Göran Nilsson Ordförandens förslag Diarienummer Kommunstyrelsens ordförande Datum KS-2010/605 2012-02-15 Kommunstyrelsen Uppföljning av 2008 års granskning av informationssäkerheten hos Knivsta kommun KS-2011/787 Förslag till beslut Kommunstyrelsen beslutar att lämna tjänsteskrivelse 2012-01-13 som kommunstyrelsens svar på revisorernas begäran. Göran Nilsson
Handläggare Tjänsteskrivelse Diarienummer Anders Fredriksson Datum KS-2011/787 2012-01-13 Kommunstyrelsen Uppföljning av 2008 års granskning av informationssäkerheten hos Knivsta kommun KS-2011/787 Förslag till beslut Kommunstyrelsen beslutar att lämna tjänsteskrivelse 2012-01-13 som kommunstyrelsens svar på revisorernas begäran. Sammanfattning Kommunens revisorer har som ett led i granskningen av kommunens räkenskaper och förvaltning uppdragit åt revisorerna att följa upp den granskning av informationssäkerheten som gjordes 2008. Noteringar från granskningen framgår av bifogad rapport. Av sammanfattningen framgår att många av iakttagelserna från 2008 kvarstår. Efter kommunstyrelsen svar till revisorer har ett krav på förtydligande inkommit till Kommunstyrelsen. Svar Kontroll 14: Ställ krav på att användare har tillräcklig kunskap, säkerhetskunskap innan tillgång till informationssystem och information tilldelas. Kraven definieras genom systemsäkerhetsanalys och dokumenteras och kommuniceras. Syn på rekommendationen: Definierade krav på användare finns i grundkraven som finns i IT-instruktion Förvaltning detta ansvar ligger på respektive nämnd och av dessa delegerat ansvar till Systemförvaltare/ägare. I samband med introduktion av nyanställd personal ska chef eller systemansvarig genomföra utbildning i användandet av systemen och de krav som gäller för hanteringen av aktuell information. Detta skall kontrolleras i respektive verksamhets egenkontrollprogram. Åtgärd: Alla chefer i kommunen och de kommunala bolagen genomgår en Chefsutbildning Chefskörkortet som innehåller olika delar av en chefs uppdrag, varav IT är en betydande del av utbildningen. I den är informationssäkerheten central. Under året kommer en kompletteringsutbildning att äga rum, där systemägarrollen får stort fokus. Under utbildningen kommer den av förvaltningen framtagna utredningen Systemförvaltning i Knivsta kommun diskuteras. Se Bilaga 1
Kontroll 17: Etablera användarmanualer för informationssystem med hänsyn till användarnas kunskaper och behov. Användarmanualen bör vara inriktad på normalanvändaren och fungera som en grundläggande användarguide för nybörjaren. Användarmanualen bör minst innehålla: Övergripande beskrivning Handhavande av systemets funktioner Systemets förvaltningsorganisation Vart man vänder sig för att få hjälp med fel, förslag och incidentrapporter. Säkerhetsbestämmelser för systemet och dess information. Syn på rekommendationen: Användarmanualer finns i varierande omfattning beroende på behov och användande av systemen. Antalet användare och komplexiteten varierar kraftigt från system med en användare till e-postsystemet med dryga 1400 användare. Åtgärd: Användarmanualer ska tas fram av systemansvarig vid behov på uppdrag av Systemägare, uppföljning ska ske via egenkontrollprogrammet. I samband med den översyn som pågår kommer dokumentationen att ses över och vid behov successivt revideras. Kontroll 18: Upprätta tydliga rutiner och riktlinjer för hur tillgångar som används av anställda som slutar återlämnas och att åtkomsträtten raderas. Upprätta en struktur vem som har ansvar och genomför olika steg i rutinen. Syn på rekommendationen: Indragning av utkomsträtt till information sker, genom en avvecklingsbegäran till ITenheten som distribueras till respektive systemansvarig. Rutiner finns men följs många gånger inte av respektive chef. På grund av detta sker regelbundna kontroller av användandet av konton på plattformen oanvända konton blockeras efter tre månader. Åtgärd: Det finns en rutin för avveckling av anställda innehållande ett antal delar bland annat borttagning av åtkomsträtt/inloggningar till informationssystem. Dessa rutiner kommer att aktualiseras på inplanerade chefsmöten under 2012. Checklista bilaga 2. Kontroll 42: Etablera rutiner för loggning och arkivering av revisionsloggar för säkerhetsrelevanta händelser. Loggar för säkerhetsrelevanta händelser bör minst innehålla: Användaridentitet Datum och tidpunkt för in och utloggning Lyckade och misslyckade försök till systemåtkomst Registrering av lyckade och misslyckade försök till systemåtkomst Registrering av lyckade och misslyckade försök till data och andra resurser
Syn på rekommendationen: Rutiner för kontroll av säkerhetsrelevanta händelser i systemen ligger på respektive Systemförvaltare/ägare. Liksom rutiner gällande hantering av annan känslig eller värdefull information och dokumentation är verksamhetens ansvar. Genomförda kontroller ska dokumenteras och arkiveras på ett säkert sätt. Åtgärd: En genomlysning av rutinerna kommer att göras av samtliga Systemförvaltare/ägare till system med känslig eller värdefull information. Detta sker i samband med den fördjupade dokumentation av systemförvaltningen som pågår. Kontroll 49 Upprätta riktlinjer och arbetsrutiner att registrera säkerhetsrelevanta händelser och kontroll av säkerhetsloggar. Säkerhetsloggar bör minst omfatta: Användaridentitet Datum och tidpunkt för in och utloggning Lyckade och misslyckade försök till åtkomst Syn på rekommendationen: Rutiner för kontroll av säkerhetsrelevanta händelser i systemen ligger på respektive Systemförvaltare/ägare. Liksom rutiner gällande hantering av annan känslig eller värdefull information och dokumentation är verksamhetens ansvar. Genomförda kontroller ska dokumenteras och arkiveras på ett säkert sätt. Åtgärd: En genomlysning av riktlinjer och rutiner kommer att göras av samtliga Systemförvaltare/ägare till system med känslig eller värdefull information. Detta sker i samband med den fördjupade dokumentation av systemförvaltningen som pågår. Kontroll 50 Dokumentera behörigheter och befogenheter för all icke anställd personal som i en eller annan funktion kan komma i kontakt med IT-resurser eller IT-funktioner. Icke anställd personal bör skriftligen kontrakteras och skriva under tystnadsförbindelse. Systemägare eller delegerad skall fastställa vilka och vilken typ av anslutningar till tele och datanät som ska tillåtas. Beslut om tele och datanät ska dokumenteras. Syn på rekommendationen: Dokumentation av tredjepartsåtkomst har setts över då nya driftsleverantören har tillträtt. Beställning av öppning av brandväggar beställs av behörig personal som systemansvarig eller från IT-enheten, på blankett som sparas på IT-enheten. Sekretessförbindelse för konsult är framtagen sedan kommunstarten, samtliga hos driftleverantören anställda tekniker har skrivit på gällande alla deras kunder och detta regleras i kraven från Kammarkollegiets ramavtal.
Åtgärd: Systemansvariga ska ansvara för att systemleverantörernas tekniker har skrivit under sekretessförbindelse innan åtkomst till systemet. Flera alternativ av säkra förbindelser har tidigare använts, dessa kommer successivt att flyttas till kommunens nya säkerhetsplattform. Kontroll 53 Säkerställ att samtliga behörighetsprofiler för administratörer endast medger åtkomst till system- applikationer och systemverktyg som behövs för att lösa arbetsuppgifterna. Verifiera att behörighetsregistret endast är åtkomligt för utsedd administratör. Endast denna eller delegerad skall kunna registrera förändra eller ta bort användares åtkomsträttigheter. Minimera antalet priviligerade användarkonton. Syn på rekommendationen: Tekniker hos driftsleverantören ska aldrig ha inloggningsuppgifter i verksamhetssystem på grund av säkerhetsrisker. Driftsleverantörens ansvar är att hantera plattformen och kommunikationen och leverantör av verksamhetssystem hanterar eventuella problem i verksamhetssystemet. Användarnas tillgång till information regleras av systemansvarig på uppdrag av systemägare och ska alltid vara kopplad till arbetsuppgifter. Åtgärd: Användarkonton med högre behörigheter dokumenteras och krav ställs på nya applikationer vid upphandling eller avrop, att de ska kunna användas med basbehörighet. Lena Fransson kommunchef