettidigt og efter hensigten. 5.2 Fysiske kontrolforanstaltninger Uafhængigt af, om Systemet leveres med brug af cloud-teknologier, er der behov for fysisk sikring af de lokaliteter, hvor Systemet skal driftes. I dette afsnit opstilles krav til kontrollen med sådanne lokaliteter. Kravnr Kravtitel Fysiske kontrolforanstaltninger - risikovurdering Kravtype K Kravområde Fysisk sikkerhed Leverandør skal opbygge og vedligeholde de fysiske kontrolforanstaltninger, som beskytter faciliteter, på baggrund af en risikovurdering.

18 18 Kravnr Kravtitel Fysiske kontrolforanstaltninger Kravtype K Kravområde Fysisk sikkerhed Leverandørens fysiske kontrolforanstaltninger skal omfatte, men ikke være begrænset til, følgende områder: Fysisk adgangskontrol Fysisk adgangskontrolsystem Adgangsstyring til lokaler med forretningskritisk udstyr Adgang til sikre områder og deres funktioner gives udelukkende ud fra et arbejdsbetinget behov. Logning af enhver adgang Overvågning af gæster Indbrudssikring, herunder alarmsystemer Adskillelse mellem Leverandørens informationsbehandlingsudstyr og eventuelle service- og underleverandørers udstyr Serverrum, krydsfelter og tilsvarende områder skal på forsvarlig vis sikres mod miljømæssige hændelser som brand, vand, eksplosion og tilsvarende påvirkninger Et brandsikringsanlæg der bl.a. tager hensyn til omfanget af elektronisk udstyr Overvågning af af- og pålæsningsområder, hvor offentligheden har adgang Udstyr skal placeres så risici for skader og uautoriseret adgang minimeres Udstyr skal sikres mod forsyningssvigt på baggrund af en risikovurdering, der afdækker hvor kritisk udstyret er. Eksempelvis et nødstrømsanlæg, der sikre hurtig og korrekt nedlukning i tilfælde af strømsvigt. Kritiske og følsomme informationer og data skal permanent fjernes (destrueres) og overskrives fra lagringsmedier i forbindelse med bortskaffelse og genbrug Andre sikkerhedsforanstaltninger som er påkrævede i forbindelse med områders klassifikation

19 19 6 Sikkerhed i Projektet For at kunne have tillid til sikkerheden i det leverede System, er der behov for, at sikkerhedshensyn tilgodeses i hele Kontraktperioden, inklusive Projektet. Risici skal identificeres, analyseres og mitigeres så tidligt som muligt, så de bedste løsninger kan implementeres med mindst muligt ressourceforbrug. Kravnr Kravtitel Udvikling og sårbarhedsvurdering Kravtype PK Kravområde Sårbarhedsvurdering Leverandøren skal sikre et højt sikkerhedsniveau i udvikling af Systemet og anvende anerkendte metoder og principper for udvikling af sikre systemer. Et eksempel på en anerkendt udviklingsmetode er NISTs Security Considerations in the Information System Development Life Cycle 1. Leverandørens valg af udviklingsmetoder er dokumenteret i underbilag 16A, med angivelse af, hvordan de er anvendt i projektet, herunder hvordan resultatet af sårbarhedsvurderingen bliver implementeret i udviklingsmetoden. [Tilbudsgiver skal i underbilag 16A dokumentere sit valg af udviklingsmetoder og beskrive, hvordan de valgte udviklingsmetoder er anvendt i projektet, herunder hvordan resultatet af sårbarhedsvurderingen bliver implementeret i udviklingsmetoden.] Kravnr Kravtitel Periodiske risikovurderinger Kravtype PK Kravområde Risikostyring og klassificering Leverandøren skal anvende fastlagte og dokumenterede procedurer for periodiske risikovurderinger, der som minimum inddrager: Sårbarhedsvurderinger Trusselsvurderinger Konsekvensvurderinger Procedurerne er beskrevet i underbilag 16A. [Tilbudsgiver skal i underbilag 16A beskrive de anvendte procedurer] Kravnr Kravtitel Indhold af risikovurderinger Kravtype K Kravområde Risikostyring og klassificering Risikovurderinger og -analyser skal foretages som minimum i forhold til: De uønskede forretningsmæssige konsekvenser Forretningskritiske systemer 1

20 20 Anskaffelser 3. mænds adgang til leverandørs informationsbehandlingssystemer Genetableringsmuligheder Kravnr Kravtitel Overblik over trusler, sårbarheder og uønskede konsekvenser Kravtype K Kravområde Risikostyring og klassificering Leverandøren skal til stadighed vedligeholde et overblik over identificerede trusler, sårbarheder og uønskede konsekvenser ved utilstrækkelig sikring af sikkerhedsområderne (krav 16.1), og at ansvaret for hver enkelt kontrolforanstaltning er entydigt placeret i Leverandørens organisation. Kravnr Kravtitel Håndtering af trusler, sårbarheder og uønskede konsekvenser Kravtype K Kravområde Risikostyring og klassificering Leverandøren skal håndtere de identificerede trusler, sårbarheder og uønskede konsekvenser, og skabe kontrolforanstaltninger i forhold til at sikre sikkerhedsområderne (krav 16.1) med henblik på at reducere mulighed for uønskede konsekvenser. Kravnr Kravtitel Sikkerhedsgodkendelse Kravtype K Kravområde Risikostyring og klassificering Leverandøren skal være indstillet på at sikre, at medarbejdere og ledelse kan sikkerhedsgodkendes i henhold til statens sikkerhedscirkulære 2, hvis de skal arbejde med klassificeret materiale eller tilgår klassificerede områder, som falder ind under denne forpligtigelse. Leverandøren skal i givet fald opretholde nødvendige sikkerhedsgodkendelser i hele kontraktperioden Kravnr Kravtitel Initiel sårbarhedsvurdering Kravtype MK Kravområde Sårbarhedsvurdering Leverandøren skal senest umiddelbart efter den generelle afklaringsfase sammen med Kunden planlægge og gennemføre sårbarhedsvurdering af krav vedrørende de Fastlagte Delleverancer. Resultatet heraf skal anvendes i det videre arbejde. Kunden og Leverandøren skal i fællesskab identificere særligt sårbare krav, således at Leverandøren skal etablere passende modsvarende fysiske, teknologiske eller 2 "Cirkulære vedrørende sikkerhedsbeskyttelse af informationer af fælles interesse for landene i NATO, EU eller WEU, andre klassificerede informationer samt informationer af sikkerhedsmæssig beskyttelsesinteresse i øvrigt", CIR nr. 204 af 07/12/ 2001.