Timrå kommun. Informationssäkerhet Revisionsrapport. KPMG AB 7 november 2013 Antal sidor: 11 Bilagor: 3

Transkript

1 ABCD Timrå kommun Informationssäkerhet Revisionsrapport KPMG AB 7 november 2013 Antal sidor: 11 Bilagor: KPMG AB, a Swedish limited liability company and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative ( KPMG International ), a Swiss entity. All rights reserved.

2 ABCD Timrå kommun Revisionsrapport - Informationssäkerhet Innehåll 1. Sammanfattning 1 2. Bakgrund Allmänt Risk och väsentlighet Informationssäkerhet 3 3. Syfte och avgränsning Syfte Avgränsning 4 4. Revisionskriterier 4 5. Ansvarig styrelse 4 6. Metod och genomförande 4 7. Projektorganisation 5 8. Granskningsnoteringar De kommungemensamma styrdokumenten Finns det kommungemensamma styrdokument? Anses de kommungemensamma styrdokument väl kända? Är det kommungemensamma kompletterat med förvaltnings- /bolagsspecifika styrdokument? Är styrdokumenten konkretiserade i systemsäkerhetsplaner/-analyser eller motsvarande? Styrs informationssäkerhetsarbetet i på något annat sätt än efter gemensamma styrdokument i någon förvaltning? Finns eller förbereds införandet av ett LIS i kommunen? Ligger förekommande styrdokument till grund för regelbundet återkommande information och utbildning? Kontrolleras det återkommande att de styrande dokumenten eller motsvarande efterlevs? KPMG AB, a Swedish limited liability company and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative ( KPMG International ), a Swiss entity. All rights reserved.

3 ABCD Timrå kommun Revisionsrapport - Informationssäkerhet Sammanfattning KPMG har av Timrå kommuns revisorer haft i uppdrag att granska kommunens rutiner för hur den styr, utreder, inför, upprätthåller och kontrollerar informationssäkerheten i sin verksamhet. Revisionen utesluter inte att det finns risk för att det finns brister i de rutiner som skall säkerställa en god informationssäkerhet, och bedömer därför att det är väsentligt att klarlägga på vilket sätt och i vilken form kommunstyrelse och -ledning samt operativt ansvariga styr informationssäkerhetsarbetet. Der är även väsentligt att veta vilka riskbedömningar säkerhetsarbetet vilar på, hur regler, anvisningar etc. rörande säkerhetsarbetet kommuniceras, införs, underhålls samt hur efterlevnaden av beslutad informationssäkerhet kontrolleras. Syftet med granskningen har varit att med underlag av Myndigheten för samhällsskydd och beredskap (MSB) skrift, Kommunens informationssäkerhet en vägledning (Bilaga 1), innehåll och struktur säkerställa att kommunen har infört och lever efter de externa och interna regler som styr ett modernt och uppdaterat informationssäkerhetsarbete. MSB: s vägledning är en tillgänglig och initierad sammanfattning av informationssäkerhetsarbetet i en kommun. MSB utlovar en kontinuerlig uppdatering av vägledningen och redovisar på även en stor mängd praktiska råd. Från granskningen vill vi särskilt framhålla följande: Generellt sett finns det en medvetenhet i kommunen om vad informationssäkerhet är. Vad informationssäkerhet innebär och kräver av envar är inte alls lika självklart. Övergripande ansvariga finns utsedda och har ett uppdrag att stötta verksamhetsledningen. Av intervjusvaren framskymtar att ledningen skulle kunna agera med ett större intresse och engagemang. Vi noterar däremot några olika goda initiativ och intentioner till informationssäkerhetsåtgärder bland de intervjuade. Styrdokument finns och är för inte fullt ett halvår sedan beslutade och införda. Tillämpningsföreskrifterna infördes, något bakvänt, före en ny policy och bedöms vid denna granskning vara i behov av revidering och komplettering. Det är otillfredsställande att införandet inte föregåtts av någon form av dokumenterad analys. Informationsklasser ett grundläggande ställningstagande för rätt hantering av information är inte beslutat och infört. Av intervjuer och inhämtad dokumentation kan vi notera att man vid upphandling och i drift av datasystem inte tagit någon hänsyn till och lever efter kommunens styrdokument avseende informationssäkerhet. Detta förhållningssätt innebär bland annat att vi inte kan verifiera att man i alla system efterlever Personuppgiftslagen vad gäller hantering och lagring av integritetskänslig data. Fortlöpande information om informationssäkerhet finns inte planerad. Det är inte heller planlagt så att adekvat kunskap om informationssäkerhet över tid finns på de olika nivåer som har ansvar för verksamheten. Efterlevnad av styrdokumenten kontrolleras inte i ordnad form. Bortsett från enstaka individuella och förvaltningsspecifika initiativ saknas informationssäkerhetsmål och åtgärder i internkontrollplanen KPMG AB, a Swedish limited liability company and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative ( KPMG International ), a Swiss entity. All rights reserved. 1

4 ABCD Timrå kommun Revisionsrapport - Informationssäkerhet Kommentarer Ge övergripande ansvariga ett tydligare mandat än idag att efter kända planer, styrda av prioriteringar grundade på väl utförda och dokumenterade analyser i bedriva ett stödjade informationssäkerhetsarbete. Förvaltningsledningarnas engagemang är här en lika viktig som nödvändig komponent. Inte minst eftersom ansvaret ligger där. Med början i väl valda delar i ett LIS (ledningssystem för systemsäkerhet) som stöd kan arbetet ta form och över tid utvecklas. Kontinuerlig information, om än lågintensivt utfört, stärker kommunens samlade förmåga att leva efter och samtidigt förstå vikten av ändamålsenlig informationssäkerhet. Rätt utbildning till rätt funktion möjliggör att informationssäkerhetsarbetet utförs med den kunskap som krävs på respektive nivå. Vi rekommenderar informationssäkerhetsansvariga (ytterst kommunstyrelsen enligt den nyss beslutade informationssäkerhetspolicyn) att snarast säkerställa att kommunen inte hanterar personinformation på ett lagstridigt sätt oavsett var drift av system sker och data lagras. Informationssäkerhetsmål har en given plats i internkontrollplanen. Kontrollmål och -åtgärder förutsätter vi finns dokumenterade redan i planen för Vi ser även att resultatet av kontrollerna redovisas i interkontrollrapporten för detta år KPMG AB, a Swedish limited liability company and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative ( KPMG International ), a Swiss entity. All rights reserved. 2

5 ABCD Timrå kommun Revisionsrapport - Informationssäkerhet Bakgrund 2.1 Allmänt KPMG har av Timrå kommuns revisorer haft i uppdrag att granska kommunens rutiner för hur den styr, utreder, inför, upprätthåller och kontrollerar informationssäkerheten i sin verksamhet. 2.2 Risk och väsentlighet Revisionen utesluter inte att det finns risk för att det finns brister i de rutiner som skall säkerställa en god informationssäkerhet, och bedömer därför att är väsentligt att klarlägga på vilket sätt och i vilken form kommunstyrelse och -ledning samt operativt ansvariga styr informationssäkerhetsarbetet. Der är även väsentligt att veta vilka riskbedömningar säkerhetsarbetet vilar på, hur regler, anvisningar etc. rörande säkerhetsarbetet kommuniceras, införs, underhålls samt hur efterlevnaden av beslutad informationssäkerhet kontrolleras. 2.3 Informationssäkerhet Myndigheten för samhällsskydd och beredskap (MSB) har inte någon föreskriftsrätt mot kommuner, men driver ett kraftfullt program för ökad informationssäkerhet mot verksamheter där även kommuner ingår. De publicerade i december 2012 på sina internetsidor dokumentet Kommunens informationssäkerhet en vägledning (Bilaga 1). Av förordet framgår: Sveriges kommuner hanterar en betydande del av samhällets tjänster och kommunernas informationsförsörjning är därför en kritisk del i samhällets informationssäkerhet. För att kunna säkerställa en tillräcklig nivå av informationssäkerhet i en kommuns olika förvaltningar och bolag är det av stor betydelse att informationssäkerhetsarbetet bedrivs metodiskt och långsiktigt. Tidigt i vägledningen påminns vi om att: Informationssäkerhet handlar om att ge kommunens information rätt skydd och omfattar: Tillgänglighet: Att information är tillgänglig i förväntad utsträckning och inom önskad tid Riktighet: Att den skyddas mot oönskad och obehörig förändring eller förstörelse Konfidentialitet: Att den inte i strid med lagkrav eller lokala överenskommelser/riktlinjer tillgängliggörs eller delges obehörig Spårbarhet: Att i efterhand entydigt kunna härleda specifika aktiviteter eller händelser till ett identifierat objekt eller användare (vem, vad, när) Informationssäkerhet omfattar hela kommunens verksamhet och all information oavsett om den finns i datorer, i ett telefonsamtal eller på ett papper. Då stora delar av informationen hanteras med hjälp av IT-system så handlar informationssäkerhet även om teknik KPMG AB, a Swedish limited liability company and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative ( KPMG International ), a Swiss entity. All rights reserved. 3

6 ABCD Timrå kommun Revisionsrapport - Informationssäkerhet Syfte och avgränsning 3.1 Syfte MSB: s vägledning är en modern och initierad sammanfattning av informationssäkerhetsarbetet i en kommun. MSB utlovar en kontinuerlig uppdatering av vägledningen och redovisar på även en stor mängd praktiska råd. Syftet med granskningen har varit med underlag av väglednings innehåll och struktur säkerställa att kommunen har infört och lever efter de externa och interna regler som styr ett modernt och uppdaterat informationssäkerhetsarbete. 3.2 Avgränsning Granskningen har omfattat kommunen exklusive bolag och stiftelser i kommunkoncernen. 4. Revisionskriterier De kriterier som legat till grund för analys, bedömning och rekommendationer är hämtade från kommunallagens 6 kapitel samt reglemente för intern kontroll och tillämpningsanvisningar. Den interna kontrollen är viktig att utgå från då den är ett medel för ledningens kontroll av att verksamheten efterlever lagar, förordningar och riktlinjer. Intern kontroll är en process vilken styrelsen, ledningen och annan personal skaffar sig rimlig säkerhet för att målen uppnås och som påverkas av hur man agerar i vad man säger och utför. 5. Ansvarig styrelse Granskningen avser kommunstyrelsen och nämnder. 6. Metod och genomförande Som metod har intervjuer och dokumentstudier (dokumenten redovisas i bilaga 3) använts. Vi har överlämnat dokument samt skriftligen bett om att få svar på inledande övergripande frågor. De har besvarats på initiativ av kommunens säkerhetschef och informationssäkerhetssamordnare. De skriftliga svaren och dokumentstudierna har sedan legat till grund för intervjuer med personer utvalda av kommunen att representera samtliga förvaltningar samt säkerhetschef, informationssäkerhetssamordnare och IT-/Upphandlingschef. Följande dokument överlämnades via e-post som underlag för skriftligt svar: Granskningens projektplan. MSB: s dokument Kommunens informationssäkerhet en vägledning (Bilaga 1). Frågekomplex att besvara (Bilaga 2). Rapporten är saklighetsgranskad av säkerhetschef och informationssäkerhetssamordnaren KPMG AB, a Swedish limited liability company and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative ( KPMG International ), a Swiss entity. All rights reserved. 4

7 ABCD Timrå kommun Revisionsrapport - Informationssäkerhet Projektorganisation Granskningen har genomförts av Lars Anteskog. Tommy Eriksson har deltagit i granskningen genom sin roll som kundansvarig. 8. Granskningsnoteringar Gransknoteringarna följer samma upplägg som redovisades i det frågekomplex som besvarats. 8.1 De kommungemensamma styrdokumenten Finns det kommungemensamma styrdokument? Ja, Kommunfullmäktige antog en ny informationssäkerhetspolicy. Besluts- och beredningsmässigt uppges den ha passerat kommunledningskontoret och godkänts av Kommunstyrelsen. Policyn ersätter den föregående som fastställdes av kommunfullmäktige Anledningen till ny policy uppges vara att den som gällde tidigare bedömdes vara inaktuell. Den nya policyn har kompletterats med nya Vägledande råd och bestämmelser för IT-säkerhet (VROB) efter ett beslut i kommunstyrelsen tidigare under Vi intervjusvaren noterar vi att policyn inte föregåtts av någon form av analys använd vid informationssäkerhetsarbete. Det saknas dokumenterad: Verksamhetsanalys för att identifiera kommunens viktigaste informationstillgångar samt de krav som ställs från kommunens verksamhetsområden samt de legala krav som kommunen har att följa. Riskanalys vilken skall baseras på kunskap om informationstillgångar och de krav verksamhetsanalysen identifierar. Huvudresultatet av en riskanalys är en förteckning över risker, deras potentiella skadeverkning, och tänkbara sätt att hantera dessa på. GAP-analys vilken skall/kan baseras på verksamhets- och riskanalysen. Med dessa som utgångspunkt jämförs det existerande skyddet med de säkerhetsåtgärder som föreslås i t ex den kända och erkända standarden ISO/IEC Med GAP-analys menas därför skillnaden mellan best practice och den säkerhetsnivå som råder i kommunen. När ny policy antogs och den förutvarande upphävdes gjordes detsamma för dokumentet Prioritering av samhällsviktiga system i Timrå kommun. Till detta dokument finns även Applikationslista Central IT som en specifikation av systemen. Specifikationen uppges för dagen inte vara fullständigt uppdaterad. Vi noterar att det i sammanställningen återstår komplettering med kravnivå enligt kommunens informationsklassningsmodell. Vilka reservrutiner som finns planerade och är testade samt accepterad avbrottstid är uppgifter som saknas. Prioriteringsordning vid återstart är även det en uppgift som borde finnas i specifikationen. I kommunen ansvarar säkerhetschefen övergripande för informationssäkerheten. Till stöd finns en informationssäkerhetssamordnare på deltid. Det finns en uppdragsbeskrivning som kortfattat redogör för samordnarens uppgifter och ansvar. Vad vi förstår så är det dessa funktioner som 2013 KPMG AB, a Swedish limited liability company and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative ( KPMG International ), a Swiss entity. All rights reserved. 5

8 ABCD Timrå kommun Revisionsrapport - Informationssäkerhet utfört merparten av arbetet med innehåll och framtagande av de styrdokument som är beslutade. Verksamhetsledning har inte var lika engagerade. Kommentarer De centrala och kommunövergripande dokumenten som styr informationssäkerhetsarbetet antas i omvänd ordning. När tillämpningsföreskrifterna antas före policyn innebär det att dessa stödjer och förtydligar den gamla policyn under en period för att sedan fylla samma funktion för den nya. Förvirrande för användarna och med nedsatt praktisk effekt för informationssäkerhetsarbete. Det återstår mycket arbete med de styrande dokumenten och de nyss antagna är redan i behov av revidering och komplettering. Vi noterar dock att det finns en grundmurad förståelse och engagemang för informationssäkerhet hos de personer som har ett övergripande ansvar. Det redogörs för planer hur fortsatt arbete skall bedrivas. Vi saknar dock dokumentation om vad som skall ske när och vilka mål som skall nås på kort och lång sikt. Vilka ytterligare skall mer konkret involveras och hur skall ansvar och arbete fördelas? Vem skall styra och följa upp att målen nås så att kommun får optimal nytta av ansträngningen. Det är positivt att få höra att man engagerar sig på länsnivån för att tillsammans med ansvariga i andra kommuner inhämta kunskap och inspiration av MSB. Notera dock att det är det konkreta dokumenterade och kommunicerade arbetet i den egna kommunen som säkerställer att beslutad informationssäkerhet förstås och efterlevs. När nu ett högst nödvändigt arbete efter en väl känd, prioriterad och finansierad plan startas (för att i princip aldrig avslutas) rekommenderar vi att man bland annat beaktar följande: Utför och dokumenterar analyser som en grund för kommande revideringar och kompletteringar av styrdokumenten (policy och VROB: ar). Förankra det behov av åtgärder som kommer fram i analysen hos förvaltningsledningarna. Accepteras och förstås inte åtgärderna kommer det att få negativa återverkningar på förståelsen för och följaktligen både vilja och förmåga att efterleva uppdaterad policy samt nya och reviderade vägledningar. VROB: arna rubriceras/benämns genomgående IT-säkerhetsinstruktion. Överväg ändra detta till informationssäkerhetsinstruktion. Det kommer att innebära att alla användare hjälps till den nödvändiga insikten att informationssäkerhet inte endast är en fråga om möjligheter och risker med tekniska verksamhetsstöd. Några exempel på konkreta åtgärder baserat på vad som framgår av informationssäkerhetspolicyn och VROB: arna: Informationsklassning är ett centralt ställningstagande som styr till optimal styrning av informationssäkerheten samt utformning av åtgärder. En dokumentation över de informationsklasser som skall gälla i kommunen saknas vid granskningstillfället. Utforma, besluta och kommunicera klasserna samt låt det som en första åtgärd även framgå av befintliga dokumenthanteringsplaner vilken klass respektive dokument tillhör. Överväg skyndsamt att ändra på börkravet vad gäller sekretessbelagd information som kommuniceras via e-post. Vad motiverar och/eller skall omgärda hanteringen av sekretessbelagd information när en så vidöppen kommunikationsmetod som e-post används? Vi kan inte se att någon VROB lämnar vare sig instruktion eller vägledning i frågan KPMG AB, a Swedish limited liability company and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative ( KPMG International ), a Swiss entity. All rights reserved. 6

9 ABCD Timrå kommun Revisionsrapport - Informationssäkerhet Beakta även andra mindre säkra kommunikationsmetoder som t ex telefax när ändringar/förtydliganden görs. Vi finner flera, och blir i intervjuerna även uppmärksammade på, inkonsekvenser i VROB: arna. Överväg att snarast analysera vad som framgår av en VROB och säkerställ att det som anges/föreskrivs verkligen gäller, är riktigt och inte motsägs av någon annan VROB. Tänk även på att säkerställa att det inte framgår något av vägledningen som kan misstolkas och leda till att legala krav och andra regler åsidosätts. Ta stöd av verksamhetskunniga i respektive förvaltning för att identifiera sådant som kan vara fel, missuppfattas eller är omöjligt/orimligt att efterleva. Datera alla styrdokument inte minst med när det senast reviderades. Låt det framgå under vilken tid dokumentet är giltigt. I vad dokumentet har sin grund. Var och när det beslutades. Vem som ansvarar för innehållet, upprättandet och kan förtydliga innehållet och svara på frågor Anses de kommungemensamma styrdokument väl kända? Nej. När vi väger samman erhållna intervjusvar gör vi bedömningen att alla som omfattas av styrdokumenten inte känner till dess existens samt syfte och hur de skall användas. Det skall ställas mot vad som framgår av informationssäkerhetspolicyn: För informationssäkerhetsarbetet ska gälla att all personal har kunskap om gällande informationsregler. Vi noterar att det tagits olika former av initiativ till information om och säkerställande av förståelse för de VROB: ar som introducerats. De redovisas på arbetsplatsträffar (APT) och det förekommer goda initiativ där pappersburna sammanställningar spridits bland de som inte regelbundet använder en dator och kan nå dem via intranätet. Det har skapats en blankettstyrd rutin (förbindelse) för att med en namnteckning säkerställa att man läst och förstått VROB: arna tillsammans med annat som redovisas och kommenteras i avsnitt nedan. Vi kan från intervjuerna notera en tveksamhet om att alla tagit del av förbindelsen och även undertecknat och lämnat in den. Kommentarer Vi bedömer att man hittills inte lyckats med att göra styrdokumenten kända hos alla som berörs. Överväg att byta metod vad gäller att dokumentera att man mottagit, förstått samt intygar att man kommer efterleva innebörden av dem. Med tanke på styrdokumentens kvalitet, berört ovan, bedömer vi att detta intygande behöver kompletteras och kanske i någon omfattning även upprepas. Vi rekommenderar då att ett e-postformulär skapas att ersätta innevarande pappersburen metod. Hanteringen blir snabbare för de allra flesta och möjlighet till uppföljning och kontroll förbättras avsevärt Är det kommungemensamma kompletterat med förvaltningsspecifika styrdokument? Nej. När vi tar del av intervjusvaren kan vi inte identifiera att några sådana finns i någon förvaltning. Det övervägande motivet till detta uppfattas vara att ett behov inte anses finnas. Någon förklaring till hur man kommit fram till denna slutsats har vi inte lyckats få fram KPMG AB, a Swedish limited liability company and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative ( KPMG International ), a Swiss entity. All rights reserved. 7

10 ABCD Timrå kommun Revisionsrapport - Informationssäkerhet Kommentarer Vi bedömer att anledningen kan vara att informationssäkerhetsarbetet inte avancerat så långt att analyser identifierat nytta och behov av förvaltningsspecifika styrdokument Är styrdokumenten konkretiserade i systemsäkerhetsplaner/-analyser eller motsvarande? Nej. I alla fall inga vid granskningstillfället slutförda, införda och underhållna. Det har, enligt uppgift, för något år sedan pågått ett arbete med MSB: s metodstöd BITS/BITS Plus. Vad vi uppfattar las en inte oväsentlig tid på denna konkretisering involverande flera system på flera förvaltningar. Vad vi förstår avstannade arbetet strax innan en ny utkontrakteringspartner för ITdriften anlitades. Kommentarer Det är i konkretiseringarna som det skall framgå hur respektive datoriserat systemstöd skall hanteras utifrån vad policy och vägledningar anger. Här anges i detalj hur systemägaren/ -ansvarig och förvaltare skall förhålla sig så att optimal informationssäkerhet för det specifika systemet uppnås. Det är här som det även skall framgå hur ansvarspersonerna hanterar informationssäkerheten i förhållande till en utkontrakteringspartner. Alla ingångna avtal skall därför rimligen vara avstämda mot rådande policy och vad som framgår av de särskilda förhållanden som framkommer i en systemsäkerhetsanalys. MSB stöder och utvecklar inte längre BITS. Det arbete som lagts ner och är adekvat kan mycket väl användas med andra metodstöd så som LIS (Ledningssystem för informationssäkerhet) vilket avhandlas i avsnitt nedan samt beskrivs i bilaga PMO SaaS Elevhälsa Rubricerat är ett system som stöder arbete och dokumentation utförda av skolsköterskor, kuratorer och annan hälso- och sjukvårdsinriktad personal knutna till Barn- och utbildningsförvaltningen. Systemet är upphandlat av förvaltningen med driften förlagd hos leverantören av systemet CompuGroup Medical Sweden. Av intervjuer och inhämtad dokumentation kan vi inte se att man vid upphandling och i drift tagit någon hänsyn till och lever efter kommunens styrdokument avseende informationssäkerhet. Detta förhållningssätt innebär bland annat att vi inte kan verifiera att: Förvaltningen följer vad som framgår av Personuppgiftslagen vad gäller hantering och lagring av personinformation. Förvaltningens personuppgiftsansvarig är informerad och har godkänt avtalad driftlösning. Förvaltningen tagit hänsyn till de styrdokument som gäller för informationssäkerhet i kommun KPMG AB, a Swedish limited liability company and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative ( KPMG International ), a Swiss entity. All rights reserved. 8

11 ABCD Timrå kommun Revisionsrapport - Informationssäkerhet Leverantören över tid kontrolleras leva upp till vad som eventuellt avtalats om nivå och omfattning av informationssäkerheten. Notera i sammanhanget att i en kommun är det normalt att både kommunstyrelsen och de kommunala nämnderna, om de är så självständiga att de är förvaltningsmyndigheter, var och en är personuppgiftsansvariga i sin verksamhet. För att få konkreta exempel på våra iakttagelser så lämnas några nedan. Alla baserar sig på avsnitt i avtalsförslaget som lämnades i samband med offerten för PMO. Är underleverantörerna (punkt 3.1) identifierade och godkända enligt kommunens informationssäkerhetskrav? Finns de alla i Sverige? Uppfyller systemet de krav på användarnamn och lösenord (punkt 3.5.1) som föreskrivs i kommunens vägledande råd och bestämmelser (VROB)? Hur säkerställs över tid att endast rätt användare (3.5.2) har och/eller haft tillgång till systemet? Vem analyserar, på vilket sätt och med vilken periodicitet loggarna som nämns i 3.5.4? Vem, på vilket sätt och med vilken periodicitet säkerställs att säkerhetskopiorna (6.1) är fullständiga och riktiga samt i motsvarande grad är återläsningsbara utan att driftstörningar uppstår och/eller integritets-/ekonomisk skada uppstår? Vilken riskkompensering har systemägaren/ -ansvarig vidtagit i förhållande till de reservationer om säkerheten som leverantören redovisar i 8.5.1? På vad i den samlade styrdokumentationen, avseende informationssäkerhet, baseras accepterandet av de begränsningar i ekonomisk kompensation som framgår av 12.2? Utkontraktering av kommunens datadrift Kommunen har under en längre tid valt att utkontraktera sin datadrift (förutom skolans utbildningsnät) istället för att själva ansvara för den. Relativt nyligen har man tecknat avtal med en ny partner. Som en konsekvens av detta val har man vid granskningstillfället endast 2,5 årsarbetare avsatta för traditionellt IT-arbete. För- och nackdelar med denna typ av lösning ligger utanför detta uppdrags avgränsning men bildar underlag för två iakttagelser relevanta för denna granskning: Vi kan inte verifiera att de datoriserade verksamhetsstöd som driftas externt hanteras på ett sätt som överensstämmer med kommunens informationssäkerhetspolicy. Extern drift gör det mindre möjligt än vid traditionell drift för förvaltningar att introducera egna system KPMG AB, a Swedish limited liability company and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative ( KPMG International ), a Swiss entity. All rights reserved. 9

12 ABCD Timrå kommun Revisionsrapport - Informationssäkerhet Kommentarer Vi rekommenderar informationssäkerhetsansvariga (ytterst kommunstyrelsen enligt den nyss beslutade informationssäkerhetspolicyn) att snarast säkerställa att kommunen först och främst inte hanterar personinformation på ett lagstridigt sätt oavsett var driften sker. Snarast därefter säkerställer att informationssäkerheten, som beskriven med minst de exempel som redovisas under ovan, är sådan att policy och vägledningar efterlevs Styrs informationssäkerhetsarbetet i på något annat sätt än efter gemensamma styrdokument i någon förvaltning? Svaret är ett tydligt nej både i det skriftliga svaret som i intervjuerna Finns eller förbereds införandet av ett LIS i kommunen? Det som beskrivs som inte fastställda planer för fortsatt informationssäkerhetsarbete i avsnitt ovan kan enligt uppgift komma att bedrivas med ett LIS (Ledningssystem för informationssäkerhet). Inga formella beslut finns om ett införande. Kommentarer Vi rekommenderar att kommunen överväger att införa ett LIS med följande motiveringar: Systemet är skalbart och kan därför införas anpassat. Det finns gott om kostnadsfritt stöd att tillgå. BITS underhålls inte längre men det arbete som investerats i metodstödet går att återanvända Ligger förekommande styrdokument till grund för regelbundet återkommande information och utbildning? Information om nya styrande dokument har utförts vilket kommenterats ovan. Regelbundet återkommande information om informationssäkerhet och hur arbetet med detta utvecklar sig i kommunen saknas. Vi noterar att kommunmedarbetare uppmanas, och skall försäkra, att de genomgått Säkerhetsutbildning IT-test på intranätet (DISA 1 /ISA) Kommunen säkerställer vid granskningstillfället inte att alla kvalificerade funktioner involverade i kommunens informationssäkerhetsarbete har adekvat kunskap i ämnet. Det finns ingen plan som säkerställer en återkommande uppdatering och utveckling av kunskaperna hos dem med särskilda roller och ansvar för informationssäkerheten. 1 DISA är MSB:s informationssäkerhetsutbildning för användare och erbjuds alla organisationer kostnadsfritt. Syftet med DISA är att på ett enkelt och kostnadseffektivt sätt höja nivån på informationssäkerheten inom en organisation genom att säkerställa att samtliga medarbetare har förståelse för grunderna med informationssäkerhet. Utbildningen vänder sig till alla på en arbetsplats och kan användas som introduktion för nyanställda, vikarier, konsulter och annan inhyrd personal KPMG AB, a Swedish limited liability company and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative ( KPMG International ), a Swiss entity. All rights reserved. 10

13 ABCD Timrå kommun Revisionsrapport - Informationssäkerhet Kommentarer För att lyckas med informationssäkerhetsarbetet som en naturlig del av ansvaret i linjen behöver respektive funktion kunskap som korresponderar till ansvaret. Säkerställ att beslutsfattare, särskilt ansvariga och samordnare har relevant kunskap för sitt uppdrag och inte enbart för sin roll som användare av datoriserade verksamhetsstöd Kontrolleras det återkommande att de styrande dokumenten eller motsvarande efterlevs? Inga särskilda kontroller uppges finns införda än mindre utförda. Internkontrollplanen 2013 för kommunen som helhet innehåller inga kontrollmål och följaktligen inga kontrollåtgärder som omfattar informationssäkerhet. Vi iakttar dock ett undantag från detta förhållande: Socialförvaltningens Plan för intern kontroll 2013 enligt dokumentet fastställd Här finner vi förståelse för vad kontroll innebär, vem som har ansvaret, när den skall utföras och vem som skall ta emot och hantera resultatet. Kommentarer Med MSB: s material som stöd och kommunintern kunskap om hur den skall hanteras finns möjlighet att utforma, införa och utföra kontroller för att säkerställa hela kommunens efterlevnad av beslutade styrdokument. KPMG, dag som ovan Lars Anteskog Projektansvarig Tommy Eriksson Kundansvarig 2013 KPMG AB, a Swedish limited liability company and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative ( KPMG International ), a Swiss entity. All rights reserved. 11

14 Kommunens informationssäkerhet en vägledning FÖRBEREDA ANALYSERA UTFORMA INFÖRA FÖLJA UPP FÖRBÄTTRA Introduktion Verksamhet Åtgärder Planera genomförande Övervaka Utveckla LIS och skyddet Ledningens engagemang Risk Processer Konstruera och anskaffa Granska Kommunicera förbättringar Projektplanering GAP Styrdokument Inför Ledningens genomgång Fortsatt arbete KUNSKAPSBANK

15 Kommunens informationssäkerhet en vägledning

16 Kommunens informationssäkerhet en vägledning Utgiven av: Myndigheten för samhällsskydd och beredskap (MSB) Vid frågor kontakta: Enheten för samhällets informationssäkerhet, MSB Layout: Advant Produktionsbyrå AB Tryck: DanagårdLiTHO Publikationsnummer: MSB508 - december 2012 ISBN:

17 Innehållsförteckning 1. Inledning Syfte Målgrupp Nytta Ledningssystem Vägledningen Kommuners informationssäkerhetsarbete Förutsättningar och behov Informationssäkerhetssamordning inom kommunen Ledningens engagemang Legala krav Relevant bakgrundsmaterial Risk- och sårbarhetsanalyser Förberedelser för införande av ett LIS Projekthantering Bemanning Checklista förberedelser Analysera Verksamhetsanalys Riskanalys GAP-analys Utforma Välj säkerhetsåtgärder Utforma säkerhetsprocesser Utforma policy och styrdokument Införa Planera genomförande Konstruera och anskaffa Införa...37

18 Bilaga 1: Policy och Riktlinjer för Informationssäkerhet Framtagande av policy och riktlinjer När ska policyn tas fram Förankring i verksamheterna Beslut om policy och riktlinjer...40 Rekommenderade områden i policyn...40 Allmänt...40 Mål Struktur Riktlinjer Organisation Uppföljning och rapportering Bilaga 2: Informationstillgångar Bilaga 3: Säkerhetsåtgärder... 45

19

20

21 Förord 7 Förord Sveriges kommuner hanterar en betydande del av samhällets tjänster och kommunernas informationsförsörjning är därför en kritisk del i samhällets informationssäkerhet. För att kunna säkerställa en tillräcklig nivå av informationssäkerhet i en kommuns olika förvaltningar och bolag är det av stor betydelse att informationssäkerhetsarbetet bedrivs metodiskt och långsiktigt. Syftet med denna vägledning är att på ett konkret sätt stödja kommuner att bedriva ett sådant arbete. Myndigheten för samhällsskydd och beredskap (MSB) har givit ut föreskrifter om statliga myndigheters informationssäkerhet. Föreskrifterna pekar på att myndigheterna ska följa de internationella standarderna på området, ISO/IEC och ISO/IEC Dessa föreskrifter är endast bindande för statliga myndigheter men det finns stora vinster med att också kommuner arbetar med informationssäkerhet på samma systematiska sätt. Utvecklingen inom e-förvaltning kommer att kräva att kommuner, myndigheter och landsting samverkar än mer. Om alla parter arbetar efter gällande standarder på området kommer det att finnas en ömsesidig förståelse vad gäller säkerhetsfrågor och ett gemensamt språk kring detta. Det skapar exempelvis ökad effektivitet, högre säkerhetsmedvetande och minskade kostnader. På finns ett metodstöd för organisationer som ska införa eller förbättra sitt ledningssystem för informationssäkerhet med utgångspunkt i standarderna. Den här vägledningen presenterar metodstödet på en övergripande nivå och med kommunernas verksamhet och förutsättningar i fokus. Denna vägledning riktar sig främst till den som praktiskt ska bedriva arbetet med kommunens informationssäkerhet. Det bör dock betonas att det är viktigt att engagera representanter från i princip hela organisationen i det systematiska informationssäkerhetsarbetet. Denna vägledning är en första utgåva och kommer att uppdateras regelbundet. Richard Oehme, Enhetschef Enheten för samhällets informationssäkerhet

22 8 KOMMUNENS INFORMATIONSSÄKERHET EN VÄGLEDNING

23 Inledning 9 1. Inledning 1.1 Syfte Informationssäkerhet handlar om att ge kommunens information rätt skydd och omfattar: Tillgänglighet: Att information är tillgänglig i förväntad utsträckning och inom önskad tid Riktighet: Att den skyddas mot oönskad och obehörig förändring eller förstörelse Konfidentialitet: Att den inte i strid med lagkrav eller lokala överenskommelser/riktlinjer tillgängliggörs eller delges obehörig Spårbarhet: Att i efterhand entydigt kunna härleda specifika aktiviteter eller händelser till ett identifierat objekt eller användare (vem, vad, när) Informationssäkerhet omfattar hela kommunens verksamhet och all information oavsett om den finns i datorer, i ett telefonsamtal eller på ett papper. Då stora delar av informationen hanteras med hjälp av IT-system så handlar informationssäkerhet även om teknik. För att kunna säkerställa en tillräcklig nivå av informationssäkerhet i en kommuns olika förvaltningar och bolag är det viktigt att informationssäkerhetsarbetet bedrivs systematiskt och långsiktigt. Myndigheten för samhällsskydd och beredskap (MSB) har därför, i samarbete med andra organisationer och med utgångspunkt i de internationella standarderna i ISO/IEC serien, tagit fram ett metodstöd för ett sådant systematiskt arbete. Metodstödet återfinns i sin helhet på webbadressen Den här vägledningen presenterar metodstödet på en övergripande nivå och med kommunernas speciella verksamhet och förutsättningar som utgångspunkt. Vägledningen visar hur kommunen på ett relativt enkelt sätt kan få en god styrning av informationssäkerheten. Kommunen kan välja att följa vägledningen i sin helhet eller bara valda delar. Oavsett vilket så måste insatserna anpassas till den egna organisationens specifika situation.

24 10 KOMMUNENS INFORMATIONSSÄKERHET EN VÄGLEDNING 1.2 Målgrupp Vägledningen riktar sig främst till den som praktiskt ska bedriva arbetet med att etablera styrning över informationssäkerheten inom en kommun eller någon av dess förvaltningar eller bolag. Det gäller främst verksamhetschefer, säkerhetschefer och informationssäkerhetsansvariga. Det bör dock betonas att i arbetet med att införa eller vidareutveckla kommunens informationssäkerhet är det viktigt att engagera representanter från i princip hela kommunen i arbetet. Exempelvis behövs kunskap om verksamhetens behov, IT-miljön, rättsliga aspekter, ekonomi och revision. 1.3 Nytta Systematiskt och långsiktigt arbete med informationssäkerhet i enlighet med denna vägdelning och metodstödet ger följande nytta för kommunen: Ekonomi: Kommunen får en god informationssäkerhet som är anpassad efter verksamhetens förutsättningar och behov. Kommunen får en bra säkerhetsekonomi genom att säkerhetsincidenter kan undvikas via ett väl avpassat, ändamålsenligt och kostnadseffektivt skydd. Förtroende: Genom säkerhet i informationshanteringen kan omvärlden och invånarnas förtroende för kommunen bibehållas och öka. Efterlevnad: Kommunen säkerställer att legala krav efterlevs och revisioner klaras bättre. Det kan gälla exempelvis skydd av personuppgifter i enlighet med personuppgiftslagen och krav på internkontroll. Styrning: Kommunledningen får möjlighet att styra och följa upp informationssäkerheten så att man kan bevaka att skyddet är effektivt och ändamålsenligt. Kommunikation: Kommunen ansluter sig till ett vedertaget sätt att arbeta med informationssäkerhet och anammar en gemensam terminologi. Därigenom blir det lättare, och ofta en förutsättning för, att kommunicera och samarbeta om gemensamma informationssäkerhetsfrågor med kollegor i andra kommuner och organisationer då det handlar om tillit.

25 Inledning Ledningssystem Genom att använda den här vägledningen och metodstödet etableras ett ledningssystem för informationssäkerhet (LIS) som genom en policy och andra styrande dokument huvudsakligen anger hur informationssäkerheten är organiserad, vem som ansvarar för att göra vad och när, samt hur informationssäkerhetsfrågor ska rapporteras till kommunens ledning. Sättet att styra och leda informationssäkerheten i kommunen måste ligga i linje med kommunens sätt att i övrigt styra och leda verksamheterna. Ett etablerat LIS kan på kommunens begäran granskas av ett oberoende organ som därefter utfärdar ett certifikat, vilket intygar att kommunens ledningssystem lever upp till kraven i ISO/IEC Vägledningen Det metodstöd som finns på webbplatsen är utformat för att passa alla typer av organisationer och behandlar därför frågan på ett mer generellt sätt. Denna vägledning, vilken specifikt riktar sig till kommuner, bygger på erfarenheter och resultat från MSB:s samarbete med några kommuner som använt metodstödet för att etablera en styrning av sin informationssäkerhet. Genom att gå igenom vägledningen får den som har fått i uppdrag att leda eller samordna kommunens informationssäkerhetsarbete: Överblick: En samlad överblick av vad ett ledningssystem är och en beskrivning steg för steg vad arbetet att införa ett sådant system innebär. Praktiska exempel: Baserat på praktiskt arbete som genomförts i ett antal kommuner. Mallar: Länkar till mallar och andra stöddokument. Metodstöd: Länkar till metodstödet på där det finns mer ingående beskrivningar av metodens olika steg.

26 12 KOMMUNENS INFORMATIONSSÄKERHET EN VÄGLEDNING Figuren nedan ger en överblick över de steg kommunen behöver gå igenom för att etablera styrning över sin informationssäkerhet. FÖRBEREDA ANALYSERA UTFORMA INFÖRA FÖLJA UPP FÖRBÄTTRA Introduktion Verksamhet Åtgärder Planera genomförande Övervaka Utveckla LIS och skyddet Ledningens engagemang Risk Processer Konstruera och anskaffa Granska Kommunicera förbättringar Projektplanering GAP Styrdokument Inför Ledningens genomgång Fortsatt arbete KUNSKAPSBANK Figur: Överblick över metodstödet på Varje aktivitet som ingår i de tre delprocesserna analysera, utforma och införa i figuren beskrivs i ett eget avsnitt i denna vägledning. Varje sådant avsnitt innehåller en beskrivning av aktiviteten, en att-göra-lista, aktivitetens resultat samt var man kan erhålla ytterligare stöd, exempelvis i form av mer information, mallar och praktiska kommunrelaterade exempel. Viktiga förutsättningar tas även upp (förbereda), men inte den löpande förvaltningen som tar vid efter det att ledningssystemet är etablerat (följa upp och förbättra). Denna skrift kommer successivt att omarbetas i enlighet med kommunernas återkoppling. Den senaste versionen hittar du alltid på

27

28

29 Kommuners informationssäkerhetsarbete Kommuners informationssäkerhetsarbete 2.1 Förutsättningar och behov Förutsättningarna för informationssäkerhetsarbete inom en kommun liknar till många delar vilken annan organisation som helst, men det finns också väsentliga skillnader. De egenskaper kommuners verksamhet har ger viktiga ingångsvärden för utformningen av informationssäkerhetsarbetet. Några sådana egenskaper är exempelvis: Bredd i verksamheten En kommuns verksamhet bedrivs inom vitt skilda områden och utgör merparten av den offentliga samhällsservicen till medborgarna. Självstyrande förvaltningar Den verksamhet som bedrivs är spridd på olika förvaltningar och kommunägda företag som till olika grader är självstyrande. Samhällsviktiga funktioner Viktiga funktioner i samhället som exempelvis vård, skolor, vatten och värme ligger oftast inom ramen för verksamheten. Störningar i dessa funktioner kan medföra allvarliga konsekvenser. Det finns således många likheter, men även olikheter mellan kommunerna. Det gäller exempelvis tillgängliga resurser. I en undersökning som MSB genomförde under 2012 konstaterades att flertalet av kommunernas informationssäkerhetssamordnare ägnade mindre än 25 % av sin arbetstid åt dessa frågor. Mindre kommuner, med begränsade resurser, väljer dock ofta att samarbeta med andra kommuner kring informationssäkerhetsarbetet, vilket kan ge fördelar på flera plan. Behovet av informationssäkerhet har ökat i takt med att kommuninvånarna förväntar sig snabbare kommunikation med kommunerna, dels via självbetjäning med hjälp av olika e-tjänster, och dels i sin direktkommunikation med kommunen. Invånarna förväntar sig att kommunen ska hantera information som rör dem, exempelvis person uppgifter och information om de olika tjänster de använder, på ett säkert sätt. I samband med kriser krävs också effektiv och säker kommunikation med berörda verksamheter och invånare. Allt detta ställer krav på kommunens organisation och arbetet med informationssäkerhet.

30 16 KOMMUNENS INFORMATIONSSÄKERHET EN VÄGLEDNING 2.2 Informationssäkerhetssamordning inom kommunen Många kommuner har en medarbetare med ett utpekat ansvar för informationssäkerheten, exempelvis en IT-strateg, informationssäkerhetschef eller informationssäkerhetssamordnare. Undersökningar har visat att utgångspunkterna för dennas arbete ofta kan beskrivas på följande sätt: Ansvarets placering Kommunens IT-avdelning eller säkerhetsfunktion är typiska placeringar för samordningsansvaret för kommunens informationssäkerhet. Deltid med informationssäkerhet Samordnaren av informationssäkerheten har ofta detta som en av sina arbetsuppgifter vid sidan av annat. Det gör att många kommuner saknar någon som arbetar heltid med just informationssäkerhet. Behov av stöd Den som har fått ett sådant samordningsansvar är ofta i behov av utbildning och stöd för att effektivt kunna utföra sina uppgifter. Det bör i kommunen finnas en tjänst med utpekat ansvar för informationssäkerheten. Det är även centralt att denna person har god kunskap om informationssäkerhet och får tillräcklig tid och resurser för att utföra sitt arbete. Erfarenheter visar att de organisationer som har detta på plats får en bättre kontroll över risker och organisationens skydd vilket i förlängningen leder till minskade risker, att omvärldens förtroende för organisationen ökar och oväntade kostnader kan förhindras. Informationssäkerhet handlar om hela kommunen som organisation och denna tjänst bör därför organisatoriskt placeras så att samarbete med och stöd från bland annat jurister, HR, kommunikation och IT kan bedrivas på bästa sätt. 2.3 Ledningens engagemang All erfarenhet visar att ledningens engagemang är kritiskt för att informationssäkerhetsarbetet ska kunna bli effektivt och ändamålsenligt. Bristande informationssäkerhet märks först när en incident inträffar, vilket gör att frågan ofta får stå tillbaks till förmån för sådant som är mer påtagligt. Att inte ta informationssäkerheten på allvar kan medföra negativa konsekvenser för kommunens verksamhet och ekonomi, samt drabba invånarna. Det är därför viktigt att kommunens ledning kan se såväl vinsterna med ett systematiskt informationssäkerhetsarbete som vilka risker det finns med avsaknaden av det. Ledningens roll kan beskrivas som följer:

31 Kommuners informationssäkerhetsarbete 17 Ledningen har ansvaret Ledningen har det övergripande ansvaret för informationssäkerheten inom kommunen och är ytterst ansvarig vid incidenter. Alla kommunala nämnder har också ett ansvar för att följa personuppgiftslagen och behandla personuppgifter på ett korrekt sätt. Engagemang skapar medvetenhet En ledning som är engagerad och införstådd med verksamhetsnyttan med ett systematiskt informationssäkerhetsarbete skapar förutsättningar för en hög säkerhetsmedvetenhet i hela kommunen. Positiv kommunikation Det är viktigt att ledningen kommunicerar ut att informationssäkerhetsarbetet är till allas fördel och att det skapar bättre förutsättningar för det vardagliga arbetet. Mandat för samordningsansvaret Kommunens ledning måste kommunicera till de olika förvaltningarna och bolagen som berörs att ett samordningsansvar utpekats och att den medarbetaren har mandatet att arbeta med informationssäkerhetsfrågorna ute i verksamheten. En aktiv ledning som tar initiativ i informationssäkerhetsfrågan och tydliggör ansvaret, skapar goda förutsättningar för att styrningen av kommunens informationssäkerhet blir effektiv. Ledningen bör också minst årligen följa upp och utvärdera informationssäkerhetsarbetet och besluta om dess framtida inriktning. 2.4 Lagar och förordningar Lagar och förordningar ställer krav på kommuners informationssäkerhet. Följande lagar och förordningar ställer direkt eller indirekt krav på informationssäkerheten (exempel): Personuppgiftslagen Offentlighets- och sekretesslagen Säkerhetsskyddslagen Arkivlagen Patientdatalagen Förvaltningslagen Lag om offentlig upphandling Lag om kommunal redovisning

32 18 KOMMUNENS INFORMATIONSSÄKERHET EN VÄGLEDNING Lag om kommuners och landstings åtgärder inför och vid extra ordinära händelser i fredstid och höjd beredskap Kommunallagen För hälso- och sjukvårdsverksamheten inom en kommun gäller även att följa de krav som ställs på informationssäkerheten enligt Socialstyrelsens föreskrifter (SOSFS 2008:14). Kraven omfattar hur patientuppgifter ska hanteras samt hur informationssäkerhetsarbetet ska bedrivas och vad det ska omfatta. I och med att det finns många olika verksamheter inom en kommun är det också många olika legala krav att förhålla sig till. På finns en sammanställning av de olika lagar och förordningar en kommun har att förhålla sig till med bäring på informationssäkerhet. Genom att utforma sin styrning av informationssäkerheten i enlighet med denna handbok tar kom munen viktiga steg till att uppfylla de lagkrav som gäller. 2.5 Relevant bakgrundsmaterial Många kommuner har arbetat med Krisberedskapsmyndighetens rekommendationer och verktyg BITS och BITS Plus (BITS står för Basnivå för Informationssäkerhet). MSB lyfter nu istället fram de internationella standarderna i ISO/IEC serien och metodstödet på De tidigare insatserna enligt BITS kan användas som en utgångspunkt i det vidare arbetet, exempelvis vad avser utformning av skydd för specifika informationssystem, tidigare inventering av kritiska informationstillgångar samt redan framtagna styrande dokument som informationssäkerhets policy. Tidigare insatser och erfarenheter inom informationssäkerhet, oavsett metod, bör utgöra en av utgångspunkterna när kom munen följer denna handbok.

33 Kommuners informationssäkerhetsarbete Risk- och sårbarhetsanalyser Samtliga Sveriges kommuner är skyldiga att genomföra risk- och sårbarhetsanalyser (RSA) enligt lagen om kommuners och landstings åtgärder inför och vid extraordinära händelser i fredstid och höjd beredskap (LEH). Oavsett var i landet en kris inträffar får den alltid konsekvenser i en eller flera kommuner. Då gäller det att i förväg ha analyserat risker, sårbarheter, sin egen förmåga och sina samverkansbehov. MSB har i en föreskrift förtydligat vad som ska ingå i en RSA. Bland de olika förhållandena som kommunen ska kunna redogöra för finns även krav på rapportering av hur god förmåga kommunen har att skydda informationens konfidentialitet, tillgänglighet och riktighet.