It-sikkerhedspolitik Bilag 8 Kontrol og adgang til systemer, data og netværk November 2004
Indholdsfortegnelse 1 Formål...3 2 Ansvar og roller...3 2.1 Byrådet...3 2.2 Kommunaldirektøren/ Direktionen...3 2.3 Ledere, fagchefer mv...3 2.4 It gruppen, It og sekretariat...3 2.5 Medarbejdere...3 2.6 Samarbejdspartnere og leverandører...3 3...4 3.1 Logisk adgangskontrol...4 3.2 Administration af adgangskontrol...5 3.3 Brugerens ansvar...5 3.4 Overvågning af systemadgang og brug...6 3.5 Mobile arbejdspladser og hjemmeopkoblinger...6 4 Definitioner og forkortelser...6 5 Referencer...7 Side 2 af 7
1 Formål er afhængig af troværdig information og effektiv brug af informationssystemer. vil derfor med dette bilag til it sikkerhedspolitikken sikre at kontrollen og adgang til systemer og data og netværkstår i et passende forhold til evt. risici. 2 Ansvar og roller Nedenfor er roller og ansvar beskrevet. 2.1 Byrådet Byrådet er ansvarlig for godkendelse af hoveddokumentet til it sikkerhedspolitikken, som dette dokument er et bilag til. Bilaget bliver ikke behandlet af byrådet. 2.2 Kommunaldirektøren/ Direktionen Kommunaldirektøren er ansvarlig for udformningen og implementering af de nødvendige forretningsgange, der understøtter dette bilag. 2.3 Ledere, fagchefer mv. Som leder mv. er du ansvarlig for, at retningslinjerne i dette bilag til it sikkerhedspolitikken bliver fulgt af medarbejderne på dit eget område. 2.4 It gruppen, It og sekretariat Som medlem af it gruppen er du i samarbejde med It og sekretariat ansvarlig for at sikre at sikkerhedsniveauet kontrolleres gennem løbende revisioner. Som medlem af it gruppen er du ansvarlig for at it sikkerhedspolitikken efterleves på eget direktørområde. It og sekretariat har ansvaret for at sikre at dette bilag til it sikkerhedspolitikken bliver opdateret. 2.5 Medarbejdere Som medarbejder er du ansvarlig for at kende dette bilag til it sikkerhedspolitikken og for at følge det. Enhver afvigelse fra dette bilag skal du som medarbejder rapportere til it og sekretariat også, hvis det sker hos dine kollegaer, leverandører mv. 2.6 Samarbejdspartnere og leverandører Som samarbejdspartner, leverandør mv. er du forpligtet til at følge retningslinierne dette bilag. Fremtidige eller nuværende systemejere har ansvaret for at videregive informationer om Hillerød Kommunes it sikkerhedspolitik. Side 3 af 7
3 Adgangen til at udføre handlinger på kommunens it-systemer beskyttes af autorisationssystemer. Systemerne har til formål at sikre mod uautoriserede ændringer, ordrer, fejl og svindel. Kommunens medarbejdere er medvirkende til beskyttelse af informationsaktiverne gennem korrekt brug af autorisationssystemerne. 3.1 Logisk adgangskontrol 3.1.1 Krav til skift af kodeord Kodeord skal skiftes efter højst 90 dage. kodeord på centrale systemer skiftes efter højst 90 dage kodeord er på mindst 8 bogstaver at brugerne gøres opmærksom på reglerne for brug af kodeord i de tilfælde at systemer ikke automatisk kan sikre fx. længden af kodeord 3.1.2 Krav til kodeord Kodeord skal indeholde kombinationer fra mindst to af følgende kategorier: store bogstaver små bogstaver tal special-tegn Derudover er der følgende retningslinier for brug af passwords: passwords der er benyttet som kode i må ikke benyttes til andre systemer udenfor kommunen. oplysningerne i kodeordet må ikke relaterer sig til brugeren. Oplysninger om egne eller families navne eller initialer, fødselsdatoer, bilnummer, navn på kæledyr mv. må ikke benyttes som en del af kodeord. password skal være af en høj standard, dvs. en bogstav/talkombination, som er nem at huske, men som til gengæld ikke giver mening for andre alle der har passwords har en pligt til at beskytte det alle der har kendskab til forsøg på uautoriseret adgang til s it-systemer - hacking - har pligt til at underrette It og Sekretariat øjeblikkeligt. Side 4 af 7
Ovenstående retningslinier er gengivet i krav til brugerne i bilag 1. 3.2 Administration af adgangskontrol 3.2.1 Brugerprofiler for konsulenter det kun er personer der har et ansættelsesforhold eller har konsulentaftale der oprettes som brugere. Navnene på de konsulenter der skal oprettes brugerprofiler på skal fremgå af konsulentaftalen. 3.2.2 Tildeling af bruger-rettigheder It gruppen skal: sikre at der fastlægges regler for de nødvendige brugerrettigheder på kommunens it systemer. It og sekretariat skal: oprette brugere med de nødvendige brugerrettigheder Afdelingschefen skal: sikre at brugerne tildeles de nødvendige rettigheder. 3.2.3 Fratrædelse og omplacering brugerprofiler og systemrettigheder nedlægges øjeblikkeligt ved fratrædelse omplacering medfører, at alle rettigheder for pågældende bruger revurderes Afdelingschefen skal sikre at: It og sekretariat øjeblikkeligt gives besked om nedlæggelse og omplacering af en bruger 3.2.4 Gennemgang af brugerprofiler Alle brugerprofiler skal gennemgås mindst en gang årligt for at identificere inaktive profiler eller tilsvarende, der skal fjernes eller ændres. alle systemejere informeres om at brugerprofiler skal gennemgås mindst en gang årligt. 3.3 Brugerens ansvar 3.3.1 Valg af sikre kodeord Se bilag 1. Side 5 af 7
3.4 Overvågning af systemadgang og brug Alle forretningskritiske systemer (se bilag 5 for definition) skal logge information om adgang og forsøg på adgang for at kunne spore uautoriseret aktivitet Et forretningskritisk system defineres som et system der er centralt for at kommune kan løse kommunens centrale driftsopgaver. der udarbejdes en liste over alle forretningskritiske systemer. Listen lægges på kommunens intranet. alle forretningskritiske systemer logger information om adgang og forsøg på adgang. at alle systemejere er informeret om deres ansvar i forhold til evt. lovgivning om logning. 3.4.1 Rapportering af sikkerhedshændelser fra driften It og sekretariat skal: skal mindst en gang hver kvartal rapportere om hændelser af betydning for sikkerheden. Mere konkret skal hændelser, der krænker de fastlagte mål for fortrolighed, dataintegritet og tilgængelighed af systemer rapporteres. Rapportering sker til it gruppen. 3.5 Mobile arbejdspladser og hjemmeopkoblinger adgangen til kommunens netværk kun sker gennem sikkerhedsgodkendte løsninger. anti-virusprogrammer er installeret på alle kommunens arbejdspladser, herunder mobile arbejdspladser og hjemmearbejdspladser. 4 Definitioner og forkortelser E-mail: Internet: World Wide Web: Kryptering: Kort for elektronisk post, transmissionen af beskeder over kommunikationsnetværk. Et globalt elektronisk netværk der forbinder computere. Repræsenterer et system af internet servere der supporterer dokumenter der har et specielt format kaldet HTML (HyperText Markup Language). Dette sprog supporterer links til andre dokumenter såvel som grafik, audio og video filer. Kryptering af data medfører at indholdet præsenteres i et uigenkendeligt format modsat klartekst. Kryptering bruges til opbevaring og transmittering af data, og dekryptering sker typisk ved angivelse af adgangskode. Side 6 af 7
Uopfordret: Tilgængelighed: Integritet Fortrolighed: Enhver henvendelse, modtageren ikke på forhånd har anmodet om. Sikkerhed for at brugere kan tilgå information. Forebyggelse af uautoriseret ændring af information. Forebyggelse af uautoriseret afsløring af information. 5 Referencer Dansk standard for edb-sikkerhed, DS 484-1 British Standard for information security, BS 7799, IT-sikkerhedspolitik, marts 2003 Side 7 af 7