Paragraf | MSBFS 2020:7 Text | Sunet Drive | Kommentar |
---|
Kapitel 2 |
---|
2 | Myndigheten ska bedriva omvärldsbevakning för att underlätta identifiering och hantering av hot mot och sårbarheter i myndighetens informationssystem. | Detta arbete sker kontinuerligt inom ramen för Sunet SOC för samtliga Sunet-tjänster |
|
3 | Myndigheten ska genomföra riskbedömning för enskilda informationssystem och myndighetens produktionsmiljö i sin helhet. | Detta arbete sker kontinuerligt inom ramen för Sunet SOC för samtliga Sunet-tjänster |
|
4 | Myndigheten ska upprätthålla uppdaterad dokumentation över - hård- och mjukvara som används i varje enskilt informationssystem,
- beroenden mellan olika interna informationssystem respektive beroenden av informationssystem hos externa aktörer,
- vilka informationssystem som behandlar information som har behov av utökat skydd, och
- vilka informationssystem som är centrala för myndighetens förmåga att utföra sitt uppdrag.
| Detta ingår i Sunet arbete med samtliga tjänster. | Vissa av dessa krav handlar om värdering av skyddsvärd information som i samtliga fall ligger på kundens ansvar. |
Kapitel 3 |
---|
1 | Myndigheten ska, vid utveckling, anskaffning eller utkontraktering av informationssystem, identifiera krav på säkerhet avseende - uppdelning i nätverkssegment,
- filtrering av nätverkstrafik,
- behörigheter, digitala identiteter och autentisering,
- kryptering,
- säkerhetskonfigurering,
- säkerhetstester och granskningar,
- ändringshantering, uppgradering och uppdatering,
- robust och korrekt tid,
- säkerhetskopiering,
- säkerhetsloggning och tillhörande analys,
- övervakning av nätverkstrafik,
- övervakning av informationssystem inklusive säkerhetsfunktioner,
- skydd mot skadlig kod,
- skydd av utrustning,
- redundans och återställning,
- kontinuitet under fredstida krissituation samt inför och vid höjd beredskap,
- arkivering, och
- avveckling. Myndigheten ska dokumentera vilka säkerhetsåtgärder som valts för att möta respektive krav.
| Alla Sunet-tjänster designas med dessa principer som utgångspunkt. Specifikt: - Alla tjänster designas utifrån principen "defence in depth" vilket bla betyder att brandväggar och nätverksfiltrering sker på flera nivåer i en tjänst. Sunet drive anväder både OpenStack security groups såväl som hostbrandväggar som skapas automatiskt av vårt CM-system.
- Digitala identiteter hanteras mha integration med SAML. En gemensam redundant SAML2SAML-proxy baserad på SATOSA används för att ansluta såväl SWAMID som andra eID till tjänten.
- Sunet Drive erbjuder access till nextcloud API (via sk API-nycklar) som kan användas för att provisionera och de-provisionera identiteter.
- Sunet Drive har stöd för kryptering av filer. Alla hemligheter eller andra uppgifter med skyddsvärde (tex databaslösenord) lagras i krypterad form i infrastrukturen. Access sker integrerat med vårt CM-system.
- Alla Sunet system synkroniserar tid med PTS tidsservrar.
- Alla konfigurationsförändringar är spårbara och säkerställs via digitala signaturer i vårt CM.
- Säkerhetskopiering av systemets infrastruktur utom fil-data sker via Sunet BaaS.
- Loggning sker till Sunet loggningsinfrastruktur och kan på kundens initiativ även omdirigeras till kundens eget logghanteringssystem via syslog.
- Övervakning av nätverkstrafik och loggar sker som del av Sunets driftsarbete. Detta inkluderar hantering av DDoS-attacker.
- Allt säkerhetsarbete i Sunet sker med fokus på förebyggande arbete. Detta inkluderar ovärldsbevakning i syfte att fånga upp och motverka aktuella attacker. Detta arbete tillämpas på samtliga Sunet-tjänster. Sunets tjänster etableras i datacenter med högsta säkerhetsklassning.
| - Deprovisionering av identiteter sker på kundens initiativ mha API.
- Användning av netcloud inbyggda stöd för kryptering sker på initiativ från kunden.
- Konfiguration av separat logghantering ingår inte i tjänsten. Det finns planer på att etablera en loggtjänst i Sunet. För närvarande hänvisar vi till den inbyggda logghanteringen i nextcloud.
|
2 | Myndigheten ska, innan driftsättning och inför förändring som kan påverka säkerheten i informationssystemen, - genom säkerhetstester och granskning kontrollera att valda säkerhetsåtgärder är tillräckliga för att möta identifierade krav på säkerhet, och
- verifiera att det finns nödvändig dokumentation för drift och förvaltning.
| - Detta arbete sker inom ramen för Sunets interna process för överlämning till Drift.
|
|
3 | Myndighetens arbete med utveckling och tester som kan påverka informationssäkerheten i produktionsmiljön ska ske i en från produktionsmiljön avskild del av it-miljön. | - Sunet Drive har en separat test- och utvecklingsmiljö.
|
|
4 | Myndigheten ska identifiera och hantera behovet av en utbildningsmiljö som är avskild från produktionsmiljön. | - Något behov av separat utbildningsmiljö för Sunet Drive har inte identifierats.
|
|
Kapitel 4 |
---|
1 | Myndigheten ska förhindra spridning av incidenter och minska konsekvenser av angrepp genom att placera informationssystem med olika funktioner i separata nätverkssegment i sin produktionsmiljö. | - I Sunet Drive implementeras detta dels genom OpenStack security groups. Se även punkten om säkerhetsarbete ovan.
|
|
2 | Myndigheten ska filtrera nätverkstrafiken så att endast nödvändiga dataflöden förekommer mellan olika nätverkssegment. | - I Sunet Drive implementeras detta dels genom OpenStack security groups. Se även punkten om säkerhetsarbete ovan.
|
|
3 | Myndigheten ska säkerställa att endast behöriga användare och informationssystem har åtkomst till it-miljön och utforma sin behörighetshantering på ett sådant sätt att varje digital identitet inte har mer åtkomst till information och informationssystem än vad den behöver. |
| - Detta krav ligger i huvusak på kundens ansvar och möjliggörs av tekniska funktioner i nextcloud.
|
4 | Digitala identiteter som ger systemadministrativ behörighet ska endast användas för systemadministration och tilldelas restriktivt. | - Sunet delar upp ansvar för olika säkerhetskritiska administrativa åtgärder på olika grupper.
|
|
5 | Flerfaktorsautentisering ska användas vid - egen och inhyrd personals åtkomst till produktionsmiljön via externt nätverk,
- systemadministrativ åtkomst till informationssystem, och
- åtkomst till informationssystem som behandlar information som bedömts ha behov av utökat skydd.
| - Sunet CM-system kräver digitala signaturer med hårdvarubaserade multifator-tokens (MFA) för samtliga förändringar. Dessa förändringar spåras och valideras av samtliga ingående system.
- Access till nextcloud kan konfigureras så att MFA alltid krävs. Det pågår arbete med att identifiera möjliga utvecklingsprojekt som gör det enklare att styra åtkomst på en mer detaljerad nivå i nextcloud baserad på sk förtroendenivåer.
| - Kunden har möjlighet att använda antingen MFA i nextcloud, via eduID eller via egen IdP.
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|