Södertälje kommun. Rapport: IT- och informationssäkerhet

Transkript

1

2 Södertälje kommun Rapport: IT- och informationssäkerhet

3 Sammanfattning Bakgrund På uppdrag av de förtroendevalda revisorerna i Södertälje kommun har Ernst & Young genomfört en granskning av IT- och informationssäkerhet, vad gäller policys, riktlinjer och hantering av säkerhetsfrågor på övergripande nivå i kommunen. Granskningens syfte har varit att skapa en utgångspunkt för arbetet med IT- och informationssäkerhet inom Södertälje kommun. Granskningen har gjorts mot Myndigheten för samhällsskydd och beredskaps ramverk för informationssäkerhet, BITS. Övergripande slutsatser Av samtliga 72 granskningspunkter är fördelningen av bedömningarna följande: Kontrollen finns och fungerar tillfredsställande: 67 % Kontrollen finns och fungerar delvis: 18 % Kontrollen finns ej eller fungerar ej tillfredsställande: 14 % Ej tillämplig, kontrollen behövs ej av särskilda skäl: 1 % Jämfört med andra kommuner som Ernst & Young gjort liknande granskningar för ligger Södertälje kommuns måluppfyllnad - det vill säga den grad Södertälje kommun uppfyller valda rekommendationer ur BITS - över kommungenomsnittet. Iakttagelser Nedan listas våra mest väsentliga iakttagelser och rekommendationer. Fullständiga iakttagelser och rekommendationer finns i kapitel 4. # Iakttagelse och rekommendation Prioritet 1. Avsaknad av generella riktlinjer för hantering av behörigheter Vi rekommenderar Södertälje kommun att dokumentera och implementera generella riktlinjer för att skapa nya/förändra/ta bort behörigheter i system, samt för att periodiskt granska behörigheter. 2. Avsaknad av generella riktlinjer för hantering av programförändringar Vi rekommenderar Södertälje kommun att dokumentera och implementera generella riktlinjer för beslut och hantering av programförändringar. 3. Arbetet med informationssäkerhet följs ej upp kontinuerligt Vi rekommenderar Södertälje kommun att kontinuerligt följa upp arbetet med informationssäkerhet. Södertälje kommun bör bland annat genomföra regelbundna penetrationstester, liksom granskningar kring efterlevnaden av gällande policys och riktlinjer. Hög Hög Hög ii

4 Innehållsförteckning 1 Bakgrund Syfte Metod Avgränsningar Iakttagelser Granskningsprotokoll Jämförelse mot andra kommuner Slutsatser och rekommendationer Generella slutsatser Rekommendationer Övriga rekommendationer iii

5 1 Bakgrund 1.1 Syfte Idag bedrivs så gott som all verksamhet i en kommun med någon form av datoriserat stöd. Stödet har med tiden utvecklats till en förutsättning för att kunna bedriva verksamhet. För att uppnå kommunens verksamhetsmål krävs att informationen i verksamhetsstödet är tillgänglig, riktig och har korrekt konfidentialitet samt är spårbar. På uppdrag av kommunrevisorerna i Södertälje kommun har Ernst & Young genomfört en granskning av IT- och informationssäkerhet, vad gäller policys, riktlinjer och hantering av säkerhetsfrågor på övergripande nivå i kommunen. Syftet med granskningen är att skapa en utgångspunkt för arbetet med IT- och informationssäkerhet inom Södertälje kommun. I granskningen har gällande säkerhetsnivåer bedömts mot BITS, Myndigheten för samhällsskydd och beredskaps ramverk för informationssäkerhet. BITS står för Basnivå för informationssäkerhet och har sitt ursprung i den internationella informationssäkerhetsstandarden ISO/IEC En jämförelse har även gjorts med resultatet från liknande granskningar i andra kommuner och organisationer. 1.2 Metod Baserat på erfarenheter från tidigare kommunrevisioner har Ernst & Young valt ut ett antal relevanta kontroller som presenteras i BITS, fördelat på elva huvudområden: 1. Säkerhetspolicy 2. Organisation av säkerheten 3. Hantering av tillgångar 4. Personalresurser och säkerhet 5. Fysisk och miljörelaterad säkerhet 6. Styrning av kommunikation och drift 7. Styrning av åtkomst 8. Anskaffning, utveckling och underhåll av informationssystem 9. Hantering av informationssäkerhetsincidenter 10. Kontinuitetsplanering i verksamheten 11. Efterlevnad 1 av 17

6 Rapporten redovisar i vilken grad kommunen uppfyller valda rekommendationer ur BITS. Resultatet är en sammanvägd bedömning, som baseras på information som lämnats vid intervjuerna samt genom erhållen dokumentation. Den sammanvägda bedömningen av svaren på kontrollerna har bedömts enligt följande alternativ: Kontrollen finns och fungerar tillfredsställande. Kontrollen finns och fungerar delvis. Nej E/T Kontrollen finns ej eller fungerar ej tillfredsställande. Ej tillämplig, kontrollen behövs ej av särskilda skäl. Analysen baseras på erhållen dokumentation samt på intervjuer med Jens Lindh (it-strateg), Jonas Knutsson (it-chef) samt Tommy Nilsson (drift och avtalsansvarig). Arbetet med informationssäkerhet samordnas av kommunens it-strateg. Arbetet har genomförts av Jonas Edberg och Tobias Hermansson under juni/juli 2012 och kvalitetssäkrats av Anna Nielanger. De intervjuade har fått möjlighet att faktagranska rapporten. 1.3 Avgränsningar Iakttagelser och analyser baseras enbart på information som har inhämtats vid intervjuer och förelagd dokumentation. Inga tester har genomförts. Det kan finnas brister i kommunens hantering av informationssäkerhet som vi inte har identifierat. Arbetet har inte omfattat test av generella ITkontroller och applikationskontroller. Denna rapport tar endast hänsyn till nuläget i Södertälje kommun. 2 av 17

7 2 Iakttagelser 2.1 Granskningsprotokoll Granskningspunkt Kommentar Utvärdering 1 Säkerhetspolicy 1.1 Har kommunen en informations-/itsäkerhetspolicy? 2 Organisation av säkerheten 2.1 Finns det en informationssäkerhetssamordnare/- funktion för informationssäkerhet? 2.2 Har ledningen utsett systemägare för samtliga informationssystem? 2.3 Har organisationen utsett systemansvariga? 2.4 Finns det en samordningsfunktion för att länka samman den operativa verksamheten för informationssäkerhet och ledningen? Kommunen har en IT-säkerhetspolicy som beslutades IT-säkerhetspolicyn innefattar en beskrivning över målen för Södertälje kommuns IT-säkerhetsarbete, liksom beskrivning av riktlinjer för att uppnå målen. Likaså innefattar ITsäkerhetspolicyn en beskrivning av både det övergripande och det operativa ansvaret för IT-säkerheten. IT-säkerhetspolicyn specificerar att policyn skall revideras varje år, vilket inte skett omarbetades dokumentet, men den nya versionen beslutades aldrig. Enligt respondenterna behöver policyn ses över och uppdateras, bland annat avseende hantering av incidenter. Under våren 2012 har en förändring avseende ansvaret för samordningen av arbetet med informationssäkerhet gjorts för att säkerställa att Södertälje kommun arbeta mer proaktivt än tidigare med området. Södertälje kommun har utsett kommunens IT-strateg som ansvarig för informationssäkerhetsarbetet och han har sedan den första maj 2012 en separat budget för detta arbete. Kommunens IT-strateg rapporterar numera direkt till kommunstrategen inom kommunstyrelsens kontor och ingår ej i kommunens IT-enhet, som han tidigare gjort. En preliminär handlingsplan för arbetet med informationssäkerhet har tagits fram. Planen innefattar bland annat åtgärdspunkter relaterat till PUL, revidering av informationssäkerhetspolicyn, planer för systemsäkerhetsgenomgång samt översyn av centrala avtal. Samtliga verksamhetskritiska system har en utsedd systemägare. Det åligger respektive kontorschef att tillse att systemägare utses. För att säkerställa efterlevnad kontrollerar IT-enheten vid systemspecifika beställningar att systemförteckningen är uppdaterad med utsedd systemägare och systemförvaltare. Utöver detta har även den externa leverantören Tieto, vilken sköter driften av ett flertal system, instruktion om att ej ta över driften av nya system om inte systemägare och systemförvaltare finns utpekade. Systemägares roll och ansvar finns specificerade i kommunens IT-säkerhetspolicy. Kommunen har utsett systemägare och systemförvaltare för majoriteten av sina system. För vissa mindre system finns endast kontaktperson utsedd. Samliga system och ansvariga finns dokumenterat i kommunens systemförteckning SAR. Systemförvaltares/kontaktpersoners roll och ansvar finns specificerade i kommunens IT-säkerhetspolicy. Under våren 2012 har Södertälje kommun utsett kommunens ITstrateg som ansvarig för informationssäkerhetsarbetet. 3 av 17

8 Granskningspunkt Kommentar Utvärdering 2.5 Har ansvaret för informationssäkerheten reglerats i avtal för informationsbehandling som lagts ut på en utomstående organisation? 3 Hantering av tillgångar 3.1 Är organisationens information klassad avseende sekretess/riktighet/tillgänglighet? 3.2 Har samtliga informationssystem identifierats och dokumenterats i en aktuell systemförteckning? 3.3 Finns det en ansvarsfördelning för organisationens samtliga informationstillgångar? 3.4 Finns det upprättat dokument för hur informationsbehandlingsresurser får användas? 4 Personalresurser och säkerhet 4.1 Får inhyrd/inlånad personal information om vilka säkerhetskrav och instruktioner som gäller? Kommunen har lagt ut drift av system på ett flertal olika externa parter, så som Tieto, Aditro (lönesystemet) och Logica (ekonomisystemet). Respondenterna ser ett behov av att ta fram riktlinjer för hur avtalsskrivning med extern part skall hanteras, och standardskrivningar som alltid skall inkluderas. Ernst & Young har erhållit avtalen med Aditro och Logica. Avtalen med Aditro reglerar områden så som sekretess och servicenivåer. Avtalen med Logica reglerar områden så som sekretess, servicenivåer och ändringshantering. Vi har inte kunnat identifiera någon revisionsklausul i något av avtalen. Då större avtal skall ingås skall kommunens IT-strateg vara involverad. Utöver detta bistår även IT-enheten med kompetens kring kravställning relaterat till IT vid behov. Någon komplett informationsklassning har ej genomförts. I systemförteckningen anges dock om ett system innehåller personuppgifter samt om ett system är verksamhetskritiskt. Utöver detta har en tillgänglighetsklassning gjorts inom ramen för avtalet med Tieto där systemen delats in i fyra nivåer, T1 T4. Kommunen använder sig av en checklista för att bedöma om ett system är verksamhetskritiskt eller ej. Denna checklista kommer att ses över. Inom kommunen finns en systemförteckning kallad SAR. Förteckningen specificerar bland annat vem som ansvarar för respektive system, vem som är systemförvaltare, kostnadskod, om systemet innehåller personuppgifter samt huruvida systemet är verksamhetskritiskt eller ej. Vid tillfället för granskningen innehöll listan ca 200 system. Uppdatering av systemförteckningen i samband med att en systemägare slutar sker manuellt, däremot görs det inte alltid när en systemägare byter tjänst. Periodisk genomgång av listan för att säkerställa att samtliga system har en utpekad systemägare sker ej. Det åligger respektive systemägare att uppdatera informationen i förteckningen. Uppdatering sker via ett formulär på kommunens nätverk. Systemägare och systemförvaltare/kontaktperson har angetts för majoriteten av kommunens system och finns dokumenterat i systemförteckning SAR. Kommunen använder sig av en ett dokument kallat Användarförsäkran vilket personal måste godkänna vid varje påloggning mot kommunens nätverk. Användarförsäkran behandlar bland annat användningen av kommunens datorer, internet, e-post samt lösenord och behörigheter. Kommunens saknar rutin för att tredje part som tilldelas åtkomst till kommunens nätverk och system tar del av ITsäkerhetspolicyn. Inhyrd personal hanteras på samma sätt som vanliga användare och godkänner Användarförsäkran vid varje påloggning. I samband med att åtkomst tilldelas till kommunens sociala system skall även tystnadsplikt skrivas under. Externa konsulter tilldelas åtkomst först efter att respektive systemägare godkänt dess åtkomst. För att ansluta används sedan mjukvara för att upprätta krypterad anslutning, påloggning ser med tvåparts-autentisering. Vid påloggning behöver inte användarförsäkras godkännas, konsulter erhåller dock en länk till dokumentet när deras behörighet läggs upp. 4 av 17

9 Granskningspunkt Kommentar Utvärdering 4.2 Har systemägaren definierat vilka krav som ställs på användare som får tillgång till informationssystem och information? 4.3 Finns det framtagna dokumenterade säkerhetsinstruktioner för användare? 4.4 Genomförs utbildningsinsatser inom informationssäkerhet regelbundet? 4.5 Finns det användarhandledning för ett informationssystem att tillgå? 4.6 Dras åtkomsträtten till information och informationsbehandlingsresurser in vid avslutande av anställning eller vid förflyttning? 5 Fysisk och miljörelaterad säkerhet 5.1 Finns funktioner för att förhindra obehörig fysisk tillträde till organisationens lokaler och information? 5.2 Har IT-utrustning som kräver avbrottsfri kraft identifierats? 5.3 Finns larm kopplat till larmmottagare för: - brand, temperatur, fukt? - sker test till larmmottagare? Kommunen använder sig av det gemensamma dokumentet Användarförsäkran vilket måste godkännas vid påloggning till kommunens nätverk. För kommunens sociala system finns framtagna dokument med ytterligare krav vilka alltid måste godkännas för att erhålla åtkomst. Kommunen använder sig av dokumentet Användarförsäkran vilket måste godkännas vid påloggning till kommunens nätverk. Utöver detta finns även specifika instruktioner för de system som driftas av Tieto, bland annat i respektive systembeskrivning vilken är tillgänglig för supporten. Nej, utbildningsinsatser genomförs ej regelbundet. Det ingår dock i den åtgärdsplan som tagits fram. Respektive systemägare ansvarar för att användarhandledning finns tillgängligt. För de större verksamhetssystemen är användarhandledningen inbyggd och tillgänglig direkt i systemen. IT-enheten tillhandahåller även en Webbhjälp, vilket är en databas med handledning kring bland annat MS Office, policys och riktlinjer. Denna nås både på intranätet samt hemifrån vid inloggning. Det åligger respektive systemägare att anmäla till IT-enheten när personal skall ha ändrade behörigheter. En stor del av systemen är kopplade mot kommunens gemensamma katalogtjänst, Active Directory, vilken innehåller samtliga användare med tillgång till kommunens nätverk. När personal avslutar sin tjänst i personalavdelningens system sätts motsvarande användarprofil i katalogtjänsten i två veckors karantän, innan slutlig borttagning påbörjas. Behörigheter i de system som inte är kopplade till katalogtjänsten skall anmälas för borttag till IT-enheten av respektive systemägare när personal slutar. Bland dessa system återfinns bland annat kommunens socialsystem. Timanställd personal som behöver tillgång till socialsystemen tilldelas åtkomst till gruppkonton. Åtkomsten dokumenteras enligt respondenterna i en manuell logg och inloggning sker med tvåparts-autentisering. För att logga på samtliga av kommunens system krävs åtkomst till kommunens nätverk. Stadshuset använder sig av ett passerkortssystem vilket administreras av inre service. Samma system reglerar även tillträdet till kommunens datahall. Stadshuset och datahallen är utrustat med avbrottsfri kraft i två nivåer. Vid ett eventuellt avbrott tar direkt en avbrottsfri kraftförsörjning baserad på batterier vid. För avbrott längre än 20 min används istället ett dieselaggregat, vilket täcker stora delar av stadshuset. Testning av den avbrottsfria kraften har skett och administreras av kommunens säkerhetsavdelning. Kommunens datahall är utrustad med brand-, temperatur- och fuktlarm vilka skall testas löpande av leverantören Tieto och rapporteras till IT-enheten. Några tester har vid tidpunkten för granskningen ännu inte genomförts/rapporterats till kommunen. Nej 5.4 Finns i direkt anslutning till viktig datorkommunikationsutrustning kolsyresläckare? Datahallen är utrustad med automatisk gas-släckning. 5 av 17

10 Granskningspunkt Kommentar Utvärdering 5.5 Regleras tillträde till utrymmen med känslig information eller informationssystem utifrån informationens skyddsbehov? Tillträdesrättigheter, rutiner för upprättande? För att få tillträde till datahallen görs beställning via e-post till inre service, som även tilldelar åtkomsten efter godkännande från utpekad person på IT-enheten. För tillträde krävs både kort och tillhörande kod, samtliga tillträden loggas. Rutin för periodisk genomgång av listan över personer med tillträde till kommunens datahall finns och skall genomföras av driftsansvarig på IT-enheten. Leverantören ansvarar för den fysiska säkerheten i datahallen, samtlig utrustning ägs dock av kommunen. För att få tillgång krävs en beställning av arbete, att arbetet utförs av en godkänd leverantör, att personen som skall utföra arbetet är utpekad av leverantören samt att besöket föranmäls till Tieto. Föranmälan skall även verifieras av IT-enheten. 5.6 Är korskopplingsskåp låsta? Samtliga korskopplingsskåp i stadshuset är låsta. Vid tillfället för granskningen är en genomgång av samtliga korskopplingsskåp inom kommunens skolor påbörjad, inom vilken olåsta skåp påträffats. Nycklar till korskopplingsskåpen har supportpersonalen samt inre service. 5.7 Raderas känslig information på ett säkert sätt från utrustning som tas ur bruk eller återanvänds? 6 Styrning av kommunikation och drift 6.1 Finns det driftdokumentation för verksamhetskritiska informationssystem? 6.2 Är klockorna i informationssystemen synkroniserade med godkänd exakt tidsangivelse? 6.3 Sker system-/programutveckling samt tester av modifierade system åtskilt från driftmiljön? 6.4 Finns rutiner för hur utomstående leverantörers tjänster följs upp och granskas? 6.5 Godkänner lämplig personal (systemägaren) driftsättningar av förändrade informationssystem? 6.6 Finns det för både servrar och klienter rutiner för skydd mot skadlig programkod? Kommunen använder sig av leverantören Tieto för att radera information på hårddiskar och minnen, vilka sedan återanvänds. Rutinen är enligt respondenterna dokumenterad hos Tieto. I samband med att en hårddisk rensas raderas även användarens hemkatalog samt e-postkonto. I praktiken är det möjligt att återanvända kommunens datorer utan att hårddisken raderas. Användare kan logga in på samtliga datorer med det egna användarkontot. Kommunen har som policy att ej spara känslig information lokalt, vilket enligt respondenterna inte alltid efterlevs. Respektive chef ansvarar för att datorer samlas in och att information raderas på korrekt sätt., driftdokumentation finns enligt respondenterna för verksamhetskritiska system. Tieto är ansvarig för att säkerställa att driftdokumentation finns upprättad och enligt respondenterna har Tieto som rutin att ej ta över driften av ett system utan upprättad driftdokumentation på server och systemnivå. Utöver driftdokumentationen skall även Tieto ha en operativ driftshandbok upprättad., kommunen har en gemensam lösning för datahallen. En majoritet av de kritiska verksamhetssystemen har en separat testmiljö, bland annat personalsystemet samt ekonomisystemet. Data i testmiljöerna är inte alltid uppdaterad. Kommunens kritiska verksamhetssystem består i huvudsak av standardsystem. Det finns ingen specifik dokumenterad rutin definierad för hur leveransuppföljningen skall utföras. Utpekad person på IT-enheten koordinerar leveransuppföljningen relaterat till Tieto via återkommande driftsmöten. För övriga leverantörer ansvarar respektive person i verksamheten som ingått avtalet, vilket i praktiken oftast är systemägaren., kommunen har rutiner för driftsättning. Slutligt godkännande av respektive systemägare krävs alltid., MacAfee köps in som tjänst från leverantören Tieto för de administrativa näten. Inom skolan används F-Secure. 6 av 17

11 Granskningspunkt Kommentar Utvärdering 6.7 Har organisations nätverk delats upp i mindre enheter (segmentering), så att en (virus) attack enbart drabbar en del av nätverket? 6.8 Genomförs säkerhetskopiering regelbundet? 6.9 Genomförs regelbundna tester för att säkerställa att informationssystem kan återstartas från säkerhetskopior? 6.10 Finns det en aktuell förteckning över samtliga externa anslutningar? 6.11 Saknas alternativa vägar vid sidan av organisationens brandvägg in till det interna nätverket? 6.12 Är det möjligt att logga säkerhetsrelevanta händelser? 6.13 Finns det riktlinjer avseende förvaringstid för datamedia? 6.14 Finns det dokumenterade regler avseende vilken information som får skickas utanför organisationen? 6.15 Gäller det för e-postsystem och andra viktiga system att de är isolerade från externa nät? (DMZ) t.ex. genom någon form av brandväggsfunktion? 6.16 Sparas revisionsloggar för säkerhetsrelevanta händelser? 7 Styrning av åtkomst 7.1 Har organisationen satt upp dokumenterade regler för åtkomst/tillträde för tredjeparts åtkomst till information eller informationssystem? 7.2 Tilldelas användare en behörighetsprofil som endast medger åtkomst till informationssystem som krävs för att lösa arbetsuppgifterna? 7.3 Begränsas rätten att installera nya program i nätverket samt den egna arbetsstationen till endast utsedd behörig personal?, kommunens nätverk är segmenterat i administrativt nätverk, elevnätverk, publikt nätverk samt resursnätverk. Leverantören Tieto ansvarar för säkerhetskopiering. Kommunen har tagit fram ett baskoncept som gäller för alla system i datahallen. Backuper tas löpande varje dag, veckovis samt månadsvis. Kompletta säkerhetskopior förvaras i brandsäkert skåp utanför stadshuset. Enligt avtalet med Tieto skall stickprovskontroll med återläsningstester genomföras, något som historiskt inte alltid skett. Systemägare kan även åberopa ytterligare återläsningstest. Kommunen har en aktuell förteckning över det hundratalet externa anslutningar som finns inom kommunen. Anslutningarna gås igenom i samband med licensgenomgång., alternativa vägar vid sidan av brandväggen saknas. För konton till kommunens nätverket loggas användar-id, tidpunkt för inloggning/utloggning samt misslyckade inloggningsförsök. Hanteringen av loggarna regleras i driftavtalet med Tieto, någon aktiv övervakning förekommer inte. Loggarna lagras i en månad. Nätverkstrafik som går genom brandväggen loggas på en central loggserver., detta regleras i avtalet med Tieto. Säkerhetskopior förvaras på en plats utanför stadshuset i brandsäkert skåp. Detta finns specificerat i riktlinjer för e-post med bilaga. Kommunen har även specifika riktlinjer för hantering av data relaterat till socialsystemen. Riktlinjerna reviderades vid tillfället för granskningen efter kritik från Datainspektionen., viktiga system är isolerade med hjälp av brandvägg. Loggar över åtkomst via kommunens nätverk lagras i en månad., detta finns enligt respondenterna dokumenterat i Tietos driftsinstruktion. Externa konsulter måste använda Södertäljes lösning för krypterad anslutning. Slutligt beslut om behörighet till ett system tas av respektive systemägare. När en användare läggs upp i lönesystemet skapas automatiskt ett konto till kommunens nätverk i katalogtjänsten Active Directory. Uppgifter om kontot måste sedan begäras ut av närmaste chef. Åtkomst till kritiska system måste godkännas av respektive systemägare och tilldelas ej med automatik vid anställning. Externa användare erhåller inget e-postkonto hos kommunen, vilket vanliga användare gör. Majoriteten av kommunens användare kan endast ta emot paketerad mjukvara från Service Desk. Ett tiotal användare är dock godkända av IT-enheten och har möjligheten att installera egna program. 7 av 17

12 Granskningspunkt Kommentar Utvärdering 7.4 Har organisationen en dokumenterad rutin för tilldelning, borttag eller förändring av behörighet? Är de kommunicerade till ansvarig för behörigheter? 7.5 Får nya användare ett initialt lösenord som de måste byta, till ett eget valt lösenord vid första användning? 7.6 Genomförs kontinuerlig (minst en gång per år) kontroll av organisationens behörigheter? 7.7 Har systemadministratörer/- tekniker/-användare individuella unika användaridentiteter? 7.8 Öppnas låsta användarkonton först efter säker identifiering av användaren? 7.9 Finns en gemensam lösenordspolicy? 7.10 Sker automatisk aktivering av skärmsläckare och automatisk låsning av obevakade arbetsstationer efter visst givet tidsintervall? Upplåsning kan endast ske med lösenord Är brandväggsfunktionen den enda kanalen för IP-baserad datakommunikation till och från organisationen? 7.12 Finns en dokumenterad brandväggspolicy där det beskrivs vilka tjänster brandväggen skall tillhandahålla? 7.13 Används trådlösa lokala nät? I så fall, finns det åtgärder mot obehörig avlyssning och obehörigt utnyttjande av resurser? 7.14 Finns det en karta över nuvarande säkerhetsarkitektur (tekniska anvisningar) för interna och externa nät och kommunikationssystem? Tillgång till kommunens nätverk tilldelas med automatik. För tillgång till specifika system krävs godkännande av respektive systemägare. Kommunen saknar gemensam rutin för tilldelning och periodisk genomgång av behörigheter. I IT-säkerhetspolicyn beskrivs det som systemförvaltares ansvar att sköta löpande uppgifter som att ge nya användare rätt behörigeter. Specifika rutiner finns enligt respondenterna framtagna för vissa av de kritiska verksamhetssystemen. För tillgång till specifika mappar på kommunens filserver krävs godkännande från respektive mappägare., användare tilldelas ett initialt lösenord till kommunens nätverk vilket måste bytas vid första påloggningen. Kommunen saknar gemensam rutin för att periodisk gå igenom alla tilldelade behörigheter i verksamhetssystemen, detta görs dock enligt respondenterna regelbundet i social- och omsorgssystemet. Kommunens katalogtjänst, Active Directory, som hanterar behörigheter till nätverket är kopplat till personalsystemet och användare som avslutar sin tjänst tas bort med automatik., alla fastanställda har en unik användaridentitet. Det finns dock även ett par opersonliga konton inom vården som används vid korta inhopp. Dessa har begränsade behörigheter och enligt respondenterna förs en manuell log över vem som har tillgång., konton låses upp av service desk först efter motringning eller godkännande av närmaste chef. Tieto har tillgång till information om vem som är chef och kan kontakta den personen direkt. Kommunen tillhandahåller även en tjänst inom vilket lösenord kan återställas med hjälp av SMS som skickas till personens registrerade telefonnummer. Konton till kommunens nätverk låses med automatik efter upprepade felaktiga inloggningar., lösenordspolicy finns publicerad i Webbhjälpen som tillhandahålls av IT-enheten., kommunens datorer har aktiverade skärmsläckare samt automatiskt utloggning som standard. Skrämsläckaren går igång efter 10 minuters inaktivitet och kräver då lösenord för att låsas upp., all IP-baserad kommunikation går genom kommunens brandvägg., kommunen har dokumenterade regler för vilka tjänster som brandväggen skall tillhandahålla. Godkännande av förändringar i reglerna görs av driftsansvarig på IT-enheten. Leverantören Tieto är ansvarig för de faktiska inställningarna i brandväggen. En uppsättning rutinhandböcker lagras på gemensam disk åtkomlig för både Tieto och Södertälje kommun och skall uppdateras av Tieto. Kommunen använder sig av trådlösa nät i stadshuset samt i ett flertal skolor. Stadshusets trådlösa nät är inte koppat till kommunens interna nätverk. De trådlösa näten i skolorna är segmenterade och kommunens interna trafik avskild., kommunens nuvarande säkerhetsarkitektur är dokumenterad. Nej Nej 8 av 17

13 Granskningspunkt Kommentar Utvärdering 7.15 Har organisationen upprättat dokumenterade riktlinjer avseende lagring? Kommunen saknar gemensamma riktlinjer avseende lagring - rutiner för gallring finns dock. Utöver detta har respektive förvaltning dokumenthanteringsplaner Har verksamheten ställt tekniska säkerhetskrav avseende användandet av mobil datorutrustning och distansarbete? 7.17 Har systemägaren eller motsvarande beslutat om att ett informationssystems information ska få bearbetas på distans med stationär eller mobil utrustning? 7.18 Finns det aktuell dokumentation med regler för distansarbete? 8 Anskaffning, utveckling och underhåll av informationssystem 8.1 Har en systemsäkerhetsanalys upprättats och dokumenterats för varje informationssystem som bedöms som viktigt? 8.2 Krypteras persondata som förmedlas över öppna nät? 8.3 Finns det angiven personal som ansvarar för systemunderhåll? 8.4 Finns det regler för hur system- och programutveckling ska genomföras? 8.5 Finns det regler och riktlinjer avseende beslut om programändringar? Vid distansarbete använder sig kommunen av krypterad anslutning via VPN. Inloggning sker med token och personlig kod. Kommunen har även ett mindre antal webbapplikationer med enparts-autentisering för vanliga användare och tvåpartsautentisering via SMS för chefer. VPN beställs via ett webbaserat verktyg hos Tieto. Beställning måste godkännas av närmaste chef. Efter godkännande skickas mjukvara och token till användarens hemadress., detta beslutas av respektive systemägare. Säkerhetsrutiner kring distansarbete finns dokumenterat i avtalet med Tieto. Kommunen saknar dokumenterade regler för distansarbete vad avser exempelvis fysiskt skydd av utrustning i hemmet eller utanför den ordinarie arbetsplatsen. Kommunen har fastställt att en systemsäkerhetsplan skall finns för alla verksamhetskritiska system, vilken åligger respektive systemägare att upprätta. Kommunen har själva genomfört analys mot standarden BITS avseende personalsystemet och e-postsystemet. Arbetet var dock tidskrävande och avslutades inte. I enlighet med kommunens åtgärdsplan för IT-säkerhet kommer förenklade analys samt klassning av resterande system att genomföras., persondata som förmedlas över öppna nät är krypterad. ITenheten har beställt en integrationslista över alla anslutningar mellan kommunens system som Tieto ansvarar för. Hos Tieto finns utpekade personer med ansvar för att utföra systemunderhåll. Kommunen genomför ingen egen utveckling och har endast övergripande rutin för att beställa ändringar från leverantörer. Leverantören Tieto har en dokumenterad rutin för ändringshantering. Kommunen har endast en övergripande processbeskrivning för beställning av ändringar från leverantörer. Gemensam rutin med instruktioner kring beställning, testning och godkännande av ändringar saknas. Enligt respondenterna skall verksamheten ej beställa utveckling direkt från leverantörer, alla ärenden skall istället gå via ITenheten. IT-enheten är dock endast ett stöd och respektive systemägare måste slutligt godkänna alla ändringar. Vi noterade att det pågår ett arbete med att skapa en gemensam förvaltningsmodell för Södertälje kommun, Haninge kommun och Nynäshamn kommun där ansvar/roller och rutiner mot Tieto tydliggörs. Nej Nej Ej tillämpligt Nej 8.6 Finns det dokumenterade rutiner för hur utbildning ska genomföras för köpta system? Omfattar rutinen även kompletterande utbildning vid program- och funktionsändringar? Kommunen saknar gemensamma dokumenterade riktlinjer kring utbildning. Det är respektive systemägares ansvar att utbildning av användarna sker. Utbildning hanteras i praktiken oftast genom att systemleverantören utbildar så kallade superanvändare som i sin tur genomför utbildning med övriga användare. Nej 9 av 17

14 Granskningspunkt Kommentar Utvärdering 9 Hantering av informationssäkerhetsincidenter 9.1 Finns det dokumenterade instruktioner avseende vart användare skall vända sig och hur de skall agera vid funktionsfel, misstanke om intrång eller vid andra störningar? 10 Kontinuitetsplanering i verksamheten 10.1 Finns det en gemensam kontinuitetsplan dokumenterad för organisationen? 10.2 Har systemägaren eller motsvarande beslutat om den längsta acceptabla tid som informationssystemet bedöms kunna vara ur funktion innan verksamheten äventyras? 10.3 Finns det en dokumenterad avbrottsplan med återstarts- och reservrutiner för datadriften som vidtas inom ramen för ordinarie driften? 10.4 Har omständigheter som ska betecknas som kris/katastrof (extraordinära händelser) för verksamheten kartlagts? 11 Efterlevnad 11.1 Används endast programvaror i enlighet med gällande avtal och licensregler? 11.2 Har organisationen förtecknat och anmält personuppgifter till personuppgiftsombud? 11.3 Genomförs interna och externa penetrationstester kontinuerligt? Användare skall vända sig till service desk vid incidenter, vilket står beskrivet på Webbhjälpen som tillhandahålls av IT-enheten. Service desk, vilken sköts av Tieto, har dokumenterade rutiner för hur incidenter skall hanteras. Service desk kan kontaktas via telefon, e-post och direkt via ett webbgränssnitt. Enligt kommunens IT-säkerhetspolicy skall incidenter rapporteras till närmaste chef eller systemförvaltare samt till IT-avdelningen, vilket inte längre är aktuellt. Kommunen har en generell kontinuitetsplan för kommunen i helhet, IT täcks dock endast delvis in. Enligt respondenterna behöver planen ses över. I servicenivåavtalet med Tieto finns specificerat fyra olika servicenivåer, T1 T4. Åtgärdstiderna för fel varierar mellan två till 16 timmar. I dagsläget ligger enligt respondenterna majoriteten av kommunens system på nivån T2 med en återstartstid på fyra timmar, medans ett fåtal verksamhetskritiska system ligger på nivå T1 med en återstartstid på två timmar. Denna indelning är gjord av IT-enheten. Då avtalet med Tieto ej är leveransgodkänt har respektive systemägare ej tagit ställning till vilken nivå deras system kräver, detta kommer att göras efter leveransgodkännandet. Kommunen saknar en gemensam rutin avseende upprättande av återstart- och reservrutiner. Enligt IT-policyn ansvarar systemägare för att i samverkan med IT-enheten genomföra kontinuitetsplanering och ta fram avbrottsplaner för systemen. Tieto ansvarar för prioriteringsordningen i enlighet med gällande servicenivåer. Enligt respondenterna saknas upprättade avbrottsplaner för de system som driftas av Tieto. Det finns möjlighet att avropa tjänster från Tieto rörande återstart- och reservrutiner, vilket inte har gjorts. Enligt respondenterna har säkerhetsavdelningen en definition för vad som skall betecknas som extraordinär händelse. Tieto har en rutin för att hantera incidenter, vilken används då incidenter inkommer till service desk. IT-enheten ansvarar för att licenser finns för gemensamma system. För övriga system är det upp till respektive systemägare att överlämna uppgifterna till IT-enheten som lagrar dessa för hela kommunens räkning. Kommunen planerar att lägga över uppföljningen av licenser på Tieto. Tanken är att verksamheterna då skall rapportera vilka licenser som används till Tieto som dokumenterar i en gemensam databas. Vid tillfället för denna granskning var en licensgenomgång påbörjad. Kommunen har ett PUL-ombud per nämnd. Ett samarbete med stadsjuristerna är planerat för att reda ut hur personuppgiftsombud skall hanteras framöver. Enligt respondenterna har samtliga socialsystem personuppgiftsombud, det är dock oklart hur de ser ut för kommunens mindre systemen. Penetrationstester har historiskt genomförts återkommande av IT-enheten, senaste testningen genomfördes dock för sex år sedan. Ytterligare tester är planerade att genomföras av extern part inom samarbetet med Haninge och Nynäshamn kommun. Nej Nej 10 av 17

15 Granskningspunkt Kommentar Utvärdering 11.4 Granskar ledningspersoner regelbundet att säkerhetsrutiner, - policy och -normer efterlevs? I kommunens IT-säkerhetspolicy fastställs att säkerhetsgranskning av verksamhetskritiska system skall genomföras årligen, vilket inte gjorts. Någon regelbunden granskning avseende efterlevnad av policys och normer genomförs ej inom kommunen. Historiskt har ansvaret för informationssäkerhet legat inom ITenheten, under våren 2012 har rollen som IT-strateg vilket inkluderar ansvaret för informationssäkerheten inom kommunen flyttats ut till en separat enhet vilket förenklar framtida granskningar. Nej 11 av 17

16 3 Jämförelse mot andra kommuner Ernst & Young har gjort ett flertal gapanalyser mot BITS hos Sveriges kommuner. Tack vare detta kan vi mäta Södertälje kommuns mognadsgrad rörande informationssäkerhet mot ett genomsnitt av de kommuner vi granskat. I diagrammet nedan representerar ytterkanten 100 % måluppfyllnad, medan mittpunkten anger 0 % måluppfyllnad. Siffrorna anger respektive område i BITS enligt: 1. Säkerhetspolicy 2. Organisation av säkerheten 3. Hantering av tillgångar 4. Personalresurser och säkerhet 5. Fysisk och miljörelaterad säkerhet 6. Styrning av kommunikation och drift 7. Styrning av åtkomst 8. Anskaffning, utveckling och underhåll av informationssystem 9. Hantering av informationssäkerhetsincidenter 10. Kontinuitetsplanering i verksamheten 11. Efterlevnad Mognadsgrad av informationssäkerhet Jämförelse mot kommungenomsnitt Kommunsnitt Södertälje kommun Bild 3.1. Kommunjämförelse, mognadsgrad 12 av 17

17 4 Slutsatser och rekommendationer 4.1 Generella slutsatser Av samtliga 72 granskningspunkter är fördelningen av bedömningarna följande: Kontrollen finns och fungerar tillfredsställande: 67 % Kontrollen finns och fungerar delvis: 18 % Nej Kontrollen finns ej eller fungerar ej tillfredsställande: 14 % E/T Ej tillämplig, kontrollen behövs ej av särskilda skäl: 1 % Kommunens starkaste områden relativt kommungenomsnittet är: Organisation av säkerheten Hantering av tillgångar Personalresurser och säkerhet Kommunens svagaste områden relativt kommungenomsnittet är: Säkerhetspolicy Efterlevnad Anskaffning, utveckling och underhåll av informationssystem 13 av 17

18 4.2 Rekommendationer Nedan följer våra rekommendationer samt vårt förslag på prioritering utifrån bedömd risk och väsentlighet. Rekommendationerna är prioriterade enligt följande: Hög Medel Låg Nyckelkontroll ej på plats/ej effektiv. Bristen bör åtgärdas snarast för att säkerställa god intern kontroll på kort sikt. Nyckelkontroll delvis på plats/delvis effektiv. Bristen bör åtgärdas för att säkerställa god intern kontroll på lång sikt. Nyckelkontroll på plats men effektivitet kan förbättras. Bristen bör åtgärdas på lång sikt. # Iakttagelse och rekommendation Prioritet 1. Iakttagelse: Avsaknad av generella riktlinjer för hantering av behörigheter Vi har noterat att det saknas generella riktlinjer för förändring och borttag av behörigheter till kommunens verksamhetssystem. Vi har också noterat att det saknas generella riktlinjer för genomgång av behörigheter till verksamhetssystem. För vissa verksamhetssystem kan den enskilda förvaltningen dock ha skapat egna rutiner. Rekommendation: Vi rekommenderar Södertälje kommun att dokumentera och implementera generella riktlinjer för att skapa nya/förändra/ta bort behörigheter i systemen, samt för att granska rättigheter i systemen. Följande kontroller och aktiviteter bör finnas med: Det skall framgå vem som får beställa nya behörigheter, ändring av behörigheter och borttag av behörigheter (vanligtvis enhetschef eller personalavdelning) Mottagare av beställning bör kontrollera att beställaren har befogenheter att göra beställning Information om att konto har skapats bör skickas med kopia till beställaren Kontouppgifter bör ej skickas okrypterade över publika nätverk Användaren bör byta lösenord vid första inloggning Det skall framgå vem som ansvarar för att en person som slutar ej längre har rättigheter till systemen (vanligtvis enhetschef eller personalavdelning) Det skall framgå vem (vanligtvis systemägaren) som är ansvarig för att periodvis gå igenom behörigheterna i respektive verksamhetssystem, för att säkerställa att dessa är korrekta, och hur ofta denna kontroll skall genomföras Hög 14 av 17

19 # Iakttagelse och rekommendation Prioritet 2. Iakttagelse: Avsaknad av generella riktlinjer för hantering av programförändringar Vi har noterat att kommunen saknar generella riktlinjer som avser beslut om programförändringar. Rekommendation: Vi rekommenderar Södertälje kommun att dokumentera och implementera generella riktlinjer för beslut om programförändringar. Följande kontroller och aktiviteter bör finnas med: Det skall framgå vem som får beställa förändringar Alla beställningar av förändringar skall vara dokumenterade Beställning skall godkännas av systemägare (eller motsvarande) Acceptanstest av förändring skall göras i miljö separerad från produktionsmiljö. Testfall i testprotokoll bör vara länkade till krav i beställning Testresultat skall godkännas av systemägare (eller motsvarande) Vid större förändringar bör uppföljning av förändringens verksamhetsnytta göras. 3. Iakttagelse: Arbetet med informationssäkerhet följs ej upp kontinuerligt Vi har noterat att kommunen inte följer upp arbetet med informationssäkerhet, exempelvis genom penetrationstester och granskningar kring efterlevnad av framtagna policys och riktlinjer. Rekommendation: Vi rekommenderar Södertälje kommun att kontinuerligt följa upp arbetet med informationssäkerhet. Södertälje kommun bör bland annat genomföra regelbundna penetrationstester, liksom granskningar kring efterlevnaden av gällande policys och riktlinjer. 4. Iakttagelse: Inaktuell informationssäkerhetspolicy Vi har noterat att kommunen har en inaktuell informationssäkerhetspolicy. Den nuvarande är daterad till Rekommendation: Vi rekommenderar kommunen att uppdatera nuvarande informationssäkerhetspolicy så att den speglar nuläget och hantering av tillämpbara krav i den internationella informationssäkerhetsstandarden ISO/IEC Dessa krav innefattar riskhantering, organisation, informationsklassning, personalsäkerhet, fysisk säkerhet, kommunikation och drift, styrning av åtkomst, utveckling och förvaltning, incidenthantering, kontinuitetsplanering och efterlevnad. 5. Iakttagelse: Bristande utbildningsinsatser kring informationssäkerhet Vi har noterat att kommunen ej regelbundet utbildar personal i kring informationssäkerhet. Rekommendation: Vi rekommenderar Södertälje kommun att regelbundet utbilda personal i informationssäkerhet. Exempelvis bör en initial utbildning ske vid nyanställning och sedan kompletteras regelbundet utifrån personalens behov. Hög Hög Medel Medel 15 av 17

20 # Iakttagelse och rekommendation Prioritet 6. Iakttagelse: Avsaknad av riktlinjer kring distansarbete Vi har noterat att kommunen saknar riktlinjer kring distansarbete. Rekommendation: Vi rekommenderar kommunen att upprätta dokumentation med regler för distansarbete. Riktlinjerna bör bland annat omfatta fysisk säkerhet och regler för utförande av informationsbehandlingsresurser från organisationens lokaler. 7. Iakttagelse: Avsaknad av riktlinjer för uppföljning av leverantörers tjänster Vi har noterat att kommunen saknar dokumenterad riktlinje för att hur uppföljning av de tjänster som levereras av kommunens externa leverantörer skall utföras. Rekommendation: Vi rekommenderar kommunen att dokumentera riktlinjer för hur utomstående leverantörers tjänster skall följas upp och vem som är ansvarig för utförandet av uppföljningen. Att följa upp utomstående leverantörers tjänster är viktigt för att säkerställa att en lämplig nivå på informationssäkerhet och utförande av tjänster enligt avtal. 8. Iakttagelse: Avbrottsplaner saknas Vi har ej identifierat några existerande avbrottsplaner. Rekommendation: Vi rekommenderar Södertälje kommun att för kritiskt verksamhetsstöd skapa rutiner för skapande av avbrottsplaner. Rutinerna bör adressera: Reservrutiner vid avbrott Rutiner för återställning av system Rutiner för återskapande av förlorad information Rutiner för inmatning av data från reservrutiner Periodisk testning av rutiner 9. Iakttagelse: Informationsklassning ej genomförd Vi har noterat att kommunen ej genomfört informationsklassning. Rekommendation: Vi rekommenderar Södertälje kommun att upprätta en informationsklassningspolicy som definierar informationsklasser samt anger hur informationen per informationsklass skall hanteras samt att informationsklassning skall genomföras. 10. Iakttagelse: Avsaknad av systemsäkerhetsanalyser Vi har noterat att det ej upprättats systemsäkerhetsanalyser för samtliga informationssystem som bedöms som verksamhetskritiska. Rekommendation: Vi rekommenderar kommunen att upprätta systemsäkerhetsanalyser för samtliga verksamhetskritiska system. Systemsäkerhetsanalyserna bör redogöra för de samlade kraven avseende tillgänglighet, riktighet och sekretess. Medel Medel Medel Låg Låg 16 av 17