Kapittel 1: Innledning

Transkript

1 Kapittel 1: Innledning - Universitetet i Oslo Kapittel 1: Innledning IT-sikkerhetsarbeidet skal være tydelig forankret og godt kjent i universitetets ledelse og ha denne ledelsens uttalte støtte, oppmerksomhet og engasjement. IT-sikkerhetsledelse skal inngå som en del av lederoppgavene på linje med annet sikkerhetsarbeid på universitetet. Innholdsfortegnelse 1.1. Virkeområde 1.2. Målgrupper 1.3. Eierskap, godkjenning og revisjon 1.4. Versjon Grunnlaget for arbeidet 1.6. Prosedyrer og rutiner IT er ikke lenger bare snakk om drift og leveranser av tjenester, IT inngår som en vesentlig del i utviklingen av universitetets prosesser og virksomhet og gir universitetet nye muligheter og evner i arbeidet med å nå sine mål. (Fra dokumentet Organisering og standardisering av universitetets IT-virksomhet behandlet i Universitetsstyret 27. oktober 2012) Behovet for en systematisk oversikt og samling av de retningslinjer og rutiner som ligger til grunn for arbeidet med IT-sikkerhet springer ut av universitetets avhengighet av IT og IT-ressurser i sin daglige og langsiktige virksomhet. Trusler som i sin konsekvens svekker eller hindrer universitetets og den enkelte brukers tilgang til IT-ressursene eller åpner disse for misbruk, er ikke bare en trussel mot universitetets og brukernes mulighet til å løse sine oppgaver og nå sine mål. Truet er også de store materielle og immaterielle verdier som universitetet forvalter og den store mengden av informasjon som er gitt i fortrolighet eller samlet inn på en slik måte at de omfattes av lov om personopplysninger. I tillegg kommer den ødeleggende virkning ulike sikkerhetshendelser kan få for omdømmet til Universitetet i Oslo Virkeområde Håndboka samler retningslinjer for alle deler av IT-sikkerhetsarbeidet, inkludert informasjonssikkerheten. Den gjelder for all IT-virksomhet på universitetet enten den skjer i regi av USIT eller av andre enheter ved universitetet. Den er således styrende for: Sentral og lokal IT på universitetet System- og tjenesteeiere Institusjoner i universitetets randsone som benytter seg av universitetets IT-tjenester og IT-infrastruktur Samarbeidstiltak, inkludert tiltak som universitetet er vertskap for I tillegg vil aktuelle deler av håndboka gjøres gjeldende for USITs oppdragsvirksomhet. Retningslinjene i IT-sikkerhetshåndboka er utformet i tråd med og skal være i overensstemmelse med lov- og regelverk på området og vedtak fattet av universitetets ledelse (universitetsstyre, rektor, universitetsdirektør). I den grad retningslinjer trukket opp i håndboka strider mot noe av dette, er det retningslinjene i håndboka som viker. På den andre siden er IT-sikkerhetshåndboka overordnet instrukser, rutiner og anbefalinger utformet og gitt av underordnete enheter. IT-sikkerhetshåndboka inngår som en del av dokumentasjonen av sikkerhetsarbeidet på universitetet. I tillegg 1 of 3 15/09/14 20:29

2 Kapittel 1: Innledning - Universitetet i Oslo til IT-sikkerhetshåndboka omfatter dette: Instrukser og beredskapsplaner utarbeidet av Eiendomsavdelingen v/sikkerhetssjefen HMS-håndboka og andre bestemmelser på HMS-området 1.2. Målgrupper IT-sikkerhetsarbeid et en virksomhet som omfatter hele organisasjonen og IT-sikkerhetshåndboka har flere målgrupper: Universitetets ledelse og ledelsen ved fakulteter og andre enheter IT-tilsatte i sentral og lokal IT System- og tjenesteeiere Universitetets IT-brukere (ansatte og studenter) Samarbeidstiltak universitetet er vertskap for og samarbeidende organisasjoner, inkludert organisasjoner og institusjoner i universitetets randsone 1.3. Eierskap, godkjenning og revisjon Universitetsdirektøren er øverste ansvarlig for IT-sikkerheten på universitetet og eier IT-sikkerhetshåndbok for Universitetet i Oslo. IT-sikkerhetshåndboka gjennomgås og revideres årlig. IT-direktøren koordinerer arbeidet med revisjonen og legger forslag til endringer fram for universitetsdirektøren. Universitetsdirektøren avgjør om endringene er av en slik karakter at de skal legges fram for godkjenning av rektor eller universitetsstyret. Til hvert kapittel er det nedfelt noen overordnete prosedyrer og rutiner. Ansvaret for utforming av prosedyrer, rutiner og andre bestemmelser i denne delen av håndboka tilligger IT-sikkerhetssjefen i samarbeid med linjeledere og godkjennes av IT-direktøren Versjon 2.0 Dette er versjon 2.0 av IT-sikkerhetshåndboka. Den første versjonen ble utarbeidet av en arbeidsgruppe på USIT oppnevnt av IT-direktøren. Den andre versjonen er en revidert og oppdatert utgave av versjon 1.0 utført av IT-sikkerhetssjefen på oppdrag fra IT-direktøren Grunnlaget for arbeidet Arbeidet med IT-sikkerhetshåndboka bygger på den internasjonale standarden på området, ISO/IEC 27002:2005 Information Technology Security Techniques Code of Practice for Information Security Management. IT-sikkerhetshåndboka følger disposisjonen i denne standarden. Denne standarden anbefaler Direktoratet for forvaltning og IKT (DIFI) lagt til grunn for arbeidet med styringssystem for informasjonssikkerhet i offentlig virksomhet. USIT er pr 2012 ikke sertifisert etter denne standarden, men følger den der det formålstjenlig Prosedyrer og rutiner Med utgangspunkt i dette kapittelet er følgende prosedyrer og rutiner beskrevet: 1. Årlig revisjon av IT-sikkerhetshåndbok for Universitetet i Oslo 2. Utarbeiding og godkjenning av prosedyrer i IT-sikkerhetshåndbok for Universitetet i Oslo 2 of 3 15/09/14 20:29

3 Kapittel 1: Innledning - Universitetet i Oslo Publisert 22. jan :45 - Sist endret 29. aug :49 3 of 3 15/09/14 20:29

4 Kap 2: Begreper og definisjoner - Universitetet i Oslo Kap 2: Begreper og definisjoner IT-sikkerhetsarbeidet skal benytte et vokabular som tydelig og utvetydig beskriver bestemmelser, tiltak og andre forhold i denne delen av IT-virksomheten. BEGREP: Administrativt IT-system Autentisering Autorisering Autoritativt system Behandlingsansvarlig Brukerdata Brukerprogramvare Brukerutstyr Båndbredde CERT FEIDE Hjemmemaskin Hjemmevakt Identifikasjon Informasjonssikkerhet Informasjonssystem Integritet IT-bruker BETYDNING: IT-systemer som benyttes til og understøtter løsningen av administrative oppgaver i en organisasjon Bekreftelse av identitet ved hjelp av noe en person vet, har eller er, for eksempel at en IT-bruker bekrefter sin identitet ved hjelp av et personlig passord Tillatelse til å utføre en handling, tildeling av rettigheter i et system System som lagrer og leverer informasjon om noe og er anerkjent og har status som opprinnelig kilde til denne informasjonen Ansvarlig for behandling av personopplysninger i virksomheten ved universitetet, skal påse av formålet for og hjelpemidlene i denne behandlingen er innmeldt på forskriftsmessig vis Data brukeren selv har til rådighet og lagret på medier brukeren selv har kontroll med tilgangen til Den programvare brukeren benytter i sin virksomhet på universitetet Det utstyr (stasjonær og bærbar PC, nettbrett, smarttelefon eller annet utstyr) brukeren benytter for å få tilgang til universitetets IT-tjenester En kommunikasjonskanals kapasitet til overføring av informasjon Computer Emergency Response Team, en gruppe som har ansvar for daglig oppfølging av trusler og hendelser som kan kompromittere IT-tjenester og IT-systemer Felles elektronisk ID Datamaskin som brukeren har tilgjengelig hjemme og som kan etablere forbindelse til universitetets nett og gi brukeren tilgang til IT-tjenester og IT-systemer der Vaktordning utenom ordinær arbeidstid med oppdrag å overvåke feilsituasjoner og problemer og i spesielle tilfelle selv løse disse eller kontakte andre som kan løse dem Noe som knytter en identitet i et system til en person, for eksempel et brukernavn Tiltak for å sikre informasjonens konfidensialitet, integritet og tilgjengelighet IT-system som lagrer, administrere og gjør tilgjengelig data tilknyttet en eller annen anvendelse, består ofte av en eller flere databaser med tilhørende applikasjoner Sikring av en informasjons nøyaktighet, fullstendighet og opprinnelighet En person som på grunnlag av registrering i et autoritativt system er tildelt brukernavn og passord og på basis av dette har tilgang til IT-tjenester og IT-systemer ved universitetet 1 of 3 15/09/14 20:29

5 Kap 2: Begreper og definisjoner - Universitetet i Oslo IT-ressurs IT-sikkerhet IT-system IT-tilsatt IT-tjeneste Kapasitet Katastrofesite Konfidensialitet Lokal IT-tilsatt Nett, trådfast og trådløst Personopplysninger Personvernombud Priviligert bruker Risikovurdering/-analyse Sensitive data Sikkerhetshendelse Sikkerhetsnivå SLA Service Level Agreement Stabilitet IT-basert innretning som inngår som del av en IT-tjeneste eller et IT-system, omfatter nett, programvare, maskinvare, lagringssystemer etc Tiltak innrettet på å sikre IT-tjenester og IT-systemer på et for organisasjonen akseptabelt sikkerhetsnivå Samlingen av de IT-løsninger som inngår i et system som kan benyttes til å løse et sett av beslektede oppgaver Tilsatte ved universitetet som har som sin arbeidsoppgave drift, vedlikehold, utvikling eller støttetjenester knyttet til IT-virksomheten ved universitetet Enhver IT-basert tjeneste som brukerne får tilgang til ved universitetet Et systems evne til å løse en bestemt oppgave Et reservested der kopi av kritiske data lagres og der kritiske tjenester kan kjøres dersom den ordinære tjenesten ikke er tilgjengelig Sikring av informasjon mot ikke-autorisert innsyn i, endring eller offentliggjøring Tilsatt ved enheter ved universitetet med oppgave å ta seg av brukernære drifts- og støttetjenester Nettet på universitetet er delt i en trådfast del der maskinen koples til nettet via kabel og en trådløs del. Det stilles forskjellig krav til maskiner som skal koples til de to delene av nettet Opplysninger som kan knyttes til og identifisere en person Ansvarlig for oppfølging av lov om personopplysninger ved institusjonen, skal påse at behandlingsansvarlige følger de lover og forskrifter som gjelder for behandling av personopplysninger Bruker som i et system er tildelt spesielle rettigheter som går utover rettighetene en ordinær bruker av systemet har Kartlegging av sårbarheter ved et system og hvor sannsynlig det er for at de ulike sårbarhetene kan utnyttes til å skaffe noen urettmessig tilgang til systemet. Ledsages av en anbefaling av tiltak som sikrer et for organisasjonen akseptabelt sikkerhetsnivå I følge Lov om behandling av personopplysninger omfatter sensitive data opplysninger om en persons rasemessige eller etniske bakgrunn, politisk, filosofisk eller religiøs oppfatning, om en person har vært mistenkt, siktet, tiltalt eller dømt for en straffbar handling, helsemessige forhold, seksuelle forhold og medlemsskap i fagforeninger Enhver hendelse som kan kompromittere sikkerheten i et system eller en tjeneste og åpne denne for urettmessig tilgang Det sikkerhetsnivå ansvarlig myndighet har bestemt skal gjelde for organisasjonens virksomhet Se tjenesteavtale Oppetid, mål på den tiden et system eller tjeneste er tilgjengelig for brukeren, henger ofte sammen med tilgjengelighet 2 of 3 15/09/14 20:29

6 Kap 2: Begreper og definisjoner - Universitetet i Oslo Standard driftsopplegg Systemeier Systemforvalter Systemprogramvare Sårbarhetsvurdering/-analyse Tilgjengelighet Tjenesteavtale Tjenesteansvarlig Tjenesteerklæring Trusselbilde De krav som stilles til maskiner som koples til nettet, omfatter krav til operativsystem, konfigurasjon av systemet, rutiner for oppgradering med mer Eieren av et system, ansvarlig for spesifikasjon av funksjons- og kvalitetskrav til utvikling og drift av systemet, samt finansieringen av dette Ansvarlig ved Universitetet i Oslo for et system i de tilfelle der systemeier er et organ som representerer flere institusjoner, ansvarlig for de institusjonsspesifikke kravene til systemet Den programvare som sammen med operativsystemet gjør en datamaskin operativ Se risikovurdering/-analyse Responstid, svartid, mål på den tiden det tar å utføre bestemte operasjoner i et system, inkluderer også sikring mot tap eller vesentlig avbrudd i brukerens tilgang til en tjeneste eller et system En avtale om å levere en tjeneste eller et system med funksjons- og kvalitetskrav som partene har definert i avtalen og med bestemmelser som sanksjoner når ett eller flere av disse kravene ikke imøtekommes Ansvarlig på USIT for leveransen av en tjeneste og at denne er i henhold til det som måtte finnes av funksjons-, kvalitets- og sikkerhetskrav til tjenesten En løsere form for tjenesteavtale med en ofte omfattende beskrivelse av hvilke tjenester og systemer som skal leveres til en organisasjon Oversikt over trusler mot et system eller en tjeneste som så utgjør grunnlaget for risikovurderingen/-analysen Se også Definisjoner av begreper brukt i USITs driftsmiljøer. Publisert 22. jan :45 - Sist endret 29. aug :53 3 of 3 15/09/14 20:29

7 Kapittel 3: Prinsippene for IT-sikkerhetsarbeidet - Universitete... Kapittel 3: Prinsippene for IT-sikkerhetsarbeidet Grunnlaget og retningslinjene for IT-sikkerhetsarbeidet skal være tydelig formulert og enkelt tilgjengelig, være godkjent av universitetets ledelse og være tilgjengelig for dem som måtte ha behov for eller legitim interesse av det. Innholdsfortegnelse 3.1. Beskyttelse, kontroll og reaksjon Sikkerhet i dybden Driftssikkerhet Informasjonssikkerhet 3.2. Prinsipper for IT-sikkerhetsarbeidet IT-sikkerhetsarbeidet har som utgangspunkt målene Universitetet i Oslo har formulert for sin virksomhet blant annet i Strategi For å nå målene for sin virksomhet er universitetet avhengig av utstrakt bruk av IT og IT-tjenester. Det overordnete målet for IT-sikkerhetsarbeidet er: Å sikre rett nivå på sikkerhet, stabilitet, tilgjengelighet og kvalitet av IT-tjenester og IT-ressurser slik at primærvirksomheten og støttetjenestene kan utføres mest mulig problem- og avbruddsfritt. Dette krever tekniske, organisatoriske og praktiske tiltak som dekker alle sidene ved IT-sikkerheten: Beskyttelse og sikring Kontroll og overvåking Reaksjon og oppfølging IT-sikkerhetstiltakene skal favne alle IT-ressurser på universitetet, infrastruktur, tjenester og systemer, maskin- og programvare, samt data og informasjon Beskyttelse, kontroll og reaksjon IT-sikkerhetsarbeidet på universitetet omfatter tre grupper av tiltak som alle må ivaretas på en hensiktsmessig måte og som samlet utgjør et helhetlig sikkerhetsopplegg: Beskyttelse og sikring: Tiltak for å beskytte og sikre utstyr, tjenester, systemer, ressurser og annet mot avbrudd, feil, innbrudd, misbruk, ødeleggelse eller andre trusler mot sikkerheten, tilgjengeligheten, stabiliteten og kvaliteten i IT-tjenestene og IT-systemene Kontroll og overvåking: Tiltak for å kontrollere og verifisere at sikringstiltakene fungerer og for å fange opp unormale situasjoner og omstendigheter som kan representere en trussel Reaksjon og oppfølging: Tiltak for å identifisere og eliminere årsaker og følge opp sikkerhetsbrudd for å hindre at hendelsen inntrer på nytt, eventuelt med sanksjoner mot dem som måtte ha forårsaket dem Sikkerhet i dybden 1 of 4 15/09/14 20:29

8 Kapittel 3: Prinsippene for IT-sikkerhetsarbeidet - Universitete... Universitetet i Oslo bygger sitt IT-sikkerhetsarbeid på prinsippet om sikkerhet i dybden. Dette innebærer å bygge et forsvarsverk med flere nivåer av sikkerhetstiltak. De viktigste nivåene i dette forsvarsverket er: Sikkerhet i nettet, både i porten inn og ut av universitetsnettet, internt mellom de ulike delene av universitetsnettet og i nettkomponentene Sikkerhet i tjenestene og systemene som benyttes i organisasjonen, inkludert operativsystem og systemprogramvare på maskinutstyret der tjenestene og systemene går Sikkerhet på arbeidsplassutstyret og annet brukerutstyr som benyttes i organisasjonen En kompetent IT-organisasjon med god innsikt i og kunnskap om alle sider av IT-sikkerheten og som rår over de verktøy som trengs for effektivt sikkerhetsarbeid Oversikt, kunnskap og årvåkenhet hos den enkelte IT-tilsatte og bruker På alle nivåer skal sikkerhetstiltakene være beskrevet for de ulike interessentgruppene i enkelt tilgjengelig og tilpasset informasjon og dokumentasjon Driftssikkerhet Driftssikkerhet er en vesentlig del av IT-sikkerheten ved siden av den betydningen den har for tilgjengelighet ( responstid ) og stabilitet ( oppetid ). Faktorer det legges vekt på for å oppnå tilfredsstillende driftssikkerhet, er: Et godt fysisk driftsmiljø med stabil strømforsyning, kjøling etc og med tilfredsstillende fysisk sikring mot urettmessig tilgang, tyveri, brann, vannskade etc Tilstrekkelig kapasitet på maskinvare og nett Reduksjon av kompleksitet Feiltolerante løsninger for viktige tjenester og funksjoner Sikring av tjenester og systemer, data og informasjon Informasjonssikkerhet Spesifikt for informasjonssikkerheten innebærer dette tiltak som sikrer alle parter følgende: Tilgjengelighet: Sikrer mot tap av eller avbrudd i tilgangen til informasjon og data Konfidensialitet: Sikrer mot ikke-autorisert innsyn i, endring av eller offentliggjøring av informasjon og data Integritet: Sikrer informasjonens og datas nøyaktighet, fullstendighet og opprinnelighet 3.2. Prinsipper for IT-sikkerhetsarbeidet IT-sikkerhetsarbeidet på Universitetet i Oslo bygger på følgende prinsipper: 1. Forankring i universitetets ledelse: IT-sikkerhetsarbeidet skal være tydelig forankret og godt kjent i universitetets ledelse og ha denne ledelsens uttalte støtte, oppmerksomhet og engasjement. IT-sikkerhetsledelse skal inngå som en del av lederoppgavene i linja 2. Kontinuerlig oppfølging: IT-sikkerhetsarbeidet skal rapporteres i linja for IT-sikkerhetsorganisasjonen i tråd med rutiner beskrevet i IT-sikkerhetshåndboka 3. Klart formulert grunnlag: Grunnlaget og retningslinjene for IT-sikkerhetsarbeidet skal være tydelig formulert og enkelt tilgjengelig, være godkjent av universitetets ledelse og være tilgjengelig for dem som måtte ha behov for eller legitim 2 of 4 15/09/14 20:29

9 Kapittel 3: Prinsippene for IT-sikkerhetsarbeidet - Universitete... interesse av det 4. Bevissthet om sårbarhet, trusler og risiko: Til grunn for IT-sikkerhetsarbeidet skal det ligge en vurdering av det generelle trusselbildet og hvilke sikkerhetstiltak dette krever. For kritiske systemer og tjenester skal en spesifikk risikovurdering legges til grunn for sikringstiltak utover de generelle sikringstiltakene 5. Planlagte IT-sikkerhetstiltak: Det skal utarbeides årlige handlingsplaner med tiltak som skal gjennomføres for å redusere sårbarhet og bedre IT-sikkerheten 6. Tydelig ansvars- og oppgavedeling: Universitetet skal ha en IT-sikkerhetsorganisasjon der roller, beslutnings- og rapporteringslinjer er klart definert og der myndighet og fullmakter på de ulike nivåene er like klart definert. 7. Kartlagte og klassifiserte IT-tjenester: Det skal foreligge en oversikt over universitetets IT-tjenester og IT-systemer. I denne oversikten skal tjenestene og systemene klassifiseres i forhold til viktighet og denne klassifiseringen skal danne grunnlag for tiltak knyttet til sikring av tjenester og systemer 8. Roller og ansvar for den enkelte: For de ulike gruppene av personell (brukere, IT-ansatte etc) som kommer i berøring med IT-tjenestene og IT-systemene ved universitetet, skal det foreligge klare bestemmelser knyttet til arbeidsavtaler, taushetsplikt, sikkerhetsklarering med mer. Det skal eksistere tilbud om opplæring av de ulike gruppene for å sikre nødvendig kompetanse innen IT-sikkerhet. Det skal eksistere retningslinjer for representanter for tredjeparts tilgang til IT-tjenestene og IT-systemene 9. Forsvarlig fysisk sikring: Lokaler med IT-utstyr skal være forsvarlig fysisk sikret mot urettmessig tilgang, samt brann, vannskade, tyveri og lignende hendelser. Lokaler som huser kritiske IT-ressurser skal i tillegg ha sikker strømforsyning og et kontrollert miljø (kjøling, luftfuktighet etc) 10. Tilstrekkelig teknisk sikring: IT-systemene og IT-tjenestene skal være tilstrekkelig sikret teknisk mot uberettiget tilgang til og misbruk av data og IT-ressurser, mot redusert tjenestekvalitet og mot tap av data. Samtidig skal kravene til datas tilgjengelighet, konfidensialitet og integritet ivaretas 11. Identifiserbare brukere og prosesser: Universitetet i Oslo skal ha autoritative systemer for personinformasjon om brukere som grunnlag for identifikasjon, autentisering og autorisering i forhold til IT-systemer og IT-tjenester. Det skal eksistere retningslinjer for etablering og avvikling av brukernavn med tilhørende rettigheter og tjenester 12. Anskaffelse, utvikling og vedlikehold av IT-systemer: Det skal være spesifisert hva slags krav til IT-sikkerhet som skal legges til grunn ved anskaffelse og utvikling av IT-systemer. Tilsvarende skal det være klare rutiner knyttet til oppgradering og vedlikehold av tjenestene og systemene. Det skal være et regime for testing av ny programvare og nye systemer, samt oppgradering av eksisterende før dette settes i produksjon 13. Beredskap i forhold til sikkerhetshendelser: Universitetet skal ha en CERT-gruppe som følger opp hendelser som i sin konsekvens kan eksponere universitetets IT-ressurser for sårbarheter med påfølgende misbruk, ødeleggelse, tap av data, anseelse eller lignende og gjennomfører tiltak for å avverge eller redusere skadevirkningene. 14. Beredskap, kontinuitets- og katastrofeplan: 3 of 4 15/09/14 20:29

10 Kapittel 3: Prinsippene for IT-sikkerhetsarbeidet - Universitete... Det skal eksistere beredskapsplaner for oppfølging og reaksjon ved feil og problemer, samt kontinuitets- og katastrofeplaner for håndtering av større og varige brudd på tilgangen til IT-tjenestene og IT-systemene. Det skal eksistere en oversikt over hvilke beredskaps- og kontinuitetstiltak som skal være knyttet til de ulike kategoriene av IT-tjenester 15. Etterleve lov- og regelverk: IT-virksomheten ved Universitetet i Oslo skal skje i overensstemmelse med relevant lov- og regelverk. Dokumentasjon av at så er tilfelle skal foreligge i den form og med den tilgjengelighet som den enkelte lov krever. Forhold som ikke faller inn under eksisterende lov- og regelverk skal reguleres av IT-reglement for Universitetet i Oslo med utfyllende bestemmelser Publisert 22. jan :45 - Sist endret 7. sep :53 4 of 4 15/09/14 20:29

11 Kapittel 4: Risiko- og sårbarhetsvurderinger - Universitetet i Oslo Kapittel 4: Risiko- og sårbarhetsvurderinger Til grunn for IT-sikkerhetsarbeidet skal det ligge en vurdering av det generelle trusselbildet og hvilke sikkerhetstiltak dette krever. For kritiske systemer og tjenester skal en spesifikk risikovurdering legges til grunn for sikringstiltak utover de generelle sikringstiltakene. Innholdsfortegnelse 4.1. Det generelle trusselbildet 4.2. Virksomhetskritiske tjenester og systemer 4.3. Ikke-tolererbare trusler 4.4. Data som må sikres spesielt 4.5. Prosedyrer og rutiner 4.1. Det generelle trusselbildet Hvis vi holder katastrofer av ulikt slag (brann, naturkatastrofer og lignende) utenfor, så er det hensiktsmessig å beskrive det generelle trusselbildet langs tre akser: 1. Teknologi vs mennesker 2. Indre vs ytre trusler 3. Tilsiktete vs utilsiktete handlinger Utviklingen det siste tiåret har medført tre viktige endringer i det generelle trusselbildet av betydning for arbeidet med IT-sikkerhet: 1. Teknologi Teknologien er blitt viktigere fordi teknologien og de tekniske løsningene IT-virksomheten bygger på, blir stadig mer kompleks, samtidig som virksomhetens avhengighet av dem øker sterkt. Å sikre komplekse systemer er langt vanskeligere enn å sikre oversiktlige og enkle systemer og å sikre virksomhetskritiske systemer blir mer krevende enn tidligere 2. Ytre trusler I denne perioden har ytre trusler gjennom Internett mer eller mindre overtatt hovedrollen i trusselbildet, i motsetning til tidligere tider da indre trusler representerte den største risikoen 3. Tilsiktete handlinger Ytre trusler er svært ofte resultatet av tilsiktete handlinger, i mange tilfeller er handlingene overlagte og med åpenbart kriminelle hensikter. Mange av truslene er knyttet til at personer med illegitime hensikter skaffer seg tilgang til store mengder utstyr koplet til Internett og bruker dette til egne formål uten eiernes viten og gjør disse til stråmenn for illegitime handlinger Det første trekket er knyttet til den teknologiske utviklingen. I utgangspunktet vil IT-tjenester og IT-systemer med nødvendighet være beheftet av feil og mangler: De lages av mennesker De brukes av mennesker 1 of 4 15/09/14 20:30

12 Kapittel 4: Risiko- og sårbarhetsvurderinger - Universitetet i Oslo Og mennesker gjør med nødvendighet feil, både når de lager og når de bruker ting. I tillegg, IT-tjenestene og IT-systemene har vokst og vokser fortsatt i avhengighet og kompleksitet. Bak de stadig mer avanserte og funksjonelt rike tjenestene og systemene som benyttes, er det et stort antall programmer som skal samvirke direkte og indirekte i mer og mer komplekse interaksjoner. Det eneste som er sikkert med ny teknologi, er at den er grunnleggende usikker og inneholder sikkerhetshull og kostnadene ved å få tjenestene og systemene operative og sikre dem er sterkt økende. Det andre trekket er knyttet til utviklingen av Internett og bruken av dette i all slags virksomhet. I løpet av noen få år utviklet Internett seg fra en arena preget av samarbeid, godvilje og raushet til også å være en risikofylt omgivelse for virksomheten. Det er fire forhold som gjør at Internett er et sted der en skal trå noe varsommere enn tidligere: Det første er rekkevidde. Internett har gitt våre tjenester og vår kommunikasjon global rekkevidde, samtidig har det også gitt de mørke kreftene en arena med samme rekkevidde når det gjelder å spre informasjon om og utnytte sikkerhetshull, kompromittere systemer, samt distribuere verktøy for å utnytte sikkerhetshull og lignende Det andre forholdet går på automatisering. Tidligere var det en IT-faglig utfordring å bryte seg inn på andres datamaskiner. I dag kan enhver laste ned sofistikerte verktøy ( rootkit, virusgeneratorer etc) som kan automatisere massive angrep mot sikkerheten, tilgjengeligheten og stabiliteten på et stort antall systemer med et enkelt museklikk. Disse verktøyene er ofte oppdatert for å utnytte de sist oppdagete sikkerhetshullene før leverandøren er klar med oppgraderinger som fjerner hullet i sin programvare Det tredje forholdet går på ressurser. PC-er med mye rå maskinkraft og stor båndbredde kan sette i gang kraftige angrep, når de samme PC-ene samarbeider om oppgaven, kan angrepet ha ødeleggende virkning. Med spredningen av bredbånd er disse PC-ene på nett hele tiden Det fjerde har med penger å gjøre. Internett er blitt en viktig arena for forretningsvirksomhet med tilhørende pengetransaksjoner. Der det finnes penger, finnes det også krefter som ønsker å tilegne seg disse på uærlig vis I tillegg, gjennom å skaffe seg uberettiget adgang til andres maskiner økes slagkraften betydelig. I Internett finnes et stort antall maskiner som ikke er tilstrekkelig sikret. En vanlig strategi er å ta kontroll over et større antall av disse og benytte dem i et koordinert angrep. Det er nok av eksempler på angrep der bakmennene har skaffet seg tilgang til titusenvis av PC-er og der disse PC-ene uten eiernes vitende er brukt å utføre angrepet. Det tredje trekket er knyttet til noe av det samme. De ytre fiendene som bruker Internett som plattform for sin virksomhet utfører den med overlegg. Dette endres ikke av at det er en rekke brukere som uten å vite det løper disse kreftenes ærend. Motivasjonen til disse ytre fiendene varierer sterkt, fra å briske seg for venner og konkurrenter til kriminelle handlinger med økonomisk motiv. En vesentlig motivasjon er å skaffe seg urettmessig tilgang til andres ressurser for å bruke dem til ett eller annet formål av mer eller mindre lyssky karakter. Det kan være ressurser som kan brukes til å distribuere varer (musikk, filmer, programvare og lignende) ulovlig, det kan være ressurser som kan brukes i angrep på aktører og tjenester i Internet ( denial of service -angrep) eller lignende. En annen viktig motivasjon er jakten på penger, enten dette skjer ved å tilegne seg informasjon som har en verdi i et grått eller svart marked, drive utpressing eller på andre måter skaffe seg tilgang til andres penger (gjennom for eksempel svindel med kredittkort). En variant av dette er den markedsføringen som skjer via spam. En tredje motivasjon er ulike varianter av ødeleggelsestrang som blant annet mye av virusvirksomheten bygger på Virksomhetskritiske tjenester og systemer 2 of 4 15/09/14 20:30

13 Kapittel 4: Risiko- og sårbarhetsvurderinger - Universitetet i Oslo Virksomhetskritiske tjenester og systemer skal gjennomgå en konkret risiko- og sårbarhetsanalyse og påfølgende utforming av spesifikke sikringstiltak i tillegg til de generelle. En slik analyse er i utgangspunktet svarene som gis på noen enkle spørsmål: 1. Hvilke verdier har vi? 2. Hva vil tap av disse verdiene koste oss? 3. Hvilke trusler er disse verdiene eksponert for? 4. Hva er risikoen for at disse truslene blir manifeste? 5. Hva koster det å beskytte seg mot disse truslene? I teorien er spørsmålet om sikkerhetstiltak et økonomisk spørsmål, er det potensielle tapet (identifisert i spørsmål 2) multiplisert med risikoen (spørsmål 4) større enn kostnadene ved sikkerhetstiltaket (spørsmål 5)? Hvis svaret er ja er sikkerhetstiltaket regningssvarende, hvis nei vil ikke tiltaket bli iverksatt dersom ikke andre forhold veier så tungt at tiltaket allikevel må iverksettes. I utgangspunktet er det vanskelig å fastsette verdier og potensielle verditap når det gjelder IT-virksomheten. Materielle verdier kan vanligvis lett verdsettes, men disse utgjør en stadig mindre del av en organisasjons verdier. Det er langt vanskeligere å verdsette verdier av immateriell karakter, prosesser, kompetanse, omdømme og lignende, samt verdien knyttet til tilgjengelighet og stabilitet av tjenester, systemer og data. For en del virksomhetskritiske tjenester og systemer er det allikevel nødvendig å gå konkret inn på disse forholdene og vurdere hva slags spesifikke sikringstiltak som er nødvendig. Ansvaret for dette ligger hos tjeneste- eller systemeier i tett samarbeid med USIT. Eksempler på slike tjenester og systemer er: Universitetets adgangskontrollsystem og anlegg for sentral drift ( SD-anlegg ) Lønns- og personalsystemet SAPUiO Felles studentsystem (FS) Økonomisystemet E-posttjenesten Brukeradministrasjonssystemet Lagrings- og backuptjenestene Katalogtjenestene ( LDAP, Active Directory ) 4.3. Ikke-tolererbare trusler I utgangspunktet er det en del trusler som universitetet ikke kan leve med og som i størst mulig grad skal elimineres. Dette omfatter trusler som i sin konsekvens kan medføre eller innebære: Skade på liv og helse Vedvarende, vesentlige avbrudd av primærvirksomheten Vesentlige materielle skader Omfattende tap av omdømme Vedvarende brudd på lov- og regelverk 4.4. Data som må sikres spesielt I den daglige og langsiktige virksomheten er universitetets virksomhet avhengig av data fra informasjonssystemene. Dette gjelder først og fremst systemene som leverer autoritative data til andre systemer: 3 of 4 15/09/14 20:30

14 Kapittel 4: Risiko- og sårbarhetsvurderinger - Universitetet i Oslo Lønns- og personalsystemet SAPUiO Felles studentsystem (FS) I samme klasse stiller også det brukeradministrative systemet. Det vil også være svært ødeleggende for universitetet dersom data i økonomisystemet og arkivsystemet mistes eller blir gjenstand for uautorisert endring. Utover dette vil forskningsdata i viktige forskningsprosjekter og forskningsdata som er innsamlet i tråd med avtale med tredjepart eller med hjemmel i lov om personopplysninger måtte sikres spesielt mot tap og uautorisert tilgang Prosedyrer og rutiner I tilknytning til dette kapittelet er følgende prosedyrer utarbeidet: Prosedyre for sårbarhets- og risikovurdering av virksomhetskritiske systemer og tjenester Publisert 22. jan :45 - Sist endret 29. aug :09 4 of 4 15/09/14 20:30

15 Kapittel 5: Årsplan for IT-sikkerhetsarbeidet - Universitetet i Oslo Kapittel 5: Årsplan for IT-sikkerhetsarbeidet Det skal utarbeides årlige handlingsplaner med tiltak som skal gjennomføres for å redusere sårbarhet og bedre IT-sikkerheten. Innholdsfortegnelse 5.1. Planverk 5.2. Prosedyrer og rutiner 5.1. Planverk Det utarbeides årsplaner for IT-sikkerhetsarbeidet på linje med andre deler av IT-virksomheten. Årsplanene redegjør for prioriterte tiltak på området. Årsplanen utarbeides av IT-sikkerhetssjefen og godkjennes av IT-direktøren og legges fram for universitetsdirektøren til orientering. Det rapporteres tertialvis på årsplanen Prosedyrer og rutiner Ingen prosedyrer. Publisert 22. jan :45 - Sist endret 12. aug :24 1 of 1 15/09/14 20:30

16 Kapittel 6: IT-sikkerhetsorganisasjon og -ledelse - Universitete... Kapittel 6: IT-sikkerhetsorganisasjon og -ledelse Universitetet skal ha en IT-sikkerhetsorganisasjon der roller, beslutnings- og rapporteringslinjer er klart definert og der myndighet og fullmakter på de ulike nivåene er like klart definert. Innholdsfortegnelse 6.1. Sikkerhetsarbeid på universitetet Beslutnings- og rapporteringslinje Annen delegering av fullmakter, autorisering 6.2. IT-sikkerhetsorganisasjonen IT-direktøren IT-sikkerhetssjef Leder av UiO-CERT Underdirektører, Seksjons- og gruppeledere Tjenesteeier Lokale IT-ansvarlige 6.3. Administrativ IT Strategisk systemeier Systemeier 6.4. Andre roller og funksjoner Personvernombud Behandlingsansvarlig Kommunikasjonsdirektør 6.5. Internkontroll og Internrevisjon 6.6. Prosedyrer og rutiner 6.1. Sikkerhetsarbeid på universitetet Ansvaret for IT-sikkerhetsarbeidet følger styringslinja fra universitetsdirektøren til grunnenhetene. Det operative ansvaret for IT-sikkerheten er delegert fagavdelingen, USIT v/it-direktøren og følger linja i IT-organisasjonen ned til den enkelte IT-tilsatte, inkludert lokale IT-tilsatte. IT-sikkerhet utgjør sammen med fysisk sikkerhet og HMS (Helse, miljø og sikkerhet) de tre delene av sikkerhetsarbeidet ved universitetet. Universitetsdirektøren er øverste ansvarlig for sikkerhetsarbeidet: Ansvar for at det er utformet rutiner, prosedyrer, organisatoriske og praktiske tiltak som sikrer at virksomheten kan foregå i tråd med gitte retningslinjer og ivaretar universitetets krav til sikringsnivå: På IT-sikkerhetsområdet er dette ansvaret delegert IT-direktøren. Gjennom denne delegasjonen utøver IT-direktøren gjennom IT-sikkerhetssjefen myndighet for IT-sikkerhet på vegne av universitetsdirektøren på hele universitetet Ansvar for at disse bestemmelsene etterleves i den ordinære virksomheten: Dette ansvaret følger linja fra universitetsdirektøren via fakultetsledelsen til ledelsen ved grunnenhetene 1 of 4 15/09/14 20:31

17 Kapittel 6: IT-sikkerhetsorganisasjon og -ledelse - Universitete... (institutt, avdeling, randsoneenhet etc) Utover dette kommer roller og funksjoner med spesielle oppgaver av betydning for IT-sikkerheten: Strategisk systemeier Tjeneste- og systemeiere/-forvaltere Personvernombud Behandlingsansvarlig Kommunikasjonsdirektør Enhet for intern revisjon (EIR) er tillagt ansvar for å etterse at internkontroll er tilfredsstillende etablert for all virksomhet på universitetet, inkludert de ulike områdene av sikkerhetsarbeidet Beslutnings- og rapporteringslinje Beslutnings- og rapporteringslinjs i IT-sikkerhetsarbeidet følger styringslinja i universitetets organisasjon Annen delegering av fullmakter, autorisering Delegering av fullmakter og myndighet på IT-sikkerhetsområdet utover det som er beskrevet i IT-sikkerhetshåndboka, følger linja i universitetets organisasjon. All delegering skal være dokumentert og bekjentgjort på hensiktsmessig måte IT-sikkerhetsorganisasjonen Universitetsdirektøren er øverste ansvarlig for IT-sikkerheten ved Universitetet i Oslo IT-direktøren IT-direktøren er delegert myndighet og har ansvar for IT-sikkerheten på universitetet, jf IT-direktørens ansvar og oppgaver. Dette innebærer blant annet ansvar for: At IT-sikkerhetshåndboken gjennomgår en årlig revisjon og at denne godkjennes av universitetsdirektøren At det foreligger rutiner og prosedyrer som sikrer oppfølging av retningslinjene i IT-sikkerhetshåndboka At det foreligger årsplan for IT-sikkerhetsarbeidet og at status på området rapporteres i tråd med rutinene for virksomhetsrapportering på universitetet IT-sikkerhetssjef IT-sikkerhetssjefen utøver IT-direktørens myndighet innen IT-sikkerhetsområdet og rapporterer til denne, jf stillingsbeskrivelsen for denne stillingen Leder av UiO-CERT Leder av UiO-CERT-gruppa er av IT-direktøren tildelt ansvar og myndighet for daglig oppfølging av sikkerhetshendelser i tråd med retningslinjene i kapittel 13 Håndtering av sikkerhetshendelser. Leder av UiO-CERT rapporterer til IT-sikkerhetssjefen Underdirektører, Seksjons- og gruppeledere Underdirektører, seksjons- og gruppeledere på USIT har ansvar for USITs tjenesteleveranser og at disse følger retningslinjene i IT-sikkerhetshåndboka, jf ansvar og oppgaver tillagt linjeledere på USIT i Funksjons- og bemanningsplan for USIT Tjenesteeier For hver av IT-tjenestene definert i tjenestekatalogen skal det på USIT være en tjenesteeier som blant annet er 2 of 4 15/09/14 20:31

18 Kapittel 6: IT-sikkerhetsorganisasjon og -ledelse - Universitete... ansvarlig for at tjenesten som leveres følger retningslinjene i IT-sikkerhetshåndboka Lokale IT-ansvarlige Lokale IT-ansvarlige er ansvarlig for at lokal IT-virksomhet skjer i tråd med bestemmelsene i IT-sikkerhetshåndboka. Ved tvil skal IT-sikkerhetssjefen konsulteres Administrativ IT I behandlingen av anbefalingene i Administrative IT-systemer fra IHR-plangruppe for administrativ IT besluttet universitetsstyret 27. januar 2012 følgende: Et entydig definert systemeierskap Et entydig ansvars- og myndighetskart Et veikart for administrative IT-systemer En strategisk koordineringsgruppe En rådgivnings- og sekretariatsfunksjon Strategisk systemeier Strategisk systemeier er bindeleddet mellom universitetsledelsen, USIT og systemeierne i IT-sikkerhetsspørsmål Systemeier Systemeier er ansvarlig for å spesifisere krav til IT-sikkerheten ved disse, sikre at disse er i tråd med bestemmelsene i IT-sikkerhetshåndboka og sikre at dette følges opp av drifts- og utviklingsorganisasjonen i tråd med beskrivelse av ansvar og myndighet i Styring og forvaltning av administrativ IT Andre roller og funksjoner Ved siden av ovennevnte har følgende roller og funksjoner betydning for arbeidet med IT-sikkerhet: Personvernombud Behandlingsansvarlig Kommunikasjonsdirektør Personvernombud Personvernombudet ivaretar deler av Datatilsynets oppfølgingsansvar i forhold til lov om personopplysninger med tilhørende forskrift. Personvernombudet skal påse at den behandlingsansvarlige følger de lover og forskrifter som gjelder for behandlinger av personopplysninger, samt å føre en fortegnelse over behandlinger av personopplysninger. Personvernombudet skal: Bistå den registrerte med å ivareta sine rettigheter Påse at behandlingen av personopplysninger blir meldt til ombudet og at innmeldingene inneholder korrekte og tilstrekkelige opplysninger i forhold til bestemmelsene i personopplysningsloven med tilhørende forskrifter Føre en systematisk og offentlig tilgjengelig oversikt over alle slike behandlinger Ved Universitetet i Oslo er personvernombud delt i to: Norsk Samfunnsvitenskapelige datatjeneste (NSD), Bergen er personvernombud for behandlinger i forskningsøyemed 3 of 4 15/09/14 20:31

19 Kapittel 6: IT-sikkerhetsorganisasjon og -ledelse - Universitete... Morten Opsal, Enhet for intern revisjon, er personvernombud for administrative behandlinger Behandlingsansvarlig Behandlingsansvarlig bestemmer formålet ved behandlingen av personopplysninger og hvilke hjelpemidler som skal brukes i behandlingen av disse på universitetet. Behandlingsansvarlig ved UiO er Universitetsdirektøren. Behandlingsansvarlig er ansvarlig for all behandling av personopplysninger ved UiO, skal påse at lov og forskrift etterfølges og skal holde oversikt over innmeldte behandlinger. Ved Universitetet i Oslo er dette ansvaret delegert til juridisk rådgiver Märtha Felton. Det følger av ordinær delegering av ansvar, at den enkelte avdelingsleder/instituttleder er ansvarlig for den behandling av personopplysninger som blir foretatt ved den enkelte avdeling/institutt. Dette ansvaret kan igjen delegeres videre Kommunikasjonsdirektør Kommunikasjonsdirektøren er ansvarlig for intern og ekstern informasjon i krisesituasjoner i tråd med den generelle sikkerhetsinstruksen for Universitetet i Oslo Internkontroll og Internrevisjon Internkontroll defineres som en kontinuerlig prosess, iverksatt, gjennomført og overvåket av institusjonens styre, ledelse og ansatte. Den utformes for å gi rimelig sikkerhet vedrørende måloppnåelse innen følgende områder: Målrettet og kostnadseffektiv drift Pålitelig regnskapsrapportering og økonomiforvaltning Overholdelse av lov- og regelverk Enhet for intern revisjon (EIR) har som sitt ansvarsområde å føre tilsyn med at den etablerte interne kontrollen fungerer som planlagt og eventuelt om den har mangler eller svakheter. Det skjer gjennom revisjoner som er planlagte og systematiske undersøkelser av et spesifikt tema. EIR har en årsplan å arbeide etter der disse temaene er beskrevet. EIR utøver i tillegg rådgiving og veiledning innenfor fagfeltet internkontroll og bidrar med kvalitetssikringsaktiviteter Prosedyrer og rutiner Ingen prosedyrer. Publisert 22. jan :45 - Sist endret 11. sep :38 4 of 4 15/09/14 20:31

20 Kapittel 7: IT-tjenester og informasjonsressurser - Universitet... Kapittel 7: IT-tjenester og informasjonsressurser Det skal foreligge en oversikt over universitetets IT-tjenester og IT-systemer. I denne oversikten skal tjenestene og systemene klassifiseres i forhold til viktighet og denne klassifiseringen skal danne grunnlag for tiltak knyttet til sikring av tjenester og systemer. Innholdsfortegnelse 7.1. Tjenestekatalog og konfigurasjonsdatabase Operative tjenester Utviklingstjenester Støttetjenester Veikart for administrativ IT 7.3. Klassifikasjon av IT-tjenestene Viktighet = 5 (uviktige tjenester) Viktighet = 4 (test/utviklingstjenester, lite viktige tjenester) Viktighet = 3 (normal) Viktighet = 2 (viktige systemer) Viktighet = 1 (høy viktighet) 7.4. Informasjonsressursene Klassifisering av informasjonsressursene Behandling av personopplysninger Særskilte tillatelser, sikkerhetsklareringer mm Behandling av særskilte typer data Lagring av informasjon og data 7.5. Ressurser eid av tredjepart 7.6. Prosedyrer og rutiner IT-tjenester er en kombinasjon av flere IT-ressurser: IT-infrastrukturen med nettet på universitetet og forbindelsene til omverdenen Maskinvare, inkludert brukernes arbeidsplassutstyr Programvare, inkludert databaser, applikasjoner, informasjonssystemer etc For IT-tjenestene skal det eksistere en klassifikasjon i forhold til viktighet for daglig og langsiktig virksomhet på universitetet. Implisitt i denne klassifiseringen vil det også ligge en klassifisering av det maskinutstyret og den programvaren som inngår i tjenesteproduksjonen og den kompetansen og kunnskapen som IT-organisasjonen trenger for å tilby tjenesten. Informasjonsressurser omfatter alle typer data og informasjon som er lagret på universitetets utstyr og gjøres tilgjengelig ved hjelp av IT-tjenestene. IT-sikkerhetshåndboka omfatter IT-tjenester og informasjonsressurser som eies eller forvaltes av Universitetet i Oslo eller enheter tilknyttet universitetet og som er tilgjengelig på universitetets nett. 1 of 6 15/09/14 20:32