Informationssa kerhet - Lidingo Stad

Transkript

1 Informationssa kerhet - Lidingo Stad Informationssäkerhet reglerar inte bara hur vi arbetar med kommunens it-baserade informationssystem utan även andra former av information. Det är betydelsen av informationen som är styrande, inte systemen, organisationen eller tekniken. Information är en av Lidingö Stads viktigaste tillgångar och hanteringen av den är en viktig del i arbetet. Med informationstillgångar avses all information oavsett om den behandlas manuellt eller automatiserat och oberoende av dess form eller miljö den förekommer i. Policyn utgör högsta nivån i nedanstående styrande dokument som beskriver hur vi ska arbeta med informationssäkerhet. Strukturen är enligt följande: Informationssäkerhetspolicy. Beskriver den övergripande inriktningen och fastställs av kommunstyrelsen. Regler och Riktlinjer som fastställs av stadsledningskontoret. Har sin utgångspunkt ifrån informationssäkerhetspolicyn. Tillämpningar, rutiner och checklistor. Konsekvensbeskrivningar i samarbete med KSL (Detta dokument) Kommunförbundet i Stockholms län (KSL) har ambitionen att i samarbete med kommunerna skapa mallar för styrande dokument som sedan kan återanvändas. Detta ska leda till utökad användning av gemensamma modeller, termer och begrepp och underlätta samverkan. Lidingö stad har en aktiv roll i att ta fram dessa modeller för regionens räkning och har tagit fram mallar för bl. a. policy och regler och riktlinjer. Arbetet har bedrivits som en del av stadens it-säkerhetsprogram under Dokumenten är baserade på riktlinjer från Myndigheten för Samhälle och Beredskap (MSB) samt de modeller som tillämpas av Stockholms stad och Stockholms läns landsting. Samma klassningsmodeller och nomenklatur tillämpas men dokumenten har anpassats för att kunna fungera i mindre verksamheter. Rollfördelning för informationssäkerhetsarbetet: Stadsledningskontoret är övergripande ansvarigt för att samordna arbete och följa upp tillämpning. Sekretariatet vid konsult och servicekontoret är operativt ansvarigt för att driva arbetet och bistå verksamheterna i informationssäkerhetsarbete. IT-enheten utgör tekniskt stöd.

2 Konsekvensanalysverktyg Lidingö Stad har tagit fram ett it-verktyg som, efter klassificering av sekretess, spårbarhet, tillgänglighet och riktighet, presenterar konsekvenser för respektive verksamhetssystem. Tanken är att Syftet är vidare att inte låta detta stanna vid ett konstaterande utan också förenkla informationssäkerhetsarbetet och därmed också tydliggöra de åtgärder som systemansvariga bör säkerställa för att uppnå önskad säkerhet och lyfta fram vilka konsekvenser en informationsklassning faktiskt leder till. Det senare är för många ett oskrivet blad och vi hoppas att denna fokusering leder till ett levande konsekvensverktyg som förenklar detta arbete och ytterst leder till att det som är skyddsvärt också skyddas på lämpliga sätt. Lidingö har med framgång testat fyra verksamhetssystem med hjälp av detta verktyg. Epost (Exchange/Outlook) Lönesystem (Heroma) System för skolan (Dexter) Dokument och ärendehanteringssystem (Lex) På följande sidor redovisas den kompletta databasen där varje konsekvens framgår, givet vald säkerhetsnivå. Det är viktigt att påpeka att texterna i databasen i nuläget ej kan betraktas som färdiga, de föreligger ett behov av att få synpunkter och förbättringsförslag från KSL och även ett antal kommuner.

3 Innehåll i databas december 2011 Tabellen nedan visar hur konsekvensverktygets textstruktur och logik är uppbyggd. Fyra olika säkerhetsområden analyseras och nivåsätts enligt nivå 1, 2 eller 3. Dessa val anges i verktyget varefter konsekvens för vald nivå framgår. Säkerhetsområden Sekretess Riktighet Tillgänglighet Spårbarhet Bits Bits Område Ref 06.1 Organisation/Roll er 06.2 Organisation/Uto mstående parter/extern access i underhållssyfte 06.2 Organisation/Uto mstående parter/extern personal 08.1 Personal/Rekryte ring 08.2 Personal/Anställ ning 08.2 Personal/Anställ ning/användarha ndledning 08.3 Personal/Avsluta nde eller förflyttning Säkerhetsområde Nivå 1 Nivå 2 Nivå 3 -Systemägare -Driftansvarig -Systemägare -Driftansvarig - -Via reglerad och loggad fjärranslutning - -Åtkomst ska föregås av genomgång av regler och introduktion till informationssysteme t. -Systemägare -Driftansvarig - Informationssäkerhetsansv arig -Informationsägare -Ej tillåtet -Åtkomst ska föregås av genomgång av regler och introduktion till informationssystemet och vara reglerat via sekretessförbindelse. - -Bakgrundskontroll -Bakgrundskontroll -Ta del av samt följa regelverk -Ta del av samt följa regelverk -Säkerhetsutbildning vid anställning och vid förändringar - -Handledning dokumenterad - -Tillgångar återlämnas. -Åtkomsträtt återkallas. -Ta del av samt följa regelverk -Säkerhetsutbildning vid anställning och vid förändringar -Årlig säkerhetsutbildning -Handledning dokumenterad -Handledning ska revideras årligen -Tillgångar återlämnas. -Åtkomsträtt återkallas.

4 09.1 Fysisk säkerhet/säkrade utrymmen/ Tillträdesskydd 09.2 Fysisk säkerhet/skydd av utrustning Styrning av Driftrutiner och driftsansvar Styrning av Kontroll av leverantör Styrning av Systemplanering Styrning av Skydd mot skadlig kod Styrning av Säkerhetskopieri ng Styrning av Säkerhetskopieri - -Låst utrymme - Inpassage registreras - -Avbrottsfri kraft Brandskydd -Larm (brand, temp, fukt) - -Övergripande systembeskrivning -Kontaktpersoner -Installation och uppgraderingsinstruk tioner -Systemägaren ska godkänna uppdateringar -Change management process ska följas - -Ansvar ska vara reglerat via avtal - -Resursplanering -Driftsgodkännande - Förvaltningsorganisat ion -Acceptanstest -Anitvirus och patchrutiner, där det är tillämpbart -Regelbunden säkerhetskopiering, -Nätansvar -Anitvirus och patchrutiner, där det är tillämpbart -Dataförlust max 1 vecka -Återläsningstest -Separerad nätadministration -Låst utrymme -Inpassage registreras -Tjänstekort eller besöksbricka skall bäras -Övervakning -Avbrottsfri kraft Brandskydd -Larm (brand, temp, fukt) -Separerad backuplagring -Logg över införsel/utförsel av media -Övergripande systembeskrivning -Kontaktpersoner -Installation och uppgraderingsinstruktioner -Change management process ska följas -Testmiljö eller motsvarade -Dokumenterade rutinbeskrivningar -Systemägaren ska godkänna uppdateringar -Instruktion för säkerhetsincidenter -Ansvar ska vara reglerat via avtal -Revision av leverantör ska genomföras minst vartannat år -Resursplanering -Driftsgodkännande -Förvaltningsorganisation -Acceptanstest -Anitvirus och patchrutiner, -Inspektion motsvarande IDS/IPS* -(*Intrusion Detection System -Intrusion Prevention System -Dataförlust max 1 dygn -Återkommande återläsningstester (årligen) -Separerad nätadministration

5 ng -Låsta korskopplingsskåp -Loggning av förändringar Styrning av Hantering av media/destruktio n Styrning av Övervakning/För varingstid för loggar Styrning av Övervakning/Log gning Styrning av Övervakning/Tids synkronisering 11.2 Styrning av åtkomst/använd aråtkomst 11.2 Styrning av åtkomst/använd aråtkomst/lösen ordsregler 11.3 Styrning av åtkomst/använd aråtkomst/använ dares ansvar 11.4 Styrning av åtkomst/nätverk /Anslutning av användardatorer 11.4 Styrning av åtkomst/nätverk /Anslutning av server - -Media som avvecklas skall destrueras -90 dagar, där det är tillämpbart -Loggning som visar misslyckade och lyckade inloggningar, -Tidssynkronisering -En faktors inloggning -Loggar förvaras i 180 dagar -Revisionsloggar för säkerhetsrelevanta händelser -Administratörs-och operatörsloggar -Spårbar till UTC(SP) -En faktors inloggning -Genomgång av behöriga användare årligen -Spärra behörighet inom 1 vecka - -Ändringar via ombud, via lösenordskiosk, med kontrollfråga -Byta lösenord vid första inloggningen -Skydda lösenordet -Öppet nät -Byta lösenord vid första inloggningen -Skydda lösenordet -Meddela om lösenord kan ha missbrukats -Omedelbart byta lösenord om någon antas känna till det -Pedagogiskt nät -Administrativt nät - -DMZ -Extranet -Pedagogiskt nät -Låsta korskopplingsskåp -Loggning av förändringar -Enskild säkerhetsdomän -Media som avvecklas skall destrueras -Loggar förvaras i 3 år -Alla transaktioner ska loggas -Signerade loggar -Spårbar till UTC(SP) -Två faktorsinloggning efter personlig identifiering hos behörig utfärdare -Genomgång av behöriga användare månatligen -Spärra behörighet inom 1 dag -Säkra personposter -Tvåfaktorsinloggning -Tvåfaktorsinloggning -Skydda lösenordet/kort (el.liknande) -Meddela om lösenord/kort kan ha missbrukats -Omedelbart byta lösenord/kort om någon antas känna till/stulit det -Enskild säkerhetsdomän -Enskild säkerhetsdomän

6 11.4 Styrning av åtkomst/nätverk /Brandväggsfunk tion 11.6 Styrning av åtkomst/informa tion och tillämpningar 11.7 Styrning av åtkomst/mobil åtkomst & distansarbete 11.7 Styrning av åtkomst/mobil åtkomst & distansarbete/inf ormationslagring på lokalt media såsom enskild dator eller telefon 12.3 Anskaffning, utv och underhåll/krypte ring 12.3 Anskaffning, utv och underhåll/krypte ring/nyckelhante ring 12.3 Anskaffning, utv och underhåll/krypte ring/signering 13.1 Säkerhetsinciden ter/rapportering 13.2 Säkerhetsinciden ter/hantering 14.1 Kontinuitetsplan -Loggning av förändringar i regelverk -Administrativ nät -Loggning av förändringar i regelverk -Utökad loggning av trafik - -Behörighetsmodell ska vara beskriven och dokumenterad - -Två faktors inloggning -Krypterad förbindelse -Enskild säkerhetsdomän -Behörighetsmodell ska vara beskriven och dokumenterad -Behörighetstilldelning ska följas upp med stickprov minst vartannat år -Ej tillåtet - -Ej tillåtet -Ej tillåtet - -Minst algoritm DES med 56 bitars nyckel längd - -Delad hemlighet, mjuk lagring - -Enbart kvittens med förnyad autentisering - -Rapportering vid identifierade incidenter - -Larm till driftansvarig - -Dokumenterad avbrottsplan -Återstartsrutin -Reservrutiner -Minst algoritm AES 128 bitars nyckel längd -Certifikat, minst mjuk lagring -Certfikatbaserad -Rapportering vid identifierade incidenter -Larm till driftansvarig med krav på inställelse -Dokumenterad avbrottsplan -Återstartsrutin -Reservrutiner

7 14.1 Kontinuitetsplan / Redundans 15.2 Efterlevnad/Rege lverk 15.2 Efterlevnad/Revis ion 15.2 Efterlevnad/Över syn och tester N/A N/A Förvaltningsstyrn ing Årlig översyn av brandväggsregler - - Förvaltningsmodellen tillämpas -Årlig övning -Speglade system/diskar eller motsvarande -Personal granskas för att säkerställa att regelverk efterlevs -Årligen SLA/Tillgänglighe tskrav ->90% ->95% ->99% -Årlig översyn av brandväggsregler -Årliga penetrationstester av externt exponerade system -Förvaltningsmodellen tillämpas strikt -Föreskrifter för hantering av information ska vara dokumenterade och efterlevnad ska följas upp minst vartannat år -Systemet ska ha en systemförvaltningsplan och omfattas till fullo av stadens förvaltningsmodell

8 Informationsklassning för vård och omsorg samt socialtjänst Lidingö Stad har i samverkan med KSL genomfört en insats med fokusering på informationsklassning för de områden som avser vård, omsorg och socialtjänst. Ett område som av naturliga orsaker ställer höga säkerhetskrav inte minst med avseende på sekretess. Syftet är vidare att inte låta detta stanna vid ett konstaterande utan också att utreda vilka konsekvenser en informationsklassning faktiskt leder till. Det senare är för många ett oskrivet blad och vi hoppas att denna fokusering leder till ett levande konsekvensverktyg som förenklar detta arbete och ytterst leder till att det som är skyddsvärt också skyddas på lämpliga sätt. Prioriterade system Inom ramen för insatsen har Lidingö Stad och KSL tillsammans valt att fokusera på följande system: Pulsen combine ASI net WebCare Kvalitetsregistret Senior Alert E-post (Exchange/Outlook) Gemensamt för samtliga system är att de används för att hantera information som ställer mycket höga krav vad gäller sekretess, oftast vad gäller riktighet och spårbarhet, och inte sällan vad gäller tillgänglighet. Gemensamt för samtliga utom Epost är att det är system som inte driftas i annans regi och som används av flera organisationer vilket behöver särskilt beaktas. Inte minst vid kravställning mot extern leverantör och hur information i systemet hanteras och separeras från andra verksamheter. Pulsen combine Pulsen combine är ett webbaserat IT-stöd för den kommunala socialtjänsten. Det är ännu ett utvecklingsprojekt hos Pulsen som pågår tillsammans med kommunerna Nacka, Täby och Upplands Väsby med målsättningen att bygga en komplett tjänst för hela den kommunala socialtjänsten. Systemet driftas av Pulsen i Borås. Den informationsklassning som är gjord i Lidingö stad har resulterat i följande bedömning: Sekretess 3 (hög) Riktighet 3 (hög) Tillgänglighet 2 (medel) Spårbarhet 3 (hög)

9 Utöver vad som är att betrakta som baskrav i Lidingö stad kan följande konsekvenser noteras: Åtkomst till systemet ska föregås av genomgång av regler och introduktion till informationssystemet och vara reglerat via sekretessförbindelse Föreskrifter för hantering av information ska vara dokumenterade och efterlevnad ska följas upp minst vartannat år Systemet ska ha en systemförvaltningsplan och omfattas till fullo av stadens förvaltningsmodell Tvåfaktorsautentisering krävs och identiteten skall vara personligen identifierad i samband med utfärdandet av elegitmationshandlingen. Genomgång av behöriga användare månatligen Spärra behörighet inom 1 dag Säkra personposter Årligen återkommande återläsningstester av säkerhetskopia Infrastrukturellet skall systemet ha en enskild säkerhetsdomän Inspektion motsvarande IDS/IPS (Intrusion Detection/Prevention System) Informationslagring på lokalt media såsom enskild dator eller telefon ej tillåtet Mobil användning & distansarbete ej tillåtet Extern access till systemet i underhållssyfte är ej tillåtet Där kryptering erfordras skall minst algoritm AES med 128 bitas nyckellängd användas Krypteringnycklar skall lagras minst i enlighet med mjuka certifikat All signering i systemet skall vara certifikatbaserad Alla transaktioner skall loggas Loggar skall signeras Loggar skall förvara i 3 år Efterlevnad av regler hos berörd personal skall granskas Årlig revision Revision av leverantör ska genomföras minst vartannat år Årlig övning av kontinuitetsplan Årliga penetrationstester av externt exponerade system ASI-net ASI-net är ett webbaserat IT-stöd för att underlätta arbetet med ASI-metoden (Addiction Severity Index) och för att bygga upp en databas som kan användas i behandlingsplanering, rapportering och forskning. I dialog med Råbe och Kobberstad AB som utvecklar och driftar systemet kan konstateras att någon egentlig informationsklassning inte är gjord från deras sida. Den informationsklassning som är gjord i Lidingö stad har resulterat i följande bedömning: Sekretess 3 (hög) Riktighet 3 (hög) Tillgänglighet 1 (bas) Spårbarhet 2 (medel)

10 Utöver vad som är att betrakta som baskrav i Lidingö stad kan följande konsekvenser noteras: Åtkomst till systemet ska föregås av genomgång av regler och introduktion till informationssystemet och vara reglerat via sekretessförbindelse Föreskrifter för hantering av information ska vara dokumenterade och efterlevnad ska följas upp minst vartannat år Systemet ska ha en systemförvaltningsplan och omfattas till fullo av stadens förvaltningsmodell Tvåfaktorsautentisering krävs och identiteten skall vara personligen identifierad i samband med utfärdandet av elegitmationshandlingen. Genomgång av behöriga användare månatligen Spärra behörighet inom 1 dag Säkra personposter Årligen återkommande återläsningstester av säkerhetskopia Infrastrukturellet skall systemet ha en enskild säkerhetsdomän Inspektion motsvarande IDS/IPS (Intrusion Detection/Prevention System) Informationslagring på lokalt media såsom enskild dator eller telefon ej tillåtet Mobil användning & distansarbete ej tillåtet Extern access till systemet i underhållssyfte är ej tillåtet Där kryptering erfordras skall minst algoritm AES med 128 bitas nyckellängd användas Krypteringnycklar skall lagras minst i enlighet med mjuka certifikat All signering i systemet skall vara certifikatbaserad Efterlevnad av regler hos berörd personal skall granskas Årlig revision Revision av leverantör ska genomföras minst vartannat år Årlig övning av kontinuitetsplan Årliga penetrationstester av externt exponerade system WebCare WebCare är ett webbaserat IT-stöd för samordnad vårdplanering mellan landsting (slutenvård och primärvård) och kommuner. Det har också till uppgift att ge faktureringsunderlag för de patientkostnader som uppkommer i enlighet med Betalningsansvarslagen, BAL. Stockholms läns lansting, som är beställare av drift- och utvecklingstjänsterna för WebCare av Tieto, har informationsklassat systemet enligt följande: Sekretess 3 (hög) Riktighet 2 (mellan) Tillgänglighet 2 (mellan) Lidingö stad har inte gjort någon annan bedömning utan följer den informationsklassning som är gjord av Stockholms läns landsting.

11 Utöver vad som är att betrakta som baskrav i Lidingö stad kan följande konsekvenser noteras: Åtkomst till systemet ska föregås av genomgång av regler och introduktion till informationssystemet och vara reglerat via sekretessförbindelse Föreskrifter för hantering av information ska vara dokumenterade och efterlevnad ska följas upp minst vartannat år Systemet ska ha en systemförvaltningsplan och omfattas till fullo av stadens förvaltningsmodell Tvåfaktorsautentisering krävs och identiteten skall vara personligen identifierad i samband med utfärdandet av elegitmationshandlingen. Genomgång av behöriga användare månatligen Spärra behörighet inom 1 dag Säkra personposter Årligen återkommande återläsningstester av säkerhetskopia Infrastrukturellet skall systemet ha en enskild säkerhetsdomän Inspektion motsvarande IDS/IPS (Intrusion Detection/Prevention System) Informationslagring på lokalt media såsom enskild dator eller telefon ej tillåtet Mobil användning & distansarbete ej tillåtet Extern access till systemet i underhållssyfte är ej tillåtet Där kryptering erfordras skall minst algoritm AES med 128 bitas nyckellängd användas Krypteringnycklar skall lagras minst i enlighet med mjuka certifikat All signering i systemet skall vara certifikatbaserad Efterlevnad av regler hos berörd personal skall granskas Årlig revision Revision av leverantör ska genomföras minst vartannat år Årlig övning av kontinuitetsplan Årliga penetrationstester av externt exponerade system Relaterad information från Datainspektionen DNR Tillsyn - WebCare uppmärksammar bland annat det faktum att känsliginformation som personuppgifter är åtkomlig med enbart användarid och lösenord. Kvalitetsregistret Senior Alert Senior Alert är ett kvalitetsregister som finns tillgängligt via webben där varje person, 65 år eller äldre, registreras med riskbedömning, vidtagna åtgärder och resultat inom områdena fall, undernäring, trycksår och munhälsa. I dialog med systemägaren på Landstinget i Jönköpings län och UCR (Uppsala Clinical Research center) som driftar systemet kan konstateras att någon egentlig informationsklassning inte är gjord från deras sida. Den informationsklassning som är gjord i Lidingö stad har resulterat i följande bedömning: Sekretess 3 (hög) Riktighet 1 (bas) Tillgänglighet 1 (bas) Spårbarhet 2 (mellan)

12 Utöver vad som är att betrakta som baskrav i Lidingö stad kan följande konsekvenser noteras: Åtkomst till systemet ska föregås av genomgång av regler och introduktion till informationssystemet och vara reglerat via sekretessförbindelse Föreskrifter för hantering av information ska vara dokumenterade och efterlevnad ska följas upp minst vartannat år Systemet ska ha en systemförvaltningsplan och omfattas till fullo av stadens förvaltningsmodell Tvåfaktorsautentisering krävs och identiteten skall vara personligen identifierad i samband med utfärdandet av elegitmationshandlingen. Genomgång av behöriga användare månatligen Spärra behörighet inom 1 dag Säkra personposter Årligen återkommande återläsningstester av säkerhetskopia Infrastrukturellet skall systemet ha en enskild säkerhetsdomän Inspektion motsvarande IDS/IPS (Intrusion Detection/Prevention System) Informationslagring på lokalt media såsom enskild dator eller telefon ej tillåtet Mobil användning & distansarbete ej tillåtet Extern access till systemet i underhållssyfte är ej tillåtet Där kryptering erfordras skall minst algoritm AES med 128 bitas nyckellängd användas Krypteringnycklar skall lagras minst i enlighet med mjuka certifikat All signering i systemet skall vara certifikatbaserad Efterlevnad av regler hos berörd personal skall granskas Årlig revision Revision av leverantör ska genomföras minst vartannat år Årlig övning avkontinuitetsplan Årliga penetrationstester av externt exponerade system Relaterad information från Datainspektionen DNR Samråd om registrering av beslutsoförmögna i det nationella kvalitetsregistret Senior Alert uppmärksammar det faktum att registrering av personer som varaktigt saknar beslutsförmåga i Senior Alert inte är förenlig med nuvarande lagstiftning. E-post (Exchange/Outlook) E-post är ett effektivt sätt att kommunicera men det är också förenat med flera risker. Det är svårt att på ett tillfredställande sätt säkerställa identiteten på både sändare och mottagare och det är svårt att säkerställa att e-post skyddas från obehörig åtkomst. Här har därför verktyget för konsekvenser av informationsklassning används omvänt vilket ger resultatet att det är högst olämpligt att använda E-postsystemet för information som ställer krav på sekretess och riktighet.

13 Det är därför av vikt att det finns tydliga användarinstruktioner som tydliggör att sekretessbelagd, integritetskänslig eller information som på annat sätt kan betraktas som känslig inte får skickas externt med okrypterad e-post och att e-post inte bör innehålla information som obehöriga inte ska läsa. Relaterad information från Datainspektionen DNR Tillsyn enligt personuppgiftslagen (1998:204) behandling av personuppgifter i e-post uppmärksammar vikten av tydliga rutiner för behandling av personuppgifter i E-post.