GENERELL SYSTEMSÄKERHETSPLAN FÖR FALKÖPINGS KOMMUN

Transkript

1 GENERELL SYSTEMSÄKERHETSPLAN FÖR FALKÖPINGS KOMMUN 06-07

2 GENERELL SYSTEMSÄKERHETSPLAN FÖR FALKÖPINGS KOMMUNS NÄTVERK 1 INLEDNING BAKGRUND VERKSAMHETSBESKRIVNING ANVÄNDNINGSSÄTT - FUNKTIONSBESKRIVNING Användning under normala förhållanden och i samband med svåra påfrestningar INFORMATION SYSTEMAVGRÄNSNING ORGANISATION OCH ANSVAR GRUNDSÄKERHETSKRAV FÖR KOMMUNENS NÄTVERK LEDNING BEHÖRIGHET LOGGNING DATAVIRUS OCH ANNAN SKADLIG KOD INFORMATIONSKLASSNING SÄKERHETSKOPIERING DATAMEDIA DATAKOMMUNIKATION Uppföljning av aktivitetslogg DRIFTSÄKERHET PLAN I SAMBAND MED EXTRAORDINÄRA HÄNDELSER AVBROTTSPLANERING KATASTROFPLANERING...6 Reviderad

3 1 INLEDNING Detta dokument utgör Falköpings kommuns systemsäkerhetsplan för det administrativa nätverket och utbildningsnätet. Systemsäkerhetsplanen baseras på de övergripande målsättningar och den ansvarfördelning som beslutats av kommunstyrelsen i den kommunala IT-säkerhetsplanen. I systemsäkerhetsplanen konkretiseras de övergripande målen och definieras de säkerhetskrav som ställs på kommunens nätverk. 2 BAKGRUND Under hösten 1999 genomförde Överstyrelsen för Civil Beredskap (ÖCB), på kommunens initiativ, en säkerhetsanalys av Falköpings kommuns administrativa nätverk. I analysen framkom att säkerhetsnivån till vissa delar borde höjas ytterligare. ÖCB gav också förslag på ett antal säkerhetsåtgärder som borde vidtagas, vilka också genomfördes. Mot denna bakgrund var det naturligt för kommunen att även i det fortsatta IT-säkerhetsarbetet utgå från ÖCB:s modell FA22. Vid senare revideringar av säkerhetsplanerna har utgångspunkten varit Kris och Beredskaps Myndighetens (KBM) modell för IT-säkerhetsarbete, BITS. Liksom i FA22 och BITS finns för kommunen en övergripande IT-säkerhetsplan. Denna har under åren reviderats vid två tillfällen, 2004 och 2005 (KS 1999/ ). Som en följd av detta anpassas även övriga planer och instruktioner. Underställd IT-säkerhetsplanen har kommunen valt att ha en generell systemsäkerhetsplan, vilket utgörs av detta dokument. Den omfattar kommunens samtliga nätverk och beskriver den grundläggande (lägsta) säkerhetsnivå som alla datasystem i kommunens nätverk skall uppnå. Som norm för säkerhetsnivån har vi utgått grundsäkerhetskrav i FA22 och BITS. Till denna systemsäkerhetsplan kopplades också en uppsättning generella säkerhetsinstruktioner. På detta sätt uppnåddes en grundläggande säkerhetsnivå för nätverken. För de flesta datasystem får denna säkerhetsnivå anses som tillräcklig. För de datasystem som bedöms ha högre säkerhetskrav än vad som följer av den generella nivån, skall systemägaren göra en kompletterande systemsäkerhetsplan med tillkommande krav samt en komplettering av säkerhetsinstruktionerna för det egna systemet. I kommunens nätverk finns två huvudgrupper av användare, anställda och elever. I vissa fall gäller skilda säkerhetsnivåer och regler för de anställda och skolans elever eller grupper av elever. När så är fallet anges detta särskilt. I alla övriga fall gäller samma säkerhetsnivå och samma regler för alla användare. Nedan återfinns en beskrivning av de inbördes relationerna mellan IT-säkerhetsplanerna och instruktionerna. IT-säkerhetsplan (Beskriver mål, ansvar och roller för IT-säkerheten) Generell systemsäkerhetsplan (Utgörs av detta dokument och beskriver den grundläggande säkerhetsnivån i nätverket.) Generell säkerhetsinstruktion (Instruktioner som beskriver hur kraven i systemsäkerhetsplanen skall uppnås.) Säkerhetsinstruktion för användare (Denna innehåller enbart de delar av den generella säkerhetsinstruktionen som vänder sig till användarna.) Reviderad Sida 1

4 3 VERKSAMHETSBESKRIVNING Denna systemsäkerhetsplan gäller kommunens samtliga datanätverk, d.v.s. dess infrastruktur, tekniska plattformar, nätverksoperativ och brandvägg. Det är också detta som avses med begreppet nätverk i detta dokument. Systemsäkerhetsplanen omfattar även de generella resurserna såsom Internet, e-post och kontorsprogram. 3.1 Användningssätt - funktionsbeskrivning Nätverkens servrar härbärgerar för närvarande fler än 100 olika datasystem och har sammanlagt närmare 9000 användare. Detta innebär att samtliga kommunens förvaltningar på ett eller annat sätt är beroende av dess funktion. I huvudsak utnyttjas nätverken under kontorstid men allt mer verksamhet, som t.ex. räddningstjänsten och vården och omsorgen, använder nätverket dygnet runt Användning under normala förhållanden och i samband med svåra påfrestningar Nätverken utgör den plattform på vilken alla verksamhetsspecifika system vilar. Via nätverken styrs också inloggning, behörighet och tillgång till olika system. Detta betyder att nätverken i sig är de mest verksamhetskritiska och samhällsviktiga systemen och en förutsättning för att kommunen skall kunna bedriva den verksamhet som den är ålagd att göra såväl under normala förhållande som i samband med svåra påfrestningar. I samband med svåra påfrestningar skall den kommunala ledningens behov särskilt prioriteras och garanteras tillgång till nödvändiga resurser i nätverken. Nätverken och den information som hanteras i dessa måste då vara tillgängligt från räddningstjänsten lokaler samt de lokaler i stadshuset som är iordningställda för den kommunala ledningsgruppen. 3.2 Information I nätverkens servrar lagras information från kommunens verksamhetssystem. Mellan flera av systemen sker kontinuerligt utbyte av information. Vissa systemen har också regelmässigt informationsutbyte med externa organisationer såsom andra myndigheter, leverantörer och banker. En mängd lagar, såsom personuppgiftslagen, tryckfrihetsförordningen, sekretesslagen mm, reglerar hur informationen får hanteras. För att vägleda systemägarna skall det finnas riktlinjer för informationsklassning vad avser skyddsvärde och krav på riktighet. 3.3 Systemavgränsning Till nätverken räknas alla datorer och teknisk utrustning som via fiber, radiolänk, egen eller förhyrd kopparförbindelse är ansluten till nätverkens servrar och utnyttjar dess tjänster. Till nätverken räknas, under den tid som uppkopplingen varar, även de datorer som från det egna hemmet eller från annan plats via Internet eller på annat sätt är uppkopplade mot nätverken. Brandväggar utgör nätverkens gränsyta mot externa nät såsom t.ex. Internet. 3.4 Organisation och ansvar Ansvaret för nätverken är fördelat enligt följande: Systemägare IT-avdelningen - IT-chef Informationsägare Kommundirektören samt respektive Förvaltningschef Reviderad Sida 2

5 Systemansvarig: IT-avdelningen Systemtekniker Systemteknisktansvarig: IT-avdelningen Systemtekniker Beslut om behörighet tas av: IT-avdelningen - IT-chef Behörighetsadministratör: IT-avdelningen Systemtekniker Granskning av loggar genomförs av: IT-avdelningen Systemtekniker Antal användare ca: GRUNDSÄKERHETSKRAV FÖR KOMMUNENS NÄTVERK 4.1 Ledning Det skall finnas en dokumenterad och av kommunstyrelsen fastställd IT-säkerhetsplan. IT-säkerhetsplanen skall på ett tydligt sätt uttrycka kommunstyrelsens mål för IT-säkerheten. IT-säkerhetsplanen skall utgå från lagar och föreskrifter. En grundläggande del i den kommunala IT-säkerhetsplanen är att fastställa hur ansvaret för ITsäkerheten skall fördelas mellan olika funktioner inom organisationen. Systemsäkerhetsplanena skall innehålla de samlade kraven på säkerhet som ställs på nätverken och datasystem under normala förhållanden. I systemsäkerhetsplanerna skall framgå organisation och ansvar kring systemet. Den generella systemsäkerhetsplanen skall dokumenteras och formellt fastställas av kommundirektören. Kompletterande systemsäkerhetsplaner skall upprättas för de verksamhetskritiska och samhällsviktiga datasystem som kräver högre säkerhetsnivå än den generella. Dessa planer fastställs av respektive systemägare. De kompletterande systemsäkerhetsplanerna skall, utöver grundsäkerhetskraven, även omfatta de tilläggskrav som kan finnas beroende på lagar och föreskrifter, verksamhetens art samt specifika hot mot denna. Säkerhetsinstruktionerna skall utgå från IT-säkerhetsplanens mål och inriktning. De regler och instruktioner som berör användarnas ansvar och handhavande av ett specifikt datasystem skall dokumenteras och fastställas av systemägare i en särskild säkerhetsinstruktion för användare. Information om IT-säkerhet skall spridas till kommunens medarbetare och elever. Den skall bland annat innehålla kommunens användarinstruktioner samt betydelsen av IT-säkerheten för verksamheten. Dessutom skall återkommande utbildningsinsatser genomföras. 4.2 Behörighet För att få tillgång till nätverken krävs att användaren är registrerad som behörig användare i ett behörighetskontrollsystem (BKS). Endast behöriga, med de rättigheter som beslutats, skall finnas registrerade som användare i nätverken. Den grundläggande principen skall alltid vara att varje användare har en unik användaridentitet och ett lösenord som endast denne känner till och kan ändra. För att underlätta för elever upp till och med årskurs 5 i grundskolan skall det finnas särskilda förenklade regler i säkerhetsinstruktionen vad gäller behörighet och användarhantering. Ett lösenord skall bestå av minst 6 tecken och vara konstruerat så att det inte lätt går att avslöja. Användarna skall tvingas byta lösenord enligt de tidsintervall som systemägaren beslutar. Användaren skall ges en behörighetsprofil som endast medger åtkomst till de resurser i nätverken som krävs för att utföra sina arbetsuppgifter. Reviderad Sida 3

6 För att säkerställa att det endast är beslutade behörigheter som läggs in i nätverkens BKS skall det finnas en fastställd organisation för behörighetsadministration. Säkerhetsinstruktionens regler skall omfatta hela kedjan med tilldelning, information, uppdatering och uppföljning av behörighet, dvs. från initialt beslut om behörighet till att denna upphör. Systemägaren skall i säkerhetsinstruktionen bland annat fastställa vem som har rätt att besluta om behörighet. Beslut om behörighet skall dokumenteras och innehålla alla uppgifter som är nödvändiga för att behörigheten skall kunna läggas in i BKS. 4.3 Loggning En grundläggande säkerhetsloggning i systemet skall omfatta användaridentitet, (godkänd) inloggning, utloggning samt datum och klockslag. Systemägaren skall fastställa om och i så fall vilka händelser utöver den grundläggande säkerhetsloggningen som skall registreras i de enskilda datasystemens säkerhetslogg. I säkerhetsinstruktionen skall systemägaren fastställa regler för hur ofta analys av säkerhetsloggar skall ske, vem som ansvarar för detta, hur analys av säkerhetsloggar skall genomföras samt hur säkerhetsloggar skall förvaras. 4.4 Datavirus och annan skadlig kod Det föreligger alltid en risk för att det kan komma in skadlig programkod i nätverken. Därför skall det finnas program för detektering och oskadliggörande av datavirus och andra skadliga program. Av säkerhetsinstruktionen skall det framgå vilka åtgärder som skall vidtas för att förhindra att datavirus och annan skadlig kod kommer in i nätverket. 4.5 Informationsklassning I säkerhetsinstruktionen skall finnas riktlinjer för informationsklassning och hantering av informationen. Systemägaren skall i säkerhetsinstruktionen bedöma vilken information, lagrad på datamedia, som skall omfattas av särskilda krypteringsrutiner så att informationen ej kan läsas av obehöriga. 4.6 Säkerhetskopiering Säkerhetskopiering skall göras regelbundet och information skall kunna återställas vid behov. Systemägare skall i säkerhetsinstruktion fastställa reglerna för säkerhetskopiering av information. Dessa regler skall reglera vilken information som skall omfattas av säkerhetskopiering, intervall för säkerhetskopiering samt hur säkerhetskopior skall förvaras. Systemägaren skall fastställa hur många generationer av säkerhetskopior som skall finnas samt vilka kontroller som skall genomföras av att säkerhetskopiorna är läsbara. 4.7 Datamedia Av säkerhetsinstruktionen skall framgå vilka åtgärder som skall vidtas, dels för att förhindra att media förstörs, dels för att säkra att informationen är läsbar under hela förvaringstiden. Av säkerhetsinstruktionen skall framgå regler för förvaringstid för datamedia. Reglerna skall baseras på de bestämmelser som gäller för den information som lagras. Reviderad Sida 4

7 4.8 Datakommunikation För att försvåra för obehöriga att göra intrång i nätverken via externa anslutningar skall det finnas en brandväggsfunktion installerad samt en policy för hur installationen skall utformas och genomföras. Brandväggarna skall vara den enda kommunikationskanalen för Internetbaserad datakommunikation till och från organisationen. Det ska finnas en aktuell förteckning över samtliga externa anslutningar. Detta inkluderar även alla former av anslutningar för underhåll/service från leverantörer. Om fjärrdiagnostik erfordras skall sådan ske enligt fastställda/överenskomna rutiner. Brandväggarnas utformning skall dokumenteras, gärna som ett särskilt avsnitt i driftdokumentationen. Användarnas aktiviteter över brandväggen skall, där så är tekniskt möjligt, loggas. Systemägaren skall fastställa vem som ansvarar för uppföljningen av loggarna. För nätverken skall systemägaren fastställa vilka och vilken typ av interna och externa anslutningar till tele- och datanät som skall tillåtas (exempelvis Internet). Systemägaren skall ta ställning till vad ansvaret vid dataöverföring till och från nätverken innebär, vilket kan omfatta ansvar i händelse av förlust eller förändring av data samt ansvar för säkerhetsåtgärder vid sändning/mottagning av data Uppföljning av aktivitetslogg Uppföljning av brandväggarnas aktivitetsloggar skall antingen ske vid väl grundade misstankar om överträdelser mot gällande lagar och regler eller vid misstanke om intrångsförsök. Beslut om att granska anställdas Internetaktiviteter fattas efter samråd mellan IT-chef och Personalchef. Beslut att granska elevers Internetaktiviteter fattas efter samråd mellan IT-chef och berörd förvaltningschef. Resultatet skall vid behov delges berörd verksamhetschef. I säkerhetsinstruktionen skall finnas riktlinjer för hur länge loggarna skall sparas och hur överträdelser skall hanteras. 4.9 Driftsäkerhet Systemdokumentationen riktas till den som ska underhålla och vidareutveckla datasystemen. För nätverken skall det finnas en dokumentation som omfattar dess system, väsentlig driftdokumentation samt användardokumentation. Det skall finnas en beskrivning av vilken kompetens som erfordras för drift och underhåll av nätverken. Tillträdet till viktiga utrymmen, där till exempel för driften viktiga servrar och kommunikationsutrustningar förvaras, skall vara begränsat. Tillträdet skall minst regleras med hjälp av låssystem med separat nyckelsystem och helst med en kombination av tekniska och administrativa åtgärder. Beslut om vem som får ha tillträde för att kunna utföra sina arbetsuppgifter fattas av systemägaren. I direkt anslutning till för driften viktig dator- och kommunikationsutrustning skall det finnas kolsyrebrandsläckare i erforderligt antal. Serverrummet skall vara utrustat med brand- temperatur- och intrångslarm. Larmen skall testas regelbundet. Serverrummet skall ha automatisk släckningsutrustning. Rätten att installera program, nya versioner av program eller import av externa filer skall regleras i säkerhetsinstruktionen. En analys skall genomföras för att identifiera vilka utrustningar i nätverken som är av sådan betydelse att dessa skall utrustas med avbrottsfri kraft. Systemägaren skall fastställa vilka tekniska minimikrav som ställs på en nätverksansluten dator. 5 PLAN I SAMBAND MED EXTRAORDINÄRA HÄNDELSER Av kommunens plan för ledning i samband med extraordinära händelser skall framgå: Reviderad Sida 5

8 Vilka av kommunens datasystem som erfordras vid dessa tillfällen, dvs. minsta behovet av datastöd som krävs för att på ett tillfredsställande sätt bedriva verksamheten. Detta innebär också att organisation, ansvarsfördelning och övriga administrativa rutiner skall beskrivas. Övriga åtgärder som krävs för att nätverken skall kunna fungera vid extra ordinära händelser. Sådana åtgärder kan vara flyttning av teknisk utrustning, personalförändringar, omdisponeringar av datakommunikationskanaler etc. 6 AVBROTTSPLANERING Kortare avbrott i nätverksdriften kan uppstå på grund av en mängd olika orsaker. Det är orimligt att här beskriva hanteringen av alla dessa i särskilda avbrottsplaner. Arbete bör istället inriktas på att övervaka nätverken och förebygga att det uppstår driftavbrott. Vid en allvarlig händelse som förorsakar ett längre avbrott i hela nätverket aktiveras katastrofplanen. För enskilda verksamhetskritiska system skall systemägaren bedöma om det finnas ett behov av att upprätta en avbrottsplan. Avbrottsplanen skall i så fall innehålla en beskrivning av: Hur länge det enskilda systemet bedöms kunna vara ur funktion innan verksamheten äventyras. När och hur övergång till reservrutiner skall ske. De reservrutiner som skall tillämpas under tiden det ordinarie systemet ligger nere. När och hur återgång till normaldrift skall ske. Utbildning, övning och underhåll. 7 KATASTROFPLANERING Det skall finnas en dokumenterad katastrofplan. Det administrativa nätverket är där prioriterat. Planen skall innehålla en beskrivning av: När katastrofplanen skall aktiveras. Organisation, beslut och ansvar i samband med katastrofer. Reservrutiner och ev. alternativa driftsställen vid katastrof. Utbildning, övning och underhåll. Reviderad Sida 6