FORSLAG TIL STRATEGI FOR ADGANGSKONTROLL PÅ SKOLER I BÆRUM KOMMUNE

Transkript

1 BÆRUM KOMMUNE EIENDOM Bærum Kommune Adgangskontroll OPPDRAGSNUMMER FORSLAG TIL STRATEGI FOR ADGANGSKONTROLL PÅ SKOLER I BÆRUM KOMMUNE SWECO NORGE AS JOAKIM MYREN SVENDSEN EIRIK SEIERTUN GOLDSTEIN FINN KOPPERUD

2

3 Innholdsfortegnelse 1 Innledning 2 2 Strategimål Regelverk og lover 3 3 Drift Organisering 4 4 Tilganger Skalldører Alarmer knyttet til dører 5 5 Adgangskontrollsystem Ved valg av sentralisert adgangskontroll Ved valg av desentralisert adgangskontroll 6 6 Anbefalinger Anbefaling for sentralisert adgangskontroll Anbefaling for desentralisert adgangskontroll 7 7 Systemtekninsk sikkerhet 7 8 Opplæring 8 9 Dokumentasjon 8 10 Avvikshåndtering 9 Bilag ROS analyse for skoler 1 (9)

4 1 Innledning Strategien for adgangskontroll i Bærum Kommune (BK) skal være det overordnede dokument for adgangskontroll på kommunens skoler. Eiendomsdirektøren i Bærum Kommune Eiendom (BKE) har det overordnede ansvaret for all adgangskontroll i kommunen. Eiendomsdirektøren har ansvar for at det utarbeides mål, med tilhørende rutiner og kontroll, for adgangskontroll som til enhver tid skal være i tråd med kommunens gjeldende strategi. 2 Strategimål Det settes mål for å understøtte og sikre sikker og effektiv drift av kommunens bygg. Følgende mål er definert: 1. Sikker adgangskontroll skal ha forankring i ledelsen ved det enkelte brukersted i BK og i BKE. 2. Adgangskontroll i BK skal hindre at uautoriserte får tilgang til systemer, rom eller deler av bygget der personopplysninger og sensitiv informasjon lagres og behandles. 3. Tilgang til systemer og sensitiv informasjon skal kun gis til medarbeidere etter behov. 4. BKE skal sikre tilgjengelighet til systemer, tjenester og sensitiv informasjon til rett tid for de personer som er autorisert. 5. BKE skal sikre at sensitiv informasjon behandles i hht krav i relevante lover og forskrifter. 6. Det skal være mulig å spore uønskede hendelser. 7. Det skal være tatt i bruk rutiner for å håndtere uønskede og virksomhetskritiske hendelser. 8. Det skal være tatt i bruk planmessig opplæring slik at sannsynlighet for uønskede eller gjentatte hendelser reduseres. 9. Det skal forhindres at personer eller systemer i BK bevisst eller ubevisst er årsak til sikkerhetsmessig uønskede hendelser mot egen eller andre virksomheter og/eller privatpersoner. 10. BK skal sikre at medarbeidere som bruker BK sin adgangskontroll har tilstrekkelig kompetanse for å ivareta virksomhetens krav. 11. Det skal benyttes kun en type sentralisert adgangskontrollsystem, alternativt skal det benyttes kun en type desentralisert adgangskontroll. 12. Det skal være mulig å integrere innbruddsalarm i adgangskontrollsystemet 13. Adgangskontrollsystemet med alle tilhørende komponenter skal ivareta krav til universell utforming 14. Alle skoler skal fullautomatiseres for åpning, lukking og statusavlesning på den enkelte lokasjon 15. Ved nybygg eller oppgradering av skoler skal det vurderes omfang av adgangskontrollsystem 2 (9) repo001.docx

5 2.1 Regelverk og lover Utførelse og drift av adgangskontrollen skal til enhver tid være i hht. følgende lover og regler: 1. FG-200, FG-regler for automatiske innbrudds- og overfallsalarmsystemer 2. FG-240, Krav til system og enkeltkomponenter for elektronisk avlåsing i beskyttelsesklassene B1, B2 og B3. 3. NEK700:2012, Prosjektering og installasjon av kommunikasjonssystemer. Normsamling del A og B 4. NEK400:2014, Elektriske lavspenningsinstallasjoner 5. TEK10, Byggteknisk forskrift 6. Arbeidsmiljøloven 7. Personopplysningsloven 8. Lov om forebyggende sikkerhetstjeneste (sikkerhetsloven) 9. Brannteknisk notat vurdering av nytt adgangskontrollsystem. Skolebygg Bærum kommune Adgangskontroll regnes som et overvåkningstiltak og enhver bruk av innsamlet data må kunne knyttes til innsamlingens forhåndsdefinerte formål. Personopplysningslovens 8f er styrende og bruk av systemet skal drøftes med de ansatte i hht Arbeidsmiljøloven kapittel 9. Datatilsynet skal varsles 30 dager før et nytt anlegg tas i bruk og videre hvert tredje år. Lagring av data er kun tillatt i 90 dager. Personopplysningsloven 14 Internkontroll viser til tjenestestedets/foretaksholders plikt til etablering av rutiner og internkontroll for bruk og informasjon knyttet til adgangskontrollsystemet. Sentrale punkt vil være: 3 Drift Formål Bruk Tilgang Sletterutiner Utleveringsrutiner Innsynsrutiner Oppdateringer Eiendomsdirektøren i BKE har et overordnet og utøvende ansvar for adgangskontrollen i kommunen. Ansvaret innebærer å organisere, koordinere, utarbeide retningslinjer, iverksette egenkontroll og forbedringsprosesser samt følge opp at nødvendig vedlikehold 3 (9)

6 utføres. Videre skal BKE ha ansvar for at det gjennomføres nødvendig systemopplæring ved etablering av nytt system. Hvert enkelt brukersted har ansvar for videre opplæring. Det skal være tilgjengelig nødvendig FDV dokumentasjon på hvert enkelt brukersted. Utførelse av rutiner for egenkontroll og drift, samt håndtering av sikkerhetsrelaterte hendelser eller hendelser knyttet til manglende stabil drift, skal logges. Egenkontroll av sikkerhetsnivå ved det enkelte brukersted skal utføres regelmessig iht. systematiserte rutiner. 3.1 Organisering Deler av det operative ansvaret for adgangskontrollen vil normalt delegeres til personer i BKE. Adgangskontrollsystemet bør derfor kunne administreres fra BKEs kontorer i tillegg til lokalt på hver skole. Organiseringen skal til enhver tid fremgå av en egen beskrivelse der ansvar og kontaktinformasjon inngår. Oversikt over ansvarspersoner, vedlikeholdsrutiner og kontrolljournal skal være digitalt utført og tilgjengelig både lokalt og sentralt i BKE. 4 Tilganger Tilgang skal alltid begrenses til det minimum av lokaler som det er behov for. Tilgang til de lokaler som brukere og leietagere skal ha tilgang til skal godkjennes av aktuell linjeleder etter de gjeldende retningslinjer. Nødvendige tilganger gis på hvert enkelt brukersted. Videre skal følgende punkt gjelde: 4.1 Skalldører - Ytterdører skal være låst etter kontortid og når bygget ikke er i bruk. - Kontordører låses når kontor forlates. - Arkiv og rom med sensitive personopplysninger og andre graderte opplysninger, serverrom og rom med annet sentralt IT-utstyr skal sikres med mulighet for begrensning av adgang. Dør til slike områder skal alltid være låst. - Bruk av nøkkel eller adgangskort/brikke med personlig kode utenfor arbeidstid skal være godkjent av aktuell linjeleder. - Besøkskort/brikker, adgangskort, nøkler og passord skal lagres i safe eller på annen sikker måte. - Adgangskort/brikker skal kunne programmeres både lokalt og sentralt. - Nærmeste linjeleder er ansvarlig for å klarlegge og tilrettelegge for en ansatts behov for tilgang til bygget ved ansettelse eller endringer i ansvar. - Nærmeste linjeleder er ansvarlig for å fjerne tilgangsrettigheter når personell slutter. - Nærmeste linjeleder er ansvarlig for å vedlikeholde tilgangsrettigheter samt holde oversikt over de tilgangsrettigheter som er gitt. - Nærmeste linjeleder er ansvarlig for at verifikasjon av tilgangsrettigheter gjøres. Alle dører som vil kunne gi tilgang utenifra og inn og ut fra skolens lokaler er en skalldør. - Alle skalldører skal knyttes til adgangskontrollsystemet. 4 (9) repo001.docx

7 - Alle dører som er utstyrt med adgangskontroll skal ha dørautomatikk for å ivareta krav til universell utforming. - Hoveddører skal utstyres med låssylinder for nødåpning. - Sekundære dører som kan bli brukt som utgangsdører i forbindelse med arrangementer skal utstyres med adgangskontroll. - Rene rømnings dører kobles mot brannalarm og utstyres med nød åpner, varsling og tilkobles adgangskontrollsystemet. - Dører koblet mot adgangskontrollen skal kunne avleses gjeldende status. - Universell utforming skal alltid ligge til grunn ved ombygging, rehabilitering eller nybygg. 4.2 Alarmer knyttet til dører Utenom åpnings- / arbeidstid skal utpassering skje ved bruk av hovedinngang og eventuelt andre spesifiserte dører. All annen utpassering skal utløse alarm. Passeringstidsforsinkelse når dør ikke er lukket, skal holdes på et minimum av tid. Dersom dører ikke er lukket og låst utenom kontortid eller avtalt åpningstid skal det utløses alarm. Brannalarm skal ikke sette dører i skallsikring i ulåst modus for entring av lokalet. Adgangskontrollsystemet skal integreres mot innbruddsalarm for alarm ved uautorisert åpning av dører og brannalarmsystemet for alarm ved bruk av nødutganger. For bruk av nødåpner skal de knyttes til innbruddsalarmen for varsel om utløsing av dør. Adgangskontrollsystemet skal kunne integreres med andre systemer for sikring ved uautorisert åpning. Dette kan være FG-godkjent lekkasjestopper for begrensning av skade ved innbrudd og hærverk. 5 Adgangskontrollsystem Adgangskontrollsystemet skal ivareta de overnevnte mål for adgangsbegrensning og tilganger i Bærum Kommune. Det skal benyttes FG-godkjente dørmiljø for skalldører og FG s regelverk skal ligge til grunn for prosjektering og utførelse av adgangskontrollsystemet. Adgangskontrollsystemet skal knyttes til eventuelt eksisterende innbruddsalarm og ha sekundær strømforsyning som skal holde minimum 12 timer ved bortfall av primær strømforsyning. Skalldører skal låses med FG godkjent lås og skal ikke automatisk åpnes ved utløst brannalarm etter stengetid. Eventuell rømning skal sikres med ettgrepsdørvridere, nødåpner eller panikkbeslag avhengig av antall personer som naturlig samles i lokalet og tilhørende sikkerhetsklasse. Mulighet for tilbakerømning skal ivaretas i rømningsveier. Adgangskontrollsystemet skal sikre at de dører som er tilknyttet systemet til enhver tid har rett status, åpen/låst, og støtte de tilganger som er gitt for brukere med adgangskort. Status for dører skal presenteres grafisk med utgangspunkt i byggets plantegning for en rask og intuitiv forståelse av åpen/låst status for den enkelte dør. 5 (9)

8 Adgangskontrollsystemet med tilhørende låser og beslag skal til enhver tid støtte under og tilfredsstille de krav som stilles til innbruddsikring i Bærum kommune og gjeldende forsikringsavtaler. 5.1 Ved valg av sentralisert adgangskontroll Et sentralisert adgangskontrollsystem er i hovedsak ett eller flere adgangskontrollsystemer som er knyttet sammen for styring og kontroll fra en eksternt lokasjon. Status for hver enkel dør på alle lokasjoner vil kunne kontrolleres fra et sentralt kontor. Det vil være mulig å styre brukertilgang, rettigheter og utstede kort både sentralt og lokalt når for eksempel ansatte flytter arbeidssted eller ved leietagere. Fordelen med et sentralisert system er lave kostnader knyttet til drift og kontroll av adgang til de forskjellige skolene. Sentral administrasjon vil være mindre ressurskrevende ved utføring av kontroll og administrasjon. 5.2 Ved valg av desentralisert adgangskontroll Et desentralisert adgangskontrollsystem er i hovedsak direkte knyttet til den enkelte dør som er utstyrt med frittstående elektronisk låssystem. Brukertilgang kan programmeres på brukerstedet eller via terminaler innenfor de respektive lokaler. Rettigheter kan også ofte gis manuelt med en programmeringsenhet direkte ved dørene. Fordelen med et desentralisert adgangskontrollsystem kan være lave installasjonskostnader, med et mer begrenset behov for kabling til hver dør og mindre omfattende utstyr. Kontroll og drift av et desentralisert system vil være avhengig av lokalt driftspersonell for å ivareta og kontrollere at ønsket adgangsbegrensning er ivaretatt. Ved endring av arbeidssted for ansatte i kommunen og ved utleie av lokaler i skolene vil det være nødvendig med lokal administrasjon av systemet på hver skole. 6 Anbefalinger Ved valg av adgangskontrollsystem bør den totale kostnaden til alternativene veies opp mot hverandre, total kostnad beskrives best ved livssykluskostnad. Med livssykluskostnader (LCC) menes summen av investeringskostnaden og alle kostnader til forvaltning, drift, vedlikehold og utvikling i bruksfasen av et anlegg, fratrukket eventuell restverdi ved avvikling. Summen av investeringskostnader per år og årlige kostnader i driftsperioden inkludert vedlikehold, også kalt FDVU-kostnader, per år gir årskostnaden for anlegget. En avgjørende faktor vil være hvordan dagens drift av skolene i Bærum Kommune, med tilgjengelig personell og ressurser, passer med de krav som må stilles for å oppnå de mål som er satt av BKE. De to alternativene til adgangskontrollsystemer stiller forskjellige krav til drift samtidig som de kan støtte kommunens administrasjon i forskjellig grad. 6 (9) repo001.docx

9 Vår anbefaling for å oppnå de strategiske mål Bærum Kommune har satt for drift og kontroll av adganger i kommunens skoler, er et sentralisert adgangskontrollsystem. Dersom det vil være et alternativ å gå for desentralisert adgangskontroll på noen eller alle skoler, på tross av de strategimål og krav til organisering som BKE har satt, gis det en egen anbefaling for dette i 6.2. For dører med dørautomatikk anbefales det desentralisert UPS med montering på den enkelte dør. Dette vil begrense installasjonskostnaden i stor grad og service og vedlikehold vil kunne knyttes direkte med annen årlig service på dører og beslag. 6.1 Anbefaling for sentralisert adgangskontroll Valg av fabrikat bør gjøres med tanke på en fleksibel og god løsning for det enkelte brukerstedet og for kommunens drift og administrasjon. Det er en fordel at systemet er kjent for brukere og driftspersonell som bytter mellom forskjellige skoler i kommunen, det bør med andre ord være samme system på alle skoler. Dette vil også være med på å begrense LCC kostnader ettersom utstyr, brukermateriell og vedlikeholdsavtaler bør kunne dra nytte av de forskjellige lokasjonene. Systemet bør ha mulighet for en seinere utvidelse for kontroll av interne dører på den enkelte lokasjon. I dag bruker Bærum Kommune Bewator Omnis 2010 adgangskontrollsystem i over halvparten av alle sine skoler. For å oppnå ett helhetlig system i bruk for kommunen, vil det være formålsmessig med en videreføring av dette systemet på de resterende skoler. Alternativt kan det leveres et 100% kompatibelt og kommuniserende system som gir en tilsvarende helhetlig utførelse uten ekstrakostnader. 6.2 Anbefaling for desentralisert adgangskontroll Valg av fabrikat bør gjøres med tanke på en fleksibel og god løsning for det enkelte brukerstedet. Det er viktig at systemet er kjent for brukere og driftspersonell som bytter mellom forskjellige skoler i kommunen, det bør med andre ord være samme system på alle skoler. Dette vil også være med på å begrense LCC kostnader ettersom utstyr, brukermateriell og vedlikeholdsavtaler bør kunne dra nytte av de forskjellige lokasjonene. Systemet bør ha mulighet for en seinere utvidelse for kontroll av interne dører på den enkelte lokasjon. 7 Systemtekninsk sikkerhet Avhengig av det aktuelle system og informasjonen som behandles, vil de ulike aspektene ved sikkerhet (tilgjengelighet, konfidensialitet og integritet) ha ulik betydning. Følgende kategorisering skal benyttes for beskyttelsesbehov: - Høy - gis bare systemer og informasjon med virksomhetskritisk beskyttelsesbehov. - Middels - gis systemer og informasjon med beskyttelsesbehov. - Lav, (lave krav til sikkerhet) kan gjelde alle systemer og informasjon med lite eller ingen beskyttelsesbehov. Ulike delsystemer kan ha ulike beskyttelsesbehov. All infrastruktur knyttet til adgangskontrollsystemet skal utføres i henhold til gjeldene lover og forskrifter. 7 (9)

10 Alle kommunikasjonssignaler skal være sikret slik at alarm utløses ved forsøk på manipulering. All kabling skal ligge skjult, eller innenfor sikret område. Mekanismer i underliggende nettverkskomponenter, operativsystem og annen programvare skal benyttes for å oppnå at brukere bare har tilgang til relevant informasjon. Sentralsystemet til adgangskontrollen skal være konfigurert til å logge uautorisert tilgang eller forsøk på uautorisert tilgang. Alle alarmer skal overføres til hensiktsmessig reaksjonsapparat, som umiddelbart skal aksjonere på meldingene. Tilgang relatert til brukere skal være sporbart til brukernavn/-identifikasjon, men ivareta Datatilsynets krav til personvern. Programvare- og maskinvareplattformer benyttet i BK sitt tilgangssystem skal være standardisert. Det er ikke tillatt å installere egen programvare, all installasjon skal utføres av IT-avdelingen eller de som IT-avdelingen delegerer dette til. Loggføring må skje etter Datatilsynets regelverk. 8 Opplæring Et FG godkjent foretak skal gi eier/bruker en opplæring i bruk av systemet, og instruere i systemets drift og vedlikehold. Mottatt opplæring samt overtagelse av systemet skal dokumenteres med underskrift av eier/bruker. 9 Dokumentasjon Alle formaliteter mellom BKE og de enkelte brukere og leietagere skal være formulert i en formell kontrakt (SLA - Service Level Agreement) og skal inkludere relevante krav. BKE skal alltid ha rett til innsyn og måling av hvorvidt krav etterleves av en bruker/leietager. Når alarmsystemet er ferdig idriftsatt skal dokumentasjon på systemet være tilgjengelig for både alarmsentral og eier/bruker, dokumentasjonen skal være elektronisk og tilgjengelig i kommunens FDV system Plenia.. Dersom alarmsystemet blir endret, skal dokumentasjonen oppdateres tilsvarende. Dokumentasjon for adgangskontrollsystemet skal inneholde: - System- og funksjonsbeskrivelse - Utstyrsliste med tilhørende programmeringsbeskrivelse - Kontrolljournal - Dokumentert opplæring og overtagelse - Installasjonsforetak -Navn, adresse, telefon - Alarmstasjon -Navn, adresse, telefon - Betjeningsinstruks - Vedlikehold og plikter 8 (9) repo001.docx

11 10 Avvikshåndtering Avvik fra sikkerhetsmål og strategi samt vedtatte rutiner og styrende dokumenter skal håndteres som en del av avvikshåndtering. For behandling av avvik er det Bærum Kommunes avvikssystem som er gjeldende. - Alvorlige hendelser av sikkerhetsmessig betydning skal alltid rapporteres til Eiendomsdirektør eller den som er utpekt. - Eiendomsdirektør eller den som er utpekt har ansvar for oppfølging og beslutning av korrigerende tiltak som gjelder hendelser ved brudd på konfidensialitet eller integritet samt enkeltpersoners brudd på sikkerhetsreglene. - Hvis personopplysninger er kommet på avveie eller det er mistanke om det samme, skal Datatilsynet orienteres. 9 (9)