Rikspolisstyrelsens författningssamling

Transkript

1 Rikspolisstyrelsens författningssamling ISSN X Utgivare: chefsjuristen Lars Sjöström Rikspolisstyrelsens föreskrifter och allmänna råd om anskaffning, användning, utveckling och förändring av Polisens IT-system; beslutade den 6 juni RPSFS 2000:33 FAP Utkom från trycket den 28 juni 2000 Rikspolisstyrelsen föreskriver följande med stöd av 13 första stycket 5 och 6 förordningen (1989:773) med instruktion för Rikspolisstyrelsen och meddelar följande allmänna råd. 1 kap. Inledande bestämmelser 1 Dessa föreskrifter och allmänna råd innehåller bestämmelser om Polisens anskaffning, användning, utveckling och förändring av IT-system. Om det i en annan författning finns bestämmelser i form av föreskrifter som avviker från denna författning, skall de bestämmelserna gälla. 2 Dessa föreskrifter skall inte tillämpas vid behandling av sådana uppgifter som omfattas av sekretess enligt sekretesslagen (1980:100) till skydd för rikets säkerhet. Bestämmelser om behandling av sådana hemliga uppgifter som avses i 4 säkerhetsskyddsförordningen (1996:633) samt säkerhetsskydd i övrigt finns i Rikspolisstyrelsens föreskrifter (RPSFS 1996:9, FAP 244-1) om säkerhetsskydd. 3 Bestämmelser om grundsäkerhet i samband med Polisens informationsbehandling med hjälp av IT-system finns i Rikspolisstyrelsens föreskrifter (RPSFS 2000:34, FAP 174-1) om säkerhet vid informationsbehandling med hjälp av IT-system. 4 Bestämmelser om kommunikation mellan IT-system finns i Rikspolisstyrelsens föreskrifter (RPSFS 2000:35, FAP 174-2) om säkerhet vid kommunikation med hjälp av Polisens IT-system. 2 kap. Definitioner 1 I dessa föreskrifter avses med: användare: var och en som använder Polisens IT-system, oavsett vilken typ av behörighet eller arbetsuppgift personen har. En användare kan vara anställd eller uppdragstagare hos Polisen eller hos någon annan som medges direktåtkomst enligt författning eller Rikspolisstyrelsens beslut, 1

2 auktorisationsbeslut: ett dokumenterat beslut att ett IT-system får anskaffas eller utvecklas eller att större systemförändringar får göras, behandling (av uppgifter): varje åtgärd eller serie av åtgärder som vidtas i fråga om uppgifter, t.ex. insamling, registrering, organisering, lagring, bearbetning eller ändring, återvinning, inhämtande, användning, utlämnande genom översändande, spridning eller annat tillhandahållande av uppgifter, sammanställning eller samkörning, blockering, utplåning eller förstöring. driftinstruktion: en instruktion som beskriver hur ett IT-system skall hanteras och drivas för att verksamhets- och säkerhetskraven skall tillgodoses. drifttillstånd (ackreditering av IT-system): ett dokumenterat beslut att ett visst IT-system, med användning av en beskriven uppsättning säkerhetsfunktioner, är godkänt för drift från verksamhets- och säkerhetssynpunkt, informationsklassificering: indelning av information i klasser på grundval av skilda säkerhetskriterier, såsom hur skyddsvärd information är i tillgänglighets-, riktighets- eller sekretesshänseende, informationssäkerhet: egenskap eller förhållande som omfattar både administrativ säkerhet och IT-säkerhet vid hantering av information avseende önskad tillgänglighet, riktighet, sekretess och spårbarhet, IT-system: ett helt eller delvis automatiserat system, såsom radio-, telefoni-, datorkommunikations- och datorsystem, för behandling av uppgifter, IT-säkerhet: säkerhet i IT-system, myndighet: Rikspolisstyrelsen, polismyndigheterna och Statens kriminaltekniska laboratorium, personuppgifter: all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet, riktighet: den del av begreppet informationssäkerhet som innebär att behandlad information skall vara korrekt och fullständig, sekretess: den del av begreppet informationssäkerhet som innebär att innehållet i ett informationsobjekt endast får göras tillgängligt för behöriga personer, spårbarhet: den princip inom informationssäkerhet som innebär att det finns funktioner som gör det möjligt att härleda utförda operationer till enskilda personer, särskilt skyddsvärda uppgifter: uppgifter som omfattas av sekretess enligt sekretesslagen (1980:100) och personuppgifter som är känsliga enligt 13 personuppgiftslagen (1998:204) samt personuppgifter om lagöverträdelser enligt 21 samma lag, tillgänglighet: den del av begreppet informationssäkerhet som innebär att behöriga personer efter behov skall ha tillgång till information i förväntad utsträckning. 2

3 3 kap. Organisation, roller och ansvar för IT-system RPSFS 2000:33 Systemägare 1 Varje IT-system som används inom en myndighet skall ha en systemägare vid myndigheten. Systemägare kan vara myndighetschefen eller en av myndighetschefen utsedd anställd. Systemägaren skall ansvara för att säkerhet, ekonomi och användning i övrigt av systemet följer författningar och aktuella verksamhetskrav. Systemägaren skall ansvara för att IT-systemet har den förvaltningsorganisation i övrigt som behövs. Systemägaren kan i vissa fall även ha ansvar för anskaffning och drift av systemet. Särskilt utsedd systemägare (central systemägare) 2 För ett IT-system som används av flera myndigheter skall det finnas en särskilt utsedd systemägare. Den personen skall ansvara för att samordna anskaffning, förvaltning, ekonomi, säkerhet och användning i övrigt så att Polisens IT-system följer författningar och aktuella verksamhetskrav. Rikspolisstyrelsen eller berörd myndighet beslutar om särskild utsedd systemägare. Underlag för drifttillstånd samt systemspecifika föreskrifter 3 Den särskilt utsedde systemägaren skall ansvara för gemensamma delar av underlaget för beslut om drifttillstånd till de myndigheter som avser att använda IT-systemet. Den personen skall även vid behov föreslå systemspecifika föreskrifter och allmänna råd. Spridningsbeslut 4 För ett IT-system som har en särskilt utsedd systemägare skall beslut om drifttillstånd vid övriga myndigheter föregås av ett beslut om spridning av systemet vid den myndighet där den särskilt utsedde systemägaren finns. Chefen för driftorganisationen 5 Chefen för en driftorganisation skall ansvara för att de driftsatta ITsystemen hanteras enligt de driftinstruktioner som skall finnas för varje system samt för att nödvändig utrustning underhålls. 4 kap. Användning av IT-system Tillåten användning av IT-system 1 De IT-system som är avsedda för behandling av särskilt skyddsvärda uppgifter samt statens person- och adressregister (SPAR), passregistret, centrala bilregistret och centrala körkortsregistret får endast användas för att fullgöra tilldelade arbetsuppgifter. Andra IT-system än de ovan nämnda får, om myndigheten givit tillstånd till detta, i begränsad omfattning vid enstaka tillfälle användas för 3

4 angelägenhet av privat natur under förutsättning att användningen inte stör Polisens verksamhet. Alla IT-system som en myndighet tillhandahåller är arbetsredskap och myndigheten har, om inte annat i särskilt fall avtalats, rätt att bereda sig tillgång till och förfoga över samtliga i systemen behandlade uppgifter. 2 En användare får inte utnyttja Polisens IT-system eller IT-utrustning på ett sådant sätt att systemet eller utrustningen skadas eller att andra användares tillgång till dessa hindras eller äventyras. Driftpersonal får dock vid behov vidta sådana åtgärder som kan medföra att användares tillgång till IT-system förhindras. Unika individuella identiteter bör tilldelas alla användare om inte myndighetschefen, eller den myndighetschefen utser, fattar ett dokumenterat beslut om att detta av särskilda skäl inte behövs för ett visst IT-system. Användarens informationsklassificering 3 Varje användare skall tillämpa den modell för informationsklassificering som Rikspolisstyrelsen fastställt. Varje användare skall utnyttja funktioner för märkning av informationsklassificering, i ITsystem där sådana finns. Utbildning och demonstrationer 4 Utbildning i och demonstrationer av IT-system som är avsedda för behandling av särskilt skyddsvärda uppgifter får endast ske med utbildningssystem som enbart innehåller fingerade uppgifter. Utbildning i och demonstrationer av IT-system som är avsedda för behandling av andra personuppgifter får endast ske om det kan göras utan risk för integritetsintrång. Kvalificerad vidareutbildning i användning av IT-system under ledning av särskilt utsedd personal får ske med verkliga uppgifter. I samband med utbildning i användning av ett IT-system bör information ges om de föreskrifter och allmänna råd som gäller för användningen av det aktuella systemet. 5 kap. Utveckling, anskaffning och förändring av IT-system Auktorisationsbeslut 4

5 1 Utveckling, anskaffning och större förändring av IT-system får inte påbörjas utan att myndighetschefen, eller den myndighetschefen utser, har gett sitt tillstånd (auktorisation). I tillståndet skall kraven på informationssäkerhet anges. RPSFS 2000:33 Ett tillstånd till utveckling, anskaffning eller större förändring bör föregås av samråd med Rikspolisstyrelsen. Av underlaget för tillståndet bör förutom informationssäkerhet även framgå verksamhetskrav på IT-systemet, kostnads- och tidsuppskattningar samt förväntade verksamhetseffekter. Systemutveckling 2 Den som ansvarar för utveckling av ett IT-system skall ansvara för att systemet kommer att uppfylla de verksamhets- och säkerhetskrav som ställs på systemet och dess informationsbehandling när det levereras eller överlämnas. 3 Under utvecklingen av ett IT-system skall regelbunden uppföljning göras för att kontrollera att verksamhets- och informationssäkerhetskraven uppfylls. Systemägarens informationsklassificering 4 Systemägaren skall ansvara för att informationsklassificering genomförs och dokumenteras för den information som avses bli behandlad i ett ITsystem. Om informationsklassificering inte görs, skall detta motiveras och dokumenteras. Systemägaren skall ansvara för att systemet, där så är lämpligt, innehåller funktioner för märkning av informationsklassificering. Separat utvecklingsmiljö 5 Utveckling och prov av programvara eller IT-system skall ske i en utvecklingsmiljö skild från Polisens ordinarie driftmiljö. Myndighetschefen, eller den myndighetschefen utser, får om särskilda skäl föreligger fatta beslut som avviker från första stycket. Beslut som avviker från första stycket bör föregås av samråd med Rikspolisstyrelsen (informationssäkerhetsenheten). Drifttillstånd 6 Myndighetschefen, eller den myndighetschefen utser, skall fatta beslut om drifttillstånd innan ett IT-system får spridas eller tas i drift. Den som beslutar om drifttillstånd övertar ansvaret för IT-systemet och för myndighetens användning av systemet. 5

6 I underlaget för beslut om drifttillstånd skall det ingå en analys av hur ITsystemet och miljön runt systemet uppfyller: 1. verksamhetskraven, 2. rättsliga krav, 3. de tekniska kraven samt 4. informationssäkerhetskraven. I säkerhetsanalysen skall sekretess, tillgänglighet, riktighet och spårbarhet beaktas. Samma analys skall även göras vid förändringar av ett IT-system som kan påverka verksamhets- och informationssäkerhetskraven. Därefter skall myndighetschefen eller den myndighetschefen utser fatta beslut om drifttillstånd. Godkända programvaror 7 Endast programvaror som har godkänts av den särskilt utsedde systemägaren, myndighetschefen eller den myndighetschefen utser får installeras eller användas i Polisens ordinarie driftmiljö. Före godkännande skall samråd ske med chefen för driftorganisationen. 6 kap. Övriga bestämmelser Utläggning av drift eller service (utkontraktering) 1 Innan en myndighet ger en annan myndighet eller ett företag i uppdrag att ansvara för drift eller service av myndighetens IT-system, skall det av uppdraget framgå hur drift och säkerhet för berörda IT-system upprätthålls. Innan ett sådant uppdrag ges bör samråd ske med Rikspolisstyrelsen samt med chefen för befintlig driftorganisation och med specialister inom informationssäkerhet och juridik. Driftåtaganden 2 Innan en myndighet åtar sig att genomföra drift av ett IT-system för en annans räkning, skall samråd ske med Rikspolisstyrelsen och med chefen för driftorganisationen. Myndigheten skall avtala om hur drift och säkerhet för varje IT-system skall tillgodoses. Driftinstruktioner skall finnas för samtliga IT-system som ingår i driftåtaganden. Undantag 3 Rikspolisstyrelsen får medge undantag från dessa föreskrifter. 6

7 1. Denna författning träder i kraft, ifråga om 4 kap. 3 och 5 kap. 4 den 1 oktober 2001, och i övrigt den 1 oktober Genom författningen upphävs Rikspolisstyrelsens allmänna råd, gällande från och med den 16 april 1986, om vissa rutiner vid lokala ADB-projekt inom polisväsendet (FAP 160-1) samt Rikspolisstyrelsens föreskrifter och allmänna råd för ADB-säkerhet inom polisväsendet (RPSFS 1986:54, FAP 170-2). 2. Vad som i 2 kap. 1 sägs om användare och direktåtkomst gäller även för personregister som förs enligt datalagen (1973:289) till och med utgången av september 2001 om direktåtkomst medgivits av Datainspektionen. På Rikspolisstyrelsens vägnar OLOF EGERSTEDT Fredrik Kugelberg (Informationssäkerhetsenheten) 7