DV-RAPPORT 2004:8. Redovisning av ett regeringsuppdrag

Informationssäkerhet i domstolsväsendet DV-RAPPORT 2004:8 Redovisning av ett regeringsuppdrag

Producerad av Informationssekretariatet, Domstolsverket, ISSN 0281-0484, Domstolsverkets diarienummer 1066-2004 Tryckt av Tabergs tryckeri AB, Jönköping, september 2004

Informationssäkerhet i domstolsväsendet Sammanfattning... 2 1 Uppdraget... 4 2 IT-säkerhet och informationssäkerhet i Sverige en kortfattad översikt... 5 2.1 Allmänt 5 2.2 Regler, riktlinjer, standarder... 5 2.3 Begrepp... 6 2.4 Krisberedskapsmyndigheten och basnivån för IT-säkerhet (BITS)... 7 2.5 Statskontoret och ledningssystem för informationssäkerhet vid 24-timmarsmyndigheter (OffLIS)... 7 2.6 Datainspektionen och dess allmänna råd angående säkerhet för personuppgifter... 8 2.7 E-nämnden (Nämnden för elektronisk förvaltning)... 8 2.8 Post och telestyrelsen och Sitic... 9 2.9 EU och Enisa... 9 2.10 OECD och dess riktlinjer för säkerhet i informationssystem och nät... 9 3 IT-verksamheten i domstolsväsendet...11 3.1 Översiktligt om domstolsväsendets IT-infrastruktur... 11 3.2 Ansvarsfördelning mellan DV och domstolarna... 11 3.3 Särskilt om Vera som är beroende av ett fungerande Domnät... 12 3.4 Vidareutveckling av verksamhetsstödet Vera och ökade krav på informationssäkerheten... 15 3.5 RIF-samarbetet och de krav detta ställer när det gäller informationssäkerhet... 15 3.6 DV:s föreskriftsrätt angående säkerhet... 19 3.7 Sammanfattning med förslag... 20 4 Författningsförslag...22 1 av 22

Sammanfattning Allt större krav ställs idag på domstolsväsendet. dessa krav kommer från domstolarna själva, men också från andra myndigheter, parter, allmänheten, massmedia m.m. Sedan några år tillbaka pågår därför en omfattande modernisering av domstolsväsendet. Förändringarna sker i ett långsiktigt perspektiv med inriktningen att skapa lösningar för domstolsväsendet som är hållbara i en föränderlig tid. Reform- och utvecklingsarbetet inom domstolsväsendet kommer under ett antal år vara inriktat på domstolarnas yttre och inre organisation. Detta förändringsarbete kommer i hög grad att röra domstolarnas arbetsorganisation och arbetsformer vilket har stor påverkan på domstolsväsendets krav på ett modernt IT-stöd. IT används i domstolsväsendet för att stödja, utveckla och effektivisera verksamheten. Domstolsväsendet som helhet, andra myndigheter inom rättsväsendet och ytterst medborgarna är beroende av den informationsbehandling som sker i domstolsväsendets gemensamma IT-system. För att upprätthålla funktionaliteten och tillgängligheten till domstolsväsendets IT-stöd - där så gott som all information hanteras på ett eller annat sätt är det nödvändigt att hanteringen av utrustning och information sker på ett tillförlitligt sätt. Ett strukturerat och reglerat IT- och informationssäkerhetsarbete ger bättre förutsättningar för att motverka risker för såväl obehörig tillgång och förändring av data som för förlust eller brister i tillgång till data. Att säkerställa hög tillgänglighet till IT-systemen, riktigheten i den information som hanteras där och samtidigt upprätthålla lagstadgade krav på sekretess i dessa system, är väsentliga moment för att underlätta för domstolsväsendet att uppfylla sina verksamhetsmål. Kraven på tillgänglighet till IT-stödet framstår som särskilt stort och ökar, både från domstolarna och från allmänheten. Tillgänglighetskravet avser både tid och geografisk frihet. I samhället i stort och givetvis även för domstolarnas ITstöd har antalet intrångsförsök och IT-säkerhetsrelaterade incidenter ökat. Domstolarnas IT-stöd har också blivit mer komplicerat och stora delar av driften har centraliserats till Domstolsverket. Samtliga domstolar är anslutna till ett landsomfattande nätverk, Domnät. Denna anslutning måste fungera för att en rad IT-system, däribland det nya verksamhetsstödet Vera, skall fungera. En rad myndigheter utfärdar redan i dag generella riktlinjer, vägledningar och allmänna råd angående informationssäkerhet. Dessa baseras sig i stort på den svenska standarden SS-ISO/IEC 17799 men är idag inte bindande för myndigheter. Samtidigt har nämnden för elektronisk information givits rätt att meddela föreskrifter bl.a. angående informationssäkerhet. I sin handlinsplan för 2004 har nämnden angett att en föreskrift bör utarbetas under 2004 som anger att myndigheter skall tillämpa den tidigare nämnda standarden. Nämnden har vidare angett att en sådan föreskrift bör bygga på Statskontorets vägledning, OffLIS. Det kan sålunda förväntas att myndigheterna förr eller senare blir skyldiga att följa den nämnda standarden. Slutligen kan konstateras att RIF-samarbetet redan idag ställer ett antal krav på informationssäkerheten i domstolsväsendet i sin helhet där samarbetet synes 2 (22)

förutsätta att det för domstolsväsendets finns mer övergripande policys och riktlinjer för grundsäkerheten i de gemensamma IT-systemen. För att kunna uppfylla domstolarnas och omvärldens krav på IT-stödet är det därför angeläget att domstolsväsendet och DV arbetar mer medvetet och strukturerat med IT-säkerhet och med en för domstolsväsendet enhetlig reglering. För att kunna säkerställa domstolarnas tillgång till de olika IT-systemen måste DV vid varje given tidpunkt kunna garantera säkerheten i Domnät. För att kunna garantera detta måste DV ges rätt att meddela föreskrifter på informationsäkerhetsområdet för utrustning och programvara som har direkt eller indirekt anslutning till Domnät. 3 (22)

1 Uppdraget Domstolsverket (DV) fick i regleringsbrevet för 2004 i uppdrag att bedöma vilka författningsändringar som behövs för att skapa ett för domstolsväsendet gemensamt regelverk avseende informationssäkerhet i det för domstolsväsendet gemensamma nätverket Domnät och den datorutrustning som i övrigt används av domstolarna. Uppdraget skall redovisas senast den 1 oktober 2004. IT-säkerhetschefen Jörgen Nilsson har haft ansvaret för genomförandet av uppdraget. I arbetet med uppdraget har också IT-handläggarna Ulf Svahn och Mattias Eriksson deltagit. 4 (22)

2 IT-säkerhet och informationssäkerhet i Sverige en kortfattad översikt 2.1 Allmänt IT-utvecklingen påverkar idag hela samhället på alla nivåer. Den tekniska komplexiteten ökar och IT-systemen blir allt kraftfullare med kapacitet att utföra nya och mer komplicerade funktioner. I vissa fall har utvecklingen gått så långt att det inte längre är möjligt att ersätta IT-system med manuella rutiner. Detta innebär att alltfler myndigheter och organisationer blir alltmer beroende av sina IT-system för sin dagliga verksamhet. Denna utveckling gäller också domstolsväsendet. Samtidigt finns en utveckling inom rättsväsendet och särskilt då inom ramen för RIF-samarbetet (se avsnitt 3.4 nedan) att integrera de olika myndigheternas system med varandra för ett bättre och mer effektivt informationsutbyte. När myndigheters IT-system är sammankopplade kan det innebära att möjligheten ökar för utomstående att få obehörig tillgång till information i systemen. Sammankopplade system kan också medföra ökad risk för att informationen i systemen manipuleras genom att raderas eller förändras. Spridningen av virus och annan skadlig kod kan också få en allvarlig och avsevärd omfattning i sammankopplade system. Denna utveckling mot ökad sårbarhet motverkas bl.a. av ett ökat säkerhetsmedvetande hos myndigheterna. Det finns också ett nationellt och internationellt arbete kring att ta fram standarder och andra stöd för att utveckla säkerheten. Även frågan hur myndigheter organiserar sig runt frågor om informationssäkerhet spelar stor roll. När det gäller organisation kring säkerhetsfrågor måste för domstolsväsendet beaktas att varje domstol i domstolsväsendet är en självständig myndighet och dessa har därför själva att organisera sig kring dessa frågor. När det gäller informationssäkerhet har DV ingen rätt idag att för domstolarna utfärda bindande föreskrifter på området. Sverige skall, i enlighet med det IT-politiska beslutet som fattades 2000, vara världsledande i användandet av informationsteknik (IT). Sverige har således en tydlig politisk ambition att IT skall vara en strategisk viktigt komponent i samhället. IT anses utgöra en viktig förutsättning för tillväxt och utveckling. Detta förutsätter en tillit till systemen och att den information som flödar i systemen är tillförlitlig. Informationssäkerhet är därmed en viktig förutsättning som bör utgöra en integrerad del av utbyggnaden av informationssamhället, något som givetvis även gäller för domstolsväsendet. 2.2 Regler, riktlinjer, standarder I säkerhetsskyddslagen (1996:627) finns vissa bestämmelser om informationssäkerhet, men dessa har där ett definierat och avgränsat syfte, nämligen att förebygga att uppgifter som omfattas av sekretess och som rör rikets säkerhet röjs, ändras eller förstörs. I personuppgiftslagen (1998:204) finns vissa bestämmelser om säkerhet vid behandling av personuppgifter (se avsnitt 3.6 nedan). Slutligen finns i förordningen (2002:472) om åtgärder för fredstida krishantering och höjd beredskap specifika krav på myndigheter med ett särskilt ansvar för fredstida krishantering och för förmågan att fungera under höjd beredskap. Annars finns det idag inte några författningar som anger hur begreppet informationssäkerhet skall definieras eller vilka säkerhetskrav som rent generellt gäller för myndigheternas IT-system. Inte heller finns det några generellt 5 (22)

bindande myndighetsföreskrifter angående säkerhet i IT-system. Den nyinrättade nämnden för elektronisk förvaltning (E-nämnden) kommer dock troligen att utfärda sådana föreskrifter (se avsnitt 3.7 nedan). Däremot har den svenska standarden SS-ISO/IEC 17799 respektive SS 62 77 99 avseende Ledningssystem för informationssäkerhet, vars två delar utgör dels riktlinjer för ledning av informationssäkerhet, dels specifikation med vägledning för användning, kommit att ligga till grund för de flesta myndigheters, organisationers och företags säkerhetsarbete. Denna standard innehåller väl inarbetade begrepp och definitioner inom informationssäkerhetsområdet. Samtidigt har en rad myndigheter inom ramen för sina respektive ansvarsområden tagit fram riktlinjer, vägledningar och allmänna råd angående informationssäkerhet se nedan. 2.3 Begrepp I SIS (Standardiseringen i Sverige) tekniska rapport Handbok 550: Terminologi för informationssäkerhet (2003) sammanfattas rådande uppfattning i fråga om vissa begrepp och definitioner. Enligt SIS omfattar informationssäkerhet såväl det område som traditionellt benämnts datasäkerhet som övriga begrepp som har anknytning till hur informationen skall hanteras på ett säkert sätt i skilda slag av verksamheter. Utgångspunkten är att viss information kan vara kritisk i något avseende genom att verksamheten och dess mål kan komma att äventyras om information skulle komma till obehörigs kännedom, modifieras, förstöras eller på annat sätt göras otillgänglig. Skyddet av information är därmed en angelägenhet för alla typer av organisationer liksom för samhället i sin helhet. Utnyttjande av information förutsätter tillgång till en fungerande teknisk struktur, IT-systemet. Skyddet av information i informationsbehandlande tekniska system benämns därför ofta IT-säkerhet. Begreppet informationssäkerhet kan beskrivas på flera olika sätt, beroende på ändamål. En uppdelning som redovisas i SIS-rapporten (figuren nedan), utgår från skyddsåtgärdernas miljö, teknisk respektive administrativ säkerhet etc. Administrativ säkerhet omfattar bl.a. metoder, regelverk, organisation, utbildning och kontroll. Informationssäkerhet Administrativ säkerhet Teknisk säkerhet Fysisk säkerhet IT-säkerhet Datasäkerhet Kommunikationssäkerhet En annan och mer förenklad definition av informationssäkerhet ges i SIS Handbok i Informationssäkerhetsarbete (2002) där man ger begreppet följand tre egenskaper. 6 (22)

Sekretess säkerställande av att informationen är tillgänglig endast för dem som är behöriga att ta del av och använda den Riktighet skydd av informationen så att den är och förblir korrekt och fullständig Tillgänglighet säkerställande av att användarna har tillgång till informationen när den behövs En ytterligare egenskap som är viktig är spårbarhet som innebär möjligheten att i efterhand identifiera genomförda händelser. 2.4 Krisberedskapsmyndigheten och basnivån för ITsäkerhet (BITS) Krisberedskapsmyndigheten (KBM) har det sammanhållande myndighetsansvaret inom informationssäkerhetsområdet. I uppgiften ligger dels att arbeta med förebyggande IT-säkerhet, dels ett ansvar för övergripande omvärldsanalys på området. KBM lämnar årligen en lägesbedömning till regeringen angående samhällets informationssäkerhet. KBM lämnar, i form av rekommendationer, förslag till en basnivå för ITsäkerhet, benämnt BITS (KBM Rekommenderar 2003:2). Rekommendationerna innehåller definitioner som rör delar av begreppet informationssäkerhet som avser säkerheten i den tekniska hanteringen av information som bearbetas, lagras och kommuniceras elektroniskt samt administrationen kring detta. Till dessa rekommendationer föreslås ett antal begrepp och definitioner som i huvudsak följer SIS-rapporten även om man lägger större vikt vid andra begrepp som Tex. systemägare. Rekommendationerna är konsistenta med den ovannämnda standarden SS-ISO/IEC 17799 vad avser IT-säkerhet. Kortfattat kan BITS sägas innebära att KBM rekommenderar organisationer att: Definiera mål och inriktning för säkerhetsarbetet i en IT-säkerhetspolicy. Utifrån IT-säkerhetspolicyn ta fram systemsäkerhetsplaner för varje IT-system som bedöms viktiga för verksamheten. Systemsäkerhetsplanen skall beskriva vilka säkerhetskrav som skall ställas utifrån aspekterna sekretess, riktighet och tillgänglighet. Konkretisera IT-säkerhetspolicyn genom säkerhetsinstruktioner. 2.5 Statskontoret och ledningssystem för informationssäkerhet vid 24-timmarsmyndigheter (OffLIS) Statskontoret medverkar i att genomföra det förvaltningspolitiska handlingsprogrammet och skall främja utvecklingen av offentliga elektroniska tjänster, bl.a. genom utveckling av 24-timmarsmyndigheten. Inom ramen för arbetet med 24-timmarsmyndigheten har Statskontoret tagit fram Ledningssystem för informationssäkerhet vid 24-timmarsmyndigheter (Statskontoret 2003:23) som är en vägledning och handbok för informationssäkerhet. Utgångspunkten för det arbetet har varit att en effektiv och säker an- 7 (22)

vändning av IT med Internettjänster är den allra tydligaste framgångsfaktorn för 24-timmarsmyndigheten. Detta skapar behov av samsyn när det gäller informationssäkerhet, sekretessfrågor m.m. något som är avgörande för att etablera och vidmakthålla allmänhetens förtroende för e-tjänster. Vägledningen, som ofta kallas OffLIS, är baserad på den ovannämnda svenska standarden SS-ISO/IEC 17799 och tar således ett större grepp än KBM:s BITS som omfattar endast IT-säkerhetsaspekten av begreppet informationssäkerhet. 2.6 Datainspektionen och dess allmänna råd angående säkerhet för personuppgifter Datainspektionen har till uppgift att skydda människors privatliv i ITsamhället. Skyddet skall tillgodoses utan att användningen av ny teknik onödigt hindras eller försvåras. Datainspektionen utfärdar föreskrifter och allmänna råd när det gäller behandling av personuppgifter enligt personuppgiftslagen (1998:204). I personuppgiftslagen finns bestämmelser om säkerhet vid behandling av personuppgifter. Enligt 31 skall den personuppgiftsansvarige vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas. Åtgärderna skall åstadkomma en säkerhetsnivå som är lämplig med beaktande av: de tekniska möjligheter som finns, vad det skulle kosta att genomföra åtgärderna, de särskilda riskerna som finns med behandlingen av personuppgifter, och hur känsliga de behandlade personuppgifterna är Mot bakgrund av denna bestämmelse har Datainspektionen utfärdat allmänna råd angående säkerhet för personuppgifter. Råden, som riktar sig till alla som behandlar personuppgifter enligt personuppgiftslagen, är inte bindande utan endast rekommendationer om hur de bindande kraven i personuppgiftslagen kan uppnås. Råden baserar sig i allt väsentligt på den ovannämnda svenska standarden SS-ISO/IEC 17799 till vilken de också hänvisar. 2.7 E-nämnden (Nämnden för elektronisk förvaltning) E-nämnden inrättades den 1 januari 2004. E-nämnden har enligt sin instruktion till uppgift att stödja utvecklingen av ett säkert och effektivt informationsutbyte mellan myndigheter samt mellan myndigheter och enskilda. Detta sker genom att nämnden beslutar om standarder eller liknande krav som skall vara gemensamma för det elektroniska informationsutbytet för myndigheter under regeringen. Nämnden skall vidare bistå med information och utarbeta riktlinjer samt slutligen verka för att det på informationsteknikmarknaden tillhandahålls tjänster och produkter till stöd för elektroniskt informationsutbyte. Nämnden består av 15 ledamöter från olika myndigheter och får kanslistöd från Statskontoret. 8 (22)

Enligt förordningen (2003:770) om statliga myndigheters elektroniska informationsutbyte som trädde i kraft den 1 januari 2004 och som gäller myndigheter under regeringen skall myndigheterna i sin verksamhet främja utvecklingen av ett säkert och effektivt informationsutbyte inom den offentliga förvaltningen. Enligt förordningen har E-nämnden rätt att meddela föreskrifter i fråga om standarder eller liknande krav som skall vara gemensamma för elektroniskt informationsutbyte för myndigheter under regeringen. Denna föreskriftsrätt omfattar rätt att utfärda föreskrifter angående informationssäkerhet. Nämnden är nyligen inrättad och har i skrivandes stund ännu inte utfärdat några sådana föreskrifter. I sin arbetsplan för 2004 anger nämnden att en föreskrift bör utarbetas under första halvåret 2004 som anger att myndigheter skall tillämpa den svenska och internationella standarden för informationssäkerhet SS-ISO/IEC 17799 för att öka förutsättningarna för att åstadkomma och bibehålla nödvändiga och ändamålsenlig säkerhet i informationsbehandlingen. Nämnden anger vidare att föreskriften bör bygga på Statskontorets vägledning, OffLIS. 2.8 Post och telestyrelsen och Sitic Post- och telestyrelsen driver sedan den 1 januari 2003 en rikscentral för ITincidentrapportering Sveriges IT-incidentcentrum (Sitic). Sitic har som främsta uppgift att stödja samhället i arbetet med skydd mot IT-incidenter genom att inrätta ett system för informationsutbyte om IT-incidenter mellan samhällets organisationer och Sitic. Centrumet skall snabbt kunna sprida information i samhället om problem som kan störa IT-system. Att lämna information och råd om förebyggande åtgärder ingår också i uppdraget. Slutligen skall Sitic sammanställa och ge ut statistik. 2.9 EU och Enisa Sedan 1990-talet finns ett antal direktiv, meddelanden och förslag från EU som berör informationssäkerhet. En viktig utveckling på området inom EU är inrättandet av den Europeiska nät- och informationssäkerhetsbyrån (Enisa). Enisa, som inrättades i början av 2004 och som skall finnas under fem år, har till syfte är att arbeta för en hög nivå på nät- och informationssäkerheten inom EU. Enisa ska bistå kommissionen, medlemsstaterna och näringslivet att uppfylla dagens krav på nät- och informationssäkerhet. För att uppnå dessa mål kan Enisa t.ex. samla in information för analys av befintliga och nya risker. Byrån ska genom sakkunskap främja samarbetet mellan den offentliga och den privata sektorn. Byrån ska även samarbeta med tredje land och internationella organisationer. 2.10 OECD och dess riktlinjer för säkerhet i informationssystem och nät Informationssäkerhetsfrågorna behandlas i flera internationella sammanhang. Utöver EU så deltar Sverige även i arbetet inom t.ex. OECD (Organisation for Economic Co-operation and Developement). Inom informationssäkerhetsområdet verkar OECD för samverkan mellan olika typer av aktörer. OECD har nyligen tagit fram riktlinjer för säkerhet i informationssystem och nät. Riktlinjerna syftar till att stödja utvecklingen av en säkerhetskultur i samhället genom att främja säkerhetstänkande vid utveckling och användning av nät och informationssystem. Riktlinjerna, som inte är bindande för medlemstaterna, innehåller mål och principer för utvecklingen av nya nät och informationssystem och vänder sig till både stater, offentliga och privata organisationer. Riktlinjerna är 9 (22)

formulerade i policytermer och är avsedda att vara övergripande snarare än specifikt inriktande av medlemsländernas strategier. Arbetet inom OECD handlar nu bl.a. om att försöka omsätta riktlinjerna i praktiskt arbete. 10 (22)

3 IT-verksamheten i domstolsväsendet 3.1 Översiktligt om domstolsväsendets ITinfrastruktur Idag har samtliga domstolar och hyresnämnder ett pc-nätverk bestående av en pc-server med Windows NT och ett antal pc:s med Windows XP som arbetsstationer. Detta kommer under 2004 att ersättas av en mer centraliserad lösning där all inloggningskontroll genom Active Directory sker mot en server hos DV. NT-serverna kommer successivt att ersättas av Windows 2003- servrar. Det pågår även en utveckling mot att alltfler domstolar lagrar sin information centralt hos DV. Flera domstolar och nämnder har idag en UNIXserver för hantering av målhanteringssystemet, Måhs. Måhs beräknas vara ersatt fullt av det nya verksamhetsstödet Vera år 2005 (se avsnitt 3.3 nedan) varigenom även UNIX-servrarna kommer att försvinna. Därutöver har DV webbservrar med egen hemsida och ett antal webbapplikationer. DV har eftersträvat och har i huvudsak uppnått enhetlighet på samtliga domstolar och nämnder vad gäller val av hårdvara och nätverk samt vad gäller köpta programvaror och av DV egenutvecklade system. Detta hänger i hög grad samman med att det är DV som ansvar för inköp av utrustning och programvara. Datorerna på en domstol är sammankopplade till ett lokalt nätverk som i sin tur är anslutet till ett landsomfattande nätverk som kallas Domnät. Via Domnät kan domstolarna få tillgång till Vera, Internet, e-post, videokonferenssystem och andra system som finns centralt på DV. Varje tjänsteman i domstolsväsendet har tillgång till en pc (även benämnd klient) på vilken det finns installerat operativsystemet Windows XP samt programvara som ingår i Microsofts Officepaket. I syfte att förenkla underhåll och administration finns också CCM installerat med vars hjälp DV kan installera och uppdatera vissa programvaror på distans. 3.2 Ansvarsfördelning mellan DV och domstolarna Under årens lopp har i praktiken en ansvarsfördelning mellan DV och domstolarna vuxit fram när det gäller domstolsväsendets IT-stöd. Ansvarsfördelningen är inte särskilt reglerad och har inte heller formaliserats på annat sätt även om den har beskrivits i olika dokument från DV och då kanske främst IT-strategin för 2002-2004. Ansvarsfördelningen som den ser ut i praktiken idag kan beskrivas enligt följande. DV svarar för utveckling av domstolsväsendets IT-stöd. Det bör dock framhållas att ansvaret för funktionalitet i de egenutvecklade systemen vilar både hos domstolarna och DV. Arbetet med att ta fram krav för dessa system genomförs således i nära samarbete med domstolarna medan systemering och programmering som krävs vid nyutveckling och vidareutveckling sker hos DV. Vid registrering av uppgifter är det domstolarna som är personuppgiftsansvariga för den behandling av personuppgifter som domstolarna utför. Domstolarna ansvarar för den fysiska säkerheten av den utrustning som finns placerad på domstolarna. Domstolarna ansvarar också för att användarna får det stöd de behöver vilket också innefattar utbildning. Domstolarna ansvarar slutligen för de system och den utrustning som de själva köper eller utvecklar. 11 (22)

DV har redan utvecklat ett antal domstolsgemensamma IT-system. Exempel på domstolsgemensamma system är verksamhetsstödjande applikationer, dvs. system för målhantering, statistikuttag mm. Ett annat exempel är administrativa applikationer såsom hjälpmedel för personaladministration, ekonomi etc. DV ansvarar för tillgängligheten och driftsäkerheten av de domstolsgemensamma systemen. Det innebär ansvar för teknisk drift och support för domstolsgemensamma system och utrustning. För att göra detta möjligt är det DV:s ansvar att: ta fram standarder för arbetsplatser och servrar, göra val av hårdvara och skaffa och installera utrustning, bygga upp nätverk både lokalt och inom intranätet, hantera teknisk drift och support av domstolsgemensamma system och utrustning att se till att information i systemen skyddas något som även inbegriper centralt skydd mot virus och annan skadlig kod. DV ansvarar också för utveckling och förvaltning av sådana system som måste finnas tillgängliga för samtliga domstolar. Det är även DV:s ansvar att se till att den ändrings- och felrapportering som sker från domstolarna registreras och rapporteras vidare till rätt instans. 3.3 Särskilt om Vera som är beroende av ett fungerande Domnät Som anförts ovan ansvarar DV idag för tillgängligheten och driftsäkerheten av de domstolsgemensamma systemen. Ett system som därvid är särskilt intressant är domstolarnas nya verksamhetsstöd, Vera. Vera i sin grundversion stödjer mål- och ärendehanteringen vid samtliga domstolar och hyres - och arrendenämnder inom domstolsväsendet. Systemet utnyttjas under större delen av dygnet och under årets samtliga dagar. Systemet används av i princip samtliga ca 5000 anställda vid domstolarna. Mer i detalj används Vera för handläggning av mål och ärenden fullgörande av underrättelseskyldighet som följer av lag eller annan författning planering, uppföljning och utvärdering av verksamhet framställning av statistik Vera innehåller funktioner för att stödja hela mål- och ärendehanteringen vid samtliga domstolar. Vera innehåller stöd för registrering och fördelning av mål, händelseregistrering, upprättande av dokument och avgöranden, expediering och arkivering. Vera innehåller även funktioner för rapportering av uppgifter om brottmålsavgöranden och laga kraft/överklagandeuppgifter till system hos Rikspolisstyrelsen och Riksåklagaren. 12 (22)

Vera ska kunna användas under fred, krisartade förhållanden och/eller höjd beredskap. Vera innehåller uppgifter om mål och ärenden och om de enskilda personer, myndigheter och organisationer som förekommer i målen och ärendena i domstolarna. Regeringsrätten och kammarrätterna har direktåtkomst till varandras måluppgifter genom Find-It. Även länsrätterna har direktåtkomst till regeringsrättens och kammarrätternas system. Allmänheten har genom Allmänhetens terminal tillgång till information i Vera. Information från Vera överförs kontinuerligt till ett datalager - SIV (Statistik i verksamhet). För att fullgöra underrättelseskyldighet som följer av lag eller annan författning sker ett informationsutbyte av uppgifter i brottmål mellan Vera och system hos Rikspolisstyrelsen och Riksåklagaren. De allmänna domstolarna har genom Vera åtkomst till uppgifter ur belastningsregistret. Vera är ett webbaserat system. Alla domstolars databaser lagras centralt i servrar placerade på DV i Jönköping. Kommunikationen sker från klienterna på respektive domstol till applikationsservern på DV. Kommunikation sker även med externa system. De säkerhetskrav som har ställts på Vera är mycket höga när det gäller tillgänglighet. Detta innebär att endast kortvariga störningar i datordriften som gör att arbetet inte kan bedrivas under någon timme kan accepteras. Vid fel ska information från mer än en halv arbetsdag aldrig förloras. För kravet på skyddet av sekretess i systemet gäller att spridning eller användning av information får endast ske av behörig personal. Avsteg kan medföra skada för organisationens verksamhet eller någon person. Slutligen när det gäller riktighet i informationen som behandlas i Vera gäller att i princip får inga fel i information förekomma. Ändring av information får endast ske av behörig personal. Avsteg kan medföra skada för organisationens verksamhet eller någon person. För att en användare överhuvudtaget skall kunna ha tillgång till och använda Veras grundläggande funktioner för registrering, visning och sökning av information krävs alltid: En fungerande PC-klient med lägst Internet Explorer 6.0 och där funktioner för användande av Cookies och exekvering av JavaScript är aktiverade. Nätförbindelse från den aktuella PC-klienten till den centrala driftsmiljön på DV via Domnät. En central driftmiljö på DV där minst ett visst utbud av tjänster måste fungera. Därutöver finns ett antal funktioner och tjänster i Vera som är beroende av andra komponenter eller tjänster som har anknytning till Domnät eller andra gemensamma IT-system. Dessa beroendeförhållanden framgår av följande tabell. 13 (22)

Delfunktion/ tjänst i Vera Dokumenthantering/rapporter Beroende till komponenter/tjänster Kräver att aktuell PC-klient har en så kallad Vera-klient installerad. Denna består bland annat av programvaran Java webbstart som hanterar integrationen mot Word/Acrobat reader m.m. PC-klienten måste ha programvarorna Word, Acrobat reader och Excel installerade. Utskrifter Kalender/Möte Kräver att aktuell PC-klient har en så kallad Vera-klient installerad. Denna består bland annat av programvaran Jawa webbstart som hanterar integrationen mot Word/Acrobat reader m.m. Dessutom krävs att PC-klienten på ett eller annat sätt är ansluten till en skrivare. För funktionaliteten med att e-postmeddelande skickas till deltagare som bokats/avbokats till/från ett möte ska fungera så måste domstolsväsendets e-posttjänster vara tillgängliga. Belastningsregisterutdrag Rapportering av uppgifter om domar och laga kraft till RPS Rapportering av uppgifter om domar och laga kraft till RÅ Skapande av uppdrag i Service desk per automatik vid fel i extern kommunikation med RPS/RÅ. Kräver att: Belastningsregistret hos RPS fungerar. Fysisk nätverksförbindelse till RPS är tillgänglig. DV:s infrastruktur för extern kommunikation inkluderande Oracle Interconnect och JOLT-koppling mot belastningsregistret fungerar. Att beroendena som redovisas för dokumenthantering/rapporter samt utskrifter är tillgodosedda. Kräver att: PrimaVera-systemet och RI-systemen hos Rikspolisstyrelsen (RPS) fungerar. (PrimaVera är en applikation hos RPS). Fysisk nätverksförbindelse till RPS är tillgänglig. SHS-kommunikation (Spridnings- och HämtningsSystemet) mellan DV och RPS fungerar. DV:s infrastruktur för extern kommunikation inkluderande Oracle Interconnect fungerar. Riksåklagarens (RÅ) gränssnitt till Vera fungerar och att åklagarnas verksamhetsstödjande system Brådis fungerar. Fysisk nätverksförbindelse till RÅ är tillgänglig. SHS-kommunikation mellan DV och RÅ fungerar. DV:s infrastruktur för extern kommunikation inkluderande Oracle Interconnect fungerar. Kräver att domstolsväsendets e-posttjänster fungerar eftersom uppdraget läggs upp genom att ett e-postmeddelande skickas från Vera till Service Desk. 14 (22)

3.4 Vidareutveckling av verksamhetsstödet Vera och ökade krav på informationssäkerheten Införandet av grundversionen av verksamhetsstödet Vera planeras att pågå fram till och med första kvartalet 2005 då samtliga domstolar och nämnder kommer att ha ersatt sina verksamhetsstödjande system med Vera. Genom grundversionen av Vera har en plattform lagts för ett ökat informationsutbyte dels internt inom domstolsväsendet dels externt med exempelvis andra myndigheter och parter. Ett av de områden som är aktuellt för vidareutveckling är brottmålsfunktionen i Vera. På sikt skall samtliga allmänna domstolar via Vera lämna uppgift om brottmålsavgörande och uppgift om laga kraft direkt till de rättsvårdande myndigheter som idag får denna information från RPS s.k. RI-system. Genom denna utveckling kommer Veras beroende till ytterligare system att öka och från att idag endast ha beroende till RPS och RÅ kommer Vera även ha beroende av system inom Kriminalvården, Tullen och Brottsförebyggande Rådet. Ett beroende som bl.a. innebär en ökad sårbarhet genom att fler och fler system kopplas samman. I utvecklingen av Vera i denna riktning ingår även att skapa möjligheter för överrätterna att ta del av den strukturerade informationsmängd som underrätterna rapporterat till externa myndigheter, bearbeta informationen och rapportera resultatet av överrätternas dömande till externa system. Även denna integrering kan förväntas leda till ökade krav på informationssäkerheten inom domstolsväsendet. I vidareutvecklingen av Vera ligger också att skapa förutsättningar för elektroniskt kommunikation och informationsutbyte med andra myndigheter än de som ingår i den s.k. rättskedjan. En elektronisk informationsöverföring mellan exempelvis försäkringskassorna och domstolarna och mellan skattemyndigheten och domstolarna är på sikt önskvärd för att få en mer effektiv hantering av informationsflödet mellan aktuella myndigheter. Även denna utveckling ställer ökade krav på informationssäkerheten. I arbetet med 24-timmarsmyndigheten ingår även vidareutveckling av Vera och på sikt är tanken den att parter ska kunna ha tillgång till vissa uppgifter angående sina egna mål via en Internetuppkoppling. Detta kräver självklart att föreslagna författningsändringar genomförs (Domstolsdatautredningen, SOU 2001:100) och att de höga säkerhetskrav uppfylls som en sådan uppkoppling kan medföra. Genom vidareutvecklingen av Vera kommer som ovan framgår en ökad elektronisk informationsöverföring ske mellan domstolarna och mellan domstolarna och andra myndigheter och parter. Ett informationsutbyte som av naturliga skäl ökar sårbarheten inom domstolsväsendet och som också ställer ökade krav på informationssäkerheten i Vera. 3.5 RIF-samarbetet och de krav detta ställer när det gäller informationssäkerhet 3.5.1 Allmänt Regeringen inrättade 1997 ett Råd för samordning av rättsväsendets informationsförsörjning, RIF-rådet. I RIF-rådet ingår följande 8 myndigheter, Rikspolisstyrelsen, Riksåklagaren, DV, Kriminalvårdsverket, Skatteverket, Tullverket, Brottsoffermyndigheten och Brottsförebyggande Rådet. Samordningen mellan 15 (22)

dessa myndigheter har inledningsvis inriktats på informationsförsörjningen inom brottmålshanteringen, men avses successivt utökas till att även omfatta andra verksamhetsområden där myndigheterna har gemensamma intressen. Samordningen avser såväl verksamhetsfrågor som frågor om säkerhet, kommunikationslösningar och standardiseringar. Regeringen har som övergripande målet för RIF-samordningen angett följande. Under förutsättning att den personliga integriteten värnas skall en uppgift normalt endast registreras en gång och kontrolleras vid källan varje behörig myndighet kunna få den information som behövs vid vilken tidpunkt som helst och i önskad form. 3.5.2 Den strategiska planen RIF-rådet prioriterade under år 2001 ett arbete med syfte att gemensamt inom ramen för RIF-samordningen komma överens om de områden inom brottmålshanteringen som med hänsyn till nyttan för hela rättsväsendet var viktiga att fokusera på under de närmaste åren. Arbetet resulterade i en strategisk plan för samordningen av utvecklingsarbetet inom RIF-myndigheterna under tiden fram till utgången av år 2007 (RPS-USE-450-169/02). Den strategiska planen utgick från den vision som RIF-rådet redan tidigare antagit och som anger att alla uppgifter skall lagras i elektronisk form registreras endast en gång kontrolleras vid källan överföras via en gemensam kommunikationslösning vara tillgänglig för alla behöriga vid varje tillfälle i önskad form. Den strategiska planen utgick också från de övergripande mål för samordningen av rättsväsendets informationsförsörjning som RIF-rådet tidigare hade preciserat enligt följande. Informationsförsörjningen inom rättsväsendet skall stödja verksamheten så att denna kan bedrivas med hög effektivitet, produktivitet och kvalitet. Informationsförsörjningen skall vara kostnadseffektiv. Informationen skall finnas tillgänglig i rätt form för den som behöver den. Bättre förutsättningar att följa upp rättsväsendets samlade resultat genom samordnad verksamhetsstatistik och rättsstatistik skall skapas. Informationsförsörjningen skall svara mot RIF-myndigheternas verksamhetsbehov. Informationsförsörjningen skall ske på ett säkert sätt. 16 (22)

I den strategiska planen prioriterade RIF-rådet utvecklingen av ett effektivt ITstöd inom följande områden. Gemensam ärendehantering och informationsutbyte under förundersökningen (FU). Stöd för hantering och dokumentation av straffprocessuella tvångsmedel. Elektronisk dom och uppgift om laga kraft (e-dom). I planen angavs att rådets målsättning var att det senast vid utgången av år 2005 skall finnas ett effektivt IT-stöd som gör det möjligt att hantera elektroniska domar och uppgifter om laga kraft. Rådets målsättning var också att det senast vid utgången av år 2007 skall finnas dels ett effektivt IT-stöd för hanteringen och informationsutbytet under förundersökningen, dels ett effektivt ITstöd för en inom rättsväsendets gemensam hantering och dokumentation av straffprocessuella tvångsmedel. I planen angavs också behovet av att RIF-myndigheterna enas om vissa principfrågor såsom en modell för gemensamma definitioner av begrepp och ett nytt sätt att klassificera brott samt, vilket i detta sammanhang är av särskilt intresse, rätt nivå på gemensam säkerhet vid informationsutbyte och gemensam syn på kommunikationsteknik. Att komma överens inom dessa områden ansågs vara ytterst viktigt för det fortsatta arbetet inom samordningen. Under år 2002 ägnades därför särskild fokus på att nå principöverenskommelserna. 3.5.3 Principöverenskommelsen om en gemensam säkerhets- och kommunikationslösning RIF-myndigheterna fastställde under år 2003 följande tre principöverenskommelser inom RIF-samordningen. Gemensam säkerhets- och kommunikationslösning inom RIFsamordningen m.m. Definitioner och hantering av gemensamma verksamhetsbegrepp inom RIF-samordningen. Strukturerad information om brott (STUK). Fastställandet av de tre principöverenskommelserna, inte minst den om en gemensam säkerhets- och kommunikationslösning, innebar att ytterligare en milstolpe hade passerats avseende samarbetet inom rättsväsendet. Principöverenskommelsen om en gemensam säkerhets- och kommunikationslösning behandlar informationsutbyte mellan RIF-myndigheterna och omfattar sådan information som utbyts mellan rättsväsendets myndigheter och som behövs där för brottmålsprocessen. Principöverenskommelsen behandlar inte informationsutbyte med externa parter såvida detta informationsutbyte inte påverkas av den enligt principöverenskommelsen antagna grundsäkerhetsnivån. Principöverenskommelsen behandlar ej medborgarnas åtkomst till RIFmyndigheternas system. 17 (22)

3.5.4 Principöverenskommelsens krav när det gäller informationssäkerhet Principöverenskommelsen innebär att ett antal krav ställs på DV och domstolsväsendet som helhet när det gäller informationssäkerhet. Varje RIF-myndighet ansvarar själv för att säkerhetsnivån inom myndighetens område uppfyller de krav på informationsskydd som krävs enligt principöverenskommelsen. Det innebär bl.a. att informationen skall skyddas mot obehörig åtkomst informationens riktighet skall säkerställas informationens tillgänglighet skall säkerställas informationens användande skall vara spårbart. Säkerhetslösningarna skall bygga på en för RIF-myndigheterna gemensam beskrivning av hotbilden. För definition av grundläggande begrepp inom informationssäkerhet hänvisas i överenskommelsen till gällande svensk säkerhetsstandard vilken är SS- ISO/IEC 17799. Principöverenskommelsen förutsätter att varje myndighet gör en avstämning mellan överenskommelsens innehåll och den informationssäkerhetspolicy som skall finnas för varje myndighet. RIF-myndigheternas egna riktlinjer för informationssäkerhet eller de särskilda avtalen om säkerhet får inte motverka det som sägs i principöverenskommelsen eller påverka grundsäkerhetsnivån negativt. För DV:s del är det inte adekvat att ta fram en informationssäkerhetspolicy enbart för DV eftersom RIF- arbetet i slutändan kommer att involvera hela domstolsväsendet. Enligt principöverenskommelsen skall respektive myndighet dessutom ha fastställda och dokumenterade riktlinjer för informationssäkerheten inom respektive ansvarsområde. Någon informationssäkerhetspolicy eller bindande riktlinjer för domstolsväsendet finns inte idag då DV inte ansetts ha denna föreskriftsrätt i sin instruktion. Ansvar för informationssäkerheten avseende den information som omfattas av principöverenskommelsen fastställs av respektive myndighet. Behandlingen av uppgifter som sker inom ramen för rättsväsendets informationsförsörjning skall givetvis vara förenlig med gällande författningar. Ett moment i detta arbete är att fastställa en ansvarsfördelning mellan DV och domstolarna när det gäller informationssäkerheten. Ett annat moment är att fastställa informationsansvaret vid informationsutbyte mellan domstolsväsendet och andra RIF - myndigheter. Principöverenskommelsen ålägger respektive RIF- myndighet att införa de åtgärder som krävs för att uppnå en gemensam grundsäkerhetsnivå som beskrivs mer detaljerat i överenskommelsen. I de flesta avseenden uppfyller domstolsväsendet i dag den gemensamma grundsäkerhetsnivån. De moment som främst kvarstår för att DV och domstolsväsendet att genomföra för att uppnå den gemensamma säkerhetsnivån är klassificering av information, säker autenticering vid inloggning, mer strukturerad övervakning av loggar, incidenthantering samt kontinuitetsplanering. 18 (22)