Båstads kommun Granskning av IT-säkerhet. Revisionsrapport juni 2015 Genomförd på uppdrag av revisorerna

Båstads kommun Granskning av IT-säkerhet Revisionsrapport juni 2015 Genomförd på uppdrag av revisorerna

Innehåll 1. Sammanfattning... 3 2. Inledning... 5 2.1. Bakgrund... 5 2.2. Syfte och avgränsning... 5 2.3. Revisionsfrågor... 5 2.4. Revisionskriterier... 6 2.5. Metod... 6 3. Revisionskriterier... 7 3.1. Intern kontroll, COSO-modellen... 7 3.2. Myndigheten för samhällsskydd och beredskaps ramverk för IT-säkerhet, BITS... 7 4. Kommunens interna kontroll avseende IT-säkerhet... 8 4.1. Kontrollmiljö... 8 4.2. Riskanalys...10 4.3. Kontrollaktiviteter...12 4.4. Information och kommunikation...17 4.5. Uppföljning och utvärdering...18 5. Analys avseende intern kontroll...20 Bilagor: Bilaga 1 - Intervjuade funktioner och granskade dokument 2

1. Sammanfattning Granskningens övergripande syfte är att bedöma hur effektivt Båstads kommun arbetar med informationssäkerhet i dag. Granskningen utgår från ett intern kontrollperspektiv där granskning sker av hur kommunstyrelsen följer och leder det interna kontrollarbetet inom ITsäkerhetsområdet för att säkerställa att den interna kontrollen är tillräcklig. Inom ramen för granskningen har vi bedömt ett antal olika kontrollpunkter fördelade på olika moment inom intern kontroll. Resultatet av granskningen visar följande fördelning. Sammanfattande tabell, kontrollpunkter Kontrollen finns och fungerar tillfredsställande. Kontrollen finns och fungerar delvis. Kontrollmiljö 6 - - Riskanalys 5 1 - Kontrollåtgärd 30 5 1 Information/kom. 3 - - Uppföljning/utvärd. 3 4 - Kontrollen finns ej eller fungerar ej tillfredsställande. I kontrollmiljön ingår moment som kan hänföras till ledningsfrågor, organisation, riktlinjer och styrdokument samt resursfrågor. Kommunens IT-avdelning har under de senaste åren prioriterat arbetet med att förbättra rutiner och processer inom IT-säkerhetsområdet. En del i arbetet har varit att åtgärda utvecklingsområden som påtalades i samband med kommunrevisionens granskning av kommunens IT-verksamhet år 2010. Vår bedömning är att kommunen i stort har en stark kontrollmiljö inom IT-säkerhetsområdet. Vi har utifrån granskningen identifierat följande förbättringsområden/rekommendationer: Vakanser/personalombyte på nyckelfunktioner har medfört att Säkerhetsgruppen har haft begränsat med träffar under senare tid. Det är viktigt att kommunstyrelsen säkrar att det råder tillräcklig kontinuitet i uppföljningen av IT-säkerhetsområdet. Vår bedömning är att rutiner för riskanalys finns på plats som omfattar klassificering av ITsystem utifrån konfidentialitet/sekretess, riktighet och tillgänglighet samt spårbarhet. Klassificering utifrån spårbarhetskriteriet har nyligen införts och har hittills inte hunnit genomföras för alla IT-system. Vi rekommenderar att systemägarna prioriterar processen med att klassificera IT-systemen även utifrån spårbarhetskriteriet. Vidare rekommenderas att det i riktlinjer förtydligas hur klassificeringen av IT-system ska tolkas vad gäller om systemet sammantaget anses vara verksamhetskritiskt eller ej. Det kan övervägas om riskanalyser och inventering av IT-system genomförs tillräckligt ofta, för att säkra att analysen utgör ett levande dokument. Kontrollaktiviteter är olika insatser som genomförs för att minska riskerna i verksamheten och bidra till en ökad intern kontroll av processerna. En styrka hos kommunen är att automatisk kontroll utförs över behörigheter i organisationen med hjälp av en metakatalog. Av 36 kontrollpunkter fördelade på olika moment inom kontrollåtgärder bedömdes majoriteten (30) vara tillfredsställande. Avseende 5 kontrollpunkter bedömdes åtgärder finnas, men med visst utvecklingsbehov. 1 kontrollpunkt bedömdes inte fungera tillfredsställande. 3

Bland annat saknas rutiner för hur utomstående leverantörers tjänster ska följas upp, varför vi rekommenderar en översyn av området. Vidare rekommenderar vi att det i riktlinjer tydliggörs under vilka förutsättningar som personal får föra ut IT-utrustning från kommunens lokaler. Dokumentation över godkännande kan med fördel förstärkas i samband med driftssättning av förändrade informationssystem. Vi rekommenderar att det i policys/riktlinjer förtydligas vilka begränsningar som gäller för information som skickas utanför organisationen, såsom sekretessbelagd information, kränkande eller uppviglande material. Förslagsvis kan kommunstyrelsen överväga om utfärdande av mer detaljerade tillämpningsföreskrifter kan tjäna som komplement till kommunens informationssäkerhetspolicy. Generellt kan medarbetare själva installera programvaror i IT-utrustning. Följaktligen är det viktigt att det finns anpassade riktlinjer och kontrollåtgärder som säkerställer att kommunens IT-utrustning används ändamålsenligt. Inom området information och kommunikation bedömer vi att kommunen har tillräckliga rutiner. Kontinuiteten i verksamheten tryggas genom användning av två redundanta servrar samt att resurser för reservkraft finns som testas regelbundet. Det finns en dokumenterad avbrottsplan med återstartsrutiner. Enligt vad vi kan bedöma saknas en gemensam kontinuitetsplan för IT samt individuella kontinuitetsplaner kopplade till enskilda system. Vi rekommenderar följaktligen att dokument tas fram som beskriver hur kommunen tryggar en tillräcklig kontinuitetplanering i IT-miljön. Det genomförs årliga s.k. penetrationstester samt vissa internkontroller vad gäller efterlevnad. Uppföljning av informationssäkerhet, som enligt informationssäkerhetspolicyn åvilar såväl Säkerhetsgruppen som verksamhetsansvariga, kan tjäna på att struktureras upp och systematiseras än mer. 4

2. Inledning 2.1. Bakgrund Idag bedrivs så gott som all verksamhet i en kommun med någon form av datoriserat stöd. Stödet har med tiden utvecklat sig till att bli en förutsättning för att kunna bedriva verksamhet. Antalet olika programvaror är stort och utvecklas hela tiden. Idag har t.ex. kommunen betydligt fler mobila enheter än för ett par år sedan. För att uppnå målen för kommunens verksamheter krävs att informationen i verksamhetsstödet är tillgänglig, riktig, har korrekt konfidentialitet samt är spårbar. 2.2. Syfte och avgränsning Granskningens övergripande syfte är att bedöma hur effektivt Båstads kommun arbetar med informationssäkerhet i dag. Granskningen utgår från ett intern kontrollperspektiv där granskning sker av hur kommunstyrelsen följer och leder det interna kontrollarbetet inom ITsäkerhetsområdet för att säkerställa att den interna kontrollen är tillräcklig. Avgränsning Granskningen avser kommunstyrelsens arbete med IT-säkerhet och baseras på information från intervjuer och dokumentstudier. Inga tester av IT-säkerheten kommer att göras, såsom generella IT-kontroller eller applikationskontroller. 2.3. Revisionsfrågor I granskningen kommer följande huvudområden att följas upp: o o o o o o o o o o o Kontrollmiljö Säkerhetspolicy Säkerhetsorganisation Riskanalys Vilka riskanalyser av IT-säkerheten genomförs Kontrollåtgärd Klassificering och kontroll av tillgångar Personal och säkerhet Fysisk och miljörelaterad säkerhet Styrning av åtkomst Styrning och kommunikation av drift Information och kommunikation Incidenthantering Uppföljning och utvärdering Systemutveckling och underhåll Kontinuitetsplanering 5

o Efterlevnad 2.4. Revisionskriterier COSO:s ramverk för internkontroll utgör grundkriterier för granskningen. Vidare genomförs granskningen mot så kallad god praxis inom informationssäkerhetsområdet genom utvalda delar av Myndigheten för samhällsskydd och beredskaps ramverk för IT- och informationssäkerhet BITS (Basnivå för IT-säkerhet), som är ett etablerat ramverk i ett stort antal kommuner och inom offentlig förvaltning. Ramverket bygger på den svenska och internationella standarden för informationssäkerhet, ISO/IEC 27001. Ansvarig nämnd Granskningen avser kommunstyrelsen. 2.5. Metod Granskningen har grundats på dokumentstudier och intervjuer. I bilaga 1 framgår granskade dokument och intervjuade funktioner. Utifrån insamlat material har en bedömning gjorts av kommunens IT-säkerhetsarbete utifrån de olika komponenterna som ingår i den interna kontrollen. Samtliga intervjuade har beretts tillfälle att faktagranska rapporten. 6

3. Revisionskriterier 3.1. Intern kontroll, COSO-modellen Intern kontroll granskas och bedöms utifrån COSO-modellen. Enligt COSO är intern kontroll definierat som en process, utförd av en organisations styrelse, ledning och annan personal, utformad för att ge rimlig försäkran om att målen uppfylls inom: effektivitet och produktivitet i verksamheten; tillförlitlig finansiell rapportering och efterlevnad av tillämpliga lagar, regler, riktlinjer och beslut. För att förbättra den interna styrningen och kontrollen har fem centrala komponenter identifierats. För dessa redogörs kortfattat nedan. Kontrollmiljön anger tonen i en organisation och påverkar kontrollmedvetenheten hos dess medarbetare. Det är grunden för alla andra komponenter inom intern kontroll och erbjuder ordning och struktur. Faktorer som innefattas av kontrollmiljön är integritet, etiska värden, kompetensen hos medarbetarna i organisationen, ledningens filosofi och ledarstil, det sätt på vilket ledningen fördelar ansvar och befogenheter och organiserar och utvecklar dess medarbetare samt den uppmärksamhet och vägledning som ledningen ger. Nästa komponent är riskbedömning, vilket innebär identifieringen, analys och hantering av relevanta risker för att uppnå organisationens mål och krav. Riskvärderingen bör alltid dokumenteras i syfte att förtydliga systematiken i internkontrollarbetet. Kontrollaktiviteter är de riktlinjer och rutiner som bidrar till att säkerställa att brister upptäcks och att direktiv genomförs. De bidrar till att säkerställa att nödvändiga åtgärder vidtas för att hantera risker för att organisationens mål inte uppnås. Information och kommunikation måste identifieras, fångas, och förmedlas i en sådan form och inom en sådan tidsram att de anställda kan utföra sina uppgifter. Informationssystem genererar rapporter som innehåller verksamhetsmässig information och uppgifter om genomförandet som gör det möjligt att driva och styra verksamheten. Interna styr- och kontrollsystem behöver övervakas, följas upp och utvärderas en process som bestämmer kvaliteten på systemets resultat över tiden. Det åstadkoms genom löpande övervakningsåtgärder och uppföljningar, separata utvärderingar eller en kombination av dessa. 3.2. Myndigheten för samhällsskydd och beredskaps ramverk för IT-säkerhet, BITS Med informationssäkerhet avses förmågan att upprätthålla önskad konfidentialitet, riktighet och tillgänglighet vid hantering av information. Något som omfattar såväl tekniska som administrativa aspekter. Myndigheten för samhällsskydd och beredskap (MSB) har utarbetat ett ramverk som utgör en basnivå för informationssäkerhet. EY har utifrån detta ramverk och erfarenheter från tidigare granskningar inom området valt ut följande aspekter att fokusera på: säkerhetspolicy, organisation, riskanalyser av IT-säkerheten, klassificering och kontroll av tillgångar, personal och säkerhet, fysisk och miljörelaterad säkerhet, styrning av åtkomst och kommunikation av drift, incidenthantering, systemutveckling och underhåll samt kontinuitetsplanering. 7

4. Kommunens interna kontroll avseende IT-säkerhet Rapporten redovisar i vilken grad kommunen uppfyller valda rekommendationer ur BITS. Resultatet är en sammanvägd bedömning, som baseras på information som lämnats vid intervjuerna samt genom erhållen dokumentation. Den sammanvägda bedömningen av svaren på kontrollerna har bedömts enligt följande alternativ: Ja Delvis Nej E/T Kontrollen finns och fungerar tillfredsställande. Kontrollen finns och fungerar delvis. Kontrollen finns ej eller fungerar ej tillfredsställande. Ej tillämplig, kontrollen behövs ej av särskilda skäl. 4.1. Kontrollmiljö I kontrollmiljön ingår moment som kan hänföras till ledningsfrågor, organisation, riktlinjer och styrdokument samt resursfrågor. Kontrollmiljön inbegriper ofta målformuleringar eller andra krav som ställs på verksamheten, därför är bedömning av riktlinjer av särskilt intresse. Även personalens kompetens och de insatser som genomförs som vidareutbildning m.m. ingår i kontrollmiljön. Kontrollmiljön är viktig för att bedöma kommunens förmåga att leda verksamheten i riktning mot säkerhet i och i anslutning till informationssäkerhetssystemen. IK 1 Organisation av säkerheten, policy m.m. 1 a Finns policy och riktlinjer för informationssäkerhet? Ja, se nedan. Kommunens IT-avdelning har under de senaste åren prioriterat arbetet med att förbättra rutiner och processer inom IT-säkerhetsområdet. En del i arbetet har varit att åtgärda utvecklingsområden som påtalades i samband med kommunrevisionens granskning av kommunens ITverksamhet år 2010. Åtgärderna omfattar exempelvis områdena incidentrapportering, loggning för förändringar i brandväggen och klassificering av information. Det finns en informationssäkerhetspolicy som är antagen av kommunfullmäktige den 27 juni 2012. Av policyn framgår att arbetet med informationssäkerhet ska vara långsiktigt och kontinuerligt, omfatta alla delar av verksamheten och alla de informationstillgångar som kommunen äger och hanterar. Personalen ska fortlöpande få utbildning för att förstå hur informationssäkerhetsarbetet fungerar. Kommunen har valt ett gemensamt och strukturerat sätt att arbeta med informationssäkerhet som bygger på den svenska och internationella standarden LIS (ledningssystem för informationssäkerhet). Med stöd av LIS uppnås rätt nivå på informationssäkerheten samtidigt som anställda får ett stöd i sitt dagliga arbete. Samtliga anställda och berörda politiker ska genomgå Myndigheten för samhällsskydd och beredskaps Datorstödd informationssäkerhetsutbildning för användare (DISA) vart tredje år. Samtliga medarbetare ansvarar för att känna till och följa gällande riktlinjer och instruktioner. Brister eller risker som upptäcks avseende informationssäkerhet och informationstillgångar måste rapporteras till chef eller säkerhetssamordnare/it-chef. Organisationen är till stor del decentraliserad och ansvaret för att fastställda rutiner, policy och standarder efterföljs ligger hos verksamheterna. Inköp ankommer dock på IT-avdelningen. 8

1 b Beskriv organisation, kompetens och behov Se nedan. Kommunens IT-avdelning är organiserad inom kommunledningskontoret och leds av ITchefen. IT-chefen har kommunchefen som chef. IT-avdelningen omfattar 8 medarbetare varav 6 stycken är fast anställda. Enligt IT-chefens uppfattning har IT-organisationen behov av 8 fast anställda medarbetare. IT-avdelningen är organiserad i tre olika funktioner; Helpdesk, Drift och IT-support. Helpdesk är lokaliserat till kommunhusets reception och består av tre medarbetare inklusive en ansvarig. Helpdesk ansvarar för att hantera felanmälan, uppföljning och användarstöd. Helpdesk tar även emot inköpsbeställningar av personer med attesträtt som vidarebefordras till ansvarig IT-tekniker. Inom Drift-avdelningen som ansvarar för drift och övervakning är mellan två och tre medarbetare involverade. Inom IT-support som hanterar ITrelaterade inköp och installationer och främst arbetar på plats hos användarna sysselsätts upp till tre personer. För att tydliggöra gränsdragning och ansvarsfördelning inom IT-området finns en dokumenterad sevicenivåöverenskommelse (SLA) för IT-funktioner mellan verksamhetsområdena och ITavdelningen. Det finns även SLA framtagna för enskilda system. Av informationssäkerhetspolicyn framgår att kommunstyrelsen är ytterst ansvarig för informationssäkerheten i Båstads kommun. Kommunens Säkerhetsgrupp har det operativa ansvaret under kommunstyrelsen och planerar och följer upp arbetet med informationssäkerhet. Säkerhetsgruppen består av säkerhetssamordnaren, kommunens PUL-ansvarig, kommunikationsansvarig och IT-chef. För närvarande har ordinarie säkerhetssamordnare gått i pension. En verksamhetschef har därför utsetts för att upprätthålla funktionen. Tjänsten som PUL-ansvarig är för tillfället vakant. Vakanser/personalombyte på nyckelfunktioner har medfört att Säkerhetsgruppen har haft begränsat med träffar under senare tid. Den säkerhetsrevision som årligen ska utföras enligt internkontrollplanen och som bland annat omfattar kontroll av brandväggar har emellertid genomförts enligt plan. IT-avdelningens totala budget ligger på 9 783 tkr, varav 3 382 tkr avser avskrivningar. Kommunen har ett Eget Autonomt System, EAS, vilket möjliggör att ha två ingångar till Internet via två olika leverantörer. I dagsläget används bara en ingång och en leverantör. ITavdelningen uppfattar ett visst behov av att det införs två ingångar till Internet. Detta skulle trygga åtkomsten till Internet i de fall huvudleverantörens nätverk ligger nere. Att driftsstörningar sker som aktualiserar behov av en reservförbindelse har dock varit sällsynt. 1 c Finns det en informationssäkerhetssamordnare eller motsvarande? Ja, kommunen har en säkerhetssamordnare. Informationssäkerhetsfrågor hanteras av IT-chef. 1 d Har ledningen/organisationen utsett systemansvariga för samtliga informationssystem? Ja, för respektive system finns utsedda systemägare, informationsägare och systemstödsansvariga (superusers). 1 e Finns det en samordningsfunktion för att länka samman den operativa verksamheten för IT-säkerhet med ledningen? Ja, IT-chefen har denna roll. 9

1 f Har ansvaret för informationssäkerheten reglerats i avtal då verksamhet/drift m.m. lagts ut på en utomstående organisation. Ja. Avtal med leverantörer/samarbetspartners finns. Avtalen föregås av riskanalys och riskklassificering av information som utmynnar i ett beslut om att teckna avtal. Rutin anskaffningscykel av ITsystem styr. I informationssäkerhetspolicyn framgår att externt engagerad personal och externa tjänsteleverantörer ska ha tagit del av de regler som är relevanta för deras uppdrag innan de får hantera kommunens informationssystem och informationsresurser. Undertecknande av riktlinjer för IT-användare krävs av varje användare innan access medges till system. 4.2. Riskanalys I riskanalysen ingår att bedöma hur kommunen arbetar med IT-säkerheten utifrån riskanalys och identifiering av olika risker. Riskanalysen bör vara utformad med vedertagna metoder om sannolikhet och konsekvenser. Riskanalysen bör också vara genomförd av medarbetare/personer som besitter med tillräcklig kompetens för att identifiera och bedöma risker. Handlingsplaner bör vara kopplade till risker som har höga riskvärden. IK 2 Riskanalys 2 a Genomförs riskanalyser avseende IT-säkerhet Ja. Riskanalyser genomförs inför att nya system lanseras, vid större förändringar i befintliga system samt inför outsourcing/ utlägg av information i s.k. moln. Riskanalyser genomförs utifrån Datainspektionens riktlinjer. Riskanalyser görs inte inför sedvanliga uppdateringar hos befintliga system. Genom riskanalys undersöks vilka risker som finns och deras storlek värderas för att avgöra vilka skyddsåtgärder som är lönsamma. Den standardmetod som används kallas Miniriskmetoden och bygger på att sannolikhet och konsekvens bedöms för en rad tänkta händelser. Vid bedömningen vägs in den berörda informationens betydelse. Metoden ger en bred översikt av riskläget för ett aktuellt objekt eller process. Riskanalysens resultat är en lista med värderade risker, förslag på åtgärder och rekommendationer. Inga beslut tas under riskanalysen och innan analysgruppens arbete är slut och slutrapporten är skriven. Resultatet tas omhand i det projekt eller av den förvaltning som har beställt analysen. Kommunen tillämpar även regelbunden inventering av IT-system som systemägaren utför genom att uppdatera en blankett. Informationen som är föremål för inventering gäller bland annat vilket verksamhetsområde systemet tillhör, vem som är 10

systemägare, informationsägare etc. och systemets klassificering. 2 b Har verksamhetskritiska ITsystem identifierats och bedömts? 2 c Har omständigheter som ska betecknas som kris/katastrof (extraordinära händelser) för verksamheten kartlagts? Klassificering och kontroll av tillgångar Ja. I systemförteckning listas kommunens alla system, för närvarande ca 376 stycken. I systemförteckningen framgår systemens informationsklassificering indelat i parametrarna konfidentialitet, riktighet, tillgänglighet och spårbarhet. För respektive parameter bedöms nivån av känslig karaktär, skada, funktionalitet och behov av spårbarhet i skalan från försumbar, måttlig, betydande till allvarlig. System som i någon parameter klassificeras som allvarligt är att betrakta som verksamhetskritiskt. Det framgår dock inte utskrivet om systemet anses som verksamhetskritiskt. Exempel på system i systemförteckningen där någon parameter klassificeras som allvarlig är: @remote, Bibliotheca Kassasystem, DHCP, Räddingsverkets informations Bank (RIB), Secure login, Identity Assurance Client, Safedoc och Svenska Palliativregistret. Kolumnen Spårbarhet i systemförteckningen är nyligen tillförd och har vid intervjutillfället ännu inte hunnit uppdateras tillfullo. Ja. Kartläggning har dels skett med hjälp av Myndigheten för Samhällsskydd och Beredskap, MSB. En del förbättringsåtgärder noterades då. MSB bidrar med 50 procent av kostnaden för åtgärder. Åtgärderna är vid granskningstillfället i stort färdigställda och ska besiktigas av MSB under våren 2015. En förbättring har skett under senare tid när det gäller risken för skada på utrustning eftersom kommunen numera har ändamålsenliga och åtskilda serverhallar med redundanta (speglande) servrar. Förutom kartläggningen via MSB gör verksamheterna egna kartläggningar. Av informationssäkerhetspolicyn framgår att risker och hot mot informationen ska kartläggas inom varje verksamhet. Denna kartläggning ska ligga till grund för ett adekvat informationsskydd. En särskild inventering på området skedde 2007. Enligt IT-chef finns inte behov av att göra en ny särskild riskinventering, eftersom nuvarande rutiner tillgodoser en tillräcklig kontroll över området. Av informationssäkerhetspolicyn framgår att all information ska klassas efter sin känslighet och därefter få rätt skydd samt finnas tillgänglig när den behövs. Verksamheterna ansvarar enligt servicenivåöverenskommelsen, SLA för att klassificera information i informationssäkerhetsaspekterna konfidentialitet, riktighet och tillgänglighet samt konse- 11

kvensnivåer. I kommunens mall för riskanalys av IT-system inryms i informationsklassning att värdera den information som lagras eller hanteras i systemet eller processen. Inte systemet eller processen själv utan just informationsinnehållet. Informationsinnehållet i objektet eller processen värderas enligt de fyra grundelementen i informationssäkerhet; konfidentialitet, riktighet, tillgänglighet och spårbarhet. Informationsklassificering omfattar all information oavsett medium. Med konfidentialitet avses att informationen inte avsiktligt eller oavsiktligt ska göras åtkomlig för obehöriga eller utnyttjas på otillåtet sätt. Med riktighet avses att informationen inte ska förändras eller förstöras av misstag eller av obehörig person eller process. Med tillgänglighet avses att information ska vara tillgängligför behöriga användare, i förväntad utsträckning och inom önskad tid. En fjärde klass är spårbarhet. Spårbarhet innebär att kunna tillhandahålla funktioner som gör det möjligt att härleda alla utförda operationer till enskilda individer eller program. 3 a Är organisationens information klassad avseende sekretess/riktighet/tillgänglighet (har systemägarna yttrat sig om klassning) 3 b Har samtliga informationssystem identifierats och dokumenterats i en aktuell systemförteckning 3 c Finns det en ansvarsfördelning för organisationens samtliga informationstillgångar? Ja. Inom Båstads kommun finns numera tydliga riktlinjer för klassificering av information. Systemägarna ansvarar för att klassificering sker av information i samband med att riskanalys genomförs. Ja. Samtliga informationssystem finns dokumenterade i systemförteckningen. Kommunen kan därmed sägas ha kontroll över systemtillgångarna. Ja. I systemförteckningen anges ansvarsfördelningen för respektive system. Systemägare är normalt förvaltningschef eller motsvarande. ITavdelningen är systemägare för centrala system. Systemförvaltarskap dvs. systemstödsansvariga (superusers) är i allmänhet delegerat. 4.3. Kontrollaktiviteter Kontrollaktiviteter är olika insatser som genomförs för att minska riskerna i verksamheten och bidra till en ökad intern kontroll av processerna. De moment som vi bedömer under detta avsnitt är: personal och säkerhet, fysisk och miljörelaterad säkerhet, styrning av kommunikation och drift, styrning av åtkomst samt anskaffning, utveckling och underhåll av informationssystem. Kontrollsystemen bidrar till att säkerställa IT-systemen är tillgängliga för rätt person i rätt tid och på ett spårbart sätt. IK 3 Personal och säkerhet 4 a Får inhyrd eller inlånad personal information om vilka säkerhetskrav och instruktioner som gäller? (utbildning/ introduktion/kurs m.m.) 4 b Har systemägaren definierat vilka krav som ställs på användare som får tillgång till informationssystem och in- Ja. Förbindelse om tystnadsplikt tillämpas samt krav på genomgången utbildning i DISA (Datorstödd informationssäkerhetsutbildning för användare). Vidare krävs undertecknande av Riktlinjer för IT-användare inför access medges. Ja. Dels finns generell rutin som regleras i riktlinjer för IT-användare i Båstads kommun, dels kan ytterligare krav finnas inom respektive verksamhet. Exempelvis ska medarbetare inom vård och om- 12

formation. (leta information i individuella akter m.m.) 4 c Genomförs regelbundet utbildningsinsatser inom informationssäkerhet? 4 d Dras åtkomsträtten för information och informationsbehandlingsresurser in vid avslutande av anställning eller vid förflyttning? (fungerar rutinen eller måste IT göra andra körningar avseende vem som är anställd) Fysisk och miljörelaterad säkerhet 5 a Finns funktioner för att förhindra obehörig fysisk tillträde till organisationens lokaler och information? 5 b Har IT-utrustning som kräver avbrottsfri kraft identifierats? sorg underteckna Sekretess inom socialtjänstomsorg och kommunal hälso- och sjukvård. Ja. Alla anställda och berörda politiker ska genomgå utbildning DISA (Datorstödd informationssäkerhetsutbildning för användare) vart tredje år. Utbildningen har tagits fram av Myndigheten för samhällskydd och beredskap, MSB. Efter genomgången utbildning ska diplomet skrivas ut och visas närmaste chef. Ja. Kommunen har infört att behörighet regleras automatiskt genom s.k. metakataloger där anställdas IT-behörighet är kopplad till lönesystemet och elevers IT-behörighet är kopplad till skolans verksamhetssystem Pro Capita. Systemet med metakataloger säkerställer att personer per automatik ges korrekt behörighet i IT-system och att behörigheter omgående justeras eller dras in vid förflyttning eller vid anställnings avslut. Den automatiska rutinen innebär att ingen manuell hantering krävs för att kontrollera åtkomsträtt till system. I vissa fall kan systemägare godkänna att tillfälliga och begränsade behörigheter utges, exempelvis till konsulter. Kommunen inför för närvarande elektroniska personliga SIS-kort till varje medarbetare som används för såväl passage till kommunens lokaler som datautskrifter etc. är också automatiskt kopplade till metakataloger, vilket förstärker kontrollen av åtkomst ytterligare. Ja. Det fysiska skalet innebär att redundanta (speglande) servrar finns inlåsta i två åtskilda, ändamålsenligt utformade serverhallar. Bara ITavdelningen och räddningstjänsten har access till serverhallar. I övrigt används passagesystem med kort. Personliga SIS-kort håller på att införas som används av personalen för passage till kommunens lokaler, se punkt 4 d. Användning av korten loggas. För access till vissa register såsom Trafikregistret kommer framöver krävas att användaren sätter in SIS-kortet i en läsare kopplad till datorn. Ja. Genomgång sker i samband med att systemen klassificeras. Reservkraft finns att tillgå genom batteri och dieselkraftverk. Även switchar får vid behov reservkraft. Funktionen av reservkraften testas varje kvartal. 13

5 c Finns larm kopplats till larmmottagare för: - Brand, temperatur, fukt - Sker test till larmmottagare 5 d Finns i direkt anslutning till viktig dator- kommunikationsutrustning en kolsyresläckare? 5 e Raderas känslig information på ett säkert sätt från utrustning som tas ur bruk eller återanvänds? (omformatering, raderingsprogram m.m.) 5 f Finns särskilda säkerhetsåtgärder för utrustning utanför ordinarie arbetsplats? 5 g Finns information och regler som anger att IT-utrustning m.m. inte får föras ut från organisationens lokaler utan medgivande från ansvarig chef? Styrning av kommunikation och drift 6 a Finns driftdokumentation för verksamhetskritiska informationssystem? (backup, jourpärm m. kontaktpersoner) Ja. Det finns larm för brand, temperatur, fukt och intrång. Larmen sitter i serverhallarna. Test sker. Ja. Ja. IT-avdelningen ombesörjer att destruktion sker. Hårddiskar sorteras ut från begagnad datautrustning och destrueras i samarbete med ATEA. Ja. Dels finns stöldmärkning på datorer och Ipads. Uppkoppling är bara möjligt via VPN. Genom ett så kallat MDM-system kan spårning ske av utrustning. Vissa verksamhetssystem kan nås utifrån genom en VPN-klient om systemägarna har godkänt detta efter en riskanalys. Kommunens medarbetare kan komma åt sin e-post och vissa kataloger som katalogägaren har godkänt genom Portalen och Filr. Kommunen har inte haft några incidenter som tyder på större säkerhetsbrister. Inom skolan har dock förekommit stölder av Ipads. Som åtgärd har fler larm satts in. Stöld har även förekommit i kommunhuset, där har nu larm satts in i fönstret. Genom riktlinjer för IT-användare som undertecknas av varje användare regleras användning av datautrustning. Ingen specifik begränsning anges dock om att IT-utrustning inte får föras ut från kommunens lokaler. Ja. Driftsdokumentation framgår i systemdokumentationer. Det finns även systemdokumentationer för servrar. Inga jourpärmar används. I driftsdokumentation ingår vem som är ansvarig, leverantör av system, garantier, kontaktpersoner, tjänster och återstartsrutiner. Driftsdokumentationen finns bara digitalt vilket medför att den alltid är uppdaterad. Information finns i systemägarlistan, serverdokument, rutindokument och systemdokument. 14

6 b Sker system- /programutveckling samt tester av modifierade system åtskilt från driftsmiljön? 6 c Finns rutiner hur utomstående leverantörers tjänster följs upp och granskas? 6 d Godkänner systemägaren eller annan lämplig personal driftsättningar av förändrade informationssystem 6 e Finns det för både servrar och klienter rutiner för skydd mot skadlig programkod? 6 f Har organisationens nätverk delats upp i mindre enheter så att en (virus) attack enbart drabbar en del av nätverket? 6 g Genomförs säkerhetskopiering regelbundet? 6 h Saknas det alternativa vägar vid sidan av organisationens brandvägg in till det interna nätverket? 6 i Finns det dokumenterade regler avseende vilken information som får skickas utanför organisationen? (ex sekretessbelagd info) 6 j Sparas revisionsloggar för säkerhetsrelevanta händelser? Styrning av åtkomst 7 a Har organisationen satt upp dokumenterade regler för åtkomst/tillträde för tredje parts åtkomst till information? Ja, det gör det när utveckling väl sker (sällan). Uppdateringar sker i driftsmiljön. Det hålls förvaltningsmöten med leverantörerna. Som regel finns ingen detaljerad uppföljning av SLA:er. Ja, med stöd av IT-avdelningen. Godkännande dokumenteras oftast via e-post. Vid muntligt godkännande är det teknikerns ansvar att ärendet registreras. Ja. Uppdatering av skyddet sker per automatik. Ja. Uppdelning av nätverket finns i exempelvis skolnät, administrativt nät och publikt gästnät. Virusattacker är sällsynta. Orsaken kan vara att en dator inte har varit ansluten till nätverket på ett tag och därmed har gått miste om viktiga uppdateringar. Incidentrapporter som även innehåller åtgärdsförslag används vid virusattacker. Ja. Ja Ställning tas i samband med klassificering av information. Det finns även kompletterande regler inom olika verksamheter. Hantering av viss information styrs av sekretesslagstiftning. Skolan har enklare regler anpassat för elever, omsorgen har strängare regler. Vi har inte tagit del av en dokumenterad central vägledning i Informationssäkerhets- eller ITpolicyn, t.ex. om kränkande eller uppviglande material. Ja, såväl i system som vid förändringar av brandväggen. Ja, sekretessavtal finns. Tredjepart har inte konstant tillgång till produktionsmiljön, utan släpps in vid behov. Konsulter och dylikt tilldelas personliga användarkonton med viss behörighet. Alla användare inklusive konsulter måste ta del av och underteckna riktlinjer för IT-användare innan åtkomst beviljas. 15

7 b Tilldelas användare en behörighetsprofil som endast medger åtkomst till de system som krävs för arbetsuppgiften? 7 c Begränsas rätten att installera nya program i nätverket samt den egna arbetsstationen till endast utsedd behörig personal? Varje användare har en verksamhetsanpassad behörighet, vilket styrs via en metakatalog. Inom skolan kan inte elever installera program men däremot lärare. Generellt kan personal installera program på sin dator. Installation av vissa program såsom fildelningsprogram är spärrade av ITavdelningen. 7 d Har samtliga administratörer fullständiga systembehörigheter eller endast vad som krävs för att fullgöra arbetsuppgiften? 7 e Genomförs kontinuerligt (minst en gång per år) kontroll av behörigheterna i organisationen? 7 f Öppnas låsta användarkonton endast efter säker identifiering av användaren? 7 g Finns en gemensam lösenordspolicy? 7 h Finns en dokumenterad brandväggspolicy där det beskrivs vilka tjänster brandväggen ska tillhandahålla? 7 i Har organisationen ställt och dokumenterat tekniska säkerhetskrav och krav på praktisk hantering avseende användandet av mobil datorutrustning och distansarbete? 7 j Finns det aktuell dokumentation med regler för distansarbete? Ja. Detta sker per automatik via metakatalogen. Administratörer har som regel endast systembehörighet i den utsträckning som behövs för att utföra sina arbetsuppgifter. Ja. Kontrollen är automatisk då behörigheter är kopplade till lönesystemet via metakatalogen. Även verksamhetssystem omfattas av behörighetskontrollen. Ja. Kontrollen är automatisk då behörigheter är kopplade till lönesystemet via metakatalogen. Ja. Riktlinjer för IT-användare anger att lösenord ska vara minst 8 tecken, minst en siffra och minst en bokstav. Lösenord ska bytas minst var 90 dag. Ja, riktlinjer för brandväggen finns som är indelad i avsnitten grundprinciper, drift, konfiguration och revision. Ja, detta regleras i dokumentet åtkomst till Båstads kommuns IT-resurser samt rutin för brandväggsaccess för användare och konsulter via Portal och VPN. För att använda VPN-klienten måste datorn vara kommunens. För att använda VPN-portalen krävs vissa säkerhetsinställningar enligt en användarmanual. På surfplattor används Mekari MDM för appar samt Hitta min ipad för spårbarhet. Mekari MDM implementeras för närvarande även för mobiltelefoner. Ja, detta regleras i Åtkomst till Båstads kommuns IT-resurser. Användarvillkor finns även i Riktlinjer för IT-användare. IT-policyn anger att bara behöriga personer ska ges åtkomst till information och tjänster. 16

Anskaffning, utveckling och underhåll av informationssystem 8 a Har en systemsäkerhetsanalys upprättats och dokumenterats för varje informationssystem som bedöms som viktigt? 8 b Krypteras persondata som förmedlas över öppna nät? 8 c Finns det angiven personal som ansvarar för systemunderhåll (angivna personer per system?) 8 d Finns det regler och rutiner för hur system- och programutveckling ska genomföras? 8 e Finns det en uppdaterad och aktuell systemdokumentation för informationssystemen? Ja, detta görs i samband med riskanalys av ITsystem. Systemsäkerhetsanalys görs även inför upphandlingar och framgår i förfrågningsunderlaget. Ja. Exempelvis när personuppgifter hämtas från Skatteverket. Ja. Anges i systemförteckningen. Ja, framgår delvis i servicenivåöverenskommelse, SLA. Egenutveckling sker i begränsad utsträckning. I de flesta fallen, ja. Kommunen har ett begränsat antal egenutvecklade eller anpassade system. I samarbete med en leverantör har systemet med metakatalog utvecklats. Detta har en omfattande systemdokumentation. Vi har inom ramen för granskningen dock inte kunnat ta del av information som styrker att det finns aktuell systemdokumentation för alla informationssystem. 4.4. Information och kommunikation Det är av stor vikt att medarbetare vet var de ska vända sig eller hur de ska agera vid olika situationer. Hantering av informationssäkerhetsincidenter ingår därför som en del av informations och kommunikationskanalerna genom att medarbetare ska ha just den informationen om störningar m.m. i systemen uppstår. IK 4 Hantering av informationssäkerhetsincidenter 9 a Finns det dokumenterade instruktioner avseende vart användare skall vända sig och hur de ska agera vid funktionsfel, misstanke om intrång eller vid andra störningar? 9 b Har medarbetarna kunskap om vart de ska vända sig? 9 c Hur fungerar servicedesken ut mot avnämarna på kvällar och helger? Ja, i Riktlinjer för IT-användare. Dessutom finns rutiner och mallar för incident- och avvikelserapportering. Ja, till Helpdesk. IT-beredskap har införts från och med 2015. Öppettiderna är vardagar innan kontorstid kl. 6-8 och kvällar till kl. 21. Fredagar är det öppet till kl. 23 och helger kl. 8-16. Användare har bara rätt att kontakta IT-beredskapen gällande system som är 17

klassade som allvarliga eller betydande inom tillgänglighet. Ca 50 system berörs. 4.5. Uppföljning och utvärdering Som utvärdering bedöms kontinuitetsplanering i verksamheten samt efterlevnaden. IK 5 Kontinuitetsplanering i verksamheten 10 a Finns det en gemensam kontinuitetsplan dokumenterad för organisationen? 10 b Har systemägaren eller motsvarande beslutat om den längsta acceptabla tid som informationssystemet bedöms kunna vara ur funktion innan verksamheten äventyras? 10 c Finns det en dokumenterad avbrottsplan med återstartsoch reservrutiner för datadriften som vidtas inom ramen för den ordinarie driften? Efterlevnad 11 a Används enbart programvaror i enlighet med gällande avtal och licensregler? 11 b Har organisationen förtecknat och anmält personuppgifter till personuppgiftsombud? 11 c Genomförs interna och externa penetrationstester kontinuerligt? Vi har inom ramen för granskningen inte kunnat ta del av en dokumenterad kontinuitetsplan för IT. En checklista användes tidigare för övervakning och instruktion men har sedan några år ersatts av övervakning via HP s IMC-system där alla system övervakas automatiskt och larm går ut till ITberedskapen. I praktiken är kontinuiteten tryggad genom att två redundanta servrar finns i bruk. Om något händer med en server finns allt material på den andra servern. Denna bedömning ingår som en del av klassificeringen av tillgänglighetskriteriet. Vi har inte tagit del av individuella kontinuitetsplaner som kopplas till de enskilda systemen. Ja, dokumentet Windows update används för kontroll av att servrar fungerar efter uppdateringar. Kommunen har tryggat reservkraften genom dels batterikraft, dels dieselverk som kan gå oavbrutet. Reservkraften testkörs regelbundet. Ja, licensinventering pågår kontinuerligt. Det finns en stor medvetenhet för IT-säkerhet bland kommunens personal. Emellertid kan personal installera vissa egna programvaror. IT-avdelningen har spärrat en del program för installation, såsom fildelningsprogram. Ja. Kommunen har en PUL-ansvarig. Tjänsten är för närvarande vakant. Ja. Årligen utförs tester av brandväggsrutiner med hjälp av extern konsult som ett led i internkontrollplanen. Testerna har visat på att skyddet fungerar som avsett. 18

11 d Granskar ledningspersoner regelbundet att säkerhetsrutiner, policy och normer efterlevs? Säkerhetssamordnaren gör vissa kontroller. Varje år ska säkerhetsskyddschefen genomföra en intern säkerhetsrevision enligt internkontrollplanen. Enligt Informationssäkerhetspolicyn är det Säkerhetsgruppen som planerar och följer upp arbetet med informationssäkerhet. Respektive verksamhetsområde kan ta fram riktlinjer och rutiner för sitt område till stöd för denna policy med angivande av ansvarsförhållanden för genomförande och uppföljning. Verksamhetsområdeschefer ansvarar för att informationssäkerhetsarbetet följs upp inom verksamhetsområdet. Wi-fi Revisionen har funnit det intressant att belysa användandet av kommunens Wi-fi (trådlöst nätverk) utifrån informationssäkerhetssynpunkt. 1 I vilken omfattning har kommunen trådlöst nätverk? Kommunen har flera typer av trådlösa nätverk, Wi-fi. I ett nätverk använder användaren sitt användarnamn. Ett nätverk finns med tele-wi-fi som har begränsad tillgänglighet. Vidare finns ett gästnät där användare registerar sitt mobiltelefonnummer och får en kod för att logga in. Surfning på Internet kan då ske och spårbarheten är kopplad till gästens angivna mobilnummer. 2 Finns det några särskilda risker med användandet av Wi-fi, t ex luckor i brandväggen som kan forceras? IT-chefen uppfattar inte att det finns några särskilda risker förknippade med Wi-fi eller att Wi-fi innebär en högre risk för att brandväggen forceras. 19