Bengt Sebring OKTOBER 2000 Ordförande GRANSKNINGSRAPPORT 3 Sida: 1

Relevanta dokument
ÅSTORPS KOMMUN GRANSKNING AV INFORMATIONS-

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010.

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

INFORMATIONSSÄKERHET 1 INLEDNING MÅL FÖR IT-SÄKERHETSARBETET... 2

DNR: KS2016/918/01. Informationssäkerhetspolicy för Sunne kommun KS2016/918/ (1) Kommunstyrelsen

Regler och instruktioner för verksamheten

Svar till kommunrevisionen avseende genomförd IT-revision

IT-SÄKERHETSPLAN - FALKÖPINGS KOMMUN

Informationssäkerhetspolicy för Ånge kommun

Riktlinje för informationssäkerhet

Ledningssystem för Informationssäkerhet

Riktlinjer för säkerhetsarbetet vid Uppsala universitet

IT-säkerhetspolicy. Fastställd av KF

IT-SÄKERHETSPLAN - FALKÖPINGS KOMMUN

Informationssäkerhetspolicy för Sunne kommun KS2016/918/01 Antagen av kommunfullmäktige , 57

Dnr UFV 2017/93. Informationssäkerhet. Riktlinjer för säkerhetsarbetet vid Uppsala universitet. Fastställda av Universitetsdirektören

Informationssäkerhetspolicy

Revisionsrapport. 1 Inledning. Revision av uppbördsprocessen Moms. Skatteverket Solna. Datum Dnr

Granskning av IT-säkerhet

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Musikhögskolan i Stockholm 2010.

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Gymnastik- och idrottshögskolan 2010.

Bilaga 9 Säkerhet Dnr: /2015 Förfrågningsunderlag

Informationssäkerhetspolicy inom Stockholms läns landsting

Informationssäkerhetsanvisningar Förvaltning

Informationssäkerhet. Hur skall jag som chef hantera detta?? Vad är det??

Revision av den interna kontrollen kring uppbördssystemet REX

Granskning av generella IT-kontroller för PLSsystemet

Granskning av IT-säkerhet

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Malmö Högskola Sammanfattning

Bilaga till rektorsbeslut RÖ28, (5)

POLICY FÖR DATA- OCH INFORMATIONSSÄKERHET VID BMC I LUND

Informationssäkerhetspolicy för Katrineholms kommun

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Konsthögskolan 2010.

Finansinspektionens författningssamling

Myndigheten för samhällsskydd och beredskaps författningssamling

Ledningssystem för Informationssäkerhet

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

Förslag till Myndigheten för samhällsskydd och beredskaps allmänna råd och kommentarer om krav på informationssäkerhet.

Styrning av behörigheter

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

Informationssäkerhetspolicy. Linköpings kommun

GENERELL SYSTEMSÄKERHETSPLAN FÖR FALKÖPINGS KOMMUNS NÄTVERK 1 INLEDNING BAKGRUND...1

Informationssäkerhetspolicy för Ystads kommun F 17:01

Informationssäkerhetspolicy

IT- och informationssäkerhet

IT-SÄKERHETSPOLICY. Stadskontoret. 1 Inledning Definition Omfattning Mål för IT-säkerhetsarbetet... 2

I Central förvaltning Administrativ enhet

Informationssäkerhetspolicy. Informationssäkerhetspolicy för Vingåkers kommun

VÄGLEDNING ATT UPPHANDLA PÅ ETT SÄKERT SÄTT

EBITS Energibranschens IT-säkerhetsforum

Informationssäkerhetspolicy för Vetlanda kommun

Informationssäkerhetspolicy i Borlänge kommunkoncern. Beslutad av kommunfullmäktige , reviderad

Nuvarande MSBFS 2009:10 Förslag till ny föreskrift Tillämpningsområde Tillämpningsområde 1 1 första stycket 2 1 andra stycket 3 2 första stycket

Informationssäkerhetspolicy IT (0:0:0)

Stadsrevisionen. Projektplan. Informationssäkerhetsarbetet i Göteborgs Stad. goteborg.se/stadsrevisionen

Bilaga 3c Informationssäkerhet

Informationssäkerhet, Linköpings kommun

Informationssäkerhet i. Torsby kommun

Vervas föreskrift om statliga myndigheters arbete med säkert elektroniskt informationsutbyte. Wiggo Öberg, tidigare Verva nu KBM,

Övergripande säkerhetsgranskning av kommunens säkerhet angående externa och interna dataintrång. Klippans kommun

Finansinspektionens författningssamling

Policy för tekniska och organisatoriska åtgärder för dataskydd. 14 juni 2018 Peter Dickson

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Karolinska institutet

Granskning av generella IT-kontroller för ett urval system vid Skatteverket

1(6) Informationssäkerhetspolicy. Styrdokument

Informationssäkerhetspolicy för Nässjö kommun

IT-säkerhet Externt och internt intrångstest

Koncernkontoret Enheten för säkerhet och intern miljöledning

Informationssäkerhet Informationssäkerhet. Medicinteknisk säkerhetskurs

GENERELL SYSTEMSÄKERHETSPLAN FÖR FALKÖPINGS KOMMUN

Informationssäkerhetspolicy för Stockholms läns landsting. Informationssäkerhetspolicy för Stockholms läns landsting

Informationssäkerhet. Varför jobbar vi med informationssäkerhet? Vad är informationssäkerhet? Presentation

Tyresö kommun. Generella IT kontroller Economa och Heroma. Detaljerade observationer och rekommendationer. Juni 2017

Bengt Sebring NOVEMBER 1999 Sida: 1 Ordförande GRANSKNINGSRAPPORT 3

Välkommen till enkäten!

Jämtlands Gymnasieförbund

IT-revision Martin Malm CISA CISSP Verksamhetschef IT Governance Transcendent Group

VGR-RIKTLINJE FÖR ÅTKOMST TILL INFORMATION

Antagen av kommunfullmäktige Säkerhetspolicy för Enköpings kommuns verksamheter

Bilaga 2 - Ansvarsbeskrivningar Regler för informationssäkerhet vid Karolinska Institutet

Bilaga 3c Informationssäkerhet

Lokal informationssäkerhetspolicy, lokala informationssäkerhetsriktlinjer och anvisningar

Hantering av behörigheter och roller

Reglemente för internkontroll

IT-generella kontroller i Agresso, skattekontosystemet, Moms AG och Tina

Program för informationssäkerhet 2008:490. kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning

Svensk Standard SS ISO/IEC SS

Svar på revisionsskrivelse informationssäkerhet

Dnr UFV 2018/211. Riskhantering. Rutiner för informationssäkerhet. Fastställda av Säkerhetschefen Senast reviderade

Informationssäkerhetspolicy

Revisionsstrategi

Informationssäkerhet - Informationssäkerhetspolicy

IT-Säkerhetsinstruktion: Förvaltning

Policy. Policy för informationssäkerhet och personuppgiftshantering i Herrljunga kommun DIARIENUMMER: KS 47/2018 FASTSTÄLLD: VERSION: 1

Informationssäkerhetsanvisning

Revisionsrapport Granskning av generella ITkontroller för ett urval av system vid Skatteverket 2018

Riktlinjer för IT-säkerhet i Halmstads kommun

Policy för säkerhetsarbetet i. Södertälje kommun

Informationssäkerhetspolicy KS/2018:260

IT-säkerhetspolicy för Åtvidabergs kommun

Transkript:

ÅSTORPS KOMMUN GRANSKNING AV IT-SÄKERHET 2000 Bengt Sebring Ordförande GRANSKNINGSRAPPORT 3 Sida: 1

Innehållsförteckning Sammanfattning....... 3 1. Inledning....... 4 1.1 Syfte med revisionen...... 4 1.2 Metod och avgränsningar... 4 2. Nuläge....... 5 3. Iakttagelser och förslag till åtgärder... 5 3.1 Styrning av informationssäkerheten 5 3.2 Rutiner beträffande personal... 5 3.3 Rutiner för åtkomstkontroll. 6 3.4 Drift. 7 3.5 Systemutveckling- och förvaltning. 7 3.6 Kommunikation.. 8 3.7 Fysiskt skydd.. 8 3.8 Avbrottsplanering 8 3.9 Rättsliga krav.. 9 3.10 Revision och kontroll. 9 4. Källor.. 10 GRANSKNINGSRAPPORT 3 Sida: 2

Sammanfattning Syftet med uppdraget är att kartlägga befintliga kontroller för informationssäkerhet hos Åstorps kommun. Kartläggningens omfattning och inriktning definieras närmare i avsnitt 2. Verifiering av erhållen information har inte genomförts, men vår avsikt är att gå vidare och verifiera hantering av IT-säkerhet inom kommun. Den sammanfattande bedömningen avseende granskningen är det finns stora brister i IT-säkerheten inom kommunen. Bristerna omfattar främst den fysiska säkerheten för centralt placerad utrustning, att det saknas formella riktlinjer och styrmedel för att kunna uppfylla de krav som ställs enligt den etablerade svenska standarden för IT-säkerhet SS 62 77 99 (Ledningssystem för informationssäkerhet) samt att någon avbrottsplanering inte har upprättats. Samtliga ovanstående områden är nödvändiga för att kunna upprätthålla IT-säkerhet och säkerhets-medvetande på en hög nivå. Vår granskning har visat att det finns starka sidor i kommunens IT-funktion, där vi främst kan nämna att en IT-grupp är etablerad med ansvar för prioritering av IT-projekt och allokering av IT-resurser. Vidare finns det även informella rutiner för att upprätthålla den dagliga driften av IT-stöd till verksamheten. Vi vill särskilt betona följande kontrollområden där mycket stora brister har identifierats: Fysiskt skydd: Säkerheten för det befintliga datarummet måste omgående förstärkas, för att kunna uppfylla de mest grundläggande säkerhetskrav som är aktuella för IT-stödet. Styrning av informationssäkerhet: En uppdaterad IT-strategi och informationssäkerhetspolicy saknas. Detta innebär risk för otillräcklig styrning och ledning av informationssäkerhet inom organisationen. Det är nödvändigt att Åstorps kommun etablerar en process för hantering av informationssäkerhet. Initialt måste den befintliga IT-strategin och den övergripande informationssäkerhetspolicyn uppdateras enligt aktuella förutsättningar. Vidare måste även underliggande riktlinjer tas fram. Avbrottsplanering: Avbrottsplan med tillhörande reservrutiner saknas. Detta medför risk för allvarliga skador ur informationssäkerhetssynpunkt. De riskanalyser som gjorts det senaste året bör uppdateras och ligga till underlag för utvecklingen av en avbrottsplan för hela eller delar av verksamheten. Rutiner beträffande personal: Informationssäkerhetskrav som ställs på personalen är otillräckligt tydligt definierade. Detta innebär en låg säkerhetsmedvetenhet hos personalen som kan leda till ökade risker för bristande informationssäkerhet. Kommunen måste fortsätta att utveckla befintliga rutiner för hantering och rapportering av incidenter samt utbildning av personal för att höja säkerhetsmedvetandet. GRANSKNINGSRAPPORT 3 Sida: 3

1. Inledning På uppdrag av kommunrevisionen, inom ramen för 2000 års revisionsplan, granskas IT-säkerheten i Åstorps Kommun. 1.1. Syfte med revisionen Ernst & Young har inom ramen för revisionen genomfört en nulägesanalys av informationssäkerheten under perioden 2000-09-06--22. Uppdragets syfte har varit att kartlägga, analysera och bedöma de befintliga kontrollerna för informationssäkerhet hos Åstorps kommun. Uppdraget skall resultera i en sammanfattande rapport där konkreta förslag till åtgärder kommer att ges beträffande kontroller där mycket stora eller stora brister konstaterats. Uppdraget omfattar följande kontrollområden: Styrning av informationssäkerhet Rutiner beträffande personal Rutiner för åtkomstkontroll Drift Systemutveckling- och förvaltning Kommunikation Fysiskt skydd Avbrottsplanering Rättsliga krav Revision och kontroll 1.2. Metod och avgränsningar Kartläggningen har genomförts i form av en nulägesanalys med hjälp av SBA-Check metoden. SBAmetoden, sårbarhetsanalys framtagen av dataföreningen Sverige, vilken baserar sig på den svenska standarden (SS 62 77 99) för informationssäkerhet. Ovanstående kontrollområden med tillhörande frågor besvarades och nyckelpersonal intervjuades interaktivt. Genomgångna kontroller där mycket stora eller stora brister funnits samt bedömning och förslag till åtgärder framgår i avsnittet Iakttagelser och förslag till åtgärder. Verifiering av erhållen information har inte genomförts. Följande personal har intervjuats hos Åstorps Kommun: Anita Bengtsson IT-samordnare Ulrika Håkansson IFO förvaltningen Klas Jörgensen IT-tekniker GRANSKNINGSRAPPORT 3 Sida: 4

2. Nuläge IT-stödet hanteras på kommunkontoret av två heltidstjänster, där Anita Bengtsson är ADBsamordnare och Klas Jörgensen är IT-tekniker. Inom kommunen finns det ca 450 persondatorer och ca 25 dataservrar. Som nätverksprogramvara används Novell Netware. Flertalet system är installerade på server i kommunens datarum, men det förekommer att enstaka system är utlagda på entreprenad. Till nätverket har är även datorer på exempelvis skolor, daghem och vårdhem anslutits, vilka är sammankopplade via kabel, fiberoptik och radiolänk. På några av dessa enheter finns det även servrar placerade i egna datarum. Någon större utbyggnad av nätverket och antalet datorer är inte aktuell för närvarande 3. Iakttagelser och förslag till åtgärder 3.1 Styrning av informationssäkerhet Det saknas en uppdaterad och aktuell IT-strategi samt IT-säkerhetspolicy. De versioner som är tillgängliga idag är från 1996 och är i sin tur ej kommunicerade till användarna av kommunens ITsystem. Generella riktlinjer för informationsklassificering har inte upprättas. När det gäller känsliga uppgifter som bedöms vara sekretessbelagda, hanteras detta enligt riktlinjer på respektive förvaltning. Nedanstående förslag till åtgärder är aktuella att genomföra avseende styrning av informationssäkerhet: Den befintliga IT-strategin och IT-säkerhetspolicyn måste uppdateras enligt de förutsättningar som gäller för verksamheten idag. Vidare bör policydokument med underliggande riktlinjer delges samtliga anställda Dessutom krävs en regelbunden information/utbildning för både nyanställda och redan anställda för att personalen skall kunna upprätthålla säkerheten i sitt dagliga arbete. Avslutningsvis måste en utbildningsplan upprättas för de nyckelpersoner inom kommunen som skall utarbeta och införa ovanstående regelverk för IT-säkerhet. 3.2 Rutiner beträffande personal Kännedomen om gällande IT-säkerhetspolicy är bristfällig. I samband med att personal anställs ges en kort introduktion om internetsäkerhet samt det personliga ansvaret för datoranvändare. Det finns dock ingen systematisk och kontinuerlig information/utbildning i informationssäkerhet för hela personalen. I samband med eventuella överträdelser av IT-säkerhetspolicy, saknas det formella och dokumenterade regler som anger att detta beivras på något sätt. GRANSKNINGSRAPPORT 3 Sida: 5

Nedanstående förslag till åtgärder är aktuella att genomföra när det gäller rutiner beträffande personal: För att en IT-säkerhetspolicy skall fylla sitt syfte måste den vara känd av samtliga anställda, för att de skall kunna vara medvetna om de säkerhetskrav som ställs. Detta gäller vid hantering av information såväl på som utanför den ordinarie arbetsplatsen. Rutiner för att sprida denna IT-säkerhetspolicy behöver därför upprättas. Regelbundet uppdaterad säkerhetsutbildning/information bör införas för alla anställda, så att nyanställda och redan anställda kan följa säkerhetsbestämmelserna. Säkerhets-utbildning bör riktas mot olika kategorier av anställda på olika nivåer, så att varje kategori av anställda får den utbildning de behöver i sitt dagliga arbete (t ex hantera utrustning på ett säkert sätt, samordna och övervaka säkerhetsarbetet). Avsaknad av disciplinära åtgärder vid överträdelse av säkerhetsbestämmelser kan minska personalens respekt för efterlevnad av säkerhetskrav. Det rekommenderas att informationssäkerhetspolicyn innehåller information om vilka åtgärder som vidtas om policyn inte efterlevs. 3.3 Rutiner för åtkomstkontroll Dokumenterade rutiner för behörighetsadministration finns delvis, såsom att nyanställda tilldelas ett konto (vilket styr vilka rättigheter användaren har till olika delar av nätverket) som godkänns av respektive chef samt riktlinjer för lösenord. Behörighetspolicy som styr åtkomst till information och informationsbehandlingsresurser saknas. Systematisk granskning av befintliga användares rättigheter saknas vilket även gäller hur loggfiler skall analyseras och hanteras. Nedanstående förslag till åtgärder är aktuella att genomföra avseende rutiner för åtkomstkontroll: Avsaknad av fullständigt dokumenterade rutiner för hela behörighetsprocessen kan leda till att administrationen av behörigheter blir bristfällig. Detta kan leda till dålig kontroll och uppföljning över användares åtkomsträttigheter. Det är rekommenderat att utveckla behörighetsrutiner även för omregistrering vid förändrade behörigheter och avregistrering av användare. Ett beslut om vilka händelser som ska loggas bör tas, t ex för att kunna återskapa händelseförlopp och upptäcka säkerhetshotande händelser samt erhålla driftshistorik. Rutiner för att följa upp och analysera samt förvara loggar bör fastställas. GRANSKNINGSRAPPORT 3 Sida: 6

3.4 Drift Dokumenterade rutiner för driftsättning och godkännande av nya system saknas, men genomförs enligt informella rutiner idag. Det samma gäller ändringar och uppdateringar av operativsystem, centrala system samt databaser. Beredskap för att hantera säkerhetsincidenter saknas, utan hanteras enligt informella rutiner. Det saknas en uppdelning av testmiljö och produktionsmiljö avseende centrala system, vilket innebär att nya versioner installeras utan att en test genomförs mot de systeminställningar som är aktuella för kommunen. Informella rutiner för avveckling av datamedia finns där det bl.a. borras hål i hårddiskar. Nedanstående förslag till åtgärder är aktuella att genomföra för att uppnå bättre säkerhet när det gäller driften: Driftsrutiner bör inkluderas i den framtida säkerhetspolicyn och dokumenterade rutiner för driftsättning bör skapas. För centrala system bör en uppdelning av testmiljö och produktionsmiljö upprättas, för att inte äventyra den dagliga driften i samband med installation av uppdateringar i befintliga system. Även om kommunen använder sig av standardsystem i stor utsträckning, är dessa oftast uppbyggda utifrån en mängd unika inställningar som görs för varje installation. Systemleverantören har ett ansvar för att de system och uppdateringar som installeras uppfyller fastställda kvalitetsmål, men det är ytterst kommunens ansvar att kontrollera detta innan installation görs i produktionsmiljö. 3.5 Systemutveckling- och förvaltning Det saknas en modell för systemutveckling och införande av system. Även om avsikten är att systemutveckling ej skall förekomma inom kommunen, förekommer det kontinuerligt upphandlingar och införande av IT-system vilket kräver styrning. Nedanstående förslag till åtgärder är aktuella att genomföra avseende systemutveckling- och förvaltning: Modell för systemutveckling och införande av system bör utvecklas och dokumenteras, för att göra det möjligt att kvalitetssäkra denna typ av aktiviteter. Detta är viktigt inte minst i de fall kommunen skall leveransgodkänna ett installerat system, där en bristfällig leveranskontroll riskerar att resultera i ett system som ej motsvarar de krav eller de kostnadsramar som gäller för systemet. GRANSKNINGSRAPPORT 3 Sida: 7

3.6 Kommunikation Information krypteras endast i samband med att betalningsuppgifter skickas till betalningsinstitut. I övrigt har ingen programvara för kryptering installerats. Riskanalys avseende anslutning mot Internet saknas samt att kontinuerlig test av säkerheten i befintliga brandväggar ej genomförs. Nedanstående förslag till åtgärder är aktuella att genomföra följande: För samtliga organisationer där en anslutning mot Internet förkommer, är det viktigt att säkerheten i dessa anslutningar testas och verifieras kontinuerligt. Mot bakgrund av detta bör en sådan granskning genomföras. 3.7 Fysiskt skydd Säkerheten i kommunens datarum, där all utrustning för centrala system hanteras, är kraftigt eftersatt, vilket även påtalades i en rapport av ÖCB 1999 (Överstyrelsen för Civil Beredskap). Det saknas bl.a. kodlås för att komma in i rummet, brandlarm och inbrottslarm. Nedanstående förslag till åtgärder är aktuella att genomföra när det gäller det fysiska skyddet: Den fysiska säkerheten för datarummet måste förstärkas omgående, för att kunna uppfylla de mest grundläggande säkerhetskrav som är aktuella för IT-stödet. 3.8 Avbrottsplanering En avbrottsplan har inte tagits fram och det saknas dokumenterade reservrutiner. I samband med övergången till år 2000 gjordes riskanalyser, men dessa mynnade ej ut i en utveckling av reservrutiner. Nedanstående förslag till åtgärder är aktuella att genomföra för att kunna hantera eventuella avbrott: Avbrott i IT-verksamheten innebär ofta allvarliga skador ur informationssäkerhets-synpunkt. Det kan vara svårt att återuppta verksamheten inom acceptabel tid efter avbrott, om en fungerande avbrottsplan och reservrutiner saknas. De riskanalyser som gjort det senaste året bör uppdateras. Utifrån analyserna är det möjligt att fastställa vilka konsekvenser ett avbrott får för verksamheten och det är motiverat att ta fram en avbrottsplan för hela eller delar av verksamheten. GRANSKNINGSRAPPORT 3 Sida: 8

3.9 Rättsliga krav Det saknas en sammanställning över vilka rättsliga krav som gäller för respektive informationssystem. Nedanstående förslag till åtgärder är aktuella att genomföra avseende rättsliga krav: Det måste tas hänsyn till rättsliga krav, så att man inte handlar i strid mot legala krav. Särskilt viktigt är det att beakta rättsliga krav vid behandling av personuppgifter, systemutveckling och förvaltning. 3.10 Revision och kontroll Dokumenterade rutiner för kontroll av efterlevnad av säkerhetspolicy saknas. Regelbunden kontroll med avseende på teknisk efterlevnad saknas och det finns ingen dokumentation över hur eller hur ofta kontrollen skall genomföras. Nedanstående förslag till åtgärder är aktuella att genomföra för att upprätthålla revision och kontroll: Regelbundna kontroller skall göras för att följa upp att beslutade säkerhetsåtgärder i ITmiljön har implementerats på rätt sätt och att inga förändringar har skett. Malmö 2000-11-28 John Wallhoff IT-revisor (CISA) GRANSKNINGSRAPPORT 3 Sida: 9

4. Källor (referensdokument) Regler för Internet och elektronisk post, daterad 2000-03-06 Välkommen som användare i vårt datanät Till dig som är datoranvändare i vår kommun, daterad 2000-08-16 Sammanträdesprotokoll avseende Åstorp IT-rapport, daterad 1996-01-10 Rapport med förslag Nr 1, Åstorps kommuns IT-grupp daterad mars 1996 Rapport med förslag Nr 2, Åstorps kommuns IT-grupp daterad april 1997 Sammanträdesprotokoll IT-gruppen daterad 2000-02-15 Sammanträdesprotokoll IT-gruppen daterad 2000-05-02 Sammanträdesprotokoll IT-gruppen daterad 2000-06-13 Övriga källor Anita Bengtsson, ADB-ansvarig, Åstorps Kommun.(Personlig intervju). Ulrika Håkansson, Systemansvarig, Socialförvaltningen, Åstorps Kommun (Personlig intervju). Klas Jörgensen, IT-tekniker, Åstorps Kommun (Telefon intervju). GRANSKNINGSRAPPORT 3 Sida: 10

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss