Dragør Kommune. Operationelle bilag til IT-sikkerhedspolitikken. Bilag 7. Retningslinjer for IT-medarbejdere

Transkript

1 Dragør Kommune Operationelle bilag til IT-sikkerhedspolitikken

2 IT-sikkerhedspolitik Side 2 Retningslinjer for IT-medarbejdere Samtlige medarbejdere beskæftiget med driften af kommunens IT-installation, herunder lokale IT-vejledere og superbrugere samt medarbejdere fra eksterne leverandører, er underlagt nærværende retningslinjer. Kommunaldirektøren har det overordnede ansvar for ajourføring af retningslinjerne. Det er den enkeltes ansvar at retningslinjerne følges, og at administration, support og drift af ITsystemerne i Dragør Kommune generelt finder sted i overensstemmelse med sund fornuft. Herudover bør ovennævnte medarbejdere - når det gælder kommunens IT-anvendelse - fremstå som eksempler til efterfølgelse. 1 Fysisk sikkerhed Samtlige centrale og decentrale medarbejdere med IT-driftsopgaver (herefter IT-medarbejdere) skal overholde og styrke den fysiske sikkerhed på IT-området, i overensstemmelse med ITsikkerhedspolitikken, afsnit 6. IT-medarbejderne skal således sikre, at alle tekniske installationer, som er relevante i forbindelse med IT-anvendelsen, overvåges på behørig vis således, at driftsforstyrrelser undgås. IT-medarbejderne skal ligeledes sikre, at adgangen til IT- og serverrum overvåges således, at uvedkommende ikke opnår adgang. Dette skal blandt andet sikres ved, at dørene altid holdes lukket og låst. 2 Programanvendelse For IT-medarbejderne gælder de samme retningslinjer, som for Dragør Kommunes øvrige medarbejdere. IT-chefen skal råde over licenser til samtlige programmer, der anvendes, også programmer, som udelukkende anvendes på forsøgs- og testbasis. Efter nærmere aftale kan administrationen ske decentralt. Endvidere er det IT-chefens opgave at forhandle og administrere licensaftaler for programmer, som anvendes på Dragør Kommunes udstyr. IT-chefen skal - på given foranledning - være i stand til at dokumentere, at licensforholdene er i orden. 3 Passwordsikkerhed Der er krav til anvendelse af password i forbindelse med brug af Dragør Kommunes ITsystemer. Kravene er følgende: 1. Minimum 8 karakterer, Kommunedata præcist 8 karakterer 2. Password skal indeholde bogstaver og tal, gerne store og små bogstaver

3 IT-sikkerhedspolitik Side 3 3. Tvunget skift af password hver 120. dag, Kommunedata dog 90 dage 4. Der gemmes password 8 generationer tilbage 5. Der kan kun ændres password 1 gang om dagen 6. Der sker lockout ved 3 gentagne fejlagtige forsøg på logon. Tælleren nulstilles efter 30. minutter. Såfremt en bruger er blevet lockoutet etableres adgangen på ny af ITafdelingen. I nødvendigt omfang skal systemerne konfigureres til at understøtte ovenstående krav. Der kan dog være systemer, som ikke understøtter alle krav. Punkt 1 og 2 skal dog altid opfyldes, og såfremt dette ikke muligt, skal der indhentes dispensation fra øverste sikkerhedsansvarlige. 4 Virussikkerhed IT-medarbejdere har traditionelt en stor IT-baseret kontaktflade til eksterne parter. Derfor skal man være ekstra agtpågivende ved anvendelse af filer og programmer, som er modtaget via Internet og andre elektroniske opkoblinger. IT-medarbejdere har en forpligtigelse til at være ekstra forsigtige ved altid at virusskanne indkomne filer - også selvom det umiddelbart ser risikofrit ud. Viruskontrol skal i øvrigt finde sted i overensstemmelse med bilag 6. Retningslinjer for bekæmpelse af virus i Dragør Kommune 5 Udskrivning Ved udskrivning af filer og kommandoer, som beskriver IT-sikkerhedsrelaterede aspekter, eksempel brugerdatabase, sikkerhedsmæssige opsætninger, Firewallkonfiguration med videre, skal IT-medarbejdere sikre, at oplysningerne ikke bliver tilgængelige for uvedkommende. Placering af printere skal ske således, at uvedkommende ikke har adgang til uddata. Behandlingen af uddata er desuden beskrevet i bilag 3. Retningslinjer for IT-brugere, afsnit 10 Udskrivning. 6 Destruktion af datamedier IT-medarbejdere skal være opmærksom på anvendelsen af datamedier indeholdende fortrolige oplysninger. IT-chefen skal varetage, at der er etableret procedurer, som sikrer, at der sker en hensigtsmæssig destruktion af databærende medier, herunder disketter, CD-Rom, DVD harddiske etc. Der skal i den forbindelse også tages de fornødne forholdsregler ved reparation af udstyr. 7 IT-drift

4 IT-sikkerhedspolitik Side 4 Medarbejdere, som er beskæftiget med at holde Dragør Kommunes IT-systemer i drift, har ansvaret for, at systemer og relaterede data, altid er tilgængelige for kommunens medarbejdere. Samtidig skal medarbejderne sikre, at Dragør Kommunes data er struktureret således, at der skabes mulighed for en opdeling, som er baseret på medarbejdernes afdelingstilknytning eller andre specifikke ansættelsesforhold. IT-medarbejdere skal sikre, at data og systemer ikke er tilgængelige for uvedkommende. Dette skal iværksættes ved hjælp af en anerkendt filtrering, som udelukker ikke autoriserede ITbrugere. Filtrering i forhold til Internet finder sted via en firewall, som administreres af IT-chefen. For at opnå stabil drift af systemerne og samtidig sikre uafhængighed af enkelte ITmedarbejdere, skal der i relevant omfang udarbejdes: Driftsplaner og dokumentation for servere, herunder sikkerhedskopiering, batchkørsler, almindelig administration og service af hardware og software Driftsplaner og dokumentation for netværk, herunder overvågning, performancetest, brugeradministration, generel administration og service af hardware og software Driftsplaner og dokumentation for øvrigt udstyr, herunder printere, pc er og andet. Procedurerne skal blandt andet indeholde et generelt overblik over antal, placering, bruger og konfiguration Der skal føres logbog over uregelmæssigheder i IT-driften således, at historikken kan komme Dragør Kommune til gavn ved gentagelse af eventuelle uhensigtsmæssigheder Driftsplaner og dokumentation skal med passende intervaller tilpasses de systemer, som Dragør Kommune anvender. IT-chefen er daglig ansvarlig for - og skal sikre - at der til enhver tid foreligger ajourførte driftsplaner for alle Dragør Kommunes IT-driftsmiljøer. Retningslinjer for sikkerhedskopiering fremgår af bilag 8. Sikkerhedskopiering. 8 IT-support For at afvikle en tilfredsstillende IT-support er det muligt at træffe en IT-medarbejder på telefon indenfor Dragør Kommunes normale kontortid. Der ydes normalt kun support til pc-arbejdspladser, som er tilsluttet Dragør Kommunes samlede IT-system. Ved anvendelse af alternative programmer og applikationer kan IT-medarbejdere afstå fra at yde support, idet der kun ved godkendelse fra IT-chefen må ændres på standardkonfigurationen. Superbrugerne skal varetage basisintroduktion af alle nye medarbejdere således, at de modtager et kort introduktionskursus indenfor ansættelsens første 3 dage. 9 Administratoradgang

5 IT-sikkerhedspolitik Side 5 I forbindelse med administration og support af Dragør Kommunes IT-systemer, tildeles ITmedarbejdere administratorrettigheder. Udover systemadministrator til operativsystemer, anvendes tillige administratorrettigheder til nogle af kommunens applikationer. For at undgå misbrug er der defineret en række konkrete regler i forbindelse med tildeling og anvendelse af administratorrettigheder: 9.1 Tildeling af administratoradgang IT-medarbejdere tildeles administratoradgang i overensstemmelse med den enkeltes dokumenterede behov i relation til administrationen af de enkelte systemer. Da administratoradgang giver IT-medarbejderen udvidede beføjelser i forhold til Dragør Kommunes IT-anvendelse, er der en række forhold, som den enkelte skal være opmærksom på, jf. afsnit 9.2. Hvis en IT-medarbejder fratræder sin funktion, vil den pågældende medarbejder blive frataget administratoradgang, når organisationen får kendskab til fratrædelsen. Medarbejderens status i opsigelsesperioden vil afhænge af en konkret vurdering. Hvis den pågældende medarbejder selv opsiger sin stilling vil medarbejderen, efter en konkret vurdering, umiddelbart have mulighed for at fortsætte beskæftigelsen i opsigelsesperioden. Hvis ansættelsesforholdet bliver opsagt af Dragør Kommune, vil den pågældende medarbejder blive bortvist fra IT-funktionen i opsigelsesperioden. Normalt skal systempasswords skiftes med jævne mellemrum. Såfremt en medarbejder, som har haft administratoradgang fratræder sin stilling, skal alle systempasswords skiftes omgående. 9.2 Anvendelse af administratoradgang IT-medarbejdere skal sikre, at uvedkommende ikke opnår administratoradgang. Når administratoradgangen ikke anvendes, skal der altid være logget af systemet således, at risikoen for fejl og uhensigtsmæssigheder i systemerne minimeres. Heller ikke øverste sikkerhedsansvarlig, eller andre chefer, må ikke kende administratorpasswords - med mindre der er tale om systemer, som vedkommende selv administrerer. I stedet skal alle systempasswords, opbevares i et datasikkerhedsskab eller bankboks. Dermed kan kommunens øvrige medarbejdere/eksterne konsulenter opnå administratoradgang til systemerne, hvis de(n) daglige administrator(er) er indisponible. ITmedarbejderne skal med jævne mellemrum kontrollere tilstedeværelsen af systempasswords. 9.3 Eksterne administratorbrugere I forbindelse med support fra systemleverandører skal det tilstræbes, at der udelukkende tildeles administratoradgang til den relevante applikation eller det relevante system. Hvis det er netoperativsystemet, som skal serviceres ad hoc, bør de anvendte passwords ændres i det pågældende tidsrum således, at udenforstående ikke opnår kendskab til Dragør Kommunes generelle passwordstruktur.

6 IT-sikkerhedspolitik Side 6 I et vist omfang har Dragør Kommune tegnet serviceaftaler med eksterne leverandører, som bevirker, at leverandørerne har permanent fjernadgang til Dragør Kommunes driftsmiljø. I den forbindelse er det vigtigt, at der føres kontrol med adgangen. 9.4 Bærbare pc er og hjemmearbejdspladser Som det er beskrevet i bilag 3 Retningslinjer for IT-brugere, afsnit 14 gælder principielt de samme retningslinjer som for Dragør Kommunes almindelige pc-arbejdspladser. Da IT-medarbejdere har administratorrettigheder i de forskellige systemer, skal der vises ekstra agtpågivenhed ved anvendelse af disse rettigheder fra bærbare pc er og hjemmearbejdspladser. Kommunens pc er, som anvendes på IT-medarbejderes private bopæl eller andre lokationer, må ikke anvendes af andre personer end IT-medarbejderen.