Norges idrettshøgskole

Størrelse: px
Begynne med side:

Download "Norges idrettshøgskole"

Transkript

1 Norges idrettshøgskole IT-sikkerhetshåndbok Dok.id. : sikkerhetshåndbok_nih.doc Revisjon : 1.0 Utarbeidet dato : 10. oktober 2002 Utarbeidet av : Tor Arne Storebø Utarbeidet (sign) : Godkjent dato : 30. oktober 2002 Godkjent av : Jongeir Haugen

2 IT-sikkerhetshåndbok for NIH Side: B Endringer Dato Revisjon Endring høringsutgave Revidert på basis av kommentarer fra høringsinstanser offisielle versjon Forord Dette dokumentet er laget på mal utgitt av Statens forvaltningstjeneste (Ft) for å angi et sett minimumskrav for IT-sikkerhet i departementene. Dokumentet tjener også som veiledning for utarbeidelse av sikkerhetsdokumentasjon for internkontroll. Norges idrettshøgskole som underlagt KUF har valgt å bruke de samme retningslinjer som departementet følger. Vi forventer at det vil komme direktiv fra tilkoblingspunkt ( pt. Uninett), slik at sikkerhetshåndboken er hierarkisk underlagt krav fra ekstern parter. Sikkerhetshåndboken vil også sette krav til parter som kobler seg opp via NIH-nettverket.

3 IT-sikkerhetshåndbok for NIH Side: B INNHOLDSFORTEGNELSE 1. INNLEDNING HENSIKT og anbefalinger Etablering og vedlikehold av sikkerhetsnivå Internkontroll ANSVARSFORHOLD... 2 SIKKERHETSDOKUMENTASJON FOR NIH TILSLUTNINGSAVTALE SIKKERHETSFAKTORER TRUSSELBILDE OG RISIKOVURDERING KLASSIFISERING AV INFORMASJON LOVER OG REGLER INTERNE KRAV ORGANISATORISKE FORHOLD SIKKERHETSORGANISASJON Generelt Lokal IT-sikkerhetsansvarlig (LISA) Registeransvarlige TAUSHETSPLIKT BEVISSTGJØRING, KOMPETANSE OG OPPLÆRING ETIKK OG MORAL ADMINISTRATIVE FORHOLD AUTORISASJON Generelt Autorisasjon for adgang til utstyr og lokaler Autorisasjon for tilgang til informasjonssystemer Ansettelser og fratredelse... 8 Bruk av eksternt personell som skal ha tilgang til datautstyr tilknyttet NIH-nettet KONTORSIKKERHET Elektronisk lagring av informasjon Rutiner for informasjonssikkerhet SIKKERHETSBRUDD Generelt Tiltak ved sikkerhetsbrudd Tilfeller som skal rapporteres FYSISK SIKRING INNDELING I SONER BESKYTTELSE AV DATAUTSTYR Generelt SYSTEMTEKNISK SIKRING TILGANGSKONTROLL Generelt PÅ/AVLOGGING... 11

4 IT-sikkerhetshåndbok for NIH Side: B Generelt BESKYTTELSE MOT VIRUS OG ANNEN ONDSINNET PROGRAMVARE Generelt SIKKERHETSKOPIERING OG OPPBEVARING AV SENTRALE DATA- OG PROGRAMVARE Generelt NETTINFRASTRUKTUR GENERELT LOKALE NETTVERK Generelt LAN TIL LAN FORBINDELSER OVER FASTE SAMBAND Generelt ANDRE EKSTERNE FORBINDELSER Generelt Fjernarbeid ELEKTRONISK POST WORLD WIDE WEB TJENESTER Generelt FILDELING TERMINALINNLOGGING INTERNKONTROLL GENERELT FUNKSJONELL BESKRIVELSE AV INFORMASJONSSYSTEMET GEOGRAFISK LOKALISERING OG FYSISK PLASSERING SYSTEMTEKNISKE SIKKERHETSTILTAK OG NETTINFRASTRUKTUR AUTORISASJONSLISTER IT-SIKKERHETSINSTRUKS FOR BRUKERE AV NIH-NETTET ORDFORKLARINGER INNLEDNING VEDLEGG TIL DOKUMENTET... 1 Tabeller TABELL 1 - EKSEMPLER PÅ TRUSLER... 3 TABELL 2 - ORDFORKLARINGER... 21

5 IT-sikkerhetshåndbok for NIH Del I Side: 1 Del I - Minimumskrav og anbefalinger 1. INNLEDNING 1.1 HENSIKT Hensikten med en IT-sikkerhetshåndbok for Norges Idrettshøgskole er flere, og dokumentet vil ha ulike roller over tid: 1: IT-sikkerhetshåndboken vil angi hvilke minimumskrav som stilles fra sentralt hold ( Uninett/KUF) til sikkerhetsnivå lokalt hos den enkelte tilknyttede virksomhet. 2: Den fungerer som en mal for utarbeidelse av lokal sikkerhetsdokumentasjon. 3: Den fungerer som et utgangspunkt for å etablere interne kontrollrutiner og standard for sikkerhetsrevisjoner og anbefalinger Sikkerhetshåndboken inneholder minimumskrav, tilpasset NIH.som overordnet myndighet setter som betingelse for virksomhetene i Depnett dersom de ønsker å være tilknyttet Depnett og benytte seg av tjenestene i nettverket. ene er angitt i respektive underpunkter, og er skrevet på skravert flate. I tillegg er det angitt en del anbefalinger som vil gi ytterligere sikkerhet, og som vil kunne bidra til å oppfylle formelle krav Datatilsynet og evt. Forsvarets overkommando (FO/S) har ifm. behandling av sensitive personregistre og gradert informasjon. Disse anbefalingene vil bli fortløpende vurdert implementert ettersom nye krav oppstår. Noen anbefalinger er allerede implementert og vil derfor også stå som krav Etablering og vedlikehold av sikkerhetsnivå Håndboken vil rettlede IT-sikkerhetsansvarlige ipå Depnett-virksomheteneNIH med gjennomføring av tiltak som etablerer tillit til at de lokale informasjonssystemene er på et nødvendig og tilstrekkelig sikkerhetsnivå, jfr. pkt. 2.2 Klassifisering av informasjon. Tilslutning til Depnett forutsetter at sikkerhetsnivået er på angitt minimumsnivå og at dette opprettholdes så lenge tilknytningen vedvarer. Depnett-partene skal informere om endringer i sine lokale nettverk og kommunikasjonsløsninger, som kan ha betydning for sikkerhetsnivået Internkontroll Dokumentet tjener også som mal og angivelse for sikkerhetsdokumentasjon for lokalnett og kommunikasjonsløsninger lokalt. Dette gjelder spesielt kap Sikring av diverse tjenester - og vedleggene. Denne dokumentasjonen benyttes for internkontroll

6 IT-sikkerhetshåndbok for NIH Del I Side: 2 Det anbefales at Ssikkerhetsdokumentasjonen innlemmes i NIHs internkontrollrutiner. Disse rutinene skal også dekke fjernarbeid. Det stilles imidlertid ingen krav til inspeksjon. Dette dokumentet skal gjennom minimumskrav bidra til å regulere og etablere tillit til IT-virksomheten ved NIH, noe som har betydning for sikkerheten for samarbeidspartnerne. Dette omfatter blant annet: det lokale datanett ved NIH kommunikasjonsløsningene basert på faste digitale linjer ( mot Uninett) bruken av sentrale interne tjenester ved NIH av andre oppkoblede forbindelser ( Beitostølen) bruken av fjernarbeid, leverandører og mobile enheter basert på ulike aksessmetoder bruken av tjenester som gir tilgang til eksterne ressurser, herunder Internett, e-post mm ANSVARSFORHOLD Hovedprinsippet er at ansvaret er tillagt linjen. Dette innebærer at ansvaret for IT-sikkerheten er tillagt den enkelte virksomhetslederen. Dette dokumentet angir tiltak som er å oppfatte som minimumskrav for NIH. Tiltakene er angitt i ulike kategorier. Tiltakene som omfattes av dette ansvaret er angitt i dette dokumentet SIKKERHETSDOKUMENTASJON FOR NIH IT-sikkerhetshåndbok for NIH er ett av flere dokumenter som er med på å regulere virksomheten ved NIH. Dokumentene er tilpasset ulike målgrupper, og utgjør sammen minimumskrav, retningslinjer og anbefalinger for sikkerhet i NIH-nettet. Formatert: Punktmerking og nummerering Formatert: Punktmerking og nummerering Følgende dokumenter er benyttet for utfyllende informasjon og veiledning i utarbeidelse av sikkerhetsdokumentasjon for NIH: Datasikkerhetsdirektivet Retningslinjer for informasjonssikkerhet ved behandling av personopplysninger (TR-100:1998) Veiledning ved søknad til Datatilsynet om godkjenning av informasjonssikkerhet (TV-200:1999). Disse dokumentene er kun veiledende og utfyllende, dagens sikkerhetsnivå ved NIH tatt i betraktning, og gir informasjon om sikkerhetstiltak for informasjonssystemer som behandler gradert informasjon og sensitive personregistre TILSLUTNINGSAVTALE Virksomheter som ønsker å være tilknyttet NIH skal følge retningslinjene beskrevet i denne dokumentasjonen. Implementering av disse retningslinjene blir en del av kravene i eventuelle fremtidige tilslutningsavtaler for NIH-deltakere. Formatert: Punktmerking og nummerering

7 IT-sikkerhetshåndbok for NIH Del I Side: 3 2. SIKKERHETSFAKTORER 2.1 TRUSSELBILDE OG RISIKOVURDERING Alle minimumskrav og anbefalinger angitt i dette dokumentet, og som beskrevet i Sikkerhetsmekanismer for NIH, er avledet fra en overordnet vurdering av trusler og risiko for at det kan inntreffe uønskede handlinger eller hendelser mot informasjon og IT-ressurer ved NIH. Handlinger er forårsaket og utført av mennesker. Handlinger kan være tilsiktet eller utilsiktet. Hendelser er ikke generert/initiert av menneske og er utilsiktet/umotivert. En hendelse er å betrakte som adskilt fra all menneskelig påvirkning og skjer uavhengig av menneske. Eksempler på hendelser er lyn, jordskjelv, brann, oversvømmelse etc. Konsekvensen av handlinger og hendelser kan være tap av konfidensialitet, integritet eller tilgjengelighet til informasjon og tjenester i NIH. Tiltakene som skal iverksettes bidrar til å redusere risikoen for at uønskede handlinger eller hendelser inntreffer, eller konsekvensene dersom uhellet skulle være ute. Enhver trussel som ikke imøtekommes av NIH-partenes ansvarsområder vil kunne utgjøre en trussel mot andre deler av NIH. Trusler mot NIH-nettet kan kategoriseres som eksterne eller interne, og disse kan igjen inndeles i trusselkilder med/uten tilgang til utstyr og med/uten autorisasjon til informasjon og tjenester i NIH-nettet. Intern/Ekstern Autorisert Ikke autorisert Intern Saksbehandler Vaktmester/kantinepers. Ekstern Vikar/konsulent Alle andre (hacker, ol.) Tabell 1 - Eksempler på trusler Tabellen over angir eksempler på aktuelle trusler mot informasjon og tjenester i NIH-nettet. Motiv, ressurser og anledning til å utføre uønskede handlinger vil variere hos de ulike trusselkildene. 2.2 KLASSIFISERING AV INFORMASJON NIH-nettet er et normalsikret informasjonsnettverk med eksterne forbindelser. Av dette følger at det kan behandles informasjon uten særskilt sikring av følgende kategorier på utstyr tilknyttet NIH-nettet: offentlig informasjon informasjon som er unntatt offentlighet men ikke gradert i henhold til Sikkerhetsinstruksen eller Beskyttelsesinstruksen personregistre som ikke inneholder sensitive personopplysninger, jfr. Personregisterloven 6 annet ledd (ny Lov om behandling av personopplysninger er til behandling i Stortinget og vil inneholde krav til informasjonssikkerhet). Informasjon som IKKE skal behandles på utstyr knyttet til NIH-nettet i dag:

8 IT-sikkerhetshåndbok for NIH Del I Side: 4 sensitive personregistre, med mindre tillatelse er innhentet av Datatilsynet informasjon som er gradert iht. Sikkerhetsinstruksen eller informasjon som er gradert iht. Beskyttelsesinstruksen. Datatilsynet kan gi vilkår for sikring av personopplysninger uavhengig av om det aktuelle personregister omfatter sensitive personopplysninger eller ikke. For sensitive personregistre vil sikkerhetskravet som beskrevet i Retningslinjer for informasjonssikkerhet ved behandling av personopplysninger (TR- 100:1998) som regel alltid bli påregnet mens for øvrige personregistre vil kravet være tilfredstillende informasjonssikkerhet med hensyn på konfidensialitet, integritet eller tilgjengelighet. For sistnevnte registre anbefales det etablering av sikkerhetstiltak som beskrevet i Retningslinjer for informasjonssikkerhet ved behandling av personopplysninger (TR-100:1998). Virksomhetene må selv vurdere om det er hensiktsmessig å benytte andre klassifiseringer enn de som er nevnt i dette punktet, og hvilken beskyttelsesverdi disse skal gis. 2.3 LOVER OG REGLER Lover og regler angitt i de påfølgende dokumentene foreskriver tiltak som først og fremst bidrar til konfidensialitetssikring, dvs. hindre spredning av informasjon til andre enn de som er rettmessig berettiget til å behandle denne type informasjon. ene er utledet av informasjonens beskyttelsesmessige verdi, og kan medføre konkrete investeringer og tiltak som går ut over det som anses som nødvendig for informasjon tillatt behandlet i NIH-nettet Dokumentene har likevel betydning for NIH. 1. Lov om personregistre mm. av 9. Juni Retningslinjer for informasjonssikkerhet ved behandling av personopplysninger (TR-100:1998), Datatilsynet, 1. Juli Datasikkerhetsdirektivet, Forsvarets overkommando, 1. Mars 1998 Tiltak og krav angitt i dette dokumentet er delvis avledet av Lov om personregistre og Retningslinjer for informasjonssikkerhet ved behandling av personopplysninger (TR-100:1998), Datatilsynet. 2.4 INTERNE KRAV ene er basert på trussel- og risikovurdering for det tjenestetilbudet og IT-virksomheten som NIH kan tilby.

9 IT-sikkerhetshåndbok for NIH Del I Side: 5 3. ORGANISATORISKE FORHOLD 3.1 SIKKERHETSORGANISASJON Generelt Det kreves ikke at det opprettes særskilte stillinger, fora eller tilsvarende organer for å ivareta sikkerhetsoppgavene. Disse oppgavene kan tillegges den ordinære linjeorganisasjonen Lokal IT-sikkerhetsansvarlig (LISA) NIH skal utpeke en IT-sikkerhetsansvarlig i sin organisasjon. LISA skal på vegne av virksomhetens leder koordinere og gjennomføre IT-sikkerhetsarbeidet i sitt ansvarsområde. Dette innebærer bla. implementering av sikkerhetskravene i dette dokumentet. LISA utpekes av leder av IKT-seksjonen. Anbefalinger Funksjonen som LISA er en linjeoppgave som bør tillegges en medarbeider i eller i nær tilknytning til den lokale IT-driftsorganisasjonen. Datakommunikasjon fordrer samarbeid mellom de ulike enhetene som kommuniserer. Det anbefales at dette samarbeidet også utvides til å omfatte sikkerhetsarbeid. På denne måten vil man utnytte og få tilført kompetanse på tvers av organisasjonsenheter Registeransvarlige Enhver virksomhet tilknyttet NIH-nettet skal, hvis ikke annet er bestemt sentralt av etatsansvarlig for registeret, utpeke registeransvarlige etter behov i sin organisasjon. Retningslinjer og organisering framgår av Personregisterloven 11 siste ledd. 3.2 TAUSHETSPLIKT Bruken av tjenester og informasjon tilgjengelig i NIH-nettet skal skje i samsvar med regelverkene for statlig forvaltning, herunder offentlighetsloven med forskrifter, arkivinstruksen med forskrifter, og de ulike regelverk som gir bestemmelser om taushetsplikt eller om andre sensitive opplysninger.

10 IT-sikkerhetshåndbok for NIH Del I Side: BEVISSTGJØRING, KOMPETANSE OG OPPLÆRING IT-sikkerheten vil først og fremst være avhengig av den enkelte brukerens holdninger, kompetanse og forståelse for trusler, risiko og konsekvenser eventuelle hendelser og handlinger kan ha for virksomheten. Dette gjelder både sikkerhetsrelaterte handlinger og hendelser og normal bruk av programvare og datautstyr. LISA og driftsansvarlige med ansvar for teknisk IT-sikkerhet må gis anledning til kompetanseutvikling innen IT-sikkerhet, og sørge for kompetanseoverføring til øvrige ansatte. Det oppfordres til å drive holdningsskapende arbeid for bedring av IT-sikkerheten i alle tilknyttede virksomheter. 3.4 ETIKK OG MORAL Bruken av Edb-systemer muliggjør innsamling, kopiering og spredning av informasjon og programvare på en enkel og rask måte. Tilknytning til NIH-nettet utvider denne muligheten også til å omfatte informasjon og programvare utenfor egne lokale nettverk, inklusive Uninett og Internett. Enhver bruker er pålagt å holde seg innenfor de lover, normer og uskrevne regler som gjelder for bruk av datanett. Enkelte forhold er lovregulert, og kan medføre strafferettslig ansvar for NIH og ansatte: kopiering av programvare og annen informasjon som er underlagt copyright-lover eller andre opphavsrettslige bestemmelser bryter andres rett til personvern, eller virker injurierende vandalisering og sabotasje, herunder spredning av datavirus og sletting/ødeleggelse av data salg av illegale tjenester overføre, lagre eller spre informasjon/materiale som bryter med norsk- eller internasjonalt lovverk. Bruken av tjenester og Edb-utstyr tilknyttet NIH-nettet skal begrenses til utførelse av tjenstlige oppgaver, og enhver plikter å utøve sunn fornuft i følgende forhold: bruk av ressurser, herunder kommunikasjonskapasitet, datautstyr, etc. generere utgifter eller andre bindende avtaler over nettverket som kan være i strid med virksomhetens regler for økonomiforvaltning videresending av elektronisk post privat bruk av dataressurser, herunder Internett, for annet enn jobbrelatert opplæring el.

11 IT-sikkerhetshåndbok for NIH Del I Side: 7 4. ADMINISTRATIVE FORHOLD 4.1 AUTORISASJON Generelt Autorisasjon er administrativ tillatelse, og kan deles inn i ulike kategorier: fysisk adgang og tilgang til lokaler og datautstyr å benytte tjenester, programvare å lese og behandle informasjon og data Fysisk tilgang til lokaler og datautstyr, og teknisk tilgang til tjenester, programvare, data og informasjon tildeles etter at autorisasjon er gitt. Det vil ofte være forskjellige organisasjonsledd som gir autorisasjon og tilgang, ref pkt Beskyttelse av datautstyr - og pkt Tilgangskontroll Autorisasjon for adgang til utstyr og lokaler NIHs leder, eller den han utpeker, autoriserer personell for adgang til lokaler hvor det er plassert datautstyr tilknyttet NIH-nettet. Adgang til datarom med servere og kommunikasjonsutstyr skal kun gis til personell med tjenstlig behov. Liste over personell med fast adgang til datarom skal utarbeides iht. pkt Autorisasjonslister Autorisasjon for tilgang til informasjonssystemer Tilgang til informasjon, tjenester og programvare i informasjonssystem og nettverk skal begrenses til tjenstlig behov. et er utdypet i listen under. Registeransvarlige, der dette er påkrevd, gir autorisasjon for tilgang til konsesjonspliktige personregistre, og skal også autorisere driftspersonell for datautstyr der slike er lagret. Ansvarlige/eiere av informasjon og virksomhetsspesifikke programvaresystemer autoriserer for tilgang til informasjon og bruk av programmer. Dersom ikke eksplisitt ansvar eller eierskap kan utpekes, skal autorisasjon gis av nærmeste leder. Driftspersonell åpner for tilgang til data, tjenester og programvare etter at autorisasjon er innhentet. Autorisasjonslister utarbeides iht. pkt. 9.5 Autorisasjonslister.

12 IT-sikkerhetshåndbok for NIH Del I Side: Ansettelser og fratredelse Ved ansettelser skal det utdeles IT-sikkerhetsinstruks som den ansatte plikter å sette seg inn i og gjøre seg kjent med de krav som stilles. Den nytilsatte har rett og plikt til å forstå de regler og plikter som gjelder for IT-virksomheten, og hvilke konsekvenser som følger av sikkerhetsbrudd. Ved fratredelse skal autorisasjon opphøre. Anbefalinger Det anbefales at det gjennomføres en sikkerhetssamtale med den ansatte hvor man i fellesskap gjennomgår de lover og regler som gjelder for bruk av datautstyr (IT-sikkerhetshåndbok). Den nødvendige opplæring for ledelse av en slik sikkerhetssamtale bør gis av LISA. Den nytilsatte bør også oppfordres til å kontakte LISA ved behov Bruk av eksternt personell som skal ha tilgang til datautstyr tilknyttet NIH-nettet Eksternt personell er personer som virksomheten ikke har arbeidsgiveransvar for, og som har adgang og tilgang til datautstyr, informasjon, programvare og tjenester i NIH-nettet. Dette omfatter blant annet innleide vikarer, eksterne konsulenter og leverandører. Prinsipper for autorisasjon skal gjelde for denne typen brukere, men det overordnede ansvaret for autorisasjon tilligger den i virksomheten som er oppdragsgiver. Kontrakt skal inneholde krav om taushetserklæring fra alle som involveres i oppdraget. Autorisasjoner skal kun gjelde for oppdragets varighet. 4.2 KONTORSIKKERHET Elektronisk lagring av informasjon Informasjon som har tjenstlig betydning for virksomheten skal lagres på felles fysiske datalagringsmedier (disker på servere, el.). Hensikten med dette er å oppnå bedre fysisk sikkerhet for denne informasjonen, samt lette rutiner for sikkerhetskopiering Rutiner for informasjonssikkerhet Tilgang til informasjon i NIH-tilknyttet utstyr, programvare og tjenester er begrenset til tjenstlig behov. Dette gjelder også disketter, utskrifter, ol. Der spesielle regler gjelder for spredning av informasjon, herunder personopplysninger, skal disse følges. Disketter skal merkes, oppbevares og forsendes iht. informasjonen som er lagret på disse. Utskrifter og kopier bør hentes på skrivere umiddelbart etter at utskriften er igangsatt.

13 IT-sikkerhetshåndbok for NIH Del I Side: SIKKERHETSBRUDD Generelt Sikkerhetsbrudd er bevisste handlinger eller handlinger som skyldes uvitenhet, og som påvirker sikkerhetsnivået i NIH-nettet. Slike handlinger kan ha betydning for tilliten til informasjon og programmer, også utenfor NIH. Alle handlinger som bryter med minimumskrav, regler og retningslinjer angitt i dette dokumentet er å anse som sikkerhetsbrudd Tiltak ved sikkerhetsbrudd Hvis det oppdages handlinger eller hendelser som indikerer sikkerhetsbrudd, skal LISA kontaktes, hendelsesforløpet kartlegges og mottiltak iverksettes. Legale, administrative og systemtekniske konsekvenser skal vurderes. NIH skal selv etablere rutiner og tiltak mot forsøk på angrep på egne ITressurser. Tiltak som iverksettes kan være av ulik karakter og ha spesifikk hensikt, herunder: kompromittering av passord fjerne autorisasjon, skifte passord ødeleggelse av programmer/data reinstallering eller tilbakeføring fra sikkerhetskopier innføring og spredning av virus fjerning av virus vha. spesiell programvare, samt tiltak som beskrevet over Også andre typer handlinger vil kunne svekke sikkerheten i NIH-nettet, herunder innføring av uautorisert program- og maskinvare. Dette er også å anse som sikkerhetsbrudd. Dersom det er mistanke om at sikkerhetsbrudd eller hendelser kan få konsekvenser for andre enn NIH, skal IT-sikkerhetsleder eksterne forbindelser kontaktes, og ruteren vurderes frakoplet. Tilkopling skal først skje etter at hendelsesforløpet er kartlagt og systemet erklært sikkert av LISA Tilfeller som skal rapporteres Sikkerhetsbrudd som kun omfatter utstyr, programvare og tjenester i lokale nettverk i NIH, skal ivaretas av lokal organisasjon.

14 IT-sikkerhetshåndbok for NIH Del I Side: FYSISK SIKRING 5.1 INNDELING I SONER Statlige bygg, kontorer og andre lokaliteter som eies, leies eller på annen måte disponeres og er under kontroll av statlig virksomhet, er å betrakte som en buffersone. Dette forutsetter at det er etablert et minimum av adgangskontroll som identifiserer og/eller hindrer personell uten legitimt behov adgang. Kontorer og andre lokaler hvor det behandles informasjon vha. NIH-tilknyttet utstyr, og hvor fri adgang også kan gi tilgang til opplysninger i informasjonssystemene, betraktes som terminalområde. Uautorisert tilgang eller innsyn kan forhindres av avlåsing, tildekking og ledsaging av besøkende. Lokaler hvor det plasseres sentralt datautstyr som servere, kommunikasjonsutstyr, koplingspaneler, etc. er å betrakte som datarom. Datarom skal sikres med lås, og kun autorisert personell skal ha tilgang. 5.2 BESKYTTELSE AV DATAUTSTYR Generelt Fysisk sikring av datautstyr skal hindre ødeleggelse eller tyveri av maskinvare. Tiltakene skal også hindre uautorisert innsyn i informasjon og tilgang til programvare og tjenester i NIH-nettet. Nøkler, adgangskort, ol. tildeles etter autorisasjon ref. pkt Autorisasjon, i henhold til etablerte rutiner i NIH. Sentrale datamaskinkomponenter som servere, sentralrutere, aksessrutere, koplingspanel, modem, etc. skal plasseres i datarom. Alternativt til datarom kan det anvendes låsbare skap med forankring i vegg eller gulv. PCer og skrivere skal plasseres i terminalområde.

15 IT-sikkerhetshåndbok for NIH Del I Side: SYSTEMTEKNISK SIKRING 6.1 TILGANGSKONTROLL Generelt Tilgangskontrollen skal sikre at kun personell med tjenstlig behov får tilgang til informasjon, programmer og andre tjenester i NIH-nettet. Tilgangskontrollen skal regulere muligheten for å lese, skrive og slette informasjon, samt muligheten for å starte programmer og andre tjenester. Tilgangen kan bestemmes eksplisitt ved tildeling av rettigheter til enkeltpersoner, eller ved gruppetilhørighet. Driftspersonell, eller den som er utpekt for oppgaven, åpner for tilgang etter autorisasjon er gitt i henhold til pkt Autorisasjon. Kun driftspersonell, eller den som er utpekt for oppgaven, skal ha rettigheter til å skrive og endre på sentrale systemkataloger på servere. Det skal defineres hvilke ressurser (programmer, tjenester, datalagringsområder, ol.) en bruker har tilgang til, og hvilke rettigheter vedkommende har på hver enkelt ressurs. Anbefalinger Det anbefales at det implementeres mekanismer som logger alle forsøk på uautorisert tilgang til informasjon, programmer og andre ressurser. Det bør opprettes rutiner for inspeksjon, kontroll og sletting av aktivitetslogger. 6.2 PÅ/AVLOGGING Generelt Tilgang til informasjon, programmer og andre tjenester i lokale nettverk skal skje gjennom en forutgående identifisering av bruker og autentisering av brukerens identitet. Det skal implementeres system for unik identifisering av brukere på NIH-nettets utstyr/nettverk. Det skal være et en til en forhold mellom fysisk bruker og logisk brukerkonto på systemene. Dette gjelder også som hovedregel for systembrukere, men unntak kan gis hvor deling av identitet og passord begrenses til det som er strengt nødvendig. Identiteten til hver bruker skal autentiseres ved hjelp av et personlig passord. Passordet skal være hemmelig.

16 IT-sikkerhetshåndbok for NIH Del I Side: 12 Brukere skal skifte passord hver tredje måned. Alle passord skal skiftes ved mistanke om kompromittering. Passordet skal tilfredstille følgende regel: Det skal være minst 6 tegn i passord. Ikke inneholde hele eller deler av brukernavnet Inneholde tegn fra tre av følgende fire kategorier Engelske store bokstaver ( A tom Z ) Engelske små bokstaver ( a tom z) Tall fra 0 tom 9 Ikke alfanumeriske karakterer ( f eks.!,%,&,$) Hindrer gjenbruk av de 6 sist benyttede passordene 7. PASSWORD MUST MEET COMPLEXITY REQUIREMENTS Computer Configuration\Windows Settings\Security Settings\Account Policies\Password Policy 7.1 DESCRIPTION Dersom utstyret er uten oppsyn skal det benyttes passordbelagt skjermsparer som aktiviseres automatisk etter 20 minutter.. Unntak kan imidlertid godkjennes dersom operativsystemet ikke kan håndtere denne rutinen, men det bør under enhver omstendighet etterstrebes at man har systemer som har god nok sikkerhet. Automatisk utlogging uten at PC-en har vært i bruk settes til 4 timer og PC-en slås av etter 8 timer. Anbefalinger Det anbefales å implementere mekanismer og rutiner som: tvinger valg av passord til minimum seks tegn bestående av både tall og bokstaver hindrer gjenbruk av de ti sist benyttede passordene opplyser brukeren om tidspunkt for siste vellykkede innlogging. Dette bidrar til kontroll av egen brukerkonto logger alle mislykkede forsøk på innlogging

17 IT-sikkerhetshåndbok for NIH Del I Side: 13 sperrer brukerens konto etter tre mislykkede påloggingsforsøk, og som krever åpning av brukerkonto fra driftspersonell. Sperringen bør utløse alarm hos driftspersonell som vurderer om det kan være forsøk på angrep. Brukerne bør informeres på forhånd om at loggerutiner er aktivert. Bruk av skjermsparer sikrer at uvedkommende får tilgang til brukerens PC. Skjermsparer er imidlertid kun passordbelagt og gir således ikke full tilgangskontroll. Dersom brukeren er bortreist og glemmer å logge seg av, vil ikke PC-en være godt nok sikret over lengre tid. Automatisk utlogging etter en gitt tid vil derimot sikre at noe slikt kan skje. Det anbefales at automatisk utlogging settes til minimum 1 time. 7.2 BESKYTTELSE MOT VIRUS OG ANNEN ONDSINNET PROGRAMVARE Generelt Virus og annen ondsinnet programvare kan medføre tap av data, spredning/eksport av data, hindre tilgjengelighet til data og programvare og svekke tilliten til informasjon og programvare, og utgjør således en alvorlig trussel mot NIH-nettet. Denne trusselen har utallige spredningsmåter i datasystemer, via disketter, filoverføringer, som vedlegg til elektronisk post, etc. De systemtekniske tiltakene må ses i sammenheng med gode manuelle rutiner. Hver bruker med tilknytning til det lokale nettverket skal ha tilgang til antivirus programvare på sin PC. Antivirusprogramvare skal oppdateres når ny versjon av virus signaturfiler eller ny full versjon foreligger. For NIH: Denne legges minneresident i PC-en. Serverne gjennomsøkes for virus minst en gang i døgnet. All innkommende mail scannes av egen server før mailen sendes til mailserveren. Mail med vedlegg av en type som er kjent å bringe med seg virus, fjernes automatisk. Alle disketter som skal benyttes på NIH-tilknyttet utstyr virussjekkes før bruk. Alle filer som overføres elektronisk skal virussjekkes. Dette inkluderer også vedlegg til e-post. Antivirusprogramvare skal oppdateres når ny versjon av virussignaturfiler eller ny full versjon foreligger. Anbefalinger Det anbefales at antivirus programvare initieres i oppstartsekvensen for hver PC i lokale nettverk, og at denne legges minneresident etter eksekvering.

18 IT-sikkerhetshåndbok for NIH Del I Side: 14 Det anbefales å opprette en datamaskin, frakoplet NIH-nettet, hvor det installeres antivirus programvare, for kontroll av disketter som innføres i NIH-tilknyttet nettverk. 7.3 SIKKERHETSKOPIERING OG OPPBEVARING AV SENTRALE DATA- OG PROGRAMVARE Generelt Sikkerhetskopi av data, programvare, systemfiler, etc. opprettes for å kunne rekonstruere datasystemene etter virusangrep, maskinfeil, katastrofe, el. som har medført tap eller skade. Gode mekanismer og rutiner for sikkerhetskopiering kan begrense tap av arbeidstid for alle berørte parter, og raskt opprette tillit til informasjon, programmer og andre tjenester i NIH. NIH skal selv bestemme antall generasjoner på sikkerhetskopier av egne data som bør oppbevares. Det skal tas sikkerhetskopier av programvare og systemfiler som har betydning for NIH. For NIH: På servere med AD ( Active directory) tas full backup hver uke. Det tas regelmessig backup av OS, inkludert oppdatering av IDR-disketter ( Intelligent disaster recovery). Differensiell backup hver hverdag, samt full backup av System State og mailbokser. Backup roteres med minimum 4 sett. En beholder et sett for lagring etter 3, 6 og 12 måneder. Siste backup set med IDR lagres i annen bygning i brannsikker safe. Anbefalinger Det anbefales å iverksette rutiner og mekanismer for sikkerhetskopiering som følger: full sikkerhetskopi av programvare og systemfiler, minimum hver 14. dag full sikkerhetskopi av datafiler hver uke inkrementell automatisert sikkerhetskopi av datafiler hver natt sikkerhetskopier merkes med innhold, dato/syklus og lagres adskilt fra de systemene de er tatt fra original programvare, sikkerhetskopier og lignende bør oppbevares separat fra server fjernlagring av sikkerhetskopier hos tiltrodd tredjepart.

19 IT-sikkerhetshåndbok for NIH Del I Side: NETTINFRASTRUKTUR 8.1 GENERELT Nettinfrastruktur er en av hovedkomponentene i NIH-konseptet, og utgjør bindeleddet mellom hver enkelt PC og de sentrale tjenestene, de regionale fellesressursene og de lokale fellestjenestene i lokalnettene. Minimumskravene og anbefalingene som beskrives i det følgende er først og fremst rettet mot eksterne trusler og deres forsøk på å tilegne seg uautorisert tilgang til informasjon og ressurser i NIH-nettet. I tillegg er det angitt en del krav og anbefalinger som bidrar til å implementere prinsippene om tjenstlig behov (need to know) for tilgang til data og ressurser. 8.2 LOKALE NETTVERK Generelt Valg av kommunikasjonsutstyr for lokalnett i NIH gir muligheter for implementering av gode sikkerhetsmessige løsninger. Spesielt kan bruk av svitsjet Ethernet åpne for flere muligheter. Vi vil vil ikke kreve, men dog anbefale at de nedenfor følgende mekanismene implementeres. Med tanke på senere behov for sikrere løsninger, vil følgende tiltak anses som framtidsrettede og fornuftige: For NIH Nettverket deles opp med VLAN. Noen VLAN setter opp med brannmur mot resten av LAN-et. Se vedlegg 3. Anbefalinger Bruk av virtuelle LAN Avdelingene grupperes på egne porter og i egne virtuelle LAN på Ethernetsvitsjene. Dette gir gjensidig utelukking, men kan tillate tilgang til segment for felles servere og aksessruter Utesperring av nye maskinvareadresser (Ethernet MAC-adresser) Dette hindrer at nye uautoriserte maskinvarekomponenter innføres i lokalnettet RMON påslått, dersom dette støttes. 8.3 LAN TIL LAN FORBINDELSER OVER FASTE SAMBAND Generelt Enkelte utenforliggende samarbeidspartnere hvor det ikke er forbindelse til det fiberoptiske stamnettet, settes opp med faste samband (Digital) mot ruter.

20 IT-sikkerhetshåndbok for NIH Del I Side: 16 Rutere skal settes med bruk av protokollen PPP, og autentiserings- og passordopsjonene PAP og CHAP skal implementeres for verifikasjon på link mellom ruterne. Alternative sikringsmekanismer må minst ha samme styrke som disse, og dette må dokumenteres. All inngående trafikk skal gå gjennom ruter og brannmur. 8.4 ANDRE EKSTERNE FORBINDELSER Generelt Andre eksterne forbindelser enn de som er nevnt over kan feks. være egne tilknytninger til andre m offentlige eller private nettverk utenfor NIH-nettet, og som ikke er etablert gjennom sentral arkitektur beskrevet i kap. 2 i dokumentet Sikkerhetsmekanismer i NIH. Slike eksterne forbindelser kan åpne såkalte bakdører til NIH-nettet, og således forringe sikkerhetsnivået. Det er derfor ikke tillatt å etablere andre eksterne kommunikasjonsveier i NIH-nettet enn de sentralt etablerte. Oppkobling fra andre samarbeidspartnere skal setter opp med kryptert forbindelse som identifiseres av brannmuren Fjernarbeid. Med fjernarbeid menes tilkobling til det interne nettverket for å få tilgang til filer og applikasjoner. Innlogging skal autentiseres via VPN-forbindelse av brannmur samt brukerkontoen på NIH-nettet. All kommunikasjon skal være kryptert. Klienten skal være konfigurert og underlagt de samme krav til PC-er tilkoblet det interne nettet mht virusprogramvare og andre sikkerhetstiltak. Dette betyr at det å surfe på internett fra en fra ekstern lokasjon må VPN-forbindelsen mot NIH lukkes. Anbefalinger Bærbart utstyr bør ha kryptering av alle filer aktivert. Utstyr som skal brukes i andre land bør ha autentisering ved digitale signatur. Utstyr som tidvis kobles opp mot internettet bør ha egen lokal brannmur installert.

21 IT-sikkerhetshåndbok for NIH Del I Side: 17 Sikring av diverse tjenester 8.5 ELEKTRONISK POST Bruken av elektronisk post på NIH og staten er regulert i Arbeids- og administrasjonsdepartementets veiledning i bruk av elektronisk post, utgitt desember WORLD WIDE WEB TJENESTER Generelt Det gis fri tilgang til eksterne web-servere. Via egen newsklient eller web-klient gis det tilgang til nntp/news-server hos NIH s Internett-operatør. Tilgang til WWW skal skje via NIHs offisielle tilgang som er sikret med ruter og brannmur. Klienten som benyttes skal ha støtte for SSL eller SHTTP og Web-proxy-tjeneste. Standard prosedyre for virussjekk ved elektronisk overføring av filer iht. pkt Beskyttelse mot virus og annen ondsinnet programvare - skal gjennomføres. Anbefalinger Klientene bør settes opp for WWW gjennom en Proxy-server i sentralt samtrafikkpunkt. 8.7 FILDELING Fildeling (distribuerte filsystemer) anbefales normalt ikke over WAN-forbindelser. 8.8 TERMINALINNLOGGING Utgående Telnet tillates satt opp fritt fra lokalnett. Inngående Telnet til lokalnett tillates normalt ikke, og blir stoppet i ruter/brannmur. Unntak er innlogging for fjernsupport og overføring av grunnlagsdata etc. i fagssystemer. Denne type tilgang er en sikkerhetsrisiko for NIH og skal således sikres spesielt med strenge sikkerhetstiltak.

22 IT-sikkerhetshåndbok for NIH Del I Side: INTERNKONTROLL 9.1 GENERELT Rutiner og dokumentasjon for internkontroll skal stadfeste tillit til at lokalnett og kommunikasjonsløsninger er på det nivået som kravene og retningslinjene i IT-sikkerhetshåndboken foreskriver. Dokumentasjonen skal også tjene som underlag for revisjoner som foretas av Datatilsynet eller andre. Dokumentasjonen skal angi et utgangspunkt for konfigurasjonskontroll, og revideres etter behov. Elektronisk lagret informasjon anses som tilstrekkelig. Det skal utarbeides dokumentasjon for hvert av kapitlene i del II av håndboken. Dokumentasjonen skal være oppdatert og tilgjengelig. Dersom NIH har annen dokumentasjon som dekker hele- eller deler av innholdet som angis i tekst i dette kapitlet eller eksempler i del II av håndboken, vil det være tilstrekkelig med henvisninger til denne dokumentasjonen. Det understrekes at de påfølgende kapitlene kun er veiledende, og at virksomhetene selv står fritt i å unnta eller legge til opplysninger. Alle minimumskrav skal imidlertid være reflektert. 9.2 FUNKSJONELL BESKRIVELSE AV INFORMASJONSSYSTEMET Dokumentet skal beskrive lokalnettets funksjonelle hovedelementer, herunder: all tillatt PC programvare med angivelse av versjonsnummer og bruksområde operativsystemer/nettverks-os med angivelse av versjonsnummer all felles serverbasert programvare med angivelse av versjonsnummer og bruksområde. All felles serverbasert programvare og personregistre skal knyttes opp mot aktuell server (logisk navn, se del II vedlegg 2 - Geografisk lokalisering og fysisk plassering). Som eksempel se del II, vedlegg 1 - Funksjonell beskrivelse av informasjonssystemet. 9.3 GEOGRAFISK LOKALISERING OG FYSISK PLASSERING Dokumentet skal angi alle fysiske elementer, og deres plassering, i de lokale nettverkene, herunder: PCer, med angivelse av serienummer skrivere servere rutere svitsjer.

23 IT-sikkerhetshåndbok for NIH Del I Side: 19 Brannmurer Modemer huber Dokumentet bør utformes som tabeller. Som eksempel se del II, vedlegg 2 - Geografisk lokalisering og fysisk plassering. 9.4 SYSTEMTEKNISKE SIKKERHETSTILTAK OG NETTINFRASTRUKTUR Dokumentet skal angi hvordan kravene i kap. 6 - Systemteknisk sikring -og vedlegg 3 pkt. 3 Nettinfrastruktur - er implementert i lokalnett og kommunikasjonsløsninger. som er relevante for NIH skal besvares gjennom beskrivelse av implementasjonen punkt for punkt. Del II, vedlegg 3 - Systemtekniske sikkerhetstiltak og nettinfrastruktur - angir disposisjonen. 9.5 AUTORISASJONSLISTER Dokumentet skal angi alle typer autorisasjoner for adgang og tilgang til datautstyr, informasjon, programvare og andre tjenester i lokalnettene, herunder: autoriserte brukere i lokalnettene brukere med autoriserte oppringte forbindelser - herunder hjemmekontor, leverandører, mobile brukere konsesjonspliktige registre (en tabell for hvert register) brukere med utvidede privilegier (systemansvarlige, driftsansvarlige, databaseadministratorer, etc.) Dokumentet bør utformes som tabeller. Som eksempel se del II, vedlegg 4 - Autorisasjonslister. 9.6 IT-SIKKERHETSINSTRUKS FOR BRUKERE AV NIH-NETTET. IT-sikkerhetsinstruks skal være kortfattet (maks 1 side) og gjøres lett tilgjengelig for brukere. Ved ansettelser skal de nytilsatte gjøres kjent med instruksen. Instruksen skal være en huskeliste for daglig bruk, og i tillegg angi hvor den enkelte medarbeider kan henvende seg ved behov.

24 IT-sikkerhetshåndbok for NIH Del I Side: ORDFORKLARINGER Forkorting Utvidelse Forklaring CHAP Challenge Handshake Authentication Protocol Autentiseringsmekanisme mellom rutere i nettverk. Benyttes ofte i PPPkommunikasjon. CUG Closed User Group Lukket brukergruppe, benyttes i linjesvitsjet (ISDN) og pakkesvitsjet (FR) nett. FR Frame Relay Tilknytning til et nettverk kan foregå ved hjelp av Frame Relay, som er en pakkesvitsjet tjeneste levert av teleoperatør. FTP File Transfer Protocol Defacto standard filoverføringsprogram i applikasjonslaget i OSI-modellen HTTP Hyper Text Transfer Protocol Programspråk på Internett. Protokoll som ligger til grunn for overføring av dokument på WWW Informasjonseier Organisasjonsenhet med forvaltningsmessig ansvar og eierskap til informasjon behandlet i fagsystemer eller på kontorstøtteverktøy. IP Internet Protocol Defacto standard rutingsprotokoll i ISDN Integrated Service Digital Network nettverkslaget i OSI-modellen Tilknytning til et nettverk kan foregå ved hjelp av ISDN, som er en linjesvitsjet tjeneste levert av teleoperatør. LAN Local Area Network Lokalt nettverk bestående av tjenestemaskiner, PCer, skrivere, etc. og kablingssystemer og elektronikk som binder enhetene fysisk og logisk sammen. MAC-adresse Media Access Control Hardkodet adresse på nettverkskort MTA Message Transfer Agent Programvare som flytter e-post fra en host til en annen. PPP Point to Point Protocol En kommunikasjonsprotokoll som gir seriell tilknytning mellom to datamaskiner, en datamaskin og nettverk eller mellom nettverk. PAP Password Authentication Protocol Autentiseringsmekanisme mellom rutere i nettverk. Benyttes ofte i PPPkommunikasjon.

25 IT-sikkerhetshåndbok for NIH Del I Side: 21 Forkorting Utvidelse Forklaring RMON Remote Monitoring Fjernovervåking av nettverksressurser SHTTP Secure Hyper Text Transfer Protocol Programspråk på Internett. Sikkerhetsprotokoll som ligger til grunn for overføring av dokument på WWW SSL Secure Socket Layer Programspråk på Internett. Sikkerhetsprotokoll fra Netscape for overføring av dokument på WWW Systemeier/applikasjonseier Organisasjonsenhet med faglig og forvaltningsmessig ansvar og eierskap til fagsystemer. Telnet Virtuell terminal over TCP/IP Defacto standard interaktiv protokoll i applikasjonslaget i OSI-modellen Tabell 2 - Ordforklaringer

26 Prosjektnr.: Rev.: 1.0 IT-sikkerhetshåndbok for virksomheter i Depnett Del II Side: 1 Del II - Dokumentasjon for internkontroll 1. INNLEDNING Del II av IT-sikkerhetshåndbok for NIH er dokumentasjon av de sikkerhetstiltak som er gjennomført. For å forenkle utarbeidelsen og oppdateringen av dokumentasjonen, er det i størst mulig grad lagt opp til å benytte tabeller i stedet for tekst. 2. VEDLEGG TIL DOKUMENTET Sikkerhetsdokumentasjonen vil være i løpende oppdatering i takt med endringer i organisasjonen og ITsystemene. Det er derfor utarbeidet vedlegg til IT-sikkerhetshåndbok for NIH som skal fungere som dokumentasjon av de sikkerhetstiltak som er gjennomført. Følgende vedlegg er gjeldende: 1 Funksjonell beskrivelse av informasjonssystemet 2 Geografisk lokalisering og fysisk plassering 3 Systemtekniske sikkerhetstiltak og nettinfrastruktur 4 Autorisasjonslister 5 IT-sikkerhetsinstruks for brukere i NIH. Samarbeidspartner får utdelt vedleggene som maler til hjelp for utfylling av sikkerhetshåndbok. De foreslåtte malene er kun eksempler på hvordan informasjon kan og hva slags informasjon som minimum skal dokumenteres. Automatisk generert elektronisk informasjon krever et managementsystem som ikke alle virksomheter har implementert, og for de er det nødvendig med manuelle førte registre. Målsetningen bør imidlertid være å kunne benytte systemer som automatisk oppdaterer dokumentasjonen. Forutsetningen er imidlertid at disse systemene gir den informasjon som kreves og at det i sikkerhetshåndboken klart fremgår hvor denne dokumentasjonen foreligger og at den legges lett tilgjengelig dersom det er behov for innsyn.

Sikkerhetsinstruks bruker

Sikkerhetsinstruks bruker Sikkerhetsinstruks bruker Side 1 av 5 Sikkerhetsinstruks bruker NB! Innholdet i denne malen må tilpasses til egen virksomhet. Det kan medføre utfylling av ytterligere informasjon og/eller sletting av ikke

Detaljer

Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON

Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON Datatilsynet Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON Vi viser til Deres søknad av xx.xx.xxxx om konsesjon til å behandle

Detaljer

Reglement for bruk av Hedmark fylkeskommunes IT-løsninger (IT-reglement)

Reglement for bruk av Hedmark fylkeskommunes IT-løsninger (IT-reglement) Reglement for bruk av Hedmark fylkeskommunes IT-løsninger (IT-reglement) Fastsatt av Fylkesdirektøren 18.12.13, gjelder fra 1.1.14. Erstatter «IT-instruks for HFK» fra 2008. Protokoll str 14 1. Virkeområde

Detaljer

4.2 Sikkerhetsinstruks bruker

4.2 Sikkerhetsinstruks bruker 4.2 Sikkerhetsinstruks bruker Innledning Denne instruksen beskriver retningslinjer for bruk av IT ved Evenes kommune. Instruksen gjelder for alle ansatte, og skal være lest og signert, og så leveres til

Detaljer

Sikkerhetshåndbok for Utdanningsetaten. kortversjon

Sikkerhetshåndbok for Utdanningsetaten. kortversjon Oslo kommune Utdanningsetaten Sikkerhetshåndbok for Utdanningsetaten kortversjon Informasjonssikkerhet Versjon 1.0 Side 1 av 15 INNHOLD Forord 3 Innledning 4 Fysisk sikring 5 Adgangskontroll og utstyrsplassering

Detaljer

Nasjonal sikkerhetsmyndighet

Nasjonal sikkerhetsmyndighet Nasjonal sikkerhetsmyndighet Veiledning Sist oppdatert: 2002-08-23 Veiledning til 5-26: Utarbeidelse av brukerinstruks Nasjonal sikkerhetsmyndighet Nasjonal sikkerhetsmyndighet er tverrsektoriell fag-

Detaljer

Felles datanett for kommunene Inderøy, Verran og Steinkjer

Felles datanett for kommunene Inderøy, Verran og Steinkjer IKT-reglement Felles datanett for kommunene Inderøy, Verran og Steinkjer Inn-Trøndelag IKT Brukerstøtte: Tlf: 74 16 93 33 helpdesk@ikt-inntrondelag.no Innhold 1. Innledning... 3 2. Virkeområde... 3 3.

Detaljer

Kommunens Internkontroll

Kommunens Internkontroll Kommunens Internkontroll Verktøy for rådmenn Et redskap for å kontrollere kommunens etterlevelse av personopplysningsloven 2012 Innhold Til deg som er rådmann... 4 Hvordan dokumentet er bygd opp... 4 Oppfølging

Detaljer

Sikkerhetsmål og -strategi

Sikkerhetsmål og -strategi Sikkerhetsmål og -strategi Side 1 av 8 Sikkerhetsmål og -strategi NB! Innholdet i denne malen må tilpasses til egen virksomhet. Det kan medføre utfylling av ytterligere informasjon og/eller sletting av

Detaljer

Målet er å bevisstgjøre om viktige prinsipper og tiltak for ledere i «Virksomheten».

Målet er å bevisstgjøre om viktige prinsipper og tiltak for ledere i «Virksomheten». Sikkerhetsledelse Målet er å bevisstgjøre om viktige prinsipper og tiltak for ledere i «Virksomheten». Policy Informasjonssikkerhet på overordnet nivå er beskrevet i «Virksomhetens» informasjonssikkerhetspolicy.

Detaljer

Internkontroll i mindre virksomheter - introduksjon

Internkontroll i mindre virksomheter - introduksjon Internkontroll i mindre virksomheter - introduksjon Veileder 07/02a (del 1 av 2) Publisert 15.02.2007 Datatilsynet Gateadresse: Tollbugata 3, Oslo Postadresse: postboks 8177, dep 0034 Oslo E-post: postkasse@datatilsynet.no

Detaljer

INNHERRED SAMKOMMUNE LEVANGER KOMMUNE VERDAL KOMMUNE

INNHERRED SAMKOMMUNE LEVANGER KOMMUNE VERDAL KOMMUNE INNHERRED SAMKOMMUNE LEVANGER KOMMUNE VERDAL KOMMUNE INSTRUKS FOR BRUK AV INTERNETT OG E-POST Vedtatt av administrasjonsutvalget i Levanger XX.XX.XXXX Vedtatt av administrasjonsutvalget i Verdal XX.XX.XXXX

Detaljer

Risikovurdering. Utgitt med støtte av: Støttedokument Faktaark nr 7 Versjon: 3.0 Dato: 12.2.2015

Risikovurdering. Utgitt med støtte av: Støttedokument Faktaark nr 7 Versjon: 3.0 Dato: 12.2.2015 Utgitt med støtte av: Norm for informasjonssikkerhet www.normen.no Risikovurdering Støttedokument Faktaark nr 7 Versjon: 3.0 Dato: 12.2.2015 Formål Ansvar Gjennomføring Omfang Målgruppe Dette faktaarket

Detaljer

Fagkurs for kommuner Krav til informasjonssikkerhet (105 minutter)

Fagkurs for kommuner Krav til informasjonssikkerhet (105 minutter) Fagkurs for kommuner Krav til informasjonssikkerhet (105 minutter) Innhold Kort om behandling av helseopplysninger i kommunen Eksempler på sårbarheter Krav til informasjonssikkerhet i Normen 2 Behandling

Detaljer

REGLEMENT FOR BRUK AV IT-INFRASTRUKTUR

REGLEMENT FOR BRUK AV IT-INFRASTRUKTUR REGLEMENT FOR BRUK AV IT-INFRASTRUKTUR Vedtatt av styret for Høgskolen i Finnmark 25. april 2007 i sak S 19/07 1. ANVENDELSE Dette reglement gjelder for all bruk av Høgskolen i Finnmarks (HiF) IT-system.

Detaljer

IT-Reglement for Telemark fylkeskommune (TFK) 1 Reglementets virkeområde

IT-Reglement for Telemark fylkeskommune (TFK) 1 Reglementets virkeområde IT-Reglement for Telemark fylkeskommune (TFK) 1 Reglementets virkeområde 1.1 Dette reglementet regulerer en brukers rettigheter og plikter ved bruk av TFKs ITressurser. Med TFKs IT-ressurser menes alle

Detaljer

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale Avtale om leveranse av IKT-tjenester Tjenesteavtale nr.: SUNHF-2011 Del II - Databehandleravtale Versjon: 0.1 Dato oppdatert : 22.03.11 Databehandleravtale mellom Sunnaas Sykehus HF Organisasjonsnr.:

Detaljer

Veileder for bruk av tynne klienter

Veileder for bruk av tynne klienter Veileder for bruk av tynne klienter Dette dokumentet er en veileder for bruk av terminaltjener/klient (tynne klienter) for å skille samtidige brukerrettigheter i åpne og sikre soner. April 2005 Postadresse:

Detaljer

IT-REGLEMENT FOR TILSATTE / ENGASJERTE VED KUNSTHØGSKOLEN

IT-REGLEMENT FOR TILSATTE / ENGASJERTE VED KUNSTHØGSKOLEN IT-REGLEMENT FOR TILSATTE / ENGASJERTE VED KUNSTHØGSKOLEN Instruks for bruk av IT-utstyr ved Kunsthøgskolen i Oslo er fastsatt av høgskoledirektøren 1.april 2006. 1 Omfang, forutsetninger 1.1 Dette reglementet

Detaljer

SØNDRE INNHERRED REVISJONSDISTRIKT IT-REVISJON LEVANGER KOMMUNE RAPPORT NR. 1.1/2003 FORVALTNINGSREVISJON

SØNDRE INNHERRED REVISJONSDISTRIKT IT-REVISJON LEVANGER KOMMUNE RAPPORT NR. 1.1/2003 FORVALTNINGSREVISJON SØNDRE INNHERRED REVISJONSDISTRIKT IT-REVISJON LEVANGER KOMMUNE RAPPORT NR. 1.1/2003 FORVALTNINGSREVISJON 1 INNLEDNING startet arbeidet med It-revisjon i Levanger kommune ved informasjonsbrev 03.01.01.

Detaljer

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11 KOMMUNE - RÅDMANNEN Arkivsak Arkivkode Saksbeh. : 200906584 : E: 210 : W. S. Eris m. fl. Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11 INFORMASJONSSIKKERHET I SANDNES

Detaljer

Helgelandssykehuset HF 2015 v0.2. Sikkerhetsrevisjon iflg. faktaark nr. 6 fra Norm for informasjonssikkerhet

Helgelandssykehuset HF 2015 v0.2. Sikkerhetsrevisjon iflg. faktaark nr. 6 fra Norm for informasjonssikkerhet Sikkerhetsrevisjon iflg. faktaark nr. 6 fra Norm for informasjonssikkerhet Nr Sjekkpunkt Faktaark /ikke ok Beskrivelse 7 Ikke ok Er gjennomført en rekke ROS-analyser vedr. FIKS. Det mangler i vesentlig

Detaljer

Datasikkerhet internt på sykehuset

Datasikkerhet internt på sykehuset Datasikkerhet internt på sykehuset DRG Konferansen 11. mars 2009 Informasjonssikkerhetsleder Jan Gunnar Broch Sykehuset Innlandet HF Agenda Informasjonssikkerhet; Hva, hvorfor og hvordan Hvordan håndterer

Detaljer

IKT-reglement for Norges musikkhøgskole

IKT-reglement for Norges musikkhøgskole IKT-reglement for Norges musikkhøgskole Norges musikkhøgskole (NMH) er forpliktet til å kontrollere risiko og håndtere informasjon og tekniske ressurser på en sikker måte. Når du får tilgang til disse

Detaljer

Eksempel på datadisiplininstruks

Eksempel på datadisiplininstruks Eksempel på datadisiplininstruks Denne datadisiplininstruksen gjelder bruk av [bedriftens navn]s datautstyr, nettverk og datasystemer, inkludert fjernpålogging og mobiltelefoner. 1. Hovedprinsipp Den ansatte

Detaljer

Databehandleravtaler

Databehandleravtaler Databehandleravtaler etter personopplysningsloven og helseregisterloven Veileder 26.05.2009 Innholdsfortegnelse DEL I 5 Veileder - databehandleravtaler...6 Datatilsynet...6 Forutsetninger og avklaringer...7

Detaljer

IKT- reglement for elever ved Toppidrettsgymnaset i Telemark

IKT- reglement for elever ved Toppidrettsgymnaset i Telemark IKT- reglement for elever ved Toppidrettsgymnaset i Telemark IKT- reglementet skal fremme god samhandling, god orden, gode arbeidsvaner og bidra til et stabilt og sikkert driftsmiljø slik at det legges

Detaljer

Nasjonal sikkerhetsmyndighet

Nasjonal sikkerhetsmyndighet Nasjonal sikkerhetsmyndighet Veiledning Sist oppdatert: 2002-08-23 Veiledning til 5-10: Gjennomføring av konfigurasjonskontroll Nasjonal sikkerhetsmyndighet Nasjonal sikkerhetsmyndighet er tverrsektoriell

Detaljer

Sikkerhetskrav for systemer

Sikkerhetskrav for systemer Utgitt med støtte av: Norm for informasjonssikkerhet www.normen.no Sikkerhetskrav for systemer Støttedokument Faktaark nr. 38 Versjon: 4.0 Dato: 16.03.2015 Formål Ansvar Gjennomføring Omfang Målgruppe

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00257 Dato for kontroll: 09.04.2014 Rapportdato: 06.08.2014 Endelig kontrollrapport Kontrollobjekt: Leikanger kommune Sted: Leikanger Utarbeidet av: Ted Tøraasen Knut-Brede Kaspersen 1 Innledning

Detaljer

Databrukara vtale. for. Rauma kommune

Databrukara vtale. for. Rauma kommune Databrukara vtale for Rauma kommune IT- sikkerheitsreglar for Rauma kommune Mål IT skal brukast til å dokumentere, dele og utveksle informasjon for å fremje effektiv informasjonsbehandling og sikre god

Detaljer

ROS-analyse. Rapportering til: Nina. Ved endringer i arbeidsoppgaver for personell blir ikke adgang til adgangskontrollsystemet revidert

ROS-analyse. Rapportering til: Nina. Ved endringer i arbeidsoppgaver for personell blir ikke adgang til adgangskontrollsystemet revidert Side: av 5 ROS-analyse Rapportering til: Nina Risikovurdering av bedriftens adgangskontrollsystem Hovedformål: Adgangskontroll Informasjonstype: Personopplysninger Enhet: Nina Gjennomført i perioden: Fra:

Detaljer

Skytjenester. Forside og Databehandleravtale. Telenor Norge

Skytjenester. Forside og Databehandleravtale. Telenor Norge Skytjenester Forside og Databehandleravtale Telenor Norge FORSIDE TIL AVTALE Det bekreftes med dette at det i dag den er inngått avtale mellom Telenor Norge AS, Snarøyveien 30, 1331 Fornebu, orgnr. 976

Detaljer

IKT-reglement for NMBU

IKT-reglement for NMBU IKT-reglement for NMBU Vedtatt av Fellesstyret for NVH og UMB 23.05.2013 IKT-reglement for NMBU 1 Innhold 1 Virkeområde for NMBUs IKT-reglement... 3 1.1 Virkeområde... 3 1.2 Informasjon og krav til kunnskap

Detaljer

Nasjonal sikkerhetsmyndighet

Nasjonal sikkerhetsmyndighet Nasjonal sikkerhetsmyndighet Veiledning Sist oppdatert: 2006-11-24 Veiledning i Sikkerhetsadministrasjon Grunnlagsdokument for sikkerhet Grunnlagsdokumentet er virksomhetens styringsdokument for den forebyggende

Detaljer

Behandlingsansvarlig skal sørge for at egne lokaler og utstyr er forsvarlig sikret.

Behandlingsansvarlig skal sørge for at egne lokaler og utstyr er forsvarlig sikret. 2.6 Fysisk sikring Formål Prosedyren skal sikre uautorisert adgang til objekter og utstyr benyttet til behandling av informasjon, særlig behandling av sensitive personopplysninger, eller at de ikke er

Detaljer

OVERSIKT SIKKERHETSARBEIDET I UDI

OVERSIKT SIKKERHETSARBEIDET I UDI OVERSIKT SIKKERHETSARBEIDET I UDI Toppdokument Felles toppdokument Sikkerhetsloven Grunnlagsdokument for sikkerhet Håndtering av brukerhenvendelser Personopplysningsloven Styringsdokument Policydokument

Detaljer

RETNINGSLINJER FOR BRUK AV SELSKAPETS DATAUTSTYR

RETNINGSLINJER FOR BRUK AV SELSKAPETS DATAUTSTYR RETNINGSLINJER FOR BRUK AV SELSKAPETS DATAUTSTYR Disse retningslinjer inneholder bl.a.: Regler for bruk av datautstyr tilhørende arbeidsgiver Sikkerhetspolicy Lagring og oppbevaring av dokumenter på kontorets

Detaljer

Nasjonal sikkerhetsmyndighet

Nasjonal sikkerhetsmyndighet Nasjonal sikkerhetsmyndighet IT-veiledning for ugradert nr 2 (U-02) Oppdatert: 2014-02-03 E-post Kryptering av e-postoverføring Beskrivelse av grunnleggende tiltak for sikring av overføring av e-post mellom

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00478 Dato for kontroll: 17.06.2014 Rapportdato: 21.10.2014 Endelig kontrollrapport Kontrollobjekt: Den katolske kirke Oslo Katolske Bispedømme Utarbeidet av: Hallstein Husand og Henok Tesfazghi

Detaljer

IT-reglement Aurskog-Høland kommune for ansatte og politikere

IT-reglement Aurskog-Høland kommune for ansatte og politikere IT-reglement Aurskog-Høland kommune for ansatte og politikere Vedtatt i rådmannens ledermøte 03.12.14 0 For at kommunens IT-systemer skal fungere optimalt er det viktig at alle kommunens ITbrukere følger

Detaljer

Ifølge Stortingsmelding nr. 17 (2006-2007) «Et informasjonssamfunn for alle» bygger begrepet IKT-sikkerhet på tre basisegenskaper:

Ifølge Stortingsmelding nr. 17 (2006-2007) «Et informasjonssamfunn for alle» bygger begrepet IKT-sikkerhet på tre basisegenskaper: Geir Martin Pilskog og Mona I.A. Engedal 8. Økende bruk av informasjons- og kommunikasjonsteknologi (IKT) medfører flere utfordringer når det gjelder sikkerhet ved bruken av IKT-system, nettverk og tilknyttede

Detaljer

Teori om sikkerhetsteknologier

Teori om sikkerhetsteknologier Avdeling for informatikk og e-læring, Høgskolen i Sør-Trøndelag Tomas Holt 22.8.2007 Lærestoffet er utviklet for faget LN479D/LV473D Nettverksikkerhet Innhold 1 1 1.1 Introduksjon til faget............................

Detaljer

BILAG 1 DATABEHANDLERAVTALE

BILAG 1 DATABEHANDLERAVTALE BILAG 1 DATABEHANDLERAVTALE Inngått iht.personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kap. 2 mellom UNINETT AS ("Databehandler") og Virksomheten ("den Behandlingsansvarlige") heretter

Detaljer

Introduksjonskurs til Normen. Jan Henriksen Sekretariatet for Normen og INFOSEC Norge AS. www.normen.no 1

Introduksjonskurs til Normen. Jan Henriksen Sekretariatet for Normen og INFOSEC Norge AS. www.normen.no 1 Introduksjonskurs til Normen Jan Henriksen Sekretariatet for Normen og INFOSEC Norge AS 1 Innhold 1. Litt om personvern og informasjonssikkerhet 2. Norm for informasjonssikkerhet 3. Risikovurdering 4.

Detaljer

Brukerinstruks. OntrackEraser Versjon 3.0. Ibas AS

Brukerinstruks. OntrackEraser Versjon 3.0. Ibas AS Brukerinstruks For datasletting med OntrackEraser Versjon 3.0 fra Ibas AS Dokkumentversjon 0.3 S I D E 1 Dokumentlogg Dato Type Versjon Endring Gjennomgang/Godkjenning 27.12.2007 Utkast 0.1 NSM (gjennomgang)

Detaljer

Overordnet IT beredskapsplan

Overordnet IT beredskapsplan Overordnet IT beredskapsplan Side 1 av 7 Overordnet IT beredskapsplan NB! Innholdet i denne malen må tilpasses til egen virksomhet. Det kan medføre utfylling av ytterligere informasjon og/eller sletting

Detaljer

Spesielt om personvern og krav til sikring av personopplysninger. Dag Wiese Schartum

Spesielt om personvern og krav til sikring av personopplysninger. Dag Wiese Schartum Spesielt om personvern og krav til sikring av personopplysninger Dag Wiese Schartum Personvern i forvaltningen - et problem! Generelt Forvaltningens IKT-bruk må alltid vurderes konkret i forhold til personopplysningslovens

Detaljer

Internkontroll og informasjonssikkerhet lover og standarder

Internkontroll og informasjonssikkerhet lover og standarder Internkontroll og informasjonssikkerhet lover og standarder Renate Thoreid, senioringeniør Side 1 Internkontroll og Informasjonssikkerhet Krav i Personopplysningsloven 13 og 14 Krav i Personopplysningsforskriften

Detaljer

Obligatorisk oppgave nr 2 i datakommunikasjon. Høsten 2002. Innleveringsfrist: 04. november 2002 Gjennomgås: 7. november 2002

Obligatorisk oppgave nr 2 i datakommunikasjon. Høsten 2002. Innleveringsfrist: 04. november 2002 Gjennomgås: 7. november 2002 Obligatorisk oppgave nr 2 i datakommunikasjon Høsten 2002 Innleveringsfrist: 04. november 2002 Gjennomgås: 7. november 2002 Oppgave 1 a) Forklar hva hensikten med flytkontroll er. - Hensikten med flytkontroll

Detaljer

Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket.

Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket. CLOUD COMPUTING En veiledning i bruk av skytjenester, 2014 Skytjenester Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket.

Detaljer

Bruk av databehandler (ekstern driftsenhet)

Bruk av databehandler (ekstern driftsenhet) Utgitt med støtte av: Norm for informasjonssikkerhet www.normen.no Bruk av databehandler (ekstern driftsenhet) Støttedokument Faktaark nr 10 Versjon: 4.0 Dato: 12.2.2015 Formål Ansvar Gjennomføring Omfang

Detaljer

Public 360 Online Datasikkerhet

Public 360 Online Datasikkerhet Public 360 Online Datasikkerhet Ver. 1.0 Mars 2014 Public 360 Online er en tjeneste som leveres av Software Innovation og som driftes på Microsoft Windows Azure. Azure er valgt som skyplattform ettersom

Detaljer

IT-reglement for Universitetet i Stavanger

IT-reglement for Universitetet i Stavanger IT-reglement for Universitetet i Stavanger Dette reglement gjelder for bruk av universitetets IT-tjenester. Med IT-tjenester siktes det til felles maskiner og IT-systemer, nettverk, programmer, data m.v.

Detaljer

VILKÅR FOR BRUK AV PREODAY APP OG E-HANDELSLØSNING

VILKÅR FOR BRUK AV PREODAY APP OG E-HANDELSLØSNING VILKÅR FOR BRUK AV PREODAY APP OG E-HANDELSLØSNING Ved å sette opp og lage en Preoday App og E-handelsløsning for ditt utsalgssted eller restaurant godtar du disse vilkårene. Hvis du ikke godtar vilkårene,

Detaljer

Håndtering av personlig informasjon

Håndtering av personlig informasjon Håndtering av personlig informasjon Håndtering av personlig informasjon Du kan alltid besøke vår hjemmeside for å få informasjon og lese om våre tilbud og kampanjer uten å oppgi noen personopplysninger.

Detaljer

*Sikkerhetsbehov: K: Konfidensialitet, T: Tilgjengelighet, I: Integritet **Tiltak kan være både organisatoriske og tekniske.

*Sikkerhetsbehov: K: Konfidensialitet, T: Tilgjengelighet, I: Integritet **Tiltak kan være både organisatoriske og tekniske. Risikovurdering Læringsplattform (skole) Eksempler på hendelser er basert på Senter for IKT i utdanningens veiledere for Sikker håndtering av personopplysninger. Dette er kun eksempler og den enkelte skoleeier

Detaljer

F-Secure Mobile Security for S60

F-Secure Mobile Security for S60 F-Secure Mobile Security for S60 1. Installasjon og aktivering Tidligere versjon Installasjon Du trenger ikke å avinstallere den tidligere versjonen av F-Secure Mobile Anti-Virus. Kontroller innstillingene

Detaljer

Blant de mest omtalte Internett tilpassningene i dag er brannmurer og virtuelle private nett (VPN).

Blant de mest omtalte Internett tilpassningene i dag er brannmurer og virtuelle private nett (VPN). Innledning Vi har valgt brannmurer som tema og grunnen til dette er de stadig høyere krav til sikkerhet. Begrepet datasikkerhet har endret innhold etter at maskiner ble knyttet sammen i nett. Ettersom

Detaljer

Brukerinstruks Informasjonssikkerhet

Brukerinstruks Informasjonssikkerhet STEIGEN KOMMUNE Brukerinstruks Informasjonssikkerhet for MEDARBEIDERE og NØKKELPERSONELL Versjon 3.00 Brukerinstruks del 1 og 2 for Steigen kommune Side 1 av 11 Innhold INNHOLD... 2 DEL 1... 3 INNLEDNING...

Detaljer

Vedlegg 6. Versjon 1 23.09.2015. Databehanlderavtale. Busstjenster Årnes Gardermoen 2016

Vedlegg 6. Versjon 1 23.09.2015. Databehanlderavtale. Busstjenster Årnes Gardermoen 2016 Vedlegg 6 Versjon 1 23.09.2015 Databehanlderavtale Busstjenster Årnes Gardermoen 2016 Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

Detaljer

Brukermanual. VPN tilgang til Norsk Helsenett

Brukermanual. VPN tilgang til Norsk Helsenett Brukermanual VPN tilgang til Norsk Helsenett Utgitt av Daniel Nygård Dato: 28.10.2010 Forord Dette dokumentet er en brukermanual og beskriver hvordan en får tilgang til Norsk Helsenett og Helseregister.no

Detaljer

JANUAR 2016 FIBERBREDBÅND BRUKERVEILEDNING

JANUAR 2016 FIBERBREDBÅND BRUKERVEILEDNING JANUAR 2016 FIBERBREDBÅND BRUKERVEILEDNING 1 1 1 KOBLE TIL HJEMMESENTRAL S 3 2 OPPSETT AV TRÅDLØS RUTER OG BRANNMUR I HJEMMESENTRALEN S 4 3 OPPKOBLING AV PC TIL INTERNETT MED WINDOWS 8 S 8 4 OPPKOBLING

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 13/00940 Dato for kontroll: 07.11.2013 Rapportdato: 11.03.2014 Endelig kontrollrapport Kontrollobjekt: Rudolf Steinerskolen i Oslo Sted: Oslo Utarbeidet av: Andreas Hobæk Martha Eike 1 Innledning

Detaljer

Dersom du har noen spørsmål eller kommentarer, ikke nøl med å kontakte oss ved «Kontakt».

Dersom du har noen spørsmål eller kommentarer, ikke nøl med å kontakte oss ved «Kontakt». Personvern vilkår Om Velkommen til Hoopla, Hoopla AS ( Selskapet, Vi og/eller Vår ) gjør det mulig for mennesker å planlegge, promotere og selge billetter til et Arrangement. Vi gjør det enkelt for alle

Detaljer

Sikkerhetsbestemmelsene i personopplysningsforskriften med kommentarer

Sikkerhetsbestemmelsene i personopplysningsforskriften med kommentarer Sikkerhetsbestemmelsene i personopplysningsforskriften med kommentarer Desember 2000 Sikkerhetbestemmelsene i personopplysningsforskriften med kommentarer Side 2 av 15 INNHOLD DEL I INNLEDNING 3 DEL II

Detaljer

Databehandleravtale. Denne avtalen er inngått mellom

Databehandleravtale. Denne avtalen er inngått mellom Databehandleravtale Denne avtalen er inngått mellom AS, Org. nr.:.., med forretningsadresse som selger av tjenester og databehandler ( heretter benevnt databehandler) og Ruter AS, Org. nr.: 991 609 407

Detaljer

Databehandleravtale. mellom. Navn på kommunen eller fylkeskommunen. (behandlingsansvarlig) Navn på tjenesteleverandøren

Databehandleravtale. mellom. Navn på kommunen eller fylkeskommunen. (behandlingsansvarlig) Navn på tjenesteleverandøren Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale mellom Navn på kommunen eller fylkeskommunen.. (behandlingsansvarlig)

Detaljer

Egenevalueringsskjema

Egenevalueringsskjema Egenevalueringsskjema Endepunktsikkerhet Dato: 24.11.2008 Versjon 1.0 Finanstilsynet Tlf. 22 93 98 00 post@finanstilsynet.no www.finanstilsynet.no Evalueringsskjema for foretakets sluttpunktsikkerhet Antivirus

Detaljer

HVEM ER JEG OG HVOR «BOR» JEG?

HVEM ER JEG OG HVOR «BOR» JEG? DISCLAIMER HVEM ER JEG OG HVOR «BOR» JEG? INFORMASJONSSIKKERHET Konfidensialitet Sikre at informasjon bare er tilgjengelig for de som skal ha tilgang Integritet Sikre informasjon mot utilsiktet eller

Detaljer

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00939-9/MEI 11. juli 2014

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00939-9/MEI 11. juli 2014 Elverum kommune Postboks 403 2418 ELVERUM Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00939-9/MEI 11. juli 2014 Vedtak om pålegg og endelig kontrollrapport Vi viser til Datatilsynets kontroll

Detaljer

Veiledning i informasjonssikkerhet for kommuner og fylker

Veiledning i informasjonssikkerhet for kommuner og fylker Veiledning i informasjonssikkerhet for kommuner og fylker TV-202:2005 Veiledning i informasjonssikkerhet for kommuner og fylker Side 2 av 39 Forord Veileder i informasjonssikkerhet for kommuner og fylkeskommuner

Detaljer

25B. Bruk av informasjons- og kommunikasjonsteknologi (IKT)

25B. Bruk av informasjons- og kommunikasjonsteknologi (IKT) 25B. Bruk av informasjons- og kommunikasjonsteknologi (IKT) Opplysninger om fylkeskommunen Fylkenr Fylkeskommunens navn Navn skjemaansvarlig Tlf nr E-post skjemaansvarlig Strategi 1 Har fylkeskommunen

Detaljer

Avvikshåndtering og egenkontroll

Avvikshåndtering og egenkontroll Avvikshåndtering og egenkontroll Side 1 av 5 Avvikshåndtering og egenkontroll NB! Innholdet i denne malen må tilpasses til egen virksomhet. Det kan medføre utfylling av ytterligere informasjon og/eller

Detaljer

Brukermanual for Blancco Data Cleaner+ 4.5

Brukermanual for Blancco Data Cleaner+ 4.5 Brukermanual for Blancco Data Cleaner+ 4.5 11.12.2006 Dokument versjon: 1.2 B U Y S E C A S D Y R M Y R G T 47, 3611 KONGSBER G S I D E 1 Dokumentlogg Dato Type Versjon Endring Gjennomgang/Godkjenning

Detaljer

God IT-skikk. - Informasjonssikkerhet i Norsvin -

God IT-skikk. - Informasjonssikkerhet i Norsvin - God IT-skikk - Informasjonssikkerhet i Norsvin - 1 God IT-skikk i Norsvin Norsvin er en bedrift hvor Informasjonsteknologi (IT) benyttes i stor grad. Utstyr som behandler bedriftens informasjon skal være

Detaljer

Databehandleravtale mellom Oslo universitetssykehus HF (org nr. 993 467 049) ved MBT-Kvalitetslaboratorium og [Sett inn foretak]

Databehandleravtale mellom Oslo universitetssykehus HF (org nr. 993 467 049) ved MBT-Kvalitetslaboratorium og [Sett inn foretak] Databehandleravtale Databehandleravtale mellom Oslo universitetssykehus HF (org nr. 993 467 049) ved MBT-Kvalitetslaboratorium og [Sett inn foretak] 1 Kontraktens parter Kontrakten inngås mellom databehandlingsansvarlig

Detaljer

Nasjonal sikkerhetsmyndighet

Nasjonal sikkerhetsmyndighet Nasjonal sikkerhetsmyndighet Veiledning Sist oppdatert: 2002-08-23 Veiledning til 5-25: Utarbeidelse av driftsinstruks Nasjonal sikkerhetsmyndighet Nasjonal sikkerhetsmyndighet er tverrsektoriell fag-

Detaljer

1. Systemsikkerhet. 1.1. Innledning. Innhold

1. Systemsikkerhet. 1.1. Innledning. Innhold Avdeling for informatikk og e-læring, Høgskolen i Sør-Trøndelag Systemsikkerhet Stein Meisingseth 29.08.2005 Lærestoffet er utviklet for faget LO474D Systemsikkerhet 1. Systemsikkerhet Resymé: Denne leksjonen

Detaljer

Skytjenester Status for Riksarkivets arbeid. Ta styringen! Norsk Arkivråds seminar 16. - 17. mars 2015 i Trondheim. Olav Sataslåtten Riksarkivet

Skytjenester Status for Riksarkivets arbeid. Ta styringen! Norsk Arkivråds seminar 16. - 17. mars 2015 i Trondheim. Olav Sataslåtten Riksarkivet Skytjenester Status for Riksarkivets arbeid Ta styringen! Norsk Arkivråds seminar 16. - 17. mars 2015 i Trondheim Olav Sataslåtten Riksarkivet 1 Utfordringene Arkivloven pålegger offentlige organer å ha

Detaljer

DOKUMENTASJON E-post oppsett

DOKUMENTASJON E-post oppsett DOKUMENTASJON E-post oppsett Oppsett av e-post konto Veiledningen viser innstillinger for Microsoft Outlook 2013, og oppkobling mot server kan gjøres med POP3 (lagre e-post lokalt på maskin) eller IMAP

Detaljer

VENNLIGST LES DISSE VILKÅRENE OG BETINGELSENE NØYE FØR DU BRUKER DETTE NETTSTEDET.

VENNLIGST LES DISSE VILKÅRENE OG BETINGELSENE NØYE FØR DU BRUKER DETTE NETTSTEDET. VENNLIGST LES DISSE VILKÅRENE OG BETINGELSENE NØYE FØR DU BRUKER DETTE NETTSTEDET. VILKÅR FOR BRUK AV NETTSTED Disse vilkårene for bruk (sammen med dokumentene som er referert til her) forteller deg betingelsene

Detaljer

SOLICARD ARX. Adgangssystemet som gir deg ubegrenset frihet. An ASSA ABLOY Group company

SOLICARD ARX. Adgangssystemet som gir deg ubegrenset frihet. An ASSA ABLOY Group company SOLICARD ARX Adgangssystemet som gir deg ubegrenset frihet An ASSA ABLOY Group company SOLICARD ARX arkitektur SOLICARD ARX LCU oppkoblet via Internet Eksisterende nettverk SOLICARD ARX AC SOLICARD ARX

Detaljer

Strategi for IT-tjenester pa pedagogisk nett i MRFK

Strategi for IT-tjenester pa pedagogisk nett i MRFK Strategi for IT-tjenester pa pedagogisk nett i MRFK Innhold Innledning... 4 Elementer i policy for MRFK... 4 Informasjonssikkerhet... 5 Forenkling av autentisering... 6 Målrettet informasjonsflyt... 7

Detaljer

BILAG 1 PRINSIPPSKISSE FOR TJENESTEN. Bilag til Tilslutningsavtale for Mediasite

BILAG 1 PRINSIPPSKISSE FOR TJENESTEN. Bilag til Tilslutningsavtale for Mediasite BILAG 1 PRINSIPPSKISSE FOR TJENESTEN BILAG 2 DATABEHANDLERAVTALE Inngått iht.personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kap. 2 mellom UNINETT AS ("Databehandler") og Virksomheten

Detaljer

F-Secure Mobile Security for Windows Mobile

F-Secure Mobile Security for Windows Mobile F-Secure Mobile Security for Windows Mobile 1. Installasjon og aktivering Tidligere versjon Installasjon Aktivering Starte produktet Hvis du har en tidligere versjon av F-Secure Mobile Security installert,

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00321 Dato for kontroll: 29.05.2012 Rapportdato: 10.12.2012 Endelig kontrollrapport Kontrollobjekt: Fremskrittspartiet Sted: Karl Johans gate 25 Utarbeidet av: Knut-Brede Kaspersen 1 Innledning

Detaljer

Kontrollrapport. Kontrollobjekt: Øksnes kommune Sted: Myre

Kontrollrapport. Kontrollobjekt: Øksnes kommune Sted: Myre Saksnummer: 14/01055 Dato for kontroll: 09.10.2014 Rapportdato: 20.01.2015 Kontrollrapport Kontrollobjekt: Øksnes kommune Sted: Myre Utarbeidet av: Knut-Brede Kaspersen 1 Innledning Datatilsynet gjennomførte

Detaljer

Brukerveiledning Tilkobling Altibox Fiberbredbånd

Brukerveiledning Tilkobling Altibox Fiberbredbånd Juli 2014 Graving og kabling 4 Plassering av hjemmesentral Brukerveiledning Tilkobling Altibox Fiberbredbånd Alt du trenger å vite om bruken av Altibox Fiberbredbånd 1 Altibox Fiberbredbånd 1 Kobling til

Detaljer

EN PRAKTISK INNFØRING I KRYPTERT E-POST FRA UDI

EN PRAKTISK INNFØRING I KRYPTERT E-POST FRA UDI EN PRAKTISK INNFØRING I KRYPTERT E-POST FRA UDI Asylavdelingen (ASA) i UDI forbereder seg til høsten 2010 der avdelingen skal begynne med fullelektronisk saksbehandling (esak). UDI har innført en løsning

Detaljer

SonicWALL UTM. Hvorfor man bør oppgradere til siste generasjon SonicWALL brannmur. NSA E-Class serien. NSA serien. TZ serien

SonicWALL UTM. Hvorfor man bør oppgradere til siste generasjon SonicWALL brannmur. NSA E-Class serien. NSA serien. TZ serien SonicWALL UTM NSA serien TZ serien NSA E-Class serien Hvorfor man bør oppgradere til siste generasjon SonicWALL brannmur Nettverksikkerhet for SMB - Minimumskrav Brannmur(UTM) Et brannmur er førstelinjeforsvar

Detaljer

Veileder i sikkerhetsarkitektur. For virksomheter som behandler personopplysninger og sensitive personopplysninger. August 2011

Veileder i sikkerhetsarkitektur. For virksomheter som behandler personopplysninger og sensitive personopplysninger. August 2011 Veileder i sikkerhetsarkitektur For virksomheter som behandler personopplysninger og sensitive personopplysninger. August 2011 Innhold Innledning... 3 Krav i regelverket... 5 Hva er informasjonssikkerhet?...

Detaljer

Informasjonssikkerhet i Nordre Land kommune

Informasjonssikkerhet i Nordre Land kommune Informasjonssikkerhet i Nordre Land kommune Informasjon ansatte i Nordre Land 2007 Informasjonssikkerhet i Nordre Land kommune Rådmannens forord Det er knapt en arbeidsplass i Nordre Land kommune som i

Detaljer

Beskrivelse av TCP/IP Introduksjon Vi har allerede skrevet litt om TCP/IP i kapitel 1, men her ønsker vi å utdype emnet.

Beskrivelse av TCP/IP Introduksjon Vi har allerede skrevet litt om TCP/IP i kapitel 1, men her ønsker vi å utdype emnet. Innledning "Intranett er et bedriftsinternt nettverk basert på TCP/IP-protokollen. Nettverket tar i bruk åpne Internett-standarder og -applikasjoner. Nettverket er normalt bare åpent for organisasjonens

Detaljer

PC som hjelpemiddel i grunnskolen i Bærum kommune - informasjon til elever og foresatte

PC som hjelpemiddel i grunnskolen i Bærum kommune - informasjon til elever og foresatte Revidert 05.02.09 PC som hjelpemiddel i grunnskolen i Bærum kommune - informasjon til elever og foresatte Til foresatte og elever som har fått vedtak om pc som hjelpemiddel Når dere nå skal velge en pc

Detaljer

Handbok i informasjonstryggleik. Presentasjon 13.05.08 Geir Håvard Ellingseter, dokumentsenteret

Handbok i informasjonstryggleik. Presentasjon 13.05.08 Geir Håvard Ellingseter, dokumentsenteret Handbok i informasjonstryggleik Presentasjon 13.05.08 Geir Håvard Ellingseter, dokumentsenteret Kva med MR fylke? Ingen har noko å tjene på datainnbrot hos oss. Hærverk, sabotasje Vi har aldri hatt

Detaljer

Standarder for sikker bruk av VPN med og i offentlig sektor

Standarder for sikker bruk av VPN med og i offentlig sektor Standarder for sikker bruk av VPN med og i offentlig sektor Standardiseringsrådsmøte 23.-24. november 2011 beslutningssak Bakgrunn Grønn IKT (Hjemmekontor, videokonferanser) Fjernarbeid og distribuert

Detaljer