Elektronisk informationssäkerhet. Riktlinjer för Användare - anställda och förtroendevalda. Eslövs kommun

Transkript

1 Elektronisk informationssäkerhet Riktlinjer för Användare - anställda och förtroendevalda Eslövs kommun Dokumentet Riktlinjer för användare anställda och förtroendevalda är antaget av kommunstyrelsens arbetsgivarutskott den [åååå-mm-dd] att gälla från och med [åååå-mm-dd]. Det riktar sig till alla anställda och förtroendevalda i Eslövs kommun. Ses över för revidering senast september Kontaktperson: estrateg, Kommunikationsavdelningen.

2 2 (11) 1 ELEKTRONISK INFORMATIONSSÄKERHET POLICY OCH RIKTLINJER DITT ANSVAR SOM ANVÄNDARE UTBILDNING I ELEKTRONISK INFORMATIONSSÄKERHET ÅTKOMST OCH BEHÖRIGHET INLOGGNING LÖSENORD Lösenord till Eslövs kommuns interna IT-nätverk: Byte av lösenord till Eslövs kommuns interna IT-nätverk ska ske: OM DU LÄMNAR ARBETSPLATSEN UTRUSTNING OCH PROGRAMVAROR KLASSNING OCH HANTERING AV INFORMATION KLASSNING AV INFORMATION Dataintrång LAGRING AV INFORMATION INTERNET OCH E-POST BEGRÄNSNINGAR AV INTERNET- OCH E-POSTANVÄNDANDE SÄKERHETSRELATERADE IT-INCIDENTER, VIRUS MM VIRUSVARNING Virus via mail Virus på datorn MISSTANKE OM VIRUS BYTE ELLER AVSLUT AV ANSTÄLLNING BILAGA 1: RUTINER FÖR KONTROLL AV ANVÄNDARES INTERNET- OCH E-POSTANVÄNDNING KONTROLL AV INNEHÅLL I E-POSTMEDDELANDEN BILAGA 2: DITT ANSVAR SOM CHEF... 11

3 3 (11) 1 Elektronisk informationssäkerhet policy och riktlinjer Styrande dokument för arbetet med elektronisk informationssäkerhet i Eslövs kommun är Policy för elektronisk informationssäkerhet samt Riktlinjer för Användare, Förvaltning samt Kontinuitet och drift. Riktlinjer för Användare anställd och förtroendevald utgår från Policy för elektronisk informationssäkerhet och beskriver hur du som användare ska verka för att upprätthålla en god elektronisk informationssäkerhet. Dessa riktlinjer omfattar, utan undantag, alla anställda och förtroendevalda inom alla verksamheter. Det finns inte utrymme att besluta om lokala regler som underskrider dessa riktlinjer. Riktlinjer för övriga användare, till exempel olika elevkategorier, brukare, datoranvändare bibliotek, behandlas i separata riktlinjer. Ansvaret för upprätta dessa riktlinjer åligger respektive verksamhet. 1.1 Ditt ansvar som användare Elektronisk information är en viktig tillgång för Eslövs kommun. För att skydda denna krävs ett säkerhetsmedvetande hos alla användare. Som användare har du alltså en del i ansvaret för säkerheten i den elektroniska informationshanteringen. 1.2 Utbildning i elektronisk informationssäkerhet För att du som användare ska kunna upprätthålla den elektroniska informationssäkerheten ska du regelbundet ta del av nödvändig kompetensutveckling. 2 Åtkomst och behörighet Eslövs kommuns interna IT-nätverk samt enskilda IT-verksamhetssystem är utrustade med behörighetskontrollsystem för att säkerställa att endast behöriga användare kommer åt informationen. De behörigheter du blir tilldelad beror på dina arbetsuppgifter och avgörs av din chef. 2.1 Inloggning Innan du första gången loggar in får du av IT-avdelningen ett engångslösenord för åtkomst till Eslövs kommuns interna IT-nätverk. Engångslösenordet ska du byta till ett personligt lösenord efter första inloggningen. Samma förfarande gäller för enskilda IT-verksamhetssystem som kräver lösenord för åtkomst.

4 4 (11) 2.2 Lösenord Lösenord är strängt personliga och ska hanteras därefter. Du skall därför: inte avslöja ditt lösenord för andra eller låna ut din behörighet skydda lösenordet väl omedelbart byta lösenordet om du misstänker att någon känner till det Du lämnar spår efter dig när du är inloggad i Eslövs kommuns interna IT-nätverk och de enskilda IT-verksamhetssystemen. Loggningsfunktionerna som finns används för att spåra obehörig åtkomst. Detta för att skydda information men också för att undvika att oskyldiga misstänks om oegentligheter inträffar Lösenord till Eslövs kommuns interna IT-nätverk: ska vara minst åtta tecken långt ska bestå av en blandning av siffror, specialtecken, stora och små bokstäver får inte återanvändas Byte av lösenord till Eslövs kommuns interna IT-nätverk ska ske: var 90:e dag, en dialogruta visas på skärmen när det är dags för enskilda IT-verksamhetssystem efter ett visst tidsintervall som bestäms av respektive systemägare omedelbart om du misstänker att någon annan känner till det. Du får inte använda samma lösenord till dina användarkonton i Eslövs kommun som till dina privata konton (Facebook, Twitter, Hotmail, Bilddagboken etc). Efter tio misslyckade försök att logga in låses ditt konto. Ta då kontakt med Helpdesk eller av Helpdesk godkänd person för att få ett nytt engångslösenord. Riktlinjer för lösenord till Eslövs kommuns enskilda IT-verksamhetssystem bestäms av respektive systemägare. 2.3 Om du lämnar arbetsplatsen Vid tillfällen när du inte har uppsikt över arbetsplatsen ska du logga ut alternativt låsa din arbetsstation. Om du delar dator/tunn klient med andra ska du logga ut. Dator: CTRL+ALT+DEL och klicka sedan på LOGGA UT Tunn klient: CTRL+ALT+END och klicka sedan på LOGGA UT

5 5 (11) Om du är ensam om din dator kan du låsa den. Dator: CTRL+ALT+DEL och klicka sedan på LÅS DATORN Tunn klient: CTRL+ALT+END och klicka sedan på LÅS DATORN 3 Utrustning och programvaror IT-avdelningens kontaktuppgifter: helpdesk@eslov.se eller (6)2888. För den utrustning som du förfogar över; tunn klient, stationär PC och/eller bärbar PC med tillhörande utrustning gäller: Inköp av IT-relaterad arbetsplatsutrustning ska göras via IT-avdelningen. Beställningen ska alltid göras skriftligen (via beställningsformulär på Ekis eller via mail) av behörig beställare och med angivande av giltigt IDnummer. Utrustning som kopplas i kommunens interna IT-nätverk ska vara godkänd av IT-avdelningen. Nätverksansluten utrustning kan flyttas enbart efter kontakt med ITavdelningen. Installation av system/applikationer/program i kommunens interna ITnätverk sker i samarbete med IT-avdelningen. Fel ska omgående anmälas till IT-avdelningen. Det är inte tillåtet att kopiera eller använda Eslövs kommuns program utanför kommunens verksamhet. För stöd och hjälp när det gäller användningen av enskilda ITverksamhetssystem kontaktar du aktuell systemadministratör. Har du problem med din dator ska du kontakta IT-avdelningen. 4 Klassning och hantering av information 4.1 Klassning av information All information, även arbetsmaterial, måste klassas oberoende av lagringsmedia. Klassningen görs utifrån Eslövs kommuns klassningsmodell för information. En pappersbunden handling och digital handling med samma innehåll ska alltså klassas på samma nivå. Klassningen utgår från de konsekvenser som kan bli följden av brister med avseende på informationens riktighet, tillgänglighet, sekretess och spårbarhet. Konsekvenserna kan vara brott mot lagstiftning, skada för medborgare och anställda eller av ekonomisk karaktär.

6 6 (11) Dataintrång Användare som har behörighet och tillgång till IT-verksamhetssystem, dataregister eller databas får endast kontrollera och ta del av uppgifter som har samband med arbetsuppgifterna. Den användare som till exempel kontrollerar sekretessklassade uppgifter om vänner, bekanta eller andra personer av eget intresse och utan samband med arbetsuppgifterna begår dataintrång. 4.2 Lagring av information Information som du lagrar på Eslövs kommuns gemensamma lagringsenheter säkerhetskopieras enligt Eslövs kommuns standard. Säkerhetskopiering sker en gång per arbetsdygn och omfattar förändringar sedan föregående tillfälle. En total säkerhetskopiering sker en gång per månad. Du kan välja att lagra på H:, G: eller O:. H: (Hemkatalog) är din personliga enhet som du kan använda för lagring av personligt arbetsmaterial. Om du väljer H-enheten kommer inte någon annan än du själv åt informationen. O: (Organisationskatalog) är en enhet för lagring av information som du och medarbetarna på din förvaltning har tillgång till. G: (Gemensam katalog) är en enhet för lagring av information som alla användare i Eslövs kommun har tillgång till. I vissa fall kan ytterligare enhetsbeteckningar finnas. Eftersom det inte tas någon säkerhetskopiering på din lokala hårddisk (C:) så bör du inte lagra på denna. Vid diskkrasch, brand, stöld etc förlorar du information och riskerar också att information hamnar i orätta händer. 5 Internet och e-post När du mailar eller surfar på Internet representerar du Eslövs kommun och lämnar spår efter dig i form av e-postadress respektive IP-adress som tillhör Eslövs kommun. Dessutom kan säkerheten i Eslövs kommuns lokala nätverk påverkas i mycket hög grad beroende på ditt beteende. Det är av dessa skäl som det finns begränsningar av avvändandet av Internet och e-post. Internet och e-post är arbetsverktyg och får för privat bruk användas bara i sådan omfattning att det inte inkräktar på arbetet eller medför onödiga kostnader för arbetsgivaren. Vad som gäller för bevakning av e-post, registrering etc finns att läsa på intranätet under LAGAR OCH REGLER E-POSTREGLER.

7 7 (11) 5.1 Begränsningar av Internet- och e-postanvändande Det är INTE tillåtet att besöka sidor med innehåll som strider mot Eslövs kommuns värderingar, t ex: besöka webbplatser med extrempolitiskt, rasistiskt, våldsinriktat eller pornografiskt innehåll besöka webbplatser med diskriminerande innehåll (religion, kön, sexuell identitet etc) besöka webbplatser som har anknytning till kriminell verksamhet I de fall då du i arbetet, t ex vid utredningar och omvärldsanalyser, har behov av att besöka sidor som normalt är förbjudna ska detta, i förväg, anmälas till samt godkännas av din chef. För din egen säkerhet ska du INTE använda din privata e-legitimation, logga in på banken eller handla/betala privat från det kommunens interna IT-nätverk. Rutiner för kontroll av användares Internet- och e-postanvändande - se bilaga. 6 Säkerhetsrelaterade IT-incidenter, virus mm Eslövs kommun rapporterar säkerhetsrelaterade IT incidenter till SITIC 1. Om du misstänker att någon använt din användaridentitet och lösenord eller att du varit utsatt för någon annan typ av incident ska du: omedelbart anmäla förhållandet till IT-avdelningen notera när du upptäckte incidenten notera när du senast var inne i Eslövs kommuns interna IT-nätverk och aktuellt IT-verksamhetssystem dokumentera alla iakttagelser i samband med upptäckten och försöka fastställa om riktigheten på din information har påverkats. Om du upptäcker fel och brister i de IT-verksamhetssystem du använder ska du rapportera dessa till aktuell systemadministratör. 1 SITIC, Sveriges IT-incidentcentrum, är en nationell funktion med uppgift att stödja samhället i arbetet med att hantera och förebygga säkerhetsrelaterade IT-incidenter. SITIC är en del av MSB, Myndigheten för samhällsskydd och beredskap.

8 8 (11) 6.1 Virusvarning Virus via mail När Eslövs kommuns viruskydd har kategoriserat ett mail som virus skickas oftast ett mail till dig, se nedan. Bifogat i detta mail finns orginalmailet. Du kan titta på originalmailet men inte öppna den bifogade originalfilen Virus på datorn När vårt virusprogram F-secure hittar ett virus, spionprogram eller liknande kommer nedanstående ruta upp. De skadliga filerna är då borttagna och risken för vidare spridning är därmed borta.

9 9 (11) Det finns ytterligare alternativ då F-secure frågar vad du vill göra med en fil som misstänks vara skadlig. Rekommendationen är att lägga filen i karantän. Men vet du vad det är för fil så bör du välja ta bort direkt. Är du det minsta osäker så kontakta Helpdesk, anknytning 2888! 6.2 Misstanke om virus Eslövs kommun har programvaror för viruskontroll både i de tunna klienterna, de stationära och bärbara datorerna samt i nätverket, men kan ändå drabbas av virus. Om du misstänker att din dator innehåller virus ska du: dra ut nätverkskabeln, men låta datorn vara på omedelbart anmäla förhållandet till IT-avdelningen. OBS! Anmälan ska ske per telefon, inte per e-post. Tänk på att kringutrustning (digital kamera, mobiltelefon, USB-minne med mera) lätt blir virusbärare eftersom de överför information mellan olika datorer. 7 Byte eller avslut av anställning När du byter anställning/roll alternativt slutar din anställning i Eslövs kommun ansvarar du för att rådgöra med din chef om vilket av ditt arbetsmaterial som ska sparas. Arbetsmaterialet som du framställt är Eslövs kommuns egendom och får inte tas med utan chefs godkännande.

10 10 (11) 1 Bilaga 1: Rutiner för kontroll av användares Internet- och e-postanvändning All användning av Internet i Eslövs kommun ska registreras i en logg med uppgifter om användarnamn, internetadress samt tidpunkt. Även all e-post i Eslövs kommun ska registreras i en logg med uppgifter om avsändare, mottagare, ämnesfält, tidpunkt, storlek på meddelandet samt namn på bifogade filer. Arbetsgivaren utövar ingen kontroll över användarnas e-postmeddelanden eller användning av Internet men kan dock i enskilda fall komma att kontrollera om det är nödvändigt, t.ex. vid fara för den elektroniska informationssäkerheten, för att utreda misstanke om brott eller misstanke om att dessa riktlinjer inte följs. Vid fara för den elektroniska informationssäkerheten fattas beslut om kontroll av kommunens säkerhetschef i samråd med såväl IT-chef som personalchef. Vid misstanke om brott eller misstanke om att dessa riktlinjer inte följs fattas beslut om kontroll av personalchef. Informationen som framkommer kommer endast att lämnas till beställaren för vidare hantering. Kontroll kan också komma att göras i fall då belastningen är onormal, till exempel som ett led i felsökning vid IT-incidenter etc. Beslut kan då fattas av ITchef. Uppgifter som ligger till grund för kontroll av användares Internet- och e- postanvändning gallras efter tre månader. Om en utredning påbörjas bevaras uppgifterna dock så länge utredningen pågår. 1.1 Kontroll av innehåll i e-postmeddelanden Arbetsgivaren kan komma att ta del av e-postmeddelanden om det är nödvändigt för att uppfylla Eslövs kommuns skyldigheter, till exempel om allmänna handlingars offentlighet, om det är nödvändigt vid fara för den elektroniska informationssäkerheten, till exempel vid virus- och hackerangrepp, eller för att utreda och förhindra brott. Vid uppsägning kommer arbetsgivaren att, i samråd med användaren, ta del av den uppsagdes e-postmeddelanden. Detsamma gäller för användares e- postmeddelanden efter längre tids sjukdom.

11 11 (11) 2 Bilaga 2: Ditt ansvar som chef Kompetensutveckling elektronisk informationssäkerhet Ansvara för att dina medarbetare fortlöpande erhåller nödvändig kompetensutveckling för att upprätthålla den elektroniska informationssäkerheten. Åtkomst och behörighet under anställning Ansvara för att dina medarbetare har rätt behörighet till Eslövs kommuns interna IT-nätverk till lagringsenheterna (H, O och G) för åtkomst till Eslövs kommuns enskilda IT-verksamhetssystem Informationsklassning och lagar Ansvara för att dina medarbetare får information om klassningsnivå för informationen i respektive IT-verksamhetssystem. gällande lagar och påföljder vid överträdelse Åtkomst och behörighet vid byte eller avslut av anställning Ansvara för att medarbetarens behörighet till Eslövs kommuns interna IT-nätverk ändras alternativt avslutas. behörigheter till lagringsenheterna (H, O och G) ändras alternativt avslutas. behörigheter för åtkomst till Eslövs kommuns enskilda ITverksamhetssystem ändras alternativt avbeställs. Vid service på, överlåtelse, omflyttning eller kassering av utrustning Ansvara för att dina medarbetares utrustning lämnas till IT-avdelningen för borttagning av känslig information alternativt destruktion. Utlånad utrustning Ansvara för att dina medarbetare återlämnar IT-relaterad utrustning som tillhör Eslövs kommun t. ex. säkerhetsnyckel och annan kringutrustning.