InformationsSäkerhets- Instruktion Användare

Transkript

1 HÄRJEDALENS KOMMUN Informationssäkerhetsinstruktion Användare Handläggare: Staffan Eriksson InformationsSäkerhets- Instruktion Användare Styrande dokument för IT-användare i Härjedalens kommun i enlighet med Krisberedskapsmyndighetens Basnivå för InformationsSäkerhet (BITS)

2

3 INNEHÅLL 1 INLEDNING INLOGGNING HANTERING AV INFORMATION INTERNET Skydd mot skadlig programkod Installation av program ELEKTRONISK POST INCIDENTER Incidentrapportering DISTANSARBETE OCH MOBIL DATORANVÄNDNING BÄRBAR DATOR INKOPPLING AV DATORER OCH ANNAN IT-UTRUSTNING ARBETSPLATSEN... 6 Sida 1

4 1 INLEDNING Denna Informationssäkerhetsinstruktion för användare är en del av Härjedalens kommuns ITverksamhet och redovisar hur en användare av kommunens IT-system ska verka för att upprätthålla god säkerhet. Du som användare har en stor del av ansvaret för kommunens informationssäkerhet. För att du ska kunna leva upp till de säkerhetskrav som ställs måste du känna till: vilket ansvar Du har vad Du ska göra vid olika incidenter var Du kan få stöd och hjälp Förutom säkerhetsreglerna för datoranvändning finns fyra bilagor som ingår i säkerhetsinstruktionerna: Bilaga 1: Ansökan - Behörighet till kommunens nät Bilaga 2: Försäkran - Personligt ansvar för att upprätthålla en god informationssäkerhet Bilaga 1 och 2, ska lämnas påskrivna till Din närmaste chef. Bilaga 3: Bilaga 4: Bilaga 5: Allmänt om information Offentlighet och Sekretess Ansökan behörighet till kommunens nät via extern distanskoppling 2 INLOGGNING Våra IT-system har en inbyggd behörighetskontroll för att säkerställa att det endast är behöriga användare som kommer åt kommunens information. Det är varje användares ansvar att följa de regler som kopplas till behörigheten. För att få behörighet gäller: att du skriver under försäkran om personligt ansvar att du fyller i en skriftlig ansökan om behörighet att din chef godkänner och beslutar om behörighet att IT-enheten lägger in din behörighet i nätverket, som resulterar i att Du får: EN ANVÄNDARIDENTITET ETT ENGÅNGSLÖSENORD Första gången loggar du in med det tilldelade engångslösenordet. Detta lösenord kan du bara använda för att logga in till kommunens nätverk och byta till ett personligt lösenord (din hemlighet). Därmed säkerställs att endast du själv känner till lösenordet. Lösenordet ska bestå av minst 8 tecken vilket bör vara en blandning av bokstäver, siffror och specialtecken (till exempel! % & eller? ). Använd inte svenska tecken ÅÄÖåäö). Välj inte enkla lösenord som ex. abcd1234 eller andra lättforcerade såsom familjemedlems namn eller lösenord av typen qwerty12 d.v.s. enkla tangentkombinationer. Sida 2

5 Lösenordet är strängt personligt och ska hanteras därefter. Du ska därför: inte låna ut din behörighet inte avslöja ditt lösenord för andra skydda lösenordet väl omedelbart byta lösenordet om du misstänker att någon känner till det byta lösenord var 60:e dag (sker med automatik, du får varning i god tid) Om du misslyckas med inloggningen tänk på att lösenord är känsligt för små och stora bokstäver kontrollera först att CapsLock inte är på. Om du fortfarande inte kan logga in kontakta IT-enhetens HelpDesk ankn eller Om du glömmer ditt lösenord och försöker logga in med ett felaktigt lösenord kommer systemet att efter tre felaktiga försök att låsas kontakta HelpDesk för att få ett nytt engångslösenord. Tidigare använda lösenord kan du inte använda. När du byter lösenord kontrolleras att du inte använder något av de fem senaste lösenorden som du använt förut. Du lämnar spår efter dig när du är inloggad. Systemens loggningsfunktion används för att spåra obehörigt intrång. Detta görs för att skydda informationen och för att undvika att oskyldiga misstänkliggörs om oegentligheter inträffar. 3 HANTERING AV INFORMATION Viktig och kritisk information för kommunens verksamhet lagras i gemensamma servrar. Ett centralt system säkerhetskopierar varje natt alla förändringar till en särskild server och till magnetband. Du kan välja att lagra på enheterna H: eller G: H: (Personlig hemkatalog) är din personliga enhet som du kan använda för lagring av personligt arbetsrelaterat material. G: (Gemensam katalog) är en enhet för lagring av information som alla medarbetare i verksamheten/förvaltningen har tillgång till. Om du lagrar information på andra media (t.ex. USB minnen) än H eller G får det aldrig innehålla konfidentiella eller känsliga uppgifter och det är du själv som är ansvarig för säkerhetskopiering. Kommunens IT-enhet rekommenderar att lokal lagring av information inte görs. För att inte fylla de centrala servrarna rekommenderas att bild- och videofiler som måste sparas kopieras till USB-minnen, CD/DVD eller andra externa minnen. För den information du lagrar lokalt på din hårddisk ansvarar du själv och innebär: att du själv ska ta säkerhetskopior att du ska tänka på att USB-minnen, CD/DVD och andra externa minnen är känsliga för värme magnetism, damm, rök och tryck och måste hanteras därefter. Tänk på stöldrisken! att du ska tänka på att andra kan ha otillbörligt intresse av att komma över informationen Sida 3

6 4 INTERNET Kommunens lokala nätverk är anslutet till Internet via en s.k. brandvägg som reglerar in- och utgående trafik. När du använder Internet kan säkerheten påverkas i mycket hög grad beroende på ditt beteende. Du bör också vara medveten om att när du surfar på Internet, lämnar du spår efter dig i en loggfil. Denna loggfil är offentlig handling och visar bland annat vilka webbplatser du har besökt. Loggfilen granskas kontinuerligt. Vid användande av Internet gäller följande: spelprogram får inte laddas in i datorn gratisprogram får inte laddas i datorn utan att de godkänts och virustestats av IT-enheten fildelningsprogram får inte laddas in i datorn anställda ska avhålla sig från att utnyttja internet för surfning som inte har koppling till eller är relaterat med arbetet Allmänt gäller att vid nerladdning av filer från Internet krävs att Du har gott omdöme och endast hämtar sådant som är relevant för arbetet och kommer från välrenommerade sidor. Utöver säkerhetsrisken kan en felaktig hantering innebära skadeståndskrav, till exempel vid brott mot upphovsrätten. Kommunens datorer och nätverk får inte användas till att sprida, titta eller lyssna på material av pornografisk, rasistisk eller nazistisk karaktär. Förbudet gäller också material som är diskriminerande (religion, kön, sexuell läggning, nationalitet etc.), har anknytning till kriminell verksamhet eller spelverksamhet (spel, vadslagning etc.). När du surfar på Internet representerar du vår kommun. Gör det med gott omdöme och sunt förnuft så att ditt agerande på nätet inte skadar oss. Agera i enlighet med våra värderingar så att det du förmedlar på nätet inte skadar oss. Du lämnar spår efter dig i form av kommunens IP-adress. 4.1 Skydd mot skadlig programkod Ett datorvirus kan beskrivas som ett program eller en programsekvens vars uppgift är att kopiera sig själv och tränga in i andra program för att utföra något otillbörligt. Datorvirus är ofta ytterst smittsamma och smittkällan kan vara svår att identifiera. Gratisprogram, spelprogram och filer som laddas ner från Internet eller bilagor till e-post är de vanligaste smittbärarna. Kommunen har centrala programvaror för virusbekämpning som kontinuerligt kontrollerar nätverket och de arbetsstationer som är anslutna. Även filer som du hämtar via Internet, e- post, CD/DVD, USB-minnen och andra externa minnen kontrolleras av dessa antivirusprogram. Hela tiden kommer nya datorvirus och eftersom antivirusprogrammen inte kan garantera komplett skydd så gäller för samtliga: att vara observant på om datorn uppför sig konstigt, exempelvis att onormala förändringar sker på skärmen eller att datorn arbetar mycket långsamt att inte använda datorn vid misstänkt virusangrepp att omedelbart avbryta allt arbete i datorn där du gjorde upptäckten att omedelbart anmäla det inträffade till IT-enheten att anteckna alla iakttagelser som misstänks ha samband med händelsen Sida 4

7 4.1.1 Installation av program Alla program, oavsett om de kommer från Internet eller andra källor, ska installeras av IT-enheten eller av IT-enheten utsedd medarbetare med tillräcklig kompetens och godkänd behörighet. Därmed säkerställs också hantering av datorprogramlicenser enligt kommunens Licenspolicy. 5 ELEKTRONISK POST E-post är ett rationellt hjälpmedel i arbetet men lagringskapaciteten är begränsad. Tänk därför på att regelbundet radera i mapparna Mottagna försändelser, Skickade försändelser, och Papperskorg för att frigöra utrymme. Bifogade filer som du vill spara kan du spara på samma sätt som du lagrar annan information. För att undvika risk för datavirusspridning och onödig belastning av systemresurser gäller: att det inte är tillåtet med automatisk vidarekoppling från privata e-postadresser att vara selektiv med att skicka eller vidarebefordra e-post som innehåller stora filer att endast öppna e-post och bifogade filer från avsändare du litar på eller känner till att det är samma regler för diarieföring av in- och utgående e-post, som för vanliga brev att om du misstänker virussmitta ska du agera som beskrivits i avsnittet om Internet att inte använda din kommunala användaridentitet och lösenord när du registrerar dig i konferenser eller publika e-postservrar att om du får hotelsebrev eller liknande ska du i första hand kontakta din närmaste chef, ta inte bort brevet Mer information hittar du i bilaga 4 Offentlighet och sekretess. 6 INCIDENTER Möjliga oönskade hot mot säkerheten i våra IT-system betraktas som Informationssäkerhetsincidenter. Med incident avses: dataintrång datavirus eller annan skadlig kod i nätverket driftavbrott eller fysisk skada såsom stöld, brand, vatten, blixtnedslag, värme och sabotage För att i möjligaste mån förhindra att en eventuell incident utvecklas till ett verkligt hot gäller: att inte försöka åtgärda det inträffade på egen hand att omedelbart anmäla incidenten till IT-enheten att dokumentera alla iakttagelser i samband med upptäckten att notera tidpunkt då du upptäckte problemet och när du själv senast använde systemet Sida 5

8 6.1.1 Incidentrapportering För att ytterligare förstärka säkerheten i kommunens IT-system sammanställs rapporterade incidenter. Dessa ligger till grund för säkerhetshöjande åtgärder. Genom att rapportera händelser hjälper Du till att höja nivån på Informationssäkerheten. 7 DISTANSARBETE OCH MOBIL DATORANVÄNDNING Det är systemägarens ansvar att besluta om IT-systemet, eller delar av det, får användas vid distansarbete och mobil datoranvändning. Vid sådant arbete ska det alltid finnas ett avtal mellan användaren och systemägaren, se bilaga 5. 8 BÄRBAR DATOR Bärbara datorer såväl som stationära datorer är arbetsredskap som kommunen tillhandahåller som ett hjälpmedel i det dagliga arbetet. Att använda bärbar dator utanför ordinarie arbetsplats sker under personligt ansvar och utgör alltid en säkerhetsrisk. Därför gäller att: bärbara datorer ska förvaras inlåsta när du går för dagen hålla dator och datamedia under ständig uppsikt om du inte kan låsa in den inte lagra viktig och sekretessbelagd information på datorns lokala hårddisk se till att det finns en säkerhetskopia av datorns innehåll på din ordinarie arbetsplats tillse att senaste virusskydd och behörighetssystem finns installerat 9 INKOPPLING AV DATORER OCH ANNAN IT-UTRUSTNING Endast datorer och annan IT-utrustning (skrivare m.m.) installerade av IT-enheten får anslutas till kommunens nätverk. Privata datorer får inte anslutas till kommunens nätverk. 10 ARBETSPLATSEN Om du lämnar arbetsplatsen ska du låsa datorn ( Ctrl+Alt+Del ) eller logga ut, även om det bara är för en kortare stund, för att inte riskera att obehöriga tar del av eller förstör information i våra system. Det är Du som ansvarar för allt som registrerats med din användaridentitet. Utskrift av dokument ska i första hand ske till en gemensam nätverksansluten skrivare som IT-enheten har installerat. Endast om särskilda skäl finns, och att närmaste chef godkänt, kan skrivare direktanslutas till din arbetsdator. Om känsliga och sekretessbelagda dokument ska skrivas ut till gemensam skrivare finns funktioner som innebär att du måste gå till skrivaren och med en särskild knapptryckning kontrollerat beordra ut ditt dokument. Tänk på miljön och kostnader innan du skriver ut. Färgutskrifter kostar cirka 10 gånger mer än svart/vita. För att minska miljöpåverkan och utskriftskostnader ska standardinställning vid utskrifter vara dubbelsidigt och svart/vitt! Sida 6

9 Startsida vid uppkoppling mot Internet ska alltid vara kommunens Intranät. Detta ingår i den standardinstallation som kommunens IT-enhet gör och ska inte ändras. Stöd och hjälp med verksamhetssystem Kontakta din systemförvaltare inom din förvaltning. Service och support för teknisk IT-utrustning Vid problem med telefoni, datanät, dator, skrivare etc. kontakta IT-enhetens HelpDesk enligt följande turordning: 1. via Intranätets felanmälan, 2. via E-post helpdesk@herjedalen.se 3. via Telefon anknytning eller IT-enhetens Helpdesk är bemannad under normal kontorstid. Sida 7

10 Sida 8 Informationssäkerhetsinstruktion Användare

11 BILAGA 1 ANSÖKAN OM BEHÖRIGHET TILL KOMMUNENS NÄTVERK Denna ansökan har du fått samtidigt med dokumenten Informationssäkerhetsinstruktion Användare och Försäkran Personligt ansvar för att upprätthålla en god Informationssäkerhet. Namn: Arbetsplats: Enhet: Telefonnr: Mobilnr: Anställningsform: Anställd tillsvidare Befattning: Tillfälligt anställd till och med... När du fyllt i denna Ansökan och skrivit under Försäkran (bilaga 2) lämnar du dessa till din närmaste chef för godkännande. IT-enheten behandlar sedan din godkända ansökan och du får en bekräftelse att du är upplagd i kommunens nätverk i form av Kontoinformation. Datum Underskrift (sökande) Ifylls av din närmaste chef Följande program tilldelas den sökande: Standardprogram installeras alltid ex. Virusskydd, Adobe Acrobat Reader, Internet explorer (kommunens intranät är startsida), E.post, Kontorsprogram. Datum Underskrift (närmaste chef) Ansökan med underskrift skickas till IT-enheten. Sida 9

12 BILAGA 2 FÖRSÄKRAN - PERSONLIGT ANSVAR FÖR ATT UPPRÄTTHÅLLA EN GOD INFORMATIONSSÄKERHET Den dator som jag disponerar är ett arbetsredskap som kommunen tillhandahåller som ett hjälpmedel i mitt dagliga arbete. Det är mitt ansvar att skydda dator, tillbehör, program och lagrad datainformation. I ansvaret ingår att följa fastställda regler i dokumentet Informationssäkerhetsinstruktion Användare, till närmaste chef anmäla om jag behöver ytterligare kunskap om datorer, IT-system eller hur säkerhetsinstruktionerna ska tillämpas. Jag har behovsprövad behörighet i kommunens nät och därmed också tillgång till handlingar, säkerhetsrutiner och IT-system där sekretess gäller. Jag är särskilt uppmärksam på hanteringen av dessa. Jag är medveten om det ansvar som det innebär att inneha behörighet i kommunens nät och accepterar att följa säkerhetsinstruktionerna. Datum Underskrift Arbetsställe Namnförtydligande Sida 10

13 BILAGA 3 1 INSTRUKTIONENS ROLL I INFORMATIONSSÄKERHETSARBETET Denna Informationssäkerhetsinstruktion för användare är en del av Härjedalens kommuns ITverksamhet och redovisar hur en användare av kommunens IT-system ska verka för att upprätthålla god säkerhet. Kommunens policy och långsiktiga mål för Informationssäkerhetsarbetet framgår av kommunens Informationssäkerhetspolicy. Informationssäkerhetsinstruktionerna är en konkretisering av Informationssäkerhetspolicyn. Krav på och åtgärder för ett enskilt IT-system ska dokumenteras i en systemsäkerhetsplan. En sådan skall, i enlighet med Informationssäkerhetspolicyn, upprättas för de IT-system som bedöms som viktiga för verksamheten. Informationssäkerhetspolicy Systemsäkerhetsplan Informationssäkerhetsinstruktion - Drift Informationssäkerhetsinstruktion - Användare Informationssäkerhetsinstruktion - Förvaltning 2 ALLMÄNT OM INFORMATION Som medarbetare kommer du dagligen i kontakt med information i följande former: talad (även i telefon) tryckt och skriven på papper (inkomna handlingar och ärenden) lagrad i datorer (dokument och beslutshandlingar, inklusive Internet och Intranät) lagrad på olika media (USB-minnen, CD/DVD, band eller andra externa minnen ) lagrad i databaser fax epost presenterad på overhead, kartor och ritningar Den information som hanteras inom kommunen och i våra IT-system är en viktig gemensam resurs. Delar av den information som kommunen hanterar omfattas av skyddskrav i lagar och andra författningar. Om vi hanterar sådan information felaktigt kan det få allvarliga konsekvenser för både medarbetare, näringsliv och medborgare. Det övergripande målet för kommunens Informationssäkerhetsarbete är att medarbetare och kommunmedborgare alltid kan känna sig övertygade om att Härjedalens kommun hanterar information på ett korrekt sätt. Sida 11

14 BILAGA 4 1 OFFENTLIGHET OCH SEKRETESS I HÄRJEDALENS KOMMUN Alla lagar och regler om offentlighet och sekretess som gäller vid traditionell post- och dokumenthantering gäller även vi användning av elektronisk post. Du som skickar eller tar emot e-post skall bedöma handlingens offentligrättsliga status. Du måste besvara frågor som: Är handlingen allmän Innehåller handlingen sekretessbelagda uppgifter Ska handlingen diarieföras 1.1 Allmän handling som är offentlig Handling är allmän om den förvaras hos en kommun och är inkommen till eller upprättad där. De dokument som Du skickar eller tar emot via e-post är därmed vanligtvis allmänna handlingar. Allmänna handlingar som är offentliga får fritt spridas inom och utanför kommunen. 1.2 Allmän handling som inte är offentlig (sekretessbelagd) Allmän handling kan omfattas av sekretess enligt sekretesslagen. En sekretessbelagd allmän handling kan innehålla uppgifter som vid exponering är till skada för kommunen eller enskilds säkerhet och integritet, till exempel uppgifter som rör enskilds hälsotillstånd, personliga eller ekonomiska förhållanden. Allmänna handlingar som inte är offentliga får inte spridas inom eller utanför kommunen, annat än för kommunens egen handläggning av det ärende som är förknippat med handlingen. 1.3 Handling som inte är allmän En handling är inte allmän om den utgör arbetshandlingar som skickas mellan användare inom samma myndighet, exempelvis: arbetsmaterial och utkast minnesanteckningar eller beslutsförslag som inte anses som en upprättad handling förrän vid expediering eller arkivering meddelanden av mindre betydelse eller av rent privat natur 1.4 Utlämnande, gallring och radering av allmän handling Varje myndighet är skyldig att vid begäran, efter sekretessprövning, omedelbart och i läsbar form tillhandahålla en allmän handling, som finns i Din personliga brevlåda. Du bör ta för vana att regelbundet gallra och rensa din e-post för att underlätta vid en begäran om utlämnande. Reglerna säger att Du kan radera handlingar av ringa värde så fort som du läst dom. Sida 12

15 BILAGA 5 ANSÖKAN OM BEHÖRIGHET TILL KOMMUNENS NÄTVERK VIA EXTERN DISTANSKOPPLING Denna ansökan är en bilaga till dokumentet Informationssäkerhetsinstruktion Användare för användare som har behov av åtkomst till kommunens nätverk via externa internetkopplingar som mobilt bredband eller annan bredbandskoppling utanför kommunens kontorsarbetsplatser. I förkommande fall tilldelas enbart mobilt bredband då behovet enbart är åtkomst till webmail (mail.herjedalen.se) och internet. Endast dator som arbetsgivaren tillhandahåller får användas i denna kommunikationslösning. Namn: Arbetsplats: Enhet: Telefonnr: Mobilnr: Jag har av kommunen blivit tilldelad en dator för att kunna utföra mitt arbete och som är installerad och verifierad av IT-enheten. Jag har av kommunen blivit tilldelad ett mobilt bredband för att kunna utföra mitt arbete på distans där fast uppkoppling saknas och installerad och verifierad av ITenheten. Jag har tagit emot en RSA-kryptonyckel (säkerhetskod) och förstår att den är att betrakta som en personlig värdehandling som hanteras och bevaras därefter. När du fyllt i denna Ansökan lämnar du den till din närmaste chef för godkännande. IT-enheten behandlar sedan din godkända ansökan och du får en RSA-kontoinformation som bekräftelse på att du är upplagd i kommunens säkerhetssystem för extern distanskoppling. Datum Underskrift (sökande) Ifylls av din närmaste chef Följande program ges behörighet till den sökande och publiceras i Citrix webportal: Datum Underskrift (närmaste chef) Ansökan med underskrift skickas till IT-enheten. Sida 13

16 BILAGA 6 ANMÄLAN OM AVSLUT AV KONTO I KOMMUNENS NÄTVERK Denna anmälan har du fått samtidigt med dokumenten Informationssäkerhetsinstruktion Användare och ska användas när du slutar din anställning i kommunen för att säkerställa att konton avslutas, behörigheter till system tas bort och utrustning återlämnas. Namn: Arbetsplats: Telefonnr: Mobilnr: Användarnamn vid inloggning till nätverket (login-namn): Konto och behörigheter till verksamhetssystem är raderade av verksamhetens systemförvaltare. Nätverkskonto ska avslutas: (denna dag raderas konto, e-post och hemkatalog H:) Fyll i denna Anmälan tillsammans med din närmaste chef och därefter kontaktar du ITavdelningen för avslutning av nätverkskonto (nätverk och e-post) och återlämnande av utrustning. Datum Underskrift (närmaste chef) Ifylls av IT-avdelningen Följande utrustning återlämnas: Dator modell:. Datornamn:.. Mobiltelefon Mobilt bredband Övrigt Övrigt modell:. modell: Avslutande av nätverkskonto (konto, e-post och hemkatalog H:) Konto och behörigheter till kommunens nätverk är raderade denna dag Datum Underskrift (mottagare IT-avdelningen) Sida 1