Informationssäkerhetsinstruktion: Användare

Transkript

1 EXEMPEL 1 Informationssäkerhetsinstruktion: Användare (Infosäk A) Innehållsförteckning 1. INSTRUKTIONENS ROLL I INFORMATIONSSÄKERHETSARBETET ANVÄNDARENS ANSVAR ÅTKOMST TILL INFORMATION BEHÖRIGHET INLOGGNING VAL AV LÖSENORD BYTE AV LÖSENORD DIN ARBETSPLATS UTRUSTNING PROGRAMVAROR SERVICE PÅ UTRUSTNING OM DU LÄMNAR ARBETSPLATSEN KLASSIFICERING OCH HANTERING AV INFORMATION KLASSNING AV INFORMATION LAGRING INTERNET E-POST INCIDENTER, VIRUS MM ALLMÄNT VIRUS AVSLUTNING AV ANSTÄLLNING...6 BILAGA KLASSNING AV INFORMATION...7

2 Sida 2 1. Instruktionens roll i informationssäkerhetsarbetet Styrande dokument för informationssäkerhetsarbetet är myndighetens informationssäkerhetspolicy och informationssäkerhetsinstruktionerna Förvaltning, Kontinuitet och Drift samt Användare: Informationssäkerhetspolicy Informationssäkerhetsinstruktion Förvaltning (Infosäk F) Målgrupp: Ledning, systemägare och samordningsansvarig Informationssäkerhetsinstruktion Kontinuitet och Drift (Infosäk KD) Målgrupp: IT-driftansvariga Informationssäkerhetsinstruktion Användare (Infosäk A) Målgrupp: Samtliga medarbetare Informationssäkerhetsinstruktion Användare (Infosäk A) redovisar hur en användare ska verka för att upprätthålla en god säkerhet. Informationssäkerhetspolicyn redovisar ledningens viljeinriktning och mål för informationssäkerhetsarbetet och syftar till att klarlägga: organisation och roller för informationssäkerhetsarbetet krav på riktlinjer för områden av särskild betydelse Informationssäkerhetsinstruktion Förvaltning (Infosäk F) redovisar: det ansvar som ingår i de olika rollerna de riktlinjer som gäller för områden av särskild betydelse regler för systemutveckling, systemunderhåll, incidenthantering Informationssäkerhetsinstruktion Kontinuitet och drift (Infosäk KD) redovisar: organisation och ansvar för drift av informationssystemen regler för säkerhetskopiering, lagring, driftadministration och kontinuitetsplanering 2. Användarens ansvar Information är en viktig tillgång för ORGANISATION X. För att skydda denna krävs ett säkerhetsmedvetande hos alla medarbetare. Som användare har du alltså en del i ansvaret för säkerheten i informationshanteringen. För stöd och hjälp när det gäller användningen av enskilda program kontaktar du aktuell systemägare. Har du problem med din dator ska du kontakta IT-stöd. 3. Åtkomst till information 3.1 Behörighet

3 Sida 3 Våra informationssystem är utrustade med behörighetskontrollsystem för att säkerställa att endast behöriga användare kommer åt information. De behörigheter du blir tilldelad beror på dina arbetsuppgifter och avgörs av din chef. 3.2 Inloggning Innan du loggar in första gången får du ett lösenord av IT-stöd för åtkomst till vårt interna ITnätverk. Lösenordet ska du byta till ett personligt lösenord efter första inloggningen. Samma förfarande gäller för enskilda informationssystem som kräver lösenord för åtkomst. Lösenord är strängt personliga och ska hanteras därefter. Du lämnar spår efter dig när du är inloggad och arbetar i systemen. De loggningsfunktioner som finns i systemen används för spåra obehörig åtkomst. Detta för att skydda informationen och för att undvika att oskyldiga misstänks om oegentligheter inträffar. Efter tre misslyckade försök att logga in spärras ditt konto. Ta då kontakt med IT-stöd för att få ett nytt engångslösenord. Har du glömt ditt lösenord får du ett nytt engångslösenord av IT-stöd. 3.3 Val av lösenord För lösenord gäller att det ska: vara minst åtta tecken långt bestå av en blandning av stora och små bokstäver, siffror och specialtecken inte återanvändas 3.4 Byte av lösenord Byte av lösenord är aktuellt var 30:e dag när det gäller interna nätverket. En dialogruta visas på skärmen när det är dags. för enskilda system efter ett visst tidsintervall som bestäms av respektive systemägare. omedelbart om du misstänker att någon annan känner till det. 4. Din arbetsplats 4.1 Utrustning Den utrustning som du förfogar över, d v s stationär, dockningsbar PC (Viatores) och/eller bärbar PC med tillhörande utrustning gäller: Fysiska ingrepp får endast utföras av IT-stöd. Fel ska omgående anmälas till IT-stöd. All installation och konfiguration får endast utföras av IT-stöd. Endast ORGANISATION X:s utrustning får användas för externt arbete. 4.2 Programvaror Programvaror ska godkännas och installeras av IT-enheten eller av IT-enheten anvisad/godkänd person. Egna program kan, och får inte, installeras i myndighetens datorer. Det är inte tillåtet att kopiera eller använda myndighetens program utanför vår verksamhet.

4 Sida 4 Om du är i behov av ytterligare programvaror eller hårdvara ska du anmäla det till din chef. 4.3 Service på utrustning Inför service på din utrustning som lämnas bort ska känslig information tas bort. 4.4 Kassering av utrustning Kontakta IT-stöd för destruktion. 4.5 Om du lämnar arbetsplatsen Vid tillfällen när du inte har uppsikt över arbetsstationen kan du tillfälligt låsa arbetsstationen med kortkommandot: CTRL+ALT+DEL och ENTER. 5. Klassning och hantering av information 5.1 Klassning av information Informationssystem inom ORGANISATION X klassas utifrån den information som hanteras i systemet. Klassning görs från aspekterna sekretess (konfidentialitet), riktighet och tillgänglighet. Med detta menas: Sekretess: Att informationen skyddas från obehörig insyn Riktighet: Att informationen inte ändras på ett obehörigt sätt Tillgänglighet: Att informationen finns tillgänglig för rätt person vid rätt tillfälle Tas information ut ur systemet och lagras på andra media, eller används i ett annat sammanhang, måste den klassas där den används och hanteras därefter. Även information i arbetsmaterial måste klassas. ORGANISATION X:s klassningsmodell framgår av bifogad bilaga. 5.2 Lagring Den information du lagrar på våra gemensamma utrymmen säkerhetskopieras automatiskt. Du kan välja att lagra på enheterna H:, G:,U: eller F:. H: (Personlig hemkatalog) är din personliga enhet som du kan använda för lagring av personligt arbetsmaterial. Om du väljer H-enheten kommer dina medarbetare ej åt informationen. G: (Organisationsenhet) är en enhet för lagring av information som alla medarbetare i organisationen har tillgång till. U: (Gruppenhet) är en enhet för lagring av information som du och medarbetarna på din enhet har tillgång till. F: (Funktionsenhet) är en enhet för lagring av information som du och dina medarbetare på din funktion har tillgång till

5 Sida 5 I förekommande fall kan också ytterligare enhetsbeteckningar finnas Om du lagrar på din lokala hårddisk (C:) är du personligen ansvarig för säkerhetskopiering. När du lagrar information på din lokala hårddisk (C:) riskerar du att förlora information som inte kan återskapas till rimliga kostnader, vid t ex en diskkrasch. Undvik därför att lagra på C:. Om du använder en av ORGANISATION X:s bärbara PC:ar (ej Viatores) för hemarbete ska du tänka på att den kan utgöra en säkerhetsrisk och att du därför inte får lagra sekretessbelagd eller för verksamheten känslig information på den. 6. Internet När du använder Internet kan säkerheten i myndighetens lokala nätverk påverkas i mycket hög grad beroende på ditt beteende. Myndigheten förutsätter att den som surfar på Internet endast besöker välrenommerade webbplatser. Det är inte tillåtet att via Internet titta eller lyssna på material av pornografisk eller rasistisk karaktär. Förbudet gäller också material som är diskriminerande (religion, kön, sexuell läggning, etc) eller har anknytning till kriminell verksamhet. I specifika fall kan det dock vara motiverat för arbetet, t ex vid utredningar, omvärldsanalyser mm, att besöka sidor som normalt är förbjudna. Beslut om detta ska fattas av närmaste chef. Tänk på att när du surfar på Internet representerar du ORGANISATION X och lämnar spår efter dig i form av ORGANISATION X:s IP-adress. 7. E-post E-post är ett rationellt hjälpmedel i arbetet men minneskapaciteten för det är begränsad. Tänk därför på att regelbundet radera i mapparna Inkorgen, Skickat, och Borttaget för att frigöra utrymme så att inte din e-post spärras. E-postsystemet ska inte användas som ett arkivsystem. Meddelanden, bifogade filer mm som du vill spara, sparar du på samma sätt som du lagrar annan information. Var selektiv med att skicka eller vidarebefordra meddelanden som innehåller stora filer för att undvika onödig belastning av systemresurser. Om du under en längre period inte har möjlighet att kontrollera din e-post bör du sätta frånvarobesked med eventuell uppgift om vem som ska hantera dina inkommande ärenden. E-post med bilagor utgör ett stort hot när det gäller spridning av virus. e-postsystemet är ett arbetsverktyg och bör inte användas för privat bruk. samma regler gäller för diarieföring av e-post som för vanliga brev. om du misstänker att det kommit in virus via e-postsystemet ska du agera som beskrivits i avsnittet om Incidenter. det är inte tillåtet med automatisk vidarekoppling till annan e-postadress ange alltid ämne i ämnesraden för meddelandet för att klargöra för mottagaren vad denne kan förvänta sig för innehåll i e-posten. skriv inte någon känslig information i ämnesraden kontrollera vilka som är medlemmar på sändlistor innan du använder dem. (Risk att känslig information når fel mottagare) skriv korta brev använd läskvittens för interna meddelanden endast när du har behov av detta skicka inte eller vidarebefordra kedjebrev tänk på hur du sprider din e-postadress om du får hotelsebrev ska du spara brevet och kontakta din chef.

6 Sida 6 Observera. E-postsystemet får inte användas för att skicka sekretessbelagd information 8. Incidenter, virus mm 8.1 Allmänt Myndigheten rapporterar IT incidenter till PTS. Om du misstänker att någon använt din användaridentitet eller att du varit utsatt för någon annan typ av incident ska du: notera när du senast var inne i IT-systemet notera när du upptäckte incidenten omedelbart anmäla förhållandet till informationssäkerhetssamordnaren eller din chef. dokumentera alla iakttagelser i samband med upptäckten och försöka fastställa om kvaliteten på din information har påverkats. Om du upptäcker fel och brister i de system du använder ska du rapportera dessa till IT-stöd, din närmaste chef eller informationssäkerhetssamordnaren. 8.2 Virus Myndigheten har programvaror för viruskontroll både i klienterna och i nätverket, men kan ändå drabbas av effekter av s.k. skadlig kod. Om du misstänker att din dator innehåller virus ska du: dra ut nätverkskabeln, men låta datorn vara på omedelbart anmäla förhållandet till endera IT-säkerhetssamordnaren, IT-stöd eller till närmaste chef. OBS! Anmälan ska ske per telefon eller besök, inte per e-post. Om du får brev med virusvarning gör inget annat än kontakta IT-stöd. Handdatorer, digitala kameror, mobiltelefoner mm kan lätt bli virusbärare eftersom du kan mellanlagra information mellan olika datorer i dessa. Var noga med att den dator du ansluter sådan kringutrustning till har ett uppdaterat virusprogram. 9. Avslutning av anställning När du slutar din anställning ansvarar du för att: rådgöra med din chef om vilket av ditt arbetsmaterial som ska sparas. Notera att allt arbetsmaterial du framställt anses vara ORGANISATION X:s egendom och får inte tas med utan chefs godkännande. privat material tas bort. de behörigheter du fått för åtkomst till våra informationssystem avbeställs av din chef.

7 Sida 7 Bilaga Klassning av information 1. Information som hanteras i IT-baserade informationssystem För information som lagras i IT-system måste inte bara sekretessaspekten beaktas, utan även kraven på riktigheten i informationen och tillgängligheten till den. Säkerhetsaspekt Sekretess Riktighet Tillgänglighet (konfidentialitet) Kravnivå Mycket hög nivå Information som ska medföra mycket medföra mycket vara åtkomlig inom allvarliga negativa allvarliga negativa högst 2 timmar för att konsekvenser för inte medföra egen oacceptabla enskild person om den enskild person om röjs för obehörig den är felaktig enskild person Hög nivå Information som inte medföra allvarliga medföra allvarliga behöver vara åtkomlig negativa konsekvenser negativa inom 2 timmar, men för egen konsekvenser för inom högst 8 timmar egen för att inte medföra oacceptabla enskild person om den röjs för obehörig enskild person om den är felaktig enskild person Basnivå Information som inte medföra mindre medföra mindre behöver vara åtkomlig allvarliga negativa allvarliga negativa inom 8 timmar för att konsekvenser för inte medföra egen oacceptabla enskild person om den enskild person om röjs för obehörig den är felaktig enskild person Anm: Följande typ av information hanteras utanför klassningsmodellen:

8 Sida 8 o o o Information som avser rikets säkerhet. Sådan information ska hanteras enligt särskilda bestämmelser. Information som har extrema krav på sig att vara tillgänglig och där utgångspunkten är att den alltid ska vara det. Information som inte bedöms ha krav på sig vare sig avseende sekretess (konfidentialitet), riktighet eller tillgänglighet. De åtgärder som ska vidtas för att uppfylla säkerhetskraven på respektive IT-system framgår av analys av dem med BITS Plus. 2. Information på datamedia Med datamedia menas disketter, USB-minnen etc. Dessa medier ska inte ses som slutliga förvaringsformer, såvida de inte avser backup-tagning. Information på datamedia är alltid kopierad och måste hanteras med samma säkerhet som det system som den kommer ifrån. Eftersom informationen är kopierad behöver endast kraven på sekretess (konfidentialitet) beaktas. De krav på sekretess som ställs för ett specifikt IT-system framgår av användarhandledningen för systemet. För information på datamedia gäller följande krav: Krav på sekretess Åtgärder Mycket hög nivå Hög nivå Basnivå - Endast disketter eller USB-minnen får användas och ska förvaras inlåsta - Får kopieras endast med godkännande från systemägaren för systemet som informationen kommer ifrån - Får inte återanvändas - Lämnas till IT för destruktion - Endast disketter eller USB-minnen får användas och ej förvaras synligt - Får kopieras i samråd med systemets förvaltare/administratör - Lämnas till IT för destruktion - Inga krav - Krävs ej 3. Information på andra media

9 Sida 9 Med andra media menas papper, film, DVD, OH-bilder etc. Information på dessa media är alltid kopierad och måste hanteras med samma säkerhet som det system som den kommer ifrån. Eftersom informationen är kopierad behöver endast kraven på sekretess (konfidentialitet) beaktas. De krav på sekretess som ställs för ett specifikt IT-system framgår av användarhandledningen för systemet. För information på ovanstående media gäller följande krav: Krav på sekretess Åtgärder Mycket hög nivå Hög nivå Basnivå - Förvaras inlåsta - Får kopieras endast med godkännande från systemägaren för systemet som informationen kommer ifrån - Får inte återanvändas - Papper och OH-film destrueras i papperstugg - Övrigt lämnas till IT för destruktion - Ej förvaras synligt - Får kopieras i samråd med systemets förvaltare/administratör - Lämnas till IT för destruktion - Inga krav - Krävs ej