Region Syddanmark Politik for it-sikkerhed Oktober 2009 Version 0.6

Transkript

1

2 Indholdsfortegnelse Generelt 3 Formål 3 Omfang 4 It-sikkerhedsniveau 4 Styring 5 Sikkerhedsbevidsthed 6 Brud på it-sikkerheden 6 Anvendelse af politik for it-sikkerhed i praksis 6 Bilag 1. Anvendelse af politik for it-sikkerhed i praksis 7 Bilag 2. Indholdsfortegnelse for Region Syddanmarks Informationssikkerhedshåndbog 8 Bilag 3. Oversigt over lovgivning 12 Side 2 af 13

3 Generelt Region Syddanmark er en stor og kompleks virksomhed, der i sin vision stræber mod kvalitet, sammenhæng, tilgængelighed, og konkurrencedygtighed og har fokus på både regionens brugere og ansatte. Visionen er: Med regionens brugere som omdrejningspunkt vil vi tilrettelægge vores virksomhed ud fra kvalitet sammenhæng og tilgængelighed Vi vil være konkurrencedygtige, fornyende og dagsordensættende Vi vil skabe en attraktiv arbejdsplads der konkurrerer blandt de bedste med udviklingsmuligheder for den enkelte It-sikkerhedspolitikken skal understøtte regionens vision, værdigrundlag og de strategiske og taktiske mål, der er fastlagt i Region Syddanmark. Regionen løser sine kerneopgaver indenfor fire hovedområder: Somatik Social Psykiatri Regional Udvikling Region Syddanmark varetager opgaver, serviceydelser og interesser for ca borgere. Regionen har ca ansatte. Informationer og informationssystemer udgør et meget væsentligt grundlag for at regionens daglige drift af forretningsområderne. It-sikkerheden er dermed også af stor betydning for virksomhedens troværdighed og funktionsdygtighed. Regionens opgaveløsning sker i høj grad ved behandling, lagring og udveksling af informationer om borgere, regionen og samarbejdspartnere. De informationer som indgår i opgaveløsninger er for en stor dels vedkommende kendetegnet ved, at der er krav om høj fortrolighed (personfølsomme data). Informationer skal være tilgængelige døgnet rundt og må ikke forvanskes eller forsvinde. It-sikkerhedspolitikken understøtter, at regionens håndtering af disse informationer til enhver tid sikrer informationernes fortrolighed, integritet og tilgængelighed. Formål Formålet med etableringen af nærværende it-sikkerhedspolitik er, at fastsætte de grundlæggende principper for beskyttelse af regionens informationer. Politikken skal således sikre, at de grundlæggende principper for itsikkerhed fortrolighed, integritet og tilgængelighed efterleves. It-sikkerhedspolitikken skal ligeledes sikre, at sikkerhedsproblemer forebygges, eventuelle skader kan begrænses, og retablering af informationer kan sikres. Borgere, medarbejdere, politikere, virksomheder og øvrige interessenter har krav på, at der er etableret procedurer i forbindelse med informationsbehandling, og at disse sikrer fortrolighed, integritet og tilgængelighed på et veldefineret niveau. It-sikkerhed skal derfor være en integreret del af den ydelse, som Region Syddanmark leverer, og it-sikkerhed skal være en integreret del af det daglige arbejde for regionens medarbejdere. I erkendelse af betydningen af it-sikkerhed har regionens ledelse med etableringen af nærværende politik taget initiativ til at etablere et beskyttelsesniveau, hvor risiko og væsentlighed samt overholdelse af lovkrav m.v. udgør fundamentet. It-sikkerhedspolitikken har til formål at udstikke de generelle rammer for den specificerede it-sikkerhed i Region Syddanmark. Side 3 af 13

4 Omfang It-sikkerhedspolitikken er gældende for: Enhver information, der behandles eller opbevares i regionen, uanset ejerskab Alle databærende medier, it- og kommunikationssystemer Alle enheder og ansatte uden undtagelse, både fastansatte og personer, som midlertidigt arbejder for regionen Ved indgåelse af aftaler med 3. parter, eksempelvis private og erhvervsvirksomheder, eller andre statslige, kommunale eller regionale myndigheder, der indebærer at disse varetager opgaver, der involverer forhold omkring it-sikkerhed, der dækkes af nærværende politik, skal aftaler/kontrakter indeholde relevante og specifikke krav til it-sikkerhedsniveauet. Det skal som minimum sikres, at aftalepartnerne opretholder et itsikkerhedsniveau, der ikke er lavere, end det der er specificeret i nærværende politik. Ligeledes skal regionens opfølgning af sådanne aftaler/kontrakter sikre, at aftaleparterne overholder kravene til it-sikkerhedsniveau og specifikke krav. En sådan opfølgning kan eksempelvis ske ved, at én af aftalepartnerne uvildig part fremsætter erklæring herom. Kravene til niveauet til it-sikkerhed, som specificeret i nærværende politik, vil normalt ikke kunne fraviges. Opstår der imidlertid forhold der gør, at kravene ikke kan efterleves, skal regionens ledelse godkende dette. It-sikkerhedsniveau Beskyttelsen af Region Syddanmarks informationer skal foretages med udgangspunkt i: Regionens mål, som beskrevet i strategier og politikker for de forretningsmæssige opgaver, som regionen har ansvar for Lovgivningsmæssige krav. Oversigt fremgår af Bilag 3. Nærværende it-sikkerhedspolitik og tilhørende retningslinier m.v., der er baseret på Standard for Informationssikkerhed (DS 484:2005) Alle regionens interessenters forventninger. Eksempelvis borgere, samarbejdspartnere og myndigheder m.fl. Kontinuerlige risikovurderinger og herunder løbende vurdering af aktuelle trusler Klassifikation af informationer Hensynet til økonomisk ansvarlighed Hensynet til effektiv arbejdsudførelse Sikkerhedsforanstaltninger skal fastlægges ud fra konkrete vurderinger, idet der skal et rimeligt forhold mellem foranstaltningen, dens effektivitet og omkostning og den opnåede effekt. Herunder skal ulempen i det daglige arbejde altid vurderes for de enkelte sikkerhedsforanstaltninger. Målet med it-sikkerhedsniveauet er: Region Syddanmark leverer en pålidelig it-service med en troværdig beskyttelse af informationer i regionens varetægt Regionens ledelse og medarbejdere har størst mulig åbenhed om forventet sikkerhed, specificeret sikkerhed, leveret sikkerhed og oplevet sikkerhed, så enhver medarbejder kender sin egen rolle i sikringen af informationer Ingen uvedkommende kan få adgang til informationer, der kan anvendes til skade for borgere, patienter, regionens ansatte eller regionen selv Begrænse konsekvenserne af eventuelle skader og herunder minimere økonomiske konsekvenser Omgåelse eller forsøg på omgåelse af sikkerhedsreglerne opdages, herunder at det er muligt at udpege den eller de ansvarlige for hændelsen samt at det er muligt at forebygge og forhindre lignende hændelser fremadrettet Side 4 af 13

5 It-sikkerhedsniveauet fastlægges med udgangspunkt i en risikoanalyse. Ved større forandringer foretages risikovurderinger. Risikovurderinger foretages med udgangspunkt i regionens forretningsmæssige opgaver og er således ledelsens beslutningsgrundlag for implementering af nødvendige sikkerhedsforanstaltninger. Der foretages regelmæssigt og ved væsentlige ændringer en vurdering af, om den daglige praksis afspejler strategien, politikken, retningslinierne og procedurerne. Samtidig vurderes det om disse overholdes. Direktionen har ansvaret for at der foreligger en it-beredskabsplan for større it-sikkerhedsmæssige hændelser og tekniske uheld, og at alle involverede er bekendt med deres pligter og opgaver ved sådanne hændelser. Beredskabsplanen skal sikre, at skaden begrænses mest muligt, og at driften i videst muligt omfang opretholdes og genoprettes. For forretningskritiske systemer skal der tages stilling til, hvor hurtigt og hvordan nøddrift kan etableres. Der skal foreligge forretningsmæssige nødprocedurer for alle kritiske forretningsområder. Styring For at sikre overblik, løbende overvågning og rapportering ifm. it-sikkerheden vil regionen etablere et styringsredskab for it-sikkerhed. På baggrund af den løbende overvågning og rapportering tager ledelsen itsikkerhedspolitikken op til revurdering mindst én gang om året. Herudover skal politikken revurderes i forbindelse med: Væsentlige ændringer i trusselsbilledet Væsentlige ændringer i anvendelsen af teknologi, herunder ved nyanskaffelse Væsentlige organisatoriske forandringer, herunder det organisatoriske ansvar samt væsentlige ændringer i retningslinier og procedurer Ansvaret for vedligeholdelse af it-sikkerhedspolitikken ligger hos Styregruppen for Tværgående it, der fungerer som informationssikkerhedsudvalg. Styring af niveau for it-sikkerhed foretages igennem: Forankring af ansvar og arbejdsopgaver i hele regionens organisation fastlægges af koncernledelsen, herunder etablering af relevante governance organer, organisatoriske enheder og fora Gennemførelse af en overordnet risikoanalyse, og detaljerede risikoanalyser, hvor dette vurderes nødvendigt Strategi for it-sikkerhed Etablering af et ISMS (Information Security Management System), som er et krav iht. DS 484:2005. ISMS et etableres med udgangspunkt i standarden DS/ISO/IEC Informationsteknologi Sikkerhedsteknikker Ledelsessystemer for It-sikkerhed (ISMS) Krav Tilrettelæggelse af retningslinier, procedurer og forretningsgange, som angivet i Håndbog for it-sikkerhed. Håndbogen er struktureret efter DS 484:2005 og indholdsfortegnelse fremgår af Bilag 2. Håndbogen findes på Infonet: Styring af it-sikkerheden skal således sikre de 3 grundlæggende principper: TILGÆNGELIGHED opnå aftalt driftsikkerhed med aftalte oppetidsprocenter og minimeret risiko for større nedbrud og datatab INTEGRITET opnå korrekt funktion af systemerne med minimeret risiko for manipulation af og fejl i såvel data som systemer FORTROLIGHED opnå fortrolig behandling, transmission og opbevaring af data Side 5 af 13

6 Sikkerhedsbevidsthed Ansvaret for it-sikkerhed påhviler iht. DS 484:2005 og DS/ISO/IEC ledelsen. Regionens ledelse har dermed også ansvaret for, at alle medarbejdere gøres bekendt med nærværende politik. Det er ledelsens intension, at it-sikkerhed er en naturlig og integreret del af det daglige arbejde i regionen. For at understøtte dette vil alle medarbejdere løbende blive uddannet i it-sikkerhed i relevant omfang, ligesom der løbende vil blive orienteret om væsentlige forhold, der kan påvirke it-sikkerheden i forbindelse med det daglige arbejde. Derved påhviler der også alle medarbejdere et ansvar for at efterleve politikken med tilhørende retningslinier m.v. og til at beskytte regionens informationer mod uautoriseret adgang, ændring og ødelæggelse samt tyveri. Medarbejderne må kun anvende regionens informationer i overensstemmelse med det arbejde, de udfører i regionen, og skal beskytte informationerne på en måde, som er i overensstemmelse med informationernes følsomhed. Brud på it-sikkerheden Opdager en medarbejder trusler mod it-sikkerheden eller brud på denne, skal dette straks meddeles egen nærmeste leder, der i relevant omfang underretter regionens ledelse. Ledelsen udarbejder forholdsregler til imødegåelse af trusler eller afgiver indstilling til regionens ledelse om sanktion i forbindelse med brud på itsikkerheden. Brud på it-sikkerhedspolitikken eller tilhørende retningslinier m.v., anses for en alvorlig tjenesteforseelse. Medarbejderne kan som følge heraf blive udsat for disciplinære forholdsregler i overensstemmelse med regionens gældende regler og personalepolitik. Idet en del af arbejdet i regionen er direkte omfattet af lovgivning, eksempelvis sundhedsloven og persondataloven, kan der ske retsforfølgelse ved overtrædelse af lovgivningen. Anvendelse af politik for it-sikkerhed i praksis Der henvises til Bilag 1. Side 6 af 13

7 Bilag 1. Anvendelse af politik for it-sikkerhed i praksis De retningslinier samt sikkerheds- og kontrolforanstaltninger, der gælder i regionen, samles i Håndbog for itsikkerhed, der skal følge samme struktur, som anvendes i DS 484:2005. Håndbogen skal indeholde en beskrivelse af de områder af it-sikkerhed, der er relevante for regionen. Som følge af ledelsesstrukturen, herunder ansvarsplaceringen iht. Bilag 2, og systemporteføljens sammensætning og anvendelse, inddeles håndbogen i en generel del og en specifik del. Den generelle del indeholder de retningslinier og procedurer m.v., som er gældende for alle organisatoriske enheder i regionen. Den specifikke del indeholder de retningslinier og procedurer m.v., som alene er gældende for én enkelt eller enkelte organisatoriske enheder. Det er regionens hensigt, at der så vidt muligt anvendes generelle retningslinier. Som minimum omfatter ansvaret: At sikre, at politikken og afledte retningslinier m.v. implementeres At foretage en vurdering af værdien af de informationer, som er nødvendige for regionen, og på baggrund heraf træffe rimelige forholdsregler til beskyttelse af disse informationer, herunder afse de nødvendige midler og ressourcer hertil At der udpeges system- og informationsejere for samtlige informationer og informationssystemer At klassificere og beskytte de informationer, som regionen har ansvaret for At forebygge og begrænse risici til en for regionen kendt og accepteret størrelse At udarbejde regler for informationskontrol og beskyttelse, som skal følges af de medarbejdere, der behandler og anvender informationerne At etablere regler for adgang til og brug af informationer, samt at sikre, at reglerne bliver revurderet med jævne mellemrum At definere reglerne for arkivering af informationer, således at disse altid kan genskabes senere inden for en kendt og accepteret tidshorisont At udarbejde en operationel plan for retablering af den daglige drift, såfremt informationerne eller informationssystemerne ødelægges, uanset af hvilken grund, og således: At omfanget af og konsekvenserne ved nødsituationen kan minimeres At de væsentligste dele af den daglige forretningsmæssige drift i regionen kan gennemføres via alternative forretningsgange At alle relevante berørte parter kan holdes orienteret i fornødent omfang At den fulde drift af informationssystemerne kan genoptages inden for en kendt og accepteret tidshorisont At sikre, at enhver sikkerhedsmæssig følsom informationsaktivitet kan henføres til den person, som har udført aktiviteten, samt at sikre gennemførelse af de fornødne kontroller til opdagelse af misbrug eller forsøg herpå At etablere regler for rettighedstildeling og funktionsadskillelse, som skal forebygge og begrænse konsekvenser af fejl, uheld og negative handlinger, der bevidst eller ubevidst er foretaget af enkeltpersoner At sikre, at regionens udvikling og implementering af systemer udføres under iagttagelse af betryggende sikkerhedsforanstaltninger At sikre, at regionens leverandører overholder de sikkerhedsforskrifter, som er gældende for regionens informationer, faciliteter og medarbejdere i samarbejdet med virksomheden At træffe de nødvendige forholdsregler og gennemføre audits for at sikre, at politikken og afledte retningslinier m.v. bliver overholdt At sikre den fornødne ledelsesrapportering af status for it-sikkerheden, herunder aktiviteter og hændelser Side 7 af 13

8 Bilag 2. Indholdsfortegnelse for Region Syddanmarks Informationssikkerhedshåndbog DS 484:2005 struktur. Indholdsfortegnelse Indledning IT sikkerhedsorganisation i <institutionsnavn> 4. RISIKOVURDERING OG -HÅNDTERING 4.1. VURDERING AF SIKKERHEDSRISICI 4.2. RISIKOHÅNDTERING 5. OVERORDNEDE RETNINGSLINIER 5.1. INFORMATIONSSIKKERHEDSSTRATEGI Formulering af en informationssikkerhedspolitik Løbende vedligeholdelse 6. ORGANISERING AF INFORMATIONSSIKKERHED 6.1. INTERNE ORGANISATORISKE FORHOLD Ledelsens rolle Koordinering af informationssikkerhed Ansvarsplacering Godkendelsesprocedure ved anskaffelser Tavshedserklæringer Kontakt med myndigheder Fagligt samarbejde med grupper og organisationer Periodisk opfølgning 6.2. EKSTERNE SAMARBEJDSPARTNERE Identifikation af risici i forbindelse med eksternt samarbejde Sikkerhedsforhold i relation til kunder Samarbejdsaftaler 7. STYRING AF INFORMATIONSRELATEREDE AKTIVER 7.1. IDENTIFIKATION AF OG ANSVAR FOR INFORMATIONSRELATEREDE AKTIVER Fortegnelse over informationsaktiver Ejerskab Accepteret brug af aktiver 7.2. KLASSIFIKATION AF INFORMATIONER OG DATA Klassifikation Mærkning og håndtering af informationer og data 8. MEDARBEJDERSIKKERHED 8.1. SIKKERHEDSPROCEDURE FØR ANSÆTTELSE Opgaver og ansvar Efterprøvning Aftale om ansættelse 8.2. ANSÆTTELSESFORHOLDET Ledelsens ansvar Uddannelse, træning og oplysning om informationssikkerhed Sanktioner Side 8 af 13

9 8.3. ANSÆTTELSENS OPHØR Ansvar ved ansættelsens ophør Returnering af aktiver Inddragelse af rettigheder 9. FYSISK SIKKERHED 9.1. SIKRE OMRÅDER Fysisk afgrænsning Fysisk adgangskontrol Sikring af kontorer, lokaler og udstyr Beskyttelse mod eksterne trusler Arbejdsmæssige forhold i sikre områder Områder til af- og pålæsning med offentlig adgang BESKYTTELSE AF UDSTYR Placering af udstyr Forsyningssikkerhed Sikring af kabler Udstyrs og anlægs vedligeholdelse Sikring af udstyr uden for virksomhedens overvågning Sikker bortskaffelse eller genbrug af udstyr Fjernelse af virksomhedens informationsaktiver 10. STYRING AF NETVÆRK OG DRIFT OPERATIONELLE PROCEDURER OG ANSVARSOMRÅDER Driftsafviklingsprocedurer Ændringsstyring Funktionsadskillelse Adskillelse mellem udvikling, test og drift EKSTERN SERVICELEVERANDØR Serviceleverancen Overvågning og revision af serviceleverandøren Styring af ændringer hos ekstern serviceleverandør STYRING AF DRIFTSMILJØET Kapacitetsstyring Godkendelse af nye eller ændrede systemer SKADEVOLDENDE PROGRAMMER OG MOBIL KODE Beskyttelse mod skadevoldende programmer Beskyttelse mod mobil kode SIKKERHEDSKOPIERING Sikkerhedskopiering NETVÆRKSSIKKERHED Netværket Netværkstjenester DATABÆRENDE MEDIER Bærbare datamedier Destruktion af datamedier Beskyttelse af datamediers indhold Beskyttelse af systemdokumentation INFORMATIONSUDVEKSLING Informationsudvekslingsretningslinier og procedurer Aftaler om informationsudveksling Fysiske datamediers sikkerhed under transport Elektronisk post og dokumentudveksling Side 9 af 13

10 Virksomhedens informationssystemer ELEKTRONISKE FORRETNINGSYDELSER Elektronisk handel On-line transaktioner Offentligt tilgængelige informationer LOGNING OG OVERVÅGNING Opfølgningslogning Overvågning af systemanvendelse Beskyttelse af log-oplysninger Administrator- og operatørlog Fejllog Tidssynkronisering 11. ADGANGSSTYRING DE FORRETNINGSMÆSSIGE KRAV TIL ADGANGSSTYRING Retningslinier for adgangsstyring ADMINISTRATION AF BRUGERADGANG Registrering af brugere Udvidede adgangsrettigheder Adgangskoder Periodisk gennemgang af brugernes adgangsrettigheder BRUGERNES ANSVAR Brug af adgangskoder Uovervåget udstyr Beskyttelse af datamedier på den personlige arbejdsplads STYRING AF NETVÆRKSADGANG Retningslinier for brug af netværkstjenester Autentifikation af brugere med ekstern netværksforbindelse Identifikation af netværksudstyr Beskyttelse af diagnose- og konfigurationsporte Opdeling af netværk Styring af netværksadgang Rutekontrol i netværk STYRING AF SYSTEMADGANG Sikker log-on Identifikation og autentifikation af brugere Styring af adgangskoder Brug af systemværktøjer Automatiske afbrydelser Begrænset netværksforbindelsestid STYRING AF ADGANG TIL BRUGERSYSTEMER OG INFORMATIONER Begrænset adgang til informationer Isolering af særligt kritiske brugersystemer MOBILT UDSTYR OG FJERNARBEJDSPLADSER Mobilt udstyr og datakommunikation Fjernarbejdspladser 12. ANSKAFFELSE, UDVIKLING OG VEDLIGEHOLDELSE AF INFORMATIONSBEHANDLINGSSYSTEMER SIKKERHEDSKRAV TIL INFORMATIONSBEHANDLINGSSYSTEMER Krav til sikkerhedsanalyser og specifikationer KORREKT INFORMATIONSBEHANDLING Validering af inddata Side 10 af 13

11 Kontrol af den interne databehandling Meddelelsers integritet Validering af uddata KRYPTOGRAFI Retningslinier for brugen af kryptografi Nøglehåndtering STYRING AF DRIFTSMILJØET Sikkerhed ved systemtekniske filer Sikring af testdata Styring af adgang til kildekode SIKKERHED I UDVIKLINGS- OG HJÆLPEPROCESSER Ændringsstyring Teknisk gennemgang af forretningssystemer efter ændringer i styresystemerne Begrænsninger i ændringer til eksternt leverede systemer Lækage af informationer Systemudvikling udført af en ekstern leverandør SÅRBARHEDSSTYRING Sårbarhedssikring 13. STYRING AF SIKKERHEDSBRUD RAPPORTERING AF SIKKERHÆNDELSER OG SVAGHEDER Rapportering af sikkerhedshændelser Rapportering af svagheder HÅNDTERING AF SIKKERHEDSBRUD OG FORBEDRINGER Ansvar og forretningsgange At lære af sikkerhedsbrud Indsamling af beviser 14. BEREDSKABSSTYRING BEREDSKABSSTYRING OG INFORMATIONSSIKKERHED Informationssikkerhed i beredskabsstyringen Beredskab og risikovurdering Udarbejdelse og implementering af beredskabsplaner Rammerne for beredskabsplanlægningen Afprøvning, vedligeholdelse og revurdering af beredskabsplaner 15. OVERENSSTEMMELSE MED LOVBESTEMTE OG KONTRAKTLIGE KRAV OVERENSSTEMMELSE MED LOVBESTEMTE KRAV Identifikation af relevante eksterne krav Ophavsrettigheder Sikring af virksomhedens kritiske data Beskyttelse af personoplysninger Beskyttelse mod misbrug af informationsbehandlingsfaciliteter Lovgivning vedrørende kryptografi OVERENSSTEMMELSE MED SIKKERHEDSPOLITIK OG -RETNINGSLINIER Overensstemmelse med virksomhedens sikkerhedsretningslinier Opfølgning på tekniske sikringsforanstaltninger BESKYTTELSESFORANSTALTNINGER VED REVISION AF INFORMATIONSBEHANDLINGSSYSTEMER Sikkerhed i forbindelse med systemrevision Beskyttelse af revisionsværktøjer Side 11 af 13

12 Bilag 3. Oversigt over lovgivning Nedenstående er oplistet nogle af de væsentligste love, der øver indflydelse på it-sikkerhedsniveauet. Listen kan ikke anses for udtømmende. Forvaltningsloven Persondataloven Sundhedsloven Autorisationsloven Lov om elektroniske signaturer Ophavsretsloven CPR-loven Yderligere information kan hentes på: Side 12 af 13

13