NTNU Norges teknisk-naturvitenskapelige Universitet 1 Innledning Dokumentet inneholder retningslinjer for behandling av brukernavn/passord og andre som benyttes ved NTNUs dataanlegg. Retningslinjene spesifiserer et minimumskrav til sikkerheten ved behandling av slike. 1.1 Mål Retningslinjene har som mål at sikkerheten ved lagring og bruk av tilfredsstiller krav stilt i NTNUs IT-reglement og andre sentrale bestemmelser. 1.2 Gyldighetsområde Retningslinjene gjelder for behandling av for bruk på NTNUs dataanlegg. Retningslinjene gjelder for alle brukere slik brukere er definert i NTNUs ITreglement. Retningslinjene gjelder for alle systemer, tjenester og applikasjoner eiet, leiet eller leaset av NTNU. Retningslinjene gjelder for alle systemer, tjenester og applikasjoner som knyttes til NTNUs nettverk eller som benyttes for å knytte seg til NTNUs nettverk. 1.3 Forhold til andre retningslinjer og policyer ved NTNU Dette dokumentet er et dokument i hierarkiet under NTNUs sentrale policyer for informasjonssikkerhet og. Dersom krav med grunnlag i NTNUs policy for Informasjonssikkerhet og andre sentrale policyer, reglement og retningslinjer er forskjellig fra kravene i dette dokumentet, gjelder de mest restriktive kravene. Lokale policyer og retningslinjer kan ikke spesifisere lavere sikkerhetskrav enn det som er satt opp i de sentrale dokumentene. 2 Definisjoner Bruker/NTNU-bruker Studenter, ansatte og andre som er registrert i NTNUs brukerdatabase. NTNU Utarbeidet av: Side Dato A.N 1 av 6 21.02.08 Rektor A.N. 21.02.08
A.N 2 av 6 21.02.08 Systemeier Ansvarlig for spesifikasjon av funksjons- og kvalitetskrav til utvikling og drift av systemet, og oftest for finansieringen av dette. Ansvarlig for støtteapparat Systemansvarlig/Systembruker IT-ansvarlig som er driftsansvarlig for plattform og applikasjon, eller som har tilgangsrettigheter til system på administratornivå NTNUs dataanlegg Se definisjon i NTNUs IT-reglement. CIO Chief Information Officer systemeier av IT-infrastruktur. 3 Behandling av passord og andre. Ansvaret for at ikke uvedkommende får tilgang til ligger både hos den enkelte bruker, hos de som er driftsansvarlig for systemer der lagres og behandles, og i alle ledd som deltar i autorisering og tildeling av brukerrettigheter til NTNUs dataanlegg og til det enkelte system. 3.1 Brukere. Brukere plikter å følge NTNUs IT-reglement med hensyn til bruk og oppbevaring av passord og eventuelle andre. Bestemmelser i dette dokumentet kommer i tillegg til bestemmelsene i IT-reglementet. Passord skal ikke lagres digitalt i ukryptert form. Sikkerheten ved kryptert lagring skal tilfredsstille sikkerheten for de systemer ene tilhører. Nedskrevne passord tillates dersom de oppbevares slik at uvedkommende ikke får tilgang til dem. Passord skal være sikret ved transport/forsendelse. Dette innebærer: o Passord skal ikke sendes i ukryptert e-post, åpne postforsendelser eller via faks der mottakers faksmaskin ikke er sikret mot uautorisert tilgang. Passord skal ikke publiseres via kilder med åpen tilgang. o Passord skal ikke sendes ubeskyttet/ukryptert over nettet. Brukere plikter å skifte passord 1 når: o De har brukt det samme passordet i mer enn 12 måneder o De har fått tilsendt eller utdelt nytt passord fra systemansvarlige eller datasystemer. o De har grunn til å tro at passordet er kjent av andre eller er kompromittert på annen måte. o De har fått beskjed om å skifte passord fra systemansvarlige eller autentiseringssystemer. 1 - så sant det er teknisk mulig å bytte passordet.
A.N 3 av 6 21.02.08 Passordet fra NTNUs sentrale brukerdatabase skal ikke brukes for eksterne eller interne systemer med lavere sikkerhetsnivå enn systemer som synkroniserer med den sentrale brukerdatabasen. Eksempler er datamaskiner med lav sikkerhet, kundesider for nettbutikker eller sider og systemer der en kan markere glemt passord og få tilsendt et nytt via e-post. 3.2 Fakultets og universitetsadministrasjonen Med dette forstås den personaladministrative tjenesten ved fakultet, sentralt ved universitetet, ved institutt eller annen gruppe som fører oversikt over ansatte og studenter og deres tilknytning til NTNU. Fakultets og universitetsadministrasjonen har: Ansvaret for å bestemme hvem som har rettighet til å rekvirere brukerkontoer i NTNUs sentrale brukerdatabase. Ansvaret for å sette opp lokale rutiner som sikrer at rett til brukerkonto kun gis til de som kan tildeles slik konto i følge NTNUs IT-reglement. Ansvar for at de nødvendige grunnlagsdata settes opp, vedlikeholdes og formidles til driftsansvarlige for basen. Med grunnlagsdata forstås nødvendige persondata, tilknytningsforhold til NTNU og eventuelle andre basisdata for basen. Ansvaret omfatter rutiner både ved nytilknytning 2, og ved endring eller avslutning av tilknytningsforhold. 3.3 Systemeiere Med systemeiere forstås den som eier, eller forvalter informasjon og informasjonssystem. Systemeieren er ansvarlig for spesifikasjon av funksjons- og kvalitetskrav til utvikling og drift. Systemeieren vil i mange tilfelle ikke være den samme som er ansvarlig for driften av systemet, eller for den IT-plattformen systemet kjøres på. Systemeier er ansvarlig for at det spesifiseres riktig sikkerhetsnivå for systemet, herunder autentiserings og autoriseringsmekanismer, og at dette blir revidert og holdt à jour. Dersom ikke kravene til sikkerhet er tilfredsstillende dekket av NTNUs overordnede sikkerhetsdokumenter, herunder dette dokumentet, er systemeier i dialog med IT-driftsansvarlige ansvarlig for at det blir satt opp tilleggskrav som tilfredsstiller kravene. Kravene spesifiseres i en SLA-avtale med driftsleverandøren. Systemeier er ansvarlig for at grunnlagsdata for brukernes tilgangsrettigheter til systemet vedlikeholdes og formidles til driftsansvarlige for autentiserings og autoriseringsmekanismene. 2 Nyansettelse av ansatte, og tilknytning for studenter og andre som skal ha tilgang til NTNUs datasystemer.
A.N 4 av 6 21.02.08 Systemeier skal ha rutiner for å informere brukere om krav til passordsikkerhet for sine system dersom de går ut over de kravene som er stilt i denne policyen. 3.4 Systemansvarlige/systembrukere/IT-driftsansvarlige Med Systemansvarlige/systembrukere/IT-driftsansvarlige forstås den eller de som er ansvarlige for drift av systemene eventuelt også av de underliggende IT-støttesystemene dersom de behandler eller er en del av autentiserings- og autoriseringssystemene Skal sørge for at det finnes sikre rutiner og sikre mekanismer for tildeling av og utskifting av passord. Dette omfatter både de administrative rutinene og selve utstedelsen og overleveringen av passordet. Har ansvar for at det finnes og anvendes systemer som o tilfredsstiller kravene til rutinemessig utskifting av passord o implementerer sperring av passord/brukerkontoer ved behov. Har ansvar for oppdatering og vedlikehold av o Periodisk oppdatering av brukerdatabasen ut fra grunnlagsdata gitt av universitets/fakultetsadministrasjonen. o Løpende oppdatering av autorisasjonsdata for applikasjoner og systemer ut fra data gitt av systemeiere. Ansvar for at de lokalt driftede systemer og applikasjoner overholder de krav som stilles i dette dokumentet og eventuelle tilleggskrav stilt av systemeier. Skal informere brukere om lokale forhold og bestemmelser som angår brukernes behandling av o Informere om system med høyere krav til sikkerhet for autentiseringssystemer enn det som er spesifisert i dette dokumentet. o Legge til rette for bruk av spesielle autentiseringsmekanismer dersom systemets sikkerhetskrav krever dette. Implementasjon av en rotpassordspolicy eller andre autentiseringsmekanismer som gir tilstrekkelig sikkerhet mot uautorisert tilgang til systemene via administratorinnlogging. 3.5 Applikasjoner, driftssystemer Ved anskaffelse og utvikling av applikasjoner og systemer der brukere logger inn som NTNU-bruker skal det velges systemer som benytter NTNUs sentrale autentiseringsmekanismer. Dersom dette ikke er mulig må systemet være godkjent av CIO for bruk i NTNUs datasystemer.
A.N 5 av 6 21.02.08 Dersom det opprettes lokale baser som synkroniseres mot hele eller deler av den sentrale brukerdatabasen gjelder følgende: o Det skal bare benyttes de synkroniseringsmekanismer som tilbys av den sentrale IT driftsorganisasjonen. o Sikkerhetsnivået og sikkerhetssystemene for de lokale basene skal være godkjent av systemeier for den sentrale brukerdatabase. Systemeier er den sentrale IT-driftsorganisasjonen ved ITsjef. o Den sentrale IT-driftsorganisasjon skal godkjenne hvilke utvalg/grupper av brukere som eksporteres fra den sentrale brukerdatabasen. o Lokale baser skal ikke videreeksporteres. o Passord skal ikke eksporteres til klientmaskiner. Kontroll av passord skal skje ved mekanismer i, eller i tilknytning til den lokale basen. Klientmaskiner som ikke støtter dette må ha lokal/separat autentiseringsmekanisme uten synkronisering med sentrale eller lokale baser med de begrensningene som da blir gjeldende. o Systemeier IT-sjef kan spesifisere raskere utskifting av passord for brukere hvis er eksportert til lokale autentiseringsservere. For servere og andre systemer som lagrer, behandler eller formidler gjelder: o Sikkerhet mot uautorisert tilgang via rotinnlogging skal være tilstrekkelig ivaretatt ved policy for rotpassord, annen systemsikkerhet og fysisk sikring. o Administratortilgang til systemene som lagrer eller behandler, eller lesetilgang til skal kreve autentisering ut over standard NTNU-brukerinnlogging, f.eks tofaseinnlogging eller kodekort. For systemer med lokal/separat autentiseringsmekanisme uten synkronisering med den sentrale eller en lokal brukerdatabasen gjelder reglene i punkt 3.6 Frittstående system, system ikke eid av NTNU. 3.6 Frittstående system, system ikke eid av NTNU. For system som er eid av andre og som i lengre eller kortere tid kobles til NTNUs dataanlegg gjelder: Alle brukerkonti på systemet skal være beskyttet av passord. Bestemmelsene i NTNUs IT-reglement for passord skal følges for lokale brukere. Lokale brukerkontoer med administratorrettigheter kan ikke ha aktivisert husk passord eller andre mekanismer som kan tillate oppstart uten inntasting av passord.
A.N 6 av 6 21.02.08 4 Ansvarlig for dokumentet Ansvarlig for dokumentet er NTNUs Rektor. Ansvaret for oppfølging og rutinemessig vedlikehold av retningslinjene er tillagt NTNUs sentrale sansvarlige. 5 Revisjoner og endringer Revisjon av dokumentet inngår i den rutinemessige revisjonen av de sentrale rutiner og retningslinjer for Informasjonssikkerhet. Ved behov oppdateres dokumentet fortløpende. Dokumentet og en kommentarutgave er tilgjengelig på NTNUs sider for Informasjonssikkerhet. Melding om revisjoner og endringer legges ut på samme sted. Endringer i dokumentet skal godkjennes av NTNUs Rektor. 6 Referanser, lenker 6.1 NTNUs IT-reglement https://sikkerhet.ntnu.no/itsikkerhet/itreglement.html 6.2 NTNUs policy for Informasjonssikkerhet https://sikkerhet.ntnu.no/doc/infosikkerhetspolicy.pdf 6.3 NTNUs websider for Informasjonssikkerhet https://sikkerhet.ntnu.no/infosikkerhet.html