Informationssikkerhed Vers.3.0 Retningslinier for adgangsstyring til Banedanmarks informationsaktiver. 19.04.2010 Informationsaktiver omhandler alle informationer hvad enten de er elektroniske, papirbaserede eller mundtlige. Disse retningslinjer beskriver krav og sikringsforanstaltninger i forbindelse med adgang til Banedanmarks elektroniske informationsaktiver. Krav til fysisk adgang, er beskrevet i retningslinjer for fysisk sikring af bygninger, lokaler og installationer. Krav til beskyttelse af informationer og fastsættelse af beskyttelsesniveauet er beskrevet i retningslinjer for klassifikation af informationer. Mål og risikovurdering Det skal sikres at adgang til Banedanmarks informationsaktiver tager udgangspunkt i de forretningsmæssige og lovgivningsmæssige krav. Trusler kan være uautoriseret adgang til følsomme eller fortrolige informationer. Risici kan være brud på fortrolighed og integritet. Informationssikkerhedskrav Adgangsstyring: Adgangsstyring omfatter både logisk og fysisk adgang. Såvel medarbejdere som eksterne samarbejdspartnere skal være bekendt med kravene der ligger til grund for adgangsstyringen. I henhold til it-sikkerhedspolitikken påhviler det system og dataejer at fastsætte de itsikkerhedsmæssige krav til systemer og data. Kravene skal fastsætte sikkerhedsklassifikation og krav til adgangsbeskyttelse (lovgivnings-, kontraktligt og forretningsmæssigt). Grundlaget for adgangsstyring er en oversigt over alle forretningssystemer og informationsaktivers ejere og kontaktpersoner (systemforvaltere). Oversigten skal indeholde en beskrivelse af sikkerhedsniveau (risici og krav til beskyttelse) og sikkerhedsklassifikation. Administration af brugeradgang: For hvert forretningsmæssigt it-system skal der foreligge formelle procedurer og instrukser for styring af brugeradministration herunder: Oprettelse af brugerprofiler, autorisationer, tildeling af rettigheder, gennemgang af rettigheder og sletning af rettigheder. Drift Telefon Telefax Journalnr. It 8234 0000 82342333 051-0004/Maa Amerika Plads 15 Direkte maa@bane.dk Notat 2100 København Ø 82343903 www.banedanmark.dk Side 1(5)
Oprettelse af brugerprofiler Brugere skal tildeles en entydig identitet, med unikke initialer, som gør det muligt at kunne spore en given handling til en given person. Brugerens identitet skal kunne anvendes på tværs af alle informationssystemer i Banedanmark. Eksterne brugere skal have tildelt unikke initialer (med foranstillet x, y eller z)initialer, som gør det muligt at kunne identificere dem, afhængig af om det er interne konsulenter dvs. konsulenter eller vikarer som arbejder på medarbejderlignende vilkår, eller om det er eksterne (med foranstillet y eller z), som tilgår Banedanmarks informationsaktiver på begrænset vis fra ekstern lokation. Inden brugeren tildeles initialer og får adgang til systemer, aktiver og netværk, skal brugeren personligt kvittere for modtagelse af Banedanmarks informationssikkerhedsregler, og for intentionen om at overholde disse. Y-brugere og Z-brugere indgår dog ien samlet firmaaftale Det skal sikres, at tredjepart, der kan få adgang til virksomhedens data, er omfattet af en fortrolighedserklæring. Genåbning af bruger Hvis en bruger genåbnes og det sker indenfor 5 år efter lukning, kan initialer genbruges. Det skal i den forbindelse sikres at gamle rettigheder ikke følger med. Har brugeren været lukket i mere end 6 måneder, skal brugeren skrive under på Tro&love igen. Ved skift af tilhørsforhold, f.eks. konsulenter/vikarer der har fået ny arbejdsgiver skal der laves en ny brugeroprettelse, som sikrer at firmaoplysninger mv. rettes. Autorisationer og tildeling af rettigheder Chefen, system og/eller dataejere skal autorisere (give tilladelse) hvilke informationer brugeren/medarbejderen skal have adgang til. Inden en ekstern samarbejdspartner får adgang til data og systemer skal der foreligge en skriftlig aftale om betingelserne for adgang. Medarbejdere der fratræder eller afskediges, skal fratages alle rettigheder senest ved fratrædelsesdagen. Udvidede adgangsrettigheder Tildeling og anvendelse af udvidede adgangsrettigheder skal begrænses og overvåges. (Er beskrevet i retningslinier for tildeling af kritiske rettigheder). Gennemgang af adgangsrettigheder Brugernes rettigheder skal gennemgås regelmæssigt efter en formaliseret forretningsgang som skal omfatte: Interval for gennemgang af brugeradgange Revurdering ved forflyttelse og organisatoriske ændringer Side 2(5)
Gennemgang af udvidede adgangsrettigheder Ændringer i autorisationer til udvidede adgangsrettigheder skal logges og gennemgås regelmæssigt Adgangskoder Tildeling af adgangskoder skal styres ved en formaliseret proces, som skal omfatte: Brugernes accept af kravet om hemmeligholdelse og behandling af password Instruks til brugeren om ændring af førstegangspassword Forretningsgang for verificering af brugere ved udlevering af udløbet password Forsendelse af adgangskoder Sletning af rettigheder Ved fratrædelse skal alle brugerprofiler og systemrettigheder for brugeren øjeblikkeligt lukkes. Efter tre måneder nedlægges brugerkontoen. Ved omplacering af medarbejdere skal alle rettigheder for pågældende bruger revurderes. En nedlagt brugeridentitet må ikke tildeles nye brugere i indtil 5 år efter nedlæggelsen af revisionsmæssige årsager. Sikringsforanstaltninger Brugeroprettelse er opdelt i tre procedurer: 1. Medarbejdere 2. Konsulenter/vikarer som har arbejdsplads i Banedanmark (X-bruger) 3. Eksterne firmaer, som tilgår data/systemer via ekstern forbindelse (Y-bruger) 4. Eksterne firmaer, som tilgår data/systemer på SharePoint via ekstern forbindelse (Z-bruger) De gældende procedurer kan findes på intranettet under informationssikkerhed. Lukning af brugeradgang for medarbejdere Adgang til informationer, herunder fysisk adgang skal lukkes ved fratrædelsesdatoen. Proceduren er beskrevet i procedure for: Lukning af adgang til it-systemer og tilbagelevering af it og telefonudstyr som findes på intranettet på informationssikkerheds siderne. Informationssikkerhed sikrer dokumentation og at der foretages stikprøvekontrol af om lukning er sket. Lukning af adgang for øvrige brugere Informationssikkerhed modtager en systembesked når ekstern bruger overskrider sin udløbsdato og skal lukkes. Brugere der ikke har været aktive i mere end tre måneder skal automatisk disables (spærres i systemet). Efter 1 år nedlægges kontoen. Side 3(5)
Oprydning i brugerid Et brugerid er spærret i 5 år efter disabling og må ikke tildeles nye brugere. Efter 5 år skal brugerens id slettes. Nødprocedurer Informationssikkerhed i Banedanmark kan give dispensation fra disse retningslinier. Siemens Helpdesk skal sikre at brugeren verificerer sig selv i tilfælde af glemt/udløbet password. Roller HR system & struktur er overordnet ansvarlig for at oprette medarbejdere i SAP-HR og sikre at der er foretaget korrekte registreringer. HR Service sender informationssikkerhedsregler + Tro&Love til medarbejdere inden ansættelsen. HR System og Struktur opretter alle eksterne konsulenter og vikarer med unikt brugernavn og sikrer at Tro & Love foreligger inden der gives adgang. Chefer, system og/eller dataejere er som udgangspunkt bemyndigede til at autorisere brugere, eller bemyndige en medarbejder til dette. It-driftleverandør varetager Helpdesk opgaven på vegne af Banedanmark Banedanmarks it-driftchef er ansvarlig for at Helpdesk foretager de beskrevne opgaver for Banedanmark Lukning af brugere sker automatisk ved slutdato. It-driftleverandør adviseres automatisk på slutdato om at foretage manuelle steps i nedluk. Informationssikkerhed kvitterer for lukning af brugere og at der foretages kontrol heraf Dokumenthåndtering Banehuset sikrer at blanketten Tro & Love opbevares i medarbejderens personalesager. Informationssikkerhed er overordnet ansvarlig for denne procedure og at den er implementeret og følges Referencer Kontrol DS 484-2005, Afsnit 11. Banedanmarks informationssikkerhedspolitik Procedure for lukning af adgang til it-systemer mv. Hurit instrukser Guide for informationssikkerhed i Banedanmark Blanketsæt for brugeroprettelser og autorisationer (findes på intranettet) Procedure for dataadgang for eksterne samarbejdspartnere Retningslinier for tildeling af kritiske rettigheder Side 4(5)
Informationssikkerhed i Banedanmark er ansvarlig for at: Der tages stikprøver af om der foreligger dokumentation for brugeroprettelser og at brugere har underskrevet Tro og love inden de får adgang Der tages stikprøvekontrol af om der er overensstemmelse i forhold til den adgang der er givet og brugeren reelt har. Der udføres kontrol på udvidede rettigheder til brugere Der tages kontrol af om lukning af brugere er sket. Kontrollen skal kunne dokumenteres. Godkendelse Godkendt af It-chef Kenneth Lau Rentius, den 26.02.2010 HR systemchef Carsten Johan Møller den 19.4.2010 Informationssikkerhedschef, Marianne Bo Krowicki, den 26.2.2010 Side 5(5)