Informasjonssikkerhetsprinsipper

Transkript

1 Ver. 1.0 Mai 2012

2 Versjonskontroll og godkjenning Dokumenthistorie Versjon Dato Forfatter Endringsbeskrivelse 0.1 (UTKAST-1) Christoffer Hallstensen Opprettelse 0.1 (UTKAST-2) Christoffer Hallstensen Generalisering 0.2 (UTKAST-1) Christoffer Hallstensen Rettet diverse feil 0.3 (UTKAST-1) Christoffer Hallstensen Lagt til Roller og ansvarsområder" Christoffer Hallstensen Lagt til "Akademiske data" Christoffer Hallstensen Lagt til Sikkerhetsorganisasjon" Christoffer Hallstensen Endret til ny struktur Christoffer Hallstensen Skrevet om sanksjoner og fjernet redundante punkter Christoffer Hallstensen Høgskoleledelsen er byttet ut med rektor Christoffer Hallstensen Policy og prinsipper splittet i to dokumenter. Godkjennelse Versjon Navn Dato Rolle i

3 Versjonskontroll i Innhold ii 1 Prinsipper for Informasjonssikkerhet Begreper og definisjoner Oppfølging og revisjon Sikkerhetsorganisasjon Klassifisering og informasjonskontroll Akademiske data Personell og studenter Fysisk sikkerhet Tilgangskontroll Kommunikasjon og driftsadministrasjon Systemutvikling og vedlikehold Risikostyring Hendelseshåndtering og beredskap Kontinuitet Samsvar Konsekvenser og sanksjoner Roller og ansvarsområder Sikkerhetsansvarlige Systemansvarlige ii

4 1 Prinsipper for Informasjonssikkerhet 1.1 Begreper og definisjoner Autentisering: Bevis for at en person eller program er den/det man utgir seg for å være. Autorisasjon: Bemyndiggjørelse, godkjenning eller innen sikkerhet; tillatelse til å utføre visse oppgaver og/eller få tilgang til visse informasjonsressurser. Behandlingsansvarlig: Person eller avdeling som formelt er ansvarlig for et informasjonssystem og/eller at informasjon behandles og forvaltes iht. lover og forskrifter. Beredskap: Evne til å håndtere og redusere skadevirkninger av uønskede hendelser som kan føre til skade eller tap av eiendeler. Data: Meningsnøytrale forekomster av tekst, tall eller lignende bærere av verdier som kan inngå i eller bidra til å forme informasjon. Endringshåndtering: (ref: ISO 20000) En strukturert prosess som sikrer at ingen uautoriserte eller dårlig testede endringer gjøres på produksjonsystemer. Hendelse: en tilstand som er et avvik i fra normalen. Hendelseshåndtering: (ref: ISO 20000) En strukturert prosess for å respondere på en hendelse og gjenopprette normal drift. Informasjonsressurs: Enhver avgrenset mengde informasjon som er tilgjengelig i en hvilken som helst form av eller for HiG, kan også være klassifisert informasjon. Informasjonssikkerhet: Beskytte konfidensialitet, integritet og tilgjengelighet for all informasjon på alle informasjonsressurser under prosessering, transport og lagring. Infrastruktur: En infrastruktur er en kombinasjon av administrative og organisatoriske tiltak, samt teknisk anlegg og utstyr, som skal til for at en organisasjon skal fungere på en tilfredstillende måte. IKT-infrastruktur: Omfatter maskinvare, programvare, nettverk, telefoni, lokaler, omgivelser og andre spesielle forhold som inngår i utvikling, forvaltning og drift av IKT-systemer. Integritet: Sikre at informasjon er riktig, nøyaktig og gyldig, og at databehandling som utføres er fullstendig. Katastrofe: En hendelse eller en serie av hendelser som setter organisasjonen ut av stand til å utføre virksomhetskritiske oppgaver i en gitt periode, som fører til stor skade og/eller tap. Konfidensialitet: Sikkerhet om at kun autoriserte personer har tilgang til informasjonen og at den ikke er tilgjengelig for uvedkommende. Kritikalitet: En skala som indikerer viktigheten av informasjon eller informasjonssystemer for organisasjonen basert på konsekvenser ved brudd på konfidensialitet, integritet eller tilgjengelighet. Policy: Formaliserte overordnede mål og prinsipper. Retningslinje: Pekepinn på hvordan en skal rette seg etter policy for at mål skal kunne nås. Risiko: Innen informasjonssikkerhet er risiko en funksjon av sannsynligheten eller muligheten for at en sikkerhetshendelse/trussel inntreffer og hvor mye skade dette vil medføre. 1

5 Sikkerhetsorganisasjon: Hvordan sikkerheten skal organiseres innen organisasjonen. Sikkerhetshendelse: En tilstand som avviker fra normalen hvor konfidensialitet, integritet eller tilgjengelighet svekkes. Systemeier: Juridisk eier av et informasjonssystem. Tilgjengelighet: At informasjon og informasjonssystemer altid er tilgjengelige og operasjonelle ved behov. LMS: Learning Management System (elæringsplattform). 2

6 1.2 Oppfølging og revisjon Høgskoleledelsen skal aktivt sørge for at policy, retningslinjer og prosedyrer blir opprettet, fulgt opp og benyttet Høgskoleledelsen skal tilrettelegge for at ansatte og studenter får riktig materiell og opplæring i å beskytte høgskolens eiendeler og informasjon Informasjonssikkerhetspolicy og prinsipper skal revideres minimum hvert 2. år for å sikre relevans overfor dagens trusselbilde og dekke Høgskolen i Gjøviks mål innen informasjonssikkerhet. 1.3 Sikkerhetsorganisasjon Høgskolen i Gjøvik skal ha et informasjonssikkerhetsråd, en arbeidsgruppe som består av personer med ulik erfaring fra forskjellige deler av organisasjonen Informasjonssikkerhetsrådet har i ansvar å revidere, vedlikeholde og videreutvikle informasjonssikkerhetspolicyen og prinsipper med tilhørende retningslinjer, samt arbeide med andre sikkerhetsrelaterte oppgaver gitt av rektor. 1.4 Klassifisering og informasjonskontroll Informasjon, infrastruktur og rutiner skal tilpasses og klassifiseres i henhold til nødvendig sikkerhetsnivå og behov for tilgang Klassifiserte eiendeler og informasjon skal merkes tydelig og om nødvendig forsegles av behandlingsansvarlig Høgskolen i Gjøvik skal ha retningslinjer og standarder for informasjonsklassifisering. Det er rektor sitt ansvar at dette er på plass Høgskolen i Gjøvik skal ha retningslinjer og prosedyrer for lagring, transport, behandling og tilgang til klassifisert informasjon og eiendeler av typen begrenset eller konfidensiell. Alle eiendeler og informasjon som er uklassifisert regnes som åpen Informasjonsressurser som behandles av høgskolen skal ha en behandlingsansvarlig Informasjonsressurser som behandles på oppdrag fra høgskolen av en tredjepart skal ha en ansvarlig som er tilsatt ved høgskolen Informasjon skal klassifiseres i tre kategorier: ÅPEN: Informasjon som ikke inneholder intern eller sensitive opplysninger. BEGRENSET: Informasjon som regnes som intern og kan være skadende for Høgskolen i Gjøviks omdømme eller ikke er passende for en tredjepart. Systemeier avgjør behandling og lagring. KONFIDENSIELL: Sensitiv informasjon hvor uautorisert tilgang kan medføre betydelig skade for enkeltpersoner, høgskolen eller deres interesser. Konfidensiell er synonymt med forvaltningslovens Unntatt offentlighet. 3

7 1.5 Akademiske data Høgskolen i Gjøvik skal ha klare retningslinjer for lagring, behandling og transportering av forskningsdata i henhold til konfidensialitet, integeritet, tilgjengelighet og gjeldende lovverk der dette er nødvendig Høgskolen i Gjøvik skal ha adekvate retningslinjer for behandlig, lagring og transportering av studentprodusert data. 1.6 Personell og studenter Høgskolen i Gjøvik skal ha klare retningslinjer og prosedyrer for tilsettelse, avgang og ved endring av arbeidsforhold Høgskolen i Gjøvik skal ha klare retningslinjer og prosedyrer for opptak, endring, avgang og behandling av studentrelatert informasjon Ansatte og studenter ved Høgskolen i Gjøvik skal til enhver tid kunne legitimere seg med ansatt-/studentkort ved ferdsel på området og ved bruk av høgskolens informasjonssystemer og andre eiendeler Nødvendig informasjon om vilkår og bruk av Høgskolen i Gjøviks IT-infrastruktur, samt sikkerhetspolicy og retningslinjer, skal finnes tilgjengelig på Internett, Fronter eller andre relevante informasjonskanaler Høgskolen i Gjøvik skal ha retningslinjer for utlevering av informasjon om studenter og ansatte til en tredjepart. 1.7 Fysisk sikkerhet Alt fysisk utstyr høgskolen enten eier eller er forvalter for skal merkes og registreres av hver avdeling etter egne retningslinjer. Det er avdelingsleder sitt ansvar at dette er på plass Høgskolen i Gjøvik skal ha hensiktsmessige retningslinjer for sikring av alle lokaler og fysiske soner etter klassifisering og kritikalitet Hensiktmessige lokaler og infrastruktur skal benyttes for å redusere risiko for hendelser som brann, vannlekkasjer, tyveri, strømbrudd ol. 4

8 1.8 Tilgangskontroll Informasjonssystemer skal ha retningslinjer for tilgangskontroll med adekvat loggføring Autentisering skal, hvis ikke avvik er nødvendig, utføres via sentrale fellessystemer for administrasjon, autentisering og autorisasjon av brukere og tjenester Systemeiere har ansvar for at systemet konfigureres med adekvat tilgangskontroll og loggføring etter retningslinjer godkjent av rektor Infrastruktur skal settes opp på en hensiktsmessig måte slik at forskjellige fysiske og logiske sikkerhetsnivå er adskilt. pkt Kommunikasjon og driftsadministrasjon Systemeier er ansvarlig for at systemer dokumenteres og at dokumentasjon oppdateres ved endringer etter høgskolens definerte standard Hver avdeling har i ansvar å utvikle egne skriftlige retningslinjer og rutiner for å oppfylle krav nedfelt i policy og prinsipper Retningslinjer for overvåkning av IKT-infrastruktur skal være definert Arbeidsoppgaver og ansvar skal fordeles på en måte som forebygger muligheter for uautorisert tilgang og misbruk av høgskolens eiendeler Systemeier er ansvarlig for at det eksisterer retningslinjer og adekvate prosedyrer for sikkerhetskopiering av egne systemer der dette er nødvendig. Systemeier eller behandlingsansvarlig må ta stilling til dette Systemutvikling og vedlikehold Kravspesifikasjoner på systemer og tjenester skal inneholde krav til informasjonssikkerhet der det tas høyde for risikoer ved implementasjon og utvikling Det skal finnes retningslinjer for loggføring og endringshåndtering av alle systemer i produksjon Utvikling, test og vedlikehold/drift skal separeres for å forhindre uønskede feilsituasjoner. 5

9 1.11 Risikostyring Enhver behandlingsansvarlig skal ha foretatt en risikovurdering av informasjonsressurser vedkommende er ansvarlig for Risikohåndtering og vurdering skal foregå etter kriterier og retningslinjer godkjent av rektor Det skal utføres risikovurderinger hvert 2. år for å identifisere og prioritere risiko etter kriterier nedfelt i retningslinjer Behandlingsansvarlig skal vurdere behov for sikringstiltak i henhold til effektivitet, kostnad og praktisk gjennomførbarhet Risikovurderinger skal godkjennes av høgskolens ledelse, systemeier eller behandlingsansvarlig med fullmakt Ved uakseptabelt høy risiko skal det iverksettes tiltak som reduserer risiko til et akseptabelt nivå Dersom en avdeling er i besittelse av personopplysninger skal avdelingen ta høyde for dette ved risikovurdering, dette er behandlingsansvarlig sitt ansvar Hendelseshåndtering og beredskap Høgskolen i Gjøvik skal ha beredskapsplaner og retningslinjer for hendelseshåndtering for alle informasjonssystemer kritisk for operativ drift, dette må være implementert på et organisatorisk nivå Høgskolen i Gjøvik skal ha retningslinjer og prosedyrer for rapportering av sikkerhetshendelser. Det er systemeier sin oppgave å sørge for at disse eksisterer og er implementert på egne systemer Høgskolen skal ha definert et eget beredskapsteam som skal kunne håndtere sikkerhetsrelaterte hendelser og andre kriser. 6

10 1.13 Kontinuitet Høgskolen i Gjøvik skal ha planer for kontinuitet som dekker alle kritiske elementer for daglig operativ drift av bærende infrastruktur og informasjonssystemer Alle kontinuitetsplaner skal kvalitetssikres, oppdateres og testes minimum hvert 2. år Samsvar Høgskolen i Gjøvik skal følge opp og leve opp til gjeldende lover, forskrifter og eksterne retningslinjer, deriblandt: Arbeidsmiljøloven Universitets og Høgskoleloven Internkontroll-forskriften Personopplysningsloven med forskrift Regnskapsloven Arkivloven med forskrifter Offentleglova med forskrifter Sikkerhetsloven med forskrifter Forvaltningsloven med forskrifter Helseforskningsloven Forskrift om utfyllende tekniske og arkivfaglige bestemmelser om behandling av offentlige arkiver Datatilsynets krav UNINETTs etiske retningslinjer 1.15 Konsekvenser og sanksjoner Alle ansatte, studenter og eksterne oppdragsgivere er pålagt å forholde seg til og følge denne sikkerhetspolicyen, tilhørende retningslinjer og regler godkjent av rektor Ved brudd på sikkerhetspolicy og tilhørende retningslinjer kan det få konsekvenser definert av rektor iht. gjeldende regelverk. 7

11 2 Roller og ansvarsområder Sikkerhetspolicyeier: Inge Øystein Moen, Høgskoledirektør 2.1 Sikkerhetsansvarlige IKT-Sikkerhetsansvarlig: Stian Husemoen, IT-leder 2.2 Systemansvarlige Personalsystem: Jan Kåre Testad, personaldirektør Arkiv: Jan Kåre Testad, personaldirektør Studentsystem: Gunn Rognstad, studiedirektør Økonomisystem: Kai Jakobsen, økonomidirektør Web: Gunn Rognstad, studiedirektør LMS: Gunn Rognstad, studiedirektør (evt. Rigmor Øvstetun) Studiehåndbok: Gunn Rognstad, studiedirektør IKT-infrastruktur: Stian Husemoen, IT-leder Bibliotekssystemer: Klaus Jøran Tollan, Hovedbibliotekar 8