380 likes | 600 Views
BYDEL ALNA 07. 06. 2007 REVIDERT INSTRUKS FOR INFORMASJONSSIKKERHET. Dagsorden: Hovedtrekkene i instruksen Endringer som følge av ny IKT-organisering Instruksens forhold til arkivlov med forskrift og kommunens egen arkivinstruks. Konsekvenser for dokumentbehandling og arkivforvaltning.
E N D
BYDEL ALNA 07. 06. 2007 REVIDERT INSTRUKS FOR INFORMASJONSSIKKERHET Dagsorden: • Hovedtrekkene i instruksen • Endringer som følge av ny IKT-organisering • Instruksens forhold til arkivlov med forskrift og kommunens egen arkivinstruks. Konsekvenser for dokumentbehandling og arkivforvaltning
HOVEDTREKKENE I INSTRUKSEN Instruksen er: • er forankret i personopplysningsloven m/forskrifter • er harmonisert med sikkerhetsloven og den internasjonale sikkerhetsstandarden ISO 17799 • ble vedtatt 20.06.2002 og trådte i kraft fra samme dato • Oslo kommune har hatt retningslinjer for informasjonssikkerhet siden 1982 • Den første instruksen ble etablert i 1997 • Instruksen inneholder absolutte krav • Veiledningen – til hjelp med kommentarer og praktiske eksempler
fort… • Internkontrollsystemet i Oslo kommune skal brukes som et virkemiddel for å oppnå styring gjennom: • å legge til rette for forebyggende sikkerhetsarbeid for å hindre at uønskede hendelser inntreffer • aktiv bruk av risikovurdering • en effektiv og korrekt avviksbehandling
fort… • Instruksen, veiledningen og internkontrollsystemet utgjør et felles rammeverk for det praktiske arbeidet med informasjons-sikkerhet i kommunens virksomheter og skal benyttes • For å skape en felles sikkerhetskultur gjennom økt forståelse for behovet for informasjonssikkerhet • Som grunnlag for å etablere lokale sikkerhetsregelverk • Som utgangspunkt for å iverksette lokale fysiske, systemtekniske og organisatoriske sikkerhetstiltak • Som grunnlag for meldinger og konsesjonssøknader til Datatilsynet
HOVEDTREKKENE I INSTRUKSEN • Mål • Overordnede sikkerhetskrav • Krav til fysisk sikring • Krav til systemteknisk sikring • Krav til organisatorisk sikring
MÅL Målet for informasjonssikkerhet i Oslo kommune er rett informasjon til rett vedkommende til rett tid
OVERORDEDE KRAV 1. Informasjonssikkerhet er et kollektivt ansvar, men først og fremst et lederansvar som følger linjen 2. Tilfredsstillende sikkerhetsnivå skal etableres gjennom en fornuftig avveining mellom ulike tiltak for å sikre informasjonens kvalitet, tilgjengelighet og konfidensialitet 3. Sikkerhetsarbeidet skal ivareta lover og forskrifter og kommunens øvrige regelverk og instrukser for behandling av informasjon samt hensynet til kommunale effektivitetskrav
forts… 4. Sikkerhetsarbeidet skal rette særlig oppmerksomhet mot interne trusler 5. Sikkerhetsarbeidet skal omfatte både fysiske, system- tekniske og organisatoriske sikringstiltak 6. Sikkerhetstiltak skal forebygge, oppdage og reparere skade eller forringelse av informasjon forårsaket av uhell og feil så vel som overlagte handlinger 7. Sikringsområder skal prioriteres basert på risiko- og sårbarhetsvurderinger
forts… 8. Den enkelte virksomhet må selv beskrive og iverksette nødvendige sikkerhetstiltak som en oppfølging av risiko- og sårbarhetsvurderinger 9. Kommunens virksomheter skal etablere og dokumentere lokale instrukser og rutiner for ivaretakelse av informasjonssikkerheten 10. Det skal etableres rutiner for internkontroll i samsvar med kravene i Personopplysningsloven
FYSISKE SIKRINGSKRAV 1. Det skal treffes nødvendige tiltak mot uautorisert adgang til virksomhetens lokaliteter 2. IT-utstyr, arkiv og annet som lagrer informasjon skal sikres spesielt for å avverge og redusere skade som følge av brann, vannlekkasje, strømstans, m.v. 3. IT-utstyr skal plasseres slik at det er utilgjengelig for uvedkommende 4. Informasjon skal oppbevares og transporteres slik at den ikke er tilgjengelig for uvedkommende, skades eller går tapt. Kontorer som kan inneholde sensitive opplysninger, datarom/arkivrom og andre “kritiske” rom skal være avlåst når de ikke er bemannet
SYSTEMTEKNISKE SIKRINGSKRAV 1. Det skal rutinemessig tas sikkerhetskopi (backup) av program og data på felles servere og på felles systemer. Det skal foretas stikkprøvekontroller av at backup-/reservekopiene er korrekte og fungerer som forventet ved behov for gjenoppretting (restore) 2. Alle IT-systemer som benyttes i kommunens virksomheter skal inneholde mekanismer for logisk tilgangskontroll 3. IT-systemene skal inneholde funksjoner for logging i den utstrekning det ansees nødvendig for å kunne forebygge, oppdage og redusere skade som følge av misbruk og feil • Registrering av uautorisert bruk, forsøk på slik bruk og eventuelle andre hendelser som har eller kan ha betydning for informasjonssikkerheten, skal lagres i minst 3 måneder.
forts… 5. Det skal foretas nødvendig kontroll mot ondsinnet kode som datavirus etc. 6. Ved salg, kassering eller annen avhending av IT-utstyr skal det foretas forsvarlig sletting av data. Dette etter at en vurdering av om IT-utstyret inneholder bevaringsverdig dokumentasjon/ data som skal flyttes, evt. klargjøres for avlevering til Byarkivet, er gjort
forts… 7. Kommunens virksomheter skal etablere tilfredsstillende kommunikasjonssikkerhet: • Kommunikasjonstilknytninger mellom eksterne leverandører og virksomhetene via OKDN skal kun etableres når tillatelse til dette er gitt av UKE. • Mellom sikker sone (dvs. der det foretas behandling av sensitive personopplysninger) og intern sone (der det foretas behandling av opplysninger som ikke er personsensitive) skal det være en sikkerhetsbarriere som bl.a. skal sikre at brukere i intern eller i ekstern sone ikke har tilgang til IT-systemer og informasjoner i sikret sone. • Mellom sikker sone og eksternt nett skal det minst være 2 sikkerhetsbarrierer; det er etablert sentral barrieresikring i OKDN-nettet med kryptering av sensitiv informasjon som sendes over OKDN.
ORGANISATORISK SIKRING 1. Ved planlegging av nye, lokale IT-systemer skal krav knyttet til informasjonssikkerhet vurderes. Ved større anskaffelser, skal krav til systemtekniske tiltak innarbeides i den kravspesifikasjon som følger tilbudsforespørselen. 2. For alle IT-anvendelser i Oslo kommune, også virksomhetsspesifikke, skal standardløsninger som hovedregel velges. For øvrig skal rammekontrakter og vedtatte felles og sektorvise standardiseringskrav mht. teknologi og IT-anvendelser følges. 3. Pålegg knyttet til bruk av felles rammeavtaler med leverandører innen ulike produkt- og tjenesteområder skal følges. 4. Det skal være etablert virksomhetsspesifikke instrukser/rutiner for administrasjon av alle IT-systemer. For felles- og sektorsystemer, skal all systemadministrasjon koordineres av systemansvarlig instans for disse systemene. 5. Det skal være etablert rutiner for å sikre en enkel, effektiv og sikker drift av IT-systemene, uansett om driftsoppgavene utføres internt eller eksternt. 6. Det skal føres oversikt (inventarliste) over alt IT-utstyr og bruken av dette. Det skal likeledes være etablert rutiner for administrasjon av programvarelisenser.
forts… 7. For hvert system skal det utarbeides og vedlikeholdes en datamodell som beskriver hvor dataene kommer fra, hvilke bearbeidende prosesser de inngår i og hvor de avgis. 8. Det skal føres oversikt over alle personopplysninger som behandles i virksomheten og tiltak for å sikre tilfredsstillende behandling av disse skal dokumenteres. Denne dokumentasjonen skal være tilgjengelig for de den måtte angå. Personopplysninger skal uansett ikke behandles før evt. nødvendig samtykke er innhentet iht. kravene i personopplysningslovens § 8. 9. Det skal være etablert rutiner for rapportering, registrering og oppfølging av avvik og feilsituasjoner. 10. Det skal være utarbeidet en plan over tiltak som skal iverksettes dersom det oppstår en situasjon som kan eller er i ferd med å utvikle seg til et større uhell eller en katastrofe for virksomheten og for IT-systemene.
forts… 11. Medarbeidere på alle nivåer skal gjennomgå behovstilpasset opplæring i bruk av IT innen eget arbeidsområde generelt og informasjonssikkerhet spesielt. 12. Alle eksterne rådgivere, konsulenter og leverandører av IT-tjenester skal gjøres kjent med de reguleringer IT-området i virksomheten er underlagt. Oppdragstaker må forplikte seg til å etterkomme disse generelt, og dokumentere at krav til informasjonssikkerhet spesielt, er tilfredsstilt. Taushetserklæring skal undertegnes før arbeid igangsettes. 13. Det skal være utarbeidet rutiner for administrasjon av den taushetsplikt som påhviler kommunens ansatte og eksterne oppdragstakere. 14. Det skal være utarbeidet rutiner for håndtering av innsynsrett i forhold til innsynsbegjæringer knyttet til personopplysningslovens § 18, forvaltningslovens kap. IV og V og offentlighetsloven. 15. Alvorlige brudd på sikkerhetsbestemmelsene skal rapporteres til nærmeste overordnede.
LITT OM PRAKSIS Generelt: • Veldig varierende fokus og kvalitet på virksomhetenes arbeid med informasjonssikkerhet. • Tilgangskontroll • Regler og praksis på passordoppbygging • Internkontroll – manglende rutiner for avvikshåndtering • Aktiv bruk av logger • Manglende dokumentasjon • Manglende opplæring/bevisstgjøring • Varierende kompetanse på området
IKT-organiseringRoller FAGLIG PREMISS- GIVER Virksomhetsfaglig styring IKT-faglig styring Operativ utførelse IKT LEVERANDØR IKT STRATEG
forts… • Faglig premissgiver (virksomhetsfaglig styring) må utøves der ansvaret for det enkelte fag-/tjenesteområde ligger; i hver byrådsavdeling (felles- og sektoranvendelser) og virksomhet (virksomhetsspesifikke anvendelser) • IKT Strateg (IKT-faglig styring) må utøves ett sted i kommunen • IKT Leverandør skal primært utøves av eksterne aktører. Enkelte utførerfunksjoner krever av strategiske hensyn intern rolleutøvelse. Intern IKT Leverandør skal utøves ett sted i kommunen for effektiv ressursutnyttelse
FAGLIG PREMISS- GIVER SAMHANDLINGSPROSESSER, -METODIKK, -FORA OG AVTALER SAMHANDLINGSPROSESSER, -METODIKK, -FORA OG AVTALER IKT LEVERANDØR IKT STRATEG SAMHANDLINGSPROSESSER, -METODIKK, -FORA OG AVTALER forts…
HVILKE ENDRINGER BLIR DET I FORHOLD TIL IMPLEMENTERING AV NY IKT-ORGANISERING? Fysisk sikring innebærer blant annet å sikre informasjons-systemenes omgivelser mot tyveri og brann. Ny IKT-organisering vil påvirke alle de 4 kravene til fysisk sikring i instruksen. Ansvaret for fysisk sikring deles naturlig mellom virksomhetene og kommunens nettsentriske rom. Endringer: • All drift samles og sentraliseres til kommunens nettsentriske datarom. Lokale datarom vil ikke være nødvendig.
forts… • Totalt sett bedre fysisk adgangssikring i store leide bemannede housingmiljøer. • Totalt sett bedre sikring mot brann, vannlekkasje og brann for servere. • Totalt er IT-utstyret (spesielt server og kommunikasjonssiden) plassert enda mer utilgjengelig for uvedkommende og sikret redundant kommunikasjon og strøm. • Med OKDN-MAN er transportsikringen bedre og mer helhetlig ivaretatt.
forts… Systemteknisk sikring innebærer blant annet å sikre teknologi- Komponentene (IT-utstyr, kommunikasjonslinjer og –utstyr, programvare) og informasjon ved hjelp av program- eller maskintekniske sikkerhetsmekanismer/-barrierer. Ny IKT-organisering vil påvirke kravene 1, 4, 5, 6 og 7 til systemteknisk sikring i instruksen. I tillegg vil kravene 2 og 3 logges av eksterne driftere som vil tilgjengeliggjøre/oversende logger til virksomhetene for kontroll og oppfølging. Flere roller inn i den operative oppfølgingen av dette vil generelt styrke arbeidet.
fort… Endringer: • Rutinemessig backup sentraliseres og sikres bedre totalt sett for all informasjon i kommunen gjennom felles rutiner og prosedyrer for recovery og restore etc. • Logging av uautorisert bruk, forsøk på bruk eller ev. andre hendelser følges aktivt opp fra sentrale driftsleverandører. Loggene oppbevares i minst 3 måneder. Det utarbeides felles enhetlige rutiner for hele kommunen for hvordan dette skal håndteres. • Det vil være eksterne driftere som skal foreta nødvendig kontroll mot datavirus. Felles og enhetlige rutiner for løpende oppdatering og forebyggende tiltak, vil styrke kommunens situasjon totalt sett mot datavirus. (Mesteparten av datavirus spres i dag fra innsiden av kommunen.)
forts… • Felles praksis og rutiner for implementering av sonemodeller (sikre og interne soner) vil styrkes med et sentralisert ansvar.
forts… Organisatorisk sikring fokuserer på det menneskelige element og det ansvar ledere og medarbeidere har i sikkerhets-sammenheng. Sikringstiltakene kan være knyttet til administrative rutiner for behandling av informasjon, ansvars- og arbeidsdeling, opplæring/motivasjon og kontroll/sanksjoner. Ny IKT-organisering vil påvirke kravene 1, 2, 5, 6, 7, 8 og 9 til organisatorisk sikring i instruksen. Det vil bli en mer helhetlig og enhetlige sikkerhetsarbeid. Instruksen skal oppdateres med de nye IKT-rollene.
forts… Endringer : • Ved anskaffelse av nye IKT-systemer, skal IKT Strateg utarbeide de tekniske kravspesifikasjonene og krav til informasjons-sikkerhet. • Det vil gjennom fremtidige anskaffelser sikret på en bedre måte at kommunen anskaffer standardløsninger. Systemutvikling er ikke en kjernekompetanse for kommunen. • All kommunens drift sentraliseres og underlegges felles rutiner for enkelt, effektiv og sikker drift. • De nye drifterne har ansvaret for full inventaroversikt over servere, programvare, PC-er og skrivere. • Kravene til datamodeller vil innskjerpes ved flyttingen til sentralt driftsmiljø.
forts… • Hver virksomhet skal fortsatt ha oversikter over alle sine personopplysninger. I tillegg vil det nå lages totaloversikter for kommunen hos IKT Strateg som skal kontrolleres opp mot meldinger og konsesjonssøknader hos Datatilsynet. • Med den sentraliserte driften etableres det felles rutiner for rapporering, registrering og oppfølging av avvik og feil-situasjoner.
Virksomhetsleders ansvar er det samme Virksomhetsleders ansvar: Virksomhetsleder er behandlingsansvarlig for opplysninger som kommer inn under Personopplysningslovens bestemmelser. Han/hun har et selvstendig tilsyns-, sikkerhets- og kontrollansvar for virksomhetens bruk av informasjonsteknologi. Dette gjelder så vel lokal bruk av felles- og sektorløsninger som virksomhets- spesifikke systemer.
forts… Virksomhetsleder har følgende ansvar: • påse at det ved behov foretas lokale risikovurderinger • iverksetting og vedlikehold av lokale tiltak som er nødvendige for at felles- og sektorsystemer - i lokal implementasjon - skal tilfredsstille lover, instrukser og fastlagt sikkerhetsnivå - det overordnede ansvaret for at den generelle arkiv- og dokumentbehandling i virksomheten tilfredsstiller krav til sikkerhet, herunder tilgjengelighet og personvern
forts… • at det operative ansvaret for informasjonssikkerheten er definert og tilrettelagt på en slik måte at alle ledere og medarbeidere kan ivareta sitt sikkerhetsansvar • å etablere tiltak for internkontroll i henhold til kravene i Personopplysningsloven - å sørge for at virksomheten etterlever melde- og konsesjons-plikten overfor Datatilsynet
INSTRUKSEN FORHOLD TIL ARKIVLOV MED FORSKRIFT OG KOMMUNENS EGEN ARKIVINSTRUKS Noen relevante berøringspunkter (ingen uttømmende sammenstilling): • §6 Arkivansvaret: ”Offentlige organ plikter å ha arkiv, og desse skal være orda og innretta slik at dokumenta er trygge informasjonskjelder for samtid og ettertid.” Kommentar: • Dette stiller krav til integritet, tilgjengelighet og konfidensialitet og er helt i tråd med målsetning for informasjonsikkerhetsinstruksen om rett informasjon til rett vedkommende til rett tid
forts… • § 2-6 Journalføring og anna registrering: ”Journaler skal førast elektronisk eller på papir. Dersom journalen inngår i eit elektronisk arkiv – eller saksbehandlingssystem, skal ein på en enkel måte kunne hente ut og gjere tilgjengelig dei journalopplysningane som allmenta har krav på å få innsyn i, jf. § 2-7 • Kommentar: Dette kan ses i sammenheng med informasjonssikkerhetsinstruksens krav til om logisk tilgangskontroll og autorisasjonsrutiner. For at løsningen skal være tilgjengelig fordrer dette også at driftsrutiner følges og logging av aktivitet foretas. Organisatorisk så fordrer det opplæring i bruk slik at de ansatte kan bruke løsningen på ”riktig” måte slik at ikke dokumenter unntatt offentlighet havner på offentlig postjournal på Internet.
forts… • §2-10. Kvalitetssikring av elektronisk journal og arkivsystem: ”Leiinga for organet må avgjere kven som skal ha høve til å gjere ulike former for registreringer og rettinger i basen.” • Kommentar: Dette går på autorisasjonsrutiner og logging. Hvem kan gjøre hva i systemet og hvilke aktiviteter skal logges. Instruksen stiller krav om dette.
forts… • §2-10 …Kvar dag skal det takast tryggingskopi av databasen på elektronisk lagringsmedium. Tryggingskopiane skal lagrast på einingar som er fysisk åtskilde frå dei einingane der databasen ligg. • Kommentar: Instruks for informasjonssikkerhet stiller klare krav til rutinemessig sikkerhetskopi (Backup) av program og data. Det skal også foretas stikkprøvekontroller av at backup er korrekte og fungerer som forventet ved behov for gjenoppretting (restore). Instruksen stiller også klare krav til at IT-systemene skal inneholde funksjoner for logging som ansees som nødvendige for å forebygge, oppdage og redusere skade som følge av misbruk og feil.
forts… • §3-2. Behandling av telefaks og elektronisk post: Dokument som blir avsende eller mottekne via telefaks og e-post, og som etter form eller innhald må reknast som saksdokument for organet, skal arkivmessig behandlast som andre saksdokument etter denne forskrifta.” • Kommentar: Er det mye informasjon på e-post som er saksdokumenter som ikke kommer inn i arkivene våre? Informasjon på avveie som ikke er tilgjengelig som den skal.
forts… • §4-1 Almenne krav til arkivlokale: ”Arkivlokala hos offentlege organ skal gi arkivmaterialet vern mot vatn og fukt, mot brann og skadeleg varme, mot skadeleg påverknad frå klima og miljø og mot skadeverk, innbrot og ulovleg tilgjenge.” • Kommentar: Instruksen stiller krav til fysisk sikring og adgangskontroll til IT-utstyr, arkiv og annet som lagrer informasjon.
forts… • ”At vi låser ytterdøren, betyr ikke at vi ikke vil ha besøk, men at vi selv vil bestemme når, av hvem og hva som skal serveres.” Georg Apenes, Direktør i Datatilsynet • Se for øvrig på http://utviklings-og-kompetanseetaten.oslo.kommune.no/ikt/sikkerhet/