Policy for informasjonssikkerhet ved U1S

Transkript

1 \I\ EkSLIÆrLf, \HLi: 05 AUG in i Stava nger Policy for informasjonssikkerhet ved U1S Versjon:1.2 Dato:

2 1.0 Policy for informasjonssikkerhet Sikkerhetsmål Sikkerhetsstrategi Roller og ansvarsområder Roller og ansvarsområder Prinsipper for informasjonssikkerhet ved UiS Risikostyring Policy for informasjonssikkerhet Sikkerhetsorganisasjon Klassifisering og eiendelskontroll Informasjonssikkerhet knyttet til personalet Informasjonssikkerhet knyttet til fysiske forhold Kommunikasjon og driftsadministrasjon av IT Tilgangskontroll Systemutvikling og vedlikehold Håndtering av sikkerhetshendelser og avvik Kontinuitetsplanlegging Samsvar Styrende dokumenter for sikkerhetsarbeidet Formål med styrende dokumenter Dokumentstruktur Refera nser Interne referanser Eksterne referanser Stavanger - Org.nr Telefon: E-post: post@uis.no -

3 Policy for informasjonssikkerhet ved UiS Versjonskontroll: Kenneth Høstland Marina Davidian John B. Møst Kenneth Høstland Jon Bjelland Kenneth Høstland Marina Davidian Per Ramvi Kenneth Høstland Marina Davidian John B. Møst Kenneth Høstland Marina Davidian John B. Møst Gunnar Bøe Marina Davidian John B. Møst Versjon: Dato: Forfatter: Kontrollert: Godkjent: Gjennomgang og godkjenning: Dato: Navn: Rolle: Initialer: John B. Møst Universitetsdirektør JBM Kenneth Høstland Marina Davidian 3 av

4 Policy for informasjonssikkerhet ved UiS 1.0 POLICYFOR INFORMASJONSSIKKERHET 1.1 Sikkerhetsmål (UiS) er forpliktet til å ivareta konfidensialitet, integritet og tilgjengelighet for alle fysiske og elektroniske informasjonsverdier i institusjonen for å sikre etterlevelse av virksomhetsmessige, kontraktsmessige og regulativ krav. De overordnede mål for informasjonssikkerheten i UiS er følgende: Sørge for samsvar med gjeldende lover, forskrifter og retningslinjer. Ivareta krav til konfidensialitet, integritet og tilgjengelighet for UiS sine ansatte, studenter og andre brukere. Etablere kontroller for å beskytte UiS sin informasjon og informasjonssystemer mot tyveri, misbruk og andre former for skade og tap. Motivere ledelse og ansatte til å opprettholde ansvar, eierskap, kunnskap og kompetanse om informasjonssikkerheten, slik at frekvens og skadenivå av sikkerhetshendelser kan minimaliseres. Sikre at UiS er i stand til å fortsette sine tjenester også dersom større sikkerhetshendelser skulle inntreffe. Sørge for at personvernet ivaretas. Sikre tilgjengelighet og pålitelighet i nettverksinfrastruktur og tjenester levert og driftet av UiS Følge metoder fra internasjonale standarder for informasjonssikkerhet (bl.a. ISO/IEC 27001) 1.2 Sikkerhetsstrategi UiS sin gjeldende virksomhetsstrategi og rammeverk for risikostyring er førende for å identifisere, bedømme, evaluere og kontrollere informasjonsrelaterte risikoer gjennom etablering og vedlikehold av policy for informasjonssikkerhet (dette dokumentet). Det er vedtatt at informasjonssikkerheten skal ivaretas av policy for informasjonssikkerhet og et sett av underliggende og komplementerende dokumenter. I særdeleshet skal virksomhetsmessig kontinuitet ivaretas gjennom kontinuitetsplaner, backup-prosedyrer, forsvar mot skadelig kode og ondsinnede aktiviteter, tilgangskontroll til systemer og informasjon, avvikshåndtering og rapportering. Begrepet informasjonssikkerhet er knyttet til konfidensialitet; sikkerhet for at bare autoriserte personer har tilgang til informasjonen, og at den ikke avsløres til uvedkommende. integritet; sikkerhet for at informasjonen og informasjonsbehandlingen er fullstendig, nøyaktig og gyldig, og et resultat av autoriserte og kontrollerte aktiviteter Kenneth 1- Iøstiand Marina Davidian 4 av

5 Policy for informasjonssikkerhet ved UiS tilgjengelighet; sikkerhet for at en tjeneste oppfyller bestemte krav til stabilitet, slik at aktuell informasjon er tilgjengelig for autoriserte ved behov. Et av de mest kritiske aspektene ved UiS sin virksomhet er tilgjengelighet og pålitelighet knyttet til nett, infrastruktur og tjenester. UiS praktiserer et prinsipp om åpenhet, men vil kunne prioritere hensynet til konfidensialitet foran tilgjengelighet og integritet. Alle brukere av UiS sine informasjonssystemer er forpliktet til å følge denne policy. Overtredelse av denne policy for informasjonssikkerhet og vedtatte sikkerhetskrav vil derfor være et tillitsbrudd mellom brukeren og UiS, og vil kunne medføre konsekvenser for ansettelses- eller avtaleforholdet Kenneth Høstland Marina Davidian 5 av

6 Policy for informasjonssikkerhet ved UiS 2.0 ROLLER OG ANSVARSOMRÅDER 2.1 Roller og ansvarsområder Styret har det overordnete ansvaret for at UiS sine verdier forvaltes på en effektiv og betryggende måte i henhold til gjeldende lover, forskrifter og avtaler. Universitetsdirektøren har det daglige ansvar for sikkerheten ved UiS, herunder fysisk sikkerhet, personalsikkerhet og informasjonssikkerhet. Eier av sikkerhetspolicy Universitetsdirektøren er eier av sikkerhetspolicyen (dette dokumentet). Universitetsdirektøren delegerer sikkerhetsrelatert dokumentasjon og signaturrettigheter til sikkerhetsansvarlig (CSO, Chief Security Officer). Alle endringer i dokumentet skal dokumenteres og signeres av sikkerhetsansvarlig. Sikkerhetsansvarlig Sikkerhetsansvarlig (CSO, Chief Security Officer) er hovedansvarlig for informasjonssikkerhet ved UiS. IT direktør har denne rollen (ref. kapittel 3.3.1). Systemeier Systemeier, i samråd med IT avdelingen, er ansvarlig for krav til anskaffelse, utvikling og vedlikehold av informasjon og relaterte informasjonssystemer. Alle typer informasjon skal ha en definert eier. Eier definerer hvilke brukere eller brukergrupper som skal ha tilgang til informasjonen og hva som er autorisert bruk av informasjonen. Systemansvarlig (IT- avdelingen) Systemansvarlige er ansvarlig for spesifikke områder av IT ved universitetet. Systemansvarlige er personer som forvalter UiS sine informasjonssystemer eller informasjon som er betrodd UiS fra andre parter. Hver enkelt type informasjon og systemer kan ha en eller flere dedikerte systemansvarlige. Disse er ansvarlige for å beskytte informasjonen, inklusive å implementere aksesskontrollmekanismer for å sikre konfidensialitet, og å foreta backup slik at kritisk informasjon ikke går tapt. De implementerer, drifter og vedlikeholder dessuten sikkerhetsmekanismer i tråd med intensjonen. Brukere Ansatte og studenter er ansvarlige for å gjøre seg kjent med og rette seg etter UiS sitt ITreglement. Spørsmål om håndtering av forskjellig type informasjon skal stilles til eieren av den aktuelle informasjonen, eventuelt systemansvarlig Kenneth Høstiand Marina Davidian 6 av

7 s Policyfor informasjonssikkerhetved UiS Konsulenter og kontraktspartnere Kontraktspartnere og innleide konsulenter skal skrive under taushetserklæring ved innsyn i sensitive forhold Kenneth Høstland Marina Davidian 7 av

8 Policy for informasjonssikkerhet ved UiS 3.0 PRINSIPPERFOR INFORMASJONSSIKKERHETVED UIS 3.1 Risikostyring Risikovurdering UiS skal ha en tilnærming til sikkerhet som er basert på risikovurderinger UiS skal løpende analysere risikoer og vurdere behovet for beskyttelsestiltak. Tiltak skal vurderes med hensyn til effektivitet, kostnad, praktisk gjennomførbarhet og med utgangspunkt i UiS sin rolle som utdannings- og forskningsinstitusjon Risikovurdering skal identifisere, kvantifisere og prioritere risiko i forhold til relevante kriterier for akseptabel risiko Det skal gjennomføres en årlig overordnet risikovurdering av informasjonssystemene Det skal gjennomføres risikovurderinger ved endringer som har betydning for informasjonssikkerheten. Det skal benyttes anerkjente metoder for risikovurdering, slik som anbefalinger fra SSØog NSM eller ISO/IEC Systemeier er ansvarlig for at risikovurderinger blir gjennomført iht. policy. Håndtering av risiko Håndtering av risiko skal foretas i forhold til kriterier som UiS sin ledelse har akseptert Risikovurderinger skal godkjennes av UiS sin universitetsdirektør Dersom en risikovurdering avdekker uakseptabel risiko, skal det settes i verk tiltak for å redusere risikoen til et akseptabelt nivå. 3.2 Policy for informasjonssikkerhet Universitetsdirektøren skal sørge for at policy for informasjonssikkerhet, samt retningslinjer og standarder, blir benyttet og fulgt opp Universitetsdirektøren skal sørge for at det blir lagt til rette for at alle brukere får nødvendig opplæring og materiell, og slik at brukerne kan beskytte UiS sin informasjon og informasjonssystemer Sikkerhetspolicyen skal gjennomgås og oppdateres årlig eller ved behov etter prinsipper for ISMS (information security management system), som beskrevet i ISO/IEC Alle viktige endringer i UiS sin aktivitet, eller andre eksterne endringer som vil påvirke trusselbildet, skal føre til en revidering av policyen og retningslinjer som angår sikkerhet Kenneth Høstiand Marina Davidian 8 av

9 Policy for informasjonssikkerhet ved UiS 3.3 Sikkerhetsorganisasjon UiS sin sikkerhetsorganisasjon Ansvaret innenfor sikkerhetsområdet er fordelt som følger: Det overordnede sikkerhetsansvaret ligger hos Universitetsdirektøren. IT direktør er delegert ansvaret for sikkerhet ved UiS, inkludert informasjonssikkerhet og ITsikkerhet. IT direktør er med dette CSO (Chief Security Officer) ved UiS. Den enkelte avdeling og seksjon er ansvarlig for å implementere informasjonssikkerhet ved enheten. Lederne ved resultatenhetene skal utnevne egne IT-sikkerhetsansvarlige. HR direktøren har det utførende ansvar for informasjonssikkerhet knyttet til personaldata i henhold til personopplysningsloven. Utdanningsdirektøren har det utførende ansvar for informasjonssikkerhet knyttet til studentregisteret og annen studentrelatert informasjon. IT direktør har det utførende ansvaret for informasjonssikkerhet knyttet til IT-systemer og ITinfrastruktur. Driftssjef har det utførende ansvar for informasjonssikkerhet knyttet til bygningsmessig infrastruktur. HR direktøren har det utførende ansvar for informasjonssikkerhet knyttet til HMS-systemer. Universitetsdirektøren er behandlingsansvarlig for de ansattes personopplysninger. Den daglige behandlingsansvarlige er HR direktøren, som ivaretar myndighetskontakt i forhold til Datatilsynet. Norsk samfunnsvitenskapelig datatjeneste er personvernombud for forskningsrelaterte personopplysninger. Studiedirektøren har det utførende ansvar. Universitetsdirektøren har det overordnede ansvar for kvalitetsarbeidet, mens det operasjonelle ansvaret er delegert iht. ledelsesstrukturen. Prosjekter skal organiseres iht. prosjekthåndbok, der informasjonssikkerheten skal være definert. UiS sin informasjonssikkerhet vil jevnlig bli revidert gjennom internkontroll og ved behov med bistand fra UNINETT eller ekstern IT-revisor UiS har et informasjonssikkerhetsforum som består av UiS sin ledergruppe utvidet med ITdirektør og Driftssjef. Sikkerhetsforumet skal gi universitetsdirektøren råd om tiltak som fremmer operasjonell informasjonssikkerhet i organisasjonen gjennom nødvendig engasjement og tilstrekkelig ressursbruk. Sikkerhetsforumet skal ha følgende oppgaver: Gjennomgå og godkjenne policy for informasjonssikkerhet med tilhørende dokumenter og generelle ansvarsforhold. Overvåke vesentlige endringer i truslene mot organisasjonens informasjonsaktiva. Gjennomgå og overvåke innrapporterte sikkerhetshendelser.godkjenne større initiativ for å styrke informasjonssikkerheten Kenneth HØstland Marina Davidian 9 av

10 Policy for informasjonssikkerhet ved UiS 3.4 Klassifisering og eiendelskontroll Informasjon og infrastruktur skal klassifiseres med hensyn til nødvendig sikkerhetsnivå og tilgangsbegrensning Informasjon som nevnt i pkt skal klassifiseres i en av tre følgende kategorier for konfidensialitet: Sensitiv Informasjon av sensitiv art hvor uautorisert tilgang (også internt) kan medføre betydelig skade for enkeltpersoner, universitetet eller deres interesser. Sensitiv informasjon er her synonymt med forvaltningslovens «Unntatt Offentlighet» og sensitive personopplysninger iht. personopplysningsloven. Slik informasjon skal sikres i «røde» soner, ref. kapittel 3.6. Intern Informasjon som kan skade UiS eller være upassende at tredjepart får kjennskap til. Systemeier avgjør tilgangs- og delingsmåte. Åpen Annen informasjon er åpen UiS skal gjennomføre risikoanalyser/ -vurderinger for å kunne klassifisere informasjon ut fra hvor kritisk den er for virksomheten (kritikalitet) Det skal være utarbeidet rutiner for gjennomføring av informasjonsklassifisering og risikoanalyser Brukere som forvalter informasjon på UiS sine vegne skal behandle denne i henhold til klassifiseringen Sensitive dokumenter skal være tydelig merket Klassifisering av utstyr i forhold til kritikalitet er behandlet i kapittel Kenneth Høstland Marina Davidian 10 av

11 Policy for informasjonssikkerhet ved UiS 3.5 Informasjonssikkerhet knyttet til personalet som håndterer sensitive data Ved tilsetting Sikkerhetsansvar og -roller for relevant personell, både ansatte og innleide, skal beskrives Sjekk av bakgrunnen til alle som innstilles til stillinger ved UiS skal foretas iht. relevante lover og regler Taushetserklæring skal signeres av alle (arbeidstakere, oppdragstakere eller andre) som kan få kjennskap til sensitiv og/eller intern informasjon IT-reglement skal signeres i alle brukerforhold og ved systemtilganger for tredjepart. For ansatte gjelder IT-reglementet refererer til UiS sine krav til informasjonssikkerhet og brukerens ansvar for å oppfylle disse IT-reglementet skal gjennomgås med ansatte jevnlig og ved alle nyansettelser Alle ansatte og tredjepartsbrukere skal få tilstrekkelig opplæring og oppdatering i policy for informasjonssikkerhet og relevante retningslinjer og prosedyrer. Kravet til opplæring vil variere Brudd på policy for informasjonssikkerhet og retningslinjer vil normalt medføre sanksjoner. Henvis til Tjenestemannsloven og gjeldende regler ved UiS UiS sin informasjon, informasjonssystemer og andre verdier (f.eks. telefon), skal kun benyttes til de formål de er bestemt for. Nødvendig privat bruk tillates Bruk av UiS sin IT-infrastruktur i egen næringsvirksomhet er under ingen omstendighet tillatt. Avslutning eller endring av tilsetting Ansvar for avslutting eller endring av ansettelsesforhold skal være klart definert i egen rutine med relevant rundeskjema UiS sine eiendeler skal leveres inn ved opphør av behov for bruk av eiendelene UiS skal endre eller stenge tilgangsrettigheter ved opphør av ansettelse eller endring av arbeidsforhold Nærmeste leder skal varsle IT avdelingen ved opphør av ansettelse eller endring av arbeidsforhold Kenneth Høstland Marina Davidian 11 av

12 Policy for informasjonssikkerhet ved UiS 3.6 Informasjonssikkerhet knyttet til fysiske forhold Sikkerhetsområder Sikre fysiske soner skal benyttes for å beskytte områder som inneholder IT-utstyr og informasjon som krever beskyttelse. Sikre soner skal beskyttes med hensiktsmessige adgangskontroller for å sikre at kun autorisert personell får adgang. Følgende soneinndeling skal benyttes: Sikringsnivå Område Sikring Alt er i utgangspunktet tilgjengelig. Studentområder og kantine. Ingen adgangskontroll. All utskrift skal beskyttes med «Follow me»-funksjonalitet. Gul Områder hvor det arbeidstiden kan forefinnes intern informasjon. Kontorlokaler, møterom, noen arkiver, noen tekniske rom slik som koblingsrom, skriverrom. All utskrift skal beskyttes med «Follow me»-funksjonalitet. Adgangskontroll: Hovednøkkel/nøkkelkort Avgrensede områder hvor spesiell autorisasjon kreves. f,. Datarom/serverrom/arkiver o.l. med sensitiv informasjon. All utskrift skal beskyttes med «Follow me»-funksjonalitet. Adgangskontroll: Hovednøkkel/nøkkelkort Områdene skal avmerkes i bygningsplansjer eller eksplisitt beskrives i eget dokument Sikkerhetsansvarlig for IT-sikkerhet er ansvarlig for godkjenning av fysisk tilgang til datatekniske rom Sikkerhetsansvarlig for fysisk sikkerhet er ansvarlig for godkjenning av fysisk tilgang til andre områder enn datatekniske Alle UiS sine lokaler skal sikres med tilstrekkelige sikringssystemer iht klassifisering, ref. tabell ovenfor, inkludert relevant sporbarhet/logging. (kjør ROS, der et tiltak, slik som overvåkning, etc. settes iht risikobildet) Sikkerhetsansvarlig innen det enkelte ansvarsområde sikrer at arbeid utført av tredjepart i sikre områder er relevant overvåket og dokumentert Kenneth Høstland Marina Davidian 12 av

13 Policy for informasjonssikkerhet ved UiS Alt personell skal kunne tilkjennegi sin identitet og bære personlige adgangskort når de er på UiS. ID-kortene er personlige, og må ikke overdras til tredjepart eller kolleger. Ansatte skal ha egen fargekode Røde områder skal være forsvarlig sikret mot miljøskader forårsaket av brann, vann, eksplosjon, vibrasjoner mv Alle hoveddører og -vinduer skal låses og stenges ved arbeidsdagens slutt. Siste medarbeider som forlater et område er ansvarlig for sikring, inkludert slå på alarm Adgangskort kan gis til håndverkere, teknikere og andre mot at det fremvises ID-kort Besøkende i rød sone skal registreres inn og utskrives, og de skal bære synlige gjestekort eller personlige adgangskort Besøk i rød sone skal ledsages (eller overvåkes, f.eks. med kamera). Sikring av utstyr IT-utstyr klassifisert som «Høy» (ref. kapittel ) skal plasseres eller beskyttes slik at det reduserer risikoen for miljømessige trusler (brann, oversvømmelse, temperatursvingninger, fukt etc.). Klassifisering skal settes med basis i ROS-vurdering Informasjon klassifisert som «Fortrolig» skal i prinsippet ikke lagres på bærbart datautstyr (f.eks. laptop, mobiltelefon eller minnepinner). Dersom det er nødvendig å lagre slik informasjon på bærbart utstyr, skal informasjonen passord beskyttes og / eller krypteres iht. IT-avdelingens retningslinjer Tilgang til informasjon klassifisert som sensitiv på bærbart datautstyr skal passord beskyttes og krypteres Bærbart datautstyr skal håndteres som håndbagasje under reiser Områder klassifisert som «Rød» skal sikres med relevant brann slukkingsutstyr med relevant varsling Det skal jevnlig gjennomføres brannøvelser Kenneth Høstland Marina Davidian 13 av

14 Policyfor informasjonssikkerhetved UiS 3.7 Kommunikasjon og driftsadministrasjon av IT Operasjonelle prosedyrer og ansvarsområder Installasjon av IT-utstyr og programvare på IT- utstyr i administrativt nett skal godkjennes av IT avdelingen før installasjon IT avdelingen skal sikre dokumentasjon av IT-systemer etter UiS sin standard Endringer i IT-systemer skal gjennomføres kun når det er virksomhetsmessig og sikkerhetsmessig velbegrunnet IT avdelingen har ansvaret for at det foreligger en nødprosedyre for å minimalisere effekten av feilslåtte endringer i IT-systemer Dokumentasjon av driftsprosedyrer skal oppdateres etter vesentlige endringer. Driftsoppgaver skal være skriftlig dokumentert i egne prosedyrer Før nye IT-systemer settes i produksjon skal det planlegges og gjøres risikovurdering for å motvirke at feil oppstår. I tillegg skal det finnes rutiner for overvåking og håndtering av uforutsette problemer Oppgaver og ansvar skal separeres på en slik måte at det reduserer muligheten for uautorisert eller uforutsett misbruk av UiS sine verdier Utvikling, test og vedlikehold skal separeres for å redusere risikoen for uautorisert tilgang eller uautoriserte endringer og for å redusere risikoen for feilsituasjoner Lokale IT løsninger ved fakultetene skal være rettet mot spesielle behov ved den enkelte enhet. Det skal legges til rette for at lokale IT løsninger ved UiS kan dra nytte av fellestjenester som tilbys via den sentrale IT tjenesten uavhengig av hvilken teknologi som benyttes lokalt og uavhengig av organisatorisk tilhørighet v/uis. Eksterne leverandører Alle avtaler som angår utkontrakterte IT-systemer skal inneholde krav til informasjonssikkerhet (konfidensialitet, integritet og tilgjengelighet), beskrivelse av avtalt sikkerhetsnivå, krav til fortløpende rapportering av avvik fra leverandør, beskrivelse av hvordan UiS kan etterprøve at leverandørene oppfyller avtalene, beskrivelse av UiS sin rett til revisjon. Systemplanlegging og aksept/godkjenning Det skal tas hensyn til informasjonssikkerhetskrav når nye IT-systemer designes, testes, implementeres og oppgraderes, samt ved systemendringer. Det skal utarbeides rutiner for endringshåndtering og systemutvikling/vedlikehold Kenneth Høstland Marina Davidian 14 av

15 Policy for informasjonssikkerhet ved UiS IT-systemenes dimensjonering skal avpasses kapasitetskrav. Belastning skal overvåkes slik at oppgradering og tilpasning kan finne sted fortløpende. Dette gjelder særlig for virksomhetskritiske systemer. Beskyttelse mot skadelig kode Datautstyr skal sikres mot virus og annen ondsinnet og/eller skadelig kode. ITsikkerhetsansvarlig skal sørge for sikringen. Sikkerhetskopiering IT avdelingen er ansvarlig for regelmessig sikkerhetskopiering og testing av denne, samt oppbevaring av data på UiS sine IT-systemer iht. klassifisering Sikkerhetskopier skal oppbevares eksternt eller i egen relevant sikret sone. Nettverksstyring IT avdelingen har det overordnede ansvaret for å beskytte UiS sitt interne nettverk Det skal føres oversikt over alt utstyr som kobles opp i UiS sitt kablede datanettverk Det skal føres oversikt over all bruk av UiS sitt nettverk. Håndtering av lagringsmedier Håndtering av flyttbare lagringsmedier, slik som taper, minnepinner, disketter og utskrifter, skal sikres iht. klassifikasjon. Det påhviler den enkelte ansatte at dette gjennomføres Lagringsmedier skal avhendes på sikker måte ved destruering (kassasjon) mv. Utveksling av informasjon Det skal etableres prosedyrer og kontroller for å beskytte utveksling av informasjon ihht klassifisering med tredjepart eller forflytting av informasjon Eksterne leverandører skal underlegges retningslinjene Arbeidsgiver har rett til innsyn i arbeidstakers personlige e-post og område i virksomhetens datanettverk, samt annet elektronisk utstyr som universitetet har stilt til ansattes disposisjon, iht. personopplysningsforskriftens kapittel 9. Rett til innsyn gjelder også der privat utstyr benyttes i universitetets tjeneste. Bruk av kryptografiske teknikker Lagring og overføring av sensitive opplysninger (ref. klassemodellen i kapittel 3.11) skal krypteres eller beskyttes på annen måte Kenneth Høstland Marina Davidian 15 av

16 Policy for informasjonssikkerhet ved UiS Elektroniske virksomhetsytelser Informasjon involvert i elektronisk handel over offentlige nettverk skal beskyttes mot svindel, kontraktsmessige uoverensstemmelser, uautorisert adgang og endringer IT avdelingen har ansvar for at offentlig tilgjengelig informasjon, f.eks. på UiS sine webtjenester, er tilstrekkelig beskyttet mot uautoriserte endringer. Overvåkning av systemtilgang og bruk Tilgang og bruk av IT-systemer skal logges og overvåkes for å kunne identifisere potensielt misbruk Bruk og beslutninger skal være sporbare til en spesifikk entitet, f.eks. person eller enkeltsystem IT avdelingen (med samarbeidspartner(e)) skal registrere vesentlige forstyrrelser og uregelmessigheter i driften av systemene, samt mulig årsak til feil IT-systemer og datanettverk skal overvåkes i tilstrekkelig grad i forhold til kapasitet, oppetid og kvalitet for pålitelig drift og tilgjengelighet IT avdelingen (med samarbeidspartner(e)) skal logge sikkerhetshendelser i alle vesentlige systemer / (ihht klassifisering) IT avdelingen (med samarbeidspartner(e)) skal sikre at systemenes klokker jevnlig synkroniseres til korrekt tid For informasjonssystemer som behandler personopplysninger, skal all autorisert bruk og forsøk på uautorisert bruk logges. Loggene skal lagres i minst 3 måneder Kenneth Høstiand Marina Davidian 16 av

17 Policyfor informasjonssikkerhetved UiS 3.8 Tilgangskontroll Virksomhetsmessige krav Det skal finnes en skriftlig tilgangs- og passordpolicy som er basert på virksomhets- og sikkerhetsmessige krav og behov. Tilgangspolicyen skal revideres regelmessig Tilgangspolicyen skal inneholde retningslinjer for endringsfrekvens, passordregler (minimumslengde, type karakterer som kan/skal benyttes mv.) og hvordan passordet kan lagres. Brukeradministrering- og ansvar System og systemtilganger skal minimum autentiseres ved hjelp av personlige brukeridentiteter og passord Brukere skal ha unike kombinasjoner av brukeridentiteter og passord Brukere er ansvarlige for enhver bruk av brukeridentiteter og passord. Brukere skal holde brukeridentiteter og passord konfidensielle, og skal bare røpe disse hvis det er spesifikt autorisert av CSO. Tilgangskontroll/Autorisasjon Tilgang til informasjonssystemer skal være autorisert av nærmeste leder iht. systemeiers direktiver. Dette skal inkludere tilgangsrettigheter, inkludert tilhørende privilegier, som lagres i «aksesslister». Autorisasjoner gis bare på bakgrunn av «Need to know»-prinsippet, og reguleres av type rolle/stilling Nærmeste leder skal melde fra til IT avdelingen om oppretting og endringer i generell tilgang Systemeier tilordner rettigheter til systemer innenfor sitt ansvarsområde, eksempelvis er det ESSleder som har ansvaret for tilgang til FS Aksesslister beskriver roller og ansvar med tilhørende tilgangsrettigheter med basis i følgende klassifisering. Intern (flere roller) Ekstern (flere roller) Student Publikum Kontroll med nettverkstilgang IT avdelingen har ansvaret for at brukernes nettverkstilgang skjer i overensstemmelse med retningslinjene for tilgang Brukere skal kun ha tilgang til de tjenester de er autorisert for Kenneth HØstland Marina Davidian 17 av

18 Policyfor informasjonssikkerhetved UiS Mobilt utstyr og fjernarbeidsplasser Arbeid på UiS sitt datautstyr fra utenfor UiS sine lokaler er bare tillatt dersom sikkerhetspolicy er lest og forstått og IT-reglement underskrevet Mobile enheter skal sikres med tilstrekkelige sikkerhetsmekanismer Fjerntilgang til UiS sitt nettverk skal kun skje gjennom sikkerhetsløsninger godkjent av IT avdelingen Sensitiv informasjon skal krypteres når det oppbevares på bærbare medier, slik som minnepinner, PDA-er, DVD-er og mobiltelefoner Tilgang til privilegerte kontoer og sensitive områder skal begrenses Brukere skal hindres i å tilegne seg informasjon de ikke skal ha tilgang til. 3.9 Systemutvikling og vedlikehold Sikkerhetskrav til informasjonssystemer Definisjon av virksomhetsmessige krav til nye systemer eller videreutvikling av systemer skal inneholde sikkerhetsmessige krav. Korrekt virkemåte i informasjonssystemer Data inn og ut av felles informasjonssystemer skal valideres for å sikre korrekthet og relevans Pålitelighet og integritet i meldinger og informasjon skal defineres og relevante tiltak implementeres. Kryptografiske kontroller Retningslinjer for administrasjon og bruk av kryptografiske kontroller for beskyttelse av informasjon skal utvikles og implementeres. Sikkerhet i systemfiler Endringer i produksjonsmiljø skal følge gjeldende rutiner Implementering av endringer skal kontrolleres gjennom bruk av formelle prosedyrer for endringskontroll, for å minimalisere mulighetene for skade på informasjon eller informasjonssystemer. Sikkerhet i utvikling og vedlikehold De systemer som utvikles for eller av UiS skal ha klare krav til sikkerhet, inkludert validering av data, sikring av koden før produksjonssetting, og eventuell bruk av kryptografi Endringer i produksjonsmiljø skal følge gjeldende rutiner Kenneth Høstland Marina Davidian 18 av

19 s Policy for informasjonssikkerhet ved UiS Programvare skal testes og aksepteres formelt av systemeier og IT avdelingen før programvaren overføres til produksjonsmiljøet. Risikovurdering Før ny programvare klassifisert som «høy», eller større endringer i systemer klassifisert som «høy» settes i produksjon, skal det gjennomføres en risiko- og sårbarhetsvurdering Kenneth Høstland Marina Davidian 19 av

20 s Policy for informasjonssikkerhet ved UiS 3.10 Håndtering av sikkerhetshendelser og avvik Ansvar for rapportering Bruk av informasjonssystemer i strid med fastlagte rutiner, og sikkerhetsbrudd, skal behandles som avvik Alle brukere er ansvarlig for å rapportere brudd og mulige brudd på sikkerheten. Rapporteringen skal gå linjevei, eventuelt direkte til CSO. Måling Det skal være mulig å definere kostnader og konsekvenser ved sikkerhetshendelser. CSO er ansvarlig for dette Det skal utarbeides rutiner for avvikshåndtering og rapportering. Rutinen skal inneholde krav til tiltak for å forhindre gjentagelser samt skadereduksjon. Bevissikring IT-sikkerhetsansvarlig skal være kjent med enkle rutiner for bevissikring ved mistanke om ITsikkerhetshendelser. Versjon: Dato: Forfatter: Kontrollert: God kjent: Side: Kenneth Høstiand Marina Davidian 20 av

21 Policyfor informasjonssikkerhetved UiS 3.11 Kontinuitetsplanlegging Kontinuitetsplan Det skal utarbeides en kontinuitetsplan som dekker kritiske og viktige informasjonssystemer og infrastruktur Kontinuitetsplan(er) skal utarbeides på bakgrunn av risiko og sårbarhetsanalyser som tar utgangspunkt i virksomhetsrisiko Planen(e) skal avstemmes med UiS sitt øvrige beredskap og planverk Kontinuitetsplanen(e) skal testes periodisk for å sikre at den er dekkende, og sikre at ledelse og ansatte forstår gjennomføringen Produksjonssystemer og andre systemer klassifisert som «Høy» skal ha reserveløsninger. Tabellen nedenfor gjenspeiler BIA(Business Impact Analysis) prosessen som ble gjennomført i Kritikalitet Tilgjengelighet Beskrivelse < 8 timer Systemet kan være utilgjengelig opp til 8 timer 2 - Medium 24 timer Systemet kan være utilgjengelig opp til ett døgn 3 dager Systemet kan være utilgjengelig opp til 3 dager Kenneth Høstland Marina Davidian 21 av

22 Policy for informasjonssikkerhet ved UiS 3.12 Samsvar Samsvar med juridiske krav UiS skal følge gjeldende lovverk, samt andre eksterne retningslinjer, slik som (ikke avgrenset til): Lov om arbeidsmiljø, arbeidstid og stillingsvern mv. (arbeidsmiljøloven) Forskrift i forhold til om systematisk helse-, miljø-, og sikkerhetsarbeid i virksomheter (internkontrollforskriften) Lov om behandling av personopplysninger (personopplysningsloven) Lov om statens tjenestemenn m.m. (tjenestemannsloven) Lov om årsregnskap mv. (regnskapsloven) Lov om universiteter og høyskoler (universitetsloven) Lov om rett til innsyn i dokument i offentleg verksemd (offentleglova) Lov om elektronisk signatur (esignaturloven) Andre eksterne referanser Hovedtariffavtalen i Staten Statens Personalhåndbok Datatilsynets krav Datatilsynets «Veileder i informasjonssikkerhet for kommuner og fylker». Samsvar med sikkerhetspolicy Ansatte er pålagt å forholde seg i overensstemmelse med policy for informasjonssikkerhet og retningslinjer. Oppfølging av dette er linjeledelsens ansvar. Studenter er pålagt å forholde seg til IT-reglementet Ansatte og studenter skal være klare over at bevis fra sikkerhetshendelser tas vare på (lagres) og kan overleveres etter rettslig krav. Kontroll og revisjon Revisjonskrav og revisjonshandlinger skal planlegges og avtales med de involverte for å minimalisere risikoen for forstyrrelser av UiS sine aktiviteter Kenneth Høstland Marina Davidian 22 av

23 Policy for informasjonssikkerhet ved UiS 4.0 STYRENDEDOKUMENTER FOR SIKKERHETSARBEIDET 4.1 Formål med styrende dokumenter Styrende dokumenter for informasjonssikkerhet skal bidra til å oppnå et balansert nivå på tiltak i forhold til den risiko og de rammebetingelser UiS står overfor. Det skal eksistere dokumenterte krav og retningslinjer knyttet til informasjonssikkerhet basert på oppdaterte risikoanalyser. De øvrige systemer og infrastruktur skal være dekket av gode basis kontroller innen informasjonssikkerhet som til enhver tid skal etterleves. 4.2 Dokumentstruktur UiS har organisert dokumentstrukturen for beskrivelse av sin sikkerhetsarkitektur i 3 nivåer. Den etablerte struktur for styrende dokumenter for IKT-sikkerhetsarbeidet er som følger: Nivå 1: Sikkerhetspolicy definerer mål, hensikt, ansvar og overordnede krav. I tillegg gir denne en oversikt over de etablerte styrende dokumenter knyttet til informasjonssikkerhet og hvorfor dette er viktig. Dette er styrende dokumentasjon. Virksomhetsstrategi, IT-strategi Jr Nivå 2: Overordnede retningslinjer og prinsipper for informasjonssikkerhet. Her defineres hva som må gjøres for å etterleve den etablerte policy. Dette er styrende dokumentasjon. Nivå 3: Standarder og prosedyrer for informasjonssikkerhet. Inneholder detaljerte retningslinjer for hvordan disse retningslinjer og prinsipper (nivå 2) skal implementeres. Dette bør etter hvert etableres for alle sentrale informasjonssystemer. Dette er gjennomførende og kontrollerende dokumentasjon. Versjon: Dato: Forfatter: Kontrollert: Kenneth Høstland Marina Davidian Godkjent: Side: 23 av

24 s Policy for informasjonssikkerhet ved UiS 5.0 REFERANSER 5.1 Interne referanser Versjon Dato Kommentar Ansvarlig IT-reglement for UiS IT direktør Strategiplan for UiS Strategi og kommunikasjonsdirektør Kvalitetssikringssystem for UiS Økonomi- og virksomhetsdirektør IT-strategi IT direktør Risikoanalyser Alle Personalreglement HR direktør Personalpolicy HR direktør Retninglinjer for avhending av IKT-utstyr IT direktør Taushetserklæring CSO Funksjonsbeskrivelse CSO Andre relevante IKT-relaterte dokumenter Versjon: Dato: Forfatter: Kontrollert: God kjent: Side: Kenneth Høstland Marina Davidian 24 av

25 Policy for informasjonssikkerhet ved UiS 5.2 Eksterne referanser Referanser ISO Informasjonsteknologi Administrasjon av informasjonssikkerhet (150/IEC 17799:2005) ISO/IEC 27001: 2005 Information security Security techniques Information security management systems Requirements ISO/IEC 27002: 2005 Information security Security techniques Code of practice for information security management. ISO/IEC 27005: 2008 Information security Security techniques Information security risk management. Lov om personopplysninger: htt : all h html Lov om arkiv (arkivlova): htt : all ni html Lov om årsregnskap m.v. (regnskapsloven): htt : all ni html Lov om statens tjenestemenn m.m. (tjenestemannsloven): htt : all ni html Lov om universiteter og høyskoler (universitetsloven): htt : all h html Lov om elektronisk signatur (esignaturloven): htt : all h html Lov om opphavsrett til åndsverk m.v. (åndsverkloven): htt : all ni html "Kommuneveiledningen" (Veiledning i informasjonssikkerhet for kommuner og fylker"): htt : net.no u load Dokumenter infosik veiledere tv df Datatilsynet: Veileder for bruk av tynne klienter: htt : net.no u load Dokumenter infosik veiledere Veileder t nneklient er.pdf Datatilsynet: Kryptering: htt : net.no tem lates article 889.as x Datatilsynet: Risikovurdering: htt : net.no u load Dokumenter infosik veiledere Risikovurderin TV pdf htt : u load forvaltnin o anal se risikost rin NY Metodedokument pdf OECDs retningslinjer - for sikkerhet i informasjonssystemer og nettverk - Mot en sikkerhetskultur. htt : dataoecd df Nasjonal Sikkerhetsmyndighet (NSM): Veiledning i risiko - og sårbarhetsanalyse (ROS). htt : Documents Veilednin er ROS 2004 veilednin. df Kenneth Høstland Marina Davidian 25 av

26 Policyfor informasjonssikkerhetved UiS [18] Senter for statlig økonomistyring: Risikostyring i staten Håndtering av risiko i mål- og resultatstyringen htt : u load forvaltnin o anal se risikost rin NY Metodedokument pdf UFS 107: Krav til strømforsyning av IKT- rom. Fagspesifikasjon fra UNINETT. htt s: ow.feide.no media i acam us:ufs103. df UFS 108: Krav til ventilasjon og kjøling i IKT- rom. Fagspesifikasjon fra UNINETT. htt s: ow.feide.no media i acam us:ufs108. df UFS 122: Anbefalt IT-infrastruktur i UH-sektoren. Fagspesifikasjon fra UNINETT.(Utkast). htt s: ow.feide.no media i acam us:ufs:ufs 122 v1.0. df Kenneth Høstland Marina Davidian av