IKT-sikkerhet og sårbarhet i Risør kommune

Transkript

1 Arendal Revisjonsdistrikt IKS Arendal-Birkenes-Froland-6jerstad-Grimstad-Lillesand-Riser-Tvedestrand-Vegarshei-knii 12-\ cx - IKT-sikkerhet og sårbarhet i Risør kommune Forvaltningsrevisjonsrapport - november 2012

2 INNHOLDSFORTEGNELSE 1. INNLEDNING 3 2. PROSJEKTETS FORMÅL, PROBLEMSTILLING OG AVGRENSING 3 2.1FORMÅL 3 2.2PROBLEMSTILLINGER 4 2.3AVGRENSING 4 2.4REVISJONSKRITERIER 4 3. METODEVALG OG GJENNOMFØRING 4 4. PROBLEMSTILLING: KRAV TIL STYRINGSSYSTEM STATUS OG VURDERING SIKKERHETSLEDELSE RISIKOVURDERING SIKKERHETSREVISJON AvvIK ORGANISERING PERSONELL OG TAUSHETSPLIKT FYSISK SIKRING SIKRING AV KONFIDENSIALITET SIKRING AV TILGJENGELIGHET SIKRING AV INTEGRITET SIKKERHETSTILTAK SIKKERHET HOS ANDRE VIRKSOMHETER DOKUMENTASJON OPPSUMMERING OG ANBEFALINGER RÅDMANNENS KOMMENTAR 14 Vedlegg: Ordliste Spørreskjema 1

3 FORORD Forvaltningsrevisjon er etter kommuneloven en lovpålagt oppgave for kontrollutvalget og kommunerevisjonen. Formålet med forvaltningsrevisjon er å føre tilsyn med at forvaltningen foregår i samsvar med gjeldende bestemmelser og vedtak. Forvaltningsrevisjon kan også omfatte vurderinger av kommunens forvaltning, med utgangspunkt i oppgaver, ressursbruk og oppnådde resultater. I dette prosjektet har vi undersøkt i hvilken grad Risør kommune etterlever krav i personopplysningsloven med forskrift. I rapporten drøftes funn i tilknytning til problemstillingene og det gis anbefalinger som kan bidra til at kommunen kan ivareta oppgavene som omfatter behandling av personopplysninger på en bedre måte. Prosjektet har i hovedsak vært gjennomført våren og høsten Arendal Revisjonsdistrikt IKS har benyttet ekstern konsulentbistand fra Pragma AS i et felles forprosjektet for alle kommunene. Prosjektet er gjennomført av oppdragsansvarlig forvaltningsrevisor Steinar Johansen i henhold til vedtak i kontrollutvalget i Risør kommune (årsplaner). Risør, den 19. november 2012 Steinar Joh revisjonss) g(-1 2

4 1. Innledning Kontrollutvalget i Risør kommune har i sin årsplan for 2012 vedtatt at prosjektet "IKT sikkerhet og sårbarhet" skal gjennomføres. Kontrollutvalgets bestilling er som følger: "Bruken av IKT er omfattende i kommunen. Tilgjengelighet, sårbarhet, sikkerhet, sikring m.v. ønskes kartlagt." Prosjektet er et fellesprosjekt for alle kommunene som Arendal revisjonsdistrikt IKS reviderer. Prosjektet er nå gjennomført i 7 av kommunene og 3 kommuner gjenstår. Personopplysningsloven 13 "Informasjonssikkerhet" angir det lovpålagte kravet til informasjonssikkerhet. Paragrafens første og annet ledd lyder: "Den behandlingsansvarlige og databehandleren skal gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet ved behandling av personopplysninger. For å oppnå tilfresstillende informasjonssikkerhet skal den behandlingsansvarlige og databehandleren dokumentere informasjonssystemet og sikkerhetstiltakene. Dokumentasjonen skal være tilgjengelig for medarbeideren hos den behandlingsansvarlige og hos databehandleren. Personvernnemnda." Dokumentasjonen skal være tilgjengelig for Datatilsynet og Innholdet er nærmere utdypet i personopplysningsforskriftens kapittel 2. Bestemmelsene i forskriften angir krav til det styringssystemet den enkelte virksomhet må etablere for å oppnå tilfredsstillende informasjonssikkerhet. Sentralt i styringssystemet er at kommunene må fastsette overordnede sikkerhetsmål, fastsette akseptabelt risikonivå og fordele ansvar og oppgaver i sikkerhetsarbeidet. Kommunen må fremskaffe en komplett oversikt over alle personopplysninger behandles innenfor de ulike tjenesteområdene. Kommunene må foreta risikovurdering, dvs vurdere sannsynlighetene for og konsekvensene av sikkerhetsbrudd. Det må opprettes rutiner og et aktivt system for avvikshåndtering. som 2. Prosjektets formål, problemstilling og avgrensing 2.1 Formål Hovedformålet er å undersøke i hvilken grad Risør kommune etterlever bestemmelsene i personopplysningsloven og personopplysningsforskriften i sin behandling av personopplysninger. Rapporten skal bidra til at mangler eller feil avdekkes og kartlegges, slik at det kan settes i gang tiltak for å rette opp i dette. 3

5 2.2 Problemstillinger Har kommunen bygget opp et informasjonssikkerhetssystem i henhold til de krav som er gitt i personopplysningsloven med forskrift som trådte i kraft ? Detaljerte problemstillinger, knyttet til i hvilken grad kommunen har fulgt opp krav til styringssystem angitt i personopplysningsforskriften kap 2, fremgår av revisjonens kartleggingsskjema. Status knyttet til det enkelte krav i forskriften er omtalt i kap 4 i denne rapporten. 2.3 Avgrensing De undersøkelser som er foretatt gjelder kun for personopplysninger som helt eller delvis behandles ved hjelp av elektroniske hjelpemidler. 2.4 Revisjonskriterier Revisjonskriterier er en samlebetegnelse på de regler og normer som gjelder innenfor det området som undersøkes. Revisjonskriteriene er basis for de analyser og vurderinger som foretas, konklusjonene som trekkes, og de er et viktig grunnlag for å kunne dokumentere avvik eller svakheter. Metodevalg og gjennomføring Revisjonen har sendt ut kartleggingsskjema til rådmannen. (Skjemaet (spørsmålene) følger som vedlegg til rapporten). Rådmannen har svart og returnert skjemaet til revisjonen. Etter dette er det avholdt et møte med administrasjonen hvor besvarelsen ble gjennomgått. Denne rapporten inneholder resultatene fra kartleggingen og revisjonens vurdering av svarene opp mot kravene i personopplysningsforskriften kap 2. Revisjonens anbefalinger følger til slutt i rapporten. Problemstilling: Krav til styringssystem status og vurdering Spørreskjemaet som danner grunnlaget for revisjonens vurdering, er fylt ut av kommunens rådmann sammen med IT-avdelingen. I de neste kapitler følger en beskrivelse av de opplysninger (fakta) som er gitt gjennom spørreskjemaet og samtaler. Svarene er målt opp mot bestemmelsene i forskriften og danner grunnlaget for revisjonens vurdering og konklusjon Sikkerhetsledelse Regelverk - ifr. forskriftens 2-3 "Den som har den daglige ledelsen av virksomheten som den behandlingsansvarlige driver, har ansvar for at bestemmelsene i dette kapittelet følges. Formålet med behandling av personopplysninger og overordnede føringer for bruk av informasjonsteknologi, skal beskrives i sikkerhetsmål. Valg og prioriteringer i sikkerhetsarbeidet skal beskrives i en sikkerhetsstrategi. 4

6 Bruk av informasjonssystemet skal jevnlig gjennomgås for å klarlegge om den er hensiktsmessig i forhold til virksomhetens behov, og om sikkerhetsstrategien gir tilfredsstillende informasjonssikkerhet som resultat. Resultatet fra gjennomgangen skal dokumenteres og benyttes som grunnlag for eventuell endring av sikkerhetsmål og strategi." Fakta Risør har i fellesprosjekt med de andre samarbeidende kommunene i Østregionen utarbeidet egen sikkerhetshåndbok med bl.a. sikkerhetsmål og strategi datert opprettet Dette skal være styrende for kommunens arbeid med informasjonssikkerhet. Risør kommune svarer ja på om sikkerhetsstrategien gir tilfredsstillende informasjonssikkerhet, men svarer at sikkerhetsmål og sikkerhetsstrategien ikke gjennomgås jevnlig, slik det er pålagt etter personopplysningsforskriften 2-3 og slik det er nedfelt i kommunens sikkerhetsstrategi Vurdering og konklusjon Sikkerhetshåndboken er et strukturert og oversiktlig dokument som gir et godt grunnlag for kommunen i arbeidet med å etablere god informasjonssikkerhet. Det bemerkes at sikkerhetshåndboken er utarbeidet for over 9 år siden og har ikke vært revidert siden. Det vil skje naturlige endringer i en virksomhet, som integrering av nytt informasjonssystem, endringer i rutiner og prosedyrer og med de endringene må det følge en gjennomgang av sikkerhetsstrategien slik at den til en hver tid er tilpasset virksomheten sikkerhetsbehov. For å kunne ivareta tilfredsstillende informasjonssikkerhet er Risør kommune nødt til å revidere sikkerhetsmålet og strategien sin jevnlig. Rutinene er dokumenterte og ligger på plass, men er ikke en integrert del av kommunen. Svarene indikerer at sikkerhetshåndbokens rutiner og delegering av ansvar heller ikke er kjent for de ansatte. 4.2 Risikovurdering Revisjonskriterier jfr. forskriftens 2-4 "Det skal føres oversikt over hva slags personopplysninger som behandles. Virksomheten skal selv fastlegge kriterier for akseptabel risiko forbundet med behandlingen av personopplysninger. Den behandlingsansvarlige skal gjennomføre risikovurdering for å klarlegge sannsynligheten for og konsekvenser av sikkerhetsbrudd. Ny risikovurdering skal gjennomføres ved endringer som har betydning for informasjonssikkerheten. Resultatet av risikovurderingen skal sammenlignes med de fastlagte kriterier for akseptabel risiko forbundet med behandling av personopplysninger, jf. første ledd og 2-2. Resultatet av risikovurderingen skal dokumenteres." Fakta Her svares det "nei" på samtlige spørsmål. Det føres ingen samlet oversikt over hvilke opplysninger som behandles, eller hvilke opplysninger som er nødvendig å sikre med hensyn til konfidensialitet, integritet og tilgjengelighet. Den behandlingsansvarlige har heller ikke 5

7 fastsatt kriterier for akseptabel risiko eller kartlagt sannsynligheten for eller konsekvensene av et sikkerhetsbrudd ved hjelp av en risikovurdering Vurdering og konklusjon Svarene innebærer at kravene om risikovurdering etter personopplysningsforskriften 2-4 ikke er imøtekommet. Personopplysningslovens 13 med utfyllende bestemmelser i forskriftens kapittel 2, gir forventninger om tilfredsstillende sikring av informasjonssystemet med grunnlag i risikovurdering. For å kunne gjennomføre en risikovurdering må det med utgangspunkt i oversikt over personopplysninger som behandles, angi hvilke opplysninger som er nødvendig å sikre med hensyn til konfidensialitet, integritet og tilgjengelighet. 4.3 Sikkerhetsrevisjon Revisjonskriterier jfr. forskriftens 2-5 "Sikkerhetsrevisjon av bruk av informasjonssystemet skal gjennomføres jevnlig. Sikkerhetsrevisjon skal omfatte vurdering av organisering, sikkerhetstiltak og bruk av kommunikasjonspartner og leverandører. Dersom sikkerhetsrevisjonen avdekker bruk av informasjonssystemet som ikke er forutsatt, skal dette behandles som avvik, jf Resultatet fra sikkerhetsrevisjon skal dokumenteres." Fakta Det svares at det foretas det ikke foretas en etterprøving av sikkerhetsarbeidet, men at dersom det avdekkes bruk av informasjonssystemet som ikke er forutsatt, så blir dette behandlet som avvik. Resultatet av sikkerhetsrevisjonen dokumenteres ikke Vurdering og konklusjon Etter krav i personopplysningsforskriften 2-5 skal det jevnlig gjennomføres en sikkerhetsrevisjon. Avdekking av bruk av informasjonssystemet som ikke er forutsatt, skal behandles som avvik. Formålet med en sikkerhetsrevisjon er å sikre at besluttet sikkerhetsmål og strategi etterleves i hele virksomheten. Resultatet av revisjonen skal dokumenteres og danner grunnlaget for eventuelle nødvendige endringer i sikkerhetsmål og strategi. Sikkerhetsrevisjonen inngår også som grunnlag i ledelsens gjennomgang av informasjonssystemet og informasjonssikkerheten. 4.4 Avvik Revisjonskriterier jfr. forskriftens 2-6 "Bruk av informasjonssystemet som er i strid med fastlagte rutiner, og sikkerhetsbrudd, skal behandles som avvik. Avviksbehandlingen skal ha som formål å gjenopprette normal tilstand, fjerne årsaken til avviket og hindre gjentagelse. Dersom avviket har medført uautorisert utlevering av personopplysninger hvor konfidensialitet er nødvendig, skal Datatilsynet varsles. Resultatet fra avviksbehandling skal dokumenteres." 6

8 4.4.2 Fakta Kommunen svarer at det ikke er registrert sikkerhetsbrudd og bruk av systemet i strid med fastlagte rutiner. Kommunens sikkerhetshåndbok har rutiner for avviksbehandling og dokumentasjon Vurdering og konklusjon Svarene indikerer at kommunen har etablert avviksrutiner slik sikkerhetshåndboken angir. Her er det også viktig at det kommer frem at et avvik også kan være organisatoriske og prosessuelle avvik som strider mot fastlagte rutiner (Jf. Personopplysningsforskriften 2-6). 4.5 Organisering Revisjonskriterier jfr. forskriftens 2-7 "Det skal etableres klare ansvars- og myndighetsforhold Ansvars- og myndighetsforhold behandlingsansvarliges daglige leder. for bruk av informasjonssystemet. skal dokumenteres og ikke endres uten autorisasjon fra den Informasjonssystemet skal konfigureres slik at tilfredsstillende informasjonssikkerhet oppnås. Konfigurasjonen skal dokumenteres og ikke endres uten autorisasjon fra den behandlingsansvarliges daglige leder. Bruk av informasjonssystemet som har betydning for informasjonssikkerheten, skal utføres i henhold til fastlagte rutiner." Fakta Kommunen svarer at det er både etablert klare ansvars og myndighetsforhold for bruk av informasjonssystemet, men at dette ikke er dokumentert, men ikke oppdatert. Det svares nei på spørsmål om det foreligger autorisasjon fra behandlingsansvarliges leder ved endring av ansvars- og myndighetsforhold og ved endring av konfigurasjon. Det svares at informasjonssystemet er konfigurert slik at tilfredsstillende informasjonssikkerhet oppnås Vurdering og konklusjon Autorisasjoner til datasystemene i kommunen har en klar innvirkning på beskyttelse av personopplysningenes konfidensialitet, integritet og tilgjengelighet. Når en ansatt endrer stillingsbeskrivelse og skal jobbe med andre ting, skal tidligere autorisasjoner stenges. For å ivareta riktig autorisasjonsrettigheter for de ansatte, er det viktig at enhetsledere regelmessig får en oppdatert liste over hvilke rettigheter de enkelte ansatte har og kan sammenligne dette med hvilke arbeidsoppgaver som utføres. På denne måten kan det kontrolleres at ingen har flere rettigheter enn det vedkommende trenger for å utføre sine arbeidsoppgaver, og like viktig, at de ansatte har tilstrekkelige rettigheter. For å kunne måle om informasjonssystemet er konfigurert slik at tilfredsstillende informasjonssikkerhet oppnås, må blant annet sikkerhetsmål og sikkerhetsstrategi gjennomgås jevnlig (Jf. Personopplysningsforskriften 2-3). 7

9 4.6 Personell og taushetsplikt Revisjonskriterier ffr. forskriftens 2-8, 2-9 "Medarbeidere hos den behandlingsansvarlige skal bare bruke informasjonssystemet for å utføre pålagte oppgaver, og selv være autorisert for slik bruk. Medarbeiderne skal ha nødvendig kunnskap for å bruke informasjonssystemet i samsvar med de rutiner som er fastlagt. Autorisert bruk av informasjonssystemet skal registreres. Medarbeidere hos den behandlingsansvarlige skal pålegges taushetsplikt for personopplysninger hvor konfidensialitet er nødvendig. Taushetsplikten skal også omfatte annen informasjon med betydning for informasjonssikkerheten." Fakta Det svares at de ansatte har tilstrekkelig med kunnskap til å bruke informasjonssystemene i kommunen og at de kun blir brukt for å utføre pålagte oppgaver og at de har taushetsplikt for personopplysninger der konfidensialitet er nødvendig. På spørsmålene vedrørende privat bruk av informasjonssystemer svares det at det ikke er forbud mot dette Vurdering og konklusjon Svarene tyder på at det ligger rutiner til grunn for bruken av datasystemene og at taushetsplikten ivaretas. Generell taushetserklæring er utarbeidet og underskrives av alle nyansatte i kommunen. 4.7 Fysisk sikring Revisjonskriterier ffr. forskriftens 2-10 "Det skal treffes tiltak mot uautorisert adgang til utstyr som brukes for å behandle personopplysninger etter forskriften her. Sikkerhetstiltakene skal også hindre uautorisert adgang til annet utstyr av betydning for informasjonssikkerheten. Utstyr skal installeres slik at ikke påvirkning fra driftsmiljøet får betydning for behandlingen av personopplysninger." Fakta Det er kun ett spørsmål under denne delen av spørreundersøkelsen. Det svares at den behandlingsansvarlige har sørget for nødvendige tiltak for å hindre uautorisert adgang til utstyr for behandling av personopplysninger med betydning for informasjonssikkerheten. Som dokumentasjon på dette viser kommunen til konfigurasjonstiltak og utarbeidede rutiner som omfatter både datamessig og fysisk sikring Vurdering og konklusjon Fysisk sikring gjelder ikke bare teknisk forhold så som tilgangsrettigheter, brannmur og lignende, men inkluderer også utforming av arbeidsplassen og fellesområder. Det er hver enkelt enhet sitt ansvar å påse at blant annet samtaler der sensitive opplysninger diskuteres forekommer i lydavskjermet rom, at ikke uvedkommende befinner seg i lokale der sensitive 8

10 opplysninger kan være tilgjengelig og at dør til kontor låses hvis en forlater et rom der sensitive opplysninger ligger synlig. Dette er omtalt i sikkerhetshåndboken, men det synes som om de ansatte ikke har god kunnskap om dette. 4.8 Sikring av konfidensialitet Revisjonskriterier ffr. forskriftens 2-11 "Det skal treffes tiltak mot uautorisert innsyn i personopplysninger hvor konfidensialitet nødvendig. Sikkerhetstiltakene skal også hindre uautorisert innsyn i annen informasjon med betydning for informasjonssikkerheten. Personopplysninger som overføres elektronisk ved hjelp av overføringsmedium behandlingsansvarliges fysiske kontroll, skal krypteres eller sikres på annen måte når konfidensialitet er nødvendig. For lagringsmedium som inneholder personopplysninger hvor konfidensialitet er utenfor den er nødvendig, skal behovet for sikring av konfidensialitet fremgå ved hjelp av merking eller på annen måte. Dersom lagringsmediet ikke lenger benyttes for behandling av slike opplysninger, skal opplysningene slettes fra lagringsmediet." Fakta Kommunen svarer at det er truffet tiltak for å hindre uautorisert innsyn i personopplysninger hvor konfidensialitet er nødvendig. Det opplyses at følgende sikringstiltak er iverksatt: låst serverrom med nøkkelsikkerhetssystem, dobbelt innlogging. Server med personopplysninger merkes ikke. Ved avhending av lagringsmedia blir disse fysisk ødelagt gjennom sertifisert firma Vurdering og konklusjon For å sikre at personopplysninger ikke kommer uvedkommende i hende eller blir tilgjengelig for uautoriserte, må det foreligge både en teknisk sikkerhet, men også dokumenterte og implementerte prosesser som skal ivareta personopplysningenes konfidensialitet. Kvalitetshåndboken inneholder rutinebeskrivelser for hvordan sikkerheten kan ivaretas. Kommunen bør gjennomgå dette for å sjekke ut at rutinene er i tråd med forskriftens krav. 4.9 Sikring av tilgjengelighet Revisjonskriterier jfr. forskriftens 2-12 "Det skal treffes tiltak for å sikre tilgang til personopplysninger hvor tilgjengelighet er nødvendig. Sikkerhetstiltakene skal også sikre tilgang til annen informasjon med betydning for informasjonssikkerheten. Alternativ behandling skal forberedes for de tilfeller informasjonssystemet er utilgjengelig for normal bruk. Personopplysninger og annen informasjon som er nødvendig for gjenoppretting av normal bruk, skal kopieres." Fakta Det svares at det er truffet tiltak for å sikre tilgang til personopplysninger hvor tilgjengelighet er nødvendig. Kommunen har rutine for dublisering/back-up av data. Lagringsmediet blir oppbevart i brannsikkert skap i kommunehuset. Det er etablert nødstrøm for serverrom. 9

11 4.9.3 Vurdering og konklusjon Kommunen kommenterer til det første spørsmålet om sikring av tilgang til personopplysninger at dette reguleres ved rutiner for manuell innsyn i dokumenter. Her kommer autorisasjonsrettigheter inn som en viktig del. De ansatte skal ikke ha tilgang til for mye informasjon, men må også ha tilgang til nok informasjon som er nødvendig for å utføre pålagte arbeidsoppgaver. Rutiner ifm sikring av tilgjengelighet vurderes å ha et forbedringspotensiale Sikring av integritet Revisjonskriterier jfr. forskriftens 2-13 "Det skal treffes tiltak mot uautorisert endring av personopplysninger der integritet er nødvendig. Sikkerhetstiltakene skal også hindre uautorisert endring av annen informasjon med betydning for informasjonssikkerheten. Det skal treffes tiltak mot ødeleggende programvare." Fakta På lik linje med spørsmål om sikring av tilgjengelighet, svares det også her "ja" på alle spørsmålene. Kommunen kommenterer at endringer av personopplysninger blir gjort innenfor rammen av de etablerte rutinene vedr adgangskontroll og kontrollfunksjoner i dataprogrammene. Det treffes tiltak for ødeleggende programvare gjennom viruskontroll, informasjon, opplæring, sikkerhetsrutiner, spamfiltrering og brannmur på flere nivåer Vurdering og konklusjon Bestemmelsen pålegger den behandlingsansvarlige å hindre utilsiktet endring av personopplysninger og uautorisert endring av annen informasjon der dette er nødvendig for informasjonssikkerheten. Ved valg av hvilke opplysninger som det skal sikres integritet for, og hvilke sikkerhetstiltak som må etableres, følger som et resultat av risikovurderingen. Kommunen svarer at det ikke er gjennomført risikovurdering Sikkerhetstiltak Revisjonskriterier jfr. forskriftens 2-14 "Sikkerhetstiltak skal hindre uautorisert bruk av informasjonssystemet og gjøre det mulig å oppdage forsøk på slik bruk. Forsøk på uautorisert bruk av informasjonssystemet skal registreres. Sikkerhetstiltak skal omfatte tiltak som ikke kan påvirkes eller omgås av medarbeiderne, og ikke være begrenset til handlinger som den enkelte forutsettes å utføre. Sikkerhetstiltak skal dokumenteres." Fakta Kommunen svarer her at de har etablert brannmur overvåkning og serverlogg. Uautorisert bruk av informasjonssystemet blir registrert. Det foreligger ingen skriftlig dokumentasjon på dette. 10

12 Vurdering og konklusjon Bestemmelsen her legger opp til at kommunen skal etablere sikkerhetstiltak for å forhindre sikkerhetsbrudd og avdekke hendelser som kan forårsake sikkerhetsbrudd. Sikkerhetstiltak er iverksatt Sikkerhet hos andre virksomheter Revisjonskriterier jfr. forskriftens 2-15 "Den behandlingsansvarlige skal bare overføre personopplysninger elektronisk til den som tilfredsstiller kravene i forskriften her. Den behandlingsansvarlige kan overføre personopplysninger til enhver dersom overføringen skjer i samsvar med reglene i personopplysningsloven 29 og 30, eller når det er fastsatt i lov at det er adgang til å kreve opplysninger fra et offentlig register. Leverandører som gjennomfører sikkerhetstiltak, eller gjør annen bruk av informasjonssystemet på den behandlingsansvarliges vegne, skal tilfredsstille kravene i dette kapittelet. Den behandlingsansvarlige skal etablere klare ansvars- og myndighetsforhold overfor kommunikasjonspartnere og leverandører. Ansvars- og myndighetsforhold skal beskrives i særskilt avtale. Den behandlingsansvarlige skal ha kunnskap om sikkerhetsstrategien hos kommunikasjonspartnere og leverandører, og jevnligforsikre seg om at strategien gir tilfredsstillende informasjonssikkerhet." Fakta Kommunen svarer ja på at behandlingsansvarlige kun overfører personopplysninger til de som tilfredsstiller kravene i personopplysningsloven. Det er ikke inngått særskilt avtale med leverandører om sikkerhet slik forskriften krever Vurdering og konklusjon Dette ansees å være noe mangelfullt. Risør kommune er "eier av" personopplysningene og er derfor ene ansvarlig for at alle parter som behandler opplysningene, også på vegne av kommunen, tilfredsstiller kravene i henhold til personopplysningsloven med tilhørende forskrift. (if. Personopplysningsloven 2, del 5). Den behandlingsansvarlige skal være kjent med sikkerhetsarbeidet hos leverandører ved at det innhentes informasjon om sikkerhetsstrategien i virksomheten. Derigjennom skal den kommunens behandlingsansvarlige forsikre seg om at informasjonssikkerheten hos leverandøren er tilfredsstillende. Kommunen har gjort forsøk på innhenting informasjon om dette. Kommunen har ingen rutine for jevnlig kontroll av at sikkerhetsstrategien er tilfredsstillende Dokumentasjon Revisjonskriterier jfr. forskriftens 2-16 "Rutiner for bruk av informasjonssystemet og annen informasjon med betydning for informasjonssikkerheten, skal dokumenteres. Dokumentasjon skal lagres i minst 5 år fra det tidspunkt dokumentet ble erstattet med ny gjeldende utgave. 11

13 Registrering av autorisert bruk av informasjonssystemet og av forsøk på uautorisert bruk, skal lagres minst 3 måneder. Det samme gjelder registreringer av alle andre hendelser med betydning for informasjonssikkerheten." Fakta Kommunen svarer at rutinene i stor grad er dokumentert i sikkerhetshåndboken. På spørsmål om dokumentasjonen blir lagret i minimum 5 år svares det ja. Ang kommunens registrering av autorisert bruk av informasjonssystemet og av forsøk på uautorisert bruk så er det ikke etablert noen rutine for registrering av dette Vurdering og konklusjon Bestemmelsen setter et krav til dokumentasjon. Det innebærer at det i tillegg til beskrivelse av tekniske tiltak, skal være rutiner for arbeid med informasjonssystemet og registrering av hendelser. Kommunen har enkelte elementer på plass, men har noe vei å gå for å bringe systemet i samsvar med bestemmelsen. 5. Oppsummering og anbefalinger Generelt Revisjonen har i rapporten dokumentert resultatet av prosjektet i kap. 4. Her fremkommer vurdering og konklusjon under hvert underkapitel. Revisjonens gjennomgang av informasjonssikkerhetsarbeidet i Risør kommune har avdekket flere mangler i forhold til de krav som er nedfelt i personopplysningsforskriften. Faktasammendra Revisjonens gjennomgang viser at Risør kommune har utarbeidet et overordnet dokument for sikkerhetsmål og strategi. Kommunen har ikke utarbeidet en oversikt over de personopplysninger som behandles i kommunen. En slik oversikt er en forutsetning for å få fastsatt kriterier for akseptable risiko og få vurdert sannsynligheten for eller konsekvensene av sikkerhetsbrudd. Kommunen svarer at de ikke gjennomfører risikovurdering og sikkerhetsrevisjon. Arbeid med informasjonssikkerhet, der sikkerhetsrevisjon med gjennomgang av mål, organisering, rutiner og dokumentasjon av sikringstiltak, skal bidra til at kommunen til enhver tid har forsvarlig informasjonssikkerhet, er ikke etablert som en del av kommunens planprosess. Anbefalinger Risikovurderinq Kommunen bør: Utarbeide oversikt over hvilke personopplysninger som behandles i kommunen. Sette opp kriterier for akseptabelt risikonivå i forhold til konsekvens og sannsynlighet for et sikkerhetsbrudd. Gjennomføre risikovurdering. Dokumentere resultatene fra risikovurderingen. Gjennomføre nødvendige tiltak for at behandlingen av personopplysninger skal være innenfor akseptabelt risikonivå. 12

14 Risikorevisjon Kommunen bør legge arbeidet med risikorevisjon inn som en del av den årlige plan- og budsjettprosessen. Sikkerhetshåndboken med beskrivelse av mål, prosesser, organisering, sikringstiltak må revideres. Beskrivelse av sikringstiltak og rutiner må gjennomgås og oppdateres dersom det er behov for det. Risikorevisjon skal sikre at kommunen til enhver tid har en tilfredsstillende informasjonssikkerhet. Arbeidet med informasjonssikkerhet og sikkerhetsrevisjon bør involvere alle i administrasjonen, ledelsen og brukere av system der personopplysninger behandles. Dette er viktig for at kommunen til enhver tid skal ha en forsvarlig sikkerhet ved behandling av personopplysninger. Sikkerhet hos andre leverandører Kommunen bør gjøre seg kjent med sikkerhetsarbeidet informasjon om sikkerhetsstrategien i virksomhetene. hos sine leverandører og innhente Tidsplan Kommunen bør legge en tidsplan for det videre arbeidet med å bygge opp et fullstendig system for informasjonssikkerhet. Det er viktig at ansvarsforhold er helt klare i dette arbeidet. Revisjonen har notert seg at kommunene i DDØ-samarbeidet har satt i gang et felleskommunalt prosjekt som skal utarbeide kvalitetssystem for informasjonssikkerhet. 13

15 6. Rådmannens kommentar. Rådmannen i Risør har avgitt følgende kommentar til rapporten i brev av : Det vises til forvaltningsrapport datert november 2012 vedr. IKT-sikkerhet og sårbarhet i Risør kommune. Rådmannen har ikke merknader til innholdet og konklusjonene i rapporten. Kommunen har tidligere utarbeidet et overordnet dokument for sikkerhetsmål og strategi i 2003 i samarbeid med de fire andre kommunene i øst-regionen. Ved opprettelse av modellen med vertskommune for IKT-oppgaver, har nok arbeidet i den enkelte kommune på IKT-sikkerhet og sårbarhet blitt noe pulverisert. Rapporten avdekker forhold som det må gjøres forbedringer på både mht system med sikkerhetsmål og strategi felles for alle de fem kommunene i øst-regionen, men også mht gjennomføring og oppfølgingen i hver enkel kommune. Det som framkommer i rapporten er i stor grad sammenfallende i de fem kommunene i østregionen. Derfor har det med bakgrunn i bl.a. det arbeidet som er gjort i forbindelse med denne forvaltningsrapporten, blitt arbeidet med en prosjektplan for utarbeidelse av kvalitetssystem for informasjonssikkerhet. Denne prosjektplanen har vært behandlet i plan- og strategigruppen for DDØ, og godkjent av rådmennene i DDØ den Prosjektplanen vedlegges til orientering. Det forventes at den interkommunale arbeidsgruppa skal ha sluttført sitt arbeid med felles kvalitetssystem for de fem kommunene innen Det vil da gjenstå arbeid med å implementere de tiltakene som fremkommer i kvalitetssystemet, samt å få satt denne aktiviteten inn i kommunens årshjul. Det forventes at det arbeidet som skal gjøres i hver kommune er på plass innen Risør kommune har også hatt tilsyn fra Datatilsynet. Med referanse til ovennevnte prosjekt har kommunen frist fra tilsynet på retting av avvik til 1. juni Kildeliste / Referanser Personopplysningsloven (P01) 13 "Informasjonssikkerhet" Personopplysningsforskriftens kapittel 2 Veiledning i informasjonssikkerhet for kommuner og fylkeskommuner, Datatilsynet jan 2005 Risikovurdering av informasjonssystem, Datatilsynet februar 2002 Sikkerhetsbestemmelsene i personopplysningsforskriften, Datatilsynet desember 2000 Seminar om personopplysningsloven, dokumentasjon fra seminar med Pragma AS mars