MSBFS 2020:7
Myndigheten för samhällsskydd och
beredskaps författningssamling
1
Myndigheten för samhällsskydd och beredskaps
föreskrifter om säkerhetsåtgärder i
informationssystem för statliga myndigheter;
beslutade den 1 september 2020.
Myndigheten för samhällsskydd och beredskap föreskriver följande med
stöd av 21 § förordningen (2015:1052)1 om krisberedskap och
bevakningsansvariga myndigheters åtgärder vid höjd beredskap och beslutar
följande allmänna råd2.
Inledande bestämmelser
Tillämpningsområde
1 §
Dessa föreskrifter innehåller bestämmelser om sådana säkerhetskrav
som avses i 19 § förordningen (2015:1052) om krisberedskap och
bevakningsansvariga myndigheters åtgärder vid höjd beredskap.
2 §
Om en annan författning innehåller en bestämmelse som ställer högre
krav än kraven i dessa föreskrifter tillämpas den bestämmelsen.
Begreppsförklaring
3 § I dessa föreskrifter avses med
extern aktör
Leverantör som inte omfattas av dessa
föreskrifter, inhyrd personal eller
motsvarande.
informationssystem
Applikationer, tjänster eller andra
komponenter som hanterar information. I
begreppet ingår också nätverk och
infrastruktur.
___________________________________________________________________________
1
Förordningen senast ändrad genom SFS 2020:25.
2
Allmänna råd har en annan juridisk status än föreskrifter. De är inte tvingande. Deras funktion är
att förtydliga innebörden i lag, förordning och föreskrifter och att ge generella rekommendationer
om deras tillämpning.
Utgivare: Anna Asp, Myndigheten för samhällsskydd och beredskap
ISSN 2000-1886
MSBFS
2020:7
Utkom från trycket
den 11 september 2020
MSBFS
2020:7
2
it-miljö
Den samlade mängden informationssystem
som används för att behandla information
som myndigheten ansvarar för.
produktionsmiljö
Den del av it-miljön som myndigheten
använder för att utföra sitt uppdrag.
redundant funktion
Två eller flera, identiska eller olika,
funktioner som oberoende av varandra
uppfyller samma syfte.
systemadministrativ
behörighet
Behörighet med priviligierade rättigheter som
ger möjlighet att förändra grundläggande
funktioner och säkerhetsfunktioner i ett
informationssystem.
säkerhetsfunktion
Funktion som svarar för viss del av
säkerheten såsom behörighetskontrollsystem,
säkerhetsloggning, intrångsdetektering,
intrångsskydd eller skydd mot skadlig kod.
säkerhetsloggning
Elektronisk registrering av
säkerhetsrelaterade händelser.
Grundläggande bestämmelser
Ansvar
1 §
Myndigheten ska, för varje informationssystem, tydliggöra vilken
befattning som ansvarar för att införa, förvalta, följa upp och utvärdera
säkerhetsåtgärder (systemägare).
Omvärldsbevakning och riskbedömning
2 §
Myndigheten ska bedriva omvärldsbevakning för att underlätta
identifiering och hantering av hot mot och sårbarheter i myndighetens
informationssystem.
3 §
Myndigheten ska genomföra riskbedömning för enskilda
informationssystem och myndighetens produktionsmiljö i sin helhet.
Allmänna råd
Riskbedömningar bör även genomföras för myndighetens utvecklings-, test-
respektive utbildningsmiljö.
Myndigheten bör överväga att ge systemägaren för berört informationssystem i
uppgift att säkerställa att riskbedömning genomförs.
MSBFS
2020:7
3
Dokumentation av it-miljön
4 §
Myndigheten ska upprätthålla uppdaterad dokumentation över
1. hård- och mjukvara som används i varje enskilt informationssystem,
2. beroenden mellan olika interna informationssystem respektive
beroenden av informationssystem hos externa aktörer,
3. vilka informationssystem som behandlar information som har behov
av utökat skydd, och
4. vilka informationssystem som är centrala för myndighetens förmåga
att utföra sitt uppdrag.
Allmänna råd
Tekniskt stöd bör användas för att upprätthålla uppdaterad dokumentation.
Beroenden bör tydliggöras i en systemkarta eller motsvarande.
Information som är i behov av utökat skydd bör identifieras med stöd av
informationsklassning enligt 6 § MSBFS 2020:6.
Utveckling, anskaffning och utkontraktering
Kravställning och kontroll
1 §
Myndigheten ska, vid utveckling, anskaffning eller utkontraktering
av informationssystem, identifiera krav på säkerhet avseende
1. uppdelning i nätverkssegment,
2. filtrering av nätverkstrafik,
3. behörigheter, digitala identiteter och autentisering,
4. kryptering,
5. säkerhetskonfigurering,
6. säkerhetstester och granskningar,
7. ändringshantering, uppgradering och uppdatering,
8. robust och korrekt tid,
9. säkerhetskopiering,
10. säkerhetsloggning och tillhörande analys,
11. övervakning av nätverkstrafik,
12. övervakning av informationssystem inklusive säkerhetsfunktioner,
13. skydd mot skadlig kod,
14. skydd av utrustning,
15. redundans och återställning,
16. kontinuitet under fredstida krissituation samt inför och vid höjd
beredskap,
17. arkivering, och
18. avveckling.
Myndigheten ska dokumentera vilka säkerhetsåtgärder som valts för att
möta respektive krav.
MSBFS
2020:7
4
Allmänna råd
Vid anskaffning av informationssystem bör myndigheten överväga att välja produkter
som är certifierade genom tredjepartsgranskning mot etablerad standard.
2 §
Myndigheten ska, innan driftsättning och inför förändring som kan
påverka säkerheten i informationssystemen,
1. genom säkerhetstester och granskning kontrollera att valda
säkerhetsåtgärder är tillräckliga för att möta identifierade krav på
säkerhet, och
2. verifiera att det finns nödvändig dokumentation för drift och
förvaltning.
I de fall brister identifieras ska myndigheten riskbedöma och hantera dessa
brister innan driftsättning eller inför förändring som kan påverka säkerheten
i informationssystemen.
Allmänna råd
Nödvändig dokumentation för drift och förvaltning bör omfatta arkitektur, ingående
komponenter, konfiguration, dataflöden och övrig relevant systeminformation. Av
dokumentationen bör även framgå vem som är systemägare samt om och till vilken
extern aktör informationssystemet är utkontrakterat.
Utvecklings-, test- och utbildningsmiljöer
3 §
Myndighetens arbete med utveckling och tester som kan påverka
informationssäkerheten i produktionsmiljön ska ske i en från
produktionsmiljön avskild del av it-miljön.
4 §
Myndigheten ska identifiera och hantera behovet av en
utbildningsmiljö som är avskild från produktionsmiljön.
Drift och förvaltning
Uppdelning i nätverkssegment och filtrering av
nätverkstrafik
1 §
Myndigheten ska förhindra spridning av incidenter och minska
konsekvenser av angrepp genom att placera informationssystem med olika
funktioner i separata nätverkssegment i sin produktionsmiljö.
MSBFS
2020:7
5
Allmänna råd
Följande funktioner i produktionsmiljön bör placeras i separata nätverkssegment:
1. Klienter för användare.
2. Klienter för administration.
3. Servrar.
4. Centrala systemsäkerhetsfunktioner i form av behörighetskontrollsystem,
säkerhetsloggning, filtrering och liknande.
5. Centrala stödfunktioner i form av skrivare, scanner och liknande.
6. Trådlösa nätverk.
7. Gästnätverk.
8. Externt åtkomliga tjänster.
9. Informationssystem som sammankopplas med informationssystem hos
extern aktör.
10. Industriella informations- och styrsystem.
11. System som innehåller sårbarheter som inte kan hanteras.
2 §
Myndigheten ska filtrera nätverkstrafiken så att endast nödvändiga
dataflöden förekommer mellan olika nätverkssegment.
Behörigheter, digitala identiteter och autentisering
3 §
Myndigheten ska säkerställa att endast behöriga användare och
informationssystem har åtkomst till it-miljön och utforma sin
behörighetshantering på ett sådant sätt att varje digital identitet inte har mer
åtkomst till information och informationssystem än vad den behöver.
Allmänna råd
Behörighetshanteringen bör säkerställa att
1. digitala identiteter i produktionsmiljön är unika,
2. digitala identiteter och behörigheter är godkända innan de kopplas till en
användare eller ett informationssystem,
3. tilldelade behörigheter är tidsbegränsade och kontrolleras en gång per år,
4. behovet av att använda olika kataloger för digitala identiteter och
behörigheter är identifierat och hanterat, och
5. olika digitala identiteter används vid åtkomst till utvecklings- och testmiljö
respektive produktionsmiljö.
En digital identitet bör endast användas av en individ.
Digitala identiteter och behörigheter som ger tillgång till externt åtkomliga
informationssystem samt utvecklings-, test- och utbildningsmiljö bör hanteras i olika
kataloger skilda från kataloger för produktionsmiljön.
4 §
Digitala identiteter som ger systemadministrativ behörighet ska
endast användas för systemadministration och tilldelas restriktivt.
Allmänna råd
En digital identitet med systemadministrativ behörighet bör endast ges åtkomst till en
begränsad del av produktionsmiljön.
MSBFS
2020:7
6
5 §
Flerfaktorsautentisering ska användas vid
1. egen och inhyrd personals åtkomst till produktionsmiljön via externt
nätverk,
2. systemadministrativ åtkomst till informationssystem, och
3. åtkomst till informationssystem som behandlar information som
bedömts ha behov av utökat skydd.
6 §
Myndigheten ska ha interna regler för hantering av
autentiseringsuppgifter med krav på
1. längd och komplexitet,
2. när byte ska ske,
3. hur distribution ska ske, och
4. hur autentiseringsuppgifterna ska skyddas.
Allmänna råd
Tekniska system bör användas för att stödja efterlevnaden av reglerna avseende
längd, komplexitet och byte.
Kryptering
7 §
Myndigheten ska identifiera och hantera behovet av kryptering för att
skydda information mot obehörig åtkomst och obehörig förändring vid
överföring och lagring.
Allmänna råd
Kryptering bör användas för att skydda
1. säkerhetsloggar mot obehörig åtkomst och obehörig förändring,
2. autentiseringsuppgifter mot obehörig åtkomst och obehörig förändring, och
3. information i behov av utökat skydd mot obehörig åtkomst och obehörig
förändring vid överföring till informationssystem utanför myndighetens
kontroll.
..Myndigheten bör identifiera behovet av att kryptera e-post på transportlagret i
enlighet med OSI-modellen (Information technology - Open Systems Interconnection -
Basic Reference Model: The Basic Model, ISO/IEC 7498-1) eller motsvarande.
Myndigheten bör också införa möjlighet att använda sådan kryptering vid överföring av
e-post till och från andra statliga myndigheter.
Myndigheten bör införa möjlighet att verifiera myndigheten som avsändare respektive
mottagare av e-post.
8 §
Myndigheten ska använda Domain Name System Security
Extensions (DNSSEC) avseende samtliga domännamn som myndigheten
registrerat i domännamnssystemet (DNS).
9 §
Myndigheten ska ha interna regler för kryptering med krav på
1. hantering av krypteringsnycklar,
2. godkännande och förvaltning av krypteringslösningar, och
3. hur krypteringsalgoritmer, krypteringsprotokoll och nyckellängder ska
väljas.
MSBFS
2020:7
7
Säkerhetskonfigurering
10 § Myndigheten ska, för att skydda informationssystem mot obehörig
åtkomst,
1. byta ut förinställda autentiseringsuppgifter,
2. stänga av, ta bort eller blockera systemfunktioner som inte behövs,
och
3. i övrigt anpassa konfigurationer för att uppnå avsedd säkerhet.
Säkerhetstester och granskningar
11 § Myndigheten ska säkerställa att säkerhetstester och granskningar
möjliggör identifiering av sårbarheter. Myndigheten ska ha interna regler för
hur kontroll görs av att
1. informationssystemen är uppdaterade,
2. valda säkerhetsåtgärder är införda på korrekt sätt, och
3. genomförda säkerhetskonfigurationer är tillräckliga.
Allmänna råd
Automatiserade säkerhetstester och manuella granskningar bör kombineras vid
kontroll av säkerheten i informationssystemen.
Ändringshantering, uppgradering och uppdatering
12 § Myndigheten ska säkerställa att förändringar i informationssystem
genomförs på ett strukturerat och spårbart sätt. Myndigheten ska ha interna
regler för ändringshantering med krav på
1. vilka kriterier som ska användas för att godkänna hård- och mjukvara
innan installation eller användning,
2. hur risker för incidenter och avvikelser i samband med förändring i
produktionsmiljön ska identifieras och hanteras,
3. hur mjukvara, utan onödigt dröjsmål, ska uppdateras till senaste
version,
4. hur utbyte eller uppgradering av hård- och mjukvara som inte längre
uppdateras eller stöds av leverantören ska säkerställas utan onödigt
dröjsmål, och
5. hur risker ska hanteras när uppdatering eller uppgradering enligt punkt
3 och 4 inte kan genomföras.
Allmänna råd
Säkerhetsuppdateringar bör införas skyndsamt och behovet av att automatisera
uppdateringar bör övervägas.
För att undvika störning vid förändring bör myndigheten genomföra tester och ta fram
en plan för återställning innan förändringen genomförs.
De interna reglerna bör tydliggöra hur risker för incidenter och avvikelser i samband
med förändringar i utvecklings-, test- och utbildningsmiljö identifieras och hanteras.
MSBFS
2020:7
8
Korrekt och spårbar tid
13 § Myndigheten ska använda robust och korrekt tid spårbar till den
svenska tillämpningen av koordinerad universell tid, UTC(SP), i sin
produktionsmiljö.
Allmänna råd
..Myndigheten bör använda tidstjänsten Swedish Distributed Time Service på
www.ntp.se.
Behovet av att använda robust och korrekt tid spårbar till den svenska tillämpningen
av koordinerad universell tid, UTC (SP) i utvecklings-, test- och utbildningsmiljö bör
identifieras och hanteras.
Säkerhetskopiering
14 § Myndigheten ska, för att kunna återställa information som förlorats
eller förvanskats, regelbundet säkerhetskopiera sin information.
Allmänna råd
Myndigheten bör
1. en gång per dygn säkerhetskopiera information som behövs för
myndighetens förmåga att utföra sitt uppdrag, och
2. en gång per år, eller vid större förändringar av produktionsmiljön, verifiera
förmågan att, inom för myndigheten godtagbar tidsperiod, återställa
information från säkerhetskopior.
Vid bedömning av säkerhetskopieringens omfattning och intervall, bör programvara,
konfiguration respektive information hanteras separat.
Behovet av säkerhetskopiering och förmåga till återställning av information i
utvecklings-, test- och utbildningsmiljö bör identifieras och hanteras.
15 § Säkerhetskopior ska förvaras skilda från produktionsmiljön och
skyddas mot skada, obehörig åtkomst och obehörig förändring.
Säkerhetsloggning och övervakning
16 § Myndigheten ska, för att säkerställa spårbarhet i informationssystem,
logga följande säkerhetsrelaterade händelser:
1. Obehörig åtkomst och försök till obehörig åtkomst till it-miljö och
enskilda informationssystem.
2. Förändringar av konfigurationer och säkerhetsfunktioner som
förutsätter priviligierade rättigheter.
3. Förändringar av behörighet för användare och informationssystem.
4. Åtkomst till information som bedömts ha behov av utökat skydd.
MSBFS
2020:7
9
17 § Myndigheten ska analysera innehållet i säkerhetsloggarna för att
upptäcka och hantera incidenter och avvikelser. Säkerhetsloggarna ska
1. möjliggöra utredning av intrång, tekniska fel och brister i säkerheten,
2. utformas på ett sätt som möjliggör jämförbarhet mellan olika loggar,
och
3. vara tillgängliga för analys under fastställd bevarandetid.
Myndigheten ska dokumentera hur säkerhetsloggarna ska användas samt var
loggningsuppgifter hämtas och lagras, hur de skyddas och hur länge de ska
bevaras.
Allmänna råd
En säkerhetslogg bör innehålla uppgift om vem eller vad som agerat, vad som har
skett och vid vilken tidpunkt.
För att skapa jämförbarhet bör myndigheten använda myndighetens tidstjänst för
samtliga säkerhetsloggar.
Säkerhetsloggar bör samlas i ett för ändamålet avsett informationssystem.
18 § Myndigheten ska identifiera och hantera behovet av
intrångsdetektering och intrångsskydd.
Allmänna råd
Behovet av intrångsdetektering och intrångsskydd bör bedömas för enskilda
informationssystem och för myndighetens produktionsmiljö i sin helhet. Behovet bör
även bedömas för myndighetens utvecklings- test- och utbildningsmiljö.
19 § Myndigheten ska identifiera och hantera behovet av
realtidsövervakning av informationssystem.
Skydd mot skadlig kod
20 § Myndigheten ska använda mjukvara som ger skydd mot skadlig kod.
För informationssystem där sådan mjukvara inte finns tillgänglig ska andra
åtgärder vidtas som ger motsvarande skydd.
Skydd av utrustning
21 § Myndigheten ska skydda den utrustning som informationssystem
består av mot skador och obehörig åtkomst, genom att
1. placera centrala servrar och central nätverksutrustning i särskilda it-
utrymmen,
2. tilldela behörighet till särskilda it-utrymmen restriktivt,
3. identifiera och hantera behovet av övervakning och larm i särskilda it-
utrymmen,
4. registrera tillträde till särskilda it-utrymmen på individnivå och spara
dokumentationen under fastställd bevarandetid, och
5. ha interna regler för hur mobil utrustning ska skyddas.
MSBFS
2020:7
10
Redundans och återställning
22 § Myndigheten ska, för att säkerställa tillgänglighet till information
och informationssystem vid incidenter och avvikelser,
1. ha interna regler för återställning av produktionsmiljön i sin helhet och
för enskilda informationssystem,
2. öva återställning av informationssystem som är centrala för
myndighetens förmåga att utföra sitt uppdrag, och
3. placera centrala servrar och central nätverksutrustning som skapar
redundant funktion i olika särskilda it-utrymmen.
Allmänna råd
Övning av återställning bör ske regelbundet och utifrån identifierat behov av
tillgänglighet.
För myndigheter med ett särskilt ansvar för
krisberedskapen
1 §
De myndigheter som har ett särskilt ansvar för krisberedskapen enligt
10 § förordning (2015:1052) om krisberedskap och bevakningsansvariga
myndigheters åtgärder vid höjd beredskap ska, utöver vad som framgår av
kapitel 2 – 4 i dessa föreskrifter,
1. använda flerfaktorsautentisering och realtidsövervakning för
informationssystem som är centrala för myndighetens förmåga att
utföra sitt uppdrag, och
2. en gång per kvartal verifiera förmågan till återställning av dessa
system.
2 §
Myndigheten ska, en gång per kvartal, kontrollera funktionen hos
informationssystem som ska användas för informationsdelning under
fredstida krissituationer.
Allmänna råd
..Myndigheten bör använda Swedish Government Secure Intranet (SGSI) och
Radiokommunikation för effektiv ledning (RAKEL) som stöd för informationsdelning
under fredstida krissituationer.
Undantag
1 §
Myndigheten för samhällsskydd och beredskap får i enskilda fall och
om det finns särskilda skäl medge undantag från tillämpningen av dessa
föreskrifter.
MSBFS
2020:7
11
______________
Ikraftträdande och övergångsbestämmelser
Dessa föreskrifter träder i kraft den 1 oktober 2020.
Åtgärder i 4 kap 1 § (nätverkssegmentering), 5 § (flerfaktorsautenticering),
19 § (realtidsövervakning), 21 § (skydd av utrustning), och 5 kapitlet 1 § ska
vara införda senast den 1 oktober 2021.
Myndigheten för samhällsskydd och beredskap
DAN ELIASSON
Helena Andersson
(Avdelningen för cybersäkerhet och
säker kommunikation)
Beställningsadress:
Norstedts Juridik, 106 47 Stockholm
Telefon: 08-598 191 90
E-post: kundservice@nj.se
Webbadress: www.nj.se/offentligapublikationer
Beställningsnummer: 19120-07