Sikkerhetsinstruks SKDE

Transkript

1 Sikkerhetsinstruks SKDE Illustrasjonsfoto: Colourbox Instruksen gjelder for bruk av SKDEs IKT-system, dvs. maskiner, arbeidsstasjoner, skrivere, programmer, data, disketter, utskrifter m.v. som benyttes av, eller stilles til disposisjon av SKDE, inklusive alle former for nettverk og de systemene som man får tilgang til gjennom slike nettverk.

2 Innhold Side 1 Område for denne instruksen 3 2 Lojal bruk 3 3 Datasikkerhet 3 4 Elektronisk post 4 5 Web (intranett/internett) 4 6 Forhold til gjeldende lover 4 7 Utvidet adgang 4 8 Hjemmekontor/Bærbare maskiner 5 9 Privat bruk 5 10 Rutiner for sikring av data 6 11 Rutiner for sletting av tidsavgrensede data 7 2

3 1 Område for denne instruksen Denne instruksen gjelder for bruk av SKDEs IKT-system. Med «IKT-system» forstås maskiner, arbeidsstasjoner, skrivere, programmer, data, disketter, utskrifter m.v. som benyttes av, eller stilles til disposisjon av SKDE, inklusive alle former for nettverk og de systemene som man får tilgang til gjennom slike nettverk. Reglene gjelder for ansatte, studenter og andre som får tilgang til SKDEs IKT-system, heretter kalt bruker. Brukeren plikter å holde seg informert om den til enhver tid gjeldende instruks. Instruksen skal være oppslått på egnede steder. Den finnes hos din leder. Alle data/registre som er fremkommet i forbindelse med SKDEs virksomhet eies i henhold til lover og forskrifter av institusjonen. Programvare som er utviklet i arbeidsforholdet eller i prosjekter der SKDE deltar, er institusjonens eiendom dersom ikke annet er skriftlig avtalt. 2 Lojal bruk SKDEs IKT-systemer skal kun benyttes til virksomhet som har direkte tilknytning til faglig virksomhet, administrasjon, egen forskning, studier eller organisasjonsarbeid i forening ved SKDE, med unntak som nevnt i punkt 9. Ved all bruk av systemet skal brukeren identifisere seg ved å oppgi eget brukernavn og passord. En bruker har plikt til å følge anvisninger om bruk av systemet og tjenester knyttet til systemet. En bruker skal sette seg inn i aktuelle bruksanvisninger og dokumentasjon, for på den måten å hindre feilbruk eller driftsforstyrrelser. Når arbeidsplassen forlates, skal brukeren alltid logge seg av systemet eller låse arbeidsstasjonen. Dette bidrar til å hindre at ikke-autoriserte får innsyn i IKT-systemene. 3 Datasikkerhet Brukernavnet er strengt personlig. Bruk eller forsøk på bruk av andre brukeres brukernavn og/eller passord ved pålogging er ikke tillatt. Det er ikke tillatt å utgi seg for å være en annen person ved bruk av SKDEs IKT-systemer. Passordet skal være på åtte eller flere tegn, og bør inneholde både tall og bokstaver for å gjøre det vanskeligere å avsløre passordet for uvedkommende. Navn, brukernavn, fødselsdato eller lignende skal ikke benyttes. Husk at passordet er din nøkkel til de opplysningene som finnes på SKDE og som du har tilgang til. En bruker skal beskytte passord og liknende sikkerhetselementer slik at disse ikke blir kjent for andre. Dersom brukeren har mistanke om at slikt er blitt kjent, skal bruker sørge for at passord m.v. skiftes umiddelbart. En bruker skal forhindre at ikke-autoriserte personer får tilgang til bruk av systemet eller tilgang til rom hvor utstyr er tilgjengelig.en bruker skal rapportere forhold som kan ha betydning for systemets sikkerhet eller integritet i henhold til gjeldende rutine for melding av avvik. Alvorlige hendelser eller tilstander rapporteres i tillegg umiddelbart til Helse Nord IKT. En bruker skal ikke benytte seg av muligheten til innsyn i informasjon som brukeren i utgangspunktet vet han/hun ikke har tilgang til. Dette gjelder uavhengig av om dataene er beskyttet eller ikke (snoking). Modem eller lignende kommunikasjonsutstyr er ikke tillatt brukt på SKDEs IKT-systemer. Reparasjon av utstyr skal alltid organiseres av Helse Nord IKT. Det er ikke tillatt å importere programmer fra eksterne nett uten at dette er godkjent. Kun programvare som er lisensiert til SKDE og som Helse Nord IKT har godkjent, kan benyttes på SKDEs IKT-system. Kopiering av SKDEs programvare uten tillatelse er forbudt! Datafiler skal virussjekkes før bruk i IKT-systemet. Normalt er dette en prosedyre som utføres automatisk på den enkelte maskin. Dersom en bruker har mistanke om at en slik kontroll ikke blir utført skal Helse Nord IKT varsles umiddelbart. 3

4 Private maskiner/utstyr er ikke tillatt å koble til SKDEs system/nettverk (produksjon), men kan kobles til et eget nett som er tilrettelagt for dette formål. Alt utstyr som skal kobles til SKDEs IKT-system skal være godkjent av Helse Nord IKT. Ved opphør av ansettelsesforhold skal brukeren rydde sitt brukernavn/reserverte område. Skjer ikke dette innen rimelig tid og senest innen 3 måneder, vil Helse Nord IKT slette filer og fjerne brukernavnet. 4 Elektronisk post ( /e-post) Alle brukere ved SKDE har egen postkasse som skal brukes til mottak og sending av e-post. SKDE bruker e-post som sin viktigste informasjonskanal. E-post skal ikke brukes til å sende pasientrelaterte eller andre sensitive opplysninger. E-post skal kun sendes til personer som kan ha interesse av å motta den fra deg jfr. pkt. 2. Innsyn i e-post, se 9-3 i Personopplysningsforskriften samt pkt. 7 i denne instruksen. Privat bruk, se punkt 9. 5 Web (intranett/internett) SKDE legger inn viktig informasjon på sine interne intranett-sider. De ansatte skal gjøre seg kjent med innholdet. Brukeren kan få adgang til Internet og ekstern e-post etter autorisasjon fra sin enhetsleder og etter at Egenerklæring om bruk av informasjonssystemer er akseptert og signert. Privat bruk se pkt. 9 6 Forhold til gjeldende lover Bruker skal gjøre seg særlig kjent med de regler som gjelder for behandling av personrelaterte opplysninger. Enhetsleder skal ha disse reglene tilgjengelig ved behov. Alle som utfører arbeid for SKDE - ansatte, midlertidige ansatte og oppdragstakere er underlagt lovbestemt taushetsplikt. Plikten gjelder både i arbeidet og privat, og den varer også etter avsluttet arbeidsforhold, jfr. Taushetserklæring All bruk av klipp og lim funksjoner fra pasientrelaterte systemer er forbudt. Det skal ikke forekomme videreformidling av konfidensielle opplysninger til ikke-autoriserte personer. Personrelatert informasjon lagret på SKDEs IKT-systemer skal oppbevares med Datatilsynets/ REKs tillatelse og i henhold til offentlige lover og regler. SKDE behandler og oppbevarer konsesjonsbelagt informasjon og informasjon underlagt taushetsplikt. SKDE skal behandle og sikre data etter de vilkår som konsesjonen setter og etter lov og forskrifter gitt av offentlige myndigheter, vår taushetsplikt og SKDE sine egne krav til sikkerhet. Det er derfor ikke tillatt å koble internettforbindelser opp mot vårt nettverk uten særskilt tillatelse. 7 Utvidet adgang Hver bruker har sitt personlige reserverte område, vanligvis P:\. Dette området har ingen andre brukere tilgang til. I spesielle tilfeller er det likevel nødvendig for Helse Nord IKT å benytte seg av sin særskilte autorisasjon til å skaffe seg tilgang til den enkelte brukers reserverte område: a) for å administrere systemene og sikre anleggets funksjonalitet b) for å bistå en bruker i problemløsning/opplæringssammenheng og brukeren er informert om dette c) for å avdekke og/eller oppklare brudd på sikkerheten d) når det foreligger skjellig grunn til mistanke om at brukeren har brutt Sikkerhetsinstruksen og det kan være av stor betydning for Foretakets ansvar og renommé. 4

5 Hvis tilgang søkes i henhold til a) skal brukeren som hovedregel varsles på forhånd. Hvis tilgang søkes i henhold til c) eller d) skal dette dokumenteres og loggføres i en sikkerhetslogg. Innsyn i personlig e-postkasse skal som utgangspunkt ikke finne sted. I enkelte situasjoner er det likevel mulig å foreta innsyn for å hente ut virksomhetsrelatert e-post, i slike tilfeller skal prosedyren for Innsyn i e-post følges, jfr. kapittel 9 i Personopplysningsforskriften. For å redusere behovet for innsyn bør den enkelte ansatt: lagre personlig e-post i egen mappe benytte fraværsassistenten når planlagt fravær gjennomføres gir arbeidsgiver anledning til å benytte fraværsassistenten på vegne av ansatt ved uforutsett fravær sørge for at arkivverdig materiale blir registrert i arkiv-/saksbehandlingssystemet (ephorte). Helse Nord IKT har taushetsplikt med hensyn til opplysninger om brukeren eller brukerens virksomhet som Helse Nord IKT får på denne måte. Unntak fra dette er forhold som kan representere brudd på reglementet. Slike forhold kan meddeles til overordnete instanser. 8 Hjemmekontor/Bærbare maskiner Hjemmekontor og bærbare maskiner er omfattet av eget reglement som administreres av Helse Nord IKT. 9 Privat bruk SKDEs IKT-systemer er beregnet, og skal primært (jfr. pkt. 2) benyttes for jobbrelatert formål. Noe privat bruk tillates imidlertid som: Mindre mengder e-post, nyheter og nødvendige opplysningstjenester Mindre mengder private filer kan lagres i egen katalog (normalt P:\) på personlig område. Av plass og kapasitetshensyn skal ikke private bilder, video, musikk eller lignende som krever stor plass, lagres på foretakets sentrale servere. Privat bruk må imidlertid ikke påvirke jobbrelaterte oppgaver eller være i strid med denne instruks, lover eller allmenne normer for oppførsel og sosial atferd. 10 Rutiner for sikring av data ved SKDE Her gis en del overordnede føringer for ivaretakelse av datasikkerhet ved SKDE. Enkelte kategorier kan være ytterligere regulert både på generelt grunnlag og spesifikt i forhold til enkeltprosjekter. Forøvrig vises det til pkt 3.5 «Konfidensialitet tilgjengelighet integritet kvalitet» i «Styringssystem for informasjonssikkerhet» ved SKDE. Mottak/opprettelse av data Det vil i utgangspunktet være avgivers ansvar å sikre at informasjon blir overført på en trygg måte. Der dette involverer overføring av informasjon over usikret transportmedium skal informasjonen krypteres. Der det er hensiktsmessig er det også ønskelig at avgiver leverer en HASH verdi/signatur eller lignende slik at dataintegriteten kan verifiseres. 5

6 Oppbevaring av data Det fins i hovedsak to kategorier: Faste lagringsmedier Vil i streng forstand bare gjelde der det brukes infrastruktur (filkataloger og databaser) levert av Helse-Nord IKT (HNIKT). Sikring av slike data vil være i henhold til rutiner og prossedyrer definert av HNIKT. Mobile lagringsmedier Vil gjelde alt som kan flyttes med håndmakt som minnepinne, laptop, desktop, ekstern harddisk og CD/ DVD-plate. Alle lagringsmedier som benyttes for sensitiv informasjon skal være tydelig merket med kontaktinformasjon til SKDE. Det skal ikke benyttes private lagringsmedier til lagring av sensitiv informasjon. Sensitiv informasjon som lagres på mobile lagringsmedier skal være kryptert. Det skal benyttes AES algoritme med en nøkkellengde på 256 biter, 128 bit blokk og 14 runder. Nøkkelen skal bestandig beskyttes med et sterkt passord (dvs minimum 8 tegn som har store og små bokstaver, tall og spesialtegn). Bruk av data Bare personer med prosjekttilhørighet skal ha tilgang til sensitive data i prosjektet. I noen tilfeller vil det være nødvendig med ytterligere spesifisering av de føringer som blir pålagt en prosjektdeltager, for eksempel hvis det benyttes tidsavgrensede data. Oppfølging av dette skal skje gjennom rutiner for internkontroll ved SKDE. Utlevering av data Ved all utlevering skal informasjonen foreligge på kryptert og signert form og skal skje ved bruk av en PKItype tilnærming. Til dette kan det benyttes for eksempel PGP. Krypteringsalgoritmen som skal brukes er DSA med en nøkkellengde på 2048 biter eller lengre. Den private delen av nøkkelen skal beskyttes med sterkt passord (dvs minimum 8 tegn som har store og små bokstaver, tall og spesialtegn). Bare den offentlige delen av nøkkelparet skal utleveres og skjer i forkant av den første informasjonsutvekslingen. Når nøkler utveksles skal det gjøres på en slik måte at hver av partene er autentisert for hverandre. I streng forstand skal en tredjepart bekrefte sertifikatsignaturen til hver av partene. Ved seinere informasjonsutveksling mellom de samme partene gjenbrukes nøkkelparet. Utvekslingen av data kan deretter skje per epost, post eller kurér i form av konvensjonell minnepinne, CD/DVD-plate, ekstern harddisk o.l. Sletting av data Informasjon/data som anvendes av SKDE kan ha tidsavgrenset bruk. Rutiner for internkontroll skal avdekke når og at slike data blir forsvarlig slettet. Retningslinjer og prosedyrer for sletting av data er beskrevet i et eget dokument. Relevante lenker Datatilsynets nettside om informasjonssikkerhet ( side 105.aspx) Om HASH-funksjon på wikipedia ( Om PGP på wikipedia ( Om AES på wikipedia ( Om PKI på wikipedia ( 6

7 11 Rutiner for sletting av tidsavgrensede data Denne beskrivelsen er en utdypning av den mer generelle beskrivelsen «Rutiner for sikring av data» i SKDEs sikkerhetsinstruks. Målsettingen er å kunne sikre at informasjon som er «gått ut på dato» ikke lenger skal være tilgjengelig. Definisjon av sletting I denne sammenhengen vil målet ved sletting være å fjerne sensitiv informasjon. Det kan gjøres på to måter: 1) Fysisk sletting av data, det vil si å ødelegge samlingen av informasjon slik at ingen deler av informasjonen vil være mulig å gjenskape. 2) Anonymisering av informasjonen slik at den ikke lengre er sensitv. Anonymisering vil i utgangspunktet være å fjerne personidentifiserende deler av datamaterialet slik at det blir umulig å koble informasjon til person. Det må i hvert enkelt tilfelle vurderes om et gitt sett av sensitive data lar seg anonymisere. Vurderingen må basere seg på om gjenværende informasjon kan brukes til å beregne seg tilbake til personidentitet. For data som inneholder de mografisk informasjon, som for eksempel alder, kjønn og bosted, bør det vises ekstra påpasselighet. Data på papir/skriftlig form lar seg vanskelig anonymisere, og i slike tilfeller anbefales sletting i henhold til pkt 1. Når skal data slettes Informasjon som bare skal være tilgjengelig i en gitt tidsperiode skal slettes seinest ved tidsperiodens utløp. Fra hvor skal data slettes Informasjon som bare skal være tilgjengelig i en gitt tidsperiode skal slettes fra alle lagringsmedier den kan gjenfinnes på. Rutiner for kvalitetssikring SKDE sine internkontrollrutiner skal være verktøy for at sletting av data foretas etter de retningslinjer som er gitt her, spesielt med tanke på at tilstrekkelig kvalitet og aktuelle tidsfrister overholdes. Behandling av tidsavgrensede data For et gitt sett av informasjon kan hele eller deler være undergitt en tidavgrensning og dermed ha et krav om sletting. Slike data skal være underlagt tilgangskontroll med journalføring/logging av alle som har hatt tilgang til informasjonen. Tilgang til slike data skal bare gis når brukeren har inngått en avtale der vedkommende forplikter seg til sørge for at en eventuell egen lokal representasjon av data blir slettet ved gyldighetsperiodens slutt. Ved utløp av gyldighetsperioden skal det av alle brukere gis en erklæring om at alle data er forsvarlig slettet. Sletting av tidsavgrensede data Forutsetninger Data med krav til sletting må være lagret på en slik måte at det praktisk lar seg fjerne/ødelegge. På elektronisk form (e.g. harddisk) skal slike data gis en egen partisjon (fysisk avgrenset område på disken) og om mulig helst et helt eget fysisk lagringsmedium. Dette vil også gjelde for andre representasjoner av samme informasjon, f.eks. sikkerhetskopier, transaksjonslogger og lokale kopier. Antall replikater av informasjonen skal begrenses så mye som praktisk mulig. Det bør så langt det lar seg gjøre ikke tas utskrifter av tidsavgrensede data. Hos brukere (lokale kopier) Papirrepresentasjon av tidsavgrensede data slettes i henhold til Metode for sletting av data, skreven form. Elektronisk representasjon av tidavgrensede data slettes i henhold til Metode for sletting av data, elektronisk form. Egenerkæring for sletting av lokal representasjon av data leveres til stabsleder ved SKDE. 7

8 Kilden (sentralt lager) Elektronisk representasjon av tidavgrensede data slettes i henhold til Metode for sletting av data, elektronisk form. Dette gjelder også andre avledninger av samme informasjon, slik som sikkerhetskopier og transaksjonslogger. Sentralt lager skal ikke være representert på skrevet form. Erklæring for sletting av sentralt lager av data samt en liste over alle som har hatt tilgang til datakilden leveres til stabsleder ved SKDE. Dokumentasjon av forsvarlig sletting En bekreftelse på forsvarlig sletting av informasjon vil bare være gyldig når det foreligger erklæringer fra samtlige brukere av informasjonen samt erkæring fra dataeier/ansvarlig for sentral lagring på at informasjonen faktisk er slettet. Dette skal inngå i SKDE sin dokumentasjon av egen datasikkerhet. Stabsleder er ansvarlig for vedlikehold, oppdatering og tilgjengeliggjøring av dokumentasjon av datasikkerhet. Metode for sletting av data, elektronisk form Partisjon/hele lagringsmediet som holder tidsavgrensede data skal overskrives med tomme og/eller tilfeldige verider minst én gang. Det kan benyttes programvare godkjent av Nasjonal Sikkerhetsmyndighet til dette. Alternativt kan lagringsmediet monteres på et unix type operativsystem og skrives over med tomme verdier: cat /dev/zero > /dev/[device] eller dd if=/dev/zero of=/dev/[device] og/eller tilfeldige verdier: cat /dev/urandom > /dev/[device] eller dd if=/dev/urandom of=/dev/[device] der device er partisjonen eller disken som holder informasjonen som skal slettes. En god regel er å repetere dette ved bruk av både tomme og tilfeldige verdier. Ved bruk av anonymisering skal det fra sentralt lager etableres et anonymt (ikke sensitivt) datasett. Deretter skal sentralt lager og alle lokale kopier slettes slik det er beskrevet over. Metode for sletting av data, skreven form Alt papir makuleres og brennes, i den rekkefølgen. Bruk av anonymisering for å fjerne sensitiv informasjon bør ikke benyttes. Relevante vurderinger ved sletting av informasjon Ved krav om etterprøvbarhet av resultater basert på tidsavgrensede data bør sletting foregå ved anonymisering der det er mulig. Anonymisering av tidsavgrensede data vil også kunne være ressursbesparende der det er aktuelt med seinere gjenbruk av ikke-sensitiv informasjon. Relevante lenker Om godkjente sletteverktøy ved Nasjonal Sikkerhetsmyndighet ( Sletteverktoy/) 8