Isprinsipper (.pdf) - Høgskolen i Gjøvik
Download
Report
Transcript Isprinsipper (.pdf) - Høgskolen i Gjøvik
Informasjonssikkerhetsprinsipper
Ver. 1.0
Mai 2012
Versjonskontroll og godkjenning
Dokumenthistorie
Versjon
0.1 (UTKAST-1)
0.1 (UTKAST-2)
0.2 (UTKAST-1)
0.3 (UTKAST-1)
0.4
0.5
0.6
0.7
Dato
10.07.2010
12.07.2010
27.10.2010
29.11.2011
04.01.2012
11.02.2012
13.03.2012
20.03.2012
Forfatter
Christoffer Hallstensen
Christoffer Hallstensen
Christoffer Hallstensen
Christoffer Hallstensen
Christoffer Hallstensen
Christoffer Hallstensen
Christoffer Hallstensen
Christoffer Hallstensen
0.8
23.05.2012
Christoffer Hallstensen
1.0
29.05.2012
Christoffer Hallstensen
Godkjennelse
Versjon
Navn
Dato
Rolle
i
Endringsbeskrivelse
Opprettelse
Generalisering
Rettet diverse feil
Lagt til Roller og ansvarsområder"
Lagt til "Akademiske data"
Lagt til Sikkerhetsorganisasjon"
Endret til ny struktur
Skrevet om sanksjoner og fjernet redundante punkter
Høgskoleledelsen er byttet ut med rektor
Policy og prinsipper splittet i to dokumenter.
Versjonskontroll . . . . . . . . . . . . . . . . . .
Innhold . . . . . . . . . . . . . . . . . . . . . . .
1 Prinsipper for Informasjonssikkerhet . . . .
1.1 Begreper og definisjoner . . . . . . . . .
1.2 Oppfølging og revisjon . . . . . . . . . .
1.3 Sikkerhetsorganisasjon . . . . . . . . . .
1.4 Klassifisering og informasjonskontroll . .
1.5 Akademiske data . . . . . . . . . . . . .
1.6 Personell og studenter . . . . . . . . . .
1.7 Fysisk sikkerhet . . . . . . . . . . . . . .
1.8 Tilgangskontroll . . . . . . . . . . . . .
1.9 Kommunikasjon og driftsadministrasjon
1.10 Systemutvikling og vedlikehold . . . . .
1.11 Risikostyring . . . . . . . . . . . . . . .
1.12 Hendelseshåndtering og beredskap . . .
1.13 Kontinuitet . . . . . . . . . . . . . . . .
1.14 Samsvar . . . . . . . . . . . . . . . . . .
1.15 Konsekvenser og sanksjoner . . . . . . .
2 Roller og ansvarsområder . . . . . . . . . .
2.1 Sikkerhetsansvarlige . . . . . . . . . . .
2.2 Systemansvarlige . . . . . . . . . . . . .
ii
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
i
ii
1
1
3
3
3
4
4
4
5
5
5
6
6
7
7
7
8
8
8
1
1.1
Prinsipper for Informasjonssikkerhet
Begreper og definisjoner
Autentisering: Bevis for at en person eller program er den/det man utgir seg for å være.
Autorisasjon: Bemyndiggjørelse, godkjenning eller innen sikkerhet; tillatelse til å utføre visse
oppgaver og/eller få tilgang til visse informasjonsressurser.
Behandlingsansvarlig: Person eller avdeling som formelt er ansvarlig for et informasjonssystem
og/eller at informasjon behandles og forvaltes iht. lover og forskrifter.
Beredskap: Evne til å håndtere og redusere skadevirkninger av uønskede hendelser som kan
føre til skade eller tap av eiendeler.
Data: Meningsnøytrale forekomster av tekst, tall eller lignende bærere av verdier som kan inngå
i eller bidra til å forme informasjon.
Endringshåndtering: (ref: ISO 20000) En strukturert prosess som sikrer at ingen uautoriserte
eller dårlig testede endringer gjøres på produksjonsystemer.
Hendelse: en tilstand som er et avvik i fra normalen.
Hendelseshåndtering: (ref: ISO 20000) En strukturert prosess for å respondere på en hendelse
og gjenopprette normal drift.
Informasjonsressurs: Enhver avgrenset mengde informasjon som er tilgjengelig i en hvilken
som helst form av eller for HiG, kan også være klassifisert informasjon.
Informasjonssikkerhet: Beskytte konfidensialitet, integritet og tilgjengelighet for all
informasjon på alle informasjonsressurser under prosessering, transport og lagring.
Infrastruktur: En infrastruktur er en kombinasjon av administrative og organisatoriske tiltak,
samt teknisk anlegg og utstyr, som skal til for at en organisasjon skal fungere på en
tilfredstillende måte.
IKT-infrastruktur: Omfatter maskinvare, programvare, nettverk, telefoni, lokaler, omgivelser og
andre spesielle forhold som inngår i utvikling, forvaltning og drift av IKT-systemer.
Integritet: Sikre at informasjon er riktig, nøyaktig og gyldig, og at databehandling som utføres
er fullstendig.
Katastrofe: En hendelse eller en serie av hendelser som setter organisasjonen ut av stand til å
utføre virksomhetskritiske oppgaver i en gitt periode, som fører til stor skade og/eller tap.
Konfidensialitet: Sikkerhet om at kun autoriserte personer har tilgang til informasjonen og at
den ikke er tilgjengelig for uvedkommende.
Kritikalitet: En skala som indikerer viktigheten av informasjon eller
informasjonssystemer for organisasjonen basert på konsekvenser ved brudd på konfidensialitet,
integritet eller tilgjengelighet.
Policy: Formaliserte overordnede mål og prinsipper.
Retningslinje: Pekepinn på hvordan en skal rette seg etter policy for at mål skal kunne nås.
Risiko: Innen informasjonssikkerhet er risiko en funksjon av sannsynligheten eller muligheten
for at en sikkerhetshendelse/trussel inntreffer og hvor mye skade dette vil medføre.
1
Informasjonssikkerhetsprinsipper
Sikkerhetsorganisasjon: Hvordan sikkerheten skal organiseres innen organisasjonen.
Sikkerhetshendelse: En tilstand som avviker fra normalen hvor konfidensialitet, integritet eller
tilgjengelighet svekkes.
Systemeier: Juridisk eier av et informasjonssystem.
Tilgjengelighet: At informasjon og informasjonssystemer altid er tilgjengelige og operasjonelle
ved behov.
LMS: Learning Management System (eLæringsplattform).
2
Informasjonssikkerhetsprinsipper
1.2
Oppfølging og revisjon
1.2.1
Høgskoleledelsen skal aktivt sørge for at policy, retningslinjer og prosedyrer blir
opprettet, fulgt opp og benyttet.
1.2.2
Høgskoleledelsen skal tilrettelegge for at ansatte og studenter får riktig materiell og
opplæring i å beskytte høgskolens eiendeler og informasjon.
1.2.3
Informasjonssikkerhetspolicy og prinsipper skal revideres minimum hvert 2. år for å
sikre relevans overfor dagens trusselbilde og dekke Høgskolen i Gjøviks mål innen
informasjonssikkerhet.
1.3
Sikkerhetsorganisasjon
1.3.1
Høgskolen i Gjøvik skal ha et informasjonssikkerhetsråd, en arbeidsgruppe som
består av personer med ulik erfaring fra forskjellige deler av organisasjonen.
1.3.2
Informasjonssikkerhetsrådet har i ansvar å revidere, vedlikeholde og videreutvikle
informasjonssikkerhetspolicyen og prinsipper med tilhørende retningslinjer, samt
arbeide med andre sikkerhetsrelaterte oppgaver gitt av rektor.
1.4
Klassifisering og informasjonskontroll
1.4.1
Informasjon, infrastruktur og rutiner skal tilpasses og klassifiseres i henhold til
nødvendig sikkerhetsnivå og behov for tilgang.
1.4.2
Klassifiserte eiendeler og informasjon skal merkes tydelig og om nødvendig forsegles
av behandlingsansvarlig.
1.4.3
Høgskolen i Gjøvik skal ha retningslinjer og standarder for
informasjonsklassifisering. Det er rektor sitt ansvar at dette er på plass.
1.4.4
Høgskolen i Gjøvik skal ha retningslinjer og prosedyrer for lagring, transport,
behandling og tilgang til klassifisert informasjon og eiendeler av typen begrenset
eller konfidensiell. Alle eiendeler og informasjon som er uklassifisert regnes som
åpen.
1.4.5
Informasjonsressurser som behandles av høgskolen skal ha en behandlingsansvarlig.
1.4.6
Informasjonsressurser som behandles på oppdrag fra høgskolen av en tredjepart skal
ha en ansvarlig som er tilsatt ved høgskolen.
1.4.7
Informasjon skal klassifiseres i tre kategorier:
•
ÅPEN: Informasjon som ikke inneholder intern eller sensitive opplysninger.
•
BEGRENSET: Informasjon som regnes som intern og kan være skadende for
Høgskolen i Gjøviks omdømme eller ikke er passende for en tredjepart.
Systemeier avgjør behandling og lagring.
•
KONFIDENSIELL: Sensitiv informasjon hvor uautorisert tilgang kan medføre
betydelig skade for enkeltpersoner, høgskolen eller deres interesser. Konfidensiell
er synonymt med forvaltningslovens ”Unntatt offentlighet”.
3
Informasjonssikkerhetsprinsipper
1.5
Akademiske data
1.5.1
Høgskolen i Gjøvik skal ha klare retningslinjer for lagring, behandling og
transportering av forskningsdata i henhold til konfidensialitet, integeritet,
tilgjengelighet og gjeldende lovverk der dette er nødvendig.
1.5.2
Høgskolen i Gjøvik skal ha adekvate retningslinjer for behandlig, lagring og
transportering av studentprodusert data.
1.6
Personell og studenter
1.6.1
Høgskolen i Gjøvik skal ha klare retningslinjer og prosedyrer for tilsettelse, avgang
og ved endring av arbeidsforhold.
1.6.2
Høgskolen i Gjøvik skal ha klare retningslinjer og prosedyrer for opptak, endring,
avgang og behandling av studentrelatert informasjon.
1.6.3
Ansatte og studenter ved Høgskolen i Gjøvik skal til enhver tid kunne legitimere seg
med ansatt-/studentkort ved ferdsel på området og ved bruk av høgskolens
informasjonssystemer og andre eiendeler.
1.6.4
Nødvendig informasjon om vilkår og bruk av Høgskolen i Gjøviks IT-infrastruktur,
samt sikkerhetspolicy og retningslinjer, skal finnes tilgjengelig på Internett, Fronter
eller andre relevante informasjonskanaler.
1.6.5
Høgskolen i Gjøvik skal ha retningslinjer for utlevering av informasjon om studenter
og ansatte til en tredjepart.
1.7
Fysisk sikkerhet
1.7.1
Alt fysisk utstyr høgskolen enten eier eller er forvalter for skal merkes og registreres
av hver avdeling etter egne retningslinjer. Det er avdelingsleder sitt ansvar at dette
er på plass.
1.7.2
Høgskolen i Gjøvik skal ha hensiktsmessige retningslinjer for sikring av alle lokaler
og fysiske soner etter klassifisering og kritikalitet.
1.7.3
Hensiktmessige lokaler og infrastruktur skal benyttes for å redusere risiko
for hendelser som brann, vannlekkasjer, tyveri, strømbrudd ol.
4
Informasjonssikkerhetsprinsipper
1.8
Tilgangskontroll
1.8.1
Informasjonssystemer skal ha retningslinjer for tilgangskontroll med
adekvat loggføring.
1.8.2
Autentisering skal, hvis ikke avvik er nødvendig, utføres via sentrale fellessystemer
for administrasjon, autentisering og autorisasjon av brukere og tjenester.
1.8.3
Systemeiere har ansvar for at systemet konfigureres med adekvat tilgangskontroll og
loggføring etter retningslinjer godkjent av rektor.
1.8.4
Infrastruktur skal settes opp på en hensiktsmessig måte slik at forskjellige fysiske og
logiske sikkerhetsnivå er adskilt. pkt. 2.7.2.
1.9
Kommunikasjon og driftsadministrasjon
1.9.1
Systemeier er ansvarlig for at systemer dokumenteres og at dokumentasjon
oppdateres ved endringer etter høgskolens definerte standard.
1.9.2
Hver avdeling har i ansvar å utvikle egne skriftlige retningslinjer og rutiner for å
oppfylle krav nedfelt i policy og prinsipper.
1.9.3
Retningslinjer for overvåkning av IKT-infrastruktur skal være definert.
1.9.4
Arbeidsoppgaver og ansvar skal fordeles på en måte som forebygger muligheter for
uautorisert tilgang og misbruk av høgskolens eiendeler.
1.9.5
Systemeier er ansvarlig for at det eksisterer retningslinjer og adekvate prosedyrer
for sikkerhetskopiering av egne systemer der dette er nødvendig. Systemeier eller
behandlingsansvarlig må ta stilling til dette.
1.10
Systemutvikling og vedlikehold
1.10.1
Kravspesifikasjoner på systemer og tjenester skal inneholde krav til
informasjonssikkerhet der det tas høyde for risikoer ved implementasjon og
utvikling.
1.10.2
Det skal finnes retningslinjer for loggføring og endringshåndtering av alle systemer
i produksjon.
1.10.3
Utvikling, test og vedlikehold/drift skal separeres for å forhindre uønskede
feilsituasjoner.
5
Informasjonssikkerhetsprinsipper
1.11
Risikostyring
1.11.1
Enhver behandlingsansvarlig skal ha foretatt en risikovurdering av informasjonsressurser vedkommende er ansvarlig for.
1.11.2
Risikohåndtering og vurdering skal foregå etter kriterier og retningslinjer godkjent
av rektor.
1.11.3
Det skal utføres risikovurderinger hvert 2. år for å identifisere og prioritere risiko
etter kriterier nedfelt i retningslinjer.
1.11.4
Behandlingsansvarlig skal vurdere behov for sikringstiltak i henhold til effektivitet,
kostnad og praktisk gjennomførbarhet.
1.11.5
Risikovurderinger skal godkjennes av høgskolens ledelse, systemeier eller
behandlingsansvarlig med fullmakt.
1.11.6
Ved uakseptabelt høy risiko skal det iverksettes tiltak som reduserer risiko til et
akseptabelt nivå.
1.11.7
Dersom en avdeling er i besittelse av personopplysninger skal avdelingen ta høyde
for dette ved risikovurdering, dette er behandlingsansvarlig sitt ansvar.
1.12
Hendelseshåndtering og beredskap
1.12.1
Høgskolen i Gjøvik skal ha beredskapsplaner og retningslinjer for
hendelseshåndtering for alle informasjonssystemer kritisk for operativ drift, dette
må være implementert på et organisatorisk nivå.
1.12.2
Høgskolen i Gjøvik skal ha retningslinjer og prosedyrer for rapportering av
sikkerhetshendelser. Det er systemeier sin oppgave å sørge for at disse eksisterer og
er implementert på egne systemer.
1.12.3
Høgskolen skal ha definert et eget beredskapsteam som skal kunne håndtere
sikkerhetsrelaterte hendelser og andre kriser.
6
Informasjonssikkerhetsprinsipper
1.13
Kontinuitet
1.13.1
Høgskolen i Gjøvik skal ha planer for kontinuitet som dekker alle kritiske elementer
for daglig operativ drift av bærende infrastruktur og informasjonssystemer.
1.13.2
Alle kontinuitetsplaner skal kvalitetssikres, oppdateres og testes minimum hvert 2.
år.
1.14
Samsvar
1.14.1
Høgskolen i Gjøvik skal følge opp og leve opp til gjeldende lover, forskrifter og
eksterne retningslinjer, deriblandt:
•
Arbeidsmiljøloven
•
Universitets og Høgskoleloven
•
Internkontroll-forskriften
•
Personopplysningsloven med forskrift
•
Regnskapsloven
•
Arkivloven med forskrifter
•
Offentleglova med forskrifter
•
Sikkerhetsloven med forskrifter
•
Forvaltningsloven med forskrifter
•
Helseforskningsloven
•
Forskrift om utfyllende tekniske og arkivfaglige bestemmelser om behandling av
offentlige arkiver
•
Datatilsynets krav
•
UNINETTs etiske retningslinjer
1.15
Konsekvenser og sanksjoner
1.15.1
Alle ansatte, studenter og eksterne oppdragsgivere er pålagt å forholde seg til og
følge denne sikkerhetspolicyen, tilhørende retningslinjer og regler godkjent av
rektor.
1.15.2
Ved brudd på sikkerhetspolicy og tilhørende retningslinjer kan det få konsekvenser
definert av rektor iht. gjeldende regelverk.
7
2
Roller og ansvarsområder
•
2.1
Sikkerhetsansvarlige
•
2.2
Sikkerhetspolicyeier: Inge Øystein Moen, Høgskoledirektør
IKT-Sikkerhetsansvarlig: Stian Husemoen, IT-leder
Systemansvarlige
•
Personalsystem: Jan Kåre Testad, personaldirektør
•
Arkiv: Jan Kåre Testad, personaldirektør
•
Studentsystem: Gunn Rognstad, studiedirektør
•
Økonomisystem: Kai Jakobsen, økonomidirektør
•
Web: Gunn Rognstad, studiedirektør
•
LMS: Gunn Rognstad, studiedirektør (evt. Rigmor Øvstetun)
•
Studiehåndbok: Gunn Rognstad, studiedirektør
•
IKT-infrastruktur: Stian Husemoen, IT-leder
•
Bibliotekssystemer: Klaus Jøran Tollan, Hovedbibliotekar
8