Gäller från 1 januari 2007 Antagen av KF 246/2006. IT-säkerhetsinstruktion för användare

Transkript

1 Gäller från 1 januari 2007 Antagen av KF 246/2006 IT-säkerhetsinstruktion för användare

2 Inledning Hantering av information Lagring av information, säkerhetskopiering och arkivering Behörighet Inloggning Säker arbetsplats Datorarbetsplats Bärbar datorutrustning Hemarbetsplats Kringutrustning med mellanlagringsmöjlighet Våra lokala nätverk Internet E-post Incidenter, virus m.m Incidenter Virus Stöd och hjälp När en anställning upphör

3 Inledning Ronneby kommuns IT-policy 1, Policy för IT-säkerhet i Ronneby kommun 2 och Regler och riktlinjer för IT-säkerhet i Ronneby kommun 3 ligger till grund för dessa användarinstruktioner. Syftet med användarinstruktionerna är att skydda all information som bearbetas och lagras elektroniskt. Datorn är ett arbetsredskap som underlättar vårt arbete, men som också ställer speciella krav, inte minst på säkerheten. I arbete med datorer finns det lagar och föreskrifter som alla måste känna till och följa. Reglerna varierar beroende på arbetsuppgift och inom vilken verksamhet man arbetar. Instruktionen ska ge alla medarbetare kunskap och riktlinjer om hur information ska hanteras och skyddas, vilka regler som gäller för åtkomst till kommunikationsnät och datasystem samt vilka regler som gäller vid arbetsplatsen. Att följa lagar, regler och riktlinjer är viktigt för din egen, för dina arbetskamraters och för din verksamhets skull. Säkerhet bygger på kunskap och sunt förnuft. Våra datasystem och Internet ska användas i enlighet med de grundläggande principer och värderingar som är vägledande för Ronneby kommuns verksamhet som offentlig institution. IT-policy för Ronneby kommun Beskriver övergripande hur IT ska användas och utvecklas i Ronneby kommun. Policy för IT-säkerhet i Ronneby kommun Redovisar Ronneby kommuns målsättning och övergripande organisation för att skydda information som bearbetas och lagras elektroniskt. Regler och riktlinjer för IT-säkerheten i Ronneby kommun Beskriver ansvar, roller och regler för att operativt genomföra målen i IT-säkerhetspolicyn. IT-säkerhetsinstruktion för användare Instruktion för att ge användaren stöd och kunskap om IT-säkerhet i det dagliga arbetet. 1 KF 11/ KF 47/ KF 47/2004 3

4 1 Hantering av information 1.1 Lagring av information, säkerhetskopiering och arkivering Den information du lagrar på nätverket säkerhetskopieras automatiskt. Du ska därför lagra din information i den verksamhetsgemensamma katalogen eller i din hemkatalog. Egen hemkatalog (vanligtvis W:\) är ditt personliga arkiv som du ska använda för lagring av personligt arbetsmaterial. Filerna kan endast nås genom din personliga inloggning. Verksamhetsgemensam katalog (vanligtvis K:\ eller L:\) är ett arkiv för lagring av information som alla inom din verksamhet har tillgång till. Om du lagrar information på din hårddisk (C:\) är du personligen ansvarig för att informationen blir säkerhetskopierad. När du lagrar information på din hårddisk riskerar du att förlora information som inte kan återskapas till rimliga kostnader. Du försvårar också för dina medarbetare att ta del av informationen. Tänk på att det som lagras lokalt på din hårddisk är tillgängligt för alla som kan starta din dator. Man behöver oftast inte använda något lösenord för att komma åt information på hårddisken. Du är ansvarig för att den information du skapar hanteras på rätt sätt. Om du arbetar med känslig och sekretessbelagd information ska du få information från din chef om hur denna hanteras. Du ska i samband med denna information skriva under en förbindelse om sekretess och tystnadsplikt. Information som är sekretessklassad med hänsyn till rikets säkerhet får inte lagras i det lokala nätverket. Sådan information ska låsas in i ett särskilt säkerhetsskåp hos Säkerhetssamordnaren. 2 Behörighet Våra datasystem (nätverk, servrar och programvaror) är utrustade med behörighetskontrollsystem för att säkerställa att endast behöriga användare kommer åt information. Vilka behörigheter du får i våra datasystem beror på dina arbetsuppgifter och beställs av din chef. För att få behörighet krävs att du informerats om denna användarinstruktion och om gällande IT-säkerhetsdokument. Du ska också ha fått utbildning på de datasystem du kommer att använda. När IT-enheten lagt upp dig som användare i behörighetskontrollsystemet får du en unik användaridentitet uppbyggd på av delar av ditt förnamn och efternamn. I behörighetskontrollsystemet lagras ditt personnummer. 4

5 3 Inloggning Första gången du loggar in blir du tilldelad ett tillfälligt lösenord av ITenheten. Detta lösenord ska bytas till ett personligt lösenord vid första inloggningstillfället. Lösenordet tillsammans med din användaridentitet är strängt personligt. Tänk på att du själv kan bli misstänkt om någon använder din inloggning för otillåtna ändamål. Håll ditt lösenord hemligt och låna inte ut din behörighet. Ändra lösenord regelbundet. Efter 30 dagar kräver behörighetssystemet i nätverket att du byter. Ett lösenord kan återanvändas först efter 12 gånger. Du bör byta lösenord även i andra datasystem än nätverket. Oftast ges ingen påminnelse om byte i övriga system. Undvik att dokumentera lösenord på papper om det inte kan förvaras helt säkert. Ändra genast lösenord om du misstänker att någon känner till det. Ett lösenord ska bestå av minst sex tecken. För att skapa ett bra lösenord blanda bokstäver, siffror och specialtecken. Bokstäverna å, ä och ö bör undvikas. Undvik lösenord som lätt kan härledas till din person och din omgivning. Viktigast är att du väljer ett lösenord som du kommer ihåg. Om du glömmer ditt lösenord för inloggning i nätverket ska du kontakta IT-enheten för att få ett nytt tillfälligt lösenord. Glömmer du lösenordet till något av övriga datasystem ska du kontakta systemansvarig. 4 Säker arbetsplats Ronneby kommun eftersträvar att alla ska ha en säker arbetsplats, både vad gäller din personsäkerhet och IT-säkerheten. Med arbetsplats avses de personliga utrymmen och material som du har tillgång till och förfogar över i ditt arbete, som ditt tilldelade tjänsterum, de utrymmen vi gemensamt använder och de utrymmen du använder vid distansarbete. 4.1 Datorarbetsplats När du tillfälligt lämnar din arbetsplats ska du låsa din arbetsstation eller aktivera lösenordsskyddad skärmsläckare, alternativt logga ut ur nätverket. Alla ska logga ut ur nätverket efter arbetsdagens slut. Du är ansvarig för den arbetsstation med tillhörande utrustning som du förfogar över. Fysiska ingrepp i din arbetsstation med tillhörande utrustning får endast utföras av IT-enheten. Fel på arbetsstation med tillhörande utrustning ska omgående anmälas till IT-enheten. 5

6 Arbetsstation med tillhörande utrustning får inte bytas, förändras eller medtas utan IT-enhetens godkännande. All installation och konfiguration av arbetsstation med tillhörande utrustning får endast utföras av IT-enheten. Programvaror ska godkännas och installeras av IT-enheten eller av ITenheten anvisad/godkänd person. 4.2 Bärbar datorutrustning Datorer som du använder utanför din ordinarie arbetsplats kan utgöra en säkerhetsrisk. Bärbar dator ska hållas under ständig uppsikt om du inte kan låsa in den. Om du reser med din bärbara dator ska den medföras som handbagage. Distansarbete ska vara godkänt av din verksamhetschef eller bolagsdirektör. Du får inte lagra sekretessbelagd eller för verksamheten känslig information på bärbar dator utan särskilt tillstånd och krypterad hårddisk. Du ska förvara en säkerhetskopia av all information i din bärbara dator på din hemkatalog i nätverket. Bärbar datorutrustning ska vara utrustad med behörighetskontroll, virusskydd och brandvägg. 4.3 Hemarbetsplats Distansarbete från hemarbetsplats ska vara godkänd av verksamhetschef eller bolagschef. Samma regler gäller som för den ordinarie arbetsplatsen. 4.4 Kringutrustning med mellanlagringsmöjlighet Handdatorer, digitala kameror, mobiltelefoner m.m. kan lätt bli virusbärare eftersom du kan mellanlagra information mellan olika datorer i dessa. Var noga med att den dator du ansluter kringutrustning till har ett uppdaterat virusprogram. Lagringsmedia (diskett, cd-skiva, USB-minne etc.) som du skapar/använder utanför din arbetsplats ska viruskontrolleras innan de får användas i kommunens nätverk. Viruskontrollen sker genom att man startar virusprogrammet Trend Micro OfficeScan Client som ligger lokalt i varje dator. Lagringsmedia som innehåller sekretessbelagd eller för verksamheten känslig information ska fysiskt förstöras när de inte längre används. 4.5 Våra lokala nätverk Våra nätverk inom Ronneby kommun är en mycket viktig gemensam resurs som ger oss möjlighet att lagra information säkert, dela på skrivare och program, upprätta kommunikation m.m. All inloggning eller försök till inloggning under någon annans identitet är förbjuden. 6

7 Destruktivt arbete på det lokala nätverket, med avsikt att skada information, ses som mycket allvarligt och är förbjudet. Det är inte heller tillåtet att utnyttja felkonfigureringar och programfel eller att med andra metoder skaffa sig utökade systemrättigheter eller andra rättigheter än den som tilldelats av systemägaren. För att få tillgång till resurser i det interna nätverket med extern uppkoppling, från t.ex. bärbar dator eller hemarbetsplats, ska ett avtal tecknas som reglerar teknik och datasäkerhet, mellan verksamhetschef/bolagschef och den anställde. När du arbetar i kommunens nätverk förekommer loggning och registrering av dina transaktioner. Du ansvarar för allt som registrerats med din användaridentitet. 5 Internet När du använder Internet kan säkerheten påverkas i mycket hög grad beroende på hur man använder Internet. När du surfar på Internet representerar du Ronneby kommun. Gör det med gott omdöme och i enlighet med kommunens värderingar, så att det du förmedlar på nätet inte skadar kommunen. Deltagande i nätdiskussioner chattar är endast tillåtet om det ingår i dina arbetsuppgifter. Du ska ha tillstånd att ladda hem programvaror från Internet och du måste ha licens för de programvaror du laddar hem. Du får endast ladda hem filer som är relevanta för dina arbetsuppgifter. Det är inte tillåtet att med hjälp av din dator installera, lagra, sprida, söka eller i övrigt ha befattning med material av pornografisk, rasistisk eller nazistisk karaktär. Förbudet gäller också material som är diskriminerande (religion, kön, sexuell läggning, nationalitet etc.) eller har anknytning till kriminell verksamhet. När du surfar lämnar du spår i en fil som loggar trafiken till och från kommunen. Denna loggfil visar vilka webbplatser som har besökts. 6 E-post E-post är ett redskap som i första hand ska användas i tjänsten. Det är inte förbjudet att ta emot och skicka personlig post, men den personliga posten bör snarast tas bort från användarens brevlåda. Tänk på att all e-post är allmän handling så fort den kommit in i brevlådan och att den e-post som sänds från ditt e-postkonto har Ronneby kommun som avsändare. E-post ska behandlas och diarieföras på samma sätt som övrig post. Om du under en längre period inte har möjlighet att kontrollera din e-post ska du sätta frånvarobesked med uppgift om vem som hanterar dina ärenden eller ge någon annan fullmakt att sköta brevlådan. 7

8 Sekretesshandlingar eller känsliga handlingar får inte skickas som e-post. E-post med bilagor utgör ett stort hot när det gäller spridning av virus. För att undvika risk för virusspridning bör du vara försiktig med bifogade filer. Öppna endast filer du känner till och från avsändare du litar på. Du bör vara återhållsam med att använda stora gruppadresser (massutskick) och med att skicka eller vidarebefordra meddelanden som innehåller stora filer. Du bör inte heller skicka eller vidarebefordra kedjebrev av någon sort. För att förhindra mängden skräppost (spam) i våra e-brevlådor finns ett skräppost-filter installerat på vår e-postserver. För de personliga e- postkontona tar filtret bort e-post som uppfattas som skräppost. För verksamheternas och nämndernas konton märks posten med [SPAM] men tas inte bort automatiskt. Om du får skräppost ska du vidarebefordra det till spam@ronneby.se så lär sig filtret att det är skräppost, därefter kan du kasta meddelandet. För att minska risken för skräppost ska du inte lämna ut din e-postadress till webbplatser som du inte uppfattar som seriösa. Använd inte din vanliga användaridentitet och ditt lösenord när du registrerar dig i kundregister eller publika e-postservrar. Om du får hotelsebrev eller liknande ska du kontakta din chef. 7 Incidenter, virus m.m. 7.1 Incidenter Om du misstänker att någon obehörig använt din användaridentitet och varit inne i IT-systemet ska du notera när du senast var inne i IT-systemet, när du upptäckte intrånget och omedelbart anmäla till IT-enheten, säkerhetsansvarig inom din verksamhet eller närmaste chef. Dokumentera alla iakttagelser i samband med upptäckten och försök att fastställa om kvaliteten på din information har påverkats. Upptäcker du fel och brister i de program du använder ska du rapportera dessa till systemansvarig. Om du misstänker stöld, brand, sabotage etc. ska du kontakta din närmaste chef, säkerhetssamordnaren eller IT-säkerhetssamordnaren. 7.2 Virus Virus kan beskrivas som ett program eller en programsekvens vars uppgift är att tränga in i andra program för att utföra sabotage. Exempelvis kan datorns hårddisk raderas eller kan viruset kopiera sig själv i det oändliga tills hela systemet bryter samman. 8

9 Datavirus är mycket smittsamma och smittkällan kan vara svår att identifiera. Gratisprogram, spelprogram och filer som laddas ner från Internet eller medföljande filer till e-post är de vanligaste smittbärarna. I kommunens nätverk finns programvara för viruskontroll. Antivirusprogrammet kontrollerar nätverket kontinuerligt. Även cd-skivor, disketter och filer som du hämtar från Internet kontrolleras av virusprogrammet i nätverket. Eftersom det hela tiden tillverkas nya datavirus gäller det att du är observant. För att förhindra att virus kommer in i det interna nätverket sker filtrering av datatrafiken. Tecken på virus kan vara att datorn uppträder på ett onormalt sätt, t.ex. arbetar mycket långsamt, att datorn utför operationer/arbete utan att du själv initierat det. Om du misstänker att systemet innehåller virus ska du dra ut nätverkskabeln. Du ska inte stänga din dator genom att slå av strömmen. Anmäl omedelbart förhållandet till IT-enheten, säkerhetsansvarig inom din verksamhet eller närmaste chef. Anmälan ska ske per telefon eller personligt, du får inte använda e-posten i detta läge. Om du får brev med virusvarning där man talar om att ett virus är på gång ska du inte skicka meddelande om detta till alla på organisationen utan kontakta IT-enheten, som kan avgöra om det är en seriös varning eller kanske bara ett skämt. Skicka inte heller någon varning externt. 8 Stöd och hjälp För stöd och hjälp med specifika program ska du kontakta respektive systemansvarig. Har du problem med din dator eller andra övergripande funktioner ska du kontakta IT-enheten. Vid oplanerade avbrott i nätverket ska all information om avbrottet gå via Medborgarservice. 9 När en anställning upphör När du slutar din anställning ska du rådgöra med din chef om vilket av ditt arbetsmaterial som ska sparas. Notera att allt arbetsmaterial du framställt anses vara organisationens egendom och får inte tas med utan chefs godkännande. Privat material ska rensas och tas bort. Ansvarig chef ska avbeställa behörigheter i nätverket och e-postsystemet hos IT-enheten och i verksamhetssystemen hos systemansvarig. 9

10 Ansvarsförbindelse vid användandet av Ronneby kommuns datorer och nätverk Förbindelsen gäller för Namn Personnummer För att god säkerhet ska uppnås vid användandet av Ronneby kommuns IT-resurser krävs att undertecknad har tagit del av och förstått dokumentet IT-säkerhetsinstruktion för användare. Förbindelse Jag bekräftar härmed att jag erhållit information för användning av Ronneby kommuns IT-resurser och förbinder mig att följa de instruktioner som beskrivs i ovan nämnda dokument samt de regler som förmedlas till mig fortlöpande. Jag förbinder mig även att följa de säkerhetsinstruktioner som finns för de system jag har behörighet till. Datum Namnteckning Denna förbindelse skrivs under i två exemplar. Ett exemplar förvaras i den anställdes personakt, det andra exemplaret behålls av användaren. Information om behandling av personuppgifter enligt PUL. När Du undertecknar denna förbindelse medger Du att Dina inlämnade personuppgifter får lagras och bearbetas i register av förvaltning/nämnd. Ronneby kommun är skyldig att på Din begäran rätta, blockera och utplåna uppgifter (28 PUL). Enligt PUL har varje registrerad rätt att en gång per år erhålla besked, efter skriftlig ansökan, om personuppgifter som rör den sökande behandlas eller ej. Information om behandling av personuppgifter lämnas av personuppgiftsansvarig, som är den nämnd under vilken frågan rör. Du kommer i kontakt med rätt personuppgiftsansvarig via adress Ronneby Kommun, Ronneby eller telefon