Ansvaret för nätverken är fördelat enligt följande:
Systemägare IT-avdelningen - IT-chef
Informationsägare Kommundirektören samt respektive Förvaltningschef
Generell systemsäkerhetsplan – Falköpings kommuns nätverk
Reviderad 07-06-27 Sida 3
Systemansvarig: IT-avdelningen – Systemtekniker Systemteknisktansvarig: IT-avdelningen – Systemtekniker Beslut om behörighet tas av: IT-avdelningen - IT-chef
Behörighetsadministratör: IT-avdelningen – Systemtekniker Granskning av loggar genomförs av: IT-avdelningen – Systemtekniker
Antal användare ca: 9000
4 GRUNDSÄKERHETSKRAV FÖR KOMMUNENS NÄTVERK 4.1 Ledning
• Det skall finnas en dokumenterad och av kommunstyrelsen fastställd IT-säkerhetsplan.
• IT-säkerhetsplanen skall på ett tydligt sätt uttrycka kommunstyrelsens mål för IT-säkerheten.
• IT-säkerhetsplanen skall utgå från lagar och föreskrifter.
• En grundläggande del i den kommunala säkerhetsplanen är att fastställa hur ansvaret för IT-säkerheten skall fördelas mellan olika funktioner inom organisationen.
• Systemsäkerhetsplanena skall innehålla de samlade kraven på säkerhet som ställs på nätverken och datasystem under normala förhållanden.
• I systemsäkerhetsplanerna skall framgå organisation och ansvar kring systemet.
• Den generella systemsäkerhetsplanen skall dokumenteras och formellt fastställas av kommundirektören.
• Kompletterande systemsäkerhetsplaner skall upprättas för de verksamhetskritiska och
samhällsviktiga datasystem som kräver högre säkerhetsnivå än den generella. Dessa planer fastställs av respektive systemägare.
• De kompletterande systemsäkerhetsplanerna skall, utöver grundsäkerhetskraven, även omfatta de tilläggskrav som kan finnas beroende på lagar och föreskrifter, verksamhetens art samt specifika hot mot denna.
• Säkerhetsinstruktionerna skall utgå från IT-säkerhetsplanens mål och inriktning.
• De regler och instruktioner som berör användarnas ansvar och handhavande av ett specifikt
datasystem skall dokumenteras och fastställas av systemägare i en särskild säkerhetsinstruktion för användare.
• Information om IT-säkerhet skall spridas till kommunens medarbetare och elever. Den skall bland annat innehålla kommunens användarinstruktioner samt betydelsen av IT-säkerheten för
verksamheten. Dessutom skall återkommande utbildningsinsatser genomföras.
4.2 Behörighet
• För att få tillgång till nätverken krävs att användaren är registrerad som behörig användare i ett behörighetskontrollsystem (BKS).
• Endast behöriga, med de rättigheter som beslutats, skall finnas registrerade som användare i nätverken.
• Den grundläggande principen skall alltid vara att varje användare har en unik användaridentitet och ett lösenord som endast denne känner till och kan ändra.
• För att underlätta för elever upp till och med årskurs 5 i grundskolan skall det finnas särskilda förenklade regler i säkerhetsinstruktionen vad gäller behörighet och användarhantering.
• Ett lösenord skall bestå av minst 6 tecken och vara konstruerat så att det inte lätt går att avslöja.
• Användarna skall tvingas byta lösenord enligt de tidsintervall som systemägaren beslutar.
• Användaren skall ges en behörighetsprofil som endast medger åtkomst till de resurser i nätverken som krävs för att utföra sina arbetsuppgifter.
Generell systemsäkerhetsplan – Falköpings kommuns nätverk
• För att säkerställa att det endast är beslutade behörigheter som läggs in i nätverkens BKS skall det finnas en fastställd organisation för behörighetsadministration.
• Säkerhetsinstruktionens regler skall omfatta hela kedjan med tilldelning, information, uppdatering och uppföljning av behörighet, dvs. från initialt beslut om behörighet till att denna upphör.
• Systemägaren skall i säkerhetsinstruktionen bland annat fastställa vem som har rätt att besluta om behörighet.
• Beslut om behörighet skall dokumenteras och innehålla alla uppgifter som är nödvändiga för att behörigheten skall kunna läggas in i BKS.
•
4.3 Loggning
• En grundläggande säkerhetsloggning i systemet skall omfatta användaridentitet, (godkänd) inloggning, utloggning samt datum och klockslag.
• Systemägaren skall fastställa om och i så fall vilka händelser utöver den grundläggande säkerhetsloggningen som skall registreras i de enskilda datasystemens säkerhetslogg.
• I säkerhetsinstruktionen skall systemägaren fastställa regler för hur ofta analys av säkerhetsloggar skall ske, vem som ansvarar för detta, hur analys av säkerhetsloggar skall genomföras samt hur säkerhetsloggar skall förvaras.
4.4 Datavirus och annan skadlig kod
• Det föreligger alltid en risk för att det kan komma in skadlig programkod i nätverken. Därför skall det finnas program för detektering och oskadliggörande av datavirus och andra skadliga program.
• Av säkerhetsinstruktionen skall det framgå vilka åtgärder som skall vidtas för att förhindra att datavirus och annan skadlig kod kommer in i nätverket.
4.5 Informationsklassning
• I säkerhetsinstruktionen skall finnas riktlinjer för informationsklassning och hantering av informationen.
• Systemägaren skall i säkerhetsinstruktionen bedöma vilken information, lagrad på datamedia, som skall omfattas av särskilda krypteringsrutiner så att informationen ej kan läsas av obehöriga.
4.6 Säkerhetskopiering
• Säkerhetskopiering skall göras regelbundet och information skall kunna återställas vid behov.
Systemägare skall i säkerhetsinstruktion fastställa reglerna för säkerhetskopiering av information.
Dessa regler skall reglera vilken information som skall omfattas av säkerhetskopiering, intervall för säkerhetskopiering samt hur säkerhetskopior skall förvaras.
• Systemägaren skall fastställa hur många generationer av säkerhetskopior som skall finnas samt vilka kontroller som skall genomföras av att säkerhetskopiorna är läsbara.
4.7 Datamedia
• Av säkerhetsinstruktionen skall framgå vilka åtgärder som skall vidtas, dels för att förhindra att media förstörs, dels för att säkra att informationen är läsbar under hela förvaringstiden.
• Av säkerhetsinstruktionen skall framgå regler för förvaringstid för datamedia. Reglerna skall baseras på de bestämmelser som gäller för den information som lagras.
Generell systemsäkerhetsplan – Falköpings kommuns nätverk
Reviderad 07-06-27 Sida 5
4.8 Datakommunikation
• För att försvåra för obehöriga att göra intrång i nätverken via externa anslutningar skall det finnas en brandväggsfunktion installerad samt en policy för hur installationen skall utformas och genomföras.
• Brandväggarna skall vara den enda kommunikationskanalen för Internetbaserad datakommunikation till och från organisationen.
• Det ska finnas en aktuell förteckning över samtliga externa anslutningar. Detta inkluderar även alla former av anslutningar för underhåll/service från leverantörer.
• Om fjärrdiagnostik erfordras skall sådan ske enligt fastställda/överenskomna rutiner.
• Brandväggarnas utformning skall dokumenteras, gärna som ett särskilt avsnitt i driftdokumentationen.
• Användarnas aktiviteter över brandväggen skall, där så är tekniskt möjligt, loggas. Systemägaren skall fastställa vem som ansvarar för uppföljningen av loggarna.
• För nätverken skall systemägaren fastställa vilka och vilken typ av interna och externa anslutningar till tele- och datanät som skall tillåtas (exempelvis Internet).
• Systemägaren skall ta ställning till vad ansvaret vid dataöverföring till och från nätverken innebär, vilket kan omfatta ansvar i händelse av förlust eller förändring av data samt ansvar för säkerhetsåtgärder vid sändning/mottagning av data.
4.8.1 Uppföljning av aktivitetslogg
Uppföljning av brandväggarnas aktivitetsloggar skall antingen ske vid väl grundade misstankar om överträdelser mot gällande lagar och regler eller vid misstanke om intrångsförsök. Beslut om att granska anställdas Internetaktiviteter fattas efter samråd mellan IT-chef och Personalchef. Beslut att granska elevers Internetaktiviteter fattas efter samråd mellan IT-chef och berörd förvaltningschef.
Resultatet skall vid behov delges berörd verksamhetschef. I säkerhetsinstruktionen skall finnas riktlinjer för hur länge loggarna skall sparas och hur överträdelser skall hanteras.
4.9 Driftsäkerhet
• Systemdokumentationen riktas till den som ska underhålla och vidareutveckla datasystemen. För nätverken skall det finnas en dokumentation som omfattar dess system, väsentlig driftdokumentation samt användardokumentation.
• Det skall finnas en beskrivning av vilken kompetens som erfordras för drift och underhåll av nätverken.
• Tillträdet till viktiga utrymmen, där till exempel för driften viktiga servrar och kommunikationsutrustningar förvaras, skall vara begränsat.
• Tillträdet skall minst regleras med hjälp av låssystem med separat nyckelsystem och helst med en kombination av tekniska och administrativa åtgärder.
• Beslut om vem som får ha tillträde för att kunna utföra sina arbetsuppgifter fattas av systemägaren.
• I direkt anslutning till för driften viktig dator- och kommunikationsutrustning skall det finnas kolsyrebrandsläckare i erforderligt antal.
• Serverrummet skall vara utrustat med brand- temperatur- och intrångslarm. Larmen skall testas regelbundet. Serverrummet skall ha automatisk släckningsutrustning.
• Rätten att installera program, nya versioner av program eller import av externa filer skall regleras i säkerhetsinstruktionen.
• En analys skall genomföras för att identifiera vilka utrustningar i nätverken som är av sådan betydelse att dessa skall utrustas med avbrottsfri kraft.
• Systemägaren skall fastställa vilka tekniska minimikrav som ställs på en nätverksansluten dator.
5 PLAN I SAMBAND MED EXTRAORDINÄRA HÄNDELSER
Av kommunens plan för ledning i samband med extraordinära händelser skall framgå:
Generell systemsäkerhetsplan – Falköpings kommuns nätverk
• Vilka av kommunens datasystem som erfordras vid dessa tillfällen, dvs. minsta behovet av datastöd som krävs för att på ett tillfredsställande sätt bedriva verksamheten. Detta innebär också att organisation, ansvarsfördelning och övriga administrativa rutiner skall beskrivas.
• Övriga åtgärder som krävs för att nätverken skall kunna fungera vid extra ordinära händelser. Sådana åtgärder kan vara flyttning av teknisk utrustning, personalförändringar, omdisponeringar av
datakommunikationskanaler etc.
6 AVBROTTSPLANERING
Kortare avbrott i nätverksdriften kan uppstå på grund av en mängd olika orsaker. Det är orimligt att här beskriva hanteringen av alla dessa i särskilda avbrottsplaner. Arbete bör istället inriktas på att övervaka nätverken och förebygga att det uppstår driftavbrott. Vid en allvarlig händelse som förorsakar ett längre avbrott i hela nätverket aktiveras katastrofplanen.
För enskilda verksamhetskritiska system skall systemägaren bedöma om det finnas ett behov av att upprätta en avbrottsplan.
Avbrottsplanen skall i så fall innehålla en beskrivning av:
• Hur länge det enskilda systemet bedöms kunna vara ur funktion innan verksamheten äventyras.
• När och hur övergång till reservrutiner skall ske.
• De reservrutiner som skall tillämpas under tiden det ordinarie systemet ligger nere.
• När och hur återgång till normaldrift skall ske.
• Utbildning, övning och underhåll.
7 KATASTROFPLANERING
Det skall finnas en dokumenterad katastrofplan. Det administrativa nätverket är där prioriterat.
Planen skall innehålla en beskrivning av:
• När katastrofplanen skall aktiveras.
• Organisation, beslut och ansvar i samband med katastrofer.
• Reservrutiner och ev. alternativa driftsställen vid katastrof.
• Utbildning, övning och underhåll.