Retningslinje for operativ sikkerhet Type dokument Retningslinje Forvaltes av Leder av IT-avdelingen Godkjent av Organisasjonsdirektør Klassifisering Intern Gjelder fra 20.08.2018 Gjelder til 20.08.2020 Unntatt offentlighet Nei Referanse ISO ISO 27001 A12.1-A12.7 Referanse LOV/Regel Referanse interne Denne retningslinjen er underlagt Politikk for informasjonssikkerhet dokumenter 1. Formål Formålet med denne retningslinjen er å beskrive krav til operativ sikring av NTNUs informasjonssystemer for å sikre stabil og sikker drift og mulighet til å detektere problemer i IKT-infrastrukturen. Formålet med kravene er å øke kvaliteten og sikre tjenestene som NTNU leverer i forhold til tilgjengelighet, konfidensialitet og integritet. 2. Hvem Retningslinje for operativ sikkerhet gjelder for Retningslinje for operativ sikkerhet gjelder for Linjeledere Systemeiere IT systemadministratorer Ansatte 3. Definisjoner Endringsstyring: Etablert prosess for å styre endringer i tjenester, systemer og applikasjoner som driftes av NTNU. Prosessen skal baseres på ITIL rammeverket. IT Service Portal: Sentral oversikt over systemer i NTNU. Kapasitetsstyring: Kontinuerlig overvåke trender og tilpasse leveransene i forhold til kapasitet og ytelse for å sikre at systemet leverer innenfor de krav som stilles i avtaler. Teknisk sårbarhetsstyring: Etablert prosess for å ha kontroll på tekniske sårbarheter som sikkerhetshull i programvare, operativsystem og maskinvare. Oppdagelse og håndtering av disse slik at risiko reduseres til et akseptabelt nivå.
Ødeleggende programvare: Programvare som kan skade eller utnytte systemer eller applikasjoner i den hensikt å ødelegge, stjele eller manipulere data. 4. Overordnede prinsipper Kravene til operativ sikkerhet i dette dokumentet er basert på overordnede krav i ISO 27001. Kravene er tenkt som minimumskrav: NTNU skal ha en samlet oversikt over alle systemer og tjenester i produksjon. NTNU bør ha en samlet oversikt over alle systemer og tjenester som er i utvikling og test. Dersom de understøtter funksjons- og/eller virksomhetskritiske tjenester eller systemer er dette et obligatorisk krav. NTNU skal ha dokumentasjon for alle systemer som er i produksjon. For funksjonsog/eller virksomhetskritiske systemer skal også test og utvikling ha dokumentasjon. NTNU skal ha standardiserte driftsprosedyrer for alle systemer som er i produksjon, NTNU skal ha en rutine for etablering og oppdatering av systemdokumentasjon og driftsprosedyrer. NTNU skal ha rutine for herding av systemer og tjenester. NTNU skal ha en rutine for skadevarebeskyttelse. NTNU skal ha rutine for sentral logginnsamling fra systemer som er i produksjon. NTNU skal ha rutine for monitorering av systemer og tjenester som er i produksjon. NTNU skal ha rutiner som ivaretar teknisk sårbarhetsstyring. NTNU skal ha endringsstyring på systemer og applikasjoner i produksjon. NTNU skal ha en rutine for sikkerhetskopiering. NTNU skal ha en rutine for kapasitetsstyring. NTNU skal ha en rutine for å sikre kapasitet og drift. Leder av Seksjon for digital sikkerhet kan pålegge krav utover dette for å ivareta sikkerheten basert på risiko og trusselvurderinger. 4.1 Krav til systemdokumentasjon og driftsprosedyrer Systemdokumentasjonen skal beskrive hvordan systemet eller tjenesten er implementert samt standard driftsrutiner og tilhørende brukerdokumentasjon der det er relevant. Følgende krav gjelder: Systemdokumentasjon for et system skal omfatte signifikante elementer systemet er bygget opp av, og avhengighetsforholdet mellom disse elementene. Systemdokumentasjonen skal jevnlig vedlikeholdes og oppdateres når det utføres endringer. Systemdokumentasjonen skal være av en slik kvalitet at man skal kunne gjenbygge systemet eller tjenesten samt benytte den til feilsøking ved hendelser.
Informasjon om system(er) med link til dokumentasjon skal til enhver tid være oppdatert i IT Service Portal. Systemdokumentasjon skal minimum inneholde: o systemnavn o systembeskrivelse o avhengigheter til andre systemer o funksjonalitet o brukergrupper o systemeier o forvaltes av o hvem som administrerer/drifter o hvem som er ansvarlig kontakt ved sikkerhetshendelser o hvem som er teknisk/operativ kontakt ved sikkerhetshendelser o klassifisering og gradering o nettverksadresser (faste IP-adresser / DNS) o implementerte sikkerhetstiltak o driftsrutiner o prosedyrer for kapasitetsplanlegging Dokumenterte driftsrutiner skal vedlegges systemdokumentasjon og skal minimum omfatte: o prosedyre for installasjon og konfigurasjon av systemer og tjenester o prosedyre for sikkerhetskopiering og gjenoppretting av data og system o prosedyre for program- og operativsystemoppdateringer o prosedyre for kapasitetsstyring o prosedyre for endringsstyring o prosedyre for konfigurasjonsendringer o prosedyre for monitorering og varsling av tjenestekvalitet o prosedyre for systemlogg o prosedyre for å varsle feil 4.2 Krav til brukerdokumentasjon For å sikre riktig og sikker bruk av tjenestene skal det finnes brukerdokumentasjon som minimum må inneholde: målgruppe funksjonalitet informasjon som kan behandles og/eller lagres i systemet (åpen, intern, fortrolig, strengt fortrolig) informasjon om sikker bruk krav til kompetanse brukers ansvar
bestilling og terminering hvis relevant hvordan personopplysninger behandles innsyn i informasjon som blir lagret om bruker brukerstøtte 4.3 Krav til adskilt utvikling, test og produksjonsmiljø Det stilles krav til at utvikling, test og produksjon skal foregå i separate løsninger. Følgende krav stilles som et minimum: Produksjonsdata som inneholder personopplysninger skal ikke overføres til utvikling eller test med mindre man har hjemmel for å gjøre dette. Sensitive data skal ikke overføres til utvikling uten at det er foretatt en risikovurdering. Autentiseringsmekanismer og brukere i test og utvikling skal være adskilt fra produksjon. Test og utvikling skal foregå i egne nettverkssoner separert fra produksjon. Om mulig bør test og utvikling adskilles fysisk fra produksjon. 4.4 Krav til endringsstyring (Change management) For å ivareta informasjonssikkerheten skal følgende krav til endringsstyring etterleves: NTNU skal ha endringsstyring på alle systemer i produksjon. NTNU bør ha endringsstyring på systemer i test og utvikling. NTNU skal ha rutine som beskriver overføring fra utvikling til test og fra test til produksjon. NTNU skal ha en rutine for endringsstyring av signifikante endringer på IKT-systemer. Denne rutinen skal minimum adressere og ivareta: o at endringer har en identifikator og registreres i ett sentralt system o at det forekommer en risiko- og konsekvensvurdering som dokumenterer effekt relatert til driftsstabiliteten og informasjonssikkerheten til NTNUs systemer og tjenester o at det er en formell prosess for å godkjenne/avvise endringer o at informasjonssikkerheten verifiseres o at endringen kommuniseres til relevante parter o at det er en plan for å tilbakestille endringen o at det er etablert en egen prosedyre for hasteendringer o at endringen har tiltenkt effekt verifiseres o at endringen skjer innenfor en definert tidsperiode o at endringen testes før den implementeres på produksjonssystemer o at ansvarsfordeling og beslutningsmyndighet i endringsrutinen er dokumentert o at monitorering av system og tjeneste er oppdatert o at systemdokumentasjon, driftsprosedyrer og brukerdokumentasjon blir oppdatert ved endringer
4.5 Krav til kapasitetsstyring (Capacity management) NTNU skal ha en rutine for kapasitetsstyring av IKT-infrastruktur som understøtter krav til tilgjengelighet og ytelse. Rutinen for kapasitetsstyring skal minimum omfatte: prosedyre for avvikling av system og tjeneste prosedyre for optimalisering og frigjøring av ressursbruk prosedyre for å rydde opp i og slette gammel data prosedyre for regelmessig vurdering og endring av kapasitet i forhold til krav til tilgjengelighet og ytelse prosedyre for å behovsprøve ressursforbruk, systemer og tjenester jevnlig og avvikle eller konsolidere systemer og tjenester som ikke lengre benyttes 4.6 Krav til beskyttelse mot skadevare NTNU skal implementere tiltak som detekterer, beskytter mot og støtter sentral håndtering av uønsket programvare og skadevare. Følgende krav gjelder: NTNU skal vurdere tiltak mot skadevare fortløpende basert på risiko og sårbarhetsvurderinger, samt trusselbildet mot NTNU. NTNU skal ha oppdatert og sentralt styrt sikkerhetsprogramvare på: o administrerte klienter o tjenere der brukere kan logge inn interaktivt (terminalservere og shell servere) o klienter og tjenere som benyttes til administrasjon av IKT-infrastrukturen o klienter og tjenere som benyttes til å aksessere fortrolig og strengt fortrolig informasjon o ansattes egne enheter dersom de benyttes til å aksessere NTNUs interne ressurser NTNU krever at enheter som kobler seg til nettverket har installert sikkerhetsoppdateringer og har oppdatert skadevarebeskyttelse der dette er hensiktsmessig. NTNU skal ha beskyttelse mot skadevare på systemer og tjenester i henhold til klassifisering. NTNU skal ha rutine for beskyttelse mot skadevare. Denne rutinen bør, men er ikke begrenset til å omfatte: o oppdatering av program- og maskinvare o installere sikkerhetsoppdateringer så fort som mulig o begrense administratorrettigheter til sluttbrukere o blokkere kjøring av ikke-autoriserte programmer o aktivere kodebeskyttelse mot ukjente sårbarheter o herde applikasjoner o benytte klientbrannmur o sikker oppstart og diskkryptering o installasjon av antivirus
o fjerne funksjonalitet og programvare som ikke benyttes 4.7 Krav til sikkerhetskopiering Det er krav til at det er etablert sikkerhetskopiering der dette er nødvendig for å ivareta informasjonssikkerheten. Følgende krav stilles: Det skal etableres sikkerhetskopiering basert på systemets klassifisering og eksterne eller interne krav til sikkerhetskopiering. Sikkerhetskopiering må sikres slik at det ikke lagres i samme rom eller i nærheten av systemet det tas sikkerhetskopiering av. Det skal være mulig å foreta kryptert sikkerhetskopiering dersom klassifisering tilsier dette. Løsningen for sikkerhetskopiering må støtte differensierte sikkerhetsnivå. Sikkerhetskopier skal ha tilgangskontroll som følger prinsipper og krav i retningslinje for tilgangskontroll. Tilgang til sikkerhetskopiert data skal loggføres. Sikkerhetskopiering skal fungerer hensiktsmessig og i henhold til driftsrutiner verifiseres regelmessig. Det skal regelmessig gjennomføres test av gjenoppretting i fra sikkerhetskopi. 4.8 Krav til logginnsamling og systemmonitorering (Event management) Effektiv og sikker drift av IKT-infrastruktur er avhengig av å vite status på systemer, tjenester og infrastrukturen som helhet for å kunne avdekke unormal aktivitet eller avvik i fra normal drift. NTNU skal ha et helhetlig system for både aktiv og passiv monitorering av IKT-infrastruktur, systemer og tjenester. Logg og monitorering (Event management) er basis for operativ sikkerhet og god tjenestekvalitet. Følgende krav stilles til logging på NTNU: NTNU skal ha en rutine for innsamling av log fra systemer og tjenester. Log skal analyseres sentralt for å kunne avdekke feil, tilgjengelighets- og sikkerhetshendelser. Innsamling, prosessering og lagring av system og applikasjonslogger skal gjøres på en egen sentral plattform. Denne plattformen skal: o ha egen fysisk maskinvare o ha streng tilgangskontroll med sporbarhet ved bruk av privilegert tilgang o være redundant og distribuert o støtte for flere roller og streng granulert tilgangskontroll o være fysisk plassert i NTNU sitt datasenter o kunne integreres med en monitoreringsplattform
Alle systemer og applikasjoner som er i produksjon skal logge til en sentralisert loggløsning i tillegg til å ha en lokal kopi av loggen i minst 7 dager. Logger som inneholder personopplysninger skal slettes eller anonymiseres innen 90 dager etter innsamling. Unntatt herfra er logger hvor leder av Seksjon for digital sikkerhet ser grunn til å oppbevare disse lengre med en hjemmel i gjeldende lovverk. Alle systemer som er i produksjon skal sørge for å ha korrekt tid og dato, og benytte nettverksbasert tidsserver. Systemer og applikasjoner i skyen skal logge til logg-plattform lokalt på NTNU. Alle systemer og applikasjoner i produksjon skal minimum loggføre: o bruker-id o systemaktiviteter o tidsstempel o system-id og hvis mulig lokasjon o vellykkede og feilet brukerinnloggingsforsøk o vellykkede og feilet ressurstilgangsforsøk o endring av systemkonfigurasjon o bruk av privilegert tilgang o bruk av system og administrasjonsverktøy o nettverkskommunikasjon o aktivering og deaktivering av sikkerhetsmekanismer Ved utvidet logging skal følgende også logges: o start og stopp av prosesser o prosess-id o fil-aksess Følgende krav stilles til monitorering i NTNU: NTNU skal ha sentral monitorering av systemer og applikasjoner som er i produksjon. Systemer som er i produksjon skal minimum monitorere: o ytelse og ressursforbruk (CPU, Disk, Båndbredde etc.) o status på tjenester av en slik kvalitet at det kan brukes til å beregne tjenestekvalitet Sentral monitoreringsplattform skal minimum: o være redundant og distribuert o kunne sende ut varsler/alarmer slik at hendelsen kan håndteres basert på alvorlighetsgrad o kunne støtte flere roller og sikkerhetsgrupper for granulert tilgangskontroll o kunne kjøre på egen uavhengig maskinvare o være fysisk plassert i NTNU sine datasenter o kunne integreres med logg-plattform
4.9 Krav til konfigurasjonsstyring (Configuration Management) Det er viktig at komponenter i tjenester og systemer er sentralt konfigurert og oppdatert. Følgende krav stilles: Konfigurasjonsstyringen skal baseres på ITILs rammeverk for konfigurasjonsstyring. Systemer og applikasjoner i produksjon skal styres via sentrale konfigurasjonsverktøy.. Avhending av IT-Utstyr skal følge Rutine for avhending av lagringsmedium. 4.10 Krav til teknisk sårbarhetsstyring For å kunne beskytte informasjon og IKT-infrastruktur så skal det et etablere en prosess for sårbarhetsstyring. Følgende krav stilles: NTNU skal ha en rutine for teknisk sårbarhetsmonitorering (Vulnerability monitoring). NTNU skal utføre risikovurdering av sårbarheter (Vulnerability risk assessment) og implementere nødvendige tiltak for å begrense risiko for negativ effekt på informasjonssikkerheten. NTNU skal ha rutiner for sikkerhetsoppdatering av operativsystemer, programvare og maskinvare. NTNU skal ha en rutine for teknisk sårbarhetskoordinering. NTNU skal ha en sentral database over systemer, maskinvare og programvare. Denne databasen skal minimum inneholde: o programvare med versjonsnummerering o operativsystem med versjonsnummerering o maskinvare med produsent, serienummer og fastvareversjon 5. Roller og ansvar 5.1 Leder av IT-avdelingen er ansvarlig for at kravene i «Retningslinje for operativ sikkerhet» blir implementert i virksomheten 5.2 Leder av HR- og HMS-avdelingen er ansvarlig for at ledere er kjent med, og har tilstrekkelig kompetanse, til å ivareta sitt ansvar i henhold til denne retningslinjen 5.3 Leder av Seksjon for digital sikkerhet er ansvarlig for at enheten har tilstrekkelig med kompetanse og verktøy for å ivareta kravene i «Retningslinje for operativ sikkerhet» er ansvarlig for systemer og rutiner for teknisk sårbarhetsstyring i virksomheten er ansvarlig for å opprette et sentralt loggsystem i virksomheten er ansvarlig for å tilby sentrale løsninger for skadevarebeskyttelse i virksomheten er ansvarlig for sentral sikkerhetsmonitorering og analyse
5.4 Leder av Seksjon for IT-drift er ansvarlig for at enheten har tilstrekkelig med kompetanse og verktøy for å ivareta kravene i «Retningslinje for operativ sikkerhet» er ansvarlig for å opprette sentral driftsmonitorering for virksomheten 5.5 Leder av Seksjon for IT-Brukerstøtte er ansvarlig for at enheten har tilstrekkelig med kompetanse og verktøy for å ivareta kravene i «Retningslinje for operativ sikkerhet» 5.6 Leder av Seksjon for IT-Forvaltning er ansvarlig for at systemer forvaltes i henhold til kravene i retningslinjene 5.7 Systemeier er ansvarlig for at systemer og tjenester leveres i henhold til kravene i retningslinjen