Retningslinje for fysisk sikring av IKTinfrastruktur Type dokument Retningslinje Forvaltes av Økonomi- og eiendomsdirektør Godkjent av Organisasjonsdirektør Klassifisering Intern Gjelder fra 20.08.2018 Gjelder til 20.08.2020 Unntatt offentlighet Nei Referanse ISO 27001; A11.1 Referanse LOV/Regel Referanse interne Denne retningslinjen er underlagt Politikk for informasjonssikkerhet dokumenter 1. Formål Formålet er å forhindre uautorisert adgang til, skade på og/eller forstyrrelser i virksomhetens informasjon og systemer for informasjonsbehandling. Retningslinjen skal videre forhindre tap, skade, tyveri eller kompromittering av aktiva samt avbrudd i organisasjonens drift. 2. Hvem Retningslinje for fysisk sikring av IKT-infrastruktur gjelder for Retningslinje for fysisk sikring av IKT-infrastruktur gjelder for alle som har ansvar for prosjektering av bygg alle som har ansvar for drift av bygg alle som har ansvar for bruk av bygg 3. Definisjoner IKT-infrastruktur: Med NTNUs IKT-infrastruktur menes alt utstyr, digital informasjon, informasjonssystemer og tjenester som benyttes til informasjonsbehandling og kommunikasjon. Informasjonsverdier: Disse deles inn i to kategorier: Primærverdier handler om hva vi gjør og hvordan, og informasjonen vi benytter: forretningsprosesser og aktiviteter informasjon Sekundærverdier handler om de verktøyene vi bruker og kompetansen hos de som bruker verktøyene:
hardware software nettverk ansatte lokasjoner organisasjonsstrukturer 4. Overordnede prinsipper Følgende overordnede prinsipper gjelder for sikring av IKT-infrastruktur: Fysisk eller logisk tilgang til NTNUs IKT-infrastruktur skal være forankret i et behov for å få utført en pålagt oppgave. Fysisk og logisk adgang til NTNUs IKT-infrastruktur skal være sporbar. NTNU skal ha en fysisk og logisk tilgangskontroll som står i forhold til skaden u- autorisert tilgang kan medføre. Det skal til enhver tid være en oppdatert dokumentasjon av alle områder og komponenter som inngår i NTNUs IKT-infrastruktur, og med et relasjonskart som viser sammenheng mellom tilganger. Arealer som inneholder infrastruktur som representerer høy sårbarhet/risiko for tilgjengeligheten til kritiske eller større deler av NTNUs informasjonskilder skal ha fysisk beskyttelse mot naturkatastrofer, ondsinnede angrep og ulykker. For arealer som inneholder infrastruktur som representerer høy sårbarhet/risiko for tilgjengeligheten til kritiske eller større deler av NTNUs informasjonskilder skal det være utarbeidet og testet en kontinuitetsplan som inntrer ved kritiske hendelser. Det skal til enhver tid være en plan for utvikling og forvaltning av arealer som inneholder NTNUs IKT-infrastruktur. Ved avhending av IKT-utstyr skal Rutine for avhending av lagringsmedium følges. 4.1 Krav til fysisk sikring av arealer som gir tilgang til NTNUs IKT-infrastruktur For å kunne ivareta informasjonssikkerheten skal sikring av fysiske arealer følge kravene under: Områder som inneholder IKT-infrastruktur og/eller informasjon som krever beskyttelse skal inndeles i soner. Sonene skal beskyttes med hensiktsmessige adgangskontroller for å sikre at kun autorisert personell får adgang. Ved vurdering av adgangskontroll og autorisasjon skal det tas hensyn til hvilken informasjon og hvilket utstyr som er plassert i aktuelt område iht. til gjeldende rutine. Alt personell skal kunne tilkjennegi sin identitet når de er i NTNUs områder med tilgangsbegrensninger. Referert til tabellen i «Retningslinje for fysisk sikring av IKT-infrastruktur» betyr det områder med GRØNN,
GUL, RØD sikkerhetsgradering til alle tider og for områder med HVIT sikkerhetsgradering når skallsiktingen er aktivisert. Sikringsnivå Kategori informasjon/ informasjonssystemer Klassifisert som: RØD Konfidensialitet klassifisert på nivå 3/4. på nivå 3/4. Tilgjengelighet nivå klassifisert på 3/4. Område Begrensede deler av datarom, arkivrom eller andre rom som gir tilgang til informasjon som det er kritisk for NTNU å beskytte mot uautorisert innsyn eller endring. Rød sone skal etableres inne i et område som er definert som gul sone, og som har tilfredsstillende skallsikring. Sikring Avlåst hele døgnet. Adgangskort + PIN kode eller nøkkel med svært begrenset tilgang. etter særskilt avtale, opplæring i NTNUs krav til informasjonssikkerhet, signert taushetserklæring og under oppsyn av autorisert NTNU ansatt. Alle skal bære synlig adgangskort. Det skal gjennomføres årlig ROS-analyse for kartlegging av sikringstiltak av arealet. tilgang ved hendelser som brann, terror, etc. godkjenning og revisjon av tilgangsrettigheter. GUL Konfidensialitet klassifisert på nivå 3. på nivå 3. Tilgjengelighet nivå klassifisert på 3. Avgrensede områder hvor spesiell autorisasjon kreves, datarom/arkiver med fortrolig informasjon, og/eller informasjon som det er viktig for NTNU å beskytte mot uautorisert innsyn eller endringer. revisjon av adgangslogger. Avlåst hele døgnet. Adgangskort + PIN kode eller nøkkel med begrenset tilgang. etter særskilt avtale og opplæring i NTNUs krav til informasjonssikkerhet.
Tekniske rom med infrastruktur som representerer høy sårbarhet/risiko for tilgjengeligheten til kritiske eller større deler av NTNUs informasjonskilder. Printerrom og kontorlokaler der det kan aksesseres informasjon klassifisert som Fortrolig. Taushetserklæring skal signeres. Alle skal bære synlig adgangskort. Det skal gjennomføres årlig ROS-analyse for kartlegging av sikringstiltak av arealet. For printerrom der rommet er plassert i grønn eller hvit sone kan printeren være gul sone ved utskrift av fortrolig informasjon. Det kreves da sikker utskriftsfunksjonalitet for printeren/ utskriftssystemet. tilgang ved hendelser som brann, terror, etc. godkjenning og revisjon av tilgangsrettigheter. GRØNN HVIT Konfidensialitet klassifisert på nivå 2. på nivå 2. Tilgjengelighet klassifisert på nivå 2. Klassifisert som: Konfidensialitet nivå 1, Integritet 1, Tilgjengelighet klassifisert på nivå 1 Arealer der det kan aksesseres informasjon klassifisert som Intern. Kontorer, møterom, mv. der det er adgangskontroll hele døgnet. Arealer som gir adgang til infrastruktur-komponenter som kan kompromittere informasjonssikkerheten, slik som: kabler, rutere, koblingsbokser, etc. Offentlig tilgjengelige områder: Vrimleområder, korridorer, kantiner mv. I prinsippet alt åpent. revisjon av adgangslogger. Lås og personlig nøkkelkort + PIN kode. etter særskilt avtale og signert taushetserklæring. Skallsikring for bygninger utenom åpningstid og eventuelle ekstra sikkerhetstiltak der det ansees som nødvendig, f. eks videoovervåking mv.
Sikringstiltakene baseres på ROS-vurdering og aktiva plassert i lokalene. 5. Roller og ansvar 5.1 Økonomi- og eiendomsdirektør skal sørge for tilstrekkelig finansiering av arbeidet med informasjonssikkerhet i prosjektering og drift av bygg 5.2 Leder av Avdeling for campus service er ansvarlig for etterlevelse av retningslinjen ved drift av bygg 5.3 Leder av Eiendomsavdelingen er ansvarlig for etterlevelse av retningslinjen ved prosjektering og anskaffelse av bygg 5.4 Leder av IT-avdelingen skal konsulteres ved revideringer av retningslinje, risikovurderinger og tiltak 5.5 Leder av HR- og HMS-avdelingen er ansvarlig for at ledere er kjent med, og har tilstrekkelig kompetanse, til å ivareta sitt ansvar i henhold til denne retningslinjen 5.6 Leder av Seksjon for digital sikkerhet er ansvarlig for godkjenning av egen rutine for tilgang ved hendelser som brann, terror, etc. i rød sone er ansvarlig for godkjenning av egen rutine for godkjenning og revisjon av tilgangsrettigheter til rød sone ansvarlig for godkjenning av egen rutine for revisjon av adgangslogger i rød sone konsulteres ved revideringer av retningslinje, risikovurderinger og tiltak 5.7 Linjeleder ansvarlig for at ansatte har tilstrekkelig opplæring til å kunne etterleve kravene i retningslinjen