NTNU Retningslinje for klassifisering av informasjon

Transkript

1 Retningslinje for klassifisering av informasjon Type dokument Retningslinje Forvaltes av Leder av Avdeling for dokumentasjonsforvaltning Godkjent av Organisasjonsdirektør Klassifisering Intern Gjelder fra Gjelder til Unntatt offentlighet Nei Referanse ISO ISO A8.1.1, Referanse LOV/Regel Referanse interne Denne retningslinjen er underlagt Politikk for informasjonssikkerhet dokumenter 1. Formål Formålet med klassifisering av informasjonen er å ha oversikt over hvilke informasjonsverdier NTNU forvalter. Klassifisering av informasjonen benyttes også til å kunne ta riktige avgjørelser for hvordan IKT-systemene som behandler informasjonen bør sikres. Krav til riktig klassifisering av informasjon kommer fra mange parter og har forskjellige formål: fastslå hvilken informasjon som er viktigst for å nå NTNUs mål, samt holde seg innenfor gjeldende regelverk og imøtekomme inngåtte avtaler sortere hvilken informasjon og IKT-systemer som skal prioriteres ved en hendelse som medfører begrenset kapasitet vurdere krav til konfidensialitet, integritet og tilgjengelighet til informasjonen for å sikre at informasjonen behandles korrekt og forsvarlig, og forenkle arbeidet med å bygge en effektiv og driftsøkonomisk informasjonsarkitektur 2. Hvem Retningslinje for klassifisering av informasjon gjelder for Retningslinjen for klassifisering av informasjon gjelder for Linjeledere Systemeiere Ansatte Alle som har tilgang til, og/eller bearbeider og forvalter informasjon gjennom NTNUs IKTinfrastruktur 3. Definisjoner Attributt: Beskrivelse av grunnegenskapene til objektet.

2 IKT-infrastruktur: Med NTNUs IKT-infrastruktur menes alt utstyr, digital informasjon, informasjonssystemer og tjenester som benyttes til informasjonsbehandling og kommunikasjon. Informasjonsklassifisering: Å klassifisere informasjonsobjekter betyr å gi dem et sett med attributter som identifiserer krav til hvordan informasjonsobjektet skal forvaltes i hele livsløpet for å være i samsvar med interne og eksterne krav med hensyn til konfidensialitet, integritet og tilgjengelighet. Informasjonssikkerhet: Informasjonssikkerhet handler om sikring av konfidensialitet, integritet og tilgjengelighet. Informasjonsverdier: Disse deles inn i to kategorier: Primærverdier handler om hva vi gjør og hvordan, og informasjonen vi benytter: forretningsprosesser og aktiviteter informasjon Sekundærverdier handler om de verktøyene vi bruker og kompetansen hos de som bruker verktøyene: hardware software nettverk ansatte lokasjoner organisasjonsstrukturer Integritet: Integritet betyr å sikre at informasjon er korrekt, gyldig og fullstendig og ikke kan endres utilsiktet eller av uvedkommende. Konfidensialitet: At noe er konfidensielt betyr at det er krav til tilgangsstyring; dette betyr i praksis å sikre at informasjon og informasjonssystemer bare er tilgjengelig for de som har et tjenstlig behov. Tilgjengelighet: Å sikre tilgjengelighet betyr at informasjon og informasjonssystemer er tilgjengelig innenfor de tilgjengelighetskrav som er satt. 4. Overordnede prinsipper For å kunne møte krav til forsvarlig behandling av informasjonsverdier, skal informasjonsobjekter som produseres og forvaltes ved NTNU klassifiseres. Ved klassifisering av informasjon skal informasjonsobjektet merkes med et sett med

3 attributter som identifiserer krav til hvordan informasjonsobjektet skal forvaltes i hele livsløpet for å være i samsvar med interne og eksterne krav med hensyn til konfidensialitet, integritet og tilgjengelighet (KIT). Følgende attributter skal vurderes ved merking av informasjonsobjekter. 1 Eier: Hvilken organisatorisk enhet, rolle eller arbeidsprosess har eierskapet til informasjonen. Innhold: Type informasjon, uavhengig av format og medium. Hva informasjonen handler om. For eksempel FOU-søknader, arbeidskontrakter, fagplaner eller regnskapsrapporter. Hjemmel: Referanse til regulatoriske dokument (lov, regel, forskrift, styrende dokument) hvor oppbevaring og/eller disponering framgår. For eksempel offl. 25 (LOV nr 16: Lov om rett til innsyn i dokument i offentleg verksemd, offentleglova 25) eller fvl (LOV nr. 00: Lov om behandlingsmåten i forvaltningssaker, forvaltningsloven 13, første ledd). Lagringssted: Navnet på systemet og/eller fysiske arkiv der informasjonsobjektet oppbevares i lagringsperioden. Bevaringsverdi: Bevaringsverdi er en vurdering som angir den relative betydningen informasjonen har for organisasjonen. Dette kan for eksempel være: o Juridisk verdi o Virksomhetskritisk o Historisk verdi Personopplysninger: Hvis informasjonsobjektet inneholder eller kan inneholde personopplysninger, skal dette avmerkes i tabellen. o PERSONOPPLYSNINGER er opplysninger og vurderinger som direkte eller indirekte kan knyttes til en enkeltperson. Eksempler på personopplysninger er navn, fødselsnummer, bilde (dersom personer kan gjenkjennes), video og lydopptak, logg fra bruk av adgangskort, informasjon fra en kilde, blodprøver og googlesøk på person. o SÆRLIGE KATEGORIER AV PERSONOPPLYSNINGER (SENSITIVE PERSONOPPLYSNINGER) I utgangspunktet er det forbudt å behandle denne kategorien av personopplysninger. Opplysningen som dette gjelder er: Opplysninger om rasemessig eller etnisk opprinnelse, opplysninger om politisk oppfatning, opplysninger om religion, opplysninger om filosofisk overbevisning, opplysninger om fagforeningsmedlemskap, genetiske opplysninger, biometriske opplysninger med det formål å entydig identifisere noen, helseopplysninger, opplysninger om seksuelle forhold, opplysninger om seksuell legning, opplysninger om straffedommer, opplysninger om lovovertredelser. 1

4 Skylagring: Angir om informasjonen er egnet for skylagring. Enkelte informasjonstyper kan ikke lagres i skyen på grunn av lovkrav eller de er ikke egnet for skylagring av andre grunner. Dette gjelder spesielt lagring utenfor Norge eller EU/EØSområdet. Informasjon som kan falle inn under disse kategoriene må gjennomgå en særskilt risikovurdering før en eventuell lagring i skyen. Arkivnøkkel: En arkivnøkkel er et system for ordning av sakarkiv basert på ett eller flere ordningsprinsipper. Arkivnøkler beskriver inndelingsprinsipper og rekkeordningssystemer og benytter vanligvis et ordningsprinsipp på inndeling etter emne. Statlige organer skal ifølge arkivforskriften bruke «Felles arkivnøkkel for statsforvaltningen». Oppbevaringsperiode: Den tid som informasjonen skal oppbevares i arkivet. Oppbevaringsperioden starter når informasjonsobjekt blir til, og oppgis i antall år. o PERMANENT informasjonsobjektet oppbevares permanent. o LEVETIDSRELATERT informasjonsobjektet er levetidsrelatert i forhold til andre objekter (datasystemer, prosjekter, programmer, kontrakter, bygninger, ansettelsesforhold, studieforhold eller lignende). Det er vanlig at man setter en oppbevaringsperiode som kan være 5 eller 10 år etter at objektet er avhendet, kontrakten er utløpt osv. Institusjonen kan ha definert oppbevaringsperioden, for eksempel hvis oppbevaringsperiode er koblet til en hendelse, aktivitet eller er lovpålagt. Avhendingsregler: Regler for avhending av informasjonen etter endt oppbevaringsperiode. Merk at det kan være spesielle regler for bevaring av informasjon som gjelder egen virksomhet eller som har prinsipiell karakter. Rutinemessige enkeltsaker som har mistet sin administrative betydning kan ofte kasseres. o GJENNOMGANG send informasjonsobjektet til informasjonseieren for gjennomgang etter utløpt oppbevaringsperiode. o KASSER kasser informasjonsobjektet umiddelbart etter utløpt oppbevaringsperiode. Vær oppmerksom på at informasjonsobjekter som inneholder personopplysninger krever sikker destruering. o DEPONER deponer informasjonsobjekt i arkivdepot, for eksempel hos Statsarkivet, etter utløpt oppbevaringsperiode. o BEVARES skal ikke avhendes på grunn av krav om permanent oppbevaring. Informasjon/informasjonsobjekter skal klassifiseres og merkes i følgende kategorier for å kunne stille riktig krav til Konfidensialitet, Integritet og Tilgjengelighet: Klassifisering Konfidensialitet (K) Integritet (I) Tilgjengelighet (T) Nivå 1 Åpen informasjon som er tilgjengelig for alle uten særskilte tilgangsrettigheter. Informasjon som ikke kan Feil påvirker ikke beslutningsprosesser Arbeidsdokumenter, hvor feil i Nedsatt ytelse eller utilgjengelighet til informasjon eller tjeneste har liten eller ingen betydning for NTNUs

5 Nivå 2 skade noe eller noen, og alle kan få se. Eksempler på informasjon: Åpen kilde informasjon, offentlige websider, kursoversikter og innhold. Intern benyttes om informasjon som er begrenset til å være tilgjengelig for medarbeidere for å gjennomføre pålagte oppgaver. Informasjonen kan være tilgjengelig for eksterne med kontrollerte tilgangsrettigheter. Informasjon på avveie kan gi moderate økonomiske skader og/eller svekket omdømme for NTNU, enkeltindivider eller samarbeidspartnere hvis den kommer uautoriserte i hende. informasjonen ikke får negativ konsekvens i beslutningsprosesser hos den/de som benytter informasjonen. Den som benytter informasjonen forventer at den er autentisk og gyldig. Feil i informasjonen kan gi moderate økonomiske skader og/eller svekket omdømme for NTNU, enkeltindivider eller samarbeidspartnere. totale produksjon eller omdømme. Begrenset tilgang kan oppleves som kritisk for enkeltperson(er). Feilretting skjer kun innenfor normal arbeidstid. Nedsatt ytelse eller utilgjengelighet kan føre til noe etterslep i produksjon og redusert servicenivå for store deler av NTNU. IKT-infrastruktur og data kan være utilgjengelig i 2 virkedager uten at det medfører vesentlig fare for økonomisk- eller omdømmetap for NTNU. Feilretting skjer kun innenfor normal arbeidstid. Eksempler på informasjon: Enkelte arbeidsdokumenter, informasjon som er unntatt offentlighet, mange typer av personopplysninger. Nivå 3 Fortrolig benyttes dersom det vil kunne skade offentlige interesser, NTNU, enkeltindivider eller samarbeidspartnere at dokumentets innhold blir kjent for uvedkommende. Informasjon som er omfattet av lovbestemt og avtalemessig taushetsplikt. Informasjon skal kun være tilgjengelig for medarbeidere med kontrollerte rettigheter og Den som benytter informasjonen er avhengig av at den er autentisk og gyldig. Utilsiktet eller tilsiktet feilinformasjon vil kunne føre til feilvurderinger eller beslutninger slik at det kan medføre betydelig økonomisk tap, omdømmetap eller annen skade for NTNU, enkeltindivider eller Nedsatt ytelse eller utilgjengelighet kan føre til store etterslep eller stans i vesentlige tjenesteleveranser. Systemet eller tjenesten kan maksimalt være utilgjengelig i 4 timer uten at det medfører vesentlig fare for økonomisk- eller omdømmetap for NTNU. Feilretting starter umiddelbart og fortsetter inntil feilen er løst.

6 som har behov for denne informasjonen for å utføre en pålagt oppgave. I spesielle tilfeller kan fortrolig informasjon også gjøres tilgjengelig for eksterne under samme kontrollerte tilgangsrettigheter. samarbeidspartnere. Dette kan være, men ikke begrenset til; Grunndata, forskningsdata og publikasjoner hvor autentisitet er svært viktig. Informasjon på avveie som kan medføre alvorlig skade for NTNUs formål, samarbeidspartnere, enkeltpersoner og/eller samfunnet om den kommer uautoriserte i hende. Brudd på konfidensialiteten kan medføre stort økonomisk tap eller alvorlig tap av omdømme. Eksempler på informasjon: Særlige kategorier av personopplysninger (tidligere kalt «sensitive personopplysninger»), herunder helseopplysninger. Nivå 4 Strengt fortrolig benyttes dersom det vil kunne forårsake betydelig skade for offentlige interesser, NTNU, enkeltindivider eller samarbeidspartnere at informasjonen blir kjent for uvedkommende. Informasjon skal kun være tilgjengelig for medarbeidere med strengt kontrollerte rettigheter og som har behov for denne informasjonen for å utføre en pålagt oppgave. I spesielle tilfeller kan strengt fortrolig informasjon også gjøres tilgjengelig for eksterne Det er av kritisk betydning at det avleveres autentisk og gyldig informasjon. Utilsiktet eller tilsiktet feilinformasjon vil kunne føre til feilvurderinger eller beslutninger med fatale konsekvenser. Feil i informasjonen kan medføre tap av liv, for eksempel ved feilbehandling av pasienter, eller feilkonstruksjoner i bygg. Benyttes der nedsatt ytelse eller utilgjengelig kan være katastrofalt. Dvs. selv korte avbrudd vil føre til kritiske situasjoner, f. eks ved gjennomføring av eksamen, utbetaling av lønn, mv. IKT-infrastrukturen har høyeste prioritet, feilretting starter umiddelbart og fortsetter inntil feilen er løst.

7 under samme strengt kontrollerte tilgangsrettigheter. Brudd kan medføre katastrofal skade på NTNUs interesser, samarbeidspartnere, enkeltpersoner og samfunnet om den kommer uautoriserte i hende. Brudd kan medføre korrupte data i sentrale systemer som fører til omfattende følgefeil og påfølgende stort tap av produsert materiale ved NTNU. Brudd kan medføre tap av liv. f.eks. ved at informasjon om personer med beskyttelsesbehov kommer på avveie. Brudd kan medføre stort økonomisk tap og/eller omdømmetap som får langvarig negativ konsekvens for oppnåelse av NTNUs formål, f.eks. ved at betydelig forskningsmateriale går tapt, eller forskning med militære interesser kommer på avveie. Brudd som kan medføre manglende respekt for den enkeltes liv, integritet og menneskeverd. Eksempler på informasjon i denne kategorien: Store mengder særlige kategorier («sensitive») personopplysninger, store mengder helseopplysninger. Klassifisering av informasjonen som produseres i, eller tilføres, et IKT-system eller prosess, angir krav til sikring av IKT-systemet og arbeidsprosessen som benytter, transporterer eller lagrer informasjonen. Når informasjon er klassifisert skal den høyeste klassifiseringen innen hvert av områdene konfidensialitet, integritet og tilgjengelighet angi omfanget av risikovurderingen som skal gjennomføres for å fastsette nødvendig tiltak for sikring.

8 Informasjon klassifisert på: Nivå 1 Konfidensialitet Integritet Tilgjengelighet Enkel vurdering av risiko for å sikre at det er riktig nivå. Enkel vurdering av risiko for å sikre at det er riktig nivå. Enkel vurdering av risiko for å sikre at det er riktig nivå. Nivå 2 Nivå 3 Enkel vurdering av risiko og risikoreduserende tiltak. Gjennomføre risiko- og sårbarhetsanalyse og risikoreduserende tiltak iht. analysen. Enkel vurdering av risiko og risikoreduserende tiltak. Gjennomføre risikoog sårbarhetsanalyse og risikoreduserende tiltak iht. analysen. Enkel vurdering av risiko og risikoreduserende tiltak. Gjennomføre risiko- og sårbarhetsanalyse og risikoreduserende tiltak iht. analysen. Nivå 4 tilgangsstyring, logging og revisjon. F.eks. multi-faktor autentisering. Gjennomføre risiko- og sårbarhetsanalyse og risikoreduserende tiltak iht. analysen. verifisering av informasjonen, f. eks sjekksum. tilgangsstyring, logging og revisjon, f.eks. multi-faktor autentisering. Gjennomføre risikoog sårbarhetsanalyse og risikoreduserende tiltak iht. analysen. lastbalansering, redundans og restore. Gjennomføre risiko- og sårbarhetsanalyse og risikoreduserende tiltak iht. analysen. tilgangsstyring, logging og revisjon, f.eks. multi-faktor autentisering. verifisering av informasjonen, f.eks. sjekksum. lastbalansering, redundans og restore. tilgangsstyring, logging og revisjon. F.eks. multi-faktor autentisering. 5. Roller og ansvar 5.1. Leder av Avdeling for dokumentasjonsforvaltning er ansvarlig for at NTNU har rutiner for hvordan dokumenter skal merkes med klassifisering av informasjonen

9 er ansvarlig for at NTNU har maler som ivaretar krav til systematisk merking av dokumenter er ansvarlig for at retningslinje for klassifisering av informasjon er oppdatert og tilgjengelig 5.2. Leder av HR- og HMS-avdelingen er ansvarlig for at ledere og ansatte er kjent med, og har tilstrekkelig kompetanse, til å ivareta sitt ansvar i henhold til denne retningslinjen 5.3. Leder av IT-avdelingen skal konsulteres ved endringer i retningslinjen 5.4. Leder av Seksjon for digital sikkerhet 5.5. Linjeleder 5.6. Systemeier skal konsulteres ved endringer i retningslinjen er ansvarlig for at medarbeidere har tilstrekkelig kompetanse til å klassifisere informasjon som produseres i avdelingen og at klassifisering av informasjon er en del av arbeidsrutinene skal påse at avdelingen har rutiner som sikrer at informasjon som behandles, bearbeides og lagres i IKT-systemer som er godkjent for å benytte, transportere eller lagre informasjonen iht. informasjonsklassifiseringen skal påse at avdelingen har rutiner for sikker oppbevaring av informasjon som gjøres tilgjengelig på papir i henhold til klassifisering av informasjonen skal angi hvilke klassifiseringer av informasjon IKT-systemet er godkjent for å benytte, transportere og/eller lagre