Hillerød Kommune. Fysisk sikkerhed. IT-sikkerhedspolitik Bilag 6. Indholdsfortegnelse. November 2004

Transkript

1 IT-sikkerhedspolitik Bilag 6 November 2004 Indholdsfortegnelse

2 1 Formål Ansvar og roller Byrådet Kommunaldirektøren/ Direktionen Ledere, fagchefer mv It gruppen, It og sekretariat Medarbejdere Samarbejdspartnere og leverandører Bygninger, bygningslayout og omgivelser Beskyttelse af kommunens edb-aktiver Tekniske sikringsforanstaltninger Definitioner og forkortelser Referencer...8 Side 2 af 8

3 1 Formål er afhængig af troværdig information og effektiv brug af informationssystemer. vil med dette bilag til IT sikkerhedspolitikken sikre at den fysiske sikkerhed står i relation til evt. risici. 2 Ansvar og roller Nedenfor er roller og ansvar beskrevet. 2.1 Byrådet Byrådet er ansvarlig for godkendelse af hoveddokumentet til it sikkerhedspolitikken, som dette dokument er et bilag til. Bilaget bliver ikke behandlet af byrådet. 2.2 Kommunaldirektøren/ Direktionen Kommunaldirektøren er ansvarlig for udformningen og implementering af de nødvendige forretningsgange, der understøtter dette bilag. 2.3 Ledere, fagchefer mv. Som leder mv. er du ansvarlig for, at retningslinjerne i dette bilag til it sikkerhedspolitikken bliver fulgt af medarbejderne på dit eget område. 2.4 It gruppen, It og sekretariat Som medlem af it gruppen er du i samarbejde med It og sekretariat ansvarlig for at sikre at sikkerhedsniveauet kontrolleres gennem løbende revisioner. Som medlem af it gruppen er du ansvarlig for at it sikkerhedspolitikken efterleves på eget direktørområde. It og sekretariat har ansvaret for at sikre at dette bilag til it sikkerhedspolitikken bliver opdateret. 2.5 Medarbejdere Som medarbejder er du ansvarlig for at kende dette bilag til it sikkerhedspolitikken og for at følge det. Enhver afvigelse fra dette bilag skal du som medarbejder rapportere til it og sekretariat også, hvis det sker hos dine kollegaer, leverandører mv. 2.6 Samarbejdspartnere og leverandører Som samarbejdspartner, leverandør mv. er du forpligtet til at følge retningslinierne dette bilag. Fremtidige eller nuværende systemejere har ansvaret for at videregive informationer om Hillerød Kommunes it sikkerhedspolitik. Side 3 af 8

4 3 Den fysiske sikkerhed skal have et niveau der står i naturligt forhold til de værdier, der skal sikres. omfatter blandt andet døre, vinduer, alarmer - samt tyverisikring af Hillerød Kommunes fysiske aktiver, eksempelvis it-udstyr. 3.1 Bygninger, bygningslayout og omgivelser Ved indretningen af en bygning, skal der om muligt tages hensyn til skademuligheder som følge af afbrydelse af strømforsyning og teleforbindelser, oversvømmelse, eksplosion, civil uro og andre former for naturlige og menneskeskabte ulykker, inkl. enhver sikkerhedstrussel fra naboers tilstedeværelse, samt brand og afledte påvirkninger fra vand- og røgskader og andre ulykker, der kan opstå i eller hos naboer. For alt it udstyr i kommunen skal It og sekretariat vurdere: I hvilket omfang trusler fra ild, røg, vandskade, støv, vibrationer, kemiske påvirkninger, forstyrrelser i infrastrukturen eller elektromagnetisk udstråling kan minimeres med barrierer eller om isolation af edb-anlæg, udstyr og funktioner i en barriereafgrænset celle reducerer omfanget af sikringsforanstaltninger for andre edb-anlæg og -funktioner. bygningstekniske adskillelser med tilhørende adgangsåbninger mellem de forskellige sikkerhedsområder, skal have en sådan konstruktion, at ulykker opstået i ét område ikke kan sprede sig til andre. Bygningsmæssige elementer skal opfylde de bygningsmæssige krav i DS 471. reserveanlæg, udstyr eller datamedier med sikkerhedskopier opbevares i sikker afstand fra hovedanlæg, adskilt med barrierer. sikrede områder skal beskyttes mod uautoriserede personers adgang med adgangskontrol eller overvågning. indretning og placering af edb-funktioner tilrettelægges således, at forskellige personalekategorier kan færdes i bygningen, uden at de sikringsmæssige regler tilsidesættes. Dette kan opfyldes ved at bygningen inddeles i sikkerhedsområder fx efter kategorierne: offentligt, halvoffentligt og sikrede områder. de personer, som kun har behov for adgang til halvoffentlige sikkerhedsområder, kun skal kunne passere sikkerhedsområder, hvortil de har adgangsbehov. For alle områder med it udstyr der det It og sekretariats målsætning at: Side 4 af 8

5 der informeres om at arbejdsstationer, der viser følsomme eller fortrolige data, skal opstilles således, at uvedkommendes mulighed for at aflæse skærmbilleder reduceres. tekniske installationer, sikringsanlæg og overvågningsudstyr beskyttes mod trusler og ulykker fra omgivelserne og mod uautoriseret adgang Nøgle- og låsesystem nøgle- og låsesystemer yder beskyttelse mod uautoriseret adgang til lokaliteter med adgangsbegrænsning, og at de overholder kravene i DS 471. personalet kan evt. få udleveret nøgle til de centrale edb-ressourcer mod kvittering, og instrueres om, at det udleverede kun er til eget personligt brug, og at bortkomst af det udleverede straks skal meldes. Der skal ske en registrering af de personer, som får udleveret nøgle og/eller adgangskort. personale, som fratræder kommunen, får deres adgangsmuligheder inddraget Krav til kabel- og vandinstallationer kabler og tilhørende udstyr til elforsyning og datakommunikation skal installeres som 'skjult' installation, således at de ikke er umiddelbart synlige og tilgængelige for uautoriserede personer. stophaner til vandforsyning og afbrydere til elforsyning skal være umiddelbart tilgængelige, og personalet skal have kendskab til deres placering. kabelbakker og -kanaler skal placeres og beskyttes således, at uautoriserede personer ikke uden anvendelse af stige eller værktøj kan få umiddelbar adgang til dem. sikringer, afbrydere, omskiftere og lignende skal placeres inden for det sikkerhedsområde, som de betjener. fordelingsbokse, broer og linieomskiftere til netværksnoder skal placeres i aflåste skabe eller celler i private eller særlige sikkerhedsområder. alle gennembrydninger mellem brandceller udføres med tilstrækkelig brandtætning. Kravene til brandtætning kan regnes opfyldt, hvis Brandteknisk vejledning nr. 31 fra Dansk Brandteknisk Institut følges Offentlig elforsyning leverandørens krav til spændingskvalitet og jordforbindelser opfyldes. der ved eltavler til forsyning af edb-udstyr installeres specielle gruppeafbrydere, som er separeret fra øvrige gruppeafbrydere. Side 5 af 8

6 edb-udstyr tilsluttes specielle edb-stikkontakter Brand, køl-, indbrud, nødstrøms, og ventilationanlæg it anlæg som anvendes til væsentlige aktiviteter eller kritiske systemer, skal kunne elforsynes via et lokalt placeret nødstrømsanlæg af typen UPS-anlæg (Uninterrupted Power Supply) med en spændingsstabilisator og et filter mod spændingsspidser. UPS-anlægget skal kunne opretholde strømforsyningen mindst 10 minutter og om muligt sikre automatisk nedlukning. ventilationsanlæg skal vedligeholdes og serviceres, så de er funktionsduelige. køleanlæg vedligeholdes og serviceres køleanlægget er forsynet med alarmeringsanlæg, der automatisk giver akustisk og visuelt signal ved svigt og fejl på køleanlægget. servere og andre centrale it anlæg mv. bliver vedligeholdt i overensstemmelse med leverandørens forskrifter. der er håndslukningsanlæg placeret let tilgængeligt serverrum mv. beskyttes mod lynnedslag Elektromagnetisk aflytning der foretages en risikovurdering for at klarlægge, om der er behov for sikring mod elektromagnetisk aflytning Sikring af udstyr uden for arbejdsstedet eller på rejse Uanset ejerforhold skal alt edb-udstyr, der benyttes uden for kommunens sikkerhedsområder, skal omfattes af den samme sikkerhed, som findes inden for kommunens sikkerhedsområder. It-drift skal sikre at: der i forbindelse med udlevering af nye stationære og bærbare pc ere henvises til instruktion om it-udstyr. Reglerne for udleveret udstyr er: udstyret skal anvendes med de samme kontroller, som anvendes i kommunen. transportable pc ere, der efterlades, skal opbevares i et aflåst skab eller aflåst lokale. under rejser må transportable pc ere og andet medbragt it udstyr ikke efterlades uovervågede. under rejser skal transportable pc ere medtages som håndbagage. 3.2 Beskyttelse af kommunens edb-aktiver Edb-aktiver skal beskyttes mod uautoriseret fjernelse. Side 6 af 8

7 It og sekretariat skal sikre at: der informeres om at for hver fjernelse af it udstyr i kommunen skal der forligger en formel godkendelse fx på . fabrikat, type- og serienumre for it-udstyr registreres og sikres med beskyttelsesmærkning. Inventarlisterne skal opbevares tyveri og brandsikkert.. alle lagermedier i it-udstyr der skal bortskaffes skal slettes eller destrueres. It og sekretariat skal til stadighed undersøge, hvilke metoder der kan sikre destruktion af lagermedier. datamedier der indeholdender følsomme eller fortrolige data, kun repareres af reparatører der har underskrevet en tavshedserklæring. datatilsynet kontaktes inden datamedier sendes til udlandet til reparation, hvis de indeholder fortrolige eller følsomme data 3.3 Tekniske sikringsforanstaltninger Det skal forhindres, at den normale edb-drift afbrydes ved et bevidst eller utilsigtet indgreb eller uheld. It og sekretariats målsætning er at: krydsfelter placeres således, at de ikke er umiddelbart tilgængelige og samtidig er beskyttet mod bevidste og utilsigtede angreb fx ved placering i aflåste skabe eller i private eller særlige sikkerhedsområder. Forbindelserne i krydsfelterne skal være tydeligt opmærkede, så fejlopkobling kan undgås eller let kan afsløres. Der skal forefindes en veldokumenteret topologisk beskrivelse over alle kabelforbindelser og krydsfelter. 4 Definitioner og forkortelser Internet: World Wide Web: Kryptering: Uopfordret: Kort for elektronisk post, transmissionen af beskeder over kommunikationsnetværk. Et globalt elektronisk netværk der forbinder computere. Repræsenterer et system af internet servere der supporterer dokumenter der har et specielt format kaldet HTML (HyperText Markup Language). Dette sprog supporterer links til andre dokumenter såvel som grafik, audio og video filer. Kryptering af data medfører at indholdet præsenteres i et uigenkendeligt format modsat klartekst. Kryptering bruges til opbevaring og transmittering af data, og dekryptering sker typisk ved angivelse af adgangskode. Enhver henvendelse, modtageren ikke på forhånd har anmodet om. Side 7 af 8

8 Tilgængelighed: Integritet Fortrolighed: Sikkerhed for at brugere kan tilgå information. Forebyggelse af uautoriseret ændring af information. Forebyggelse af uautoriseret afsløring af information. 5 Referencer Dansk standard for edb-sikkerhed, DS British Standard for information security, BS 7799, IT-sikkerhedspolitik, marts 2003 Side 8 af 8