IT-policy. Antagen av Försvarsförbundets förbundsstyrelse 24 april Reviderad efter FS-beslut 21 maj 2013

Transkript

1 H IT-policy Antagen av Försvarsförbundets förbundsstyrelse 24 april 2011 Reviderad efter FS-beslut 21 maj 2013

2 Innehållsförteckning 1 Inledning Syfte Ansvar Omfattning och avgränsning Omfattning Avgränsning Informationshantering Metoder och arbetssätt Internet Surfande E-post Program, bilder och filmer med mera Sociala medier Informationskontroll Lösenord Lösenordskriterium Ansvar Åtgärder vid brott mot denna policy Signering... 9 Försvarsförbundets IT-policy Sidan 1 av

3 1 Inledning Att Försvarsförbundet har en IT-säkerhetspolicy (IT står för informationsteknologi), framgent kallad IT-policy, kan ha lika stor eller rent av större betydelse än att lägga ner stora belopp på avancerad teknik. Vi kan inte enbart förlita oss på tekniska lösningar utan måste också ha en förståelse och respekt inom organisationen för vad som är god sed och sunt förnuft vid användningen av förbundets utrustning och resurser. I begreppet IT omfattas hela Försvarsförbundets IT-miljö och IT-utrustning, oavsett var den finns. Med IT-utrustning avses utrustning för informationsteknik såsom servrar, datorer med kringutrustning, databaser, operativsystem, virusskydd, gemensamma system, skrivare, kopiatorer, handdatorer, digitalkameror, mobiltelefoner, faxar, datalagringsmedia samt programvaror för dessa. En policy 1 definieras av representanter för berörda grupper. Därefter bör policyn testas för att utvärdera dess konsekvenser. Beroende på utvärderingen omdefinieras policyn. Slutligen bör användarna i god tid informeras inför implementeringen av policyn för att undvika negativ kritik. IT-policyn träder i kraft i och med att beslut tas av förbundsstyrelsen och gäller tills vidare. 2 Syfte Användandet av informationsteknik kan medföra säkerhetsrisker för förbundets verksamheter, enskilda datorer, informationssystem, nätverk och naturligtvis informationen i dessa och med det hela Försvarsförbundet och dess verksamhet. Det är viktigt att all personal och de förtroendevalda samt inhyrda konsulter som använder Internet är medvetna om att all internettrafik, oavsett om det rör sig om e-postmeddelanden eller surfande, är spårbar tillbaka till förbundet. Därför ska e-post och internetanvändande begränsas till verksamhetsrelaterade arbetsuppgifter. I viss mån får Internet användas privat, men bara så länge detta inte medför några negativa effekter på arbetet eller att användandet inte bryter mot Försvarsförbundets grundläggande värderingar i enlighet med förbundets stadgar. Detta dokument syftar till att ge all personal, de förtroendevalda och inhyrda konsulter som använder sig av Försvarsförbundets tekniska resurser trygghet genom att på ett tydligt sätt förmedla gränserna för vad som är tillåtet och inte tillåtet i användandet av IT. Ingen ska behöva känna sig orolig för att göra fel av misstag eller på grund av okunskap. 1 Underlaget till denna IT-policy kommer främst från webbplatsen och dokument nedladdade därifrån den 25 januari En del information kommer även från vårt IT-supportföretag HPS och från andra källor. Försvarsförbundets IT-policy Sidan 2 av

4 3 Ansvar Användandet av Försvarsförbundets IT-system bygger på sunt förnuft och ansvaret för användandet ligger på användaren. Vid oklarheter i hur policyn ska tillämpas ska användaren kontakta kanslichefen för att reda ut de frågeställningar som föreligger. Det yttersta ansvaret för policyns tillämpning ligger dock på Försvarsförbundets förbundsstyrelse som delegerar uppdrag till kanslichefen. 4 Omfattning och avgränsning 4.1 Omfattning Policyn omfattar Försvarsförbundets IT-system, personal, förbundsstyrelseledamöter inklusive suppleanter och revisorer samt inhyrd personal som använder sig av Försvarsförbundets IT-system och även andra förtroendevalda som skrivit på policyn. Förbundsstyrelseledamöterna med suppleanter, revisorer och andra förtroendevalda som skrivit på policyn kommer framgent att kallas förtroendevalda. Policyn inbegriper även ett regelverk för att tydliggöra vad som är tillåtet och vad som inte är tillåtet. 4.2 Avgränsning För att inte policyn ska bli ohanterlig på grund av sin storlek så har bland annat följande saker inte tagits med: inköp, beställning av teknik, service, support, förvaltning, utveckling, tillgänglighet, utbildning, telefoni, mapphantering, nätverk, skrivare, vad som ska anses vara standardprogram och vad som är tilläggsprogram, hantering av medlemsregistret eller hantering av skrotad utrustning. 5. Informationshantering Flyttbara medier ska hanteras med försiktighet med avseende på de säkerhetsrisker som de utsätter Försvarsförbundets IT-system för. Material från CD-skivor, USBminnen och liknande kan medföra att ondsinta program (exempelvis virus, maskar, trojaner eller spionprogram) och annat oavsiktligt införs i systemen. Det är dock orealistiskt för vår organisation om vi inte själva har möjlighet att lägga in de dokument, program och drivrutiner vi behöver då det skulle resultera i långa väntetider i avvaktan på leverans av konsulttjänster. Det är heller inte acceptabelt att skriva in ett beroende av en konsultfirmas tjänster i en policy. Därför kan vi inte förbjuda användarna från att själva installera nödvändiga program eller använda sig av flyttbara lagringsutrymmen. 5.1 Metoder och arbetssätt När du använder datorer eller annan fristående IT-utrustning ska du beakta risken för informationsförlust. Tänk på att risken är större att säkerhetsprogram på datorn blir föråldrade när du är bortkopplad från Försvarsförbundets nätverk. Det finns också en risk att du blir av med stora mängder material då materialet inte säkerhetskopieras när Försvarsförbundets IT-policy Sidan 3 av

5 du jobbar frånkopplat. Du som använder IT-utrustning för ditt arbete utanför Försvarsförbundets kansli ansvarar för att: antivirusprogramvaran hela tiden hålls uppdaterad utrustningen och information hanteras på ett säkert sätt ur säkerhets- och stöldsynpunkt. Exempelvis ska bärbara datorer eller annan fristående ITutrustning som lämnas i hotell- eller konferensrum och på liknande platser låsas in. 6. Internet Internet är ett arbetsverktyg och ska användas så att det inte inkräktar negativt på arbetet, inte medför onödiga kostnader eller utsätter organisationen för onödiga risker. All användning sker i Försvarsförbundets namn. Skulle användningen av Internet inte följa de riktlinjer som är givna i denna policy så ska det omgående rapporteras till kanslichefen för behandling och lämplig åtgärd. Det är inte tillåtet att: olovligen förstöra, manipulera eller ta bort information dölja sin användaridentitet avlyssna eller skanna datatrafik förolämpa, förtala eller på annat sätt orsaka problem för personer eller organisationer begå någon form av bedrägeri eller trakasseri förorsaka onödig belastning på internetförbindelsen eller nätverket medvetet medverka till att sprida ondsinta program eller kod (exempelvis virus, maskar, trojaner och spionprogram) olovligen bereda sig tillgång till IT-resurser medvetet störa nätverkstrafiken medvetet publicera/sprida felaktiga uppgifter eller information utge sig för att vara någon annan söka kontakt med personer för sexuella, rasistiska, pornografiska, våldförhärligande kontakter, eller för att söka våld, spel, droger eller kontakter av politiskt extrem art eller i uppsåt att göra något olagligt Internetanvändning ska: uppfylla gällande lag, förordningar och föreskrifter, inte utsätta verksamheten för onödiga risker och inte förorsaka förbundet negativ publicitet. Var aktsam för informationsspridning på exempelvis forum där det kan råda oklarhet om avsändaren företräder förbundet eller inte. Ställ alltid frågan om det är rätt att publicera text, om det skulle uppfattas som att Försvarsförbundet är avsändare. Försvarsförbundets IT-policy Sidan 4 av

6 6.1 Surfande Internet får inte användas till att besöka sajter vars innehåll bryter mot Försvarsförbundets grundläggande värderingar i enlighet med förbundets stadgar. Internetsurfande får heller inte göras till sajter som gör att Försvarsförbundet kan ta skada. Detta kan till exempel vara sajter med oanständigt innehåll: rasistiskt, pornografiskt, politiskt extremt, våld-, drog-, eller spelrelaterat innehåll. Det kan också vara sajter som innehåller någon annan form av olaglig information. 6.2 E-post E-postmeddelanden som skickas ska följa Förvarsförbundets profil för att de direkt ska kunna associeras med förbundet. Profilen hittas på hemsidan och i webbarkivet. All användning av e-post ska gälla arbetsrelaterad trafik. Privat trafik får förekomma i begränsad omfattning och med de begränsningar som anges här. Den e-post som skickas till Försvarsförbundet eller finns lagrad i Försvarsförbundets IT-system betraktas som förbundets egendom. All utgående e-post från Försvarsförbundet uppfattas som förbundets då Försvarsförbundet står som avsändare. Det är förbjudet att läsa medarbetares e-post utan dennes medgivande. Försvarsförbundets elektroniska adresser (fornamn.efternamn@forsvarsforbundet.se) ska användas med stor försiktighet vid exempelvis e-registreringar. Detta för att undvika skräppost, så kallad spam i så stor utsträckning som möjligt. Avsändaren ansvarar alltid för att säkerhet och sekretess ligger i paritet med det material som skickas. När känsliga uppgifter ska skickas kan det vara bättre att skicka uppgifterna med vanlig postgång. Det går inte alltid att vara säker på en avsändares identitet och e-post kan också ha manipulerats. Öppna inte e-post med bifogade filer från okända avsändare, utan ta bort dessa omedelbart. Bifogat arbetsrelaterat material, så som rapporter och andra arbetsdokument med mera sparas ner på H:\\ (egen lösenordsskyddad plats på den gemensamma servern). E-postmeddelande med innehåll som kan anses kränkande, stötande eller på annat sätt obehagligt för mottagaren får inte spridas inom Försvarsförbundet. E-post får inte skickas för personlig vinning eller innehålla budskap som är kränkande eller av politiskt extrem art, vara pornografiskt, våldsamt, eller rasistiskt. E-post av kedjebrevskaraktär får inte skickas och inte heller får e-post skickas till någon som tillhandahåller pornografiska, rasistiska eller extrempolitiska produkter. Vidarebefordran av e-post som avses ovan är inte tillåten. Skulle sådana e- postmeddelanden spridas så ska det omgående rapporteras till kanslichefen för behandling och lämplig åtgärd. Försvarsförbundets IT-policy Sidan 5 av

7 6.3 Program, bilder och filmer med mera Program och filer som inte är arbetsrelaterade får endast laddas ner och tillfälligt sparas på Försvarsförbundets IT-system om det inte stör arbetet eller är kapacitetsstörande. Film-, bild- och musikfiler får endast laddas hem och sparas på Försvarsförbundet IT-system om de är lagliga att ladda hem och om de behövs för arbetet. 6.4 Sociala medier Sociala media är ett samlingsnamn för internetbaserad kommunikation där användarna själva genererar innehåll och kommentarer till innehåll i en interaktiv dialog. Några exempel är bloggar, diskussionsforum, wikis, Twitter, YouTube, Flickr, sociala nätverk som exempelvis Facebook och LinkedIn, med flera. Då det oftast handlar om snabb, enkel och billig kommunikation så kan sociala media vara ett effektivt sätt för oss att kommunicera med våra medlemmar och andra intressenter. Ledorden för personalen, de förtroendevalda och konsulter som väljer att kommunicera i sociala medier ska vara: transparens och tydlighet ärlighet och ansvarstagande bidra med kompetens artighet och gott omdöme respekt för andra, för förbundet och för upphovsrätten varsamhet med resurser. 7 Informationskontroll All information i Försvarsförbundets informationssystem kan komma att kontrolleras. Beslut om kontroll tas av förbundsstyrelsen utsedd person, exempelvis kanslichefen. Försvarsförbundets ledning ska ha tillgång till all information inom systemen vilket innebär att ingen information får utestängas med exempelvis kryptering. Privat e-post eller annat privat material är inte skyddat för behörig insyn inom Försvarsförbundets IT-system. Förbundet äger rättslig skyldighet att kontrollera sina IT-system. Personuppgiftslagen, lagen om elektroniska anslagstavlor och upphovsrättslagen ställer krav på detta. Andra skäl till att gå igenom systemen är för att finna virus- och intrångsförsök. Det är inte tillåtet att: försöka tränga igenom interna eller externa säkerhetsspärrar låta annan anställd, anhörig eller bekant låna lösenord och användarnamn låta anhörig eller bekant låna Försvarsförbundets datorer koppla in extern IT-utrustning i Försvarsförbundets nät utan godkännande från kanslichefen Försvarsförbundets IT-policy Sidan 6 av

8 kopiera eller arkivera exempelvis medlemsregister eller andra personuppgifter från Försvarsförbundets IT-system Försvarsförbundet äger rätt att logga all trafik in och ut på Internet. 8 Lösenord Lösenord och dess kvalitet är vitalt för en organisations IT-säkerhet. Lösenord av god kvalitet minskar risken att obehöriga får åtkomst till en organisations resurser. I en lösenordsbilaga finns mer information om lösenord, hur de kan konstrueras och hanteras inom en organisation. Kom ihåg att ett bra lösenord endast är bra om det byts regelbundet. Så här bör ett lösenord vara: ha minst åtta tecken ha minst tre av de fyra teckenuppsättningarna: versaler, gemener, siffror och ickealfanumeriska tecken personligt och får inte föras vidare inte ha delar av eller bestå av ditt användarnamn inte innehålla personlig information som exempelvis namn, personnummer, telefonnummer, respektive, barn eller husdjurs namn med mera inte vara en vanlig teckenkombination som finns på tangentbordet inte vara ett ord eller en vanlig kombination av ord som finns i ordböcker, ordlistor etcetera eller som används i vanligt tal, oberoende av språk inte vara ett ord som skrivs baklänges unikt för arbetsplatsen och får inte användas som lösenord på andra platser utanför din arbetsplats 8.1 Lösenordskriterium Lösenordet ska: bytas var tredje månad och får inte vara likadant som ett lösenord som har använts de senaste 12 månaderna. Detta gäller inte webbarkivet, här finns inget krav på lösenordsbyte. inte skrivas ned; om så sker så ska det behandlas som en värdehandling inte vara ett temporärt lösenord som finns som standard eller som tilldelats automatiskt Läs mer om lösenord i lösenordsbilagan. 9 Ansvar Det är upp till kanslichefen på uppdrag av förbundsstyrelsen att ansvara för att denna policy implementeras bland anställda och konsulter på kansliet. Förtroendevalda i styrelsen inklusive suppleanter och revisorer ansvarar för att de vid hanteringen av förbundets IT-system följer denna policy. Det är kanslichefens ansvar att vidta åtgärder mot brott mot denna policy. Användarna förbinder sig att följa IT-policyn genom att skriva under denna. Försvarsförbundets IT-policy Sidan 7 av

9 Personalen, förtroendevalda och konsulter förbinder sig att: källkritiskt granska material som används i arbetet säkerställa att materialet är godkänt för användande med hänsyn till upphovsrätten inte kränka den personliga integriteten följa vedertagna netikettsregler (vedertagna etikettsregler på Internet). 10 Åtgärder vid brott mot denna policy Om någon anställd, förtroendevald eller konsult misstänker ett brott mot denna policy så ska detta omedelbart anmälas till kanslichefen. Om överträdelsen är av mindre karaktär så utgår det vid en första överträdelse en muntlig varning, vid en andra överträdelse utdelas en skriftlig varning och om en tredje överträdelse mot denna policy uppdagas kommer vederbörande att fråntas tillgång till Försvarsförbundets ITsystem. Kanslichefen samverkar tillsammans med det lokala facket på arbetsplatsen på sedvanligt sätt i dessa ärenden. En överträdelse av allvarlig art kan leda till skadeståndsanspråk, uteslutning eller uppsägning. Är överträdelsen av mycket allvarlig art kan den leda till polisanmälan. Försvarsförbundets IT-policy Sidan 8 av

10 11 Signering Jag förbinder mig att respektera och följa Försvarsförbundets IT-policy som antagits av förbundsstyrelsen den 24 april I det fall under arbetets gång som jag är tveksam till hur jag ska tolka någon punkt i policyn så förbinder jag mig att omedelbart kontakta kanslichefen så att vi klarar ut frågan. Datum: Signatur: Namnförtydligande: Policyägare, kanslichefen, på uppdrag av Försvarsförbundets förbundsstyrelse Signatur: Namnförtydligande: Detta dokument skrivs på i två exemplar, ett för den som signerar policyn och ett som kanslichefen behåller. Detta exemplar behålls av den som signerat policyn. Försvarsförbundets IT-policy Sidan 9 av

11 11 Signering Jag förbinder mig att respektera och följa Försvarsförbundets IT-policy som antagits av förbundsstyrelsen den 24 april I det fall under arbetets gång som jag är tveksam till hur jag ska tolka någon punkt i policyn så förbinder jag mig att omedelbart kontakta kanslichefen så att vi klarar ut frågan. Datum: Signatur: Namnförtydligande: Policyägare, kanslichefen, på uppdrag av Försvarsförbundets förbundsstyrelse Signatur: Namnförtydligande: Detta dokument skrivs på i två exemplar, ett för den som signerar policyn och ett som kanslichefen behåller. Detta exemplar behåller kanslichefen för arkivering efter underskrift. Försvarsförbundets IT-policy Sidan 10 av

12

13 Lösenordsbilaga Lösenord och dess kvalitet är vitalt för en organisations IT-säkerhet. Lösenord av god kvalitet minskar risken att obehöriga får åtkomst till en organisations resurser. Här kommer information om lösenord, hur de kan konstrueras och hanteras inom en organisation. Kom ihåg att du kan ha ett bra lösenord men om du inte byter det regelbundet så är det inte längre lika säkert. För att knäcka ett lösenord krävs datorkraft och tid. Om lösenordet är av god kvalitet krävs betydande datorkraft och gott om tid för att dekryptera lösenordet. Om lösenordet regelbundet byts ut kan det vara inaktuellt när det väl blivit känt för obehöriga. För att undvika att en obehörig tar sig in med ett befintligt användarnamn och lösenord bör framför allt lösenordet vara svårt att forcera eller gissa. Ett väl valt lösenord bör vara irrationellt uppbyggt för utomstående och inneha ett stort antal tecken, eftersom komplexitet och lösenordslängd i samverkan är grundläggande för ett lösenord av god kvalitet. Teknik Det finns flera faktorer att ta hänsyn till vid konstruktionen av ett lösenord. Nedan följer ett antal riktlinjer som informerar om hur lösenordet bör konstrueras: ett lösenord bör bestå av åtminstone åtta tecken ett lösenord bör bestå av åtminstone tre av de fyra teckenuppsättningarna: versaler, gemener, siffror och ickealfanumeriska tecken. Ett lösenord bör inte vara: detsamma som användarnamnet eller bestå av delar av användarnamnet knutet till personlig information som exempelvis personnummer, telefonnummer, namn med mera en vanlig teckenkombination som exempelvis eller qwerty ett ord eller en vanlig kombination av ord som finns i ordböcker eller används i vanligt förekommande språkbruk och det oberoende av språk, som exempelvis sommar eller hello ett ord som är skrivet baklänges likadant som användarens lösenord utanför organisationen. Avslutningsvis kan sägas att ett lösenord inte bör vara ett ord eller en sammansättning av tecken som publicerats på Internet, eftersom ordlistor kan automatgenereras från elektroniskt lagrad text. Ta hjälp av minnestekniker för att komma ihåg ett komplext lösenord. Här kommer tips på några olika minnetekniker: Lösenordsbilaga Sidan 1 av

14 Utgå ifrån en mening, till exempel "En tallrik, ett glas och bestick.". Det skulle kunna bilda lösenordet "EnTa,1Gl&Be.". Genom att ta de två första bokstäverna i vartdera ordet (versal följt av gemen), förutom vissa ord som associeras till numeriska eller ickealfanumeriska tecken, skapas lösenordet. Utgå ifrån ett telefonnummer, exempelvis " ". Vilket skulle kunna bilda lösenordet "#0Et-1Tt4". Genom att behålla första siffran, omvandla andra siffran till dess första bokstav i ordet för siffran (versal), omvandla tredje siffran till dess första bokstav i ordet för siffran (gemen) och så vidare, förutom association till ett ickealfanumeriskt tecken, skapas lösenordet. Utgå ifrån ett eller flera ord och nummer, exempelvis "surströmming 18:e aug.". Det skulle kunna bilda lösenordet "sur18:eströmmingaug.". Genom att ta delar av innehållet och byta dess ordning och byta vissa gemener till versaler, skapas lösenordet. Utgå ifrån en mening som skapas fritt utifrån mönstret; en konsonant och två vokaler, exempelvis "Dou-Bie-Tou-Bie!". Genom detta förfarande påminner lösenordet om ett ord (även om det inte existerar i verkligheten), till skillnad från ett som är fullständigt slumpmässigt. Det finns program som slumpmässigt skapar komplexa lösenord. Dessa kan vara till nytta vid exempelvis skapandet av konton. Den som administrerar konton får ett enkelt verktyg för att undvika likartade lösenord vid framställningen av nya konton. Risker Ett lösenord kan bli känt för obehöriga på diverse sätt, via tekniska metoder som exempelvis forcering av ett krypterat lösenord eller via triviala metoder som exempelvis att gissa sig fram, leta efter nedskrivna lösenord eller manipulera lösenordsinnehavaren. För att forcera ett krypterat lösenord används vanligtvis särskilda program. Program av denna typ brukar använda två tekniker, eller en kombination av de två, för att dekryptera lösenordet. Den ena tekniken består av ordlistor som prövas gentemot det krypterade lösenordet. Ordlistan innehåller utöver ord, ord skrivna baklänges, namn och slanguttryck, även vanliga teckenkombinationer som exempelvis , qwerty och abcdef. Den andra tekniken innebär att lösenordet gissas genom att gå igenom alla tänkbara kombinationer (så kallad brute force). Ett exempel på detta är ett lösenord på tre tecken: AAA, AAB, AAC osv. I fall med komplexa lösenord kräver dessa tekniker mycket tid för att blotta lösenordet. Komplexa lösenord ökar risken att användarna glömmer lösenordet. Detta kan dels leda till att antalet användare som skriver ned lösenordet ökar och dels till att Lösenordsbilaga Sidan 2 av

15 användarstöd får en förhöjd belastning. För att undvika detta bör införandet av komplexa lösenord hanteras varsamt. Ett komplext lösenord, som inte är nedskrivet, kan även det röjas genom att lösenordsinnehavaren blir vilseledd av en obehörig (så kallad social engineering). I det fallet skulle en obehörig kunna utge sig för att vara en IT-tekniker som behöver användares lösenord för att kunna lösa ett problem. Genom tydlig information i form av en lösenordspolicy minskar risken för detta. Genomförande Bara för att du har ett starkt lösenord, så betyder inte det automatisk att det är säkert. Ett säkert lösenord kräver att du hanterar det rätt, så att det inte hamnar i orätta händer. Ett lösenord i fel händer kan orsaka stor skada. Memorera lösenordet, så att du inte behöver ha det uppskrivet någonstans. Om du har för många lösenord för att kunna komma ihåg dem och måste ha dem uppskrivna, skriv ner dem på papper, absolut inte i datorn. Behandla pappret som ett värdepapper. Det är allt för vanligt att lösenord eller PIN-koder hittas nedskrivna på papperslappar som sedan sitter uppsatta på datorskärmar, på skrivbord eller på baksidan av bankomatkort. Använd inte samma lösenord på flera ställen. Byt lösenord regelbundet. Det gör att även om ditt krypterade lösenord fångats upp, så har du förhoppningsvis bytt ut det till ett nytt innan det gamla har knäckts. Återanvänd aldrig ett lösenord du haft förut. Hitta alltid på ett nytt. Ge aldrig lösenordet till personer som säger sig behöva det i administrationssyfte. Sådan personal har nästan alltid egna lösenord och behöver inte (och vill inte) veta ditt lösenord för att administrera ditt konto. Det är ett vanligt sätt för bedragare att försöka lura folk att självmant avslöja sina lösenord. Förklaringar brute force: uttömmande sökning social engineering: social ingenjörskonst Lösenordsbilaga Sidan 3 av