NOTAT. Køge Kommune It-sikkerhed Overordnede retningslinjer ITafdelingen. Fællesforvaltningen. Dato Sagsnummer Dokumentnummer

Transkript

1 NOTAT Fællesforvaltningen Dato Sagsnummer Dokumentnummer ITafdelingen Køge Rådhus Torvet Køge Tlf Fax Køge Kommune It-sikkerhed Overordnede retningslinjer 2010 Kontakt: IT-afdelingen it@koege.dk Side 1/8

2 Ordforklaring Informationsrelaterede aktiver. Informationsrelaterede aktiver er al den information og viden, der løbende bygges op gennem daglig sagsbehandling, vedligeholdelse af databaser og udvikling af nye produkter og tiltag. Organisationens informationsrelaterede aktiver er: informationsaktiver (databaser, filer, systemdokumentation, interne håndbøger, undervisningsmateriale, driftsvejledninger, beredskabsplaner, nødplaner, kontrakter) systemaktiver (brugersystemer, styresystemer, udviklings- og hjælpeværktøjer) fysiske aktiver (informationsbehandlingsudstyr, kommunikationsudstyr, lagringsmedier, nødstrømsforsyning, møbler, lokaler) serviceaktiver (serviceydelser, kritiske forretningsgange, forsyninger) menneskelige aktiver (medarbejdere, deres kvalifikationer, ekspertise og erfaring) immaterielle aktiver (omdømme og goodwill). Systemejer Systemejer ejer systemaktivet og har det overordnede ansvar for systemet. Systemejer er typisk en direktør eller afdelingschef. Systemansvarlig Systemansvarlig har det daglige ansvar for at systemet fungerer, som det skal. Side 2/8

3 Indledning De overordnede retningslinjer for it-sikkerhed er en uddybning af itsikkerhedspolitikken. Retningslinjerne er opbygget således, at der er direkte reference til DS 484. En uddybning af de overordnede retningslinjer kan læses i en række procedurer. It-sikkerhedspolitik, Overordnede retningslinjer og procedurer kan findes på Køge Kommunes Intranet. Organisering af it-sikkerhedsarbejdet (DS484 Kap. 6) It-sikkerhedsarbejdet er organiseret i fire organisatoriske niveauer, der har følgende roller: Niveau 1 Byrådet - Godkendelse af Køge Kommunes it-sikkerhedspolitik - Godkendelse af de overordnede retningslinjer Niveau 2 Direktionen - Årlig opfølgning på Køge Kommunes it-sikkerhed Niveau 3 It-sikkerhedsudvalget - Godkender it-sikkerhedsregler - Godkender it-sikkerhedsprocedurer - Udarbejder årlig afrapportering til Direktørgruppen Niveau 4 It-sikkerhedskoordinator - Koordinerer og kontrollerer sikringsforanstaltninger - Udarbejder årlig afrapportering til It-sikkerhedsudvalget It-afdelingen - Udarbejder it-sikkerhedspolitik - Udarbejder de overordnede retningslinjer - Udarbejder it-sikkerhedsregler - Udarbejder generelle it-sikkerhedsprocedurer Systemejere/Systemansvarlige - Systemspecifikke it-sikkerhedsprocedurer Side 3/8

4 Definitioner (DS484 Kap. 2) Køge Kommune favner bredt med hensyn til fagområder og kulturer. Det er derfor afgørende, at der opnås enighed om, hvilke definitioner der anvendes i forbindelse med udarbejdelsen af politikker, retningslinjer og regler for it-sikkerhedsarbejdet. I den forbindelse er det valgt at benytte definitionerne fra DS484:2005 kapitel 2 som grundlag for arbejdet. Udover de generelle definitioner fra DS484 er der medtaget følgende to former for klassificering. Den første er værdiklassificeringen, som omhandler både informationsaktiver og informationer. Værdiklassificeringen består af to niveauer; Kritisk Defineret som aktiver og informationer, der understøtter de processer, som ledelsen vurderer som kritiske for Køge Kommunes virke. Ikke kritisk Defineret som aktiver og informationer, der er vurderet til ikke at være kritiske for Køge Kommune. Den anden klassificering er fortrolighedsklassificeringen. Denne tager udgangspunkt i DS 484 og består af følgende 4 niveauer; Offentlige informationer Defineret som informationer og data, som alle brugere kan få adgang til, hvis de ønsker det. Dette kan f.eks. være offentlige virksomhedsoplysninger og hjemmesider. Interne informationer Defineret som informationer og data, der kun må anvendes og kommunikeres internt i Køge Kommune, og som i den daglige drift er nødvendige for de brugere, der skal anvende dem. Følsomme informationer Defineret som informationer og data, som kun særligt betroede brugere kan få adgang til for at kunne udøve deres betroede arbejdsfunktioner, og hvor et brud på fortroligheden kan have skadelig virkning for Køge Kommune eller Køge Kommunes samarbejdspartnere, f.eks. personrelaterede data, kontrakter, virksomhedsfølsomme data. Fortrolige informationer Defineret som informationer og data, der har en særlig sensitiv karakter, og som kun ganske få brugere kan få adgang til, eller informationer som kun særligt betroede medarbejdere får adgang til i forbindelse med betroede arbejdsfunktioner, og hvor et brud på fortroligheden kan have særdeles skadelig virkning. Dette kan f.eks. være oplysninger om samarbejde med advokat, revisor og andre myndigheder. Side 4/8

5 Samarbejde (DS 484 Kap. 6) Ved indgåelse af aftaler med eksterne partnere skal det sikres, at det for Køge Kommune vedtagne it-sikkerhedsniveau opfyldes for såvel Køge Kommune som helhed som for den enkelte afdeling. Disse aftaler skal indeholde beskrivelse af de vedtagne sikringsforanstaltninger, der er implementeret som led i aftalen. Endvidere skal enhver aftale indeholde en klar fordeling af roller og ansvar i forhold til drift, vedligehold og it-sikkerhed. Styring af informationsrelaterede aktiver (DS 484 Kap. 7) Køge Kommune skal identificere og værdiklassificere samtlige systemaktiver. Der skal udpeges en systemejer og en systemansvarlig for hvert itsystem, således at ansvar og opgaver er placeret. Endvidere skal det sikres, at der opretholdes et passende beskyttelsesniveau for it-systemerne, som modsvarer deres betydning for Køge Kommune. Informationer skal klassificeres i henhold til deres fortrolighed i Køge Kommune. Køge Kommune skal vedligeholde en systemoversigt over samtlige kommunens anvendte it-systemet. Af oversigten skal fremgå systemejer, systemansvarlig, værdiklassifikation samt fortrolighedsklassifikation. Oversigten skal løbende revideres. Medarbejdersikkerhed (DS 484 Kap. 8) Alle ansatte, politikere og personer, som er midlertidigt tilknyttet til Køge Kommune (herefter kaldet "brugere"), skal gøres opmærksomme på deres ansvar i relation til anvendelsen af Køge Kommunes informationsaktiver. I særdeleshed nye brugere skal informeres og uddannes for derved at minimere risikoen for fejl og misbrug. Brugere med adgang til informationer, som er klassificeret som "fortroligt" skal underskrive en tavshedserklæring. Hvis en bruger bliver bekendt med en sårbarhed, må brugeren ikke udnytte denne men skal rapportere denne som en sikkerhedshændelse i Helpdesksystemet. Inden en brugers tilknytning til Køge Kommune ophører, skal det sikres, at Køge Kommune er i besiddelse af eventuelle kritiske informationer, som er udarbejdet eller revideret af pågældende bruger. Det skal endvidere sikres, at adgangsrettigheder til informationsaktiverne slettes når tilknytning til Køge Kommune ophører. Fysisk sikkerhed (DS 484 Kap. 9) Køge Kommune skal beskytte informationsaktiver imod fysiske skader samt forhindre at uvedkommende personer kan få fysisk adgang til disse. Dette gælder informationsaktiver og udstyr, der er placeret internt såvel som eksternt. Der skal anvendes en særlig beskyttelse i forbindelse med informationsaktiver, der er kritiske for Køge Kommune. Den fysiske sikkerhed skal have et niveau, som står i naturligt forhold til de ting, som skal sikres. Køge Kommune foretager derfor en klassificering, Side 5/8

6 hvor afhængighed og værdi er afgørende for i hvilken sikkerhedsklasse itudstyr placeres. Kravene til den fysiske sikkerhed er opdelt i 3 sikkerhedsklasser: Sikkerhedsklasse 1: Omfatter centralt udstyr, herunder servere og kommunikationsudstyr i centrale serverrum Sikkerhedsklasse 2: Omfatter servere og kommunikationsudstyr i andre serverrum samt krydsfelter Sikkerhedsklasse 3: Omfatter almindeligt it-udstyr i kommunens lokaler samt decentrale arbejdspladser, herunder primært pc'er, printere, bærbart udstyr og tilsvarende periferiudstyr. Forældet eller defekt it-udstyr, der indeholder fortrolige eller følsomme informationer, skal behandles på en sådan måde, at disse informationer ikke kan komme til tredjepersons kendskab. Dette kan ske i form af destruktion eller anden form for permanent sletning. Styring af netværk og drift (DS 484 Kap. 10) Via anvendelse af fastlagte og dokumenterede procedurer skal det sikres, at den daglige drift og styring af informationsaktiver sker på en betryggende måde. Endvidere skal der implementeres sikringsforanstaltninger, der skal sikre, at det vedtagne sikkerhedsniveau opfyldes. Der skal implementeres beskyttelse mod skadevoldende programmer (virus, orme, trojanske heste og lign.). Denne beskyttelse skal også virke som en opdagende foranstaltning i tilfælde af sikkerhedsbrud. Der skal udføres en sikkerhedskopiering (backup) af kritiske informationer efter en fastlagt procedure, hvori det også sikres, at sikkerhedskopierede informationer kan anvendes, hvis der er behov for at genskabe data. Informationer, der sendes eller transmitteres enten via datamedier, netværk eller anden form, skal sikres mod kompromittering i forhold til informationernes fortrolighedsklassificering. Der skal i relevant omfang foretages en overvågning og logning af aktiviteter på informationsaktiverne, således at sikkerhedsrelaterede hændelser registreres. Denne registrering skal kunne anvendes til at undersøge eventuelle uønskede forhold. Det bør med passende intervaller kontrolleres, at sikringsforanstaltningerne fungerer optimalt for derved at få vished om, at det vedtagne sikkerhedsniveau opfyldes. Adgangsstyring (DS 484 Kap. 11) Det skal sikres, at informationsaktiverne kun er tilgængelige for autoriserede brugere, og at uautoriserede brugere nægtes adgang. Tildeling af adgang skal sikres således, at misbrug og kompromittering af informationsaktiverne forhindres. Der skal udvises særlig opmærksomhed omkring tildeling af brugerkonti med udvidede beføjelser. Side 6/8

7 Kodeord skal anvendes i forbindelse med brugerkonti. Kvaliteten af disse kodeord skal afspejle værdiklassificeringen af de informationer, der er adgang til. Brugere skal informeres om deres ansvar omkring beskyttelse af kodeord samt beskyttelse af informationer. Køge Kommune skal sikre, at der implementeres sikringsforanstaltninger til beskyttelse af det interne netværk mod såvel offentlige netværk som andre eksterne netværk. Endvidere skal der etableres beskyttelse mod sikkerhedsbrud fra mobilt- eller fjernopkoblet udstyr. Anskaffelse, udvikling og vedligeholdelse (DS 484 Kap. 12) It-sikkerhed skal være en integreret del af beslutningsprocessen i forbindelse med anskaffelse, udvikling og vedligeholdelse af informationsaktiver. Dette opnås ved at anvende dokumenterede procedurer og forretningsgange i den daglige drift samt dokumenterede kravspecifikationer i forbindelse med udvikling og drift, hvori it-sikkerhed indgår. Opgraderinger og tilpasninger af eksisterende informationsaktiver skal ske efter fastlagte og dokumenterede procedurer, hvor dette er relevant. For kritiske informationsaktiver skal der fortages en validering af informationerne, såvel ind- som udgående, for at sikre, at integriteten er fuldstændig. Informationer må kun anvendes til test og udvikling mod forudgående tilladelse fra den respektive "ejer" af aktivet. Adgang til informationer, der er sikret ved anvendelse af kryptografi, må ikke afhænge af enkeltpersoner. Sikkerhedshændelser (DS 484 Kap. 13) Alle brugere, der benytter informationsaktiver under Køge Kommunes ansvar, skal være bekendt med, hvordan sikkerhedshændelser og sikkerhedsbrud rapporteres til Køge Kommune, for at sikre en korrekt håndtering. Indberettede sikkerhedshændelser skal behandles i relation til deres kategorisering og på en sådan måde, at de over en periode kan anvendes til en kontinuerlig forbedring af såvel forebyggende som udbedrende sikringsforanstaltninger. I tilfælde af lovovertrædelser skal der sikres beviser, som i givet fald skal kunne anvendes som retslige beviser på et senere tidspunkt. Beredskabsstyring (DS 484 Kap. 14) Hver forvaltning i Køge Kommune skal sikre et beredskab omkring anvendelse af forvaltningens informationsaktiver, og dette beredskab skal modvirke længerevarende afbrydelser og nedbrud af de kritiske informationsaktiver. I det omfang det kan lade sig gøre, skal it-sikkerhedsberedskabet indarbejdes i de øvrige beredskaber for andre områder f.eks. bygninger og lign. Side 7/8

8 Lovbestemte og kontraktlige krav (DS 484 Kap. 15) Køge Kommunes medarbejdere skal være bekendt med gældende lovgivning på alle de områder, hvor informationsaktiver anvendes. Denne lovgivning med tilhørende bekendtgørelse og cirkulære samt øvrige kontraktlige forpligtelser, skal efterleves. Overholdelsen og efterlevelsen af it-sikkerhedspolitikken med tilhørende dokumenter skal kontrolleres og revideres. Denne kontrol og revision skal til enhver tid foretages således, at det forstyrrer den daglige drift og anvendelse af informationsaktiverne mindst muligt. Eventuelle test- og revisionsværktøjer må kun benyttes efter forudgående godkendelse af informationsaktivets "ejer". Side 8/8