Handbok för informationssäkerhet http://disa.msb.se 20 1
Har du frågor om IT-säkerhet kontakta; IT-strategen i din kommun: Essunga kommun, Kristina Rudolfson, 0512-570 68 Götene kommun, Ingemar Ros, 0511-38 68 88 Lidköpings kommun, Lars-Gunnar Rask, 0510-77 01 27 Skara kommun, Peter Blom, 0511-320 40 Eller Säkerhetssamordnaren i din kommun: Essunga kommun, Frida Björcman, 0512-570 51 Götene kommun, Dag Högrell, 0511-38 60 16 Lidköpings kommun, Stefan Gustafsson, 0510-77 15 35 Skara kommun, Bo-Lennart Sandquist, 0511-320 82 Utgåva 2.0 2012-06-01 2 19
Innehållsförteckning Informationssäkerhet... 4 Alla kommunanställda har ett eget säkerhetsansvar... 4 IT-info... 5 Service Desk... 5 Arbetsplatsen - din dator... 6 Lösenord och loggning... 6 Checklista för lösenord... 7 Användarkonto och E-post... 8 Verksamhetssystem och programvaror... 9 Vad är skillnaden mellan system och programvara?... 9 Underhåll och uppgraderingar... 10 Internet... 10 Backup, arkivering och allmänna handlingar... 11 Skadlig kod och spionprogram... 12 Virus sprids ofta från... 12 Radio, video och strömmande musik... 13 Incidenter och incidentrapportering... 14 Länkar till nyttigheter... 16 18 3
GöLiSka IT http://it-info.goliskait.se/ Länkar till nyttigheter ComAround https://support.comaround.se/default.aspx Informationssäkerhet på Dinsäkerhet.se http://www.dinsäkerhet.se/informationssakerhet/ Filmer och handledningar på Post & Telestyrelsen http://www.pts.se/sv/internet/internetsakerhet/ För att få kunskap om fallgroparna på Internet http://surfalugnt.se/ Tips hur man kan tänka avseende lösenord och test av styrkan https://www.testalosenord.pts.se/ Datorstödd informationssäkerhetsutbildning för användare (DISA) http://disa.msb.se 4 17
Informationssäkerhet Informationssäkerhet handlar om skyddet av information, oaktat hur den förvaras, bearbetas eller skickas. IT-säkerhet handlar om säkerhet i tekniksystem. Kommunerna har fastställt styrande dokument gällande informationssäkerhet. Ur dessa styrande dokument har denna handbok tagits fram för dig som användare i kommunernas IT-system. För att samordna, säkra och effektivisera IT-driften har alla fyra kommuner en IT-strateg. I varje förvaltning finns också IT-ansvariga som är kontaktperson för IT-frågor och som förmedlar information till och från IT-strategen och förvaltningen. IT-strategen är kontaktperson mellan kommunens förvaltningar och samarbetspartner med GöLiSka IT. Alla kommunanställda har ett eget säkerhetsansvar Utvecklingen inom IT rusar på i ett snabbt tempo, vi får fler och fler IT-system som skall underlätta och effektivisera det dagliga arbetet. Vi är sammankopplade i nätverk och kan kommunicera med varandra oavsett om det är vägg i vägg eller på andra sidan jordklotet. Med den positiva sidan följer även med en hotbild som gör oss väldigt sårbara. Genom e-post, nedladdning på internet, mobila enheter, sociala nätverk med mera kan datorer och nätverk bli smittade av virusprogram som kan förvanska, förstöra eller stjäla lagrad information. Hackare kan också ta sig in på datorer och i nätverk för att förvanska, förstöra eller stjäla information. Det finns också människor som ägnar sig åt social ingenjörskonst, till exempel om en person står bakom dig när du loggar in på din dator för att lista ut ditt lösenord. 16 5
För att underlätta förståelsen och öka säkerhetsmedvetenheten har denna handbok tagits fram. Dokumentet är till för att hjälpa dig som användare i kommunernas IT-system. IT Info GöLiSka IT:s webbplats Information om GöLiSka IT finns på internetplats IT Info. IT info finns som en ikon på skrivbordet och på adressen http://it-info.goliskait.se. Logga in med ditt användarnamn och lösenord. Här informerar GöLiSka IT om nyheter och driftstopp. Service Desk Du ska som användare alltid vända dig Service Desk med alla IT ärenden genom att ringa, faxa eller maila. Om Service Desk inte kan lösa ditt problem direkt får du ett ärendenummer och en tidsuppgift hur länge ditt ärende kommer att ta. Du får också en kvittens på ditt ärende via e-post. Tar ärendet längre tid än lovat meddelas detta. Grundregeln är: Om problemet/felet gäller dator, skrivare eller program - kontakta GöLiSka IT. Om problemet/felet gäller telefonen - kontakta Växeln. Incidenter och incidentrapportering För att GöLiSka IT ska kunna hindra en attack, eliminera ett potentiellt hot eller begränsa dess verkan, är det är viktigt att tidigt få reda på om något är på gång. Du som användare ska rapportera det som avviker från det normala. Anmäl endast genom telefon inte e-post! Om du misstänker att någon obehörigt använt din användaridentitet byt lösenord anmäl att ditt lösenord har röjts notera när du senast var inne i systemet och när du upptäckte intrånget. försök att fastställa om någon information har förvanskats eller förlorats Om du misstänker att din dator har drabbats av en virusattack - avbryt allt arbete, kontakta GöLiSka IT omedelbart och dra ur nätverkssladden om du vet var den sitter. Anmäl omedelbart till GöLiSka IT, IT-ansvarig eller närmaste chef om du misstänker hot mot IT-säkerheten. 6 15
Internet Ladda inte ner och installera programvaror från Internet på din arbetsdator som inte är godkända. Radio, video och strömmande musik Strömmande media kan kräva hög bandbredd. Detta innebär att annan datatrafik kan komma att saktas ner vid t.ex. användande av Spotify eller Youtube. Om man dessutom gör detta via en mobil enhet, t.ex. smartphone, kan det generera höga kostnader om inte abonnemanget är anpassat därefter. Arbetsplatsen din dator Din närmaste chef ansvarar för att du har en datorarbetsplats. GöLiSka IT ser till att du har tillgång till de system/program som du har behörighet till att använda och att datorn fungerar i nätverket. GöLiSka IT skrotar gamla datorer och förmedlar reparationer av datorer med garanti. De håller däremot inte med utbytesdatorer och lagar inte datorer där garantin har gått ut men de kan förmedla kontakt med företag som utför reparation. Har du en bärbar arbetsdator som inte jämt är inkopplad i nätverket så bör du se till att logga in den i kommunens nätverk minst en gång i månaden för att uppdatera antivirusprogrammet. Alla datorer ägs av förvaltningarna men köps via GöLiSka IT. Privata datorer och datorer som inte GöLiSka IT har godkänt får ej kopplas till adm eller edu nätverket. Lösenord och loggning Du som anställd och IT användare har ett viktigt ansvar att skydda den information som samlats i kommunens system/program och nätverk samt att följa avtalet som tecknats med GöLiSka IT. Avtalet med GöLiSka IT finns på respektive kommuns intranät. Kontouppgifter är strängt personliga och får inte lämnas ut! Användaridentiteten tillsammans med lösenordet identifierar dig när du använder datasystemen. Du är ansvarig för allt som händer i ditt namn. Om du misstänker att ditt användarnamn används obehörigt av någon annan så ska du omedelbart anmäla detta till GöLiSka IT. 14 7
Checklista för lösenord Låna aldrig ut ditt lösenord till någon annan! Skydda ditt lösenord på ett betryggande sätt. Är det tänkta lösenordet väldigt likt något lösenord jag använder eller har använt tidigare? Innehåller lösenordet ord, namn eller uppgifter som kan kopplas till mig? Innehåller lösenordet välkända begrepp eller namn? Har jag sett till att lösenordet är konstruerat med hjälp av stora och små bokstäver och siffror? Har jag säkerställt att lösenordet är ologiskt för utomstående? Har jag någon gång lämnat ut ett lösenord som påminner om mitt nya? Är lösenordet konstruerat på ett sådant sätt att jag kan komma ihåg det, eller behöver jag skriva ned det? Använd inte å, ä eller ö i lösenordet. Skadlig kod och spionprogram Skadlig kod som trojaner, maskar, skadliga makron med mera, kan beskrivas som program som någon skapat endast för att förvanska, förstöra, sprida eller skapa vägar in till vår lagrade information i nätverk och på datorer. Virusprogrammen är smittsamma och kan vara svåra att identifiera. Ibland är det skadliga programmet konstruerat för att hämta information om hur man använder sin dator och skickar sedan informationen vidare genom Internet, till personer med mer eller mindre brottsliga intentioner. Smittan finns oftast på Internet i bilder, filer och gratisprogram men smittan kan också komma i e-post och då framför allt i e-postbilagor. Tänk också på att virusprogram kan överföras genom smartphones, läsplattor eller USBminnen. Virus sprids ofta från E-post Öppna inte filer som ser misstänkta ut eller kommit med e-post från avsändare du inte litar på. Var vaksam om du får e-post från vänner eller arbetskamrater om text eller rubrik är på avvikande språk. E-post i form av julkort och kedjebrev kan vara en stor virusspridare. Flyttbar media Tänk efter innan du ansluter mobiltelefoner, digitalkameror, handdatorer m.fl. som inte tillhör kommunen i kommunens datorer. 8 13
Backup, arkivering och allmänna handlingar GöLiSka IT tar säkerhetskopior (Backup) varje natt på alla filer som sparas i kommunens nätverk. Därför ska du spara alla dina dokument som du skapar, på nätverket. Det finns gemensamma mappar i nätverket men du har också din egen mapp som ingen annan kommer åt din hemkatalog (enhet H eller Mina dokument ). Spara filer bara i undantagsfall på datorns lokala hårddisk (C). På datorns lokala hårddisk har du ingen backup. Den som kommer åt datorn, kan se dina filer och filerna försvinner med datorn om den kraschar eller installeras om. Om du sparar i ett flyttbart lagringsmedia som till exempel USB-minne, var noggrann med att skydda denna information med exempelvis lösenord. Tänk också på hur du förvarar USB-minnet och gör en backup på kommunens nätverk. Användarkonto och E-post Din närmaste chef ansvarar för att du har ett användarkonto med e-post. Alla har 100 Mb i lagringsmöjlighet på e-postkontot men om du behöver mer plats kan du kontakta IT-strategen i din kommun. Din närmaste chef ansvarar också för att du ska få information/utbildning om vilka regler som gäller i avtalet och kring informationssäkerheten innan du får tillgång till nätverk, program, Internet och e-post. All e-post du skickar och tar emot, ska betraktas som all annan post i pappersform. Den kan ibland vara en allmän handling och kan då behöva registreras. Se till att någon kan kontrollera din e-post eller använd dig av funktionen för autosvar när du har semester är tjänstledig eller sjuk. Detta görs genom en inställning i e-postsystemet. GöLiSka IT kan berätta hur, lathund för Outlook finns på ComAround. När du skickar e-post eller använder Internet så gör du detta som en representant för kommunen. Skicka inte julkort eller kedjebrev vidare då detta kan orsaka stora belastningar på IT-systemen. Du är ansvarig för det material du producerar och det du får från andra. Som kommunanställd finns det lagar som reglerar hur du hanterar den information som du får, skapar och sparar i kommunens nätverk i ditt arbete. Kommunen/ varje förvaltning är en myndighet och information som skapas och cirkulerar på arbetsplatserna är allmänna handlingar som regleras genom bestämmelserna i bland annat arkivlagen och sekretesslagen. Privat information får inte lagras i kommunens IT-system. Undantag är enstaka e-post under kortare tid. Om du slutar din anställning eller byter arbetsuppgifter är du skyldig att gå igenom och rensa i dina filer och e-post. Tillsammans med din chef ska du bestämma var och hur den sparade e-posten och filerna ska arkiveras. 12 9
Verksamhetssystem och programvaror All information i system, programvaror, e-post och mappar i intranätet ska vara skyddade av antivirusprogram. GöLiSka IT ser till att programvarorna blir uppgraderade på rätt sätt och fungerar tillsammans i nätverket. För alla system och programvaror som används i din förvaltning ska en systemägare och en systemförvaltare vara utsedd. Aktuella listor på dessa ansvariga ska skriftligt lämnas till GöLiSka IT som själva utser en systemadministratör till varje system/programvara. Vid allvarliga problem med ett system/ programvaror eller driftstopp kontaktar GöLiSka IT kommunens systemförvaltare. Vid planer att införskaffa nya system/programvaror eller vid avveckling av befintliga ska IT-strategen i din kommun och GöLiSka IT kontaktas i ett tidigt skede. Vad är skillnaden mellan system och programvara? Ett system är en stor och ofta för kommunen gemensam programvara som finns på en central plats hos GöLiSka IT, till exempel personalsystem eller lönesystem. En programvara är ett program som används på den lokala datorn och är inte lika komplex som ett verksamhetssystem. Till ett system räknas också inoch utdata, användare m.m. Underhåll och uppgraderingar av system och programvaror GöLiSka IT behöver tillfällen för att göra underhåll/uppgraderingar av kommunens system/programvaror. Dessa ska företrädesvis ske en vardagskväll högst varannan vecka mellan 18.00-24.00 för att verksamheten ska störas så lite som möjligt. Inför dessa avbrott kommer du att meddelas per e-post vilket/ vilka system/programvaror som stängs av och hur länge. Internet Kommunens lokala nätverk är anslutet till Internet genom en brandvägg. Denna ska skydda den information som finns i nätverket. I undantagsfall får du utföra privata ärenden på Internet om detta inte påverkar tjänsteutövningen. Vid användning av tjänster, bloggar mm, lämnar användaren spår efter sig som kan uppfattas komma från kommunen. Använd inte samma användarnamn eller lösenord vid registrering på exempelvis konferensplatser eller inloggning på publika e-postservrar eller nätverkssidor som du använder i kommunens system. Om en extern webbplats hackas så kan det ge åtkomst till kommunens system. Program som inte är godkända får inte installeras på din arbetsdator och avvisa alltid alla förfrågningar om att installera program när du surfar. Om du är osäker på vilka program som är godkända så rådgör med din ITansvarige. 10 11