IT-säkerhetsinstruktion Förvaltning

Transkript

1 IT-säkerhetsinstruktion Förvaltning

2 IT- S Ä K E R H E T S I N S T R U K T I O N IT-säkerhetsinstruktion Finspångs kommun Finspång Telefon Fax E-post: kommun@finspang.se Webbplats:

3 Detta dokument Det skall vara en naturlig del i informationssäkerhetsarbetet att regelmässigt se till att förvaltningsrutiner uppdateras vid förändringar. De dokument som behandlar förvaltningsrutiner är styrande dokument och hanteras som sådana. Detta dokument redovisar hur förvaltning av kommunens IT-system skall utföras och bygger på Finspångs kommuns IT-säkerhetspolicy. Uppslagsverk Se gärna dessa dokument (IT-säkerhetspolicy, IT-Guiden, ITsäkerhetsinstruktion förvaltning och IT-säkerhetsinstruktion drift) som ett uppslagsverk och en viktig källa till hur IT-systemen och informationen får användas. Saknar du någon information eller vill du veta mer så tveka inte att kontakta IT-funktionen eller närmaste chef. 2

4 IT-säkerhetsinstruktion Förvaltning är en del i kommunens lednings- och kvalitetsprocess 3

5 IT-säkerhetsutbildning Information och utbildning inom IT-säkerhetsområdet skall ges alla medarbetare och omfatta: IT-säkerhetens betydelse för verksamheten innehållet i kommunens IT-säkerhetspolicy tillämpliga delar av innehållet i IT-säkerhetsinstruktionerna Förvaltning, Drift och i IT-guiden. Nya medarbetare skall ges grundläggande säkerhetsutbildning i samband med tilldelning av behörighet i nätverket. Systemägare ansvarar för: att egna medarbetarna erhåller information och utbildning om innehållet i de systemsäkerhetsplaner de är berörda av att medarbetare, före tilldelning av behörighet, har tillräckliga kunskaper om säkerhetsreglerna för de IT-system de behöver för att utföra sina arbetsuppgifter. Varje enskild medarbetare har ett ansvar att påtala det egna behovet av utbildning. Systemägarnas krav på avbrotts- och katastrofplanering skall vara samordnade i organisationens kontinuitetsplaner. Särskilda rutiner Åtkomst till IT-resurser För att säkerställa att endast behöriga användare förekommer i IT-systemen skall följande rutiner gälla: Behörighetsadministration Beställning av åtkomst till kommunens nätverk samt verksamhetssystemen skall ske enligt instruktion på Finspånätet under rubriken IT-stöd. Beställningen ska göras av verksamhetsansvarig chef. Aktuell medarbetare får därefter tillgång till kommunens nätverk och de verksamhetssystem som beställts. (Samma förfarande skall användas när konsulter eller andra utför arbete i kommunens IT-system). 4

6 Behörighetskontroll Leverantörsbehörigheter och lösenord skall förvaras inlåsta enligt Finet ITservice interna rutiner. För att förhindra att de kan användas i IT-systemen skall de ändras minst 2 ggr/år. Vid allt arbete i kommunens tekniska infrastruktur bör autentisering ske med smarta kort. Loggning och spårbarhet Systemägarnas krav på loggning skall framgå av de systemsäkerhetsplaner som respektive systemägare upprättar. Informationsklassning Regler för klassning av information framgår av IT-Guiden. Skyddade identiteter Speciella rutiner skall upprättas och dokumenteras för att säkerställa att inte skyddade identiteter hanteras på ett oaktsamt sätt så att inte kommunen eller tredje part lider skada Drift och förvaltning av IT-system Inför den årliga verksamhetsplaneringen inventerar systemägaren verksamheternas behov av IT-stöd. Systemägaren analyserar och klassificerar behoven inom områdena (införande, förvaltning, drift eller avveckling) och sätter mål för kommande verksamhetsår (om möjligt i prioritetsordning). Införande av IT-system När behov av ett IT-system identifierats i verksamheten skall sektorschefen se till att en projektplan utformas för införande. Denna plan skall omfatta följande (i tillämpliga delar): verksamhetens beskrivning av behov och mål med anskaffningen en inledande risk- och sårbarhetsbedömning Risk- och sårbarhetsbedömningen är ett viktigt underlag för den kravspecifikation som skall upprättas och syftar bl.a. till att klarlägga de säkerhetskrav som verksamhetens ställer i form av: o krav på säkerhet avseende sekretess, riktighet och tillgänglighet o rättsliga, verksamhets- och hotrelaterade krav o kommunikationsberoende (internt och externt) o reservrutiner mm kravspecifikation. Kraven från risk- och sårbarhetsbedömningen utökas med bl a: o integrationskrav med andra system o krav vid införande 5

7 o krav på test och acceptans o ytterligare krav som skall gälla fram till den tidpunkt då den tilltänkte systemägaren övertar ansvaret och systemet övergår till systemförvaltning. o tidplan o resurser (personella och ekonomiska) o när och hur uppföljning, utvärdering och avrapportering skall ske o när och hur medarbetarna skall informeras och utbildas. Upphandling o en upphandling görs med beaktande av lagen om offentlig upphandling o tillämpliga ramavtal skall användas o om möjligt skall standardprodukter användas. Inför Drift och förvaltning Ansvarig för nyanskaffningsprojekt förbereder överlämnandet från test och utveckling till drift och förvaltning tillsammans med den tilltänkte systemägaren. Beslut om tidpunkt från vilken systemet övergår från projekt till förvaltning fattas av systemägaren på ett driftsättningsmöte. I och med detta övergår ansvaret till systemägaren som då också övertar all dokumentation. Om systemet bedöms som samhällsviktigt eller verksamhetskritiskt skall dessutom en systemsäkerhetsplan upprättas. Driftgodkännande Driftgodkännande avser den process som syftar till att fastställa om ett ITsystem uppfyller ställda säkerhetskrav. I samband med att en systemsäkerhetsplan upprättas granskas om ITsystemet uppfyller: basnivå de tilläggskrav som ställs utifrån rättsliga, verksamhetsspecifika och hotrelaterade krav. Systemägaren beslutar om driftgodkännande. Beslutet baseras på en granskning och säkerhetsutvärdering som bygger på jämförelse mellan verksamheternas krav och vidtagna säkerhetsåtgärder. Driftgodkännandeprocessen relateras till aktuell systemsäkerhetsplan och skall omfatta: avgränsningar granskning av säkerhetsåtgärder i IT-systemet utvärdering av granskningen i förhållande till systemsäkerhetsplanens krav 6

8 redovisning av beslutsunderlag samt beslut att driftgodkänna IT-systemet Systemförvaltning Med systemförvaltning avses samtliga aktiviteter som görs för att styra, administrera och verkställa förändringsarbetet av redan existerande objekt och stödja användandet (utveckla, ändra, rätta, uppdatera, komplettera m.m.) Systemägaren ansvarar för systemets ekonomi inom ramen för ledningens resurstilldelning. För att kunna följa kostnadsutvecklingen på ett effektivt sätt upprättar systemägaren, i samråd med systemförvaltaren, en systemförvaltningsbudget som omfattar en utvecklings- och en driftbudget. Dessa upprättas inför verksamhetsplaneringen När information om systemets funktionella och tekniska krav är framtaget så måste det även göras en konsekvensbedömning om vad förändringen innebär i integration med förändringen i systemet samt en tid- och kostnadskalkyl. Vid beslut om systemförvaltning upprättas en driftsättningsplan som skall omfatta: Kommunens driftsättningsdokument för nya system (Bilaga 1) Finet IT-service driftsättningsdokument för nya system (Bilaga 2) Driftsdokumentation för det nya systemet Systemsäkerhetsplan Drift Kommunens regler för systemdrift finns samlade i dokumentet ITsäkerhetsinstruktion Drift. Avveckling av IT-system IT-system som inte längre behövs för verksamheten skall avvecklas snarast. Systemägare skall efter samråd med sektorschefen besluta om och när ett IT-system skall avvecklas. Vid avveckling skall särskilt uppmärksammas: rättsliga regler såsom Arkivlagen, PUL vad skall tas ut ur systemet före avveckling (på papper eller media) innehåller systemet ärenden vilka behöver avslutas i diariet behöver återläsning av innehåll kunna ske längre fram behöver uppgifter flyttas över till annat IT-system destruktion av media som innehållit information 7

9 regler för destruktion av media som innehållit sekretessbelagd information. IT-incidenthantering Att återkoppla erfarenheter från incidenter av olika slag är ett viktigt moment när det gäller att spåra brister och svagheter i IT-verksamheten. Riktlinjer för hur incidenter följs upp är därför angelägna. Följande gäller: vid misstanke om intrång eller andra incidenter skall användare agera enligt IT-Guiden. IT-funktionen sammanställer och rapporterar till Arena IT vid intrång och försök till intrång vid brott mot lagstiftning och internt regelverk vid incidenter som orsakar eller skulle kunna orsaka betydande avbrott och störningar. Tillträdesskydd Chefen för IT-service skall besluta om vilka som skall ha tillträde till datorrum. För att kunna följa upp detta skall besök vara registrerade. Se vidare IT-säkerhetsinstruktion Drift. Säkerhetskopiering och lagring Systemägarnas krav på säkerhetskopiering och lagring för de egna systemen skall framgå av de systemsäkerhetsplaner som respektive systemägare upprättar. Kraven i dessa planer skall vara koordinerade i systemsäkerhetsplan för IT-infrastrukturen. Se vidare IT-säkerhetsinstruktion Drift. Upprättade dokument och handlingar skall lagras i kommunens arkivstruktur. Avveckling av datamedia Datamedia med sekretessbelagd information som skall avvecklas överlämnas till IT-service som hanterar avvecklingen. 8

10 Datakommunikation Intern kommunikation Kommunens LAN, kommunnätverket, skall vara väl dokumenterat. Endast personal eller godkända konsulter (med smarta kort om detta finns) bör ges behörighet att utföra arbete i nätverket. Externa anslutningar Kommunen är för sin verksamhet beroende av datakommunikation med andra kommuner och centrala myndigheter med verksamhetssamband samt med Internet. Följande riktlinjer gäller: för att försvåra för obehöriga att göra intrång i kommunens datasystem via externa anslutningar skall det finnas en brandvägg installerad kontroller skall ske av vem som får komma ut och vem som får släppas in en kontrollista på vilka nätverksadresser och IP-portar som är tillåtna skall användas för att filtrera bort onödig trafik användningen av tjänster i kommunnätverket skall fastställas och dokumenteras vad gäller kommunikationsriktning, vilka protokoll som skall stödjas samt vilka applikationer som använder protokollen anslutning till publika nät får endast upprättas efter godkännande av systemägaren för kommunnätverket tjänster i kommunnätverket skall vara reglerade i samarbetsavtal användningen av kommunnätverket skall följa särskild säkerhetsinstruktion utfärdad av systemägaren för kommunnätverket. Distansarbete, extern anslutning och mobil datoranvändning Systemägaren beslutar om ett IT-systems information skall få hanteras på distans med stationär eller mobil utrustning. Distansarbete skall vara reglerat i avtal mellan kommunen och den anställde. För annan extern anslutning och mobil datoranvändning finns särskilda riktlinjer. (Se även IT-Guiden). Användning av trådlös anslutning kräver särskilda säkerhetsåtgärder. Användningen av e-post och Internet Riktlinjer för användningen av internet och e-post framgår av IT-Guiden. I e-postsystemet finns en loggningsfunktion där inkommande och utgående e-post registreras så att alla meddelanden kan spåras. Loggning sker av internettrafiken för att möjliggöra spårning av intrång och missbruk 9

11 Kontinuitetsplanering Av kommunens systemsäkerhetsplaner skall framgå de enskilda ITsystemens krav på avbrotts- och katastrofplanering. Kraven skall vara sammanställda i Kontinuitetsplan för IT-tjänster. 10