Anslutning av användarutrustning i Region Skånes datanät

Transkript

1 Koncernkontoret IT-avdelningen Datum: Dnr: Dokumentförvaltare: Lars Jonsson Koncernkontoret, IT-avdelningen Dokumentets status: Fastställd Dokumentid: Anslutning av användarutrustning i Region Skånes datanät Dokumentformat: A4 Version: 1.0 Dokumenttyp: Anvisning Dokumentklass: Styrande dokument Ämne: Ledningssystem för informationssäkerhet ANVISNING Anslutning av användarutrustning i Region Skånes datanät Org. nr: Sidan 1 av 11

2 Revisionshistorik Datum Ver. Namn Kommentar Lars Jonsson Justerad Rolf Bengtsson Ny dokumentmall Johan Åbrandt Fastställd av tf Chef IT Avdelningen Dokument hämtat från Region Skånes projekthandbok. Ändringar av dokumentform inkl sidfot är förbehållet Förnyelsekontoret/PMO Ägare dokumentform: Skapat: Version: 0.8 Projekthandboken, Förnyelsekontoret/PMO Dokument ID: Org. nr: Mall - Ansökningsunderlag Sidan 2 av 11

3 Beslutad Datum: Datum: Underskrift dokumentförvaltare Underskrift Chef IT-avd Namnförtydligande Namnförtydligande Org. nr: Sidan 3 av 11

4 Innehållsförteckning ANVISNING SYFTE DEFINITIONER OCH FÖRKORTNINGAR AVGRÄNSNINGAR REGLER GENERELLA REGLER SKYDD AV UTRUSTNING BEHÖRIGHET Säkerhetsklassificering av utrymme Krav för de olika klassificeringarna Mål för framtiden UTRUSTNING SOM FÅR ANSLUTAS Kommunikationsutrustning Användarutrustning Anslutning av utrustning Icke tillåten utrustning Dubbla nät Anslutning till Universitetsnätet GÄST ACCESS KONTROLL OCH RESTRIKTIONER Org. nr: Sidan 4 av 11

5 1. Syfte Syftet med detta dokument är att definiera det regelverk som gäller vid inkoppling av användarutrustning i Region Skånes datanätverk, dels med avseende på vilken utrustning som får kopplas in och dels vem som får göra inkopplingen. Detta dokument har också till syfte att reglera användarens anslutning till interna och externa nätverk och gäller oaktat om det är trådlöst eller trådbundet. Detta dokument gäller för Region Skånes samtliga anställda och för all personal som Regionen har avtal med för att bedriva verksamhet, kort eller långvarig, inom Regionen i lokaler där Regionens Datanät finns. 2. Definitioner och förkortningar RS Region Skåne förkortas i dokumentet med RS MT/MTA Medicinsk Teknik(ska) förkortas i dokumentet med MT eller MTA Singel sign on Att man loggas in vidare mot en applikation med den inloggning man har gjort på arbetsplatsen(pc). MAC-adress Den unika OSI Lager 2 adress som varje nätverkskort identifieras med. Kommunikationsutrustning Med kommunikationsutrustning menas all utrustning med förmåga att vidarebefordra nätverkstrafik. Exempelvis: Router, Switch, Hub, Brygga, Firewall, Terminal Server, Modem, Trådlös Router eller Trådlös accesspunkt. Användarutrustning Det är utrustning som normalt ansluts i nätverksuttagen i respektive rum/utrymme och som används av verksamheten på platsen, ex. PC, skrivare, MT-utrustning, behörighetsterminaler mm. RS-VPN Region Skånes Virtual Private Network. En tjänst med vilken en användare kan ansluta sig fjärrmässigt till Regionens nät. Använder sig av E-legitimation och kryptering för en hög säkerhet. TGP Teknisk Grund Plattform Standard PC från Region Skåne CMDB och Medus Olika typer av registersystem. FW Förkortning för Brandvägg. Org. nr: Sidan 5 av 11

6 3. Avgränsningar Följande områden ingår ej i dessa regler utan finns eller kommer att finnas reglerade i annan dokumentation: Krav på Region Skåne PC Isolerade nätverk, t.ex. Medicintekniska-nätverk, dessa regler gäller inte utan de hanteras och administreras av Medicinsk Teknik (MTA) eller annan part. Standardarbetsplats och TGP (teknisk gemensam plattform) Smartphones. Anvisningar för dessa utarbetas för närvarande i samband med framtagande av tjänsten Mobil tjänst. För traditionella handdator gäller dock regler enligt detta dokument. Regler för inloggning och säkerhet inkl sekretess vad avser åtkomst till information Behörighet till specifika system och servrar Felhantering och incidentprocessen, samt eskaleringsrutiner Krav på installation och anslutning av aktiv kommunikationsutrustning Särskilda IT-säkerhetskrav (brandväggar, virusskydd, certifikat, kryptering och loggning) Hantering av säkerhetsincidenter 4. Regler Interna och externa nätverk betraktas som informationsbehandlingsresurser varför åtkomst styrs enligt gällande riktlinjer för åtkomst. Datakommunikation är en fundamental och kritisk resurs varför särskilda åtgärder bör regleras och vidtas för att skydda alla nätverkstjänster Generella regler Användarutrustning ansluten till Region Skånes datanät skall om möjligt förvaras i låsbart utrymme eller låsbar lokal. Behörighetskontroll skall ske på den enskilda arbetsplatsen Rättigheter att utnyttja olika former av nätverkstjänster skall beslutas och tilldelas enligt samma principer som åtkomststyrning i övrigt. Externa konsulters och andra leverantörers utrustning får inte anslutas till Region Skånes Datanät utan tillstånd. Fjärraccess för användare får endast ske via RS-VPN Endast registrerad och godkänd utrustning får anslutas Endast ackrediterad personal får koppla in utrustning Inkoppling av ny utrustning beställs via Region Skånes Servicedesk, Kortnummer: , Externt: Endast mobil utrustning får kopplas in av användaren Ingen icke Region Skåne PC eller annan utomstående utrustning får anslutas förutom via Speciell Gästaccess Org. nr: Sidan 6 av 11

7 4.2. Skydd av utrustning Enligt Region Skånes övergripande säkerhetspolicy ska: utrustning skyddas mot fysiska hot och miljömässiga hot. Skydd av utrustning (även sådan som används utanför organisationens lokaler och vid bortflyttning av egendom) krävs för att minska risken för obehörig åtkomst av information och skydda mot förlust och skada. Det bör också beaktas var utrustning installeras och hur den avvecklas. Särskilda åtgärder kan krävas för att skydda mot fysiska hot och för att skydda försörjningsutrustning, t ex elförsörjning och kablage. Obehörig åtkomst till system eller nätverk ska förhindras genom att tillträdesskydd till lokaler där utrustning som är ansluten till nätet finns eller genom att utrustningen är under uppsikt Behörighet Säkerhetsklassificering av utrymme Enligt säkerhetspolicyn bör: Kritiska eller känsliga informationsbehandlingsresurser inrymmas i säkra utrymmen inom ett avgränsat skalskydd med lämpliga säkerhetsspärrar och tillträdeskontroller. De bör fysiskt skyddas mot otillåten åtkomst, skada och störning. Skyddets nivå bör stå i proportion till förekommande risker. Utrymmen klassificeras i detta dokument i 6 kategorier när det gäller säkerhetsklassning. Extra hög Hög Mellan Låg Ingen Internet Beroende på klassning ställs olika krav på säkerhet. Extra hög Ett utrymme med behörighetssystem och larm där accessen är begränsad enbart till behöriga ITtekniker. Exempel Datahallar Hög Ett utrymme med behörighetssystem där access är begränsad till enbart de Region Anställda som behöver access. Ett utrymme där patienter eller besökare ej får lämnas ensamma, ex. OP-sal, låst personalutrymme. Mellan Ett utrymme där personal och patienter kan vistas men där personal har uppsikt. T.ex. Vårdpersonals kontor/utrymme som används för mottagning av patienter. Låg Ett utrymme där patienter och besökare kan vistas utan uppsikt. Ex. Öppen vårdavdelning Org. nr: Sidan 7 av 11

8 Ingen Ett offentligt utrymme Exempel Bibliotek, väntrum eller där flera organisationer förutom Region Skåne finns i s.k. öppet kontorslandskap. Internet När en användare fjärrmässigt ansluter från ett icke Region Skåne nät Krav för de olika klassificeringarna Utöver de generella reglerna skall för de olika klassificeringarna följande gälla. Internet: Kräver att man ansluter sig via Region Skånes särskilda tjänst för extern åtkomst, RS-VPN och från en Region Skåne Dator, Kategori A, se RS-VPN använder sig av e-id och kryptering för att få god säkerhet. Utöver detta kan externa samarbetspartner godkännas för inkoppling via RS-VPN enligt särskilt regelverk. Ingen: Kräver att säkerheten löses med en fysisk koppling direkt till anvisad switch port eller med hjälp av identifikation av användare och maskin t.ex x eller motsvarande, alternativt att enbart ge access till ett helt öppet Slask nät (med Internet) där användaren ex vis kan använda RS- VPN. Inga oanvända uttag ska vara patchade och man bör använda så kallade låsta kablar. Utvecklingen för bättre lösningar för denna typ måste påskyndas. Behoven ökar liksom komplexiteten. Ex vis återfinns även MT utrustning allt oftare i dessa miljöer. Låg: Kräver säkerhet på port nivå, t.ex x, se ovan, adress (MAC) låsning eller motsvarande. Inga oanvända uttag ska vara patchade, undantaget är uttag som används för mobil utrustning. Mellan: Här finns inte krav på säkerhet på port nivå. Endast använda uttag ska vara patchade, undantaget är uttag som används för mobil MT-utrustning. Hög: Här finns inte krav på säkerhet på port nivå. Kan tillåtas att ha tomma uttag patchade. Extra Hög: Här finns inte krav på säkerhet på port nivå. Kan tillåtas att ha tomma uttag patchade. Enbart IT personal får utföra Patchning Mål för framtiden Målet är att alla användare så långt som möjligt dynamiskt ska tilldelas sitt nät (VLAN, virtuellt lokalt nät) och att detta kan styras beroende på behörighet, vilken utrustning som används och vilka resurser som ska nås. Org. nr: Sidan 8 av 11

9 Utrustning som inte är definierad ska enbart kunna nå ett s.k. slasknät med information om aktuell status och åtkomst enbart till Internet. 4.4 Utrustning som får anslutas Informationsbehandlingsresurser (Information, IT-system, tillämpningssystem, register, PCprogram, utrustning och samtliga användare) skall vara förtecknade. Utrustning, i synnerhet stöldbegärlig, bör vara märkt enligt särskilt upprättade regler. Eventuell omflyttning och överlåtelse till annan användare skall ske enligt fastställda rutiner. All utrustning som ansluts skall vara godkänd och registreras i berörda system av IT tekniker eller MT tekniker inför inkopplingen. Det gäller dels uppläggning av användare och utrustning i Region Skånes AD domän samt övriga system som ex vis CMDB och Medusa. Utrustningen kan delas in i två huvud kategorier. Kommunikationsutrustning Användarutrustning I detta fall är enbart Användarutrustning tillämplig Kommunikationsutrustning Med kommunikationsutrustning menas all utrustning med förmåga att vidarebefordra nätverkstrafik, exempelvis Router, Switch, Hub, Brygga, Firewall, Terminal Server, Modem, Trådlös Router eller Trådlös accesspunkt. Ingen förutom Datakommunikationsgruppen eller av Datakommunikationsgruppen utsedd leverantör/person får ansluta kommunikationsutrustning i Region Skånes Nätverk. Särskilda regler finns för anslutning av kommunikationsutrustning. Inkoppling av sådan utrustning får endast ske av behörig IT eller MT tekniker Användarutrustning Det är utrustning som normalt ansluts i nätverksuttagen i respektive rum/utrymme och som används av verksamheten på platsen. För PC krävs uppdaterad Anti Virus programvara och att lokal Firewall är aktiverad med regionens standard regler, dvs. för närvarande F-Secure. En PC får inte flyttas mellan olika nät, t.ex. RS nätverk och Universitetsnät. Användarutrustning kan delas in i Underkategorier: Kategori A Här ingår standardarbetsplats (TGP:ad PC) som är beställd via normala rutiner och som levereras av IT. Den innehåller enbart av regionen godkänd programvara. Här ingår också standardskrivare, IP telefoner som levereras av RS. Dessa är registrerade vid leverans och får anslutas direkt. Org. nr: Sidan 9 av 11

10 Kategori B Icke standard PC/skrivare mm, t.ex. MT-dator eller Driftdator. Här krävs ett godkännande för anslutning till nätverket. Begäran om godkännande skall skickas till Region Skånes IT Beställarorganisation alternativt till MTA. Efter godkännande måste utrustning också registreras med MAC-adress(er), typ av utrustning, vilken användning och operativ/mjukvara. I förekommande fall ska ansökan göras om att bli tilldelad en fast IP adress. Detta görs via Servicedesk. Kategori C Resterande utrustning som ej är PC, dock kan t.ex. MT utrustning ha en inbyggd PC, ex. MTutrustning, Behörighetsterminaler. Här krävs godkännande vid första införandet av en ny utrustning för anslutning till nätverket. Dessa måste registreras med MAC-adress(er), Id-nummer(Medusa) typ av utrustning samt om den är fast eller mobil. I förekommande fall ska även ansökan göras om att bli tilldelad en fast IP adress Anslutning av utrustning All inkoppling av ny utrustning skall beställas via Region Skånes Servicedesk som då direkt kan anvisa en person som är ackrediterad för att ansluta ny utrustning. Detta är normalt en ITtekniker eller MT-tekniker. Användare får inte ansluta ny utrustning. Vid användandet av en befintlig kabel, måste man alltid försäkra sig om att båda kontakterna man har tillhör samma kabel, innan man gör en anslutning. Det är förbjudet att stoppa i en lös kontakt utan att försäkra sig om att man vet var den andra änden av kabeln finns. En nätverkskabel får aldrig anslutas mellan två Nätverksuttag. Mobil utrustning, t.ex. MT-utrustning får flyttas och anslutas av användaren. Användaren skall ha blivit instruerad av en ackrediterad person. Vid Mobil utrustning skall nätverkssladden följa med utrustningen, man ska inte ha lösa sladdar anslutna i nätverksuttagen i rum/utrymmen. Om man ändå måste ha en nätverkskabel i uttaget, skall änden som ska anslutas till utrustningen märkas med Uttagsnumret som den är ansluten till i andra änden Icke tillåten utrustning Det är förbjudet att ansluta privat eller annan extern utrustning i nätverket. Vid tester eller demonstration av ny utrustning/system, som måste anslutas till Regionens nät, skall tillstånd inhämtas hos Systemägaren/förvaltaren av Datanätet. Om det är ett Datorsystem med Windows/Linux/Unix baserat system skall ett uppdaterat anti virus finnas och en scanning göras innan inkopplingen. Ingen förutom Datakommunikationsgruppen eller av Datakommunikationsgruppen utsedd leverantör/person får ansluta kommunikationsutrustning, trådlös eller trådbunden i Region Skånes Nätverk. Org. nr: Sidan 10 av 11

11 4.4.5 Dubbla nät I ett rum eller utrymme där Region Skånes Datanät finns får inga utomstående nät kopplas till nätverksuttagen. Man får alltså inte ha t.ex. Universitetsnätet kopplat till ett nätverkuttag i ett rum om där finns uttag till Region Skånes nät Anslutning till Universitetsnätet För verksamheter som inte har behov av åtkomst till interna system gäller följande. Universitetsnät i Universitetssjukhusets lokaler kan tillåtas då: Hel byggnad utnyttjas för universitetsverksamhet Verksamhet inom sammanhållen byggnadsdel alt våningsplan, i byggnad utnyttjas för universitetsverksamhet. Universitetsnät i Universitetssjukhusets lokaler tillåts inte då: Verksamheten är blandad och inte uppfyller ovanstående. 4.5 Gäst access För att ge Region Skånes förvaltningar möjlighet att på ett säkert sätt ge besökare och samarbetspartner som ex vis konsulter, journalister, utbildare, tillgång till Internet när dessa tillfälligt befinner sig i regionens lokaler, kan en gäst access beställas. Tjänsten beställs i Beställningsportalen och realiseras idag via befintligt trådlöst nätverk om sådant finns installerat. Detta Externa nät, nås via en engångskod som tillhandahålls via behörig person på förvaltningen alternativt en lokal reception, eller via Servicedesk. På samma sätt finns en motsvarande tjänst för inskrivna patienter eller anhöriga som når ett Patient Internet via inloggning med sitt vanliga betal- och kreditkort. 4.6 Kontroll och restriktioner Verksamhetschef ska säkerställa att alla säkerhetsrutiner inom deras respektive ansvarsområden utförs korrekt och att alla verksamhetsområden regelbundet granskas för att säkerställa att säkerhetspolicy och säkerhetsnormer efterlevs. Penetrationstest skall göras återkommande för att kontrollera åtkomstskydd för IT-systemet. Penetrationstester på externa kommunikationssystem (FW etc.) skall göras återkommande. Överträdelse av dessa regler kan medföra att användare helt eller delvis stängs av från nyttjande av Region Skånes IT-resurser. Beslut tas av verksamhetsansvarige. I en akut situation kan teknisk driftsansvarig för den aktuella tjänsten, tillfälligt med omedelbar verkan stänga av tillgången till resursen. Org. nr: Sidan 11 av 11