IT-säkerhetspolicy för Åtvidabergs kommun

Transkript

1 Version Denna är s övergripande dokument styrning och kvalitetsutveckling av IT-säkerheten i den kommunala verksamheten. n innehåller strategier att uppnå målen. Kommunfullmäktige antar den principiella övergripande strukturen, men varje mindre ändring är inte avsedd att as upp till fullmäktige. ITsäkerhetspolicyn är levande och utvecklas successivt i takt med att olika sakområden behandlas i en process mellan, systemägare och användare i olika valtningar. Tillämpningsdelarna IT-grundsäkerhet och IT-systemsäkerhetsplan av denna policy fastställs inte här i detalj, utan är till sin natur under ständig utveckling. Innehåll: Förord... 2 IT-SÄKERHETSPOLICY... 3 Mål IT-säkerhetsarbetet... 3 För att nå målen krävs att:... 3 LEDNING OCH STYRNING AV IT-SÄKERHET... 4 Ansvar IT-system inom kommunen... 4 Ansvar kommunens IT-tekniska grundstruktur... 4 Ansvar kommungemensamma system... 4 Ansvar kommunens verksamhetssystem... 4 IT-GRUNDSÄKERHET... 5 IT-SYSTEMSÄKERHETSPLAN... 5 ANSVARSROLLER... 6 LAGSTIFTNING OCH ANDRA REGELVERK... 6 Integritet... 7 Utbildning i IT-säkerhet... 7 Kostnader IT-säkerhetsarbetet... 7 Sid 1 (7)

2 Förord Det moderna samhället är starkt beroende av att elsörjning, telekommunikationer och IT-system fungerar. Angrepp mot dessa IT-system kan åstadkomma svåra störningar i samhället och i värsta fall kaos eller kollaps. De inbördes beroenden som finns mellan dessa IT-system måste uppmärksammas liksom den tekniska utvecklingen inom dessa områden. Mycket av den infrastrukturella sårbarheten är kopplad till det stora IT-beroendet som generellt gäller samhällsviktiga funktioner. Störningar i IT-system kan få betydande följdverkningar och svåra konsekvenser samhället, var säkerhetsfrågorna inom IT-området spelar en allt mer central roll. Krisberedskapsmyndigheten säger i sitt ord till Basnivå IT-säkerhet (BITS) följande: Samhällsviktiga IT-system Krisberedskapsmyndigheten (KBM) har ett sammanhållande myndighetsansvar inom informationssäkerhetsområdet och har kraven på samhällets måga att fungera även under olika krissituationer som utgångspunkt. IT-system som betraktas som samhällsviktiga intar en central roll när det gäller olika samhällsfunktioners möjligheter att bedriva sin verksamhet. För att bedöma om ett IT-system ska betraktas som samhällsviktigt kartläggs vilken verksamhet som en organisation har krav på sig att bedriva även i fredstida kriser i samhället och eventuellt också vid höjd beredskap. Är sådan verksamhet beroende av ett visst IT-system att kunna upprätthållas på avsedd nivå, kan detta IT-system anses vara samhällsviktigt. Olika faktorer påverkar de krav som måste ställas på säkerheten i samhällsviktiga IT-system. Säkerhetsnivån måste i varje enskilt fall fastställas med utgångspunkt från en riskanalys. Med denna som underlag kan bedömas hur allvarliga konsekvenserna blir egen eller andras verksamhet eller tredje man om ett IT-system inte fungerar på avsett vis. Myndigheter med särskilt ansvar I ordningen (2002:472) om åtgärder fredstida krishantering och höjd beredskap ställs specifika krav på myndigheter med ett särskilt ansvar fredstida krishantering och mågan att fungera under höjd beredskap. Enligt 4 i denna ordning ska myndigheter som har ett särskilt ansvar fredstida krishantering planera och vidta beredelser att ebygga, motverka och begränsa identifierad sårbarhet och risker inom sina respektive samverkansområden. De ska därvid särskilt beakta säkerhetskraven bl.a. de tekniska system som är nödvändiga att kunna uta sitt arbete. Enligt 11 i denna ordning ska myndigheter med s.k. bevakningsansvar ansvara att datoroch kommunikationssystem uppfyller sådana säkerhetskrav att de kan uta sina uppgifter på ett tillfredsställande sätt även under höjd beredskap. Årliga risk- och sårbarhetsanalyser I syfte att stärka sin krishanteringsmåga ställs, i ordningen (2002:472) om åtgärder fredstida krishantering och höjd beredskap, krav på myndigheter att årligen analysera om det finns sårbarheter och risker inom myndighetens ansvarsområde som synnerligen allvarligt kan sämra mågan till verksamhet inom området. Resultatet av arbetet ska värderas och sammanställas i en risk- och sårbarhetsanalys som ska redovisas samtidigt med årsredovisningen. Vår kommun har som mål att upprätthålla en fortsatt god informationssäkerhet. Som ett led i detta bygger kommunens på BITS. Post- och Telestyrelsen, PTS, har inrättat Sitec Sveriges IT-incidentcentrum Sitecs uppgift är att stödja samhället i arbetet med skydd mot IT-incidenter. Sitec ska främja informationsutbytet om IT-incidenter mellan samhällets organisationer och ska sprida information om nya problem som kan störa IT-system. Sitec lämnar också information och råd om ebyggande åtgärder samt sammanställer och ger ut statistik. I kommunens IT-säkerhetsarbete kommer vi i framtiden att ha ett utbyte med denna organisation. Inrättandet av Sitec innebär inte någon ändring i ansvarsdelningen. Vår kommun ansvarar vår egen informationssäkerhet. Vilka åtgärder som skall vidtas att skydda verksamheten ligger hos systemägaren men Sitec skall kunna ge råd och slag. Denna version av n är aktuell från och med januari Senaste versionen, inklusive många av bilagorna, finns på kommunens hemsida under rubriken Förvaltningar --> --> IT-säkerhet. Där kan man de ord som är understrukna i texten direkt via klickning länka sig till berörda bilagedokument. Policyn och dess tillämpningsdelar kan också beställas från. Sid 2 (7)

3 IT-SÄKERHETSPOLICY En god och verksamhetsanpassad IT-säkerhet skall finnas i samtliga tekniska miljöer där informationshantering äger rum, d.v.s. i datorer och system, data- och telekommunikation. IT-säkerhetsarbetet i skall: Garantera hög kvalitet, effektivitet och tilllitlighet i IT-stödet. Hindra och/eller minska effekterna av oönskade händelser. Höja säkerhetsmedvetenheten hos de anställda Skydda medborgarnas integritet samt bidra till att vår informationsteknik har deras troende. n är en utsättning att leda och styra IT-säkerheten inom den kommunala ITverksamheten. n anger s mål IT-säkerheten samt hur dessa skall uppnås. s vill understryka att IT-säkerhetsarbetet är ett medel kommunen att säkra sig om att redan gjorda och kommande investeringar ger väntad effekt hos kommunens verksamheter. Vid framtagandet av n har följande beaktats: Informationsbehandling med IT-stöd är omfattande och har strategisk betydelse Åtvidabergs kommuns verksamhet. Kommunens medborgare, IT-användare inom och samhället i övrigt ställer krav beträffande integritetsskydd och tilllitlighet i de system som används. Lagar och ordningar påverkar användande av IT-stöd och med åtgärder. Mål IT-säkerhetsarbetet Målen s IT-säkerhetsarbete är att: upprätthålla en god IT-säkerhet och stödja kommunens samlade utvecklings- och bättringsarbete ansvaret, och därmed befogenheter att fatta beslut, ska följa den av i kommunfullmäktige fastställda n och dess tillämpningsdelar samtliga IT-system inom, ska uppfylla fastställd IT-grundsäkerhet i IT-systemsäkerhetsplanen definiera styrande lagkrav och fastställa säkerhetskrav, tilllitlighet, tillgänglighet, spårbarhet och hotbild varje IT-system. skall kunna uta sina uppgifter på ett tillfredsställande sätt även vid särskilda händelser i samhället och under höjd beredskap Ovanstående mål ska säkerställa att kan tillhandahålla relevant information som har hög kvalitet, d v s är korrekt, komplett och aktuell efterfrågas och som har ett uttalat ansvar att tillhandahålla endast delges behöriga personer samt kan levereras vid rätt tidpunkt och till skäliga kostnader För att nå målen krävs att: gällande lagar, eskrifter och fattningar följs all personal har kunskap om s allmänna och de särskilda regler som gäller de system man själv har tillgång till det finns tillgång till en gemensam, säker och väl definierad infrastruktur som nätverk, kommunikationsvägar mm informationen skall vara praktiskt tillgänglig löpande göra riskanalyser varje enskilt IT-system Sid 3 (7)

4 LEDNING OCH STYRNING AV IT-SÄKERHET Kommunfullmäktige fastställer kommunens. Kommunstyrelsen har det övergripande ansvaret kommunens IT-säkerhet. Uppföljning av hur denna efterlevs, sker bland annat genom IT-säkerhetssamordnarens rapportering till kommunstyrelsen/bolagsstyrelser. IT-säkerhetsfrågorna ska vara integrerade i verksamheten. Kommunal nämnd och kommunalt bolags styrelse är ytterst ansvarig : IT-säkerheten inom sitt område att kommunens riktlinjer informationssäkerhetsarbetet efterlevs att rutiner och kunskap finns att fortlöpande hantera och bättra IT-säkerheten att lagstiftningens krav följs, t.ex. att behandling av personuppgifter sker i enlighet med personuppgiftslagens (PUL) bestämmelser och genom att utse ett personuppgiftsombud. Ansvar IT-system inom kommunen Grunden säkerhetsarbetet inom IT-området är en genomtänkt organisation och kunniga och riskmedvetna användare av IT-systemen. En viktig del i säkerhetsarbetet är att definiera hur ansvaret alla IT-system inom är delat på systemägare och övriga roller. Som generell regel gäller att var och en som är ansvarig någon del av verksamheten, också ansvarar IT-säkerheten inom sitt område. En tydlig ansvarsdelning inom IT-säkerhetsområdet säkerställer att IT-system, både avseende administration och hantering, under hela sin livstid uppfyller målen kommunens. För gäller att: kommunstyrelsen har det övergripande ansvaret kommunens IT-system. Respektive bolags styrelse har det övergripande ansvaret bolagens IT-system. Systemägaren har ansvaret att varje enskilt IT-system uppfyller verksamhetens krav. Ansvar kommunens IT-tekniska grundstruktur Till grundstrukturen räknas det fysiska IT-nätet inkl. kringutrustning detta, delar av fastighetsnät, datacentral med servrar. Grundstrukturen är m.a.o. allt det som finns mellan kommunens anslutningspunkt till omvärlden och användarens anslutningspunkt till det kommunala nätet. Detta med att t.ex. utbyggnad av IT-infrastruktur är ett sammanhållet ansvar på kommungemensam nivå. Kommunens IT-tekniska grundstruktur ger kommunens medarbetare ett antal gemensamma grundtjänster t.ex.: möjlighet att lagra information och arbetsdata på gemensamma lagringsmedia tillgång till interna och extern resurser (databaser; Internet, skrivare m.m.) möjlighet att lagra och köra program som ligger på andra hårddiskar än den egna. Systemägare kommunens IT-tekniska grundstruktur är s chef. Ansvar kommungemensamma system Med gemensamma system avses exempelvis system ärendehantering, e-postsystem och ekonomisystem som är gemensamma kommunen och/eller bolag. Kommunchefen är central systemägare och har ansvaret IT-säkerheten de gemensamma systemen inom kommunen. Bolagets VD är systemägare och har ansvaret IT-säkerheten de gemensamma systemen inom kommunalt bolag. Ansvar kommunens verksamhetssystem Med kommunens verksamhetssystem avses de system som stödjer en valtnings/bolags verksamhet. t.ex. ett system inom socialtjänsten eller ett system fastighetsunderhåll Åtvidabergs bostadsbolag. Förvaltningschefen är systemägare och har ansvaret den operativa IT-säkerheten inom respektive valtning. VD är systemägare och har ansvaret den operativa IT-säkerheten inom kommunalt bolags verksamhetsområde. Sid 4 (7)

5 IT-GRUNDSÄKERHET IT-grundsäkerhet utgör alla de eskrifter som gäller generellt alla IT-system inom kommunen. IT-SYSTEMSÄKERHETSPLAN Utöver de generella eskrifterna i IT-grundsäkerhet skall varje IT-system utarbetas en ITsystemsäkerhetsplan med utgångspunkt från kommunens. IT-systemsäkerhetsplanen ska dokumenteras och formellt fastställas av systemägaren. Av ITsystemsäkerhetsplanen skall framgå vem som är systemägare. I IT-systemsäkerhetsplanen identifieras, styrande lagkrav, verksamhetskrav på sekretesskydd, tilllitlighet, tillgänglighet, spårbarhet samt hotbild. I IT-systemsäkerhetsplanen fastställs en bemanningsplan som anger vilka personer och vilken kompetens (intern eller extern) som behövs drift, underhåll och support till IT-system. Systemägaren fastställer vilka personer som ska ha tillgång till systemet. De regler som berör användarens ansvar och handhavande av ett specifikt system ska dokumenteras och fastställas av systemägaren. I IT-systemsäkerhetsplanen skall framgå hur man hanterar brand, klimat, reservkraft mm. Detta berör såväl vital central som perifer utrustning. Varje dator ska vara utrustad med antivirusprogram som kontinuerligt uppdateras. Centralt är spamfilter installerade att minska belastningen på epostsystemet. I respektive IT-systemsäkerhetsplan ska principer och rutiner loggning, backup, varing och gallring fastställas. Rutinerna säkerhetsloggning skall omfatta användaridentitet, inloggning och inloggningssök, utloggning samt datum och klockslag. I IT-systemsäkerhetsplanen ingår avbrottsplanering. IT-ansvarig sammanställer på underlag av ITsystemsäkerhetsplanerna en avbrottsplan, som bl.a. blir underlag dimensionering av reservkraft. Generellt gäller att IT-systemen är tillgängliga från kl. 06:30-21:00 vardagar. Den användare som planerar att använda systemen på annan tid måste där överenskomma med driftansvarig om detta. I IT-systemsäkerhetsplanen fastställs den längsta tid ett IT-system kan vara ur funktion innan verksamheten äventyras. IT-systemsäkerhetsplanen skall innehålla de samlade kraven på säkerhet som ställs på systemet under såväl, fred, som kris och höjd beredskap. Sid 5 (7)

6 ANSVARSROLLER (Detaljerad information om ansvarsrollerna ges i bilaga IT-grundsäkerhet.) Nedanstående bild beskriver de olika roller och ansvar IT-säkerhetsarbetet som finns inom Åtvidabergs kommun och hur olika ansvarsroller relateras till varandra. Notera att: En person kan ofta fullgöra flera av dessa roller. En valtningschef är antingen själv systemägare eller har delegerat ansvaret till annan befattningshavare. I de fall ansvar är delegerat är även befogenheter att svara upp mot ansvaret delegerade. Rollerna som IT-säkerhetssamordnare och IT-ansvarig skall vara åtskilda och inte innehas av samma person. LAGSTIFTNING OCH ANDRA REGELVERK Gällande lagar och ordningar utgör ramarna s IT-säkerhetsarbete. Dessa anger bland annat de övergripande säkerhetskrav som ställs på verksamheten och därmed även på hanteringen av information i IT-system, vilket bl.a. reglerar: skyddet av den personliga integriteten att sekretessbelagd information ska skyddas mot otillbörlig åtkomst, med iakttagande av offentlighetsprincipen olika intressenters krav på korrekt information och allmänhetens lagliga rätt till insyn i offentliga handlingar de anställdas berättigade krav på en god psykosocial och fysisk arbetsmiljö Sid 6 (7)

7 Integritet Generell lag och speciallagstiftning reglerar medborgarens rätt att ta del av information i olika ITsystem samt hur informationen används och hanteras. Systemägaren ansvarar att detta tillgodoses i IT-systemsäkerhetsplanen. Kommunen äger information som upprättas i IT-systemen och metainformation som genereras av systemen. Detta innebär att systemägare har rätt att bruka sådan information tekniska analyser, felsökning och spårande av olaglig/otillåten användning av systemen. Detta gäller naturligtvis inte i de fall lagstiftning begränsar detta. Utbildning i IT-säkerhet För att ankra IT-säkerhetsarbetet inom den kommunala organisationen och höja säkerhetsmedvetandet krävs utbildningsinsatser. Så snart n är fastställd kommer en initial säkerhetsutbildning att genomas. Målinriktade utbildningsinsatser skall erbjuda alla användare e tilldelning av behörighet tillräckliga kunskaper om sina ansvarsroller, samt betydelsen av IT-säkerheten i verksamheten. Riktade utbildningar genoms valtningsansvariga, systemansvariga, personal inom och olika användargrupper. Därefter kommer kontinuerligt olika fortbildningsinsatser att sättas in, dels att hålla säkerhetskunskaperna vid liv och dels att komplettera med ny kunskap. När ny personal träder in i enheten skall dessa omgående ges den initiala säkerhetsutbildningen som ger dem den nödvändiga kunskapen om hur vi arbetar inom. Kostnader IT-säkerhetsarbetet Som i många andra sammanhang gäller det att optimera insatser av resurser att nå eftersträvade mål. Brist på resurser till IT-säkerhet straffar sig ofelbart. Det är uppenbart att de vanligtvis dolda kostnaderna inom IT-driften som uppstår vid driftstörningar eller driftavbrott alltid är större än kostnaden att undvika dessa störningar. Men som i annan verksamhet måste resurserna sättas in på rätt plats vid rätt tid att skapa optimal nytta. Å andra sidan kan en långt driven byråkratisering av IT-säkerhetsverksamheten meda att det ordinarie arbetet hindras eller att användaren slarvar med säkerheten. Genom att IT-säkerhetssamordnaren hela tiden strävar efter att maximera nyttan i hållande till utnyttjade resurser kan vi i skapa en väl fungerande IT-säkerhet och se till att användarna upplever IT-säkerhetsarbetet som något positivt. Sid 7 (7)