Enhet for Intern Revisjon REVISJONSRAPPORT. IT-tilgangsstyring



Like dokumenter
Enhet for Intern Revisjon REVISJONSRAPPORT. Revisjon av BDM-roller ved Medisinsk fakultet

SUAIT 2012 SpørreUndersøkelse om Administrative IT-systemer

Enhet for intern revisjon

Enhet for Intern Revisjon RAPPORT FULLMAKTER ANSVAR ROLLER MYNDIGHET

Avtale om utviklingstjenester. Datauttrekk fra datavarehuset ifm UiOs styringskart

Medlemsmøte i NIRF statlig sektor, Enhet for intern revisjon (EIR) ved Universitetet i Oslo. Morten Opsal, fungerende revisjonssjef

Revisjonsrapport. Revisjon: Oppfølging styrevedtak

Universitetet i Oslo Enhet for lederstøtte

1. Etterlevelse av kvalitetssystem for medisinsk og helsefaglig forskning

Det bør vurderes fastsatt et entydig mål for saksbehandlingstid i enkeltoppgjør og etableres tiltak for å

MalemaL Liv: UTK. Rapport 4/2015. Revisjon av Sykehusapotekene HF

Retningslinjer for SFF virksomhet ved Det medisinske fakultet Bakgrunn

Eierskap, IKT relasjoner, roller og arbeidsflyt - etablering av master Enterprise HRM - masterdata for personalinformasjon

Årsrapport 2014 Internrevisjon Pasientreiser ANS

Personvernerklæring for Søknadsweb

Revisjon av IT-sikkerhetshåndboka

E-post ved UiO for Systemgruppeforum. Bård H.M. Jakobsen Gruppe for drift av meldingstjenester (GMT)

Informasjon til styret ved Medisinsk fakultet tirsdag 19. mai 2015.

Universitetet i Oslo IHR-sekretariatet

Universitetet i Oslo EIR

Prosjekt Internt handlingsrom Universitetet i Oslo Presentasjon for PK-nettverket v/irene Sandlie

Universitetet i Oslo Prosjektbeskrivelse: Tilgangsstyringsgrupper

Registrering av personell ved automatisk tilgangsstyring

Felles løsning for identitets- og tilgangsstyring. Tore Burheim IT-direktør Universitetet i Bergen Leder i styringsgruppen for BOTT-IAM

Referat. Møte i styret for Cristin 17. november Blindern, Cristin AFS

Innføring av ny personvernforordning (GDPR) på universitetet

Referat. Møte i styret for FS 3. mars 2014

Helseforetakenes senter for Pasientreiser ANS 2/2014

Jernbaneverket. TILSYNSRAPPORT NR Arbeid i og ved spor leverandørstyring, prosjekt ombygging av Råde stasjon

Prosjekt Internt handlingsrom Universitetet i Oslo Universitetsdirektør Gunn-Elin Aa. Bjørneboe Personallederkonferansen 2013

Elektronisk identitetsforvaltning ved NTNU

Årsrapport Internrevisjon. Rektoratmøte 22. februar 2018 Styremøte 13. mars 2018 Jørgen Bock Avdelingsdirektør intern revisjon

Personvernerklæring for Flyt Høgskolen i Molde

Løsningsforslag Integrasjon mot EIS / ephorte

Innføring av ny personvernforordning (GDPR) på universitetet

Personvernerklæring for EVUweb - søkere

1.4 Det skal leveres en beskrivelse av eierskapsmodell for registrerte data og fordeling av ansvar for behandling og vedlikehold av disse.

Personvernerklæring for Søknadsweb

Allmøtet 2. februar 2012

Enhet for Intern Revisjon RAPPORT. EKSTERNT FINANSIERTE PROSJEKTER VED UiO

Brukerveiledning Styringskartet

Postadresse Kontoradresse Telefon* Universitets- og

Integrasjonsarkitektur

Allmøtet USIT 17. januar Lars Oftedal, IT-direktør. Dagsorden:

Årsplan 2014 for Underavdeling stab og støtte Møte med USITs seksjonssjefer

Tilgangsstyring i PUBLIC 360

autentiseringsdata 1.3 Forhold til andre retningslinjer og policyer ved NTNU

Dokumentasjonskrav, sporbarhet. Oktober UNINETT AS, v/alice Sporstøl

RAPPORT. Revisjon: Implementering av kvalitetssystemet for medisinsk og helsefaglig forskning

Høgskolen i Sør-Trøndelag Høgskolestyret. Sak: Henvisning til HiSTs måltavle (

Universitetet i Bergen Internrevisjon - erfaringer Samling for økonomidirektører og økonomiledere i UH-sektoren april 2015

Styringsdokument Prosjekt Tilgangsstyringsgrupper. 19. juni 2018 initielt styringsgruppemøte

Personvernerklæring for Studentweb

ROLLER OG ANSVAR for behandling av personopplysninger ved NTNU. Følgende har ansvar for at NTNU behandler personopplysninger på en forsvarlig måte

Årsrapport Universitetet i Oslo Enhet for intern revisjon. Distribueres til: Universitetsstyret. Kopi: Universitetsdirektør.

Internrevisjon et samarbeid på tvers

Styringsdokument Prosjekt Tilgangsstyringsgrupper 29. mai 2018 kun med prosjekteigar

Internt handlingsrom (IHR) v/jon Nornes (Cristin/UiO)

IT-Reglement for Telemark fylkeskommune (TFK) 1 Reglementets virkeområde

Prosedyre for interne undersøkelser av hendelser

Risikoanalysen beskriver status per med tiltak/kommentarer for hver enkel risikofaktor.

Personvernerklæring for Søknadsweb

1. FORMÅL 2. PROFESJONELT GRUNNLAG

Perspektiver og planer ved Universitetet i Oslo

Universitetet i Oslo EIR

Budsjettfordelingsmodellen legger vekt på at fordelingen av ressurser i størst mulig grad skal tildeles målrettet.

Kvalitetssystem for medisinsk og helsefaglig forskning. Delegering av oppgaver i kvalitetssystemets rutiner Bakgrunn

Personvern og FS på UiO. FS-Brukerforum

Oppfølgingsansvar iht internrevisjonen. Tiltak nr i rapport 1/2013. Internrevisjonens anbefaling

Universitetet i Oslo

Administrative IT-systemer

Personvernerklæring for Fagpersonweb

Styrings- og administrasjonsreglement for Institutt for musikkvitenskap

Universitetet i Oslo ÅRSPLANFOR 2013 ENHET FOR INTERN REVISJON OSLO, Revisjonssjef

Sykehuset Innlandet HF Presentasjon av interimsrevisjon November 2013

IT for et fremragende universitet

Organisering og standardisering innenfor IT-virksomheten

Personvernerklæring for Studentweb

USIT 3.0 Organisasjonsutvikling

Innføring av nytt personvernregelverk ved UiO

Forum for forskningsdekaner. Kvalitetssystemet ved UiO

Fagkurs for kommuner Krav til informasjonssikkerhet (105 minutter)

Risiko- og sårbarhetsanalyse i forbindelse med bruker med begrenset tilgang for inn- og utregistrering

Styresak Oppfølging av Internrevisjonsrapport 01/2013:

SAKSTIHEL: Omorganisering av HMS og etablering av BHT-funksjon ved UiO

Administrasjonsmenyen. Sted- og persondata

Reglement for godkjenning og registrering av studentforeninger ved Universitetet i Oslo

Retningslinjer for håndtering av konflikter ved UiO

Systemer i UH-sektoren. 31. Oktober 2012 Tromsø. Alf Hansen Seniorrådgiver

USIT 3.0 Organisasjonsutvikling

Administrasjonsreglement for Det matematisknaturvitenskapelige

Struktur og arkitektur

Revisjon av informasjonssikkerhet

NSB Gjøvikbanen AS Persontransport. Sikkerhetsstyring TILSYNSRAPPORT

GAUS Godkjenning av utenlandske studier. FS-Brukerforum Agnethe Sidselrud, Martin Sagen

Instruks Internrevisjonen for Pasientreiser ANS. Fastsatt av styret for Pasientreiser ANS,

Tiltaksplan for oppfølging av revisjonsrapport om systemforvaltning i Pasientreiser ANS

Internt handlingsrom (IHR)

Innkalling. Møte i Arkivgruppen Tid: Tirsdag 13. april 2010, kl 10:00 15:00. Møterom 5. etg., USIT, Forskningsveien 3b, Oslo

Transkript:

Side 1 av 5 Enhet for Intern Revisjon REVISJONSRAPPORT IT-tilgangsstyring Distribusjon: IT-direktøren OPA Kopi: Universitetsdirektøren Gjennomført februar - september 2013 Revisorer: Morten Opsal Blindern, november 2013

Side 2 av 5 1 Bakgrunn Revisjonen ble satt opp som revisjonsområdet i EIRs årsplan for 2012, og har blitt videreført til planen i 2013. Tilgang til IT-ressurser må skje etter gode rutiner, slik at ressursene kun kan nås av de som skal nå dem. 2 Formål, omfang og gjennomføring Revisjonen har hatt følgende formål: Å se etter om tilgangsstyring til IT-ressurser ved UiO skjer etter retningslinjene i ITsikkerhetshåndbokens kapittel 11: Identifikasjon, autentisering og autorisering. Revisjonen har sett på rutiner rundt tildeling og ajourhold av: Generelle tilganger til UiOs IT-ressurser Spesielle tilganger (privilegerte brukere) Tilgang til IT-systemene på nivå 1 og 2 ved UiO o SAPUiO o FS o Cerebrum/BAS o OA o Basware IP og PM o UA o CRISTiN o EPHORTE Systemene FinnRom, Styringskartet, Buddy, Kuben, Datavarehus, Easycruit kom til underveis i revisjonen og er også dekket. Systemet SO (Samordna Opptak) har ikke vært del av revisjonen. 2.1 Gjennomføring Revisjonen er utført med intervjuer med systemeiere, med ansatte i lokal IT og med ansatte ved USIT som forvalter sentrale tjenester/systemer. Totalt er det utført 27 intervjuer. Systemeiere og systemforvaltere for alle de opplistede systemene er intervjuet. Ved USIT har områdene nettinfrastruktur, databaser, serverpark (UNIX og Windows), webtjenester og Cerebrum vært omfattet av revisjonen. 2.2 IT-sikkerhetshåndbokens kapittel 11 Kapittelet innleder med å fastslå at «Universitetet i Oslo skal ha systemer som sikrer pålitelig identifisering og autentisering av brukere tjenester og systemer. Informasjon om personer skal hentes fra autoritative systemer.» Videre beskrives 11.1 autoritative systemer: «Informasjon om personer som skal ha ordinær tilgang til universitetets IT-tjenester og ITsystemer skal være registrert i følgende autoritative systemer: POLS Universitetets personal- og lønnssystem (nå kalles systemet SAPUiO) FS Felles studentsystem I tillegg til informasjonen om personer inneholder disse systemene også informasjon om disse personers organisatoriske tilknytning til universitetet (sted) og deres funksjon (rolle). Tilgang til universitetets IT-tjenester ot IT-systemer for andre enn tilsatte og studenter skal være hjemlet i et eget reglement eller i egen kontrakt.»

Side 3 av 5 Kapittel 11 omtaler også en rekke andre forhold, hvor det i denne sammenheng nevnes 2: Personers generelle tilgang til universitetets IT-ressurser tildeles på grunnlag av deres tilknytning til universitetet og reguleres av IT-reglementet. Avvikling av brukerrettigheter. Kapittel 11 omtaler ikke spesifikt om rutiner og regler omkring endring av brukerrettigheter, men EIR mener det kan ledes ut av teksten at også endringer i ansettelsesforhold, både sted og rolle, skal medføre en gjennomgang og evt endring av de brukerrettighetene som finnes. 3 Håndtering av tilganger Styring av tilganger består av 3 faser: Etablering, endring og avslutning. Tilganger til system blir gitt på forskjellig måte, men hovedregelen er at en bruker som skal få tilgang til et system først må finnes i enten SAPUiO eller FS. Derfra spres brukerinformasjon utover til de andre systemene. Til noen systemer skjer det en manuell etablering av bruker, i andre skjer det automatisk. Etablering av tilganger skjer etter gode og sikre rutiner. Men for endring og avslutning av tilganger er det i liten grad rutiner som fungerer. Enkelt sagt blir nye tilganger i stor grad lagt til tidligere gitte tilganger, slik at omfanget av tilganger øker. Og avslutning av arbeidsforhold blir i liten grad kjent for aktuelle forvaltere av tilgangene. Det er ikke etablert gode og fungerende rutiner eller automatiserte prosesser for å ivareta endring og avslutning av tilganger. Ved UiO er det regler for å beholde noe tilgang til IT-ressurser også etter avsluttet forhold til institusjonen, omtalt i kapittel 11.3.4 i IT-sikkerhetsboken (faktisk nummerering er 10.3.4.). EIR mener det vil være hensiktsmessig at disse reglene gjennomgås på nytt. Vurdering Rutinene er ikke i tråd med reglene i IT-sikkerhetshåndboken og må forbedres. Enhver endring i behov for tilgang på grunn av endrede/nye gjøremål eller avsluttet arbeidsforhold ved UiO må gjenspeiles i reell endring av tilganger. Tilganger som ikke lenger er nødvendige, skal fjernes. EIR har ikke en klar mening om hvordan denne forbedringen skal utføres. Vi er imidlertid kjent med at det arbeides med rollebaserte koblinger i SAPUiO, hvor det knyttes roller til en person, og tilganger til systemer gis på bakgrunn av de roller personen er knyttet til. Endring av rolle vil medføre endring av tilganger. EIR mener det er en riktig utvikling. Siden det er flere manuelle prosesser ved styring av IT-tilganger, vil roller i SAPUiO ikke dekke alle nødvendige endringsbehov i tilganger, og andre gode løsninger må derfor også etableres. 4 Autoritativ kilde USIT har et ønske om at alle som skal ha tilgang til UiOs IT-ressurser først skal finnes i et av de to autoritative systemene, FS for studenter og SAPUiO for ansatte og andre brukere. Andre brukere er i denne sammenheng definert som: Tilknyttede: personer som enheter ved universitetet samarbeider med og som tildeles rettigheter på linje med ansatte. Skal være registrert i SAPUiO (IT-sikkerhetsbok punkt 11.2.1, 3. kulepunkt).

Side 4 av 5 Brukere på grunnlag av kontrakt: brukere som får tildelt rettigheter til universitetets ITtjenester og IT-systemer på grunnlag av kontrakt skal registreres i SAPUiO og få tildelt rettigheter slik de er spesifisert i kontrakten (IT-sikkerhetsbok punkt 11.2.1, 3. kulepunkt). OPA, som systemeier, har som utgangspunkt at SAPUiO er et lønnssystem og at det kun er personer som skal ha lønn fra systemet som skal finnes i det. I tillegg kan det defineres Assosierte brukere/gjester i SAPUiO 1. Dersom også andre skulle vært der vil det kreve at et eget organisasjonstre etableres og vedlikeholdes, noe som ikke er ønskelig. Det vil også være en kostnad forbundet med å vedlikeholde dette. Her er det prinsipielle forskjeller mellom USIT og OPA. Slik teksten står i ITsikkerhetshåndboken er det et krav at også tilknyttede og brukere på grunnlag av kontrakt skal finnes i SAPUiO. Og IT-sikkerhetshåndboka er godkjent av Universitetsdirektøren. Mens OPA kun vil ha personer som mottar lønn eller som er assosierte brukere. Gruppen «brukere på grunnlag av kontrakt» faller utenfor definisjonen til OPA. Vurdering. EIR mener at denne forskjellen må opphøre. Sett fra et sikkerhetsperspektiv vil det beste være om alle brukere som skal ha rettigheter til ITressurser ved UiO, først må finnes i den autoritative kilden. Gjennom revisjonen har EIR ikke funnet en god oversikt over hvilke kontrakter som ligger til grunn for at brukere får tilgang og hvem som forvalter kontraktene. En slik oversikt bør lages. Alle kostnader for å forvalte tilgang til IT-ressurser på dette området, må belastes kontraktspartene. 5 Privilegerte brukere 5.1 USIT Revisjonen har gjennomgått roller ved USIT som har omfattende tilganger på sine ansvarsområder, og det er ikke avdekket avvik i hvordan disse etableres og forvaltes. Det ble også registrert at det var planer for å forsterke sikkerheten i de gjennomgåtte områdene. 5.2 Lokal IT Lokal IT har utvidede rettigheter til IT-ressurser for å utføre sine oppgaver. Det er besluttet å la personene som jobber i funksjonen opptre med 2 eller flere brukeridenter. En eller flere med utvidede rettigheter for å utøve oppgavene som lokal IT, og en for alt annet. Dette for å redusere risiko for sikkerhetsbrudd. EIR mener dette er en god beslutning og at bør den implementeres fullt ut. 6 Konklusjon Rutiner som sikrer at tilgangsstyring til IT-ressurser ved UiO skjer etter retningslinjene i ITsikkerhetshåndbokens kapittel 11 er ikke tilfredsstillende. Det er spesielt endring og avslutning av tilganger som ikke ivaretas. 1 http://www.uio.no/for-ansatte/arbeidsstotte/personal/lonnsadmin/personal-og-lønnssys/

Side 5 av 5 7 Videre behandling Rapporten peker på noen forhold som det må arbeides med. Rutiner for å sikre korrekt ajourhold av tilganger ved endringer i eller avslutninger av arbeidsforhold Avklare på hvilken måte «brukere på grunnlag av kontrakt» skal behandles mht autoritativ kilde. Vi ser det som naturlig at USIT og OPA i samarbeid gjennomgår rapporten og utarbeider plan for å forbedre påpekningene. Vi ber om en tilbakemelding på rapporten og dens påpekninger, herunder en plan for når tiltak skal iverksettes, innen 15.2.2014. Sveinung Svanberg Avdelingsdirektør Morten Opsal Seniorrådgiver

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding