pexels-andrew-neel-3178818a

MSB kom med MSBFS 2020:7 som började gälla 1 oktober

Mycket av det kan Expisoft hjälpa dig med

Har du koll på Föreskrifter om säkerhetsåtgärder i informationssystem för statliga myndigheter (MSBFS 2020:7) som började gälla den 1 oktober? Har din organisation bra behörighetskontroll, digitala identiteter och autentisering? Om inte, kan våra produkter SITS Totalförsvar eller ExpiAccess hjälpa dig bemöta kraven i regelverket (och säkra upp era miljöer).

Behöver du strukturera upp ändringshantering, uppdateringar, införa säkerhetsloggning och övervakning eller fylla andra krav i de nya föreskrifterna? Då kan vår PaaS-lösning och SäkKollen vara till hjälp. Kontakta Eliza Roszkowska Öberg eller Fredrik Simonsson så tittar vi på dina behov och diskuterar bästa lösning.

Här är föreskriften i sin helhet: MSBFS 2020:7, men vi har benat ut de delar som vi är experter på.

Paragrafer 3-7 täcks av vår SITS-lösning, medan paragrafer 11-13 samt 16 och 18 täcks av SäkKollen och PaaS.

***

Behörigheter, digitala identiteter och autentisering
3 § Myndigheten ska säkerställa att endast behöriga användare och informationssystem har åtkomst till it-miljön och utforma sin behörighetshantering på ett sådant sätt att varje digital identitet inte har mer åtkomst till information och informationssystem än vad den behöver.

Allmänna råd
Behörighetshanteringen bör säkerställa att
1. digitala identiteter i produktionsmiljön är unika,
2. digitala identiteter och behörigheter är godkända innan de kopplas till en användare eller ett informationssystem,
3. tilldelade behörigheter är tidsbegränsade och kontrolleras en gång per år,
4. behovet av att använda olika kataloger för digitala identiteter och behörigheter är identifierat och hanterat, och
5. olika digitala identiteter används vid åtkomst till utvecklings- och testmiljö respektive produktionsmiljö.
En digital identitet bör endast användas av en individ.
Digitala identiteter och behörigheter som ger tillgång till externt åtkomliga informationssystem samt utvecklings-, test- och utbildningsmiljö bör hanteras i olika kataloger skilda från kataloger för produktionsmiljön.

4 § Digitala identiteter som ger systemadministrativ behörighet ska endast användas för systemadministration och tilldelas restriktivt.

Allmänna råd
En digital identitet med systemadministrativ behörighet bör endast ges åtkomst till en begränsad del av produktionsmiljön.

5 § Flerfaktorsautentisering ska användas vid
1. egen och inhyrd personals åtkomst till produktionsmiljön via externt nätverk,
2. systemadministrativ åtkomst till informationssystem, och
3. åtkomst till informationssystem som behandlar information som bedömts ha behov av utökat skydd.

6 § Myndigheten ska ha interna regler för hantering av autentiseringsuppgifter med krav på
1. längd och komplexitet,
2. när byte ska ske,
3. hur distribution ska ske, och
4. hur autentiseringsuppgifterna ska skyddas.

Allmänna råd
Tekniska system bör användas för att stödja efterlevnaden av reglerna avseende längd, komplexitet och byte.

Kryptering
7 § Myndigheten ska identifiera och hantera behovet av kryptering för att skydda information mot obehörig åtkomst och obehörig förändring vid överföring och lagring.

Allmänna råd
Kryptering bör användas för att skydda
1. säkerhetsloggar mot obehörig åtkomst och obehörig förändring,
2. autentiseringsuppgifter mot obehörig åtkomst och obehörig förändring, och

pexels-life-of-pix-4291a

3. information i behov av utökat skydd mot obehörig åtkomst och obehörig förändring vid överföring till informationssystem utanför myndighetens kontroll.

Myndigheten bör identifiera behovet av att kryptera e-post på transportlagret i enlighet med OSI-modellen (Information technology - Open Systems Interconnection - Basic Reference Model: The Basic Model, ISO/IEC 7498-1) eller motsvarande. Myndigheten bör också införa möjlighet att använda sådan kryptering vid överföring av e-post till och från andra statliga myndigheter.
Myndigheten bör införa möjlighet att verifiera myndigheten som avsändare respektive mottagare av e-post.

Säkerhetstester och granskningar
11 § Myndigheten ska säkerställa att säkerhetstester och granskningar möjliggör identifiering av sårbarheter. Myndigheten ska ha interna regler för hur kontroll görs av att
1. informationssystemen är uppdaterade,
2. valda säkerhetsåtgärder är införda på korrekt sätt, och
3. genomförda säkerhetskonfigurationer är tillräckliga.

Allmänna råd
Automatiserade säkerhetstester och manuella granskningar bör kombineras vid kontroll av säkerheten i informationssystemen.
Ändringshantering, uppgradering och uppdatering

12 § Myndigheten ska säkerställa att förändringar i informationssystem genomförs på ett strukturerat och spårbart sätt. Myndigheten ska ha interna regler för ändringshantering med krav på
1. vilka kriterier som ska användas för att godkänna hård- och mjukvara innan installation eller användning,
2. hur risker för incidenter och avvikelser i samband med förändring i produktionsmiljön ska identifieras och hanteras,
3. hur mjukvara, utan onödigt dröjsmål, ska uppdateras till senaste version,
4. hur utbyte eller uppgradering av hård- och mjukvara som inte längre uppdateras eller stöds av leverantören ska säkerställas utan onödigt dröjsmål, och
5. hur risker ska hanteras när uppdatering eller uppgradering enligt punkt 3 och 4 inte kan genomföras.

Allmänna råd
Säkerhetsuppdateringar bör införas skyndsamt och behovet av att automatisera uppdateringar bör övervägas.
För att undvika störning vid förändring bör myndigheten genomföra tester och ta fram en plan för återställning innan förändringen genomförs.
De interna reglerna bör tydliggöra hur risker för incidenter och avvikelser i samband med förändringar i utvecklings-, test- och utbildningsmiljö identifieras och hanteras.

Korrekt och spårbar tid
13 § Myndigheten ska använda robust och korrekt tid spårbar till den svenska tillämpningen av koordinerad universell tid, UTC(SP), i sin produktionsmiljö.

Allmänna råd
Myndigheten bör använda tidstjänsten Swedish Distributed Time Service på www.ntp.se.
Behovet av att använda robust och korrekt tid spårbar till den svenska tillämpningen av koordinerad universell tid, UTC (SP) i utvecklings-, test- och utbildningsmiljö bör identifieras och hanteras.

Säkerhetsloggning och övervakning
16 § Myndigheten ska, för att säkerställa spårbarhet i informationssystem, logga följande säkerhetsrelaterade händelser:
1. Obehörig åtkomst och försök till obehörig åtkomst till it-miljö och enskilda informationssystem.
2. Förändringar av konfigurationer och säkerhetsfunktioner som förutsätter priviligierade rättigheter.
3. Förändringar av behörighet för användare och informationssystem.
4. Åtkomst till information som bedömts ha behov av utökat skydd.

18 § Myndigheten ska identifiera och hantera behovet av intrångsdetektering och intrångsskydd.

Allmänna råd
Behovet av intrångsdetektering och intrångsskydd bör bedömas för enskilda informationssystem och för myndighetens produktionsmiljö i sin helhet. Behovet bör även bedömas för myndighetens utvecklings- test- och utbildningsmiljö.