Teknisk Infrastruktur, Projekt 2010 - Västmanlands Kommuner och ...

More documents

Recommendations

Info

HuvuddokumentHuvuddokumentet innehåller rekommendationer för nödvändigt skydd vidöverföring och lagring av information med ett antal rekommenderade säkerhetsåtgärderper säkerhetsaspekt enligt nedan.1. Sekretess/konfidentialitetSyftet med rekommendationerna inom området sekretess/konfidentialitet är att:- informationsutbyte över ett öppet nätverk (som t.ex. Internet) ska skyddasmot insyn vid kommunikationstillfället- lagrad information inte ska kunna läsas av obehöriga enbart behöriga (genomautentisering och auktorisering) ges åtkomst till informationen2. Sekretess/AutentiseringSyftet med rekommendationerna inom området sekretess/autentisering är attgarantera att:- enbart behöriga (genom autentisering och auktorisation) har tillgång tillinformationen- uppnå god spårbarhet genom tillräcklig autentiseringKrav på autentisering gäller inte enbart användare utan även utrustning (servrar,klientdatorer, trådlösa accesspunkter, webbtjänster). I grunden är det inte någonskillnad - ett certifikat som delas ut till ett system kan ha samma höga krav somutgivningen till en person.3. RiktighetDen information som finns i ett system får inte vara obehörigen förändrad,förvanskad eller raderad.Det innebär också att kunna upptäcka om information har förändrats och omobehöriga förändringar upptäcks ska det finnas tekniska funktioner som:- eventuellt automatiskt kan ändra tillbaka information till ursprunglig formoch innehåll- kan larma berörda personer att en förändring har skett och hindra attinformationen används- kan logga händelsen för senare analys- kan begära en omsändning av informationen4. SpårbarhetMed spårbarhet menas att det i efterhand ska gå att spåra relevanta händelser ochåtgärder som utförs i ett system.5. TillgänglighetMed tillgänglighet menas att data och information ska finnas tillgänglig för rättpersoner eller system i rätt tid, på rätt sätt och på rätt plats. Normalt skapastillgänglighet genom olika tekniska och/eller administrativa åtgärder baserade påextra kopior, redundant lagring, etc. Det är viktigt att identifiera de olikainformationstyper som förekommer i verksamheten och för varje typ ange på vilkennivå tillgänglighetsbehovet ligger.AvgränsningRapporten är inte fullständig inom alla skyddsområden. Exempelvis har en vissavgränsning gjorts från rekommendationer om tillgänglighet.Området tillgänglighet behandlas av andra pågående arbeten, t.ex. ett av Regeringenutpekat projekt inom Myndigheten för samhällsskydd och beredskap vilket planerasbli klart under våren 2011.22 Teknisk Infrastruktur, Projekt 2010, Kommunal IT-samverkan i vård och omsorg
ReferensbilagaReferensbilagan utgör en teknisk fördjupning kring det material som behandlas iprojektet. Innehållet är tekniskt hållet och uppställt som ren information.Dokumentet är framtaget för att ge den intresserade en bakgrund till de rekommendationerkring informationssäkerhet som presenteras i huvuddokumentet.2. Tillämpning på användningsscenarierProjektets andra huvudmål var att ta prova de framtagna rekommendationerna förinformationsskydd och riktlinjer för ett säkert informationsutbyte via Internet.För att visa hur de rekommendationer som tagits fram i rapporten kan appliceraspå verkliga system har två sammansatta system kring vilka projektgruppen haftspecialkunskaper analyserats.- Läkemedelsförteckningen med inloggning via Mina vårdkontakter. Detsammansatta systemet består såväl av invånare-system, anställd-systemsamt system-system kopplingar.- Katalogsynkronisering mellan EK/HSA-katalog, lokal katalog samtanvändarkatalog för socialtjänstesystemet Combine hos Upplands Väsbykommun. Fokus inom ramen för detta användningsscenario ligger påsystem-system kopplingarna.3. Förankra hos berörda myndigheterDet tredje målet var att förankra och göra avstämningar av projektets leveranser medberörda myndigheter. Det visade sig dock finnas måttligt eller inget intresse alls frånderas sida att tillmötesgå våra ambitioner. Något som troligen till största del kantillskrivas att även de hade en fulltecknad agenda och att tidsbrist var deras störstaursäkt för att inte hinna uppfylla våra behov inom ramen för projektet.PROJEKTETS ERFARENHETERInformationsklassningEn av de viktigaste slutsatserna som projektet kom fram till utöver att se till att manhar relevanta och kvalitetssäkrade tekniska skydd för att främja informationssäkerheten,är att i det löpande informationssäkerhetsarbetet och i sin Informationssäkerhetspolicyäven inkluderar aktiviteter för Informationsklassning.Varje verksamhet behöver genomföra en informationsklassning av data ochinformationsinnehållet i sina processer med utgångspunkt från en vedertageninformationsklassningsmodell. Exempel på en sådan Informationsklassningsmodellfinns med i projektets leveranser och har sitt ursprung från Myndigheten förSamhällsskydd och Beredskaps (MSB) verktyg BITS+.Processen ger tillräckligt skyddEn annan viktig slutsats var att ”processen” som vi beskrivit leder fram till etttillräckligt skydd som klarar att hantera integritetskänsligheten i uppgifterna.Processen för att åstadkomma skyddad information är, lite förenklat:A. Informationsklassning (verksamhetens ansvar) B. Skyddsbehov (verksamhet och IT-tekniker utreder tillsammans medstöd av rekommendationer i detta projekt, verksamheten beslutar) C. Anskaffa/etablera skydd (IT etablerar) Teknisk Infrastruktur, Projekt 2010, Kommunal IT-samverkan i vård och omsorg 23
Page 2 and 3: Upplysningar om innehållet:Christe
Page 4: 4 Teknisk Infrastruktur, Projekt 20
Page 8 and 9: Strategiskt styra, ställa krav på
Page 10 and 11: Projekt 1:Federativ lösning förid
Page 12 and 13: 2. Genomförda pilottesterErfarenhe
Page 14 and 15: FORTSATTA STUDIERFör 2011 fortsät
Page 16 and 17: PROJEKTETS RESULTATProjektet har ta
Page 18 and 19: FORTSATTA STUDIERFör 2011 fortsät
Page 20 and 21: IT-säkerhetBilden beskriver de bes
Page 24 and 25: Verksamhetens ansvarEn tredje vikti
Page 26 and 27: Projekt 4:En länsnod för elektron
Page 28 and 29: Detta pilotprojekt har gett följan
Page 30 and 31: AvslutningsvisAlla projektdeltagare
Page 32: PROJEKT 2010Denna rapport presenter

Teknisk Infrastruktur, Projekt 2010 - Västmanlands Kommuner och ...

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?