Oslo kommune Instruks Vedtatt av: Byrådet Vedtatt: 20.06.2002 Erstatter: Saksnr: Brv 1316/02 Eier/ Byrådsavdeling for finans og utvikling Ikrafttredelse: 20.06.2002 ansvarlig: Versjon: 1 Bemyndiget: Dok.nr: A-0039 INSTRUKS FOR INFORMASJONSSIKKERHET 1 BAKGRUNN 1.1 Formål Denne instruksen fastlegger Oslo kommunes overordnede krav til beskyttelse av informasjon som samles inn, lagres, bearbeides, overføres og formidles såvel manuelt som elektronisk ved hjelp av IKT-systemer. Instruksen tar i spesiell grad hensyn til kravene til organisatoriske, fysiske og systemtekniske sikkerhetstiltak i forskriftene til Personopplysningsloven (POL). Instruksen er også harmonisert med anbefalingene i den internasjonale sikkerhetsstandarden ISO 17799(1) [1]. Kravene til informasjonssikkerhetstiltak i denne instruks skal tjene som basis for det praktiske arbeid med informasjonssikkerhet i den enkelte virksomhet. For å lette dette arbeidet er det utviklet en veiledning til Instruksen og et sentralt malverk for informasjonssikkerhet. Instruksen, veiledningen og malverket utgjør et felles rammeverk for det praktiske arbeidet med informasjonssikkerhet i kommunens virksomheter, og skal benyttes a) til å skape en felles sikkerhetskultur gjennom økt forståelse av behovet for informasjonssikkerhet b) som grunnlag for å etablere lokale sikkerhetsregelverk c) som utgangspunkt for å iverksette lokale fysiske, organisatoriske og systemtekniske sikkerhetstiltak d) som grunnlag for meldinger og konsesjonssøknader til Datatilsynet 1.2 Gyldighetsområde Instruksen har gyldighet for samtlige virksomheter i Oslo kommune.
2 Figur 1.1 Organisasjonskart for Oslo Kommune I den grad aksjeselskaper, kommunale foretak, interkommunale virksomheter, stiftelser eller andre privatrettslige subjekter gis anledning til å anvende kommunens teknologiske infrastruktur, skal sikkerhetskravene i denne instruksen legges til grunn. 2 INFORMASJONSSIKKERHET I OSLO KOMMUNE 2.1 Mål og overordnede sikkerhetskrav Målet for informasjonssikkerhet i Oslo kommune er rett informasjon til rette vedkommende til rett tid. Kommunens overordnede krav til virksomhetene for å oppnå dette målet er som følger: 1. Informasjonssikkerhet er et kollektivt ansvar, men først og fremst et lederansvar som følger linjen. Dette innebærer at hver enkelt medarbeider har et personlig ansvar, mens ansvaret formelt sett påhviler virksomhetens øverste ledelse. 2. Tilfredsstillende sikkerhetsnivå skal etableres gjennom en fornuftig avveining mellom ulike tiltak for å sikre informasjonens kvalitet, tilgjengelighet og konfidensialitet. Tilgjengelighetsfremmende tiltak skal generelt tillegges like sterk vekt som tiltak for å sikre integritet og konfidensialitet. Blant alternative tiltak med tilstrekkelig sikkerhetsmessig verdi (nytte), bør det tiltak som har lavest kost/nytte-forhold velges (mest sikkerhet pr. krone). 3. Sikkerhetsarbeidet skal ivareta lover og forskrifter og kommunens øvrige regelverk og instrukser for behandling av informasjon samt hensynet til kommunale effektivitetskrav. 4. Sikkerhetsarbeidet skal rette særlig oppmerksomhet mot interne trusler. Interne trusler utgjør generelt en overveiende andel av en virksomhets truselbilde.
3 5. Sikkerhetsarbeidet skal omfatte både fysiske, systemtekniske og organisatoriske sikringstiltak. Tiltakene skal omfatte informasjonssystemenes omgivelser, systemene selv og kommunens personell (ansvarsfordeling/administrative rutiner.) 6. Sikkerhetstiltak skal forebygge, oppdage og reparere skade eller forringelse av informasjon forårsaket av uhell og feil såvel som overlagte handlinger. Det skal rettes fokus på å innarbeide sikkerhet i den enkelte medarbeiders tanke- og handlingsmønster, dvs. å skape en sikkerhetskultur. 7. Sikringsområder skal prioriteres basert på risiko- og sårbarhetsvurdering. Det skal foretas en løpende vurdering av trusler, skadesannsynlighet og konsekvenser. Risiko- og sårbarhetsvurderingen skal resultere i en rapport som skal oppbevares for videre bruk i det interne sikkerhetsarbeidet. Slike rapporter skal også vedlegges eventuelle konsesjonssøknader til Datatilsynet. (Oslo kommune er i henhold til Personopplysningsloven i all hovedsak meldepliktig, men opplysninger knyttet til barnevern er fremdeles konsesjonspliktig). 8. Den enkelte virksomhet må selv beskrive og iverksette nødvendige sikkerhetstiltak som en oppfølging av risiko- og sårbarhetsvurderingen. 9. Kommunens virksomheter skal etablere og dokumentere lokale instrukser og rutiner for ivaretakelse av informasjonssikkerheten. 10. Det skal etableres rutiner for internkontroll i samsvar med kravene i Personopplysningsloven. Egenkontroller/sikkerhetsrevisjoner skal utføres jevnlig og helst årlig og skal omfatte alle enheter som behandler personopplysninger i kommunen. Dersom sikkerhetsrevisjonen avdekker bruk av informasjonssystemet som ikke er tilfredsstillende, skal dette behandles som avvik. 2.2 Krav til fysisk, systemteknisk og organisatorisk sikring Virksomhetene skal etablere et tilfredsstillende sikkerhetsnivå for såvel fysiske som systemtekniske og organisatoriske forhold. De overordnede krav til sikkerhet i kommunens virksomheter på disse områdene, er som følger: Fysiske sikringstiltak
4 Det skal treffes nødvendige tiltak mot uautorisert adgang til virksomhetens lokaliteter. IT-utstyr, arkiv og annet som lagrer informasjon skal sikres spesielt for å avverge og redusere skade som følge av brann, vannlekkasje, strømstans, m.v. IT-utstyr skal plasseres slik at det er utilgjengelig for uvedkommende. Informasjon skal oppbevares og transporteres slik at den ikke er tilgjengelig for uvedkommende, skades eller går tapt. Kontorer som kan inneholde sensitive opplysninger, datarom/arkivrom og andre kritiske rom skal være avlåst når de ikke er bemannet. Systemtekniske sikringstiltak Det skal rutinemessig tas sikkerhetskopi (backup) av program og data på felles servere og på felles systemer. Det skal foretas stikkprøvekontroller av at backup-/reservekopiene er korrekte og fungerer som forventet ved behov for gjenoppretting (restore). Alle IT-systemer som benyttes i kommunens virksomheter skal inneholde mekanismer for logisk tilgangskontroll. IT-systemene skal inneholde funksjoner for logging i den utstrekning det ansees nødvendig for å kunne forebygge, oppdage og redusere skade som følge av misbruk og feil. o Registrering av uautorisert bruk, forsøk på slik bruk og eventuelle andre hendelser som har eller kan ha betydning for informasjonssikkerheten, skal lagres i minst 3 måneder. Det skal foretas nødvendig kontroll mot ondsinnet kode som datavirus etc. Ved salg, kassering eller annen avhending av IT-utstyr skal det foretas forsvarlig sletting av data. Dette etter at en vurdering av om IT-utstyret inneholder bevaringsverdig dokumentasjon/data som skal flyttes, evt. klargjøres for avlevering til Byarkivet, er gjort. Kommunens virksomheter skal etablere tilfredsstillende kommunikasjonssikkerhet: o Kommunikasjonstilknytninger mellom eksterne leverandører og virksomhetene via OKDN skal kun etableres når tillatelse til dette er gitt av SRE. o Mellom sikker sone (dvs. der det foretas behandling av sensitive personopplysninger) og intern sone (der det foretas behandling av opplysninger som ikke er personsensitive) skal det være en sikkerhetsbarriere som bl.a. skal sikre at brukere i intern eller i ekstern sone ikke har tilgang til IT-systemer og informasjoner i sikret sone. o Mellom sikker sone og eksternt nett skal det minst være 2 sikkerhetsbarrierer; det er etablert sentral barrieresikring i OKDN-nettet med kryptering av sensitiv
5 informasjon som sendes over OKDN. Det er lignende sikringskrav til internkommunikasjon dersom denne (ifølge Datatilsynet) skjer mellom bygg hvor avstanden er lengre enn ca. 300 m. Organisatoriske sikringstiltak Ved planlegging av nye, lokale IT-systemer skal krav knyttet til informasjonssikkerhet vurderes. Ved større anskaffelser, skal krav til systemtekniske tiltak innarbeides i den kravspesifikasjon som følger tilbudsforespørselen. For alle IT-anvendelser i Oslo kommune, også virksomhetsspesifikke, skal standardløsninger som hovedregel velges. For øvrig skal rammekontrakter og vedtatte felles og sektorvise standardiseringskrav mht. teknologi og IT-anvendelser følges. Pålegg knyttet til bruk av felles rammeavtaler med leverandører innen ulike produktog tjenesteområder skal følges. Det skal være etablert virksomhetsspesifikke instrukser/rutiner for administrasjon av alle IT-systemer. For felles- og sektorsystemer, skal all systemadministrasjon koordineres av systemansvarlig instans for disse systemene. Det skal være etablert rutiner for å sikre en enkel, effektiv og sikker drift av IT-systemene, uansett om driftsoppgavene utføres internt eller eksternt. Det skal føres oversikt (inventarliste) over alt IT-utstyr og bruken av dette. Det skal likeledes være etablert rutiner for administrasjon av programvarelisenser. For hvert system skal det utarbeides og vedlikeholdes en datamodell som beskriver hvor dataene kommer fra, hvilke bearbeidende prosesser de inngår i og hvor de avgis. Det skal føres oversikt over alle personopplysninger som behandles i virksomheten og tiltak for å sikre tilfredsstillende behandling av disse skal dokumenteres. Denne dokumentasjonen skal være tilgjengelig for de den måtte angå. Personopplysninger skal uansett ikke behandles før evt. nødvendig samtykke er innhentet iht. kravene i personopplysningslovens 8. Det skal være etablert rutiner for rapportering, registrering og oppfølging av avvik og feilsituasjoner. Det skal være utarbeidet en plan over tiltak som skal iverksettes dersom det oppstår en situasjon som kan eller er i ferd med å utvikle seg til et større uhell eller en katastrofe for virksomheten og for IT-systemene. Medarbeidere på alle nivåer skal gjennomgå behovstilpasset opplæring i bruk av IT innen eget arbeidsområde generelt og informasjonssikkerhet spesielt. Alle eksterne rådgivere, konsulenter og leverandører av IT-tjenester skal gjøres kjent med de reguleringer IT-området i virksomheten er underlagt. Oppdragstaker må forplikte seg til å etterkomme disse generelt, og dokumentere at krav til informasjonssikkerhet spesielt, er tilfredsstilt. Taushetserklæring skal undertegnes før arbeid igangsettes.
6 Det skal være utarbeidet rutiner for administrasjon av den taushetsplikt som påhviler kommunens ansatte og eksterne oppdragstakere. Det skal være utarbeidet rutiner for håndtering av innsynsrett i forhold til innsynsbegjæringer knyttet til personopplysningslovens 18, forvaltningslovens kap. IV og V og offentlighetsloven. Alvorlige brudd på sikkerhetsbestemmelsene skal rapporteres til nærmeste overordnede.