Systemsäkerhetsanalys säker roll och behörighet.

Transkript

1 BYT UT DENNA GULA UTA TILL DIN KOMMUNS LOGGA Dokumenttyp Informationssäkerhet, analys Sida Område oll och behörighet 1 (31) Läs detta och ta därefter bort denna kommentarruta. Denna mall syftar till att utgöra ett stöd vid kartläggning av processerna för säker roll och behörighet. Kartläggningen motsvarar en systemsäkerhetsanalys som omfattar informationskartläggning, processkartläggning, risk- och sårbarhetsanalyser samt upprättande av handlingsplan. Denna mall utformades hösten 2014 som ett resultat av arbetet med ehälsa i Kalmar län. Metoden utgår från ett systematiskt informationssäkerhetsarbete och baseras på principer som bygger på svensk standard för informationssäkerhet SS-ISO/IEC Uppföljning är nödvändigt för att säkerställa genomförandet i praktiken. Dokumentet ska uppdateras så att det motsvarar varje kommuns egna förutsättningar. En del ska bort, annat ska läggas till. Uppgiften är att genomföra en egen informationsklassning, riskanalys och åtgärdsplan utifrån den metod som beskrivs i detta dokument. Allt som är GULMAKEAT ska ser över, uppdateras och kompletteras. Därefter ska den gulmarkerade texten avmarkeras. Systemsäkerhetsanalys säker roll och behörighet. Innehåll 1. Grundinformation Deltagare Bakgrund Syfte Mål Mottagare Avgränsning Metod för genomförande Sammanfattning Informationskartläggning Informationstillgångar Informationssystem Informationsklassning Kravbild Skyddsåtgärd per informationsklass Processkartläggning Nyanställd Ny roll i befintlig anställning Avslut av anställning Styrkor i befintlig modell Svagheter i befintlig modell isk- och sårbarhetsanalys Skala för sannolikhet och konsekvens esultat riskanalys med åtgärdsförslag Handlingsplan Dokumentnamn: Systemkartläggning säker roll och behörighet Utfärdat datum: eviderat datum:

2 evision: Datum: Beskrivning: Utförd av: Första utkast Stephen Dorch Andra utkastet Stephen Dorch Skriv in er version 2

3 3 1. Grundinformation 1.1. Deltagare <äkna upp alla deltagare i arbetsgruppen, namn, verksamhet och roll som varit delaktiga med arbetet från din kommun, ta därefter bort denna text> Namn Verksamhet oll 1.2. Bakgrund Det är av största vikt att kommunen hanterar åtkomst till känslig information med största respekt för individen och dess integritet. Åtkomst till information ska ske på ett sådant sätt att endast behörig personal kommer åt känslig information. Det är viktigt att de personer som har behov av åtkomst till information känner sig trygga och litar på den information de får. Uppbyggnad av en behörighetsmodell baseras på principen om att det ska vara lätt att göra rätt och svårt att göra fel. Idag administreras användare i varje system för sig vilket skapar onödigt stor administration. Användare riskerar att få olika identiteter och olika lösenord i alla olika system. Det är också svårt att få en överblick av en användares totala behörigheter. Särskilda säkerhetsåtgärder behöver vidtas för att införa en modell för säker roll och behörighet. Utöver rena IT-tekniska åtgärder behövs andra åtgärder som t.e.x utbildning och översyn av processer. I denna analys har vår kommun karlagt vilka informationsmängder som förutsätter säker roll och behörighet, hur hanteringen ser ut idag, identifierat styrkor, svagheter och risker. Utifrån dessa parameterar har sammantaget 14 förslag till åtgärder identifieras som kommunen har att ta ställning till. Läs detta och ta därefter bort denna kommentarruta. I mallen finns det en hel del värden upptagna, som t.ex. 14 förslag till åtgärder ovan. Det är viktigt att dessa värden överensstämmer med det som faktisk framkommer i analysen. Mening med att numrera och ange volym är att det underlättar framtida uppföljningen dä vi då kan påvisa en utveckling. Genom att mäta informationssäkerhet på detta sätt kan utveckling och insatser värderas mot kostnader, investeringar och självklart tillgänglighet 1.3. Syfte Syftet med analysen är att kartlägga hur behörighetsanteringen fungerar idag samt att identifiera förslag på förbättringsåtgärder.

4 Mål Ta fram hållbara rutiner kring säker roll och behörighet för system/applikationer som innefattar känsliga personuppgifter samt beskriva hur man implementerar rutinerna på bästa sätt. De kortsiktiga målen är att vidta åtgärder enligt de förslag som framkommit i analysen och som finns listade i kapitel 6, handlingsplan. Det långsiktiga målet bör vara att införa en systemoberoende metakatalog som omfattar både en kontodatabas och behörighetskatalog med höga krav på riktighet, tillgänglighet, konfidentialitet och spårbarhet. I katalogen är information om en användares behörigheter samlad på ett ställe med fokus på åtkomst oavsett i vilket system informationen lagras Mottagare Mottagare av denna rapport är den verksamhetschef inom inom vård och omsorg samt socialchef. Vissa åtgärder åligger IT-chefen som får informationen i dialog med verksamheten. Läs detta och ta därefter bort denna kommentarruta. Var noga med att ange vem som är mottagaren av rapporten. Metoden bygger på att det finns en fastställd beställare och ett uppdrag i botten Avgränsning Analysen avgränsas till hemtjänst och hemsjukvård Metod för genomförande Analysen har genomförts med stöd av det metodstöd 1 som myndigheten för samhällsskydd och beredskap, MSB har utformat. Metodstöden baseras på den svenska standarden för informationssäkerhet, ISO/IEC Vår tillämpning av metodstödet använder sig av nedanstående fem delmoment, i syfte att identifiera nödvändiga åtgärder för att uppnå en säker roll och behörighet. Beskriv informationstillgången Klassificera informationen Processkartläggning isk- och sårbarhetsanalys Identifiera åtgärder 1

5 5 2. Sammanfattning I denna analys har vi kommit fram till 14 konkreta aktiviteter som finns sammanställda i en handlingsplan. Aktiviteterna beaktar de risker och svagheter som framkommit i nuvarande process för tilldelning av roll och behörighet samt i genomförd riskanalys. De 14 övergripande aktiviteterna är; Utbildning Checklistor Aktivering av behörighet Inaktivering av behörighet Behörighetskatalog Dela dokumentation utin för beställning av roll och behörighet Lösenordsadministration Storlek på admin grupp Tekniskt skydd Kontinuitetsplan Lösenord Nya arbetsuppgifter, nya rättigheter Skyddad identitet Detaljer kring aktiviteternas omfattning framgår i handlingsplanen kapitel 6, med stöd av processkartläggningen i kapitel 4 och riskanalysen i kap 5. Läs detta och ta därefter bort denna kommentarruta. Var noga med att identifiera aktiviteterna, ovanstående aktiviteter är endast exempel och kan användas som vägledning. Det kan vara både fler och färre aktiviteter Idag administreras användare i varje system för sig. Konsekvensen är att: det blir onödig stor administration användare har olika identiteter och lösenord i alla olika system det är svårt att få en totalbild av en användares behörigheter. Behörigheten bör istället styras av användarens och informationens egenskaper Detta gör att behörigheter inte måste administreras i alla system utan kan hanteras i en egenskapskälla, en katalog Den organisatoriska tillhörigheten (på personal) definieras via uppdraget Vilken applikation som hanterar informationen påverkar inte behörigheten Det långsiktiga målet bör därför vara en systemoberoende behörighetshantering med höga krav på riktighet och spårbarhet där informationen om vilka behörigheter en användare har finns samlad på ett och samma ställe. Förhållandet illustreras översiktligt i bilden nedan. Informations mängd egelverk för behörighetsstyrning oll Metakatalog (en för alla system) Åtkomst Ja/Nej

6 3. Informationskartläggning För att förstå vilka säkerhetsåtgärder som är nödvändiga, behöver vi förstå vilket typ av information man behöver ha åtkomst till. Det som avgör hur en säker roll och behörighet ska se ut är en bedömning av hur allvarligt det är om det uppstår brister i sekretessen och obehöriga därmed får del av känslig information. Beslut om åtgärder baseras på verksamhetens behov och bör utgå utifrån; vilka informationstillgångar och informationssystem som omfattas, resultatet av informationsklassning, verksamhetskrav och legala krav, samt resultatet av risk- och sårbarhetsanalys Informationstillgångar Några av de informationstillgångar som verksamheten identifierat är; patientjournal, personakt, hälsotillstånd, olika former av beslut, anteckningar och personuppgifter. Åtkomst till ovanstående informationsmängder kräver säker roll- och behörighet Informationssystem De informationssystem som hanterar informationstillgångarna är de programvaror som används för åtkomst till information, t.ex. journalsystem. Men informationssystem är också IT-infrastruktur som t.ex. katalog och nätverk. Verksamheten har identifierat följande informationssystem: 6 ProfDoc Treserva LapsCare Adad net Swevac Personec Cosmic Link SBBTEK TimeCare Mobilys BPSD NPÖ Senior Allert Palitativa registret ASI-net Lefi online Phoniro Intrafon SQL-DB AD HSA SITHS Ovanstående 22 system utgör exempel på system som påverkas av säker roll- och behörighet. Analysen visar att en anställd ofta har fyra till fem olika användarnamn och lösenord att hålla reda på, men att det finns både bättre och värre exempel. Med ett system för säker roll- och behörighet blir inloggning enkelt och säkert, med få lösenord att hålla i minnet.

7 Informationsklassning Syftet med klassificering är att rätt säkerhetsåtgärd ska vidtas utifrån hur viktig informationen är. Varje nivå ska vara kopplad till konkreta säkerhetsåtgärder. I analysen avseende säker roll och behörighet genomfördes en begränsad informationsklassning då utgångspunkten är att all information som kräver säker roll och behörighet i princip är att betrakta som känslig. I informationsklassningen har vi använt oss av nedanstående modell som baseras på Myndigheten för samhällsskydd och beredskap, MSB 2 rekommendationer. Det är denna modell som de flesta av Sveriges kommuner använder. Säkerhetsaspekt Konsekvens 4 Allvarlig 3 Betydande 2 Måttlig 1 Försumbar Information där förlust av riktighet innebär allvarlig/katastrofal negativ påverkan betydande negativ påverkan måttlig negativ påverkan försumbar negativ påverkan på egen eller annan organisation och dess tillgångar, eller på enskild individ. Information där förlust av konfidentialitet/ sekretess innebär allvarlig/katastrofal negativ påverkan betydande negativ påverkan måttlig negativ påverkan försumbar negativ påverkan på egen eller annan organisation och dess tillgångar, eller på enskild individ. Information där förlust av tillgänglighet innebär allvarlig/katastrofal negativ påverkan betydande negativ påverkan måttlig negativ påverkan försumbar negativ påverka på egen eller annan organisation och dess tillgångar, eller på enskild individ. Information där förlust av spårbarhet innebär allvarlig/katastrofal negativ påverkan betydande negativ påverkan måttlig negativ påverkan försumbar negativ påverkan på egen eller annan organisation och dess tillgångar, eller på enskild individ. Vi har genomfört informationsklassning för några av de mest vanligt förekommande informationsmängderna. Dessa återfinns i tabellen nedan. Observera att det är informationsmängderna som ska klassificeras och inte informationssystemet. Klassificeringen utifrån aspekterna Sekretess (konfidentialitet), iktighet, Tillgänglighet och Spårbarhet. Ange värde 1-4 från mallen ovan i tabellen nedan. Säkerhetsaspekt Informationsmängd Sekretess iktighet Tillgänglighet Spårbarhet Patientjournal???? Personact???? Hälsotillstånd???? Beslut???? Anteckningar???? Personuppgifter???? 2 Version 1, , Publ-nr MSB:

8 3.4. Kravbild Åtkomst till information baseras på vilka krav som gäller för en viss typ av information. Vanligen delas kraven in i interna och interna krav. De interna kraven består av krav från verksamheten samt ledningen. De externa kraven är i form av lagar, föreskrifter och vissa typer av avtal. Säkerhetskrav kan vara både interna och externa. Dessa krav kan vara givna, men kan också med fördel identifieras i en riskanalys. Exempel på interna krav som arbetsgruppen identifierat: Stark autentisering till HSA, Cosmic, NPÖ, Pascal, SSBTEK egelbundna kontrollerade tvingande lösenordsbyte Att obehöriga inte ges tillgång till känslig information som de inte har rätt till Att anställda inte har tillgång till mer än vad rollen kräver Att IT hjälper till med kravställning på externa leverantörer, som t.ex. stark autentisering Exempel på externa krav som arbetsgruppen identifierat: PDL om stark autentisering PUL DNV (Den norske veritas) ( för siths, legitimationer) SOSFS Socialstyrelsens föreskrifter Socialtjänstlagen Hälso- och sjukvårdslagen 3.5. Skyddsåtgärd per informationsklass Nedanstående tabell visar översiktliga generella åtgärder. De säkerhetsåtgärder som återfinns i sista kapitlet utgår från de risker som är identifierade i riskanalysen. Dessa åtgärder baseras på de generella åtgärderna som återfinns i tabellen nedan. 8 Säkerhetsaspekt Sekretess iktighet Tillgänglighet Spårbarhet Informationsklass Stark autentisering, hårda certifikat, SITHS Mjuka certifikat, ev SITHS konto + avancerat lösen Förenklad behörighetskontroll Konto + lösenord Elektronisk Signering, verifiering, underskrift. Kryptering. Automatiserad kontroll av riktighet Kontroll av riktighet, kan ske mha manuella rutiner Kontroll av riktighet vid behov Dubbla anslutningar, Jour, Hög bemanning Övervakning, Avtal, federation SSO, säkerställda processer Dubbla anslutningar, Federation SSO, avtal, Enkel avtalad anslutning Systematisk loggkontroll med täta intervaller, Tät och regelbunden granskning, Känsliga personuppgifter Systematisk loggkontroll, Granskning Loggkontroll utin med sällan förekommande granskning 1 Ingen behörighets kontroll Ingen kontroll av riktighet Inget avtal Ingen loggkontroll

9 Systemlev. Systemförv./ funktionsstöd IT-kundjtänst PA Chef Nyanställd 9 4. Processkartläggning En processkartläggning för händelserna nyanställning, avslut av anställning samt ny roll i befintlig anställning är genomförd i syfte att identifiera nuvarande modells styrkor, svagheter och förbättringsförslag. I tabellen nedan finns de resurser och funktioner som är inblandade vid tilldelning av roller och behörigheter. Ta bort/lägg till det som inte är relevant för er. Avdelning Nyanställd Chef Personalavdelningen Personalassistent IT-assistent Vaktmästare IT-samordnare IT-avdelningen Systemförvaltare Funktionsstöd Systemleverantör Funktion Person som anställs Närmaste chef, den chef som anställer Personaladministration, t.ex. registrera anställningsbesked, arkivera personalakt, informera facket Hantera nycklar, tjänste-id, anknytningar, telefon etc. T.ex. beställa konton och behörigheter, samt dator Aktivera konton, meddela beställaren De personer som är satta att ansvara för ett system Utgör stöd till systemförvaltaren i verksamheten, t.ex. utbildning och support Den externa leverantören av ett system 4.1. Nyanställd Bilderna nedan visar två exempel på processer för tilldelning av roll och behörighet vid nyanställning. Byt ut nedanstående processkartläggning mot din kommuns process. Säker roll och behörighet - Processkarta Påskrift Mottagning av kontouppgifter / Påskrift av ansvarsförbindelse / Utbildning Nyanställning sjuksköterska Aktiv användare Chef Skriva anställningsbesked. Skicka till nyanställd för påskrift Meddela IT-assistent Meddela vaktmästare Meddela IT-samordnare Nyanställd Checka av beställningar och leverera till nyanställd Introducera nyanställd Överenskommelse om anställning Nyanställd Skriva på anställningsbesked och skicka till personalass Beställning ny roll och behörighet Anställningsbevis Nya kontouppgifter AD Muntligt/skriftligt Mottagning ansvarsförbindelse E-post / webbanmälan Hämtas från LAS E-post Internpost Personalarkiv / personalakt Vaktmästare Beställa nycklar, tjänste-id och tagg Uppläggning i personalsystem / lön Muntligt/skriftligt Personalass egistrera anställningsbesked i personalsystem. Arkivera i personakt och skicka kopia till fackförening. Blankett Uppläggning i kontodatabas E-post/script E-post Fackförening Arkivera anställningsbesked E-post Beställa anknytning SITHS Beställning för externa system Uppläggning i verksamhetssystem AD/E-post/ Treserva/osv Ansvarar för utbildning/ material vid behov Nyhetsbrev / uppdaterings -dokument IT-assistent IT-samordnare Beställa konto och förbereda dator. Lägga ärende till IT-avdelning Beställa telefon Skapa/Beställa övriga behörigheter Uppläggning i externa verksamhetssystem Bild i större format återfinns i bilaga A. Systemförändringar / uppdateringar Aktivera konto IT-avdelningen Meddela IT-samordnare och chef Bild i större format återfinns i bilaga B. Processkartläggningen måste kompletteras med en beskrivande text för att bli tydlig. Det kan göras på flera olika sätt. I den vänstra bilden är det begränsat med text i rutorna, vilket förutsätter en beskrivning i efterföljande text. I den högra bilden finns mer Läs detta och ta därefter bort denna kommentarruta. Var noga med i bilagan skicka med större bilder i A4 format. Utan en översiktlig bild får läsaren ingen överblick av processen. Ett annat alternativ är att lägga in en betydligt större bild ovan, utan hänvisning till bilagan.

10 Systemförv./ Systemlev. IT-kundjtänst PA Chef Ny chef Anställd funktionstöd 10 beskrivande text i rutorna, vilket medför att behovet av ytterligare beskrivande text inte är lika nödvändigt. Exempel på vilka underrubriker som kan vara aktuella som beskrivande text till den vänstra bilden är: Överenskommelse av anställning Beställning ny roll och behörighet Uppläggning i kontodatabas Uppläggning i interna verksamhetssystem SITHS Uppläggning i externa verksamhetssystem Anställningsbevis Mottagning av kontouppgifter Mottagning av ansvarsförbindelse Utbildning Ovanstående underrubriker är endast exempel. Processen ska baseras på förutsättningarna i er egen kommun. Ni sätter egna underrubriker med egna beskrivningar Ny roll i befintlig anställning Bilderna nedan visar två exempel på processer för tilldelning av roll och behörighet vid byte av tjänst, dvs byte av roll, inom samma anställning. Byt ut nedanstående processkartläggning mot din kommuns process. Säker roll och behörighet - Processkarta Byte av tjänst Chef Meddela ändring av anställning Ändring av anställning Ta emot meddelande om ny behörighet Överenskommelse om anställning Påskrift Mottagning av kontouppgifter / utbildning Aktiv användare Personalassistent Skriva nytt anställningsbevis, skicka till anställd Anställningsbevis Nya kontouppgifter AD Beställning ändring roll och behörighet Information om ansvarsförbindelse Löneassistent egistrera ändring i lönesystemet Arkivera en kopia av anställningsbevis och skicka en kopiera till fackförening Hämtas från WinLas Personalarkiv / personalakt E-post / webbanmälan E-post Internpost Ändring i personalsystem / lön Muntligt/skriftligt Anställd Underteckna anställningsbevis och skicka till löneassistent Ta emot meddelande om ny behörighet Ändring i kontodatabas E-post E-post/script IT-samordnare Ev. ändra behörigheter i verksamhetsystem Lägga ärende till IT-avdelningen om ändrad behörighet i administrativa nätet Meddela anställd och chef ny behörighet SITHS Beställning för externa system Ändring i verksamhetssystem AD/E-post/ Treserva/osv Ansvarar för utbildning vid behov Nyhetsbrev / uppdaterings -dokument Fackförening Arkivera kopia av anställningsbevis Ändra behörigheter i IT-avdelning administrativa nätet när Ändring i externa Systemförändringar verksamhetssystem / uppdateringar registrering i lönesystemet är gjord Bild i större format återfinns i bilaga C. Bild i större format återfinns i bilaga D. Meddela ITsamordnare Processkartläggningen måste kompletteras med en beskrivande text för att bli tydlig. Det kan göras på flera olika sätt. I den vänstra bilden är det begränsat med text i rutorna, vilket förutsätter en beskrivning i efterföljande text. I den högra bilden finns mer beskrivande text i rutorna, vilket medför att behovet av ytterligare beskrivande text inte är lika nödvändigt Exempel på vilka underrubriker som kan vara aktuella som beskrivande text till den vänstra bilden är: Överenskommelse av anställning Beställning ändring roll och behörighet

11 Systemförv./ Systemlev. IT-kundjtänst PA Chef funktionsstöd Anställd 11 Ändring i kontodatabas Ändring i interna verksamhetssystem SITHS Ändring i externa verksamhetssystem Anställningsbevis Mottagning av kontouppgifter Information om ansvarsförbindelse Utbildning Ovanstående underrubriker är endast exempel. Processen ska baseras på förutsättningarna i er egen kommun. Ni sätter egna underrubriker med egna beskrivningar Avslut av anställning Bilderna nedan visar två exempel på processer för avslut av roll och behörighet vid upphörande av anställning. Byt ut nedanstående processkartläggning mot din kommuns process. Säker roll och behörighet - Processkarta Avslut av tjänst Chef Meddela avslut av anställning Arkivera dokument Avslut av anställning Inaktivera ID-kort Skriva intyg/betyg om så begärs och skicka till anställd Avgång Anställd ensa filer och mappar Återlämna IDkort, nycklar, tag och telefon Ev. begära betyg/intyg Avgångsbeslut Hämtas i WinLas Beställning avslut roll och behörighet E-post Kvittens Personalarkiv / personalakt Vaktmästare Inaktivera anställd i passersystem egistrera återlämning av nycklar Ändring i personalsystem / lön E-post / webbanmälan IT-assistent Säga upp mobilabonnemang egistrera återlämning av telefon Avslut/inaktivering i kontodatabas E-post E-post/script Personalass Inaktivera konton i personal- och lönesystem Arkivera personakt SITHS Beställning för externa system Avslut/inaktivering i verksamhetssystem AD/E-post/ Treserva/osv IT-samordnare Inaktivera konto i verksamhetsystemet. Lägga ärende till IT-avdelningen för avslut av konto i administrativa nätet Avslut/inaktivering i externa verksamhetssystem IT-avd Inaktivera konto i administrativa nätet Bild i större format återfinns i bilaga E. Bild i större format återfinns i bilaga F. Processkartläggningen måste kompletteras med en beskrivande text för att bli tydlig. Det kan göras på flera olika sätt. I den vänstra bilden är det begränsat med text i rutorna, vilket förutsätter en beskrivning i efterföljande text. I den högra bilden finns mer beskrivande text i rutorna, vilket medför att behovet av ytterligare beskrivande text inte är lika nödvändigt Exempel på vilka underrubriker som kan vara aktuella som beskrivande text till den vänstra bilden är: Avgång Ändring i personalsystem och lönesystem Beställning avslut roll och behörighet Avslut / inaktivering i kontodatabas Avslut / inaktivering i interna verksamhetssystem SITHS Avslut / inaktivering i externa verksamhetssystem

12 12 Ovanstående underrubriker är endast exempel. Processen ska baseras på förutsättningarna i er egen kommun. Ni sätter egna underrubriker med egna beskrivningar Styrkor i befintlig modell Följande styrkor är identifierade i vår kommuns nuvarande modell för roll- och behörighet. I tabellen ska ni ersätta styrkorna med de styrkor som ni identifierar i er egen kommun. Ta därefter bort denna text. Styrka Gemensam kontodatabas Namnstandarden Informationssäkerhets policy och riktlinjer Svarta listan En ingång, en kontakt för berörda chefer. En beställningskontakt Konto kan endast skapas när användaren finns registrerad i personalsystemet. utinen för att beställa konton Få har rätt att skapa konton Organisation verksamhet Hjälp över organisationsgränser Ett fåtal har behörighet Lätt att få besked, liten organisation och nära till chefen Hanteringen av blanketter Samma inloggning Motivering All administration sker från ett och samma ställe Bra med namnstandard som inte baseras på namn. På så sätt behöver man inte ändra inloggningen när användaren byter namn. T.ex. vid giftermål. Bra att det finns beslut i policys och riktlinjer. Där står även vem som ansvarar för utbildning etc. Lista med personer som har konton, men som inte längre får ut lön. utin för avslutade konton etc. som innebär att vi har regelbundna avstämningsmöten och att vi kommunicerar förändringar genom mailen där det framgår namnet på de som har slutat eller fått andra roller osv. Ett formulär och en kontakt som aktuell chef använder sig av vid rapportering till IT, samordnaren, receptionist. Ett konto kan endast skapas när den anställde är registrerad i personalsystemet. Kontot avslutas efter att man fått den sista lönen. Det är endast chefer som har rätt att beställa konton och det är endast IT-samordnaren som har registrera konton. Det är endast ett fåtal personer som har rätt att skapa konton. Det ger en tydlighet och personalen vet vem man ska kontakta. Systemförvaltaren sitter i verksamheten, vilket är bra då det förutsätter verksamhetskunskap. Systemförvaltare i olika förvaltningar och IT hjälper varandra oavsett organisation. Hjälpande och lärande organisation. Endast ett begränsat antal personer har medvetet tilldelats rättigheten att skapa nya konton. Det ger en bättre kontroll. Närheten till användarna underlättar kommunikationen, vilket medför ökad förståelsen när något går fel. Blanketterna för vård och omsorg fungerar bra. Det är samma inloggningsuppgifter i AD och i personec. Underlättar för personalen.

13 Svagheter i befintlig modell Följande svagheter är identifierade i vår kommuns nuvarande modell för rol- och behörighet. I tabellen ska ni ersätta svaghet med de svagheter som ni identifierar i er egen kommun. Ta därefter bort denna text. ID Svaghet Motivering Åtgärdsförslag P 1 Den rutin som finns i informationssäkerhetspolicyn och Mer information behövs där det tydliggörs vad det innebär. i dess riktlinjer följs inte. Översyn av checklistor. Möten och workshop i syfte att förbättra, tydliggöra och informera P2 Brister i utbildning och introduktion Konsekvens kan bli att information hanteras oaktsamt. Tid för utbildning och introduktion måste avsättas P3 Möjliga brister i personkontrollen Genomför ID kontroll vid tilldelning av behörighet Uppdatera checklista Hämta information från Befolkningsregistret Diskutera om det krävs utdrag från belastningsregistret. P4 Möjliga brister vid avslut av anställning Informera ut till cheferna att det är viktigt att de som hanterar konton får information vid upphörande av P5 Beställning av behörighet sker utanför den centrala kontodatabasen, ger ingen samlad bild, onödigt många konton och lösenord för användaren. anställning. Se över aktuella processer och anpassa om möjligt så att all hantering sker genom den gemensamma kontodatabasen. P6 Egenutvecklad kontodatabas Medför risker vid support. Personberoende, om någon slutar Åtgärd införskaffa kommersiell produkt P7 Ingen synkronisering mellan AD Försvårar SSO och HSA för behörighetsstyrning Bör lösas långsiktigt P8 Brister i strukturen kring filhantering. Administratörerna Administratörerna bör dela mappar i filsystemet. kommer inte åt varandras mappar Administratörerna bör ha med information om t.ex. aktuella gemensam information och rutiner. Medför svårigheter med liknande strukturer. att hjälpa och lära av varandra.

14 14 ID Svaghet Motivering Åtgärdsförslag P9 Brister i beställningsformuläret, osignerade beställningar Förbättra utformningen av blanketten Se över möjligheten att utveckla formuläret med fler beställningsmängder Långsiktigt inför elektronisk signering P10 Otydlighet gällande kontobeställarens rättighet Inför skriftlig delegation på vem som har behörighet att beställa konton. P11 Känslig information i eposten Inför säkrare rutiner för hur utlämning av lösenord ska ske. P12 Admin-gruppen är för liten Säkerställ funktionen i händelse av långvarig frånvaro, sjukdom etc avseende de arbetsuppgifter som åligger admin-gruppen. P13 P14 P15 Utbildning och introduktion sköts på olika sätt beroende på vem som handleder. Flera användarnamn förekommer. Svårighet med att hålla ordning på användarnamn i Procapita. Det finns användare som har flera användarnamn och som loggat in med båda. Muntliga överenskommelser förekommer Det pågår ett arbete där man jobbar på att ta fram ett gemensamt material för en mer strukturerad utbildning och introduktion. Scenariot är exempelvis en före detta anställd som gift sig och bytt efternamn för att därefter åter börja på kommunen. Då uppstår risk att man inte noterat att man tidigare haft anställning på kommunen. Nu åtgärdat med en automatiserad rutin. Säkerställ att samtliga överenskommelser sker enligt fastställda rutiner. P16 Individuella checklistor förekommer Säkerställ att dessa stämmer med aktuella riktlinjer P17 utiner vid anställning. Dokumenterade rutiner för nyanställda måste bli kända. Tankar för att det borde kunna funka via Intranätet P18 utiner vid avslut PA/chefer ska meddela när personer slutar. Systematisk kontroll från PA ska göras. Tydliggör varför det är viktigt att avsluta så att de vet varför det måste finnas som en rutin. Man kan köra kontroller HSA mot PA-system.

15 15 ID Svaghet Motivering Åtgärdsförslag P19 Blankett för kontohantering inom vård och omsorg är bristfällig Förbättra blanketten i samråd med verksamheten och IT P20 Information saknas vid beställning av epost och AD konto Se över rutinerna för hur konton och rättigheter sätts upp i sin helhet, sett till samtliga system

16 16 5. isk- och sårbarhetsanalys När informationen har klassificerats behöver en risk- och sårbarhetsanalys göras där man undersöker vilka risker som kan uppstå vid hantering av informationen. iskanalysen görs för att bedöma risken för att ett möjligt hot inträffar. isken värderas genom att ett riskvärde (V) räknas fram, som består av sannolikhetens (S) gånger konsekvensen (K) enligt följande formel: S x K = V. Konsekvens Sannolikhet 5.1. Skala för sannolikhet och konsekvens Inför varje enskild analys är det viktigt att man tillsammans kommer överens om vilka skalor som ska gälla. Orden katastrof och ofta är relativa begrepp, som beroende på sitt sammanhang har olika innebörd. Vi har kommit överens om följande skalor i vårt arbete med riskanalysen, se tabellerna nedan. Konsekvens Värde Innebörd Katastrofal 4 t.ex. id-kapning, röjning av skyddad identitet eller motsvarande Allvarlig 3 Måttlig 2 Försumbar 1 t.ex. obehörig åtkomst, ej tillgång till kontot av känsligt system eller motsvarande t.ex. ej tillgång till konto av mindre känsligt system eller motsvarande t.ex. att händelsen inte har någon påverkbar betydelse eller motsvarande Sannolikhet Värde Innebörd Ofta 4 t.ex. kan inträffa varje vecka egelbundet 3 t.ex. kan inträffa varje månad Sällan 2 t.ex. kan inträffa någon gång per år Mycket sällan 1 t.ex. kan inträffa någon gång var tredje år

17 esultat riskanalys med åtgärdsförslag I riskanalysen har nedanstående scenarier lyfts fram där vi har värderat sannolikhet och konsekvens. Åtgärder är föreslagna för respektive scenario. En sammanställning av åtgärderna återfinns i handlingsplanen i kapitel 5. I tabellen ska ni ersätta scenarierna med de scenarier som ni identifierar i er egen kommun. Bedöm därefter sannolikhet och konsekvens, samt notera åtgärdsförslag. Ta därefter bort denna text. ID Scenario S K V Åtgärd Ansvarig 1 Användarna får inte Den chef vars behörighet till de system verksamhet Säkerställ att det finns som de behöver pga att är beroende rätt antal det finns för få personer av ITsystemet. administratörer, dvs som har tilldelat ansvar admin, per system för kontohantering och Ofta admin. systemägaren 2 3 isk att någon felaktigt legitimerar sig fysiskt som anställd i kommunen som en konsekvens av att SITHS-kortet inte är återlämnat vid avslut av anställning. Information riskerar att spridas oaktsamt, t.ex känslig epost, pga brister i det tekniska skyddet Se till att kortet kommer tillbaka. Överväg straffavgift, depositionsavgift för borttappat kort etc. Tydliggör ansvaret och ge mer information kring rutinerna för enhetschefer. Upprätta checklista för hur man avslutar en anställning. Utkräv ansvar i händelse av om detta scenario inträffar. Inför bättre tekniskt skydd, t.ex. program som kan tolka sifferkombinationer, DLP. Beakta att åtgärder ska baseras på legala krav och verksamhetens krav, inte på vad som är tekniskt möjligt. Enhetschefen ITchef och verksamhetsc hef i samråd. Verksamhete n saknar kunskap om vilka tekniska skydd som finns, men kan värdera information.

18 Användaren kommer inte åt systemen eller den information som behövs i arbetet pga att chefen missat att beställa konton. Användare saknar SITHS-kort pga lång beställningstid (3v) i kombination med att endast en och samma person beställer och lämnar ut kort. Denna kan ha semester. IFO och LSS; Användaren får onödigt många olika användarnamn i diverse system medför svårighet att hålla reda på kontouppgifter VoO, HSL; Användaren får onödigt många olika användarnamn i diverse system medför svårighet att hålla reda på kontouppgifter Användaren kommer inte åt journalen, systemet ligger nere pga tekniskt fel. Hjälp uteblir. Ingen tillgång till SITHS pga chef missat att beställa etc. Konsekvensen beror på vem som berörs. Tydliggöra rutiner med mer utbildning Säkerställ utfärdande av reservkort om det tar för lång tid att få det riktiga kortet. Utbildning samt införande av SSO Hämta kort, ringa kollega?????? Skriv ut arbetslista förebyggande på kontorstid, jobba efter manuella rutiner Annan person får utförda reservkort och informera i efterhand?? ID Scenario S K V Åtgärd Ansvarig 4 Information riskerar att spridas oaktsamt, t.ex känslig epost, pga bristande kunskap. Avsätt tid för utbildning. Det är oftast bara utbildning för verksamhetssystem, Verksamhetschef men det saknas ofta generell kunskap om lagrum, hantering av listor, hur vi lagrar (skrivbordet), loggning Verksamhetschef Verksamhetschef Enhetschef Enhetschef Enhetschef SITHS ansvarig samt chef

19 19 ID Scenario S K V Åtgärd Ansvarig Användaren har många olika konton pga rutinerna inte följs isken att behörigheter finns kvar efter t.ex. att en person slutat Egenutvecklad kontodatabasen underhålls inte pga utvecklaren slutat, är sjuk, frånvarande etc Användare inte kan logga in pga AD, HSA, systemet inte är tillgängligt Användaren inte kan logga in pga glömt lösenord, kontot låst Felaktigheter uppstår Dålig kontohantering pga få administratörer. Känslig vid frånvaro och ingen backup av personal Utskick av lösenord via epost riskerar insyn En person har inte tillgång till SITHS pga man inte visste att det behövdes vid anställning, lång väntetid Missar att beställa konton, användaren kommer inte åt informationen, pga bristfälliga rutiner Se till att det finns en namnstandard och rutin för vem som sätter upp kontot, AD-koppling och SITHS. Se till att de finns rutiner och säkerställ så att dessa följs. Förbättra adminstrationen av behörigheter. Köp nytt system som fler kan hantera Inför teknisk redundans och diversitet Inför självservice i kontohanteringen? Se till att det finns fler som blir behöriga uppgiften Dölj delar av lösenordet, muntlig överlämning av lösenordet De får beställas innan anställning börjas Se till att rutinen blir tydlig IT-chef i dialog med verksamheten, bör framställas som ett verksamhetskrav Beror på hur det är organiserat, verksamhetschef IT IT (och systemleverantör) IT (och systemleverantör) Enhetschef Verksamhets chef

20 20 ID Scenario S K V Åtgärd Ansvarig isken att användaren Säkerställ rätt Verksamhets 2 6 inte får åtkomst till bemanning chef information pga det är 3 för få som arbetar med 3 9 kontoadminstration Användaren kommer inte ihåg sina användarnamn pga det är för många lösenord och konton att komma ihåg. isken att en användarens behörigheter inte följer med vid byte av roll pga att det är för många system som man måste byta Användare som slutar har fortfarande åtkomst pga att inaktivering av kontot inte genomförts. En person saknar tillgång till SITHS pga att man inte visste om att det behövdes vid anställning. Användaren får olika användarnamn till olika system pga att rutinen för tilldelning av behörighet inte efterföljs. IT vet inte vilka behörigheter användaren har pga rutinen för tilldelning av behörighet inte efterföljs. Felaktigheter uppstår pga att checklistor och riktlinjer inte överensstämmer Fel behörighet tilldelas i Procapita /Treserva pga det finns många personer som kan ge behörighet och gör på olika sätt SITHS-kortsinloggning ihop med SSO till flera system Se till att det finns rutin som meddelar byte av roll och arbetsplats. Verksamhets chef Enhetschef

21 21 ID Scenario S K V Åtgärd Ansvarig 30 Användaren har inte kortläsare på sin dator pga IT inte ser vilka som har SITHS och har därför inte vetat om att arbetsplatsen ska förses med kortläsare En användares identitet röjs pga att det inte finns rutiner som täcker personer med skyddad identitet En användare har låst sitt konto och kan ej låsa upp pga att det inte finns support på helger och kvällar En användare dokumenterar på patient med fel identitet pga att användaren har två konton. En användare dokumentera felaktigt pga att utbildning/ introduktion har ej getts En användare ser brukare/patienter som den ej ska ha åtkomst till (och har därmed inte åtkomst till de den ska ha) pga den har fått fel vårdenhet vid behörighetstilldelning. En användare har inte fått medarbetaruppdrag pga att det saknas möjlighet att kryssa i den rutan på behörighetsblanketten. En användare har inte fått behörighet till systemet pga det är många blanketter att fylla i och någon blankett har missats.

22 22 ID Scenario S K V Åtgärd Ansvarig 38 Någon annan loggar in med fel identitet i Procapita/ Treserva pga att behörighet och lösen har skickats i samma försändelse och hamnat fel Behörighet i SITHS kan inte ges för vikarie pga det finns bara ett fåtal personer som kan göra detta och de är frånvarande. Inlogg med SITHS fungerar inte i AD pga UPN saknas eller är felaktigt ifyllt i HSA En användare kommer inte ihåg sitt lösenord pga det är för många lösenord att ha i minnet.

23 23 6. Handlingsplan Processkartläggningen i kapitel 3 och riskanalysen i kapitel 4 identifierade ett antal förslag på åtgärder för att åstadkomma en säker hantering av roller och behörigheter. Det finns ett flertal scenarier och åtgärder som överlappar varandra vilket i praktiken innebär att en åtgärd löser flera identifierade problem och brister. En aktivitet i handlingsplanen löser flera identifierade svagheter och risker. I handlingsplanen nedan har vi grupperat ihop identifierade svagheter och brister till 14 stycken aktiviteter. I handlingsplanen framgår källan, dvs vilket id-nummer från processkartläggningen i kapitel 3 och riskanalysen i kapitel 4 som aktiviteten utgår från. Åtgärder identifierade i processkartläggningen är markerade som P1, P2, P3 osv och åtgärder identifierade i riskanalysen är markerade som 1, 2, 3 osv. De aktiviteter som föreslås i handlingsplanen markeras som aktivitet A1, A2 A3 osv. I tabellen ska ni ersätta aktiviteterna med det som ni identifierat i er egen kommun. Ta därefter bort denna text. Handlingsplan Säker roll och behörighet ID A1 A2 Källa P1, P2, P13, 4, 34 P1, P16, 28 Åtgärd, för detaljerad beskrivning hänvisas till källan. Utbildning Säkerställ att alla känner till informationssäkerhetspolicyn och att alla får samma möjlighet till utbildning/introduktion oavsett handledare. iskvärde 12 Checklistor Kontrollera alla checklistor och säkerställ att dessa inte är motstridiga gentemot informationssäkerhetspolicyn. Även checklistor som är upprättade utanför processen, men som påverkar processen. Ansvarig Aktuell Status Åtgärd ej nödvändig Ej påbörjad Påbörjat datum Avslutat datum

24 24 Handlingsplan Säker roll och behörighet ID A3 A4 A6 A6 A7 Källa P3, P5, P10, P14, P17, 35, 38, 40 P4, P14, P18, 2, 12, 24 P6, P7, 7, 8, 13, 21, 25, 26, 27, 33, 41 P8, 29 P9, P15, P19, P20, 5, 6, 10, 11, 19, 20, 36, 37 Åtgärd, för detaljerad beskrivning hänvisas till källan. Aktivering av behörighet Fastställ rutin för säker personidentifiering vid tilldelning av behörigheter och konton. Fastställ en enhetlig process för säker tilldelning av roller och behörigheter. Säkerställ att beställaren är behörig beställare. Säkerställ att rätt vårdenhet väljs. Beakta rutin för namnbyte enligt P14. Gör rutinerna kända. Inaktivering av behörighet Inför säker rutin för inaktivering av konto och behörighet vid upphörande av tjänst etc. Beakta rutin för namnbyte enligt P14. iskvärde 8 och 12 Behörighetskatalog Inför en för gemensam behörighetskatalog för hela kommunen baserad på strukturerad arkitektur och standardiserade produkter. Säkerställ kompetens kring katalogen. Synkronisera mellan AD och HSA. En användare ska ha en och samma identitet för alla system enligt 7 och 8 samt SITHS och SSO enligt 22 iskvärde 6 Dela dokumentation Administratörer ska ha möjlighet att dela dokumentation med andra administratörer i filsystemet utin för beställning av roll och behörighet Utveckla formulär / blankett för beställning med fler alternativ, digital signering, bättre utformning. Säkerställ att inga muntliga överenskommelser kan genomföras, alla omständigheter ska framgå i formuläret. iskvärde 6-9. Ansvarig Aktuell Status Åtgärd ej nödvändig Ej påbörjad Påbörjat datum Avslutat datum

25 25 Handlingsplan Säker roll och behörighet ID A8 P11, A9 P12, A10 A11 A12 A13 A14 Källa 15, 18, 32 1, 6, 17, 21, 39 3, 14, , Åtgärd, för detaljerad beskrivning hänvisas till källan. Lösenordsadministration Inför rutin för hur säker upplåsning/utlämning av lösenord kan ske. Är epost ett verktyg? Överväg självservice för utvalda delar. iskvärde 8-12 Storlek på Admin grupp Säkerställ att de personer som hanterar tilldelning av roller och behörigheter är rätt till antalet. iskvärde 6-9. Tekniskt skydd Minska risken för spridning av känslig information genom att säkerställa att det tekniska skyddet följer verksamhetens krav och bidrar till att skydda känslig information enligt gällande lagstiftning. iskvärde 12 Kontinuitetsplan Inför kontinuitetsplan (reservplan) för verksamheten som ska gälla om IT-systemen inte är tillgängliga. iskvärde 8. Lösenord Inför process för säker tilldelning av lösenord. Överväg självservice för utvalda delar. iskvärde 12 och 8 Nya arbetsuppgifter nya rättigheter Säkerställ rutinen för ny roll inom befintlig anställning Skyddad identitet Utforma en process så att anställd med skyddad identitet kan arbeta i verksamhetssystemet. Ansvarig Aktuell Status Åtgärd ej nödvändig Ej påbörjad Påbörjat datum Avslutat datum

26 Systemlev. Systemförv./ funktionsstöd IT-kundjtänst PA Chef Nyanställd 26 Bilaga A Säker roll och behörighet - Processkarta Nyanställning sjuksköterska Påskrift Mottagning av kontouppgifter / Påskrift av ansvarsförbindelse / Utbildning Aktiv användare Överenskommelse om anställning Beställning ny roll och behörighet Anställningsbevis Nya kontouppgifter AD Muntligt/skriftligt Mottagning ansvarsförbindelse Internpost E-post / webbanmälan Hämtas från LAS E-post Personalarkiv / personalakt Uppläggning i personalsystem / lön Muntligt/skriftligt Blankett Uppläggning i kontodatabas E-post E-post/script E-post SITHS Beställning för externa system Uppläggning i verksamhetssystem AD/E-post/ Treserva/osv Ansvarar för utbildning/ material vid behov Nyhetsbrev / uppdaterings -dokument Uppläggning i externa verksamhetssystem Systemförändringar / uppdateringar

27 27 Bilaga B Nyanställd Chef Skriva anställningsbesked. Skicka till nyanställd för påskrift Meddela IT-assistent Meddela vaktmästare Meddela IT-samordnare Checka av beställningar och leverera till nyanställd Introducera nyanställd Nyanställd Skriva på anställningsbesked och skicka till personalass Vaktmästare Beställa nycklar, tjänste-id och tagg Personalass egistrera anställningsbesked i personalsystem. Arkivera i personakt och skicka kopia till fackförening. Fackförening Arkivera anställningsbesked IT-assistent Beställa anknytning Beställa telefon IT-samordnare Beställa konto och förbereda dator. Lägga ärende till IT-avdelning Skapa/Beställa övriga behörigheter IT-avdelningen Aktivera konto Meddela IT-samordnare och chef

28 Systemförv./ funktionstöd Systemlev. IT-kundjtänst PA Chef Ny chef Anställd 28 Bilaga C Säker roll och behörighet - Processkarta Byte av tjänst Påskrift Mottagning av kontouppgifter / utbildning Aktiv användare Överenskommelse om anställning Anställningsbevis Nya kontouppgifter AD Beställning ändring roll och behörighet Information om ansvarsförbindelse Hämtas från WinLas Personalarkiv / personalakt E-post / webbanmälan E-post Internpost Ändring i personalsystem / lön Muntligt/skriftligt Ändring i kontodatabas E-post E-post/script SITHS Beställning för externa system Ändring i verksamhetssystem AD/E-post/ Treserva/osv Ansvarar för utbildning vid behov Nyhetsbrev / uppdaterings -dokument Ändring i externa verksamhetssystem Systemförändringar / uppdateringar

29 29 Bilaga D Chef Meddela ändring av anställning Ändring av anställning Ta emot meddelande om ny behörighet Personalassistent Skriva nytt anställningsbevis, skicka till anställd Löneassistent egistrera ändring i lönesystemet Arkivera en kopia av anställningsbevis och skicka en kopiera till fackförening Anställd Underteckna anställningsbevis och skicka till löneassistent Ta emot meddelande om ny behörighet IT-samordnare Ev. ändra behörigheter i verksamhetsystem Lägga ärende till IT-avdelningen om ändrad behörighet i administrativa nätet Meddela anställd och chef ny behörighet Fackförening Arkivera kopia av anställningsbevis IT-avdelning Ändra behörigheter i administrativa nätet när registrering i lönesystemet är gjord Meddela ITsamordnare

30 Systemförv./ funktionsstöd Systemlev. IT-kundjtänst PA Chef Anställd 30 Bilaga E Säker roll och behörighet - Processkarta Avslut av tjänst Avgång Avgångsbeslut Beställning avslut roll och behörighet E-post Kvittens Hämtas i WinLas Personalarkiv / personalakt Ändring i personalsystem / lön E-post / webbanmälan Avslut/inaktivering i kontodatabas E-post/script E-post SITHS Beställning för externa system Avslut/inaktivering i verksamhetssystem AD/E-post/ Treserva/osv Avslut/inaktivering i externa verksamhetssystem

31 31 Bilaga F Chef Meddela avslut av anställning Arkivera dokument Avslut av anställning Inaktivera ID-kort Skriva intyg/betyg om så begärs och skicka till anställd Anställd ensa filer och mappar Återlämna IDkort, nycklar, tag och telefon Ev. begära betyg/intyg Vaktmästare Inaktivera anställd i passersystem egistrera återlämning av nycklar IT-assistent Säga upp mobilabonnemang egistrera återlämning av telefon Personalass Inaktivera konton i personal- och lönesystem Arkivera personakt IT-samordnare Inaktivera konto i verksamhetsystemet. Lägga ärende till IT-avdelningen för avslut av konto i administrativa nätet IT-avd Inaktivera konto i administrativa nätet