MSBFS 2020:7
Myndigheten för samhällsskydd och beredskaps föreskrifter om säkerhetsåtgärder i informationssystem för statliga myndigheter
beslutade den 1 september 2020.
Myndigheten för samhällsskydd och beredskap föreskriver följande med stöd av 21 § förordningen (2015:1052) om krisberedskap och bevakningsansvariga myndigheters åtgärder vid höjd beredskap och beslutar följande allmänna råd.
1 kap. Inledande bestämmelser
Tillämpningsområde
1 §
Dessa föreskrifter innehåller bestämmelser om sådana säkerhetskrav som avses i 19 § förordningen (2015:1052) om krisberedskap och bevakningsansvariga myndigheters åtgärder vid höjd beredskap.
2 §
Om en annan författning innehåller en bestämmelse som ställer högre krav än kraven i dessa föreskrifter tillämpas den bestämmelsen.
Begreppsförklaring
3 §
I dessa föreskrifter avses med
- extern aktör
- Leverantör som inte omfattas av dessa föreskrifter, inhyrd personal eller motsvarande.
- informationssystem
- Applikationer, tjänster eller andra komponenter som hanterar information. I begreppet ingår också nätverk och infrastruktur.
- it-miljö
- Den samlade mängden informationssystem som används för att behandla information som myndigheten ansvarar för.
- produktionsmiljö
- Den del av it-miljön som myndigheten använder för att utföra sitt uppdrag.
- redundant funktion
- Två eller flera, identiska eller olika, funktioner som oberoende av varandra uppfyller samma syfte.
- systemadministrativ behörighet
- Behörighet med priviligierade rättigheter som ger möjlighet att förändra grundläggande funktioner och säkerhetsfunktioner i ett informationssystem.
- säkerhetsfunktion
- Funktion som svarar för viss del av säkerheten såsom behörighetskontrollsystem, säkerhetsloggning, intrångsdetektering, intrångsskydd eller skydd mot skadlig kod.
- säkerhetsloggning
- Elektronisk registrering av säkerhetsrelaterade händelser.
2 kap. Grundläggande bestämmelser
Ansvar
1 §
Myndigheten ska, för varje informationssystem, tydliggöra vilken befattning som ansvarar för att införa, förvalta, följa upp och utvärdera säkerhetsåtgärder (systemägare).
Omvärldsbevakning och riskbedömning
2 §
Myndigheten ska bedriva omvärldsbevakning för att underlätta identifiering och hantering av hot mot och sårbarheter i myndighetens informationssystem.
3 §
Myndigheten ska genomföra riskbedömning för enskilda informationssystem och myndighetens produktionsmiljö i sin helhet.
Allmänna råd
Riskbedömningar bör även genomföras för myndighetens utvecklings-, test- respektive utbildningsmiljö.
Myndigheten bör överväga att ge systemägaren för berört informationssystem i uppgift att säkerställa att riskbedömning genomförs.
Dokumentation av it-miljön
4 §
Myndigheten ska upprätthålla uppdaterad dokumentation över
- hård- och mjukvara som används i varje enskilt informationssystem,
- beroenden mellan olika interna informationssystem respektive beroenden av informationssystem hos externa aktörer,
- vilka informationssystem som behandlar information som har behov av utökat skydd, och
- vilka informationssystem som är centrala för myndighetens förmåga att utföra sitt uppdrag.
Allmänna råd
Tekniskt stöd bör användas för att upprätthålla uppdaterad dokumentation.
Beroenden bör tydliggöras i en systemkarta eller motsvarande.
Information som är i behov av utökat skydd bör identifieras med stöd av informationsklassning enligt 6 § MSBFS 2020:6.
3 kap. Utveckling, anskaffning och utkontraktering
Kravställning och kontroll
1 §
Myndigheten ska, vid utveckling, anskaffning eller utkontraktering av informationssystem, identifiera krav på säkerhet avseende
- uppdelning i nätverkssegment,
- filtrering av nätverkstrafik,
- behörigheter, digitala identiteter och autentisering,
- kryptering,
- säkerhetskonfigurering,
- säkerhetstester och granskningar,
- ändringshantering, uppgradering och uppdatering,
- robust och korrekt tid,
- säkerhetskopiering,
- säkerhetsloggning och tillhörande analys,
- övervakning av nätverkstrafik,
- övervakning av informationssystem inklusive säkerhetsfunktioner,
- skydd mot skadlig kod,
- skydd av utrustning,
- redundans och återställning,
- kontinuitet under fredstida krissituation samt inför och vid höjd beredskap,
- arkivering, och
- avveckling.
Myndigheten ska dokumentera vilka säkerhetsåtgärder som valts för att möta respektive krav.
Allmänna råd
Vid anskaffning av informationssystem bör myndigheten överväga att välja produkter som är certifierade genom tredjepartsgranskning mot etablerad standard.
2 §
Myndigheten ska, innan driftsättning och inför förändring som kan påverka säkerheten i informationssystemen,
- genom säkerhetstester och granskning kontrollera att valda säkerhetsåtgärder är tillräckliga för att möta identifierade krav på säkerhet, och
- verifiera att det finns nödvändig dokumentation för drift och förvaltning.
I de fall brister identifieras ska myndigheten riskbedöma och hantera dessa brister innan driftsättning eller inför förändring som kan påverka säkerheten i informationssystemen.
Allmänna råd
Nödvändig dokumentation för drift och förvaltning bör omfatta arkitektur, ingående komponenter, konfiguration, dataflöden och övrig relevant systeminformation. Av dokumentationen bör även framgå vem som är systemägare samt om och till vilken extern aktör informationssystemet är utkontrakterat.
Utvecklings-, test- och utbildningsmiljöer
3 §
Myndighetens arbete med utveckling och tester som kan påverka informationssäkerheten i produktionsmiljön ska ske i en från produktionsmiljön avskild del av it-miljön.
4 §
Myndigheten ska identifiera och hantera behovet av en utbildningsmiljö som är avskild från produktionsmiljön.
4 kap. Drift och förvaltning
Uppdelning i nätverkssegment och filtrering av nätverkstrafik
1 §
Myndigheten ska förhindra spridning av incidenter och minska konsekvenser av angrepp genom att placera informationssystem med olika funktioner i separata nätverkssegment i sin produktionsmiljö.
Allmänna råd
Följande funktioner i produktionsmiljön bör placeras i separata nätverkssegment:
- Klienter för användare.
- Klienter för administration.
- Servrar.
- Centrala systemsäkerhetsfunktioner i form av behörighetskontrollsystem, säkerhetsloggning, filtrering och liknande.
- Centrala stödfunktioner i form av skrivare, scanner och liknande.
- Trådlösa nätverk.
- Gästnätverk.
- Externt åtkomliga tjänster.
- Informationssystem som sammankopplas med informationssystem hos extern aktör.
- Industriella informations- och styrsystem.
- System som innehåller sårbarheter som inte kan hanteras.
2 §
Myndigheten ska filtrera nätverkstrafiken så att endast nödvändiga dataflöden förekommer mellan olika nätverkssegment.
Behörigheter, digitala identiteter och autentisering
3 §
Myndigheten ska säkerställa att endast behöriga användare och informationssystem har åtkomst till it-miljön och utforma sin behörighetshantering på ett sådant sätt att varje digital identitet inte har mer åtkomst till information och informationssystem än vad den behöver.
Allmänna råd
Behörighetshanteringen bör säkerställa att
- digitala identiteter i produktionsmiljön är unika,
- digitala identiteter och behörigheter är godkända innan de kopplas till en användare eller ett informationssystem,
- tilldelade behörigheter är tidsbegränsade och kontrolleras en gång per år,
- behovet av att använda olika kataloger för digitala identiteter och behörigheter är identifierat och hanterat, och
- olika digitala identiteter används vid åtkomst till utvecklings- och testmiljö respektive produktionsmiljö.
En digital identitet bör endast användas av en individ.
Digitala identiteter och behörigheter som ger tillgång till externt åtkomliga informationssystem samt utvecklings-, test- och utbildningsmiljö bör hanteras i olika kataloger skilda från kataloger för produktionsmiljön.
4 §
Digitala identiteter som ger systemadministrativ behörighet ska endast användas för systemadministration och tilldelas restriktivt.
Allmänna råd
En digital identitet med systemadministrativ behörighet bör endast ges åtkomst till en begränsad del av produktionsmiljön.
5 §
Flerfaktorsautentisering ska användas vid
- egen och inhyrd personals åtkomst till produktionsmiljön via externt nätverk,
- systemadministrativ åtkomst till informationssystem, och
- åtkomst till informationssystem som behandlar information som bedömts ha behov av utökat skydd.
6 §
Myndigheten ska ha interna regler för hantering av autentiseringsuppgifter med krav på
- längd och komplexitet,
- när byte ska ske,
- hur distribution ska ske, och
- hur autentiseringsuppgifterna ska skyddas.
Allmänna råd
Tekniska system bör användas för att stödja efterlevnaden av reglerna avseende längd, komplexitet och byte.
Kryptering
7 §
Myndigheten ska identifiera och hantera behovet av kryptering för att skydda information mot obehörig åtkomst och obehörig förändring vid överföring och lagring.
Allmänna råd
Kryptering bör användas för att skydda
- säkerhetsloggar mot obehörig åtkomst och obehörig förändring,
- autentiseringsuppgifter mot obehörig åtkomst och obehörig förändring, och
- information i behov av utökat skydd mot obehörig åtkomst och obehörig förändring vid överföring till informationssystem utanför myndighetens kontroll.
Myndigheten bör identifiera behovet av att kryptera e-post på transportlagret i enlighet med OSI-modellen (Information technology - Open Systems Interconnection - Basic Reference Model: The Basic Model, ISO/IEC 7498-1) eller motsvarande. Myndigheten bör också införa möjlighet att använda sådan kryptering vid överföring av e-post till och från andra statliga myndigheter.
Myndigheten bör införa möjlighet att verifiera myndigheten som avsändare respektive mottagare av e-post.
8 §
Myndigheten ska använda Domain Name System Security Extensions (DNSSEC) avseende samtliga domännamn som myndigheten registrerat i domännamnssystemet (DNS).
9 §
Myndigheten ska ha interna regler för kryptering med krav på
- hantering av krypteringsnycklar,
- godkännande och förvaltning av krypteringslösningar, och
- hur krypteringsalgoritmer, krypteringsprotokoll och nyckellängder ska väljas.
Säkerhetskonfigurering
10 §
Myndigheten ska, för att skydda informationssystem mot obehörig åtkomst,
- byta ut förinställda autentiseringsuppgifter,
- stänga av, ta bort eller blockera systemfunktioner som inte behövs, och
- i övrigt anpassa konfigurationer för att uppnå avsedd säkerhet.
Säkerhetstester och granskningar
11 §
Myndigheten ska säkerställa att säkerhetstester och granskningar möjliggör identifiering av sårbarheter. Myndigheten ska ha interna regler för hur kontroll görs av att
- informationssystemen är uppdaterade,
- valda säkerhetsåtgärder är införda på korrekt sätt, och
- genomförda säkerhetskonfigurationer är tillräckliga.
Allmänna råd
Automatiserade säkerhetstester och manuella granskningar bör kombineras vid kontroll av säkerheten i informationssystemen.
Ändringshantering, uppgradering och uppdatering
12 §
Myndigheten ska säkerställa att förändringar i informationssystem genomförs på ett strukturerat och spårbart sätt. Myndigheten ska ha interna regler för ändringshantering med krav på
- vilka kriterier som ska användas för att godkänna hård- och mjukvara innan installation eller användning,
- hur risker för incidenter och avvikelser i samband med förändring i produktionsmiljön ska identifieras och hanteras,
- hur mjukvara, utan onödigt dröjsmål, ska uppdateras till senaste version,
- hur utbyte eller uppgradering av hård- och mjukvara som inte längre uppdateras eller stöds av leverantören ska säkerställas utan onödigt dröjsmål, och
- hur risker ska hanteras när uppdatering eller uppgradering enligt punkt 3 och 4 inte kan genomföras.
Allmänna råd
Säkerhetsuppdateringar bör införas skyndsamt och behovet av att automatisera uppdateringar bör övervägas.
För att undvika störning vid förändring bör myndigheten genomföra tester och ta fram en plan för återställning innan förändringen genomförs.
De interna reglerna bör tydliggöra hur risker för incidenter och avvikelser i samband med förändringar i utvecklings-, test- och utbildningsmiljö identifieras och hanteras.
Korrekt och spårbar tid
13 §
Myndigheten ska använda robust och korrekt tid spårbar till den svenska tillämpningen av koordinerad universell tid, UTC(SP), i sin produktionsmiljö.
Allmänna råd
Myndigheten bör använda tidstjänsten Swedish Distributed Time Service på www.ntp.se.
Behovet av att använda robust och korrekt tid spårbar till den svenska tillämpningen av koordinerad universell tid, UTC (SP) i utvecklings-, test- och utbildningsmiljö bör identifieras och hanteras.
Säkerhetskopiering
14 §
Myndigheten ska, för att kunna återställa information som förlorats eller förvanskats, regelbundet säkerhetskopiera sin information.
Allmänna råd
Myndigheten bör
- en gång per dygn säkerhetskopiera information som behövs för myndighetens förmåga att utföra sitt uppdrag, och
- en gång per år, eller vid större förändringar av produktionsmiljön, verifiera förmågan att, inom för myndigheten godtagbar tidsperiod, återställa information från säkerhetskopior.
Vid bedömning av säkerhetskopieringens omfattning och intervall, bör programvara, konfiguration respektive information hanteras separat.
Behovet av säkerhetskopiering och förmåga till återställning av information i utvecklings-, test- och utbildningsmiljö bör identifieras och hanteras.
15 §
Säkerhetskopior ska förvaras skilda från produktionsmiljön och skyddas mot skada, obehörig åtkomst och obehörig förändring.
Säkerhetsloggning och övervakning
16 §
Myndigheten ska, för att säkerställa spårbarhet i informationssystem, logga följande säkerhetsrelaterade händelser:
- Obehörig åtkomst och försök till obehörig åtkomst till it-miljö och enskilda informationssystem.
- Förändringar av konfigurationer och säkerhetsfunktioner som förutsätter priviligierade rättigheter.
- Förändringar av behörighet för användare och informationssystem.
- Åtkomst till information som bedömts ha behov av utökat skydd.
17 §
Myndigheten ska analysera innehållet i säkerhetsloggarna för att upptäcka och hantera incidenter och avvikelser. Säkerhetsloggarna ska
- möjliggöra utredning av intrång, tekniska fel och brister i säkerheten,
- utformas på ett sätt som möjliggör jämförbarhet mellan olika loggar, och
- vara tillgängliga för analys under fastställd bevarandetid.
Myndigheten ska dokumentera hur säkerhetsloggarna ska användas samt var loggningsuppgifter hämtas och lagras, hur de skyddas och hur länge de ska bevaras.
Allmänna råd
En säkerhetslogg bör innehålla uppgift om vem eller vad som agerat, vad som har skett och vid vilken tidpunkt.
För att skapa jämförbarhet bör myndigheten använda myndighetens tidstjänst för samtliga säkerhetsloggar.
Säkerhetsloggar bör samlas i ett för ändamålet avsett informationssystem.
18 §
Myndigheten ska identifiera och hantera behovet av intrångsdetektering och intrångsskydd.
Allmänna råd
Behovet av intrångsdetektering och intrångsskydd bör bedömas för enskilda informationssystem och för myndighetens produktionsmiljö i sin helhet. Behovet bör även bedömas för myndighetens utvecklings- test- och utbildningsmiljö.
19 §
Myndigheten ska identifiera och hantera behovet av realtidsövervakning av informationssystem.
Skydd mot skadlig kod
20 §
Myndigheten ska använda mjukvara som ger skydd mot skadlig kod. För informationssystem där sådan mjukvara inte finns tillgänglig ska andra åtgärder vidtas som ger motsvarande skydd.
Skydd av utrustning
21 §
Myndigheten ska skydda den utrustning som informationssystem består av mot skador och obehörig åtkomst, genom att
- placera centrala servrar och central nätverksutrustning i särskilda it-utrymmen,
- tilldela behörighet till särskilda it-utrymmen restriktivt,
- identifiera och hantera behovet av övervakning och larm i särskilda it-utrymmen,
- registrera tillträde till särskilda it-utrymmen på individnivå och spara dokumentationen under fastställd bevarandetid, och
- ha interna regler för hur mobil utrustning ska skyddas.
Redundans och återställning
22 §
Myndigheten ska, för att säkerställa tillgänglighet till information och informationssystem vid incidenter och avvikelser,
- ha interna regler för återställning av produktionsmiljön i sin helhet och för enskilda informationssystem,
- öva återställning av informationssystem som är centrala för myndighetens förmåga att utföra sitt uppdrag, och
- placera centrala servrar och central nätverksutrustning som skapar redundant funktion i olika särskilda it-utrymmen.
Allmänna råd
Övning av återställning bör ske regelbundet och utifrån identifierat behov av tillgänglighet.
5 kap. För myndigheter med ett särskilt ansvar för krisberedskapen
1 §
De myndigheter som har ett särskilt ansvar för krisberedskapen enligt 10 § förordning (2015:1052) om krisberedskap och bevakningsansvariga myndigheters åtgärder vid höjd beredskap ska, utöver vad som framgår av kapitel 2 – 4 i dessa föreskrifter,
- använda flerfaktorsautentisering och realtidsövervakning för informationssystem som är centrala för myndighetens förmåga att utföra sitt uppdrag, och
- en gång per kvartal verifiera förmågan till återställning av dessa system.
2 §
Myndigheten ska, en gång per kvartal, kontrollera funktionen hos informationssystem som ska användas för informationsdelning under fredstida krissituationer.
Allmänna råd
Myndigheten bör använda Swedish Government Secure Intranet (SGSI) och Radiokommunikation för effektiv ledning (RAKEL) som stöd för informationsdelning under fredstida krissituationer.
6 kap. Undantag
1 §
Myndigheten för samhällsskydd och beredskap får i enskilda fall och om det finns särskilda skäl medge undantag från tillämpningen av dessa föreskrifter.