IT-säkerhetsinstruktion

Transkript

1 IT-säkerhetsinstruktion Innehållsförteckning 1. ANVÄNDARENS ANSVAR ÅTKOMST TILL INFORMATION BEHÖRIGHET INLOGGNING VAL AV LÖSENORD BYTE AV LÖSENORD DIN ARBETSPLATS UTRUSTNING PROGRAMVAROR KASSERING AV UTRUSTNING OM DU LÄMNAR ARBETSPLATSEN KLASSIFICERING OCH HANTERING AV INFORMATION KLASSNING AV INFORMATION LAGRING KRINGUTRUSTNING MED MELLANLAGRINGSMÖJLIGHET INTERNET E-POST INCIDENTER, VIRUS MM ALLMÄNT VIRUS SEKRETESS AVSLUTNING AV ANSTÄLLNING...7 BILAGA KLASSNING AV INFORMATION...8

2 Sida 2 1. Användarens ansvar Information är en viktig tillgång för Fagersta kommun. För att skydda denna krävs ett säkerhetsmedvetande hos alla medarbetare. Som användare har du alltså en del i ansvaret för säkerheten i informationshanteringen. För stöd och hjälp när det gäller användningen av enskilda program kontaktar du aktuell systemägare. Har du problem med din dator ska du kontakta IT-service. 2. Åtkomst till information 2.1 Behörighet Våra informationssystem är utrustade med behörighetskontrollsystem för att säkerställa att endast behöriga användare kommer åt informationen. De behörigheter du blir tilldelad beror på dina arbetsuppgifter och avgörs av din chef. 2.2 Inloggning Innan du loggar in första gången får du ett lösenord av IT-service för åtkomst till vårt interna ITnätverk. Lösenordet ska du byta till ett personligt lösenord efter första inloggningen. Samma förfarande gäller för enskilda informationssystem som kräver lösenord för åtkomst. Lösenord är strängt personliga och ska hanteras därefter. Du lämnar spår efter dig när du är inloggad och arbetar i systemen. De loggningsfunktioner som finns i systemen används för att spåra obehörig åtkomst. Detta för att skydda informationen och för att undvika att oskyldiga misstänks om oegentligheter inträffar. Efter fem misslyckade försök att logga in spärras ditt konto. Ta då kontakt med IT-service för att få ett nytt engångslösenord. Har du glömt ditt lösenord får du ett nytt engångslösenord av IT-service. 2.3 Val av lösenord För lösenord gäller att det ska: vara minst 6 tecken långt, och skall konstrueras så att det inte lätt kan kopplas till dig som person. bestå av en blandning av stora och små bokstäver, siffror och specialtecken inte återanvändas 2.4 Byte av lösenord Byte av lösenord är aktuellt var 90:e dag när det gäller interna nätverket. En dialogruta visas på skärmen när det är dags. för enskilda system efter ett visst tidsintervall som bestäms av respektive systemägare. omedelbart om du misstänker att någon annan känner till det.

3 Sida 3 3. Din arbetsplats 3.1 Utrustning För den utrustning som du förfogar över d v s stationär eller bärbar PC eller smarta telefoner, och övriga tillhörande utrustningar gäller: fysiska ingrepp får endast utföras av IT-service. fel ska omgående anmälas till IT-service. all installation och konfiguration får endast utföras av IT-service så att kommunens standard följs. 3.2 Programvaror programvaror ska godkännas och installeras av IT-service. egna program kan och får inte installeras på datorerna. det är inte tillåtet att kopiera eller använda Fagersta kommuns program utanför vår verksamhet. om du är i behov av ytterligare programvaror eller hårdvara ska du anmäla det till din chef. 3.3 Kassering av utrustning Kontakta IT-service för destruktion. 3.4 Om du lämnar arbetsplatsen Vid tillfällen när du inte har uppsikt över arbetsstationen kan du tillfälligt låsa arbetsstationen med kortkommandot: CTRL+ALT+DEL och ENTER.

4 Sida 4 4. Klassning och hantering av information 4.1 Klassning av information Informationssystem inom Fagersta kommun klassas utifrån den information som hanteras i systemet. Klassning görs från aspekterna sekretess (konfidentialitet), riktighet och tillgänglighet. Med detta menas: Sekretess: att informationen skyddas från obehörig insyn Riktighet: att informationen inte ändras på ett obehörigt sätt Tillgänglighet: att informationen finns tillgänglig för rätt person vid rätt tillfälle Tas information ut ur systemet och lagras på andra media, eller används i ett annat sammanhang, måste den klassas där den används och hanteras därefter. Även information i arbetsmaterial måste klassas. Fagersta kommuns klassningsmodell framgår av bifogad bilaga. 4.2 Lagring Den information du lagrar på våra gemensamma utrymmen säkerhetskopieras automatiskt. Du kan välja att lagra på enheterna W: U: W: (Personlig hemkatalog) är din personliga enhet som du kan använda för lagring av personligt arbetsmaterial. Om du väljer W-enheten kommer dina medarbetare ej åt informationen. U: (Gruppenhet) är en enhet för lagring av information som du och medarbetarna på din enhet har tillgång till. I förekommande fall kan också ytterligare enhetsbeteckningar finnas Om du lagrar på din lokala hårddisk (C:) är du personligen ansvarig för säkerhetskopiering. När du lagrar information på din lokala hårddisk (C:) riskerar du att förlora information som inte kan återskapas till rimliga kostnader, vid t ex en diskkrasch. Undvik därför att lagra på C:. Om du använder en av Fagersta kommuns bärbara PC för hemarbete ska du tänka på att den kan utgöra en säkerhetsrisk och att du därför inte får lagra sekretessbelagd eller för verksamheten känslig information på den. 4.3 Kringutrustning med mellanlagringsmöjlighet Handdatorer, digitala kameror, mobiltelefoner mm kan lätt bli virusbärare då du kan mellanlagra information mellan olika datorer i dessa. Därför skall du inte ansluta denna typ av kringutrustning mot en dator som du inte med säkerhet vet har ett uppdaterat virusprogram. All kringutrustning skall vara godkänd och installerad av IT-Service.,

5 Sida 5 5. Internet När du använder Internet kan säkerheten i kommunens lokala nätverk påverkas i mycket hög grad beroende på ditt beteende. Fagersta kommun förutsätter att den som surfar på Internet endast besöker välrenommerade webbplatser. Det är inte tillåtet att via Internet titta eller lyssna på material av pornografisk eller rasistisk karaktär. Förbudet gäller också material som är diskriminerande (religion, kön, sexuell läggning, etc) eller har anknytning till kriminell verksamhet. I specifika fall kan det dock vara motiverat för arbetet, t ex vid utredningar, omvärldsanalyser mm, att besöka sidor som normalt är förbjudna. Beslut om detta ska fattas av närmaste chef. Tänk på att när du surfar på Internet representerar du Fagersta kommun och lämnar spår efter dig i form av organisationens IP-adress. 6. E-post E-post är ett rationellt hjälpmedel i arbetet, men minneskapaciteten för det är begränsad. Tänk därför på att regelbundet radera i mapparna för att frigöra utrymme så att inte din e-post spärras. E-postsystemet ska inte användas som ett arkivsystem. Meddelanden, bifogade filer mm som du vill spara, sparar du på samma sätt som du lagrar annan information. Var selektiv med att skicka eller vidarebefordra meddelanden som innehåller stora filer för att undvika onödig belastning av systemresurser. Om du under en längre period inte har möjlighet att kontrollera din e-post bör du sätta frånvarobesked med eventuell uppgift om vem som ska hantera dina inkommande ärenden. E-post med bilagor utgör ett stort hot när det gäller spridning av virus. e-postsystemet är ett arbetsverktyg och bör inte användas för privat bruk. samma regler gäller för diarieföring av e-post som för vanliga brev. om du misstänker att det kommit in virus via e-postsystemet ska du agera som beskrivits i avsnittet om Incidenter. ange alltid ämne i ämnesraden för meddelandet för att klargöra för mottagaren vad denne kan förvänta sig för innehåll i e-posten. skriv inte någon känslig information i ämnesraden kontrollera vilka som är medlemmar på sändlistor innan du använder dem. (Risk att känslig information når fel mottagare) använd läskvittens för interna meddelanden endast när du har behov av detta skicka inte eller vidarebefordra kedjebrev. tänk på hur du sprider din e-postadress. om du får hotelsebrev ska du spara brevet och kontakta din chef. Observera. E-postsystemet bör inte användas för att skicka sekretessbelagd information

6 Sida 6 7. Incidenter, virus mm 7.1 Allmänt Om du misstänker att någon använt din användaridentitet eller att du varit utsatt för någon annan typ av incident ska du: notera när du senast var inne i IT-systemet notera när du upptäckte incidenten omedelbart anmäla förhållandet till IT-service eller din chef. dokumentera alla iakttagelser i samband med upptäckten och försöka fastställa om kvaliteten på din information har påverkats. Om du upptäcker fel och brister i de system du använder ska du rapportera dessa till systemansvarig. 7.2 Virus Fagersta kommun har programvaror för viruskontroll både i klienterna och i nätverket, men kan ändå drabbas av effekter av s.k. skadlig kod. Om du misstänker att din dator innehåller virus ska du: dra ut nätverkskabeln, men låta datorn vara på omedelbart anmäla förhållandet till IT-service eller till närmaste chef. OBS! Anmälan ska ske per telefon eller besök, inte per e-post. Om du får brev med virusvarning gör inget annat än kontakta IT-service Handdatorer, digitala kameror, mobiltelefoner mm kan lätt bli virusbärare eftersom du kan mellanlagra information mellan olika datorer i dessa. Var noga med att den dator du ansluter sådan kringutrustning till har ett uppdaterat virusprogram. 8. Sekretess Information som finns i Fagersta kommuns verksamhetssystem och nätverk måste skyddas noga. Följande allmänna regler gäller: använd alltid verksamhetssystem för registrering av uppgifter om enskilda personer. sekretessinformation får inte lagras i datorns hårddisk. En försvunnen dator kan i värsta fall innehålla information som orsakar stor skada och innebär lagbrott om den sprids till obehöriga. låt inte känslig information bli liggande i centrala skrivare.

7 Sida 7 9. Avslutning av anställning När du slutar din anställning ansvarar du för att: rådgöra med din chef om vilket av ditt arbetsmaterial som ska sparas. Notera att allt arbetsmaterial du framställt anses vara Fagersta kommuns egendom och får inte tas med utan chefs godkännande. privat material tas bort. de behörigheter du fått för åtkomst till våra informationssystem avbeställs av din chef.

8 Sida 8 Bilaga Klassning av information 1. Information som hanteras i IT-baserade informationssystem För information som lagras i IT-system måste inte bara sekretessaspekten beaktas, utan även kraven på riktigheten i informationen och tillgängligheten till den. Säkerhetsaspekt Sekretess Riktighet Tillgänglighet (konfidentialitet) Kravnivå Mycket hög nivå Information som ska medföra mycket medföra mycket vara åtkomlig inom allvarliga negativa allvarliga negativa högst 2 timmar för att konsekvenser för inte medföra egen oacceptabla enskild person om den enskild person om röjs för obehörig den är felaktig enskild person Hög nivå Information som inte medföra allvarliga medföra allvarliga behöver vara åtkomlig negativa konsekvenser negativa inom 2 timmar, men för egen konsekvenser för inom högst 8 timmar egen för att inte medföra oacceptabla enskild person om den röjs för obehörig enskild person om den är felaktig enskild person Basnivå Information som inte medföra mindre medföra mindre behöver vara åtkomlig allvarliga negativa allvarliga negativa inom 8 timmar för att konsekvenser för inte medföra egen oacceptabla enskild person om den enskild person om röjs för obehörig den är felaktig enskild person

9 Sida 9 Anm: Följande typ av information hanteras utanför klassningsmodellen: o Information som avser rikets säkerhet. Sådan information ska hanteras enligt särskilda bestämmelser. o Information som har extrema krav på sig att vara tillgänglig och där utgångspunkten är att den alltid ska vara det. o Information som inte bedöms ha krav på sig vare sig avseende sekretess (konfidentialitet), riktighet eller tillgänglighet. 2. Information på datamedia Med datamedia menas disketter, USB-minnen etc. Dessa medier ska inte ses som slutliga förvaringsformer, såvida de inte avser backup-tagning. Information på datamedia är alltid kopierad och måste hanteras med samma säkerhet som det system som den kommer ifrån. Eftersom informationen är kopierad behöver endast kraven på sekretess (konfidentialitet) beaktas. De krav på sekretess som ställs för ett specifikt IT-system framgår av användarhandledningen för systemet. För information på datamedia gäller följande krav: Krav på sekretess Åtgärder Mycket hög nivå Hög nivå Basnivå Förvaring - Endast disketter eller USB-minnen får användas och ska förvaras inlåsta Kopiering - Får kopieras endast med godkännande från systemägaren för systemet som informationen kommer ifrån Återanvändning - Får inte återanvändas Destruktion - Lämnas till IT för destruktion Förvaring - Endast disketter eller USB-minnen får användas och ej förvaras synligt Kopiering - Får kopieras i samråd med systemets förvaltare/administratör Återanvändning - Tillåten Destruktion - Lämnas till IT för destruktion Förvaring - Inga krav Kopiering - Tillåten Återanvändning - Tillåten Destruktion - Krävs ej