Upplands Väsby kommun

Revisionsrapport nr 5/ Upplands Väsby kommun

Innehållsförteckning 1. Bakgrund... 3 1.1 Syfte... 3 1.2 Metod... 3 1.3 Avgränsningar... 4 2. Iakttagelser... 5 2.1 IT-organisation... 5 2.2 IT-system... 5 2.3 Granskningsprotokoll... 6 3. Jämförelse mot andra kommuner... 16 4. Slutsatser och rekommendationer... 17 4.1 Generella slutsatser... 17 4.2 Rekommendationer från års rapport... 18 4.3 Rekommendationer från 2009 års rapport... 18 EY 2

1. Bakgrund 1.1 Syfte Idag bedrivs så gott som all verksamhet i en kommun med någon form av datoriserat stöd. Stödet har med tiden utvecklat sig till att bli en förutsättning för att kunna bedriva verksamhet. För att uppnå målen för kommunens verksamheter krävs att informationen i verksamhetsstödet är tillgängligt, riktigt och har korrekt konfidentialitet samt är spårbart. På uppdrag av de förtroendevalda revisorerna i Upplands Väsby kommun har EY genomfört en IT-revision i kommunen. IT-revisionens syfte har varit att granska och bedöma informationssäkerheten på en övergripande nivå i kommunen. Syftet har också varit att jämföra kommunens nuvarande informationssäkerhet mot BITS, Myndigheten för samhällsskydd och beredskaps ramverk för informationssäkerhet. BITS står för Basnivå för informationssäkerhet och har sitt ursprung i den internationella informationssäkerhetsstandarden ISO/IEC 27000. 1.2 Metod Baserat på erfarenheter från tidigare kommunrevisioner har EY valt ut ett antal relevanta kontroller som presenteras i BITS, fördelat på elva huvudområden: 1. Säkerhetspolicy 2. Organisation av säkerheten 3. Hantering av tillgångar 4. Personalresurser och säkerhet 5. Fysisk och miljörelaterad säkerhet 6. Styrning och kommunikation av drift 7. Styrning av åtkomst 8. Anskaffning, utveckling och underhåll av informationssystem 9. Hantering av informationssäkerhetsincidenter 10. Kontinuitetsplanering i verksamheten 11. Efterlevnad Rapporten redovisar i vilken grad kommunen uppfyller valda rekommendationer ur BITS. Resultatet är en sammanvägd bedömning, som baseras på information som lämnats vid intervjuerna samt genom erhållen dokumentation. Den sammanvägda bedömningen av svaren på kontrollerna har bedömts enligt följande alternativ: Nej E/T Kontrollen finns ej/eller fungerar ej tillfredsställande. Kontrollen finns och fungerar delvis. Kontrollen finns och fungerar tillfredsställande. Ej tillämplig, kontrollen behövs ej av särskilda skäl. EY 3

Analysen baseras på erhållen dokumentation samt på intervjuer med Per-Ola Lindahl (utvecklingsstrateg), Magnus Walldie (IT-chef) och Fredrik Assarsson, (chef systemförvaltning). Arbetet har genomförts av Ingel Petré och Amin Zamanzadeh under juni, och har kvalitetssäkrats av Mårten Trolin. Våra iakttagelser och rekommendationer har stämts av med Per-Ola Lindahl, Magnus Walldie och Fredrik Assarsson. 1.3 Avgränsningar Iakttagelser och analyser baseras enbart på information som har inhämtats vid intervjuer och förelagd dokumentation. Inga tester har genomförts. Det kan finnas brister i kommunens hantering av IT som vi inte har identifierat. EY 4

2. Iakttagelser 2.1 IT-organisation Upplands Väsby kommuns styrande principer för IT, som finns angivna i kommunens ITpolicy, understryker vikten på en gemensam syn på IT. Kommunens modell för IT-styrning innefattar tre roller: Ledningsrollen (kommunfullmäktige, kommunstyrelsen, kommundirektören, koncernledningsgruppen och utvecklingsstrategen). Verksamhetsrollen (verksamhetschefen, enhetschef, IT-samordnare, IT-strateg, systemägare och systemförvaltare). Leverantörsrollen (interna och externa IT-leverantörer). Kommundirektören prioriterar och föreslår IT-budget med hjälp av IT-samordnare på respektive kontor, som samarbetar med utvecklingsstrategen och IT-chefen. IT-budgeten beslutas av kommunstyrelse och kommunfullmäktige. Den interna IT-leverantörens huvudsakliga roll är att stödja förvaltningarna i användandet av IT som ett verktyg i verksamhetsutvecklingen. 2.2 IT-system Enligt utvecklingsstrategen är följande system de mest verksamhetskritiska för kommunen: System Beskrivning Leverantör Raindance Ekonomisystem CGI Treserva Omsorgssystem CGI Lex Ärendehantering CGI Exchange E-post Microsoft Heroma PA-system CGI E-tjänstportal Diverse tjänster för medborgare Pulsen application AB Pulsen combined Vård- och omsorgssystem Pulsen application AB Tekla Geografiskt informationssystem (GIS) Tekla Software Office Kontorssystem inklusive e-post. Microsoft Utöver dessa system hänvisar vi till Upplands Väsby kommuns systemförteckning. EY 5

2.3 Granskningsprotokoll Granskningspunkt Kommentar Utvärdering 1 Säkerhetspolicy 1.1 Har kommunen en informations-/itsäkerhetspolicy? Kommunen har en ny informationssäkerhetspolicy antagen sedan 2011. Policyn följer BITS mall med ett policydokument och tre underliggande IT-säkerhetsinstruktioner för användare, förvaltning och drift. 2 Organisation av säkerheten 2.1 Finns det en informationssäkerhetssamordnare/- funktion för informationssäkerhet Policys och instruktioner finns tillgängliga på intranätet. Av informationssäkerhetspolicyn framgår att kommunstyrelsen är ansvarig för att av kommunfullmäktige fastställd informationssäkerhetspolicy efterlevs och att samordning avseende IT sker mellan verksamheterna. Enligt kommunens informationssäkerhetspolicy ansvarar ITstrategen för det övergripande ansvaret för informationssäkerhetsarbetet. Säkerhetschefen har det operativa ansvaret för informationssäkerhetsarbetet i kommunen. I praktiken har IT-chefen ansvaret för informationssäkerheten, medan säkerhetschefen ansvarar för fysisk säkerhet. 2.2 Har ledningen utsett systemägare för samtliga informationssystem? 2.3 Har organisationen utsett systemansvariga? 2.4 Finns det en samordningsfunktion för att länka samman den operativa verksamheten för informationssäkerhet och ledningen? 2.5 Har ansvaret för informationssäkerheten reglerats i avtal för informationsbehandling som lagts ut på en utomstående organisation? 3 Hantering av tillgångar Säkerhetschefen heter Anita Ackenberg. Varje system har en systemägare, dessa finns dokumenterade i en systemförteckning som chefen för systemförvaltning ansvarar för. Definition av systemägare finns i dokumentet Informationssäkerhetsinstruktion Förvaltning under kap 3. Upplands Väsby Kommun utser numer systemansvariga för samtliga system och utpekade systemansvariga finns för samtliga system. Definition av systemansvarig finns i utkastet till ITsäkerhetsinstruktion: Administration och förvaltning. Kommunens IT-styrning beskrivs i IT-policyn under rubriken Roller och ansvar. Av den framgår att tre roller samspelar: Ledningsrollen Verksamhetsrollen Leverantörsrollen Dessa träffas i månatliga möten där behov, problem och investeringar behandlas. Samarbete görs även då den årliga verksamhetsplanen skall tas fram. Det finns i dagsläget inget krav på att arbete och mål med informationssäkerhet skall tas upp i verksamhetsplanerna. Följande system och IT-infrastruktur hanteras av outsourcingpartners. PA-lönesystemet (CGI) Hårdvara för datorklienter (Pulsen) System inom socialtjänsten (Pulsen) Telefoni (TLC) Skrivare (Ricoh) Informationssäkerhetskrav finns ej med i avtal med CGI. I avtalen med Pulsen och TLC finns säkerhetsaspekter reglerade. EY 6

Granskningspunkt Kommentar Utvärdering 3.1 Är organisationens information klassad avseende sekretess/riktighet/tillgänglighet?, enligt Informationssäkerhetsinstruktion Användare skall Informationssystem inom kommunen klassas utifrån den information som hanteras i systemet. Klassningen görs från aspekterna sekretess (konfidentialitet), spårbarhet, tillgänglighet och riktighet. I kapitlet följer en tydlig definition om hur detta ska hanteras. Dock har inte all information i kommunen genomgått en klassning än. 3.2 Har samtliga informationssystem identifierats och dokumenterats i en aktuell systemförteckning. 3.3 Finns det en ansvarsfördelning för organisationens samtliga informationstillgångar. 3.4 Finns det upprättat dokument för hur informationsbehandlingsresurser får användas? 4 Personalresurser och säkerhet 4.1 Granskas nyanställdas bakgrund vid nyanställning i proportion till kommande arbetsuppgifter? 4.2 Får inhyrd/inlånad personal information om vilka säkerhetskrav och instruktioner som gäller? 4.3 Har systemägaren definierat vilka krav som ställs på användare som får tillgång till informationssystem och information? 4.4 Finns det framtagna dokumenterade säkerhetsinstruktioner för användare? 4.5 Genomförs utbildningsinsatser inom informationssäkerhet regelbundet? 4.6 Finns det användarhandledning för ett informationssystem att tillgå? Systemförteckning finns över samtliga system. Ansvarig för systemförteckningen är chefen för systemförvaltningen, enligt Riktlinjer för informationshantering, kap 6.6 Ansvarsbeskrivning finns dokumenterade i dokumentet Informationssäkerhetsintruktion Förvaltning. Roller inkluderar kommunfullmäktige, kommunstyrelse, kommundirektör, informationssäkerhetssamordnare, säkerhetschef, förvaltningschef, IT-samordnare, systemägare och systemansvarig. Dokumentet IT-säkerhetsinstruktion: Användare tar upp hur system får användas. Dokumentet innehåller kapitel om behörigheter, lösenord, utrustning, installation av programvara, distansarbete, lagring, Internetanvändning, e-posthantering samt incidenthantering. Meriter och referenser kontrolleras vid nyanställningar., det finns en formell rutin för information om kommunens informationssäkerhetsregler. I Informationssäkerhetsinstruktion Förvaltare kap 4.3 finns det beskrivet vilka utbildningar och information som går ut till användaren och vem som ansvarar för detta. Inga specifika krav per system. Alla användare måste dock genomgå en utbildning i informationssäkerhet och allmän datorkunskap, samt klara minst 70 % av efterföljande testfrågor., Informationssäkerhetsinstruktion Användare, samt en lathund för användare. Det saknas formella rutiner för regelbunden utbildning. Vid nyanställning finns det obligatoriska moment där arbetssättsmaterialet ska inskolas. Om en person inte uppfyller kraven för förståelsen av dessa så ska denne gå en utbildning., systemspecifika lathundar finns i systemet smartass, i det nya Pulsar combined kommer även allt utbildningsmaterial att finnas tillgängligt. EY 7

Granskningspunkt Kommentar Utvärdering 4.7 Dras åtkomsträtten till information och informationsbehandlingsresurser in vid avslutande av anställning eller vid förflyttning? Kommunen använder sig av en metakatalog för att hantera användarkonton. När anställning upphör fylls en blankett i av chefen som skickar den till personalavdelningen. Den berörda personens konton i metakatalogen inaktiveras därefter. Metakatalogen har en logisk koppling till lönesystemet, vilket innebär att konton inaktiveras när personens sista anställningsdatum har passerats. På systemnivå så gäller följande: I nya system krävs autentisering av ett SITS-kort tillsammans med lösenord, i en del äldre system krävs det att systemförvaltaren tar bort användarkontot manuellt. 5 Fysisk och miljörelaterad säkerhet 5.1 Finns funktioner för att förhindra obehörig fysisk tillträde till organisationens lokaler och information? När en anställd avslutar eller byter sin tjänst inom Upplands Väsby kommun så följs en rutin för detta. Den anställdas chef ska med ett formulär meddela personalavdelningen om avslutet, chefen ska även meddela alla systemförvaltare till de system som användaren har behörigheter till för förändring av dennes behörighet. Serverhallen ligger på plan 2 i kommunalhuset. Byggnadens skalskydd består av kortlås med kod utanför arbetstid. Alla passeringar loggas. Serverhallen skyddas av kortlås med kod. Periodisk genomgång av de som har behörigheter till serverhallen har gjorts vid ett antal tillfällen och administreras via passerkortsystemet. Magnus Walldie godkänner den periodiska genomgången. 5.2 Har IT-utrustning som kräver avbrottsfri kraft identifierats? 5.3 Finns larm kopplat till larmmottagare för: - brand, temperatur, fukt - sker test till larmmottagare 5.4 Finns i direkt anslutning till viktig dator- kommunikationsutrustning kolsyresläckare? 5.5 Regleras tillträde till utrymmen med känslig information eller informationssystem utifrån informationens skyddsbehov? Tillträdesrättigheter, rutiner för upprättande? Det finns numer även en spärr vid entrén, personer som har ett möte med någon i personalen måste släppas in av en anställd som även leder gästen ut ur huset när denne ska gå. UPS:er finns installerade i serverrummet och har testats i skarpt läge. Ett dieselaggregat finns tillgängligt att ta i drift inom en timme och inom kort kommer det finnas ett fast dieselaggregat på plats som kan försörja hela huset. Larm finns för brand, temperatur, fukt, översvämning och inbrott. Larmleverantören testar larmen på årlig basis.. Behörigheter till serverhallen administreras av Informationscentret efter underlag från IT-chefen. De som har tillgång till serverhallen är IT-personal med serveransvar, IT-chef samt säkerhetschefen. 5.6 Är korskopplingsskåp låsta? Alla korskopplingsskåpen som offentligheten kommer åt är låsta. Korskopplingsskåpen låses upp med nyckel som hanteras av den lokala enheten, t ex en skola, då IT-avdelningen själva inte har möjlighet att komma in i alla dessa själva. Nya skåp som sätts in har lås oavsett om de är i offentlig miljö eller internt på kontoren. EY 8

Granskningspunkt Kommentar Utvärdering 5.7 Raderas känslig information på ett säkert sätt från utrustning som tas ur bruk eller återanvänds? Ett skrotningsavtal finns. Avtalet innebär att när servrar avvecklas så skickas dessa på destruktion där hårddiskarna förstörs. Klienthårdvara hanteras av Pulsen, som enligt avtal skall skriva över hårddiskar vid en nyinstallation. 5.8 Finns särskilda säkerhetsåtgärder för utrustning utanför ordinarie arbetsplats? 5.9 Finns information och regler som förklarar att informationsbehandlingsresurser inte får föras ut från organisationens lokaler utan medgivande från ansvarig chef? Vid byte av dator som hanteras av kommunens IT-avdelning skrivs hårddisken över med en ny image-fil. I ett försök att återskapa information från en överskriven hårddisk så framgick det att det inte gick att få fram någon information från hårddiskar som hade skrivits över. Försöket genomfördes av IBAS. Kommunens anställda använder sig av antingen en VPN-lösning (via Portwise), eller en krypterad Citrixuppkoppling. Med Portwiselösningen kan användare komma åt de flesta systemen, medan Citrixlösningen används för ekonomisystemet Raindance. För fakturaportalen och de sociala systemen används en tokeninloggning via mobiltelefon. Självservicefunktionen i PA-systemet skyddas av SSL-kryptering. Formella regler saknas. Den anställda får ta del av information i Informationssäkerhetsinstruktion Användare där det framgår vilken information som inte får skickas över email. Det finns även instruktioner för hur man bör hantera information på sociala medier. I kap 7 i samma instruktion så finns det information om distansarbete som definieras som all information relaterad till kommunens verksamhet som utförs utanför kommunens interna nätverk. Där står det att om användaren är osäker om vilken typ av information som får föras ut utanför kommunens nätverk så ska denne kontakta sin chef. Systemägare för respektive ITsystem beslutar även om distansarbete får ske för detta system. Konsulter kopplar upp sig på det administrativa nätet. 6 Styrning och kommunikation av drift 6.1 Finns det driftdokumentation för verksamhetskritiska informationssystem? 6.2 Är klockorna i informationssystemen synkroniserade med godkänd exakt tidsangivelse? 6.3 Sker system-/programutveckling samt tester av modifierade system åtskilt från driftmiljön? Arbete pågår med att ta fram standardiserad driftdokumentation för kommunens system. Det finns driftdokumentation för verksamhetskritiska system. Dokumentationen finns både hos de som driftar systemen samt hos verksamheten.., det finns testmiljö. Den egna systemutvecklingen är begränsad då mycket är outsourcat. Det som utvecklas inom kommunen utgörs mest av systemintegrationer. Programförändringar lyfts upp till chefen för systemförvaltning och IT-rådet där de godkänns för vidareutveckling och testning. Programförändringar i outsourcade system tas upp mellan kommunen och leverantören och även dessa behöver ett godkännande från chefen för systemförvaltning och IT-rådet. 6.4 Finns rutiner för hur utomstående leverantörers tjänster följs upp och granskas? 6.5 Godkänner lämplig personal (systemägaren) driftsättningar av förändrade informationssystem? En grundläggande testrutin finns dokumenterad i dokumentet arbetsmodellen i linjen. PA-systemet och ekonomisystemet driftas av CGI. Kommunen har kvartalsvisa möten med CGI där incidenter och servicenivåer diskuteras. Det finns dock inte några formella rutiner för uppföljning med alla leverantörer., dessa godkänns av IT-rådet. Systemförvaltare lyfter programförändringsbehovet till dessa i likhet med punkt 6.3. EY 9

Granskningspunkt Kommentar Utvärdering 6.6 Finns det för både servrar och klienter rutiner för skydd mot skadlig programkod? 6.7 Regleras och dokumenteras rätten att installera nya program, programversioner? Virusskydd finns för alla klienter. Det finns inget virusskydd på servrarna då dessa ligger på ett eget nät och den extra belastning som det medför leder till prestandaproblem. Användare på det administrativa nätet är lokala administratörer. Användare kan installera program på sina egna klienter, licensierad programvara installeras per automatik från centralt håll. Enligt Informationssäkerhetsinstruktionen Användare gäller följande: Programvaror ska godkännas och installeras av IT-enheten eller av IT-enheten anvisad/godkänd person. Det är inte tillåtet att kopiera eller använda kommunens program utanför vår verksamhet Om du är i behov av ytterligare programvaror eller hårdvara ska detta godkännas av din chef Misstanke om att icke godkänd programvara installerats ska beaktas som en misstänkt säkerhetsrisk och rapporteras enligt rutinen i kapitel 10 i detta dokument 6.8 Har organisations nätverk delats upp i mindre enheter (segmentering), så att en (virus) attack enbart drabbar en del av nätverket? 6.9 Genomförs säkerhetskopiering regelbundet? Nätverket är segmenterat., de flesta av servrarna är virtualiserade vilket förenklat säkerhetskopiering. Säkerhetskopiering sker numera till hårddiskar till skillnad från bandbackuper som användes tidigare. Inkrementell säkerhetskopiering görs dagligen och full säkerhetskopiering görs veckovis. Upplands Väsby kommun har servrar på två geografiskt åtskilda platser där hela kommunens data, både aktuell data men även säkerhetskopierad data finns tillgänglig. En formell backuppolicy saknas. 6.10 Genomförs regelbundna tester för att säkerställa att informationssystem kan återstartas från säkerhetskopior? 6.11 Finns det en aktuell förteckning över samtliga externa anslutningar? 6.12 Finns alternativa vägar vid sidan av organisationens brandvägg in till det interna nätverket? 6.13 Är det möjligt att logga säkerhetsrelevanta händelser? 6.14 Finns särskilda skyddsåtgärder för att skydda sekretess och riktighet när data passerar allmänna nät liksom skydd av anslutna system och utrustning? CGI ansvarar, enligt avtal, för säkerhetskopiering av PAsystemet. Det finns ingen formell rutin för genomförandet av regelbundna återläsningstester. Kommunen har vid behov testat att göra återläsningar utan problem då systemet är redundant.. Nej. Internettrafik och serverinloggning loggas och sparas i tre månader. Användarna informeras om att loggning sker. Transaktionsloggning i PA systemet sparas i tre månader., se 5.8. EY 10

Granskningspunkt Kommentar Utvärdering 6.15 Finns det riktlinjer avseende förvaringstid för datamedia? Avsaknad av formella riktlinjer. Enligt samtal med IT-chefen, systemförvaltaren och IT-strategen framgick det att: Data sparas 6 månader på hårddisk som alltid ligger tillgänglig. Därefter sparas data upp till ett år på backupband. Kommunens filer, information och bokföring sparas i 10 år. Särskilda lagkrav från riksarkivets lagverk ställs på lagring för socialsystemet. Nej 6.16 Finns det dokumenterade regler avseende vilken information som får skickas utanför organisationen? 6.17 Gäller det för e-postsystem och andra viktiga system att de är isolerade från externa nät? (DMZ) t.ex. genom någon form av brandväggsfunktion. 6.18 Finns olika typer av autentiseringsmetoder med olika grad av skydd? 6.19 Sparas revisionsloggar för säkerhetsrelevanta händelser? 7 Styrning av åtkomst 7.1 Har organisationen satt upp dokumenterade regler för åtkomst/tillträde för tredjeparts åtkomst till information eller informationssystem? 7.2 Tilldelas användare en behörighetsprofil som endast medger åtkomst informationssystem som krävs för att lösa arbetsuppgifterna? 7.3 Begränsas rätten att installera nya program i nätverket samt den egna arbetsstationen till endast utsedd behörig personal? 7.4 Har samtliga administratörer fullständiga systembehörigheter, eller endast i den utsträckning som krävs för arbetsuppgifterna? Riktlinjer ska finnas tillgängliga i en hanteringsanvisning enligt Riktlinjer för informationshantering, men ingen sådan har presenterats. Det finns anvisningar om klassificering och hantering av information i dokumentet Informationssäkerhetsinstruktionen Användare, kap 6. Varje systems information ska klassas enligt dokumentet. Arbete pågår dock fortfarande med att implementera reglerna för informationsklassning i organisationen., den enda åtkomstpunkten mot Internet skyddas av en brandvägg. : Login/lösenord Engångstokens via mobiltelefon e-legitimation Tre månader för webb- och domäninloggningar. I övrigt finns inga dokumenterade regler. Det finns interna rutiner men ingen formell dokumentation för tredjeparts åtkomst till kommunens system. Användare hos leverantörerna har alltid låsta konton, om sedan en konsult ansöker om att få tillgång till systemet vid t ex en programförändring så kan detta godkännas och ett konto öppnas under en begränsad tidsperiod. Instruktioner för detta finns dokumenterade i Hanteringsanvisningar gällande externa konsulter/användare för IT Enheten Konton för administrativ- och IT-personal är unika och tidigare gruppkonton har tagits bort. Användare får en basbehörighet med tillgång till internet, intern portal m.m. men ingen åtkomst till specifika system, dessa ansöks det om till respektive systemförvaltare. Användare av det administrativa nätet är lokala administratörer vilket är ett aktivt val av kommunen.. Systemadministratörer på IT-avdelningen har fulla rättigheter till alla servrar och databaser. Databaserna administreras dock som SQL-kluster och IT har inga administratörsrättigheter för databaserna. De har heller inga administratörs rättigheter på applikationsnivå och kan inte se information från systemen. Systemförvaltaren bestämmer vilka som ska ha åtkomst på databasnivå samt applikationsnivå. Systembehörigheterna är satta utifrån vad som krävs av arbetsuppgifterna. Nej EY 11

Granskningspunkt Kommentar Utvärdering 7.5 Har organisationen en dokumenterad rutin för tilldelning, borttag eller förändring av behörighet? Är de kommunicerade till ansvarig för behörigheter? Det finns ingen dokumenterad process för tilldelning, borttag eller förändring av behörigheter. Den interna rutinen för behörighetstilldelning är delvis dokumenterad i Informationssäkerhetsinstruktionen Användare, i praktiken går det till enligt rutinen nedan för skapandet av ett nytt användarkonto: 1. Chef till den nyanställda fyller i en blankett från intranätet med önskemål om ett nytt Windowskonto. Blanketten skickas till service desk. 2. Service desk registrerar ärendet i ärendehanteringssystemet samt skapar kontot. 3. Chefen och/eller den nyanställde notifieras om att kontot är skapat. 4. Om den nyanställde behöver specifika systembehörigheter fyller chefen i en ny blankett. Denna blankett skickas till systemansvarig. 5. Systemansvarig tilldelar behörigheter. 6. Systemansvarig notifierar chef och/eller nyanställd. 7. Nyanställd byter lösenord. Det görs ingen formell kontroll av att chefen verkligen är chef till den nyanställde. För behörigheter till system/applikationer krävs det att en ansökan görs av den anställdas chef till systemförvaltaren. För borttag och förändring av behörigheter finns processen delvis beskriven i Informationssäkerhetsinstruktionen Användare, kap 11 Avslutning av anställning, där det är angivet att chefen ska avbeställa användarens behörigheter. 7.6 Får nya användare ett initialt lösenord som de måste byta, till ett eget valt lösenord vid första användning? 7.7 Genomförs kontinuerlig (minst en gång per år) kontroll av organisationens behörigheter? 7.8 Har systemadministratörer/- tekniker/-användare individuella unika användaridentiteter? 7.9 Öppnas låsta användarkonton först efter säker identifiering av användaren? 7.10 Finns en gemensam lösenordspolicy? I framtiden ska systemet artvise användas där hela processen loggförs från beställande, godkännande till upplägg/borttag/förändring av behörighet., för nyare system så används SSO. Systemförvaltningen går igenom applikationsbehörigheter två gånger per år. Dock sker ingen genomgång av AD-konton.. Konton skapas automatiskt via metakatalogen men aktiveras först efter att den anställdas chef efterfrågat det. I Informationssäkerhetsinstruktionen Användare står det att lösenordet skall: vara minst sex tecken långt för inloggning till IT-nätverket, beträffande övriga system så kan det variera från system till system. Ska bestå av en blandning av stora och små bokstäver, siffror och helst specialtecken Inte återanvändas I kap 4.4 byte av lösenord står det: Byte av lösenord är aktuellt: Var 180:e dag när det gäller IT-nätverket Var 180:e dag när det gäller informationssystemen Omedelbart om du misstänker att någon annan känner till det Lösenordslängden i PA-systemet och i Raindance är 5 tecken. Att byta lösenordspolicy för dessa system anses vara svårt då det är gamla system. Det nya systemet Pulsar combined använder två-faktors inloggning, d.v.s. ett fysiskt SITS-kort samt ett lösenord. EY 12

Granskningspunkt Kommentar Utvärdering 7.11 Sker automatisk aktivering av skärmsläckare och automatisk låsning av obevakade arbetsstationer efter visst givet tidsintervall? Upplåsning kan endast ske med lösenord. 7.12 Är brandväggsfunktionen den enda kanalen för IP-baserad datakommunikation till och från organisationen? 7.13 Finns en dokumenterad brandväggspolicy där det beskrivs vilka tjänster brandväggen skall tillhandahålla? 7.14 Används trådlösa lokala nät? I så fall, finns det åtgärder mot obehörig avlyssning och obehörigt utnyttjande av resurser? 7.15 Finns det en karta över nuvarande säkerhetsarkitektur (tekniska anvisningar) för interna och externa nät och kommunikationssystem? 7.16 Har organisationen upprättat dokumenterade riktlinjer avseende lagring? 7.17 Har verksamheten ställt och dokumenterat tekniska säkerhetskrav och krav på praktisk hantering avseende användandet av mobil datorutrustning och distansarbete? 7.18 Har systemägaren eller motsvarande beslutat om att ett informationssystems information ska få bearbetas på distans med stationär eller mobil utrustning? 7.19 Finns det aktuell dokumentation med regler för distansarbete?.. Ingen formell policy, enligt IT är allt låst och om någon port/funktion ska låsas upp i brandväggen så krävs det att en ansökan kommer in som behandlas., skolnätet, administrativa nätet och det publika nätet. Skolnätet och administrativa nätet är krypterade. Det publika nätet kräver autentisering.. 8 Anskaffning, utveckling och underhåll av informationssystem 8.1 Har en systemsäkerhetsanalys upprättats och dokumenterats för varje informationssystem som bedöms som viktigt? 8.2 Krypteras persondata som förmedlas över öppna nät? 8.3 Finns det angiven personal som ansvarar för systemunderhåll? 8.4 Finns det regler för hur system- och programutveckling ska genomföras? I Informationssäkerhetsinstruktionen Användare regleras lagring av information i kapitel 6.3 Nej. En del anställda läser e-post i mobiltelefoner som ej är krypterade. Det finns ett pågående arbete med att införa ett krypterat system för att läsa e-post på mobiltelefoner och surfplattor, detta planeras till hösten. Det finns inga tekniska krav för distansarbete. Däremot finns det krav på den praktiska hanteringen för distansarbetet dokumenterat i Informationssäkerhetsinstruktionen Användare kap 7. Enhetschefen bestämmer från person till person. Krav på distansarbete finns beskrivet i IT-säkerhetsinstruktion: Användare. Kraven täcker fysiskt skydd, skydd mot skadlig programkod, överföring av information samt kommunens kommunikationslösning för distansarbete. Systemsäkerhetsanalys skall göras enligt informationssäkerhetspolicyn. För det ej produktionssatta systemet Pulsar combined har det gjorts en systemsäkerhetsanalys. Det har emellertid ej gjorts för alla de andra systemen men ett arbete med detta har påbörjats., med VPN eller SSL., minst en person per system på IT-avdelningen., rutiner finns dokumenterade i instruktionerna Vad är systemförvaltning och Arbetsmodellen i linjen. Programförändringar måste passera IT-rådet och därefter testas innan produktionssättning. Dokumentation utgörs av arbetsmodellsinstruktioner och ett arbete pågår för att få en enhetlig process för programförändringar. Detta är inte fullt ut implementerat. För extern utveckling hos leverantörer så följs denna process i projektet för Pulsar combined, dock så följs det inte av övriga leverantörer än. Nej Nej EY 13

Granskningspunkt Kommentar Utvärdering 8.5 Finns det regler och riktlinjer avseende beslut om programändringar? 8.6 Finns det dokumenterade rutiner för hur utbildning ska genomföras för köpta system? Omfattar rutinen även kompletterande utbildning vid program- och funktionsändringar? 8.7 Finns det en uppdaterad och aktuell systemdokumentation för ett informationssystem? 9 Hantering av informationssäkerhetsincidenter, det finns instruktioner för systemförvaltning dock pågår arbete för att få detta arbetssätt implementerat i hela organisationen. IT-rådet godkänner programförändringar. Större förändringar måste ansökas till Per-Ola och mindre förändringar godkänns av Fredrik. Kommunstyrelsen beslutar om investeringar som går utanför driftbudgeten. Inga dokumenterade rutiner, men i större projekt liknande Pulsar combined eller artvise så är det projektledarens ansvar att det genomförs utbildningar för systemet. Har endast standardsystem. Ej tillämpligt 9.1 Finns det dokumenterade instruktioner avseende vart användare skall vända sig och hur de skall agera vid funktionsfel, misstanke om intrång eller vid andra störningar? I Informationssäkerhetsinstruktionen Användare står följande om incidenthantering i kap 10: Om du misstänker att någon använt din användaridentitet eller att du varit utsatt för någon annan typ av incident ska du: notera när du senast var inne i IT-systemet notera när du upptäckte incidenten omedelbart anmäla förhållandet till informationssäkerhetssamordnaren eller din chef dokumentera alla iakttagelser i samband med upptäckten och försöka fastställa om kvaliteten på din information har påverkats Om du misstänker eller upptäcker att du har varit utsatt för någon typ av incident är du skyldig att rapportera detta till ITenheten och informationssäkerhetssamordnaren. 10 Kontinuitetsplanering i verksamheten 10.1 Finns det en gemensam kontinuitetsplan dokumenterad för organisationen? 10.2 Har systemägaren eller motsvarande beslutat om den längsta acceptabla tid som informationssystemet bedöms kunna vara ur funktion innan verksamheten äventyras? 10.3 Finns det en dokumenterad avbrottsplan med återstarts- och reservrutiner för datadriften som vidtas inom ramen för ordinarie driften? 10.4 Kan verksamheten bedrivas med manuella eller maskinella reservrutiner under begränsad tid? Är befintliga reservrutiner dokumenterade? 10.5 Har omständigheter som ska betecknas som kris/katastrof (extraordinära händelser) för verksamheten kartlagts? 11 Efterlevnad I Informationssäkerhetspolicyn står det: En kontinuitetsplan ska finnas för driften av IT-verksamheten baserad på de olika informationssystemens samlade krav. IT-driftschefen ansvarar för att uppfylla myndighetens kontinuitetsplan för IT-stödet. Det finns en krisplan för extraordinära händelser: Plan för hantering av EOH 2011- som uppdateras varje mandatperiod Det finns inga SLA:er mellan verksamhet och IT-organisation som tar hänsyn till avbrottstider. Ett arbete pågår dock med att skapa förvaltningsplaner för alla systemen. I förvaltningsplanen finns tillgänglighetskravet specificerat. Utöver krisplanen som är mer generell för organisationen så finns det översiktliga checklistor för IT-avdelningen för vilka åtgärder som ska vidtas vid avbrott dokumenterade i t ex Driftoch avbrottsdokumentation E-Post System eller WMData Omsorg. Dessa finns inte för alla system. Verksamheten har information om hur de ska hantera sina manuella rutiner, dessa finns dokumenterade., i samband med att krisplanen togs fram. EY 14

Granskningspunkt Kommentar Utvärdering 11.1 Användas endast programvaror i enlighet med gällande avtal och licensregler? 11.2 Finns det regler för godkännande och distribution av programvaror för att efterleva rådande upphovsrättsliga regler? 11.3 Har organisationen förtecknat och anmält personuppgifter till personuppgiftsombud? 11.4 Genomförs interna och externa penetrationstester kontinuerligt? 11.5 Granskar ledningspersoner regelbundet att säkerhetsrutiner, - policy och -normer efterlevs. IT tilldelar bara datorerna rättigheter till viss programvara och ger inte användarna licenser för programvaror. Det finns dokumenterat vilka användare som har tilldelats programvaror och vilka dessa är. Det görs en årlig genomgång av licenserna. Regler finns i IT-säkerhetsinstruktioner: Användare. Nya programvaror distribueras med Software Management System (SMS)., en person i varje nämnd är personuppgiftsombud., det genomförs en årlig penetrationstestning med hjälp av externa konsulter. Det kommer att följas upp i en kommande intern kontrollplan som är lagd till nästa år. Det har dock inte genomförts än. Nej EY 15

3. Jämförelse mot andra kommuner EY har gjort ett flertal gapanalyser mot BITS hos Sveriges kommuner. Tack vare detta kan vi mäta Upplands Väsby kommuns mognadsgrad rörande informationssäkerhet mot ett genomsnitt av de kommuner vi granskat. I jämförelsen presenteras även resultaten från ITrevisionen som genomfördes 2009 på Upplands Väsby kommun. I diagrammet nedan representerar ytterkanten 100 % måluppfyllnad, medan mittpunkten anger 0 % måluppfyllnad. 1.Säkerhetspolicy 2.Organisation av säkerheten 3.Hantering av tillgångar 4.Personalresurser och säkerhet 5.Fysisk och miljörelaterad säkerhet 6.Styrning och kommunikation av drift 7.Styrning av åtkomst 8.Anskaffning, utveckling och underhåll av informationssystem 9.Hantering av informationssäkerhets-incidenter 10.Kontinuitetsplanering i verksamheten 11.Efterlevnad Mognadsgrad av informationssäkerhet Jämförelse mot kommungenomsnitt 1 11 2 10 3 9 4 Kommunsnitt* Upplands Väsby Upplands Väsby 2009 8 5 7 6 *Kommunsnitt baseras på 19 granskningar genomförda mellan 2009. Det framgår från diagrammet att Upplands Väsby kommun ligger mycket bättre till än kommungenomsnittet på kontrollpunkterna 1,2,3,4,9,10 och 11 samt att kommunen är lite bättre än kommungenomsnittet på kontrollpunkterna 5,6,7 och 8. EY 16

4. Slutsatser och rekommendationer 4.1 Generella slutsatser Upplands Väsby kommun har förutsättningar för ett effektivt arbete med informationssäkerhet. Kommunen har en utsedd person som ansvarar för informationssäkerhet samt informationssäkerhetspolicy och underliggande instruktioner som beskriver hur arbetet skall genomföras. Av samtliga granskningspunkter är fördelningen av bedömningarna följande: Nej Kontrollen finns ej/eller fungerar ej tillfredsställande: 7 % Kontrollen finns och fungerar delvis: 28 % Kontrollen finns och fungerar tillfredsställande: 63 % E/T Ej tillämplig, kontrollen behövs ej av särskilda skäl: 1 % Kommunens starkaste områden är: Hantering av informationssäkerhetsincidenter Fysisk och miljörelaterad säkerhet Efterlevnad Personalresurser och säkerhet Säkerhetspolicy Kommunens svagaste områden är: Kontinuitetsplanering för IT-verksamheten Dokumenterade rutiner för behörighets- och programförändringsprocesser Anskaffning, utveckling och underhåll av informationssystem EY 17

4.2 Rekommendationer från års rapport Utöver iakttagelserna från 2009 (se nedan) så har vi ej noterat några nya iakttagelser. 4.3 Rekommendationer från 2009 års rapport Nedan följer de iakttagelser och rekommendationer som fanns med i 2009 års rapport om informationssäkerhet i Upplands Väsby kommun. Där det har skett visa mindre förändringar i informationen har vi lagt till en kort uppdatering i början av rekommendationen. Rekommendationerna är prioriterade enligt följande: Hög Medel Låg Nyckelkontroll ej på plats/ej effektiv. Bristen bör åtgärdas snarast för att säkerställa god intern kontroll på kort sikt. Nyckelkontroll delvis på plats/delvis effektiv. Bristen bör åtgärdas för att säkerställa god intern kontroll på lång sikt. Nyckelkontroll på plats men effektivitet kan förbättras. Bristen bör åtgärdas på lång sikt. # Iakttagelse och rekommendation Prioritet 1. Uppdatering : En kortare beskrivning finns av rutinen för behörigheter i Informationssäkerhetsinstruktion Förvaltning i övrigt kvarstår nedanstående iakttagelse och rekommendation. Iakttagelse: Brister i dokumentation av behörighetsrutiner Vi har ej identifierat formellt dokumenterade rutiner för behörighetsadministration. Utkast finns i IT-säkerhetsinstruktion: Administration och förvaltning. Risk: Att inte ha en formell rutin för behörighetsadministration kan öka risken att icke-auktoriserade personer får åtkomst till system och information. Rekommendation: Vi rekommenderar Upplands Väsby kommun att dokumentera och implementera en enhetlig process för att skapa nya/ta bort/förändra rättigheter i systemen. Följande kontroller och aktiviteter bör finnas med: Det skall framgå vem som får beställa nya/borttag/ändrade rättigheter (vanligtvis linjechef eller personalavdelning). Service desk, eller mottagare av beställning, bör kontrollera att beställaren har befogenheter att göra beställning. Information om att konto har skapats bör skickas med kopia till beställaren. Kontouppgifter bör ej skickas okrypterade över publika nätverk. Användaren bör byta lösenord vid första inloggning. Det bör vara klarlagt vem som ansvarar för att en person som slutar, ej längre har rättigheter till systemen (linjechef eller personalavdelning). Hög EY 18