RIKTLINJER FÖR ANVÄNDNING AV PTS IT- ARBETSPLATS

Transkript

1 INTERNA RIKTLINJER 1(9) Datum RIKTLINJER FÖR ANVÄNDNING AV PTS IT- ARBETSPLATS Fastställd av generaldirektören Göran Marby att gälla från och med den 17 december Innehåll: OMFATTNING OCH SYFTE 2 BEHÖRIGHET 4 SKYDD AV INFORMATION OCH INFORMATIONSBEHANDLINGSRESURSER 5 ANVÄNDNING AV UTRUSTNING UTANFÖR PTS LOKALER 6 KOMMUNIKATION 7 HANTERING AV INFORMATION VID SIDAN OM PTS UTRUSTNING 8 UNDERHÅLL OCH ÅTERLÄMNING AV UTRUSTNING 9 GENERALKLAUSUL 9 Post- och telestyrelsen Postadress: Besöksadress: Telefon: Box 5398 Valhallavägen 117A Telefax: Stockholm pts@pts.se

2 2(9) OMFATTNING OCH SYFTE Detta dokument innehåller riktlinjer för användning av den av PTS tillhandhållna utrustning som ingår i it arbetsplatsen. Med it arbetsplats menas både it-utrustning som tillhandahålls av PTS och den användningen. Utrustning som ingår i it-arbetsplatsen är bl.a. stationära datorer, bärbara datorer, mobiltelefoner, handdatorer och andra typer av flyttbara lagringsmedia (t.ex. USB-minnen). Användning av internet, intranät, e-post, telefoni och lagring av data omfattas av riktlinjerna. Riktlinjerna är beslutade av GD och stöder organisationens informationssäkerhetspolicy. Riktlinjerna riktar sig till samtliga användare av itarbetsplatsen inom organisationen. Riktlinjerna syftar till att skydda PTS alla tillgångar inklusive tillgången bestående av intressenters förtroende för PTS, att skydda tredje man och att skydda enskilda användare. Riktlinjerna syftar även till att säkerställa en hög driftsäkerhet och att säkerställa efterlevanden av rättsliga bestämmelser. UTGÅNGSPUNKTER FÖR ANVÄNDNINGEN AV PTS IT-ARBETSPLATS Användningen av PTS it-arbetsplats syftar till att underlätta utförandet av ordinarie arbetsuppgifter/verksamhet. Användare av it-arbetsplatsen får inte felaktigt ge sig ut för att representera PTS i andra sammanhang än tjänsteutövning. Användning av utrustning som ingår i PTS it-arbetsplats kan vara tillåten för privat bruk under förutsättning att användningen: inte inkräktar på ordinarie arbetsuppgifter/verksamhet inte innebär merkostnader för PTS inte innebär att användningen bryter mot dessa riktlinjer Användningen av PTS it-arbetsplats får aldrig ske för syften som i något avseende kan strida mot lag, PTS riktlinjer och policies inklusive dessa riktlinjer eller i syften som annars kan uppfattas som stötande, kränkande eller oetiska. De regler som gäller i samhället i övrigt gäller också vid användningen av PTS it-arbetsplats. Tryckfrihetsförordningen, sekretesslagen, brottsbalken, lagen om upphovsrätt samt personuppgiftslagen är exempel på lagar som medarbetarna måste beakta vid användning av PTS utrustning. Exempel på utnyttjande som kan stå i strid med gällande rätt och som innebär ett klart missbruk av PTS utrustning är: olovlig kopiering, nedladdning eller spridning av upphovsrättligt skyddat material, t.ex. kommersiell programvara, filmer och musik spridning av uttalande som kan stå i strid med gällande rätt otillbörligt manipulerande av data, t.ex. överträdelse av behörighetskontrollsystem

3 3(9) Andra beteenden som förvisso inte är olagliga, men anses vara missbruk av PTS utrustning då de definitivt är olämpliga är t.ex. hantering av pornografiska bilder hantering av bilder eller texter som skildrar grovt våld, tvång eller råhet spridning av reklam för egen personlig vinning eller andras kommersiella verksamhet att delta i spel om pengar UTBILDNING OCH INFORMATION Alla användare ska ta del av och känna till riktlinjerna och deras innebörd. Varje avdelningschef ska se till att användarna ges den information och utbildning som krävs för att kunna följa riktlinjerna innan tillträde ges till PTS itarbetsplats. ANSVAR Alla användare ansvarar för att gällande riktlinjer följs och ska skriftligen förbinda sig att följa riktlinjerna. Vid otillåten användning av it-arbetsplatsen ska rättelse i första hand försöka åstadkommas genom att enhetschefen uppmärksammar användaren på betydelsen av att följa riktlinjerna vid ett särskilt samtal. Vid upprepad otillåten datoranvändning kan frågan om disciplinära åtgärder bli aktuell. Med disciplinära åtgärder avses i första hand varning eller löneavdrag. RAPPORTERING AV INCIDENTER För att bl.a. minska skador och göra det möjligt att dra lärdom av inträffade incidenter ska alla användare snarast rapportera eventuella säkerhetsincidenter till it-enheten (anknytning 5636) som regelbundet sammanställer rapporter till informationssäkerhetssamordnaren. Även säkerhetsmässiga svagheter ska rapporteras. Vid misstanke om virusangrepp m.m. ska användaren omedelbart kontakta itenheten (anknytning 5636) och om möjligt koppla ur nätverksanslutningen till drabbad utrustning. EFTERLEVNAD Varje avdelningschef ansvarar för att riktlinjerna efterlevs inom den egna verksamheten. Användare ska vara medvetna om att man lämnar spår efter sig när man är inloggad och arbetar i it-systemen. Systemens loggningsfunktioner används för att bl.a. spåra obehöriga intrång. För mer detaljerad information om loggning se Riktlinjer för loggning som finns på internwebben. Loggning görs för att skydda informationen och för att undvika att oskyldiga misstänkts om oegentligheter inträffar.

4 I analyssyfte kan avvikande användningsmönster utredas efter beslut av säkerhetsskyddschefen. Denne kan även initiera stickprovskontroller för att kontrollera efterlevnaden av dessa riktlinjer. 4(9) Det är även möjligt att en enskild användare kan kontrolleras särskilt därför att det framkommit uppgifter som tyder på att denne använder PTS it-arbetsplats i strid med dessa riktlinjer eller annars på ett sätt som kan skada PTS. Kontroller riktade mot enskilda individer sker efter beslut av GD och på informationssäkerhetssamordnarens eller säkerhetsskyddschefens initiativ. För kontroller avseende informationssäkerhet gäller PTS Riktlinjer för kontroll av efterlevnad, som finns att tillgå på internwebben. Motsvarande bestämmelser gäller för kontroller i övriga fall. MÖJLIGHET TILL AVSTEG FRÅN RIKTLINJERNA Om en användare har behov som medför att någon regel uppfattas som ett väsentligt hinder i arbetet ska denne ta upp detta med sin närmaste chef som för frågan vidare till avdelningschefen. En avdelningschef kan enligt en särskild rutin vända sig till informationssäkerhetssamordnaren med begäran om undantag. Om ett undantag beviljas ska avdelningschefen försäkra sig om att användare är införstådd med de eventuella restriktioner/regler som angetts vara förutsättningar för att undantag ska kunna beviljas. BEHÖRIGHET För att säkerställa att information endast hanteras av behöriga ska användaren endast ges behörighet till den information och de informationsbehandlingsresurser som han/hon har behov av för att kunna fullgöra sina arbetsuppgifter. Det är inte tillåtet att uppsåtligen försöka komma åt information eller resurser som man inte har tilldelats behörighet till. BEHÖRIGHETSKONTROLL Användarnas åtkomst till information och informationsbehandlingsresurser styrs genom en kombination av tekniska och administrativa åtgärder. All användning av PTS it-system sker genom användning av personliga användaridentiteter. Genom behörighetskontrollsystem och loggning är det möjligt att härleda ett agerande till en enskild person eller viss systemresurs. Användaren ansvarar för att förhindra att någon annan utnyttjar användarens behörighet. LÖSENORD För att minska risken för att någon annan ska kunna utnyttja användarens behörighet för åtkomst till PTS utrustning och/eller system ska användaren välja ett starkt lösenord och hantera detta på ett betryggande sätt. Hur du skapar ett starkt lösenord kan du läsa på e-tjänst Testalösenord

5 För att hantera lösenordet på ett betryggande sätt ska användaren undvika att skriva ner lösenordet. Om lösenordet måste skrivas ner ska det skrivas ner på ett papper som behandlas på ett säkert sätt. 5(9) Användaren ska omedelbart byta lösenord om det kan antas att lösenordet är röjt. Användarstödet vid it-enheten kan vid behov bistå. SKÄRMSLÄCKARE För att förhindra obehörig insyn och obehörig åtkomst är skärmsläckaren inställd så att den aktiveras automatiskt efter 10 minuters inaktivitet. För att aktivera datorn igen krävs lösenord. Användaren ska aktivera skärmsläckaren manuellt (tryck Ctrl+Alt+Del följt av Enter) om användaren avser att lämna en dator obevakad även för en kortare tid. UTLOGGNING En påslagen dator där en användare är inloggad innebär att systemets information exponeras. För att förhindra obehörig insyn och obehörig åtkomst ska användaren alltid logga ut från datorn vid arbetsdagens slut, att aktivera skärmsläckaren räcker inte. Det är dock viktigt att strömmen till datorn inte stängs av eftersom automatisk uppdatering av programvara, bl.a. virusskydd, främst sker utanför ordinarie arbetstid. SKYDD AV INFORMATION OCH INFORMATIONSBEHANDLINGSRESURSER SÄKERHETSKOPIERING Säkerhetskopiering syftar till att all väsentlig information ska kunna rekonstrueras med hjälp av säkerhetskopior och återställningsrutiner. Regelbunden säkerhetskopiering sker på filserver. (d.v.s. enheterna G: och H:). Ingen säkerhetskopiering sker på enskilda arbetsstationer (stationära/bärbara) eller flyttbara lagringsmedia. Användarna ska därför alltid se till att arbetsrelaterad information lagras på filservern. Då lagringsutrymme på såväl filservrar som lagringsmedia för säkerhetskopiering är ändliga resurser bör privat information inte lagras på filservrarna. SKYDD MOT VIRUSSPRIDNING M.M. Samtliga av PTS tillhandhållna persondatorer har virusskydd installerat. De bärbara datorerna har även en brandvägg installerad. PTS persondatorer administreras av it-enheten. Användarna ska alltid beakta risken för virusspridning och måste därför iaktta försiktighet vid öppnande av bifogade filer och länkar i e-post samt vid surfning. För att förhindra att virus sprids i PTS nätverk ska användaren vid misstanke om virusangrepp eller annan skadlig kod i datorn omedelbart kontakta it-

6 enheten på anknytning Om möjligt ska användaren även omedelbart koppla ur nätverksanslutningen. 6(9) PROGRAMVARA OCH UTRUSTNING För att förhindra störningar i PTS nät, utrustning och system samt för att förhindra oönskade funktioner (t.ex. virus och trojaner) måste all ny programvara och all ny utrustning kontrolleras och godkännas av it-enheten innan exekvering/installation/anslutning kan ske. Endast it-enheten får installera program i PTS utrustning eller ansluta ny utrustning till PTS nät. Anslutning av flyttbara lagringsmedia, t.ex. USB-minnen, CD och DVD, som inte ägs eller kontrolleras av PTS bör ske med eftertanke då dessa kan innehålla skadlig kod. MOLNTJÄNSTER OCH WEBBASERADE TJÄNSTER Det är inte tillåtet att använda molntjänster i sitt tjänsteutövande utan att PTS it-enhet först gett sitt godkännande av molntjänsten. Webbaserade verktyg och molntjänster (t.ex. sociala medier och applikationer för film och musik) för privat bruk som inte kräver installation får användas efter eget omdöme. Om it-enheten upptäcker att en applikation eller tjänst tar mycket kapacitet av nätet eller om det kommer till it-enhetens kännedom att en tjänst är förknippad med säkerhets- eller integritetsproblem kan it-enheten utan vidare stänga av access till denna tjänst. ANVÄNDNING AV UTRUSTNING UTANFÖR PTS LOKALER Användare som medför PTS utrustning utanför PTS lokaler ansvarar för att utrustningen hålls under uppsikt eller låses in när den inte används (dvs. utrustningen ska behandlas som stöldbegärlig egendom). information inte annat än tillfälligt (t.ex. under resa) lagras enbart på den bärbara utrustningen, och att det finns en säkerhetskopia av all information som förvaras på ordinarie arbetsplats. Andra flyttbara lagringsmedia, t.ex. handdatorer, telefoner och USB-minnen, ska hanteras med hänsyn till vilken informationsklass informationen hör. Se Riktlinjer för informationsklassificering. PRIVAT ANVÄNDNING UTANFÖR PTS LOKALER Det är chefen som bedömer om den anställde har behov av elektronisk utrustning med abonnemang utanför PTS lokaler eller inte. Med elektronisk utrustning med abonnemang avses nedan mobiltelefon, läsplatta och router med SIM-kort och de tjänster som därigenom tillhandahålls mot fast avgift utan möjlighet att särskilja privat användning från användning i tjänsten. De tjänster som avses är mobiltelefoni, sms, mms och datatrafik (surf).

7 7(9) Utrustningen är av väsentlig betydelse för arbete utanför PTS lokaler Om det är av väsentlig betydelse för den anställdes arbetsuppgifter, att den har tillgång till elektronisk utrustning med abonnemang utanför PTS lokaler, ska den berörda avdelningschefen informera chefen för den administrativa avdelningen om det. Chefen för den administrativa avdelningen fattar därefter beslutet om att den anställde även får använda utrustningen för privat bruk utanför PTS lokaler. Detta beslut ska dokumenteras. PTS nu gällande abonnemang för mobiltelefoni (inklusive sms) och mobil datatrafik med mobiltelefon/router gör det svårt att särskilja privat användning från nyttan i anställningen. I sådana fall bedöms den förmån som uppkommer vara av begränsat värde. Om den elektroniska utrustningen med abonnemang dessutom är av väsentlig betydelse för att den anställde ska kunna utföra sina arbetsuppgifter utanför PTS lokaler, är privat användning utanför PTS lokaler tillåten för PTS anställda och inte skattepliktig i enlighet med Skatteverkets ställningstagande (Dnr /111). Tjänster som inte ingår i abonnemanget omfattas inte av skattefriheten. Utrustningen är inte av väsentlig betydelse för arbetet utanför PTS lokaler Om det inte är av väsentlig betydelse för den anställdas arbetsuppgifter att ha tillgång till elektronisk utrustning med abonnemang utanför PTS lokaler, får den inte använda utrustningen för privat bruk utanför PTS lokaler. KOMMUNIKATION TELEFONI PTS servicenivå bedöms ofta utifrån tillgänglighet. Telefonen är därför ett viktigt redskap i vår kommunikation med varandra och omvärlden. PTS telefonkultur ska präglas av tillgänglighet och hänsyn. Om vi inte är nåbara ska den som ringer få information via växel, röstbrevlåda eller annat passningsställe. Vi ska visa hänsyn mot vår omgivning genom att inte störa i onödan med ilskna ringsignaler eller högljudda samtal. PTS medarbetare ska känna till telefon- och växelsystemets möjligheter och utnyttja dessa. Röstbrevlådor ska avlyssnas och meddelanden besvaras. PTS standardtelefon är en s.k. smartphone. Telefonen tillhandahålls av PTS och är en del av PTS it-arbetsplats. PTS tillhandahåller abonnemang till telefonen. Abonnemangen kan se olika ut vilket kan medföra olika taxor för samtal, datatrafik, mms, sms mm. Användarna ska därför sätta sig in i gällande taxor innan de börjar använda telefonen. Den anställde är dessutom skyldig att ta del av dokumentet Information om PTS telefonilösning och användning av smartphones som finns på Insikten. UPPKOPPLING MOT PTS NÄT Dator För att undvika driftstörningar i kommunikations- och verksamhetssystem får endast av PTS tillhandhållen utrustning anslutas till PTS nät.

8 Smartphones/surfplattor Det är inte tillåtet att vara uppkopplad mot PTS trådlösa nät avsett för PTS datorer. Anslutning ska ske via separat mobilt nätverk (PTS Mobil). 8(9) Privata smartphones/surfplattor I mån av licenstillgång har varje anställd möjlighet att på 1 (en) privat smartphone eller surfplatta få tillgång till PTS mejl och kalender under följande förutsättningar: 1. Att enheten är godkänd av it-enheten ur säkerhetssynpunkt. Om itenheten anser att enheten är osäker kommer åtkomsten att spärras. 2. Enheten får inte vara jailbreakad/rootad, dvs. illegalt upplåst enhet. 3. Medarbetaren får inte själv lagra någon PTS-data från mejl eller kalender på den privata smartphonen/surfplattan. Även när PTS mejl och kalender används på den privata enheten gäller dessa riktlinjer om användning av PTS it-arbetsplats. TRÅDLÖS UPPKOPPLING (Wi-Fi) Användarna ska beakta att säkerhetsfunktionerna för trådlösa nätverk är bristfälliga och kan forceras med ringa ansträngning. Stor försiktighet måste iakttas om information ska kommuniceras över trådlösa nätverk. Användarna måste också vara medvetna om att särskilda risker uppkommer om funktioner för trådlösa nätverk är påslagna när de inte används. Användarna måste således vara noga med att stänga av funktionen för det trådlösa nätverket när det inte används. E-POST I MOBILTELEFONEN PTS tillhandahåller e-post i mobiltelefonen. För närvarande tillåts e-post antingen i tjänstetelefonen eller i den anställdes privata telefon. Förutom detta tillåts e-post i en (1) surfplatta per användare. Ytterligare anvisningar angående e-post finns på Insikten under it-stöd. HANTERING AV INFORMATION VID SIDAN OM PTS UTRUSTNING PTS ansvarar för att den information som hanteras ges ett adekvat skydd. I vissa fall kan arbetsgivaren bli ansvarig för skador som de anställda orsakar, genom exempelvis felaktig behandling av personuppgifter. Detta gäller oavsett om den anställde hanterar uppgifterna på PTS utrustning eller någon annanstans. Därför bör PTS information endast undantagsvis behandlas utanför PTS utrustning, och då med eftertanke.

9 UNDERHÅLL OCH ÅTERLÄMNING AV UTRUSTNING 9(9) UNDERHÅLL AV UTRUSTNING Vid behov av service eller underhåll ska utrustningen lämnas till it-enheten. Innan utrustningen lämnas till it-enheten ska användaren förvissa sig om att all information som finns lagrad lokalt på utrustningen flyttas till filservern, eller om filservern inte kan nås, till ett flyttbart lagringsmedia. ÅTERLÄMNING AV UTRUSTNING Vid avslutad anställning eller på begäran ska all av PTS tillhandahållen utrustning återlämnas till it-enheten. Även PTS-utrustning som av olika skäl inte används ska återlämnas till it-enheten. Innan utrustningen återlämnas till itenheten ska användaren förvissa sig om att all information som finns lagrad lokalt på utrustningen flyttas till filservern. it-enheten ansvarar för att information på återlämnad utrustning förstörs innan utrustningen utrangeras eller återanvänds. GENERALKLAUSUL Om det föreligger oklarhet om huruvida en viss användning av PTS itarbetsplats är tillåten eller inte ska användare vända sig till sin närmaste chef eller informationssäkerhetssamordnaren för att få klarhet i frågan. Fram till dess användaren har fått ett klart besked är utgångspunkten att användaren ska använda sunt förnuft och agera med verksamhetens bästa för ögonen. Göran Marby