1 (6) E-Lin projektet 2013-10-28 Informationssäkerhet, Linköpings kommun Delrapport
2 Innehåll Dokumenthistorik... 3 1. Syfte... 3 2. Bakgrund... 3 2.1 Målgrupp... 3 3. Frågeställningar... 3 4. Undersökning... 4 4.1 Hur ser nuvarande informationssäkerhetsarbete ut?... 4 4.2 Finns styrdokument?... 4 4.3 Vilka risker finns med e-arkiveringsprocessen?... 5 5. Informationssäkerhet hos Linköpings kommun i förhållande till ett tänkt e-arkiv... 5 6. Källor... 6
3 Dokumenthistorik Datum Av Kommentar 1. Syfte Att undersöka området informationssäkerhet i förhållande till ett tänkt e-arkiv i Linköpings kommun. 2. Bakgrund Kommunens säkerhetspolicy fastställdes av Linköpings kommunfullmäktige 2007-11-27 217. 1 Säkerhetspolicyn syftar till att stödja säkerhetsarbetet inom Linköpings kommun genom att: Tydliggöra säkerhetsarbetets mål, inriktning och ansvar. Skapa förutsättningar för ett enhetligt och professionellt säkerhetsarbete. Vara en vägledning i verksamheterna i säkerhetsarbetet. Målsättningen för säkerhetspolicyn är att allt säkerhetsarbete ska ingå som en aktiv del i Linköpings kommuns kvalitetsarbete. Detta innebär att vi med god och genomtänkt planering, alltid ska arbeta för att förhindra och minimera negativa konsekvenser för människor, lokaler, anläggningar, verksamheter, information, miljö samt ekonomiska åtaganden. Kommunstyrelsen har det yttersta ansvaret för allt säkerhetsarbete. Kommunens säkerhetsarbete leds av säkerhetschefen i samverkan med övriga anställda inom Säkerhet och Juridik. 2 2.1 Målgrupp Rapporten vänder sig till de som är berörda eller intresserade av området informationssäkerhet. Rapporten kan även ses som ett underlag för fortsatt arbete mot ett tänkt e-arkiv i Linköpings kommun. 3. Frågeställningar Hur ser nuvarande informationssäkerhetsarbete ut? Finns styrdokument? 1 Linköpings kommun, Säkerhetspolicy för Linköpings kommun, 2007-11-27, 217 2 Linköpings kommun, Linweb 2013-06-13
4 Vilka risker finns med e-arkiveringsprocessen? 4. Undersökning 4.1 Hur ser nuvarande informationssäkerhetsarbete ut? Kommunens säkerhetsfunktion ger förslag på övergripande säkerhetspolicy för Linköpings kommun 3. Policyn fastställs av kommunstyrelsen. För genomförande utarbetar säkerhetsfunktionen riktlinjer för säkerhet inom olika områden. Informationssäkerhet och Teknisk säkerhet utgör två av dessa områden. Informationssäkerhet, omfattar all hantering av information i verksamheten. Informationen ska vara säker, tillgänglig, spårbar och riktig så att verksamheten och dess intressenter ska vara säkra. Teknisk säkerhet, omfattar intern och extern kommunikation, verksamhetssystem och den övriga tekniska IT-infrastrukturen innefattande skydd av data som kommuniceras via exempelvis fax, telefoni, Internet och e-post, skydd av lagrad data, samt åtkomstskydd till såväl verksamhetssystem som klienter, servrar och telefoner. Informationen kring säkerhetsarbetet finns samlad på kommunens interna web Linweb 4. Som ett tillägg har LKDATA (kommunens IT-leverantör) utarbetat en informationssäkerhetspolicy 5 som anger LKDATA s syn på informationssäkerhet samt inriktning och mål för informationssäkerhetsarbetet. Policyn är styrande inom LKDATA. För de system som LKDATA har systemförvaltningsansvar för, genomförs regelbundna riskanalyser där resultatet kopplas till aktuell kravnivå och ska leda till konkreta handlingsplaner vid upptäckta brister kring säkerhet. Information och rutinbeskrivningar om informationssäkerhet per system, finns i en samlingsdatabas hos LKDATA, LKDATA wiki, där finns beskrivning om brandväggar, virusskydd, support, säkerhetskopieringar m m. Allt loggas i wikin med tid och ansvarig. 4.2 Finns styrdokument? På Linköpings kommun finns en fastställd Säkerhetspolicy 6. Policyn är fastställd av kommunfullmäktige 2007-11-27 217 och syftar till att stödja säkerhetsarbetet inom Linköpings kommun genom att: Tydliggöra säkerhetsarbetets mål, inriktning och ansvar Skapa förutsättningar för ett enhetligt och professionellt säkerhetsarbete Vara en vägledning i verksamheterna i säkerhetsarbetet Vid inköp av IT-stöd, finns fastställda tillämpningsanvisningar för Linköpings kommun 7. Tillvägagångssättet vid anskaffning av IT-stöd ex system för bevarande 3 Linköpings kommun, Säkerhetspolicy,, 217 4 Linköpings kommun, Linweb 2013 06 13 5 LKDATA informationssäkerhetspolicy 6 Linköpings kommun, Säkerhetspolicy, 217 7 Linköpings kommun, Tillämpningsanvisningar för anskaffning av IT-stöd i Linköpings kommun Fastställt av Kommundirektören 2009-04-07, KS 2009.352
5 skiljer sig i grunden inte från annan typ av anskaffning som kommunen gör. Dessa anvisningar beskriver dock vad som särskilt bör beaktas vid anskaffning av IT-stöd. För exempelvis inköp av system för bevarande bör en riskanalys och informationsklassning genomföras i ett tidigt skede för att tydliggöra behov av åtgärder i organisation och rutiner, samt krav på sekretess, riktighet, tillgänglighet och spårbarhet i IT-stödet. I samband med detta ska även en kontroll av gällande lagar och förordningar ske. Den slutliga lösningen ska även riskanalyseras innan ett införande sker. 4.3 Vilka risker finns med e-arkiveringsprocessen? Ett införande av ett system för bevarande kräver väl utarbetade rutiner för att minimera de risker som kan uppstå vid elektronisk arkivering. En förutsättning för ett tillförlitligt, tillgängligt e-arkiv som uppfyller lagkrav är att det uppfyller mycket höga krav på informationssäkerhet. Med informationssäkerhet avses skydd av information och informationssystem som möjliggör att verksamhetens krav uppfylls enligt 8 : Sekretess o Risken att information når personer eller organisationer utan rätt behörighet Riktighet o Risken att information avsiktligt eller oavsiktligt förändras och inte längre är tillförlitlig Tillgänglighet o Risken att information inte är tillgänglig för användare vid den tidpunkt och i den form som den behövs för verksamheten Spårbarhet o Informationen skall vara spårbar och loggning genomföras på en god nivå motsvarande hotbild och formella krav Informationssäkerhet kan endast upprätthållas om det finns tillräckliga metadata, om den e-arkiverade informationen är informationsklassad samt om e-arkivsystem stödjer det. 5. Informationssäkerhet hos Linköpings kommun i förhållande till ett tänkt e-arkiv RA-FS 2009:1 6 kap handlar om informationssäkerhet. 9 Det innebär att säkerställa ett bevarande av de elektroniska handlingarna, skapa och upprätthålla rutiner för samt vidta åtgärder för att skydda handlingarna från skada, manipulation, obehörig åtkomst och stöld. 8 LKDATA informationssäkerhetspolicy 2013-01-15 9 Riksarkivet, Riksarkivets föreskrifter och allmänna råd om elektroniska handlingar RA-FS 2009:1
6 Linköpings kommun arbetar redan idag utifrån en fastställd säkerhetspolicy och tillsammans med LKDATA (kommunens IT-leverantör) uppfylls till stor del de föreskrifter och allmänna råd som anges i kap 6 RA-FS 2009:1. Intressenter i ett system för bevarande kan till en början t ex vara medarbetare på Linköpings kommun. Men på sikt är ambitionen att även allmänheten kommer att få tillgång till systemet. En del av materialet är dessutom intressant för utländska intressenter. Om uppgifter speglas mot externa målgrupper är riskerna annorlunda än om de endast speglas mot interna användare. Sekretess, PUL, virusskydd m.m. ställs på sin spets när uppgifter ska presenteras för allmänheten. Risker kommer även med tiden att ändras och är beroende av olika intressenters koppling till systemet för bevarande. Bristande informationssäkerhet kan få konsekvenser i form av att verksamheten inte kan bedrivas på ett ändamålsenligt och effektivt sätt. Det kan innebära bristande skydd för den personliga integriteten samt störningar i samhällsviktig verksamhet. Ett införande av ett system för bevarande kommer med största sannolikhet att kräva en översyn av befintliga styrdokument och arbetssätt. Ansvaret för informationssäkerhetsfrågor behöver förtydligas, särskilt vid migrering från verksamhetssystem till systemet för bevarande. Vid kravställning och upphandling av system behöver informationssäkerhetsfrågan få en viktigare roll. 6. Källor Gäfvert, Thomas, Promemoria Informationssäkerhet 2012 Gäfvert, Thomas, PPT om Informationssäkerhet 2012 02 27 Intervju med Daniel Karlsson, säkerhetssamordnare Linköpings kommun 2013-05 Intervju med Jonas Wiman, säkerhetsansvarig på LKDATA 2013-03 Linköpings kommun, Säkerhetspolicy för Linköpings kommun, 2007-11-27, 217 Linköpings kommun, Linweb 2013-06-13 LKDATA informationssäkerhetspolicy 2013-01-15 Linköpings kommun, Tillämpningsanvisningar för anskaffning av IT-stöd i Linköpings kommun Fastställt av Kommundirektören 2009-04-07, KS 2009.352 Riksarkivet, Riksarkivets föreskrifter och allmänna råd om elektroniska handlingar RA-FS 2009:1