Riktlinjer för informationssäkerhet

Relevanta dokument
Riktlinjer för informationssäkerhet

Hantering av behörigheter och roller

Riktlinjer för informationssäkerhet

Anskaffning och drift av IT-system

Riktlinjer för informationssäkerhet

Säker hantering av mobila enheter och portabla lagringsmedia

Riktlinjer inom ITområdet

Riktlinjer för informationssäkerhet

Dnr UFV 2013/1490. Lösenordshantering. Rutiner för informationssäkerhet. Fastställd av Säkerhetchef Reviderad

Säker informationshantering

Ledningssystem för Informationssäkerhet

Dnr UFV 2018/1965. Kamerabevakning. Rutiner för fysisk säkerhet. Fastställda av: Säkerhetschef

Ledningssystem för Informationssäkerhet

Riktlinjer för Informationssäkerhet

Riktlinjer för säkerhetsarbetet vid Uppsala universitet

Rutiner för fysisk säkerhet

VGR-RIKTLINJE FÖR KOMMUNIKATION OCH DRIFT

Policy Document Number ESS Date Mar 14, 2013 Revision 1 (3) Plan för IT Säkerhet

Riktlinjer för egendomsskydd

Riktlinjer för informationssäkerhet

Riktlinjer för egendomsskydd

Riktlinjer för informationsklassning

Informationssäkerhet. Hur skall jag som chef hantera detta?? Vad är det??

Riktlinjer för egendomsskydd

Förnyad certifiering av driftleverantörerna av Ladok

Informationssäkerhetspolicy för Ystads kommun F 17:01

Riktlinjer för informationssäkerhet

Denna föreskrift riktar sig till anställda vid Stockholms universitet samt till personer som arbetar på uppdrag av universitetet.

IT-Säkerhetsinstruktion: Förvaltning

Riktlinjer för säkerhetsarbetet vid Uppsala universitet

Informationssäkerhet. Veronika Berglund Hans Carlbring Bo Hiding. Säkerhetsenheten

Informationssäkerhet vid Lunds Universitet. Mötesplats Rydberg 3:e oktober Lennart Österman

Policy för tekniska och organisatoriska åtgärder för dataskydd. 14 juni 2018 Peter Dickson

Regler och riktlinjer för IT-säkerhet vid Karolinska Institutet

Rikspolisstyrelsens författningssamling

Bilaga, Definition av roller och begrepp, till policy för IT-säkerhet. Publiceringsdatum Juni 2007 ( rev. September 2011)

Dnr UFV 2018/211. Riskhantering. Rutiner för informationssäkerhet. Fastställda av Säkerhetschefen Senast reviderade

Informationssäkerhetspolicy inom Stockholms läns landsting

Dnr UFV 2017/93. Informationssäkerhet. Riktlinjer för säkerhetsarbetet vid Uppsala universitet. Fastställda av Universitetsdirektören

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Karolinska institutet

Riktlinjer för säkerhetsarbetet

Bilaga 3c Informationssäkerhet

Checklista Identitetshanteringssystem för SWAMID 2.0. Utarbetad tillsammans med SUNET CERT och SUSEC

Informationssäkerhet. Varför jobbar vi med informationssäkerhet? Vad är informationssäkerhet? Presentation

Finansinspektionens författningssamling

Bilaga 3 Säkerhet Dnr: /

Bilaga 2 - Ansvarsbeskrivningar Regler för informationssäkerhet vid Karolinska Institutet

Informationssäkerhet - Informationssäkerhetspolicy

Informationssäkerhet är ett medel som bidrar till att uppnå kommunens övergripande mål.

Informationssäkerhetspolicy. Linköpings kommun

Informationsklassning och systemsäkerhetsanalys en guide

Säkerhet vid behandling av personuppgifter i forskning

Handläggningsordning för förvaltning av IT-system vid Högskolan Dalarna

Bilaga, Definition av roller och begrepp, till policy för IT-säkerhet. Beslutsdatum (rev )

Riktlinjer för digital arkivering i Linköpings kommun

Informationssäkerhetspolicy IT (0:0:0)

Bilaga 3c Informationssäkerhet

VISION STRATEGI REGLEMENTE PROGRAM POLICY PLAN» RIKTLINJE REGEL. Riktlinjer för informationssäkerhet

Regelverk. Infrastrukturen för vidareförmedling av grundläggande uppgifter om företag. Bilaga D. Personuppgiftsbiträdesavtal. Version: 2.

Informationssäkerhetspolicy

Informationssäkerhetspolicy för Stockholms läns landsting. Informationssäkerhetspolicy för Stockholms läns landsting

Gallrings-/bevarandetider för loggar i landstingets IT-system

Finansinspektionens författningssamling

Bilaga 3 till F:203. Säkerhet. Dnr Fasta och mobila operatörstjänster samt transmission -C. Bilaga 3. Säkerhet

Informationssäkerhet Informationssäkerhet. Medicinteknisk säkerhetskurs

Förslag till SLA (Service Level Agreement) avseende datordrift av Ladok

Handbok Informationsklassificering

Kommunal författningssamling för Smedjebackens kommun. Informationssäkerhetspolicy. 97 Dnr 2016/00447

UTKAST. Riktlinjer vid val av molntjänst

1 Risk- och sårbarhetsanalys

Kurs i informationssäkerhet. Det händer inte mig

SÄKERHETSFÖRESKRIFTER FÖR FÖRVALTNING AV IT-SYSTEM

POLICY INFORMATIONSSÄKERHET

EDA KOMMUN. nformationssäkerhet - Informationssäkerhetspolicy

Det händer inte mig. Informationssäkerhet en introduktion. Michael Svensson Bo Hiding. Säkerhetsavdelningen.

Riktlinje för informationssäkerhet

Kurs i informationssäkerhet. Det händer inte mig. Säkerhetsenheten

Riksarkivets författningssamling

Riktlinjer för informationssäkerhet

KOMMUNAL FÖRFATTNINGSSAMLING Nr 005.6

VÄGLEDNING ATT UPPHANDLA PÅ ETT SÄKERT SÄTT

Informationssäkerhetspolicy för Ånge kommun

Informationssäkerhetspolicy

Rutin för hantering av styrande dokument vid Uppsala universitet

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Arkivkrav för IT system med elektroniska handlingar vid Lunds universitet

GÖTEBORGS UNIVERSITET IT-policy version sid 2 av Syfte Övergripande Styrning av IT... 3

Informationssäkerhet, Linköpings kommun

Handlingsplan för persondataskydd

IT-SÄKERHETSPLAN - FALKÖPINGS KOMMUN

GENERELL SYSTEMSÄKERHETSPLAN FÖR FALKÖPINGS KOMMUN

Riktlinje för distansmöten

Lösenordsregelverk för Karolinska Institutet

Inkoppling av annan huvudman för användning av Region Skånes nätverk - RSnet

IT-säkerhetsinstruktion Förvaltning

Finansinspektionens författningssamling

Rutin för inköp av kemikalier

Informationssäkerhet Riktlinje Förvaltning

Riktlinjer för IT-säkerhet i Halmstads kommun

Bilaga, Definition av roller och begrepp, till policy för IT-säkerhet

Transkript:

Dnr UFV 2014/1308 Riktlinjer för informationssäkerhet Säkerhetskopiering och loggning Fastställda av Säkerhetschef 2014-11-25

Innehållsförteckning 1 Inledning 3 2 Ansvar 3 2.1 Efterlevnad 3 2.2 Uppdatering av riktlinjerna 4 3 Definitioner 4 4 Omfattning 5 4.1 Säkerhetskopiering 5 4.1.1 Övergripande angående säkerhetskopiering 5 4.1.2 Säkerhetskopiering av persondatorer, mobil utrustning och portabla lagringsmedia 5 4.2 Loggning 6 2

1 Inledning Nedanstående riktlinjer har fastställts i syfte att garantera tillgänglighet till information och system i händelse av förlust eller förvanskning av information i ordinarie lagringsmiljö eller liknande händelse, uppnå en forensiskt säker logghantering för alla servrar och annan utrustning som tillhandahåller nätverksbaserade tjänster vid Uppsala universitet. Fastställda riktlinjer gäller oavsett om driftuppdraget hanteras operativt vid den egna institutionen/motsvarande eller om det lagts ut på annan intern eller extern part. Då ett driftuppdrag läggs ut på annan part ska ett servicenivåavtal upprättas mellan parterna. Detta avtal ska bl.a. reglera vilka rutiner som ska gälla för loggning, säkerhetskopiering och återläsning. Enligt universitetets Riktlinjer inom IT-området ska ett servicenivåavtal upprättas före driftsättning av ett system, detta oavsett om systemet utvecklas och förvaltas inom universitetets organisation eller om det förvärvas genom upphandling. 2 Ansvar 2.1 Efterlevnad Ansvaret för efterlevnad av dessa riktlinjer fördelar sig enligt följande: Prefekt/motsvarande vid sin institution, avdelning eller motsvarande. Områdesföreståndare för samordning inom sitt intendenturområde. Systemägare, objektägare/motsvarande för att följa riktlinjerna i utvecklings- och förvaltningsarbete samt driftuppdrag. Ansvar för efterlevnad gäller även då annan intern eller extern part anlitas för uppdraget. Utförande parts ansvar ska i förekommande fall regleras i ett s.k. servicenivåavtal. Säkerhetschef för planering, samordning och uppföljning samt kontroll av efterlevnad. Verksamma vid universitetet för att följa riktlinjerna. 3

2.2 Uppdatering av riktlinjerna Säkerhetschefen ansvarar för att riktlinjerna kontinuerligt uppdateras och att underliggande stöddokument fastställs. 3 Definitioner Systemägare beskriver i detta dokument den roll som har det övergripande ansvaret för förvaltning och drift av ett eller flera IT-system. Rollen objektägare, som används inom de delar av organisationen som tillämpar pm3-modellen, innefattas i begreppet systemägare. Pm3-modellen är den förvaltningsstyrningsmodell som används i arbetet med att förvalta centrala administrativa system vid Uppsala universitet. Modellen ger stöd för att skapa tydliga förvaltningsuppdrag med god samverkan mellan representanter för verksamhet och IT. Servicenivåavtal är en skriftlig överenskommelse som reglerar vilka nivåer som ska gälla för exempelvis driftövervakning och support. Servicenivåavtalet reglerar även vilka rutiner som ska gälla för säkerhetskopiering och återläsning. Ansvarig för förvaltningsorganisationen och ansvarig för driftorganisationen utgör parter vid upprättande av ett sådant avtal. Ofta används uttrycket SLA istället för servicenivåavtal, vilket syftar på det engelska uttrycket Service Level Agreement. Även uttrycket servicenivåöverenskommelse kan förekomma. Informationsklassificering utgör ett moment där information som hanteras, exempelvis av ett IT-system, bedöms utifrån aspekterna konfidentialitet (sekretess), riktighet och tillgänglighet. Informationens behov av säkerhetsmässiga åtgärder bestäms i en behovsskala bestående av nivåerna basnivå, hög nivå samt särskilda krav. Stöddokument för informationsklassificering återfinns i Medarbetarportalen under STÖD OCH SERVICE, Säkerhet, Riktlinjer och stöddokument. 4

4 Omfattning 4.1 Säkerhetskopiering 4.1.1 Övergripande angående säkerhetskopiering Säkerhetskopiering ska göras regelbundet och omfatta all information som är av värde för verksamheten och som är svår, kostsam eller tidsödande att återskapa. Systemägaren ska besluta om vilken information som ska omfattas av säkerhetskopieringen samt periodicitet för säkerhetskopiering och återläsning. Säkerhetskopieringen ska testas regelbundet genom återläsning. Efter återläsning ska systemtester genomföras för att säkerställa bibehållen funktionalitet i de berörda systemen. Överenskommen periodicitet för återläsning ska dokumenteras i upprättat servicenivåavtal. Säkerhetskopior ska sparas i flera generationer så att information kan återställas även om problem uppstår med att nyttja den senast tagna säkerhetskopian. Säkerhetskopior ska förvaras säkert och skilda från berörda datorer. Då informationen inkluderar delar som vid informationsklassning bedöms tillhöra nivån särskilda krav, ska krypterad lagring av säkerhetskopian övervägas. Utöver de säkerhetskopior som tas regelbundet, enligt fastställd periodicitet, ska säkerhetskopiering ske före och efter genomförande av en större förändring i system eller i driftmiljö. IT-system och lagrad information ska, så långt det är möjligt, kunna återskapas på annan maskinvara. 4.1.2 Säkerhetskopiering av persondatorer, mobil utrustning och portabla lagringsmedia I universitetets riktlinjer inom IT-området uttrycks följande angående säkerhetskopiering av enheter som persondatorer, mobil utrustning och portabla lagringsmedia: Innehavaren är ansvarig för att säkerhetskopiering sker med relevant periodicitet och på ett säkert sätt. Uppdateringar, antivirus och säkerhetskopiering sköts i normalfallet av IT-ansvarig/dataansvarig på respektive institution/motsvarande eller av intendenturen. Prefekt/motsvarande kan besluta om undantag från detta. 5

Det åligger innehavaren av den aktuella utrustningen att inhämta kunskap om vad som gäller vid den egna institutionen/motsvarande. Innehavaren är själv ansvarig för säkerhetskopiering som inte hanteras på ett samordnat sätt vid institutionen/motsvarande. 4.2 Loggning Enheter anslutna till Uppsala Universitets nät är ständigt utsatta för intrångsförsök från omvärlden och i vissa fall även från vårt eget nät. För att kunna göra en samlad bedömning av storlek på intrång, hur intrånget skedde och vilken information som eventuellt kan vara komprometerad behöver loggar från, för en angripare, attraktiva slutmål sparas på ett forensiskt säkert sätt. Nedanstående riktlinjer gäller för alla servrar och annan utrustning som tillhandahåller nätverksbaserade tjänster vid Uppsala universitet. Systemägare ska besluta om vilka loggar som ska sparas. Som ett minimum ska samtliga autentiseringsloggar och accessloggar från nätverksbaserade tjänster sparas. Tidsrymd för sparande av transaktionsloggar (loggar som gör det möjligt att spåra händelser i ett IT-baserat system) ska avtalas med driftsleverantören. Transaktionsloggar ska sparas minst 6 månader eller under tid som lagstiftning föreskriver. Vid uppdatering av information som vid informationsklassning bedöms tillhöra nivån särskilda krav, bör loggningen inkludera information om vem som utförde transaktionen och vad som uppdaterades. Alla loggar ska skyddas mot obehörig åtkomst och oavsiktlig förändring samt sparas på ett säkert sätt, helst ej i omedelbar anslutning till lokalen för drift. Säkerhetsloggar ska skickas i ett standardiserat syslogformat till syslog.uu.se. enligt instruktioner som återfinns i Medarbetarportalen under STÖD OCH SERVICE, Säkerhet, Riktlinjer och stöddokument. Används egen loggserver ska denna kopiera informationen till syslog.uu.se. All information som behövs för att identifiera användarid och IP-adress ska inkluderas i den information som skickas till syslog.uu.se 6

Säkerhetsrelaterade loggar som skickas till syslog.uu.se sparas av säkerhetsenheten i 24 månader varefter de destrueras. 7

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss