IT-INFORMATIONSSÄKERHETSPOLICY

 

1 BAKGRUND

Fastum AB, är leverantör av förvaltningstjänster för att kunna leverera våra tjänster krävs att vi tillhandahåller olika teknikplattformar både andras och egna till Bostadsrättsföreningar ("Fastum"), har beslutat att upprätta, genomföra och underhålla en adekvat och dokumenterad informationssäkerhetspolicy. Informationssäkerhetspolicyn ska omfatta sådana förfaranden som är nödvändiga för att identifiera och genomföra både administrativa och tekniska skyddsåtgärder för att skydda Fastum: s och dess kunders känsliga data och infrastruktur.

 

2 OMFATTNING

Fastums informationssäkerhetspolicy omfattar risker som företaget står inför såväl teknisk som organisatoriska. Risker med olika arbetsställen samt arbete utanför ordinarie arbetsställen.

 

3 cyberhot

Cyberhot ses som särskilt allvarliga, listan nedan är ej komplett:

• Förlust av kontroll över IP-adresser (Internet Protokoll), som är binära uppsättningar av nummer som identifierar enheter, t.ex. servrar, i ett nätverk.

• Förlust av kritisk data eller data läckage - oavsett om det är relaterat till en oavsiktlig eller avsiktlig handling.

• Socialteknik, där användarna manipuleras för att avslöja konfidentiell information.

• Spjutfiske ett e-postbedrägeri som liknar nätfiske, men brukar rikta in specifika organisationer och kommer från vad som verkar vara en pålitlig källa.

• En domän-i-mitten attack, där ett system komprometteras och krypterad information omdirigeras till en hackers server och stulits innan den skickas tillbaka till legitima användare.

 

4 ROLLER OCH ANSVAR

4.1 Informationssäkerhet Ansvarig

Fastum har utsett en IT-säkerhetsansvarig för att övervaka alla pågående aktiviteter i samband med utveckling, genomförande och underhåll av informationssäkerhetspolicyn.

 

4.2 Anställdas ansvar

Det är viktigt att vara medveten om att känsliga data eventuellt kan gå förlorade eller äventyras när de flyttas utanför Fastums nätverk. Alla anställda på Fastum hanterar data, informationssäkerheten är beroende av den enskilda anställd på Fastum. Alla anställda är ansvariga för säkerheten för all data som kan komma till dem i vilket format som helst. Varje anställd ansvarar för att följa denna policy, och varje anställd som blir medveten om eventuella brott eller misstänkt brott mot denna policy måste informera IT-säkerhetsansvarig.

 

5 GENOMFÖRANDE

5.1 Identifiering och autentisering

5.1.1 Arbetsstationens användarlogg ID

Alla anställda har unika inloggnings-ID och lösenord. Ett åtkomstkontrollsystem identifierar varje användare och förhindrar obehöriga användare tillträde till datorer.

Säkerhetskrav för användaridentifiering är:

• Varje användare ska tilldelas en unik identifierare.

• Användarna ska ansvara för sin identifierare och utan dröjsmål meddela om hen har tappat bort sin identifierare eller att den har spridits till andra (se 6.2).

Inloggningsidet är låst efter högst tre (3) misslyckade inloggningsförsök som då kräva att lösenordet återställs av den behöriga administratören.

Inloggning till system som hanterar personuppgifter som anses känsliga eller känsliga personuppgifter skall vara av typen 2FA.

 

5.1.2 Lösenord

Användar-ID och lösenord krävs för att få tillgång till alla nätverk och arbetsstationer. Alla lösenord måste överensstämma med begränsningar och begränsningar som är utformade för att göra lösenordet svårt att gissa. Användare måste välja ett lösenord för att få tillgång till all elektronisk information på arbetsstationsnivå. När lösenord återställs kommer användaren automatiskt att uppmanas att manuellt ändra det tilldelade lösenordet.

Lösenorden måste överensstämma med strikta regler om lösenordslängd, innehållskrav, ändringsfrekvens och återanvändning.

 

5.2 Elektronisk kommunikation, e-post, internetanvändning

Fastumanställda kommunicerar internt och externt med hjälp av ett antal onlineverktyg. Ytterligare verktyg används för fildelning och fillagring. Alla sådana verktyg tillhandahålls och upprätthålls på avtalsbasis, avtalen innehåller utöver tjänstebeskrivning datasäkerhetspolicy, Personuppgiftsbiträdesavtal.

Nuvarande leverantörer av kommunikations- och fildelnings plattformar till Fastum Direkt är:
Quiculum AB Programmering och utvecklig Org. Nummer: 556903-0694
Cygate AB (Ipeer) drift och lagring Org. Nummer: 556549-8952

Fastumpolicyn anger att när datafiler som innehåller känslig / personlig information utbyts i första hand via ärendehanteringssystem om det sker via e-post - externt såväl som internt - ska dessa filer krypteras. Krypteringsnycklar / lösenord ska kommuniceras separat, med hjälp av textmeddelanden.

 

5.3 Flyttbara medier

Användning av USB-enheter är begränsad till sådana enheter som köpts av och för Fastum och kan hämtas från IT-säkerhetsansvarig. Att använda externa USB-enheter på Fastumdatorer är strängt förbjudet.

 

5.4 Elektronisk utrustning, data och media förstöring

Det är viktigt att se till att känsliga data raderas, förstörs eller som annars är oläsliga på utrustning i slutet av livet. Om enheten ska kastas eller återlämnas kan IT-säkerhetsansvarig formatera enheten.

 

6 Genomförand

6.1 Information om systemprocesser

Fastställa processen för att regelbundet genomföra en operativ granskning av systemaktivitet inklusive, men inte begränsat till, användarkonton, systemåtkomst, filåtkomst, säkerhetsincidenter, revisionsloggar och åtkomstrapporter. Fastum ska regelbundet genomföra en intern granskning av register över systemaktivitet för att minimera risken för säkerhetsöverträdelser och för att minimera eventuella konsekvenser av eventuella brott.

 

6.2 Loggar och rapporterar säkerhetshändelser

Det är varje anställdas ansvar för Fastum att rapportera upplevda säkerhetsincidenter kontinuerligt till IT-säkerhetsansvarig. De ska formellt rapportera alla säkerhetsincidenter eller överträdelser av informationssäkerhetspolicy omedelbart till IT-säkerhetsansvarig.

Rapporteringsvägar för säkerhetsincidenter

• Incidentformulär på intranät

• Vid akut incident ring +46 76 536 44 01

Rapporter om säkerhetshändelser ska eskaleras så fort som möjligt. Varje incident analyseras för att avgöra om förändringar i befintlig säkerhetsstruktur är nödvändiga. Alla rapporterade händelser är inloggade och de korrigerade åtgärderna anges. Det är IT-säkerhetsansvarigs ansvar att ge utbildning om eventuella processförändringar som kan krävas som en följd av undersökningen av en incident.

Säkerhetsöverträdelser ska omedelbart undersökas. Om misstankar misstänks ska myndigheten omedelbart kontakta de behöriga brottsbekämpande myndigheterna.

 

6.3 Säkerhetsmedvetenhetsträning

Att skapa en säkerhetsmedvetenhet och utbildningsprogram för alla anställda i Fastum.

Alla anställda ska få lämplig utbildning om Fastum säkerhetspolicyer och förfaranden. Sådan utbildning ska fortlöpande ges till alla nya anställda och ska upprepas årligen för alla anställda.

 

6.4 Leverantörens noggrannhet

Alla tredje parts leverantörer som kommer att få någon form av data eller tillgång till Fastum s informationssystem ska utvärderas av IT-säkerhetsansvarig på årsbasis.

Sådan utvärdering ska omfatta följande punkter:

• Finns det skrivna, uppdaterade informationssäkerhetsplaner och processer?

• Finns det en skriftlig, uppdaterad informations- / datasäkerhetspolicy?

• Har det varit offentligt känt eller på annat sätt kommunicerat brott eller annan typ av incident under det gångna året?

• Om så är fallet, vilka ändringar har gjorts?

• Var lagras data (vilket land, som kontrollerar det, vilken typ av plats)?

• Har leverantören en tydlig plan för GDPR

 

För samtliga leverantörer skall det finnas

• Ett huvudavtal

• Ett personuppgiftesbiträdes avtal skall finnas om personuppgifter behandlas.

Antaget av bolagets styrelse den 31 maj 2018