Riktlinjer för informationssäkerhet inom. [kommun] 20XX-XX-XX Version 1.0. IT forum i samarbete med Lidingö 2010-11-28

Riktlinjer för informationssäkerhet inom [kommun] 20XX-XX-XX Version 1.0 IT forum i samarbete med Lidingö 2010-11-28

IT-FORUM 2 (35) Innehållsförteckning Innehållsförteckning 2 1 Inledning 4 1.1 Efterlevnad 4 1.2 Läsanvisning till regelverk för informationssäkerhet 5 2 Definitioner 8 3 Struktur för säkerhetsdokumentation 9 4 Riskbedömning och riskbehandling 10 5 Informationssäkerhetspolicy 11 6 Säkerhetsorganisation 12 6.1 Allmänt 12 6.2 Ansvar för informationssäkerhet 12 6.3 Samordning av informationssäkerhet 14 6.4 Hantering av externa aktörer 14 7 Hantering av tillgångar 15 7.1 Ansvar för tillgångar 15 7.2 Klassificering av information 15 7.3 Märkning och hantering av information 20 8 Personal 21 8.1 Säkerhet vid rekrytering för anställd och inhyrd personal 21 8.2 Krav på anställda gällande informationssäkerhet 21 8.3 Säkerhet vid avslutande av anställning eller förflyttning 21 9 Fysisk säkerhet 22 9.1 Riktlinjer för skydd av utrustning och information 22 9.2 Tillträdeskontroll till byggnader och lokaler 22 9.3 Säkerhet för utrustning utanför egna lokaler 22 9.4 Avveckling av utrustning 22 10 Styrning av kommunikation och drift 24 10.1 Driftrutiner och driftansvar 24 10.2 Kontroll av utomstående tjänsteleverantör 24 10.3 Systemplanering och systemgodkännande 24 10.4 Skadlig kod 24 10.5 Säkerhetskopiering 24 10.6 Styrning av nätverk 25 10.7 Mediahantering och mediasäkerhet 25 10.8 Utbyte av information och program 25 10.9 Elektroniskt offentliggjord information 25 10.10 Övervakning 25 11 Åtkomst till system och nätverk 26 11.1 Verksamhetskrav på styrning av åtkomst 26 11.2 Styrning av användares åtkomst 26 11.3 Styrning av åtkomst för administratörer 26 11.4 Användares ansvar 26 11.5 Styrning av åtkomst till nätverk 26

IT-FORUM 3 (35) 11.6 Styrning av åtkomst till operativsystem 27 11.7 Styrning av åtkomst till information och tillämpningar 27 11.8 Mobil datoranvändning och distansarbete 27 12 Anskaffning, utveckling och underhåll av programvaror 28 12.1 Säkerhetskrav på informationssystem 28 12.2 Säkerhet i tillämpningar 28 12.3 Kryptering 28 12.4 Säkerhet i databaser och program 28 13 Hantering av incidenter 29 13.1 Rapportering av säkerhetshändelser och svagheter 29 13.2 Hantering av säkerhetsincidenter och förbättringar 29 14 Kontinuitets- och avbrottsplanering 30 15 Efterlevnad 31 15.1 Efterlevnad av rättsliga krav 31 15.2 Efterlevnad av säkerhetspolicy, -standarder och teknisk efterlevnad 31 15.3 Hänsynstaganden vid revision av informationssystem 31 16 Ordlista 33 17 Dokumentinformation 35

IT-FORUM 4 (35) Inledning En informationssäkerhetspolicy beskriver den högsta ledningens vilja med informationssäkerheten. Riktlinjerna beskriver de övergripande målen i policyn och vad som ska göras för att nå målen. Rutinbeskrivningarna ska på en funktionell nivå beskriva exempelvis hur Policy skyddsåtgärder ska införas. Riktlinjer Detta dokument, riktlinjer för informationssäkerhet, innehåller de riktlinjer Rutinbeskrivningar för informationssäkerhet som gäller för hantering av såväl information som informationsbärare i form av datorer, pappersdokument, mobiltelefoner och externa minnen etc. Information kan finnas lagrad eller hanteras i digital form, men kan också vara i såväl skriftlig som muntlig form. Sålunda jämställs begreppen informationssystem och informationstillgångar i detta dokument, såvida ingen annan skrivning gör en skillnad dem åt. Ur detta följer alltså att typen av informationsbärare inte ska anses som det viktigaste ur begreppssynvinkel, men då informationen idag mest är i digital form har därför dokumentet en tyngdpunkt begreppsmässigt mot it-system och dess information. Efterlevnad Detta regelverk beskriver den informationssäkerhet som ska gälla vid arbete med information, system och program inom [kommun]. Regelverket gäller även anställda hos [kommun]s externa aktörer som har tillgång till [kommun]s information och informationssystem.

IT-FORUM 5 (35) Läsanvisning till regelverk för informationssäkerhet Kapitel Mottagare Kapitlets innehåll 2 Definitioner Alla Viktiga Definitioner 3 Struktur för dokumentation Alla Hänvisning till andra säkerhetsdokument 4 Riskbedömning och riskbehandling Systemägare It-personal 5 Informationssäkerhetspolicy Alla Hänvisning till policyn Ramverket för informationssäkerhet 6 Säkerhetsorganisation Alla Den organisation och de roller som hanterar informationssäkerhet 7 Hantering av tillgångar Alla Hur information och andra tillgångar ska klassas och märkas 8 Personal Personalavdelni ng Alla Informationssäkerhet vid rekrytering, uppsägning och de anställdas ansvar under anställningen 9 Fysisk säkerhet -------- Behandlas ej i detta dokument 10 Styrning av kommunikation och drift It-personal Alla Hur informationssäkerhet ska beaktas vid systemplanering, drift, kommunikation, övervakning 11 Åtkomst till system och nätverk 12 Anskaffning, utveckling underhåll programvaror It-personal Systemägare it-personal Regler för hur åtkomst ska ges till informationstillgångar Krav för informationssäkerhet i program, inkl. signaturer och kryptering, 13 Hantering av incidenter Alla Regler för agerande vid upptäckt incident 14 Kontinuitets- och avbrottsplanering Systemägare, Systemförvaltar e It-personal Regler för att upprätthålla verksamhetens funktionalitet vid katastrofhändelser eller avbrott 15 Efterlevnad Alla Regler för hur regelverket hålls uppdaterat och

IT-FORUM 6 (35) aktuellt över tiden samt påföljder vid brott mot beslutat regelverk Mottagare Kapitel Kapitlets innehåll Alla 2 Definitioner Viktiga Definitioner Alla 3 Struktur för dokumentation Hänvisning till andra säkerhetsdokument Alla 5 Informationssäkerhetspolic y Hänvisning till policyn Ramverket för informationssäkerhet Alla 6 Säkerhetsorganisation Den organisation och de roller som hanterar informationssäkerhet Alla 7 Hantering av tillgångar Hur information och andra tillgångar ska klassas och märkas Alla 13 Hantering av incidenter Regler för agerande vid upptäckt incident Alla 15 Efterlevnad Regler för hur regelverket hålls uppdaterat och aktuellt över tiden samt påföljder vid brott mot beslutat regelverk It-personal Alla It-personal Systemägare It-personal Personalavdelni ng Alla 10 Styrning av kommunikation och drift 11 Åtkomst till system och nätverk 12 Anskaffning, utveckling underhåll programvaror Hur informationssäkerhet ska beaktas vid systemplanering, drift, kommunikation, övervakning Regler för hur åtkomst ska ges till informationstillgångar Krav för informationssäkerhet program, inkl. signaturer och kryptering, 8 Personal Informationssäkerhet vid rekrytering, uppsägning och de anställdas ansvar under anställningen 4 Riskbedömning och riskbehandling Systemägare It-personal -------- 9 Fysisk säkerhet Behandlas ej i detta dokument Systemägare, 14 Kontinuitets- och Regler för att

IT-FORUM 7 (35) Systemförvaltare It-personal avbrottsplanering upprätthålla verksamhetens funktionalitet vid katastrofhändelser eller avbrott

IT-FORUM 8 (35) Definitioner All information som hanteras eller lagras i någon form måste skyddas mot oönskad förändring, påverkan eller insyn. Det ska inte heller vara möjligt för obehöriga att ta del av informationen och de användare som har rätt till informationen ska komma åt den efter behov och inom önskad tid. Det är också av vikt att kunna identifiera vem som har gjort vad med informationen och i datasystemen. Därför kan området informationssäkerhet delas in i följande fyra egenskaper Riktighet: Att information inte kan förändras vare sig av obehöriga, av misstag eller på grund av funktionsstörning. Informationen ska vara tillförlitlig, korrekt och fullständig Sekretess: Att innehållet i dokument, information och handlingar etc. inte görs tillgängliga eller avslöjas för obehörig. Spårbarhet: Att i efterhand entydigt kunna härleda specifika aktiviteter eller händelser till ett identifierat objekt användare, skrivare, dator eller system/program. Det ska gå att se vem som tagit del av informationen, vilka förändringar som har hänt och av vem dessa har utförts. Tillgänglighet: Att information och informationstillgångar kan utnyttjas efter behov, i förväntad utsträckning och inom önskad tid utifrån de krav som ställs på verksamheten.

IT-FORUM 9 (35) Struktur för säkerhetsdokumentation I Informationssäkerhetspolicyn fastställs synen på informationssäkerhet, övergripande mål och organisationens intention med informationssäkerhetsarbetet. Riktlinjerna för informationssäkerhet beskriver vilka rutiner och säkerhetslösningar som måste etableras, för att uppfylla de mål som beskrivs i informationssäkerhetspolicyn. Riktlinjerna syftar inte till att detaljerat beskriva hur rutiner och säkerhetslösningar i praktiken ska utformas, utan ger en minsta förväntad nivå för dessa. Detta för att dels etablera en gemensam säkerhetsnivå som alltid måste uppnås, dels för att rutiner och säkerhetslösningar ska kunna anpassas till verksamhetens normala rutiner och sätt att arbeta. Utifrån detta upprättas rutinbeskrivningar, som detaljerat redogör för hur rutiner och säkerhetslösningar ska utformas och tillämpas, för att informationssäkerhetspolicyns krav ska efterlevas. Kommunens verksamheter ansvarar för att ta fram dessa rutiner. [kommun] ska med avseende på informationshantering följa samtliga lagar och förordningar relaterade till detta (som till exempel lagen om offentlig upphandling, personuppgiftslagen med flera). Kommunen bör också följa riktlinjer kring informationssäkerhetshantering från MSB (Myndigheten för samhällsskydd och beredskap), SKL (Sveriges kommuner och landsting), KSL (Kommunförbundet Stockholms Län), Datainspektionen och andra kommungemensamma intresseorganisationer. Övriga dokument relaterade till styrning och användning av informationstillgångar återfinns på kommunens intranät. Utöver dessa dokument kan enskilda förvaltningar ha kompletterande styrande dokument inom informationssäkerhetsområdet.

IT-FORUM 10 (35) Riskbedömning och riskbehandling Alla system och verksamheter är utsatta för risker. Risk- och sårbarhetsanalysen ska identifiera tänkbara störningar, allvarliga händelser samt extraordinära händelser. Arbetet syftar till att skapa robusta system samt identifiera och analysera skyddsvärda informationstillgångar. Arbetet ska fokusera på förebyggande insatser och konkreta skyddsåtgärder för människor, egendom och miljö. De risker som identifieras i risk- och sårbarhetsanalysen ska hanteras. Detta görs genom att: Genomföra förebyggande åtgärder som minskar riskerna till en acceptabel nivå. Acceptera riskerna om de inte strider mot lagstiftning eller kommunens regler. Undvika den aktivitet som orsakar att den identifierade risken blir verklighet. Överföra risken till andra parter, t.ex. försäkringsbolag eller leverantörer.

IT-FORUM 11 (35) Informationssäkerhetspolicy Informationssäkerhetspolicyn gäller för all hantering av information som tillhör [kommun]. Informationssäkerhetspolicyn kan erhållas från den informationssäkerhetsansvarige och finns utlagd på [kommun]s intranät.

IT-FORUM 12 (35) Säkerhetsorganisation Allmänt För att uppnå och upprätthålla fastställda regler för informationssäkerhet krävs en tydlig ansvarsfördelning i hela organisationen samt att tillämpliga delar av informationssäkerhetsarbetet samordnas. Den utsedda informationssäkerhetsansvarige har det yttersta informations-säkerhetsansvaret inom [kommun] och det är kommunledningens ansvar att se till att det finns en väl fungerande organisation för informationssäkerhetsarbetet. Ansvar för informationssäkerhet Flera av dessa roller beskrivs utförligare i kommunens Förvaltningsmodell för it-system. Nedan anges ansvar som är kopplat till arbetet kring informationssäkerhet. Informationssäkerhetsansvarige I korthet omfattar ansvaret för den informationssäkerhetsansvarige att: Ansvara för kommunens centrala ställningstaganden i långsiktiga, strategiska informationssäkerhetsfrågor där kommunens verksamheter och bolag behöver en gemensam färdriktning. Utforma regelverk för informationssäkerhet och uppdatera dessa vid behov. Upprätta modeller och metoder för riskanalys, incidenthantering och kontinuitetsplanering. Se till att kontinuerligt uppföljningsarbete sker inom kommunen så att informationssäkerhetsnivån upprätthålls. Vara delaktig i att hantera allvarliga incidenter. Systemägare I korthet omfattar systemägarens ansvar att: Systemet uppfyller informationssäkerhetskraven i förhållande till verksamhetens behov. Se till att riktlinjer och tillämpningsföreskrifter för systemanvändningen upprättas. Systemet uppfyller såväl lagkrav som kommunens policies. Se till att systemet och dess innehåll informationssäkerhetsklassificeras. Informationsägare Om förvaltningsobjektet bedöms omfatta en viktig informationstillgång ska en eller flera informationsägare utses. Systemägaren ska verka för att dessa informationsägare utses på ett korrekt sätt samt att de blir medvetna om sina respektive ansvar.

IT-FORUM 13 (35) Informationsägaren har det övergripande och yttersta ansvaret för den information som används av ett eller flera system. Informationsägare fattar de avgörande besluten om informationen, om det behövs nyutveckling, vidareutveckling, förvaltning och avveckling av informationen. I korthet omfattar informationsägarens ansvar att: Se till att informationen i systemet följer lagkrav. Delta i och stödja informationssäkerhetsarbetet. Se till hur, av vem och vilken information som ska registreras. Se till att uppgifter ska tillhandahållas enligt offentlighetsprincipen och hur detta ska ske. Se till vilka personer inom verksamheten som ska ha tillgång till informationen i systemet. Systemförvaltare I korthet omfattar systemförvaltarens ansvar att: Ge stöd till användare genom att o användarhandböcker upprättas och förvaltas o utbildning genomförs o behörighetstilldelning och uppföljning av systemanvändning o felrapporter tas emot, hanteras och följs upp Utöva styrning genom att o ansvara för rutinbeskrivning för systemadministration o ansvara för säkerhetsarbete avseende information och att informationssäkerhetsnivån upprätthålls Teknisk resursägare I korthet omfattar den tekniske resursägarens ansvar att: Driftsorganisationen lever upp till överskommen servicenivå (SLA), såväl tillgänglighets- som säkerhetsmässigt. Bevaka tekniska faktorer som påverkar systemet. Chef med personalansvar I korthet omfattar personalansvariga chefers ansvar att: Personalen är informerad om och efterlever kommunens regler för informationssäkerhet. Anlitade externa aktörer efterlever säkerhetsreglerna i dessa riktlinjer. Ge personalen möjlighet att delta vid säkerhetsutbildning. Avsätta tid för informationssäkerhetsarbete på arbetsplatsen. Arkivarien Arkivariens huvuduppgifter är: utöva tillsyn över myndigheternas dokumenthantering

IT-FORUM 14 (35) se till att kommunens arkiv finns ordnade och förtecknade och genom detta finns informationen sökbar för medarbetare och allmänhet se till att kommunens medarbetare har kunskap om de regler och lagar som styr dokumenthantering Medarbetare Alla medarbetare inom [kommun] ska följa det regelverk som finns kring informationssäkerhet. Alla ansvarar för att inhämta sådan information att regelverket följs. Samordning av informationssäkerhet Den informationssäkerhetsansvarige har ansvaret för att utarbeta, förvalta och följa upp regelverket för informationssäkerheten. Hantering av externa aktörer Samverkan med konsulter, externa leverantörer och entreprenörer ska regleras genom avtal. Samtliga externa aktörer ska ha kännedom om [kommun]s regelverk kring informationssäkerhet samt följa detta.

IT-FORUM 15 (35) Hantering av tillgångar Tillgångar i detta sammanhang är det som för [kommun] har ett värde i form av information (till exempel handlingar, dokumentation, datafiler, utbildningsmaterial, systemdokumentation), program (till exempel datorprogram, operativsystem, utvecklingsverktyg), och fysiska tillgångar (till exempel datorutrustning, telefoner, lagringsmedia). Ansvar för tillgångar Kommunens informationshantering styrs främst av bestämmelser i tryckfrihetsförordningen och Offentlighet- och Sekretesslagen (OSL) 2009:400. Huvudregeln i tryckfrihetsförordningen är att informationen ska vara tillgänglig för allmänheten, den s k offentlighetsprincipen. Undantag från huvudregeln utgör information som med stöd av reglerna i OSL kan omfattas av sekretesskydd. Det är väsentligt att varje anställd känner till vilken information, inom i första hand sitt eget ansvarsområde, som är sekretessbelagd och hur den ska hanteras. Klassificering av information Modellen för klassificeringen av informationstillgångarna, bygger på dels KSL:s riktlinjer, dels på MSB:s rekommendationer för klassificering av information. Klassificering av information är en grundläggande aktivitet för att information och resurser ges nödvändigt skydd. Det är informationen som ska vara i fokus för vad som ska skyddas. Klassificeringsmodellen som presenteras här behandlar den primära delen av tillgångarna, dvs. informationen i sig. Av praktiska skäl kan dock system och andra resurser klassificeras, t.ex. om dessa är starkt knutna till viss information. Informationen ska klassificeras utifrån den funktion och betydelse för verksamheten som den har och de konsekvenser det medför om informationen skulle hanteras felaktigt, försvinna, komma i orätta händer etc. Klassificeringen kan även fungera som ett stöd och beslutsunderlag vid motivering av investeringar inom informationssäkerhet för en organisations verksamhetsledning. Information kan ha olika nivåkrav med avseende på de fyra klassificeringarna (sekretess, spårbarhet, tillgänglighet, riktighet). Nivå 1 är den nivå som ställer störst krav och nivå 3 den som ställer lägst.

IT-FORUM 16 (35) SÄKERHETSNIVÅ 3 Insynsskydd / åtkomstbegränsning / sekretess Oönskad spridning av informationen medför endast ringa eller ingen skada för egen, annan organisations verksamhet eller för enskild person. Spårbarhet Avsaknaden av möjlighet att följa upp olika händelser medför endast ringa eller ingen skada för egen, annan organisations verksamhet eller för enskild person. Informationsklassningen ställer inga krav på spårbarhet. Tillgänglighet Avbrott i åtkomst till informationen medför endast ringa eller ingen skada för egen eller annan organisations verksamhet eller för enskild person. Riktighet Oriktig information medför endast ringa eller ingen skada för egen, annan organisations verksamhet eller för enskild person. SÄKERHETSNIVÅ 2 Insynsskydd / åtkomstbegränsning / sekretess Informationen innehåller sådana uppgifter som om den kommer i orätta händer kan medföra skada. Spårbarhet Avsaknaden av möjlighet att följa upp specificerade händelser kan medföra skada. Spårbarhetskrav finns på vissa specificerade händelser i hanteringen av informationen om vem som har skapat vad och tidpunkt. Tillgänglighet Information som ingår i eller stödjer verksamhet där avbrott kan medföra skada för egen eller annan organisations verksamhet eller för enskild person. Riktighet Oriktig information kan medföra skada. SÄKERHETSNIVÅ 1 Insynsskydd / åtkomstbegränsning / sekretess Informationen innehåller sådana uppgifter som om den kommer i orätta händer kan medföra allvarlig skada för egen, annan organisations verksamhet eller för enskild person.

IT-FORUM 17 (35) Spårbarhet Avsaknaden av möjlighet att följa upp specificerade händelser kan medföra allvarlig skada för egen, annan organisations verksamhet eller för enskild person. Det är stora krav på att entydigt kunna följa vem som har gjort vad, när detta har skett och liknande relaterat till revisionskraven och/eller lagar och förordningar. Tillgänglighet Ett avbrott kan medföra Allvarlig skada för egen eller annan organisations verksamhet eller för enskild person. Riktighet Oriktig information kan medföra allvarlig skada för egen eller annan organisations verksamhet eller för enskild person. Mycket strikt kontroll av i princip all data.

IT-FORUM 18 (35) Nivå Sekretess Spårbarhet Tillgänglighet Riktighet Oönskad spridning medför endast ringa eller ingen skada 3 It-systemet eller E- tjänsten innehåller enbart allmän offentlig information E-tjänsten är avsedd för bred spridning/ publicitet E-tjänst med icke känsliga personuppgifter Spårbarhet ej viktigt, finns inget behov av spårbarhet Ett avbrott medför endast ringa eller ingen skada. Verksamheten har ett lågt beroende av itsystemet E-tjänsten kan ha avbrott upp till ett dygn. Oriktig information medför endast ringa eller ingen skada Information (data) kan vara mer eller mindre utan kontroll Den enskilde kan själv ansvara för uppgifterna Nivå Sekretess Spårbarhet Tillgänglighet Riktighet 2 Oönskad spridning kan medföra skada. It-systemet innehåller information som kan blir föremål för sekretess enligt SekrL It-systemet innehåller information avsedd för egen personal It-systemet eller E- tjänsten innehåller känsliga personuppgifter enligt PUL. E-tjänsten innehåller en kundrelation, t.ex. ansökan, abonnemang Avsaknad av spårbarhet kan medföra skada Spårbarhet ska finnas på vissa specificerade händelser i systemet eller E-tjänsten Ett avbrott i it-systemet eller E-tjänsten kan medföra skada. It-systemet eller E- tjänsten ingår i myndighetsutövningen (Kärnverksamheten) E-tjänst där kundrelation föreligger mellan myndigheten och intressent. Oriktig information kan medföra skada. It-systemet omfattas av ett lagrum där riktighetskrav anges (t.ex. PUL, BFL). Informationen har krav på oavvislighet Nivå Sekretess Spårbarhet Tillgänglighet Riktighet

IT-FORUM 19 (35) 1 Oönskad spridning kan medföra allvarlig skada. It-systemet innehåller information som kan blir föremål för sekretess enligt SekrL, rikets säkerhet, enskilda personers ekonomi etc. It-system eller E- tjänsten omfattas av ett lagrum hänförbar till visst område E-tjänst som innefattar betalningsfunktion Avsaknad av spårbarhet kan medföra allvarlig skada Revisionskrav, lagar eller förordningar ställer krav på spårbarhet och/eller oavvislighet. Ett avbrott kan medföra allvarlig skada. It-systemet eller E- tjänsten är mycket kritisk för verksamheten och alternativt arbetssätt saknas. E-tjänsten har mycket höga krav på servicenivå Oriktig information kan medföra allvarlig skada Det behöver vara mycket strikt kontroll av i princip all data It-system med särskilt höga krav på riktighet, t.ex. affärssystem It-system eller E- tjänst där specifika lagar ställer krav på hanteringen, t.ex. känsliga personuppgifter. Allmänna handlingar Den information som kommunen hanterar, både analogt och digitalt, är till stor del allmänna handlingar. En allmän handling är en handling som inkommit till, upprättats av eller förvaras hos en myndighet. Inkommen handling Enligt tryckfrihetsförordningen är en handling inkommen när den har kommit en myndighet tillhanda genom t.ex. post, e-post eller personligt överlämnad till en representant för myndigheten. Upprättad handling En handling anses vara upprättad när den antingen har expedierats/skickats utanför myndigheten, fått sin slutliga form, justerats eller publicerats på exempelvis myndighetens webbplats. Ett register som myndigheten använder sig av t.ex. ett diarium, är upprättat så fort det tas i bruk. Förvarad handling En handling anses som förvarad hos en myndighet om den är tillgänglig för myndigheten. Däremot anses inte handlingar som förvarade hos en myndighet om handlingarna bara lagras där för annans räkning.

IT-FORUM 20 (35) Vad är inte allmänna handlingar? Här följer exempel på handlingar som inte är allmänna och följaktligen inte behöver hanteras utifrån offentlighetslagstiftningen: - utkast och kladdanteckningar - referenslitteratur - handlingar som inkommit till facklig representant och enbart rör den rollen - handlingar som inkommit till förtroendevald som enbart rör partipolitik - handlingar som skickas för synpunkter eller samråd. Dock blir de synpunkter som kommer in allmänna handlingar. Hantering av allmänna handlingar Handlingarna måste hanteras utifrån de krav som lagstiftning och kommunens interna regler ställer för att kunna tillgodose förvaltningens, allmänhetens, rättsäkerhetens och forskningens behov av riktig och tillgänglig information. Det kan vara hanteringsanvisningar i myndigheternas dokumenthanteringsplaner där beslut har fattats om vilka handlingar vi ska bevara och vilka vi kan gallra. Viss informationen ska bevaras för all framtid och måste då lagras på media och i format som stöds av internationella standarder för långtidslagring. Lagkraven på arkivbeständighet gäller både för analog information och digital. Märkning och hantering av information Alla informationstillgångar, och utrustning som är svår eller kostsam att ersätta ska ha en utsedd ansvarig. Den ansvarige ska utfärda rutinbeskrivningar om hur informationen och utrustningen ska och får användas. Informationstillgångar ska vara förtecknade och i vissa fall även märkta.

IT-FORUM 21 (35) Personal Genom säkerhetsinsatser ska riskerna minskas för den mänskliga faktorn spelar en roll vid t.ex. stöld, bedrägeri eller missbruk av informationstillgångar. Säkerhet vid rekrytering för anställd och inhyrd personal Vid rekrytering bör kontroll och uppföljning av den arbetssökandes referenser och formella meriter, som CV, meritförteckning och yrkeslegitimationsinnehav göras. En kontroll av den sökandes identitet bör också genomföras, för att klargöra att personen verkligen är den som den utger sig för att vara. Detsamma ska gälla vid anlitande av tillfällig personal för känsliga befattningar. Vid anställningens början ansvarar varje användare för att: Ta del av utbildning som ges kring informationssäkerhet. Ta del av, samt följa, det regelverk (informationssäkerhetspolicy, riktlinjer samt rutinbeskrivningar) som finns kring informationssäkerhet. Krav på anställda gällande informationssäkerhet Samtliga anställda inom [kommun] som använder kommunens information är skyldiga att känna till och efterleva kommunens policys, regler och riktlinjer med avseende på användandet. Detta gäller även om den anställde använder sig av informationen utanför tjänsten. Säkerhet vid avslutande av anställning eller förflyttning Vid anställningens slut ansvarar personalansvarig chef för att: De allmänna handlingarna gallras och bevaras enligt regelverket i myndighetens dokumenthanteringsplan. Rådgöra med den anställde om vilket arbetsmaterial som ska sparas. Notera att allt arbetsmaterial som har framställts anses vara [kommun]s egendom och inte får tas med utan chefs godkännande. Meddela vilka behörigheter som har varit aktuella för åtkomst till informationssystemen så att de avbeställs.

IT-FORUM 22 (35) Fysisk säkerhet Den fysiska säkerheten syftar till att skydda mot obehörigt tillträde och åtkomst, skador och störningar. Ett bra fysiskt skydd av lokaler, utrustning och dokument ska eftersträvas. Därför ska lokaler förses med inbrottsskydd, brandskydd eller andra fysiska skydd i den omfattning som krävs. En bedömning ska göras utifrån den verksamhet som förvaltningen bedriver samt de krav som ställs utifrån lagar och förordningar. Riktlinjer för skydd av utrustning och information Nivån på det fysiska skyddet ska baseras på genomförda riskanalyser och stå i proportion till identifierade risker. Grundregeln är att information aldrig ska lämnas oskyddad. Utrustning som är känslig i sig själv eller behandlar känslig information, ska placeras så att tillträde minimeras och utformningen av lämpliga skyddsåtgärder underlättas. För verksamheten kritiska it-system och informationstillgångar ska inrymmas i säkra utrymmen, omgärdade av skalskydd med lämpliga tillträdesspärrar och -kontroller. Tillträdeskontroll till byggnader och lokaler Vid behov ska tillträdeskontroll till viktiga byggnader och lokaler finnas, för att säkerställa att endast behörig personal ges tillträde. Inom varje förvaltning ska det finnas rutiner så att det säkerställs att endast anställda och övriga behöriga personer vistas i lokalerna. Vilka som är behöriga att vistas i lokalerna avgörs av verksamhetsledningen. Säkerhet för utrustning utanför egna lokaler Risker i samband med hantering av utrustning utanför de egna lokalerna ska beaktas. Liksom i övrigt gäller detta för informationsbärare i vid mening och omfattar bland annat persondatorer, handdatorer, mobiltelefoner och pappersdokument. Instruktioner ska fastställas för hur sådana informationsbärare ska hanteras. Vid utformning av skyddsåtgärder måste det beaktas att säkerhetsrisker kan variera avsevärt mellan olika platser och vid olika tidpunkter. Viktigt är att även beakta riskerna då utrustning lämnas ut till extern servicefunktion. Utförsel av informationsbärare, som innehåller känslig information, ska godkännas av informationsägaren och registreras. Rutiner för registrering fastställs och ansvaras av informationsägaren. Avveckling av utrustning Lagringsmedia, som innehåller känslig information eller licensierade program, ska förstöras, avmagnetiseras eller överskrivas på ett säkert sätt, i samband med avveckling eller återanvändning. Beslut om arkivering av data ska tas av systemägaren innan avveckling av informationstillgången.

IT-FORUM 23 (35)

IT-FORUM 24 (35) Styrning av kommunikation och drift I dokumenten [kommun]s it-plattform 2010 samt [kommun]s modell för förvaltning av it-system är hantering och krav på kommunikation och drift beskrivna. Driftrutiner och driftansvar Målet är att säkerställa korrekt och säker drift av it-miljön så att informationens sekretess, tillgänglighet, riktighet och spårbarhet upprätthålls. Ansvar och rutiner för incidenthantering ska vara etablerade. Mer information finns i dessa riktlinjer för informationssäkerhet. Driftsansvar ska fördelas på olika personer för att minska risken för oavsiktligt eller avsiktligt missbruk Kontroll av utomstående tjänsteleverantör Utomstående leverantörer som bedriver verksamhet för [kommun] kan för detta behöva tillgång till Lidingös nätverk. Informationssäkerheten och utförandet av tjänsterna ska ske enligt avtal och med bibehållen nivå av informationssäkerheten. Det ska finnas en rutin för hur uppföljning och granskning ska göras på utomstående leverantörers tjänster. I händelse att rutinerna ändras eller att utförandet ändras på annat sätt ska en förnyad riskanalys göras. Systemplanering och systemgodkännande Alla informationssystem ska godkännas av systemägaren innan driftsättning och vid förändringar i systemet ska en bedömning göras ifall driftgodkännandet ska förnyas. En viktig parameter i ett driftgodkännande är systemets klassning och dess skydd av informationen avseende sekretess, tillgänglighet, riktighet och spårbarhet. När en förvaltning planerar att införa ett nytt verksamhetssystem, ska alltid kontakt tas med arkivmyndigheten för rådgivning om möjligheterna till arkivering och gallring av digital information. Skadlig kod Skadlig kod innehåller funktioner som har till syfte att påverka datorer, kommunikation och information på ett negativt sätt. Programvaror för skydd mot skadlig kod ska installeras och kontinuerligt uppdateras på kommunens datorer. Säkerhetskopiering Den information som lagras på [kommun]s informationssystem, ska säkerhetskopieras. Flyttbara media (kap 10.7) anses inte vara lämpligt

IT-FORUM 25 (35) medium att lagra säkerhetskopior på. Säkerhetskopiering sker endast på de av kommunen utdelade mapparna i nätverket eller i respektive verksamhetssystem. Styrning av nätverk Skyddet av kommunens egna nätverk för informationsöverföring ska styras utifrån verksamhetens krav och kopplingar mot externa datanät. Hantering av säkerheten för nätverk, som kan sträcka sig över organisationsgränserna, kräver särskilda åtgärder Mediahantering och mediasäkerhet Som flyttbara media räknas CD-/DVD- skivor, USB-enheter, externa hårddiskar, minneskort men också telefoner med inbyggd minnesenhet m.m. Dessa flyttbara media kan medföra stor skada om de innehåller sekretessbelagd information och kommer i orätta händer. Flyttbara media ska aldrig innehålla mer information än vad som är absolut nödvändigt och användaren ansvarar för att känslig information är krypterad på mediet. Vid användande av CD-/DVD- skivor som arkivmedia, ska mediat bytas ut minst vart femte år och förvaras mörkt och svalt. Utbyte av information och program Vid informationsutbyte mellan kommunen och andra organisationer eller externa parter ska gemensamma bedömningar göras av behovet av skydd mot åtkomst skydd av riktigheten samt kraven på tillgänglighet. Ansvarsförhållanden ska vara klarlagda. Utbyte av information är t.ex. information som skickas med brev, e- post, skrivs på blädderblock eller whiteboard eller samtalas mellan människor både personligen och över telefon. Elektroniskt offentliggjord information Innan information görs allmänt tillgänglig på tex webb-sida, ska åtgärder vidtagas för att skydda riktigheten av informationen. Förvaltningar och bolag ansvarar för att information som publiceras av den egna verksamheten är korrekt och inte är sekretessbelagd. Övervakning Kritiska och säkerhetsrelevanta händelser i drift och datakommunikation ska vara spårbara. Varje transaktion ska kunna knytas till den som utfört den. Detta ska i första hand åstadkommas med automatiska loggningsfunktioner. Behovet av loggning och uppföljning av loggar (analys) fastställs av systemägaren efter verksamhetens behov samt genomförd informationsklassificering.

IT-FORUM 26 (35) Åtkomst till system och nätverk I dokumenten [kommun]s it-plattform 2010 samt [kommun]s modell för förvaltning av it-system är hantering och krav på åtkomst beskrivna. Verksamhetskrav på styrning av åtkomst Åtkomst till system och information ska styras utifrån verksamhetens behov och säkerhetskrav. Den som har behov av tillgång till viss information för att kunna utföra sina arbetsuppgifter ska tilldelas åtkomsträttigheter. All åtkomst ska vara behovs-baserad utifrån ansvaroch arbetsområde. Styrning av användares åtkomst Det ska finnas rutiner för att säkerställde de behörigas åtkomst och för att förhindra obehörigas åtkomst till kommunens information. Styrning av åtkomst för administratörer Alla administratörer ska ha individuella användaridentiteter. Användning av verktyg eller hjälpmedel som gör det möjligt att kringgå eller åsidosätta säkerhetssystem och behörighetsskydd ska föregås av ett godkännande av it-chefen. Inloggningsuppgifter som används för en specifik produkt vid leverans och andra standardlösenord med höga behörigheter ska förvaras inlåsta. Användares ansvar Användare ska hantera sitt sina inloggningsuppgifter på ett sätt så att obehörig åtkomst undviks, samt se till att utrustningen inte utsätts för obehörigt användande av t.ex. familjemedlemmar, vänner och bekanta. Pappersdokument, övriga lagringsmedia samt anteckningar på t.ex. Whiteboard i användarens arbetsrum måste hanteras i enlighet med hur informationen har klassats. Styrning av åtkomst till nätverk Interna och externa nätverk är informationstillgångar och ska betraktas som sådana. Kommunens nätverk ska vara tydligt avgränsat mot omvärlden genom lämplig teknik. IT-chefen ansvarar för att dokumentation upprättas angående: Tagna beslut om anslutningar till tele- och datanät. En aktuell förteckning över samtliga externa anslutningar. Regler för vad som är tillåtet för anslutningar mellan säkerhetsdomäner. Regler för hur autentisering ska ske vid externa anslutningar. Säkerhetsarkitekturer för interna och externa nät och kommunikationssystem.

IT-FORUM 27 (35) Regler för anslutning av utrustning till interna och externa nätverk. Regler och rutiner för anslutning av externa nätverk till organisationens eget nät med ingående säkerhetsfunktioner, autentisering etc. Anvisningar för anslutning av trådlösa nätanläggningar. Anvisningar för säkerhet vid internetanslutning. Ansvarsförhållanden kring administration av brandväggar. Nätarkitektur och konfiguration av brandväggar. Styrning av åtkomst till operativsystem Operativsystem och dess behörighetskontrollsystem ska utformas så att möjligheterna till obehörig åtkomst minimeras. Kommentar [F1]: Dessa punkter är tagna från KSLs documentation. Stämmer dessa med Lidingö, t.ex. de olika rollernas ansvar? Denna text lades till efter workshopen tidigt i September. Avvaktar Björns kommentarer /1104 Calle Styrning av åtkomst till information och tillämpningar Systemägaren för respektive system beslutar om systemet och dess information ska vara tillgängligt från externa platser. Mobil datoranvändning och distansarbete Systemägaren för respektive system beslutar om systemet och dess information ska få bearbetas på distans med stationär eller mobil utrustning. Information som är skyddad av sekretess bör inte hanteras under distansarbete, men om chef godkänner detta ska handlingarna hanteras med bibehållen sekretess.

IT-FORUM 28 (35) Anskaffning, utveckling och underhåll av programvaror I dokumentet [kommun]s it-plattform 2010 samt [kommun]s modell för förvaltning av it-system är hantering och krav på anskaffning utveckling och underhåll av programvaror beskrivna. Säkerhetskrav på informationssystem Alla system och all information inom [kommun] ska ha erforderligt skydd avseende sekretess, tillgänglighet, riktighet och spårbarhet. Nivån av nödvändigt skydd framkommer vid informationsklassificeringen. Säkerheten byggs i flera lager med behörighetskontroller, loggning, intrångsskydd, intrångsdetektering, skydd mot skadlig kod och kryptering. Säkerhet i tillämpningar Kontrollmekanismer bör finnas så att förväntad informationskvalitet garanteras, i synnerhet för känslig information. Sådan kontrollmekanism kan vara elektronisk underskrift och sigill. För varje program bör en systemsäkerhetsanalys upprättas som innehåller systemets samlade krav på informationssäkerhet. Kryptering Kryptering bör användas både inom [kommun] samt vid extern uppkoppling för information som ställer höga krav på: Skydd mot obehörig insyn och avlyssning. Skydd mot obehörig förändring. Skapande av elektronisk underskrift. Säker autentisering (stark autentisering). Säkerhet i databaser och program. Säkerhetsnivån på krypteringsnyckeln ska vara åtminstone lika hög som nivån på skyddet av den högst klassade, krypterade informationstillgången. Säkerhet i databaser och program För samtliga it-system som används inom [kommun] ska kommunens förvaltningsmodell tillämpas. Se dokumentet Förvaltningsmodell för itsystem i [kommun]. Information lagrade i olika verksamhetssystem ska ha identifierade informationsägare. Information som används inom flera delar av verksamheten ska eftersträvas att lagras i endast en originaldatabas.

IT-FORUM 29 (35) Hantering av incidenter Rapportering av säkerhetshändelser och svagheter Incidenter och säkerhetsmässiga svagheter ska, utan dröjsmål, rapporteras till närmast överordnade chef. Detta så att åtgärder kan påbörjas för att minimera skada, åtgärda bister och utreda eventuell brottslighet. Överordnad chef ansvarar därefter för att en rapport skrivs, och översänds till kommunens informationssäkerhetsansvarig. Hantering av säkerhetsincidenter och förbättringar Om det finns misstanke eller det upptäcks att en användare i [kommun]s nät har använt en dator till något olagligt eller till något som bryter mot kommunens styrande dokument ska detta anmälas till användarens chef. Upptäcks fel och brister i de system som används ska detta rapporteras till systemägaren.

IT-FORUM 30 (35) Kontinuitets- och avbrottsplanering Kontinuitets och avbrottsplanering är [kommun]s förmåga och beredskap att hantera störningar och/eller avbrott i verksamheten. Om en allvarlig störning eller avbrott inträffar i verksamheten kommer det att ställas stora och speciella krav på den berörda personalen. För att begränsa skadeverkningarna är det avgörande att det i förväg är bestämt den organisation som ska fungera när kontinuitetsplanen ska aktiveras. Information till personal, användare, medborgare, intressenter och massmedia måste prioriteras. Kontinuitetsplaner ska upprättas och införas för att säkerställa att identifierade viktiga funktioner kan återställas inom rimlig tid och att verksamheten har manuella rutiner för tiden under återuppbyggnadsarbetet Kontinuitetsplanen ska baseras på analys av konsekvenserna av störningar, allvarliga händelser, och extraordinära händelser med hänsyn till dess inverkan på verksamheten. Verksamhetsansvarig chef ansvarar för att det finns en dokumenterad kontinuitetsplan för de system, klassificerade enligt kapitel 7.2, som har en tillgänglighetsnivå 1 eller 2. Kontinuitetsplanen ska omfatta: - Ansvar och befogenheter för kritiska rollinnehavare. - Informationskanalerna och vilka man informerar. - Reservplaner för olika händelser. - Plan för återgång till normalläge. - Plan för återtagning av förlorad information och annat av vikt. - Rutin för uppdatering av kontinuitetsplanen.

IT-FORUM 31 (35) Efterlevnad En väl fungerande informationshantering bidrar till att kommunen kan fullgöra sina uppgifter. Det är därför viktigt att lagar och förordningar följs. Efterlevnad av rättsliga krav Områden som är av särskild vikt att beakta efterlevnaden av är till exempel: Arkivlagen och arkivförordningen Personuppgiftslagen Offentlighets- och sekretesslagstiftning Upphovsrättslagen Bokföringslagen och -förordningen Lagen om kommunal redovisning Särskild myndighetslagstiftning Efterlevnad av säkerhetspolicy, -standarder och teknisk efterlevnad Vid oklarheter beträffande tillämpningen av detta regelverk ska varje anställd kontakta sin chef eller informationssäkerhetsansvarige. Vid överträdelse av regelverk för informationssäkerhet kommer detta att behandlas i enlighet med kommunens personalpolicy. Disciplinära åtgärder ska i tillämpliga fall vidtas. Du är som användare personligen ansvarig för dina handlingar. Alla olagliga aktiviteter med kommunens informationshantering kommer att polisanmälas och utredas. Hänsynstaganden vid revision av informationssystem Revision av användandet av informationstillgångar kan genomföras löpande inom [kommun]. Detta inkluderar [kommun]s samtliga verksamheter. All information, informationsbehandlingsresurser samt kringutrustning och konton ägs av [kommun]. Detta innebär att allt som finns på kommunens datorer, nätverk och arkiv är [kommun]s egendom. Arbetsgivaren har rätt att kontrollera vad som finns i datorn som medarbetarna använder, samt att återställa infrastruktur och data i enlighet med detta regelverk. I varje enskilt fall där någon förvaltning eller verksamhet begär att göra avsteg från detta regelverk eller de övriga dokument som beskriver regler och riktlinjer för kommunens informationstillgångar, ska detta godkännas av berörd förvaltningschef samt stadsledningskontoret. Grund för begäran kan vara: Stöd för att utveckla verksamheten genom tjänster som inte redan erbjuds inom kommunens befintliga eller planerade informationssystem.

IT-FORUM 32 (35) Identifierade rationaliseringsmöjligheter inom verksamheten. Ändrade lagkrav. Undantag ska dokumenteras och bör normalt vara tidsbegränsade.

IT-FORUM 33 (35) Ordlista BITS Basnivå för Informationssäkerhet ett koncept för informationssäkerhet utgiven av Krisberedskapsmyndigheten. Konceptet består av en bl.a. av en bok där det anges ett antal rekommenderade säkerhetsåtgärder som minst bör vidtas för att uppnå en acceptabel säkerhetsnivå för informationssäkerheten. Enligt [kommun]s regelverk för informationssäkerhet ska informationssäkerhetsarbetet bedrivas utifrån BITS. Informationssäkerhet Säkerhet för informationstillgångar avseende förmågan att upprätthålla sekretess, riktighet, tillgänglighet och spårbarhet. Begreppet innefattar både fysisk säkerhet, it-säkerhet samt administrativ säkerhet. Informationsteknik (it) Den teknik som används för att på elektronisk väg samla in, lagra, bearbeta, kommunicera samt presentera data, bild, text och ljud. Den omfattar all användning av elektronisk informationsteknik och omfattar därmed samtliga skolsystem, vård och omsorgssystem, geografiska informationssystem, administrativa stödsystem, allmänna informationssystem samt system som är eller kan kopplas upp i nätverk. Datorer med kringutrustning, nätverk, tekniska stödsystem (operativsystem, databas, säkerhet, virusskydd, med mera), telefonikommunikationslösningar omfattas också. Informationstillgångar En organisations skyddsvärda informationsrelaterade tillgångar. Exempel på informationstillgångar är: Information (databaser, filer, metodik, dokument, etc.) Program (tillämpningar, operativsystem, etc.) Tjänster (nätförbindelser, abonnemang, etc.) Fysiska tillgångar (datorer, datamedia, lokala nätverk, etc.) Incident En händelse som avviker från det normala och som innebär en störning eller överhängande risk för störning i det dagliga arbetet, potentiellt kunde händelsen orsakat allvarliga konsekvenser för verksamheten. Kontinuitetsplan Dokument som beskriver hur verksamheten ska bedrivas när identifierade, kritiska verksamhetsprocesser allvarligt påverkas under en längre, specificerad tidsperiod. Rutinbeskrivning Dokument som detaljerat redogör för hur rutiner och säkerhetslösningar ska utformas och tillämpas, för att Informationssäkerhetspolicyns krav ska efterlevas.

IT-FORUM 34 (35) Andra namn på en rutinbeskrivning kan vara Instruktion, Anvisning eller en Rutin Tillgång Allt som är av värde för [kommun]. Innefattar förutom informationstillgångar även immateriella värden, som till exempel goodwill.

IT-FORUM 35 (35) Dokumentinformation Information Område Ramverk för Informationssäkerhet Version / Status 1.0 Godkännandeprocess Roll Namn Signatur Datum Informationssäkerhetsansva rig???? Historik Version Status Datum Författare Ändringssammanfattning 1.0 Mall 2010-11-24 Björn Söderlund Nytt dokument