Et koncentrat af retningslinjerne i søjle B, herunder retningslinjer for it-brugere, bliver også distribueret i kommunens it-sikkerhedsfolder:

Transkript

1 Søjle B Retningslinjer for it-brugere Bilag B 1 Retningslinjer for it-brugere Alle medarbejdere i Holbæk Kommune, som anvender en it-arbejdsplads, skal have kendskab til retningslinjer for it-brugere. Retningslinjerne er en del af kommunens i-sikkerhedspolitik, som består af de overordnede i- sikkerhedspolitiske regler, i-sikkerhedshåndbogen samt en række bilag, der indeholder retningslinjer på konkrete områder. Et koncentrat af retningslinjerne i søjle B, herunder retningslinjer for it-brugere, bliver også distribueret i kommunens it-sikkerhedsfolder: Sikker IT i Holbæk kommune Der gives information til nye it-brugere, når der afholdes informationsmøde for nye ansatte en gang i kvartalet. Der orienteres om kommunens standardsystemer med vægt på sikkerhed. På mødet udleveres et eksemplar af it-sikkerhedsfolderen Folderen formidles i øvrigt til alle kommunens it-brugere mindst en gang om året. Dette sker elektronisk via kommunens intranet HolBækken. Retningslinjer for it-brugere i Holbæk Kommune bliver ajourført af i-sikkerhedskoordinatoren. Chefer har ansvaret for, at alle it-brugere er orienteret om retningslinjer for it-brugere, som de er beskrevet i dette bilag samt søjle B. Det er den enkelte it-brugers ansvar, at retningslinjerne overholdes 1 Den enkeltes ansvar som it-bruger Som it-bruger i Holbæk Kommune er man personligt ansvarlig for hvilke handlinger der sker på pc en. Det gælder fra man logger sig på, til man logger sig af igen. Hvis pc en overlades til en kollega, skal man først logge sig af, hvorefter kollegaen kan logge sig på. Man må ikke overlade sin pc til en person, som ikke er autoriseret til Holbæk Kommunes netværk. Læs også retningslinjer for distance- og politiker-pc er i bilag B4. 2 Adgangssikkerhed/password Når man som it-bruger får adgang til kommunens netværk og fælles it-systemer, gives der samtidig adgang til en række ressourcer og oplysninger, som kan være fortrolige og strengt personlige. Derfor bliver alle it-brugere tildelt et brugerid og udstyret med en hemmelig og personlig adgangskode (password). Personlige adgangskoder må ikke videregives til andre - heller ikke kollegaer eller itmedarbejdere. Husk endvidere at adgangskoder skal ændres ved første logon. Det er ikke tilladt at arbejde under anden brugers id. Overtrædelse kan medføre en skriftlig advarsel eller, i tilfælde af grov uagtsomhed og bevidst overtrædelse, bortvisning. Medarbejdere kan blive draget juridisk og økonomisk til ansvar. 1

2 Gode adgangskoder For at adgangskoder skal have den ønskede effekt er det nødvendigt, at definere en række minimumskrav til opbygning og længde samt ændringsinterval. En god adgangskode er en bogstav- og talkombination, som er nem at huske, men til gengæld er svær at gætte for andre. Adgangskoder til kommunens netværk og systemer, skal være på mindst 8 karakterer og indeholde både tal og bogstaver, men ingen specialtegn. Adgangskoder til netværket samt KMD s systemer udskiftes efter højst 90 dage. Dette påtvinges af de enkelte systemer. Passwords må ikke genbruges. Systemerne husker tidligere anvendte adgangskoder Brugeren har 3 forsøg til at logge ind på netværket, før systemet spærrer brugeren. Brugeren kan blive "låst op" ved henvendelse til it-afdelingen. I dagligdagen skal man undgå, at andre får kendskab til personlige adgangskoder, da det ved et misbrug er indehaveren, der bliver gjort ansvarlig. Undlad derfor at nedskrive adgangskoder på huskesedler mm. Forsøg på uautoriseret adgang bliver registreret af systemerne. Hvis man får kendskab til forsøg på uautoriseret adgang til kommunens it-systemer eller andre uregelmæssigheder, har man pligt til at underrette i-sikkerhedskoordinatoren eller nærmeste leder. 3 Pauseskærm med password Den almindelige udvikling samt lovgivning om effektivisering af den offentlige forvaltning, betyder en stadig større digitalisering af kommunens forretningsgange. Det har medført, at en række sikkerhedshandlinger og kontroller, som tidligere blev foretaget manuelt, nu finder sted som en integreret del af den elektroniske databehandling. Derfor har det stor betydning, at brugerrettigheder til de enkelte systemer, ikke bliver tilgængelige for andre end den oprettede bruger. For at sikre sig imod uautoriseret adgang til systemer og data, skal pc er og skærmbilleder gøres utilgængelige for uvedkommende ved anvendelse af pauseskærm med adgangskode. (password) Aktivering af pauseskærm For at undgå, at uautoriserede brugere opnår adgang til data- og systemadgange, skal man enten lukke programmer og logge sin bruger af alle systemer og netværk, eller man skal aktivere en pauseskærm med adgangskode. Uanset at der eventuelt er kollegaer til stede, som man arbejder sammen med - og har tillid til - skal adgang til data og programmer fjernes, også selvom pc en kun forlades i en kort periode. Pauseskærmen aktiveres ved at taste Ctrl Alt Delete og derefter vælges Lås Computer. Når pc-en igen skal anvendes tastes igen Ctrl Alt Delete og der indtastes adgangskode til netværket. Aktivering af pauseskærm med adgangskode skal sikre Holbæk Kommune - og den enkelte it-bruger - mod, at andre end den autoriserede bruger, får adgang til personlige rettigheder og data. Automatisk aktivering af skærmlås Hvis man som bruger selv har glemt at aktivere sin pauseskærm, er der i Holbæk Kommune etableret en teknisk løsning, der aktiverer pauseskærmen automatisk, når man ikke har anvendt tastaturet eller musen i 10 minutter. 2

3 Det skal præciseres, at denne funktionalitet udelukkende er en ekstra sikkerhedsforanstaltning. Man er som itbruger ansvarlig for, at deaktivere adgang til data og systemer, så snart man ikke længere har sin pc under opsyn. 4 Beskyttelse imod virus og orme Virus kan beskrives som programstumper, som finder et andet program og tilføjer en ny funktion til dette. Efterfølgende aktiveres viraen enten på et foruddefineret tidspunkt eller i forbindelse med at programmet anvendes. En virus kan samtidig sprede sig og smitte andre programmer. De værste vira kan slette oplysningerne på harddisken, mens andre vira er mere eller mindre humoristiske indslag eller politiske eller ideologiske tilkendegivelser. En pc kan blive smittet via cd er, USB-nøgler, modem, kommunens netværk eller via internet og . For at undgå virus, råder kommunen over et antivirusprogram, som er installeret på alle pc er. For at kunne følge med udviklingen i vira og orme, bliver programmet løbende opdateret således, at man altid kan fjerne nyeste vira. Som et supplement til det almindelige virusberedskab, sker der endvidere filtrering af uønsket og masseudsendt e- mail, også betegnet spam. Selvom der således er etableret effektive værktøjer til at fjerne virus, orme og spam, er det vigtigt, at den generelle anvendelse af eksterne datamedier som cd er, USB-nøgler og internet, foregår under hensyntagen til sund fornuft og god it-skik. For at minimere risikoen for at din pc / kommunens netværk bliver inficeret med virus, gælder følgende regler: Hvis der er vedlagt filer til en , bliver filerne altid scannet for virus, når de åbnes, eksekveres eller gemmes. Dette sker automatisk. Kør altid et virusscan på datamedier, som har været udenfor kommunens netværk eller på anden måde har været i kontakt med andre pc er. Benyt aldrig datamedier, hvor oprindelsen ikke kendes. Virusadvarsler via er oftest kædebeskeder, som ikke har reel baggrund i virkeligheden. Videresend derfor ikke virusadvarsler til andre. Man kan eventuelt kontakte it-afdelingen, som vil foretage en konkret trusselsvurdering. Hvis man har mistanke om, at pc en har fået virus, skal man fysisk afbryde forbindelsen til netværket, for at undgå at virus spredes. Endvidere skal it-afdelingen orienteres omgående. Hvis der er tale om en kendt virus, vil kommunens antivirusprogram automatisk stoppe den pågældende virus og samtidig orientere it-afdelingen om, at man har været ramt af virus Man bør herefter overveje hvordan virus er kommet ind i systemet, for på den måde at undgå fremtidige forekomster. 5 Dokumentdeling og anvendelse af drev På Holbæk Kommunes netværk er der adgang til en række centrale servere og systemer, som flere brugere samtidig kan anvende og dele data fra. Serverne er struktureret med en række fællesdrev, som er områder på servernes datalager, hvor filer kan gemmes. Som it-bruger har man adgang til en del af disse drev, og skal gemme sine dokumenter og andre filer her. Har man adgang til kommunens ESDH system Acadre, KMD SAG, skal dokumenter gemmes her. Vær opmærksom på at mange afdelinger har individuelle arbejdsgange med hensyn til journalisering. Når man oprettes som bruger på kommunens netværk, orienteres man samtidig om adgang til fællesdrev, og om hvor filer og data skal arkiveres. Husk - at personfølsomme data ikke må arkiveres direkte på kommunens drev, men kun i særligt indrettede systemer. Personfølsomme data må dog gemmes på fællesdrev så længe sagsbehandlingen finder sted - højst 30 dage. 3

4 Der må aldrig gemmes data lokalt på pc'en, idet der her ikke vil blive foretaget sikkerhedskopiering/backup af data. Pc ens drev er normalt kun til installation af programmer. Hvis en bruger har et særligt behov for at gemme data lokalt, skal der indhentes tilladelse ved i-sikkerhedskoordinatoren. Personlige dokumenter, data der ikke er direkte til opgaveløsning og sagsbehandling kan gemmes på pc ens lokale drev. Dog er det brugeres eget ansvar at tage sikkerhedskopi. 6 Fysisk sikkerhed Retningslinjerne for fysisk sikring af pc er og printere følger hvad der i i-sikkerhedshåndbogen er defineret som sikkerhedsniveau 2. Retningslinjer for fysisk sikkerhed i serverrum, jf. sikkerhedsniveau 1 fremgår i bilag A5 og retningslinjer for fysisk sikkerhed for distance- og politiker pc er samt bærbare enheder - defineret som sikkerhedsniveau 3 - fremgår i bilag B4 og bilag B5. Pc er og andet udstyr, som er reguleret af sikkerhedsniveau 2, må ikke indeholde personfølsomme oplysninger. Bygningsindretning og placering af udstyr Pc er, printere og øvrige komponenter bør opbevares i beskyttede og sikrede omgivelser således, at der ikke er direkte offentlig adgang og muligheden for uautoriseret adgang minimeres. Skærm til pc skal - så vidt det er muligt placeres, så uvedkommende ikke visuelt kan få adgang til oplysningerne. Printere, som anvendes til udskrivning af personoplysninger - eller andre data, som ikke må blive tilgængelige for uvedkommende - må ikke være placeret i gangarealer eller andre områder, hvor publikum har adgang. Der kan efter behov etableres fysiske foranstaltninger, som fysisk fastgørelse og lignende. Adgangskontrol Det er kun Holbæk Kommunes ansatte, som må have fysisk adgang til administrative pc er og printere. På områder hvor det vanskeligt kan håndhæves, eksempelvis på kommunens institutioner, skal udstyret være placeret under betryggende forhold. Udenfor normal arbejdstid skal it-udstyret være låst forsvarligt inde. 7 Sikkerhedskopiering I den daglige it-anvendelse forventer man at have en mængde data til sin rådighed. Sådan er det også normalt, men det kan gå galt! Konsekvensen af ikke at have en sikkerhedskopi kan være, at det er umuligt at genetablere tabte data. En mulig genetablering kan endvidere være forbundet med et uforholdsmæssigt stort tidsforbrug. Når man gemmer sine data på centrale servere, vil der altid blive taget sikkerhedskopi og man behøver derfor ikke at være bekymret for sine data. Husk derfor altid, at gemme dokumenter, regneark og andre filer, på servere, og IKKE på pc, da der ikke tages sikkerhedskopi af den. Ved anvendelse af kommunens ESDH systemer (Acadre og KMD Sag), bliver alle dokumenter automatisk gemt på en server og dermed sikkerhedskopieret. 4

5 8 Udskrivning Som it-bruger udskriver man ofte dokumenter og notater - enten egne - eller andres. Disse dokumenter kan være fortrolige, og skal behandles med rette omhu. Uddatamateriale, som indeholder personfølsomme eller andre fortrolige oplysninger, skal opbevares på en sådan måde, at uvedkommende ikke kan få adgang. Man skal derfor altid, straks efter udskrivning har fundet sted, afhente dokumenter som er udskrevet på centrale printere, alternativt kan man på f.eks. multifunktionsmaskiner benytte sikker udskrift dvs. anvende kode ved udskrift. Uddatamateriale med fortrolige og personfølsomme oplysninger, må kun behandles af medarbejdere, der er autoriseret til behandlingen af den type oplysninger, samt af personer, der til brug for revision eller drifts- og systemtekniske opgaver, har et konkret arbejdsbegrundet behov. 9 Programanvendelse og licenser Der må ikke anvendes programmer på Holbæk Kommunes it-udstyr uden det er korrekt licenseret. Holbæk Kommune råder over en række generelle licensaftaler, som gælder for alle kommunens standard pc arbejdspladser 10 Hold dig ajour om i-sikkerhed For at sikre at it-installationen er forbundet med optimal sikkerhed, er det vigtigt, at alle it-brugere altid holder sig ajour om nye tiltag og forhold, der har betydning for it-anvendelsen og dermed i-sikkerheden i Holbæk Kommune. Spørgsmål om i-sikkerhed rettes til nærmeste leder eller I-sikkerhedskoordinatoren. 11 Opfølgning og revision Efterlevelse af retningslinjer for it-brugere afprøves løbende af lederne. Afvigelser rapporteres til i- sikkerhedskoordinatoren og i særlige tilfælde til styregruppen for i-sikkerhed. 5