MENY

Informasjonssikkerhet

Med informasjonssikkerhet menes virksomhetens evne til å sikre vedvarende fortrolighet, integritet, tilgjengelighet og robusthet i behandlingssystemene og -tjenestene,

  • Fortrolighet/konfidensialitet – informasjon er bare tilgjengelig for de som skal ha tilgang.
  • Integritet – informasjon er korrekt og fullstendig.
  • Tilgjengelighet – informasjon er tilgjengelig innenfor de krav som er satt.
  • Robusthet – evne til å motstå driftsavvik

Tilgangskontroll

  • UiS skal sikre at informasjon, data og programmer kun er tilgjengelig for autoriserte personer.
  • Systemeier definerer brukertilgang til applikasjoner og filområder i henhold til den enkeltes rolle og organisatorisk tilhørighet.
  • Systemeier definerer rettigheter internt i applikasjoner i henhold til den enkeltes rolle, organisatorisk tilhørighet og autorisasjonsnivå.
  • Tilganger skal ikke misbrukes for å tilegne seg informasjon man ikke har behov for.
  • Endringer i tilganger og rettigheter skal initieres ved endring i virksomhetens HR system
  • For privilegerte arbeidsoppgaver på servere og IKT infrastrukturen, skal det benyttes personlige administratorkontoer. Dette gjelder også Databehandler.
  • Passord er strengt personlig. Utlån skal ikke forekomme. Passord endres regelmessig i henhold til egen policy. Dersom det finnes mistanke om at det blir kjent av andre, skal det endres straks. Felles brukeridentiteter anvendes kun ved produksjonsanlegg.
  • Arbeidsstasjonen skal sikres når den forlates, også ved korte fravær, ved egen prosedyre.
  • Håndtering av passord er beskrevet i egen prosedyre.
  • De ulike roller er beskrevet i egen rollebeskrivelse.

Kryptering

Den enkelte er selv ansvarlig for at det ikke lagres data med annen klasse enn «Åpen» på datamaskin eller mobiltelefon eller annen mobil enhet, med mindre informasjonen eller enheten er kryptert. (POLF Artikkel 32).

Behandles informasjon med annen klasse enn «Åpen» i ulike prosjekter, skal denne krypteres.

E-post kan kun benyttes ved utsendelse av data med klasse «Åpen».

Driftssikkehet

UiS sine IT-systemer skal være tilstrekkelig beskyttet og dokumentert. Unntak fra dette skal være risikovurdert. Drift av IT-systemer, også hos andre databehandlere skal oppfylle følgende (ikke avgrenset til): * Informasjonssikkerhet i tråd med POLF Artikkel 28 og Artikkel 32.

  • Overvåkning av driftssituasjonen.
  • Beskyttelse mot skadelig kode.
  • Separering av utvikling, test og produksjon skal beskrives i egen retningslinje levert av databehandler.
  • Endrings- og avvikshåndtering.
  • Sikkerhetskopiering (backup).
  • Sporbarhet / logging.
  • IT systemene som bidrar til at UiS oppfyller POLF, skal ha systematikk med tanke på sletting, korrigering, varsling, innebygd personvern, dataportabilitet, mv.

Kommunikasjonssikkerhet

UiS sine kommunikasjonstjenester skal administreres og kontrolleres i henhold til gjeldende databehandleravtale, og krav til tjenestenivå (SLA).

Systemutvikling og vedlikehold

Sikkerhetskrav til informasjonssystemer skal være beskrevet. Beskrivelsen skal inneholde informasjon om hvordan informasjon utveksles eksternt, brukes til systemutvikling, endringer og testing.

Fysisk og miljømessig sikkerhet

UiS skal beskytte lokaler og utstyr (maskiner, data og programmer) mot ødeleggelse, tap eller misbruk ved å hindre uautorisert adgang til kritiske deler av sine lokaler.

Følgende soneinndeling skal benyttes:

Sikringsnivå Område Sikring

Grønn

Alt er i utgangspunktet tilgjengelig.

Adgangskontroll: nøkkelkort og kode etter arbeidstid.

All klassifisert utskrift skal beskyttes med «Follow me»-funksjonalitet (Utskrift er beskyttet ved at en kun kan få utskrift når bruker er ved printer).

Gul

Områder hvor det i arbeidstiden kan forefinnes intern informasjon som kontorlokaler

All utskrift skal beskyttes med «Follow me»-funksjonalitet.

Adgangskontroll: nøkkelkort og kode etter arbeidstid

Rød

Avgrensede områder hvor spesiell autorisasjon kreves.

Datarom/serverrom/arkiver o.l. med sensitiv informasjon.

All utskrift skal beskyttes med «Follow me»-funksjonalitet. 


Adgangskontroll: nøkkelkort og kode
 

Databehandlere

Behandlingsansvarlig for universitetet er universitetsdirektør. Dette betyr at det er universitetsdirektøren sitt ansvar å avgjøre hva som skal skje med personopplysningene virksomheten behandler, hva opplysningene skal brukes til og hvilke tekniske hjelpemidler som skal anvendes i behandlingen av dem. Den behandlingsansvarlige er ansvarlig for at bruken av personopplysninger skjer på en måte som (i) er i samsvar med reglene i Personopplysningsloven med personvernforskrifter og (ii) ikke krenker de registrertes personvern (POLF Artikkel 4-7).

Den som behandler og er ansvarlig for å drifte universitetets informasjonssystemer og data på vegne av den behandlingsansvarlige, kalles Databehandler (POLF Artikkel 4-8). Universitetet har en rekke databehandlere, der IT avdelingen (UiS-IT) er intern databehandler. UNINETT er et eksempel på en ekstern databehandler.

Alle avtaler med databehandlere skal tilfredsstille kravene i POLF Artikkel 28, herunder (ikke avgrenset til):

  • Databehandler skal kun behandle personopplysninger etter dokumenterte instruksjoner fra UiS.
  • Overføring av persondata til land utenfor EU/EØS-området skal reguleres i en databehandleravtale.
  • De som har tilgang til personopplysningene som behandles er underlagt taushetsplikt.
  • Databehandler skal sørge for informasjonssikkerhet i tråd med POLF Artikkel 32.
  • Databehandler må respektere reglene for underleverandører i tråd med POLF Artikkel 28.
  • Databehandleravtalen («Avtalen», DBA) skal spesifisere hvordan databehandler skal bistå den behandlingsansvarlige med å etterkomme krav fra enkeltpersoner.
  • Separering av utvikling, test og produksjon skal beskrives i egen retningslinje levert av databehandler.
  • Databehandleravtalen skal spesifisere hvordan databehandler skal bistå den behandlingsansvarlige med informasjonssikkerhet, avvikshåndtering og konsekvensanalyse.

Håndtering av hendelser og avvik (brudd)

Enhver bruker av UiS sine systemer er ansvarlig for å rapportere brudd eller mulige brudd på personvernet. Rapporteringen går til Personvernombudet ved personvernombud@uis.no.

Enhver bruker av UiS sine systemer er ansvarlig for å rapportere brudd eller mulige brudd på informasjonssikkerhet. Rapporteringen går til it-hjelp@uis.no

Avvikshåndtering følger avviksprosessen ved UiS.

Avvikshåndteringen skal inkludere årsaksanalyse og gjennomføring av tiltak som hindrer gjentagelse og i henhold til prosedyrer hos Databehandler.

Avvik er definert som brudd på retningslinjer og sikkerhetsbrudd. Det betyr brudd på:

  • Personopplysningssikkerheten
  • Fortrolighet / konfidensialitet, Integritet, tilgjengelighet

Håndtering av hendelser, avvik eller brudd skal ha som mål å gjenopprette normal tilstand, fjerne årsaken til avviket og hindre gjentagelse. Varsling / melding til tilsynsmyndigheten skjer via personvernombudet. Varsling av den registrerte om brudd på personopplysningssikkerheten skal følge retningslinjene i POLF Artikkel 33 og Artikkel 34.

UiS skal ha gode informasjonsstrategier for sikkerhetshendelser, og være proaktive i vår offentlige kommunikasjon om slike.

Kontinuitetsplanlegging

UiS skal ha planer som gjør det mulig å gjenopprette kritiske virksomhets- og støtteprosesser og IT-systemer som følge av utilsiktet driftsavbrudd (krisesituasjon). Planene skal gjenspeile resultat etter gjennomført BIA (Business Impact Analysis).

  • RTO (Recovery Time Objective / Maksimal Nedetid): Maksimal tid til gjenopprettelse av akseptabelt nivå av en gitt tjeneste
  • RPO (Recovery Pont Objective / MDT - Maks Data Tap): Tidsfaktor for maksimum tålererbar tap av data
Klasse og Kritikalitet Krise  Katastrofe

A

Høy / Rød

RTO

  • Innen 2 timer med full funksjonalitet og kapasitet

RPO: 2 timer

RTO

  • Redusert drift innen 1 dag,

  • 100% innen 7 dager.

RPO: 2 timer

B

Medium / Gul

RTO

  • Inntil 8 timer med full funksjonalitet og kapasitet

RPO: 1 døgn

RTO

  • Innen 7 dager med full funksjonalitet og kapasitet

RPO: 1 døgn

C

Lav / Grønn

RTO

  • Inntil 1 uke med full funksjonalitet

RPO: 1 uke

RTO

  • Innen 3 uker med redusert drift

  • innen 4 uker med full funksjonalitet og kapasitet

RPO: 1 uke