Policy for informasjonssikkerhet 2.0 ROLLER OG ANSVARSOMRÅDER 2.1 Roller og ansvarsområder Styret har det overordnete ansvaret for at UiS sine verdier forvaltes på en effektiv og betryggende måte i henhold til gjeldende lover, forskrifter og avtaler. Universitetsdirektøren har det daglige ansvar for sikkerheten ved UiS, herunder fysisk sikkerhet, personalsikkerhet og informasjonssikkerhet. Eier av sikkerhetspolicy 2.1.1 Universitetsdirektøren er eier av sikkerhetspolicyen (dette dokumentet). Universitetsdirektøren delegerer sikkerhetsrelatert dokumentasjon og signaturrettigheter til sikkerhetsansvarlig (CISO, Chief Information Security Officer). Alle endringer i dokumentet skal dokumenteres og signeres av sikkerhetsansvarlig. Sikkerhetsansvarlig 2.1.2 Sikkerhetsansvarlig (CSO, Chief Security Officer) er hovedansvarlig for informasjonssikkerhet ved UiS. IT direktør har denne rollen (ref. kapittel 3.2.1). Systemeier 2.1.3 Systemeier, i samråd med IT avdelingen, er ansvarlig for krav til anskaffelse, utvikling og vedlikehold av informasjon og relaterte informasjonssystemer. Alle typer informasjon skal ha en definert eier. Eier definerer hvilke brukere eller brukergrupper som skal ha tilgang til informasjonen og hva som er autorisert bruk av informasjonen. Systemansvarlig (IT-avdelingen) 2.1.4 Systemansvarlige er ansvarlig for spesifikke områder av IT ved universitetet. Systemansvarlige er personer som forvalter UiS sine informasjonssystemer eller informasjon som er betrodd UiS fra andre parter. Hver enkelt type informasjon og systemer kan ha en eller flere dedikerte systemansvarlige. Disse er ansvarlige for å beskytte informasjonen, inklusive å implementere aksesskontrollmekanismer for å sikre konfidensialitet, og å foreta backup slik at kritisk informasjon ikke går tapt. De implementerer, drifter og vedlikeholder dessuten sikkerhetsmekanismer i tråd med intensjonen. Systemansvarlig er synonymt med tjeneste koordinator. Brukere 2.1.5 Ansatte og studenter er ansvarlige for å gjøre seg kjent med og rette seg etter UiS sitt ITreglement. Spørsmål om håndtering av forskjellig type informasjon skal stilles til eieren av den aktuelle informasjonen, eventuelt systemansvarlig. Konsulenter og kontraktspartnere 2.1.6 Kontraktspartnere og innleide konsulenter skal skrive under taushetserklæring ved innsyn i sensitive forhold. Versjon: 1.3 Dato: 05.02. 2015 Forfatter: Kenneth Høstland Kontrollert: Marina Davidian Godkjent: John Møst Side: 8 av 22 Policy for informasjonssikkerhet 3.0 STYRINGSSYSTEM FOR INFORMASJONSSIKKERHET VED UIS 3.1 Policy for informasjonssikkerhet 3.1.1 3.1.2 3.2 Policy for informasjonssikkerhet (dette dokumentet) skal godkjennes og følges opp av Universitetsdirektøren, publiseres og formidles til ansatte og relevante eksterne aktører. Sikkerhetspolicyen skal gjennomgås og oppdateres årlig eller ved behov etter prinsipper for ISMS (information security management system), som beskrevet i ISO/IEC 27001:2013. Organisering av informasjonssikkerhet UiS sin sikkerhetsorganisasjon 3.2.1 Alt ansvar relatert til informasjonssikkerhet skal defineres og fordeles. 3.2.2 Ansvaret innenfor sikkerhetsområdet er fordelt som følger: • • • • • • • • • • • • • Det overordnede sikkerhetsansvaret ligger hos Universitetsdirektøren. IT direktør er delegert ansvaret for sikkerhet ved UiS, inkludert informasjonssikkerhet og ITsikkerhet. IT direktør dermed CSO (Chief Security Officer, dvs. hoved sikkerhetsansvarlig) ved UiS. Den enkelte avdeling og seksjon er ansvarlig for å implementere informasjonssikkerhet ved enheten. Lederne ved resultatenhetene skal utnevne egne IT-sikkerhetsansvarlige. HR direktøren har det utførende ansvar for informasjonssikkerhet knyttet til personaldata i henhold til personopplysningsloven. Utdanningsdirektøren har det utførende ansvar for informasjonssikkerhet knyttet til studentregisteret og annen studentrelatert informasjon. IT direktør har det utførende ansvaret for informasjonssikkerhet knyttet til IT-systemer og ITinfrastruktur. Driftssjef har det utførende ansvar for informasjonssikkerhet knyttet til bygningsmessig infrastruktur. HR direktøren har det utførende ansvar for informasjonssikkerhet knyttet til HMS-systemer. Universitetsdirektøren er behandlingsansvarlig for de ansattes personopplysninger. Den daglige behandlingsansvarlige er HR direktøren, som ivaretar myndighetskontakt i forhold til Datatilsynet. Norsk samfunnsvitenskapelig datatjeneste er personvernombud for forskningsrelaterte personopplysninger. Universitetsdirektøren har det overordnede ansvar for kvalitetsarbeidet, mens det operasjonelle ansvaret er delegert iht. ledelsesstrukturen. Prosjekter skal organiseres iht. prosjekthåndbok, der informasjonssikkerheten skal være definert. UiS sin informasjonssikkerhet vil jevnlig bli revidert gjennom internkontroll og ved behov med bistand fra UNINETT eller ekstern IT-revisor. UiS har et informasjonssikkerhetsforum som består av fakultetsdirektørene, IT-direktør og eventuelt IT revisor og andre ved behov. Sikkerhetsforumet skal gi universitetsdirektøren råd om tiltak som fremmer operasjonell informasjonssikkerhet i virksomheten gjennom Versjon: 1.3 Dato: 05.02. 2015 Forfatter: Kenneth Høstland Kontrollert: Marina Davidian Godkjent: John Møst Side: 9 av 22 Policy for informasjonssikkerhet nødvendig engasjement og tilstrekkelig ressursbruk. Sikkerhetsforumet skal ha følgende oppgaver: o o o o 3.2.3 3.2.4 3.2.5 3.2.6 Gjennomgå og godkjenne policy for informasjonssikkerhet med tilhørende dokumenter og generelle ansvarsforhold. Overvåke vesentlige endringer i truslene mot virksomhetens informasjonsaktiva. Gjennomgå og overvåke innrapporterte sikkerhetshendelser. Godkjenne større initiativ for å styrke informasjonssikkerheten. Motstridende oppgaver og ansvarsområder skal segregeres for å redusere muligheter for uautorisert eller utilsiktet endring eller misbruk av virksomhetens eiendeler. Formell kontakt med relevante myndigheter som har ansvar innenfor personvern og informasjonssikkerhet skal opprettholdes, slik som Datatilsynet og NORSIS mv. Relevant kontakt med spesielle interessegrupper eller andre spesialistsikkerhets fora og yrkesorganisasjoner skal opprettholdes. Informasjonssikkerhet skal hensyn tas og inkluderes i prosjektledelse, uavhengig av type av prosjektet. Mobile enheter og fjernarbeid 3.2.7 Retningslinjer og understøttende sikkerhetstiltak skal vedtas for å håndtere risiko ved bruk av mobile enheter. 3.2.8 Retningslinjer og understøttende sikkerhetstiltak skal iverksettes for å beskytte informasjon som behandles eller lagres på fjern arbeids plasser. 3.3 Informasjonssikkerhet knyttet til personalet Før ansettelse 3.3.1 Sjekk av bakgrunnen til alle som innstilles til stillinger ved UiS skal foretas iht. virksomhetsmessige krav og relevante lover og regler. 3.3.2 Kontrakter med ansatte og eksternt personell skal beskrive ansvar for informasjonssikkerhet. For ansatte gjelder 3.3.3 Ledelsen skal kreve at alle ansatte og tredjeparts brukere pålegges krav til informasjonssikkerhet i henhold til etablerte retningslinjer (policy) og prosedyrer ved UiS. Dette gjelder blant annet taushetserklæring og IT reglement. 3.3.4 Alle ansatte og tredjepartsbrukere skal få tilstrekkelig opplæring og oppdatering i policy for informasjonssikkerhet og relevante retningslinjer og prosedyrer. Kravet til opplæring vil variere. 3.3.5 Brudd på policy for informasjonssikkerhet og retningslinjer vil normalt medføre sanksjoner. Det henvises til Tjenestemannsloven og gjeldende regler ved UiS. 3.3.6 UiS sin informasjon, informasjonssystemer og andre verdier (f.eks. telefon), skal kun benyttes til de formål de er bestemt for. Nødvendig privat bruk tillates. 3.3.7 Bruk av UiS sin IT-infrastruktur i egen næringsvirksomhet er under ingen omstendighet tillatt. Versjon: 1.3 Dato: 05.02. 2015 Forfatter: Kenneth Høstland Kontrollert: Marina Davidian Godkjent: John Møst Side: 10 av 22 Policy for informasjonssikkerhet Avslutning eller endring av tilsetting 3.3.8 Informasjonssikkerhet ansvar og plikter som forblir gyldig etter opphør eller endring av ansettelsesforholdet skal defineres, formidles til den ansatte eller tredjeparts brukere og håndheves. 3.4 Forvaltning av eiendeler Ansvar for eiendeler 3.4.1 Oversikt over alle informasjonsaktiva skal utarbeides og vedlikeholdes der det blant annet skal fremgå (ikke avgrenset til); informasjonens art (personopplysninger, sensitive personopplysninger, annen informasjon med betydning for informasjonssikkerheten), systemeier, hjemmel, hvor lagret og hvordan sikret. 3.4.2 Alle informasjonsaktiva skal ha entydig eierskap 3.4.3 Retningslinjer for akseptabel bruk av informasjonsaktiva og IT systemer skal identifiseres, dokumenteres og implementeres. 3.4.4 Ansatte og tredjeparts brukere skal tilbakelevere virksomhetens eiendeler ved avslutning av arbeidsforholdet. Klassifikasjon av informasjon 3.4.5 Informasjon skal klassifiseres med hensyn til regulatoriske krav, verdi, kritikalitet og konfidensialitet. • Følgende kategorier for konfidensialitet gjelder: Sensitiv Informasjon av sensitiv art hvor uautorisert tilgang (også internt) kan medføre betydelig skade for enkeltpersoner, universitetet eller deres interesser. Sensitiv informasjon er her synonymt med forvaltningslovens «Unntatt Offentlighet» og sensitive personopplysninger iht. personopplysningslovens § 2-8. Slik informasjon skal sikres i «røde» soner, ref. kapittel 3.6.27. Intern Informasjon som kan skade UiS eller være upassende at tredjepart får kjennskap til. Systemeier avgjør tilgangs- og delingsmåte. Åpen Annen informasjon er åpen. 3.4.6 3.4.7 UiS skal ha prosedyrer for merking av informasjon og som er i tråd med klassifikasjonen. Det skal utarbeides og implementeres prosedyrer for håndtering av eiendeler og som er i samsvar med virksomhetens klassifiseringssystem. Håndtering av lagringsmedier 3.4.8 Det skal implementeres prosedyrer for administrasjon og håndtering av flyttbare lagringsmedier og som er i henhold til virksomhetens klassifikasjonssystem. 3.4.9 Lagringsmedier skal avhendes på en sikker måte når disse ikke lenger skal brukes og ved bruk av skriftlig prosedyre. Versjon: 1.3 Dato: 05.02. 2015 Forfatter: Kenneth Høstland Kontrollert: Marina Davidian Godkjent: John Møst Side: 11 av 22 Policy for informasjonssikkerhet 3.4.10 Når lagringsmedier transporteres skal dette skje slik at lagringsmediet og informasjonen er beskyttet mot uautorisert tilgang, misbruk eller annen type skade. 3.5 Tilgangskontroll Virksomhetsmessige krav 3.5.1 Virksomheten skal ha en skriftlig tilgangs- og passordpolicy som er basert på virksomhets- og sikkerhetsmessige krav og behov. Tilgangspolicyen skal revideres regelmessig. • Tilgangspolicyen skal inneholde retningslinjer for endringsfrekvens, passordregler (minimumslengde, type karakterer som kan/skal benyttes mv.) og hvordan passordet kan lagres. 3.5.2 Brukere skal bare gis tilgang til nettverk og nettverks tjenester som de har blitt autorisert til å bruke. Tilgangskontroll for brukere 3.5.3 Det skal benyttes en formell registrerings- og av-registreingsprosedyre for registrering av bruker tilganger. 3.5.4 Det skal benyttes en formell prosess for tilordning, endring og fjerning av brukertilganger for alle typer systemer og tilganger. 3.5.5 Tildeling og bruk av privilegerte tilgangsrettigheter skal være begrenset og kontrollert. 3.5.6 Tildeling av autentiseringsinformasjon som skal holdes skjult skal styres gjennom en formell prosess. 3.5.7 Eiere av informasjonsaktiva skal gjennomgå brukernes tilgangsrettigheter med jevne mellomrom. 3.5.8 Tilgangsrettighetene til virksomhetens informasjon for alle ansatte og tredjeparts brukere til skal fjernes ved opphør av arbeidsforholdet, kontrakt eller avtale, eller justeres ved endring. Brukernes ansvar 3.5.9 Det skal kreves at brukere følger virksomhetens praksis for behandling av informasjon med beskyttelsesbehov. System og applikasjonstilgang 3.5.10 Tilgang til informasjon og funksjoner i applikasjoner skal være begrenset i samsvar med retningslinjer for tilgangskontroll. 3.5.11 Der det følger av retningslinjer for tilgangskontroll, skal tilgang til systemer og programmer styres av en sikker påloggingsprosedyre. 3.5.12 Passord styringssystemer skal være interaktiv og skal sikre kvalitets passord. 3.5.13 Bruken av hjelpeprogrammer som kan være i stand til å overstyre systemet og applikasjonskontroller skal begrenses og kontrolleres. 3.5.14 Tilgang til kildekode til programmer skal begrenses. Versjon: 1.3 Dato: 05.02. 2015 Forfatter: Kenneth Høstland Kontrollert: Marina Davidian Godkjent: John Møst Side: 12 av 22 Policy for informasjonssikkerhet 3.6 Kryptering Bruk av kryptering 3.6.1 Virksomheten skal ha retningslinjer og prosedyrer for bruk av kryptering for beskyttelse av informasjon. 3.6.2 Virksomheten skal ha retningslinjer og prosedyrer for håndtering av kryptografiske nøkler og som varer i hele livssyklusen. 3.7 Informasjonssikkerhet knyttet til fysiske forhold Sikkerhetsområder 3.7.1 Sikkerhets soner skal defineres og brukes for å beskytte områder som inneholder enten sensitive eller kritisk informasjon og informasjon prosessanlegg. 3.7.2 Sikre områder skal beskyttes med passende oppføring kontroller for å sikre at kun autorisert personell får tilgang. Følgende soneinndeling skal benyttes: Sikringsnivå Område Sikring Grønn Alt er i utgangspunktet tilgjengelig. Studentområder og kantine. Ingen adgangskontroll. All utskrift skal beskyttes med «Follow me»funksjonalitet. Områder hvor det arbeidstiden kan forefinnes intern informasjon. Kontorlokaler, møterom, noen arkiver, noen tekniske rom slik som koblingsrom, skriverrom. All utskrift skal beskyttes med «Follow me»funksjonalitet. Adgangskontroll: Hovednøkkel/nøkkelkort Avgrensede områder hvor spesiell autorisasjon kreves. Datarom/serverrom/arkiver o.l. med sensitiv informasjon. All utskrift skal beskyttes med «Follow me»funksjonalitet. Adgangskontroll: Hovednøkkel/nøkkelkort Gul Rød 3.7.3 3.7.4 3.7.5 3.7.6 Versjon: 1.3 Fysisk sikring av kontorer, rom og fasiliteter skal utformes og iverksettes Fysisk beskyttelse mot naturkatastrofer, ondsinnet angrep eller ulykker skal utformes og anvendes. Prosedyrer for å arbeide i sikre områder skal utformes og anvendes. Tilgangspunkter for eksempel leverings og lasteområder og andre steder hvor uvedkommende kan komme inn i lokalene skal kontrolleres og om mulig, isolert fra informasjon prosessanlegg for å unngå uautorisert tilgang Dato: 05.02. 2015 Forfatter: Kenneth Høstland Kontrollert: Marina Davidian Godkjent: John Møst Side: 13 av 22 Policy for informasjonssikkerhet Sikring av utstyr 3.7.7 Utstyr skal plasseres og beskyttes for å redusere risikoen fra miljøtrusler og farer, og muligheter for uautorisert tilgang. 3.7.8 Utstyr skal beskyttes mot strømbrudd og andre avbrudd grunnet svikt i fysiske rammebetingelser. 3.7.9 Strøm og telekommunikasjon kabling bærer data eller en fokusert satsing informasjonstjenester skal beskyttes mot avlytting, forstyrrelser eller skade. 3.7.10 Utstyr skal være riktig vedlikeholdt for å sikre dens fortsatte tilgjengelighet og integritet. 3.7.11 Utstyr, informasjon eller programvare skal ikke tas ut av virksomheten uten forhåndsgodkjennelse. 3.7.12 Ved anvendelse av virksomhetens verdier utenfor virksomheten skal det tas hensyn til de ulike risikoene ved å arbeide utenfor virksomhetens lokaler. Jf. POF § 2-10. • Informasjon klassifisert som «Sensitiv» skal i prinsippet ikke lagres på bærbart datautstyr (f.eks. laptop, mobiltelefon eller minnepinner). Dersom det er nødvendig å lagre slik informasjon på bærbart utstyr, skal informasjonen passord beskyttes og / eller krypteres iht. IT-avdelingens retningslinjer. 3.7.13 Ved avhending eller omdisponering av IT utstyr skal alle sensitive data og programmer slettes. 3.7.14 Brukere skal sørge for at ubetjent utstyr har relevant beskyttelse. 3.7.15 Virksomheten skal ha en «Clear desk» policy for papirer flyttbare medier og «Clear screen» policy. 3.8 Sikkerhet knyttet til drift Operasjonelle prosedyrer og ansvarsområder 3.8.1 Driftsprosedyrer skal dokumenteres og gjøres tilgjengelig for alle som trenger dem. 3.8.2 Endringer i virksomheten, forretningsprosesser eller informasjons prosessering og systemer med betydning for informasjonssikkerhet skal bli kontrollert. 3.8.3 Ressursbruken skal overvåkes, tunes og det skal gjennomføres kapasitetsplanlegging som hensyn tar fremtidige ytelseskrav. 3.8.4 Utvikling, test og vedlikehold skal separeres for å redusere risikoen for uautorisert tilgang eller uautoriserte endringer og for å redusere risikoen for feilsituasjoner. 3.8.5 Lokale IT løsninger ved fakultetene skal være rettet mot spesielle behov ved den enkelte enhet. Det skal legges til rette for at lokale IT løsninger ved UiS kan dra nytte av fellestjenester som tilbys via den sentrale IT tjenesten uavhengig av hvilken teknologi som benyttes lokalt og uavhengig av organisatorisk tilhørighet v/UiS. Beskyttelse mot skadelig kode 3.8.6 Tiltak for å beskytte mot ondsinnet og/eller skadelig kode skal inkludere deteksjon, forebygging og gjenoppretting. Versjon: 1.3 Dato: 05.02. 2015 Forfatter: Kenneth Høstland Kontrollert: Marina Davidian Godkjent: John Møst Side: 14 av 22 Policy for informasjonssikkerhet Sikkerhetskopiering 3.8.7 Sikkerhetskopiering av informasjon, programvare og system «images» skal gjennomføres og testes regelmessig i henhold til de krav som foreligger for dette. Logging og overvåkning 3.8.8 Logging av all autorisert bruk, forsøk på uautorisert bruk, feilsituasjoner og sikkerhets hendelser for øvrig skal logges. Loggene skal lagres i minst 3 måneder, Jf. POF 2- 16. 3.8.9 Loggene skal være beskyttet mot manipulering og uautorisert tilgang. 3.8.10 Aktivitetene til systemadministratorer og systemoperatører skal loggføres og loggene skal beskyttes og gjennomgås periodisk. 3.8.11 Systemklokkene til alle relevante systemer skal synkroniseres til den samme referansekilden. Kontroll av programvarer 3.8.12 Virksomheten skal ha prosedyrer på plass for kontrollere installasjon av programvarer. Kontroll av sårbarheter 3.8.13 Sårbarheter i relevante systemer skal kartlegges jevnlig og risikoreduserende tiltak implementeres. 3.8.14 Det skal være retningslinjer som regulerer brukernes installasjon av programvarer. Informasjonssystemer og revisjonshensyn 3.8.15 Krav til revisjon og verifikasjon av systemer skal være planlagt for å minimalisere driftsforstyrrelser. 3.9 Kommunikasjons sikkerhet Nettverksstyring 3.9.1 Nett skal administreres og kontrolleres slik at informasjon i systemer og applikasjoner beskyttes. 3.9.2 Sikkerhetsmekanismer, tjeneste nivåer (SLA) og ledelsens krav til alle nettverkstjenester skal identifiseres og inngå i tjeneste avtaler, enten disse tjenestene er levert internt eller eksternt. 3.9.3 Informasjon, systemer, og brukere skal segregeres i henhold til klassifikasjon i klassemodell / soneforskrift. Utveksling av informasjon 3.9.4 Virksomheten skal ha retningslinjer for utveksling av informasjon slik at dette skjer med tilstrekkelig sikkerhet. 3.9.5 Utveksling av informasjon med eksterne parter skal reguleres i egne avtaler 3.9.6 Informasjon involvert i elektronisk meldingsformidling skal være tilstrekkelig beskyttet. 3.9.7 Krav til konfidensialitet og taushetserklæring skal identifiseres, beskrives og gjennomgås regelmessig. Versjon: 1.3 Dato: 05.02. 2015 Forfatter: Kenneth Høstland Kontrollert: Marina Davidian Godkjent: John Møst Side: 15 av 22 Policy for informasjonssikkerhet 3.10 Systemutvikling og vedlikehold Sikkerhetskrav til informasjonssystemer 3.10.1 Krav til Informasjonssikkerhet skal beskrives for nye informasjonssystemer og endringer i / videreutvikling av eksisterende. 3.10.2 Informasjon som sendes over offentlige nettverk skal beskyttes mot svindelforsøk, kontraktsbrudd og uautorisert innsyn eller modifikasjon. 3.10.3 Informasjon involvert i programtjenestetransaksjoner skal være beskyttet for å hindre ufullstendig overføring, feilsending, samt uautorisert endring, utlevering, uautorisert melding duplisering eller kopiering. Sikkerhet i utvikling og drifts prosesser 3.10.4 Virksomheten skal ha retningslinjer for systemutvikling. 3.10.5 Endringer i utviklingsmiljøet skal følge gjeldende rutiner. 3.10.6 Ved endringer i driftsmiljøet skal virksomhetskritiske systemer gjennomgås og testes for å sikre mot uheldige følger av endringene. 3.10.7 Modifikasjoner i programvarepakker og systemer skal begrenses til det nødvendige og nøye kontrolleres. 3.10.8 Det skal etableres prinsipper for utvikling av sikre systemer og som dokumenteres, vedlikeholdes og gjennomføres i implementasjonsfasen. 3.10.9 Virksomheten skal etablere og tilstrekkelig beskytte utviklingsmiljøet og integrasjonsarbeidet og som dekker hele livssyklusen. 3.10.10 Virksomheten skal føre tilsyn med utviklingsarbeid som er utkontraktert 3.10.11 Det skal gjennomføres testing av sikkerhetsfunksjonalitet i utviklingsfasen. 3.10.12 Det skal etableres kriterier for akseptansetesting for nye systemer, oppgraderinger og nye systemversjoner. Test data 3.10.13 3.11 Test data skal velges med omhu, beskyttes og kontrolleres Databehandlere Informasjonssikkerhet hos Databehandlere 3.11.1 Krav til informasjonssikkerhet og tiltak for å redusere risiko forbundet med Databehandlers tilgang til UiS sine verdier skal beskrives i Databehandleravtalen. 3.11.2 Avtaler med leverandører som lagrer, behandler, overfører informasjon eller leverer infrastrukturtjenester, skal beskrive alle relevante krav til informasjonssikkerhet, herunder (ikke avgrenset til) o krav til konfidensialitet, integritet og tilgjengelighet, o beskrivelse av avtalt sikkerhetsnivå, o krav til fortløpende rapportering av avvik fra leverandør, o beskrivelse av hvordan virksomheten kan etterprøve at leverandørene oppfyller avtalene, o beskrivelse av virksomhetens rett til revisjon Versjon: 1.3 Dato: 05.02. 2015 Forfatter: Kenneth Høstland Kontrollert: Marina Davidian Godkjent: John Møst Side: 16 av 22 Policy for informasjonssikkerhet Exit avtale inklusive sletting av data, bistand til eventuell overgang til annen databehandler 3.11.3 Databehandleravtaler skal inneholde krav som adresserer risikostyring i forhold til informasjonsbehandling og bruk av kommunikasjonstjenester. o Tjenesteleveranse 3.11.4 Virksomheten skal regelmessig overvåke, gjennomgå og revidere databehandlere / leverandører 3.11.5 Endringer i tjenesteleveranser fra databehandlere og som inkluderer vedlikehold og forbedring av eksisterende retningslinjer, prosedyrer og kontroller skal hensyn ta kritikaliteten til informasjonen som behandles og systemene som benyttes. Det skal gjennomføres risikovurderinger ved endringer som har betydning for informasjonssikkerheten. Håndtering av sikkerhetshendelser og avvik 3.11.6 Det skal etableres ansvar og prosedyrer for å sikre en rask, effektiv og ryddig respons til sikkerhetshendelser. 3.11.7 Sikkerhetshendelser skal rapporteres gjennom hensiktsmessige kanaler så raskt som mulig. Sikkerhetshendelser skal rapporteres til: [email protected] eller linjevei eller direkte til CSO. 3.11.8 Ansatte og databehandlere som bruker virksomhetens informasjonssystemer og tjenester skal rapportere eventuelle observerte eller mistenkte sårbarheter i systemer eller tjenester. 3.11.9 Det skal vurderes om sikkerhets hendelser skal klassifiseres som avvik. Bruk av informasjonssystemer i strid med fastlagte rutiner, og sikkerhetsbrudd, skal behandles som avvik. 3.11.10 Informasjonssikkerhetshendelser skal håndteres i henhold til dokumenterte prosedyrer. 3.11.11 Kunnskap fra analyse og skadereduksjon/løsning skal beskrives og benyttes til å redusere sannsynligheten eller konsekvensene av fremtidige hendelser. 3.11.12 Virksomheten skal ha prosedyre for bevis håndtering. Versjon: 1.3 Dato: 05.02. 2015 Forfatter: Kenneth Høstland Kontrollert: Marina Davidian Godkjent: John Møst Side: 17 av 22 Policy for informasjonssikkerhet 3.12 Kontinuitetsplanlegging 3.12.1 Virksomheten skal fastsette sine krav til informasjonssikkerhet og kontinuitet i kriser og katastrofer og som inkluderer sikkerhetsledelse. Tabellen nedenfor gjenspeiler BIA (Business Impact Analysis) prosessen som ble gjennomført i 2011. Klasse og kritikalitet A – Høy B - Medium Krise Katastrofe RTO RPO RTO RPO Innen 2 timer med full funksjonalitet og kapasitet 2t Med redusert drift innen 1 dag, 100% innen 7 dager. 2t Inntil 8 timer med full funksjonalitet og kapasitet 1 døgn Innen 7 dager med full funksjonalitet og kapasitet 1 døgn Inntil 1 uke med full funksjonalitet. 1 uke Innen 3 uker med redusert drift og innen 4 uker med full funksjonalitet og kapasitet 1 uke C - Lav 3.12.2 Virksomheten skal etablere, dokumentere, iverksette og vedlikeholde prosesser, prosedyrer og kontroller for å sikre den nødvendige nivå av kontinuitet i ugunstige situasjoner. 3.12.3 Kontinuitetsplanen(e) skal testes periodisk for å sikre at den er dekkende, og sikre at ledelse og ansatte forstår gjennomføringen. Redundans 3.12.4 IT systemene skal tilstrekkelig redundans for å oppfylle kravene til tilgjengelighet. 3.13 Samsvar Samsvar med juridiske krav 3.13.1 UiS skal følge gjeldende lovverk og kontrakter der virksomhetens tiltak for å etterleve disse skal dokumenteres. 3.13.2 Hensiktsmessige prosedyrer skal iverksettes for å sikre samsvar med lover, forskrifter og avtalefestede krav samt kravknyttet til åndsverk 3.13.3 Registre skal være beskyttet mot tap, ødeleggelse, forfalskning, uautorisert tilgang og uautorisert utgivelse, i samsvar med regulatoriske, kontraktsmessige og forretningsmessige krav. 3.13.4 Personopplysninger skal beskyttes i henhold til Personopplysningsloven (POL) med forskrift (POF). 3.13.5 Kryptering skal benyttes i samsvar med alle relevante avtaler, lover og regler, Jf. POF § 2-11. Versjon: 1.3 Dato: 05.02. 2015 Forfatter: Kenneth Høstland Kontrollert: Marina Davidian Godkjent: John Møst Side: 18 av 22 Policy for informasjonssikkerhet Gjennomgang av informasjonssikkerheten 3.13.6 UiS sitt internkontrollsystem for informasjonssikkerhet (planlagte og systematiske tiltak (Jf POL § 14) skal gjennomgås av ekstern IT revisor ved planlagte intervaller eller ved vesentlige endringer. 3.13.7 Ledere skal jevnlig gjennomgå etterlevelse av informasjonsbehandling og prosedyrer innenfor sitt ansvarsområde i forhold til sikkerhetsrutiner, standarder og eventuelle andre krav til sikkerhet. 3.13.8 Informasjonssystemene skal jevnlig gjennomgås for samsvar med virksomhetens informasjonssikkerhet retningslinjer og standarder. 4.0 STYRENDE DOKUMENTER FOR SIKKERHETSARBEIDET 4.1 Formål med styrende dokumenter Styrende dokumenter for informasjonssikkerhet skal bidra til å oppnå et balansert nivå på tiltak i forhold til den risiko og de rammebetingelser UiS står overfor. Det skal eksistere dokumenterte krav og retningslinjer knyttet til informasjonssikkerhet basert på oppdaterte risikoanalyser. De øvrige systemer og infrastruktur skal være dekket av gode basis kontroller innen informasjonssikkerhet som til enhver tid skal etterleves. 4.2 Dokumentstruktur Nivå 1: Sikkerhetspolicy definerer mål, hensikt, ansvar og overordnede krav. I tillegg gir denne en oversikt over de etablerte styrende dokumenter knyttet til informasjonssikkerhet og hvorfor dette er viktig. Dette er styrende dokumentasjon. Nivå 2: Overordnede retningslinjer og prinsipper for informasjonssikkerhet. Her defineres hva som må gjøres for å etterleve den etablerte policy. Dette er styrende dokumentasjon. Hvorfor Hva Hvordan Nivå 3: Standarder og prosedyrer for informasjonssikkerhet. Inneholder detaljerte retningslinjer for hvordan disse retningslinjer og prinsipper (nivå 2) skal implementeres. Dette bør etter hvert etableres for alle sentrale informasjonssystemer. Dette er gjennomførende og kontrollerende dokumentasjon. 4.2.1 Versjon: 1.3 UiS har organisert dokumentstrukturen for beskrivelse av sin sikkerhetsarkitektur i 3 nivåer. Den etablerte struktur for styrende dokumenter for IKT-sikkerhetsarbeidet er som følger: Dato: 05.02. 2015 Forfatter: Kenneth Høstland Kontrollert: Marina Davidian Godkjent: John Møst Side: 19 av 22 Policy for informasjonssikkerhet 5.0 REFERANSER 5.1 Interne referanser – prosedyrer for IT avdelingen Versjon Versjon: 1.3 Dato Dato: 05.02. 2015 Kontroller / kommentar Ansvarlig IT-reglement for UiS – ref. IT avdelingens intranett side http://www.uis.no/it-avdelingen/ IT direktør Risikostyrings rammeverk, ref. IT avdelingens intranett side Alle For driftsdokumentasjon relatert til IT drift – ref. egen Sharepoint site v/UiS-IT. IT direktør For åpne dokumenter, HR reglement, Taushetserklæring, mv: http://www.uis.no/omuis/organisasjonen/administrasjon/hr-avdelingen/ Alle Forfatter: Kenneth Høstland Kontrollert: Marina Davidian Godkjent: John Møst Side: 20 av 22 Policy for informasjonssikkerhet 5.2 Eksterne referanser Referanser [1] ISO 27002 Informasjonsteknologi – Administrasjon av informasjonssikkerhet (ISO/IEC 17799:2005) [2] ISO/IEC 27001: 2005 Information security – Security techniques – Information security management systems – Requirements [3] ISO/IEC 27002: 2005 Information security – Security techniques – Code of practice for information security management. [4] ISO/IEC 27005: 2008 Information security – Security techniques – Information security risk management. [5] Lov om personopplysninger: http://www.lovdata.no/all/hl-20000414-031.html [6] Lov om arkiv (arkivlova): http://www.lovdata.no/all/nl-19921204-126.html [7] Lov om årsregnskap m.v. (regnskapsloven): http://www.lovdata.no/all/nl-19980717056.html [8] Lov om statens tjenestemenn m.m. (tjenestemannsloven): http://www.lovdata.no/all/nl19830304-003.html [9] Lov om universiteter og høyskoler (universitetsloven): http://www.lovdata.no/all/hl20050401-015.html [10] Lov om elektronisk signatur (esignaturloven): http://www.lovdata.no/all/hl20010615-081.html [11] Lov om opphavsrett til åndsverk m.v. (åndsverkloven): http://www.lovdata.no/all/nl19610512-002.html [12] ”Kommuneveiledningen” (Veiledning i informasjonssikkerhet for kommuner og fylker"): http://www.datatilsynet.no/upload/Dokumenter/infosik/veiledere/tv202_2005_1.pdf [13] Datatilsynet: Veileder for bruk av tynne klienter: http://www.datatilsynet.no/upload/Dokumenter/infosik/veiledere/Veileder_tynneklient er.pdf [14] Datatilsynet: Kryptering: http://www.datatilsynet.no/templates/article____889.aspx [15] Datatilsynet: Risikovurdering: http://www.datatilsynet.no/upload/Dokumenter/infosik/veiledere/Risikovurdering_TV506_02.pdf http://www.sfso.no/upload/forvaltning_og_analyse/risikostyring/NY_Metodedokument _06012006.pdf [16] OECDs retningslinjer - for sikkerhet i informasjonssystemer og nettverk - Mot en sikkerhetskultur. http://www.oecd.org/dataoecd/16/5/15584616.pdf [17] Nasjonal Sikkerhetsmyndighet (NSM): Veiledning i risiko- og sårbarhetsanalyse (ROS). http://www.nsm.stat.no/Documents/Veiledninger/ROS_2004_veiledning.pdf Versjon: 1.3 Dato: 05.02. 2015 Forfatter: Kenneth Høstland Kontrollert: Marina Davidian Godkjent: John Møst Side: 21 av 22 Policy for informasjonssikkerhet [18] Senter for statlig økonomistyring: Risikostyring i staten – Håndtering av risiko i mål- og resultatstyringen http://www.sfso.no/upload/forvaltning_og_analyse/risikostyring/NY_Metodedokument _06012006.pdf [19] UFS 107: Krav til strømforsyning av IKT-rom. Fagspesifikasjon fra UNINETT. https://ow.feide.no/_media/gigacampus:ufs103.pdf [20] UFS 108: Krav til ventilasjon og kjøling i IKT-rom. Fagspesifikasjon fra UNINETT. https://ow.feide.no/_media/gigacampus:ufs108.pdf [21] UFS 122: Anbefalt IT-infrastruktur i UH-sektoren. Fagspesifikasjon fra UNINETT.(Utkast). https://ow.feide.no/_media/gigacampus:ufs:ufs_122_v1.0.pdf Versjon: 1.3 Dato: 05.02. 2015 Forfatter: Kenneth Høstland Kontrollert: Marina Davidian Godkjent: John Møst Side: 22 av 22
© Copyright 2024