Forvaltningsrevisjon IKT-sikkerhet og sårbarhet i Lillesand kommune Arendal Revisjonsdistrikt IKS - februar 2009
INNHOLDSFORTEGNELSE 1. INNLEDNING... 3 2. PROSJEKTETS FORMÅL, PROBLEMSTILLING OG AVGRENSING... 3 2.1 FORMÅL... 3 2.2 PROBLEMSTILLINGER... 4 2.3 AVGRENSING... 4 2.4 REVISJONSKRITERIER... 4 3. METODEVALG OG GJENNOMFØRING... 4 4. PROBLEMSTILLING: KRAV TIL STYRINGSSYSTEM STATUS OG VURDERING... 4 4.1. SIKKERHETSLEDELSE... 4 4.2 RISIKOVURDERING... 5 4.3 SIKKERHETSREVISJON... 6 4.4 AVVIK... 6 4.5 ORGANISERING... 7 4.6 PERSONELL OG TAUSHETSPLIKT... 8 4.7 FYSISK SIKRING... 8 4.8 SIKRING AV KONFIDENSIALITET... 9 4.9 SIKRING AV TILGJENGELIGHET... 9 4.10 SIKRING AV INTEGRITET... 10 4.11 SIKKERHETSTILTAK... 10 4.12 SIKKERHET HOS ANDRE VIRKSOMHETER... 11 4.13 DOKUMENTASJON... 12 5. OPPSUMMERING OG ANBEFALINGER... 12 6. RÅDMANNENS KOMMENTAR.... 13 Vedlegg: 1. Ordliste 2. Spørreskjema 1
FORORD Forvaltningsrevisjon er etter kommuneloven en lovpålagt oppgave for kontrollutvalget og kommunerevisjonen. Formålet med forvaltningsrevisjon er å føre tilsyn med at forvaltningen foregår i samsvar med gjeldende bestemmelser og vedtak. Forvaltningsrevisjon kan også omfatte vurderinger av kommunens forvaltning, med utgangspunkt i oppgaver, ressursbruk og oppnådde resultater. I dette prosjektet har vi undersøkt i hvilken grad Lillesand kommune etterlever krav i personopplysningsloven med forskrift. I rapporten drøftes funn i tilknytning til problemstillingene og det gis anbefalinger som kan bidra til at kommunen kan ivareta oppgavene som omfatter behandling av personopplysninger på en bedre måte. Prosjektet ble startet i nuar 2008, men er i hovedsak gjennomført i perioden oktober 2008 - februar 2009. Arendal Revisjonsdistrikt IKS har benyttet ekstern konsulentbistand fra Pragma AS i forprosjektet. Prosjektet er gjennomført av oppdragsansvarlig forvaltningsrevisor Steinar Johansen i henhold til vedtak i kontrollutvalget i Lillesand kommune i sak 21/07 og 24/08 (årsplaner). Risør, den 9. februar 2009 Steinar Johansen (sign.) oppdragsansvarlig 2
1. Innledning Kontrollutvalget i Lillesand kommune har i sine årsplaner for 2008/2009 vedtatt at prosjektet IKT sikkerhet og sårbarhet skal gjennomføres. Kontrollutvalget spesifiserer bestillingen slik: Bruken av IKT er omfattende i kommunen. Tilgjengelighet, sårbarhet, sikkerhet, sikring m.v. ønskes kartlagt. Kontrollutvalgene i Birkenes, Froland, Grimstad, Gjerstad, Lillesand, Risør, Tvedestrand, Vegårshei og Åmli har tilsvarende prosjekt på sine årsplaner. Dette prosjektet er forutsatt gjennomført i alle kommunene. Personopplysningsloven 13 Informasjonssikkerhet angir det lovpålagte kravet til informasjonssikkerhet. Paragrafens første og annet ledd lyder: Den behandlingsansvarlige og databehandleren skal gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet ved behandling av personopplysninger. For å oppnå tilfresstillende informasjonssikkerhet skal den behandlingsansvarlige og databehandleren dokumentere informasjonssystemet og sikkerhetstiltakene. Dokumentasjonen skal være tilgjengelig for medarbeideren hos den behandlingsansvarlige og hos databehandleren. Dokumentasjonen skal være tilgjengelig for Datatilsynet og Personvernnemnda. Innholdet er nærmere utdypet i personopplysningsforskriftens kapittel 2. Bestemmelsene i forskriften angir krav til det styringssystemet den enkelte virksomhet må etablere for å oppnå tilfredsstillende informasjonssikkerhet. Sentralt i styringssystemet er at kommunene må fastsette overordnede sikkerhetsmål, fastsette akseptabelt risikonivå og fordele ansvar og oppgaver i sikkerhetsarbeidet. Kommunen må fremskaffe en komplett oversikt over alle personopplysninger som behandles innenfor de ulike tjenesteområdene. Kommunene må foreta risikovurdering, dvs vurdere sannsynlighetene for og konsekvensene av sikkerhetsbrudd. Det må opprettes rutiner og et aktivt system for avvikshåndtering. 2. Prosjektets formål, problemstilling og avgrensing 2.1 Formål Hovedformålet er å undersøke i hvilken grad Lillesand kommune etterlever bestemmelsene i personopplysningsloven og personopplysningsforskriften i sin behandling av personopplysninger. Rapporten skal bidra til at mangler eller feil avdekkes og kartlegges, slik at det kan settes i gang tiltak for å rette opp i dette. 3
2.2 Problemstillinger Har kommunen bygget opp et informasjonssikkerhetssystem i henhold til de krav som er gitt i personopplysningsloven med forskrift som trådte i kraft 01.01.2001? Detaljerte problemstillinger, knyttet til i hvilken grad kommunen har fulgt opp krav til styringssystem angitt i personopplysningsforskriften kap 2, fremgår av revisjonens kartleggingsskjema. Status knyttet til det enkelte krav i forskriften er omtalt i kap 4 i denne rapporten. 2.3 Avgrensing De undersøkelser som er foretatt gjelder kun for personopplysninger som helt eller delvis behandles ved hjelp av elektroniske hjelpemidler. 2.4 Revisjonskriterier Revisjonskriterier er en samlebetegnelse på de regler og normer som gjelder innenfor det området som undersøkes. Revisjonskriteriene er basis for de analyser og vurderinger som foretas, konklusjonene som trekkes, og de er et viktig grunnlag for å kunne dokumentere avvik eller svakheter. 3. Metodevalg og gjennomføring Revisjonen har sendt ut kartleggingsskjema til rådmannen. (Skjemaet (spørsmålene) følger som vedlegg til rapporten). Rådmannen ble bedt om å besvare og returnere skjemaet til revisjonen. Vi hadde så et møte med administrasjonen hvor vi gjennomgikk besvarelsen. Denne rapporten inneholder resultatene fra kartleggingen og revisjonens vurdering av svarene opp mot kravene i personopplysningsforskriften kap 2. Revisjonens anbefalinger følger til slutt i rapporten. 4. Problemstilling: Krav til styringssystem status og vurdering Spørreskjemaet som danner grunnlaget for revisjonens vurdering, er fylt ut av kommunens IT-avdeling. I det følgende følger en beskrivelse av de opplysninger (fakta) som er gitt gjennom spørreskjemaet og samtaler. Svarene er målt opp mot bestemmelsene i forskriften og danner grunnlaget for revisjonens vurdering og konklusjon. 4.1. Sikkerhetsledelse 4.1.1 Regelverk - jfr. forskriftens 2-3 Den som har den daglige ledelsen av virksomheten som den behandlingsansvarlige driver, har ansvar for at bestemmelsene i dette kapittelet følges. Formålet med behandling av personopplysninger og overordnede føringer for bruk av informasjonsteknologi, skal beskrives i sikkerhetsmål. Valg og prioriteringer i sikkerhetsarbeidet skal beskrives i en sikkerhetsstrategi. 4
Bruk av informasjonssystemet skal jevnlig gjennomgås for å klarlegge om den er hensiktsmessig i forhold til virksomhetens behov, og om sikkerhetsstrategien gir tilfredsstillende informasjonssikkerhet som resultat. Resultatet fra gjennomgangen skal dokumenteres og benyttes som grunnlag for eventuell endring av sikkerhetsmål og strategi. 4.1.2. Fakta Lillesand har utarbeidet eget dokument med sikkerhetsmål og strategi. Dette skal være styrende for kommunens arbeid med informasjonssikkerhet. Det svares at virksomhetens ledelse gjennomgår sikkerhetsmål og strategi adhoc. Denne gjennomgangen er ikke dokumentert, men det opplyses at resultatet av gjennomgangen har ført til nye rutiner og endret/utvidet opplæring og informasjon. 4.1.3. Vurdering og konklusjon Beskrivelsene av sikkerhetsmål og strategi er oversiktlig skrevet. Sikkerhetsmålene er konkrete og klart definert. Lillesand kommune svarer at sikkerhetsstrategien gir tilfredsstillende informasjonssikkerhet, men svarer også at sikkerhetsmål og sikkerhetsstrategien ikke gjennomgås jevnlig, slik det er pålagt etter personopplysningsforskriften 2-3 og slik det er nedfelt i kommunens sikkerhetsstrategi. Det vil skje naturlige endringer i en virksomhet, som integrering av nytt informasjonssystem, endringer i rutiner og prosedyrer og med de endringene må det følge en gjennomgang av sikkerhetsstrategien slik at den til en hver tid er tilpasset virksomheten sikkerhetsbehov. For å kunne ivareta tilfredsstillende informasjonssikkerhet er Lillesand kommune nødt til å revidere sikkerhetsmålet og strategien sin jevnlig. 4.2 Risikovurdering 4.2.1 Revisjonskriterier jfr. forskriftens 2-4 Det skal føres oversikt over hva slags personopplysninger som behandles. Virksomheten skal selv fastlegge kriterier for akseptabel risiko forbundet med behandlingen av personopplysninger. Den behandlingsansvarlige skal gjennomføre risikovurdering for å klarlegge sannsynligheten for og konsekvenser av sikkerhetsbrudd. Ny risikovurdering skal gjennomføres ved endringer som har betydning for informasjonssikkerheten. Resultatet av risikovurderingen skal sammenlignes med de fastlagte kriterier for akseptabel risiko forbundet med behandling av personopplysninger, jf. første ledd og 2-2. Resultatet av risikovurderingen skal dokumenteres. 4.2.2 Fakta Kommunen har en fyldig oversikt over hvilke personopplysninger som behandles i kommunen i tråd med skjemaforslag fra datatilsynet. Kommunen svarer på alle spørsmålene under dette punktet. Det er imidlertid ikke lagt frem dokumentasjon som viser at den behandlingsansvarlige har fastsatt kriterier for akseptabel risiko eller kartlagt sannsynligheten for eller konsekvensene av et sikkerhetsbrudd ved hjelp av en risikovurdering. Det svares på at det er gjennomføres en risikovurdering før behandling av personopplysninger med elektroniske hjelpemidler er satt i gang, og ved endringer som kan ha betydning for informasjonssikkerheten. Det foreligger en veiledning for gjennomføring av risikoanalyse etter mal fra Datatilsynet, men denne er ikke tatt i bruk ennå. 5
4.2.3 Vurdering og konklusjon Svarene indikerer at kravene om risikovurdering etter personopplysningsforskriften 2-4 ikke fullt ut imøtekommes. Personopplysningslovens 13 med utfyllende bestemmelser i forskriftens kapittel 2, gir forventninger om tilfredsstillende sikring av informasjonssystemet med grunnlag i risikovurdering. For å kunne gjennomføre en risikovurdering må det med utgangspunkt i oversikten over personopplysninger som behandles angi hvilke opplysninger som er nødvendig å sikre med hensyn til konfidensialitet, integritet og tilgjengelighet. Kommunen svarer at det er gjennomført risikovurderinger, men kan ikke dokumentere at dette er foretatt. 4.3 Sikkerhetsrevisjon 4.3.3 Revisjonskriterier jfr. forskriftens 2-5 Sikkerhetsrevisjon av bruk av informasjonssystemet skal gjennomføres jevnlig. Sikkerhetsrevisjon skal omfatte vurdering av organisering, sikkerhetstiltak og bruk av kommunikasjonspartner og leverandører. Dersom sikkerhetsrevisjonen avdekker bruk av informasjonssystemet som ikke er forutsatt, skal dette behandles som avvik, jf. 2-6. Resultatet fra sikkerhetsrevisjon skal dokumenteres. 4.3.2 Fakta Det svares at det foretas en etterprøving av sikkerhetsarbeidet og at dette gjennomføres i samarbeid med arkivet og IT-avdelingen. Avvik som registreres blir tatt opp og det blir utarbeidet rutiner og gitt opplæring. Resultatet av sikkerhetsrevisjonen dokumenteres ikke. 4.3.3 Vurdering og konklusjon Etter krav i personopplysningsforskriften 2-5 skal det jevnlig gjennomføres en sikkerhetsrevisjon. Avdekking av bruk av informasjonssystemet som ikke er forutsatt, skal behandles som avvik. Formålet med en sikkerhetsrevisjon er å sikre at besluttet sikkerhetsmål og strategi etterleves i hele virksomheten. Resultatet av revisjonen skal dokumenteres og danner grunnlaget for eventuelle nødvendige endringer i sikkerhetsmål og strategi. Sikkerhetsrevisjonen inngår også som grunnlag i ledelsens gjennomgang av informasjonssystemet og informasjonssikkerheten. 4.4 Avvik 4.4.1 Revisjonskriterier jfr. forskriftens 2-6 Bruk av informasjonssystemet som er i strid med fastlagte rutiner, og sikkerhetsbrudd, skal behandles som avvik. Avviksbehandlingen skal ha som formål å gjenopprette normal tilstand, fjerne årsaken til avviket og hindre gjentagelse. Dersom avviket har medført uautorisert utlevering av personopplysninger hvor konfidensialitet er nødvendig, skal Datatilsynet varsles. Resultatet fra avviksbehandling skal dokumenteres. 6
4.4.2 Fakta Kommunen svarer at sikkerhetsbrudd og bruk av systemet i strid med fastlagte rutiner blir behandlet som avvik. Videre svarer kommunen at de har hatt dialog (varslet) med Datatilsynet i tilfeller hvor utlevering ikke har vært iht lovverket. Kommunens dokumentasjon ifm avviksbehandlingen begrenser seg til noe korrespondanse med Datatilsynet. 4.6.2 Vurdering og konklusjon Det er positivt at det ifm avvik blir varslet til Datatilsynet og også at den kompetansen som finnes i Datatilsynet blir benyttet av kommunen. Her er det også viktig at det kommer frem at et avvik også kan være organisatoriske og prosessuelle avvik som strider mot fastlagte rutiner (Jf. Personopplysningsforskriften 2-6). 4.5 Organisering 4.5.1 Revisjonskriterier jfr. forskriftens 2-7 Det skal etableres klare ansvars- og myndighetsforhold for bruk av informasjonssystemet. Ansvars- og myndighetsforhold skal dokumenteres og ikke endres uten autorisasjon fra den behandlingsansvarliges daglige leder. Informasjonssystemet skal konfigureres slik at tilfredsstillende informasjonssikkerhet oppnås. Konfigurasjonen skal dokumenteres og ikke endres uten autorisasjon fra den behandlingsansvarliges daglige leder. Bruk av informasjonssystemet som har betydning for informasjonssikkerheten, skal utføres i henhold til fastlagte rutiner. 4.5.2 Fakta Svarene viser at det er både etablert klare ansvars og myndighetsforhold for bruk av informasjonssystemet og at dette er dokumentert og ligger i kommunens rutinebank. Kommunen har utarbeidet en fyldig og detaljert sikkerhetsinstruks for brukere. Brukeren skal ved sin underskrift bekrefte at instruksen er lest og akseptert. 4.5.3 Vurdering og konklusjon Det svares at informasjonssystemet er konfigurert slik at tilfredsstillende informasjons-- sikkerhet oppnås. For å kunne måle om dette faktisk er tilfelle må blant annet sikkerhetsmål og sikkerhetsstrategi gjennomgås jevnlig (Jf. Personopplysningsforskriften 2-3) og det gjør ikke kommunen. Autorisasjoner til datasystemene i kommunen har en klar innvirkning på beskyttelse av personopplysningenes konfidensialitet, integritet og tilgjengelighet. Når en ansatt endrer stillingsbeskrivelse og skal jobbe med andre ting, skal tidligere autorisasjoner stenges. For å ivareta riktig autorisasjonsrettigheter for de ansatte, er det viktig at enhetsledere regelmessig får en oppdatert liste over hvilke rettigheter de enkelte ansatte har og kan sammenligne dette med hvilke arbeidsoppgaver som utføres. På denne måten kan det kontrolleres at ingen har flere rettigheter enn det vedkommende trenger for å utføre sine arbeidsoppgaver, og like viktig, at de ansatte har tilstrekkelige rettigheter. 7
4.6 Personell og taushetsplikt 4.6.1 Revisjonskriterier jfr. forskriftens 2-8, 2-9 Medarbeidere hos den behandlingsansvarlige skal bare bruke informasjonssystemet for å utføre pålagte oppgaver, og selv være autorisert for slik bruk. Medarbeiderne skal ha nødvendig kunnskap for å bruke informasjonssystemet i samsvar med de rutiner som er fastlagt. Autorisert bruk av informasjonssystemet skal registreres. Medarbeidere hos den behandlingsansvarlige skal pålegges taushetsplikt for personopplysninger hvor konfidensialitet er nødvendig. Taushetsplikten skal også omfatte annen informasjon med betydning for informasjonssikkerheten. 4.6.2 Fakta Det svares at de ansatte har tilstrekkelig med kunnskap til å bruke informasjonssystemene i kommunen og at de kun blir brukt for å utføre pålagte oppgaver. På spørsmålene vedrørende privat bruk av informasjonssystemer svares det at det ikke er forbud mot dette, men det henvises til regler nedfelt i rutinebanken. Autorisert bruk av informasjonssystemene loggføres. 4.6.3 Vurdering og konklusjon Svarene fra spørreundersøkelsen tyder på at det ligger gode rutiner til grunn for bruken av datasystemene og at taushetsplikten ivaretas gjennom signering av erklæring. Dokumentet Sikkerhetsinstruks for bruker dekker de mest vesentlige punktene for generell bruk av informasjonssystemene i kommunen og gjøres kjent for alle ansatte. 4.7 Fysisk sikring 4.7.1 Revisjonskriterier jfr. forskriftens 2-10 Det skal treffes tiltak mot uautorisert adgang til utstyr som brukes for å behandle personopplysninger etter forskriften her. Sikkerhetstiltakene skal også hindre uautorisert adgang til annet utstyr av betydning for informasjonssikkerheten. Utstyr skal installeres slik at ikke påvirkning fra driftsmiljøet får betydning for behandlingen av personopplysninger. 4.7.2 Fakta Det er kun ett spørsmål under denne delen av spørreundersøkelsen. Det svares at den behandlingsansvarlige har sørget for nødvendige tiltak for å hindre uautorisert adgang til utstyr for behandling av personopplysninger med betydning for informasjonssikkerheten. Som dokumentasjon på dette viser kommunen til konfigurasjonstiltak og utarbeidede rutiner som omfatter både datamessig og fysisk sikring. 4.7.3 Vurdering og konklusjon Fysisk sikring gjelder ikke bare teknisk forhold så som tilgangsrettigheter, brannmur og lignende, men inkluderer også utforming av arbeidsplassen og fellesområder, slik det er omtalt i IT- reglementet. Det er hver enkelt enhet sitt ansvar å påse at blant annet samtaler 8
der sensitive opplysninger diskuteres forekommer i lydavskjermet rom, at ikke uvedkommende befinner seg i lokale der sensitive opplysninger kan være tilgjengelig og at dør til kontor låses hvis en forlater et rom der sensitive opplysninger ligger synlig. Kommunens IT-reglement inneholder klare bestemmelser om dette. 4.8 Sikring av konfidensialitet 4.8.1 Revisjonskriterier jfr. forskriftens 2-11 Det skal treffes tiltak mot uautorisert innsyn i personopplysninger hvor konfidensialitet er nødvendig. Sikkerhetstiltakene skal også hindre uautorisert innsyn i annen informasjon med betydning for informasjonssikkerheten. Personopplysninger som overføres elektronisk ved hjelp av overføringsmedium utenfor den behandlingsansvarliges fysiske kontroll, skal krypteres eller sikres på annen måte når konfidensialitet er nødvendig. For lagringsmedium som inneholder personopplysninger hvor konfidensialitet er nødvendig, skal behovet for sikring av konfidensialitet fremgå ved hjelp av merking eller på annen måte. Dersom lagringsmediet ikke lenger benyttes for behandling av slike opplysninger, skal opplysningene slettes fra lagringsmediet. 4.8.2 Fakta Kommunen svarer at det er truffet tiltak for å hindre uautorisert innsyn i personopplysninger hvor konfidensialitet er nødvendig, samt informasjon med betydning for informasjonssikkerheten. Det opplyses at følgende sikringstiltak er iverksatt: 2 fysiske hindringer, låste kontorer, dobbelt innlogging. I samråd med Datatilsynet er foretatt en vurdering av hvilke opplysninger som legges ut på kommunens hjemmeside. Server med personopplysninger merkes og ved avhending av lagringsmedia blir disse fysisk ødelagt. 4.8.3 Vurdering og konklusjon For å sikre at personopplysninger ikke kommer uvedkommende i hende eller blir tilgjengelig for uautoriserte, må det foreligge både en teknisk sikkerhet, men også dokumenterte og implementerte prosesser som skal ivareta personopplysningenes konfidensialitet. Lillesand kommune har gjennom sine rutiner ivaretatt forskriftens krav om sikring av konfidensialitet. 4.9 Sikring av tilgjengelighet 4.9.1 Revisjonskriterier jfr. forskriftens 2-12 Det skal treffes tiltak for å sikre tilgang til personopplysninger hvor tilgjengelighet er nødvendig. Sikkerhetstiltakene skal også sikre tilgang til annen informasjon med betydning for informasjonssikkerheten. Alternativ behandling skal forberedes for de tilfeller informasjonssystemet er utilgjengelig for normal bruk. Personopplysninger og annen informasjon som er nødvendig for gjenoppretting av normal bruk, skal kopieres. 9
4.9.2 Fakta Det svares at det er truffet tiltak for å sikre tilgang til personopplysninger hvor tilgjengelighet er nødvendig. Kommunen har sørget for full duplisering i et annet bygg og har også sikret nødstrøm til datarommet. Det tas dag, uke, måneds back-up. 4.9.3 Vurdering og konklusjon Kommunen kommenterer til det første spørsmålet om sikring av tilgang til personopplysninger at dette reguleres ved rutiner for manuell innsyn i dokumenter. Her kommer autorisasjonsrettigheter inn som en viktig del. De ansatte skal ikke ha tilgang til for mye informasjon, men må også ha tilgang til nok informasjon som er nødvendig for å utføre pålagte arbeidsoppgaver. Rutiner ifm sikring av tilgjengelighet vurderes som gode. 4.10 Sikring av integritet 4.10.1 Revisjonskriterier jfr. forskriftens 2-13 Det skal treffes tiltak mot uautorisert endring av personopplysninger der integritet er nødvendig. Sikkerhetstiltakene skal også hindre uautorisert endring av annen informasjon med betydning for informasjonssikkerheten. Det skal treffes tiltak mot ødeleggende programvare. 4.10.2 Fakta På lik linje med spørsmål om sikring av tilgjengelighet, svares det også her på alle spørsmålene. Kommunen kommenterer at endringer av personopplysninger blir gjort innenfor rammen av de etablerte rutinene vedr adgangskontroll og kontrollfunksjoner i dataprogrammene. Det treffes tiltak for ødeleggende programvare gjennom viruskontroll, informasjon, opplæring, sikkerhetsrutiner, spamfiltrering og brannmur på flere nivåer. 4.10.3 Vurdering og konklusjon Bestemmelsen pålegger den behandlingsansvarlige å hindre utilsiktet endring av personopplysninger og uautorisert endring av annen informasjon der dette er nødvendig for informasjonssikkerheten. Ved valg av hvilke opplysninger som det skal sikres integritet for, og hvilke sikkerhetstiltak som må etableres, følger som et resultat av risikovurderingen. Kommunen svarer at det er gjennomført risikovurdering, men kan ikke dokumentere dette jfr pkt 4.2.3. 4.11 Sikkerhetstiltak 4.11.1 Revisjonskriterier jfr. forskriftens 2-14 Sikkerhetstiltak skal hindre uautorisert bruk av informasjonssystemet og gjøre det mulig å oppdage forsøk på slik bruk. Forsøk på uautorisert bruk av informasjonssystemet skal registreres. Sikkerhetstiltak skal omfatte tiltak som ikke kan påvirkes eller omgås av medarbeiderne, og ikke være begrenset til handlinger som den enkelte forutsettes å utføre. Sikkerhetstiltak skal dokumenteres. 10
4.11.2 Fakta Kommunen svarer her at de har etablert brannmur overvåkning og serverlogg og vurderer å etablere ytterligere sikkerhetstiltak. Det svares på at det registreres uautorisert sikkerhetsbruk og at dette dokumenteres. Det foreligger ingen skriftlig dokumentasjon på dette utover sikkerhetsinstruksen. 4.11.3 Vurdering og konklusjon Bestemmelsen her legger opp til at kommunen skal etablere sikkerhetstiltak for å forhindre sikkerhetsbrudd og avdekke hendelser som kan forårsake sikkerhetsbrudd. 4.12 Sikkerhet hos andre virksomheter 4.12.1 Revisjonskriterier jfr. forskriftens 2-15 Den behandlingsansvarlige skal bare overføre personopplysninger elektronisk til den som tilfredsstiller kravene i forskriften her. Den behandlingsansvarlige kan overføre personopplysninger til enhver dersom overføringen skjer i samsvar med reglene i personopplysningsloven 29 og 30, eller når det er fastsatt i lov at det er adgang til å kreve opplysninger fra et offentlig register. Leverandører som gjennomfører sikkerhetstiltak, eller gjør annen bruk av informasjonssystemet på den behandlingsansvarliges vegne, skal tilfredsstille kravene i dette kapittelet. Den behandlingsansvarlige skal etablere klare ansvars- og myndighetsforhold overfor kommunikasjonspartnere og leverandører. Ansvars- og myndighetsforhold skal beskrives i særskilt avtale. Den behandlingsansvarlige skal ha kunnskap om sikkerhetsstrategien hos kommunikasjonspartnere og leverandører, og jevnlig forsikre seg om at strategien gir tilfredsstillende informasjonssikkerhet. 4.12.2 Fakta Kommunen svarer på at behandlingsansvarlige kun overfører personopplysninger til de som tilfredsstiller kravene i personopplysningsloven. Avtale med leverandører er ikke på plass ennå. Kommunen opplyser at de kjenner godt til de største leverandørene som har mest innsyn i de kommunale systemene. 4.12.3 Vurdering og konklusjon Dette ansees å være noe mangelfullt. Kommunen opplyser at arbeidet med dette er startet opp. Lillesand kommune er eier av personopplysningene og er derfor ene ansvarlig for at alle parter som behandler opplysningene, også på vegne av kommunen, tilfredsstiller kravene i henhold til personopplysningsloven med tilhørende forskrift. (Jf. Personopplysningsloven 2, del 5). Den behandlingsansvarlige skal være kjent med sikkerhetsarbeidet hos leverandører ved at det innhentes informasjon om sikkerhetsstrategien i virksomheten. Derigjennom skal den kommunens behandlingsansvarlige forsikre seg om at informasjonssikkerheten hos leverandøren er tilfredsstillende. 11
4.13 Dokumentasjon 4.13.1 Revisjonskriterier jfr. forskriftens 2-16 Rutiner for bruk av informasjonssystemet og annen informasjon med betydning for informasjonssikkerheten, skal dokumenteres. Dokumentasjon skal lagres i minst 5 år fra det tidspunkt dokumentet ble erstattet med ny gjeldende utgave. Registrering av autorisert bruk av informasjonssystemet og av forsøk på uautorisert bruk, skal lagres minst 3 måneder. Det samme gjelder registreringer av alle andre hendelser med betydning for informasjonssikkerheten. 4.13.2 Fakta Kommunen svarer at rutinene i stor grad er dokumentert i rutinebanken og at man har en fortløpende vurdering og forbedring av disse. På spørsmål om dokumentasjonen blir lagret i minimum 5 år svares det. Ang kommunens registrering av autorisert bruk av informasjonssystemet og av forsøk på uautorisert bruk så logges dette i hovedsystemet, men svaret antyder at dette nok ikke er på plass i de underliggende fagsystemene. 4.13.3 Vurdering og konklusjon Bestemmelsen setter et krav til dokumentasjon. Det innebærer at det i tillegg til beskrivelse av tekniske tiltak, skal være rutiner for arbeid med informasjonssystemet og registrering av hendelser. Kommunen har enkelte elementer på plass, men har noe vei å gå for å bringe systemet i samsvar med bestemmelsen. 5. Oppsummering og anbefalinger Generelt Revisjonen har i rapporten dokumentert resultatet av prosjektet i kap. 4. Her fremkommer vurdering og konklusjon under hvert underkapitel. Revisjonens gjennomgang av informasjonssikkerhetsarbeidet i Lillesand kommune har avdekket noen mangler i forhold til de krav som er nedfelt i personopplysningsforskriften. Faktasammendrag Revisjonens gjennomgang viser at Lillesand kommune har utarbeidet et overordnet dokument for sikkerhetsmål og strategi. Kommunen har utarbeidet en god oversikt over de personopplysninger som behandles i kommunen. Dette danner et godt grunnlag for å få fastsatt kriterier for akseptable risiko og få vurdert sannsynligheten for eller konsekvensene av sikkerhetsbrudd. Kommunen svarer at de gjennomfører risikovurdering og sikkerhetsrevisjon, men dette kan ikke dokumenteres. Arbeid med informasjonssikkerhet, der sikkerhetsrevisjon med gjennomgang av mål, organisering, rutiner og dokumentasjon av sikringstiltak, skal bidra til at kommunen til enhver tid har forsvarlig informasjonssikkerhet, er ikke etablert som en del av kommunens planprosess. 12
Anbefalinger Risikovurdering Kommunen bør: - Sette opp kriterier for akseptabelt risikonivå i forhold til konsekvens og sannsynlighet for et sikkerhetsbrudd. - Gjennomføre risikovurdering. - Dokumentere resultatene fra risikovurderingen. - Gjennomføre nødvendige tiltak for at behandlingen av personopplysninger skal være innenfor akseptabelt risikonivå. Risikorevisjon Kommunen bør legge arbeidet med risikorevisjon inn som en del av den årlige plan- og budsjettprosessen. Sikkerhetsdokumentet med beskrivelse av mål, prosesser, organisering, sikringstiltak må revideres. Beskrivelse av sikringstiltak og rutiner må gjennomgås og oppdateres dersom det er behov for det. Risikorevisjon skal sikre at kommunen til enhver tid har en tilfredsstillende informasjonssikkerhet. Arbeidet med informasjonssikkerhet og sikkerhetsrevisjon bør involvere alle i administrasjonen, ledelsen og brukere av system der personopplysninger behandles. Dette er viktig for at kommunen til enhver tid skal ha en forsvarlig sikkerhet ved behandling av personopplysninger. Sikkerhet hos andre leverandører Kommunen bør gjøre seg kjent med sikkerhetsarbeidet hos sine leverandører og innhente informasjon om sikkerhetsstrategien i virksomhetene. Tidsplan Kommunen bør legge en tidsplan for det videre arbeidet med å bygge opp et fullstendig system for informasjonssikkerhet. Det er viktig at ansvarsforhold er helt klare i dette arbeidet. 6. Rådmannens kommentar. Rådmannen i Lillesand har i e-post av 6.2. 09 gitt følgende kommentarer til rapporten: På vegne av administrasjonen i Lillesand kommune vil jeg benytte anledningen til å takke for tilsendt utkast til rapport; "IKT-sikkerhet og sårbarhet i Lillesand kommune". Vår oppfatning er at rapporten beskriver situasjonen i Lillesand kommune på en reflektert og balansert måte. Kommunen har tatt IT-sikkerheten på alvor, og har så langt gjort et godt stykke arbeid. Dette bekreftes også i utkastet til rapport. Vi ser også at vi har behov for å bli tydeligere på struktur, og at vi ikke har god nok dokumentasjon iht alle punkter som ble beskrevet som utført, jfr besvarelse på spørreskjema til revisjonen i begynnelsen av 2008. Vi forholder oss til det vi ser som den vesentligste anbefalingen i konklusjonen i midlertidig rapport, nemlig at vi må innarbeide og gjennomføre rutiner for IT-sikkerheten, inkl tidsplan for fremdrift og ansvarsforhold. Vi kan ikke se at rapporten inneholder direkte feil. Vi avventer behandling i kontrollutvalget, og benytter anledningen til å takke for det som vi vurderer som et godt utført arbeid fra revisjonens side. 13
Kildeliste / Referanser - Personopplysningsloven (POL) 13 Informasjonssikkerhet - Personopplysningsforskriftens kapittel 2 - Veiledning i informasjonssikkerhet for kommuner og fylkeskommuner, Datatilsynet n 2005 - Risikovurdering av informasjonssystem, Datatilsynet februar 2002 - Sikkerhetsbestemmelsene i personopplysningsforskriften, Datatilsynet desember 2000 - Seminar om personopplysningsloven, dokumentasjon fra seminar med Pragma AS mars 2007 14
VEDLEGG 1: ORDLISTE Emne Avvik Behandling av personopplysninger Behandlingsansvarlig Informasjonssystemet Integritet Internkontroll IKT Kompromittering Konfidensialitet Konfidensialitetsbeskyttelse Personopplysninger Definisjon Bruk av informasjonssystemet som er i strid med fastlagte rutiner, og sikkerhetsbrudd, skal anses som avvik. Enhver bruk av personopplysninger, som for eksempel innsamling, registrering, sammenstilling, lagring og utlevering eller en kombinasjon av slike bruksmåter. Den som bestemmer formålet med behandlingen av personopplysninger og hvilke hjelpemidler som skal brukes. Samlebetegnelse på alt Pc-utstyr, systemer og nettverkskomponenter som inngår i virksomhetens elektroniske databehandling. Å sikre at informasjonen og behandlingsmetodene er nøyaktige og fullstendige. Den behandlingsansvarlige skal etablere og holde ved like planlagte og systematiske tiltak som er nødvendig for å oppfylle kravene i loven (Personopplysningsloven), herunder sikre personopplysningenes kvalitet. Informasjon og kommunikasjonsteknologi Brudd på konfidensialitet, tilgjengelighet eller integritet. Å sikre at informasjonen er tilgjengelig bare for dem som har autorisert tilgang. Sikkerhetstiltak for å sikre informasjon mot innsyn, f. eks kryptering Opplysninger og vurderinger som kan knyttes til en enkeltperson. Personopplysningsforskriften Forskrift til personopplysningsloven, 15. (POF) desember 2000 nr. 1265. Personopplysningsloven (POL) Personregister Lov om behandling av personopplysninger, 14. april 2000 nr. 31. Registre der personopplysninger er lagret systematisk slik at personopplysninger om den enkelte kan finnes igjen. 15
Risikovurdering Samtykke Sensitive personopplysninger Sikkerhetshendelse Sikkerhetsmål Sikkerhetspolicy Sikkerhetstiltak Tilgjengelighet Risikovurdering har til hensikt å undersøke hvor stor personvernrisiko det er ved å bruke informasjonssystemet. Resultatet av vurderingen skal sammenliknes med det risikonivå virksomheten kan akseptere. Risikovurdering er en kombinasjon av en hendelses konsekvens og sannsynligheten for at hendelsen inntreffer. En frivillig, utrykkelig og informert erklæring fra den registrerte om at han eller hun godtar behandling av opplysinger om en selv. Opplysninger om: Rasemessig eller etnisk bakgrunn, eller politisk, filosofisk eller religiøs oppfatning. At en person har vært mistenkt, siktet, tiltalt eller dømt for en straffbar handling. Helseforhold. Seksuelle forhold. Medlemskap i fagforeninger. En hendelse som får konsekvenser for informasjonssikkerheten i virksomheten. Sikkerhetsmålene omfatter ledelsens beslutninger om til hva og hvordan informasjonsteknologien skal benyttes i virksomheten for å kunne oppnå sine øvrige mål. Denne er en del av virksomhetens øvrige totale målsetning. Sikkerhetsmål og sikkerhetsstrategi. Et administrativt, organisatorisk eller teknisk tiltak som etableres for å hindre at en sikkerhetshendelse inntreffer. Å sikre autoriserte brukeres tilgang til informasjon og tilhørende ressurser ved behov. 16
Vedlegg 2: - Spørreskjemaet PERSONOPPLYSNINGSLOVEN OG PERSONOPPLYSNINGSFORSKRIFTEN KAP. 2 KRAV TIL STYRINGSSYSTEM Arendal Revisjonsdistrikt IKS April 2007 17
PERSONOPPLYSNINGSLOVEN OG PERSONOPPLYSNINGSFORSKRIFTEN KAP. 2 Gjennomgang av styringssystem er foretatt i følgende kommune: Behandlingsansvarlig i kommunen: Gjennomgangen av spørreskjemaet er foretatt av: Fra Arendal Revisjonsdistrikt IKS Fra kommunen: Sted og dato: 18
LOV OG FORSKRIFTSBESTEMMELSER AVGRENSING Bestemmelsene gjelder kun for behandling av personopplysninger som helt eller delvis skjer med elektroniske hjelpemidler. For manuelle behandlinger som omfattes av personopplysningsloven, gjelder kun de generelle reglene om informasjonssikkerhet i personopplysningsloven 13. Bestemmelsene gjelder videre kun for behandling der det for å hindre fare for tap av liv og helse, økonomisk tap eller tap av anseelse og personlig integritet, er nødvendig å sikre konfidensialitet, tilgjengelighet og integritet for opplysningene. Sikkerhetsbestemmelsene angir krav til det styringssystem den enkelte behandlingsansvarlige må etablere for å oppnå tilfredsstillende informasjonssikkerhet. 19
SPØRSMÅL VEDRØRENDE PERSONOPPLYSNINGSLOVEN OG PERSONOPPLYSNINGSFORSKRIFTEN KAP. 2 KRAV TIL STYRINGSSYSTEM 1. Sikkerhetsledelse (forskriften 2-3) 1.1 Har behandlingsansvarlig beskrevet et sikkerhetsmål for virksomheten? Sett kryss: 1.2 Har behandlingsansvarlig utarbeidet en sikkerhetsstrategi (valg og prioriteringer for sikkerhetsarbeidet)? 1.3 Gjennomgår virksomhetens ledelse jevnlig sikkerhetsmål og strategi? Kommentar (angi hvor ofte): 1.4 Dokumenteres resultatet av gjennomgangen? 20
1.5 Gir sikkerhetsstrategien en tilfredsstillende informasjonssikkerhet som resultat? Revisors vurdering av sikkerhetsledelse 2. Risikovurdering (forskriften 2-4) 2.1 Føres det oversikt over hvilke personopplysninger som behandles med elektroniske hjelpemidler? 2.2 Er det angitt hvilke opplysninger det er nødvendig å sikre med hensyn til konfidensialitet? tilgjengelighet? integritet? 21
2.3 Benyttes oversiktene som del av grunnlaget for risikovurderingen? 2.4 Har behandlingsansvarlig fastsatt kriterier for akseptabel risiko eller risikoreduserende tiltak? 2.5 Har behandlingsansvarlig klarlagt sannsynligheten for og konsekvensene av sikkerhetsbrudd ved hjelp av risikovurdering? 2.6 Er risikovurdering gjennomført før behandling av personopplysninger med elektroniske hjelpemidler settes i gang, og deretter ved endringer med betydning for informasjonssikkerheten? 2.7 Blir resultatet av risikovurderingen sammenlignet med de fastlagte kriterier for akseptabel risiko? 22
2.8 Blir resultatet benyttet som grunnlag for valg av konkrete sikkerhetstiltak? Revisors vurdering av risikovurdering 3. Sikkerhetsrevisjon (forskriften 2-5) 3.1 Etterprøver den behandlingsansvarlige jevnlig sikkerhetsarbeidet for å verifisere at de sikkerhetstiltak som er besluttet etablert, faktisk er iverksatt og fungerer etter sin hensikt? 3.2 Dersom sikkerhetsrevisjon avdekker bruk av informasjonssystemet som ikke er forutsatt, behandles dette som avvik? 23
3.3 Dokumenteres resultatet fra sikkerhetsrevisjon? Revisors vurdering av sikkerhetsrevisjon 4. Avvik (forskriften 2-6) 4.1 Behandles sikkerhetsbrudd og bruk av systemet som er i strid med fastlagte rutiner som avvik? 4.2 Dersom avviket har medført uautorisert utlevering av personopplysninger, hvor konfidensialitet er nødvendig, varsles Datatilsynet? 24
4.3 Dokumenteres resultatet av avviksbehandlingen? Revisors vurdering av avviksbehandling 5. Organisering (forskriften 2-7) 5.1 Er det etablert klare ansvars- og myndighetsforhold for bruk av informasjonssystemet? 5.2 Er ansvars- og myndighetsforhold dokumentert? 25
5.3 Foreligger det autorisasjon fra behandlingsansvarliges daglige leder dersom ansvars- og myndighetsforhold endres? 5.4 Konfigureres informasjonssystemet slik at tilfredsstillende informasjonssikkerhet oppnås? 5.5 Dokumenteres konfigurasjonen? 5.6 Foreligger det godkjenning fra behandlingsansvarliges daglige leder dersom konfigurasjonen endres? 26
5.7 Er det fastlagt rutiner for bruk av informasjonssystemet som har betydning for informasjonssikkerheten? Revisors vurdering av organisering 6. Personell og taushetsplikt (forskriften 2-8 og 2-9) 6.1 Brukes informasjonssystemet kun for å utføre pålagte oppgaver og er medarbeiderne autorisert for slik bruk? 6.2 Har brukerne nødvendig kunnskap for å kunne bruke systemet i samsvar med fastlagte rutiner? 27
6.3 Registreres autorisert bruk av systemet? Bestemmelsene i 2-8 innebærer ikke et absolutt forbud mot medarbeideres private bruk av informasjonssystemet. Privat bruk må imidlertid være kjent for den behandlingsansvarlige, og kunne gjennomføres uten at behandling av personopplysninger utsettes for ytterligere trusler. 6.4 Er det forbud mot medarbeideres private bruk av informasjonssystemet? 6.5 Dersom spørsmål 6.4 besvares med, er privat bruk av informasjonssystemet kjent for den behandlingsansvarlige? 6.6 Kan privat bruk av informasjonssystemet gjennomføres uten at personopplysning utsettes for ytterligere trusler? 28
6.7 Har medarbeidere hos den behandlingsansvarlige taushetsplikt for personopplysninger der konfidensialitet er nødvendig? Revisors vurdering av forhold knyttet til personell og taushetsplikt 7. Fysisk sikring (forskriften 2-10) 7.1 Har behandlingsansvarlig sørget for nødvendige tiltak for å hindre uautorisert adgang til utstyr for behandling av personopplysninger med betydning for informasjonssikkerheten? Revisors vurdering av fysisk sikring 29
8. Sikring av konfidensialitet (forskriften 2-11) 8.1 Hvilke opplysninger skal sikres mht konfidensialitet? (skal følge av risikovurderingen) Spesifiserer: 8.2 Har den behandlingsansvarlige sørget for at det treffes tiltak mot uautorisert innsyn i personopplysninger hvor konfidensialitet er nødvendig? 8.3 Er det truffet tiltak for å hindre uautorisert innsyn i annen informasjon med betydning for informasjonssikkerheten? 30
8.4 Krypteres personopplysninger ved overføring i offentlig telenett eller sikres konfidensialitet på annen måte? 8.5 Fremgår det av lagringsmedium dersom det inneholder personopplysninger som det nødvendig å sikre konfidensialiteten for? 8.6 Blir personopplysninger slettet fullstendig og permanent fra lagringsmedia ved avhending av lagringsmedia? Revisors vurdering av rutiner for sikring av konfidensialitet 31
9. Sikring av tilgjengelighet (forskriften 2-12) 9.1 Er det truffet tiltak for å sikre tilgang til personopplysninger hvor tilgjengelighet er nødvendig? (gjelder også annen informasjon av betydning for informasjonssikkerheten) 9.2 Er det forberedt alternativ behandling dersom informasjonssystemet er utilgjengelig for normalt bruk? (f.eks. manuelle behandlingsrutiner eller duplisering av utstyr og programvare) 9.3 Har behandlingsansvarlig sørget for at det tas reservekopier backup av personopplysningene? Revisors vurdering av rutiner for sikring av tilgjengelighet 32
10. Sikring av integritet (forskriften 2-13) 10.1 Er det truffet tiltak mot uautorisert endring av personopplysninger der integritet er nødvendig? (valg av hvilke opplysninger det skal sikres integritet for og sikkerhetstiltak som må etableres som følge av resultatet av risikovurderingen) 10.2 Gjelder sikkerhetstiltakene også uautorisert endring av annen informasjon med betydning for informasjonssikkerheten? 10.3 Treffes det tiltak mot ødeleggende programvare? Revisors vurdering av tiltak for sikring av integritet 33
11. Sikkerhetstiltak (forskriften 2-14) 11.1 Er det etablert sikkerhetstiltak som skal hindre uautorisert bruk av informasjonssystemet og gjør det mulig å oppdage forsøk på slik bruk? 11.2 Registreres forsøk på uautorisert bruk av informasjonssystemet? 11.3 Dokumenteres sikkerhetstiltakene? Revisors vurdering av sikkerhetstiltak 34
12. Sikkerhet hos andre virksomheter (forskriften 2-15) 12.1 Overfører den behandlingsansvarlige personopplysninger elektronisk kun til den som tilfredsstiller krav i personopplysningslov/-forskrift? (unntak for utlandet, personopplysningsloven 29 og 30) 12.2 Har behandlingsansvarlige etablert klare ansvars- og myndighetsforhold overfor kommunikasjonspartene og leverandører beskrevet i særskilt avtale? 12.3 Har den behandlingsansvarlige kunnskap om sikkerhetsopplegg hos kommunikasjonspartene og leverandører? 12.4 Forsikrer den behandlingsansvarlige seg jevnlig om at sikkerhetsstrategien gir tilfredsstillende informasjonssikkerhet? 35
Revisors vurdering av rutiner for oppfølging av sikkerhet hos andre virksomheter 13. Dokumentasjon (forskriften 2-16) 13.1 Er rutiner for bruk av informasjonssystemet og annen informasjon av betydning for informasjonssikkerheten dokumentert? 13.2 Blir dokumentasjonen lagret i minimum 5 år fra det tidspunkt et dokument blir erstattet med ny gjeldende utgave? 13.3 Lagres registrering av uautorisert bruk av informasjonssystemer og av forsøk på uautorisert bruk i minimum 3 mnd? (tilsvarende med andre hendelser av betydning for informasjonssikkerheten) 36
Revisors vurdering av dokumentasjon Vedlegg: Oversikt over personopplysninger som behandles (jf. Veiledning i informasjonssikkerhet for kommuner og fylker, Datatilsynet 2005) 37
OVERSIKT OVER PERSONOPPLYSNINGER SOM BEHANDLES Informasjon/formål Hjemmel Melding/konsesjon /unntatt i forskriften Klassifikasjo n Sikringstiltak Lagring og kommunikasjon Opplysningenes omfang Skjemaet er hentet fra Datatilsynets Veiledning i informasjonssikkerhet for kommuner og fylker 2005 (side 11).