Allmänt om administrativ datasäkerhet Stödutbildning 18.12.2007 Anne Juutilainen
Vad är information? Information är ett objekt som bör skyddas eftersom informationen har ett värde i en organisation Här avses med information som är: tryckt eller skriven elektroniskt förvarad under transport (ex. post) sedd, hörd eller talad December 2007 anne.juutilainen@mavi.fi 2
Mål för datasäkerhet Integritet Disponibilitet Konfidentialitet Identifiering Obestridlighet December 2007 anne.juutilainen@mavi.fi 3
Integritet.. Integritet: uppgifterna och systemen är tillförlitliga, riktiga och uppdaterade, och de har varken obehärskat förändrats eller kan förändras som en följd av apparatur eller programvarofel, naturhändelser eller mänsklig verksamhet December 2007 anne.juutilainen@mavi.fi 4
Disponsibilitet Systemens uppgifter och tjänster finns tillgängliga för de personer som är berättigade därtill på en i förväg fastställd svarsstid. Informationen har inte förstörts eller den kan inte förstöras som en följd av fel, händelser eller annan verksamhet. December 2007 anne.juutilainen@mavi.fi 5
Konfidentialitet Uppgifterna och systemen får disponeras endast av de personer som är berättigade därtill. Utomstående lämnas inte möjlighet att ändra eller förstöra informationen eller i övrigt hantera information. December 2007 anne.juutilainen@mavi.fi 6
Identifiering Betyder samma som autentifikation. Identifiering avser en tillförlitlig identifiering av parterna (person eller system). December 2007 anne.juutilainen@mavi.fi 7
Obestridlighet Avser en identifiering av det skedda, varvid målet är att informationen är juridiskt bindande Obestridligheten försäkrar att den ena parten inte kan förneka sin verksamhet efteråt December 2007 anne.juutilainen@mavi.fi 8
God datasäkerhet avser situationer då hot mot konfidentialitet disponsibilitet integritet inte orsakar betydande eller signifikant risk för information, system eller service KÄLLA: FINANSMINISTERIET December 2007 anne.juutilainen@mavi.fi 9
Skada mot datasäkerhet Bristfällig datasäkerhet riskerar statens, medborgarnas, samfundens och kundernas intressen och orsakar extra arbete och extra kostnader Orsaker Hotet har inte uppfattats Man är inte medveten om korrekta förfarandesätt Man har inte följt instruktionerna Människan är det största hotet! December 2007 anne.juutilainen@mavi.fi 10
VAD KAN VI GÖRA?
Att använda datorn på jobbet Du svarar som användare för din egen dator Installation och uppdatering av apparater och program kan utföras endast av data-administrationen Logga alltid in på datorn med dina egna användaridentifikationer Lås datorn (Ctrl+Alt+Del och välj Lås datorn) Spara dina filer med jämna mellanrum Spara all information på serverns resurs, inte på din egen hårdskiva Kom ihåg att logga ut både från programmet och din egen dator och släck din dator då det är dags att gå hem December 2007 anne.juutilainen@mavi.fi 12
Användarrättigheter och lösenord lämna inte ut dina personliga användaridentifikationer och lösenord eller ditt tjänstekort och PIN-kod till någon annan byt lösenord tillräckligt ofta se till att lösenorden är tillräckligt komplicerade använd inte organisationens personliga användaridentifikationer och lösenord vid inregistrering på Internet..använd aldrig gemensamma rättigheter December 2007 anne.juutilainen@mavi.fi 13
Pålitlig och konfidentiell e-post Var sunt misstänksam mot e-postens pålitlighet Akta dej för e-post där sändaren försöker fiska information av dej t.ex. personliga lösenord. Ge aldrig sådana uppgifter åt någon ifall du blir frågad av dem på e- post. E-post informationen rör sig oskyddad i det offentliga nätet Sänd inte konfidentiell information på e-post om ditt e-post program inte kan sekretessbelägga ditt meddelande. Akta dej för skadeprogram Se till att den e-post du sänder är adresserad till rätta personer och rätta adresser Källa: Finansministeriet December 2007 anne.juutilainen@mavi.fi 14
Användning av e-post i tjänstens vägnar e-posten på arbetsplatsen är avsedd för användning i arbetet en myndighet har skyldighet att behandla tjänste e- post e-post som hänför sig till arbetet mottas och styrs till den egna organisationens e-postsystem vid avslutat anställningsförhållande avlägsnas e- postadressen och - postlådan Källa: Finansministeriet December 2007 anne.juutilainen@mavi.fi 15
Internet Internet på arbetsplatsen är avsedd för användning i arbetet Användningen får inte äventyra organisationens datasäkerhet På internet skall man använda andra lösenord än på arbetsplatsens datasystem Det är inte tillåtet att använda vissa program på arbetet- bekanta dej med instruktionerna Det är inte tillåtet att förmedla konfidentiell information via Internet utan behörig kryptering Källa: Finansministeriet December 2007 anne.juutilainen@mavi.fi 16
Utrymmernas säkerhet Följ de anvisningar som lämnats för kontroll av tillträde Lämna inte en besökare ensam eller utan övervakning Vägled besökare eller vilsekomna personer till rätta platser Använd organisationens allmänna mötesrum för dina behov Se till att ovidkommande material inte finns i mötesrummen Följ principen Rent bord Slutna dörrar som är avsedda att vara låsta skall inte hållas öppna Använd ditt personalkort med bild i organisationens utrymmen December 2007 anne.juutilainen@mavi.fi 17
Distansarbete och arbete under arbetsresan Ta hand om transportabla apparater och information Ladda inte till organisationens apparater sådant som inte har med arbetet att göra Se till att ta säkerhetskopior Ta hand om användarsignum, lösenord och tjänstekort Se till att utomstående inte ser den information du behandlar Prata inte om konfidentiella ärenden på offentlig plats Kom ihåg att allt arbete som skall utföras vid ämbetsverket inte kan utföras dataskyddat som distansarbete December 2007 anne.juutilainen@mavi.fi 18
Problemsituationer Anmäl alltid genast om problemsituationer Datasäkerhetskränkning eller skadeprogram: skriv upp vad det eventuellt stod i meddelandet eller varningen kontakta data-administrationen och/eller den ansvariga för datasäkerheten handla enligt anvisningarna Påföljder vid uppsåtlig kränkning av datasäkerhet December 2007 anne.juutilainen@mavi.fi 19
Små saker stora verkningar Lås datorns visning Ta hand om dina gäster Håll ditt bord rent Lämna inte papper till mötesrummet / faxen/ kopieringsmaskinen Använd personalkort med bild December 2007 anne.juutilainen@mavi.fi 20
Det åligger alla även dig att se till datasäkerheten December 2007 anne.juutilainen@mavi.fi 21
Specialfrågor kring datasäkerhet Datasäkerhet i den administrativa anvisningen för landsbygdsnäringsmyndigheterna
Allmänt Kommissions förordning (EG) Nr 885/2006 ISO 27001 Administrativa anvisningen gäller alla kommuner Inte observerats specialfrågor i kommunerna riskvärdering är obligatoriskt i alla kommuner December 2007 anne.juutilainen@mavi.fi 23
Riskvärdering i kommunerna att värdera risker vad gäller datasäkerhet i kommunerna innebär att kommunerna själv gör en riskvärdering och en plan hur konkretiserade risker behandlas i januari kommer det till Aitta en blankett jämte anvisningar om saken, först på finska och senare på svenska December 2007 anne.juutilainen@mavi.fi 24
Administrativa anvisningens innehåll i kapitlet för datasäkerhet Datasäkerhetspolitik Organisering och ansvarsfördelning Skyddade objekt och godtagbar användning Utvärdering av risker och behandling av risker Information Personal Utrymmen och apparater Datakommunikation och användning Telefax ja e-post Kopior och print Tillträdesrättigheter Datasäkerhetskränkning och störning Verksamhetens kontinuitet Lagenlighet December 2007 anne.juutilainen@mavi.fi 25
DATASÄKERHETSPOLITIK Absolut krav Ledningens stöd Mål Organiserning Uppföljning Giltighet Politiken bör vara utgiven och personalen bör få ta del av den Modell som bilaga (tyvärr ännu på finska ) December 2007 anne.juutilainen@mavi.fi 26
December 2007 anne.juutilainen@mavi.fi 27
Organisering och ansvar Ansvar och uppgifter och fördelning till olika personer Alla har ansvar för datasäkerhet Till vem ska man meddela om brister, missbruk eller omständigheter som äventyrar datasäkerheten Sekretessförbindelse eller förbindelse om tystnad Avtal med leverantörer Behövs modell? December 2007 anne.juutilainen@mavi.fi 28
Lär känna de objekt i din organisation som skall skyddas De kritiska resurser som är nödvändiga för skötsel av uppgifterna Specifikation, förtecknande och namngivande av ansvarspersoner Handlingar, information, personal, infra Regelbunden kontroll Uppdatering vid behov Nyttjas vid utvärdering av risker Mall? December 2007 anne.juutilainen@mavi.fi 29
Utvärdering av risker och behandling Skall göras i första hand av de objekt som skyddas primärt Individualisering av risker och utvärdering av deras storlek och inverkan Styr datasäkerhetsarrangemang Utvärdering/ kontroll minst en gång om året Obs! Endamålsenlighet Instruktion? Mall? December 2007 anne.juutilainen@mavi.fi 30
Information Information ska skyddas tillräckligt Ej- offentliga dokument ur syn Hur dokument levereras Hur man sköter ärenden i telefon Brandsäkerhet Hur man förstör dokument Obs! År 1995 ansökningar och beslut skall förvaras bestående December 2007 anne.juutilainen@mavi.fi 31
Uppgifter Om lantbruksförvaltningens orginala dokument och ansökningar förflyttas från myndigheten eller arkivet till ett annat ställe bör man ta kopior på dessa innan förflyttningen Kopiorna bör förvaras i frågavarande kommunens arkiv tills dokumenten har returnerats till kommunen December 2007 anne.juutilainen@mavi.fi 32
Personal Kunskapen om datasäkerheten Personalutbildningen i datasäkerhet Funktioner då tjänsteförhållandet avslutas Dokument tillträde till datasystem tillträde till förvaringsutrymmen för information December 2007 anne.juutilainen@mavi.fi 33
Utrymmen och apparater Låsande av dörrar och fönster Brandsäkerhet Utrymmen för uträttande av ärenden skillt serviceställe förvaring av dokument i arbetsrummet vartåt riktar din bildskärm kopieringsmaskiner, telefax Skyddande av databehandlingsapparater December 2007 anne.juutilainen@mavi.fi 34
Datakommunikation och användning Uppdatering, service och reparationer regelbundet Hur man skyddar sej mot skadeprogram (virusbekämpning Brandmurar Logguppgifter Förstörande av databehandlingsapparater Instruktioner om hur man installerar program och hur man lagrar information December 2007 anne.juutilainen@mavi.fi 35
Telefax ja e-post Ej- offentliga uppgifter skickas med telefax bör undvikas i mån av möjlighet och man ska försäkra sej om mottagaren Ej- offentliga uppgifter skickas med e- post som skyddat i interna nätet och kryptat eller säkrat utanför det interna nätet December 2007 anne.juutilainen@mavi.fi 36
Kopior och print Identiska skyddsplikter som i de orginala dokumenten Kopiering och printande av dokument med gemensam apparat December 2007 anne.juutilainen@mavi.fi 37
Tillträdesrättigheter I enlighet med arbetsuppgifter Ansökning, underhåll och avlägsnande i enlighet med reglementen Tillträde till datorn personliga koder! Förvaring av alla koder Lösenorder skall bytas tillräkligt ofta Lösenordet skall vara tillräkligt komplex Skilda koder för registrering till öppna tjänster December 2007 anne.juutilainen@mavi.fi 38
Datasäkerhetskränkning - störning Problemsituationer och suspekta observationer skall meddelas till ansvarspersoner Systemets tekniska problem till verkets adbstöd Systemets och datasäkerhetens äventyrande eller hot bör meddelas till verkets datasäkerhetschef omedelbart December 2007 anne.juutilainen@mavi.fi 39
Verksamhetens kontinuitet Man bör vara beredd till störningar och avbrott Värdering av risker, kontinuitetsplanerna och testande av planerna Stödansökningsblanketternas förvarande i inmatningsordning December 2007 anne.juutilainen@mavi.fi 40
Lagenlighet Lagar och andra stadganden lagen och förordningen om handlingars offentlighet personuppgiftslagen och - förordningen December 2007 anne.juutilainen@mavi.fi 41
Frågor som kommit från kommunerna Kan hela kommunens datasäkerhetsanvisning ersätta verkets datasäkerhetsanvisning gällande de delegerade uppgifterna? Behov av tilläggsdokument för jordbruksförvaltningen? Hur gör man riskbedömning och hur behandlar man den? Ledningens stöd/ hur förbinder sej ledningen? kan någon annan ansvara för datasäkerheten än den högsta ledningen? Ska datasäkerhetsanvisningarna ges för godkännande till ledningen? Kan man tillämpa grannkommunens datasäkerhetsanvisning? December 2007 anne.juutilainen@mavi.fi 42
TACK och god hemresa December 2007 anne.juutilainen@mavi.fi 43