INFORMATIONSSÄKERHET 1 INLEDNING MÅL FÖR IT-SÄKERHETSARBETET... 2

Transkript

1 INFORMATIONSSÄKERHET 1 INLEDNING MÅL FÖR IT-SÄKERHETSARBETET RIKTLINJER FÖR ATT UPPNÅ MÅLEN ALLMÄNT LEDNING OCH ANSVAR FÖR IT-SÄKERHET Systemägare Verksamhetsansvariga Systemansvarig IT-chefen Systemadministratör Användare IT-säkerhetsfunktion LAGAR OCH ANDRA REGELVERK GRUNDSÄKERHET IT IT-SÄKERHETSARBETET INOM DRIFTGODKÄNNANDE... 8 c:\documents and settings\mnn\lokala inställningar\temporary internet files\olk18\it-säkerhetsplan.doc

2 1 INLEDNING Denna säkerhetsplan anger Höganäs kommuns mål för IT-säkerheten i det administrativa nätverket samt riktlinjer för hur dessa skall uppnås. Säkerhetsplanen kompletteras med systemsäkerhetsplaner för de enskilda datasystemen. Det övergripande ansvaret för Höganäs kommun datasystem åvilar kommunstyrelsen. Det operativa ansvaret för att varje enskilt datasystem uppfyller verksamhetens krav på säkerhet följer linjeorganisationen. Följande definitioner gäller i samtliga IT-säkerhetsunderlag inom kommunen: Infrastruktur Utrustning t.ex. fiberkabel, routrar, switchar, hubbar, kontakter, nätverkskort mm. som krävs för att upprätta kontakt mellan användares arbetsplats och en server. Verksamhetssystem Ett förvaltningsspecifikt datorsystem t.ex AdeEko, Respons eller ProCapita. Standardsystem Program och utrustning som är generellt oavsett förvaltning. Som exempel kan nämnas Microsoft Office, Outlook eller Internet Explorer. Säkerhetsplanen har upprättats som ett led i IT-säkerhetsarbetet. Arbetet har baserats på föreskrifter och allmänna råd om grundsäkerhet för samhällsviktiga datasystem (FA22). 2 MÅL FÖR INFORMATIONSSÄKERHETSARBETET Målen för Höganäs kommuns informationssäkerhetsarbete är att: samtliga datasystem inom Höganäs kommun skall uppnå grundsäkerhet enligt FA22, för varje datasystem skall, utöver grundsäkerheten, verksamhetsrelaterade krav och hotrelaterade krav fastställas i en systemsäkerhetsplan, säkerhetsåtgärder i datasystemen utformas och förvaltas på ett sådant sätt att kraven uppfylls, nödvändig kontroll av informationssäkerheten skall ske, bl.a. som underlag för verksamhetsplanering, säkerheten för varje system skall gås igenom vart tredje år, varje datasystem skall formellt driftgodkännas samt Höganäs kommun skall kunna utföra sina uppgifter på ett tillfredsställande sätt även under höjd beredskap. INFORMATIONSSÄKERHET - Sida 2 -

3 3 RIKTLINJER FÖR ATT UPPNÅ MÅLEN 3.1 Allmänt För att uppnå målen krävs en effektiv samverkan mellan människor och teknik. Dessutom gäller att: gällande lagar, föreskrifter och författningar följs, all personal har kunskap om Höganäs kommuns informationssäkerhet, det finns tillgång till en gemensam, säker och väl definierad infrastruktur för datakommunikation, informationen skall vara tillgänglig löpande analysera hotbilden för varje enskilt datasystem 3.2 Ledning och ansvar för informationssäkerheten En fastställd ansvarsfördelning för datasystemsäkerheten är en avgörande förutsättning för Höganäs kommun att leva upp till sin säkerhetsplan. Säkerhetsansvaret följer den normala linjeorganisationen. Var och en, som är ansvarig för någon del av verksamheten, ansvarar också för informationssäkerheten inom sitt område. Nedan redovisas ansvarsfördelningen för olika rollinnehavare. I några fall kan samma person inneha flera av dessa roller, till exempel systemägare och verksamhetsansvarig Systemägare Systemägaren är förvaltningschefen som har det övergripande ansvaret inför ledningen för att datasystemet förvaltas på för verksamheten bästa sätt. Systemägaren fattar de avgörande besluten om datasystemets ny-, vidareutveckling eller avveckling inom ramen för resurstilldelningen för sin verksamhet. Systemägaren har, inom ramen för ledningens resurstilldelning, bl.a. ansvar för att säkerhetsinstruktion för datasystemet finns i de fall kraven överstiger grundsäkerhetskraven. Detta innebär att fastställa: en avbrottsplan för datasystemet dokumentation och användarhandledning för datasystemet vilket informationsinnehåll datasystemet skall ha organisation och befattningar som rör systemet vilka lagar och andra regelverk som gäller identifiera verksamhetens krav på datasystemet hotbilden för datasystemet INFORMATIONSSÄKERHET - Sida 3 -

4 Det innebär även att: att i samverkan med IT-avdelningen se till att systemet fungerar ihop med samverkade datasystem, att driftgodkänna datasystemet, att besluta om utbildning som rör systemet, att fatta beslut om utveckling av datasystemet ifråga om nya funktioner och samverka med IT-avdelningen då systemförändringar aktualiseras, att fatta beslut om systemets ekonomi vad som avser utveckling och användning samt tillsammans med IT-avdelningen vad som avser teknisk drift. Inom systemägarens område ligger också att svara för att behövliga licenser respektive eventuella tillstånd enligt datalagen, finns för datasystemet Verksamhetsansvariga Den verksamhetsansvarige ansvarar för själva informationen i systemet och att denna hanteras på ett från säkerhetssynpunkt tillfredställande sätt. Verksamhetsansvarig ansvarar för följande: vilka uppgifter som skall tillhandahållas enligt offentlighetsprincipen och hur detta skall ske, om och vilka delar av informationen som är sekretessbelagd, informationsinnehållet, beslut om enskilda användares behörighet till datasystemet, hur och av vem/vilka informationen skall registreras i systemet, att anmäla till systemansvarig när personal slutar eller av annat skäl skall ha ändrade behörigheter Systemansvarig Systemansvariga och ersättare utses av systemägare eller verksamhetsansvarig och är de personer i berörd verksamhet som har ansvaret för den dagliga användningen av datasystemet. Systemansvariga samverkar med IT-avdelningens systemadministratör för att säkerställa en säker och rationell daglig drift av systemet. Systemansvariga har som uppgift att: Systemansvariga utses av systemägaren eller verksamhetsansvarig och är den person i berörd verksamhet som har ansvaret för den dagliga användningen av systemet. De systemansvariga samverkar med de systemadministratörerna d.v.s. de tekniskt ansvariga på IT-avdelningen för att säkerställa en säker och rationell drift av systemet. INFORMATIONSSÄKERHET - Sida 4 -

5 Systemansvarig har till uppgift att: verkställa beslut som systemägaren fattar, dokumentera förslag till ändringar/utveckling av systemet, ge användarsupport beträffande verksamhetsrelaterade frågor i systemet, samverka med IT-avdelningen, genomföra erforderliga utbildningar i systemet, svara för användar- och behörighetsadministration samt delta i arbetet med säkerhetsfrågor som rör systemet IT-chefen IT-chefen är systemägare för Höganäs kommuns IT-infrastruktur och för de gemensamma systemen, IT-chefen har det övergripande ansvaret för att de olika datasystemens tekniska delar fungerar. IT-chefen samverkar med systemägare vad som avser drift och resursfördelning för ett datasystem. IT-chefen har följande ansvarsområden: att ett datasystem håller den tekniska och funktionella kvalitet som överenskommits med systemägaren, att i samråd med systemägaren, se till att systemet fungerar ihop med samverkande datasystem, att rutiner för säkerhetskopiering uppfyller systemägarens krav, att säkerhetskopierat material förvaras på ett betryggande sätt och kontrollerar att återläsningsrutiner fungerar, att reservrutiner, serviceavtal m.m. finns så att systemägarens krav på längsta tillåtna avbrottstid kan tillgodoses, att tillhandahålla teknisk support för användare (HelpDesk), att biträda systemägaren i avbrottsplaneringen, att se till att kompetens är tillgänglig för teknisk rådgivning till systemägaren då förändringar i systemet är aktuella, att svara för systemets ekonomi vad som beträffar dess del i den tekniska infrastrukturen, att nätverk och resursdatorer har tillräcklig kapacitet, att ansvara för systemets tekniska säkerhet, att ansvara för att IT-säkerheten ligger på en för det mest krävande datasystemets högsta säkerhetsnivå. INFORMATIONSSÄKERHET - Sida 5 -

6 3.2.5 Systemadministratör Systemadministratören tillhör IT-avdelningen och innehar den tekniska kompetensen. Systemadministratören ansvarar, tillsammans med systemansvarig, för att den dagliga driften upprätthålls enligt överenskommelse mellan systemägaren och IT-chefen. Systemadministratören har bl.a. följande uppgifter: registrera användare i systemet (infrastrukturen) med den behörighetsprofil som verksamhetsansvarig har beslutat, avregistrera användare från infrastrukturen efter verksamhetsansvarigs beslut, ansvara för, tillsammans med systemansvarig, att den dagliga driften upprätthålls enligt överenskommelse mellan den operativa verksamheten och IT-avdelningen, tillhandahålla teknisk support till systemansvarig och användare samt delta i arbetet med säkerhetsfrågor som rör den tekniska infrastrukturen Användare Varje användare ansvarar för att gällande regler för IT-säkerhet följs. I detta ansvar ingår även att noga ta del av och följa de säkerhetsinstruktioner som finns för de datasystem den enskilde användaren använder. I ansvaret ingår även att till överordnad chef rapportera olika former av incidenter, t.ex. misstänkt virusangrepp IT-säkerhetsfunktion IT-chefen understödjer arbetet med att uppnå säkerhetsplanens mål. Detta kan innebära aktivt deltagande i projekt, etablerande av interna och externa kontaktnät, utvärdering och deltagande i diskussioner kring metoder, plattformar, applikationer eller datasystem. IT-chefen kan sägas arbeta som konsult åt verksamheten. Det är dock alltid upp till verksamheterna att välja på vilket sätt och med vilka resurser man vill uppnå målen. Revision av säkerhetsarbetet skall genomföras av externa konsulter vart annat år efter särskild plan och upphandling. IT-chefen samordnar informationssäkerhetsarbetet inom Höganäs kommun och har till uppgift att: vara rådgivande till systemägarna i informationssäkerhetsfrågor, biträda systemägarna vid upprättande av; systemsäkerhetsplan säkerhetsinstruktioner avbrottsplanering för verksamheten säkerhetsgranskning inför driftgodkännande INFORMATIONSSÄKERHET - Sida 6 -

7 upprätta avbrottsplan för infrastrukturen och driftmiljön, ansvara för teknisk säkerhet, biträda vid utbildning i informationssäkerhetsfrågor samt samordna rapportering och uppföljning av incidenter 4 LAGAR OCH ANDRA REGELVERK Ramarna för Höganäs kommun informationssäkerhetsarbete sätts utifrån lagar och andra regelverk. Dessa anger bland annat villkoren för de övergripande säkerhetskrav som ställs på verksamheten och därmed även på hanteringen av information i datasystem. Detta omfattar bland annat: skyddet av den personliga integriteten, offentlighetsprincipen gäller med undantag för att sekretessbelagd information skall skyddas mot otillbörlig åtkomst, olika intressenters krav på korrekt information och allmänhetens lagliga rätt till insyn i offentliga handlingar samt speciallagstiftning Personuppgiftslagen, PuL 5 GRUNDSÄKERHET IT Som grund för Höganäs kommuns informationssäkerhet gäller föreskrifter och allmänna råd om grundsäkerhet FA22. Dessa har kompletterats utifrån Höganäs kommuns behov och gäller nu som lägsta säkerhetsnivå i organisationen. 6 INFORMATIONSSÄKERHETSARBETET INOM HÖGANÄS KOMMUN Informationssäkerhetsarbetet inom Höganäs kommun skall följa den process i säkerhetsarbetet som baseras på FA22. FA22 är uppbyggt så att det indirekt anger en logisk arbetsprocess för informationssäkerhetsarbetet. INFORMATIONSSÄKERHET - Sida 7 -

8 Detta innebär att: Utgående från säkerhetsplanen tas en systemsäkerhetsplan fram för varje enskilt datasystem. I systemsäkerhetsplanen identifieras, utöver den lägsta säkerhetsnivån som gäller för Höganäs kommun, även krav i lagar och andra regelverk, verksamhetsrelaterade krav och hotrelaterade krav. Systemsäkerhetsplanen fastställs av systemägaren. Med utgångspunkt från säkerhetsplanen och systemsäkerhetsplanen tas säkerhetsinstruktioner fram. I säkerhetsinstruktionerna fastställer systemägaren vilka säkerhetsregler som gäller. För varje enskilt datasystem skall en avbrottsplan upprättas. Beredskapsplanen för Höganäs kommun skall innehålla en beskrivning av lägsta behov av IT-stöd under höjd beredskap Nödvändiga säkerhetsåtgärder vidtas för att tillgodose kraven i systemsäkerhetsplanen För att kontrollera att vidtagna säkerhetsåtgärder i datasystemet uppfyller ställda krav genomförs en granskning av befintliga säkerhetsåtgärder. Denna granskning ligger till grund för beslut om driftgodkännande av datasystemet. Systemägaren driftgodkänner datasystemet 7 DRIFTGODKÄNNANDE Systemägaren skall besluta om driftgodkännande av varje enskilt datasystem. Av beslutet skall framgå hur kraven på grundsäkerhet är tillgodosedda samt hur systemsäkerhetsplanen i övrigt tillgodoses. Beslut om driftgodkännande skall dokumenteras. Alla system inom Höganäs kommun skall ha en sådan säkerhet att de kan driftgodkännas. INFORMATIONSSÄKERHET - Sida 8 -