VEILEDNING TIL INSTRUKS FOR INFORMASJONSSIKKERHET

Transkript

1 Veiledning Vedtatt av: Byrådet Vedtatt: Erstatter: Saksnr: Brv 1316/2002 Eier/ Byrådsavdeling for finans og utvikling Ikrafttredelse: ansvarlig: Versjon: 1 Bemyndiget: Dok.nr: A-0042 VEILEDNING TIL INSTRUKS FOR INFORMASJONSSIKKERHET VEILEDNING til Instruks for informasjonssikkerhet i Oslo kommune

2 INNHOLDSFORTEGNELSE 1 INNLEDNING 4 2 HVORDAN OPPNÅ TILSTREKKELIG INFORMASJONSSIKKERHET Risiko- og sårbarhetsvurderinger Internkontroll/sikkerhetsrevisjon Sikkerhetstiltak Krav til sikkerhetstiltak 8 3 KRAV TIL FYSISK SIKRING Adgangskontroll Sikring mot brann, vannlekkasje og strømstans Utstyrsplassering Utstyrsmerking Informasjonshåndtering 11 4 KRAV TIL SYSTEMTEKNISK SIKRING Sikkerhetskopiering Aktivitetslogging Sikringstiltak mot ondsinnet kode (datavirus etc.) Sletting av data ved avhending av IT-utstyr Logisk tilgangskontroll Brukeridentifikasjon Autentisering og autorisasjonskontroll Kommunikasjonssikring Generelle regler Internett 16 5 KRAV TIL ORGANISATORISK SIKRING Ansvar for informasjonsikkerheten Byrådet Byrådsavdeling for service- og organisasjonsutvikling, (SOU) Systemeier for sektor- og fellessystemer Systemansvarlig instans, (SAI), for sektor- og fellessystemer Byarkivaren Den enkelte virksomhet Administrative og driftsmessige sikringstiltak Systemplanlegging og -anskaffelse Systemadministrasjon 24 2

3 5.2.3 Ressursadministrasjon Dataadministrasjon Avviksbehandling/hendelsesregistrering Katastrofe-/avbruddsplan Personellsikkerhet Kompetanseutvikling Krav til eksterne oppdragstakere Taushetsplikt Innsynsrett Tiltak ved brudd på sikkerhetsbestemmelsene 28 VEDLEGG 1 Lover, forskrifter og regler 29 Generelle lover 29 Generelle regler og forskrifter 29 Interne regler og retningslinjer for Oslo kommune 30 VEDLEGG 2 Sikkerhetsrelaterte ord og definisjoner 31 3

4 1 Innledning God informasjonssikkerhet knyttet til såvel papirbaserte som elektroniske dokumenter og annen elektronisk eller muntlig formidlet informasjon vil være en grunnleggende betingelse for en effektiv og pålitelig kommunal forvaltning og for at lovverket skal etterleves. God informasjonssikkerhet innebærer rett informasjon til rette vedkommende til rett tid; dette stiller store krav til at informasjonen sikres den nødvendige grad av kvalitet, konfidensialitet og tilgjengelighet. Kravene i Oslo kommunes Instruks for informasjonssikkerhet skal tjene som basis for det praktiske arbeid med informasjonssikkerhet i den enkelte virksomhet. For å lette dette arbeidet er denne veiledning til instruksen samt et sentralt malverk for informasjonssikkerhet utviklet. Disse inneholder bl.a. praktiske eksempler på gjennomføring av risikovurderinger, eksempler på avviksrutiner, hvordan meldeskjema og konsesjonssøknader til Datatilsynet skal fylles ut, og en rekke andre prosedyrer, oversikter og rutiner. (Malverket vil være tilgjengelig på kommunens intranett.) I denne Veiledning til Instruks for informasjonssikkerhet i Oslo kommune er det skissert forslag til sikkerhetstiltak for virksomhetenes arbeid med å etablere og opprettholde en tilfredsstillende informasjonssikkerhet. 4

5 2 Hvordan oppnå tilstrekkelig informasjonssik kerhet En stadig større avhengighet av IKT i Oslo kommune innebærer også at kommunen blir mer sårbar for ulike trusler som datasvindel/hacking, datavirus, sensitiv informasjon på avveie, at viktig informasjon sendes til feil person, tyveri, brann, osv. Å sikre seg 100% mot slike og lignende trusler vil ikke være mulig, men gjennom et bevisst og systematisk fokus på arbeidet med informasjonssikkerhet, vil sannsynligheten og muligheten for at ulike trusler skal realiseres, bli betydelig redusert. Et viktig moment i dette arbeidet vil være en metodisk vurdering av sikkerhetsrisiko/-svakheter i de respektive virksomheter for å få klarlagt hvor sikkerhetstiltak bør settes inn; i malverket finnes eksempler på hvordan resultater fra dette arbeidet kan rapporteres. Personopplysningsloven krever at slike vurderinger skal gjennomføres. En risikovurdering vil gi en viktig pekepinn over hvilke sannsynlige trusler virksomheten står overfor, hvilke mulige skader truslene kan medføre dersom de oppstår - og hvilke sikkerhetstiltak som mangler. Ressursene som brukes på å iverksette tiltak bør være resultat av en avveiing av hvilke sikkerhetstiltak som må iverksettes og hvilken risiko virksomheten godt kan leve med. Sikkerhetstiltakene vil normalt være av både fysisk, systemteknisk og organisatorisk karakter; enkelte av disse vil ha som formål å forebygge skade - andre å oppdage eller reparere. 2.1 Risiko- og sårbarhetsvurderinger Sikkerhet innebærer håndtering av risiko. Risiko- og sårbarhetsvurdering innebærer en vurdering av effektiviteten av iverksatte sikringstiltak i forhold til mulige trusler/svakheter, og en beskrivelse av tiltak dersom sikkerheten ikke er tilfredsstillende ivaretatt. Sikkerhetstiltakene skal stå i rimelig forhold til antatt sannsynlighet og konsekvens av mulige sikkerhetsbrudd. Eksempler på slike brudd kan være manglende kompetanse hos personell, svakheter knyttet til IT-systemenes tilgangskontroll, manglende eller for dårlig adgangskontroll, manglende brannsikkerhet, feil eller mangler i IT-systemer, dårlig sikkerhet i forhold til bruk av Internett, manglende kontroll i forhold til datavirus, osv. I Personopplysningsloven (POL) m/forskrifter kreves det at risiko- og sårbarhetsvurderinger (også benevnt ROS-analyser) skal gjennomføres før behandling av personopplysninger settes i gang og alltid dersom det skjer endringer som avviker fra vilkårene i tidligere gitte konsesjoner og meldinger. Her dreier det seg om endringer som har eller vil kunne ha innvirkning på sikkerheten, herunder endret teknologi og endret drifts- og bruksmønster. Formålet med slike vurderinger er primært å avdekke personvernrisiko, f.eks. forhold knyttet til liv/helse, økonomi eller anseelse for enkeltmennesker. Resultatet av risiko- og sårbarhetsvurderingen skal benyttes som del av grunnlaget for å velge hvilke konkrete sikkerhetstiltak som må etableres i virksomheten. 5

6 Datatilsynet understreker at risiko- og sårbarhetsvurderinger ikke bør være mer omfattende eller formaliserte enn strengt tatt nødvendig, og de oppfordrer således virksomhetene til å bruke sunn fornuft i dette arbeidet. Risikovurdering innebærer kartlegging og vurdering av følgende forhold: Hvilke personopplysninger og øvrige verdier må skjermes mot uvedkommende og sikres nødvendig konfidensialitet, integritet og tilgjengelighet? (Uvedkommende kan i denne sammenheng også være egne ansatte.) Er disse opplysningene og verdiene tilfredsstillende sikret i dag i forhold til relevante interne svakheter/trusler og eksterne trusler? Stikkord: er det f.eks. mulighet for at uvedkommende kan ta seg inn til områder/kontor hvor sensitive eller taushetsbelagte personopplysninger behandles/lagres? Hva er muligheten for datainnbrudd/hacking, datavirus, etc.? Kan viktig informasjon komme på avveie eller i hendene på uvedkommende på annen måte? Er dagens drifts- og nettverksløsning(er) i samsvar med sikkerhetskravene i Instruks for informasjonssikkerhet i Oslo kommune og øvrig lov-/regelverk? Er brannsikkerheten god nok? Har vi nødvendig kontroll med innleid personell (teknikere, konsulenter, renhold, osv.)? Er det tilfredsstillende rutiner knyttet til makulering av følsomme utskrifter og dokumenter? Er skrivere etc. plassert slik at uvedkommende ikke har adgang til dem? Hvor lang nedetid på våre IT-systemer kan vi akseptere/leve med før konsekvensene blir (for) store? Følger medarbeiderne de etablerte sikkerhetskrav og -rutiner? Osv. Hvor sannsynlig (svært høy, høy, moderat, lav) vil det være at sikkerhetssvikt (feil, uhell, data på avveie etc.) kan inntreffe i vår virksomhet og hvilke mulige negative følger/konsekvenser (katastrofal, stor, moderat eller liten) kan dette få? Hvilke sikkerhetsmessige forbedringer må iverksettes for å redusere de sikkerhetssvakheter som måtte avdekkes og for å tilfredsstille kommunens og øvrige, lovpålagte sikkerhetskrav? Hvilket risikonivå kan vi akseptere å leve med? Hvilke kostnader vil de aktuelle forbedringer kunne innebære og vil det være gjennomførbart eller må vi vurdere alternative og rimeligere sikkerhetsløsninger? Definér så klart som mulig hvilke områder og hvilke elementer som skal vurderes. Forkast de trusler som ansees som irrelevante og konsentrer arbeidet om relevante trusler/forhold. Det bør utpekes en intern ansvarlig for dette arbeidet ( prosjektleder ). Det tas stilling til hvilke personer/funksjoner som skal være med i vurderingen for at den skal kunne gi et bredest og mest mulig realistisk bilde av situasjonen. Arbeidet vil dels skje gjennom intervju med relevante personer (ledere, viktige brukere, IT-ansvarlig etc.) og dels gjennom vurderinger og undersøkelser. Risiko- og sårbarhetsvurderingen skal resultere i en rapport som skal oppbevares for videre bruk i det interne sikkerhetsarbeidet. Slike rapporter skal også vedlegges eventuelle konsesjonssøknader til Datatilsynet. (Oslo kommune er i henhold til Personopplysningsloven i all hovedsak meldepliktig, men opplysninger knyttet til barnevern er fremdeles konsesjonspliktig). 6

7 2.2 Internkontroll/sikkerhetsrevisjon Sikkerhetsrevisjon innebærer en etterprøving av virksomhetens sikkerhetsarbeid for å verifisere at de sikkerhetstiltak som er besluttet etablert, faktisk er iverksatt og at de fungerer etter sin hensikt. Revisjonen skal omfatte vurdering av så vel fysiske som organisatoriske og systemtekniske sikkerhetsforhold. I dette arbeidet kan eksempelvis verktøyet ISAP benyttes. Ved sikkerhetsrevisjon av felles- og sektorsystemer, vil systemansvarlig instans være ansvarlig for revisjon av sentrale komponenter mens virksomheten selv er ansvarlig for revisjon av den lokale implementasjonen. Ifølge Personopplysningsloven m/forskrifter skal sikkerhetsrevisjoner gjennomføres jevnlig og helst årlig og skal omfatte alle enheter som behandler personopplysninger i kommunen. Dersom sikkerhetsrevisjonen avdekker bruk av informasjonssystemet som ikke er forutsatt eller tilfredsstillende, skal dette behandles som avvik. (For avviksbehandling, se kap ) 2.3 Sikkerhetstiltak Med sikkerhetstiltak menes her tiltak som settes i verk for å beskytte informasjonssystemet (dvs. program, data og IT-utstyr/-infrastruktur m/nettverk) mot såvel overlagt som tilfeldig skade eller forringelse med hensyn til sikkerhetsaspektene integritet, konfidensialitet og tilgjengelighet. Iverksetting av sikkerhetstiltak vil som tidligere nevnt, være basert på en gjennomført risikovurdering og tiltakene kan inndeles i følgende kategorier: fysisk sikring systemteknisk sikring organisatorisk sikring innebærer å sikre informasjonssystemenes omgivelser mot tyveri, brann etc. innebærer å sikre teknologikomponentene (IT-utstyr, kommunikasjonslinjer og -utstyr, programvare osv.) og informasjonen (registre osv.) ved hjelp av program- eller maskintekniske sikkerhetsmekanismer/-barrierer. fokuserer på det menneskelige element og det ansvar ledere og medarbeidere har i sikkerhetssammenheng. Sikringstiltakene kan være knyttet til administrative rutiner for behandling av informasjon, ansvars- og arbeidsdeling, opplæring/motivasjon, kontroll/sanksjoner, osv. Uansett kategori skal tiltakene ha som formål å forebygge, oppdage eller reparere skade eller forringelse. Mens tiltak mot overlagt skade forutsetter kontroll og sanksjoner, er oppmerksomhetsøkende og kompetanseutviklende tiltak viktige redskaper for å håndtere problemer som skyldes feil eller uhell. Arbeidet med informasjonssikkerhet har tradisjonelt vært konsentrert om tiltak for å sikre informasjonens konfidensialitet, spesielt med tanke på vern av sensitive og/eller taushetsbalagte personopplysninger. For Oslo kommune har informasjonens kvalitet og tilgjengelighet minst like stor betydning. Tilgjengelighet innebærer at aktuell informasjon er 7

8 tilgjengelig for alle medarbeidere med tjenstlig behov, samtidig som brukerne av virksomhetens tjenester gis tilfredsstillende service og informasjon. Dersom arbeidsstasjoner stilles til rådighet for allmennheten, må utfordringer som sikkerheten for at kun autorisert aksess til de forskjellige datasystemer/registre er mulig, at ikke brukerne på noen måte kan misbruke virksomhetens identitet og sikkerheten for at ikke senere bruker kan få tilgang til data fra tidligere bruker, ivaretas. Tilgjengelighet forutsetter dessuten at dokumentasjon av vesentlig forvaltningsmessig, rettslig eller kulturell/historisk verdi blir bevart og forvaltet slik at den er tilgjengelig også for ettertiden. En større vektlegging av integritet/kvalitet og tilgjengelighet harmonerer med retningslinjene i sikkerhetsstandarden ISO og kravene i Personopplysningsloven. 2.4 Krav til sikkerhetstiltak Kommunens virksomheter skal, med utgangspunkt i foreliggende instruks, denne veiledning og malverket, etablere lokale instrukser og rutiner for ivaretakelse av informasjonssikkerheten i egen virksomhet. Dette skal dokumenteres og være en del av virksomhetens internkontrollsystem. Systemeiere for sektor- og fellessystemer vil ved behov også etablere særskilte regler, instrukser og rutiner for ivaretakelse av informasjonssikkerheten i og rundt kommunens felles IT-systemer og infrastruktur. Pålegg om å gjennomføre særskilte tiltak kan gis av overordnet kommunal myndighet (byrådet eller systemeier for sektor- eller fellessystem) eller i form av lov eller forskrift. Dersom det ikke foreligger slikt pålegg, skal valg av sikkerhetstiltak ta utgangspunkt i virksomhetsspesifikke forhold mht. trusselbilde, risiko og sårbarhet samt kost/nytteaspekter. 8

9 3 KRAV TIL FYSISK SIKRING Formålet med de fysiske sikringstiltak generelt i Oslo kommune er: å verne om liv og helse til ansatte, klienter og andre som måtte befinne seg i kommunens lokaler å sikre eiendeler og verdier som kommunen forvalter eller formidler, herunder bygninger, lokaler, inventar, IT-utstyr og annet utstyr, mot tap eller verdiforringelse å sikre mot tap av såvel papirbaserte som elektroniske dokumenter og annen elektronisk informasjon gjennom tyveri etc. å hindre eller forsinke inntrenger eller annen uautorisert adgang gjennom tilfredsstillende låsemekanismer og alarmsystemer Arealer, lokaler eller eiendeler skal ha tilstrekkelig fysisk sikring. Kommunens lokaler skal imidlertid i nødvendig grad også være tilgjengelig for tjenestebrukere og besøkende. Samtidig må kommunens brukere og egne ansatte kunne stole på at følsomme opplysninger om dem selv er sikret på tilfredsstillende måte. Omfanget av de fysiske sikringstiltak vil være avhengig av mulige/aktuelle trusler og risiko, samt aktiviteten på stedet. Ansvaret for at nødvendige fysiske sikringstiltak vurderes og iverksettes på kommunens tjenestesteder følger linjen. 3.1 Adgangskontroll Følgende retningslinjer gjelder for adgangskontroll i kommunens virksomheter: ikke-ansatt personell skal som hovedregel ikke oppholde seg uten tilsyn i lokaler som ikke er åpne for publikum, klienter og pårørende; dette omfatter også møtedeltakere, osv. og gjelder i kommunen generelt i kontorsoner der uvedkommende vil kunne oppholde seg, skal kontordører være avlåst når de ikke er bemannet teknikere, håndverkere, rengjøringspersonale etc. som må inn på tekniske rom og lignende, skal som hovedregel alltid følges av autorisert personell fra kommunen. Tilsvarende gjelder dersom det er behov for at teknikere, håndverkere, rengjøringspersonell etc. er tilstede i kommunens lokaler etter normal arbeidstid Adgangskontrollen vil omfatte såvel egne ansatte som eksterne oppdragstakere og publikum (tjenestebrukere og besøkende). Som utgangspunkt for å bestemme hvilke tiltak som skal treffes, kan det foretas en soneinndeling som angir varierende sikringsbehov. Tiltak som bør vurderes er f.eks. resepsjonsvakt, bruk av kortlesere/adgangskort evt. med PIN-kode for dører og heiser samt bygningstekniske tiltak av ulik karakter. Besøkende Det bør være etablert nødvendige rutiner for registrering og oppfølging av besøkende i kommunens virksomheter. Besøkende bør som hovedprinsipp føres inn i besøksprotokoll i virksomhetens resepsjon, og vente der til de blir hentet av rette vedkommende. 9

10 Kommunens ulike virksomheter skal være lett tilgjengelige for publikum. Samtidig er det viktig både for kommunen selv og dens brukere at sensitiv eller taushetsbelagt informasjon beskyttes mot tilgang og innsyn fra uvedkommende. Ved besøk, møter etc. som foregår innen soner der det behandles sensitive eller taushetsbelagte personopplysninger, pålegger Personopplysningsloven virksomhetene å etablere rutiner som sikrer at uvedkommende personell ikke har adgangsmulighet til kontor, datautstyr, arkiv, etc. dersom de ikke følges av autorisert personell. 3.2 Sikring mot brann, vannlekkasje og strømstans IT-utstyr, arkiv og annet som lagrer informasjon skal sikres spesielt for å avverge og redusere skade som følge av brann, vannlekkasje, strømstans m.v. For sikring av arkivlokaler finnes det egne krav nedfelt i forskrift til Arkivloven kap. IV; Oppbevaring og sikring av offentlige arkiv. Brannsikring Brannsikring generelt i kommunens lokaler innebærer tiltak som skal: - forebygge brann og branntilløp - redde liv og avverge skade på person dersom brann har oppstått - redusere eventuelle skadevirkninger og veilede/hjelpe medarbeidere og annet personell som oppholder seg i kommunens lokaler - sørge for opplæring av medarbeidere i brannforebyggende tiltak herunder jevnlige brannøvelser Ved brann/branntilløp skal evt. åpne vinduer og dører lukkes umiddelbart for å redusere lufttilførsel og dermed brannutviklingen. Mindre branner/branntilløp forsøkes slokket med håndslukkeapparat, som skal forefinnes på datarom, i eller ved alle koblingsskap, i eller i nærheten av printrom - og ellers på sentralt sted i hver etasje. Ved større brann- og røykutvikling skal lokalene forlates i henhold til den interne branninstruksen. Det skal være montert et nødvendig antall røyk-/varmedetektorer i hver etasje i virksomhetens lokaler - med intern melding og automatisk melding til brannvesenet (110-sentralen), etter normal kontortid; dette vil kunne redusere de negative konsekvenser ved en eventuell brann i betydelig grad. Ekstra sikkerhetskopier av viktige data skal lagres i safe plassert på annet sted (i fjernlager, i annen bygning, hos vaktselskap eller lignende). Branninstrukser skal være oppslått i hver etasje, likeså oversikter over plassering av håndslokkeapparat, vannslanger og nødutganger. Nødutganger skal til enhver tid være ryddet. Sikring mot vann og fukt Datarom og tekniske installasjoner skal sikres i nødvendig grad mot vann og fukt. Dette bør tas hensyn til allerede ved plassering av slike rom og installasjoner. Overrislingsanlegg må ikke forefinnes i tekniske rom. 10

11 Sikring mot strømavbrudd For å sikre mot mindre spenningsvariasjoner på strømnettet og kortere strømbrudd - og dermed mot mulig strømsvikt og overbelastning på viktig IT-utstyr ( viktige PC er, servere og nettverksutstyr), skal slikt utstyr tilkobles avbruddsfri strømforsyning (UPS = Uninterrupted Power Supply). I tillegg til å jevne ut spenningsforskjeller, vil UPS sørge for at IT-systemene tas ned på kontrollert vis i situasjoner hvor nett-strømmen blir borte over en viss tid. Det bør også vurderes å knytte data- og kommunikasjonsutstyr til egen strømkurs. Alt datautstyr skal være tilkoblet jordet kontakt. 3.3 Utstyrsplassering IT-utstyr skal plasseres slik at det er utilgjengelig for uvedkommende. Sentralressurser (f.eks. servere) skal plasseres på eget datarom med særlig adgangssikring. Kommunikasjonsutstyr skal plasseres enten på datarom eller i låsbare koblingsskap e.l. Kontorer med PC er, brukerterminaler, printere o.l. i lokaler der uvedkommende vil kunne oppholde seg uten nødvendig kontroll, skal være låst når de ikke er bemannet. Dette gjelder også ved kortere fravær som møter, lunsjpauser, osv. Felles periferutstyr som f.eks. printere, bør ikke plasseres i åpne arealer/korridorer, men i egne låsbare rom; dette gjelder i særlig grad i lokaler der kontrollen med uvedkommende ikke er tilfredsstillende. Det samme gjelder kopimaskiner, telefaksutstyr, osv. 3.4 Utstyrsmerking IT-utstyr bør merkes for å forebygge tyveri og dermed øke sjansen for å få bortkommet utstyr tilbake. Det er særlig viktig å merke løst og lett omsettelig utstyr som f.eks. bærbare PC er o.l. 3.5 Informasjonshåndtering Informasjon skal oppbevares og transporteres slik at den ikke er tilgjengelig for uvedkommende, skades eller går tapt. Kontorer som kan inneholde sensitive eller taushetsbelagte opplysninger, datarom/arkivrom og andre kritiske rom, skal være avlåst når de ikke er bemannet. Arkivdokumenter, utskrifter etc. som inneholder personsensitiv eller annen taushetsbelagt informasjon skal ikke ligge fremme på kontorer eller andre steder slik at uvedkommende kan få tilgang til informasjonen. Ved avsluttet arbeidsdag skal bruker logge seg av IT-systemet. Ved kortere fravær vil bruk av skjermsparerfunksjon (med passord) hindre uautorisert innsyn. Utlån av saksdokumenter med sensitiv informasjon skal kun skje via den person som er ansvarlig for oppbevaringen, slik at lånet blir registrert. Ved eventuell bruk av bærbart/håndholdt utstyr skal dette i nødvendig grad sikres mot tyveri og eventuelt innsyn fra uvedkommende. Det er ikke tillatt lagret sensitive eller taushetsbelagte opplysninger på slikt utstyr. 11

12 Utskrifter på felles printere skal ikke ligge tilgjengelig for uvedkommende og skal hentes umiddelbart. Fortrolige utskrifter skal skrives ut på lokal printer helt avskjermet for uvedkommende. Tilsvarende gjelder ved kopiering av fortrolig informasjon. Informasjon som er av fortrolig karakter, skal som hovedregel ikke formidles pr. telefaks eller telefon. Ved bruk av e-post, se gjeldende e-postinstruks for Oslo kommune. Fortrolige datautskrifter og dokumenter skal aldri kastes i papirkurv, men makuleres på den måte som er fastsatt i gjeldende regelverk. Jf. bl.a. Forskrift om offentlige arkiv kap. III og 2-11 i forskriftene til Personopplysningsloven. Ved forsendelse av saker og dokumenter med sensitiv informasjon, skal prosedyrene fastsatt av byarkivaren følges. Ulovlig kopiering eller modifisering av produkter beskyttet i henhold til Åndsverkloven skal ikke finne sted. For retningslinjer ved behov for skjerming av informasjon som kan være utsatt for spionasje, sabotasje eller terrorhandlinger, se Sikkerhetslovens bestemmelser. 12

13 4 KRAV TIL SYSTEMTEKN ISK SIKRING 4.1 Sikkerhetskopiering Det skal rutinemessig tas sikkerhetskopi (backup) av program og data på felles servere og i felles systemer. Rutinen bør være automatisert, og skal være innarbeidet i normale driftsrutiner. I lokalnett bør det tas reservekopier på alle tilknyttede noder i én og samme sikkerhetskopirutine. Lokal lagring av program og data på PC-harddisk er ikke tillatt, såfremt det ikke er godkjente én-brukerløsninger. Backup av data/program på slike PC er skal gjøres i henhold til virksomhetens rutiner for dette. Datalagringsmediene skal merkes med innhold og dato og oppbevares slik at de beskyttes mot tyveri, skade, magnetisk stråling og brann/høy temperatur. Sikkerhetskopier (CD er, disketter, kassetter og taper), som inneholder viktig informasjon som programkode, systemdokumentasjon etc. av driftsmessig betydning, skal oppbevares i brannsikre skap utilgjengelig for uvedkommende. Ekstra sikkerhetskopier skal oppbevares på annet sted ( fjernlager ). Det skal foretas stikkprøvekontroller av at backup-/reservekopiene er korrekte og fungerer som forventet ved behov for gjenoppretting (restore). Ref. også forskrift om offentlige arkiv 2-10:... Kvar dag skal det takast tryggingskopi av databasen på elektronisk lagringsmedium. Tryggingskopiane skal lagrast på einingar som er fysisk åtskilde frå dei einingane der databasen ligg. 4.2 Aktivitetslogging IT-systemene skal inneholde funksjoner for logging av aktivitet i den utstrekning det ansees nødvendig for å kunne forebygge, oppdage og redusere skade som følge av misbruk og feil. Det er de respektive autorisasjonsansvarlige som i samarbeid med IT-funksjonen - har ansvaret for å vurdere behovet for logging, iverksettelse av rutiner for dette, og nødvendig kontroll og oppfølging i ettertid. Registrering av uautorisert bruk og eventuelle forsøk på slik bruk, skal ifølge Datatilsynet lagres i minst 3 måneder. Tilsvarende gjelder registrering av mulige andre hendelser som har eller kan ha betydning for informasjonssikkerheten i kommunens virksomheter. Eksempler på relevante aktiviteter som kan/bør logges: inn-/utlogging transaksjoner sletting/gjenoppretting (restore) av data 13

14 endring av kodeverk og nøkkeldata Logging av gjenopprettings-/restore-aktiviteter kan muliggjøre kontroll av om noen forsøker å få tilgang til slettede data. 4.3 Sikringstiltak mot ondsinnet kode (datavirus etc.) Det skal foretas nødvendig kontroll mot ondsinnet kode som datavirus etc. ved f.eks. oppkobling mot eksterne databaser og Internett. Bærbare lagringsmedia (CD er, disketter, bærbare PC er, PDA er, etc.) som benyttes i kommunens virksomheter skal kontrolleres for datavirus og lignende. Lagringsmedia som måtte sendes fra eller til kommunens virksomheter skal kontrolleres for eventuell slik ondsinnet kode. Dataviruskontroll skal foretas automatisk ved oppstart av PC/klient og ved pålogging mot virksomhetens lokalnettverk. Likeså bør det være automatisk viruskontroll ved aktivisering av diskett-/cd-stasjon og ved synkronisering mot PC i lokalnettverket. Ved oppkobling mot Internett via OKDN foretas nødvendig og automatisk viruskontroll. Dersom bruker oppdager eller får mistanke om datavirus, skal IT-funksjonen kontaktes umiddelbart og PC/klientterminal skal ikke brukes før IT-funksjonen gir klarsignal om dette. Eventuelle virusinfiserte disketter, CD er osv. skal tas hånd om og uskadeliggjøres på tilfredsstillende måte. 4.4 Sletting av data ved avhending av IT-utstyr Ved salg, kassering eller annen avhending av IT-utstyr skal det foretas forsvarlig sletting av data. Ved forsendelse i forbindelse med teknisk service bør sletting vurderes. Dette etter at en vurdering av om IT-utstyret inneholder bevaringsverdig dokumentasjon/data som skal flyttes, evt. klargjøres for avlevering til Byarkivet, er gjort. Ved ødeleggelse (krasj) av harddisk på PC/server skal disken demonteres og deretter destrueres. Ved avhending av utstyr benyttet til lagring av personsensitive data skal tilstrekkelig sletting dokumenteres skriftlig, eksempelvis ved et slettesertifikat. Det er viktig å være klar over at vanlig delete -funksjon ikke sletter data fysisk, men bare usynliggjør dataene for brukeren/brukerprogrammene. Etter en behovsvurdering bør data - etter at sikkerhetskopi er tatt - enten overskrives med nye, nøytrale data ved hjelp av spesielle sletteprogrammer, eller slettes ved hjelp av spesielt utstyr, f.eks. apparat for avmagnetisering. Virksomhetens IT-funksjon er ansvarlig for at sikkerheten i forbindelse med avhending av IT-utstyr ivaretas på tilfredsstillende måte. 4.5 Logisk tilgangskontroll Alle IT-systemer som benyttes i kommunens virksomheter skal inneholde mekanismer for logisk tilgangskontroll, og skal omfatte nødvendig brukeridentifikasjon, autentisering og autorisasjonskontroll. 14

15 Tilgangskontroll-rutinene skal sikre at informasjon kun er tilgjengelig for autorisert personell og at de ikke utilsiktet kan leses, endres eller slettes av andre. Autorisasjonsansvarlige skal i samarbeid med IT-funksjonen sørge for at kun rettmessige brukere til enhver tid anvender IT-systemene Brukeridentifikasjon Hver enkelt IT-bruker skal tildeles en unik kode for identifikasjon i forbindelse med pålogging til PC, server og nettverk. IT-funksjonen tildeler slik brukeridentifikasjon Autentisering og autorisasjonskontroll Autentisering (identitetsbekreftelse) ved pålogging til IT-systemene skjer ved bruk av bruker-id koblet mot passord. IT-funksjonen sørger for tildeling av dette ved første gangs bruk deretter er brukeren selv ansvarlig for endring og hemmelighold av eget passord. Ved ansettelsesopphør skal brukertilgangen slettes Regler vedrørende bruk av passord og påloggingsrutiner Passordet er brukerens egen personlige sikkerhetsnøkkel, som skal sikre at uvedkommende ikke får tilgang til IT-systemene. Følgende regler gjelder: alle brukere må taste inn brukernavn og passord ved oppkobling mot PC og mot server; enkelte systemer krever i tillegg egen påloggingsrutine nettverkspassord bør være minimum 6 tegn langt og en kombinasjon av tall, bokstaver og eventuelle spesialtegn nettverkspassordet bør byttes minimum hver 3. måned; ved bytte av passord skal det ikke være mulig å gjenbruke noen av de 5 sist brukte passord ved 3 ukorrekte forsøk på pålogging til nettverket, skal videre forsøk sperres; brukeren må kontakte IT-funksjonen for å få logget seg på igjen utlån av brukernavn eller passord er å anse som brudd på kommunens sikkerhetsbestemmelser dersom PC blir stående lengre enn f.eks. 10 minutter uten aktivitet, bør skjermbildet sperres av med passordbeskyttet skjermsparer Autorisasjonskontroll Autorisasjon innebærer en godkjenning som gir brukerne tilgang til en bestemt type informasjon basert på en vurdering av de rettigheter den enkelte bruker skal ha. (Bruker kan her også være eksterne kunder dersom systemene og sikkerheten forøvrig er lagt opp slik at allmennheten kan få innsyn.) Autorisasjonen (eller autorisasjonsprofilen), skal angi hvilke IT-systemer, programrutiner og dataelementer vedkommende bruker har lovlig tilgang til, og hvilke operasjoner (lese, skrive, oppdatere osv.), brukeren har lov til å utføre. Det er virksomhetens autorisasjonsansvarlige som tildeler brukerne disse tilgangsrettigheter, mens 15

16 IT-funksjonen eller evt. autorisasjonsansvarlig selv, sørger for at godkjente rettigheter blir registrert i de respektive systemer. Ved ansettelsesopphør skal tilgangsrettighetene til vedkommende bruker slettes snarest. Rutiner for dette bør utarbeides lokalt. 4.6 Kommunikasjonssikring Generelle regler Kommunens og virksomhetenes rutiner for kommunikasjonssikring skal sikre at: nettverk, dvs. linjer, utstyr og program, fungerer stabilt og med tilfredsstillende svarstider sikkerheten ved oppkobling mot for eksempel Internett eller andre eksterne nett ivaretas på tilfredsstillende måte uvedkommende ikke har fysisk adgang til nettverksutstyr, modem, koblingsskap, osv. - uten nødvendig kontroll Personopplysningslovens (POL) krav til sikring etterleves (se under) For kommunale virksomheter som behandler opplysninger underlagt POL skal følgende sikkerhetskrav tilfredsstilles: Mellom sikker sone (dvs. der det foretas behandling av sensitive personopplysninger) og intern sone (der det foretas behandling av opplysninger som ikke er personsensitive) skal det være en sikkerhetsbarriere (brannmurløsning eller lignende) som bl.a. skal sikre at brukere i intern sone eller i ekstern sone ikke har tilgang til IT-systemer og informasjoner i sikret sone. Mellom sikker sone og eksternt nett skal det minst være 2 sikkerhetsbarrierer; det er etablert sentral barrieresikring i OKDN-nettet med kryptering av sensitiv informasjon som sendes over OKDN. Det er lignende sikringskrav til internkommunikasjon dersom denne (ifølge Datatilsynet) skjer mellom bygg hvor avstanden er lengre enn ca. 300 m. (Dette gjelder selv om det er fiberkabler mellom bygningene.) Øvrige regler for kommunikasjonssikkerhet i Oslo kommune: Kommunikasjonstilknytninger mellom eksterne leverandører og virksomhetene via OKDN skal kun etableres når tillatelse til dette er gitt av System- og regnskapsetaten, SRE. Mellom virksomhetens lokalnett og andre kommunale enheter skal det benyttes router i henhold til kommunens valgte standard Internett Kommunale virksomheter som ikke behandler og/eller lagrer sensitive eller taushetsbelagte personopplysninger i sine datasystemer kan - etter en intern vurdering og godkjenning av SRE - koble seg opp mot eksterne nett (f.eks. Internett) via OKDN fra eget lokalnett. Det er 16

17 utarbeidet et enkelt søknads-/ egenkontroll -skjema for dette, som skal undertegnes av virksomhetsleder og sendes SRE. Eksempel på skjema finnes i malverket. På dette skjema skal virksomheten bl.a. bekrefte at den ikke behandler eller lagrer sensitive eller taushetsbelagte personopplysninger, at den har et internt sikkerhetsregelverk, at nødvendige fysiske kontroller i forhold til adgang fra uvedkommende er etablert osv. Utenom konfigurasjonskart og systemoversikt, skal dokumentasjon ikke vedlegges søknadsskjemaet, men være tilgjengelig for SRE ved eventuelle senere avklaringer/kontroller. Etter mottak av skjema, vil SRE foreta en vurdering og starte arbeidet med oppkobling - forutsatt at forholdene i virksomheten fremstår som tilfredsstillende. SRE vil prioritere disse søknadene og vil sørge for en behandlingstid på maksimum 2 uker, dersom ikke spesielle omstendigheter skulle kreve lengre behandlingstid. Bekreftelse på godkjent løsning, evt. avslag m/begrunnelse, sendes virksomhetsleder så snart SRE har behandlet søknaden. Forutsetningen for slik oppkobling er altså at virksomheten ikke behandler eller lagrer sensitive eller taushetsbelagte personopplysninger på utstyr tilknyttet lokalnettet, da dette stiller strenge krav både til fysiske, systemtekniske og organisatoriske sikkerhetsløsninger. For virksomheter som behandler eller lagrer sensitive eller taushetsbelagte personopplysninger, skal en eventuell søknad om åpning mot eksterne nett sendes via Byrådsavdeling for service- og organisasjonsutvikling, SOU, etter at virksomheten kan dokumentere at den tilfredsstiller grunnleggende krav til informasjonssikkerhet. SOU sender søknaden videre til Datatilsynet. 17

18 5 KRAV TIL ORGANISATO RISK SIKRING 5.1 Ansvar for informasjonsikkerheten Figur 5.1 på neste side gir oversikt over fordelingen av ansvar for informasjonssikkerhet i Oslo kommune Byrådet Byrådet fastlegger etter IT-reglementets 4 strategi, retningslinjer og standarder innen ITområdet. Ansvaret er administrativt plassert i Byrådsavdeling for service- og organisasjonsutvikling, SOU Byrådsavdeling for service- og organisasjonsutvikling, (SOU) SOU har ansvar for å utarbeide og ajourholde overordnede regler for informasjonssikkerhet som en del av de generelle kommunale rammebetingelser innen IT-området. Som systemeier for kommunens konsernnettverk for data og telefoni, har SOU det overordnede styringsansvar for informasjonssikkerheten knyttet til kommunens felles teknologiske infrastruktur (jf. pkt ) Systemeier for sektor- og fellessystemer Systemeier er etter IT-reglementets 6 b hovedansvarlig for sektor- og fellessystemer i kommunen, noe som inkluderer styringsansvaret for informasjonssikkerheten knyttet til disse systemene. Systemeier skal fastlegge krav til sikkerhetsnivå innen eget ansvarsområde generelt og det enkelte system spesielt Systemansvarlig instans, (SAI), for sektor- og fellessystemer Systemansvarlig instans skal etter IT-reglementets 7 forvalte de aktuelle sektor- og fellessystemer på vegne av og i samråd med respektive systemeiere. Herunder hører ansvaret for at systemet tilfredsstiller informasjonssikkerhetsmessige krav. Systemansvarlig instans skal således påse at nødvendige tiltak implementeres, slik at systemene til enhver tid tilfredsstiller det fastlagte krav til sikkerhetsnivå. Systemansvarlig instans har ansvar for uttesting og dokumentasjon av systemenes sikkerhet, og for at nødvendige sikkerhetsdokumentasjonen (inkl. resultatet fra sentral sikkerhetsrevisjon) blir stilt til 18

19 rådighet for behandlingsansvarlig i den enkelte virksomhet. Systemansvarlig instans for felles- og sektorsystemene er i all hovedsak SRE. 19

20 Kommunerevisjonen BYSTYRET Bystyrets organer og sekretariat 25 bydelsutvalg * fører tilsyn og kontroll * fastlegger hovedlinjene i kommunens IT-politikk. med forvaltningen i * fastsetter og endrer kommunale reglementer og kommunens virksomheter bevilger økonomiske ressurser. (herunder IT-systemer). * uttalerett før systeminnføring. BYRÅDET 25 bydelsforvaltninger * realiserer kommunens IT-politikk. * har ansvar som * fastlegger strategi, regler og standarder innen IT. beskrevet for etat/ bedrift. BYRÅDSAVDELINGENE Kommunaldirektørene Kommuneadvokaten * forelegges alle betydelige, prinsippielle og komplekse kontrakter, kontrakter som avviker fra kommunens fastlagte kontraktsvilkår, samt alle kontrakter tilknyttet fellesog sektorsystemene. Byarkivaren * kontrollerer at virksomhetenes arkiver holdes og forvaltes i henhold til lover og retningslinjer, og at arkivdanningen skjer på en rasjonell måte. * mottar for arkivering alle bevaringsverdige arkiv/data/personregistre fra kommunens virksomheter. * fastlegger regler og rutiner for kassasjon og sletting i kommunens arkiver og øvrige informasjonssystemer. SOU Byrådsavdelingene * er systemeier for konsernnettet. * er systemeier for fellessystemer og sektorsystemer. * har ansvar for sektorovergripende * er eventuelt også systemansvarlig instans. rammebetingelser innen IT generelt. I forhold til systemene de er systemeier for: * utarbeider og ajourholder overordnede * fører tilsyn og dialog med systemansvarlig instans. regler for informasjonssikkerhet. * initierer konsekvensutredninger ved etablering/videreutvikling av IT-systemer. * er oppdragsansvarlig for videreutvikling av IT-systemer. * er juridisk kontraktspart i forhold til IT tjenesteleverandører. * har styringsansvaret for sikkerheten ved IT-systemene. * fastlegger krav til sikkerhetsnivå innen eget ansvarsområde generelt og det enkelte system spesielt. ETATSSJEF/DIR Etat/ bedrift/ Etat/bedrift * er systemeier for virksomhetsspesifikke systemer (ev. også SAI). * har et selvstendig tilsyns-, sikkerhets- og kontrollansvar. * er behandlingsansvarlig ifølge Personopplysningsloven. * påser at virksomheten gjennomfører nødvendige sikkerhetstiltak i samsvar med overordnede retningslinjer. * påser at det operative ansvar for informasjonssikkerhet er definert di og forholdene tilrettelagt for gjennomføring. Avd. leder (eller liknende) * er autorisasjonsansvarlig. * har ansvar for autorisasjon og tilgangskontroll til IT-systemene. Medarbeider * har et medarbeideransvar for informasjonssikkerheten i henhold til lover, forskrifter og reglementer som gjelder i Oslo kommune. Figur 5.1 Fordeling av ansvar i forhold til informasjonssikkerhet 20

21 5.1.5 Byarkivaren Byarkivaren er etter vedtak i bystyret det utøvende fagorgan i arkivspørsmål og er faglig overordnet myndighet for kommunens samlede arkivvirksomhet. Byarkivaren skal blant annet inspisere og kontrollere at virksomhetenes arkiver holdes og forvaltes i henhold til gjeldende lover og retningslinjer, og at arkivdanningen skjer på en rasjonell og tidsmessig måte. Informasjonssikkerhet skal være et overordnet hensyn i all arkiv- og dokumentbehandling. Byarkivaren har gitt retningslinjer for kassasjon/sletting av informasjon i Oslo kommunes arkiver og øvrige informasjonssystemer. Byarkivet har rammekonsesjon fra Datatilsynet for mottak og oppbevaring av alle personregistre som opprettes i kommunens virksomheter Den enkelte virksomhet Virksomhetens leder I virksomheter som behandler opplysninger som kommer inn under Personopplysningslovens bestemmelser, er øverste administrative leder behandlingsansvarlig, dvs. hovedansvarlig for at sikkerhetskravene i nevnte lov etterleves. Virksomhetens leder (bydelsdirektør, etatssjef, bedriftsdirektør etc.) har dessuten et selvstendig tilsyns-, sikkerhets- og kontrollansvar for virksomhetens bruk av all informasjonsteknologi. Dette gjelder såvel lokal bruk av sektor- og fellessystemer som virksomhetsspesifikke systemer. Virksomhetens leder er systemeier for sistnevnte systemkategori. Virksomhetens leder har i sikkerhetssammenheng dermed følgende ansvar: påse at det ved behov foretas lokale risikovurderinger iverksetting og vedlikehold av lokale tiltak som er nødvendige for at felles- og sektorsystemer - i lokal implementasjon - skal tilfredsstille lover, instrukser og fastlagt sikkerhetsnivå det overordnede ansvaret for at den generelle arkiv- og dokumentbehandling i virksomheten tilfredsstiller krav til sikkerhet, herunder tilgjengelighet og personvern at det operative ansvaret for informasjonssikkerheten er definert og tilrettelagt på en slik måte at alle ledere og medarbeidere kan ivareta sitt sikkerhetsansvar å etablere tiltak for internkontroll i henhold til kravene i Personopplysningsloven å sørge for at virksomheten etterlever melde- og konsesjonsplikten overfor Datatilsynet Sikkerhetskoordinator Koordinering av det sentrale, operative sikkerhetsarbeidet i virksomheten kan tillegges virksomhetens sikkerhetskoordinator dersom en slik er utnevnt. Dersom virksomheten ikke ønsker å utnevne en sentral sikkerhetskoordinator, er det de respektive ledere for de enkelte områdene som selv vil måtte utføre denne koordineringen. En sikkerhetskoordinator vil bl.a. ha følgende ansvar/oppgaver: 21

22 lede sikkerhetsrevisjoner og foreta rapportering fra disse sekretariats- og oppfølgingsansvar knyttet til ledelsens årlige gjennomgang av sikkerheten koordinere sikkerhetsarbeidet i virksomheten og holde det lokale sikkerhetsregelverket ajour påse at det foretas nødvendig sikkerhetsopplæring av alle medarbeidere påse at det ved behov gjennomføres risikovurderinger utarbeide og sende inn melde- og konsesjonssøknader til Datatilsynet i samarbeid med autorisasjonsansvarlig Funksjonen sikkerhetskoordinator vil normalt ikke være noen heltidsstilling i kommunens virksomheter; dette vil dog avhenge av virksomhetens art og størrelse. I mindre kommunale enheter vil en slik funksjon kunne være ett av arbeids-/ansvarsområdene til en medarbeider, som heller ikke bør være ansatt i IT-funksjonen bl.a. for å sikre den nødvendige integritet i sikkerhetsarbeidet. Vedkommende bør ha IKT-forståelse, gjerne i kombinasjon med organisasjonskunnskap (for eksempel en controller-funksjon dersom dette finnes i virksomheten). Autorisasjonsansvarlig Autorisasjonsansvarlig er de(n) person(er) i virksomheten som har fullmakt til å bestemme hvilke brukere som skal ha hvilke tilgangsrettigheter til de respektive IT-systemer og registre. Dette ansvaret er normalt lagt på ledernivå (sosialsjef, barnevernssjef, personalsjef osv.). Autorisasjonsansvarlig bør alltid utpekes i forbindelse med etablering og bruk av registre underlagt kravene i Personopplysningsloven, men kommunen anbefaler også at de utpekes for øvrige registre (f.eks. arkivleder for arkivsystemet etc.). Tildeling av tilgangsrettigheter fordrer kjennskap til hvilken databehandling den enkelte medarbeider utfører. Rollen som autorisasjonsansvarlig bør derfor plasseres hos personer som kan følge opp den enkelte medarbeider i deres daglige arbeid, f.eks. ved fysisk nærhet til tjenestestedet. Autorisasjonsansvarlig vil dermed også kunne føre løpende tilsyn med at det respektive register blir benyttet i tråd med sikkerhetsreglene. Autorisasjonsansvarlig skal bl.a. sørge for: autorisasjon til IT-systemene, dvs. bestemme hvilke rettigheter brukere skal ha med hensyn til å kunne registrere, oppdatere eller lese informasjon i de respektive registre kontroll med at ingen uvedkommende får tilgang til registrene (uvedkommende kan i denne sammenheng også være egne ansatte) at lovpålagte krav mht. melde-/konsesjonsplikt etterleves for de respektive registre/personopplysninger at data i personregistre slettes eller bevares og avleveres til Oslo byarkiv etter de retningslinjer som er gitt av byarkivaren og i overensstemmelse med Personopplysningsloven IT-funksjonen 22

23 Virksomhetens IT-funksjon har ansvaret for den systemtekniske sikkerhet, herunder: nødvendig sikring av PC er, nettverk, servere og øvrig, relevant IT-utstyr etablering og oppfølging av brukerrettigheter og tilgangskontrollrutiner i samarbeid med autorisasjonsansvarlig nødvendige oppdateringer og vedlikehold av de lokale IT-systemer drift og oppfølging av nettverk og øvrig IT-infrastruktur påse at IT-systemene tilfredsstiller relevante systemtekniske sikkerhetskrav Virksomhetens medarbeidere Alle ansatte og innleide medarbeidere i virksomheten skal overholde de lover, forskrifter og instrukser som gjelder i Oslo kommune. Et effektivt sikkerhetsarbeid er avhengig av alle medarbeidernes lojale holdning og aktive engasjement. Alle medarbeidere skal derfor: forstå viktigheten av sikkerhet i forbindelse med eget arbeid praktisere og etterleve vedtatte sikkerhetsbestemmelser og -tiltak være ansvarlig for kvaliteten på det arbeid de utfører forstå konsekvensen ved eventuelle brudd på taushets- og sikkerhetsbestemmelsene 5.2 Administrative og driftsmessige sikringstiltak Systemplanlegging og -anskaffelse Kvalitetskrav knyttet til sikkerhet Ved planlegging av nye, lokale IT-systemer skal krav knyttet til informasjonssikkerhet vurderes. Ved større anskaffelser, skal krav til systemtekniske tiltak innarbeides i den kravspesifikasjon som følger tilbudsforespørselen. Først når akseptansetest er godkjent (av ansvarlig leder/autorisasjonsansvarlig i samarbeid med IT-funksjonen), kan systemet settes i drift. Standardisering For alle IT-anvendelser i Oslo kommune, også virksomhetsspesifikke, skal standardløsninger som hovedregel velges. Forøvrig skal rammekontrakter og vedtatte felles og sektorvise standardiseringskrav mht. teknologi og IT-anvendelser følges. Pålegg knyttet til bruk av felles rammeavtaler med leverandører innen ulike produkt- og tjenesteområder skal følges. 23

24 5.2.2 Systemadministrasjon Det skal være etablert virksomhetsspesifikke instrukser/rutiner for administrasjon av alle IT-systemer. For felles- og sektorsystemer, skal all systemadministrasjon koordineres av systemansvarlig instans for disse systemene. Drift Det skal være etablert rutiner for å sikre en enkel, effektiv og sikker drift av IT-systemene, uansett om driftsoppgavene utføres internt eller eksternt. Rutinebeskrivelsen skal omfatte alle arbeidsoppgaver som må utføres for at systemene skal fungere etter sin hensikt overfor brukerne, samt plassere ansvaret for disse oppgavene, f.eks. rutiner for håndtering av feil/avbrudd på nettet Ressursadministrasjon Det skal føres oversikt (inventarliste) over alt IT-utstyr og bruken av dette. Det skal likeledes være etablert rutiner for administrasjon av programvarelisenser. Med ressurser menes her: - Systemprogrammer og applikasjoner - Databaser - PC er, klientterminaler - Servere - Skrivere og andre periferenheter - Lokalnett - Eksterne kommunikasjonslinjer og -utstyr - UPS er Dataadministrasjon For hvert system skal det utarbeides og vedlikeholdes en datamodell som beskriver hvor dataene kommer fra, hvilke bearbeidende prosesser de inngår i og hvor de avgis. Det skal være etablert prosedyrer og rutiner for kvalitetssikring og -kontroll av datainnsamlingsmetoder, grunnlagsdata og resultatdata. Det skal føres oversikt over alle personopplysninger som behandles i virksomheten og tiltak for å sikre tilfredsstillende behandling av disse skal dokumenteres. Denne dokumentasjonen skal være tilgjengelig for de den måtte angå. Personopplysninger skal uansett ikke behandles før evt. nødvendig samtykke er innhentet ihht. kravene i Personopplysningslovens Avviksbehandling/hendelsesregistrering 24

25 Det skal være etablert rutiner for rapportering, registrering og oppfølging av avvik og feilsituasjoner. Hensikten med avviksbehandling/hendelsesregistrering i Oslo kommune er å finne ut hva som gjøres feil og hvorfor feil og avvik oppstår, slik at det kan etableres korrigerende tiltak som ledd i en kontinuerlig forbedringsprosess. Avvik kan defineres som uønskede hendelser eller resultat som ikke er forventet eller som ikke stemmer overens med gitte spesifikasjoner. Årsakene til avvik kan bl.a. være feil i systemer, planlegging og/eller organisering (dvs. systematiske avvik) menneskelig svikt eller feil på utstyr og/eller materiell (dvs. tilfeldige avvik) Manglende oversikt over sikkerhetstrusler, og derav lav prioritering av sikkerhetsarbeidet kan skyldes at man ikke registrerer de avvik og feilsituasjoner som oppstår. Om f.eks. et ITsystem stopper opp, kan man (1) starte systemet opp på nytt uten å si fra, eller (2) henvende seg til IT-personalet med beskjed om at noe er galt. I førstnevnte tilfelle er det stor fare for at feilen vil oppstå igjen. I sistnevnte tilfelle er det større sjanse for å få bukt med problemet. Et effektivt system for rapportering av avvik/hendelser bidrar til å få oversikt over sikkerhetsproblematikken, slik at nødvendige tiltak kan iverksettes. Samtidig skal et avvikssystem ikke være for omfattende eller tidkrevende. Som et minimum skal hendelser som har stor effekt eller stor sannsynlighet for gjentakelse, registreres. Saksgangen i avviksbehandling/hendelsesregistrering i Oslo kommune er denne: Når et avvik er oppdaget, skal det iverksettes nødvendige tiltak som kan begrense skade og/eller omfang (tilkall hjelp om nødvendig) Hendelsen (avviket) registreres på avviksskjema (se eksempel i malverket) Vurdering av hvorvidt det er nødvendig med umiddelbar analyse av avviksårsak; denne vurderingen baseres på alvorlighetsgrad og konsekvenser Dersom andre enheter er involvert i avviket, skal det tas kontakt med disse; eventuelle øyeblikkelige tiltak iverksettes i samsvar med linjeledelsens myndighet Avdelingsledelsen/IT-funksjonen gjennomgår de lokale avvik med jevne mellomrom, bl.a. for å vurdere årsakssammenheng som grunnlag for ytterligere forbedringstiltak Arkivering av avviksskjema skjer avdelingsvis eller i IT-funksjonen Katastrofe-/avbruddsplan Det skal være utarbeidet en plan over tiltak som skal iverksettes dersom det oppstår en situasjon som kan eller er i ferd med å utvikle seg til et større uhell eller en katastrofe for virksomheten og for IT-systemene. En katastrofesituasjon kan forårsakes av brann, vannlekkasjer, tekniske uhell, sabotasjeaksjoner, naturkatastrofe, etc. Virksomhetens katastrofe-/avbruddsplan bør minst omfatte disse forhold: 25

26 krav til kontinuitet i informasjonsbehandlingen for det enkelte system, dvs. hvor lenge kan de enkelte avdelinger/brukergrupper være uten tilgang på viktige ITsystemer og hvilke konsekvenser kan lengre avbrudd få? oversikt over ansvarsforhold og organisering i en alvorlig katastrofe-/ avbruddssituasjon definisjon av en katastrofesituasjon rutiner for varsling dersom en katastrofe inntreffer oversikt over eventuelt reservested dersom videre drift i eksisterende lokaler ikke er mulig over en viss periode rutiner for kontinuerlig sikring av data (backup og gjenoppretting/restore) som skal danne grunnlag for gjenopptagelse av informasjonsbehandlingen oversikt over eksisterende utstyr og avtale om levering av nytt teknisk utstyr eller drift på annet sted dersom eget utstyr svikter ansvarsforhold, rutiner og økonomi relatert til reduksjon av katastrofens konsekvenser, og gjenopptagelse av informasjonsbehandlingen på annet utstyr, herunder spesielle sikkerhetskrav eventuelle brukerrutiner (manuelle) mens IT-systemene er utilgjengelige rutiner for gjenopprettelse av normal driftssituasjon 5.3 Personellsikkerhet Kompetanseutvikling Medarbeidere på alle nivåer skal gjennomgå behovstilpasset opplæring i bruk av IT innen eget arbeidsområde generelt og informasjonssikkerhet spesielt. Samtlige skal det som et minimum gis en orientering om kommunens felles regelverk for informasjonssikkerhet, samt lokale regler/retningslinjer. Kommunens retningslinjer og regelverk innen IT skal være tilgjengelig i hver virksomhet (på kommunens intranett). Kompetanseutviklingstiltak for å redusere kritisk avhengighet av nøkkelpersonell skal prioriteres. Kompetanseutviklingstiltak skal sette medarbeiderne i stand til å - forstå viktigheten av sikkerhet i forbindelse med eget arbeid - praktisere og etterleve vedtatte sikkerhetsbestemmelser og -tiltak - være ansvarlig for kvaliteten på det arbeid de utfører - forstå konsekvensen ved brudd på sikkerhetsbestemmelsene Krav til eksterne oppdragstakere Alle eksterne rådgivere, konsulenter og leverandører av IT-tjenester skal gjøres kjent med de reguleringer IT-området i virksomheten er underlagt. Oppdragstaker må forplikte seg til å etterkomme disse generelt, og dokumentere at krav til informasjonssikkerhet spesielt, er tilfredsstilt. Taushetserklæring skal undertegnes før arbeid igangsettes Taushetsplikt Det skal være utarbeidet rutiner for administrasjon av den taushetsplikt som påhviler kommunens ansatte og eksterne oppdragstakere. 26

27 Den generelle regelen om taushetsplikt for den som jobber i det offentlige finnes i forvaltningsloven 13 13f. Denne gjelder for enhver som utfører tjeneste eller arbeid for et forvaltningsorgan og omfatter således både fast og midlertidig ansatte, folkevalgte og selvstendige oppdragstakere (konsulenter med mer). I tillegg kan det finnes særregler som gjelder på bestemte saksområder (for eksempel sosialtjenesteloven 8-8, barnevernloven 6-7 og folketrygdloven 21-9) eller for bestemte typer arbeidstakere (for eksempel helsepersonelloven kapittel 5). Taushetsplikt innebærer at den enkelte arbeidstaker plikter å tie med og hindre at taushetsbelagte opplysninger kommer uvedkommende til kunnskap. Taushetsplikten gjelder i utgangspunktet overfor alle som ikke har en oppgave i forhold til den konkrete saken. Taushetsplikten gjelder også etter at ansettelsesforholdet er avsluttet eller oppdraget er utført. Som en hovedregel bør man påse at ingen har tilgang til andre opplysninger enn dem man har saklig behov for i sitt arbeid. Brudd på lovbestemt taushetsplikt kan straffes med bøter eller fengsel i inntil tre år. Rutiner for administrasjon av taushetsplikt omfatter for eksempel rutiner for å sørge for underskrift av taushetserklæring og oppbevaring/administrasjon av disse, hvordan informasjon om de enkelte lover og retningslinjer skal formidles til de ansatte/engasjerte og hvilke sanksjonsmuligheter som vil komme til anvendelse ved brudd på bestemmelsene. Ikke alle virksomheter har behov for å bruke taushetserklæringer overfor ansatte. Overfor oppdragstakere er det imidlertid ikke uvanlig at taushetsplikten gjøres mer omfattende enn lovbestemt taushetsplikt og/eller at taushetserklæring brukes for å sikre seg at oppdragstakeren er klar over taushetsplikten. Da er det viktig å sørge for at en egen taushetserklæring blir underskrevet. Forvaltningsloven 13 lyder: Enhver som utfører tjeneste eller arbeid for et forvaltningsorgan, plikter å hindre at andre får adgang eller kjennskap til det han i forbindelse med tjenesten eller arbeidet får vite om: 1) noens personlige forhold, eller 2) tekniske innretninger og fremgangsmåter samt drifts- eller forretningsforhold som det vil være av konkurransemessig betydning å hemmeligholde av hensyn til den som opplysningen angår. Som personlige forhold regnes ikke fødested, fødselsdato og personnummer, statsborgerforhold, sivilstand, yrke, bopel og arbeidssted, med mindre slike opplysninger røper et klientforhold eller andre forhold som må anses som personlige. Kongen kan ellers gi nærmere forskrifter om hvilke opplysninger som skal reknes som personlige, om hvilke organer som kan gi privatpersoner opplysninger som nevnt i punktumet foran og opplysninger om den enkeltes personlige status for øvrig, samt om vilkårene for å gi slike opplysninger. Taushetsplikten gjelder også etter at vedkommende har avsluttet tjenesten eller arbeidet. Han kan heller ikke utnytte opplysninger som nevnt i denne paragraf i egen virksomhet eller i tjeneste eller arbeid for andre Innsynsrett I henhold til Personopplysningsloven 18 vil kommunens egne ansatte og klienter på skriftlig forespørsel ha rett til å få følgende informasjoner om forhold rundt saksbehandlingen og det som er lagret eller som bearbeides om egen person: 27

28 Navn og adresse på den behandlingsanvarlige (f.eks. bydelsdirektør, etatsdirektør). Formålet med behandlingen. Beskrivelse av hvilke typer personopplysninger som behandles. Hvor opplysningene er hentet fra. Om personopplysningene vil bli utlevert og eventuelt hvem som er mottaker. Svar på henvendelser om innsyn skal ekspederes snarest mulig og senest innen én måned. Forvaltningslovens kap. IV og V inneholder særregler for enkeltvedtak som i stor grad er rettet mot parter og deres representanter. Bestemmelsene om varsling og innsyn finnes her, likeså bestemmelser om begrunnelser og underretninger. Formålet med Offentlighetsloven er å regulere allmennhetens rett til innsyn i dokumenter som håndteres av det offentlige. Innsynsretten ansees som et grunnleggende rettssikkerhetsprinsipp. Hovedregelen er at dokumenter skal være tilgjengelige, hvis ikke denne eller andre lover bestemmer noe annet Tiltak ved brudd på sikkerhetsbestemmelsene Alvorlige brudd på sikkerhetsbestemmelsene skal rapporteres til nærmeste overordnede. Sikkerheten i kommunen er en svært viktig del av ansvaret til hver enkelt arbeidstaker, og begrensningen av risiko for feil, uhell, dårlig kvalitet osv. er nært knyttet til den enkeltes holdning og årvåkenhet, samt praktisering av gjeldende sikkerhetsbestemmelser. Dersom brudd på sikkerhetsbestemmelsene forvoldes av arbeidstaker, skal relevante sanksjoner iverksettes, og det kan få konsekvenser for arbeidstakers ansettelsesforhold. Alvorlige tilfeller bør anmeldes til politiet med mindre det faktum at forholdet gjøres kjent, utsetter kommunen for ytterligere skade. Virksomhetens leder er ansvarlig for å vurdere dette. 28

29 Oslo kommune VEDLEGG 1 Lover, forskrifter og regler Følgende tabeller gir en oversikt over lover, forskrifter og regler relevant for Oslo kommunes informasjonssikkerhet, med henvisning til hvor man får tak i dokumentene. Generelle lover Dokument Forvaltningsloven Offentlighetsloven Personopplysningsloven m/forskrifter Kommuneloven Lov om arkiv Lov om forebyggende sikkerhetstjeneste (Sikkerhetsloven) Lov om offentlige anskaffelser Lov om opphavsrett til åndsverk m.v. (Åndsverkloven) Lov om elektronisk (digital) signatur Fås ved henvendelse til Generelle regler og forskrifter Dokument Fås ved henvendelse til Forskrift om internkontroll (HMS) Løsbladforskriftenes bestemmelser Akademika A/S, Møllerg. 17 Personopplysningsforskriften Veiledning til skjema Søknad om konsesjon til Datatilsynet Veiledning til utfylling av meldeskjema til Datatilsynet Om registrering av hendelser i datasystem (logger) Veiledning ved bruk av tynne klienter Risikovurdering av informasjonssystem Forskrift om offentlige arkiv