Informasjonssikkerhet ved Universitetet i Tromsø Fastsatt av universitetsdirektøren 01.09.2011



Like dokumenter
Retningslinjer for bruk av Universitetets IT-ressurser

IKT-reglement for NMBU

IT-reglement Aurskog-Høland kommune for ansatte og politikere

IKT-reglement for Norges musikkhøgskole

Informasjonssikkerhet Retningslinjer for behandling av personopplysninger og annen informasjon underlagt taushetsplikt

Reglement for bruk av Hedmark fylkeskommunes IT-løsninger (IT-reglement)

Internkontroll og informasjonssikkerhet lover og standarder

Innledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten

ROLLER OG ANSVAR for behandling av personopplysninger ved NTNU. Følgende har ansvar for at NTNU behandler personopplysninger på en forsvarlig måte

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001

eforvaltningsforskriften 14 og 20, personvernforordningen artikkel 24, 32

Retningslinjer for bruk av informasjonssystemer i Oppland fylkeskommune

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget /11

Kommunens Internkontroll

IT-Reglement for Telemark fylkeskommune (TFK) 1 Reglementets virkeområde

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:

AVTALE OM BEHANDLING AV HELSE- OG PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) I FORBINDELSE MED DRIFT AV HELSENETTET OG TILKNYTTEDE TJENESTER

GDPR. General Data Protection Regulation Personvernforordningen, erstatning for personopplysningsloven - fra 2018

SIKKERHETSINSTRUKS - Informasjonssikkerhet

Arbeids- og velferdsetaten Vedlegg [sett inn vedlegg] Databehandleravtale Kontraktsnummer: [sett inn kontraktsnummer] Side 1 av 6

Felles datanett for kommunene Inderøy, Verran og Steinkjer

Spesielt om personvern og krav til sikring av personopplysninger. Dag Wiese Schartum

Avtale om behandling av personopplysninger (databehandleravtale) i forbindelse med <navn på tjeneste> (heretter omtalt som «avtalen»)

AVTALE OM HÅNDTERING OG BESKYTTELSE AV KRAFTSENSITIV INFORMASJON. [Virksomhetens navn] [Virksomhetens navn]

Informasjonssikkerhet i Nord-Trøndelag fylkeskommune

Databehandleravtale for NLF-medlemmer

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale

Felles studentsystem leverer elektronisk studentopplysninger til følgende interne systemer: Lånekort til Universitetsbiblioteket

Reglement for brukere av IKT-ressurser ved UiT Norges arktiske universitet

Vedtatt av: Byrådet Vedtatt: Erstatter: Saksnr: Brv 1316/02

Mandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011

RUTINE FOR INFORMASJONSSIKKERHET FOR PERSONOPPLYSNINGER I BRIS. Innhold. Rutine for informasjonssikkerhet for personopplysninger i BRIS

Behandling av personopplysninger. DIGITAL ARENA BARNEHAGE 2018 Tone Tenold

SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing. Informasjonssikkerhet og personvern Renate Thoreid

AVTALE OM BEHANDLING AV PERSONOPPLYSNINGER (DATABEHANDLERAVTALE)

Personvernerklæring for EVUweb - søkere

Databehandleravtale. Denne avtalen er inngått mellom

Personvern og informasjonssikkerhet

Behandlingsansvarlig Virksomheter som bestiller opplæring i forbindelse med Nasjonal sikkerhetsmåned

Forvaltningsrevisjon IKT sikkerhet og drift 2017

VEILEDER GDPR PERSONVERN. DEL 2 - personopplysninger utover ansatteforhold

Sikkerhetsmål og -strategi

*Sikkerhetsbehov: K: Konfidensialitet, T: Tilgjengelighet, I: Integritet **Tiltak kan være både organisatoriske og tekniske.

REGLEMENT FOR BRUK AV IT-INFRASTRUKTUR

Rutiner for gjennomføring av innsyn i brukeres e-post og annet elektronisk lagret materiale.

Overordnet IT beredskapsplan

Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON

Lagring av forskningsdata i Tjeneste for Sensitive Data

Databehandleravtale Pilot Digitalt Bortsettingsarkiv

Personvernerklæring for Søknadsweb

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

Helseforskningsrett med fokus på personvern

Personvernerklæring. Del 1. Personvern og datasikkerhet i Det frivillige Skyttervesen (DFS) Det frivillige Skyttervesen

GDPR - Personvern

ADDSECURES BEHANDLING AV PERSONOPPLYSNINGER

Målet er å bevisstgjøre om viktige prinsipper og tiltak for ledere i «Virksomheten».

3.1 Prosedyremal. Omfang

VEILEDER GDPR PERSONVERN DEL 1 ANSATTE OG TILLITSVALGTE

Databehandleravtale. I henhold til gjeldende norsk personopplysningslovgivning og EUs Personvernforordning 2016/679 inngås følgende avtale.

Sikkerhetskrav for systemer

RETNINGSLINJER FOR ANSATTES BRUK AV IKT-TJENESTER I NORMISJON

Databehandleravtale. Databehandleravtalens hensikt. Behandlingsansvarliges rolle. Databehandlers rolle

Personvernerklæring for Søknadsweb

Databehandleravtale I henhold til ny personvernlov, jf. personvernforordningen art. 28 nr. 3, inngås databehandleravtale mellom Kunden

Sporveien AS standardvilkår for Databehandleravtaler Versjon Vedlegg 1 til Databehandleravtale mellom Sporveien AS og Databehandler

Databehandleravtale. I henhold til helseregisterlovens 16, jf. 18 og personopplysningsforskriftens kapittel 2. mellom. Bærum kommune, Pleie- og omsorg

Personvernerklæring. 3) være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for («dataminimering»)

Personvernerklæring for EVUweb - søkere

Sikkerhetsmål og sikkerhetsstrategi Internkontrollinstruks for Frischsenteret

IT-REGLEMENT FOR TILSATTE / ENGASJERTE VED KUNSTHØGSKOLEN

RETNINGSLINJE for klassifisering av informasjon

Prosedyre for personvern

DATABEHANDLERAVTALE. mellom. [Skjåk Kommune] (heretter kalt "Behandlingsansvarlig") Mattilsynet. (heretter kalt "Databehandler")

Datasikkerhet internt på sykehuset

Policy for personvern

Risikoanalysemetodikk

Prosedyre for skjerming av informasjon

Vedlegg 8 Databehandleravtalen. Bussanbud Stor-Trondheim

E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)

Databehandleravtaler

Avtale mellom. om elektronisk utveksling av opplysninger

Databehandleravtale etter personopplysningsloven

PRAKTISK ARBEID MED RUTINER. Normkonferansen Scandic Ørnen, 15. oktober 2015

Strategi for Informasjonssikkerhet

Personvernerklæring for Søknadsweb

Motiv: Oslofjorden Foto: Vann- og avløpsetaten. Informasjon om sikkerhetsgraderte anskaffelser

heretter kalt Operatøren.

Personopplysninger og opplæring i kriminalomsorgen

Personvernerklæring for Studentweb

Personvern - sjekkliste for databehandleravtale

Instruks for utlevering av elektronisk lagret materiale til politi eller påtalemyndighet

Risikovurdering. Utgitt med støtte av: Støttedokument Faktaark nr 7 Versjon: 3.0 Dato:

Personvernerklæring for Kong Arthur Admin (KA Admin)

Rollen som databehandler innebærer at vi behandler opplysninger på oppdrag fra den ansvarlige virksomheten (itfag.no).

Konkurranse om minibusstjenester. Vedlegg 8. Databehandleravtale

HVEM ER JEG OG HVOR «BOR» JEG?

Risiko- og sårbarhetsanalyse i forbindelse med bruker med begrenset tilgang for inn- og utregistrering

Eksempel på datadisiplininstruks

Avviksbehandling. håndtering av avvik. Virksomhetens leder/ledelse Forskningsansvarlig Prosjektleder forskning Sikkerhetsleder

Mellom. (heretter kalt Behandlingsansvarlig) Orgnr: ØkonomiBistand AS (heretter kalt Databehandler) Orgnr:

Transkript:

Informasjonssikkerhet ved Universitetet i Tromsø Fastsatt av universitetsdirektøren 01.09.2011 1

Innholdsfortegnelse Forord... 3 1 Sikkerhetsmål og sikkerhetsstrategi... 4 1.1 Sikkerhetsmål... 4 1.2 Sikkerhetsstrategi... 5 2 Sikkerhetsarbeidet... 7 2.1 Ansvar og roller mellom universitetet og brukerne... 7 2.1.1 Erklæring om kjennskap til sikkerhetsregelverket... 7 2.1.2 Privat bruk av universitetets IT-ressurser... 7 2.1.3 Innsyn i universitetstilsattes e-postkasse m.v.... 7 2.1.4 Brukerkontrakt... 8 2.1.5 Brukeropplæring... 8 2.2 Håndtering av sikkerhetshendelser og svakheter i sikkerheten... 8 2.2.1 Rapportering av sikkerhetshendelser og svakhet i sikkerheten... 8 2.2.2 Disiplinære reaksjoner... 9 2.3 Årlig revisjon... 9 3 Personopplysninger og personvern... 9 3.1. Behandlingsansvarlig... 9 3.2 Personvernombud... 10 4 Informasjonsaktiva... 10 5 Fysisk sikring... 10 6 Kommunikasjon og driftsadministrasjon... 10 6.1 Nettverk... 10 6.2 Serverdrift, fillagring og backup... 11 6.3 Administrative systemer... 11 7 Tilgangskontroll... 11 7.1 Brukeradministrasjon... 11 7.1.1 Administrasjon av brukerpassord... 11 7.1.2 Brukeransvar... 11 7.1.3 Sikring av ubevoktet brukerutstyr og dokumenter... 12 7.2 Pålogging... 12 7.3 Logging... 12 7.4 Sletting og endring av tilgang... 12 7.5 Retur av universitetets eiendeler... 12 8 Systemanskaffelser, utvikling og vedlikehold... 12 8.1 Sikkerhetskrav ved systemanskaffelse... 12 8.2 Sikkerhet i utviklings- og vedlikeholdsprosesser... 13 9 Juridiske krav... 13 9.1 Personopplysningsloven og personopplysningsforskriften... 13 9.2 Arkivloven med forskrifter... 13 9.3 eforvaltningsforskriften... 13 9.4 Offentleglova... 14 Vedlegg... 15 2

Forord Informasjonsteknologien har blitt et stadig viktigere verktøy for forskning, undervisning, formidling og administrasjon. En stigende del av universitetets aktiviteter benytter IT- ressurser, og universitetet er i økende grad avhengig av IT. Det forutsettes at alle brukere av universitetets IT-ressurser skal gjøre seg kjent med informasjonssikkerheten. Til forsknings- og administrasjonsformål disponerer universitetet en voksende mengde data. Data som er noe av de viktigste ressursene universitetet har for å gjennomføre forskning, utdanningsforvaltning, undervisning og kunne formidle dette til omverdenen. Truslene mot universitetets data og IT-ressurser er voksende. Kompleksitet og avhengighet er i seg selv en trussel fordi det skaper sårbarhet, men også tekniske uhell, mangelfulle rutiner og tankeløs eller kriminell adferd skaper trusler. Virus og uønsket e- post (spam) er eksempler på trusler universitetet daglig utsettes for. Det er derfor viktig at vi forsøker å sikre oss, slik at vi reduserer vår sårbarhet og ikke utsetter oss for risikoer som kan medføre driftsstans, ødelagt troverdighet eller på annen måte skape vansker for forskere, studenter eller informanter. Denne dokumentasjonen av universitetets informasjonssikkerhet er et verktøy i arbeidet med å sikre oss. Den er ikke uttømmende fordi området utvikler seg raskt. Den er et forsøk på å fokusere på områder hvor vi aner hva truslene er og hva mottrekkene bør være. I den utstrekning dokumentasjonen ikke gir svar på konkrete problemer må sikkerhetsmålene være en rettesnor for de løsninger som velges. Dokumentet er bygd opp med henblikk på å synliggjøre universitetets verdier, ansvarliggjøre den enkelte, samt lederne og organisasjonen som helhet for hvordan en må bidra for å ivareta informasjonssikkerheten. Vi har videre, for å bevare oversikteligheten, forutsigbarheten og robustheten i dette dokumentet, lagt rutiner og retningslinjer som vedlegg. Dette gir en lavere terskel for den enkelte å sette seg inn i hva informasjonssikkerhet er og hvordan den best kan ivaretas. Videre gir det også mulighet, på en hensiktsmessig måte, å få tilgang til strukturert og utdypende informasjon for den/de ansvarlige som har dette behovet eller har et ønske om større kunnskap og forståelse. Informasjonssikkerhet og instrukser om datasikkerhet kan ikke fylle alle behov. Sikkerhet koster, i form av både arbeid og andre ressurser. Mangelfull sikkerhet har også stor kostnad. De instrukser som er gitt, forsøker å avveie sikkerhetskostnadene mot konsekvensene av manglende sikkerhet. Instrukser om informasjonssikkerhet kan ikke gjøres til gjenstand for en demokratisk konsensus. Retningslinjene må kontinuerlig prøves mot innspill fra enhetene og 3

endringer i omgivelser og teknologi. Dette skal man forsøke å ta høyde for, i den utstrekning det er mulig. Universitetsdirektøren forutsetter at den enkelte lojalt etterlever og håndhever regelverket slik det til enhver tid er gitt. 1 Sikkerhetsmål og sikkerhetsstrategi 1.1 Sikkerhetsmål Informasjonsteknologi representerer viktige ressurser for universitetet i Tromsø, både i forskning, undervisning og administrasjon. Formålet med behandlingen er å oppfylle institusjonens forpliktelser etter lov om universiteter og høyskoler 1-3. Forskere og studenter skal ha friest mulig tilgang til data og til å bruke og utvikle løsninger i forsknings- og studieøyemed. Universitetets infrastruktur må understøtte dette og gi tilgang til omverdenen og til universitetets ressurser fra punkter utenfor universitetets nett, samtidig som informasjonssikkerheten ivaretas. Universitetet forvalter store mengder arbeidsdata for studenter og forskere, sensitive forskningsdata og administrative data som krever sikring. Informasjonssikkerhet betyr beskyttelse av informasjonens konfidensialitet, integritet og tilgjengelighet. Disse begrepene defineres slik: Konfidensialitet: Å sikre at informasjonen er tilgjengelig bare for dem som har autorisert tilgang. Integritet: Å sikre at informasjonen og behandlingsmetodene er nøyaktige og fullstendige. Tilgjengelighet: Å sikre autoriserte brukeres tilgang til informasjon og tilhørende ressurser ved behov. Universitetet skal ha et nivå på sin informasjonssikkerhet som skal gi tilfredsstillende sikkerhet basert på en vurdering av risiko for uønsket hendelse skjer, og eventuelle konsekvenser av dette. Samtidig skal krav i personopplysningsloven og personopplysningsforskriften, arkivloven, forvaltningsloven, eforvaltningsforskriften, offentlighetsloven, reglement for økonomistyring i staten, åndsverksloven, straffeloven og annen relevant lovgivning ivaretas. Resultater av risikovurderingene skal vurderes i forhold til de førende hensyn som beskrevet nedenfor. Universitetets informasjonsbehandling skal beskyttes mot alle identifiserbare trusler, både interne og eksterne, samt tilsiktede og utilsiktede. Sikkerhetstiltak skal iverksettes slik at personer utenfor universitetet ikke skal kunne forårsake hendelser med store konsekvenser for studenter, tilsatte og personer som deltar i forskningsprosjekt, samt virksomheten for øvrig ved universitetet. Tilsatte som bruker universitetets informasjonssystemer skal ha tilstrekkelig kompetanse for å ivareta universitetets sikkerhetsbehov. Tilsatte uten fullstendig kjennskap til sikkerhetstiltakene skal ikke kunne forårsake slike hendelser, verken uaktsomt eller forsettelig. 4

Universitetet behandler sensitive personopplysninger i forsknings- og studentprosjekter. Utlevering av opplysningene kan medføre tap av anseelse og integritet for dem det gjelder. Det er derfor nødvendig å sikre disse opplysningenes konfidensialitet. Ved disse prosjektene skal hensynet til konfidensialitet ha prioritet foran hensynet til tilgjengelighet og integritet. Det vil ikke være akseptabelt at tilsatte forårsaker konfidensialitetsbrudd uaktsomt eller ved forsett, eller at personer utenfor universitetet med overlegg kan få tilgang til disse. Internt ved universitetet skal bare de som har et saklig behov ut fra sitt virke ved universitetet ha tilgang til disse personopplysningene. Universitetet behandler personopplysninger av stor betydning for studentene og tilsatte, herunder også søkere til studieplasser og stillinger, tidligere studenter og tilsatte og søkere til fond universitetet forvalter. Behandlingen av personopplysninger om studentene er nødvendig for å oppfylle virksomhetsmålene. Feil kan medføre forsinkelser og økonomisk tap for denne gruppen. Det er derfor viktig å sikre disse opplysningenes tilgjengelighet og integritet for den enkelte. Studentopplysningenes tilgjengelighet og integritet må også sikres for de tilsatte som skal administrere opptak, undervisningen og eksamener ved universitetet. Personalopplysningenes tilgjengelighet og integritet må tilsvarende sikres for de tilsatte som arbeider med saker på personalområdet. Selv om den enkelte student eller tilsatt kan oppfatte opplysningene som følsomme, vil hensynet til tilgjengelighet og integritet her ha prioritet foran hensynet til konfidensialitet. Det må hindres at medarbeidere uaktsomt påvirker integriteten ved registreringer og uthenting av opplysninger. Videre er det viktig at personer utenfor universitetet ikke forsettlig kan påvirke driftsstabiliteten. 1.2 Sikkerhetsstrategi Tilfredsstillende informasjonssikkerhet skal oppnås gjennom en kombinasjon av teknologiske og organisatoriske tiltak. Med teknologiske tiltak menes blant annet de valg som gjøres mht. utstyr og programvare til ulike formål og direkte til sikringsformål, og de krav som stilles til maskinvare og programvare som skal få rettigheter i universitetets nettverk. Med organisatoriske tiltak menes blant annet informasjon om og opplæring i datasikkerhet og i bruk av programmer, og de krav som stilles til brukerne med hensyn til bruk av utstyr og systemer og sikring av brukerkonti, passord, maskiner og arbeidsplasser. Informasjonssikkerhetsarbeidet skal ta utgangspunkt i standarden NS_ISO/IEC 27002:2005 Informasjonsteknologi. Sikkerhetsteknikk. Administrasjon av informasjonssikkerhet. Universitetsdirektøren har det overordnede ansvaret for universitetets informasjonssikkerhet og fastsetter eventuell nærmere instruks. Det daglige ansvar forvaltes av IT-direktøren. Vedkommende har instruksjonsmyndighet overfor alle andre enheter ved universitetet i saker som angår informasjonssikkerhet. Alle brukere har et ansvar for å overholde det til enhver til gjeldende retningslinjer for bruk av universitetets IT-ressurser. 5

Alle datasystemer og all IT-basert informasjon skal ha en systemeier 1 utpekt av universitetsdirektøren. Avdeling for IT skal ikke være systemeier for annet enn basal infrastruktur, og ikke for annen informasjon enn den som omhandler den datatekniske drift. Systemeier skal i samarbeid med avdeling for IT identifisere og ha oversikt over de systemer som han er ansvarlig for, og som ikke er ivaretatt av avdeling for IT. Videre skal det fremgå, for det aktuelle system, hvem som har det daglige ansvar systemeier (enhetsledere, avdelingsdirektører, fakultetsdirektører). Det skal videre fremgå hvem det operative systemansvaret, eventuelt, er delegert til. Systemeier skal holde oversikt over de data som behandles i systemet, samt angi hvilke data det er nødvendig å sikre med hensyn til konfidensialitet, integritet og tilgjengelighet. Denne oversikten skal benyttes som en del av grunnlaget i risikovurderinger. Resultatet av risikovurderingen skal sammenlignes med sikkerhetsmålene nevnt i punkt 1.1. Systemeier skal kunne dokumentere at risikovurdering er gjennomført. For å oppnå tilfredsstillende informasjonssikkerhet skal systemeier også etablere og vedlikeholde rutiner for å ivareta de viktigste sikkerhetsmål, som nevnt i punkt 1.1. Systemeier skal kunne dokumentere rutinene. Avdeling for IT skal foreta risikovurdering av basal infrastruktur, og vedlikeholde beredskapsplan for IT. Risikovurderinger av aktuelle systemer skal utføres av systemeier, og årlige revisjonsrutiner skal etableres. Videre har systemeier ansvaret for å definere systemets og informasjonens sikkerhetsbehov i samarbeid med avdeling for IT, og for å finansiere nødvendige sikkerhetstiltak og nødvendig opplæring. Universitetet skal ha en IT-sikkerhetsansvarlig som skal utøve IT-direktørens myndighet innen IT-sikkerhetsområdet. Den løpende forvaltning av informasjonssikkerheten gjennom strakstiltak ved akutte hendelser foretas av Computer Security Incident Response Team (CSIRT) ved avdeling for IT. CSIRT iverksetter eller beordrer iverksatt ethvert tiltak som, etter en vurdering av skademuligheter og ulempe ved tiltaket, måtte finnes tjenlig for å avverge skade på universitetets IT-systemer og data. CSIRT skal periodisk rapportere om sikkerhetshendelser, skadepotensial, skadeomfang og iverksatte tiltak til IT-direktøren. Brudd på informasjonssikkerheten skal rapporteres til CSIRT. Rapportering er viktig fordi denne type informasjon kan brukes til å gi målrettede mottiltak som er med på å forbedre IT-sikkerheten. 1 Med systemeier forstår vi de som har ansvaret for de prosesser som systemet er ment å skulle støtte, og at innholdet i dataene er korrekte. 6

2 Sikkerhetsarbeidet 2.1 Ansvar og roller mellom universitetet og brukerne 2.1.1 Erklæring om kjennskap til sikkerhetsregelverket Alle brukere som skal ha brukerkonto skal ha gjort seg kjent med dette dokumentet om universitetets informasjonssikkerhet og forplikte seg til å overholde retningslinjer for bruk av universitetets IT-ressurser, se vedlegg B. 2.1.2 Privat bruk av universitetets IT-ressurser Universitetets datautstyr og datasystemer er anskaffet og drives for å være en ressurs for forskning, undervisning, formidling og administrasjon. Annen bruk enn det som er angitt over, heretter kalt privat bruk, kan kun skje i den utstrekning den er i samsvar med det generelle regelverket for bruk av universitetets IT-ressurser, ikke strider mot lov eller annet regelverk, ikke er egnet til å svekke universitetets omdømme, og ikke skjer til fortrengsel for oppgaver som inngår i forskning, undervisning, formidling og administrasjon. Privat bruk av universitets tilsattes e-postkasse skal kun forekomme når den private karakter er gjort eksplisitt slik at e-posten ikke for mottaker kan fremstå som tjenstlig eller offisiell, og bruken ikke er egnet til å svekke universitetets omdømme. Det samme gjelder bruk av universitetets tilsattes e-postkasse som referanse på chattekanaler, i newsgrupper og lignende. Universitetet vil ikke skaffe seg tilgang til studenters epostkasse, med mindre det foreligger et særskilt grunnlag. 2.1.3 Innsyn i universitetstilsattes e-postkasse m.v. Universitetet, som arbeidsgiver, har rett til å gjennomsøke, åpne eller lese e-post i arbeidstakers e-postkasse, når det er nødvendig for å ivareta den daglige driften eller andre berettigede interesser ved virksomheten. Dette gjelder også ved begrunnet mistanke om at arbeidstakers bruk av e-postkassen medfører grovt brudd på de plikter som følger av arbeidsforholdet, eller kan gi grunnlag for oppsigelse eller avskjed. Tilsvarende gjelder for universitetets adgang til gjennomsøking av og innsyn i arbeidstakers personlige område i universitetets datanettverk og i andre elektroniske kommunikasjonsmedier eller elektronisk utstyr som universitetet har stilt til arbeidstakers disposisjon til bruk i arbeidet ved universitetet. Skulle den ansatte motta privat e-post eller lagre private data på universitetets utstyr, må dette lagres i mapper merket (navngitt) «Privat». Universitetet vil respektere slik merking og vil ikke skaffe seg tilgang til data lagret på slike områder uten at særskilt grunnlag kan påvises. Ved opphør av arbeidsforholdet og ved innlevering av universitetets utstyr, må arbeidstaker slette private mapper. Dersom universitet ønsker å gjennomføre innsyn som beskrevet ovenfor, skal prosedyrene i forskrift om behandling av personopplysninger 9-3 følges. 7

Når arbeidsforholdet opphører skal arbeidstakers e-postkasse mv. avsluttes og innhold som ikke er nødvendig for den daglige driften av virksomheten slettes innen rimelig tid. 2.1.4 Brukerkontrakt Brukere av universitetets datasystem defineres som ansatte og studenter, samt andre kontraktspartnere som skal gjøre oppdrag som tilsier at det er nødvendig med tilgang til elektronisk lagrede personopplysninger. Ansatte skal som en del av arbeidsavtalen ved universitetet undertegne erklæring om taushetsplikt jf. forvaltningsloven 13. Samtidig fremkommer det av arbeidsavtalen for universitetets ansatte at man forplikter seg til å gjøre seg kjent med til enhver tid gjeldende retningslinjer for informasjonssikkerhet ved universitetet. Systemeier kan ta i bruk spesifikke taushetserklæringer for tilgang til spesifikke systemer. Studenter må elektronisk godta retningslinjer for bruk av universitetets IT-ressurser for å få brukerkonto ved universitetet. I denne er det tatt inn bestemmelser om stenging av brukerkonto ved brudd på IT-retningslinjene. 2.1.5 Brukeropplæring Brukerne er den viktigste faktoren i informasjonssikkerheten. Brukerne er forpliktet til å gjøre seg kjent med innholdet informasjonssikkerheten og skal sette seg inn aktuelle retningslinjer som gjelder for bruk at universitetets IT-ressurser. Brukerne skal gjennomgå et kort innføringskurs i informasjonssikkerhet i tilknytning til at de får tildelt brukernavn og passord. Gjennomført opplæring skal være et krav for å ha/beholde brukerkonto. Universitetets ansatte skal tilbys generell opplæring i bruk av PC og grunnleggende PCverktøy avpasset til deres arbeidsområde. Systemeiere skal påse at det regelmessig tilbys opplæring som er tilpasset deres systemer og brukernes behov. For enkelte systemer kan systemeier fastsette krav til gjennomført opplæring for å ha generelle eller spesifikke brukerrettigheter i systemet. 2.2 Håndtering av sikkerhetshendelser og svakheter i sikkerheten Med sikkerhetshendelse menes det tap av konfidensialitet (uvedkommende kan lese data), tap av integritet (kan ikke lengre stole på data), tap av data, tjenester gjøres utilgjengelige og misbruk av ressurser. Dette kan for eksempel forårsakes av virus, innbrudd eller tap av fysisk medium (PC er, minnepinner, mobil etc). Innenfor hver kategori vil det være grader av alvorlighet. 2.2.1 Rapportering av sikkerhetshendelser og svakhet i sikkerheten Alle brukere av universitetets IT-ressurser er pliktig til å rapportere om sikkerhetsmessige svakheter i, eller trusler mot systemer og tjenester, eller mistanke om slike til nærmeste overordnet eller til Computer Security Incident Response Team (CSIRT) på følgende e-post adresse: csirt@uit.no. 8

CSIRT skal rapportere løpende om aktuelle sikkerhetshendelser og hvordan disse skal håndteres gjennom en e-postliste hvor alle IT-konsulentene på universitetet er medlem. I e-posten vil det beskrives hva trusselen går ut på, hvilke konsekvenser den kan ha for sårbare systemer, og en beskrivelse av hvordan man best kan sikre disse systemene. 2.2.2 Disiplinære reaksjoner Ved brudd på gjeldende regelverk for data- og informasjonssikkerhet skal det vurderes reaksjon. Reaksjonsform og eventuell av utstenging eller begrenset tilgang til datasystemer/it-ressurser skal vurderes ut fra alvorlighetsgraden av handlingen eller unnlatelsen av å handle (sikre personopplysninger). For ansatte vil dette variere fra muntlig orientering om gjeldende regelverk (muntlig tjenstlig tilrettevisning) til andre reaksjoner etter lov om statens tjenestemenn (tjenestemannsloven) bestemmelser. For studenter skal det etter samme vurderinger vurderes stenging av brukerkonto for en periode eller for alltid. For alle brukergrupper kan det ved vesentlige brudd på sikkerhetsbestemmelser som medfører vesentlige kostnader, vurderes å søke regress for kostnadene hos brukeren. 2.3 Årlig revisjon Systemeier skal årlig gjennomgå de områder han har ansvar for med sikte på å klarlegge områder hvor praksis ikke er i samsvar med kravene i retningslinjene for informasjonssikkerhet. Avvik skal drøftes med avdeling for IT med sikte på å avklare områder hvor teknologiske eller andre praktiske forhold vanskeliggjør en realisering av retningslinjene områder hvor det er særlig viktig å få gjennomført kravene i retningslinjene Årlig revisjon skal arkiveres i universitetets arkivsystem. 3 Personopplysninger og personvern 3.1. Behandlingsansvarlig Universitetet i Tromsø er behandlingsansvarlig, jf. lov om behandling av personopplysninger 2, for behandling av personopplysninger som helt eller skjer med elektroniske hjelpemidler ved universitetet. Behandlingsansvarlig er ansvarlig for at behandlingen av personopplysninger skjer i overensstemmelse med lov om behandling av personopplyninger. Ved universitetet skjer elektronisk behandling av personopplysninger i hovedsak med administrativt formål og forskingsformål. Den enkelte systemeier for systemer hvor det behandles personopplysninger har det daglige ansvaret for at pliktene som personopplysningsloven pålegger behandlingsansvarlig er oppfylt. Behandlingen av personopplysninger i forsknings- og studentprosjekter er ikke knyttet til et særskilt system ved Universitetet i Tromsø. For denne behandlingen må det daglige ansvaret være knyttet til personer. Prosjektleder av det enkelte forskningsprosjekt har det daglige ansvaret for pliktene som personopplysningsloven tillegger behandlingsansvarlig, Universitetet i Tromsø, er oppfylt for behandlingen som skjer av 9

personopplysninger i forskningsprosjektet. For studentprosjekter er det den oppnevnte faglige veileder som har det daglige ansvaret. Det er fastsatt en egen instruks for behandling av personopplysninger ved universitetet, se vedlegg A. Det er fastsatt egne retningslinjer for behandling av personopplysninger vedrørende studentene ved universitetet, se vedlegg C. Tilsvarende retningslinjer er fastsatt for behandlingen av personalopplysninger, se vedlegg D. Det er fastsatt egne retningslinjer for behandling av personopplysninger i forsknings- og studentprosjekter, se vedlegg E. 3.2 Personvernombud Norsk samfunnsvitenskapelig datatjeneste er oppnevnt som personvernombud for forsknings- og studentprosjekter som gjennomføres helt eller delvis ved universitetet. 4 Informasjonsaktiva Som informasjonsaktiva regnes datasystemer med tilhørende data, også papirbaserte, og infrastruktur til behandling, transport og lagring av data. I vedlegg F finnes oversikt over alle sentrale informasjonsaktiva og hvem som er systemeier. På lokalt nivå er enhetsdirektørene systemeier for de servere som enheten drifter, og har de plikter som etter universitetets informasjonssikkerhet følger med rollen som systemeier. 5 Fysisk sikring Utstyr for informasjonsbehandling, lagring av data eller data- eller telekommunikasjon skal enten være under tilsyn eller være avlåst. Universitetets sentrale servere skal være forsvarlig sikret og kun autorisert personell skal ha tilgang til disse. Avdeling for IT har ansvaret for slik sikring. Elektronikk og kabler til nettverk skal også være beskyttet ved at alle koblingssteder og fordelere skal være i låste rom der kun autorisert personell har tilgang. På kritiske steder, spesielt i datarom/maskinhall skal det være system som: Brann- og røyk varslingssystem. Temperatur og fuktighetsfølere med spesifiserte nivåer for utløsning av alarm. 6 Kommunikasjon og driftsadministrasjon 6.1 Nettverk Universitetets datanettverk skal inndeles i ulike soner med henblikk på sikkerhets- og driftsmessige forhold. 10

6.2 Serverdrift, fillagring og backup Ansvar for serverdrift ligger hos avdeling for IT. Det skal foreligge ajourført driftsdokumentasjon, både elektronisk- og papirform, som i detalj beskriver hvordan de enkelte tjenestene er satt opp og driftet. Informasjon og dokumenter produsert eller behandlet ved universitetet skal oppbevares slik at backup rutinemessig blir gjennomført. Brukere skal unngå permanent oppbevaring av data på datamaskinens lokale harddisk, og/eller eksterne enheter som minnepinne etc. 6.3 Administrative systemer Administrative systemer skal driftes sentralt av avdeling for IT, med mindre annet er bestemt. Det skal foreligge en avtale med ekstern driftsoperatør hvor krav til informasjonssikkerhet skal fremgå. 7 Tilgangskontroll Tildeling og kontroll av spesielle privilegier (administrasjonsrettigheter) skal begrenses og kontrolleres. Kun brukere som har et saklig og reelt behov skal ha tilgang til systemet. 7.1 Brukeradministrasjon Universitetet skal ha et system som samlet ivaretar informasjon om personer som er tilknyttet universitetet og som forhindrer uønsket adgang til universitetets IT-ressurser. Alle systemer skal være tilfredsstillende sikret med passord. Systemeier skal etablere rutiner slik at tilgang, avgang og endring i ansattes tilsettingsforhold blir ajourført. 7.1.1 Administrasjon av brukerpassord Systemadministrator tildeler første gang et midlertidig passord som brukerne må endre ved første gangs bruk. Dette gjelder også i de tilfeller hvor systemadministrator setter passordet på nytt, eksempelvis når passordet er glemt. Dette gjøres kun etter en sikker identifikasjon av brukeren. Overlevering av passord skal ikke foregå via tredjepart eller via e-post. Brukeren skal også bekrefte at passordet er mottatt. Passord skal aldri lagres i ubeskyttet form på datasystemet. 7.1.2 Brukeransvar Brukerne skal holde sitt personlige passord hemmelig, se retningslinjer for bruk av universitetets IT-ressurser, se vedlegg F. Brukerne bør vedlikeholde sine personlige passord. Passord skal ikke noteres ned og oppbevares i tilknytning til arbeidsplassen. Passord skal endres hvis det er indikasjoner på at systemet eller passordet er blitt misbrukt. 11

7.1.3 Sikring av ubevoktet brukerutstyr og dokumenter Datamaskiner skal sikres ved passordbeskyttet skjermsparer som slår inn etter maksimum 30 minutters inaktivitet. Brukerne skal låse/logge av datamaskinen når den forlates. Dokumenter og datautstyr som inneholder personopplysninger eller sensitive forskningsdata må forsvarlig sikres. Dette for å hindre at uvedkommende får tilgang til personopplysninger eller informasjon som kan gi slik tilgang (brukernavn, passord og lignende). 7.2 Pålogging Alle datamaskiner skal kreve at brukeren identifiserer seg med tildelt brukernavn og passord for å få tilgang til maskinen og til tjenester i universitetets nett. Publikumsterminaler skal kun benyttes dersom brukerne kan identifiseres med en unik id som gir mulighet å spore tilbake hvem som brukte maskinen på et gitt tidspunkt. 7.3 Logging Avdeling for IT skal logge nett-trafikk til og fra universitetets nettverk. Hensikten med loggingen er å skape og oppbevare data som er nødvendig for å avdekke og oppklare sikkerhetsbrudd. Disse loggene skal kun benyttes ved etterforskning av innbrudd (eller mistanke om innbrudd) fra maskiner som ikke er tilknyttet universitetets nett, eller ved innbrudd på eksterne maskiner hvor universitetets maskiner er involvert. I dette arbeidet blir personopplysningsforskriften 7-11 fulgt. Loggførte data skal ikke oppbevares lengre enn 3 måneder. 7.4 Sletting og endring av tilgang Systemeier skal ha rutiner for sletting og endring av tilgang til systemene. 7.5 Retur av universitetets eiendeler Personal- og organisasjonsdirektøren har ansvar for å utarbeide rutiner for retur av universitetets eiendeler når ansatte slutter ved universitetet eller går ut i lengre permisjoner. Eksempelvis vil slikt utstyr være bærbar og stasjonær PC, telefon, nøkler, minnepinner og lignende. 8 Systemanskaffelser, utvikling og vedlikehold 8.1 Sikkerhetskrav ved systemanskaffelse Ved anskaffelse av nye systemer skal det utpekes en systemeier som har ansvar for informasjonen og prosessene rundt. Den utpekte systemeier skal i samråd med avdeling for IT utforme krav til sikkerhet som skal inngå i kravspesifikasjonen. En risikoanalyse vil danne rammeverket for å definere krav til sikkerhet. 12

Ved anskaffelse av nye systemer skal avdeling for IT også bistå systemeier i forhold til å vurdere leverandørers løsningsforslag i forhold til kravspesifikasjonen. 8.2 Sikkerhet i utviklings- og vedlikeholdsprosesser Ansvaret for å vedlikeholde systemets integritet skal tillegges systemeier og leverandør av systemet. Avdeling for IT har ansvar for at drift av systemet skjer etter systemeiers og leverandørens anvisning og anbefalinger. Det skal være streng kontroll med gjennomføring av endringer for å begrense forringelse av informasjonssystemene. Dette skal følge formelle prosedyrer for endringskontroll. 9 Juridiske krav Informasjonsbehandlingen ved universitetet er regulert i en rekke lover og forskrifter. De mest sentrale lover og forskrifter listes opp her. 9.1 Personopplysningsloven og personopplysningsforskriften Lov om behandling av personopplysninger (personopplysningsloven) av 14. april 2000 nr 34 fastsetter regler om vår behandling av personopplysninger, mens Forskrift om behandling av personopplysninger (personopplysningsforskriften) av 15. desember 2000 nr. 1265 gir utfyllende bestemmelser. Lenker: Loven http://www.lovdata.no/all/nl-20000414-031.html Forskriften http://www.lovdata.no/for/sf/fa/fa-20001215-1265.html 9.2 Arkivloven med forskrifter Lov om arkiv av 14. desember 1992 nr. 126, med Forskrift om offentlige arkiver av 11. desember 1998 nr. 1193, gir bestemmelser om journalføring, lagring, oppbevaring og kassasjon av institusjonens arkiver. Forskrift om utfyllende tekniske og arkivfaglige bestemmelser av 1. desember 1998 nr. 1566, gir utfyllende bestemmelser til arkivforskriften. Lenker: Loven: http://www.lovdata.no/all/nl-19921204-126.html Arkivforskriften: http://www.lovdata.no/for/sf/ku/ku-19981211-1193.html Utfyllende bestemmelser: http://www.lovdata.no/for/sf/ku/ku-19991201-1566.html 9.3 eforvaltningsforskriften Forskrift om elektronisk kommunikasjon med og i forvaltningen av 25. juni 2004 gir bestemmelser om tilrettelegging, samordning og sikring av elektronisk kommunikasjon med institusjonen, og for elektronisk saksbehandling og kommunikasjon i institusjonen. Lenke: http://www.lovdata.no/for/sf/fa/xa-20040625-0988.html 13

9.4 Offentleglova Lov om rett til innsyn i dokument i offentleg verksemd (offentleglova) av 19. mai 2006 nr. 16 gir bestemmelser om føring av offentlig journal og om allmennhetens adgang til å gjøre seg kjent med innholdet i journalførte dokumenter. Lenke: http://www.lovdata.no/all/hl-20060519-016.html Universitetet i Tromsø publiserer offentlig journal på veven. 14

Vedlegg Vedle gg A B C D E F G Beskrivelse Fastsatt Sist endret Instruks for behandling av personopplysninger ved Universitetet i Tromsø Retningslinjer for bruk av IT-ressurser ved Universitetet i Tromsø Rutiner for behandling av studentopplysninger ved Universitetet i Tromsø Rutiner for behandling av personalopplysning er som forvaltes av Avdeling for personal og organisasjon og Avdeling for økonomi. Rutiner for behandling av personopplysninger i forsknings- og studentprosjekter ved Universitetet i Tromsø Systemlandskap ved Universitetet i Tromsø Klassifikasjon av informasjonsaktiva ved Universitetet i Tromsø 01.12.04 15.12.10 01.04.05 27.03.08 01.04.05 14.06.11 01.04.05 14.06.11 11.02.05 14.06.11 23.09.10 Finnes på linken: http://www2.uit.no/ikbviewer/content /210743/Systemlandskap.pdf 23.09.10 Finnes på linken: http://www2.uit.no/ikbviewer/content /210740/Informasjonsaktiva.pdf 15

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding