Norges idrettshøgskole

Transkript

1 Norges idrettshøgskole IT-sikkerhetshåndbok Dok.id. : sikkerhetshåndbok_nih.doc Revisjon : 1.0 Utarbeidet dato : 10. oktober 2002 Utarbeidet av : Tor Arne Storebø Utarbeidet (sign) : Godkjent dato : 30. oktober 2002 Godkjent av : Jongeir Haugen

2 IT-sikkerhetshåndbok for NIH Side: B Endringer Dato Revisjon Endring høringsutgave Revidert på basis av kommentarer fra høringsinstanser offisielle versjon Forord Dette dokumentet er laget på mal utgitt av Statens forvaltningstjeneste (Ft) for å angi et sett minimumskrav for IT-sikkerhet i departementene. Dokumentet tjener også som veiledning for utarbeidelse av sikkerhetsdokumentasjon for internkontroll. Norges idrettshøgskole som underlagt KUF har valgt å bruke de samme retningslinjer som departementet følger. Vi forventer at det vil komme direktiv fra tilkoblingspunkt ( pt. Uninett), slik at sikkerhetshåndboken er hierarkisk underlagt krav fra ekstern parter. Sikkerhetshåndboken vil også sette krav til parter som kobler seg opp via NIH-nettverket.

3 IT-sikkerhetshåndbok for NIH Side: B INNHOLDSFORTEGNELSE 1. INNLEDNING HENSIKT og anbefalinger Etablering og vedlikehold av sikkerhetsnivå Internkontroll ANSVARSFORHOLD... 2 SIKKERHETSDOKUMENTASJON FOR NIH TILSLUTNINGSAVTALE SIKKERHETSFAKTORER TRUSSELBILDE OG RISIKOVURDERING KLASSIFISERING AV INFORMASJON LOVER OG REGLER INTERNE KRAV ORGANISATORISKE FORHOLD SIKKERHETSORGANISASJON Generelt Lokal IT-sikkerhetsansvarlig (LISA) Registeransvarlige TAUSHETSPLIKT BEVISSTGJØRING, KOMPETANSE OG OPPLÆRING ETIKK OG MORAL ADMINISTRATIVE FORHOLD AUTORISASJON Generelt Autorisasjon for adgang til utstyr og lokaler Autorisasjon for tilgang til informasjonssystemer Ansettelser og fratredelse... 8 Bruk av eksternt personell som skal ha tilgang til datautstyr tilknyttet NIH-nettet KONTORSIKKERHET Elektronisk lagring av informasjon Rutiner for informasjonssikkerhet SIKKERHETSBRUDD Generelt Tiltak ved sikkerhetsbrudd Tilfeller som skal rapporteres FYSISK SIKRING INNDELING I SONER BESKYTTELSE AV DATAUTSTYR Generelt SYSTEMTEKNISK SIKRING TILGANGSKONTROLL Generelt PÅ/AVLOGGING... 11

4 IT-sikkerhetshåndbok for NIH Side: B Generelt BESKYTTELSE MOT VIRUS OG ANNEN ONDSINNET PROGRAMVARE Generelt SIKKERHETSKOPIERING OG OPPBEVARING AV SENTRALE DATA- OG PROGRAMVARE Generelt NETTINFRASTRUKTUR GENERELT LOKALE NETTVERK Generelt LAN TIL LAN FORBINDELSER OVER FASTE SAMBAND Generelt ANDRE EKSTERNE FORBINDELSER Generelt Fjernarbeid ELEKTRONISK POST WORLD WIDE WEB TJENESTER Generelt FILDELING TERMINALINNLOGGING INTERNKONTROLL GENERELT FUNKSJONELL BESKRIVELSE AV INFORMASJONSSYSTEMET GEOGRAFISK LOKALISERING OG FYSISK PLASSERING SYSTEMTEKNISKE SIKKERHETSTILTAK OG NETTINFRASTRUKTUR AUTORISASJONSLISTER IT-SIKKERHETSINSTRUKS FOR BRUKERE AV NIH-NETTET ORDFORKLARINGER INNLEDNING VEDLEGG TIL DOKUMENTET... 1 Tabeller TABELL 1 - EKSEMPLER PÅ TRUSLER... 3 TABELL 2 - ORDFORKLARINGER... 21

5 IT-sikkerhetshåndbok for NIH Del I Side: 1 Del I - Minimumskrav og anbefalinger 1. INNLEDNING 1.1 HENSIKT Hensikten med en IT-sikkerhetshåndbok for Norges Idrettshøgskole er flere, og dokumentet vil ha ulike roller over tid: 1: IT-sikkerhetshåndboken vil angi hvilke minimumskrav som stilles fra sentralt hold ( Uninett/KUF) til sikkerhetsnivå lokalt hos den enkelte tilknyttede virksomhet. 2: Den fungerer som en mal for utarbeidelse av lokal sikkerhetsdokumentasjon. 3: Den fungerer som et utgangspunkt for å etablere interne kontrollrutiner og standard for sikkerhetsrevisjoner og anbefalinger Sikkerhetshåndboken inneholder minimumskrav, tilpasset NIH.som overordnet myndighet setter som betingelse for virksomhetene i Depnett dersom de ønsker å være tilknyttet Depnett og benytte seg av tjenestene i nettverket. ene er angitt i respektive underpunkter, og er skrevet på skravert flate. I tillegg er det angitt en del anbefalinger som vil gi ytterligere sikkerhet, og som vil kunne bidra til å oppfylle formelle krav Datatilsynet og evt. Forsvarets overkommando (FO/S) har ifm. behandling av sensitive personregistre og gradert informasjon. Disse anbefalingene vil bli fortløpende vurdert implementert ettersom nye krav oppstår. Noen anbefalinger er allerede implementert og vil derfor også stå som krav Etablering og vedlikehold av sikkerhetsnivå Håndboken vil rettlede IT-sikkerhetsansvarlige ipå Depnett-virksomheteneNIH med gjennomføring av tiltak som etablerer tillit til at de lokale informasjonssystemene er på et nødvendig og tilstrekkelig sikkerhetsnivå, jfr. pkt. 2.2 Klassifisering av informasjon. Tilslutning til Depnett forutsetter at sikkerhetsnivået er på angitt minimumsnivå og at dette opprettholdes så lenge tilknytningen vedvarer. Depnett-partene skal informere om endringer i sine lokale nettverk og kommunikasjonsløsninger, som kan ha betydning for sikkerhetsnivået Internkontroll Dokumentet tjener også som mal og angivelse for sikkerhetsdokumentasjon for lokalnett og kommunikasjonsløsninger lokalt. Dette gjelder spesielt kap Sikring av diverse tjenester - og vedleggene. Denne dokumentasjonen benyttes for internkontroll

6 IT-sikkerhetshåndbok for NIH Del I Side: 2 Det anbefales at Ssikkerhetsdokumentasjonen innlemmes i NIHs internkontrollrutiner. Disse rutinene skal også dekke fjernarbeid. Det stilles imidlertid ingen krav til inspeksjon. Dette dokumentet skal gjennom minimumskrav bidra til å regulere og etablere tillit til IT-virksomheten ved NIH, noe som har betydning for sikkerheten for samarbeidspartnerne. Dette omfatter blant annet: det lokale datanett ved NIH kommunikasjonsløsningene basert på faste digitale linjer ( mot Uninett) bruken av sentrale interne tjenester ved NIH av andre oppkoblede forbindelser ( Beitostølen) bruken av fjernarbeid, leverandører og mobile enheter basert på ulike aksessmetoder bruken av tjenester som gir tilgang til eksterne ressurser, herunder Internett, e-post mm ANSVARSFORHOLD Hovedprinsippet er at ansvaret er tillagt linjen. Dette innebærer at ansvaret for IT-sikkerheten er tillagt den enkelte virksomhetslederen. Dette dokumentet angir tiltak som er å oppfatte som minimumskrav for NIH. Tiltakene er angitt i ulike kategorier. Tiltakene som omfattes av dette ansvaret er angitt i dette dokumentet SIKKERHETSDOKUMENTASJON FOR NIH IT-sikkerhetshåndbok for NIH er ett av flere dokumenter som er med på å regulere virksomheten ved NIH. Dokumentene er tilpasset ulike målgrupper, og utgjør sammen minimumskrav, retningslinjer og anbefalinger for sikkerhet i NIH-nettet. Formatert: Punktmerking og nummerering Formatert: Punktmerking og nummerering Følgende dokumenter er benyttet for utfyllende informasjon og veiledning i utarbeidelse av sikkerhetsdokumentasjon for NIH: Datasikkerhetsdirektivet Retningslinjer for informasjonssikkerhet ved behandling av personopplysninger (TR-100:1998) Veiledning ved søknad til Datatilsynet om godkjenning av informasjonssikkerhet (TV-200:1999). Disse dokumentene er kun veiledende og utfyllende, dagens sikkerhetsnivå ved NIH tatt i betraktning, og gir informasjon om sikkerhetstiltak for informasjonssystemer som behandler gradert informasjon og sensitive personregistre TILSLUTNINGSAVTALE Virksomheter som ønsker å være tilknyttet NIH skal følge retningslinjene beskrevet i denne dokumentasjonen. Implementering av disse retningslinjene blir en del av kravene i eventuelle fremtidige tilslutningsavtaler for NIH-deltakere. Formatert: Punktmerking og nummerering

7 IT-sikkerhetshåndbok for NIH Del I Side: 3 2. SIKKERHETSFAKTORER 2.1 TRUSSELBILDE OG RISIKOVURDERING Alle minimumskrav og anbefalinger angitt i dette dokumentet, og som beskrevet i Sikkerhetsmekanismer for NIH, er avledet fra en overordnet vurdering av trusler og risiko for at det kan inntreffe uønskede handlinger eller hendelser mot informasjon og IT-ressurer ved NIH. Handlinger er forårsaket og utført av mennesker. Handlinger kan være tilsiktet eller utilsiktet. Hendelser er ikke generert/initiert av menneske og er utilsiktet/umotivert. En hendelse er å betrakte som adskilt fra all menneskelig påvirkning og skjer uavhengig av menneske. Eksempler på hendelser er lyn, jordskjelv, brann, oversvømmelse etc. Konsekvensen av handlinger og hendelser kan være tap av konfidensialitet, integritet eller tilgjengelighet til informasjon og tjenester i NIH. Tiltakene som skal iverksettes bidrar til å redusere risikoen for at uønskede handlinger eller hendelser inntreffer, eller konsekvensene dersom uhellet skulle være ute. Enhver trussel som ikke imøtekommes av NIH-partenes ansvarsområder vil kunne utgjøre en trussel mot andre deler av NIH. Trusler mot NIH-nettet kan kategoriseres som eksterne eller interne, og disse kan igjen inndeles i trusselkilder med/uten tilgang til utstyr og med/uten autorisasjon til informasjon og tjenester i NIH-nettet. Intern/Ekstern Autorisert Ikke autorisert Intern Saksbehandler Vaktmester/kantinepers. Ekstern Vikar/konsulent Alle andre (hacker, ol.) Tabell 1 - Eksempler på trusler Tabellen over angir eksempler på aktuelle trusler mot informasjon og tjenester i NIH-nettet. Motiv, ressurser og anledning til å utføre uønskede handlinger vil variere hos de ulike trusselkildene. 2.2 KLASSIFISERING AV INFORMASJON NIH-nettet er et normalsikret informasjonsnettverk med eksterne forbindelser. Av dette følger at det kan behandles informasjon uten særskilt sikring av følgende kategorier på utstyr tilknyttet NIH-nettet: offentlig informasjon informasjon som er unntatt offentlighet men ikke gradert i henhold til Sikkerhetsinstruksen eller Beskyttelsesinstruksen personregistre som ikke inneholder sensitive personopplysninger, jfr. Personregisterloven 6 annet ledd (ny Lov om behandling av personopplysninger er til behandling i Stortinget og vil inneholde krav til informasjonssikkerhet). Informasjon som IKKE skal behandles på utstyr knyttet til NIH-nettet i dag:

8 IT-sikkerhetshåndbok for NIH Del I Side: 4 sensitive personregistre, med mindre tillatelse er innhentet av Datatilsynet informasjon som er gradert iht. Sikkerhetsinstruksen eller informasjon som er gradert iht. Beskyttelsesinstruksen. Datatilsynet kan gi vilkår for sikring av personopplysninger uavhengig av om det aktuelle personregister omfatter sensitive personopplysninger eller ikke. For sensitive personregistre vil sikkerhetskravet som beskrevet i Retningslinjer for informasjonssikkerhet ved behandling av personopplysninger (TR- 100:1998) som regel alltid bli påregnet mens for øvrige personregistre vil kravet være tilfredstillende informasjonssikkerhet med hensyn på konfidensialitet, integritet eller tilgjengelighet. For sistnevnte registre anbefales det etablering av sikkerhetstiltak som beskrevet i Retningslinjer for informasjonssikkerhet ved behandling av personopplysninger (TR-100:1998). Virksomhetene må selv vurdere om det er hensiktsmessig å benytte andre klassifiseringer enn de som er nevnt i dette punktet, og hvilken beskyttelsesverdi disse skal gis. 2.3 LOVER OG REGLER Lover og regler angitt i de påfølgende dokumentene foreskriver tiltak som først og fremst bidrar til konfidensialitetssikring, dvs. hindre spredning av informasjon til andre enn de som er rettmessig berettiget til å behandle denne type informasjon. ene er utledet av informasjonens beskyttelsesmessige verdi, og kan medføre konkrete investeringer og tiltak som går ut over det som anses som nødvendig for informasjon tillatt behandlet i NIH-nettet Dokumentene har likevel betydning for NIH. 1. Lov om personregistre mm. av 9. Juni Retningslinjer for informasjonssikkerhet ved behandling av personopplysninger (TR-100:1998), Datatilsynet, 1. Juli Datasikkerhetsdirektivet, Forsvarets overkommando, 1. Mars 1998 Tiltak og krav angitt i dette dokumentet er delvis avledet av Lov om personregistre og Retningslinjer for informasjonssikkerhet ved behandling av personopplysninger (TR-100:1998), Datatilsynet. 2.4 INTERNE KRAV ene er basert på trussel- og risikovurdering for det tjenestetilbudet og IT-virksomheten som NIH kan tilby.

9 IT-sikkerhetshåndbok for NIH Del I Side: 5 3. ORGANISATORISKE FORHOLD 3.1 SIKKERHETSORGANISASJON Generelt Det kreves ikke at det opprettes særskilte stillinger, fora eller tilsvarende organer for å ivareta sikkerhetsoppgavene. Disse oppgavene kan tillegges den ordinære linjeorganisasjonen Lokal IT-sikkerhetsansvarlig (LISA) NIH skal utpeke en IT-sikkerhetsansvarlig i sin organisasjon. LISA skal på vegne av virksomhetens leder koordinere og gjennomføre IT-sikkerhetsarbeidet i sitt ansvarsområde. Dette innebærer bla. implementering av sikkerhetskravene i dette dokumentet. LISA utpekes av leder av IKT-seksjonen. Anbefalinger Funksjonen som LISA er en linjeoppgave som bør tillegges en medarbeider i eller i nær tilknytning til den lokale IT-driftsorganisasjonen. Datakommunikasjon fordrer samarbeid mellom de ulike enhetene som kommuniserer. Det anbefales at dette samarbeidet også utvides til å omfatte sikkerhetsarbeid. På denne måten vil man utnytte og få tilført kompetanse på tvers av organisasjonsenheter Registeransvarlige Enhver virksomhet tilknyttet NIH-nettet skal, hvis ikke annet er bestemt sentralt av etatsansvarlig for registeret, utpeke registeransvarlige etter behov i sin organisasjon. Retningslinjer og organisering framgår av Personregisterloven 11 siste ledd. 3.2 TAUSHETSPLIKT Bruken av tjenester og informasjon tilgjengelig i NIH-nettet skal skje i samsvar med regelverkene for statlig forvaltning, herunder offentlighetsloven med forskrifter, arkivinstruksen med forskrifter, og de ulike regelverk som gir bestemmelser om taushetsplikt eller om andre sensitive opplysninger.

10 IT-sikkerhetshåndbok for NIH Del I Side: BEVISSTGJØRING, KOMPETANSE OG OPPLÆRING IT-sikkerheten vil først og fremst være avhengig av den enkelte brukerens holdninger, kompetanse og forståelse for trusler, risiko og konsekvenser eventuelle hendelser og handlinger kan ha for virksomheten. Dette gjelder både sikkerhetsrelaterte handlinger og hendelser og normal bruk av programvare og datautstyr. LISA og driftsansvarlige med ansvar for teknisk IT-sikkerhet må gis anledning til kompetanseutvikling innen IT-sikkerhet, og sørge for kompetanseoverføring til øvrige ansatte. Det oppfordres til å drive holdningsskapende arbeid for bedring av IT-sikkerheten i alle tilknyttede virksomheter. 3.4 ETIKK OG MORAL Bruken av Edb-systemer muliggjør innsamling, kopiering og spredning av informasjon og programvare på en enkel og rask måte. Tilknytning til NIH-nettet utvider denne muligheten også til å omfatte informasjon og programvare utenfor egne lokale nettverk, inklusive Uninett og Internett. Enhver bruker er pålagt å holde seg innenfor de lover, normer og uskrevne regler som gjelder for bruk av datanett. Enkelte forhold er lovregulert, og kan medføre strafferettslig ansvar for NIH og ansatte: kopiering av programvare og annen informasjon som er underlagt copyright-lover eller andre opphavsrettslige bestemmelser bryter andres rett til personvern, eller virker injurierende vandalisering og sabotasje, herunder spredning av datavirus og sletting/ødeleggelse av data salg av illegale tjenester overføre, lagre eller spre informasjon/materiale som bryter med norsk- eller internasjonalt lovverk. Bruken av tjenester og Edb-utstyr tilknyttet NIH-nettet skal begrenses til utførelse av tjenstlige oppgaver, og enhver plikter å utøve sunn fornuft i følgende forhold: bruk av ressurser, herunder kommunikasjonskapasitet, datautstyr, etc. generere utgifter eller andre bindende avtaler over nettverket som kan være i strid med virksomhetens regler for økonomiforvaltning videresending av elektronisk post privat bruk av dataressurser, herunder Internett, for annet enn jobbrelatert opplæring el.

11 IT-sikkerhetshåndbok for NIH Del I Side: 7 4. ADMINISTRATIVE FORHOLD 4.1 AUTORISASJON Generelt Autorisasjon er administrativ tillatelse, og kan deles inn i ulike kategorier: fysisk adgang og tilgang til lokaler og datautstyr å benytte tjenester, programvare å lese og behandle informasjon og data Fysisk tilgang til lokaler og datautstyr, og teknisk tilgang til tjenester, programvare, data og informasjon tildeles etter at autorisasjon er gitt. Det vil ofte være forskjellige organisasjonsledd som gir autorisasjon og tilgang, ref pkt Beskyttelse av datautstyr - og pkt Tilgangskontroll Autorisasjon for adgang til utstyr og lokaler NIHs leder, eller den han utpeker, autoriserer personell for adgang til lokaler hvor det er plassert datautstyr tilknyttet NIH-nettet. Adgang til datarom med servere og kommunikasjonsutstyr skal kun gis til personell med tjenstlig behov. Liste over personell med fast adgang til datarom skal utarbeides iht. pkt Autorisasjonslister Autorisasjon for tilgang til informasjonssystemer Tilgang til informasjon, tjenester og programvare i informasjonssystem og nettverk skal begrenses til tjenstlig behov. et er utdypet i listen under. Registeransvarlige, der dette er påkrevd, gir autorisasjon for tilgang til konsesjonspliktige personregistre, og skal også autorisere driftspersonell for datautstyr der slike er lagret. Ansvarlige/eiere av informasjon og virksomhetsspesifikke programvaresystemer autoriserer for tilgang til informasjon og bruk av programmer. Dersom ikke eksplisitt ansvar eller eierskap kan utpekes, skal autorisasjon gis av nærmeste leder. Driftspersonell åpner for tilgang til data, tjenester og programvare etter at autorisasjon er innhentet. Autorisasjonslister utarbeides iht. pkt. 9.5 Autorisasjonslister.

12 IT-sikkerhetshåndbok for NIH Del I Side: Ansettelser og fratredelse Ved ansettelser skal det utdeles IT-sikkerhetsinstruks som den ansatte plikter å sette seg inn i og gjøre seg kjent med de krav som stilles. Den nytilsatte har rett og plikt til å forstå de regler og plikter som gjelder for IT-virksomheten, og hvilke konsekvenser som følger av sikkerhetsbrudd. Ved fratredelse skal autorisasjon opphøre. Anbefalinger Det anbefales at det gjennomføres en sikkerhetssamtale med den ansatte hvor man i fellesskap gjennomgår de lover og regler som gjelder for bruk av datautstyr (IT-sikkerhetshåndbok). Den nødvendige opplæring for ledelse av en slik sikkerhetssamtale bør gis av LISA. Den nytilsatte bør også oppfordres til å kontakte LISA ved behov Bruk av eksternt personell som skal ha tilgang til datautstyr tilknyttet NIH-nettet Eksternt personell er personer som virksomheten ikke har arbeidsgiveransvar for, og som har adgang og tilgang til datautstyr, informasjon, programvare og tjenester i NIH-nettet. Dette omfatter blant annet innleide vikarer, eksterne konsulenter og leverandører. Prinsipper for autorisasjon skal gjelde for denne typen brukere, men det overordnede ansvaret for autorisasjon tilligger den i virksomheten som er oppdragsgiver. Kontrakt skal inneholde krav om taushetserklæring fra alle som involveres i oppdraget. Autorisasjoner skal kun gjelde for oppdragets varighet. 4.2 KONTORSIKKERHET Elektronisk lagring av informasjon Informasjon som har tjenstlig betydning for virksomheten skal lagres på felles fysiske datalagringsmedier (disker på servere, el.). Hensikten med dette er å oppnå bedre fysisk sikkerhet for denne informasjonen, samt lette rutiner for sikkerhetskopiering Rutiner for informasjonssikkerhet Tilgang til informasjon i NIH-tilknyttet utstyr, programvare og tjenester er begrenset til tjenstlig behov. Dette gjelder også disketter, utskrifter, ol. Der spesielle regler gjelder for spredning av informasjon, herunder personopplysninger, skal disse følges. Disketter skal merkes, oppbevares og forsendes iht. informasjonen som er lagret på disse. Utskrifter og kopier bør hentes på skrivere umiddelbart etter at utskriften er igangsatt.

13 IT-sikkerhetshåndbok for NIH Del I Side: SIKKERHETSBRUDD Generelt Sikkerhetsbrudd er bevisste handlinger eller handlinger som skyldes uvitenhet, og som påvirker sikkerhetsnivået i NIH-nettet. Slike handlinger kan ha betydning for tilliten til informasjon og programmer, også utenfor NIH. Alle handlinger som bryter med minimumskrav, regler og retningslinjer angitt i dette dokumentet er å anse som sikkerhetsbrudd Tiltak ved sikkerhetsbrudd Hvis det oppdages handlinger eller hendelser som indikerer sikkerhetsbrudd, skal LISA kontaktes, hendelsesforløpet kartlegges og mottiltak iverksettes. Legale, administrative og systemtekniske konsekvenser skal vurderes. NIH skal selv etablere rutiner og tiltak mot forsøk på angrep på egne ITressurser. Tiltak som iverksettes kan være av ulik karakter og ha spesifikk hensikt, herunder: kompromittering av passord fjerne autorisasjon, skifte passord ødeleggelse av programmer/data reinstallering eller tilbakeføring fra sikkerhetskopier innføring og spredning av virus fjerning av virus vha. spesiell programvare, samt tiltak som beskrevet over Også andre typer handlinger vil kunne svekke sikkerheten i NIH-nettet, herunder innføring av uautorisert program- og maskinvare. Dette er også å anse som sikkerhetsbrudd. Dersom det er mistanke om at sikkerhetsbrudd eller hendelser kan få konsekvenser for andre enn NIH, skal IT-sikkerhetsleder eksterne forbindelser kontaktes, og ruteren vurderes frakoplet. Tilkopling skal først skje etter at hendelsesforløpet er kartlagt og systemet erklært sikkert av LISA Tilfeller som skal rapporteres Sikkerhetsbrudd som kun omfatter utstyr, programvare og tjenester i lokale nettverk i NIH, skal ivaretas av lokal organisasjon.

14 IT-sikkerhetshåndbok for NIH Del I Side: FYSISK SIKRING 5.1 INNDELING I SONER Statlige bygg, kontorer og andre lokaliteter som eies, leies eller på annen måte disponeres og er under kontroll av statlig virksomhet, er å betrakte som en buffersone. Dette forutsetter at det er etablert et minimum av adgangskontroll som identifiserer og/eller hindrer personell uten legitimt behov adgang. Kontorer og andre lokaler hvor det behandles informasjon vha. NIH-tilknyttet utstyr, og hvor fri adgang også kan gi tilgang til opplysninger i informasjonssystemene, betraktes som terminalområde. Uautorisert tilgang eller innsyn kan forhindres av avlåsing, tildekking og ledsaging av besøkende. Lokaler hvor det plasseres sentralt datautstyr som servere, kommunikasjonsutstyr, koplingspaneler, etc. er å betrakte som datarom. Datarom skal sikres med lås, og kun autorisert personell skal ha tilgang. 5.2 BESKYTTELSE AV DATAUTSTYR Generelt Fysisk sikring av datautstyr skal hindre ødeleggelse eller tyveri av maskinvare. Tiltakene skal også hindre uautorisert innsyn i informasjon og tilgang til programvare og tjenester i NIH-nettet. Nøkler, adgangskort, ol. tildeles etter autorisasjon ref. pkt Autorisasjon, i henhold til etablerte rutiner i NIH. Sentrale datamaskinkomponenter som servere, sentralrutere, aksessrutere, koplingspanel, modem, etc. skal plasseres i datarom. Alternativt til datarom kan det anvendes låsbare skap med forankring i vegg eller gulv. PCer og skrivere skal plasseres i terminalområde.

15 IT-sikkerhetshåndbok for NIH Del I Side: SYSTEMTEKNISK SIKRING 6.1 TILGANGSKONTROLL Generelt Tilgangskontrollen skal sikre at kun personell med tjenstlig behov får tilgang til informasjon, programmer og andre tjenester i NIH-nettet. Tilgangskontrollen skal regulere muligheten for å lese, skrive og slette informasjon, samt muligheten for å starte programmer og andre tjenester. Tilgangen kan bestemmes eksplisitt ved tildeling av rettigheter til enkeltpersoner, eller ved gruppetilhørighet. Driftspersonell, eller den som er utpekt for oppgaven, åpner for tilgang etter autorisasjon er gitt i henhold til pkt Autorisasjon. Kun driftspersonell, eller den som er utpekt for oppgaven, skal ha rettigheter til å skrive og endre på sentrale systemkataloger på servere. Det skal defineres hvilke ressurser (programmer, tjenester, datalagringsområder, ol.) en bruker har tilgang til, og hvilke rettigheter vedkommende har på hver enkelt ressurs. Anbefalinger Det anbefales at det implementeres mekanismer som logger alle forsøk på uautorisert tilgang til informasjon, programmer og andre ressurser. Det bør opprettes rutiner for inspeksjon, kontroll og sletting av aktivitetslogger. 6.2 PÅ/AVLOGGING Generelt Tilgang til informasjon, programmer og andre tjenester i lokale nettverk skal skje gjennom en forutgående identifisering av bruker og autentisering av brukerens identitet. Det skal implementeres system for unik identifisering av brukere på NIH-nettets utstyr/nettverk. Det skal være et en til en forhold mellom fysisk bruker og logisk brukerkonto på systemene. Dette gjelder også som hovedregel for systembrukere, men unntak kan gis hvor deling av identitet og passord begrenses til det som er strengt nødvendig. Identiteten til hver bruker skal autentiseres ved hjelp av et personlig passord. Passordet skal være hemmelig.

16 IT-sikkerhetshåndbok for NIH Del I Side: 12 Brukere skal skifte passord hver tredje måned. Alle passord skal skiftes ved mistanke om kompromittering. Passordet skal tilfredstille følgende regel: Det skal være minst 6 tegn i passord. Ikke inneholde hele eller deler av brukernavnet Inneholde tegn fra tre av følgende fire kategorier Engelske store bokstaver ( A tom Z ) Engelske små bokstaver ( a tom z) Tall fra 0 tom 9 Ikke alfanumeriske karakterer ( f eks.!,%,&,$) Hindrer gjenbruk av de 6 sist benyttede passordene 7. PASSWORD MUST MEET COMPLEXITY REQUIREMENTS Computer Configuration\Windows Settings\Security Settings\Account Policies\Password Policy 7.1 DESCRIPTION Dersom utstyret er uten oppsyn skal det benyttes passordbelagt skjermsparer som aktiviseres automatisk etter 20 minutter.. Unntak kan imidlertid godkjennes dersom operativsystemet ikke kan håndtere denne rutinen, men det bør under enhver omstendighet etterstrebes at man har systemer som har god nok sikkerhet. Automatisk utlogging uten at PC-en har vært i bruk settes til 4 timer og PC-en slås av etter 8 timer. Anbefalinger Det anbefales å implementere mekanismer og rutiner som: tvinger valg av passord til minimum seks tegn bestående av både tall og bokstaver hindrer gjenbruk av de ti sist benyttede passordene opplyser brukeren om tidspunkt for siste vellykkede innlogging. Dette bidrar til kontroll av egen brukerkonto logger alle mislykkede forsøk på innlogging

17 IT-sikkerhetshåndbok for NIH Del I Side: 13 sperrer brukerens konto etter tre mislykkede påloggingsforsøk, og som krever åpning av brukerkonto fra driftspersonell. Sperringen bør utløse alarm hos driftspersonell som vurderer om det kan være forsøk på angrep. Brukerne bør informeres på forhånd om at loggerutiner er aktivert. Bruk av skjermsparer sikrer at uvedkommende får tilgang til brukerens PC. Skjermsparer er imidlertid kun passordbelagt og gir således ikke full tilgangskontroll. Dersom brukeren er bortreist og glemmer å logge seg av, vil ikke PC-en være godt nok sikret over lengre tid. Automatisk utlogging etter en gitt tid vil derimot sikre at noe slikt kan skje. Det anbefales at automatisk utlogging settes til minimum 1 time. 7.2 BESKYTTELSE MOT VIRUS OG ANNEN ONDSINNET PROGRAMVARE Generelt Virus og annen ondsinnet programvare kan medføre tap av data, spredning/eksport av data, hindre tilgjengelighet til data og programvare og svekke tilliten til informasjon og programvare, og utgjør således en alvorlig trussel mot NIH-nettet. Denne trusselen har utallige spredningsmåter i datasystemer, via disketter, filoverføringer, som vedlegg til elektronisk post, etc. De systemtekniske tiltakene må ses i sammenheng med gode manuelle rutiner. Hver bruker med tilknytning til det lokale nettverket skal ha tilgang til antivirus programvare på sin PC. Antivirusprogramvare skal oppdateres når ny versjon av virus signaturfiler eller ny full versjon foreligger. For NIH: Denne legges minneresident i PC-en. Serverne gjennomsøkes for virus minst en gang i døgnet. All innkommende mail scannes av egen server før mailen sendes til mailserveren. Mail med vedlegg av en type som er kjent å bringe med seg virus, fjernes automatisk. Alle disketter som skal benyttes på NIH-tilknyttet utstyr virussjekkes før bruk. Alle filer som overføres elektronisk skal virussjekkes. Dette inkluderer også vedlegg til e-post. Antivirusprogramvare skal oppdateres når ny versjon av virussignaturfiler eller ny full versjon foreligger. Anbefalinger Det anbefales at antivirus programvare initieres i oppstartsekvensen for hver PC i lokale nettverk, og at denne legges minneresident etter eksekvering.

18 IT-sikkerhetshåndbok for NIH Del I Side: 14 Det anbefales å opprette en datamaskin, frakoplet NIH-nettet, hvor det installeres antivirus programvare, for kontroll av disketter som innføres i NIH-tilknyttet nettverk. 7.3 SIKKERHETSKOPIERING OG OPPBEVARING AV SENTRALE DATA- OG PROGRAMVARE Generelt Sikkerhetskopi av data, programvare, systemfiler, etc. opprettes for å kunne rekonstruere datasystemene etter virusangrep, maskinfeil, katastrofe, el. som har medført tap eller skade. Gode mekanismer og rutiner for sikkerhetskopiering kan begrense tap av arbeidstid for alle berørte parter, og raskt opprette tillit til informasjon, programmer og andre tjenester i NIH. NIH skal selv bestemme antall generasjoner på sikkerhetskopier av egne data som bør oppbevares. Det skal tas sikkerhetskopier av programvare og systemfiler som har betydning for NIH. For NIH: På servere med AD ( Active directory) tas full backup hver uke. Det tas regelmessig backup av OS, inkludert oppdatering av IDR-disketter ( Intelligent disaster recovery). Differensiell backup hver hverdag, samt full backup av System State og mailbokser. Backup roteres med minimum 4 sett. En beholder et sett for lagring etter 3, 6 og 12 måneder. Siste backup set med IDR lagres i annen bygning i brannsikker safe. Anbefalinger Det anbefales å iverksette rutiner og mekanismer for sikkerhetskopiering som følger: full sikkerhetskopi av programvare og systemfiler, minimum hver 14. dag full sikkerhetskopi av datafiler hver uke inkrementell automatisert sikkerhetskopi av datafiler hver natt sikkerhetskopier merkes med innhold, dato/syklus og lagres adskilt fra de systemene de er tatt fra original programvare, sikkerhetskopier og lignende bør oppbevares separat fra server fjernlagring av sikkerhetskopier hos tiltrodd tredjepart.

19 IT-sikkerhetshåndbok for NIH Del I Side: NETTINFRASTRUKTUR 8.1 GENERELT Nettinfrastruktur er en av hovedkomponentene i NIH-konseptet, og utgjør bindeleddet mellom hver enkelt PC og de sentrale tjenestene, de regionale fellesressursene og de lokale fellestjenestene i lokalnettene. Minimumskravene og anbefalingene som beskrives i det følgende er først og fremst rettet mot eksterne trusler og deres forsøk på å tilegne seg uautorisert tilgang til informasjon og ressurser i NIH-nettet. I tillegg er det angitt en del krav og anbefalinger som bidrar til å implementere prinsippene om tjenstlig behov (need to know) for tilgang til data og ressurser. 8.2 LOKALE NETTVERK Generelt Valg av kommunikasjonsutstyr for lokalnett i NIH gir muligheter for implementering av gode sikkerhetsmessige løsninger. Spesielt kan bruk av svitsjet Ethernet åpne for flere muligheter. Vi vil vil ikke kreve, men dog anbefale at de nedenfor følgende mekanismene implementeres. Med tanke på senere behov for sikrere løsninger, vil følgende tiltak anses som framtidsrettede og fornuftige: For NIH Nettverket deles opp med VLAN. Noen VLAN setter opp med brannmur mot resten av LAN-et. Se vedlegg 3. Anbefalinger Bruk av virtuelle LAN Avdelingene grupperes på egne porter og i egne virtuelle LAN på Ethernetsvitsjene. Dette gir gjensidig utelukking, men kan tillate tilgang til segment for felles servere og aksessruter Utesperring av nye maskinvareadresser (Ethernet MAC-adresser) Dette hindrer at nye uautoriserte maskinvarekomponenter innføres i lokalnettet RMON påslått, dersom dette støttes. 8.3 LAN TIL LAN FORBINDELSER OVER FASTE SAMBAND Generelt Enkelte utenforliggende samarbeidspartnere hvor det ikke er forbindelse til det fiberoptiske stamnettet, settes opp med faste samband (Digital) mot ruter.

20 IT-sikkerhetshåndbok for NIH Del I Side: 16 Rutere skal settes med bruk av protokollen PPP, og autentiserings- og passordopsjonene PAP og CHAP skal implementeres for verifikasjon på link mellom ruterne. Alternative sikringsmekanismer må minst ha samme styrke som disse, og dette må dokumenteres. All inngående trafikk skal gå gjennom ruter og brannmur. 8.4 ANDRE EKSTERNE FORBINDELSER Generelt Andre eksterne forbindelser enn de som er nevnt over kan feks. være egne tilknytninger til andre m offentlige eller private nettverk utenfor NIH-nettet, og som ikke er etablert gjennom sentral arkitektur beskrevet i kap. 2 i dokumentet Sikkerhetsmekanismer i NIH. Slike eksterne forbindelser kan åpne såkalte bakdører til NIH-nettet, og således forringe sikkerhetsnivået. Det er derfor ikke tillatt å etablere andre eksterne kommunikasjonsveier i NIH-nettet enn de sentralt etablerte. Oppkobling fra andre samarbeidspartnere skal setter opp med kryptert forbindelse som identifiseres av brannmuren Fjernarbeid. Med fjernarbeid menes tilkobling til det interne nettverket for å få tilgang til filer og applikasjoner. Innlogging skal autentiseres via VPN-forbindelse av brannmur samt brukerkontoen på NIH-nettet. All kommunikasjon skal være kryptert. Klienten skal være konfigurert og underlagt de samme krav til PC-er tilkoblet det interne nettet mht virusprogramvare og andre sikkerhetstiltak. Dette betyr at det å surfe på internett fra en fra ekstern lokasjon må VPN-forbindelsen mot NIH lukkes. Anbefalinger Bærbart utstyr bør ha kryptering av alle filer aktivert. Utstyr som skal brukes i andre land bør ha autentisering ved digitale signatur. Utstyr som tidvis kobles opp mot internettet bør ha egen lokal brannmur installert.

21 IT-sikkerhetshåndbok for NIH Del I Side: 17 Sikring av diverse tjenester 8.5 ELEKTRONISK POST Bruken av elektronisk post på NIH og staten er regulert i Arbeids- og administrasjonsdepartementets veiledning i bruk av elektronisk post, utgitt desember WORLD WIDE WEB TJENESTER Generelt Det gis fri tilgang til eksterne web-servere. Via egen newsklient eller web-klient gis det tilgang til nntp/news-server hos NIH s Internett-operatør. Tilgang til WWW skal skje via NIHs offisielle tilgang som er sikret med ruter og brannmur. Klienten som benyttes skal ha støtte for SSL eller SHTTP og Web-proxy-tjeneste. Standard prosedyre for virussjekk ved elektronisk overføring av filer iht. pkt Beskyttelse mot virus og annen ondsinnet programvare - skal gjennomføres. Anbefalinger Klientene bør settes opp for WWW gjennom en Proxy-server i sentralt samtrafikkpunkt. 8.7 FILDELING Fildeling (distribuerte filsystemer) anbefales normalt ikke over WAN-forbindelser. 8.8 TERMINALINNLOGGING Utgående Telnet tillates satt opp fritt fra lokalnett. Inngående Telnet til lokalnett tillates normalt ikke, og blir stoppet i ruter/brannmur. Unntak er innlogging for fjernsupport og overføring av grunnlagsdata etc. i fagssystemer. Denne type tilgang er en sikkerhetsrisiko for NIH og skal således sikres spesielt med strenge sikkerhetstiltak.

22 IT-sikkerhetshåndbok for NIH Del I Side: INTERNKONTROLL 9.1 GENERELT Rutiner og dokumentasjon for internkontroll skal stadfeste tillit til at lokalnett og kommunikasjonsløsninger er på det nivået som kravene og retningslinjene i IT-sikkerhetshåndboken foreskriver. Dokumentasjonen skal også tjene som underlag for revisjoner som foretas av Datatilsynet eller andre. Dokumentasjonen skal angi et utgangspunkt for konfigurasjonskontroll, og revideres etter behov. Elektronisk lagret informasjon anses som tilstrekkelig. Det skal utarbeides dokumentasjon for hvert av kapitlene i del II av håndboken. Dokumentasjonen skal være oppdatert og tilgjengelig. Dersom NIH har annen dokumentasjon som dekker hele- eller deler av innholdet som angis i tekst i dette kapitlet eller eksempler i del II av håndboken, vil det være tilstrekkelig med henvisninger til denne dokumentasjonen. Det understrekes at de påfølgende kapitlene kun er veiledende, og at virksomhetene selv står fritt i å unnta eller legge til opplysninger. Alle minimumskrav skal imidlertid være reflektert. 9.2 FUNKSJONELL BESKRIVELSE AV INFORMASJONSSYSTEMET Dokumentet skal beskrive lokalnettets funksjonelle hovedelementer, herunder: all tillatt PC programvare med angivelse av versjonsnummer og bruksområde operativsystemer/nettverks-os med angivelse av versjonsnummer all felles serverbasert programvare med angivelse av versjonsnummer og bruksområde. All felles serverbasert programvare og personregistre skal knyttes opp mot aktuell server (logisk navn, se del II vedlegg 2 - Geografisk lokalisering og fysisk plassering). Som eksempel se del II, vedlegg 1 - Funksjonell beskrivelse av informasjonssystemet. 9.3 GEOGRAFISK LOKALISERING OG FYSISK PLASSERING Dokumentet skal angi alle fysiske elementer, og deres plassering, i de lokale nettverkene, herunder: PCer, med angivelse av serienummer skrivere servere rutere svitsjer.

23 IT-sikkerhetshåndbok for NIH Del I Side: 19 Brannmurer Modemer huber Dokumentet bør utformes som tabeller. Som eksempel se del II, vedlegg 2 - Geografisk lokalisering og fysisk plassering. 9.4 SYSTEMTEKNISKE SIKKERHETSTILTAK OG NETTINFRASTRUKTUR Dokumentet skal angi hvordan kravene i kap. 6 - Systemteknisk sikring -og vedlegg 3 pkt. 3 Nettinfrastruktur - er implementert i lokalnett og kommunikasjonsløsninger. som er relevante for NIH skal besvares gjennom beskrivelse av implementasjonen punkt for punkt. Del II, vedlegg 3 - Systemtekniske sikkerhetstiltak og nettinfrastruktur - angir disposisjonen. 9.5 AUTORISASJONSLISTER Dokumentet skal angi alle typer autorisasjoner for adgang og tilgang til datautstyr, informasjon, programvare og andre tjenester i lokalnettene, herunder: autoriserte brukere i lokalnettene brukere med autoriserte oppringte forbindelser - herunder hjemmekontor, leverandører, mobile brukere konsesjonspliktige registre (en tabell for hvert register) brukere med utvidede privilegier (systemansvarlige, driftsansvarlige, databaseadministratorer, etc.) Dokumentet bør utformes som tabeller. Som eksempel se del II, vedlegg 4 - Autorisasjonslister. 9.6 IT-SIKKERHETSINSTRUKS FOR BRUKERE AV NIH-NETTET. IT-sikkerhetsinstruks skal være kortfattet (maks 1 side) og gjøres lett tilgjengelig for brukere. Ved ansettelser skal de nytilsatte gjøres kjent med instruksen. Instruksen skal være en huskeliste for daglig bruk, og i tillegg angi hvor den enkelte medarbeider kan henvende seg ved behov.

24 IT-sikkerhetshåndbok for NIH Del I Side: ORDFORKLARINGER Forkorting Utvidelse Forklaring CHAP Challenge Handshake Authentication Protocol Autentiseringsmekanisme mellom rutere i nettverk. Benyttes ofte i PPPkommunikasjon. CUG Closed User Group Lukket brukergruppe, benyttes i linjesvitsjet (ISDN) og pakkesvitsjet (FR) nett. FR Frame Relay Tilknytning til et nettverk kan foregå ved hjelp av Frame Relay, som er en pakkesvitsjet tjeneste levert av teleoperatør. FTP File Transfer Protocol Defacto standard filoverføringsprogram i applikasjonslaget i OSI-modellen HTTP Hyper Text Transfer Protocol Programspråk på Internett. Protokoll som ligger til grunn for overføring av dokument på WWW Informasjonseier Organisasjonsenhet med forvaltningsmessig ansvar og eierskap til informasjon behandlet i fagsystemer eller på kontorstøtteverktøy. IP Internet Protocol Defacto standard rutingsprotokoll i ISDN Integrated Service Digital Network nettverkslaget i OSI-modellen Tilknytning til et nettverk kan foregå ved hjelp av ISDN, som er en linjesvitsjet tjeneste levert av teleoperatør. LAN Local Area Network Lokalt nettverk bestående av tjenestemaskiner, PCer, skrivere, etc. og kablingssystemer og elektronikk som binder enhetene fysisk og logisk sammen. MAC-adresse Media Access Control Hardkodet adresse på nettverkskort MTA Message Transfer Agent Programvare som flytter e-post fra en host til en annen. PPP Point to Point Protocol En kommunikasjonsprotokoll som gir seriell tilknytning mellom to datamaskiner, en datamaskin og nettverk eller mellom nettverk. PAP Password Authentication Protocol Autentiseringsmekanisme mellom rutere i nettverk. Benyttes ofte i PPPkommunikasjon.

25 IT-sikkerhetshåndbok for NIH Del I Side: 21 Forkorting Utvidelse Forklaring RMON Remote Monitoring Fjernovervåking av nettverksressurser SHTTP Secure Hyper Text Transfer Protocol Programspråk på Internett. Sikkerhetsprotokoll som ligger til grunn for overføring av dokument på WWW SSL Secure Socket Layer Programspråk på Internett. Sikkerhetsprotokoll fra Netscape for overføring av dokument på WWW Systemeier/applikasjonseier Organisasjonsenhet med faglig og forvaltningsmessig ansvar og eierskap til fagsystemer. Telnet Virtuell terminal over TCP/IP Defacto standard interaktiv protokoll i applikasjonslaget i OSI-modellen Tabell 2 - Ordforklaringer

26 Prosjektnr.: Rev.: 1.0 IT-sikkerhetshåndbok for virksomheter i Depnett Del II Side: 1 Del II - Dokumentasjon for internkontroll 1. INNLEDNING Del II av IT-sikkerhetshåndbok for NIH er dokumentasjon av de sikkerhetstiltak som er gjennomført. For å forenkle utarbeidelsen og oppdateringen av dokumentasjonen, er det i størst mulig grad lagt opp til å benytte tabeller i stedet for tekst. 2. VEDLEGG TIL DOKUMENTET Sikkerhetsdokumentasjonen vil være i løpende oppdatering i takt med endringer i organisasjonen og ITsystemene. Det er derfor utarbeidet vedlegg til IT-sikkerhetshåndbok for NIH som skal fungere som dokumentasjon av de sikkerhetstiltak som er gjennomført. Følgende vedlegg er gjeldende: 1 Funksjonell beskrivelse av informasjonssystemet 2 Geografisk lokalisering og fysisk plassering 3 Systemtekniske sikkerhetstiltak og nettinfrastruktur 4 Autorisasjonslister 5 IT-sikkerhetsinstruks for brukere i NIH. Samarbeidspartner får utdelt vedleggene som maler til hjelp for utfylling av sikkerhetshåndbok. De foreslåtte malene er kun eksempler på hvordan informasjon kan og hva slags informasjon som minimum skal dokumenteres. Automatisk generert elektronisk informasjon krever et managementsystem som ikke alle virksomheter har implementert, og for de er det nødvendig med manuelle førte registre. Målsetningen bør imidlertid være å kunne benytte systemer som automatisk oppdaterer dokumentasjonen. Forutsetningen er imidlertid at disse systemene gir den informasjon som kreves og at det i sikkerhetshåndboken klart fremgår hvor denne dokumentasjonen foreligger og at den legges lett tilgjengelig dersom det er behov for innsyn.