Dokument typ Funktion Klassning Nr,16758.7,21 $6 Bilaga 4. 1 Gäller Utgivare Grupp System/Apparat 5 5' Giltig/Datum Utgåva Ersätter 1997-03-01 05 Utgåva 04 Titel 6lNHUKHWVUHJOHUYLGGDWRUDQYlQGQLQJ Text 6$00$1)$771,1* Författare J Lundh Kontroll S Svennerud Fastställd A Hjorth Denna instruktion innehåller regler för datoranvändning. Här innefattas ej säkerhetsmässiga krav på värddatorer (servrar) och driften av dessa. Kraven riktas mot linjechefer och datoranvändare. Linjechefer ansvarar för att reglerna är kända i organisationen. I och med att dessa regler följs så uppnår man en god grundsäkerhetsnivå för informationshantering på datamedia. Delgives R-reg, samtliga chefer, samtliga systemförvaltare, RD(2), författare Identitet EL - INSTR. 01 Sökord Data, Säkerhet
2,11(+c//6)g57(&.1,1* 5()(5(16(5 $//0b17 2PIDWWQLQJ 'RNXPHQWVWUXNWXU $QVYDURUJDQLVDWLRQSHUVRQDO /g6(125' %$&.83+$17(5,1* 352*5$09$5$ 67g/'2%(+g5,*$19b1'1,1* $169$5)g5,1)250$7,21 6<67(0b*$5(2&+6<67(0)g59$/7$5( '$7259,586 ) UHE\JJDQGHVN\GGPRWGDWRUYLUXV cwjlugylgplvvwlqnwyluxv.20081,.$7,21 $QVOXWQLQJPRW5LQJKDOVQlWHW 0RGHPDQVOXWQLQJ,QWHUQHWHPDLO gyuljd,qwhuqhwixqnwlrqhu,1+<5'3(5621$/ %,/$*25 %LODJD Styrande Krav och Lagar 5()(5(16(5 Vattenfallkoncernens ADB-Säkerhetshandbok Koncernbeslut OB 6, 7 och 9 Koncerninstruktion QI 3 IT-Säkerhetspolicy för Ringhals, POLI0003 Behörighetsadministration i Ringhals administrativa datormiljö, INST0169 Datalagen (SFS 1992:446) Lagen om "Skydd för företagshemligheter" (SFS 1990:409) Lag om upphovsrätt till litterära och konstnärliga verk (1960:729, 1973:529) Hantering av administrativ dokumentation vid Ringhals, INST0001
3 $//0b17 2PIDWWQLQJ Denna instruktion omfattar alla datoranvändare inom Ringhals, således även inhyrd personal. Instruktionen gäller för PC, arbetsstationer och terminaler, men inte för servrar. 'RNXPHQWVWUXNWXU Styrande för detta dokument är "IT-Säkerhetspolicy för Ringhals" (Ref.4). Underliggande dokument är "Behörighetsadministration i Ringhals administrativa datormiljö" (Ref.5). $QVYDURUJDQLVDWLRQSHUVRQDO Denna instruktion skall vara känd av samtliga berörda. 5HVSHNWLYHOLQMHFKHIDQVYDUDUI UDWWDQYlQGDUHKDUHUIRUGHUOLJ XWELOGQLQJRFKLQIRUPDWLRQI UDWWNXQQDI OMDGHQQDLQVWUXNWLRQ NOTERA: RD = Ringhals IT-stab DR = Vattenfall Data Ringhals /g6(125' Personliga O VHQRUG förvaras oåtkomligt för annan person och får ej lämnas ut. Lösenord utformas tvingande mot användaren. +$17(5,1*$9'$7$ 6HUYHUQ skall användas för datalagring. Backup sker då automatiskt varje dygn. +nugglvn skall endast användas för programlagring och för data av personlig karaktär. All data ska lagras under katalog benämnd "data". Data skall hanteras på ett sådant sätt att de ej är åtkomliga för obehörig. INST 0001 anger regler.
4 352*5$09$5$ 3URGXNWVSHFLILND regler gäller för kopiering av inköpta program. Information om vilka programprodukter som är godkända för användning kan man få från DR (Vattenfall Data Ringhals), som på IT-stabens (RD) uppdrag upprätthåller produktkatalog över godkända produkter. 67g/'2%(+g5,*$19b1'1,1* Datorutrustning skall placeras i ett låsbart utrymme. Alternativt kan utrustning förses med lås som förhindrar stöld eller användning av obehörig; typ tangentbordslås. Bärbara datorer förses med extra märkning. Datorutrustning som ej förvaras enligt ovan skall hållas under rimlig uppsikt. 'DWRUVRPHMVWnUXQGHUXSSVLNWWH[DYPHGDUEHWDUHVNDOOYDUD I UVHGGPHGVNlUPVOlFNDUHPHGO VHQRUG När man lämnar sin arbetsplats för dagen skall man logga ut. $169$5)g5,1)250$7,21 Formell informationsägare är ansvarig linjechef. Den enskilde skall följa de instruktioner som finns uppställda. Det är linjechefs ansvar att den enskilde känner till dessa regler. 6<67(0b*$5(2&+6<67(0)g59$/7$5( System, Systemförvaltare och Systemägare VNDOOUHJLVWUHUDVL5,6 datorsystemförteckning (DELS). Respektive linjechef ansvarar för att denna registrering sker genom att kundstödfunktionen meddelas. Notera härvid att en datorfunktion som används av PHUlQHQSHUVRQ skall betraktas som ett System. 'HWWDJlOOHUlYHQORNDOWXWYHFNODGHV\VWHPH[HPSHOYLVL([FHORFK $FFHVV '$7259,586 ) UHE\JJDQGHVN\GGPRWGDWRUYLUXV Alla PC skall förses med antivirusprogram. Detta gäller även bärbara datorer och hemarbetsplatser. Vid service/underhåll på dator görs rutinmässigt kontroll avseende virus.
5 Utifrån kommande disketter eller andra datamedia skall alltid NRQWUROOHUDV med hjälp av antivirusprogram. Detta gäller även egna disketter som har använts på annan dator, t ex vid besök hos annat företag eller en privat dator i hemmet. Elpost (bifogade filer) kan innehålla virus. Dessa skall också kontrolleras om de kommer från avsändare utanför Vattenfall, som man ej känner. DR- tel 67532 - bistår med hjälp. cwjlugylgplvvwlqnwyluxv Vid påträffat virus, eller misstanke därom, skall DR kundstöd omedelbart kontaktas. Identifiering av eventuellt virus utförs av DR, som rapporterar till ITsäkerhetsansvarig i IT-staben RD. Uppföljning sker årligen. Rapporteringen syftar ej till att finna syndabockar, utan syftar till att hitta källorna till virusspridningen, och till att sätta in förebyggande åtgärder..20081,.$7,21 $QVOXWQLQJPRW5LQJKDOVQlWHW Inkoppling på Ringhalsnätet får endast utföras av DR. PC skall vara konfigurerad enligt Ringhals standard. 'HWlUHMWLOOnWHWDWWSnHJHQKDQGNRSSODLQXWUXVWQLQJSn5LQJKDOVQlWHW $QVOXWQLQJWLOOQlWHWVRPHMlUDWWEHWUDNWDVRPVWDQGDUGXWUXVWQLQJVNDOO JRGNlQQDVDY5' 0RGHPDQVOXWQLQJ Vid yttre kopplingar av nätanslutna PC skall anvisade säkerhetslösningar användas. Det är HMtillåtet att på egen hand etablera en modemförbindelse. Fristående modem anslutna till PC skall vara inställda så att endast utgående trafik tillåtes och skall hållas avstängda när de ej används. Faxmodem skall konfigureras så att det är möjligt att faxa men ej att ringa in till datorn.,qwhuqhwhpdlo Anslutning till elektronisk post utanför Ringhals kan ske från personlig arbetsplats ansluten mot Ringhalsnätet, om arbetsuppgifterna så kräver. Denna anslutning skall beställas hos DR. Närmaste chef och ADB säkerhetsansvarig skall godkänna denna beställning.
6 gyuljd,qwhuqhwixqnwlrqhu Det finns även möjlighet att nå övriga Internettjänster såsom World Wide Web, diskussionsgrupper, informationssökning m.m. 'HQQDNRPPXQLNDWLRQPnVWHDOOWLGVNHPHGHQIULVWnHQGHGDWRUVRPHMlU DQVOXWHQWLOO5LQJKDOVQlWHW. Inkoppling mot Internet för att få tillgång till ovanstående tjänster skall beställas hos DR. Det är inte tillåtet att på egen hand, med exempelvis privat modem, koppla en nätansluten dator mot Internet.,1+<5'3(5621$/ 8SSGUDJVJLYDUH till inhyrd personal ansvarar för: 1. Att medhavd dator som tas in på Ringhals är försedd med DQWLYLUXV SURJUDPYDUD enligt rekommendation från DR. 'DWRUQInUHMNRSSODVLQSn5LQJKDOVQlWHW, utan får enbart användas lokalt. 2. Att själv sörja för support på maskinvara och programvara på medhavd dator. DR utför ingen support på sådan utrustning. 3. Att användning och hantering sker i enlighet med de instruktioner och riktlinjer som gäller i övrigt inom Ringhals. Alternativt kan inhyrd personal hyra godkänd utrustning från DR.
7 %,/$*$ 67<5$1'(.5$92&+/$*$5 9DWWHQIDOONRQFHUQHQV$'%6lNHUKHWVKDQGERNBeskriver klassning och tillhörande regelverk för datorsystem.,76lnhukhwvsrolf\i U5LQJKDOV, POLI0003, beskriver inriktning, organisation och ansvar för IT-säkerhetsarbetet inom Ringhals. %HK ULJKHWDGPLQLVWUDWLRQL5LQJKDOVDGPLQLVWUDWLYGDWRUV\VWHP INST0169. Beskriver hantering av behörigheter i datorsystem och nätverk. 'DWDODJHQ (SFS 1992:446) ställer krav på hantering av personregister i ADBmedia, personuppgifter per telefax samt olovligt intrång i datasystem. Lagen om 6N\GGI UI UHWDJVKHPOLJKHWHU (SFS 1990:409) ställer krav på hantering av företagshemlig information, det är framför allt denna lag som ställer krav på en informationsklassificering. /DJRPXSSKRYVUlWWWLOOOLWWHUlUDRFKNRQVWQlUOLJDYHUN(1960:729, 1973:529) förbjuder kopiering av programvara (exempelvis köpta PCprogram). %URWWVEDONHQ(kap 9, 10) talar om rena "databrott" såsom bedrägeri, sabotage, urkundsförfalskning etc.