Riktlinjer för informationssäkerhet

Relevanta dokument
Riktlinjer för informationssäkerhet

Riktlinjer för informationssäkerhet

Anskaffning och drift av IT-system

Hantering av behörigheter och roller

Riktlinjer för informationssäkerhet

Säker hantering av mobila enheter och portabla lagringsmedia

Riktlinjer inom ITområdet

Riktlinjer för informationssäkerhet

Dnr UFV 2013/1490. Lösenordshantering. Rutiner för informationssäkerhet. Fastställd av Säkerhetchef Reviderad

Riktlinjer för säkerhetsarbetet vid Uppsala universitet

Riktlinjer för egendomsskydd

Rutiner för fysisk säkerhet

Riktlinjer för egendomsskydd

Säker informationshantering

Dnr UFV 2018/1965. Kamerabevakning. Rutiner för fysisk säkerhet. Fastställda av: Säkerhetschef

Riktlinjer för Informationssäkerhet

Ledningssystem för Informationssäkerhet

Informationssäkerhet. Varför jobbar vi med informationssäkerhet? Vad är informationssäkerhet? Presentation

Ledningssystem för Informationssäkerhet

Rikspolisstyrelsens författningssamling

VGR-RIKTLINJE FÖR KOMMUNIKATION OCH DRIFT

Policy Document Number ESS Date Mar 14, 2013 Revision 1 (3) Plan för IT Säkerhet

Informationssäkerhet vid Lunds Universitet. Mötesplats Rydberg 3:e oktober Lennart Österman

Bilaga, Definition av roller och begrepp, till policy för IT-säkerhet. Publiceringsdatum Juni 2007 ( rev. September 2011)

Riktlinjer för egendomsskydd

Denna föreskrift riktar sig till anställda vid Stockholms universitet samt till personer som arbetar på uppdrag av universitetet.

Riktlinjer för informationssäkerhet

Riktlinjer för informationssäkerhet

Informationssäkerhet Informationssäkerhet. Medicinteknisk säkerhetskurs

IT-Säkerhetsinstruktion: Förvaltning

Riktlinjer för informationsklassning

Policy för tekniska och organisatoriska åtgärder för dataskydd. 14 juni 2018 Peter Dickson

Säkerhet vid behandling av personuppgifter i forskning

Checklista Identitetshanteringssystem för SWAMID 2.0. Utarbetad tillsammans med SUNET CERT och SUSEC

Gallrings-/bevarandetider för loggar i landstingets IT-system

Informationssäkerhet. Hur skall jag som chef hantera detta?? Vad är det??

Informationssäkerhetspolicy för Ystads kommun F 17:01

Dnr UFV 2017/93. Informationssäkerhet. Riktlinjer för säkerhetsarbetet vid Uppsala universitet. Fastställda av Universitetsdirektören

Förnyad certifiering av driftleverantörerna av Ladok

Informationssäkerhet - Informationssäkerhetspolicy

Bilaga 2 - Ansvarsbeskrivningar Regler för informationssäkerhet vid Karolinska Institutet

Informationssäkerhet. Veronika Berglund Hans Carlbring Bo Hiding. Säkerhetsenheten

Informationssäkerhetspolicy. Linköpings kommun

Riksarkivets författningssamling

Regler för användning av Riksbankens ITresurser

Regelverk. Infrastrukturen för vidareförmedling av grundläggande uppgifter om företag. Bilaga D. Personuppgiftsbiträdesavtal. Version: 2.

Riktlinjer för säkerhetsarbetet

Bilaga 3c Informationssäkerhet

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Karolinska institutet

Informationssäkerhetspolicy IT (0:0:0)

EDA KOMMUN. nformationssäkerhet - Informationssäkerhetspolicy

Arkivkrav för IT system med elektroniska handlingar vid Lunds universitet

Bilaga, Definition av roller och begrepp, till policy för IT-säkerhet. Beslutsdatum (rev )

Riktlinjer för säkerhetsarbetet vid Uppsala universitet

Riktlinjer för digital arkivering i Linköpings kommun

Informationssäkerhetspolicy inom Stockholms läns landsting

Dnr UFV 2018/211. Riskhantering. Rutiner för informationssäkerhet. Fastställda av Säkerhetschefen Senast reviderade

Personuppgiftsbiträdesavtal

Bilaga 3c Informationssäkerhet

Avtal MELLAN PERSONUPPGIFTSANSVARIG OCH PERSONUPPGIFTSBITRÄDE

Informationssäkerhet är ett medel som bidrar till att uppnå kommunens övergripande mål.

SÅ HÄR GÖR VI I NACKA

PERSONUPPGIFTSBITRÄDESAVTAL

Bilaga, Definition av roller och begrepp, till policy för IT-säkerhet

Regelverk avseende hantering av loggrapporter för vårdsystem samt åtgärder vid dataintrång

Kommunal författningssamling för Smedjebackens kommun. Informationssäkerhetspolicy. 97 Dnr 2016/00447

Riktlinjer för informationssäkerhet

POLICY FÖR DATA- OCH INFORMATIONSSÄKERHET VID BMC I LUND

Vägledning för bevarande av elektroniska handlingar vid Lunds universitet

GÖTEBORGS UNIVERSITET IT-policy version sid 2 av Syfte Övergripande Styrning av IT... 3

Bilaga 3 Säkerhet Dnr: /

Informationssäkerhet, Linköpings kommun

POLICY FÖR E-ARKIV STOCKHOLM

Hantering av elektroniskt lagrad information när anställning, studier eller uppdrag vid Uppsala universitet upphör

Finansinspektionens författningssamling

Regler och riktlinjer för IT-säkerhet vid Karolinska Institutet

Riktlinjer för informationssäkerhet

POLICY FÖR E-ARKIV STOCKHOLM

UTKAST. Riktlinjer vid val av molntjänst

Informationsklassning och systemsäkerhetsanalys en guide

Kurs i informationssäkerhet. Det händer inte mig. Säkerhetsenheten

Informationsklassning

Bilaga 3 till F:203. Säkerhet. Dnr Fasta och mobila operatörstjänster samt transmission -C. Bilaga 3. Säkerhet

SÄKERHETSFÖRESKRIFTER FÖR FÖRVALTNING AV IT-SYSTEM

Informationssäkerhetspolicy

Bilaga 3c Informationssäkerhet

Lösenordsregelverk för Karolinska Institutet

Kurs i informationssäkerhet. Det händer inte mig

FÖRSVARSMAKTENS INTERNA BESTÄMMELSER

Handlingsplan för Uppsala universitets anpassning inför EU:s dataskyddsförordning

IT-säkerhetsinstruktion Förvaltning

IT-SÄKERHETSPLAN - FALKÖPINGS KOMMUN

Informationssäkerhetspolicy för Ånge kommun

PERSONUPPGIFTSBITRÄDESAVTAL

2.3 För att ditt medlemskap skall beviljas måste du vara över 18 år och vara registrerad kund på Webbplatsen

Informationssäkerhetspolicy för Stockholms läns landsting. Informationssäkerhetspolicy för Stockholms läns landsting

PERSONUPPGIFTSBITRÄDESAVTAL Hantering av personuppgifter i Skyddat Webbaserat informationssystem (WIS)

Regel. Användning av Riksbankens IT-resurser. Inledning. Användning av IT-resurser

KOMMUNAL FÖRFATTNINGSSAMLING Nr 005.6

Transkript:

Dnr UFV 2014/1308 Riktlinjer för informationssäkerhet Säkerhetskopiering och loggning Fastställda av Säkerhetschefen 2014-11-25 Rev. 2015-03-16

Innehållsförteckning 1 Inledning 3 2 Ansvar 3 2.1 Efterlevnad 3 2.2 Uppdatering av riktlinjerna 3 3 Definitioner 4 4 Omfattning 5 4.1 Säkerhetskopiering 5 4.1.1 Övergripande angående säkerhetskopiering 5 4.1.2 Säkerhetskopiering av persondatorer, mobil utrustning och portabla lagringsmedia 5 4.2 Loggning 6 4.2.1 Övergripande angående loggning 6 4.2.2 Utlämning av loggar 7 2

1 Inledning Nedanstående riktlinjer har fastställts i syfte att garantera tillgänglighet till information och system i händelse av förlust eller förvanskning av information i ordinarie lagringsmiljö eller liknande händelse. uppnå en forensiskt säker logghantering för alla servrar och annan utrustning som tillhandahåller nätverksbaserade tjänster vid Uppsala universitet. säkerställa att utlämnandet av uppgifter inte riskerar att skada den personliga integriteten för en enskild individ. Fastställda riktlinjer gäller oavsett om driftuppdraget hanteras operativt vid den egna institutionen/motsvarande eller om det lagts ut på annan intern eller extern part. Då ett driftuppdrag läggs ut på annan part ska ett servicenivåavtal upprättas mellan parterna. Detta avtal ska bl.a. reglera vilka rutiner som ska gälla för loggning, säkerhetskopiering och återläsning. Enligt universitetets Riktlinjer inom IT-området ska ett servicenivåavtal upprättas före driftsättning av ett system, detta oavsett om systemet utvecklas och förvaltas inom universitetets organisation eller om det förvärvas genom upphandling. 2 Ansvar 2.1 Efterlevnad Ansvaret för efterlevnad av dessa riktlinjer fördelar sig enligt följande: Prefekt/motsvarande vid sin institution, avdelning eller motsvarande. Områdesföreståndare för samordning inom sitt intendenturområde. Systemägare, objektägare/motsvarande för att följa riktlinjerna i utvecklings- och förvaltningsarbete samt driftuppdrag. Ansvar för efterlevnad gäller även då annan intern eller extern part anlitas för uppdraget. Utförande parts ansvar ska i förekommande fall regleras i ett s.k. servicenivåavtal. Säkerhetschef för planering, samordning och uppföljning samt kontroll av efterlevnad. Verksamma vid universitetet för att följa riktlinjerna. 2.2 Uppdatering av riktlinjerna Säkerhetschefen ansvarar för att riktlinjerna kontinuerligt uppdateras och att underliggande stöddokument fastställs. 3

3 Definitioner Uttrycket Logg syftar i detta sammanhang på kontinuerligt insamlad information om de operationer som utförs i ett system eller i ett nätverk. Säkerhetsloggar används här som ett samlingsbegrepp för autentiseringsloggar, trafikloggar samt andra loggar som används i forensiskt syfte och som ger spårbarhet till en enskild individ. Säkerhetsloggar sparas primärt för att användas i forensiskt syfte, bl.a. vid utredning av intrångsförsök eller fullbordat intrång. Applikationsloggar syftar på loggar som används för att spåra händelser i ett specifikt IT-baserat system. Transaktionsloggar eller Systemloggar kan användas som synonyma uttryck. Även denna typ av loggar kan ge spårbarhet till en enskild individ. Systemägare beskriver i detta dokument den roll som har det övergripande ansvaret för förvaltning och drift av ett eller flera IT-system. Rollen objektägare, som används inom de delar av organisationen som tillämpar pm3-modellen, innefattas i begreppet systemägare. Pm3-modellen är den förvaltningsstyrningsmodell som används i arbetet med att förvalta centrala administrativa system vid Uppsala universitet. Modellen ger stöd för att skapa tydliga förvaltningsuppdrag med god samverkan mellan representanter för verksamhet och IT. Servicenivåavtal, eller servicenivåöverenskommelse, är en skriftlig överenskommelse som reglerar vilka nivåer som ska gälla för exempelvis driftövervakning och support. Servicenivåavtalet reglerar även vilka rutiner som ska gälla för säkerhetskopiering och återläsning. Ansvarig för förvaltningsorganisationen och ansvarig för driftorganisationen utgör parter vid upprättande av ett sådant avtal. Ofta används uttrycket SLA (eng. Service Level Agreement) istället för servicenivåavtal. Informationsklassificering utgör ett moment där information som hanteras, exempelvis av ett IT-system, bedöms utifrån aspekterna konfidentialitet (sekretess), riktighet och tillgänglighet. Informationens behov av säkerhetsmässiga åtgärder bestäms i en behovsskala bestående av nivåerna publik, basnivå, hög nivå samt särskilda krav. Stöddokument för informationsklassificering återfinns i Medarbetarportalen under Stöd och service, Säkerhet, Riktlinjer och stöddokument. 4

4 Omfattning 4.1 Säkerhetskopiering 4.1.1 Övergripande angående säkerhetskopiering Säkerhetskopiering ska göras regelbundet och omfatta all information som är av värde för verksamheten och som är svår, kostsam eller tidsödande att återskapa. Systemägaren ska besluta om vilken information som ska omfattas av säkerhetskopieringen samt periodicitet för säkerhetskopiering och återläsning. Säkerhetskopieringen ska testas regelbundet genom återläsning. Efter återläsning ska systemtester genomföras för att säkerställa bibehållen funktionalitet i de berörda systemen. Överenskommen periodicitet för återläsning ska dokumenteras i upprättat servicenivåavtal. Säkerhetskopior ska sparas i flera generationer så att information kan återställas även om problem uppstår med att nyttja den senast tagna säkerhetskopian. Säkerhetskopior ska förvaras säkert och skilda från berörda datorer. Då informationen inkluderar delar som vid informationsklassning bedöms tillhöra nivån särskilda krav, ska krypterad lagring av säkerhetskopian övervägas. Utöver de säkerhetskopior som tas regelbundet, enligt fastställd periodicitet, ska säkerhetskopiering ske före och efter genomförande av en större förändring i system eller i driftmiljö. IT-system och lagrad information ska, så långt det är möjligt, kunna återskapas på annan maskinvara. 4.1.2 Säkerhetskopiering av persondatorer, mobil utrustning och portabla lagringsmedia I universitetets riktlinjer inom IT-området uttrycks följande angående säkerhetskopiering av enheter som persondatorer, mobil utrustning och portabla lagringsmedia: Innehavaren är ansvarig för att säkerhetskopiering sker med relevant periodicitet och på ett säkert sätt. Uppdateringar, antivirus och säkerhetskopiering sköts i normalfallet av IT-ansvarig/dataansvarig på respektive institution/motsvarande eller av intendenturen. Prefekt/motsvarande kan besluta om undantag från detta. Det åligger innehavaren av den aktuella utrustningen att inhämta kunskap om vad som gäller vid den egna institutionen/motsvarande. Innehavaren är själv ansvarig för säkerhetskopiering som inte hanteras på ett samordnat sätt vid institutionen/motsvarande. 5

4.2 Loggning 4.2.1 Övergripande angående loggning Enheter anslutna till Uppsala Universitets nät är ständigt utsatta för intrångsförsök från omvärlden och i vissa fall även från vårt eget nät. För att kunna göra en samlad bedömning av storlek på intrång, hur intrånget skedde och vilken information som eventuellt kan vara komprometerad behöver loggar från, för en angripare, attraktiva slutmål sparas på ett forensiskt säkert sätt. Loggar som primärt sparas i forensiskt syfte benämns i detta dokument som säkerhetsloggar. Applikationsloggar används primärt som ett redskap för att säkra innehållet i databaser kopplade till specifika system. Dessa loggar hanteras av personalkategorier som ägnar sig åt serverdrift eller systemutveckling men kan även, i likhet med säkerhetsloggar, användas i forensiskt syfte. För vissa typer av uppgifter, exempelvis ekonomiska transaktioner, finns lagstiftning som anger regler för hur loggning ska ske. Nedanstående riktlinjer gäller för alla servrar och annan utrustning som tillhandahåller nätverksbaserade tjänster vid Uppsala universitet. Systemägare ska besluta om vilka loggar som ska sparas. Som ett minimum ska samtliga autentiseringsloggar och accessloggar från nätverksbaserade tjänster sparas. Tidsrymd för sparande av applikationsloggar ska avtalas med driftsleverantören. Applikationsloggar ska sparas minst 6 månader eller under tid som lagstiftning föreskriver. Vid uppdatering av information som vid informationsklassning bedöms tillhöra nivån särskilda krav, bör loggningen inkludera information om vem som utförde transaktionen och vad som uppdaterades. Om uppgifter som registreras i en loggfil går att knyta till en enskild person är de per definition att betrakta som personuppgifter. Det är inte tillåtet att använda loggar på ett sätt som inkräktar på den personliga integriteten för en enskild individ. Att använda loggar för att, av godtyckliga skäl, kartlägga en persons rörelsemönster på internet utgör exempel på otillåten användning. Alla loggar ska skyddas mot obehörig åtkomst och oavsiktlig förändring samt sparas på ett säkert sätt, helst ej i omedelbar anslutning till lokalen för drift. Endast personer som i sin tjänsteutövning kan anses ha nytta av informationen i loggar ska ges tillgång till dessa. Samtliga loggar, säkerhetsloggar såväl som applikationsloggar, ska skickas i ett standardiserat syslogformat till syslog.uu.se enligt instruktioner som återfinns i Medarbetarportalen under Stöd och service, Säkerhet, Riktlinjer och stöddokument. Används egen loggserver ska denna kopiera informationen till syslog.uu.se. 6

4.2.2 Utlämning av loggar Offentlighetsprincipen står inskriven i tryckfrihetsförordningen och innebär att var och en kan vända sig till en myndighet och begära ut en allmän handling. I begreppet allmän handling inkluderas texter, bilder, ljudinspelningar som kommit till, eller skapats på en myndighet. Även information som skapats automatiskt via IT-system, exempelvis i form av loggar, kan utgöra allmänna handlingar. Allmänna handlingar är normalt att betrakta som offentliga, dock ska utlämning av handlingen alltid föregås av en prövning. Nedanstående riktlinjer är tänkta att utgöra ett stöd för de som i sin tjänsteutövning hanterar elektroniskt lagrade loggar, i syfte att säkerställa att utlämnandet av uppgifter inte riskerar att skada den personliga integriteten för en enskild individ. För all utlämning av loggar, säkerhetsloggar såväl som transaktionsloggar, gäller följande: Begäran om utlämning av loggar, eller information som inkluderas i sådana, ska ställas till aktuell systemägare. Det är systemägaren som svarar för ovan nämnda prövning, d.v.s. bedömning av huruvida utlämning av efterfrågad information riskerar att skada den personliga integriteten för en enskild individ. Universitetets säkerhetsenhet bistår vid behov med stöd i att identifiera berörd systemägare. Säkerhetsenheten kan därtill bidra med stöd vid tveksamheter i prövningsfrågan. Uppgifter härstammande från universitetets passersystem som anger en persons rörelsemönster i universitetets lokaler och uppgifter om en persons rörelsemönster på internet utgör tydliga exempel på uppgifter kopplade till personlig integritet. En enskild individ äger alltid rätten att begära ut sin egen information, det vill säga allt som finns vid myndigheten eller i ett visst system med identifierad koppling till den egna personen. 7

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss