Bilaga 9 Säkerhet Dnr: 2.4.2-7622/2015 Förfrågningsunderlag 2016-01-11 stockholm.se Utbildningsförvaltningen Avdelningen för utveckling och samordning Hantverkargatan 2F 104 22 Stockholm Växel 08-508 33 000 www.stockholm.se Bilaga 9 Säkerhet Dnr: 2.4.2-7622/2015 2016-01-11 Innehåll 1 Inledning 3 2 2.1 2.2 2.3 2.4 2.5 Krav på säkerhetsarbete Allmänt Ledningssystem för informationssäkerhet Ingående aktiviteter i it-säkerhetsarbetet Skydd mot skadlig kod Krav på säkerhet för Kritiska Tjänster 3 3 4 4 6 6 2 (7) Tjänster för it-service för Stockholms stads pedagogiska verksamheter Bilaga 9 Säkerhet Dnr: 2.4.2-7622/2015 2016-01-11 1 Inledning Definitioner som används i detta dokument har den betydelse som anges i Bilaga 1 (Begrepp och definitioner). Denna bilaga reglerar på en övergripande nivå arbetet med krav på säkerhet som beskrivs i Avtalet. Leverantören ska följa dessa krav samt Stadens vid var tid gällande riktlinjer för informationssäkerhet, se Bilaga 10 (Riktlinjer informationssäkerhet). 2 Krav på säkerhetsarbete 2.1 Allmänt Leverantören ska kontinuerligt arbeta med att planera, följa upp och förbättra kvalitet och säkerhet vid tillhandahållandet av Tjänsterna. Detta för att uppfylla Stadens säkerhetsbehov och se till att information hanteras på ett säkert sätt för alla Tjänster och processaktiviteter. Detta arbete ska vara organiserat med utpekade ansvariga hos Leverantören och genomsyra Leverantörens arbete med leverans av Tjänsterna. Syftet med säkerhetsarbetet är att förhindra, eller minska konsekvenserna av eller sannolikheten för, oönskade händelser inom tillhandahållandet av Tjänster och att upprätthålla Stadens förmåga att fullgöra sina åtaganden innefattande bland annat myndighetskrav och krav enligt Gällande Rätt. I arbetet ingår alla åtgärder vars samlade effekt är att förebygga och minimera konsekvenserna av störningar och Avbrott för informationshanteringen. I detta åtagande ingår att säkerställa att informationen får rätt nivå av säkerhet med avseende på informationssäkerhetsaspekterna:     Åtkomstbegränsning (sekretess) – skydd mot obehörig åtkomst av information, Riktighet – skydd mot oönskad förändring, påverkan eller insyn, Tillgänglighet – åtgärder för att säkra drift och funktionalitet, och Spårbarhet – möjligheten att fastställa vem som gjort vad eller att kunna verifiera orsaken till en händelse. Tjänster för it-service för Stockholms stads pedagogiska verksamheter 3 (7) Bilaga 9 Säkerhet Dnr: 2.4.2-7622/2015 2016-01-11 2.2 Ledningssystem för informationssäkerhet Leverantören ska utöver processer för egenkontroll ha ett generellt processorienterat it-säkerhetsarbete, som i enlighet med ITIL Security Management eller motsvarande är sammanhållet av ett ledningssystem för informationssäkerhet (LIS), där policys, säkerhetskontroller, andra säkerhetsåtgärder, säkerhetsrevisioner, schemalagda säkerhetstester och klassificering av känslig data och risker finns dokumenterade. Ledningssystemet ska möjliggöra för Leverantören att leva upp till krav enligt detta Avtal. Ledningssystemet för informationssäkerhet ska minst ha beaktat följande aspekter:       Stadens information, organisation, struktur, interna/externa krav och risker med dessa, Stadens strategier, planer och budget för it-leveranser och risker med dessa, specifik känslig data, lagstiftning, incidenter och digitala angrepp, och förändringar som påverkar säkerheten, till exempel framtida planer och krav. 2.3 Ingående aktiviteter i it-säkerhetsarbetet Leverantören ska bland annat utföra följande aktiviteter:    Styrning: - Organisera it-säkerhetsarbetet med tydligt ansvar och mandat. Planering: - Planera för säkerhetshöjande åtgärder, inkluderande att genomföra risk- och sårbarhetsanalyser, dokumentera detta samt besluta om åtgärder med anledning av detta. Analyserna ska genomföras i enlighet med Stadens modell för risk- och sårbarhetsanalys och resultatet ska redovisas för Staden. Klargöra interna krav på nödvändiga avtal, roller, och andra säkerhetsrelaterade krav, samt sätta regelverk för exempelvis: - Användandet av it (inklusive beivrandet av missbruk), behörigheter, lösenord, e-post, internet, anti-virus, säkerhetsklassning av information, fjärråtkomst, underleverantörsstyrning inklusive deras tillgång till system och data samt eventuella kompletterande särskilda säkerhetsstrategier. 4 (7) Tjänster för it-service för Stockholms stads pedagogiska verksamheter Bilaga 9 Säkerhet Dnr: 2.4.2-7622/2015 2016-01-11 -    Alternativa arbetssätt och rutiner för den händelse att Leverantören själv drabbas av störningar i sin interna verksamhet. Implementering: - Implementera säkerhetskontroller enligt en för säkerhetsnivån lämplig utvecklingsprocess. - Kommunicera om och utbilda Leverantörens personal om it-säkerhetsarbetet (exempelvis gällande klassificering av data och information). Personalen kan även behöva underteckna sekretessförbindelser. - Definiera krav på personlig och fysisk säkerhet, fastställa riktlinjer för behörigheter och för hanteringen av säkerhetsincidenter. - Utse och dokumentera ansvariga för säkerheten i leveransens olika delar, både för de levererade Tjänsterna i sin helhet och för enskilda system. Utvärdering: - När Staden begär revisioner ska Leverantören skyndsamt ställa information och resurser till förfogande som stöd för genomförande av revisionen. Leverantören ska även på förfrågan från Staden medverka i att utforma och ta fram bestyrkanderapporter avseende internkontroll och säkerhet inom områden som inte täcks av ISAE 3402. Exempel på områden är sekretess/åtkomst, riktighet, tillgänglighet och spårbarhet rapporterade i enlighet med standarden ISAE 3000. - Genomföra interna och av Staden begärda revisioner av säkerhetsarbetet. - Tillhandahålla en struktur för kontinuerlig utvärdering av säkerhetsincidenter. Löpande arbete: Genomföra dagliga aktiviteter såsom: - Kommunicera policys och övervaka att dessa efterlevs. - Övervaka, hantera och rapportera säkerhetsincidenter. - Genomföra sårbarhets- och penetrationstester i enlighet med informationssäkerhetsriktlinjerna. - Löpande följa upp vilka personer som har olika former av administratörsrättigheter samt rapportera till Stadens kontaktpersoner hur många och vilka dessa personer är. - Ha en kontinuerlig översyn av skydd mot säkerhetsbrister och obehörig åtkomst. - Säkerställa uppnådd säkerhet mellan Stadens Resurser och Leverantörens resurser som används för att leverera Tjänsterna. Tjänster för it-service för Stockholms stads pedagogiska verksamheter 5 (7) Bilaga 9 Säkerhet Dnr: 2.4.2-7622/2015 2016-01-11 - - Genomföra kontinuitetsplanering och riskanalyser för kontinuitet. Genomföra kapacitetsplanering och riskanalys för kapacitet. Verifiera att tillhandahållandet av Tjänster lever upp till ställda krav i Bilaga 10 (Riktlinjer informationssäkerhet) och utbildningsförvaltningens Tillämpningsanvisningar för informationssäkerhet (dnr 1.3.2-50/2016) som är under framtagande, samt föreslå åtgärder vid eventuella avvikelser. Detta arbete ska halvårsvis rapporteras till Staden. Kontinuerligt och systematiskt arbeta med förbättringar av it-säkerheten. 2.4 Skydd mot skadlig kod Leverantören ansvarar för att hålla Stadens it-miljö fri från skadlig och fientlig kod. I detta ingår bland annat att nödvändiga licenser för säkerhetsprogramvaror, installation och konfiguration av dessa programvaror samt att säkerhetsprogramvarorna hålls uppdaterade vid tillhandahållandet av Tjänsterna. Leverantören ska ha system för att aktivt söka och upptäcka förekomst av skadlig kod samt logga resultatet av övervakningen. Staden ska på begäran kunna ta del av loggarna. 2.5 Krav på säkerhet för Kritiska Tjänster Med Kritiska Tjänster inom leveransen avses:    Katalogtjänst enligt avsnitt 8, Bilaga 7A (Tjänster för Digitala Enheter), Namnuppslag (DNS) enligt avsnitt 8.8, Bilaga 6A (Generella krav på Tjänsterna), Lagring av data i Leverantörens serverhall enligt avsnitt 3.4, Bilaga 7A (Tjänster för Digitala Enheter). Leverantören ska för Kritiska Tjänster uppfylla krav på, driftsäkerhet, enligt avsnitt 2.5.1 nedan. Leverantören är medveten om att Tjänster som klassas som Kritiska Tjänster kan ändras över tid genom Ändringsprocessen, varvid Kritiska Tjänster kan komma att läggas till eller tas bort. 2.5.1 Driftsäkerhet   Leverantören ska tillhandahålla minst en (1) WANanslutning från minst en (1) leverantör. Leverantören ska säkerställa att all hårdvara och all mjukvara är supporterad av tillverkaren. 6 (7) Tjänster för it-service för Stockholms stads pedagogiska verksamheter Bilaga 9 Säkerhet Dnr: 2.4.2-7622/2015 2016-01-11     Leverantören ska tillhandahålla skydd för fel i nätverkets datalänkskikt (OSI layer 2), baserad på rekommendationer från leverantören av nätverksutrustning. Omfattningen av skydd ska vara baserad på årligen återkommande riskanalyser som ska godkännas av Staden. Leverantören ska ha processer för att analysera trender och prognoser för framtida kapacitetsbehov i driftsprocesser och komponenter. Leverantören ska genomföra tester avseende Avbrott enlig testplan för Avbrott minst en (1) gång per år. Testerna ska genomföras i enlighet med SS-ISO-22301:2014 kapitel 8.5 Övning och testning eller motsvarande. Leverantören ska rapportera resultatet från genomförda tester. I rapporteringen ska det framgå vilka områden som har testats, hur testerna har genomförts och resultatet av testerna. Avvikelser och andra observationer som kan komma att påverka Staden ska inkluderas i rapporteringen. Leverantören ska upprätta en plan för hur alternativ datakommunikation under kris säkerställs. Planen ska utformas enligt NIST SP800 53R4 CP-11 Alternate Communications Protocols och CP-13 Alternative Security Mechanisms eller motsvarande. Staden ska godkänna planen för hur alternativ datakommunikation under kris säkerställs. Tjänster för it-service för Stockholms stads pedagogiska verksamheter 7 (7)