Dnr UFV 2013/1490. Lösenordshantering. Rutiner för informationssäkerhet. Fastställd av Säkerhetchef Reviderad

Relevanta dokument
Lösenordsregelverk för Karolinska Institutet

Hantering av behörigheter och roller

Riktlinjer för informationssäkerhet

Riktlinjer för informationssäkerhet

Riktlinjer för informationssäkerhet

Säker hantering av mobila enheter och portabla lagringsmedia

Säker informationshantering

Riktlinjer för informationssäkerhet

Riktlinjer för informationssäkerhet

Dnr UFV 2018/1965. Kamerabevakning. Rutiner för fysisk säkerhet. Fastställda av: Säkerhetschef

Bilaga D - Intervjuer

Informationssäkerhet. Veronika Berglund Hans Carlbring Bo Hiding. Säkerhetsenheten

Riktlinjer för säkerhetsarbetet vid Uppsala universitet

Riktlinjer för informationssäkerhet

Ledningssystem för Informationssäkerhet

Ledningssystem för Informationssäkerhet

Dnr UFV 2018/211. Riskhantering. Rutiner för informationssäkerhet. Fastställda av Säkerhetschefen Senast reviderade

Riktlinjer för Informationssäkerhet

Dnr UFV 2017/93. Informationssäkerhet. Riktlinjer för säkerhetsarbetet vid Uppsala universitet. Fastställda av Universitetsdirektören

Policy för tekniska och organisatoriska åtgärder för dataskydd. 14 juni 2018 Peter Dickson

Riktlinjer inom ITområdet

Riktlinjer för informationssäkerhet

Informationssäkerhet. Hur skall jag som chef hantera detta?? Vad är det??

Bilaga 1 - Handledning i informationssäkerhet

Guide för säker behörighetshantering

Rutiner för fysisk säkerhet

Anva ndarmanual-portwise fo r Externa anva ndare

Handledning i informationssäkerhet Version 2.0

Anskaffning och drift av IT-system

Riktlinjer för informationssäkerhet

Riktlinjer för säkerhetsarbetet

Rutin för Användarkonto, Procapita omsorg

Riktlinjer för säkerhetsarbetet vid Uppsala universitet

Informationssäkerhet vid Lunds Universitet. Mötesplats Rydberg 3:e oktober Lennart Österman

Anvä ndärmänuäl PortWise fo r leveränto ren

POLICY INFORMATIONSSÄKERHET

Hantering av elektroniskt lagrad information när anställning, studier eller uppdrag vid Uppsala universitet upphör

ANVÄNDARHANDBOK. Advance Online

Anvisning Gemensamma konton GIT

IT-Policy Vuxenutbildningen

Riktlinjer för informationssäkerhet

Informationssäkerhetspolicy

Säkerhetsinstruktion 1 BAKGRUND INLOGGNING HANTERING AV INFORMATION INTERNET E-POST INCIDENTER...

Informationssäkerhetspolicy KS/2018:260

Att analysera värderingar bakom inforamtionssäkerhet. Fil. Dr. Ella Kolkowska

Workshop med focus på AL-processer

Riktlinjer för egendomsskydd

För att du som användare skall kunna leva upp till de säkerhetskrav som ställs på dig måste du känna till. Lärare och Elever har olika krav: Lärare

Webinar Profil för multifaktorinloggning via SWAMID

IT-policy. Förvaltningen Björn Sandahl, förvaltningschef

ANVÄNDARHANDBOK Advance Online

Sammanfattning av riktlinjer

Riktlinjer för egendomsskydd

Mejladressen är i formatet

Riktlinjer för informationssäkerhet

Syfte Behörig. in Logga 1(6)

Granskning av IT. Sunne kommun

Paketerad med erfarenhet. Tillgänglig för alla.

Denna föreskrift riktar sig till anställda vid Stockholms universitet samt till personer som arbetar på uppdrag av universitetet.

Policy Document Number ESS Date Mar 14, 2013 Revision 1 (3) Plan för IT Säkerhet

Informationssäkerhetspolicy för Ystads kommun F 17:01

TJÄNSTESKRIVELSE. Revidering av. informationssäkerhetspolicy TJÄNSTESKRIVELSE. Kommunstyrelsen KS/2019:63

Informationssäkerhetsanvisningar Förvaltning

DNR: KS2016/918/01. Informationssäkerhetspolicy för Sunne kommun KS2016/918/ (1) Kommunstyrelsen

Distansåtkomst via webaccess

Informations- säkerhet

Informationssäkerhet. Riktlinjer. Kommunövergripande. Tills vidare. IT-chef. Dokumenttyp. Fastställd/upprättad av Kommunstyrelsen 26

BDS-UNDERHÅLLET. Användarens instruktion Kommunerna

Bilaga 2 - Ansvarsbeskrivningar Regler för informationssäkerhet vid Karolinska Institutet

Fördelning av ansvar för informationssäkerhet. Version: 1. Beslutsinstans: Regiondirektören

Informationssäkerhetspolicy. Informationssäkerhetspolicy för Vingåkers kommun

Användarmanual Portwise

Informationssäkerhetspolicy IT (0:0:0)

SÅ HÄR GÖR VI I NACKA

Informationssäkerhetspolicy för Sunne kommun KS2016/918/01 Antagen av kommunfullmäktige , 57

Finansinspektionens författningssamling

Informationssäkerhet - Informationssäkerhetspolicy

SÄKERHETSINSTRUKTION PRIMULA systemet

Säkerhetsinstruktion. Procapita Vård och Omsorg

Regler och riktlinjer för IT-säkerhet vid Karolinska Institutet

Riktlinjer för informationssäkerhet

Handlingsplan för Uppsala universitets anpassning inför EU:s dataskyddsförordning

Informationssäkerhetsinstruktion Användare: Övriga (3:0:2)

Kommunstyrelsens förslag till antagande av reviderad informationssäkerhetspolicy Ärende 11 KS 2017/336

DOKUMENTNAMN: IT-användarpolicy SKAPAT DEN: TYP AV DOKUMENT: Policy SENAST ÄNDRAT DEN:

Regelverk. Infrastrukturen för vidareförmedling av grundläggande uppgifter om företag. Bilaga D. Personuppgiftsbiträdesavtal. Version: 2.

Informationssäkerhetsanvisning

Administrativ IT-säkerhetspolicy Version 1.0 Fastställd

SLU Säkerhets instruktioner avseende kryptering av filer

Elektronisk informationssäkerhet. Riktlinjer för Användare - anställda och förtroendevalda. Eslövs kommun

Datasäkerhet. Informationsteknologi sommarkurs 5p, Agenda. Slideset 10. Hot mot datorsystem. Datorsäkerhet viktigare och viktigare.

Riktlinjer för informationsklassning

Informationssäkerhetsinstruktion Användare: Elever (3:0:1)

Dnr

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter

SWAMID Webinar Vad skiljer SWAMID AL1 och SWAMID AL2?

Lathund. Skolverkets behörighetssystem för e-tjänster. Rollen rektor

Handlingsplan för persondataskydd

Bilaga 3c Informationssäkerhet

Transkript:

Dnr UFV 2013/1490 Lösenordshantering Rutiner för informationssäkerhet Fastställd av Säkerhetchef 2013-11-06 Reviderad 2018-09-04

Innehållsförteckning 1 Inledning 3 2 Ansvar 3 2.1 Efterlevnad 3 2.2 Uppdatering av rutinerna 3 3 Definitioner 3 4 Omfattning 4 4.1 För användare 4 Allmänt om lösenord 4 Bra lösenord (lösenordssammansättning) 4 4.2 För systemförvaltare 5 Allmänt om IT-system 5 Lösenordskvalitet 5 Lösenordskontroll 5 Lösenordsskydd 6 4.3 Lösenordshanterare 7 4.4 Undantag 7 2

1 Inledning Detta dokument anger Uppsala universitets rutiner för kvalitet på, och hantering av, lösenord i enlighet med den svenska akademiska identitetsfederationen SWAMIDs tillitsprofil och lösenordspolicy 1. Rutinerna har som syfte att stödja hanteringen av lösenord på universitetet, både personliga och systemhanterade, för att så långt som möjlig skydda universitetets lösenordsskyddade IT-system från obehöriga användare. Rutinerna gäller för alla IT-tjänster och system vid universitetet och omfattar både lösenordskvalitet och lösenordsskydd. De baseras på baseras på universitetets rutiner för informationssäkerhet (UFV 2017/93) och rutiner för riskhantering (UFV 2018/211). 2 Ansvar 2.1 Efterlevnad Ansvaret för efterlevnad av dessa rutiner fördelar sig enligt följande: Prefekt/motsvarande vid sin institution, avdelning eller motsvarande. Systemägare, e-områdesansvarig/motsvarande för att följa rutinerna i utvecklings- och förvaltningsarbete samt driftuppdrag. Ansvar för efterlevnad gäller även då annan intern eller extern part anlitas för uppdraget. Utförande parts ansvar ska i förekommande fall regleras i ett s.k. servicenivåavtal. Säkerhetschef för planering, samordning och uppföljning samt kontroll av efterlevnad. Verksamma vid universitetet för att följa rutinerna. 2.2 Uppdatering av rutinerna Säkerhetschefen ansvarar för att rutinerna kontinuerligt uppdateras och att underliggande stöddokument fastställs. 3 Definitioner Gemensam webbinloggning 2 är en lösning för webbaserad inloggning som bland annat möjliggör så kallad Web Initial Sign-On, d.v.s. en enda inloggning till många olika webbtjänster. Det höjer även säkerheten genom att lösenordet endast anges till den tjänsten. Webbtjänster anslutna till gemensam webbinloggning har inte tillgång till lösenord utan enbart till definierade personuppgifter. 1 https://wiki.sunet.se/display/swamid/swamid+identity+assurance, 2018-08-01 2 https://weblogin.uu.se/, 2018-08-01 3

Multifaktorautenticering eller flerfaktorsautenticering är en metod för att bekräfta en användares identitet med två eller flera olika faktorer, vilket ger en högre säkerhet än enbart ett lösenord. Faktorerna består av något man har (kort, dosa, mobiltelefon (Mobilt BankID)), något man vet (lösenord, PINkod) och något man är (biometri, t.ex. fingeravtryck). Tvåfaktorsautenticering (2FA) kallas det fall där enbart två faktorer används. 4 Omfattning 4.1 För användare Allmänt om lösenord Alla användare har ett huvudlösenord (Lösenord A) som används för inloggning bland annat till universitetets nätverkstjänster och gemensamma tjänster som Primula, Medarbetarportalen m.fl. För vissa tjänster, till exempel Eduroam, har varje användare ytterligare ett lösenord (Lösenord B). Utöver dessa två kan verksamhets- och/eller systemspecifika lösenord finnas. Du ansvarar själv för att dina lösenord uppfyller hantering och kvalitet enligt rutinerna, dina lösenord förvaras på ett säkert sätt och inte sprids till någon annan, varken via e-post, telefon eller på annat sätt, omedelbart meddela universitetets servicedesk (servicedesk@uu.se, tel. 4440) om lösenord kommit eller kan ha kommit på avvägar. Bra lösenord (lösenordssammansättning) Ett lösenord ska, för att ha bra kvalitet, bestå av minst 10 tecken varav minst en versal, minst en gemen, och antingen minst ett specialtecken eller en siffra. Rekommenderade tecken: versaler (A-Z), gemener (a-z), siffror (0-9), följande specialtecken: ~! @ # $ % ^ & ( ) _ + - * / = { } [ ] \ : ;? < > samt mellanslag, komma eller punkt. Använd inte: enbart sifferkombinationer (t.ex. är 123456 ett av världens vanligaste lösenord) egennamn, årstider, bilmärken 4

Notera att ett bra lösenord som byts sällan är säkrare än att byta mellan dåliga lösenord ofta. Har du många olika lösenord kan en lösenordshanterare (se nedan) vara en god hjälp. 4.2 För systemförvaltare Allmänt om IT-system För IT-system gäller att Alla system ska vara kopplade till universitetets gemensamma webbinloggning om inte särskilda skäl föreligger. Skälen ska finnas dokumenterade. System kopplade till universitetets webbinloggning har systemstöd för efterlevnad av rutinerna För system som har egen lösenordshantering ansvarar systemägaren för efterlevnad För outsourcing eller molntjänster ska krav på lösenordshantering finnas med i anskaffningsförfarandet och regleras i avtal. Multifaktorautenticering ska användas för åtkomst till IT-system eller tjänster som enligt rutinerna för informationsklassning innehåller konfidentiell information. De system som idag inte har stöd för detta bör uppgraderas när så är möjligt, och avvikelser från detta dokumenteras, t.ex. i förvaltningsplan eller liknande. Lösenordskvalitet Ett lösenord med bra kvalitet är tillräckligt långt och komplext sammansatt för att minska risken för att en inkräktare kan gissa sig till det. Längd och komplexitet på lösenordet formar tillsammans den s.k. entropin för lösenordet. Ju högre entropi ett lösenord har, desto svårare är det att gissa eller testa sig fram till. För mer information, se NIST SP 800-63 3 Lösenordskontroll I universitetets gemensamma inloggningstjänst finns teknikstöd för att säkerställa god lösenordskvalitet. Vid lösenordsbyte kontrolleras lösenord så att de är sammansatta enligt ovan inte återfinns i kataloger över lösenord av dålig kvalitet (sifferkombinationer, egennamn, årstider, bilmärken etc) inte är detsamma som, eller för lika, det närmast föregående lösenordet När användaren skriver in sitt förslag till nytt lösenord visas kvaliteten på lösenordet enligt en färgskala; 3 https://www.nist.gov/itl/tig/projects/special-publication-800-63, 2018-08-01 5

Rött uppfyller inte universitetets minimikrav Gult uppfyller minimikraven Grönt överträffar minimikraven. Lösenord går inte att spara innan minimikraven uppfylls. Lösenordsskydd Säker lösenordshantering innebär, förutom att varje användare ansvarar för att hålla sina lösenord hemliga, att inloggningstjänsten skyddar lösenord från otillbörlig åtkomst och användning. Datalagring och transport av lösenord För att reducera risken för obehörig åtkomst till lösenord gäller följande för lagring och transport av lösenord: Lösenord ska alltid lagras och transporteras i krypterad form. Detta gäller även backup-media Lösenord ska aldrig presenteras i läsbar form Lösenord ska aldrig kommuniceras via e-post, telefon eller motsvarande. IT-personal med teknisk åtkomst till datorer och datamedia där lösenord lagras ska underteckna särskilda ansvarsförbindelser. En aktuell, uppdaterad lista över medarbetare med dessa priviligierade behörigheter ska finnas vid den organisatoriska enhet som sköter driften av systemet, t.ex. IT-avdelningen. Skydd mot nätbaserade gissningsattacker För att minska risken för automatiserade gissningsattacker ska inloggningen vara skyddad genom begränsningar som förhindrar någon att göra många upprepade inloggningsförsök (lösenordsgissningar) på kort tid, så kallad rate limiting. Som exempel har universitetets gemensamma inloggningstjänst Gemensam webbinloggning (Lösenord A) skyddet utformat så att inom 60 minuter får max. 10 försök göras, sedan låses kontot automatiskt under 5 minuter. Lösenordsbyte För att ytterligare minska risken att någon kan avslöja ett lösenord till något av universitetets IT- och informationssystem behöver lösenord bytas ibland. I universitetets gemensamma inloggningstjänst gäller för lösenordsbyte att: Tvingande lösenordsbyte senast inom 24 månader för anställda, övrigt verksamma och funktionskonton Tvingande lösenordsbyte senast inom 5 år för studenter. 6

4.3 Lösenordshanterare En lösenordshanterare en programvara eller tjänst som genererar och lagrar lösenord för olika andra tjänster är ett hjälpmedel för att få en säkrare lösenordsmiljö. Det finns en mängd olika varianter av lösenordshanterare på marknaden. Både betalprogram, gratisprogram och appar, som alla fungerar på olika sätt. Skyddsbehovet för resursen som omfattas av lösenordet bör vara det som avgör vilken modell som passar bäst. Lösenordshanterare är extra viktigt för användargrupper med höga behörigheter i många system, som IT-drifttekniker. För råd och stöd, kontakta Säkerhetsavdelningen. 4.4 Undantag Om det i enskilda system finns särskilda skäl att inte följa ovanstående rutiner för lösenordskvalitet och/eller lösenordsskydd kan undantag godkännas av e- områdesansvarig/systemägare. Undantag ska dokumenteras i systemets förvaltningsspecifikation eller motsvarande dokument. Dessutom måste särskild hänsyn tas vid åtkomst av data hämtad från andra system. 7

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss