Informationssäkerhet Riktlinje Förvaltning

Informationssäkerhet Riktlinje Förvaltning Fastställd av kommundirektören 2011-06-20

Innehåll 1 Informationssäkerhet 3 2 Organisation och ansvar 4 2.1 Informationssäkerhetssamordnare... 4 2.2 IT-chef... 4 2.3 Sektorschef... 4 2.4 Systemägare... 4 2.5 Applikationsansvarig... 4 2.6 IT-samordnare... 5 2.7 Användare... 5 3 Hantering av tillgångar 6 3.1 Ansvar för tillgångar... 6 3.2 Klassificering av information... 6 3.3 Hantering av skyddad identitet... 7 4 Personalresurser och säkerhet 8 4.1 Under anställningen... 8 4.2 Kontroll av utomstående tjänsteleverantör... 8 5 Fysisk och miljörelaterad säkerhet 9 5.1 Säkrade utrymmen... 9 6 Styrning av kommunikation och drift 10 6.1 Säkerhetskopiering och återläsning av data... 10 6.2 Ändringshantering... 10 6.3 Hantering av datamedia... 10 6.4 Utbyte av information... 11 6.5 Avveckling av utrustning... 11 6.6 Övervakning... 11 7 Styrning av åtkomst 13 7.1 Styrning av användares åtkomst... 13 7.2 Styrning av åtkomst till nätverk... 13 7.3 Mobil datoranvändning och distansarbete... 13 7.4 Styrning av åtkomst för extern leverantör... 14 8 Anskaffning, utveckling och underhåll av informationssystem 15 8.1 Säkerhetskrav på IT-system... 15 8.2 Säkerhet i utvecklings- och underhållsprocesser... 15 9 Rapportering av säkerhetshändelser och svagheter 16 9.1 Hantering av informationssäkerhetshändelser och förbättringar... 16 10 Kontinuitetsplanering 17 11 Efterlevnad 18 11.1 Efterlevnad av rättsliga krav... 18 11.2 Efterlevnad av policies och riktlinjer för informationssäkerhet... 18

1 Informationssäkerhet Styrande dokument för informationssäkerhetsarbetet är Ale kommuns informationssäkerhetspolicy och riktlinjerna Användare, Förvaltning samt Kontinuitet och drift. Informationssäkerhetspolicy Riktlinjer Förvaltning Riktlinjer Kontinuitet och drift Riktlinjer Användare Informationssäkerhetspolicyn redovisar ledningens viljeinriktning och mål för informationssäkerhetsarbetet. Riktlinjen Förvaltning utgår från policyn och syftar till att redovisa: den interna systemförvaltarorganisationen för informationssäkerhetsarbetet omfattningen av det ansvar som vilar på kommunens organisation för informationssäkerhetsarbetet hur informationssäkerhetsarbetet ska bedrivas de generella krav som är aktuella

2 Organisation och ansvar 2.1 Informationssäkerhetssamordnare Ha huvudansvaret för samordning av informationssäkerhetsarbetet. Ansvara för att övergripande policy och riktlinjer för informationssäkerhetsarbetet utarbetas och beslutas. Övervaka att policy och riktlinjer för informationssäkerhetsarbetet följs och vid behov föreslå förbättringar. Ta initiativ till och medverka i informations- och utbildningsaktiviteter gällande informationssäkerhet. Kontrollera att befintliga säkerhetsregler följs och vid behov föreslå förbättringar Initiera informationssäkerhets revisioner. 2.2 IT-chef IT-chefen är systemägare för det interna IT-nätverket och har ansvaret för att detta och IT-systemens tekniska delar fungerar. IT-chefen ansvarar för att identifiera de delar som ingår i det interna IT-nätverket samt att en säkerhetsanalys genomförs. IT-chefen ansvarar också för att riktlinjen Kontinuitet och drift följs och uppdateras, att en kontinuitetsplan för driften av IT-verksamheten upprättas samt att den senare integreras med Ale kommuns gemensamma kontinuitetsplan. 2.3 Sektorschef Det operativa ansvaret för att informationssystemen uppfyller verksamhetens krav vilar på sektorschef. I detta ansvar ingår att bedöma verksamhetens krav på säkerhet avseende sekretess, tillförlitlighet, tillgänglighet, spårbarhet samt att personalen har tillräckliga kunskaper för att hantera informationssystemet på ett säkert sätt. 2.4 Systemägare Systemägare är sektorschef/verksamhetschef. Denne är ytterst ansvarig för systemets användning, ändamål, säkerhet, budget samt organisation för systemförvaltning. Systemägare fattar beslut inom ramen för antagna mål och resurser om de egna ITsystemens införande, drift, förvaltning och avveckling. Systemägaren ska i samråd med både sektorschef och applikationsansvarig upprätta regler för tilldelning av behörigheter. Systemägaren utser applikationsansvarig. 2.5 Applikationsansvarig Applikationsansvarig ska inom givna ekonomiska ramar operativt sköta systemets förvaltning. I uppdraget ingår att tillse att det finns en praktiskt fungerande förvaltningsorganisation, ansvara för utbildning, systemdokumentation och anpassningar/utveckling av systemet.

2.6 IT-samordnare Samordnar informationssäkerhetsarbetet i egen sektor/del av sektor med utarbetade rutiner. Koordinerar och utbildar i/kring informationssäkerhet för nyanställda på den sektor man ansvarar för. Beställer nya konton för nya användare samt grupprättigheter. Ser till att en förteckning över användare och rättigheter förs och följer regelbundet upp uppgifterna. IT-samordnare för aktuell sektor är ansvarig för att publik IT-utrustning är fastlåst. 2.7 Användare Användare är varje person som använder ett IT-system tillhandahållet av Ale kommun. Ansvarar för att följa kommunens gällande policy och riktlinjer för informationssäkerhet och för respektive IT-system.

3 Hantering av tillgångar 3.1 Ansvar för tillgångar kommunens IT-utrustning ska vara förtecknad och märkt. IT-utrustning ska innan leverans märkas och dokumenteras av IT-avdelningen. Det ska även finnas en tydlig ansvarsfördelning för samtliga IT-system. För nybeställning och avslut av IT-utrustning till användare ansvarar IT-samordnare för respektive sektor. 3.2 Klassificering av information IT-systemen i Ale kommun ska klassas utifrån den information som hanteras i respektive system. Applikationsansvarig för respektive system ansvarar för att klassningen genomförs. Klassningen ska genomföras efter Ale kommuns klassningsmodell. Klassningen genomförs utefter aspekterna sekretess, tillgänglighet och riktighet. Med detta menas: Sekretess - Tillgänglighet - Riktighet - Information skyddas så den inte avsiktligt eller oavsiktligt görs tillgänglig eller avslöjas för obehörig eller kan nyttjas på annat otillåtet sätt. Informationen ska vara tillgänglig för behöriga användare efter identifierat behov både för interna och externa intressenter. Information ska vara skyddad mot oavsiktlig och avsiktlig förvanskning. Tas information ut ur något system och lagras på annan media eller används i annat sammanhang måste den klassas där den används och hanteras därefter.

Informationsklassificeringsmodell Säkerhetsaspekt Kravnivå Sekretess (konfidentialitet) Riktighet Tillgänglighet Mycket hög nivå Information som kan medföra mycket allvarliga negativa konsekvenser för egen eller annan organisations verksamhet eller för enskild person om den röjs för obehörig. Information som kan medföra mycket allvarliga negativa konsekvenser för egen eller annan organisations verksamhet eller för enskild person om den är felaktig. Information som ska vara åtkomlig inom högst 2 timmar för att inte medföra oacceptabla konsekvenser för egen eller annan organisations verksamhet eller för enskild person Hög nivå Information som kan medföra allvarliga negativa konsekvenser för egen eller annan organisations verksamhet eller för enskild person om den röjs för obehörig Information som kan medföra allvarliga negativa konsekvenser för egen eller annan organisations verksamhet eller för enskild person om den är felaktig Information som inte behöver vara åtkomlig inom 2 timmar, men inom högst 8 timmar för att inte medföra oacceptabla konsekvenser för egen eller annan organisations verksamhet eller för enskild person Basnivå Information som kan medföra mindre allvarliga negativa konsekvenser för egen eller annan organisations verksamhet eller för enskild person om den röjs för obehörig Information som kan medföra mindre allvarliga negativa konsekvenser för egen eller annan organisations verksamhet eller för enskild person om den är felaktig Information som inte behöver vara åtkomlig inom 8 timmar för att inte medföra oacceptabla konsekvenser för egen eller annan organisations verksamhet eller för enskild person 3.3 Hantering av skyddad identitet I våra IT-system kan det förekomma personer med skyddad identitet. Skyddad identitet är en metod för att skydda personer som är utsatta för ett konkret och allvarligt hot. Det är därför av största vikt att Ale kommun hanterar dessa uppgifter på ett korrekt och säkerhetsmedvetet sätt.

4 Personalresurser och säkerhet 4.1 Under anställningen Utbildningsinsatser inom informationssäkerhetsområdet ska genomföras i samband med nyanställning, omplacering och när speciellt behov föreligger. Anställande chef ansvarar för att utbildning genomförs. Utbildning vid nyanställning ska minst omfatta: Informationssäkerhetens betydelse för verksamheten Innehållet i informationssäkerhetspolicyn Riktlinjen Användare Applikationsansvarig ansvarar för att det finns en användarhandledning för systemet han ansvarar för. Användarhandledningen ska vara inriktad på de arbetsuppgifter som anknyter till systemet och ska uppdateras vid förändringar. 4.2 Kontroll av utomstående tjänsteleverantör Vid avtalsskrivande med ny utomstående leverantör ska beaktas hur leverantören kan följa de säkerhetsföreskrifter som gäller inom kommunen. Beställaren av tjänsten och tecknare av leverantörsavtal ansvarar för att leverantören i samband med avtalsskrivande undertecknar en ansvarsförbindelse för bolag och ett sekretessavtal för att säkerställa att kommunens säkerhetsföreskrifter efterlevs. Vid avtalsskrivande med ny leverantör ska Ale kommuns mallar för ansvarförbindelse för bolag och sekretessavtal användas. Beställare ansvarar för att följa upp och granska leverantörens tjänster vid förändringar i deras uppdrag. I dessa fall ska en förnyad bedömning av risker göras.

5 Fysisk och miljörelaterad säkerhet Det är viktigt att vi fysiskt skyddar den utrustning som hanterar vår information. Vårt fysiska skydd ska förhindra obehörigt tillträde, skadegörelse och störningar i organisationens lokaler och informationsutrymmen. 5.1 Säkrade utrymmen Endast utsedd och behörig personal har tillgång till datorhall och utrymmen med känslig information. IT-chef ansvarar för vem som ska få tillträde till dessa utrymmen för att kunna utföra sina arbetsuppgifter. I utrymmen med känslig information eller för IT-systemets drift viktig dator- och kommunikationsutrustning ska extern personal som till exempel servicepersonal och städpersonal endast ges tillträde när det är nödvändigt och då under uppsikt. Besöksmottagaren ansvarar för att extern personal övervakas när behovet föreligger. Dessa utrymmen ska vid behov även förses med kontroll för in- och utpassering. Tillträdet ska registreras och dessa uppgifter förvaras säkert. Ansvarig chef ansvarar för att utrymmena är säkrade.

6 Styrning av kommunikation och drift 6.1 Säkerhetskopiering och återläsning av data Applikationsansvarig ska för sitt IT-system besluta i samråd med IT-avdelningen: Om vilken information som ska omfattas av säkerhetskopiering Om intervallen för kopiering Om hur många generationer säkerhetskopior som ska finnas Om och när återläsningstester ska genomföras Backup enligt systemsäkerhetsplan ska redovisas för IT-avdelningen som ansvarar för att säkerhetskopiering genomförs. Tester för att återskapa information från säkerhetskopior ska genomföras enligt upprättad plan och resultatet ska dokumenteras. 6.2 Ändringshantering Förändringar i driftmiljö, system, utrustning och rutiner ska styras genom formell rutin som innebär: identifiering och registrering av förändringar; konsekvensanalys av sådana ändringar; godkännande/beslutsform för ändringar; informationskrav till verksamheten; rutin för avbrytande av och återställande av misslyckade ändringar. Fastställd process för hantering av förändringar i system ska alltid följas. Motsvarande process ska följas när det gäller program som erhålls från programleverantör. Samtliga ändringar ska kunna härledas till en ansvarig beställare. Applikationsansvarig ansvarar för: Att följa ändringshanteringsprocessen inom Ale kommun. Att registrera och dokumentera de förändringar som sker i systemet. 6.3 Hantering av datamedia Känslig information lagrad på datamedia såsom hårddisk, cd skivor och minneskort ska hanteras och förvaras på ett sådant sätt att den inte kan läsas av obehörig. IT-chef ansvarar för att fastställa vilken information lagrad på datamedia som ska omfattas av särskilda förvaringsrutiner. Dessa datamedia ska förvaras i utrymmen som är konstruerade för ändamålet. IT-chef ska fatta beslut om hur: Datamedia med IT-systemets information ska kasseras.

Datamedia med sekretessbelagd information ska kasseras. 6.4 Utbyte av information Allt externt informationsutbyte mellan kommunens egna system och system utanför organisationen ska regleras i avtal. Systemägare för respektive system ansvarar för att teckna avtal med externa parter där information utbyts. Ale kommuns mall för ansvarförbindelse och sekretessavtal ska användas. Det ska finnas en överenskommelse mellan systemägare vars system utbyter information. Överenskommelsen ska reglera säkerhetsåtgärder vid informationsutbyte. Ansvarig chef beslutar vilka åtgärder som ska vidtas vid fysisk transport av för verksamheten känslig information. Internettjänster eller molntjänster får ej driftsättas utan av organisationen godkända säkerhetsfunktioner. Före beställning av Internettjänster eller molntjänster ska ITavdelningen kontaktas. Applikationsansvarig för system som är allmänt tillgängliga ska godkänna all publicering av information i systemet. Regler gällande vilken information eller bifogade filer som får skickas med elektronisk post framgår av riktlinjer för användare. 6.5 Avveckling av utrustning Avveckling av ett IT-system ska godkännas av systemägare. Applikationsansvarig ansvarar för: Uppsägning av tillhörande avtal Att servicekonton tas bort Att kommunikationslösningar med externa leverantörer avvecklas Hur informationen ska arkiveras etc. Att en beställning skickas till IT-avdelningen för avstängning av IT-systemet. 6.6 Övervakning Applikationsansvarig ansvarar för att det finns beslutade regler gällande logghantering för IT-system. Reglerna ska omfatta: Hur ofta loggar ska analyseras. Vem som ansvarar för att analysera loggarna. Hur länge loggarna ska sparas. Hur loggarna ska förvaras. Beslut om logghantering i samband med systemsäkerhetsanalysen ska lämnas till ITavdelningen som ansvarar för loggning av IT-systemen.

Applikationsansvarig ansvarar för att IT-systemet är konfigurerat så att revisionsloggar finns för säkerhetsrelevanta händelser. Vid nyanskaffning av IT-system bör detta beaktas i kravspecifikationen. Revisionsloggarna ska minst registrera: Användaridentitet. Datum och tidpunkt för in- och utloggning. Lyckade och misslyckade försök till åtkomst. Revisionsloggar för verksamhetskritiska system ska även registrera: Driftoperatörers och systemadministratörers identitet vid inloggning. Datum och tidpunkt för driftoperatörers och systemadministratörers inloggning och för sekretesskänsliga system även registrering vid utloggning. Driftoperatörers och systemadministratörers lyckade och misslyckade försök till åtkomst. Applikationsansvarig ansvarar för att i de fall detta inte är möjligt att logga automatiskt, ska möjlighet till manuell logg finnas, till exempel vid systemfel eller tekniska begränsningar. Loggar ska: Bevaras under tid i enlighet med gallringsbeslut. Kontrolleras regelbundet med avseende på tecken på onormala förhållanden och säkerhetsincidenter. Logginformation ska skyddas mot obehörig åtkomst och manipulering.

7 Styrning av åtkomst 7.1 Styrning av användares åtkomst Applikationsansvarig ska säkerställa att IT-systemet är konstruerat så att alla rekommendationer på basnivå enligt BITS avseende behörighetskontroll kan tillgodoses. Applikationsansvarig ansvarar för behörighetshantering i sitt eget system. Behörigheter för användare som börjar, slutar eller byter arbetsuppgifter ska hanteras. Detta omfattar tilldelning, uppföljning och uppdatering av behörigheter. Behörighet som upphört att gälla ska spärras inom en vecka. Minst en gång per år ska det kontrolleras att endast behöriga användare är registrerade i behörighetssystemet för IT-systemet. Närmaste chef ansvarar för att användare före tilldelning av behörigheter ges tillräckliga kunskaper om gällande säkerhetsinstruktioner och instruktioner som speciellt ansluter till den egna arbetsuppgiften. 7.2 Styrning av åtkomst till nätverk IT-avdelningen ansvarar för och administrerar brandväggarna enligt applikationsansvarigs krav. Applikationsansvarig ska dokumentera brandväggarnas utformning och konfiguration. Applikationsansvarig ska tillsammans med IT-avdelningen för brandväggen besluta: Vad som ska loggas i brandväggen. Vem som ansvarar för uppföljningen av loggarna. Hur ofta uppföljning ska ske. Hur länge loggarna ska sparas. Applikationsansvarig ska klarlägga säkerhetsarkitekturer för interna och externa nät samt kommunikationssystem. 7.3 Mobil datoranvändning och distansarbete Applikationsansvarig ska besluta om ett IT-systems information får bearbetas på distans med stationär eller mobil utrustning. Vid distansarbete ska endast uppkopplingar få nyttjas som medger en säker autentisering av användaren, till exempel med engångslösenord. Kraven på teknisk säkerhet och praktisk hantering av mobil utrustning finns dokumenterad i informationssäkerhetsinstruktion Användare.

7.4 Styrning av åtkomst för extern leverantör Extern anslutning för extern leverantör till tjänster i Ale kommuns nät ska ske med en säkerhetsnivå som motsvarar intern anslutning. Extern anslutning ska godkännas av applikationsansvarig som tillsammans med ITavdelningen ser över vilken autentiseringsmetod samt vilka tekniska lösningar som behövs. Applikationsansvarig beslutar och godkänner åtkomsträttigheter till endast information, program eller delar av operativsystemet som krävs för att kunna utföra uppdraget. Arbetsstation som används för externanslutning ska ha en unik identitet i Ale kommuns nät och vara godkänd för användning externt. Det ska vara möjligt att i efterhand följa upp externa uppkopplingar i fråga om vem som kopplat upp sig, vid vilken tidpunkt och vilka resurser som utnyttjats. Applikationsansvarig uppdaterar systemsäkerhetsplanen enligt de beslut som har tagits avseende extern anslutning för extern leverantör.

8 Anskaffning, utveckling och underhåll av informationssystem 8.1 Säkerhetskrav på IT-system IT-system som tas i bruk ska ha stämts av mot de säkerhetskrav som verksamheten ställer. En systemsäkerhetsanalys ska upprättas för varje IT-system. Applikationsansvarig ansvarar för att fastställa och dokumentera systemsäkerhetsanalysen. Systemsäkerhetsanalysen avser ett IT-system ska redovisa väsentlig information och de samlade kraven på systemet. Av systemsäkerhetsanalysen ska även framgå vilka säkerhetsåtgärder som är vidtagna samt de eventuella ytterligare säkerhetsåtgärder som behöver vidtas för att kraven på IT-systemet ska uppfyllas. Som verktyg för systemsäkerhetsanalys ska Ale kommuns systemsäkerhetsplan användas som är utformad enligt kraven utifrån BITS. 8.2 Säkerhet i utvecklings- och underhållsprocesser Applikationsansvarig ansvarar för systemunderhåll och fattar beslut om hur programändringar ska utföras innan förändring genomförs. Applikationsansvarig ska besluta om tidpunkt för installation av nya programversioner. Applikationsansvarig ansvarar för att berörda användare kontaktas vid eventuella störningar eller avbrott under installation eller vid förändring av program. All utveckling och förändringar i IT-system ska dokumenteras. Applikationsansvarig ansvarar för att det finns systemdokumentation för sitt IT-system. För systemdokumentationen gäller att: En kopia av systemdokumentationen i sin helhet ska förvaras väl skild från originalet. Dokumentationen ska endast vara åtkomlig för behörig personal. Den ska i rimlig omfattning och grad vara fullständig och aktuell samt uppdateras vid förändringar i IT-system.

9 Rapportering av säkerhetshändelser och svagheter 9.1 Hantering av informationssäkerhetshändelser och förbättringar En informationssäkerhetshändelse är en oönskad, negativ händelse för kommunens information och IT-system, som till exempel att informationen inte är tillgänglig, har tagits bort eller förvanskats. En informationssäkerhetsincident påverkar eller kan komma att påverka kommunen negativt när det gäller sekretess, tillgänglighet och riktighet. Exempel på informationssäkerhetshändelse kan vara: Att tjänster, funktioner, utrustning eller andra resurser inte fungerar som de ska. Systemfel eller överbelastning Misstag Försummelse när det gäller att följa policies eller rutiner. Någon har tagit sig in i system som man inte har behörighet till. En informationssäkerhetsincident kan uppstå genom att exempelvis: Obehöriga får tillgång till kommunens information (sekretess) Kommunens IT-system är inte tillgängliga på avsett vis (tillgänglighet) Kommunens information är oriktig, förvanskad eller ofullständig (riktighet) Applikationsansvarig bör i samarbete med IT-avdelningen upprätta en rutin som omfattar följande: Hur användarna informeras vid driftstörningar. Hur rapportering ska ske vid störningar, fel och IT-incidenter. Agerande vid samtidiga störningar i flera system. Hur prioritering ska göras mellan system.

10 Kontinuitetsplanering Det ska i händelse av ett avbrott eller kris finnas en kontinuitetsplan för varje sektor/verksamhet. En kontinuitetsplan ska innehålla planer och annan information som behövs om en allvarlig störning skulle inträffa. Grunden till kontinuitetsplanen utgörs av att verksamheten identifierar sina kritiska processer (huvud- och stödprocesser) samt kritiska resurser i form av personal, ITsystem, el, telefon, reservlösningar, utrustning, material, etc. som krävs för att huvudoch stödprocesser ska fungera. Baserat på verksamhetens krav på tillgång till kritiska processer, kritiska resurser och genomförda riskanalyser ska kontinuitetsplaner utformas för att hantera en allvarlig störning, avbrott eller kris. För kontinuitetsplaner som inkluderar IT-system som en kritisk resurs ska systemägaren upprätta en överenskommelse med IT-avdelningen gällande längsta tid som information kan vara otillgänglig eller IT-systemet bedöms kunna vara ur funktion innan verksamheten äventyras. Till grund för beslut ligger resultat från genomförda riskanalyser Vid en allvarlig störning som påverkar flera verksamheter har kommunledningen ansvar för prioriteringen av resurser. Kontinuitetsplanen ska övas regelbundet och uppdateras vid förändringar för att säkerställa att den är aktuell och ändamålsenlig.

11 Efterlevnad 11.1 Efterlevnad av rättsliga krav Systemägare ansvarar för att licenser uppdateras årligen för att säkerställa att de avser rätt antal användare etc. IT-system som hanterar personuppgifter ska vara förtecknat och anmält till personuppgiftsombud. IT-systemets applikationsansvarige ansvarar för att systemet anmäls till berörd sektors PUL-ombud (PUL = personuppgiftslagen). Bearbetning av personuppgifter samt information om respektive samtycke till bearbetningen ska ske i enlighet med PUL. 11.2 Efterlevnad av policies och riktlinjer för informationssäkerhet Regelbundna granskningar ska genomföras minst en gång per år och omfatta. Riktlinjer och policy för informationssäkerhet. IT-system Säkerhetsplan för respektive IT-system Licenser Lagar