Faaborg-Midtfyn Kommunes it-sikkerhedspolitik Udkast pr. 26. maj 2009

Transkript

1 1. Indledning It-anvendelsen i Faaborg-Midtfyn Kommune skal understøtte kommunens vision. Samtidig ønsker Faaborg- Midtfyn Kommune, at medarbejderne har en bevidst holdning til begrebet it-sikkerhed, hvor der lægges vægt på reel sikkerhed frem for formel sikkerhed. Faaborg-Midtfyn Kommunes it-sikkerhedspolitik respekterer de krav, som lovgivningen til enhver tid måtte stille har udgangspunkt i den overordnede it-strategi for Faaborg-Midtfyn Kommune. fastsætter hovedprincipperne for den overordnede it-sikkerhed i kommunen, herunder placering af ansvaret for varetagelse af it-sikkerheden. De overordnede regler uddybes i en række bilag til it-sikkerhedspolitikken: Bilag 1. It-sikkerhedsorganisation Bilag 2. Oversigt over systemer med dataejere og daglig ansvarlige Bilag 3. Regler om autorisation og benyttelsesregistrering Bilag 4. Retningslinier for it-brugere Bilag 5. Retningslinier for den fysiske sikkerhed Bilag 6. Retningslinier for administratoradgang Bilag 7. It-beredskabsplan for Faaborg-Midtfyn Kommune Bilag 8. Rammer og retningslinier for anvendelse af hjemmearbejdspladser Bilag 9. Overdragelse eller bortskaffelse af it-udstyr Bilag 10. Placering af navne på funktioner. 2. Personer omfattet af Faaborg-Midtfyn Kommunes it-sikkerhedspolitik It-sikkerhedspolitikken gælder for: Alle der benytter Faaborg-Midtfyn Kommunes it-infrastruktur. Personer omfattet af Faaborg-Midtfyn Kommunes it-sikkerhedspolitik vil i hoveddokument og bilag efterfølgende blive benævnt som brugere. 3. Ajourføring Den øverste it-sikkerhedsansvarlige skal sikre, at it-sikkerhedspolitikken vedligeholdes og fremsætte begrundede forslag til ændringer heri. Redaktionelle ændringer, som ikke ændrer de grundlæggende principper i it-sikkerhedspolitikken, kan dog foretages af den daglige it-sikkerhedsansvarlige. Tilsvarende gælder ændringer affødt af kommunalbestyrelsesbeslutninger o.a., hvor it-sikkerhedsansvarlige også kan foranledige konsekvensrettelser af it-sikkerhedspolitikken. Nye bilag samt øvrige ændringer af bilag til it-sikkerhedspolitikken skal godkendes af øverste itsikkerhedsansvarlige. 4. Formål It-sikkerhedspolitikken har til formål, at afspejle såvel myndighedskrav som kommunens egne behov afbalancere it-sikkerheden naturligt i forhold til de værdier og informationer, som skal beskyttes, ud fra en afvejning af væsentlighed og risiko, herunder nødberedskab sikre driftssikkerhed og tilgængelighed til systemer og data er til stede placere ansvaret for de enkelte elementer i it-sikkerheden entydigt indarbejde it-sikkerheden i de naturlige forretningsgange mellem Faaborg-Midtfyn Kommunes forvaltninger, decentrale institutioner og samarbejder mellem andre offentlige myndigheder Side 1/6

2 etablere it-sikkerheden på et effektivt og ensartet niveau, så risikoen for alvorlige fejl begrænses skærpe de enkelte medarbejderes opmærksomhed på sikkerhed i forbindelse med anvendelse af it og sikre, at alle medarbejdere er omfattet af et entydigt regelsæt. 5. Ansvar og organisation 5.1. Øverste it-sikkerhedsansvarlige Det overordnede ansvar for Faaborg-Midtfyn Kommunes it-sikkerhedspolitik er placeret hos øverste itsikkerhedsansvarlige, som er kommunaldirektøren. It-sikkerhedsorganisationen er beskrevet i bilag Teamleder it-sikkerhed Teamleder it-sikkerhed og dennes stedfortræder er kontaktpersoner vedrørende it-sikkerhedsmæssige spørgsmål i forhold til de dataejere, der er ansvarlige for Faaborg-Midtfyn Kommunes it-systemer. It-sikkerhedsteamet varetager desuden følgende områder: Det systemtekniske arbejde, herunder behandling af sikkerhedsrapporter og benyttelsesstatistikker, rettighedshåndtering, iværksættelse og tjek af logning m.m. Identificering og detailbeskrivelse af lokale systemer Udarbejdelse af ajourføringsforslag til kommunens it-sikkerhedspolitik Konsulent overfor it-chefen i.f.m. udarbejdelse og ajourføring af it-beredskabsplanen. It-sikkerhedsteamet er overfor dataejerne konsulent på følgende områder: Kontakt til Datatilsynet Udarbejdelse og afprøvning af nødplaner Brugeradministration af de lokale systemer 5.3. Ansvar i organisationen Ansvaret for overholdelse af it-sikkerhedspolitikken følger kommunens organisatoriske opbygning. Aftaleholdere er dermed ansvarlige for it-sikkerheden i de respektive systemer, som løser konkrete opgaver indenfor det pågældendes ansvarsområde. Herudover har Faaborg-Midtfyn Kommune en række medarbejdere, som er ansvarlige for delelementer i itsikkerheden Ansvar hos samarbejdspartnere Ansvaret for overholdelse af it-sikkerhedspolitikken hos samarbejdspartnere, som kommunalbestyrelsen har indgået aftale med, er placeret hos den øverste it-sikkerhedsansvarlige hos den pågældende myndighed Dataejer For alle væsentlige anvendte, definerbare datamængder identificeres en dataejer, som tildeles ansvaret for, at kommunens data varetages med en hensigtsmæssig sikkerhed. Dataejere er aftaleholdere. Dataejere kan delegere ansvaret internt eller overdrage ansvaret for håndteringen af it-sikkerheden til eksterne samarbejdspartnere. For Faaborg-Midtfyn Kommunes fælles, tværfaglige systemer skal der udpeges en dataejer, som varetager den koordinerende rolle vedrørende dataanvendelsen. Dataejere og daglige ansvarlige fremgår af bilag Revision Mindst en gang om året skal der foretages revision af, om reglerne i Faaborg-Midtfyn Kommunes itsikkerhedspolitik i praksis efterleves. Varetagelsen af sikkerheden kontrolleres og revideres ud fra en konkret vurdering af væsentlighed og risiko. Kommunaldirektøren er ansvarlig for, at denne revision foretages. 6. Regelsæt 6.1. Datalovgivningen Datalovgivningen har til formål at sikre følsomme data imod misbrug. Datalovgivningen omfatter Side 2/6

3 såvel enkeltstående data som samling af data, eksempelvis en telefonbog, en adresseliste eller et personalekartotek. Lov nr. 429 af 31. maj 2000 om behandling af personoplysninger (Persondataloven) indeholder en række regler, som giver den registrerede forskellige rettigheder over for myndigheder og virksomheder (den dataansvarlige), som behandler oplysninger om den pågældende. Loven gælder for behandling af personoplysninger, som helt eller delvist foretages ved hjælp af elektronisk databehandling, og for ikke-elektronisk behandling af personoplysninger, der er eller vil blive indeholdt i et register. Dataejerne har ansvaret for, at kravene i datalovgivningen overholdes, og skal inden iværksættelse af en behandling af oplysninger omfattet af Persondataloven foretage anmeldelse til Datatilsynet. Regler om autorisation og benyttelsesregistrering fremgår af bilag Retningslinier for it-brugere Den enkelte medarbejder, som er autoriseret til at anvende kommunens it-systemer, skal gøres bekendt med retningslinier for it-brugere jfr. bilag 4. Udover en række praktiske oplysninger om anvendelse af programmer og hardware beskriver retningslinierne ligeledes den enkelte medarbejders ansvar som it-bruger. Da it-anvendelsen følger den generelle teknologiske udvikling, vil retningslinierne med jævne mellemrum blive ajourført af itsikkerhedsteamet. 7. Fysisk sikkerhed Faaborg-Midtfyn Kommune ønsker at sikre de fysiske installationer mod ulykker, hærværk, tyveri og forsyningssvigt. Den fysiske sikring af Faaborg-Midtfyn Kommunes it-installation skal være i overensstemmelse med afhængigheden af it-driften og tillige afspejle den værdi, som it-udstyr og data repræsenterer. Kravene til sikring af centralt udstyr er således højere end kravene til sikring af udstyr i kontormiljøerne. Fastsættelse af sikkerhedsniveauet skal ske i henhold til nedenstående og bilag Bygningsindretning Installation af servere skal etableres i særligt indrettede lokaler. Lokalerne skal indeholde de fornødne installationer og være sikret hensigtsmæssigt. Krydsfelter og netværksenheder skal behandles med tilsvarende omhu Adgangskontrol Der skal være procedurer som sikrer, at det kun er autoriserede medarbejdere, som har adgang til serverrum, krydsfelter og lignende Alarmsystemer Faaborg-Midtfyn Kommune skal etablere tilstrækkelige alarmforanstaltninger på relevante bygninger og lokaler, så eventuelle uregelmæssigheder alarmeres til døgnbemandet funktion Registrering af aktiver/forsikring It-staben skal registrere samtlige hardware- og softwareenheder, som repræsenterer en væsentlig værdi. Denne registrering har til hensigt at danne et overblik over kommunens it-mæssige aktiver, herunder licensforhold, pc'er, skærme m.m. er beskyttet mod tyveri ved mærkning af udstyret. Der må ikke afvikles programmer, uden at der er behørig dokumentation for licensforhold, jf. afsnit vedrørende licenser i bilag 4. Eventuel forsikring af systemer og hardware til sikring af kommunens it-infrastruktur følger Faaborg-Midtfyn Kommunes almindelige regler vedrørende forsikring af aktiver. Side 3/6

4 8. Datasikkerhed Datagrundlaget i Faaborg-Midtfyn Kommunes it-systemer repræsenterer en væsentlig værdi, ligesom der kan være tale om fortrolige oplysninger. Disse værdier skal sikres mod uautoriseret adgang og imod tab og forvanskning. Dataejere skal derfor i fællesskab med it-staben fastsætte et sikkerhedsniveau, som er i overensstemmelse med de værdier, der skal sikres, og samtidig gøre det muligt for brugerne at opnå en fornuftig anvendelse af systemerne. Fastsættelse af sikkerhedsniveauet skal ske i henhold til nedenstående Tildeling og ændring af autorisation Kun medarbejdere med et tjenstligt behov kan få adgang til kommunens it-systemer herunder data. Øverste it-sikkerhedsansvarlige har ansvaret for at udarbejde forretningsgange for tildeling og ændring af autorisationer, som sikrer ovenstående. Se bilag 3. Dataejer eller daglige ansvarlige er ansvarlig for at definere, hvilke systemer eller informationer, medarbejderne skal have adgang til. Aftaleholdere er ansvarlige for at definere, hvilke systemer og informationer borgere, virksomheder og andre skal have adgang til. Herunder tildeling og ændring af adgangsrettigheder Sletning af autorisation Ved fratrædelse skal den enkelte medarbejders adgang til kommunens it-systemer vurderes af aftaleholderen, som er ansvarlig for afbrydelse af adgang til respektive systemer. Ved afskedigelse skal adgang til kommunens it-systemer straks lukkes. Ud fra en konkret vurdering i hvert enkelt tilfælde, kan adgangen genåbnes indtil endelig fratrædelse finder sted Registrering af dataanvendelsen Relevante system- og dataanvendelse skal registreres (logges). Øverste it-sikkerhedsansvarlige tager stilling til logningsniveauet for både overordnede systemer og de enkelte fagsystemer. Logningen skal som minimum være i overensstemmelse med datalovgivningen og struktureres ud fra en vurdering af væsentlighed og risiko Udskrifter Det påhviler aftaleholdere at sikre, at udskrifter kun bliver anvendt i overensstemmelse med den afgrænsning, der findes i anmeldelsen for det pågældende system. Herudover skal forvaltningschefen sikre, at udskrifter, der indeholder følsomme data, bliver opbevaret betryggende, så uvedkommende ikke kan få adgang til disse Sikkerhedskopiering For at sikre, at alle relevante data bliver sikkerhedskopieret, skal alle medarbejdere placere arbejdsdokumenter, regneark og lignende på centrale servere, som beskrevet i bilag 4. For hvert enkelt system skal dataejer tage stilling til frekvensen i forbindelse med sikkerhedskopiering. Der skal for hvert system foretages en teknisk afprøvning af kopieringsrutinerne, herunder kontrol af genetableringsprocedurerne, mindst én gang om året eller i forbindelse med omlægning af rutinerne. It-staben er ansvarlig for procedurer vedrørende sikkerhedskopiering af kommunens servere. Side 4/6

5 8.6. Datakvalitet Systemer må ikke ibrugtages, før der er foretaget testning, hvor omfanget afhænger af væsentlighed og risiko. Efterfølgende ændringer af systemet skal tillige testes. For hvert system skal dataejer tage stilling til, hvilke interne kontroller, der skal udføres i forbindelse med databehandlingen, og hvem der er ansvarlig herfor. For egenudviklede systemer skal der foreligge dokumentation for konstruktion og virkemåde, dels af hensyn til medarbejdernes anvendelse af systemet og dels af hensyn til mulighederne for at kunne videreudvikle systemet. Dette gælder også for systemer, som kommunen har fået specialudviklet hos en leverandør Antivirus It-staben tilstræber, at alle relevante enheder, servere og arbejdspladser i kommunen til enhver tid er opdateret med den nyeste version af det anvendte antivirusprogrammel. Endvidere skal de enkelte medarbejdere efterleve de retningslinier, der er beskrevet i bilag Datasikkerhed Der er skærpede sikkerhedskrav til anvendelsen af bærbare computere i henhold til Persondataloven. Forefindes der data på pc en af personhenførbar karakter, skal data være krypteret. Som en generel sikkerhedsprocedure installerer It-staben krypteringssoftware på alle bærbare pc er. Det skal understreges, at aftaleholder har ansvaret for, at Persondataloven og aftalespecifikationer med KMD overholdes. 8.9 Digital signatur og kryptering Anvendelse af digitale signaturer finder stadig større indpas i den offentlige forvaltning. Digitale signaturer anvendes i dag til både adgangskontrol - logon - til en række offentlige tjenester og i forbindelse med afsendelse og modtagelse af elektroniske meddelelser, hvor sikkerhed for identitet, sikkerhed for indholdets autenticitet (uændrethed) og fortrolighed (kryptering) kan være ønsket eller påkrævet. (se bilag 3). 9. Datakommunikation 9.1. Netværk og kommunikationsforbindelser It-staben er ansvarlig for opbygning og vedligeholdelse af netværk og kommunikationsforbindelser, som giver medarbejderne hurtig og sikker adgang til relevante systemer. It-staben vedligeholder oversigter over Faaborg-Midtfyn Kommunes netværk og kommunikationsforbindelser. Adgang til Faaborg-Midtfyn Kommunes netværk skal være sikret, så det kun er autoriserede medarbejdere, som kan få adgang. Serviceadgang for eksterne teknikere i enkeltstående tilfælde bliver kun etableret efter forudgående aftale med It-staben og pågældende tekniker. Serviceadgang af mere permanent karakter bliver kun etableret efter forudgående skriftlig aftale med serviceleverandøren. I begge tilfælde er det Itstabens ansvar at begrænse teknikerens adgang til de elementer i kommunens IT-infrastruktur, som er nødvendig for at kunne løse opgaven. Det er alene Faaborg-Midtfyn Kommunes eget udstyr, som må tilkobles kommunens netværk, hvis der ikke er indhentet forudgående tilladelse fra It-staben. It-staben er ansvarlig for, at adgangen til netværket via internettet er beskyttet med en firewall, samt at opsætning og administration af denne håndteres sikkerhedsmæssigt forsvarligt Hjemmearbejdspladser It-staben er ansvarlig for at udarbejde og vedligeholde retningslinier for anvendelse af hjemmearbejdspladser. Side 5/6

6 9.3. Nyt it-udstyr Udviklingen i teknologien medfører fortsat nye typer af databærende og databehandlende udstyr, eksempelvis PDA. It-sikkerhedsteamet er ansvarlig for, at der i relevant omfang bliver udarbejdet og vedligeholdt særlige sikkerhedsregler for udstyr af denne type, som måtte blive taget i anvendelse. 10. Webbaserede selvbetjeningsløsninger I forbindelse med den voksende udbredelse af webbaserede løsninger i kommunerne, er der behov for at have en ensartet strategi for disse. Systemerne bliver typisk udviklet af forskellige udbydere, og systemerne er uensartede i forhold til teknik og platform. Det påhviler dataejer at sikre, at systemernes sikkerhedsniveau opfylder de krav, der stilles i Persondataloven, Bekendtgørelse 528 af 15. juni 2000, samt dennes henvisning til Dansk standard DS At systemerne opfylder en best pratice i it-sikkerhedsmæssig øjemed. Og endelig at gøre itsikkerheden i systemerne mulig at forvalte, så disse ikke pålægger Faaborg-Midtfyn Kommune unødig tidskrævende forvaltning af sikkerheden. 11. Egenudvikling og anskaffelse af systemer Egen udviklede systemer skal opfylde samme krav og leve op til samme regler som alle andre systemer i Faaborg-Midtfyn Kommune. Af hensyn til kontraktlige forhold, testning og drift med mere, skal It-staben altid inddrages i processen, inden køb og installation af nye systemer på kommunens netværk. 12. Nødberedskab Faaborg-Midtfyn Kommuneskal råde over en ajourført it-beredskabsplan, der sikrer, at væsentlige forretningsgange og opgaver inden for en given tidsperiode kan videreføres i prioriteret og kontrolleret rækkefølge. It-beredskabsplanen skal desuden formindske risikoen for, at væsentlige forretningsgange ikke vil blive unødigt hæmmet i forbindelse med eventuelle nødsituationer i it-driften. Nødberedskabet skal stå i naturligt forhold til vigtigheden af det driftsmiljø, som skal beskyttes. It-beredskabsplan for Faaborg-Midtfyn Kommunefremgår af bilag 10. Dataejere har ansvaret for at foretage en vurdering af forretningsgangene i forhold til afhængigheden af itsystemerne, og herudfra vurdere og fastsætte behovet for, og udarbejdelse af en nødplan for de pågældende systemer. I tilfælde af krise/katastrofe skal reglerne i Faaborg-Midtfyn Kommunes Beredskabsplan følges. Side 6/6