REGLER OM INFORMATIONS- SIKKERHED

Transkript

1 REGLER OM INFORMATIONS- SIKKERHED vordingborg.dk

2 Vordingborg Kommune Valdemarsgade Vordingborg Regler om informationssikkerhed Udgivet af Vordingborg Kommune 2016 Udarbejdet af: IT- sikkerhedsgruppen: Helle Munk, Jesper Nielsen, Diana Ehlers, Leif Mørch og Birgitte Storberg

3 FORORD Reviderede regler om informationssikkerhed drøftet og godkendt på møde i MED-Hovedudvalget den 14. september Birgitte Storberg 3

4 INDHOLDSFORTEGNELSE 1. INFORMATIONSSIKKERHEDSBESTEMMELSER Retningslinjer for styring af informationssikkerhed Bestemmelser for informationssikkerhed Gennemgang af bestemmelser for informationssikkerhed ORGANISERING AF INFORMATIONSSIKKERHED Intern organisering Roller og ansvarsområder for informationssikkerhed Funktionsadskillelse Kontakt med myndigheder Kontakt med særlige interessegrupper Informationssikkerhed ved projektstyring Mobilt udstyr og fjernarbejdspladser Bestemmelser for mobilt udstyr Fjernarbejdspladser PERSONALESIKKERHED Før ansættelsen Screening Ansættelsesvilkår og -betingelser Under ansættelsen Ledelsesansvar Bevidsthed om, uddannelse og træning i informationssikkerhed Sanktioner Ansættelsesforholdets ophør eller ændring Ansættelsesforholdets ophør eller ændring STYRING AF AKTIVER Ansvar for aktiver Fortegnelse over aktiver Ejerskab af aktiver Accepteret brug af aktiver Tilbagelevering af aktiver Klassifikation af information Klassifikation af information Mærkning af information

5 4.2.3 Håndtering af aktiver Datamediehåndtering Styring af bærbare datamedier Bortskaffelse af datamedier Fysiske datamedier under transport ADGANGSSTYRING Forretningsmæssige krav til adgangsstyring Bestemmelser for adgangsstyring Adgang til netværk og netværkstjenester Administration af brugeradgang Brugerregistrering og -afmelding Tildeling af brugeradgang Styring af særlige adgangsrettigheder Styring af hemmelig autentifikationsinformation om brugere Gennemgang af brugeradgangsrettigheder Inddragelse eller justering af adgangsrettigheder Brugernes ansvar Brug af hemmelig autentifikationsinformation Styring af system- og applikationsadgang Begrænset adgang til informationer Procedurer for sikker login Systemers administration af adgangskoder Brug af priviligerede systemprogrammer KRYPTOGRAFI Kryptografiske kontroller Bestemmelser for anvendelse af kryptografi Administration af nøgler FYSISK SIKRING OG MILJØSIKRING Sikre områder Fysisk perimetersikring Fysisk adgangskontrol Sikring af kontorer, lokaler og faciliteter Beskyttelse mod eksterne og miljømæssige trusler Arbejde i sikre områder Områder til af- og pålæsning Udstyr

6 7.2.1 Placering og beskyttelse af udstyr Understøttende forsyninger (forsyningssikkerhed) Sikring af kabler Vedligeholdelse af udstyr Fjernelse af aktiver Sikring af udstyr og aktiver uden for organisationen Sikker bortskaffelse eller genbrug af udstyr Brugerudstyr uden opsyn Bestemmelser om ryddeligt skrivebord og blank skærm DRIFTSSIKKERHED Driftsprocedurer og ansvarsområder Dokumenterede driftsprocedurer Ændringsstyring Kapacitetsstyring Adskillelse af udviklings-, test- og driftsmiljøer Beskyttelse mod malware Kontroller mod malware Backup Backup af information Logning og overvågning Hændelseslogning Beskyttelse af logoplysninger Administrator- og operatørlog Tidssynkronisering Styring af driftssoftware Softwareinstallation på driftsystemer Sårbarhedsstyring Styring af tekniske sårbarheder Begrænsninger på softwareinstallation Overvejelser i forbindelse med den IT- relaterede revision af fagsystemer Kontroller i forbindelse med den IT- relaterede revision af fagsystemer KOMMUNIKATIONSSIKKERHED Styring af netværkssikkerhed Netværksstyring Sikring af netværkstjenester Opdeling af netværk

7 9.2 Informationsoverførsel Bestemmelser og procedurer for informationsoverførsel Aftaler om informationsoverførsel Elektroniske meddelelser ANSKAFFELSE, UDVIKLING OG VEDLIGEHOLDELSE AF SYSTEMER Sikkerhedskrav til fagsystemer Analyse og specifikation af informationssikkerhedskrav Sikring af applikationstjenester på offentlige netværk Beskyttelse af handelsapplikationer og -tjenester Sikkerhed i udviklings- og hjælpeprocesser Sikker udviklingspolitik Procedurer for styring af systemændringer Teknisk gennemgang af applikationer efter ændring af driftsplatforme Begrænsning af ændringer af softwarepakker Principper for udvikling af sikre systemer Sikkert udviklingsmiljø Outsourcet udvikling Systemsikkerhedstest Systemgodkendelsestest Testdata Sikring af testdata LEVERANDØRFORHOLD Informationssikkerhed i leverandørforhold Informationssikkerhedsbestemmelser for leverandørforhold Håndtering af sikkerhed i leverandøraftaler Forsyningskæde for informations- og kommunikationsteknologi Styring af leverandørydelser Overvågning og gennemgang af leverandørydelser Styring af ændringer af leverandørydelser STYRING AF INFORMATIONSSIKKERHEDSBRUD Styring af informationssikkerhedsbrud og forbedringer Ansvar og procedurer Rapportering af informationssikkerhedshændelser Rapportering af informationssikkerhedssvagheder Vurdering af og beslutning om informationssikkerhedshændelser Håndtering af informationssikkerhedsbrud

8 Erfaring fra informationssikkerhedsbrud Indsamling af beviser INFORMATIONSSIKKERHEDSASPEKTER VED NØD-, BEREDSKABS- OG REETABLERINGSSTYRING Informationssikkerhedskontinuitet Planlægning af informationssikkerhedskontinuitet Implementering af informationssikkerhedskontinuitet Verificer, gennemgå og evaluer informationssikkerhedskontinuiteten Redundans Tilgængelighed af informationsbehandlingsfaciliteter OVERENSSTEMMELSE Overensstemmelse med lov- og kontraktkrav Identifikation af gældende lovgivning og kontraktkrav Immaterielle rettigheder Beskyttelse af registreringer Privatlivets fred og beskyttelse af personoplysninger Regulering af kryptografi Gennemgang af informationssikkerhed Uafhængig gennemgang af informationssikkerhed Overensstemmelse med sikkerhedsbestemmelser og sikkerhedsstandarder Undersøgelse af teknisk overensstemmelse

9 1. INFORMATIONSSIKKERHEDS- BESTEMMELSER 1.1 RETNINGSLINJER FOR STYRING AF INFORMATIONSSIKKERHED Bestemmelser for informationssikkerhed Omfang af sikkerhedsbestemmelser Informationssikkerhedsbestemmelserne gælder for alle organisatoriske enheder underlagt Vordingborg Kommune og alle brugere af kommunens IT-systemer, samt for IT-aktiviteter, som under kommunens ansvar udføres for eller af andre f.eks. samarbejdspartnere, leverandører, aftaler reguleret ved betjeningsoverenskomst o.a. Publicering af sikkerhedsbestemmelser Informationssikkerhedsbestemmelserne skal offentliggøres og kommunikeres til alle relevante interessenter, herunder alle ansatte. Ressourceforbrug til sikringsforanstaltninger Ved implementering af sikringsforanstaltninger skal ressourceforbruget vurderes op mod den risiko, der forventes reduceret. IT-sikkerhedsgruppen forestår denne vurdering og inddrager systemejeren m.m. i vurderingen. Sikkerhedsstrategi Informationssikkerhedsbestemmelserne skal underbygge ledelsens øvrige overordnede strategier og mål. Definition på informationssikkerhed Informationssikkerhed defineres som alle sikringsforanstaltninger, der har til formål at beskytte Vordingborg Kommunes informationer, aktiver og data, samt at overholde Lov om behandling af personoplysninger (Persondataloven) Gennemgang af bestemmelser for informationssikkerhed Revision af sikkerhedsbestemmelser Der skal ske revision af sikkerhedsbestemmelserne mindst en gang om året. Revisionen foretages af IT-sikkerhedsgruppen. Resultatet af revisionen forelægges kommunaldirektøren, som beslutter, om revisionen giver anledning til forelæggelse for MED-Hovedudvalg og kommunalbestyrelsen. Vedligeholdelse af sikkerhedsbestemmelser Kommunalbestyrelsen har ansvaret for vedligeholdelsen af de overordnede bestemmelser for informationssikkerhed, mens kommunaldirektøren, ved delegation til sekretariatschefen i Ledelsessekretariatet, har ansvaret for vedligeholdelsen af de underliggende regler og procedurer. Dispensation fra krav i sikkerhedsbestemmelserne 9

10 Eksisterende systemer, der ikke overholder kravene i sikkerhedsbestemmelserne, skal opdateres, omkonfigureres eller udfases. Der kan gives dispensation fra krav i sikkerhedsbestemmelserne. Alle dispensationer fra krav i sikkerhedsbestemmelserne skal godkendes af kommunaldirektøren. Vordingborg Kommune har udarbejdet en særlig procedure for dispensationer i forhold til informationssikkerhedsbestemmelserne. Ved ønske om dispensation rettes henvendelse til informationssikkerhedschefen, som er sekretariatschefen i Ledelsessekretariatet. Godkendelse af sikkerhedsbestemmelser De overordnede bestemmelser for informationssikkerhed skal godkendes af kommunalbestyrelsen. Reglerne om informationssikkerhed skal godkendes af direktionen og MED-Hovedudvalget og forelægges til orientering for kommunalbestyrelsen. Opfølgning på implementering af sikkerhedsbestemmelser Kommunaldirektøren, ved delegation til sekretariatschefen i Ledelsessekretariatet, har ansvaret for, at der mindst en gang årligt ved intern/ekstern revision udføres opfølgning på overholdelse af sikkerhedsbestemmelserne. Integritet af personoplysninger, jf. persondataloven I Vordingborg Kommune bliver der i den enkelte afdeling foretaget fornøden kontrol til sikring af, at der ikke registreres urigtige eller vildledende oplysninger. Oplysninger, der viser sig urigtige eller vildledende, skal snarest mulig slettes/blokeres eller berigtiges. Opbevaring og behandling af data Vordingborg Kommunes data skal altid opbevares og behandles således, at dataintegriteten ikke kan drages i tvivl. Kommunens egne ansatte Alle ansatte med adgang til Vordingborg Kommunes IT-systemer er omfattet af informationssikkerhedsbestemmelserne. Ansatte i 60 selskaber o.l. Ansatte med adgang til Vordingborg Kommunes IT-systemer/data i kraft af deres ansættelse i 60 selskaber og fællesskaber, som har betjeningsoverenskomst eller tilsvarende aftaler med Vordingborg Kommune, er omfattet af informationssikkerhedsbestemmelserne. Det samme gælder selvejende institutioner med driftsoverenskomst og/eller aftale med kommunen om at benytte kommunens IT-systemer. Eksterne konsulenter Eksterne konsulenter og teknikere m.v., som igennem deres opgaver for Vordingborg Kommune får adgang til systemer og data, er omfattet af informationssikkerhedsbestemmelserne. Kommunens politikere Politikere eller andre, der igennem deres tillidshverv i forhold til Vordingborg Kommune får adgang til kommunens systemer og data, er omfattet af informationssikkerhedsbestemmelserne. 10

11 Øvrige brugere af IT-systemer Andre, ikke ansatte personer (f.eks. praktikanter og lignende i kommunens administration mv. og elever på Vordingborg Kommunes skoler), som benytter IT-systemerne, er også omfattet af informationssikkerhedsbestemmelserne, med mindre der udarbejdes særskilte sikkerhedsbestemmelser på området. 2. ORGANISERING AF INFORMATIONS- SIKKERHED 2.1 INTERN ORGANISERING Roller og ansvarsområder for informationssikkerhed Sikkerhedsansvar for IT-funktioner De sikkerhedsansvarlige systemejere skal identificeres og gøres opmærksom på dette ansvar. Disse ejere skal have ansvar og beføjelser til at sikre tilstrækkelig beskyttelse. Systemejeren skal udpege en ansvarlig for alle kritiske IT-funktioner, der kræver specialviden, færdighed eller erfaring. Sikkerhedsansvar for fagsystemer IT-chefen har ansvar for vedligeholdelse af en liste over samtlige fagsystemer. Listen angiver systemejer for hvert enkelt system. Administration af internetdomænenavne Ansvaret for registrering af domænenavne ligger hos IT-chefen. Ansvar for sikkerheden på IT-platforme IT-chefen har ansvaret for administrationen af sikkerheden på IT-platformen i Vordingborg Kommune. Dataansvarlig i forhold til Persondataloven Kommunalbestyrelsen er overordnet dataansvarlig i forhold til persondatalovens bestemmelser. Dette dataansvar påhviler i det daglige lederne af de enkelte organisatoriske enheder. Sikkerhedsorganisation Der skal være udpeget en sikkerhedsorganisation, hvis primære arbejdsopgave er at sikre kommunen informationssikkerhedsmæssigt. Kommunaldirektøren har ansvaret for, at der etableres en sikkerhedsorganisation, hvis struktur fremgår af særskilt organisationsdiagram. Koordination af informationssikkerheden Ansvaret for koordination af informationssikkerheden på tværs i organisationen varetages af kommunaldirektøren, ved delegation til sekretariatschefen i Ledelsessekretariatet. 11

12 Forsikring mod hændelser Det skal vurderes, om tegning af forsikring og videoovervågning kan medvirke til minimering af risiko for tab. Især på områder, hvor sikringsforanstaltninger er vurderet som uhensigtsmæssige eller utilstrækkelige, anbefales det at overveje dette. Sikkerhed i alle arbejdsgange Sikkerhed skal være indarbejdet som en del af alle Vordingborg Kommunes arbejdsgange. Alle ledere har ansvaret for, at de ansatte på deres ansvarsområde kender kommunens overordnede bestemmelser - og regler for informationssikkerhed, samt de underliggende retningslinjer og procedurer, der er relevante for udførelsen af de ansattes daglige arbejde. Lokaladministrator - LRA IT-chefen er udpeget som lokaladministrator for medarbejdercertifikater, også benævnt LRA. LRA skal udarbejde retningslinjer og procedurer for tildeling, spærring, genbestilling og fornyelse af medarbejdercertifikater. Øverste ansvarlige for de digitale fagsystemer Kommunaldirektøren er den øverste ansvarlige for de digitale fagsystemer. Opgaver forbundet med drift og administration heraf er uddelegeret til de enkelte systemejere Funktionsadskillelse Sikring af kritiske systemer Kritiske systemer, fastsat i IT-Beredskabsplan, skal beskyttes ved hjælp af funktionsadskillelse, således at risikoen for misbrug af særlige rettigheder minimeres. I øvrigt skal det altid tilses, at Vordingborg Kommunes principper for økonomistyring overholdes. Adgangen til at udføre handlinger på Vordingborg Kommunes IT-systemer beskyttes af autorisationssystemer. Systemerne har til formål at sikre mod uautoriserede ændringer, ordrer, fejl og svindel. Brugerne er medvirkende til beskyttelse af informationsaktiverne gennem korrekt brug af autorisationssystemerne. Adgang til personfølsom og personhenførbar data Data, som er omfattet af Lov om behandling af personoplysninger, må kun tilgås af personale med forudgående autorisation til dette Kontakt med myndigheder Kontakt med relevante myndigheder Ved brud på sikkerheden skal der være etableret en procedure for håndtering af bevismateriale og eventuelt kontakt med relevante myndigheder. Ledelsessekretariatet sikrer opdatering af denne procedure. Anmeldelse af brud på persondatasikkerheden Offentlige myndigheder skal praktisere digital forvaltning. Der skal i den forbindelse være regler for denne anvendelse, herunder også for hvordan den relevante tilsynsmyndighed informeres ved sikkerhedsbrud. 12

13 2.1.4 Kontakt med særlige interessegrupper Information om nye trusler, virus og sårbarheder Afdeling for IT skal holde sig orienteret inden for de benyttede platforme. Opdateringer skal installeres ved en vurderet sikkerhedsrisiko. Overordnet risikovurdering Der skal være udført en overordnet risikovurdering, der indeholder konsekvensvurdering og sårbarhedsvurdering for kommunens aktuelle trusselsbillede. Risikovurderingen skal opdateres mindst en gang om året. Det påhviler kommunaldirektøren i samarbejde med IT-chefen at påse, at der er udført en overordnet risikovurdering af trusselsbilledet for Vordingborg Kommune. Risikoanalyse Der skal udarbejdes en detaljeret risikoanalyse for alle kritiske systemer, hvor ITsikkerhedsgruppen i samarbejde med systemejerne vurderer sandsynlighed og mulige konsekvenser ved nedbrud og lignende. Afdeling for IT ajourfører løbende en liste over kritiske systemer i IT-Beredskabsplanen. Information til eksterne partnere Det skal sikres, at tredjepart gøres opmærksom på det forventede sikkerhedsniveau og modtager et eksemplar af de samlede informationssikkerhedsregler. Fortrolighedserklæring for tredjepart Det skal sikres, at tredjepart, der kan få adgang til kommunens netværk og data, er omfattet af og underskriver en fortrolighedserklæring. Vordingborg Kommune skal sikre sig, at en fortrolighedserklæring er indarbejdet i aftaler med tredjepart, som yder IT-ydelser til Vordingborg Kommune. Afdeling for IT er ansvarlig for administrationen af dette. Sikkerhed ved samarbejde med partnere Ved integration med Vordingborg Kommunes systemer og processer med tredjepart skal Afdeling for IT vurdere sikkerhedsrisici Informationssikkerhed ved projektstyring Projektmodellen skal indeholde følgende vedrørende informationssikkerhed: Nærværende informationssikkerhedsbestemmelser skal være en integreret del af projekter i kommunen. 2.2 MOBILT UDSTYR OG FJERNARBEJDSPLADSER Bestemmelser for mobilt udstyr Adgang til bærbare computere Bærbare computere skal beskyttes med kodeord, inden brugeren får adgang til pc'en. 13

14 Tyverimærkning af IT-udstyr IT-udstyr, som Pc'er, tablets og skærme m.m., skal mærkes permanent for at hindre tyveri, samt for at hjælpe til at finde det stjålne igen. Udstyret skal markeres synligt med en ikke fjernbar mærkering. Opbevaring af bærbare computere på arbejdspladsen Bærbare computere skal fjernes eller låses inde efter arbejdstidens ophør, så de ikke er synlige for andre. Forsikringsdækning for mobile enheder Økonomiafdelingen skal sikre, at der er etableret passende forsikringsdækning i forbindelse med opbevaring og anvendelse af IT-udstyr uden for kommunens egne lokaliteter. Sikkerhed i forbindelse med mobile enheder Brugere af kommunens bærbare pc'er og andre mobile dataenheder er ansvarlige for at benytte de sikkerhedsredskaber, som Afdeling for IT stiller til rådighed, til sikring af data på mobile enheder. Brugere er desuden ansvarlige for sikker opbevaring af mobile enheder. På mobile enheder med en primær ejer er den primære ejer ansvarlig for data. Herunder for eventuel sletning af data. Installation af software på mobile enheder Brugere af mobile enheder må kun installere apps fra godkendte appstores på deres mobile enheder. Hvis brugeren er i tvivl om, hvilke appstores, der må anvendes, skal brugeren kontakte Afdeling for IT. Tyveri eller bortkomst af mobilt udstyr Afdeling for IT skal kontaktes straks i tilfælde af tyveri/bortkomst af enheden. Afdeling for IT skal sikre, at informationer på bortkommet mobilt udstyr slettes (wipes). Adgang til mobile enheder Adgang til data på mobile enheder skal være passwordbeskyttet. Systemer, der anvendes til at behandle fortrolige, hemmelige eller klassificerede oplysninger, skal anvende automatisk kryptering. Mobile enheder skal altid låses inde, når disse ikke er i brug Fjernarbejdspladser Adgang fra distancearbejdspladser Adgang gives kun til brugere, der er autentificerede med brugernavn og adgangskode, samt enten med en personlig digital nøgle, SMS kode eller tilsvarende sikkerhedsløsning. 3. PERSONALESIKKERHED 14

15 3.1 FØR ANSÆTTELSEN Screening Baggrundscheck af ansatte skal omfatte: Den ansættelsesansvarlige skal tilse, at der foretages et forsvarligt baggrundscheck, herunder eventuelt straffeattest m.v., af alle ansatte i det omfang, det anses for nødvendigt af hensyn til de arbejdsopgaver, som den enkelte ansatte skal udføre. Personer, som ikke har et ansættelsesforhold, er også omfattet af kravet om screening. Verifikation af referencer Referencer og eksamensbeviser for betroede medarbejdere skal verificeres. Fortrolighedserklæring Alle eksterne konsulenter skal underskrive en fortrolighedserklæring forud for konsulentforholdets start. Fortrolighedserklæringen skal være indarbejdet i den aftale, der er indgået med Vordingborg Kommune om konsulentforholdet. Personer, der ikke er ansatte f.eks. praktikanter - eller er omfattet af ovenstående vedrørende konsulentforhold, skal ligeledes underskrive en fortrolighedserklæring, før der gives dem adgang til kommunens data Ansættelsesvilkår og -betingelser Aftale om ansættelse Faste og midlertidige ansatte skal underskrive en aftale om ansættelse, der beskriver kommunens og den ansattes ansvar og forpligtelser vedrørende informationssikkerhed. 3.2 UNDER ANSÆTTELSEN Ledelsesansvar Det er ledelsens ansvar, at alle ansatte: - Er tilstrækkeligt informeret om deres roller og ansvar i forbindelse med sikkerhed, før de tildeles adgang til kommunens systemer og data - Er gjort bekendt med nødvendige retningslinjer, således at de kan leve op til kommunens informationssikkerhedsbestemmelser - Opnår et opmærksomhedsniveau i spørgsmål vedrørende informationssikkerhed, der er i overensstemmelse med deres roller og ansvar i Vordingborg Kommune Bevidsthed om, uddannelse og træning i informationssikkerhed Sikkerhedsuddannelse for IT-medarbejdere Alle IT-medarbejdere skal uddannes i sikkerhedsaspekterne i deres job, f. eks. for at mindske risiko for hændelser i forbindelse med deres særlige adgang til kommunens systemer. Uddannelse i sikkerhedsbestemmelser Alle ansatte skal kende organisationens informationssikkerhedsbestemmelser. 15

16 Den ansvarlige leder i den enkelte afdeling skal sikre, at alle ansatte i afdelingen er bekendt med og overholder Vordingborg Kommunes informationssikkerhedsbestemmelser. Relevant uddannelse af ansatte i digital forvaltning Alle nyansatte i Vordingborg Kommune bliver grundigt uddannet i anvendelse af digital forvaltning, herunder anvendelse af sikker . Nuværende ansatte bliver løbende uddannet og efteruddannet i anvendelse af de digitale fagsystemer. Det er den enkelte ansattes nærmeste leder, som er ansvarlig for, at ovennævnte uddannelse og efteruddannelse finder sted Sanktioner Overtrædelse af sikkerhedsbestemmelserne Det er ikke tilladt at forsøge at omgå sikkerhedsmekanismer. Det er ikke tilladt at foretage uautoriseret afprøvning af sikkerheden. Overtrædelser, som f.eks. kan give anledning til virusangreb, vil kunne medføre midlertidig spærring af brugeradgangen for ramte brugere. Brugere kan fratages adgangsrettigheder ved grovere overtrædelser. Ansatte skal være opmærksomme på, at (bevidste) brud på IT-sikkerheden kan få ansættelsesretlige konsekvenser. 3.3 ANSÆTTELSESFORHOLDETS OPHØR ELLER ÆNDRING Ansættelsesforholdets ophør eller ændring Fortrolighedserklæring ved fratrædelse Ved fratrædelse skal den ansattes nærmeste leder gøre opmærksom på gældende fortrolighedsaftaler. Informationer på privat udstyr ved ansættelsens ophør Den ansatte skal slette kommunens informationer fra privat udstyr ved ansættelsens ophør. 4. STYRING AF AKTIVER 4.1 ANSVAR FOR AKTIVER Fortegnelse over aktiver Registrering af IT-udstyr Alt IT-udstyr skal være registreret med ejer, serienummer og placering. Det er afdelingens leder, der er ansvarlig for, at denne registrering sker i den enkelte afdeling. Informationsaktiver skal beskyttes, uanset om det er fysiske aktiver som dokumenter, der er udskrevet, produktionsudstyr eller IT-systemer. Det er derfor nødvendigt at identificere, klassificere og placere ejerskab for alle aktiver Ejerskab af aktiver 16

17 Ansvar for IT-udstyr Den enkelte afdelings leder er ansvarlig for alt IT-udstyr i afdelingen. Ejerskab Alle informationsaktiver skal have udpeget en ejer. Anskaffelser Systemejerne skal i samarbejde med IT-chefen sikre, at kun kendt og sikkerhedsgodkendt udstyr og software med et defineret formål må anskaffes og tages i brug i Vordingborg Kommune. Afdeling for IT fastsætter og vedligeholder en procedure for anskaffelser af IT-udstyr og programmer. Anskaffelsesprocedurer Det skal sikres, at nyanskaffelser ikke giver anledning til konflikt med eksisterende krav i sikkerhedsbestemmelserne. Vordingborg Kommune, Afdeling for IT har udarbejdet særlige retningslinjer for IT-anskaffelser. Afdeling for IT skal altid kontaktes i forbindelse med anskaffelser. Indkøb, udvikling og implementering af nye systemer i organisationen skal foregå kontrolleret for at fastholde informationssikkerhedsniveauet. Når løsninger implementeres, bør sikkerhedsovervejelser altid indgå som en integreret del af processen. Ansvar og ejerskab for privat udstyr Den ansatte forpligter sig til at overholde de samme regler, som gælder for øvrig brug af kommunens udstyr. Vordingborg Kommune er ikke erstatningspligtig for tyveri, bortkomst, skade eller tab af personlige informationer for privat udstyr Accepteret brug af aktiver Brug af privat udstyr Kommunens data må kun tilgås på kommunens aktiver eller via opkobling til VDI via logon.vordingborg.dk. Det er således tilladt at benytte privat udstyr ved brug af godkendt opkobling til kommunen. Misbrugsbeskyttelse af IT-udstyr Anvendelse af IT-udstyr til uautoriserede formål uden tilladelse betragtes som værende uretmæssig og skal påtales overfor vedkommende bruger - og bringes til ophør. Anvendelse af cloudløsninger Der skal gennemføres en risikovurdering, hvor de IT-sikkerhedsmæssige trusler, som er forbundet med cloudløsningen, vurderes, inden aftale indgås. Afdeling for IT foretager denne vurdering forud for køb af cloudløsninger. Brug af mobile enheder Mobile enheder må kun benyttes inden for landets grænser. Den enkelte afdelings leder kan dog give tilladelse til, at mobile enheder anvendes i udlandet. Mobile enheder skal medbringes som håndbagage under rejser. 17

18 Anvendelse af sociale netværk på kommunens netværk Sociale netværk må anvendes fra Vordingborg Kommunes netværk, medmindre de er specifikt forbudte. Omfang af brug af sociale netværk på kommunens netværk Brug af sociale netværk må ikke genere almindelig drift og brug af Vordingborg Kommunes netværk. Den enkelte ansatte har selv et arbejdsmæssigt ansvar for at kontrollere sit tidsforbrug på sociale netværk i respekt for den enkelte leders arbejdstilrettelæggelse. Overvågning af sociale netværk på kommunens netværk Vordingborg Kommunes sikkerhedskopier kan indeholde data om den enkeltes brug af IT generelt, herunder også brug af sociale netværk. Browsere på kommunens pc'ere gemmer blandt andet information om brug af sociale netværk, og brugere må forvente, at Vordingborg Kommune kan få adgang til denne information. Vordingborg Kommune indholdsfiltrerer browser-kommunikation, herunder informationer der deles i sociale netværk på kommunens netværk i arbejdstiden. Som led i den almindelige netværksovervågning bliver netværkstrafik til sociale netværk også overvåget på kommunens netværk. Sociale netværk i forbindelse med jobbet Brugeren må gerne "connecte" eller "være ven" med samarbejdspartnere, borgere og virksomheder på sociale netværk, forudsat at sikkerhedsbestemmelserne i øvrigt overholdes. Brugere af sociale netværk skal være specielt opmærksomme på, at: - De sociale netværk, som bruges, kan registrere og gemme oplysninger om brugeren, og om hvilke informationer, den enkelte søger og bruger - Informationer, som er lagt ud på et socialt netværk, kun meget vanskeligt, måske aldrig, kan trækkes tilbage - Brugeren med stor sandsynlighed vil opleve, at nogen forsøger at franarre denne bruger-id'er og/eller adgangskoder (phishing) - Download af filer, som brugeren modtager via et socialt netværk, er underlagt de samme regler som øvrige downloads. Det vil sige, at de skal være arbejdsrelaterede, hvis de downloades, eller der skal være tale om filer fra almindeligt accepterede udbydere - Betalingskort-oplysninger aldrig må deles på sociale netværk - Persondata aldrig må deles på sociale netværk. Brug af cloudløsninger Det er ikke tilladt at dele eller lagre Vordingborg Kommunes personfølsomme eller personhenførbare informationer i 'skyen' uden en godkendelse fra IT-chefen. Det vil sige, at løsninger som f.eks. Dropbox, Google, Microsoft Onedrive m.fl. ikke må bruges uden godkendelse. Vordingborg Kommunes informationer på sociale netværk Bortset fra offentlige eller uklassificerede informationer, må kommunens informationer aldrig deles på et socialt netværk. 18

19 4.1.4 Tilbagelevering af aktiver Returnering af aktiver ved aftrædelse Ansatte skal returnere samtlige informationsaktiver f.eks. IT- udstyr -, der tilhører Vordingborg Kommune, på sin sidste arbejdsdag. 4.2 KLASSIFIKATION AF INFORMATION Klassifikation af information Informationer og data skal klassificeres som følger: Informationer og data skal identificeres og klassificeres efter følgende sikkerhedsniveauer: - Følsomme oplysninger om personers rent private forhold, jf. Lov om behandling af personoplysninger - Andre typer af oplysninger om personers rent private forhold, jf. Lov om behandling af personoplysninger - Typer af oplysninger, der ikke vedrører rent private forhold, jf. Lov om behandling af personoplysninger - Fortrolige oplysninger, som ikke er omfattet af Lov om behandling af personoplysninger - Andre oplysninger, som ikke er omfattet af Lov om behandling af personoplysninger. Uddannelse i klassificering af informationer Alle ansatte skal modtage instruktioner om, hvordan data og dokumenter klassificeres. De ansatte skal instrueres i klassifikation af information i forhold til deres relevante jobfunktioner. Kontrol med klassificerede informationer Kommunaldirektøren, ved delegation til sekretariatschef i Ledelsessekretariatet, er ansvarlig for at definere et fast sæt af egnede og relevante sikkerhedskontroller til beskyttelse af de enkelte informationskategorier. Hvis der er tale om organisationskritiske informationer, skal der udarbejdes yderligere detaljerede kontroller ud fra en risikovurdering Mærkning af information Klassifikationsmærkning s skal klassificeres, således at s med personfølsomme/personhenførbare oplysninger lagres i godkendt journalsystem og slettes fra postkassen senest inden 30 dage. Forretningsgangen for beskyttelse af datamediers, f. eks. harddiske, CD/DVD, bånd og USBmediers, indhold skal omfatte regler om: - Adgangsbegrænsning - Beskyttelse af midlertidigt lagrede data - Minimering af distribution Håndtering af aktiver 19

20 Fortrolige data på mobile enheder Der må ikke opbevares fortrolige eller personfølsomme data på mobile enheder i ukrypteret stand. Udskrivning Printere, som benyttes til udskrivning af fortrolige eller personhenførbare informationer, skal placeres i lokaler, der ikke er offentligt tilgængelige. Alternativt skal der benyttes sikker udskrift med egen sikkerhedskode ved den enkelte ansattes udskrivning. 4.3 DATAMEDIEHÅNDTERING Styring af bærbare datamedier Brug af bærbare datamedier til fortrolige data Bærbare datamedier, f.eks. USB-medier og CD/DVD, må ikke benyttes til transport af fortrolige data i ukrypteret form. Opbevaring og registrering af datamedier Lederen af den enkelte organisatoriske enhed skal registrere alle enhedens datamedier, som ikke fysisk befinder sig i allerede registreret pc-udstyr, hvis disse indeholder personfølsomme eller personhenførbare data Bortskaffelse af datamedier Afskaffelse og genbrug af datamedier Alle datamedier, f. eks. harddiske, CD/DVD, bånd og USB-medier, skal slettes eller destrueres inden bortskaffelse. Afdeling for IT fastsætter retningslinjer for en metode til sletning af alle datamedier efter brug Fysiske datamedier under transport Brug af datamedier Udstyr eller datamedier, f.eks. harddiske, USB-enheder eller CD/DVD, der indeholder fortrolig information, må kun forsendes med sikker kurer eller via en præcis sporbar leveringsmetode. Systemejer skal godkende enhver flytning (intern såvel som ekstern) af datamedier, som indeholder fortrolige oplysninger. Benyttelse af bærbare datamedier skal være forretningsmæssigt begrundet. 5. ADGANGSSTYRING 5.1 FORRETNINGSMÆSSIGE KRAV TIL ADGANGSSTYRING Bestemmelser for adgangsstyring Registrering af brugere Brugere skal modtage en skriftlig bekræftelse af de tildelte rettigheder. Lederen af den enkelte organisatoriske enhed skal autorisere brugeradgang. 20

21 Systemejer skal vedligeholde brugerfortegnelser for systemet. Afdeling for IT skal vedligeholde fortegnelser over, hvordan bruger-id eller rettigheder fjernes eller ændres ved ophør eller ændring af brugeres jobfunktion. Der skal ske en verifikation af, at rettighedsniveauet er i overensstemmelse med kommunens generelle sikkerhedsretningslinjer. Procedurer for autorisation af brugeradgang skal omfatte et formelt godkendt workflow, i hvilken de nødvendige særlige rettigheder specificeres. Systemejere skal godkende systemadministratorers adgangsrettigheder. Identifikation og autentifikation af brugere Der skal benyttes en passende autentifikationsteknik til verifikation af brugernes identitet. Alle brugere skal have en unik identitet til personlig brug. Brugeridentiteten skal kunne spores til den person, som er ansvarlig for en given aktivitet. Brugen af en fælles brugeridentitet skal minimeres i kommunen. Eventuelle undtagelser fra denne regel skal godkendes af lederen af den enkelte organisatoriske enhed og Afdeling for IT. Begrænset adgang til informationer Brugere og ansatte med supportfunktioner må kun få adgang til systemfunktioner og informationer, hvis dette er arbejdsmæssigt begrundet. Forbindelse til fremmede trådløse netværk Brugere må forbinde deres mobile udstyr til fremmede trådløse netværk. Inddragelse af rettigheder ved fratrædelse Der skal forefindes en opdateret procedure for inddragelse af rettigheder i forbindelse med fratræden eller afskedigelse af personale. Afdeling for IT er ansvarlig for udarbejdelse af procedure. Det er den fratrådte/afskedigede ansattes nærmeste leder, som har ansvaret for, at den ansattes rettigheder inddrages. Lederen skal anvende det formelle workflow til inddragelse af rettigheder Adgang til netværk og netværkstjenester Autentificering ved adgang til netværket Adgangen til det interne netværk fra andre lokationer end Vordingborg Kommune skal benytte en af Afdeling for IT godkendt sikker opkoblingsform, samt sikre kodeord med samme krav til indhold som administrative brugere. Overvågning af netværk Afdeling for IT skal have den nødvendige viden og redskaber til overvågning af organisationens netværk, f. eks. til fejlretning, samt opdagelse og sporing af sikkerhedshændelser. Afdeling for IT skal løbende overvåge netværk med henblik på opdagelse af brud på sikkerheden. Overvågning af internetbrug Vordingborg Kommune logger al internettrafik til systemmæssige formål - og ikke til kontrol af medarbejderne. Logfiler skal gemmes i 26 uger. 21

22 Overvågning af internetforbindelser Afdeling for IT skal løbende overvåge internetforbindelser med henblik på at opdage elektroniske angreb. Logfiler skal gennemgås regelmæssigt og opbevares. Accepteret brug af informationsaktiver IT-sikkerhedsgruppen skal placere ansvaret for hvem i organisationen, der skal lave retningslinjer for accepteret brug af alle kommunens informationsaktiver. IT-sikkerhedsgruppen skal tilse, at der findes retningslinjer for accepteret brug af alle kommunens informationsaktiver. Retningslinjer for brug af netværkstjenester Afdeling for IT er ansvarlig for test og godkendelse af samtlige tilgængelige netværk og tjenester. Brugere skal kun have adgang til de tjenester, de er autoriseret til at benytte. Adgang til trådløse netværk Brugere skal autentificeres, før der gives adgang til Vordingborgs Kommunes trådløse netværk, f. eks. ved hjælp af IEEE 802.1x. Styring af netværksadgang Afdeling for IT skal ved styring af brugernes netværksadgang sikre imod uautoriseret anvendelse af fælles netværk og hertil knyttede tjenester. 5.2 ADMINISTRATION AF BRUGERADGANG Brugerregistrering og -afmelding Brugeradministration, cloudløsning Vordingborg Kommune skal sikre, at der er sporbarhed, således at det er muligt at logge brugeres adgang til kommunens informationer. Der skal desuden altid sikres integration til kommunens single-signon løsning Tildeling af brugeradgang Systemnøgler/adgangskort Systemnøgler/adgangskort er personlige, skal opbevares forsvarligt, og må ikke overlades til andre. Processerne for tildeling af adgangsrettigheder skal indeholde: - Procedurer for, hvordan brugere eller brugerrettigheder fjernes eller ændres ved ophør af eller ændringer i brugeres jobfunktioner - Kontrol af, om de ønskede adgangsrettigheder på nogen måde er i strid med kravet om funktionsadskillelse - Kontrol af, om adgangsrettigheder er i overensstemmelse med klassificeringen af kommunens oplysninger 22

23 - Kontroller, der sikrer, at der ikke sker brud på relevant lovgivning og kontrakter ved disse adgangsrettigheder. Tildeling af brugerrettigheder Brugerens nærmeste leder bestemmer og har ansvaret for korrekt indberetning til brug for oprettelse og nedlæggelse af brugerrettigheder i Vordingborg Kommunes enheder. Oprettelse af brugere skal foregå, jf. regler for oprettelse, sletning og ændring af brugerrettigheder til kommunens administrative IT-systemer. Der bruges differentieret adgangssikkerhed for brugere. Herved skal sikres, at brugeren kun har adgang til de data, som er nødvendige i forhold til den enkelte brugers arbejdsopgaver. Brugerens nærmeste leder bestemmer den enkeltes adgangsrettigheder via det autoriserede workflow for tildeling af rettigheder Styring af særlige adgangsrettigheder Ved særlige adgangsrettigheder forstås systemkonti, der giver administrator rettigheder til kommunens centrale systemer. Skift af administrative kodeord for systemkonti ved fratrædelse Hvis en person med kendskab til administrative kodeord for systemkonti fratræder, skal disse kodeord til disse konti ændres med det samme. Gennemgang af brugerprofiler Lederne af de organisatoriske enheder har ansvaret for, at alle brugerprofiler inden for eget område gennemgås mindst en gang årligt for at identificere inaktive profiler eller tilsvarende, der skal fjernes eller ændres. Opbevaring af kodeord til de enkelte løsningers overordnede administrative adgange Kodeord til administrativ adgang skal opbevares i forseglet kuvert i aflåst og brandsikkert skab. Ændring af administrative kodeord Administrative kodeord skal ændres, hvis udenforstående får kendskab til disse, eller hvis administratorer forlader organisationen. Administratorbeskyttelse Der skal benyttes kodeord på de enkelte systemers administratorkonti. Udvidede adgangsrettigheder Der skal benyttes særlige brugeridentiteter til de udvidede rettigheder af hensyn til overvågning og opfølgning. De udvidede adgangsrettigheder skal registreres. De udvidede adgangsrettigheder må ikke sættes i kraft, før den fornødne autorisation er indhentet. De udvidede adgangsrettigheder må kun tildeles i begrænset omfang og alene ud fra et arbejdsbetinget behov. Administration af særlige rettigheder 23

24 Administratorkonti må ikke benyttes til ikke-administrative opgaver. Konti med administrative rettigheder skal tildeles til særskilte og personlige bruger-id Styring af hemmelig autentifikationsinformation om brugere Identifikation af brugerprofiler for eksterne brugere Eksterne brugere, f.eks. konsulenter, vikarbureau ansatte og revision, med adgang til Vordingborg Kommunes netværk skal kunne identificeres via brugerens stamdata for at adskille disse fra de fastansatte i kommunen. Overdragelse af kodeord Brugere må som udgangspunkt ikke overdrage deres kodeord. Brugeren kan imidlertid i ganske særlige tilfælde efter dispensation meddelt af kommunaldirektøren overdrage sit kodeord. Lagring af adgangskoder Adgangskoder må aldrig lagres elektronisk i klartekst Gennemgang af brugeradgangsrettigheder Gennemgang af administrativ adgang Brugere med administrativ adgang skal gennemgås hver 6. måned (Det samme gælder almindelige brugere med adgang til personfølsomme og personhenførbare data, jf. persondatalovens regler). IT-sikkerhedsgruppen skal sikre, at gennemgangen foretages Inddragelse eller justering af adgangsrettigheder Brugerprofiler for konsulenter, vikarbureau ansatte og revision Personer, som har konsulentaftale m.m. med Vordingborg Kommune, må oprettes som brugere på det administrative netværk. Tilladelsen til oprettelse som bruger skal gives af IT-chefen. Ansattes omplacering Ved omplacering af en ansat har dennes nærmeste ledere ansvaret for, at alle rettigheder for pågældende bruger revurderes. Fratrædelse Ved fratrædelse skal alle brugerprofiler og systemrettigheder for brugeren øjeblikkeligt deaktiveres af Afdeling for IT, efter en forudgående henvisning fra brugerens nærmeste leder. 5.3 BRUGERNES ANSVAR Brug af hemmelig autentifikationsinformation Brug af autologin funktioner Automatisk login, eller systemer hvor kodeord gemmes i genveje eller på funktionstaster, må ikke benyttes, hvis systemet indeholder fortrolige og personfølsomme oplysninger. 24

25 På eksterne websites må browserens indbyggede funktion kun anvendes, såfremt denne funktion er beskyttet af kodeord. Kodeord er strengt personlige Kodeord er strengt personlige og må ikke deles med eller udleveres til andre. Krav til længde af kodeord Kodeord skal være mindst 8 tegn langt. Krav til indhold af kodeord Password skal indeholde en kombination af tal, store og små bogstaver. Der må ikke benyttes eget brugernavn eller eget navn som en del af kodeord. Krav til skift af kodeord Kodeord skal skiftes mindst en gang hvert kvartal. Dette gælder også for personlige konti med adgange, hvortil der er knyttet særlige rettigheder. Spærring for adgang Adgangen til systemer skal spærres ved gentagende afviste loginforsøg inden for en nærmere bestemt tidsperiode. Valg af sikre kodeord Det er brugerens ansvar at vælge tilstrækkeligt sikre kodeord i adgangskontrolsystemerne. Det er brugerens ansvar at sikre, at andre personer ikke får kendskab til brugerens personlige adgangskoder. Det er brugerens ansvar straks at melde enhver mistanke om forsøg på misbrug og andre personers kendskab til brugeres personlige koder til Afdeling for IT. Genbrug af adgangskode Adgangskoder kan ikke bruges flere gange, men må genbruges på flere af kommunens interne og eksterne systemer. 5.4 STYRING AF SYSTEM- OG APPLIKATIONSADGANG Begrænset adgang til informationer Adgang til funktionalitet og data i fagsystemer Fagsystemer, f.eks. ESDH og økonomisystem, skal overholde Vordingborg Kommunes bestemmelser om adgangskontrol, herunder regler om adgangskoder Procedurer for sikker login Sikker login Systemadgang skal beskyttes af en sikker loginprocedure. Sikre loginprocedurer skal indbefatte: - At data fra systemet eller applikationen ikke vises ved login 25

26 - At brugeren skal udfylde alle felter, før login accepteres - At der sker logning af mislykkede loginforsøg - At der oprettes en sikkerhedshændelse, hvis der registreres en overtrædelse af loginprocedurerne - At indtastede adgangskoder ikke vises - At der ikke sendes adgangskoder i klartekst over netværk Systemers administration af adgangskoder Adgangsbegrænsning til informationer Applikationer skal sikre, at adgang til informationer sker efter et veldefineret sæt af adgangsbestemmelser Brug af priviligerede systemprogrammer Brug af systemværktøjer Al brug af systemværktøjer skal logges. Afdeling for IT skal have en procedure for autorisation ved ad-hoc anvendelse af systemværktøjer. Afdeling for IT skal sikre, at unødige systemværktøjer ikke er installeret eller tilgængelige på brugeres pc'er. Afdeling for IT skal definere, hvem der er autoriseret til at anvende hvilke systemværktøjer. Afdeling for IT skal sikre, at brugen af systemværktøjer begrænses til et minimum af betroede og autoriserede brugere. 6. KRYPTOGRAFI 6.1 KRYPTOGRAFISKE KONTROLLER Bestemmelser for anvendelse af kryptografi Brug af kryptering i forbindelse med opbevaring af data Fortrolige informationer og personfølsomme oplysninger, jf. Lov om behandling af personoplysninger, skal altid være krypterede, hvis de undtagelsesvis opbevares på transportabelt udstyr, f.eks. på bærbare computere, håndholdte computere m.m. Kryptering af privat udstyr Ved overførsel af informationer til/fra privat udstyr skal Afdeling for IT sikre, at data krypteres. Der skal anvendes samme krypteringsteknologi i den forbindelse som til Vordingborg Kommunes øvrige IT-udstyr. Kryptering af filer Filer med dokumenter, der opbevares på transportabelt udstyr, og er klassificeret som fortrolige, skal beskyttes ved hjælp af kryptografi Administration af nøgler 26

27 Nøglehåndtering Afdeling for IT skal etablere et nøglehåndteringssystem samt en procedure herfor, som understøtter Vordingborg Kommunes anvendelse af kryptografi. Proceduren for nøglehåndtering skal beskrive hvordan generering, distribution, opbevaring og destruktion af nøgler håndteres. Lagring af krypteringsnøgler skal begrænses til færrest mulige steder. 7. FYSISK SIKRING OG MILJØSIKRING 7.1 SIKRE OMRÅDER Fysisk perimetersikring Publikums færden Publikum må færdes frit i publikumsområder. I andre områder må publikum kun færdes, når de er ledsaget af en ansat. Adgang til maskinstuer og IT-klargøringsrum IT-chefen er ansvarlig for sikkerhedsgodkendelse af personale med adgang til sikre områder. Der skal forefindes rum- og adgangsalarm i alle lokaler anvendt til dette formål. Koden til alarmsystemet må kun udleveres til sikkerhedsgodkendte ansatte Fysisk adgangskontrol Adgangskort til håndværkere og andet midlertidigt personale Håndværkere, reparatører, teknikere og andre gæster, der får udleveret midlertidige adgangskort, skal bære disse synligt Sikring af kontorer, lokaler og faciliteter Koder på fælles kodelås skal ændres: - Hvis en ansat, der kender koden, forlader Vordingborg Kommune - Hvis den har været udleveret til eksterne personer, f. eks. håndværkere. Indbrudsalarmer Vordingborg Kommune skal anvende passende alarmsystemer på relevante bygninger og lokaler. Overvågning i sikre områder kommunale bygninger og borgerbetjeningsområder Videokameraer benyttes til overvågning af sikre områder og skal placeres inden for det sikre område. Videokameraer skal beskyttes mod modifikationer og deaktivering. Videooptagelser fra sikre områder skal opbevares centralt i kommunen og skal slettes inden for 30 dage. Videokameraer, som benyttes til overvågning af sikre områder, skal være rettet mod ind- /udgangen til området, og der skal være synlig skiltning af videoovervågningen. 27

28 Der skelnes imellem to typer videoovervågning: Bygningsovervågning og tryghedsskabende overvågning af mødet med borgere. Vordingborg Kommunes uddybende regler for TV-overvågning skal altid overholdes. Oplysninger om sikre områder Oplysninger om sikre områder og deres funktion - f.eks. hvor IT- udstyr opbevares, netværksinstallationer forefindes eller eltavler er placeret - skal alene gives ud fra et arbejdsbetinget behov. Fysisk sikring af netværk Der skal etableres alternative kommunikationsveje, så følger af nedbrud minimeres. Afdeling for IT skal regelmæssigt kontrollere, om uautoriseret udstyr er blevet tilkoblet. Der skal benyttes kabler med elektromagnetisk skjold, hvor det vurderes nødvendigt af Afdeling for IT. Krydsfelter og kabeltermineringer skal være placeret, så fysisk adgang begrænses. Netværkskabler skal fremføres i armerede rør, hvis Afdeling for IT vurderer, at dette er nødvendigt Beskyttelse mod eksterne og miljømæssige trusler Miljømæssig sikring af serverrum Serverrum, krydsfelter og tilsvarende områder skal på forsvarlig vis sikres mod miljømæssige hændelser som brand, vand, eksplosion og tilsvarende påvirkninger. Brandsikring Serverrum skal sikres med veldimensioneret brandslukningsudstyr. Serverrum må ikke benyttes som lager for brandbare materialer. Forsyningssikkerhed IT-chefen har ansvaret for, at alle forsyninger som elektricitet, vand, kloak, varme og ventilation har den fornødne kapacitet og løbende inspiceres for at forebygge uheld, der kan have indflydelse på informationsaktiverne. Data-og telekommunikationsforbindelser skal etableres via minimum to adgangsveje for kritiske systemer, hvor Afdeling for IT vurderer dette nødvendigt Arbejde i sikre områder Aflåsning af lokaler og bygninger Alle døre og vinduer skal være låst forsvarligt, når kontorarealer forlades ved arbejdstid ophør. Ansvar for den fysiske adgangskontrol Den enkelte leder har ansvaret for egen enheds fysiske adgangskontrol og datasikkerhed ved enhedens printerrum og IT-områder. Destruktion og opbevaring af ind- og uddata i papirform Alt uddata med personhenførbare oplysninger eller følsomme oplysninger kasseres via Vordingborg Kommunes ordning vedrørende indsamling af returpapir. Ordningen foregår via 28

29 aflåste containere, hvis indhold malkuleres i et lukket og beskyttet kredsløb. Dette skal sikre kommunen imod, at uddata kommer i uvedkommende personers varetægt. Alt inddata med tilsvarende oplysninger skal ligeledes bortskaffes på ovennævnte måde, når indscanning er foretaget, og efter en nærmere angivet periode, hvor modtaget inddata opbevares aflåst Områder til af- og pålæsning Af- og pålæsningsområder Leverancer skal registreres i henhold til varemodtagelsesprocedure. Af- og pålæsningsområder skal indrettes, så risiko for uautoriseret adgang til Vordingborg Kommunes øvrige områder mindskes. 7.2 UDSTYR Placering og beskyttelse af udstyr Distribueret IT-udstyr Alle krydsfelter, afdelingsserverrum og lignende faciliteter med delt IT-udstyr skal aflåses for at hindre uautoriseret adgang til disse. Aflåsning af hovedkrydsfelter og lignende teknikrum Alle hovedkrydsfelter og tilhørende teknikrum skal være aflåste og sikret med adgangskontrol. Adgang til serverrum og hovedkrydsfelter Adgang til serverrum og hovedkrydsfelter tillades kun med sikkerhedsgodkendelse, eller ved overvåget adgang af ansatte fra Afdeling for IT. Udlån af adgangskort Adgangskort må udlånes til håndværkere, teknikere og andre, såfremt der afleveres komplet udfyldt udlånsformular Understøttende forsyninger (forsyningssikkerhed) Køling Serverrum skal sikres med veldimensionerede airconditionanlæg. Nødstrømsanlæg Alle kritiske systemer skal beskyttes med nødstrømsanlæg med kapacitet til mindst 15 minutters uafbrudt drift Sikring af kabler Sikring af kabler Dokumentation skal opdateres, når den faste kabelføring ændres. Kabler til datakommunikation skal beskyttes mod uautoriserede indgreb og skader. Faste kabler og udstyr skal mærkes klart og entydigt. 29

30 7.2.4 Vedligeholdelse af udstyr Vedligeholdelse af udstyr og anlæg Afdeling for IT er ansvarlig for, at der føres log over alle fejl og mangler, samt reparationer og forebyggende vedligeholdelse. Reparationsvirksomheden skal overholde fornødne sikkerhedskrav, hvis udstyr repareres eller vedligeholdes uden for Vordingborg Kommunes egen organisation. Forsikringskrav skal overholdes ved udstyrs - og anlægs vedligeholdelse. Afdeling for IT skal vedligeholde udstyr efter leverandørens anvisninger. Kritiske/følsomme informationer skal slettes fra udstyr, der repareres eller vedligeholdes uden for organisationen Fjernelse af aktiver Fjernelse af udstyr fra Vordingborg Kommune Vordingborg Kommunes personalepolitik vedrørende distancearbejdspladser skal til en hver tid overholdes. Vordingborg Kommune har udarbejdet en erklæring vedrørende udlån af IT-udstyr, der udfyldes og administreres af lederen af den enkelte afdeling Sikring af udstyr og aktiver uden for organisationen Fortrolige informationer i det offentlige rum Persondata, jf. Lov om behandling af personoplysninger, på kommunale pc'er eller andre enheder og fortrolige informationer iøvrigt må ikke efterlades uden opsyn. Vordingborg Kommunes uddybende regler for udkørende ansatte skal altid overholdes Sikker bortskaffelse eller genbrug af udstyr Bortskaffelse eller genbrug af udstyr Når udstyr bortskaffes eller genbruges, skal kritiske/følsomme informationer og licensbelagte systemer fjernes eller overskrives Brugerudstyr uden opsyn Placering af udstyr Afdeling for IT skal begrænse fysisk adgang til gateways for trådløse enheder. Udstyr skal placeres eller beskyttes, så risikoen for skader og uautoriseret adgang minimeres. Udstyr, der benyttes til at behandle kritiske/følsomme informationer, skal placeres, så informationerne ikke kan ses af uvedkommende Bestemmelser om ryddeligt skrivebord og blank skærm Brug af kodeordsbeskyttet pauseskærm Alle skal aktivere kodeordsbeskyttet skærmlås, når en pc eller anden enhed forlades. I den udstrækning, det er muligt, sørger Afdeling for IT endvidere for, at kodeordsbeskyttet skærmlås aktiveres automatisk. 30

31 Opbevaring af fysiske dokumenter Dokumenter med personoplysninger, jf. Lov om behandling af personoplysninger, skal opbevares i aflåst skab eller skuffe efter arbejdstid. Dokumenter må gerne ligge fremme, såfremt kontorlokaler er aflåste. Opbevaring af fortrolige informationer på privat pc Personoplysninger må kun opbevares på Vordingborg Kommunes serveres sikre afdelingsdrev i maksimalt 30 dage, eller i anmeldte systemer, hvor der sker logning. De må ikke gemmes på den enkeltes pc eller andre datamedier. 8. DRIFTSSIKKERHED 8.1 DRIFTSPROCEDURER OG ANSVARSOMRÅDER Dokumenterede driftsprocedurer Driften Den daglige drift varetages af Afdeling for IT, der har det overordnede ansvar for afviklingen. Sikring af serversystemer Alle servere skal sikres og godkendes af Afdeling for IT inden brug i produktionen. Afdeling for IT skal sikre, at alle servere altid installeres med sidste nye sikkerhedsrettelser. Sikring af arbejdsstationer inden ibrugtagning Alle arbejdsstationer skal sikres inden brug. Minimum sikring inkluderer installation af seneste sikkerhedsrettelser for operativsystemet og anti-virus program. Alle arbejdsstationer skal installeres ved brug af den af Afdeling for IT udarbejdede interne vejledning. Ændringer i kritiske systemer Alle ændringer i kritiske systemer udføres efter godkendt procedure. Alle procedurer skal indeholde en alternativ plan til reetablering af det kritiske system. Der er i Vordingborg Kommune indført ITIL standard change ved ændringer i systemer i Afdeling for IT. Afdeling for IT er ansvarlige for at udarbejde procedurer vedrørende væsentlige ændringer i de kritiske systemer. Der er udarbejdet en skabelon til anvendelse for disse procedurer. Registrering af driftstatus Det er Afdeling for IT, der har ansvar for at registrere forstyrrelser og uregelmæssigheder i driften af systemerne. Overvågning af tilgængelighed Det tilstræbes, at alle produktionssystemer overvåges for at dokumentere tilgængeligheden af ITsystemerne. Dokumentation 31

32 Afdeling for IT skal sikre, at alle systemer og IT-relaterede forretningsgange er dokumenterede, f.eks. ved at systemejere og procesejere dokumenterer, jf. Vordingborg Kommunes standard. Driftsafviklingsprocedurer Operationelle procedurer for alle systemer skal være dokumenterede, opdaterede og tilgængelige for driftspersonale og andre med arbejdsrelaterede behov. Operationelle procedurer skal omfatte krav til - og konfiguration af backup, job-schedulering, sikkerhedskonfigurationer og instruktioner til håndtering af fejl. Driftsprocedurer skal omfatte beskrivelser af genopretnings- og retableringsprocedurer, samt konfiguration af overvågnings- og revisionsspor Ændringsstyring Planlægning, test og godkendelse af ændringer Ændringer skal igennem en formaliseret godkendelsesprocedure, inden de sættes i drift. Ændringer skal planlægges og afprøves, inden de sættes i drift. Ændringernes konsekvenser skal vurderes inden drift. Ændringsstyring Systemejer skal acceptere ændringer, før de implementeres. Forældet systemdokumentation skal arkiveres eller destrueres. Driftsdokumentation og forretningsgange for brugerne skal holdes opdateret, således at de stadig er gældende efter ændringen. Ved ændringer skal der foregå en gennemgang af sikringsforanstaltninger og integritetskontroller for at sikre, at disse ikke forringes ved implementeringen. Systemdokumentation skal opdateres ved hver ændring. Implementeringen af ændringen skal foretages på et aftalt tidspunkt, så den ikke forstyrrer de involverede forretningsydelser. Der skal foretages test af driftsfunktionaliteten, før ændringer gennemføres. Der skal indhentes en formel ledelsesgodkendelse af ændringer, før de implementeres. Der skal foreligge en veldefineret procedure for tilslutning og afbrydelse af enheder med forbindelse til Vordingborg Kommunes IT-infrastruktur. Afdeling for IT skal oprette og vedligeholde procedurer for ændringsstyring for alle software- og systemkonfigurationsændringer (inklusiv netværksudstyr). Der skal foretages test af ændringer i netværk, firewall og routere Kapacitetsstyring Kapacitetsplanlægning Ved systemanskaffelse skal Afdeling for IT kontaktes, så risikoen for driftsstop minimeres - som følge af manglende kapacitet eller forkert valg af systemplatform Adskillelse af udviklings-, test- og driftsmiljøer Funktionsadskillelse: Udvikling, test og driftsmiljøer Der skal være funktionsadskillelse henholdsvis i forhold til udviklings-, test- og driftsmiljøet. 32

33 8.2 BESKYTTELSE MOD MALWARE Kontroller mod malware Anti-virusprogrammer Anti-virusprogrammer skal være installeret på alle pc'er, mobilenheder og hjemmearbejdspladser. Softwaren skal holdes opdateret ved opgradering mindst en gang om ugen. Anti-virus produkter på arbejdsstationer i kommunen Afdeling for IT skal sikre, at der anvendes minimum to anti-virus produkter fra forskellige leverandører. Ét på indgangene til organisationen og et andet på samtlige computere i kommunen. Opdatering skal ske højest et døgn efter leverandørens opdateringer. Kontrol af anti-virus på arbejdsstationer i kommunen Brugere kan antage, at anti-virus altid fungerer. Det er alene Afdeling for IT, der har ansvar for at kontrollere korrekt funktion. 8.3 BACKUP Backup af information Sikkerhedskopiering af data på serversystemer Afdeling for IT er ansvarlig for opbevaring og sikkerhedskopiering af informationer på serversystemer. Systemejerne har ansvaret for at informere Afdeling for IT om nye dataområder, som kræver sikkerhedskopiering, og om væsentlige ændringer i datastrukturen på de systemer, som de har ansvaret for. Afdeling for IT's sikkerhedskopier af informationer på serversystemer betragtes ikke som bærbare datamedier. Afdeling for IT har udarbejdet en særlig procedure for sikkerhedskopiering. Opbevaring af sikkerhedskopier på ekstern lokation Datamedier til reetablering af kritiske systemer skal opbevares på en bygningsmæssigt adskilt lokation i tilfælde af brand på hovedadressen. Nødplaner for sikkerhedskopiering Alle kritiske systemer skal have en nødplan for sikkerhedskopiering, således at risikoen for tab af data minimeres. Nødplanen skal minimum beskrive systemregler for sikkerhedskopiering og handlinger til genetablering af systemet efter hardware fejl. Overvågning af procedurer for sikkerhedskopiering Afdeling for IT skal dagligt foretage tjek af korrekt afvikling af procedurer til sikkerhedskopiering. Deaktivering af beskyttelsesmekanismer Det er under ingen omstændigheder tilladt at deaktivere eller omgå organisationens beskyttelsesmekanismer, herunder anti-virus produkter. 33

34 Sikkerhedskopiering (backup) af privat udstyr Der foretages ikke sikkerhedskopiering af informationer på privat udstyr. Sikkerhedskopiering af data på andre systemer Såfremt forretningskritiske data ikke opbevares på serversystemer, er dataejer ansvarlig for etablering af relevant sikkerhedskopiering. 8.4 LOGNING OG OVERVÅGNING Hændelseslogning Hændelseslogning Alle produktionssystemer skal logge information om adgang og forsøg på adgang for at kunne spore uautoriseret aktivitet. Opfølgningslogning Afdeling for IT skal sikre, at der sker logning af sikkerhedshændelser på Vordingborg Kommunes væsentlige systemer, herunder alle systemer med personoplysninger. Afdeling for IT skal sikre, at der foretages logning af al adgang til systemkomponenter (inklusive netværksudstyr). Afdeling for IT skal sikre, at der sker logning af væsentlige brugeraktiviteter på virksomhedens væsentlige systemer, dog således, at alle brugeraktiviteter på alle systemer med personoplysninger logges. Opbevaring af opfølgningslog Afdeling for IT skal sikre, at der opbevares log for brugerhændelser på væsentlige systemer, herunder alle systemer med personoplysninger, i mindst 6 måneder. Afdeling for IT skal sikre, at der opbevares log for sikkerhedshændelser på væsentlige systemer, herunder alle systemer med personoplysninger, i mindst 6 måneder. Afdeling for IT skal sikre, at der opbevares log for fejlhændelser på væsentlige systemer, herunder alle systemer med personoplysninger, i mindst 6 måneder Beskyttelse af logoplysninger Beskyttelse af logoplysninger Logfaciliteter og logoplysninger skal beskyttes mod manipulation og tekniske fejl. Logregistreringer fra trådløse adgangspunkter skal kopieres eller overføres til en central logserver eller til et sikkert medie, som kun vanskeligt kan modificeres. Alle logregistreringer skal beskyttes mod uautoriseret adgang gennem anvendelse af adgangskontrolsystemer, fysisk adskillelse eller netværkssegmentering. Logregistreringer skal umiddelbart overføres til en central logserver eller til et sikkert medie, som kun vanskeligt kan modificeres. Kun personer, hvis arbejde kræver dette f.eks. udvalgte IT- medarbejdere og enkelte systemadministratorer, må tillades adgang til logs. 34

35 8.4.3 Administrator- og operatørlog Loggennemgang Afdeling for IT skal vedligeholde procedurer vedrørende gennemgang af sikkerhedslogs og krav i forbindelse med opfølgning på uregelmæssigheder. Logstikprøver Stikprøvekontrol af log udføres jævnligt, og foretages på foranledning af den enkelte afdelings chef. Vejledning til stikprøvekontrol kan hentes i Ledelssekretariatet Tidssynkronisering Tidssynkronisering Interne centrale tidsservere må kun synkronisere med specifikt bestemte eksterne tidsservere. Der skal benyttes NTP eller en lignende teknologi til tidssynkronisering. Seneste version af synkroniseringsteknologien (NTP eller lignende) skal benyttes. Afdeling for IT skal sikre, at systemernes ure jævnligt synkroniseres til korrekt tid. 8.5 STYRING AF DRIFTSSOFTWARE Softwareinstallation på driftsystemer Softwareopdateringer generelt De enkelte systemejere skal holde sig informeret om alle programrettelser til deres systemer. Systemejerne skal sikre sig, at Afdeling for IT snarest installerer disse på alle computere, servere og arbejdsstationer, når det vurderes, at rettelserne har positiv indflydelse på den samlede sikkerhed. Afdeling for IT skal forestå installation af alle større programrettelser, når det vurderes, at disse har positiv indflydelse på den samlede sikkerhed. Krav til indstillinger af internetbrowser Vordingborg Kommunes stardardbrowser skal altid være konfigureret efter de sikkerhedsindstillinger, som Afdeling for IT beslutter. Installation af programmer på arbejdsstationer Kun Afdeling for IT må installere programmer på kommunens arbejdsstationer. Brugere må i særlige tilfælde installere programmer på kommunens arbejdsstationer, forudsat at Afdeling for IT har godkendt leverandøren. 8.6 SÅRBARHEDSSTYRING Styring af tekniske sårbarheder Større programpakkeopdateringer, f.eks. "service packs" Når større opdateringer, f.eks. "service packs", er gjort tilgængelige fra leverandører, skal Afdeling for IT vurdere, om disse skal installeres. 35

36 Større opdateringer skal testes i et testmiljø, inden opdateringerne installeres i produktionsmiljøet. Større opdateringer skal testes grundigt for kompatibilitet med anvendte applikationer, inden opdateringerne installeres i produktionsmiljøet. Rettelser til applikationsprogrampakker Afdeling for IT skal mindst hver uge vurdere tilgængelige sikkerhedsrettelser, f.eks. patches eller hot-fixes til anvendte programpakker. Udrulning/installation på relevante systemer skal foretages senest en uge efter vurdering og positiv funktions- og kompatibilitetstest. Styring af anti-virus Afdeling for IT skal kunne styre anti-virus på alle systemer centralt. Med styring menes overvågning af, om alle antivirus-programmer er aktivt kørende og foretager tvungen opdatering, scanning, oprydning og generering af opfølgningslog. Rettelser til operativsystemer Afdeling for IT skal mindst hver uge vurdere tilgængelige sikkerhedsrettelser, f.eks. patches eller hot-fixes, til anvendte operativsystemer. Udrulning/installation på relevante systemer skal foretages senest en uge efter vurdering og positiv funktions- og kompatibilitetstest. Opdatering af beredskabsplaner Mindst en gang i hver valgperiode skal beredskabsplaner gennemgås med henblik på opdatering. Ansvaret for dette ligger hos beredskabschefen i Midt- og Sydsjællands Brand og Redning. Ansvaret for opdatering af delberedskabsplaner påhviler den enkelte afdelingsleder Begrænsninger på softwareinstallation Beskyttelse mod uønsket software Godkendt anti-virussoftware skal anvendes. Anti-virusprodukter på servere Der skal være installeret anti-virus beskyttelse på alle systemer. Administration af softwarelicenser Registrering af softwarelicenser sker gennem Afdeling for IT. Det er IT-chefens overordnede ansvar, at der er et tilstrækkeligt antal licenser. Decentrale indkøb af softwarelicenser skal forudgående godkendes af IT-chefen. Administration af arbejdsstationer Brugere må gerne have administrationsrettigheder over arbejdsstationer, hvis Afdeling for IT vurderer, at de har behov for det. Udgangspunktet er dog, at brugere ikke har administrationsretttigheder over arbejdsstationer. Sikkerhedsindstillinger i webbrowser Der må kun anvendes godkendte webbrowsere. Brugerne må ikke forsøge at omgå eller bryde sikringsforanstaltningerne. 36

37 8.7 OVERVEJELSER I FORBINDELSE MED DEN IT-RELATEREDE REVISION AF FAGSYSTEMER Kontroller i forbindelse med den IT- relaterede revision af fagsystemer Sikkerhed i forbindelse med revision De personer, der udfører revisionen, skal være uafhængige af det reviderede område. Revisionskrav og revisionshandlinger i forbindelse med systemer i drift skal planlægges omhyggeligt og aftales med de involverede for at minimere risikoen for forstyrrelser af Vordingborg Kommunes forretningsaktiviteter. 9. KOMMUNIKATIONSSIKKERHED 9.1 STYRING AF NETVÆRKSSIKKERHED Netværksstyring Indkommende netværksforbindelser Der tillades kun etablering af forbindelser fra internettet til sikkerhedsgodkendte servere via en af Afdeling for IT godkendt løsning - eksempelvis til elektronisk post og webservere. Udgående netværksforbindelser Det er tilladt at etablere forbindelser til services på internettet. Afdeling for IT vil løbende kunne lukke for services på internettet, som anses for en sikkerhedsrisiko. Ansvar for internetforbindelser Det overordnede ansvar for internetforbindelsen ligger hos IT-chefen. Der skal udpeges mindst to personer, der er ansvarlige for internetforbindelsen. Ansvaret inkluderer opdatering af registreringer vedrørende IP-adresser og overvågning af tilhørende postadresser. Adgang til netværket Adgangen til Vordingborg Kommunes netværk må kun ske gennem sikkerhedsgodkendte løsninger. Sikkerhedskontroller overfor fjernopkoblet udstyr Mobile enheder skal sikres med anti-virus, firewall og adgangskontrolsystemer. Disse foranstaltninger skal opdateres løbende. Adgang til data på Vordingborg Kommunes netværk Adgangen til data på Vordingborg Kommunes netværk er begrænset til informationer ud fra den enkelte brugers behov og afdelingsmæssige rettigheder, der er godkendt af den enkelte afdelingsleder. Adgang til applikationer på Vordingborg Kommunes netværk 37

38 Der gives kun adgang til applikationer på internt netværk, som er godkendt af Afdeling for IT. Firewallfunktioner på servere Alle servere i Vordingborg Kommunes administrative netværk skal være beskyttet af en sikkerhedsgodkendt firewall. Denne firewall skal sikre, at der internt i kommunen kun gives adgang til services på internettet, som er nødvendige i forhold til det daglige arbejde. Tilslutning af udstyr til netværk Kun Afdeling for IT må koble udstyr på kommunens interne netværk. Det er tilladt for betroede eksterne konsulenter at forbinde udstyr til det interne netværk. Det er tilladt, at ansatte kobler udstyr til netværket efter forudgående aftale med Afdeling for IT. Udstyret må ikke forstyrre driften, og Afdeling for IT kan kræve dette frakoblet. Bærbare pc'ere og andre mobile enheder, som ønskes på kommunens netværk, tilsluttes til en særlig forbindelse, og må kun tilsluttes efter forudgående aftale med Afdeling for IT. Installation af netværksudstyr Det er ikke tilladt at installere netværksudstyr uden forudgående sikkerhedsgodkendelse. Adgang til aktive netværksstik Adgang til aktive netværksstik skal kontrolleres af Afdeling for IT. Det skal sikres, at der ikke er direkte adgang til kommunens administrative netværk via aktive netværksstik i offentlig tilgængelige rum som reception, kantine og lignende. Fjernadgang til Vordingborg Kommunes netværk Fjernadgangen til Vordingborg Kommunes netværk skal sikres. Afdeling for IT er ansvarlig for varetagelsen af dette. Installation og brug af modem Det er ikke tilladt at installere modem og andet datakommunikationsudstyr uden forudgående godkendelse heraf fra Afdelingen for IT. Brug af trådløse lokalnetværk Det er ikke tilladt at udbygge Vordingborg Kommunes netværk med lokale trådløse netværk uden forudgående skriftlig tilladelse til dette fra Afdelingen for IT. Dette for at standardisere på et højt sikkerhedsniveau med overblik over hvor kommunen har trådløse accesspoints. Krav til firewall For at kunne opdage og undgå webbaserede angreb, skal der installeres en firewall foran alle kommunens netværk, der kan tilgås fra internettet. Firewallen må kun tillade protokoller og trafik, som er forretningsmæssigt begrundet. Firewallen skal have implementeret IP-maskering for at forhindre afsløring af interne adresser. Der skal opsættes en firewall mellem den interne netværkszone og internettet. Firewallen skal blokere al ind- og udgående trafik, som ikke er specifikt tilladt. Sikring af netværk Afdelingen for IT har det overordnede ansvar for at beskytte Vordingborg Kommunes netværk. 38

39 Personlige firewalls Der skal installeres firewalls på alle bærbare pc'ere. Adgang til trådløse netværk for gæster Gæster, hvis identitet er kendt, kan få adgang til kommunens gæstenet via godkendt valideringsløsning. Gæster, hvis identitet er kendt, må tilslutte eget udstyr til gæstenettet, forudsat at udstyret ikke generer andre systemer. Placering af trådløse netværk Afdeling for IT skal godkende alt trådløst netværk i kommunen. Der er ingen restriktioner på placering af trådløst netværksudstyr foretaget af Afdeling for IT. Netværksdokumentation Netværksdiagrammet skal omfatte samtlige trådløse netværk. Netværksdokumentationen skal indeholde beskrivelser af implementerede sikkerhedsforanstaltninger mod potentielt usikre protokoller. Netværksdokumentationen skal indeholde en beskrivelse af samtlige netværksporte og -services, som er nødvendige for driften. Netværksdiagrammet skal omfatte samtlige netværksforbindelser. Afdelingen for IT skal vedligeholde et opdateret netværksdiagram. Trådløse netværk for gæster Vordingborg Kommune tilbyder trådløs netværkstjeneste til gæster. Rutekontrol Afdelingen for IT skal vedligeholde konfigurationsstandarder for routere. Afdelingen for IT skal sikre tilstrækkelig filtrering på afsender- og modtageradresser på relevante protokoller imellem alle relevante netværkssegmenter. Afdelingen for IT skal begrænse rutning imellem forskellige netværkssegmenter, således at kun nødvendig trafik videresendes. Installation af trådløst udstyr Ansatte må ikke installere eller tage udstyr i brug, der giver trådløs netadgang. Ansatte må installere og bruge trådløst udstyr, forudsat at Afdelingen for IT forudgående har godkendt det Sikring af netværkstjenester Brug af kryptering i forbindelse med dataudveksling Det kræves, at og data, der indeholder fortrolige informationer samt personfølsomme oplysninger, jf. Lov om behandling af personoplysninger, altid er krypteret under transmission. Godkendte krypteringsprodukter Afdelingen for IT skal vedligeholde en liste over godkendte krypteringsløsninger. 39

40 Godkendelse af krypteringsprodukter Afdeling for IT skal godkende alle produkter, der indeholder kryptografi, før disse må benyttes til fortrolige data. Kryptering af administrative netværksforbindelser Forbindelser, der benyttes til IT-administration, skal krypteres, hvis de benytter offentlige eller usikre netværk, f. eks. internet. Krav til filtyper, der vedhæftes på Alle vedhæftede filer scannes for virus centralt i Vordingborg Kommunes anti-virussystem. Fjernstyring og administration Det er tilladt at benytte værktøjer til fjernadministration, hvis der foreligger sikkerhedsgodkendelse af løsningen. I forbindelse med overtagelse (fjernstyring) af en brugers skærmbillede, må en sådan overtagelse ikke finde sted uden brugerens samtykke. Distancearbejdspladser Tillades når informationssikkerhedsbestemmelserne i øvrigt overholdes. Adgang til surfing på internet Internetadgangen må benyttes til internetsurfing - dog skal surfing i privat øjemed foretages således, at det ikke blokerer for arbejdsrelateret brug af internettet. Ansattes private brug af internetadgang Vordingborg Kommune tillader brug af internetadgang - også til privat brug, såfremt sikkerhedsbestemmelserne i øvrigt overholdes. Ved brug af kommunens internetforbindelse i privat øjemed skal brugerne være opmærksomme på, at kommunen logger al internettrafik til systemmæssige formål - og ikke til kontrol af medarbejderne. Disse logfiler gemmes i 26 uger. Download af programmer fra internet Det er ikke tilladt at hente programmer fra internettet, medmindre det er relateret til løsning af arbejdsopgaver eller der er tale om almindeligt accepterede services på internettet. Download af filer fra internet Det er ikke tilladt at hente filer fra internettet, medmindre det er relateret til løsning af arbejdsrelaterede opgaver eller der er tale om filer fra almindeligt accepterede udbydere, f. eks. YouTube og TV2Play. Afvikling af programmer i forbindelse med internetsurfing Det er tilladt at afvikle browserbaserede programmer, forudsat at disse er digitalt signerede, således at programleverandøren tydeligt fremgår. Det er tilladt at afvikle browserbaserede programmer som eksempelvis netbank, såfremt dette sker med omtanke. Internetbaserede tjenester 40

41 Det er tilladt at bruge internettjenester, der ikke er beskrevet i sikkerhedsbestemmelserne, såfremt dette ikke indebærer forøgede sikkerhedsrisici eller krænker ophavsrettigheder m.m Opdeling af netværk Opdeling af netværk Afdeling for IT skal segmentere netværk for at etablere en passende adskillelse imellem forskellige tjenester, brugergrupper eller systemer. Mindstekrav til netværkssegmentering er, at Afdeling for IT etablerer en "demilitariseret zone" (DMZ), hvor offentligt tilgængelige servere placeres adskilt fra internt tilgængelige servere. Afdeling for IT skal planlægge en lagdelt segmentering ("layered defense model"), hvor forskellige brugere og systemer har forskellig adgang. 9.2 INFORMATIONSOVERFØRSEL Bestemmelser og procedurer for informationsoverførsel Elektroniske dokumenter Elektroniske kopier af dokumenter, f.eks. indscannede dokumenter eller faxer, må kun behandles og opbevares på passende IT-udstyr. Elektroniske kopier af dokumenter, f.eks. indscannede dokumenter eller faxer med fortrolige eller personhenførbare oplysninger, må kun behandles på Vordingborg Kommunes IT-udstyr. Opbevaring og bortskaffelse af data Der skal foreligge en procedure for håndtering af opbevaringstiden for data. Data må kun opbevares i det tidsrum, som er nødvendigt Aftaler om informationsoverførsel Udlevering af fortrolige informationer og oplysninger Fortrolige informationer og oplysninger må kun udleveres, hvis Lov om behandling af personoplysninger overholdes, og det er i overensstemmelse med anmeldelser om databehandlinger Elektroniske meddelelser Opbevaring og sletning af , der indholder personoplysninger, jf. Lov om behandling af personoplysninger, eller andre fortrolige oplysninger, skal slettes senest efter 30 dage. Sletning må dog først ske efter journalisering i anmeldte systemer, hvor der sker logning. Fortrolig med følsomt indhold skal krypteres med godkendt software. Dette gælder især for klassificeret, fortroligt materiale, eller personoplysninger, jf. Lov om behandling af personoplysninger, der sendes over internet. Phishing og bedrageri 41

42 Uanset, at Vordingborg Kommune udfører indholdscanning af alle s, skal brugere være opmærksomme på "phishing" og "social engineering", der f. eks. kan betyde, at brugere kan modtage tilsyneladende oprigtige s, der forsøger at franarre brugeren personlige eller fortrolige oplysninger, eller forsøger at få brugeren til at foretage uønskede handlinger. Ejerskab Alle s via vordingborg.dk betragtes som Vordingborg Kommunes ejendom. Vedhæftede filer Det er ikke tilladt at vedhæfte filer, der direkte kan udføres. Det gælder eksempelvis følgende filtyper:.exe,.com,.pif,.bat m.fl. Filtyper, som Afdelingen for IT anser for at indebære en forhøjet risiko, vil blive frasorteret automatisk. Sagsbehandling og journalisering af Modtaget og afsendt skal journaliseres og behandles efter samme principper, som gælder for almindelig brevpost og fax. De uddybende bestemmelser om brug af s fremgår af "Vordingborg Kommunes instruks for brug af s". Ansattes private brug af via vordingborg.dk Vordingborg Kommune tillader brug af systemer også til privat brug, såfremt sikkerhedsbestemmelserne i øvrigt overholdes. Vordingborg Kommune forbeholder sig ret til at skaffe sig adgang til data og for ansatte, hvis dette sker af drifts- eller sikkerhedshensyn. Vordingborg Kommune vil så vidt muligt forsøge at undgå at åbne eventuel privat korrespondance. Det er derfor vigtigt, at private s tydeligt er angivet som værende private i emnefeltet. Brug af previewfunktion til åbning af må gerne vises i preview funktion. Instruks for anvendelse af sikker Sikker skal i Vordingborg Kommune altid anvendes til udveksling af data med personhenførbare oplysninger, juridisk bindende data og fortrolige data, og efter gældende instruks for brug af . Filudveksling Der må ikke udveksles filer eller links til internet via messenger-programmer. Brug af messenger-programmer Det er tilladt at bruge messenger-programmer på netværket, forudsat at kommunens informationssikkerhedsbestemmelser overholdes. Autentificering Brugere skal være opmærksomme på, at messenger-programmer anvender svag autentificering. Det vil sige, at brugeren sjældent eller aldrig har vished for, hvem der kommunikeres med. 42

43 Brugere skal være opmærksomme på, at de via messenger-programmer kan udsættes for "social engineering". Med "social engineering" menes andre personers forsøg på at udnytte brugerens hjælpsomhed til at få informationer. Overholdelse af Lov om markedsføring Den øverste ledelse skal sikre, at organisationen efterlever markedsføringsloven på alle områder. Social Engineering Brugere skal, når de behandler fortrolige informationer, være passende opmærksomme på begrebet "social engineering", dvs. kunsten at aflure fortrolige informationer uden at blive opdaget. F.eks. kan denne form for bedrag udføres via , telefon og/eller messenger-programmer. Informationsudveksling med eksterne parter Messenger-programmer må kun bruges til at udveksle informationer, der enten er klassificerede til eksternt brug eller er uklassificerede. 10. ANSKAFFELSE, UDVIKLING OG VEDLIGEHOLDELSE AF SYSTEMER 10.1 SIKKERHEDSKRAV TIL FAGSYSTEMER Analyse og specifikation af informationssikkerhedskrav Anskaffelsesprocedurer Det skal sikres, at nyanskaffelser ikke giver anledning til konflikt med eksisterende krav i sikkerhedsbestemmelserne. Vordingborg Kommune, Afdeling for IT har udarbejdet særlige retningslinjer for IT-anskaffelser. Afdeling for IT skal altid kontaktes i forbindelse med anskaffelser. Sikkerhed i applikationsudvikling Sikkerhed skal inkluderes som en integreret del af alle udviklingsprojekter Sikring af applikationstjenester på offentlige netværk Sikring af applikationer på offentlige netværk Der skal benyttes sikre autentifikations- og autorisationsprocesser for at sikre servicetransaktioner over offentlige netværk Beskyttelse af handelsapplikationer og -tjenester Online transaktioner Online transaktionssystemer skal beskyttes særligt, især hvis eksterne brugere tilbydes mulighed for direkte at opdatere i Vordingborg Kommunes data. IT-sikkerhedsgruppen skal løbende præcisere de nødvendige krav. 43

44 10.2 SIKKERHED I UDVIKLINGS- OG HJÆLPEPROCESSER Sikker udviklingspolitik Validering af inddata Data, der sendes ind i systemerne, skal valideres for korrekthed. Der skal genereres log over de aktiviteter, der sender data ind i systemet Procedurer for styring af systemændringer Migreringsstyring Proceduren for ændringshåndtering skal omfatte test af den operationelle funktionalitet i forbindelse med den enkelte ændring Teknisk gennemgang af applikationer efter ændring af driftsplatforme Gennemgang af systemer efter ændringer Ændringer i driftsmiljøerne skal annonceres i god tid, således at der er god tid til gennemgang og test inden implementeringen. Når driftsmiljøerne ændres, skal kritiske systemer gennemgås og testes for at sikre, at ændringen ikke har utilsigtede afledte virkninger på Vordingborg Kommunes daglige drift. Når der foretages ændringer af operativsystemer, skal organisationen vurdere behovet for opdatering af beredskabsplanerne Begrænsning af ændringer af softwarepakker Ændringer i standardsystemer Ændringer i eksternt leverede systemer skal begrænses til nødvendige ændringer, og sådanne ændringer skal styres omhyggeligt. Indbyggede sikringstiltag, f.eks. logning samt adgangs- og integritetskontrol, skal gennemgås for at sikre, at de ikke er kompromitterede. Det skal sikres, at der ikke er kompatibilitetsproblemer med anden software, der anvendes i Vordingborg Kommune Principper for udvikling af sikre systemer Sikkerhed i systemplanlægning Ved planlægning af systemer skal sikkerhedsbetragtninger altid medtages i overvejelserne. Sikkerhedskrav til informationsbehandlingssystemer Vordingborg Kommunes ønsker til nye såvel som til bestående systemer skal indeholde krav til sikkerheden med udgangspunkt i en risikovurdering. Specifikation af sikkerhedskrav Sikkerhedskrav skal være dokumenteret i forbindelse med enhver nyanskaffelse af IT-systemer og ved ITsystemopgraderinger. Dette gælder såvel kundetilpassede systemer som standardsystemer. 44

45 Sikkert udviklingsmiljø Sikring af udviklingsmiljøer Sikkerhedskravene bør identificere alle relevante sikkerhedsaspekter såsom beskyttelse af data, der lagres, transporteres eller benyttes. Analysen af sikkerhedskrav i udviklingsmiljøer skal desuden tage hensyn til følgende: - Krav til adgangstildeling og godkendelsesprocesser - Understøttelse af rollebaseret adgang - Krav fra andre systemgrænseflader - Krav til logning - Kompatibilitet med andre systemer og sikkerhedsløsninger Outsourcet udvikling Ekstern revision af outsourcingpartnere Hvis Vordingborg Kommune vælger at outsource databehandling, skal outsourcingpartnere sørge for ekstern revision mindst en gang årligt. Outsourcingpartnere Alle outsourcingpartnere skal bekræfte kendskab til Vordingborg Kommunes informationssikkerhedsbestemmelser. Sikkerhedsniveauet hos alle outsourcingpartnere skal være acceptabelt. Alle outsourcingpartnere skal godkendes af kommunaldirektøren ved delegation til sekretariatschefen i Ledelsessekretariatet og af IT-chefen. Outsourcing Ved outsourcing af IT-systemer skal IT-chefen, inden indgåelse af kontrakt, indhente information om sikkerhedsniveauet fra outsourcingpartner, herunder dennes informationssikkerhedsbestemmelser. Sikkerhedsniveauet hos alle outsourcingpartnere skal være acceptabelt, og alle outsourcingparterne skal have udleveret og bekræfte, at de kan overholde kommunens bestemmelser for informationssikkerhed Systemsikkerhedstest Test af sikkerhedsfunktioner Sikkerhedstests/drifttests bør inkludere specifikke input, og forventet output Systemgodkendelsestest Godkendelse af nye eller ændrede systemer Afdeling for IT skal etablere en godkendelsesprocedure for nye systemer, for nye versioner og for opdateringer af eksisterende systemer, samt de afprøvninger, der skal foretages, inden disse kan godkendes og sættes i drift. 45

46 10.3 TESTDATA Sikring af testdata Sletning af testdata Testdata skal fjernes, inden systemer sættes i endelig drift. Særlige applikationskonti, brugernavne og adgangskoder, anvendt i forbindelse med udvikling og test, skal slettes, før en applikation sættes i drift eller frigives til brugere. Sikring af testdata Det skal formelt godkendes, inden data fra driftsmiljøet kopieres til et testmiljø. Data fra driftsmiljøet, der anvendes i testmiljøer, skal slettes omgående efter afsluttet test. Formelle adgangskontrolprocedurer skal også omfatte testapplikationssystemer. 11. LEVERANDØRFORHOLD 11.1 INFORMATIONSSIKKERHED I LEVERANDØRFORHOLD Informationssikkerhedsbestemmelser for leverandørforhold Vurdering og godkendelse af outsourcingleverandør Informationssikkerhedschefen, der er sekretariatschefen i Ledelsesekretariatet, og IT-chefen skal deltage i vurdering og godkendelse af outsourcingleverandører. Leverandøren skal som et minimum have formelle informationssikkerhedsbestemmelser, herunder et passende regelsæt for informationssikkerhed. Leverandøren skal kunne dokumentere sit sikkerhedsniveau eksempelvis i form af revisorerklæring, intern auditrapport eller IT-revisionsrapport. Anskaffelse, udvikling og vedligeholdelse ved outsourcing Leverandøren skal have passende formelle procedurer baseret på best practices på området (change- og patch management-procedurer) Håndtering af sikkerhed i leverandøraftaler Håndtering af sikkerhed i procedurer for leverandøraftaler Relevante sikkerhedskrav skal identificeres og aftales med leverandører, der har adgang til, behandler, opbevarer eller leverer IT-infrastruktur til Vordingborg Kommunes informationsaktiver. Kravene indeholder: - Beskrivelse af de relevante informationsaktiver - Tilpasning af organisationens og leverandørers klassifikationssystemer - Identifikation af lovkrav, såsom regler for databeskyttelse, ophavsret, intellektuel ejendomsret og overholdelse af industrikrav (PCI DSS, ISO 27001) - Politikker for acceptabel brug - Hændelsesstyring og BCM-krav - Sikkerhedskrav for logisk og fysisk adgang - Retten til at udføre revision 46

47 - Leverandørens forpligtelse til at være i overensstemmelse med Vordingborg Kommunes sikkerhedsbestemmelser - Awareness- og uddannelsesprogrammer. Sker der i leverandørforholdet behandling, opbevaring mv. af oplysninger, som er omfattet af persondataloven, hos leverandøren, skal der indgås en databehandleraftale. Leverandørens eventuelle udkast til databehandleraftale skal forelægges IT-sikkerhedschefen, der er sekretariatschefen i Ledelsessekretariatet, inden aftalen indgås. Informationssikkerhedsmedarbejderen i Ledelsessekretariatet bistår ved udarbejdelsen af den konkrete databehandleraftale. Misligholdelse Vordingborg Kommune skal have en "exit-strategi" på plads i tilfælde af misligholdelse. Kontrakt om cloud-løsning Vordingborg Kommune skal sikre, at aftalen indeholder væsentlige sikkerhedselementer, såsom roller, opfyldelse af sikkerhedskrav, beredskab, hændelseshåndtering, behandling af data omfattet af lovgivning, brugerstyring, fysisk sikkerhed, beskyttelse af informationer både fysisk og logisk, sletning og udfasning af udstyr, samt forhold ved aftalens ophør. Dette kan evt. ske via en tillægsaftale. Personfølsomme data/personhenførbare data må ikke opbevares i en cloud-løsning, uden at der sker logning, og alene efter godkendelse af IT-chefen Forsyningskæde for informations- og kommunikationsteknologi Netværkssikkerhed, outsourcingleverandør Vordingborg Kommune skal sikre, at leverandørens opbygning af netværk og netværkssikkerhed har et passende sikkerhedsniveau. Vurdering kan ske på baggrund af sårbarhedsvurdering, ITrevisorerklæring eller leverandørens interne auditrapport. Netværksleverandøren skal kunne levere: - De nødvendige teknologiske muligheder for autentifikation, kryptering og overvågning - De nødvendige tekniske opsætninger til at sikre opkoblinger i overensstemmelse med samarbejdsaftalen - Adgangskontrol, der sikrer mod uvedkommendes adgang. Beredskab Vordingborg Kommune skal have et internt beredskab, der sikrer fortsat drift i tilfælde af uventede afbrydelser af servicen STYRING AF LEVERANDØRYDELSER Overvågning og gennemgang af leverandørydelser Overvågning og IT-relateret revision/sikkerhedstjek 47

48 Udbyderen skal kunne dokumentere et passende sikkerhedsniveau, eksempelvis ved revisionserklæring, intern audit, ISO certificering, outsourcing-revisionserklæring (ISAE16) eller tilsvarende. Vordingborg Kommune kan anmode om leverandørens auditrapport, IT-revisionsrapport, årlig risikovurdering eller tilsvarende Styring af ændringer af leverandørydelser Styring af ændringer hos serviceleverandøren Aftaler om ændringer i forbindelse med leverandørydelser skal indeholde: - Beskrivelse af de ændringer, der kan have indflydelse på det aftalte serviceniveau - Ændringer skal være godkendt af Afdeling for IT, inden ændringerne kan implementeres i Vordingborg Kommune. 12. STYRING AF INFORMATIONSSIKKERHEDSBRUD 12.1 STYRING AF INFORMATIONSSIKKERHEDSBRUD OG FORBEDRINGER Ansvar og procedurer Information om sikkerhedshændelser Vordingborg Kommune skal sørge for at informere berørte parter internt og eksternt om eventuelle sikkerhedshændelser. Den øverste sikkerhedsansvarlige, ved delegation til sekretariatschefen i Ledelsessekretariatet, skal godkende alle eksterne meddelelser. Opfølgning på rapporterede sikkerhedshændelser IT-chefen er ansvarlig for at opsamle statistik for rapporterede sikkerhedshændelser. Alle sikkerhedshændelser bliver logget i Afdeling for IT's ITIL værktøj. Den øverste sikkerhedsansvarlige, ved delegation til sekretariatschefen i Ledelsessekretariatet, er ansvarlig for, at der bliver opsamlet statistikker og udarbejdet kvartalsrapporter for ITsikkerhedshændelser. Disse rapporter skal forelægges for kommunalbestyrelsen, hvis de giver anledning til bemærkninger, eller de indholder væsentlige oplysninger, som den øverste sikkerhedsansvarlige vurderer, bør forelægges for kommunalbestyrelsen. Ansvar og forretningsgange for sikkerhedshændelser Den øverste sikkerhedsansvarlige skal placere ansvar for at fastlægge forretningsgange, der sikrer en hurtig, effektiv og metodisk håndtering af sikkerhedsbrud. Proces for reaktion på hændelser Der skal etableres en proces, som sikrer, at hændelsesstyringsplanen løbende evalueres og tilpasses i overensstemmelse med indsamlet erfaring og den generelle udvikling. Vordingborg Kommune skal sikre, at personale med ansvar for at reagere på sikkerhedsbrister, uddannes i tilstækkeligt omfang. 48

49 Det skal sikres, at ansvarligt personale er tilgængeligt og kan reagere på sikkerhedsbrister døgnet rundt. Den sikkerhedsansvarlige har ansvar for at definere og koordinere en struktureret ledelsesproces, der sikrer en passende reaktion på sikkerhedshændelser Rapportering af informationssikkerhedshændelser Rapportering af virus angreb Hvis der observeres virus eller mistanke om virus, skal det omgående rapporteres til Afdelingen for IT. Rapportering af formodede sikkerhedshændelser Ved konstatering af eller mistanke om brud på IT-sikringsforanstaltninger, skal dette straks rapporteres til den nærmeste leder. Sikkerhedshændelser hos outsourcingleverandør Leverandøren registrerer sikkerhedshændelser, f.eks. brud på fortrolighed, tilgængelighed eller integritet, i eget system. Leverandøren skal underrette Vordingborg Kommunes informationssikkerhedschef, som er sekretariatschefen i Ledelsessekretariatet, hvis der sker en sikkerhedshændelse, f.eks. ved brud på fortrolighed, integritet eller tilgængelighed. Rapportering af sikkerhedshændelser Eventuelle outsourcingpartnere skal mindst en gang årligt rapportere om hændelser af betydning for sikkerheden til den øverste sikkerhedsansvarlige. Mere konkret skal forhold omkring fortrolighed, dataintegritet og tilgængelighed af systemer rapporteres. Afdeling for IT skal hvert år samle IT's kvartalsstatistik for sikkerhedshændelser i en rapport over sikkerhedshændelser til den øverste sikkerhedsansvarlige Rapportering af informationssikkerhedssvagheder Rapportering af programfejl Brugere, der observerer programfejl, som de ikke har oplevet før, skal rapportere dette til Afdeling for IT Vurdering af og beslutning om informationssikkerhedshændelser Vurdering af tidligere hændelser For at kunne mindske sandsynligheden eller effekten af fremtidige sikkerhedshændelser, skal den forgangne periodes hændelser gennemgås mindst en gang om året Håndtering af informationssikkerhedsbrud Kontrol og opfølgning på sikkerhedsbrud Der skal ske en registrering af brud på sikkerheden, uautoriseret adgang og forsøg på uautoriseret adgang til systemer og data. Der skal ske en afvisning, låsning af adgang og opfølgning på gentagende forsøg på uautoriseret adgang til systemer og data. 49

50 Ved gentagende indtastning af forkert password skal autoriseredes adgang låses og kan kun åbnes igen ved henvendelse til Afdeling for IT vedrørende procedure Erfaring fra informationssikkerhedsbrud At lære af sikkerhedsnedbrud Afdeling for IT skal etablere et system, der kan kvantificere og overvåge typer, omfang og omkostninger ved håndteringen af sikkerhedsbrud. Disse oplysninger skal bruges til at identificere og afbøde tilbagevendende sikkerhedshændelser eller disses konsekvenser Indsamling af beviser Indsamling af beviser Hvis et sikkerhedsbrud afstedkommer et retsligt efterspil, uanset om sikkerhedsbruddet er foretaget af en person eller en virksomhed, skal der indsamles, opbevares og præsenteres et fyldestgørende bevismateriale. 13. INFORMATIONSSIKKERHEDSASPEK- TER VED NØD-, BEREDSKABS- OG REETABLERINGSSTYRING 13.1 INFORMATIONSSIKKERHEDSKONTINUITET Planlægning af informationssikkerhedskontinuitet Nødprocedurer for kritiske processer Der skal for alle kritiske processer findes en opdateret nødprocedure, der kan sættes i drift ved systemsvigt. Ansvaret for udarbejdelse og vedligeholdelse af nødprocedurer henligger hos de enkelte systemansvarlige/områdeansvarlige. Systemejer skal bruge egne nødprocedurer for kritiske processer. Identifikation af kritiske processer Alle kritiske funktioner og deres relaterede processer, systemer og systemejere skal være identificerede og dokumenterede. Indkaldelse af medarbejdere i vagtordning og ekstra personale I tilfælde af behov for ekstraordinær drift, ved sikkerhedshændelser og lignende, skal der forefindes retningslinjer for tilkaldelse af alarmpersonel. Ramme for beredskabsplaner Den øverste sikkerhedsansvarlige skal fastlægge en ensartet ramme for Vordingborg Kommunes beredskabsplaner for at sikre, at alle planerne er sammenhængende og tilgodeser alle sikkerhedskrav, samt at de fastlægger prioriteringen af afprøvning og vedligeholdelse. 50

51 Beredskabsstyringsproces Den øverste sikkerhedsansvarlige skal udarbejde og vedligeholde en tværorganisatorisk beredskabsstyringsproces, som skal behandle de krav til informationssikkerhed, der er nødvendige for kommunens fortsatte drift Implementering af informationssikkerhedskontinuitet Beredskabsplaner for kritiske funktioner Systemejerne er ansvarlige for, at passende beredskabsplaner udarbejdes og vedligeholdes for de enkelte systemer med det formål at minimere nedbrud og udgifter som følge af sikkerhedshændelser. Aktivering af beredskabsplanen Det skal være klart defineret, hvem der har ansvaret for aktivering af beredskabsplaner. Ansatte, der udgør en del af beredskabsplaner, skal være informeret om dette ansvar. Alle ansatte skal være informeret om beredskabsplanernes eksistens. Beredskabsplan Beredskabsplan skal foreligge for alle kritiske systemer Verificer, gennemgå og evaluer informationssikkerhedskontinuiteten Afprøvning og vedligeholdelse af beredskabsplaner Beredskabsplaner skal løbende afprøves og opdateres for at sikre, at de er tidssvarende og effektive. Afprøvning af beredskabsplaner skal indeholde: - Teknisk retablering (sikring af, at tekniske systemer kan retableres effektivt) - Simuleringer (med henblik på at træne deltagerne i håndtering af deres roller efter episoden) - En skrivebordstest af de forskellige scenarier. Uddannelse i beredskabsplaner Den øverste sikkerhedsansvarlige har ansvaret for, at der foregår tilstrækkelig uddannelse af ansatte i de aftalte beredskabsprocedurer, inklusive krisehåndtering REDUNDANS Tilgængelighed af informationsbehandlingsfaciliteter Retablering af kritiske systemer på ny lokation For alle kritiske systemer skal der forefindes en plan for retablering på ny lokation. 14. OVERENSSTEMMELSE 51

52 14.1 OVERENSSTEMMELSE MED LOV- OG KONTRAKTKRAV Identifikation af gældende lovgivning og kontraktkrav Opbevaring og behandling af personoplysninger Personoplysninger af fortrolig karakter må ikke opbevares eller behandles på bærbar pc, med mindre kryptering anvendes, og bestemmelserne i Bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles af den offentlige forvaltning (sikkerhedsbekendtgørelsen), kan overholdes. Ved behandling af dokumenter med personoplysninger i tekstbehandling, regneark eller lignende programmer skal der arkiveres i Vordingborg Kommunes sikkerhedsgodkendte systemer, hvor der sker logning Immaterielle rettigheder Identifikation af relevante patenter Status på efterlevelsen af love og regler inden for IT-området skal monitoreres løbende og revideres mindst en gang hvert år. Retningslinjer for ophavsrettigheder Brugere må ikke kopiere, konvertere eller udtrække information fra billed- og lydfiler eller tilsvarende ressourcer, medmindre dette specifikt tillades fra rettighedshaveren. Ledelsen har det overordnede ansvar for, at Vordingborg Kommune fastholder en passende opmærksomhed på ikke at krænke tredjeparts ophavsrettigheder. Afdeling for IT skal løbende kontrollere, at software-licensaftaler overholdes, f.eks. at eventuelle begrænsninger i antal brugere, servere eller kopier overholdes. Afdeling for IT skal løbende kontrollere, at der kun er installeret autoriserede systemer med autoriserede licenser i kommunen Beskyttelse af registreringer Lovbestemte data Vordingborg Kommune skal altid beskytte lovbestemte data mod ændring, sletning og uautoriseret adgang. Dataindsigt administreres efter gældende regler udsendt af Datatilsynet. Kommunaldirektøren, ved delegation til sekretariatschefen i Ledelsessekretariatet, fastsætter nærmere regler for ordningens administration. Identifikation af relevant lovgivning Lederne af de enkelte organisatoriske enheder er ansvarlige for at identificere lovgivning, der er relevant for Vordingborg Kommunes drift, eller at udpege en person, der er ansvarlig for denne opgave. Overholdelse af lovgivningen Alle IT-systemer skal overholde relevante lovmæssige krav. Gældende lovgivning for offentlige myndigheders behandling af data skal altid overholdes. Beskyttelse af systemdokumentation 52

53 Systemdokumentation opbevares i mindst 5 år. Virusscanning af transportable datamedier Alle typer af medbragte USB-medier, CD/DVD og andre transportable datamedier skal scannes for virus, inden de tages i brug. Eventuelt kan man bede om hjælp til dette hos Afdeling for IT. Sikring af Vordingborg Kommunes lovbestemte data Vordingborg Kommunes lovbestemte data skal opbevares og behandles således, at datatab, uautoriseret modifikation og forfalskning undgås Privatlivets fred og beskyttelse af personoplysninger Principper for behandling af personoplysninger Vordingborg Kommune skal sikre, at personoplysninger behandles loyalt, lovligt og på en gennemsigtig måde for den registrerede. Vordingborg Kommune må indsamle personoplysninger til udtrykkeligt angivne og legitime formål. Personoplysninger skal være relevante, tilstrækkelige og må kun bruges til det formål, de er indsamlet til. Personoplysninger skal være korrekte og ajour, og det skal sikres, at urigtige oplysninger omgående kan rettes eller slettes. Lovlig behandling af personoplysninger Behandling af personoplysninger må ske, hvis den registrerede har givet sit samtykke, eller: - Behandlingen er nødvendig for at overholde en retlig forpligtelse, som gælder for Vordingborg Kommune - Behandlingen er nødvendig for at beskytte den registreredes vitale interesser - Behandlingen er nødvendig for udførelse af en opgave i samfundets interesse eller henhørende under offentlig myndighedsudøvelse, som Vordingborg Kommune har fået pålagt. Behandling af personoplysninger må kun ske, når reglerne i Lov om behandling af personoplysninger er opfyldt. Gennemsigtige oplysninger om - og meddelelser af personoplysninger Vordingborg Kommune skal sikre, at der er fastsat gennemsigtige og lettilgængelige regler for behandlingen af personoplysninger og udøvelsen af registreredes rettigheder. Vordingborg Kommune skal sikre, at det er muligt at udlevere alle oplysninger og meddelelser vedrørende behandlingen til den registrerede i en letforståelig form, og i et klart og forståeligt sprog, som er tilpasset den registrerede. Fælles registeransvar for behandling af personoplysninger Vordingborg Kommunes afdelinger skal hver især fastsætte procedurer for - og mekanismer til udøvelse af den registreredes rettigheder, jf. Vejledning om registreredes rettigheder efter reglerne i kapitel 8-10 i lov om behandling af personoplysninger (Persondataloven), Justitsministeriets vejledning nr. 126 af 10. juli Databeskyttelse af personoplysninger 53

54 Vordingborg Kommune skal gennemføre mekanismer med henblik på at sikre, at kun de personoplysninger, der er nødvendige til det specifikke formål med behandlingen, behandles. Vordingborg Kommune skal sikre, at oplysninger ikke indsamles eller opbevares ud over, hvad der er nødvendigt til disse formål, både med hensyn til mængden af oplysninger og opbevaringsperioden. Vordingborg Kommune skal med sikringsmekanismerne særligt sikre, at personoplysninger ikke stilles til rådighed for et ubegrænset antal personer, men alene til de persongrupper, som er omfattet af autorisations- og adgangskontrolreglerne i Bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning (sikkerhedsbekendtgørelsen). Ret til indsigt i personoplysninger Den registrerede har til enhver tid ret til at anmode Vordingborg Kommune om at få indsigt i, hvilke personoplysninger der behandles om vedkommende. Ret til berigtigelse af personoplysninger Den registrerede kan kræve, at Vordingborg Kommune retter forkerte personoplysninger om den registrerede. Den registrerede har ret til at få kompletteret ufuldstændige personoplysninger, bl.a. ved at kræve en berigtigelse. Udpegning af den databeskyttelsesansvarlige for personoplysninger Vordingborg Kommune skal udpege en databeskyttelsesansvarlig. Kravet gælder, når behandlingen af personoplysninger foretages af en offentlig myndighed eller et offentligt organ. Vordingborg Kommune skal sikre, at den databeskyttelsesansvarliges øvrige arbejdsopgaver er forenelige med den pågældendes opgaver og ansvar som databeskyttelsesansvarlig og ikke medfører interessekonflikt. Den databeskyttelsesansvarlige kan være ansat af kommunen eller udføre sit hverv på grundlag af en tjenesteydelseskontrakt Regulering af kryptografi Regulering på kryptografiområdet Ansvaret for overholdelse af regulativer og brug af kryptografiske produkter påhviler systemejer for de systemer, hvorpå disse implementeres GENNEMGANG AF INFORMATIONSSIKKERHED Uafhængig gennemgang af informationssikkerhed Uafhængig revision af informationssikkerheden Vordingborg Kommunes informationssikkerhedsstyring (ISMS) skal være underlagt en, for ITsikkerhedsgruppen, uafhængig revision/sikkerhedstjek af IT- installationer og brugerlicenser mv. Revisionen skal omfatte: -Informationssikkerhedsbestemmelser -IT-sikkerhedsregler - og disses efterlevelse -IT-sikkerhedsprocedurer 54

55 -ISMS processer Revisionen skal gennemføres en gang om året, eller hvis der sker væsentlige ændringer i kommunens ISMS. Overvågning og IT- relateret revision af outsourcingleverandør Leverandøren skal levere rapportering for, i hvilken grad aftalte servicemål er opfyldt. Vordingborg Kommune kan foretage egen IT- relateret revision af leverandøren, alternativt kan intern auditrapport, IT-revisionsrapport, årlig risikovurdering eller IT-outsourcingerklæring indgå i overvågningen Overensstemmelse med sikkerhedsbestemmelser og sikkerhedsstandarder Revision af sikkerhedsbestemmelser Den interne/eksterne revision skal kontrollere, at sikkerhedsbestemmelserne er indarbejdet i Vordingborg Kommunes organisation og overholdes. Kontrollen skal foretages mindst en gang årligt Undersøgelse af teknisk overensstemmelse Sikkerhedstest af eksterne IT-systemer Mindst en gang om året skal der udføres uddybende sikkerhedstest af sikkerhedsniveauet i eksternt netværksudstyr og servere. Sikkerhedstest af interne IT-systemer Mindst en gang om året skal der udføres uddybende sikkerhedstest af sikkerhedsniveauet i internt netværksudstyr og servere. 55

56 Vordingborg Kommune Postboks 200 Valdemarsgade Vordingborg Tlf