GENERELL SÄKERHETSINSTRUKTION FÖR FALKÖPINGS KOMMUNS ADMINISTRATIVA NÄTVERK

Transkript

1 GENERELL SÄKERHETSINSTRUKTION FÖR FALKÖPINGS KOMMUNS ADMINISTRATIVA NÄTVERK 1 INLEDNING BEHÖRIGHET TILLDELNING OCH UPPFÖLJNING LOGGNING DATAVIRUS INFORMATIONSKLASSNING SÄKERHETSKOPIERING DATAMEDIA DATAKOMMUNIKATION DRIFTSÄKERHET INCIDENTER PROGRAM ARBETSPLATSEN INFORMATION OCH UTBILDNING Reviderad

2 1 INLEDNING Denna säkerhetsinstruktion innehåller de generella regler för drift och informationshantering som gäller för Falköpings kommuns administrativa nätverk. Med begreppet nätverk avses i detta dokument såväl nätverkets infrastruktur, tekniska plattformar, nätverksoperativ som brandvägg. Säkerhetsinstruktionen omfattar även de generella resurserna i nätverket såsom Internet, e-post och kontorsprogram. Inloggning i nätverket är, så gott som alltid, en förutsättning för att kunna använda de verksamhetsspecifika datasystemen. På det sättet garanterar dessa regler samtidigt en grundläggande säkerhetsnivå för samtliga datasystem i nätverket. Vissa datasystem kan dock kräva en högre säkerhetsnivå än vad som återfinns i denna säkerhetsinstruktion. För dessa datasystem skall systemägaren ansvara för att det tas fram en särskild systemsäkerhetsplan och särskilda säkerhetsinstruktioner. 2 BEHÖRIGHET tilldelning och uppföljning av behörighet från initialt beslut om behörighet till att denna upphör att användarnas behörighet enbart omfattar åtkomst av nödvändiga nätverksresurser vilket underlättas genom att arbeta med olika behörighetsprofiler vem som har rätt att besluta om behörighet att beslut om behörighet skall dokumenteras och innehålla alla uppgifter som är nödvändiga för att behörigheten skall kunna läggas in i nätverket att det skall finnas en fastställd organisation för behörighetsadministration för att säkerställa att det endast är beslutade behörigheter som läggs in i nätverket att varje användare skall ha en unik användaridentitet och ett lösenord som endast denne känner till och kan ändra att ett lösenord skall bestå av minst 6 tecken och vara konstruerat så att det inte lätt går att avslöja att användarna ska tvingas byta lösenord enligt de intervall som systemägaren beslutar externa konsulters behörighet i nätverket 2.1 Tilldelning och uppföljning Behörighetskontrollsystemet (BKS) skall vara så konstruerade att det går att styra åtkomsten till olika datasystem och på nätverket lagrad information. Behörigheten till information och datasystem skall sedan kombineras så att varje sådan kombination motsvarar ett för verksamheten naturligt avgränsat arbetsområde, en profil. En medarbetare som ges behörighet till det administrativa nätverket skall tilldelas åtkomst till ett eget e- post konto, Internet och Office-paket. För övriga system gäller att endast de som har behov av ett systems information i sitt arbete skall tilldelas behörighet till systemet. Profiler skall inte, annat än vid mycket starka skäl, specialdesignas för en användare. Skälen för att tilldela en person en särskild profil skall vara dokumenterade på behörighetsbeslutet. Anledningen till att undvika specialdesignade profiler är att underlätta såväl som att upprätthålla en effektiv behörighetsadministration som att övervaka nätverket via loggning. Reviderad Sida 1

3 Tillgången till det administrativa nätverket regleras via tre olika behörighetsprofiler: 1. Fullständig administratörsbehörighet Denna behörighet innehas enbart av två systemtekniker på IT-avdelningen och ger fullständig behörighet till nätverkets samtliga resurser (Root-behörighet i NDS). Behörigheten används endast vid de tillfällen då fullständiga administratörsrättigheter erfordras. Lösenordet till detta konto skall förvaras i förseglat kuvert i bankfack. Endast ovan nämnda systemtekniker skall ha kännedom om lösenordet. 2. Begränsad administratörsbehörighet Denna behörighet innehas av de systemtekniker på IT-avdelningen som arbetar med det administrativa nätverket. Behörigheten ger tillräckliga administratörsbehörigheter för att utföra det dagliga arbete i nätverket. 3. Lösenordsadministratör Denna behörighet ger, förutom den allmänna användarbehörigheten, även en möjlighet att administrera lösenorden för en begränsad grupp användare. Tilldelas för ändamålet utbildade systemansvariga. 4. Allmän användarbehörighet Är den normala behörigheten som tilldelas användare i nätverket. Denna behörighet ger tillgång till ett eget hemkonto, verksamhetsgemensamma mappar, samt MS Office, E-post, och Internet. Efter beslut från respektive systemägare ges också tillgång till de program som den anställde behöver för att utföra sina arbetsuppgifter. När en medarbetare flyttar till ett annat arbetsområde skall profilen också ändras. Det innebär att såväl utvidgning som inskränkning av behörighet kan komma ifråga. Slutar en medarbetare sin anställning eller planeras vara borta från arbetet mer än en månad, skall dennes användar-id och hemkonto plockas bort eller göras inaktivt under motsvarande tid. Det åligger den anställdes chef att meddela systemägaren om anställningsförhållandena ändras. Systemägaren skall tillsammans med systemtekniker regelbundet (och minst en gång per år) kontrollera om de behörigheter som finns till systemet överensstämmer med befintlig personals behov och funktioner i verksamheten. Beslut om behörighet Beslut om behörighet till det administrativa nätverket och dess generella resurser tas av IT-chef eller av denne utsedd systemtekniker. Beslut om behörighet till enskilda verksamhetssystem tas av respektive systemägare. Ansökan om behörighet skall dokumenteras skriftligt på blankett Behörighetsregistrering och lämnas till IT-avdelningen. Den anställdes chef ansvarar för att namn och övriga uppgifter är korrekta. Behörighetsadministration Beslut om behörighet fattas enligt ovan. Av IT-chef utsedd systemtekniker lägger därefter upp behörigheten till nätverket. I händelse av att denna ej är tillgänglig samma dag lämnas beslutet till annan systemtekniker på IT-avdelningens support. Motsvarande gäller när behörigheter skall ändras eller tas bort. Hanteringen från ansökan till praktisk tilldelning skall ske skyndsamt, dvs. inom högst tre arbetsdagar. Obs! Endast behörigheter som beslutats av systemägaren får läggas upp. Olika sätt att kringgå behörighetssystemet får ej användas. Reviderad Sida 2

4 Användaridentitet Endast om synnerliga skäl föreligger, får en medarbetare ha tillgång till mer än en användaridentitet och ett konto i nätverket. Ett konto får inte, utan synnerliga skäl, medge inloggning från mer än två arbetsstation åt gången. Medarbetarens användaridentitet skall om möjligt vara densamma för kommunens alla system och vara konstruerade efter samma princip: förnamnet samt den första bokstaven i efternamnet Användaridentiteten skall bestå av max. åtta tecken. Lösenord Initialt lösenord Första gången en medarbetare loggar in skall denne tilldelas ett unikt initialt lösenord som han får av ITavdelningens systemtekniker. Detta lösenord skall bara kunna användas för att komma in i nätverket och där byta det till ett personligt lösenord. Härigenom säkerställs att det är bara är medarbetaren som ensam känner till lösenordet. Lösenordet skall bestå av minst 6 tecken Behörighetssystemet skall vara så konfigurerat att endast lösenord som består av minst 6 alfanumeriska tecken godtas. Lösenordet skall bytas Lösenordet skall endast vara giltigt under en period av högst 90 dagar. Därefter skall behörighetssystemet uppmana användaren att senast inom fem inloggningar byta lösenord. Om så inte sker skall inloggning ej tillåtas förrän bytet av lösenord skett. Tidigare använda lösenord Tidigare använda lösenord kan ej återanvändas. I övrigt sker ingen kontroll av utseendet på de lösenord som skapas. Antal inloggningsförsök Om en användare misslyckats tre gånger i rad med att ange korrekt lösenord vid inloggning skall hans användar-id låsas under 30 minuter. Användaren skall därvid kontakta IT-avdelningens systemtekniker och lämna en förklaring. Om systemtekniker inte kan identifiera den som ringer upp genom personlig kännedom skall systemteknikern kontrollera identiteten t.ex. genom motringning eller kontakt med dennes arbetsledare. Därefter skall systemteknikern åter aktivera aktuellt användar-id och tilldela det ett nytt initialt lösenord. Externa konsulters behörighet i nätverket Konsulter som behöver tillgång till nätverket för installation och/eller service skall ha särskilda konton med endast de rättigheter som behövs för att utföra de aktuella åtgärderna. Kontot får endast vara aktivt under den tid arbetet utförs. Reviderad Sida 3

5 3 LOGGNING vilka händelser som skall registreras i nätverkets säkerhetsloggar, vilket minst skall omfatta misslyckade inloggningsförsök och försök till intrång i nätverket via brandväggen. hur ofta analys av säkerhetsloggar skall ske, vem som ansvarar för detta samt hur säkerhetsloggar skall förvaras. hur länge säkerhetsloggar skall sparas Registrering skall ske av upptäckbara försök att otillbörligt skaffa sig tillgång till nätverket och när detta skett. Detta skall ske genom registrering av misslyckade inloggningsförsök i nätverket samt genom särskild programvara för detektering och registrering av intrångsförsök via brandväggen. Av IT-chef utsedda systemtekniker ansvarar för att analysera och granska säkerhetsloggarna löpande. Resultatet skall avrapporteras till systemägaren regelbundet och minst en gång per månaden. Säkerhetsloggarna skall sparas minst 1 månad. 4 DATAVIRUS vilka skyddsåtgärder som finns och regler för virusskydd rätten att installera program, nya versioner av program eller import av externa filer För att skydda nätverket och dess datasystem mot virus och liknande angrepp skall nätverket och dess arbetsplatser vara utrustade med virusdetekteringsprogram. Avtal skall finnas med möjlighet till daglig uppdatering av viruslistor via Internet. Utsedd systemtekniker ansvarar för att sådan uppdatering sker dagligen. Nätverket skall dessutom vara utrustat med en brandvägg genom vilken all trafik till och från Internet skall passera. Gratisprogram, spelprogram och filer som laddas ned från Internet eller till e-post medföljande filer är de vanligaste smittbärarna. Därför får inga gratisprogram eller andra, av IT-avdelningens systemtekniker icke godkända, program laddas in i kommunens nätverk och datorer. Vid nedladdning av filer från Internet, vilket ingår i ordinarie arbetsuppgifter, krävs att medarbetaren har gott omdöme och endast hämtar in för arbetet relevant information från välrenommerade web-siter. När det gäller e-post, får endast bifogade filer öppnas om de kommer från avsändare som är att lita på. Detta medför således svåra avvägningar för de anställda och de bör fortlöpande delges information hur detta skall hanteras. Säkerheten måste här vägas mot en effektiv verksamhet. Om det finns misstanke om att virus finns i nätverket skall följande åtgärder vidtas: allt arbete med den aktuella datorn skall avbrytas på det ställe där upptäckten gjordes ingen får använda datorn IT-avdelningen skall omgående informeras kör virusdetekteringsprogram med karantän- och antivirusfunktioner. kontrollera om någon form av programvara använts i nätverket som inte inköpts och installerats enligt fastställda rutiner kontrollera om användaren har tagit emot och öppnat någon bilaga till e-post i samband med incidenten. dokumentera alla relevanta iakttagelser som misstänks ha samband med händelsen ladda inte in säkerhetskopior i datorn vid misstanke om ett virusangrepp kontakta vid behov leverantören av virusprogramvaran för att få information om vilket virus det kan vara och hur det bäst bör hanteras. Reviderad Sida 4

6 kontrollera om det finns ytterligare utrustning som drabbats kontakta eventuella externa parter vars system kan ha smittats från vårt system om det konstateras att virus eller annan skadlig programkod har kommit in i nätverket p.g.a. uppenbart brott mot gällande regler skall verksamhetsansvarige chef informeras. 5 INFORMATIONSKLASSNING vad som styr klassningen och hur olika uppgifter skall hanteras systemteknikers kontakt med sekretessbelagd information Följande lagar styr klassning av informationen i det administrativa nätverket: Datalagen Personuppgiftslagen (PUL) Sekretesslagen Tryckfrihetsförordningen Lag om företagshemligheter Följande föreskrifter styr klassning av informationen i det administrativa nätverket: datainspektionens allmänna råd om ADB-säkerhet för personregister Det administrativa nätverkets allmänna resurser bedöms kunna innehålla uppgifter som ingår i skyddsklass 3 (grundnivå) enligt datainspektionens allmänna råd. Utifrån gällande lagstiftning och skyddsklassning skall informationen i det administrativ nätet hanteras enligt följande: Information som skyddas enligt sekretesslagen får inte lämnas ut Information som innehåller skyddsklassade uppgifter får inte lagras på lokala arbetsstationer För att uppfylla kraven i PUL och för att värna den enskildes integritet skall det finnas en personuppgiftsansvarig och ett personuppgiftsombud. IT-avdelningens systemtekniker och externa konsulter kan i sitt arbete komma i kontakt med sekretessbelagd information. Därför gäller följande: Systemtekniker skall därför i samband med anställningen underteckna särskild sekretessförbindelse. Systemansvarige skall försäkra sig om att även externa konsulter som kan komma i kontakt med sekretessbelagd information har tecknat sekretessförbindelse eller motsvarande. 6 SÄKERHETSKOPIERING var och hur säkerhetskopiering skall ske. En beskrivning av vilken information som skall omfattas av säkerhetskopiering, intervall för säkerhetskopiering samt hur säkerhetskopior skall förvaras. hur många generationer av säkerhetskopior som skall finnas samt vilka kontroller som skall genomföras av att säkerhetskopiorna är läsbara. Reviderad Sida 5

7 All den information som finns i det administrativa nätverket är kommunens egendom. För att säkerställa de värden informationen representerar är det mycket viktigt att informationen bevaras på ett säkert sätt. Detta skall ske genom: A/ att all information för samtliga register, databaser och loggar mm skall lagras på gemensamma resurser. Detta för att säkerställa att informationen verkligen omfattas av säkerhetskopieringen. B/ att utrustning för säkerhetskopiering placeras i annan säker lokal, skild från kommunens serverrum. C/ att systemtekniker utför säkerhetskopiering av de gemensamma resurserna och att dessa kopior lagras säkert. Omfattningen och tidpunkter: Den grundläggande principen är att all information inklusive programvaran på den gemensamma resursen säkerhetskopieras i sin helhet en gång varje dygn. Alla säkerhetskopior förutom de som tas på fredagar betecknas som s.k. vardagskopior. För att minimera tidsfönstret kan delar av vardagskopiorna tas som difrentiella säkerhetskopior. Den säkerhetskopia som tas varje fredag betecknas som s.k. veckokopia. Den kopia som tas den sista fredagen varje månad betecknas som en s.k. månadskopia Den kopia som tas den sista fredagen varje år betecknas som en s.k. årskopia Bevarandet sker så: att vardagskopiorna sparas i 1 vecka för att sedan återanvändas, att veckokopiorna sparas i 1 månad, var fjärde kopia (månadskopia) märks och tas undan för att bevaras i 1 år. att årskopian bevaras i 10 år. Förvaring sker så: att vardagskopiorna förvaras i back-up roboten. att veckokopian påföljande fredagsförmiddag senast kl flyttas till ett säkerhetsskåp. Varannan vecka till ekonomiavdelningen och varannan vecka till IT-avdelningen. att månadskopian påföljande fredagsförmiddag senast kl transporteras till ett bankfack. att årskopiorna förvaras i samma bankfack. D/ att av IT-chef utsedd systemtekniker vid större förändringar i nätverket har ansvar för att det tas särskilda säkerhetskopior som bevaras och förvaras som veckokopiorna. Dessa kopior bevaras i tre månader. E/ att av IT-chef utsedd systemtekniker kontrollerar att information på datamedia som används är läsbar. Detta skall ske genom att man, i samband med att ny månadskopia produceras, kontrollerar läsbarheten på den föregående månadskopian. Stickprov på veckokopians läsbarhet skall tas varje vecka. Dessutom skall läsbarheten på de tre senaste årens årskopior kontrolleras i samband med att ny årskopia tas. 7 DATAMEDIA vilken information, lagrad på datamedia, som skall omfattas av särskilda förvaringsrutiner så att informationen ej kan läsas av obehöriga vilka åtgärder som skall vidtas, dels för att förhindra att media inte förstörs, dels för att säkra att informationen är läsbar under hela förvaringstiden vilken användningstid som skall gälla för datamedia. Reglerna skall baseras på de bestämmelser som gäller för den information som lagras Reviderad Sida 6

8 hur uttjänta datamedia skall förstöras. Verksamhetskritisk och sekretessbelagd information skall alltid lagras på gemensamma resurser. Sker lagring av annan information på lokala arbetsstationer har respektive medarbetare ansvar att se till att sådan information förvaras lika säkert som den information som lagras på centrala resurser. Datamedia som används för sekretessbelagd eller känslig information får endast återanvändas för samma ändamål. Transport av datamedia skall ske av IT-avdelningens personal. Datamedia får endast användas under så lång tid att de med säkerhet bibehåller läsbarheten. Därefter skall datamedia förstöras. Det senare skall ske genom att de via överskrivning med särskild programvara görs oläsbara. Datamedia som kan ha används för sekretessbelagd eller känslig information skall utsättas för fysisk åverkan så att den inte kan appliceras i en läsutrustning. Därefter kan media gå med ordinarie soptömning. 8 DATAKOMMUNIKATION en policy för hur installationen av en brandväggsfunktion skall utformas och genomföras att all Internetkommunikation skall ske via brandväggsfunktionen att all Internetkommunikation skall registreras i en aktivitetslogg att det skall finnas en aktuell förteckning över samtliga externa anslutningar en policy för nätverksuttag som ej används vilken typ av externa anslutningar till tele- och datanät som skall tillåtas ansvaret vid dataöverföring till och från nätverket en policy för uppkoppling av hemarbetsplatser över Internet till det administrativa nätverket vilka rutiner som gäller vid fjärrdiagnostik hantering av elektronisk post Policy för brandväggen Kommunen har beslutat att all datakommunikation mot Internet, skall gå genom brandväggen och vår hållning är restriktiv vad avser kommunikation till vår systemmiljö. Det innebär att brandväggen skall vara så installerad och konfigurerad att den tillåter för verksamheten väsentlig information att passera i båda riktningarna medan den skall förhindra tillgång till sådan programvara, tjänst eller information som kan skada nätverket eller på annat sätt hota systemets säkerhet. Brandväggen skall förhindra all kommunikation som det inte finns ett aktivt beslut att tillåta. De systemtekniska inställningarna som anger vad som skall respektive inte skall släppas genom brandväggen framgår av inställningarna i produktens systemtekniska Säkerhetspolicy. Uppkommer ett behov i verksamheten av att utföra en viss typ av kommunikation, skall detta framföras till av IT-chef utsedd systemtekniker. Efter prövning av behovet och de risker som finns förknippat med kommunikationssättet, skall IT-chefen fatta beslut. Detta beslut skall fogas till policyn för brandväggen. För att kunna säkerställa att det inte kommer in sådan programvara, tjänst eller information som kan skada nätverket eller på annat sätt hota systemets säkerhet skall brandväggen vara utrustad med en aktivitetslogg som registrerar varje transaktion över brandväggen på användarnivå. Loggen skall sparas minst ett dygn. Loggen granskas endast vid väl grundade misstankar om brott mot gällande regler eller vid misstanke om intrångsförsök. Av IT-chef utsedd systemtekniker ansvarar för denna granskning. Reviderad Sida 7

9 I brandväggen skall strukturen på kommunens nät, egna IP-adresser och användaridentiteter döljas för extern trafik. För att ha kontroll över samtliga interna och externa anslutningar skall dessa finnas i en aktuell förteckning. En av IT-chefen utsedd systemtekniker ansvarar för att förteckningen är aktuell. All e-post skall hanteras på applikations-proxynivå, för att bland annat kunna implementera viruskontroll på bilagor. Brandväggen skall vara aktiv alla dagar Brandväggen skall fysiskt vara placerad i serverrummet för att skyddas av ordinarie tillträdeskontroll. Förändringar i brandväggen policy får enbart genomföras av de systemtekniker som IT-chefen har utsett. Autenticering till brandväggen skall ske vid inloggningen i nätverket. Policy för ej använda nätverksuttag De nätverksuttag som ej används får inte vara uppkopplade mot nätverket. De externa nätverk till vilka anslutning får ske är endast: - BTJ - Capella - Föreningsparbanken - Hjälpmedelscentralen - Hogia - Pliktverket - RSV - Samresor - Tietoenator - WM-data Uppstår behov i verksamheten att ansluta till ett externt nätverk tas beslut om detta i samråd mellan Systemägaren och IT-chef. En bedömning av nyttan i förhållande till riskerna med en sådan uppkoppling skall då göras. Vid dataöverföring är varje medarbetare ansvarig för att iaktta den varsamhet och vidta de säkerhetsåtgärder som behövs i relation till informationens värde. Policy för uppkoppling av hemarbetsplatser över Internet till det administrativa nätverket. A/ För enbart åtkomst av e-post, Intranät, egna och gemensamma filer gäller: Uppkoppling får ske från den anställdes privata dator Datorn skall vara utrustad med uppdaterat antivirusprogram Trafiken skall skyddas av SSL-kryptering Datorn bör vara utrustad med en brandvägg Brev, bilagor eller dokument bör ej lagras på den lokala datorn Den anställde får ej lagra känslig eller sekretessbelagd informations på den privata datorn. Reviderad Sida 8

10 I övrigt måste den anställde i varje enskilt fall och på eget ansvar göra en bedömning av vad som, tillfälligt eller permanent, kan sparas i den privata datorn. Inställningen skall vara restriktiv. Vid inloggning i kommunens nätverk är det förbjudet för den anställde att förenkla inloggningen med hjälp av programvaror vars uppgift är att minnas användaridentitet och lösenord. B/ För full åtkomst till det administrativa nätverket gäller: Uppkoppling skall ske från en verksamhetsdator Datorn skall vara utrustad med uppdaterat antivirusprogram Datorn skall vara utrustad med egen brandvägg och dosa för engångslösenord Trafiken skall skyddas med hjälp av VPN Om fjärrdiagnostik eller dyl. förekommer skall detta ske enligt principerna: Förbindelserna skall enbart vara öppna vid givna servicetillfällen. Att motringning, där så är möjligt, skall tillämpas För elektronisk post gäller följande regler: Det är ej tillåtet att vidarekoppla e-post till extern adress utan beslut från IT-chef eller av honom utsedd systemtekniker. Känslig eller sekretessbelagd information får ej skickas med e-post till adresser utanför organisationen. Automatsvar vid t.ex. semestrar eller liknande bör undvikas. 9 DRIFTSÄKERHET en fastställd bemanningsplan för vilka personer och vilken kompetens som behövs för drift etc. av nätverket servrars placering vem som får ha tillträde till för driften viktiga utrymmen för att kunna utföra sina arbetsuppgifter hur tillträdet till för driften viktiga utrymmen skall regleras vilka former av larm som skall finnas i serverrummet rutiner för kontroll av larmfunktioner hur anlitade företag kan fullgöra sina uppgifter i kris/krig. Driften av det administrativa nätverket skall, så långt det är möjligt, hanteras av IT-avdelningens systemtekniker. För att självständigt kunna sköta driften skall systemteknikerna ha god kompetens om: den plattform som nätverket och dess datasystem nyttjar nätverkets logiska och fysiska uppbyggnad den utrustning som används hur lagring och säkerhetskopiering av data sker den externa kommunikation som förekommer de applikationer som driften avser hur drift, felsökning och återstart skall genomföras säkerhet vad avser nätverket och dess datasystem Reviderad Sida 9

11 Nätverket skall vara tillgängligt för användarna alla dagar Vid särskild tillfällen kan IT-chef besluta om att nätverket eller delar därav skall stängas för underhåll och service. Detta skall företrädesvis ske utanför ordinarie kontorstid ( ) Servrar i det administrativa nätet får endast finnas i stadshusets eller räddningstjänstens serverrum. Serverrummen skall vara tillträdesskyddade med separat nyckelsystem samt larmat med kodlås. Det är endast IT-avdelningens systemtekniker och chef som, under normala förhållanden, ensamma får ha tillträde till serverrummet. För att kunna ingripa vid olika former av larm finns även en nyckelkopia hos vardera vaktmästare och räddningstjänst. Övriga driftutrymmen skall var låsta. Endast IT-avdelningens personal skall normalt ha tillgång till dessa nycklar. Besök i datarummet får endast ske tillsammans med systemtekniker eller IT-chef. Det skall finnas en besöksliggare i datarummet. I den skall systemtekniker eller IT-chef anteckna besökarens namn samt klockslag vid in och utpassering. Det skall vara en restriktiv hållning till besök i datarummet. I princip skall endast sådana besök tillåtas som är påkallade av nätverkets drift eller underhåll. I serverrummet skall finnas inbrottslarm samt brand- och temperaturlarm. Dessa larm skall regelbundet funktionstestas. Företag som anlitas för service och underhåll av nätverket skall kontrolleras vad gäller deras möjlighet att utföra sina uppgifter i händelse av kris/krig. 10 INCIDENTER vad som skall rapporteras vilka som skall rapportera incidenter till vem rapporteringen sker Med incident menas: dataintrång (portscanning, brandväggsintrång, intrång i behörighetskontrollsystem, flooding mm.) datavirus eller annan fientlig kod i nätverket (t.ex. virus, trojan, logisk bomb, sniffer) händelse som medför driftavbrott eller fysisk skada (t.ex. stöld, brand, vatten, blixtnedslag, värme, sabotage) Alla medarbetare i kommunen och extern personal som utför uppdrag för organisationens räkning skall rapportera inträffade säkerhetsincidenter och upptäckta säkerhetsbrister direkt till IT-avdelningen eller till närmaste chef som i sin tur rapporterar till IT-avdelningen. IT-avdelningen skall sammanställa och analysera de incidenter som inträffar i en särskild incidentlogg och föreslå åtgärder för att lära av incidenter för att förebygga eventuella framtida skador. 11 PROGRAM hur och av vem program får installeras och kopieras Reviderad Sida 10

12 Installation eller kopiering av program etc. får endast utföras efter beslut från IT-chef eller systemtekniker. Installation och kopiering av program får endast utföras av IT-avdelningens systemtekniker. Nedladdning av program från Internet får ej ske av enskilda medarbetare. Rätten att kopiera program regleras av programleverantören och framgår av den dokumentation som medföljer vid leverans. Piratkopiering är olagligt och kan bryta mot ingångna licensavtal. Det får ej förekomma i vår organisation! För att förhindra att olaglig programkopiering utförs, skall originalen förvaras inlåsta. 12 ARBETSPLATSEN hur arbetsstationer, utskrifter, bärbara datorer m.m. skall skyddas Datorer, program, dokumentation och framför allt lagrad information representerar stora värden. Därför måste vi skydda dessa genom att de lokaler i vilka persondator används är låsta när utrustningen ej är under uppsikt och att utrustningarna är märkta. Användare som lämnar arbetsplatsen skall antingen logga ut eller använda skärmsläckare med kort aktiveringstid (max. 10 min). I samband med att en användare begär hjälp från IT-avdelningen för att lösa ett datorproblem kan systemteknikern behöva ta över och fjärrstyra användarens dator. Detta får endast ske om användaren uttryckligen godkänt denna åtgärd. En systemtekniker kan dock, utan användarens godkännande, fjärrstyra en användares dator när denne inte är inloggad. Vid utskrift av dokument till skrivare som är gemensam för flera arbetsplatser bör medarbetaren ha skrivaren under uppsikt i väntan på utskrift och omgående hämta den. Användare bör kräva legitimation av servicepersonal som kommer till platsen för åtgärdande av fel och vid behov även kontrollera med IT-avdelningen att service är beställd och att personalen är behörig. Vid service skall eventuell känslig information avlägsnas från hårddisken. Bärbara persondatorer som används utanför ordinarie arbetsplats skall: utrustningen och datamedia hållas under ständig uppsikt om de inte är inlåsta. det finnas BKS och vid behov, kryptering för att skydda informationen. det finnas en säkerhetskopia av all information på den ordinarie arbetsplatsen. 13 INFORMATION OCH UTBILDNING vilken information och utbildning i nätverket som användarna skall ha vem som ansvarar för att användarna informeras och utbildas För att säkerhetsarbetet skall nå avsedd effekt är det nödvändigt att samtliga användare av nätverket har kunskap om och förståelse kring organisationens säkerhetsarbete och de säkerhetsåtgärder som gäller. Innan en ny medarbetare beviljas behörighet till nätverket skall han erhålla information om kommunens säkerhetsregler. Samtliga medarbetare skall regelbundet få information om de förändrade hot som verksamheten utsätts för, t.ex. nya typer av virusangrepp, och vilka säkerhetsåtgärder som vidtas för att möta dem. Ansvaret för att medarbetarna informeras och utbildas i säkerhetsfrågor ligger hos systemägaren. Reviderad Sida 11