Rundskriv Vedtatt av: Vedtatt: 20.06.2002 Erstatter: Saksnr: Brv 1316/02 Eier/ Byrådsavdeling for finans og utvikling Ikrafttredelse: 20.06.2002 ansvarlig: Versjon: 1 Bemyndiget: /Utviklings- og kompetanseetaten Dok.nr: R-18/2002 REVIDERT INSTRUKS FOR INFORMASJONSSIKKERHET Oslo kommune har hatt retningslinjer for informasjonssikkerhet siden 1982. Revidert Instruks for informasjonssikkerhet i Oslo kommune med veiledning ble vedtatt av byrådet den 20.06.2002 og gjøres gjeldende for alle kommunale virksomheter og foretak fra og med denne dato. Den reviderte instruksen med veiledning erstatter med det Instruks for informasjonssikkerhet i Oslo kommune av 03.07.1997, rundskriv 26/97. Byrådets vedtakskompetanse i denne sammenheng er hjemlet i IT-reglement for Oslo kommune 4, videredelegert byråden for service- og organisasjonsutvikling ved byrådssak 1194/1998. Av hensyn til sakens betydning på tvers av de respektive byrådenes arbeidsområder, ble saken allikevel fremmet for byrådet. Byråden for service- og organisasjonsutvikling er gitt myndighet til å gjøre mindre endringer og tilføyelser til revidert Instruks for informasjonssikkerhet i Oslo kommune med veiledning. Revisjon av Instruks for informasjonssikkerhet hadde sin bakgrunn i et ønske om harmonisering med personopplysningsloven av 01.01.2001 med forskrifter og sikkerhetsloven av 01.07.2001. I tillegg til harmonisering med de nevnte lover og forskrifter, er den tidligere instruksen nå delt inn i instruks og veiledning for å klargjøre hva som er absolutte krav og hva som er hjelp i form av kommentarer. Det gjøres i denne omgang også oppmerksom på at det i forskrift til personopplysningsloven Kap. 10 sies bla. For behandlinger som foretas i medhold av konsesjon etter personregisterloven 9, og som er melde- eller konsesjonspliktig etter personopplysningsloven, er fristen for å sende melding eller søke konsesjon 1. januar 2003. Instruksens innhold og omfang Instruksen angir minimumskrav til informasjonssikkerhet for manuell såvel som for elektronisk informasjon i Oslo kommune. Dette omfatter fysisk-, systemteknisk- og organisatorisk sikring. Fysisk sikring innebærer blant annet å sikre informasjonssystemenes omgivelser mot tyveri og brann. Systemteknisk sikring innebærer blant annet å sikre teknologikomponentene (ITutstyr, kommunikasjonslinjer og -utstyr, programvare) og informasjonen ved hjelp av program- eller maskintekniske sikkerhetsmekanismer/-barrierer. Organisatorisk sikring fokuserer på det menneskelige element og det ansvar ledere og medarbeidere har i sikkerhetssammenheng. Sikringstiltakene kan være knyttet til
administrative rutiner for behandling av informasjon, ansvars- og arbeidsdeling, opplæring/motivasjon og kontroll/sanksjoner. Harmoniseringen med personopplysningsloven innebærer blant annet ivaretakelse av krav til internkontroll/revisjon på sikkerhetsområdet, implementering av behandlingsansvarlig som nytt begrep og endringer i forhold til melde- og konsesjonsplikt. Ved behov for skjerming av informasjon som kan være utsatt for spionasje, sabotasje eller terrorhandlinger, er det henvist til den nye sikkerhetsloven. Internkontroll/sikkerhetsrevisjon innebærer en etterprøving av virksomhetens sikkerhetsarbeid for å verifisere at de sikkerhetstiltak som er besluttet etablert, faktisk er iverksatt og at de fungerer etter sin hensikt. Behandlingsansvarlig er definert som den som bestemmer formålet med behandlingen av personopplysninger og hvilke hjelpemidler som skal brukes. Denne vil være formelt ansvarlig for at informasjon behandles og forvaltes i henhold til lover og forskrifter. Hovedregelen for melde- og konsesjonsplikt er nå at behandling av personopplysninger etter personopplysningsloven er meldepliktig, mens behandling av sensitive opplysninger er konsesjonspliktig. Vedlagt følger et eksemplar av revidert instruks for informasjonssikkerhet i Oslo kommune med veiledning. Instruksen med veiledning er også å finne på kommunens intranett under: http://oslo.kommune.no/dok/internt/sou/sikkerhetsinstruks/default.asp. Wenche Hagan Kommunaldirektør Helene Solbakken Seksjonssjef 2
INSTRUKS FOR INFORMASJONSSIKKERHET I OSLO KOMMUNE 1 BAKGRUNN 1.1 Formål Denne instruksen fastlegger Oslo kommunes overordnede krav til beskyttelse av informasjon som samles inn, lagres, bearbeides, overføres og formidles såvel manuelt som elektronisk ved hjelp av IKT-systemer. Instruksen tar i spesiell grad hensyn til kravene til organisatoriske, fysiske og systemtekniske sikkerhetstiltak i forskriftene til Personopplysningsloven (POL). Instruksen er også harmonisert med anbefalingene i den internasjonale sikkerhetsstandarden ISO 17799 1. Kravene til informasjonssikkerhetstiltak i denne instruks skal tjene som basis for det praktiske arbeid med informasjonssikkerhet i den enkelte virksomhet. For å lette dette arbeidet er det utviklet en veiledning til Instruksen og et sentralt malverk for informasjonssikkerhet. Instruksen, veiledningen og malverket utgjør et felles rammeverk for det praktiske arbeidet med informasjonssikkerhet i kommunens virksomheter, og skal benyttes a) til å skape en felles sikkerhetskultur gjennom økt forståelse av behovet for informasjonssikkerhet b) som grunnlag for å etablere lokale sikkerhetsregelverk c) som utgangspunkt for å iverksette lokale fysiske, organisatoriske og systemtekniske sikkerhetstiltak d) som grunnlag for meldinger og konsesjonssøknader til Datatilsynet 1.2 Gyldighetsområde Instruksen har gyldighet for samtlige virksomheter i Oslo kommune. Kommunerevisjonen BYSTYRET Bystyrets organer og sekretariat 25 bydelsutvalg BYRÅDET OG BYRÅDSAVDELINGER 25 bydelsforvaltninger Etater, bedrifter.. Figur 1.1 Organisasjonskart for Oslo Kommune 1 Den internasjonale standardiseringsorganisasjonen 3
I den grad aksjeselskaper, kommunale foretak, interkommunale virksomheter, stiftelser eller andre privatrettslige subjekter gis anledning til å anvende kommunens teknologiske infrastruktur, skal sikkerhetskravene i denne instruksen legges til grunn. 2 INFORMASJONSSIKKERHET I OSLO KOMMUNE 2.1 Mål og overordnede sikkerhetskrav Målet for informasjonssikkerhet i Oslo kommune er rett informasjon til rette vedkommende til rett tid. Kommunens overordnede krav til virksomhetene for å oppnå dette målet er som følger: 1. Informasjonssikkerhet er et kollektivt ansvar, men først og fremst et lederansvar som følger linjen. Dette innebærer at hver enkelt medarbeider har et personlig ansvar, mens ansvaret formelt sett påhviler virksomhetens øverste ledelse. 2. Tilfredsstillende sikkerhetsnivå skal etableres gjennom en fornuftig avveining mellom ulike tiltak for å sikre informasjonens kvalitet, tilgjengelighet og konfidensialitet. Tilgjengelighetsfremmende tiltak skal generelt tillegges like sterk vekt som tiltak for å sikre integritet og konfidensialitet. Blant alternative tiltak med tilstrekkelig sikkerhetsmessig verdi (nytte), bør det tiltak som har lavest kost/nytte-forhold velges (mest sikkerhet pr. krone). 3. Sikkerhetsarbeidet skal ivareta lover og forskrifter og kommunens øvrige regelverk og instrukser for behandling av informasjon samt hensynet til kommunale effektivitetskrav. 4. Sikkerhetsarbeidet skal rette særlig oppmerksomhet mot interne trusler. Interne trusler utgjør generelt en overveiende andel av en virksomhets truselbilde. 5. Sikkerhetsarbeidet skal omfatte både fysiske, systemtekniske og organisatoriske sikringstiltak. Tiltakene skal omfatte informasjonssystemenes omgivelser, systemene selv og kommunens personell (ansvarsfordeling/administrative rutiner.) 6. Sikkerhetstiltak skal forebygge, oppdage og reparere skade eller forringelse av informasjon forårsaket av uhell og feil såvel som overlagte handlinger. Det skal rettes fokus på å innarbeide sikkerhet i den enkelte medarbeiders tanke- og handlingsmønster, dvs. å skape en sikkerhetskultur. 4
7. Sikringsområder skal prioriteres basert på risiko- og sårbarhetsvurdering. Det skal foretas en løpende vurdering av trusler, skadesannsynlighet og konsekvenser. Risiko- og sårbarhetsvurderingen skal resultere i en rapport som skal oppbevares for videre bruk i det interne sikkerhetsarbeidet. Slike rapporter skal også vedlegges eventuelle konsesjonssøknader til Datatilsynet. (Oslo kommune er i henhold til Personopplysningsloven i all hovedsak meldepliktig, men opplysninger knyttet til barnevern er fremdeles konsesjonspliktig). 8. Den enkelte virksomhet må selv beskrive og iverksette nødvendige sikkerhetstiltak som en oppfølging av risiko- og sårbarhetsvurderingen. 9. Kommunens virksomheter skal etablere og dokumentere lokale instrukser og rutiner for ivaretakelse av informasjonssikkerheten. 10. Det skal etableres rutiner for internkontroll i samsvar med kravene i Personopplysningsloven. Egenkontroller/sikkerhetsrevisjoner skal utføres jevnlig og helst årlig og skal omfatte alle enheter som behandler personopplysninger i kommunen. Dersom sikkerhetsrevisjonen avdekker bruk av informasjonssystemet som ikke er tilfredsstillende, skal dette behandles som avvik. 2.2 Krav til fysisk, systemteknisk og organisatorisk sikring Virksomhetene skal etablere et tilfredsstillende sikkerhetsnivå for såvel fysiske som systemtekniske og organisatoriske forhold. De overordnede krav til sikkerhet i kommunens virksomheter på disse områdene, er som følger: Fysiske sikringstiltak Det skal treffes nødvendige tiltak mot uautorisert adgang til virksomhetens lokaliteter. IT-utstyr, arkiv og annet som lagrer informasjon skal sikres spesielt for å avverge og redusere skade som følge av brann, vannlekkasje, strømstans, m.v. IT-utstyr skal plasseres slik at det er utilgjengelig for uvedkommende. Informasjon skal oppbevares og transporteres slik at den ikke er tilgjengelig for uvedkommende, skades eller går tapt. Kontorer som kan inneholde sensitive opplysninger, datarom/arkivrom og andre kritiske rom skal være avlåst når de ikke er bemannet. 5
Systemtekniske sikringstiltak Det skal rutinemessig tas sikkerhetskopi (backup) av program og data på felles servere og på felles systemer. Det skal foretas stikkprøvekontroller av at backup- /reservekopiene er korrekte og fungerer som forventet ved behov for gjenoppretting (restore). Alle IT-systemer som benyttes i kommunens virksomheter skal inneholde mekanismer for logisk tilgangskontroll. IT-systemene skal inneholde funksjoner for logging i den utstrekning det ansees nødvendig for å kunne forebygge, oppdage og redusere skade som følge av misbruk og feil. o Registrering av uautorisert bruk, forsøk på slik bruk og eventuelle andre hendelser som har eller kan ha betydning for informasjonssikkerheten, skal lagres i minst 3 måneder. Det skal foretas nødvendig kontroll mot ondsinnet kode som datavirus etc. Ved salg, kassering eller annen avhending av IT-utstyr skal det foretas forsvarlig sletting av data. Dette etter at en vurdering av om IT-utstyret inneholder bevaringsverdig dokumentasjon/data som skal flyttes, evt. klargjøres for avlevering til Byarkivet, er gjort. Kommunens virksomheter skal etablere tilfredsstillende kommunikasjonssikkerhet: o Kommunikasjonstilknytninger mellom eksterne leverandører og virksomhetene via OKDN skal kun etableres når tillatelse til dette er gitt av SRE. o Mellom sikker sone (dvs. der det foretas behandling av sensitive personopplysninger) og intern sone (der det foretas behandling av opplysninger som ikke er personsensitive) skal det være en sikkerhetsbarriere som bl.a. skal sikre at brukere i intern eller i ekstern sone ikke har tilgang til IT-systemer og informasjoner i sikret sone. o Mellom sikker sone og eksternt nett skal det minst være 2 sikkerhetsbarrierer; det er etablert sentral barrieresikring i OKDN-nettet med kryptering av sensitiv informasjon som sendes over OKDN. Det er lignende sikringskrav til internkommunikasjon dersom denne (ifølge Datatilsynet) skjer mellom bygg hvor avstanden er lengre enn ca. 300 m. Organisatoriske sikringstiltak 6
Ved planlegging av nye, lokale IT-systemer skal krav knyttet til informasjonssikkerhet vurderes. Ved større anskaffelser, skal krav til systemtekniske tiltak innarbeides i den kravspesifikasjon som følger tilbudsforespørselen. For alle IT-anvendelser i Oslo kommune, også virksomhetsspesifikke, skal standardløsninger som hovedregel velges. For øvrig skal rammekontrakter og vedtatte felles og sektorvise standardiseringskrav mht. teknologi og IT-anvendelser følges. Pålegg knyttet til bruk av felles rammeavtaler med leverandører innen ulike produkt- og tjenesteområder skal følges. Det skal være etablert virksomhetsspesifikke instrukser/rutiner for administrasjon av alle IT-systemer. For felles- og sektorsystemer, skal all systemadministrasjon koordineres av systemansvarlig instans for disse systemene. Det skal være etablert rutiner for å sikre en enkel, effektiv og sikker drift av ITsystemene, uansett om driftsoppgavene utføres internt eller eksternt. Det skal føres oversikt (inventarliste) over alt IT-utstyr og bruken av dette. Det skal likeledes være etablert rutiner for administrasjon av programvarelisenser. For hvert system skal det utarbeides og vedlikeholdes en datamodell som beskriver hvor dataene kommer fra, hvilke bearbeidende prosesser de inngår i og hvor de avgis. Det skal føres oversikt over alle personopplysninger som behandles i virksomheten og tiltak for å sikre tilfredsstillende behandling av disse skal dokumenteres. Denne dokumentasjonen skal være tilgjengelig for de den måtte angå. Personopplysninger skal uansett ikke behandles før evt. nødvendig samtykke er innhentet iht. kravene i personopplysningslovens 8. Det skal være etablert rutiner for rapportering, registrering og oppfølging av avvik og feilsituasjoner. Det skal være utarbeidet en plan over tiltak som skal iverksettes dersom det oppstår en situasjon som kan eller er i ferd med å utvikle seg til et større uhell eller en katastrofe for virksomheten og for IT-systemene. Medarbeidere på alle nivåer skal gjennomgå behovstilpasset opplæring i bruk av IT innen eget arbeidsområde generelt og informasjonssikkerhet spesielt. Alle eksterne rådgivere, konsulenter og leverandører av IT-tjenester skal gjøres kjent med de reguleringer IT-området i virksomheten er underlagt. Oppdragstaker må forplikte seg til å etterkomme disse generelt, og dokumentere at krav til informasjonssikkerhet spesielt, er tilfredsstilt. Taushetserklæring skal undertegnes før arbeid igangsettes. Det skal være utarbeidet rutiner for administrasjon av den taushetsplikt som påhviler kommunens ansatte og eksterne oppdragstakere. 7
Det skal være utarbeidet rutiner for håndtering av innsynsrett i forhold til innsynsbegjæringer knyttet til personopplysningslovens 18, forvaltningslovens kap. IV og V og offentlighetsloven. Alvorlige brudd på sikkerhetsbestemmelsene skal rapporteres til nærmeste overordnede. 8
VEILEDNING til Instruks for informasjonssikkerhet i Oslo kommune Mai 2002 9
INNHOLDSFORTEGNELSE 1 INNLEDNING 12 2 HVORDAN OPPNÅ TILSTREKKELIG INFORMASJONSSIKKERHET 13 2.1 Risiko- og sårbarhetsvurderinger 13 2.2 Internkontroll/sikkerhetsrevisjon 15 2.3 Sikkerhetstiltak 15 2.4 Krav til sikkerhetstiltak 16 3 KRAV TIL FYSISK SIKRING 17 3.1 Adgangskontroll 17 3.2 Sikring mot brann, vannlekkasje og strømstans 18 3.3 Utstyrsplassering 19 3.4 Utstyrsmerking 19 3.5 Informasjonshåndtering 19 4 KRAV TIL SYSTEMTEKNISK SIKRING 21 4.1 Sikkerhetskopiering 21 4.2 Aktivitetslogging 21 4.3 Sikringstiltak mot ondsinnet kode (datavirus etc.) 22 4.4 Sletting av data ved avhending av IT-utstyr 22 4.5 Logisk tilgangskontroll 22 4.5.1 Brukeridentifikasjon 23 4.5.2 Autentisering og autorisasjonskontroll 23 4.6 Kommunikasjonssikring 24 4.6.1 Generelle regler 24 4.6.2 Internett 24 5 KRAV TIL ORGANISATORISK SIKRING 26 5.1 Ansvar for informasjonsikkerheten 26 5.1.1 Byrådet 26 5.1.2 Byrådsavdeling for service- og organisasjonsutvikling, (SOU) 26 5.1.3 Systemeier for sektor- og fellessystemer 26 5.1.4 Systemansvarlig instans, (SAI), for sektor- og fellessystemer 26 5.1.5 Byarkivaren 29 5.1.6 Den enkelte virksomhet 29 5.2 Administrative og driftsmessige sikringstiltak 31 5.2.1 Systemplanlegging og -anskaffelse 31 5.2.2 Systemadministrasjon 32 10
5.2.3 Ressursadministrasjon 32 5.2.4 Dataadministrasjon 32 5.2.5 Avviksbehandling/hendelsesregistrering 32 5.2.6 Katastrofe-/avbruddsplan 33 5.3 Personellsikkerhet 34 5.3.1 Kompetanseutvikling 34 5.3.2 Krav til eksterne oppdragstakere 34 5.3.3 Taushetsplikt 34 5.3.4 Innsynsrett 35 5.3.5 Tiltak ved brudd på sikkerhetsbestemmelsene 36 VEDLEGG 1 Lover, forskrifter og regler 38 Generelle lover 38 Generelle regler og forskrifter 38 Interne regler og retningslinjer for Oslo kommune 39 VEDLEGG 2 Sikkerhetsrelaterte ord og definisjoner 40 11
1 Innledning God informasjonssikkerhet knyttet til såvel papirbaserte som elektroniske dokumenter og annen elektronisk eller muntlig formidlet informasjon vil være en grunnleggende betingelse for en effektiv og pålitelig kommunal forvaltning og for at lovverket skal etterleves. God informasjonssikkerhet innebærer rett informasjon til rette vedkommende til rett tid; dette stiller store krav til at informasjonen sikres den nødvendige grad av kvalitet, konfidensialitet og tilgjengelighet. Kravene i Oslo kommunes Instruks for informasjonssikkerhet skal tjene som basis for det praktiske arbeid med informasjonssikkerhet i den enkelte virksomhet. For å lette dette arbeidet er denne veiledning til instruksen samt et sentralt malverk for informasjonssikkerhet utviklet. Disse inneholder bl.a. praktiske eksempler på gjennomføring av risikovurderinger, eksempler på avviksrutiner, hvordan meldeskjema og konsesjonssøknader til Datatilsynet skal fylles ut, og en rekke andre prosedyrer, oversikter og rutiner. (Malverket vil være tilgjengelig på kommunens intranett.) I denne Veiledning til Instruks for informasjonssikkerhet i Oslo kommune er det skissert forslag til sikkerhetstiltak for virksomhetenes arbeid med å etablere og opprettholde en tilfredsstillende informasjonssikkerhet. 12
2 Hvordan oppnå tilstrekkelig informasjonssik kerhet En stadig større avhengighet av IKT i Oslo kommune innebærer også at kommunen blir mer sårbar for ulike trusler som datasvindel/hacking, datavirus, sensitiv informasjon på avveie, at viktig informasjon sendes til feil person, tyveri, brann, osv. Å sikre seg 100% mot slike og lignende trusler vil ikke være mulig, men gjennom et bevisst og systematisk fokus på arbeidet med informasjonssikkerhet, vil sannsynligheten og muligheten for at ulike trusler skal realiseres, bli betydelig redusert. Et viktig moment i dette arbeidet vil være en metodisk vurdering av sikkerhetsrisiko/-svakheter i de respektive virksomheter for å få klarlagt hvor sikkerhetstiltak bør settes inn; i malverket finnes eksempler på hvordan resultater fra dette arbeidet kan rapporteres. Personopplysningsloven krever at slike vurderinger skal gjennomføres. En risikovurdering vil gi en viktig pekepinn over hvilke sannsynlige trusler virksomheten står overfor, hvilke mulige skader truslene kan medføre dersom de oppstår - og hvilke sikkerhetstiltak som mangler. Ressursene som brukes på å iverksette tiltak bør være resultat av en avveiing av hvilke sikkerhetstiltak som må iverksettes og hvilken risiko virksomheten godt kan leve med. Sikkerhetstiltakene vil normalt være av både fysisk, systemteknisk og organisatorisk karakter; enkelte av disse vil ha som formål å forebygge skade - andre å oppdage eller reparere. 2.1 Risiko- og sårbarhetsvurderinger Sikkerhet innebærer håndtering av risiko. Risiko- og sårbarhetsvurdering innebærer en vurdering av effektiviteten av iverksatte sikringstiltak i forhold til mulige trusler/svakheter, og en beskrivelse av tiltak dersom sikkerheten ikke er tilfredsstillende ivaretatt. Sikkerhetstiltakene skal stå i rimelig forhold til antatt sannsynlighet og konsekvens av mulige sikkerhetsbrudd. Eksempler på slike brudd kan være manglende kompetanse hos personell, svakheter knyttet til IT-systemenes tilgangskontroll, manglende eller for dårlig adgangskontroll, manglende brannsikkerhet, feil eller mangler i IT-systemer, dårlig sikkerhet i forhold til bruk av Internett, manglende kontroll i forhold til datavirus, osv. I Personopplysningsloven (POL) m/forskrifter kreves det at risiko- og sårbarhetsvurderinger (også benevnt ROS-analyser) skal gjennomføres før behandling av personopplysninger settes i gang og alltid dersom det skjer endringer som avviker fra vilkårene i tidligere gitte konsesjoner og meldinger. Her dreier det seg om endringer som har eller vil kunne ha innvirkning på sikkerheten, herunder endret teknologi og endret drifts- og bruksmønster. Formålet med slike vurderinger er primært å avdekke personvernrisiko, f.eks. forhold knyttet til liv/helse, økonomi eller anseelse for enkeltmennesker. Resultatet av risiko- og sårbarhetsvurderingen skal benyttes som del av grunnlaget for å velge hvilke konkrete sikkerhetstiltak som må etableres i virksomheten. 13
Datatilsynet understreker at risiko- og sårbarhetsvurderinger ikke bør være mer omfattende eller formaliserte enn strengt tatt nødvendig, og de oppfordrer således virksomhetene til å bruke sunn fornuft i dette arbeidet. Risikovurdering innebærer kartlegging og vurdering av følgende forhold: Hvilke personopplysninger og øvrige verdier må skjermes mot uvedkommende og sikres nødvendig konfidensialitet, integritet og tilgjengelighet? (Uvedkommende kan i denne sammenheng også være egne ansatte.) Er disse opplysningene og verdiene tilfredsstillende sikret i dag i forhold til relevante interne svakheter/trusler og eksterne trusler? Stikkord: er det f.eks. mulighet for at uvedkommende kan ta seg inn til områder/kontor hvor sensitive eller taushetsbelagte personopplysninger behandles/lagres? Hva er muligheten for datainnbrudd/hacking, datavirus, etc.? Kan viktig informasjon komme på avveie eller i hendene på uvedkommende på annen måte? Er dagens drifts- og nettverksløsning(er) i samsvar med sikkerhetskravene i Instruks for informasjonssikkerhet i Oslo kommune og øvrig lov-/regelverk? Er brannsikkerheten god nok? Har vi nødvendig kontroll med innleid personell (teknikere, konsulenter, renhold, osv.)? Er det tilfredsstillende rutiner knyttet til makulering av følsomme utskrifter og dokumenter? Er skrivere etc. plassert slik at uvedkommende ikke har adgang til dem? Hvor lang nedetid på våre IT-systemer kan vi akseptere/leve med før konsekvensene blir (for) store? Følger medarbeiderne de etablerte sikkerhetskrav og -rutiner? Osv. Hvor sannsynlig (svært høy, høy, moderat, lav) vil det være at sikkerhetssvikt (feil, uhell, data på avveie etc.) kan inntreffe i vår virksomhet og hvilke mulige negative følger/konsekvenser (katastrofal, stor, moderat eller liten) kan dette få? Hvilke sikkerhetsmessige forbedringer må iverksettes for å redusere de sikkerhetssvakheter som måtte avdekkes og for å tilfredsstille kommunens og øvrige, lovpålagte sikkerhetskrav? Hvilket risikonivå kan vi akseptere å leve med? Hvilke kostnader vil de aktuelle forbedringer kunne innebære og vil det være gjennomførbart eller må vi vurdere alternative og rimeligere sikkerhetsløsninger? Definér så klart som mulig hvilke områder og hvilke elementer som skal vurderes. Forkast de trusler som ansees som irrelevante og konsentrer arbeidet om relevante trusler/forhold. Det bør utpekes en intern ansvarlig for dette arbeidet ( prosjektleder ). Det tas stilling til hvilke personer/funksjoner som skal være med i vurderingen for at den skal kunne gi et bredest og mest mulig realistisk bilde av situasjonen. Arbeidet vil dels skje gjennom intervju med relevante personer (ledere, viktige brukere, IT-ansvarlig etc.) og dels gjennom vurderinger og undersøkelser. Risiko- og sårbarhetsvurderingen skal resultere i en rapport som skal oppbevares for videre bruk i det interne sikkerhetsarbeidet. Slike rapporter skal også vedlegges eventuelle konsesjonssøknader til Datatilsynet. (Oslo kommune er i henhold til Personopplysningsloven i all hovedsak meldepliktig, men opplysninger knyttet til barnevern er fremdeles konsesjonspliktig). 14
2.2 Internkontroll/sikkerhetsrevisjon Sikkerhetsrevisjon innebærer en etterprøving av virksomhetens sikkerhetsarbeid for å verifisere at de sikkerhetstiltak som er besluttet etablert, faktisk er iverksatt og at de fungerer etter sin hensikt. Revisjonen skal omfatte vurdering av så vel fysiske som organisatoriske og systemtekniske sikkerhetsforhold. I dette arbeidet kan eksempelvis verktøyet ISAP benyttes. Ved sikkerhetsrevisjon av felles- og sektorsystemer, vil systemansvarlig instans være ansvarlig for revisjon av sentrale komponenter mens virksomheten selv er ansvarlig for revisjon av den lokale implementasjonen. Ifølge Personopplysningsloven m/forskrifter skal sikkerhetsrevisjoner gjennomføres jevnlig og helst årlig og skal omfatte alle enheter som behandler personopplysninger i kommunen. Dersom sikkerhetsrevisjonen avdekker bruk av informasjonssystemet som ikke er forutsatt eller tilfredsstillende, skal dette behandles som avvik. (For avviksbehandling, se kap. 5.2.5.) 2.3 Sikkerhetstiltak Med sikkerhetstiltak menes her tiltak som settes i verk for å beskytte informasjonssystemet (dvs. program, data og IT-utstyr/-infrastruktur m/nettverk) mot såvel overlagt som tilfeldig skade eller forringelse med hensyn til sikkerhetsaspektene integritet, konfidensialitet og tilgjengelighet. Iverksetting av sikkerhetstiltak vil som tidligere nevnt, være basert på en gjennomført risikovurdering og tiltakene kan inndeles i følgende kategorier: fysisk sikring systemteknisk sikring organisatorisk sikring innebærer å sikre informasjonssystemenes omgivelser mot tyveri, brann etc. innebærer å sikre teknologikomponentene (IT-utstyr, kommunikasjonslinjer og -utstyr, programvare osv.) og informasjonen (registre osv.) ved hjelp av program- eller maskintekniske sikkerhetsmekanismer/-barrierer. fokuserer på det menneskelige element og det ansvar ledere og medarbeidere har i sikkerhetssammenheng. Sikringstiltakene kan være knyttet til administrative rutiner for behandling av informasjon, ansvars- og arbeidsdeling, opplæring/motivasjon, kontroll/sanksjoner, osv. Uansett kategori skal tiltakene ha som formål å forebygge, oppdage eller reparere skade eller forringelse. Mens tiltak mot overlagt skade forutsetter kontroll og sanksjoner, er oppmerksomhetsøkende og kompetanseutviklende tiltak viktige redskaper for å håndtere problemer som skyldes feil eller uhell. Arbeidet med informasjonssikkerhet har tradisjonelt vært konsentrert om tiltak for å sikre informasjonens konfidensialitet, spesielt med tanke på vern av sensitive og/eller taushetsbalagte personopplysninger. For Oslo kommune har informasjonens kvalitet og tilgjengelighet minst like stor betydning. Tilgjengelighet innebærer at aktuell informasjon er 15
tilgjengelig for alle medarbeidere med tjenstlig behov, samtidig som brukerne av virksomhetens tjenester gis tilfredsstillende service og informasjon. Dersom arbeidsstasjoner stilles til rådighet for allmennheten, må utfordringer som sikkerheten for at kun autorisert aksess til de forskjellige datasystemer/registre er mulig, at ikke brukerne på noen måte kan misbruke virksomhetens identitet og sikkerheten for at ikke senere bruker kan få tilgang til data fra tidligere bruker, ivaretas. Tilgjengelighet forutsetter dessuten at dokumentasjon av vesentlig forvaltningsmessig, rettslig eller kulturell/historisk verdi blir bevart og forvaltet slik at den er tilgjengelig også for ettertiden. En større vektlegging av integritet/kvalitet og tilgjengelighet harmonerer med retningslinjene i sikkerhetsstandarden ISO 17799 og kravene i Personopplysningsloven. 2.4 Krav til sikkerhetstiltak Kommunens virksomheter skal, med utgangspunkt i foreliggende instruks, denne veiledning og malverket, etablere lokale instrukser og rutiner for ivaretakelse av informasjonssikkerheten i egen virksomhet. Dette skal dokumenteres og være en del av virksomhetens internkontrollsystem. Systemeiere for sektor- og fellessystemer vil ved behov også etablere særskilte regler, instrukser og rutiner for ivaretakelse av informasjonssikkerheten i og rundt kommunens felles IT-systemer og infrastruktur. Pålegg om å gjennomføre særskilte tiltak kan gis av overordnet kommunal myndighet (byrådet eller systemeier for sektor- eller fellessystem) eller i form av lov eller forskrift. Dersom det ikke foreligger slikt pålegg, skal valg av sikkerhetstiltak ta utgangspunkt i virksomhetsspesifikke forhold mht. trusselbilde, risiko og sårbarhet samt kost/nytteaspekter. 16
3 KRAV TIL FYSISK SIKRING Formålet med de fysiske sikringstiltak generelt i Oslo kommune er: å verne om liv og helse til ansatte, klienter og andre som måtte befinne seg i kommunens lokaler å sikre eiendeler og verdier som kommunen forvalter eller formidler, herunder bygninger, lokaler, inventar, IT-utstyr og annet utstyr, mot tap eller verdiforringelse å sikre mot tap av såvel papirbaserte som elektroniske dokumenter og annen elektronisk informasjon gjennom tyveri etc. å hindre eller forsinke inntrenger eller annen uautorisert adgang gjennom tilfredsstillende låsemekanismer og alarmsystemer Arealer, lokaler eller eiendeler skal ha tilstrekkelig fysisk sikring. Kommunens lokaler skal imidlertid i nødvendig grad også være tilgjengelig for tjenestebrukere og besøkende. Samtidig må kommunens brukere og egne ansatte kunne stole på at følsomme opplysninger om dem selv er sikret på tilfredsstillende måte. Omfanget av de fysiske sikringstiltak vil være avhengig av mulige/aktuelle trusler og risiko, samt aktiviteten på stedet. Ansvaret for at nødvendige fysiske sikringstiltak vurderes og iverksettes på kommunens tjenestesteder følger linjen. 3.1 Adgangskontroll Følgende retningslinjer gjelder for adgangskontroll i kommunens virksomheter: ikke-ansatt personell skal som hovedregel ikke oppholde seg uten tilsyn i lokaler som ikke er åpne for publikum, klienter og pårørende; dette omfatter også møtedeltakere, osv. og gjelder i kommunen generelt i kontorsoner der uvedkommende vil kunne oppholde seg, skal kontordører være avlåst når de ikke er bemannet teknikere, håndverkere, rengjøringspersonale etc. som må inn på tekniske rom og lignende, skal som hovedregel alltid følges av autorisert personell fra kommunen. Tilsvarende gjelder dersom det er behov for at teknikere, håndverkere, rengjøringspersonell etc. er tilstede i kommunens lokaler etter normal arbeidstid Adgangskontrollen vil omfatte såvel egne ansatte som eksterne oppdragstakere og publikum (tjenestebrukere og besøkende). Som utgangspunkt for å bestemme hvilke tiltak som skal treffes, kan det foretas en soneinndeling som angir varierende sikringsbehov. Tiltak som bør vurderes er f.eks. resepsjonsvakt, bruk av kortlesere/adgangskort evt. med PIN-kode for dører og heiser samt bygningstekniske tiltak av ulik karakter. Besøkende Det bør være etablert nødvendige rutiner for registrering og oppfølging av besøkende i kommunens virksomheter. Besøkende bør som hovedprinsipp føres inn i besøksprotokoll i virksomhetens resepsjon, og vente der til de blir hentet av rette vedkommende. 17
Kommunens ulike virksomheter skal være lett tilgjengelige for publikum. Samtidig er det viktig både for kommunen selv og dens brukere at sensitiv eller taushetsbelagt informasjon beskyttes mot tilgang og innsyn fra uvedkommende. Ved besøk, møter etc. som foregår innen soner der det behandles sensitive eller taushetsbelagte personopplysninger, pålegger Personopplysningsloven virksomhetene å etablere rutiner som sikrer at uvedkommende personell ikke har adgangsmulighet til kontor, datautstyr, arkiv, etc. dersom de ikke følges av autorisert personell. 3.2 Sikring mot brann, vannlekkasje og strømstans IT-utstyr, arkiv og annet som lagrer informasjon skal sikres spesielt for å avverge og redusere skade som følge av brann, vannlekkasje, strømstans m.v. For sikring av arkivlokaler finnes det egne krav nedfelt i forskrift til Arkivloven kap. IV; Oppbevaring og sikring av offentlige arkiv. Brannsikring Brannsikring generelt i kommunens lokaler innebærer tiltak som skal: - forebygge brann og branntilløp - redde liv og avverge skade på person dersom brann har oppstått - redusere eventuelle skadevirkninger og veilede/hjelpe medarbeidere og annet personell som oppholder seg i kommunens lokaler - sørge for opplæring av medarbeidere i brannforebyggende tiltak herunder jevnlige brannøvelser Ved brann/branntilløp skal evt. åpne vinduer og dører lukkes umiddelbart for å redusere lufttilførsel og dermed brannutviklingen. Mindre branner/branntilløp forsøkes slokket med håndslukkeapparat, som skal forefinnes på datarom, i eller ved alle koblingsskap, i eller i nærheten av printrom - og ellers på sentralt sted i hver etasje. Ved større brann- og røykutvikling skal lokalene forlates i henhold til den interne branninstruksen. Det skal være montert et nødvendig antall røyk-/varmedetektorer i hver etasje i virksomhetens lokaler - med intern melding og automatisk melding til brannvesenet (110-sentralen), etter normal kontortid; dette vil kunne redusere de negative konsekvenser ved en eventuell brann i betydelig grad. Ekstra sikkerhetskopier av viktige data skal lagres i safe plassert på annet sted (i fjernlager, i annen bygning, hos vaktselskap eller lignende). Branninstrukser skal være oppslått i hver etasje, likeså oversikter over plassering av håndslokkeapparat, vannslanger og nødutganger. Nødutganger skal til enhver tid være ryddet. Sikring mot vann og fukt Datarom og tekniske installasjoner skal sikres i nødvendig grad mot vann og fukt. Dette bør tas hensyn til allerede ved plassering av slike rom og installasjoner. Overrislingsanlegg må ikke forefinnes i tekniske rom. 18
Sikring mot strømavbrudd For å sikre mot mindre spenningsvariasjoner på strømnettet og kortere strømbrudd - og dermed mot mulig strømsvikt og overbelastning på viktig IT-utstyr ( viktige PC er, servere og nettverksutstyr), skal slikt utstyr tilkobles avbruddsfri strømforsyning (UPS = Uninterrupted Power Supply). I tillegg til å jevne ut spenningsforskjeller, vil UPS sørge for at IT-systemene tas ned på kontrollert vis i situasjoner hvor nett-strømmen blir borte over en viss tid. Det bør også vurderes å knytte data- og kommunikasjonsutstyr til egen strømkurs. Alt datautstyr skal være tilkoblet jordet kontakt. 3.3 Utstyrsplassering IT-utstyr skal plasseres slik at det er utilgjengelig for uvedkommende. Sentralressurser (f.eks. servere) skal plasseres på eget datarom med særlig adgangssikring. Kommunikasjonsutstyr skal plasseres enten på datarom eller i låsbare koblingsskap e.l. Kontorer med PC er, brukerterminaler, printere o.l. i lokaler der uvedkommende vil kunne oppholde seg uten nødvendig kontroll, skal være låst når de ikke er bemannet. Dette gjelder også ved kortere fravær som møter, lunsjpauser, osv. Felles periferutstyr som f.eks. printere, bør ikke plasseres i åpne arealer/korridorer, men i egne låsbare rom; dette gjelder i særlig grad i lokaler der kontrollen med uvedkommende ikke er tilfredsstillende. Det samme gjelder kopimaskiner, telefaksutstyr, osv. 3.4 Utstyrsmerking IT-utstyr bør merkes for å forebygge tyveri og dermed øke sjansen for å få bortkommet utstyr tilbake. Det er særlig viktig å merke løst og lett omsettelig utstyr som f.eks. bærbare PC er o.l. 3.5 Informasjonshåndtering Informasjon skal oppbevares og transporteres slik at den ikke er tilgjengelig for uvedkommende, skades eller går tapt. Kontorer som kan inneholde sensitive eller taushetsbelagte opplysninger, datarom/arkivrom og andre kritiske rom, skal være avlåst når de ikke er bemannet. Arkivdokumenter, utskrifter etc. som inneholder personsensitiv eller annen taushetsbelagt informasjon skal ikke ligge fremme på kontorer eller andre steder slik at uvedkommende kan få tilgang til informasjonen. Ved avsluttet arbeidsdag skal bruker logge seg av IT-systemet. Ved kortere fravær vil bruk av skjermsparerfunksjon (med passord) hindre uautorisert innsyn. Utlån av saksdokumenter med sensitiv informasjon skal kun skje via den person som er ansvarlig for oppbevaringen, slik at lånet blir registrert. 19
Ved eventuell bruk av bærbart/håndholdt utstyr skal dette i nødvendig grad sikres mot tyveri og eventuelt innsyn fra uvedkommende. Det er ikke tillatt lagret sensitive eller taushetsbelagte opplysninger på slikt utstyr. Utskrifter på felles printere skal ikke ligge tilgjengelig for uvedkommende og skal hentes umiddelbart. Fortrolige utskrifter skal skrives ut på lokal printer helt avskjermet for uvedkommende. Tilsvarende gjelder ved kopiering av fortrolig informasjon. Informasjon som er av fortrolig karakter, skal som hovedregel ikke formidles pr. telefaks eller telefon. Ved bruk av e-post, se gjeldende e-postinstruks for Oslo kommune. Fortrolige datautskrifter og dokumenter skal aldri kastes i papirkurv, men makuleres på den måte som er fastsatt i gjeldende regelverk. Jf. bl.a. Forskrift om offentlige arkiv kap. III og 2-11 i forskriftene til Personopplysningsloven. Ved forsendelse av saker og dokumenter med sensitiv informasjon, skal prosedyrene fastsatt av byarkivaren følges. Ulovlig kopiering eller modifisering av produkter beskyttet i henhold til Åndsverkloven skal ikke finne sted. For retningslinjer ved behov for skjerming av informasjon som kan være utsatt for spionasje, sabotasje eller terrorhandlinger, se Sikkerhetslovens bestemmelser. 20
4 KRAV TIL SYSTEMTEKN ISK SIKRING 4.1 Sikkerhetskopiering Det skal rutinemessig tas sikkerhetskopi (backup) av program og data på felles servere og i felles systemer. Rutinen bør være automatisert, og skal være innarbeidet i normale driftsrutiner. I lokalnett bør det tas reservekopier på alle tilknyttede noder i én og samme sikkerhetskopirutine. Lokal lagring av program og data på PC-harddisk er ikke tillatt, såfremt det ikke er godkjente én-brukerløsninger. Backup av data/program på slike PC er skal gjøres i henhold til virksomhetens rutiner for dette. Datalagringsmediene skal merkes med innhold og dato og oppbevares slik at de beskyttes mot tyveri, skade, magnetisk stråling og brann/høy temperatur. Sikkerhetskopier (CD er, disketter, kassetter og taper), som inneholder viktig informasjon som programkode, systemdokumentasjon etc. av driftsmessig betydning, skal oppbevares i brannsikre skap utilgjengelig for uvedkommende. Ekstra sikkerhetskopier skal oppbevares på annet sted ( fjernlager ). Det skal foretas stikkprøvekontroller av at backup-/reservekopiene er korrekte og fungerer som forventet ved behov for gjenoppretting (restore). Ref. også forskrift om offentlige arkiv 2-10:... Kvar dag skal det takast tryggingskopi av databasen på elektronisk lagringsmedium. Tryggingskopiane skal lagrast på einingar som er fysisk åtskilde frå dei einingane der databasen ligg. 4.2 Aktivitetslogging IT-systemene skal inneholde funksjoner for logging av aktivitet i den utstrekning det ansees nødvendig for å kunne forebygge, oppdage og redusere skade som følge av misbruk og feil. Det er de respektive autorisasjonsansvarlige som i samarbeid med IT-funksjonen - har ansvaret for å vurdere behovet for logging, iverksettelse av rutiner for dette, og nødvendig kontroll og oppfølging i ettertid. Registrering av uautorisert bruk og eventuelle forsøk på slik bruk, skal ifølge Datatilsynet lagres i minst 3 måneder. Tilsvarende gjelder registrering av mulige andre hendelser som har eller kan ha betydning for informasjonssikkerheten i kommunens virksomheter. Eksempler på relevante aktiviteter som kan/bør logges: inn-/utlogging transaksjoner sletting/gjenoppretting (restore) av data 21
endring av kodeverk og nøkkeldata Logging av gjenopprettings-/restore-aktiviteter kan muliggjøre kontroll av om noen forsøker å få tilgang til slettede data. 4.3 Sikringstiltak mot ondsinnet kode (datavirus etc.) Det skal foretas nødvendig kontroll mot ondsinnet kode som datavirus etc. ved f.eks. oppkobling mot eksterne databaser og Internett. Bærbare lagringsmedia (CD er, disketter, bærbare PC er, PDA er, etc.) som benyttes i kommunens virksomheter skal kontrolleres for datavirus og lignende. Lagringsmedia som måtte sendes fra eller til kommunens virksomheter skal kontrolleres for eventuell slik ondsinnet kode. Dataviruskontroll skal foretas automatisk ved oppstart av PC/klient og ved pålogging mot virksomhetens lokalnettverk. Likeså bør det være automatisk viruskontroll ved aktivisering av diskett-/cd-stasjon og ved synkronisering mot PC i lokalnettverket. Ved oppkobling mot Internett via OKDN foretas nødvendig og automatisk viruskontroll. Dersom bruker oppdager eller får mistanke om datavirus, skal IT-funksjonen kontaktes umiddelbart og PC/klientterminal skal ikke brukes før IT-funksjonen gir klarsignal om dette. Eventuelle virusinfiserte disketter, CD er osv. skal tas hånd om og uskadeliggjøres på tilfredsstillende måte. 4.4 Sletting av data ved avhending av IT-utstyr Ved salg, kassering eller annen avhending av IT-utstyr skal det foretas forsvarlig sletting av data. Ved forsendelse i forbindelse med teknisk service bør sletting vurderes. Dette etter at en vurdering av om IT-utstyret inneholder bevaringsverdig dokumentasjon/data som skal flyttes, evt. klargjøres for avlevering til Byarkivet, er gjort. Ved ødeleggelse (krasj) av harddisk på PC/server skal disken demonteres og deretter destrueres. Ved avhending av utstyr benyttet til lagring av personsensitive data skal tilstrekkelig sletting dokumenteres skriftlig, eksempelvis ved et slettesertifikat. Det er viktig å være klar over at vanlig delete -funksjon ikke sletter data fysisk, men bare usynliggjør dataene for brukeren/brukerprogrammene. Etter en behovsvurdering bør data - etter at sikkerhetskopi er tatt - enten overskrives med nye, nøytrale data ved hjelp av spesielle sletteprogrammer, eller slettes ved hjelp av spesielt utstyr, f.eks. apparat for avmagnetisering. Virksomhetens IT-funksjon er ansvarlig for at sikkerheten i forbindelse med avhending av IT-utstyr ivaretas på tilfredsstillende måte. 4.5 Logisk tilgangskontroll Alle IT-systemer som benyttes i kommunens virksomheter skal inneholde mekanismer for logisk tilgangskontroll, og skal omfatte nødvendig brukeridentifikasjon, autentisering og autorisasjonskontroll. 22
Tilgangskontroll-rutinene skal sikre at informasjon kun er tilgjengelig for autorisert personell og at de ikke utilsiktet kan leses, endres eller slettes av andre. Autorisasjonsansvarlige skal i samarbeid med IT-funksjonen sørge for at kun rettmessige brukere til enhver tid anvender IT-systemene. 4.5.1 Brukeridentifikasjon Hver enkelt IT-bruker skal tildeles en unik kode for identifikasjon i forbindelse med pålogging til PC, server og nettverk. IT-funksjonen tildeler slik brukeridentifikasjon. 4.5.2 Autentisering og autorisasjonskontroll Autentisering (identitetsbekreftelse) ved pålogging til IT-systemene skjer ved bruk av bruker-id koblet mot passord. IT-funksjonen sørger for tildeling av dette ved første gangs bruk deretter er brukeren selv ansvarlig for endring og hemmelighold av eget passord. Ved ansettelsesopphør skal brukertilgangen slettes. 4.5.2.1 Regler vedrørende bruk av passord og påloggingsrutiner Passordet er brukerens egen personlige sikkerhetsnøkkel, som skal sikre at uvedkommende ikke får tilgang til IT-systemene. Følgende regler gjelder: alle brukere må taste inn brukernavn og passord ved oppkobling mot PC og mot server; enkelte systemer krever i tillegg egen påloggingsrutine nettverkspassord bør være minimum 6 tegn langt og en kombinasjon av tall, bokstaver og eventuelle spesialtegn nettverkspassordet bør byttes minimum hver 3. måned; ved bytte av passord skal det ikke være mulig å gjenbruke noen av de 5 sist brukte passord ved 3 ukorrekte forsøk på pålogging til nettverket, skal videre forsøk sperres; brukeren må kontakte IT-funksjonen for å få logget seg på igjen utlån av brukernavn eller passord er å anse som brudd på kommunens sikkerhetsbestemmelser dersom PC blir stående lengre enn f.eks. 10 minutter uten aktivitet, bør skjermbildet sperres av med passordbeskyttet skjermsparer 4.5.2.2 Autorisasjonskontroll Autorisasjon innebærer en godkjenning som gir brukerne tilgang til en bestemt type informasjon basert på en vurdering av de rettigheter den enkelte bruker skal ha. (Bruker kan her også være eksterne kunder dersom systemene og sikkerheten forøvrig er lagt opp slik at allmennheten kan få innsyn.) Autorisasjonen (eller autorisasjonsprofilen), skal angi hvilke IT-systemer, programrutiner og dataelementer vedkommende bruker har lovlig tilgang til, og hvilke operasjoner (lese, skrive, oppdatere osv.), brukeren har lov til å utføre. Det er virksomhetens autorisasjonsansvarlige som tildeler brukerne disse tilgangsrettigheter, mens 23
IT-funksjonen eller evt. autorisasjonsansvarlig selv, sørger for at godkjente rettigheter blir registrert i de respektive systemer. Ved ansettelsesopphør skal tilgangsrettighetene til vedkommende bruker slettes snarest. Rutiner for dette bør utarbeides lokalt. 4.6 Kommunikasjonssikring 4.6.1 Generelle regler Kommunens og virksomhetenes rutiner for kommunikasjonssikring skal sikre at: nettverk, dvs. linjer, utstyr og program, fungerer stabilt og med tilfredsstillende svarstider sikkerheten ved oppkobling mot for eksempel Internett eller andre eksterne nett ivaretas på tilfredsstillende måte uvedkommende ikke har fysisk adgang til nettverksutstyr, modem, koblingsskap, osv. - uten nødvendig kontroll Personopplysningslovens (POL) krav til sikring etterleves (se under) For kommunale virksomheter som behandler opplysninger underlagt POL skal følgende sikkerhetskrav tilfredsstilles: Mellom sikker sone (dvs. der det foretas behandling av sensitive personopplysninger) og intern sone (der det foretas behandling av opplysninger som ikke er personsensitive) skal det være en sikkerhetsbarriere (brannmurløsning eller lignende) som bl.a. skal sikre at brukere i intern sone eller i ekstern sone ikke har tilgang til IT-systemer og informasjoner i sikret sone. Mellom sikker sone og eksternt nett skal det minst være 2 sikkerhetsbarrierer; det er etablert sentral barrieresikring i OKDN-nettet med kryptering av sensitiv informasjon som sendes over OKDN. Det er lignende sikringskrav til internkommunikasjon dersom denne (ifølge Datatilsynet) skjer mellom bygg hvor avstanden er lengre enn ca. 300 m. (Dette gjelder selv om det er fiberkabler mellom bygningene.) Øvrige regler for kommunikasjonssikkerhet i Oslo kommune: Kommunikasjonstilknytninger mellom eksterne leverandører og virksomhetene via OKDN skal kun etableres når tillatelse til dette er gitt av System- og regnskapsetaten, SRE. Mellom virksomhetens lokalnett og andre kommunale enheter skal det benyttes router i henhold til kommunens valgte standard. 4.6.2 Internett Kommunale virksomheter som ikke behandler og/eller lagrer sensitive eller taushetsbelagte personopplysninger i sine datasystemer kan - etter en intern vurdering og godkjenning av SRE - koble seg opp mot eksterne nett (f.eks. Internett) via OKDN fra eget lokalnett. Det er 24
utarbeidet et enkelt søknads-/ egenkontroll -skjema for dette, som skal undertegnes av virksomhetsleder og sendes SRE. Eksempel på skjema finnes i malverket. På dette skjema skal virksomheten bl.a. bekrefte at den ikke behandler eller lagrer sensitive eller taushetsbelagte personopplysninger, at den har et internt sikkerhetsregelverk, at nødvendige fysiske kontroller i forhold til adgang fra uvedkommende er etablert osv. Utenom konfigurasjonskart og systemoversikt, skal dokumentasjon ikke vedlegges søknadsskjemaet, men være tilgjengelig for SRE ved eventuelle senere avklaringer/kontroller. Etter mottak av skjema, vil SRE foreta en vurdering og starte arbeidet med oppkobling - forutsatt at forholdene i virksomheten fremstår som tilfredsstillende. SRE vil prioritere disse søknadene og vil sørge for en behandlingstid på maksimum 2 uker, dersom ikke spesielle omstendigheter skulle kreve lengre behandlingstid. Bekreftelse på godkjent løsning, evt. avslag m/begrunnelse, sendes virksomhetsleder så snart SRE har behandlet søknaden. Forutsetningen for slik oppkobling er altså at virksomheten ikke behandler eller lagrer sensitive eller taushetsbelagte personopplysninger på utstyr tilknyttet lokalnettet, da dette stiller strenge krav både til fysiske, systemtekniske og organisatoriske sikkerhetsløsninger. For virksomheter som behandler eller lagrer sensitive eller taushetsbelagte personopplysninger, skal en eventuell søknad om åpning mot eksterne nett sendes via Byrådsavdeling for service- og organisasjonsutvikling, SOU, etter at virksomheten kan dokumentere at den tilfredsstiller grunnleggende krav til informasjonssikkerhet. SOU sender søknaden videre til Datatilsynet. 25
5 KRAV TIL ORGANISATO RISK SIKRING 5.1 Ansvar for informasjonsikkerheten Figur 5.1 på neste side gir oversikt over fordelingen av ansvar for informasjonssikkerhet i Oslo kommune. 5.1.1 Byrådet Byrådet fastlegger etter IT-reglementets 4 strategi, retningslinjer og standarder innen ITområdet. Ansvaret er administrativt plassert i Byrådsavdeling for service- og organisasjonsutvikling, SOU. 5.1.2 Byrådsavdeling for service- og organisasjonsutvikling, (SOU) SOU har ansvar for å utarbeide og ajourholde overordnede regler for informasjonssikkerhet som en del av de generelle kommunale rammebetingelser innen IT-området. Som systemeier for kommunens konsernnettverk for data og telefoni, har SOU det overordnede styringsansvar for informasjonssikkerheten knyttet til kommunens felles teknologiske infrastruktur (jf. pkt. 5.1.3). 5.1.3 Systemeier for sektor- og fellessystemer Systemeier er etter IT-reglementets 6 b hovedansvarlig for sektor- og fellessystemer i kommunen, noe som inkluderer styringsansvaret for informasjonssikkerheten knyttet til disse systemene. Systemeier skal fastlegge krav til sikkerhetsnivå innen eget ansvarsområde generelt og det enkelte system spesielt. 5.1.4 Systemansvarlig instans, (SAI), for sektor- og fellessystemer Systemansvarlig instans skal etter IT-reglementets 7 forvalte de aktuelle sektor- og fellessystemer på vegne av og i samråd med respektive systemeiere. Herunder hører ansvaret for at systemet tilfredsstiller informasjonssikkerhetsmessige krav. Systemansvarlig instans skal således påse at nødvendige tiltak implementeres, slik at systemene til enhver tid tilfredsstiller det fastlagte krav til sikkerhetsnivå. Systemansvarlig instans har ansvar for uttesting og dokumentasjon av systemenes sikkerhet, og for at nødvendige sikkerhetsdokumentasjonen (inkl. resultatet fra sentral sikkerhetsrevisjon) blir stilt til 26