Hørsholm Kommune. Regler 3.3. Slutbruger

Transkript

1 Hørsholm Kommune Regler 3.3 Slutbruger

2 Indholdsfortegnelse 6 Organisering af informationssikkerhed Interne organisatoriske forhold Godkendelsesprocedure ved anskaffelser Tavshedserklæringer 1 7 Styring af informationsrelaterede aktiver Identifikation af og ansvar for informationsrelaterede aktiver Accepteret brug af aktiver Klassifikation af informationer og data Klassifikation Mærkning og håndtering af informationer og data 4 8 Medarbejdersikkerhed Sikkerhedsprocedure før ansættelse Efterprøvning Ansættelsesforholdet Sanktioner 4 9 Fysisk sikkerhed Sikre områder Fysisk afgrænsning Fysisk adgangskontrol Arbejdsmæssige forhold i sikre områder Beskyttelse af udstyr Placering af udstyr Sikring af udstyr uden for virksomhedens overvågning Fjernelse af virksomhedens informationsaktiver 5 10 Styring af netværk og drift Skadevoldende programmer og mobil kode Beskyttelse mod skadevoldende programmer Netværkssikkerhed Netværket Databærende medier Bærbare datamedier Beskyttelse af datamediers indhold Informationsudveksling Informationsudvekslingsretningslinjer og -procedurer Fysiske datamediers sikkerhed under transport Elektronisk post og dokumentudveksling 6

3 10.10 Logning og overvågning Opfølgningslogning 7 11 Adgangsstyring De forretningsmæssige krav til adgangsstyring Retningslinjer for adgangsstyring Administration af brugeradgang Adgangskoder Brugerens ansvar Brug af adgangskoder Uovervåget udstyr Beskyttelse af datamedier på den personlige arbejdsplads Styring af netværksadgang Retningslinjer for brug af netværkstjenester Styring af systemadgang Begrænset netværksforbindelsestid Mobilt udstyr og fjernarbejdspladser Mobilt udstyr og datakommunikation Fjernarbejdspladser 9 12 Anskaffelse, udvikling og vedligeholdelse af 9 informationsbehandlingsystemer 12.3 Kryptografi Retningslinjer for brugen af kryptografi 9 13 Styring af sikkerhedshændelser Rapportering af sikkerhedshændelser og svagheder Rapportering af sikkerhedshændelser Rapportering af svagheder Håndtering af sikkerhedsbrud og forbedringer Ansvar og forretningsgange Beredskabsstyring Beredskabstyring og informationssikkerhed Udarbejdelse og implementering af beredskabsplaner Rammerne for beredskabsplanlægningen Overensstemmelse med lovbestemte og kontraktlige krav Overensstemmelse med lovbestemte krav Identifikation af relevante eksterne krav Ophavsrettigheder Sikring af virksomhedens kritiske data Beskyttelse af personoplysninger 11

4 Beskyttelse mod misbrug af informationsbehandlingsfaciliteter 11

5 6 Organisering af informationssikkerhed 6.1 Interne organisatoriske forhold Godkendelsesprocedure ved anskaffelser Installation af programmer på arbejdsstationer Kun it-afdelingen må installere programmer på Hørsholm Kommunes arbejdsstationer Tavshedserklæringer Fortrolighedserklæring ved ansættelse Alle medarbejdere skal underskrive fortrolighedserklæring senest ved ansættelsestidspunktet. Fortrolighedserklæringen skal være en del af ansættelseskontrakten. Der kræves ikke særskilte fortrolighedserklæringer for konsulenter, men det tilstræbes at fortrolighed indgår i aftalegrundlaget. 7 Styring af informationsrelaterede aktiver 7.1 Identifikation af og ansvar for informationsrelaterede aktiver Accepteret brug af aktiver Overvågning af sociale netværk Browsere på Hørsholm Kommunes pc''er gemmer blandt andet information om din brug af sociale netværk, og du må forvente, at Hørsholm Kommune kan få adgang til denne information. Hørsholm Kommunes informationer på sociale netværk Hørsholm Kommunes informationer må aldrig deles på et socialt netværk (tænk derfor over hvad du skriver til dine venner). Bortset fra offentlige eller uklassificerede informationer, må kommunens informationer aldrig deles på et socialt netværk. Kommunens informationer, f.eks. præsentationer, billeder og film, må ikke offentliggøres på sociale netværk, hvor der kan være tvivl om, hvorvidt kommunen bevarer sin ophavsret til informationerne. Sociale netværk med forretningsforbindelser Du må gerne "connecte" eller "være ven" med samarbejdspartnere og kunder på sociale netværk, forudsat at sikkerhedspolitikken i øvrigt overholdes. Omfang af brug af sociale netværk Du har selv et arbejdsmæssigt ansvar for at kontrollere dit tidsforbrug på sociale netværk. Brugere af sociale netværk skal være specielt opmærksomme på at: Personer på sociale netværk er ikke altid dem de udgiver sig for at være (det er ikke sikkert den person du tror er en kollega faktisk er det) Persondata må aldrig deles på sociale netværk Side 1 af 11

6 Betalingskort-oplysninger må aldrig deles på sociale netværk Download af filer som du modtager via et socialt netværk er underlagt de samme regler som øvrige downloads Informationer som du har lagt ud på et socialt netværk, kan kun meget vanskeligt, måske aldrig, trækkes tilbage Du vil med stor sandsynlighed opleve at nogen forsøger at franarre dig dine bruger-id''er og/eller dine adgangskoder (phishing). De sociale netværk, som du bruger, kan registrere og gemme oplysninger om dig og hvilke informationer du søger og bruger. Anvendelse af sociale netværk Sociale netværk må gerne anvendes fra Hørsholm Kommunes it-systemer. Download af filer fra internettet Filer må downloades fra internettet i begrænset arbejdsmæssigt omfang. Internetbaserede tjenester Der må kun anvendes godkendte internetservices. Download af programmer fra internettet Det er ikke tilladt at hente programmer fra internettet, medmindre det er relateret til løsning af arbejdsopgaver. Streaming via internet Det er tilladt at streame indhold fra internettet, f.eks. lyd eller billede fra radio- og tv-tjenester eller film, såfremt dette sker uden gene for arbejdsrelateret netværksbrug og uden forøgede sikkerhedsrisici. Brug af messenger-programmer Det er tilladt at bruge messenger-programmer, f.eks. Microsoft Messenger eller Yahoo Messenger, på netværket. Afvikling af programmer i forbindelse med internetsurfing Det er tilladt at afvikle browserbaserede programmer, f.eks. netbank-programmer, forudsat at sikkerhedspolitikken i øvrigt overholdes. Sikkerhedsindstillinger i web-browser Der må kun anvendes godkendte webbrowsere. Brugerne må ikke forsøge at omgå eller bryde sikringsforanstaltningerne. Medarbejderes private brug af internetadgang Kommunens internetadgang må også anvendes til private formål, såfremt sikkerhedspolitikken i øvrigt overholdes, og såfremt arbejdsrelateret brug ikke generes på nogen måde. Adgang til surfing på internettet Internetadgangen må benyttes til internetbrowsing - privat brug i begrænset omfang accepteres i overenstemmelse med informationssikkerhedspolitikken, forudsat at det ikke blokerer for arbejdsrelateret brug af internettet. Fortrolig mail med følsomt indhold skal krypteres med godkendt software. Dette gælder især for klassificeret, fortrolig eller følsom persondata, der sendes over internettet. Side 2 af 11

7 Phishing og bedrageri Uanset at kommunen udfører indholdsscanning af alle s, skal brugere skal være opmærksomme på "phishing" og "social engineering", der f.eks. kan betyde, at de kan modtage tilsyneladende oprigtige s, der forsøger at franarre personlige eller fortrolige oplysninger eller forsøger at få brugeren til at foretage uønskede handlinger. Adware Adware-beskyttelse baseres på medarbejder-awareness, sikkerhedsindstillinger i internetbrowser, begrænsninger i brugeres muligheder for softwareinstallation samt brug af adware-scannere. It-afdelingen skal sikre, at der regelmæssigt scannes for adware på alle arbejdsstationer. Sagsbehandling og journalisering af Sendte og modtagne s skal håndteres på samme måde som traditionel post og fax. s med vigtig information skal arkiveres systematisk for at sikre lagring. Installation af trådløst udstyr Medarbejdere må installere og bruge udstyr, forudsat at it-afdelingen har godkendt det. Forbindelse til fremmede trådløse netværk Brugere må forbinde deres mobile udstyr til fremmede trådløse netværk. Kontrol af antivirus på arbejdsstationer Medarbejdere kan antage, at antivirus fungerer. Autentificering Brugere skal være opmærksomme på at de, via messenger-programmer, kan udsættes for "social engineering". Med "social engineering" menes andre personers forsøg på at udnytte brugerens hjælpsomhed til at få informationer. Filudveksling Der må ikke udveksles filer eller internet-links via messenger-programmer. 7.2 Klassifikation af informationer og data Klassifikation Informationer og data skal klassificeres som følger: Uklassificeret: Ingen begrænsninger. Offentligt: Materiale, der frit må udleveres til offentligheden. Eksternt brug: Materiale, der frit må udleveres til eksterne parter uden at fortrolighedsaftaler kræves. Fortroligt: Materiale, der er tilgængeligt for en begrænset gruppe personer. Internt brug: Materiale, der er tilgængeligt for alle internt i organisationen. Personhenførbart: Data er relateret til et individ, f.eks. en kunde, en borger, en patient eller en medarbejder. Følsomt: Materiale, der er vitalt for Hørsholm Kommune. Hemmeligt: Materiale, som kun en mindre gruppe personer må se. Begrænset. Side 3 af 11

8 Virksomhedskritisk: Informationer, der er vigtige for kerneområdet i forretningen. Høj tilgængelighed og stor integritet er kritisk, uanset hvilket fortrolighedsniveau, der i øvrigt kræves Mærkning og håndtering af informationer og data Fortrolige data på mobile enheder Der må opbevares fortrolige data på mobile enheder, såfremt disse data beskyttes med et produkt, der er godkendt af it-afdelingen. 8 Medarbejdersikkerhed 8.1 Sikkerhedsprocedure før ansættelse Efterprøvning Ren straffeattest Ved besættelse af stillinger, hvor dette er relevant, skal ansøgeren forud for ansættelse erklære at være ustraffet, samt ikke at være sigtet eller tiltalt i verserende sager. 8.2 Ansættelsesforholdet Sanktioner Overtrædelse af sikkerhedsretningslinierne Ledelsen skal etablere en formel sanktionsprocedure for medarbejdere, der bryder Hørsholm Kommunes politikker, regler eller retningslinier for informationssikkerhed Det er ledelsens ansvar, at sanktioner for brud på Hørsholm Kommunes politikker, regler eller retningslinier håndhæves konsekvent og i overensstemmelse med gældende lovgivning. 9 Fysisk sikkerhed 9.1 Sikre områder Fysisk afgrænsning Aflåsning af lokaler og bygninger Alle vinduer og døre skal være låst forsvarligt, når lokationen forlades Fysisk adgangskontrol Gæsters adgang Værten har ansvaret for gæsters færden. Gæster skal altid afhentes, følges rundt og følges til udgang af værten Arbejdsmæssige forhold i sikre områder Optageudstyr i sikre områder Uautoriseret optageudstyr er ikke tilladt i sikre områder. 9.2 Beskyttelse af udstyr Side 4 af 11

9 9.2.1 Placering af udstyr Spisning og rygning i nærheden af udstyr Der må ikke spises og drikkes i nærheden af forretningskritisk udstyr. Der må ikke ryges i nærheden af forretningskritisk udstyr. Der må ikke spises og drikkes i serverrum. Der må ikke ryges i serverrum Sikring af udstyr uden for virksomhedens overvågning Opsyn med mobile enheder Mobile enheder må ikke efterlades uden opsyn i uaflåste rum. Adgang til data på bærbare pc'er skal beskyttes med en login-adgangskode. Brug af mobile enheder Bærbart udstyr skal medbringes som håndbagage under rejser Fjernelse af virksomhedens informationsaktiver Fjernelse af udstyr fra Hørsholm Kommune Udstyr må kun fjernes fra Hørsholm Kommune, hvis der foreligger en aftale med IT-afdelingen herom, med undtagelse af personligt udleveret udstyr som f.eks. bærbare pc'ere og mobiltelefoner. 10 Styring af netværk og drift 10.4 Skadevoldende programmer og mobil kode Beskyttelse mod skadevoldende programmer Spyware It-afdelingen skal sikre, at der regelmæssigt scannes for spyware på alle arbejdsstationer. Spam-mail beskyttelse Alle relevante metodikker skal sættes i anvendelse for at hindre modtagelse og distribuering af spam og andet uønsket indhold på kommunens netværk. Medarbejderne skal udvise forsigtighed med deres brugeridentitet i forbindelse med videregivelse af eksempelvis mailadresser, samt i forbindelse med modtagelse af uønskede mails Netværkssikkerhed Netværket Adgang til trådløse netværk for gæster Side 5 af 11

10 Gæster, hvis identitet er kendt, må få udleveret adgangskode til gæstenettet. Gæster, hvis identitet er kendt, må tilslutte eget udstyr til gæstenettet, forudsat at udstyret ikke generer andre systemer. Gæsters brug af Hørsholm Kommunes trådløse netværk Netværket kan og må kun anvendes til internetadgang, og ikke til direkte adgang til interne systemer. Tilslutning af udstyr til netværk Medarbejdere og konsulenter må ikke koble udstyr sammen med det interne netværk. Kun it-afdelingen må koble udstyr på det interne netværk Databærende medier Bærbare datamedier Brug af datamedier Benyttelse af bærbare datamedier skal være forretningsmæssigt begrundet Beskyttelse af datamediers indhold Udskrivning Printere som benyttes til udskrivning af fortrolige eller personhenførbare informationer skal have en adgangskodefunktion eller tilsvarende, der sikrer, at kun de rette medarbejdere får adgang til udskrifterne Informationsudveksling Informationsudvekslingsretningslinjer og -procedurer Brug af kryptering i forbindelse med dataudveksling Det kræves, at og data, der indeholder fortrolige informationer, altid er krypteret under transmission. Udlevering af fortrolige informationer og oplysninger Fortrolige informationer og oplysninger må udleveres, hvis der foreligger underskrevne fortrolighedsaftaler. Personhenførbare og fortrolige oplysninger må kun udleveres til bemyndigede personer Fysiske datamediers sikkerhed under transport Brug af bærbare medier til fortrolige data Fortrolige informationer skal krypteres, når de opbevares eller transporteres på bærbare medier, f.eks. USBhukommelse, PDA'er, cd'er eller dvd'er Elektronisk post og dokumentudveksling Elektronisk udveksling af post og dokumenter Hvis bruges til bindende aftaler, skal de underskrives med en digital signatur. Side 6 af 11

11 10.10 Logning og overvågning Opfølgningslogning Overvågning af internet-brug Hørsholm Kommune filtrerer og begrænser internetadgang. 11 Adgangsstyring 11.1 De forretningsmæssige krav til adgangsstyring Retningslinjer for adgangsstyring Administration af arbejdsstationer Generelt må administrative adgangskoder ikke gives til de arbejdsstationer, der anvendes i organisationen. Dispensation gives kun af sikkerhedsorganisationen Administration af brugeradgang Adgangskoder Retningslinier for adgangskoder It-afdelingen skal etablere og vedligeholde en procedure for tildeling af midlertidige adgangskoder. Ved brugeroprettelse eller nulstilling af adgangskode skal brugere tildeles en sikker, midlertidig adgangskode, som skal ændres umiddelbart efter første anvendelse. Overdragelse af adgangskode Adgangskoder må overdrages i lukkede kuverter. Adgangskoder må overdrages mundtligt, herunder per telefon. Adgangskoder er strengt personlige Adgangskoder er strengt personlige og må ikke deles med andre. Autentificering ved adgang til netværket Adgangen til det interne netværk fra andre lokationer end Hørsholm Kommunes skal være adgangskodebeskyttet Brugerens ansvar Brug af adgangskoder Krav til skift af adgangskode Adgangskoder skal skiftes efter højst 90 dage. Valg af sikre adgangskoder Det er brugerens ansvar at vælge tilstrækkeligt sikre adgangskoder i adgangskontrolsystemerne. Side 7 af 11

12 Uovervåget udstyr Brug af adgangskodebeskyttet pauseskærm Brugere skal aktivere adgangskodebeskyttet skærmlås, når arbejdsstationen forlades, således at den er uden for synsvidde Beskyttelse af datamedier på den personlige arbejdsplads Opbevaring af fysiske dokumenter Skriveborde skal ryddes for fortrolige dokumenter senest ved arbejdsdagens afslutning. Dokumenter må gerne ligge fremme, såfremt kontorlokaler er aflåste. Dokumenter med personhenførbare oplysninger må ikke ligge med forsiden opad, når skrivebordet forlades Styring af netværksadgang Retningslinjer for brug af netværkstjenester Retningslinier for brug af netværkstjenester Brugere skal kun have adgang til de tjenester, de er autoriseret til at benytte. Installation af netværksudstyr Det er ikke tilladt at installere netværksudstyr uden forudgående sikkerhedsgodkendelse Styring af systemadgang Begrænset netværksforbindelsestid Begrænset netværkstid Brugersystemer med særlig høj risiko skal kræve fornyet autentifikation med fastlagte intervaller Mobilt udstyr og fjernarbejdspladser Mobilt udstyr og datakommunikation Virusscanning af mobile datamedier Inden ibrugtagning skal brugeren scanne ethvert datamedie for virus, hvis det har været i brug på eksternt udstyr. Med datamedie menes f.eks. transportable hukommelsesenheder, transportable drev, cd'er, dvd'er, og disketter. Brug af kryptering i forbindelse med opbevaring af data Fortrolige informationer skal altid være krypteret, når de opbevares på transportabelt udstyr, f.eks. på bærbare computere, håndholdte computere m.m. Antivirus-programmer Antivirus-programmer skal være installeret på mobile og hjemmearbejdspladser. Mobile enheders tilslutning til andre netværk Det er tilladt at forbinde mobilt udstyr til andre netværk såfremt netværket er sikret med kode. Side 8 af 11

13 Fjernarbejdspladser Adgang fra distancearbejdspladser Der må kun gives adgang til sikkerhedsgodkendte systemer på internt netværk. Adgang gives kun fra godkendte og faste ip-adresser. Hjemmearbejdspladser Tillades når sikkerhedspolitikken i øvrigt overholdes. Adgang til netværket Netadgang og systemadgang begrænses ved brug af godkendte firewalls. Adgang til data på Hørsholm Kommunes netværk Adgang til data på kommunens netværk er begrænset til informationer klassificeret i følgende klasser: uklassificeret, internt brug og fortroligt. Ved fjernadgang til data på Kommunens netværk, må der ikke gemmes data på lokale harddiske eller andre eksterne medier. Adgang til applikationer på Hørsholm Kommunes netværk Der gives kun adgang til applikationer på internt netværk, som er sikkerhedsgodkendt af it-afdelingen. Opbevaring af fortrolige informationer på privat udstyr Der må ikke behandles eller opbevares personhenførbare eller fortrolige informationer på udstyr, der ikke tilhører Hørsholm Kommune. 12 Anskaffelse, udvikling og vedligeholdelse af informationsbehandlingsystemer 12.3 Kryptografi Retningslinjer for brugen af kryptografi Kryptering af filer Filer med dokumenter, klassificeret som fortroligt, skal beskyttes ved hjælp af kryptografi. Kryptering af harddiske Indholdet af harddiske skal altid krypteres, eller beskyttes med adgangskode. 13 Styring af sikkerhedshændelser 13.1 Rapportering af sikkerhedshændelser og svagheder Rapportering af sikkerhedshændelser Rapportering af formodede sikkerhedshændelser Ved konstatering af brud eller formodede brud på it-sikringsforanstaltninger skal rapportering straks ske til Itafdelingen. Side 9 af 11

14 Rapportering af svagheder Rapportering af programfejl Brugere, der observerer programfejl, som de ikke har oplevet før, skal rapportere dette til it-afdelingen Håndtering af sikkerhedsbrud og forbedringer Ansvar og forretningsgange Proces for reaktion på hændelser Den sikkerhedsansvarlige har ansvar for at definere og koordinere en struktureret ledelsesproces, der sikrer en passende reaktion på sikkerhedshændelser. It-afdelingen har ansvaret for at udarbejde en elektronisk formularer til indrapportering af sikkerhedshændelser. It-afdelingen skal etablere og vedligeholde en procedure, der sikrer et passende svar til personer, som rapporterer en mulig sikkerhedshændelse. Information om sikkerhedshændelser Hørsholm Kommune skal på faktuel vis informere berørte parter internt og eksternt om eventuelle sikkerhedshændelser. It-chefen skal godkende alle eksterne meddelelser. 14 Beredskabsstyring 14.1 Beredskabstyring og informationssikkerhed Udarbejdelse og implementering af beredskabsplaner Uddannelse i beredskabsplaner It-afdelingen har ansvaret for, at der foregår tilstrækkelig uddannelse af medarbejdere i de aftalte beredskabsprocedurer, inklusive krisehåndtering Rammerne for beredskabsplanlægningen Katastrofeplaner for backup Hvert virksomhedskritisk system skal have en nødplan for at sikre data. Dette skal testes løbende. 15 Overensstemmelse med lovbestemte og kontraktlige krav 15.1 Overensstemmelse med lovbestemte krav Identifikation af relevante eksterne krav Overholdelse af lov om markedsføring Ledelsen skal sikre at organisationen efterlever markedsføringsloven på alle områder Ophavsrettigheder Retningslinier for ophavsrettigheder Ledelsen har det overordnede ansvar for, at kommunen fastholder en passende opmærksomhed på ikke at krænke tredjeparts ophavsrettigheder. Side 10 af 11

15 If-afdelingen skal vedligeholde dokumentation for ejendomsretten af licenser, originalmateriale og manualer. It-afdelingen skal løbende kontrollere, at software-licensaftaler overholdes, f.eks. at eventuelle begrænsninger i antal brugere, servere eller kopier overholdes. Brugere må ikke kopiere, konvertere eller udtrække information fra billed- og lydfiler eller tilsvarende ressourcer, medmindre dette specifikt tillades fra rettighedshaveren. Brugere må ikke, helt eller delvist, kopiere bøger, artikler, rapporter eller andre dokumenter medmindre dette specifikt tillades fra rettighedshaveren. Forbudte og tilladte programmer It-afdelingen skal vedligeholde en liste over forbudte programmer Sikring af virksomhedens kritiske data Opbevaring og behandling af data Forretningskritiske data skal altid opbevares og behandles således, at dataintegriteten ikke kan drages i tvivl Beskyttelse af personoplysninger Sporbarhed Behandling af personrelaterede informationer skal logges automatisk, således at det er muligt for en revisor at kontrollere hvem, der har arbejdet med hvilke informationer på hvilke tidspunkter. Opbevaring og sletning af , der indeholder personhenførbare oplysninger, skal slettes efter 30 dage. Opbevaring og behandling af personoplysninger Der må ikke behandles personoplysninger af fortrolig karakter på privat pc. Lov om behandling af personoplysninger gælder ved enhver opbevaring og behandling af persondata. Behandling af personoplysninger må udelukkende finde sted i Hørsholm Kommunes fagsystemer Beskyttelse mod misbrug af informationsbehandlingsfaciliteter Misbrugsbeskyttelse af it-udstyr Anvendelse af it-udstyr til uautoriserede formål må ikke finde sted uden ledelsens tilladelse. Side 11 af 11