På denna sida dokumenterar vi hur Sunet Drive uppfyller MSBs riktlinjer för säkerhetsåtgärder i informationssystem för statliga myndigheter.
Paragraf | MSBFS 2020:7 Text | Sunet | Kundens eget arbete | Referenser |
---|---|---|---|---|
Kapitel 2 | ||||
2 | Myndigheten ska bedriva omvärldsbevakning för att underlätta identifiering och hantering av hot mot och sårbarheter i myndighetens informationssystem. | Detta arbete sker kontinuerligt inom ramen för Sunet SOC för samtliga Sunet-tjänster | Detta måste sker för komponenter där kunden tar ansvar för drift och underhåll, t.ex. SAML-inloggningen eller node-specifika anpassningar. | |
3 | Myndigheten ska genomföra riskbedömning för enskilda informationssystem och myndighetens produktionsmiljö i sin helhet. | Detta arbete sker kontinuerligt inom ramen för Sunet SOC för samtliga Sunet-tjänster | Kunden kan genomföra en riskbedömning och avstämmer det med sina processer. | |
4 | Myndigheten ska upprätthålla uppdaterad dokumentation över
| Detta ingår i Sunet arbete med samtliga tjänster. | Vissa av dessa krav handlar om värdering av skyddsvärd information som i samtliga fall ligger på kundens ansvar. | |
Kapitel 3 | ||||
1 | Myndigheten ska, vid utveckling, anskaffning eller utkontraktering av informationssystem, identifiera krav på säkerhet avseende
| Alla Sunet-tjänster designas med dessa principer som utgångspunkt. Specifikt:
|
| https://docs.nextcloud.com/server/latest/admin_manual/configuration_server/logging_configuration.html |
2 | Myndigheten ska, innan driftsättning och inför förändring som kan påverka säkerheten i informationssystemen,
|
|
| |
3 | Myndighetens arbete med utveckling och tester som kan påverka informationssäkerheten i produktionsmiljön ska ske i en från produktionsmiljön avskild del av it-miljön. |
| ||
4 | Myndigheten ska identifiera och hantera behovet av en utbildningsmiljö som är avskild från produktionsmiljön. |
| ||
Kapitel 4 | ||||
1 | Myndigheten ska förhindra spridning av incidenter och minska konsekvenser av angrepp genom att placera informationssystem med olika funktioner i separata nätverkssegment i sin produktionsmiljö. |
| ||
2 | Myndigheten ska filtrera nätverkstrafiken så att endast nödvändiga dataflöden förekommer mellan olika nätverkssegment. |
| ||
3 | Myndigheten ska säkerställa att endast behöriga användare och informationssystem har åtkomst till it-miljön och utforma sin behörighetshantering på ett sådant sätt att varje digital identitet inte har mer åtkomst till information och informationssystem än vad den behöver. |
| https://docs.nextcloud.com/server/latest/admin_manual/configuration_user/index.html | |
4 | Digitala identiteter som ger systemadministrativ behörighet ska endast användas för systemadministration och tilldelas restriktivt. |
| ||
5 | Flerfaktorsautentisering ska användas vid
|
|
| |
6 | Myndigheten ska ha interna regler för hantering av autentiseringsuppgifter med krav på
|
|
|
| |||
7 | Myndigheten ska identifiera och hantera behovet av kryptering för att skydda information mot obehörig åtkomst och obehörig förändring vid överföring och lagring. |
|
| https://docs.nextcloud.com/server/latest/admin_manual/configuration_files/encryption_configuration.html |
8 | Myndigheten ska använda Domain Name System Security Extensions (DNSSEC) avseende samtliga domännamn som myndigheten registrerat i domännamnssystemet (DNS). |
| ||
9 | Myndigheten ska ha interna regler för kryptering med krav på
|
|
| https://docs.nextcloud.com/server/latest/admin_manual/configuration_files/encryption_configuration.html |
10 | Myndigheten ska, för att skydda informationssystem mot obehörig åtkomst,
|
| ||
11 | Myndigheten ska säkerställa att säkerhetstester och granskningar möjliggör identifiering av sårbarheter. Myndigheten ska ha interna regler för hur kontroll görs av att
|
| ||
12 | Myndigheten ska säkerställa att förändringar i informationssystem
|
| ||
13 | Myndigheten ska använda robust och korrekt tid spårbar till den svenska tillämpningen av koordinerad universell tid, UTC(SP), i sin produktionsmiljö. |
| ||
14 | Myndigheten ska, för att kunna återställa information som förlorats eller förvanskats, regelbundet säkerhetskopiera sin information. |
|
| |
15 | Säkerhetskopior ska förvaras skilda från produktionsmiljön och skyddas mot skada, obehörig åtkomst och obehörig förändring. |
| ||
16 | Myndigheten ska, för att säkerställa spårbarhet i informationssystem,
|
|
| https://docs.nextcloud.com/server/latest/admin_manual/configuration_server/logging_configuration.html |
17 | Myndigheten ska analysera innehållet i säkerhetsloggarna för att upptäcka och hantera incidenter och avvikelser. Säkerhetsloggarna ska
Myndigheten ska dokumentera hur säkerhetsloggarna ska användas samt var loggningsuppgifter hämtas och lagras, hur de skyddas och hur länge de ska bevaras. |
| ||
18 | Myndigheten ska identifiera och hantera behovet av intrångsdetektering och intrångsskydd. |
| https://docs.nextcloud.com/server/latest/admin_manual/configuration_server/bruteforce_configuration.html | |
19 | Myndigheten ska identifiera och hantera behovet av realtidsövervakning av informationssystem. |
| ||
20 | Myndigheten ska använda mjukvara som ger skydd mot skadlig kod. För informationssystem där sådan mjukvara inte finns tillgänglig ska andra åtgärder vidtas som ger motsvarande skydd. |
|
| https://docs.nextcloud.com/server/latest/admin_manual/configuration_server/antivirus_configuration.html |
21 | Myndigheten ska skydda den utrustning som informationssystem
|
| ||
22 | Myndigheten ska, för att säkerställa tillgänglighet till information
|
| ||
Kapitel 5 | ||||
---|---|---|---|---|
1 | De myndigheter som har ett särskilt ansvar för krisberedskapen enligt 10 § förordning (2015:1052) om krisberedskap och bevakningsansvariga myndigheters åtgärder vid höjd beredskap ska, utöver vad som framgår av kapitel 2 – 4 i dessa föreskrifter,
|
| ||
2 | Myndigheten ska, en gång per kvartal, kontrollera funktionen hos informationssystem som ska användas för informationsdelning under fredstida krissituationer. |
|