Retningslinjer for informationssikkerhed i Horsens Kommune

Transkript

1 Retningslinjer for informationssikkerhed i Horsens Kommune Senest opdateret september 2016

2 Indholdsfortegnelse INDLEDNING... 4 LÆSEVEJLEDNING RISIKOSTYRING RISIKOVURDERINGSPROCESSEN RISIKOHÅNDTERING SIKKERHEDSPOLITIK ORGANISERING AF INFORMATIONSSIKKERHED MEDARBEJDERE ANSÆTTELSESFORHOLDET SIKKERHEDSPROCEDURER FØR ANSÆTTELSE ANSÆTTELSENS OPHØR KRITISKE PROCESSER SAMT KLASSIFIKATION AF SYSTEMER OG DATA KRITISKE FORRETNINGSPROCESSER SYSTEM KLASSIFIKATION DATA KLASSIFIKATION ADGANGSSTYRING DE FORRETNINGSMÆSSIGE KRAV TIL ADGANGSSTYRING ADMINISTRATION AF BRUGERADGANG BRUGERENS ANSVAR MOBILT UDSTYR OG FJERNARBEJDSPLADSER ADGANG FOR EKSTERN LEVERANDØRER KRYPTOGRAFI FYSISK SIKKERHED SIKRE OMRÅDER BESKYTTELSE AF UDSTYR DRIFTSIKKERHED FUNKTIONSADSKILLELSE UAFHÆNGIGHED AF NØGLEPERSONER OPERATIONELLE PROCEDURER OG ANSVARSOMRÅDER STYRING AF DRIFTSMILJØ SKADEVOLDENDE PROGRAMMER SIKKERHEDSKOPIERING LOGNING OG OVERVÅGNING DRIFTSBEREDSKAB

3 13. KOMMUNIKATIONSSIKKERHED NETVÆRKSSIKKERHED INFORMATIONSOVERFØRSEL ANSKAFFELSE, UDVIKLING OG VEDLIGEHOLDELSE AF IT-SYSTEMER SIKKERHEDSKRAV TIL INFORMATIONSBEHANDLINGSSYSTEMER VURDERING AF SYSTEMDATA STYRING AF DRIFTSMILJØET SIKKERHED I UDVIKLINGS- OG HJÆLPEPROCESSER DATABEHANDLERAFTALER STYRING AF SIKKERHEDSHÆNDELSER PÅ IT-OMRÅDET HÅNDTERING AF SIKKERHEDSBRUD OG FORBEDRINGER RAPPORTERING AF SIKKERHEDSHÆNDELSER OG SVAGHEDER IT-BEREDSKABSSTYRING GODKENDELSE BILAG 1: INDHOLD AF RAPPORTERING TIL DIREKTIONEN ÅRLIG RAPPORTERING AD HOC RAPPORTERING BILAG 2: DAGSORDEN FOR INFORMATIONSSIKKERHEDSUDVALGSMØDER BILAG 3: MEDARBEJDER I INFORMATIONSSIKKERHEDSORGANISATIONEN BILAG 4: ROLLEBESKRIVELSER BILAG 5: BEGREBSAFKLARING BILAG 6: DEFINITION AF KRITISKE FORRETNINGSPROCESSER

4 Indledning Dette dokument har til formål at understøtte Horsens Kommune informationssikkerhedspolitik ved at fastlægge de konkrete retningslinjer, der sikrer, at organisationen lever op til politikken. Dokumentet ejes og vedligeholdes af kommunens Informationssikkerhedsudvalg. Da indholdet af retningslinjerne kontinuerligt udvikles som en del af det løbende informationssikkerhedsarbejde, kan der optræde afvigelser i forhold til den faktiske status. Der henvises her til SoA-dokumentet 1, hvor der gives en oversigt for igangværende udviklingstiltag. Læsevejledning Rækkefølgen for de kommende afsnit er opsat efter det kontrolnummer, som afsnittet relaterer sig til i ISO standarden. Derfor vil overskrifterne starte med en reference til ISO Risikostyring Det ligger i ISO-standardens præmis, at informationssikkerhed skal styres på baggrund af en risikobaseret tilgang til informationssikkerheden. Risikostyringen i Horsens Kommune påhviler informationssikkerhedsudvalget og understøttes af informationssikkerhedskoordinatoren. Arbejdet har til formål at skabe forståelse for de trusler og sårbarheder, som Horsens Kommune står overfor samt de tilhørende konsekvenser og sandsynlighed for, at disse risici bliver til virkelighed. Risikostyringen skal dermed gør ledelsen bekendt med risici, så den kan prioritere ressourcerne effektivt i forhold til, hvor de gør mest gavn. 4.1 Risikovurderingsprocessen Risikostyringen tager udgangspunkt i risikovurderingsprocessen. Her identificeres, analyseres og evalueres risici med udgangspunkt i den definerede kontekst. Risikovurderingsproces gennemføres en gang om året eller oftere hvis det er betydelige ændringer i risikobilledet. Det kan f.eks. være ved en ændring i de eksterne trusler, ved støre organisationsændringer eller implementering af nye it-systemer. Risikovurderingsprocessen tager udgangspunkt i en række kritiske forretningsprocesser, der er identificeret jf. metode beskrevet senere i dette dokument. Processerne er herunder bl.a. identificeret med det udgangspunkt i deres betydning for Horsens Kommune informationers fortrolighed, integritet og/eller tilgængelighed. For hver kritiske forretningsproces gennemføres en risikovurderingsprocessen via en workshop, med deltagelse af alle relevante interessenter. Workshoppen består af følgende procestrin: 1. Etablering af oversigt for forretningsprocessens IT- understøttelse 2. Konsekvensvurdering af forretningsprocesser 3. Vurdering af sandsynligheden for forretningsmæssige konsekvenser 1 SoA står for Statement of Applicability (Opgørelse af anvendelighed) og er en vigtig del af ISO

5 4. Etablere liste over risici med forslag til risikoreducerende tiltag Det sikres herunder, at der tages stilling til alle de informationssikkerhedsrelevante aktiver, der understøtter processerne og deres betydning herfor. Samtidig er det muligt at identificere sammenhæng og afhængigheder mellem aktiverne, som kan have stor betydning for risikoen. Et aktiv kan f.eks. anvendes af flere forretningsprocesser til forskellige formål og med forskellige konsekvenser, hvis der sker en hændelse. 4.2 Risikohåndtering Resultatet af de løbende risikovurderinger er et opdateret grundlag hvorudfra ledelsen kan håndtering risici. Den kan herunder beslutte, hvilke risici der er acceptable, og hvilke risici der bør gøres noget ved. Risikohåndtering består af følgende procestrin: 1. Fremlæggelse af risikovurderingen og risikoreducerende tiltag for i-udvalget. 2. Dokumentere udvalgets til- og fravalg. 3. Dokumentere status for arbejdet med risici i SoA-dokumentet. Dokumentet fungerer herved som et dialog-, prioriterings-, overbliks- og beslutningsværktøj. SoA en skal vedligeholdes af informationssikkerhedskoordinatoren på baggrund af risikovurderingsprocessen og den løbende dialog med Informationssikkerhedsudvalget. 5. Sikkerhedspolitik Dette emne er behandlet i dokumentet Informationssikkerhedspolitik for Horsens Kommune. 6. Organisering af informationssikkerhed Dette emne er behandlet i dokumentet Informationssikkerhedspolitik for Horsens Kommune. 7. Medarbejdere Opretholdelse af det ønskede sikkerhedsniveau er meget afhængig af, at alle kommunens medarbejdere tager ansvar for informationssikkerheden. 7.1 Ansættelsesforholdet Alle medarbejdere har et medansvar for at opretholde det ønskede sikkerhedsniveau i Horsens Kommune. Alle medarbejdere skal derfor: Have et generelt kendskab til informationssikkerhed. Kende deres ansvar for sikkerheden. Sikre deres personlige adgangskoder. Passe på organisationens IT-udstyr. Deltage aktivt i rettelse af fejl, løsning af problemer og forbedringer af sikkerheden. Rapportere hændelser der kan indikere brud på sikkerheden. 5

6 Der findes en Informationssikkerhedshåndbog, der giver retningslinjer for den ønskede brugeradfærd. Alle ansatte skal være bekendt med indholdet af håndbogen, og overtrædelser vil blive håndteret af områdets leder. Ved introduktion og modtagelse af nyansatte bør informationssikkerheden indgå som en del af de generelle informationer. Findes der tjeklister til brug for ny-ansættelser, anbefales det ligeledes at tage informationssikkerhed med som et punkt på tjeklisten. Væsentlige ændringer til retningslinjer for brugeradfærd skal godkendes af direktionen efter behandling i Informationssikkerhedsudvalget. Informationssikkerhedshåndbog skal revurderes, opdateres og godkendes af Informationssikkerhedsudvalget en gang årligt. 7.2 Sikkerhedsprocedurer før ansættelse I forbindelse med ansættelse i Horsens Kommune udarbejdes et ansættelsesbrev. I ansættelsesbrevet fremgår det, at man har tavshedspligt, og at tavshedspligten ikke bortfalder, når man fratræder. Den enkelte afdelingsleder har til ansvar at sørge for instruktion i forhold til anvendelse af systemer i det daglige arbejde, samt i forhold til den ønskede generelle adfærd for informationssikkerhed jf. informationssikkerhedshåndbogen. Alle nye administrative medarbejdere skal gennemføre en digital introduktion til korrekt ITadfærd. Den enkelte medarbejder skal automatisk modtage en invitation per ved ansættelse, og har herefter 30 dage til at gennemføre det. Hvis dette ikke sker, eskaleres det til nærmeste leder, som herefter har ansvaret for at medarbejderen gennemfører kurset. 7.3 Ansættelsens ophør Der skal være procedurer i den enkelte afdeling, der sikrer, at IT-aktiver returneres, og at adgange og rettigheder ophører senest ved ansættelsesforholdets ophør. Det er lederens ansvar, at procedurer udarbejdes og efterleves. Såfremt adgange og rettigheder skal ophøre, forinden ansættelsesforholdets ophør, f.eks. i forbindelse med særlige aftaler om fritstilling og lignende, skal lederen kontakte IT- afdelingen på 1234@horsens.dk. 8. Kritiske processer samt klassifikation af systemer og data Informationssikkerhedsarbejdet tager som tidligere beskrevet udgangspunkt i en risikobaseret tilgang. Det sker bl.a. ved at identificere og vurdere de særligt kritiske forretningsprocesser herunder deres afhængighed til underliggende systemer og data. Det giver hermed mulighed for at give en øget gennemsigtighed for de kritiske sammenhænge i Horsens Kommunes infrastruktur samt afdække behovet for det tilhørende beredskabsniveau. 6

7 8.1 Kritiske forretningsprocesser De kritiske forretningsprocesser i Horsens Kommune skal identificeres med udgangspunkt i digitaliseringsstyrelsens definition (se Bilag 6: Definition af kritiske forretningsprocesser). De identificerede processer skal tilføjes en samlet oversigt for de kritiske forretningsprocesser. 8.2 System klassifikation Klassificering af systemer dokumenteres i Systemlandskabsoversigten for alle kommunes systemer, hvor det enkelte system kan være i en af følgende klassifikationer: Guld (mest kritisk), Sølv og Bronze. Der er følgende definition på de enkelte systemklassifikationer: Systemejeren har ansvaret for at indplacere det enkelte system i en passende klassifikation. Dette kan med input fra det årlige arbejde med de kritiske forretningsprocesser jf. kap. 4. Alle systemer i oversigten er endvidere indplaceret i en af følgende typer; Fagsystemer, Støttesystemer og Infrastruktur. Systemlandskabsoversigten indeholder mange andre informationer f.eks. hvem der er systemejer samt henvisninger til databehandleraftaler og leverandørkontrakter. 8.3 Data klassifikation Dataejeren har ansvaret for at klassificere data efter behov og skal i de givne tilfælde ske med udgangspunkt i følgende klassifikationer: Tilgængelighed Høj: Forretningskritisk og kan ikke erstattes af manuelle procedurer. Medium: Vigtigt, men funktionerne kan udføres manuelt i en begrænset tidsperiode. Lav: Ikke kritisk og funktionerne kan afbrydes i en længere tidsperiode. 7

8 Integritet Høj: Forretningskritiske beslutninger bliver taget på grundlag af data. Medium: Data danner grundlag for beslutninger, men de er ikke kritiske. Lav: Data danner aldrig, eller kun sjældent, grundlag for beslutninger. Fortrolighed Fortroligt: Data der kun må være tilgængeligt for en begrænset gruppe af personer f.eks. lukkede punkter fra bestyrelsesmøder. Internt brug: Materiale der er tilgængeligt for alle internt i organisationen. Uklassificeret: Der er ingen fortrolighed og ingen begrænsninger for hvem, der må få adgang til data. 9. Adgangsstyring I det daglige arbejde i Horsens Kommune behandles og gemmes mange fortrolige informationer, der både kan tilgås indenfor og udenfor Horsens Kommunes fysiske lokaliteter. Det er herfor afgørende, at disse informationer beskyttes via krav til adgangsstyringen for at imødegå uvedkommendes adgang. 9.1 De forretningsmæssige krav til adgangsstyring Alle informationsaktiver (programmel, udstyr, data, informationer og databærende medier) skal være beskyttet mod uautoriseret adgang. Systemejerne skal løbende tage stilling til adgang til IT-systemerne, og der skal være retningslinjer og procedurer for tildeling af adgang til arbejdsstationer, arkiver, netværk og lignende ressourcer. 9.2 Administration af brugeradgang Tildeling, ændring og sletning af brugeradgang til systemer og data skal ske ud fra arbejdsbetingede behov og i overensstemmelse med datas klassifikation. Adgang til netværk og systemer skal inddrages, når brugeren ikke længere skal have adgang. Adgangsprocedurerne omfatter: Registrering af alle brugere med en unik brugeridentitet. Regler for, hvem der må disponere over hvilke IT-systemer og dele heraf. Regler for, hvordan og i hvilke tilfælde adgangstilladelse tildeles og inddrages. Regler for overvågning, logning, efterkontrol, ledelsesrapportering og opfølgning. Anvendelsen af fællesadgang skal være begrænset til systemer, der ikke indeholder personfølsomme og/eller forretningskritiske data. 9.3 Brugerens ansvar Alle medarbejdere er ansvarlige for deres personlige adgangskoder og for at følge vedtagne retningslinjer for password. 8

9 9.4 Mobilt udstyr og fjernarbejdspladser I Informationssikkerhedshåndbog for Horsens Kommune er der fastlagt de regler, som skal overholdes ved brug af mobilt udstyr og fjernarbejdspladser. 9.5 Adgang for ekstern leverandører Når der er behov for at give adgang til Horsens Kommunes netværk for andre end Horsens Kommunes medarbejdere, skal der først indgås en Fortrolighedserklæring (eksterne konsulenter) med den givne person. IT- og Digitaliseringsafdelingen varetager vedligeholdelse og formidling af denne skabelon, mens den givne systemejer har ansvaret for indgåelse af aftalen samt opbevaring af dokumentation. 10. Kryptografi Kommunikation til og fra Horsens Kommunes infrastruktur er vitalt for at medarbejderne i kommunen, kan gøre deres arbejde. Derfor er det afgørende, at de beskeder der sendes til og fra Horsens Kommune er sikret, og at indholdet er hemmeligholdt, for tredjeparter. Dette afsnit indeholder de procedurer, der skal til for at sikre korrekt og effektiv brug af kryptografi for at beskytte informationers fortrolighed, integritet og autenticitet. Behovet for brug af kryptering skal identificeres ud fra en vurdering af, hvor kryptering som sikringsforanstaltning kan imødegå behovet for sikring af datas fortrolighed og/eller integritet. Det sker på grundlag af datas klassifikation. For at leve op til best practice for efterlevelse af persondataloven skal kommunikation af persondata med identitetsangivelse, der kan misbruges, foregå ved krypteret form. Ved anvendelse af kryptering skal der tages højde for nøglehåndtering. 11. Fysisk sikkerhed Der opbevares informationer og kritiske IT-komponenter på en række af Horsens Kommunes fysiske lokaliteter. For at opretholde et tilstrækkeligt sikkerhedsniveau skal der tages individuel stilling til behovet for en eventuel beskyttelse af disse fysiske lokaliteter Sikre områder Lokaler er opdelt i sikkerhedsområder, hvor adgang tildeles på baggrund af et arbejdsbetinget behov og under hensyntagen til funktionsadskillelse. Den fysiske adgang skal beskyttes med et hensigtsmæssigt adgangskontrolsystem, som er udvalgt på baggrund af en risikovurdering Beskyttelse af udstyr Datacenter og Hovedkrydsfelt skal beskyttes mod ødelæggelse og skade, der er følger af brand, vandskade, strømsvigt og andre skader, forårsaget af hændelser i det omkringliggende fysiske miljø. 9

10 Kritisk IT-udstyr skal overvåges og vedligeholdes efter leverandørens anvisninger. Ved bortskaffelse, reparation eller genbrug af IT-udstyr skal det sikres, at udstyret er renset for data på en sådan måde, at de ikke kan gendannes. 12. Driftsikkerhed Styring af netværk og drift skal sikre at Horsens Kommune opnår en høj driftsstabilitet. Det stiller krav til IT-afdelingen og underleverandører på en række konkrete områder af både forebyggende og udbedrende karakter Funktionsadskillelse Der skal være etableret regler for funktionsadskillelse. Dette princip er en grundlæggende forudsætning for forebyggelse, og begrænsning af konsekvenser, som stammer fra fejl, uheld og bevidst ondsindede handlinger forårsaget af enkeltpersoner eller grupper af personer Uafhængighed af nøglepersoner Der tilstræbes uafhængighed af enkeltpersoner, hvor dette er muligt gennem vidensdeling, personbackup, opdateret dokumentation samt system- og procesunderstøttelse Operationelle procedurer og ansvarsområder For at sikre stabilitet i driften skal der, hvor det er relevant, etableres adskilt test og produktion på forskellige systemmiljøer. Nye systemer og ændringer til eksisterende systemer testes inden installering i driftsmiljøet således, at tilgængelighed og integritet sikres. Procedurer, ansvarsområder og anvendt teknologi skal understøtte den nødvendige funktionsadskillelse. Som en forudsætning for hurtig imødegåelse af driftsforstyrrelser, er der etableret procedurer for daglig sikkerhedskopiering (backup). Backup opbevares på samme lokation men i separat brandsikrede områder Styring af driftsmiljø Der skal være procedurer, der sikrer stabilitet ved installation af systemer i driftsmiljøer. Der anvendes standardopsætninger for konfiguration af systemkomponenter, som kontrollerer kendte sårbarheder. IT-afdelingen skal løbende vurdere tilgængelige sikkerhedsrettelser, f.eks. patches og hotfixes til anvendte operativsystemer. Sikkerhedsrettelser installeres efter behov. Data der anvendes til test, skal udvælges omhyggeligt, kontrolleres nøje og beskyttes i henhold til deres klassifikation. Der skal være særligt fokus på beskyttelse af persondata. Kapaciteten i forbindelse med alle servere med kritiske informationer skal løbende overvåges for at sikre pålidelig drift og tilgængelighed. Ved implementering af nye systemer skal det sikres, at der skal være mulighed for reetablering og fornøden fejlhåndtering. 10

11 12.5 Skadevoldende programmer Skadevoldende programmer kan sætte hele organisationen ud af drift, og det kan være meget dyrt at rense IT-systemerne, hvis de er blevet ramt af et hackerangreb eller en virus. Alt godkendt IT-udstyr der er tilsluttet Horsens Kommunes netværk, har, hvor det er muligt, installeret et aktivt og opdateret antivirusprogrammel, der kan opdage, rense og beskytte mod forskellige former for skadevoldende programmer. Ved eksterne brugere skal der tages individuel stilling til deres sikkerhedsniveau, og herudfra skal det vurderes, om der skal gives fuld adgang eller en begrænset adgang via Citrix. Det skal løbende kontrolleres, at anti-virus er aktivt på arbejdsstationerne, og at signaturfilerne ikke er ældre end én uge. Opdatering finder automatisk sted, når brugeren tilgår Horsens Kommunes netværk. Opdateringen kan medføre, at netværket i kort tid ikke er tilgængeligt. Det er ikke tilladt at installere egne programmer på Horsens Kommunes maskiner. Ved installation af programmer skal procedurerne, der findes i Horsens Kommunes egne retningslinjer, følges Sikkerhedskopiering For at vigtige informationer altid kan fremfindes, og for at undgå tabt arbejde, foretages der sikkerhedskopiering og backup med faste intervaller for alle systemer og netværksdrev. De nærmere regler herfor findes i retningslinjen for backup. Aftaler med eksterne leverandører skal indeholde krav til samme procedurer, som gælder internt i Horsens Kommune. Det skal ved regelmæssige test sikres, at sikkerhedskopierne kan genindlæses. Sikkerhedskopierne opbevares i en anden brand-celle på samme lokation, så de kan fremfindes ved igangsættelse af nødplaner eller i forbindelse med andre behov Logning og overvågning Der foretages logning af vore kritiske systemer. Logningerne kontrolleres med henblik på at opdage og spore uautoriserede handlinger, og at kunne føre disse tilbage til enkeltpersoner eller identificerbart netværksudstyr. Det kontrolleres, at IT-systemer anvendes korrekt. Overvågningsniveauet fastlægges på grundlag af en risikovurdering af det enkelte system, og alle overvågningsaktiviteter skal beskrives. Alle aktiviteter på de fleste IT-systemer registreres automatisk. Som en del af logningen skal sikkerhedsrelaterede hændelser registreres. Logfaciliteter og logoplysninger skal beskyttes mod manipulation og tekniske fejl. Alle ure synkroniseres, så hændelser kan identificeres entydigt. 11

12 12.8 Driftsberedskab Der skal være til enhver tid være et driftsberedskab i Horsens Kommune, der er tilstrækkelig til at varetage det beredskab, som er aftalt med de givne områder i organisationen. 13. Kommunikationssikkerhed Kommunikationssikkerhed har til formål at sikre beskyttelse af informationer i netværket og af understøttende informationsbehandlingsfaciliteter samt at opretholde informationssikkerhed ved overførsel internt i kommunen og til en ekstern part Netværkssikkerhed For at undgå uautoriseret adgang skal vores netværk sikres. Sikring af vores netværk imod uautoriseret adgang styres af IT-afdelingen. Det sker f.eks. via adgangskontrol og adskillelse af netværkstjenester, hvor dette er hensigtsmæssigt. Der må ikke installeres netværksudstyr som f.eks. trådløse modems uden IT-afdelingens godkendelse. Der skal være etableret firewall løsninger, der beskytter mod forbindelse til upålidelige netværk. Der etableres udelukkende forbindelser fra internettet til sikkerhedsgodkendte servere som f.eks. - og webservere. Det skal sikres, at IT-afdelingen vedblivende har den nødvendige viden samt redskaber til overvågning af Horsens Kommunes for at kunne opdage og spore sikkerhedsbrister samt til fejlretning. Netværket overvåges løbende med henblik på at opdage og udbedre brud på sikkerheden. Bærbare medier med adgang til netværket skal styres og beskyttes. Der er etableret trådløst netværk på de fleste af Horsens Kommunes lokationer. Der må kun etableres trådløst lokalnet efter IT-afdelingens godkendelse. Nettet skal konfigureres således, at uautoriseret adgang og aflytning ikke er mulig. Trådløse netværk betragtes som usikre og ubeskyttede netværk, og adgang til trådløst netværk kræver gyldigt brugernavn og kodeord samt anvendelse af godkendt udstyr. Gæster kan få adgang til Horsens Kommunes gæstenetværk, hvor der kun tilbydes adgang til internettet. Gæstenettet skal være segmenteret på en sådan måde, at der ikke her forefindes personfølsomme og/eller forretningskritiske data. Da gæstenettet tilbydes ikke-kommercielt, så foretages der ikke overvågning og logning af gæsters anvendelse af internettet Informationsoverførsel Regler i forbindelse med informationsudveksling af fortrolig information via og andre elektroniske medier findes i Informationssikkerhedshåndbogens afsnit omhandlende retningslinjen for og digital post. I forbindelse med ekstern opkobling til Horsens Kommunes systemer må fortrolige data ikke kopieres, flyttes eller lagres på bærbare medier. Derudover har alle medarbejdere et ansvar for at beskytte uovervåget IT-udstyr og bærbare datamedier. 12

13 14. Anskaffelse, udvikling og vedligeholdelse af IT-systemer Det er vigtigt for af kommunens informationssikkerhed, at anskaffelse af nye IT-systemer samt den efterfølgende udvikling og vedligeholdelse af systemerne sker korrekt. Det er f.eks. herunder, at det skal sikres, at systemerne er designet og opsat på en måde, der bedst muligt imødegår tab af fortrolige data eller ustabil drift ved forretningskritiske systemer Sikkerhedskrav til informationsbehandlingssystemer De sikkerhedskrav der stilles til systemers behandling af data, skal indgå i vurderingen, som foretages ved indkøb og test af eksternt udviklede systemer. Det enkelte system skal have implementeret sikringsforanstaltninger, som er tilstrækkelige i forhold til klassifikation af de data, som systemet behandler, samt de forretningsmæssige funktioner, som systemet varetager. Informationssikkerhedskoordinatoren skal herfor i denne forbindelse inddrages i udarbejdelse af krav ved indkøb af IT-systemer Vurdering af systemdata Vurderingen af hvilke sikringsforanstaltninger der er nødvendige i det enkelte system, foretages ud fra, hvilke data systemet indeholder, og hvilke forretningsmæssige funktioner systemet varetager Styring af driftsmiljøet Der skal være etableret procedurer, der sikrer stabilitet ved installation af systemer i driftsmiljøet. Data der anvendes til test, skal udvælges omhyggeligt, kontrolleres nøje og beskyttes i henhold til deres klassifikation, f.eks. ved at anonymisering af data i testmiljøet Sikkerhed i udviklings- og hjælpeprocesser Vi udvikler ikke selv systemer, men anvender pålidelige og kompetente leverandører. Der anvendes standardprodukter i videst muligt omfang. IT-afdelingen etablerer godkendelsesprocedurer for nye systemer, nye versioner og opdateringer af eksisterende systemer. Godkendelsesprocedurerne beskriver krav til dokumentation, specifikationer, test, kvalitetskontrol og en styret implementeringsproces. Der skal foretages en risikovurdering af ændringerne i forhold til eksisterende sikringsforanstaltninger og eventuelt opståede behov for nye sikringsforanstaltninger. Vedligeholdelse af systemer der indgår i kritiske forretningsprocesser, skal ske i henhold til særskilte aftaler, der indgås med forretningen og dokumenteres i Beredskabsstrategi og beredskabsplaner. Når driftsmiljøet ændres, skal der ved disse kritiske forretningssystemer gennemgås og testes for at sikre, at det ikke har utilsigtede, afledte virkninger på den daglige drift og sikkerhed. 13

14 14.5 Databehandleraftaler Der skal forefindes databehandleraftaler for alle de situationer, hvor persondata i Horsens Kommune overlades til ekstern leverandørers (udenfor Horsens Kommunes netværk). Databehandleraftalen skal indgås i forbindelse systemkontraktudarbejdelsen og skal basere sig på den af IT- og Digitaliseringsafdelingen ejede skabelon. Dataejeren skal sikre en løbende opfølgning af databehandlerens varetagelse af den indgåede aftale. IT- og Digitaliseringsafdelingen vedligeholder beskrivelsen af opgavens indhold og indhold. 16. Styring af sikkerhedshændelser på IT-området Informationssikkerhedsarbejdet skal sikre en håndtering af sikkerhedshændelser. Endvidere er der i det forbyggende arbejde med informationssikkerhed, behov for at dokumentere sikkerhedshændelser, så det kan indgå i arbejdet med at analysere svagheder og planlægge det videre informationssikkerhedsarbejde Håndtering af sikkerhedsbrud og forbedringer Alle medarbejdere har pligt til hurtigst muligt at afrapportere sikkerhedshændelser til den relevante GIA 2 aktør. Opståede hændelser skal håndteres af den ansvarlige for området med udgangspunkt i en vurdering af alvoren ved problemet. Hændelser der har indflydelse på tilgængelighed, skal afklares i overensstemmelse med gældende serviceaftaler. Driftshændelser der ikke kan afklares inden for aftalt tid, skal i disse tilfælde håndteres i overensstemmelse med procedurer for hændelseshåndtering, og de ramte brugere og systemejere skal informeres. Hvor der kan komme et retsligt efterspil, skal beviser indsamles, opbevares og præsenteres, så vi kan sikre, at de udgør et fyldestgørende og pålideligt bevismateriale Rapportering af sikkerhedshændelser og svagheder Efter en imødegåelse af hændelsens konsekvenser har GIA aktøren ansvaret for en afrapportering af hændelsen til informationssikkerhedskoordinatoren. Afrapporteringen af alle hændelser skal ske i et særligt skema, som sendes til Informationssikkerhedskoordinatoren, der hermed kan skabe et samlet overblik for alle rapporterede hændelser. Denne information vil indgå i afrapporteringen til Informationssikkerhedsudvalgt og den årlige afrapportering til direktionen. Der er forskellige skema målrettet forskellige typer af hændelser. Det er Informationssikkerhedskoordinatoren, der har ansvaret for at definere omfanget for og typen af skemaer samt for den løbende vedligeholde. 2 GIA = Gruppen af Informationssikkerheds Aktører. Se begrebsafklaringen i Informationssikkerhedspolitikken for yderligere information. 14

15 17. IT-beredskabsstyring Horsens Kommune har udarbejdet en IT-beredskabsstrategi, der indgår i Horsens Kommunes overordnede kriseberedskab. Strategien redegør for, hvordan Horsens Kommune skal håndtere en beredskabssituation, ved nedbrud af kommunens IT-services. Godkendelse Dokumentet er godkendt af Horsens Kommunes Informationssikkerhedsudvalg. Formand for Informationssikkerhedsudvalget, Horsens d. 06/

16 Bilag 1: Indhold af rapportering til direktionen Afrapportering fra Informationssikkerhedsudvalget til direktionen skal have et omfang og en detailgrad, der gør at direktionen er i stand til at varetage sit ansvar om Horsens Kommunes overordnede sikkerhed. Årlig rapportering 1. Overordnede status Organisatoriske aspekter (ressourceoversigt & budget) Overordnet resultat af udførte aktiviteter Nye væsentlige implementeringer, restrukturering eller lign. Kritiske hændelser f.eks. virusudbrud eller angreb Væsentlige nedbrud 2. Det aktuelle risikobillede for Horsens Kommune Gennemgang af top-prioriterede risici Statistik samt udvikling/historik i typer af hændelser 3. Generel markedsstatus Nye trends/sikkerhedsrisici som Horsens Kommune skal være opmærksomme på Udvikling i Internet- og mailtrafik Statistik vedr. Virus, spam, m.v. Nye relevante teknologier, der medfører øget risiko 4. Nye fokusområder og aktiviteter Prioriteret liste over projekter vedr. informationssikkerhed for kommende periode Nye investeringer Ad hoc rapportering Informationssikkerhedsudvalget skal desuden rapportere ad hoc, hvis der indtræffer hændelser, der har en karakter, der bør have direktionens opmærksomhed f.eks. Tab af tilgængelighed, udstyr eller faciliteter Systemfejl eller overbelastning Menneskelige fejl Brud på den fysiske sikkerhed Brud på adgangskontrollerne Ændring i de forudsætninger, som indvirker på Horsens Kommunes sikkerhedspolitik f.eks. nye lovkrav, organisationsændringer eller igangsatte aktiviteter. 16

17 Bilag 2: Dagsorden for Informationssikkerhedsudvalgsmøder Informationssikkerhedsudvalget følger en fast mødedagsorden for at sikre fuldstændighed i dialogen om sikkerhedsarbejdet og for at sikre en ensartethed i rapportering til direktionen. Omdrejningspunktet for dialog, status og prioriteringsgrundlaget er SoA-dokumentet. Orientering fra direktionen Status på risikovurderingsarbejde Status på igangværende arbejder Hændelsesrapportering fra informationssikkerhedskoordinatoren og GIA o Hændelser, omfang, type og konsekvens o Status på udbedring o Forebyggende initiativer Fastlæggelse af opgaver for det kommende kvartal o Beskrivelse/succeskriterier o Projektledelse og -ressourcer o Tidslinje Eventuelt Der skal tages referat ved alle møder. 17

18 Bilag 3: Medarbejder i informationssikkerhedsorganisationen I det følgende er der redegjort for hvilke personer i organisationen, der er allokeret til de respektive roller i informationssikkerhedsorganisationen. Rolle Direktionen DPO Informationssikkerhedsudvalg Informationssikkerhedskoordinator IT- og Digitaliseringschefen IT-driftsafdelingen (ved ITdriftschefen) Ejer af lokale Digital Forretningsstrategi Ledelse på alle organisatoriske niveauer Ejer af Kritisk forretningsproces Systemejer Dataejer Person(er) XX, XX, XX, XX XX XX, XX, XX, XX, XX, XX, XX, XX XX XX XX Se de lokale Digital Forretningsstrategi Se organisationsdiagram på medarbejderportal Se oversigt for Kritisk forretningsproces Se systemejer databasen Er samme person som systemejeren 18

19 Bilag 4: Rollebeskrivelser Direktionen Årlig revidering af informationssikkerhedspolitikken. Informationssikkerhedsudvalget Mødes 4 gange årligt Vurdere indholdet af SoA-dokumentet og herudfra igangsætte sikkerhedsarbejde Fremlæggelse og godkendelse af sikkerhedsstatus for direktionen via årlig afrapportering. Evaluere årlig intern informationssikkerhedsaudit med tilhørende evaluering af ISMS et. Indgå i overvågning af eksterne og interne trusler (trusselbilledet). Evaluere håndtering og baggrund for eventuelle angreb og brud på IT-sikkerhed. Årlig revidering af informationssikkerhedsretningslinjer og -håndbog kan ske oftere. IT- og Digitaliseringschefen Ledelsen af Informationssikkerhedskoordinatoren. Formand for informationssikkerhedsudvalget. Informationssikkerhedskoordinator Arbejdet med sikkerhedsarbejdet bør jf. ISO følge et fast årshjul, som her er opdelt i 4 faser svarende til PDCA cirklen. Gennemgå og opdatere SoA-dokumentet i dialog med IT-sikkerhedsudvalget. Implementerer det aftalte sikkerhedsarbejde jf. SoA-dokumentet. Gennemfører løbende Awareness aktiviteter. Samle op på eventuelle sikkerhedshændelser og afrapportere til IT-sikkerhedsudvalget. Rådgive organisationen om informationssikkerhed ved projekter og aktiviteter. Arrangere møder i IT-sikkerhedsudvalget hver 3. måned. Sikrer gennemførelse af årlig intern audit. Assistere årlig test af beredskabsplaner Overvågning af eksterne og interne trusler (trusselbilledet). Løbende opgørelse af angreb og brud på IT-sikkerhed. Vedligeholde systemoversigten i samarbejde med system- og dataejere. Vedligeholde oversigten for kritiske forretningsprocesser i samarbejde med procesejerne. Kontinuerligt opsamle ekstern viden om status og udvikling mht. informationssikkerhed. Gennemføre årlig evaluering af ISMS et i samarbejde med sikkerhedsudvalget. Årlig revidering af informationssikkerhedspolitik, retningslinjer og -håndbog. 19

20 IT-driftsafdelingen (ved IT-driftschefen) Adgangsstyring. Drifts- og kommunikationssikkerhed IT-beredskabsstrategi. Test af beredskabsplaner (skrivebordstest 1 gang årligt). Styring og afrapportering af sikkerhedshændelser i IT-driften. Ejer af lokale Digital Forretningsstrategi Sikre strategisk retning, der overholder informationssikkerhedspolitikken og retningslinjerne. Alternativt skal de initiere forslag om en nødvendige justering. Ledelse på alle organisatoriske niveauer Overholdelse af sikkerhedsprocedure ved ansættelsen. Introduktion til medarbejderne af de generelle sikkerhedsregler (f.eks. via e-learning). Nedlukning af arbejdsforhold (herunder aflevering af IT-udstyr). Eskaleringspunkt ved sikkerhedshændelser observeret af medarbejderne. Funktionsadskillelse. Uafhængighed af nøglepersoner. Fysisk sikkerhed. Styring og afrapportering af sikkerhedshændelser til Informationssikkerhedskoordinatoren. Ejer af Kritisk forretningsproces Forretningsnødplan for forretningsprocessen. SLA niveau for Service- og IT-beredskabsplan. Afrapportering af sikkerhedshændelser. Styring og afrapportering af sikkerhedshændelser til Informationssikkerhedskoordinatoren. Systemejer Introduktion af sikkerhedsregler ved nye brugere. Scanning af system for imødegåelse af misbrug. Vedligeholde af system identifikation og klassifikation. Anskaffelse, udvikling og vedligeholdelse af IT-systemer. Styring og afrapportering af sikkerhedshændelser for egne systemer. Dataansvarlig Vedligeholde af systemdataklassifikation. Indgåelse og audit af databehandleraftaler. Styring og afrapportering af sikkerhedshændelser til Informationssikkerhedskoordinatoren. Juridisk afdeling Ejerskab af skabelon til databehandleraftaler. 20

21 Bilag 5: Begrebsafklaring I det følgende er foretaget en beskrivelse af de begreber, som anvendes i dokumentet. Sikkerhedshændelser Begrebet forstås bredt som alle de hændelser, der påvirker informationssikkerheden. Der er hermed tale om alle episoder hvor der, grundet et angreb, uhensigtsmæssig adfærd eller tekniske nedbrud, har været risiko for, eller faktisk er sket, et brud på Horsens Kommunes informationssikkerhed ift. de i SoA en opstillede kontroller. Der kunne f.eks. være tale om følgende typer konsekvenser: Kompromittering af personfølsomme data Tab af troværdighed og mistet tillid Angreb på tilgængelighed Tab af arbejdstid og produktivitet Fejl og utilsigtede handlinger Fortrolige data Fortrolighed, i omgangen med data, drejer sig om at sikre imod en spredning af oplysninger om fortrolige forhold. Det gælder i forhold til omverdenen, såvel som i forhold til medarbejderne i Horsens Kommune. Fortrolige data er f.eks. oplysninger om: Racemæssig eller etnisk baggrund Helbredsoplysninger Politiske, religiøse eller filosofiske overbevisning Seksuel orientering Strafbare forhold Væsentlige sociale problemer Kun autoriserede personer har ret til at tilgå informationerne, og informationerne skal kun være tilgængelige for autoriserede personer. Horsens Kommune opdeler oplysninger i kategorierne fortrolige, interne og uklassificerede. Dataintegritet Data kan være ukorrekte og dermed upålidelige. Det kan f.eks. ske ved ukorrekt indtastning, ved bevidst ændring ved tredje part eller tekniske fejl. Dataintegritet handler hermed om data er komplette, korrekte og opdaterede. Data tilgængelighed I tilgængelighedskriteriet ligger der, at det skal være muligt at tilgå systemer og data for autoriserede personer, når dette er nødvendigt. 21

22 Sikringsforanstaltninger De kontroller som indføres i form af administrative procedurer eller tekniske opsætninger for at undgå, at der indtræffer sikkerhedshændelser. Sikkerhedsforhold Med sikkerhedsforhold menes alle de forhold, som kan påvirke informationers sikkerhed i forhold til fortrolighed, pålidelighed og tilgængelighed. Gruppen af Informationssikkerheds Aktører (GIA) Gruppen af Informationssikkerheds Aktører (GIA) udgøres af en række forskellige aktører, der alle via deres givne rolle, har et særligt ansvar ift. informationssikkerhed. F.eks. IT- og Digitaliseringschefen IT-driftsafdelingen (ved IT-driftschefen) Ejer af lokale Digital Forretningsstrategi Ledelse på alle organisatoriske niveauer Ejer af Kritisk forretningsproces Systemejer Dataansvarlig 22

23 Bilag 6: Definition af kritiske forretningsprocesser Digitaliseringsstyrelsen har lavet en vejledning 3, der redegøre for hvordan man kan identificeres kritiske forretningsprocesser. Der redegøres her for, at der er forskellige metoder til denne identifiaktion. Grundlæggende handler det dog om, at forretningen selv vurderer hvor kritisk det vil være, hvis it-understøttelsen svigter i forhold til bestemte forretningsprocesser. I forbindelse med identifikation, kan man finde inspiration i nedenstående områder, der alle giver anledning til at anse en forretningsproces som kritisk. Forretningsprocesser, som: sikrer, at basale menneskerettigheder overholdes borgere og virksomheder er afhængige af for at kunne hævde eller opnå vitale retsstillinger er nødvendige for at opretholde infrastruktur f.eks. veje er nødvendige for at garantere borgernes sikkerhed politi- og redningsindsatser er nødvendige i forhold til sundhed og sygdomsbekæmpelse 3 ISO27001/Guide-til-id-af-kritiske-processer-til-forretningsnoedplan_ver1_juli2013x.pdf 23