Säkerhetsinstruktioner för användare av kommunens nätverk

Transkript

1 Säkerhetsinstruktioner för användare av kommunens nätverk

2 SÄKERHETSINSTRUKTIONER FÖR ANVÄNDARE AV FALKÖPINGS KOMMUNS NÄTVERK 1 BAKGRUND INLOGGNING HANTERING AV INFORMATION INTERNET E-POST INCIDENTER BÄRBAR DATORER ARBETSPLATSEN...5 BILAGA: Riktlinjer för hantering av e-post och Internetanvändning Reviderad

3 1 BAKGRUND Inom den kommunala verksamheten finns för närvarande två nätverk, ett administrativt och ett för utbildningsområdet. Dessa instruktioner avser alla kommunanställda som är användare i något av nätverken. Av praktiska skäl finns ibland mindre skillnader i regelverket för de två nätverken. Där det förekommer anges detta särskilt. Denna instruktion ligger även till grund för och används i tillämpliga delar i de säkerhetsinstruktioner som gäller för skolans elever. Information är en mycket viktig tillgång för vår kommun. För att skydda de värden informationen representerar krävs ett säkerhetsmedvetande hos alla medarbetare. Du som användare har alltså en stor del av ansvaret för säkerheten i informationshanteringen. Som bilaga till säkerhetsinstruktionen finns kommunens Riktlinjer för hantering av e-post och Internetanvändning. Dessa riktlinjer utgör tillsammans med säkerhetsinstruktionen det ramverk som gäller för användare av Falköpings kommuns nätverk. För att du skall kunna leva upp till de säkerhetskrav som ställs på dig är du skyldig att känna till: vilka regler som gäller och vilket ansvar du har vad du skall göra vid olika incidenter var du kan få stöd och hjälp Det du behöver veta finns i detta dokument. Ta dig därför tid och läs igenom dessa sidor. Är det något du inte förstår eller som du tycker verkar oklart får du gärna kontakta IT-avdelningens. Du vänder dig då till IT-support som du når på tel under kontorstid. Detta gäller även i alla andra frågor som rör ITavdelningens verksamhet. Särskilda regler för vissa system Observera att vissa system, som hanterar särskilt känsliga uppgifter, kan ha striktare säkerhetsregler än de som beskrivs här. Om något av de system du använder innehåller särskilt känsliga uppgifter bör du därför kontrollera med den systemansvarige om det finns kompletterande säkerhetsinstruktion för det systemet. 2 INLOGGNING Våra nätverk är utrustade med ett behörighetskontrollsystem (BKS) för att säkerställa att det bara är behöriga användare som kommer åt information och att en användare enbart kan komma åt den information som den behöver för att utföra sina arbetsuppgifter. För att bli behörig användare krävs att din chef gör en ansökan om behörighetsregistrering. Beslut om behörighet till nätverket tas av IT-avdelningen. Detta innebär att du, förutom möjlighet att logga in i nätverket, också får tillgång till e-post, kontorsprogram och Internet. Behöver du dessutom använda något verksamhetssystem (t.ex. Procapita) är det systemägaren (vanligtvis din förvaltningschef) som beslutar om detta. Därefter ansvarar Du för att följa de regler som kopplas till behörigheten. För att få behörighet krävs därför att: 1. Din chef ansöker om vilka behörigheter du skall ha i nätverket 2. IT-avdelningen och din förvaltningschef beslutar om vilken behörighet du skall ha. 3. Det skriftliga beslutet lämnas till IT-avdelningen som lägger in din behörighet. 4. Därefter får du: Reviderad Sida 1

4 EN ANVÄNDARIDENTITET (Användaridentiteten är ditt namn i nätverket och bygger oftast på delar av ditt för- och efternamn.) ETT LÖSENORD Som alltid är din egen hemlighet! Initialt lösenord Första gången loggar du in med ett initialt lösenord som du får av IT-avdelningens tekniker. Detta lösenord skall du bara använda en gång för att komma in i systemet och därefter byta det till ditt personliga lösenord. På detta sätt säkerställs att det bara är du själv som känner till ditt lösenord. Lösenordet är strängt personligt! och skall hanteras därefter. Du skall därför: inte avslöja ditt lösenord för andra eller låna ut din behörighet skydda lösenordet väl. (Vilket bl.a. innebär att du absolut inte får ha lösenordet uppskrivet på en lapp som du förvarar under tangentbordet, skrivbordsunderlägget eller i skrivbordslådan!) omedelbart byta lösenordet om du misstänker att någon känner till det lösenordet skall bytas var 90:e dag. (Du får en uppmaning när det är dags att byta.) Lösenordet skall bestå av minst 6 tecken och skall helst vara en blandning av bokstäver och siffror. Det får inte konstrueras så att det lätt kan kopplas till dig som person. Enkla upprepade mönster såsom t ex ABC123, AAAAA2 får ej användas. Inte heller andra lättforcerade lösenord, t.ex. eget, familjemedlems eller husdjurs namn, eller lösenord bestående av enkla tangentkombinationer t.ex. QWERTY. (De sex första tecknen på tangentbordets översta rad.) För att skapa ett bra lösenord kan du t.ex.: välja en uttalbar, men meningslös sekvens, till exempel BAMROK välja ett välbekant ord t.ex. fönster och skapa ditt lösenord med hjälp av tangenterna ovanför bokstäverna i ordet fönster dvs. RPHW534. ta första (andra/tredje/sista) bokstaven i en för dig bekant textsträng, melodi eller boktitel, till exempel HHSFOM från Han hade seglat för om masten.... Tidigare använda lösenord kan du inte återanvända. När du byter lösenord kontrollerar systemet att du inte använder något av de lösenord som du tidigare använt. Om du glömmer ditt lösenord och försöker att logga in i nätverket med ett felaktigt lösenord kommer systemet att låsas efter tre felaktiga försök. Om detta inträffar vänder du dig till IT-avdelningens supportpersonal (tel ), uppger vem du är och berättar vad som har hänt. Du kommer då att få ett nytt initialt lösenord. Du lämnar spår efter dig när du är inloggad och arbetar i systemen. Systemens loggningsfunktion används bl.a. för att spåra obehöriga intrång. Detta görs för att skydda informationen och för att undvika att oskyldiga misstänks om oegentligheter inträffar. Reviderad Sida 2

5 När du byter arbetsuppgifter eller om slutar din anställning skall din verksamhetschef meddela detta till IT-avdelningens support så att din behörighet kan ändras alternativt tas bort. 3 HANTERING AV INFORMATION Nätverkets servrar är omgärdade med stränga säkerhetsregler och all information säkerhetskopieras varje dygn. Därför skall all sekretessbelagd och känslig information alltid lagras på nätverkets servrar. Väljer Du att lagra annan, icke känslig information, på den lokala arbetsstationen, är det Du själv som ansvarar för informationens säkerhet och att den blir säkerhetskopierad. Den IT-säkerhetsansvarige rekommenderar inte lokal lagring av någon information och IT-avdelningen hjälper inte till med att återskapa förlorad information på lokala hårdiskar och disketter. Om du trots allt lagrar information lokalt på din hårddisk eller diskett ansvarar du själv för denna, vilket innebär att: du skall ta säkerhetskopior, t.ex. genom att kopiera informationer till nätverket eller en CD. du skall tänka på att andra kan ha otillbörligt intresse av att komma över informationen den lokalt lagrade informationen går att komma åt utan att logga in i nätverket. Var därför extra försiktig och lämna inte din dator utan uppsikt samt var noga med att låsa rummet när du lämnar det. du skall tänka på att disketter är känsliga för onormal värme, magnetism, damm, rök och tryck och måste hanteras därefter. 4 INTERNET Kommunens nätverk är anslutet till Internet via en brandvägg som reglerar in- och utgående trafik. I brandväggen sker också en registrering av vilka sidor man besöker på Internet. När du surfar på Internet representerar du kommunen. Agera i enlighet med våra värderingar och policy så att det du förmedlar på nätet inte skadar oss. Tänk på att du lämnar spår efter dig t.ex. i form av kommunens adress. Utöver dessa säkerhetsregler finns det också lagar och riktlinjer som du är skyldig att känna till när du använder kommunens datorer. Om detta kan du läsa bl.a. läsa bilagan till detta dokumentet Riktlinjer för hantering av e-post och Internetanvändning. För en mer fullständig beskrivning hänvisas till Hantering av e-post och Internetanvändning.(KS 2002/0088) Internetanvändandet är ett område där säkerheten i mycket hög grad påverkas av användarnas beteende. Vid användande av Internet gäller därför följande: Allmänt gäller att du skall ha ett gott omdöme och endast hämtar in sådant som är relevant för arbetet och som kommer från välrenommerade webbsidor. Inga program får laddas ner i kommunens datorer och nätverk av enskilda användare. På vissa hemsidor kan du ibland bli uppmanad att ladda ner ett program. Acceptera aldrig detta! De innehåller ofta en slags spionprogram, (spyware), som kan göra samma skada som ett datavirus. (se nedan) Saknar du något program som du, i ditt arbete, behöver ha tillgång till ber vi att du vänder dig till ITavdelningens support som bedömer om programmet kan installeras i nätverket. Om programmet medför Reviderad Sida 3

6 licenskostnader måste också din chef fatta ett beslut om inköp av programmet. Ett av de största hoten mot vår information är datavirus som kan sägas vara ett program eller en programsekvens vars uppgift är att kopiera sig själv och tränga in i andra program för att utföra något otillbörligt. I bästa fall är det oskyldiga pip eller hälsningar som ritas på skärmen. I värsta fall raderas datorns hårddisk eller så kopierar viruset sig självt i det oändliga tills hela systemet bryter samman. Väl inne i nätverket kan det sedan sprida sig vidare till andra datorer. Datavirus är ofta ytterst smittsamma och smittkällan kan ibland vara svår att identifiera. Oftast sprids de via olika program och filer som laddas ned från Internet t.ex. via chat och e-post. Av den anledningen och för att förhindra otillåten kopiering av programvaror är det inte tillåtet för dig som användare att själv installera program på kommunens datorer. Tecken på datavirus kan t.ex. vara att datorn utför operationer/arbete utan att du själv initierat det, t.ex. förändringar sker på skärmen (tecken flyttas, försvinner etc.) datorn uppträder på ett onormalt sätt, t.ex. arbetar mycket långsamt. Om du misstänker att datorn innehåller virus skall du stäng av datorn och koppla ur nätsladden. se till att ingen annan använder datorn. omedelbart anmäla det som skett till IT-avdelningens support. skriva ner iakttagelser som du misstänker kan ha samband med händelsen. 5 E-POST E-post är ett bra hjälpmedel i arbetet. Med tiden sparar man kanske på sig stora mängder meddelanden som dessutom innehåller bifogade filer. Dessa tar en hel del plats på nätverkets servrar. Tänk därför på att regelbundet gallra och radera i din inkorg och utkorg! Regler för vad som kan gallras, vad som skall diarieföras mm finner du bl.a. i bilagan Riktlinjer för e- post och Internetanvändning. För att förhindra spridning av känslig information och för att minska risken för virusspridning samt för att undvika onödig belastning av nätverkets resurser gäller följande: Det är inte tillåtet med automatisk vidarekoppling till adresser utanför nätverket. Känslig och/eller sekretessbelagd information får inte skickas till adresser utanför nätverket. Var återhållsam med att skicka eller vidarebefordra meddelanden som innehåller stora filer. Öppna endast bifogade filer från avsändare du känner igen och litar på. Vidarebefordra inte virusvarningar till alla användare i nätverket. Får du en sådan varning skall du istället kontakta IT-avdelningens support för vidare information. Du bör undvika att använda automatsvar vid semestrar eller annan frånvaro. Reviderad Sida 4

7 6 INCIDENTER Om du misstänker att någon obehörig använt din användaridentitet och varit inne i systemet skall du: notera tidpunkt då du senast själv var användare i systemet notera tidpunkt då du upptäckte förhållandet anmäl omedelbart till IT-avdelningens support och din chef dokumentera alla iakttagelser i samband med upptäckten samt försök att fastställa om kvaliteten på informationen har påverkats Om du misstänker datavirus kontakta IT-avdelningens support (se i övrigt avsnitt om Internet) Om du misstänker stöld, brand, sabotage etc. kontakta närmaste chef och IT-avdelningens support 7 BÄRBARA DATORER Bärbara datorer och handdatorer utgör alltid en säkerhetsrisk. Därför skall du: hålla utrustningen under uppsikt om du inte kan låsa in den. om möjligt undvika att lagra verksamhetskritisk information. använda någon form av lösenordsskydd. På bärbara datorer skall det användas ett krypteringsprogram för att skydda informationen. Datorerna måste dessutom regelbundet anslutas till nätverket så att de får ta del av nödvändiga säkerhetsuppdateringar och får uppdateringar till sitt antivirusprogram. 8 ARBETSPLATSEN Om du lämnar arbetsplatsen skall du använda skärmsläckaren alternativt logga ut, även om det bara är för en kortare stund. Glömmer du detta finns det risk för att informationen är tillgänglig för obehöriga. Kom ihåg att du ansvarar för allt som registrerats med din användaridentitet. Utskrifter av dokument på en gemensam skrivare skall hämtas så snart du kan, annars kan kvarglömda dokument komma i Reviderad Sida 5

8 orätta händer. Service på utrustning Om din dator gått sönder skall du kontakta IT-avdelningens support som avgör hur felet skall hanteras. Behöver din persondator lämnas på service måste du se till att eventuell känslig information avlägsnas från hårddisken. För att lösa vissa datorproblem kan IT-supporten behöva ta över och fjärrstyra din dator. Detta får bara ske om du godkänt denna åtgärd. När du själv inte är inloggad har dock systemteknikerna rätt att, utan ditt godkännande, fjärrstyra datorn i samband med nödvändigt tekniskt underhåll. Känner du inte igen den servicepersonal som kommer till dig för att åtgärda ett datorproblem skall du kräva att få se dennes legitimation. Det går också bra att kontrollera med IT-avdelningen att personalen är behörig. Att arbeta hemifrån Har du tillgång till Internet kan du komma åt din e-post från hemmet. Tänk bara på att du inte bör spara e-post eller bifogade filer på din privata dator. Har du i ditt arbete behov av att ibland arbeta hemifrån? Då finns det idag flera tekniker för att göra detta. Vad som är lämpligt i ditt fall är beroende av dina behov och hur snabb Internetanslutning du har. Det är din chef som bestämmer vem som skall ha möjlighet att arbeta från hemmet och IT-avdelningen som avgör vilken teknik som skall användas. Vill du veta mer om vilka möjligheter som finns kan du kontakta IT-avdelningen. Stöd och hjälp kan du få av din närmaste chef. Du är givetvis också välkommen att höra av dig till IT-avdelningens support om du har några frågor. Ytterligare information hittar du i: Kommunens IT-säkerhetsplan Säkerhetsplanen anger mål och ansvarsfördelning inom IT-säkerhetsområdet. Generell systemsäkerhetsplan för Falköpings kommuns nätverk Systemsäkerhetsplanen anger vilka säkerhetsnivåer som skall gälla. Generell säkerhetsinstruktion för Falköpings kommuns nätverk. Denna innehåller en mer omfattande beskrivning av gällande säkerhetsregler samt när eventuella undantag kan göras från regelverket. Reviderad Sida 6

9 Riktlinjer för hantering av e-post och Internetanvändning Riktlinjer för hantering av e-post och Internetanvändning Hantering av e-post För all information som befordras med e-post eller är lagrad i privata eller gemensamma brevlådor, gäller samma offentlighets- och sekretessregler, arkivregler m.m. som för konventionellt postbefordrade handlingar. Sekretessbelagd eller känslig information bör inte skickas på Internet d.v.s. utanför kommunens nätverk. (Om det inte går att garantera det skydd av uppgifterna som krävs). Var och en som sänder eller tar emot information via e-post måste utan dröjsmål avgöra om informationen är att betrakta som allmän handling eller inte. Detta innebär att vid längre frånvaro bör full fullmakt ges, eller arbetsrutiner utarbetas, för att lösa hanteringen av all post som kommer via e-post. Kraven på rutiner skärps ytterligare då justitiedepartementet föreslår utökning av förvaltningslagen, så att myndigheter inte bara har skyldighet att besvara telefon och vanlig post, utan även faxande och elektroniska meddelanden från medborgarna. Således skall svarsfrekvensen och servicen vara lika hög oavsett på vilket media frågan inkommer till myndigheten. Nämnderna skall ha rutiner för att post till myndigheten i de elektroniska brevlådorna öppnas. Var restriktiv vid användning av Till samtliga funktionen i vårt e-postsystem. Berör ditt meddelande verkligen alla? Allmänna handlingar En handling via e-post, är en allmän handling när den inkommit eller upprättats hos myndigheten och anses förvarad hos myndigheten. Handlingar som överförs via e-post har inkommit när data som representerar handlingen har nått myndighetens tekniska funktion för att ta emot e-post. Handlingen ska dock ha mottagits av behörig tjänsteman. Handlingar som överförs elektroniskt anses upprättade när de expedierats d.v.s. sänts iväg. Att en allmän handling är förvarad innebär att dokumentet finns lagrat för åtkomst. Handlingar som inte är allmänna De handlingar som inte är allmänna behöver inte lämnas ut till allmänheten eller registreras utan kan omgående raderas Sida 1

10 Riktlinjer för hantering av e-post och Internetanvändning Följande handlingar är inte allmänna: Meddelande som är av tillfällig betydelse som ersätter ett telefonsamtal. Brev eller telegram som inte är avsedda för myndigheten utan endast ska vidarebefordras. Handling som upprättats eller inlämnats hos myndigheten endast för offentliggörande i tidning/tidskrift som utges av myndigheten. Privata brev eller skrivelser som överlämnats till myndigheten. Kursinbjudningar och andra jämförliga handlingar. Minnesanteckningar, promemorior (notera att minnesanteckningar som av misstag arkiveras blir allmänna handlingar). Post till förtroendevalda som gäller interna partipolitiska frågor. Handlingar till kommunalråd, nämndsordförande eller annan förtroendevald som endast avser frågor med anknytning till den förtroendevaldes egenskap av företrädare för ett visst parti utan anknytning till något ärende. Om handlingen rör något ärende helt eller delvis- är handlingen dock allmän. Post till anställda som fackliga förtroendemän. Kallelser till sammanträden inom förvaltningen, interna PM om olika sakförhållanden, minnesanteckningar från personalmöten m.m. blir allmänna handlingar endast om de arkiveras. Under beredning eller samråd kan utkast skickas till någon på annan förvaltning för synpunkter utan att handlingen blir allmän. Avser sådana situationer då en myndighet begär in uppgifter under hand d.v.s. utan formell remiss. Huvudregeln är annars att handlingar som skickas till annan förvaltning är att jämställa med skrivelse till annan myndighet och blir allmänna då de expedieras respektive inkommer. Tänk på följande vid hanteringen av allmänna handlingar via e-post. Allmänna handlingar ska överlämnas till registratorn för att registreras eller i vart hållas ordnade på sådant sätt att de utan svårighet kan återfinnas. Vid varje myndighet/förvaltning finns, förutom de privata, en myndighetsbrevlåda som registratorn har ansvar för. Genom den ska inkommande, utgående och upprättade allmänna handlingar hanteras. E-post som är adresserad direkt till myndigheten skickas till denna brevlåda. Alla allmänna handlingar som ska registreras (eller i vart fall hållas ordnade så att de utan svårighet kan återfinnas) ska skrivas ut på papper. Sekretesskyddade handlingar skall alltid registreras. Skälet till att handlingar skrivs ut på papper är för arkivering Sida 2

11 Riktlinjer för hantering av e-post och Internetanvändning För allmänna handlingar som inte ska bevaras framgår det av myndighetens dokumenthanteringsplan när gallring ska ske. Alla allmänna och offentliga handlingar via e-post ska skyndsamt och i läsbar form lämnas ut till den som begär det. Den som vill ha kopior har rätt att få detta mot avgift som är fastställd av kommunfullmäktige. Digitala upptagningar tillhandahålles på papper. Endast om myndigheten finner det lämpligt tillhandahålles digitala upptagningar på diskett mot avgift. Internetanvändning Den som under arbetstid surfar på Internet skall endast surfa på för arbetet relevanta sidor. Vid sidan av ordinarie arbetstid får arbetstagare använda kommunens Internetuppkoppling för att förkovra sig. Arbetstagare får aldrig använda kommunens Internetuppkoppling eller datorer för att surfa på olagliga eller på annat sätt kränkande eller anstötande sidor. Om så sker kommer det att polisanmälas och eventuella arbetsrättsliga åtgärder att vidtas. Cookie-, och globalfiler är allmänna handlingar. Reglerna i tryckfrihetsförordningen, sekretesslagen och arkivlagen är tillämpliga på dessa filer. Det åligger respektive nämnd att i sina dokumenthanteringsplaner ange när cookie-, och globalfiler får gallras. Cookie-, och globalfiler som är upprättade i tjänsten är allmänna handlingar. Vid en begäran om utlämnande ska särskilt beaktas om filen är upprättad i tjänsten eller vid sidan av tjänsten. Vid en begäran om utlämnande av cookie-, och globalfiler ska behörig tjänsteman granska materialet enligt bestämmelserna om sekretess och personuppgiftsskydd för att avgöra vad som ska utlämnas. Det är inte tillåtet att kopiera en hemsida till servern, hårddisken eller en diskett. Att kopiera från ett digitalt medium till ett annat digitalt medium är inte tillåtet, om det inte uttryckligen framgår att det är tillåtet. Om du har några frågor kring hantering av e-post eller Internetanvändning kontakta kommunjurist Lars-Åke Svensson, tel Sida 3