n av 7 för Munkfors, Forshaga, Kils och Grums kommun april 2006 av IT-samverkansgruppen
n 2 av 7 IT SÄKERHETSINSTRUKTION: FÖRVALTNING Innehållsförteckning IT-säkerhetsinstruktion Förvaltnings roll i IT-säkerhetsarbetet...3 2 Organisation, ansvarsområden och roller...3 3 Särskilda regler och rutiner för vissa områden...4 3. Behörighetsadministration...4 3.2 Loggning och spårbarhet...4 3.3 Distansarbete, extern anslutning och mobil datoranvändning...4 3.4 Drift och förvaltning av IT-system...4 3.4. Införande av IT-system...5 3.4.2 Systemunderhåll...5 3.4.3 Drift...5 3.4.4 Avveckling av IT-system...5 3.5 IT-incidenthantering...5 3.6 Tillträdesskydd...5 3.7 Säkerhetskopiering och lagring...5 3.8 Externa anslutningar...6 3.9 Brandväggar...6 3.0 Användningen av e-post och Internet...6 4 IT-säkerhetsutbildning...6 5 Kontinuitetsplanering...6 6 Driftgodkännande...6 7 Revidering och uppföljning...7
n 3 av 7 IT-säkerhetsinstruktion Förvaltnings roll i IT-säkerhetsarbetet IT-säkerhet är en del i organisationens lednings- och kvalitetsprocess som ska bidra till att ett IT-system kan användas på avsett sätt och med avsedd funktionalitet. KBM: s rekommendationer om basnivå för IT-säkerhet (BITS) ska gälla som ramverk för ITsäkerhetsarbetet. Styrande dokument för IT-säkerhetsarbetet är: IT-säkerhetspolicy IT-säkerhetsinstruktion: Förvaltning IT-säkerhetsinstruktion: Drift IT-säkerhetsinstruktion: Användare Systemsäkerhetsplan IT-säkerhetspolicy fastställs av kommunfullmäktige. IT-säkerhetsinstruktion: Förvaltning fastställs av kommunstyrelsen. IT-säkerhetsinstruktionerna: Drift och Användare tas av kommunernas gemensamma IT-samordningsgrupp. Detta dokument, IT-säkerhetsinstruktion Förvaltning, utgår från IT-säkerhetspolicyn och syftar till att redovisa: den interna organisationen för IT-säkerhetsarbetet omfattningen av det ansvar för IT-säkerhetsarbetet som vilar på de roller som ingår i organisationen hur IT-säkerhetsarbetet ska bedrivas. särskilda regler och rutiner för vissa områden. 2 Organisation, ansvarsområden och roller Det övergripande ansvaret för kommunens IT-verksamhet vilar på kommunchefen som också utser IT-säkerhetssamordnare och systemägare. Systemägare för den tekniska infrastrukturen är IT-chefen. Systemägare för verksamhetssystemen är respektive förvaltningschef. Kommunen eftersträvar att ansvaret för IT-systemen skall följa linjeorganisationen för varje enskilt IT-system. Kommunens policy för hur systemförvaltningen ska bedrivas beskrivs i dokumentet ITsystemförvaltningspolicy. Den interna organisationen, ansvarsområden och roller som ingår i IT-säkerhetsarbetet beskrivs i bilaga Organisation, ansvarsområden och roller.
3 Särskilda regler och rutiner för vissa områden n 4 av 7 3. Behörighetsadministration För att säkerställa att organisationens medarbetare endast har tillgång till den information och de IT-system de behöver för sitt arbete och har rätt behörigheter ska verksamhetsansvarig chef beställa behörigheter för de egna medarbetarna på en särskild blankett. Denna tillhandahålls av och ska återsändas till IT-funktionen. Blanketten ska också användas för hantering av behörighet för användare som slutar eller byter arbetsuppgifter. Kopia ska sparas på den egna enheten. 3.2 Loggning och spårbarhet Samtliga IT-system ska innehålla säkerhetslogg som minst registrerar användaridentitet, uppgift om inloggning och utloggning samt datum och klockslag för detta. Systemägarnas övriga krav på säkerhets- och transaktionsloggar ska framgå av de upprättade systemsäkerhetsplanerna. Kraven i dessa planer ska vara koordinerade i systemsäkerhetsplanen för IT-infrastrukturen. 3.3 Distansarbete, extern anslutning och mobil datoranvändning Om kommunen tillåter distansarbete ska verksamhetsansvarig chef besluta om ett IT-systems information får hanteras på distans med stationär eller mobil utrustning. Distansarbete ska vara reglerat i avtal mellan kommunen och den anställde. För annan extern anslutning och mobil datoranvändning ska särskilda riktlinjer finnas. Avtalet och säkerhetsinstruktionen ska minst reglera: fysiskt skydd i eller utanför hemmet (stöldrisk) logiskt skydd (otillbörlig användning) om utrustningen endast får användas för kommunens arbete (virussmitta o.dyl.) hantering av utskrifter (obehörig tillgång) om lagring och säkerhetskopiering av information ska ske i egen dator eller hos kommunen (stöldrisk, obehörig tillgång och förstörelse m.m.) hur eventuella hjälpinsatser utifrån (remote) ska ske (obehörigt intrång) kontroll av skadlig programkod (virussmitta o.dyl.) om kryptering krävs vid överföring i vissa fall (obehörig tillgång och förändring) autenticering vid uppkoppling mot kommunens nätverk (obehörig tillgång och förändring). Kommunen ska tillhandahålla utrustningen. Endast kommunens utrustning får anslutas mot kommunens nätverk och får inte utan särskilt tillstånd anslutas mot andra nätverk eller direkt mot Internetoperatör. Användning av trådlös anslutning kräver särskilda säkerhetsåtgärder och särskilt tillstånd. Regler för åtkomst till e-post eller annan information på nätverket från Internet ska framgå av säkerhetsinstruktion: Användare. 3.4 Drift och förvaltning av IT-system Kommunens arbetssätt med drift- och förvaltningsfrågor framgår under punkt 2 ovan. Följande rutiner ska gälla inom de 4 områdena:
n 5 av 7 3.4. Införande av IT-system Se dokumenten IT-systemförvaltningspolicy och Instruktion systemförvaltning. 3.4.2 Systemunderhåll Se dokumenten IT-systemförvaltningspolicy och Instruktion systemförvaltning. 3.4.3 Drift Se dokumenten IT-systemförvaltningspolicy och Instruktion systemförvaltning. Organisationens regler för systemdrift framgår av IT-säkerhetsinstruktion Drift. 3.4.4 Avveckling av IT-system IT-system som inte längre behövs för verksamheten ska avvecklas snarast. Systemägaren ska efter samråd med IT-samordningsgruppen besluta om och när ett IT-system ska avvecklas. Avvecklingen skall, i tillämpliga delar, följa samma regler som vid systemunderhåll. Vid avveckling ska särskilt uppmärksammas: Rättsliga regler; Arkivlagen, PUL m fl (i samråd med ansvariga för dessa områden) Vad ska tas ut ur systemet före avveckling (på papper eller media) Innehåller systemet ärenden vilka behöver avslutas i diariet Behöver återläsning av innehåll kunna ske längre fram Behöver uppgifter flyttas över till annat IT-system Destruktion av media som innehållit information 3.5 IT-incidenthantering Att återkoppla erfarenheter från incidenter av olika slag är ett viktigt moment när det gäller att spåra brister och svagheter i IT-verksamheten. Följande gäller: vid misstanke om intrång eller andra incidenter ska användare agera enligt ITsäkerhetsinstruktion: Användare IT-säkerhetssamordnaren ska sammanställa och rapportera till ledningen intrång och försök till intrång brott mot lagstiftning och internt regelverk incidenter som orsakar eller skulle kunna orsaka betydande avbrott och störningar. (samråd med systemägaren bör ske kring vilka incidenter som ska följas upp) 3.6 Tillträdesskydd IT-chefen ska besluta om vilka som ska ha tillträde till kommunens datorrum. Besök i kommunens datorrum ska registreras och vid behov kunna följas upp. 3.7 Säkerhetskopiering och lagring Systemägarnas krav på säkerhetskopiering och lagring för de egna systemen ska framgå av systemsäkerhetsplanerna. Dessa krav ska vara koordinerade i systemsäkerhetsplan för ITinfrastrukturen.
n 6 av 7 3.8 Externa anslutningar Systemägaren ska ta ställning till hur autenticering ska ske vid externa anslutningar. 3.9 Brandväggar Systemägaren ska besluta om: Vad som ska loggas i brandväggen Vem som ansvarar för uppföljning av loggar Hur ofta uppföljning ska ske Hur länge loggarna ska sparas 3.0 E-post och Internet Loggning ska ske av Internettrafiken och inkommande och utgående e-post för att möjliggöra spårning av intrång och missbruk. Riktlinjer för användningen av Internet och e-post ska framgå av IT-säkerhetsinstruktion: Användare. 4 IT-säkerhetsutbildning Information och utbildning inom IT-säkerhetsområdet ska ges alla medarbetare och omfatta: IT-säkerhetens betydelse för verksamheten Innehållet i kommunens IT-säkerhetspolicy Tillämpliga delar av innehållet i IT-säkerhetsinstruktionerna: Förvaltning, Användare och Drift Nya medarbetare ska ges grundläggande säkerhetsutbildning före tilldelning av behörighet i nätverket. Verksamhetsansvarig chef ansvarar för detta. Systemägaren ansvarar för att: egna medarbetarna erhåller information och utbildning om det centrala innehållet i de systemsäkerhetsplaner de är berörda av medarbetare, före tilldelning av behörighet, har tillräckliga kunskaper om säkerhetsreglerna för de IT-system de behöver för de egna arbetsuppgifterna. Varje enskild medarbetare har ett ansvar att påtala det egna behovet av utbildning och hålla sig informerad om gällande IT-säkerhetsinstruktioner. 5 Kontinuitetsplanering Systemägarnas krav på drift-, avbrotts- och katastrofplanering ska vara samordnande i kommunens Systemsäkerhetsplan för Teknisk infrastruktur. Se även IT-säkerhetsinstruktion Drift. 6 Driftgodkännande Driftgodkännande avser den process som syftar till att fastställa om ett IT-system uppfyller ställda säkerhetskrav. I samband med att en systemsäkerhetsplan upprättas granskas om IT-system uppfyller
n 7 av 7 basnivå för IT-säkerhet (BITS) de tilläggskrav som ställs utifrån rättsliga, verksamhetsspecifika och hotrelaterade krav. Systemägaren beslutar om driftgodkännande. Beslutet ska baseras på en granskning och säkerhetsutvärdering som bygger på jämförelse mellan verksamheternas krav och vidtagna säkerhetsåtgärder. Driftgodkännandeprocessen relateras till aktuell systemsäkerhetsplan och ska omfatta; avgränsningar granskning av säkerhetsåtgärder i IT-systemet utvärdering av granskningen i förhållande till systemsäkerhetsplanens krav redovisning av beslutsunderlag samt beslut Beslutsunderlaget ska innehålla en sammanfattning av förslag till beslut som kan vara att; driftgodkänna IT-systemet driftgodkänna IT-systemet efter beslut om när kompletterande säkerhetsåtgärder ska vara genomförda inte driftgodkänna IT-systemet. 7 Revidering och uppföljning Uppföljning är en viktig del i IT-säkerhetsarbetet och ingår som en del i ITsäkerhetssamordnaren roll. Uppföljningen ska bevaka att beslutade åtgärder är genomförda årliga mål är uppfyllda att riktlinjer följs att systemsäkerhetsplaner och policydokument vid behov revideras