autentiseringsdata 1.3 Forhold til andre retningslinjer og policyer ved NTNU

Like dokumenter
Instruks for utlevering av elektronisk lagret materiale til politi eller påtalemyndighet

1 av 5. Personalavdelingen

Rutiner for gjennomføring av innsyn i brukeres e-post og annet elektronisk lagret materiale.

tilgjengelige søkeverktøy

ROLLER OG ANSVAR for behandling av personopplysninger ved NTNU. Følgende har ansvar for at NTNU behandler personopplysninger på en forsvarlig måte

IT-Reglement for Telemark fylkeskommune (TFK) 1 Reglementets virkeområde

*Sikkerhetsbehov: K: Konfidensialitet, T: Tilgjengelighet, I: Integritet **Tiltak kan være både organisatoriske og tekniske.

Veileder for bruk av tynne klienter

IT-REGLEMENT FOR TILSATTE / ENGASJERTE VED KUNSTHØGSKOLEN

NTNU Retningslinje for tilgangskontroll

Innføring av 2-faktor autentisering ved pålogging - for kunder som benytter Evolution -

Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON

Sikkerhetskrav for systemer

Felles datanett for kommunene Inderøy, Verran og Steinkjer

Sikkerhetskrav for systemer

Helgelandssykehuset HF 2015 v0.2. Sikkerhetsrevisjon iflg. faktaark nr. 6 fra Norm for informasjonssikkerhet

Risikovurdering av cxstafettloggen

Laget av Dato Orginal plassering fil. Johnny Andre Sunnarvik. Nov 2016

Sikkerhetskrav for systemer

eforvaltningsforskriften 14 og 20, personvernforordningen artikkel 24, 32

Enhet for Intern Revisjon REVISJONSRAPPORT. IT-tilgangsstyring

Kjemikaliedeklarering til produktregisteret Elektronisk deklarering

Videokonsultasjon - sjekkliste

Hva betyr «Just-in-time» privileger for driftspersonalet?

IKT-reglement for Norges musikkhøgskole

Office365 -innføring i utvalgte programmer

Oppkobling mot trådløst internett for studenter og ansatte som bruker egen datamaskin eller benytter MAC/smarttelefon/nettbrett. (Gruppe B): Innhold

I tillegg til disse gjelder også kommunale regler for bruk av IKT-utstyr.

SIKKERHETSINSTRUKS - Informasjonssikkerhet

Sikkerhet og tilgangskontroll i RDBMS-er

N O T A T. NTNU O-sak 5/00 Norges teknisk-naturvitenskapelige universitet TS Arkiv:

Introduksjonskurs for bachelorstudenter. IT-tjenester ved UiO. Simon Wolff

System Dokumentasjon. Team2. Høgskolen i Sørøst-Norge Fakultet for teknologi, naturvitenskap og maritime fag Institutt for elektro, IT og kybernetikk

DOKUMENTASJON E-post oppsett

NTNU Retningslinje for fysisk sikring av IKTinfrastruktur

Riksrevisjonens erfaringer fra sikkerhetsrevisjoner

Politiske møtedokument

BRUKERVEILEDNING FOR NETTBUTIKK. Innlandskortet

OBC FileCloud vs. Dropbox

1.4 Det skal leveres en beskrivelse av eierskapsmodell for registrerte data og fordeling av ansvar for behandling og vedlikehold av disse.

VEILEDER GDPR PERSONVERN. DEL 2 - personopplysninger utover ansatteforhold

SØNDRE INNHERRED REVISJONSDISTRIKT IT-REVISJON LEVANGER KOMMUNE RAPPORT NR. 1.1/2003 FORVALTNINGSREVISJON

Sikkerhetsmål og -strategi

VEDLEGG 7 SIKKERHET 1. KRAV TIL SIKRING AV DATAFILER VED OVERFØRING TIL/FRA BANKEN

Windows 10. Policy for administratorrettigheter, status på utrulling og litt om nytt lisensregime fra Microsoft

LAB-IT-PROSJEKTET - TEKNISKE LØSNINGER IT-FORUM 2017

Brukerveiledning for den elektroniske valgløsningen

SIKKERHETSHÅNDBOK. Sikkerhetshåndbok. System for ivaretakelse av informasjonssikkerheten ved. Regional forskningsbiobank Midt-Norge.

EN PRAKTISK INNFØRING I KRYPTERT E-POST FRA UDI

INNHERRED SAMKOMMUNE LEVANGER KOMMUNE VERDAL KOMMUNE

IT-reglement Aurskog-Høland kommune for ansatte og politikere

Brukerveiledning. For administrering av nettressursen BRUKERVEILEDNING ADMINISTRATOR

GDPR. General Data Protection Regulation Personvernforordningen, erstatning for personopplysningsloven - fra 2018

Sikkerhet ved PC-basert eksamen

IT-reglement for Universitetet i Stavanger

Brukermanual. Quality PayBack Starter Edition

Vi sender derfor ut litt informasjon om de grepene man må gjøre for å kunne publisere eller håndtere bestillinger fra Arkivportalen.

Datasikkerhet internt på sykehuset

Tom Bjærum Løsningssalg Software. AD og SharePoint administrasjon

IKT- reglement for elever ved Toppidrettsgymnaset i Telemark

REGLEMENT FOR BRUK AV IT-INFRASTRUKTUR

Eksempel: Rutine for utstedelse av sterk autentisering gjennom Feide

Honda Maris Pay & Go. Personvernerklæring og policy for informasjonskapsler

«Plattformprosjekt skole» - pedagogisk nett

Målet er å bevisstgjøre om viktige prinsipper og tiltak for ledere i «Virksomheten».

Avito Bridging the gap

Reglement for bruk av Hedmark fylkeskommunes IT-løsninger (IT-reglement)

God IT-skikk. - Informasjonssikkerhet i Norsvin -

Tekniske krav til portal med publiseringsløsning (fase 1)

Sikkerhet ved outsourcing. Espen Grøndahl IT-sikkerhetssjef UiO

Høringsnotat forskrift om Nasjonal vitnemåls- og karakterportal

NTNU Retningslinje for klassifisering av informasjon

Politikk for informasjonssikkerhet

Regler og informasjon til foresatte om bruk av datautstyr for trinn

GENERELL BRUKERVEILEDNING WEBLINE

Her kan du lese om forskjellige tilgangsområder, passord, utlogging og tilslutt en gjennomgang av hvordan man håndterer skrivere.

1 Våre tiltak. Norsk Interaktivs arbeid med personvern

FOR nr 988: Forskrift om elektronisk kommunikasjon med og i forvaltnin...

Dersom du har noen spørsmål eller kommentarer, ikke nøl med å kontakte oss ved «Kontakt».

IKT-reglement for NMBU

OKOK DataPower Learning AS Administrasjon 1

ABONNENTAVTALENS HOVEDDEL (DEL 1 AV 4)

Sikkerhetshåndbok for Utdanningsetaten. kortversjon

Visma CRM Nyheter og forbedringer Side 1

Møteinnkalling. Administrasjonsutvalget. Utvalg: Inderøy Rådhus, møterom: Skarnsundet. Dato: Tidspunkt: 09:00

TRÅDLØS TILKOBLING PÅ KHIO

Instruks. Informasjonssikkerhet og personvern Instruks for bruk av kommunens IKT-løsninger. Gjelder for: Alle ansatte. Vedtatt av: Rådmannen

Teori om sikkerhetsteknologier

Multi-Faktor Autentisering. Brukerveiledning

Masterplan IT digitaliseringsstrategi

UA Tjenestebeskrivelse NTNU e-rom

Nettvett i STFK. Retningslinjer og etiske regler. for bruk av datanett i STFK RETNINGSLINJE FOR INFORMASJONSSIKKERHET. Versjon 1.0.

Requirements & Design Document

Guide: Hvordan opprette brukerkonto på Min Side

2.13 Sikkerhet ved anskaffelse

Integrasjon mot Active Directory i EK 2.37

Team2 Requirements & Design Document Værsystem

Personvernerklæring for MOOC

Uansett hvilken håndbok du benytter vil fremgangsmåten være den samme. I denne veiledningen benytter vi personalhåndboken som eksempel.

Personvernerklæring for OJS

Transkript:

NTNU Norges teknisk-naturvitenskapelige Universitet 1 Innledning Dokumentet inneholder retningslinjer for behandling av brukernavn/passord og andre som benyttes ved NTNUs dataanlegg. Retningslinjene spesifiserer et minimumskrav til sikkerheten ved behandling av slike. 1.1 Mål Retningslinjene har som mål at sikkerheten ved lagring og bruk av tilfredsstiller krav stilt i NTNUs IT-reglement og andre sentrale bestemmelser. 1.2 Gyldighetsområde Retningslinjene gjelder for behandling av for bruk på NTNUs dataanlegg. Retningslinjene gjelder for alle brukere slik brukere er definert i NTNUs ITreglement. Retningslinjene gjelder for alle systemer, tjenester og applikasjoner eiet, leiet eller leaset av NTNU. Retningslinjene gjelder for alle systemer, tjenester og applikasjoner som knyttes til NTNUs nettverk eller som benyttes for å knytte seg til NTNUs nettverk. 1.3 Forhold til andre retningslinjer og policyer ved NTNU Dette dokumentet er et dokument i hierarkiet under NTNUs sentrale policyer for informasjonssikkerhet og. Dersom krav med grunnlag i NTNUs policy for Informasjonssikkerhet og andre sentrale policyer, reglement og retningslinjer er forskjellig fra kravene i dette dokumentet, gjelder de mest restriktive kravene. Lokale policyer og retningslinjer kan ikke spesifisere lavere sikkerhetskrav enn det som er satt opp i de sentrale dokumentene. 2 Definisjoner Bruker/NTNU-bruker Studenter, ansatte og andre som er registrert i NTNUs brukerdatabase. NTNU Utarbeidet av: Side Dato A.N 1 av 6 21.02.08 Rektor A.N. 21.02.08

A.N 2 av 6 21.02.08 Systemeier Ansvarlig for spesifikasjon av funksjons- og kvalitetskrav til utvikling og drift av systemet, og oftest for finansieringen av dette. Ansvarlig for støtteapparat Systemansvarlig/Systembruker IT-ansvarlig som er driftsansvarlig for plattform og applikasjon, eller som har tilgangsrettigheter til system på administratornivå NTNUs dataanlegg Se definisjon i NTNUs IT-reglement. CIO Chief Information Officer systemeier av IT-infrastruktur. 3 Behandling av passord og andre. Ansvaret for at ikke uvedkommende får tilgang til ligger både hos den enkelte bruker, hos de som er driftsansvarlig for systemer der lagres og behandles, og i alle ledd som deltar i autorisering og tildeling av brukerrettigheter til NTNUs dataanlegg og til det enkelte system. 3.1 Brukere. Brukere plikter å følge NTNUs IT-reglement med hensyn til bruk og oppbevaring av passord og eventuelle andre. Bestemmelser i dette dokumentet kommer i tillegg til bestemmelsene i IT-reglementet. Passord skal ikke lagres digitalt i ukryptert form. Sikkerheten ved kryptert lagring skal tilfredsstille sikkerheten for de systemer ene tilhører. Nedskrevne passord tillates dersom de oppbevares slik at uvedkommende ikke får tilgang til dem. Passord skal være sikret ved transport/forsendelse. Dette innebærer: o Passord skal ikke sendes i ukryptert e-post, åpne postforsendelser eller via faks der mottakers faksmaskin ikke er sikret mot uautorisert tilgang. Passord skal ikke publiseres via kilder med åpen tilgang. o Passord skal ikke sendes ubeskyttet/ukryptert over nettet. Brukere plikter å skifte passord 1 når: o De har brukt det samme passordet i mer enn 12 måneder o De har fått tilsendt eller utdelt nytt passord fra systemansvarlige eller datasystemer. o De har grunn til å tro at passordet er kjent av andre eller er kompromittert på annen måte. o De har fått beskjed om å skifte passord fra systemansvarlige eller autentiseringssystemer. 1 - så sant det er teknisk mulig å bytte passordet.

A.N 3 av 6 21.02.08 Passordet fra NTNUs sentrale brukerdatabase skal ikke brukes for eksterne eller interne systemer med lavere sikkerhetsnivå enn systemer som synkroniserer med den sentrale brukerdatabasen. Eksempler er datamaskiner med lav sikkerhet, kundesider for nettbutikker eller sider og systemer der en kan markere glemt passord og få tilsendt et nytt via e-post. 3.2 Fakultets og universitetsadministrasjonen Med dette forstås den personaladministrative tjenesten ved fakultet, sentralt ved universitetet, ved institutt eller annen gruppe som fører oversikt over ansatte og studenter og deres tilknytning til NTNU. Fakultets og universitetsadministrasjonen har: Ansvaret for å bestemme hvem som har rettighet til å rekvirere brukerkontoer i NTNUs sentrale brukerdatabase. Ansvaret for å sette opp lokale rutiner som sikrer at rett til brukerkonto kun gis til de som kan tildeles slik konto i følge NTNUs IT-reglement. Ansvar for at de nødvendige grunnlagsdata settes opp, vedlikeholdes og formidles til driftsansvarlige for basen. Med grunnlagsdata forstås nødvendige persondata, tilknytningsforhold til NTNU og eventuelle andre basisdata for basen. Ansvaret omfatter rutiner både ved nytilknytning 2, og ved endring eller avslutning av tilknytningsforhold. 3.3 Systemeiere Med systemeiere forstås den som eier, eller forvalter informasjon og informasjonssystem. Systemeieren er ansvarlig for spesifikasjon av funksjons- og kvalitetskrav til utvikling og drift. Systemeieren vil i mange tilfelle ikke være den samme som er ansvarlig for driften av systemet, eller for den IT-plattformen systemet kjøres på. Systemeier er ansvarlig for at det spesifiseres riktig sikkerhetsnivå for systemet, herunder autentiserings og autoriseringsmekanismer, og at dette blir revidert og holdt à jour. Dersom ikke kravene til sikkerhet er tilfredsstillende dekket av NTNUs overordnede sikkerhetsdokumenter, herunder dette dokumentet, er systemeier i dialog med IT-driftsansvarlige ansvarlig for at det blir satt opp tilleggskrav som tilfredsstiller kravene. Kravene spesifiseres i en SLA-avtale med driftsleverandøren. Systemeier er ansvarlig for at grunnlagsdata for brukernes tilgangsrettigheter til systemet vedlikeholdes og formidles til driftsansvarlige for autentiserings og autoriseringsmekanismene. 2 Nyansettelse av ansatte, og tilknytning for studenter og andre som skal ha tilgang til NTNUs datasystemer.

A.N 4 av 6 21.02.08 Systemeier skal ha rutiner for å informere brukere om krav til passordsikkerhet for sine system dersom de går ut over de kravene som er stilt i denne policyen. 3.4 Systemansvarlige/systembrukere/IT-driftsansvarlige Med Systemansvarlige/systembrukere/IT-driftsansvarlige forstås den eller de som er ansvarlige for drift av systemene eventuelt også av de underliggende IT-støttesystemene dersom de behandler eller er en del av autentiserings- og autoriseringssystemene Skal sørge for at det finnes sikre rutiner og sikre mekanismer for tildeling av og utskifting av passord. Dette omfatter både de administrative rutinene og selve utstedelsen og overleveringen av passordet. Har ansvar for at det finnes og anvendes systemer som o tilfredsstiller kravene til rutinemessig utskifting av passord o implementerer sperring av passord/brukerkontoer ved behov. Har ansvar for oppdatering og vedlikehold av o Periodisk oppdatering av brukerdatabasen ut fra grunnlagsdata gitt av universitets/fakultetsadministrasjonen. o Løpende oppdatering av autorisasjonsdata for applikasjoner og systemer ut fra data gitt av systemeiere. Ansvar for at de lokalt driftede systemer og applikasjoner overholder de krav som stilles i dette dokumentet og eventuelle tilleggskrav stilt av systemeier. Skal informere brukere om lokale forhold og bestemmelser som angår brukernes behandling av o Informere om system med høyere krav til sikkerhet for autentiseringssystemer enn det som er spesifisert i dette dokumentet. o Legge til rette for bruk av spesielle autentiseringsmekanismer dersom systemets sikkerhetskrav krever dette. Implementasjon av en rotpassordspolicy eller andre autentiseringsmekanismer som gir tilstrekkelig sikkerhet mot uautorisert tilgang til systemene via administratorinnlogging. 3.5 Applikasjoner, driftssystemer Ved anskaffelse og utvikling av applikasjoner og systemer der brukere logger inn som NTNU-bruker skal det velges systemer som benytter NTNUs sentrale autentiseringsmekanismer. Dersom dette ikke er mulig må systemet være godkjent av CIO for bruk i NTNUs datasystemer.

A.N 5 av 6 21.02.08 Dersom det opprettes lokale baser som synkroniseres mot hele eller deler av den sentrale brukerdatabasen gjelder følgende: o Det skal bare benyttes de synkroniseringsmekanismer som tilbys av den sentrale IT driftsorganisasjonen. o Sikkerhetsnivået og sikkerhetssystemene for de lokale basene skal være godkjent av systemeier for den sentrale brukerdatabase. Systemeier er den sentrale IT-driftsorganisasjonen ved ITsjef. o Den sentrale IT-driftsorganisasjon skal godkjenne hvilke utvalg/grupper av brukere som eksporteres fra den sentrale brukerdatabasen. o Lokale baser skal ikke videreeksporteres. o Passord skal ikke eksporteres til klientmaskiner. Kontroll av passord skal skje ved mekanismer i, eller i tilknytning til den lokale basen. Klientmaskiner som ikke støtter dette må ha lokal/separat autentiseringsmekanisme uten synkronisering med sentrale eller lokale baser med de begrensningene som da blir gjeldende. o Systemeier IT-sjef kan spesifisere raskere utskifting av passord for brukere hvis er eksportert til lokale autentiseringsservere. For servere og andre systemer som lagrer, behandler eller formidler gjelder: o Sikkerhet mot uautorisert tilgang via rotinnlogging skal være tilstrekkelig ivaretatt ved policy for rotpassord, annen systemsikkerhet og fysisk sikring. o Administratortilgang til systemene som lagrer eller behandler, eller lesetilgang til skal kreve autentisering ut over standard NTNU-brukerinnlogging, f.eks tofaseinnlogging eller kodekort. For systemer med lokal/separat autentiseringsmekanisme uten synkronisering med den sentrale eller en lokal brukerdatabasen gjelder reglene i punkt 3.6 Frittstående system, system ikke eid av NTNU. 3.6 Frittstående system, system ikke eid av NTNU. For system som er eid av andre og som i lengre eller kortere tid kobles til NTNUs dataanlegg gjelder: Alle brukerkonti på systemet skal være beskyttet av passord. Bestemmelsene i NTNUs IT-reglement for passord skal følges for lokale brukere. Lokale brukerkontoer med administratorrettigheter kan ikke ha aktivisert husk passord eller andre mekanismer som kan tillate oppstart uten inntasting av passord.

A.N 6 av 6 21.02.08 4 Ansvarlig for dokumentet Ansvarlig for dokumentet er NTNUs Rektor. Ansvaret for oppfølging og rutinemessig vedlikehold av retningslinjene er tillagt NTNUs sentrale sansvarlige. 5 Revisjoner og endringer Revisjon av dokumentet inngår i den rutinemessige revisjonen av de sentrale rutiner og retningslinjer for Informasjonssikkerhet. Ved behov oppdateres dokumentet fortløpende. Dokumentet og en kommentarutgave er tilgjengelig på NTNUs sider for Informasjonssikkerhet. Melding om revisjoner og endringer legges ut på samme sted. Endringer i dokumentet skal godkjennes av NTNUs Rektor. 6 Referanser, lenker 6.1 NTNUs IT-reglement https://sikkerhet.ntnu.no/itsikkerhet/itreglement.html 6.2 NTNUs policy for Informasjonssikkerhet https://sikkerhet.ntnu.no/doc/infosikkerhetspolicy.pdf 6.3 NTNUs websider for Informasjonssikkerhet https://sikkerhet.ntnu.no/infosikkerhet.html

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding