Lösenordsregelverk för Karolinska Institutet



Relevanta dokument
Dnr UFV 2013/1490. Lösenordshantering. Rutiner för informationssäkerhet. Fastställd av Säkerhetchef Reviderad

Handledning i informationssäkerhet Version 2.0

Guide för säker behörighetshantering

Bilaga 1 - Handledning i informationssäkerhet

För att du som användare skall kunna leva upp till de säkerhetskrav som ställs på dig måste du känna till. Lärare och Elever har olika krav: Lärare

IT-Policy Vuxenutbildningen

Syfte Behörig. in Logga 1(6)

uppgifter Närvarorapportering via mobiltelefon 3 via webben 5 Klarmärkning av närvarorappportering 6 Statistik 7 Teckenförklaring 8

Hantera organisationens SDL-användare. Anvisningar för SDL-huvudanvändare

Bilaga D - Intervjuer

Informationssäkerhet

Logga in på:

Distansåtkomst via systemaccess tjänst från egen dator

Paketerad med erfarenhet. Tillgänglig för alla.

Telia Centrex IP Administratörswebb Handbok

Sammanfattning av riktlinjer

Informationssäkerhet vid Lunds Universitet. Mötesplats Rydberg 3:e oktober Lennart Österman

Mejladressen är i formatet

Ekonomiportalen Sa kommer du iga ng

Kontoregler för Linnéuniversitetet

Informationssäkerhet. Hur skall jag som chef hantera detta?? Vad är det??

Riktlinjer för informationssäkerhet

Anvisning för gemensamma konton, G-konto

Det här dokumentet går kortfattat igenom registrerings- och ansökningsprocessen.

Regler och riktlinjer för IT-säkerhet vid Karolinska Institutet

Steg 1 Starta Windows Live Mail och påbörja konfigurationen

Självbetjäning för arbetsgivare. Användarhandledning Kom igång med Arbetsgivartjänsten Behörighetsadministration

Anvisning Gemensamma konton GIT

Informationssäkerhetsanvisning

TELIA CENTREX IP ADMINISTRATÖRSWEBB HANDBOK

Riktlinjer för informationssäkerhet

Regler för användning av Karolinska Institutets samarbetsplattform

ANVÄNDARHANDBOK. Advance Online

IT-säkerhetsinstruktion

Elektronisk informationssäkerhet. Riktlinjer för Användare - anställda och förtroendevalda. Eslövs kommun

Konton skapas normalt av användaren själv, men kan i undantagsfall behöva läggas upp av annan person, exempelvis en junioradmin.

Sammanträdesdatum Arbetsutskott (1) 28 Dnr KS/2016:389. Slutredovisningen av internkontroll 2017, KSF

Västerviks kommuns E-portal

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter

INTROGUIDE TILL E-POST

Rutin för Användarkonto, Procapita omsorg

Distansåtkomst via webaccess

Bilaga 2 - Ansvarsbeskrivningar Regler för informationssäkerhet vid Karolinska Institutet

DOKUMENTNAMN: IT-användarpolicy SKAPAT DEN: TYP AV DOKUMENT: Policy SENAST ÄNDRAT DEN:

Snabbhjälp Kulturdatabasen.se projektbidrag

Riktlinjer för användande av kommunens datorer och Internet för anställda och förtroendevalda i Laholms kommun

Riktlinjer för informationssäkerhet

Telia Centrex IP Administratörswebb. Handbok

1. Förvaltning:... Verksamhetsområde: Kontaktperson: Personregistrets benämning. 4. Hur sker information till de registrerade?

version: Sidan 1 av 5

Innehållsförteckning:

Informationssäkerhetsinstruktion Användare: Övriga (3:0:2)

ANVÄNDARHANDBOK Advance Online

Datum: Version: Författare: Christina Danielsson Senast ändrad:

ORU /2016 Användning av IT-resurser - riktlinjer vid Örebro universitet

Innehållsförteckning. Logga in med etjänstekort i Infektionsregistret 3. Installation av kortläsare till e-tjänstekort 3

Mina tjänster. på

Åtkomst Du kommer till ditt system via en webblänk som erhålles från oss. Via denna länk ges tillgång till sökning i bibliotekets katalog.

Säkerhetsinstruktion 1 BAKGRUND INLOGGNING HANTERING AV INFORMATION INTERNET E-POST INCIDENTER...

Revisionsrapport: Granskning av IT-säkerhetspolicy. Revisionen har genom KPMG genomfört en granskning av IT-säkerhetspolicy.

Version 3.2 A SERVICE FROM OPV

Skapa e-postkonto för Gmail

Innehåll. UFörutsättningar för att använda tjänsten distansåtkomst U 1

Anvisningar för anknytningsbeslut vid Karolinska Institutet

Lathund för BankID säkerhetsprogram

Beställa varor från webbutiken för provtagningsmateriel, remisser och övrigt materiel.

1. Ledare Hantera deltagare Rapporter Övriga menyer... 15

Beställa varor från webbutiken för provtagningsmateriel, remisser och övrigt materiel.

Checklista. För åtkomst till Svevac

Steg 1 Starta Windows Live Mail och påbörja konfigurationen

Informationssäkerhetsinstruktion: Användare

Förteckning över personuppgifter som behandlas i C3 Connect

Postadress Besöksadress Telefon Telefax E-post Norrköpings kommun Rådhuset

Utkast/Version (7) Användarhandledning - inrapportering i Indataportalen

Informationssäkerhetsinstruktion Användare: Elever (3:0:1)

Elsäkerhetsverkets register och behandlingar av personuppgifter enligt 39 PUL

Västerviks kommuns E-portal

Bordermail instruktionsmanual

ANVISNING FÖR E-POST

Sentrion och GDPR Information och rekommendationer

Skydd av personuppgifter för användare som registrerats av EU-kommissionens identitetshanteringstjänst (Identity Management Service)

Hantering av behörigheter och roller

Informationssäkerhet - Informationssäkerhetspolicy

Riktlinjer användning IT- och telefonistöd

Att analysera värderingar bakom inforamtionssäkerhet. Fil. Dr. Ella Kolkowska

Delegerad administration i Rapporteringsportalen

Vid problem med programmet kontakta alltid C/W Cadware AB på telefon

Införande av Skolfederation. Erfarenheter i Sundsvalls kommun

E-post inställningar. webgr.nu. Vill ni ha mer information hör av er:

Kom igång! Snabbstart för dig som är administratör

en stor bokstav och en siffra. Lösenordet får inte innehålla några tecken (!,,#,%,&)

IT-regler Användare BAS BAS-säkerhet Gislaveds kommun

Säkerhetsinstruktion. Procapita Vård och Omsorg

VGR-RIKTLINJE FÖR ÅTKOMST TILL INFORMATION

Riktlinjer om e-post Dnr 1-202/2019. Gäller fr.o.m

PREMIUM COMAI WEBBKALENDER

LEX INSTRUKTION LEX LDAP

Säkerhetsinstruktion för användare av UmUs it-resurser

Transkript:

Lösenordsregelverk för Karolinska Institutet Dnr 1-213/2015 Version 2.0 Gäller från och med 2015-05-18

Sida 2 av 7 Lösenordsregelverk för Karolinska Institutet - Sammanfattning Syfte Det övergripande syftet med detta regelverk är att så långt det är möjligt skydda Karolinska Institutets lösenordsskyddade informationssystem från obehöriga användare samt att tydligt ange den lägsta nivån på krav gällande kvalitet och skydd på lösenordshantering inom Karolinska Institutet. Sammanfattning Följande förenklade sammanfattade regler för lösenordshantering gäller för alla IT-tjänster och system (applikationer) vid Karolinska Institutet. Lösenord är personliga och får inte delas med annan Lösenord ska bestå av minst 10 tecken 1 Lösenord ska vara sammansatt av både bokstäver, siffror och specialtecken Lösenord får inte vara knutet till personlig information som till exempel namn, personnummer, telefonnummer eller användarnamn Lösenord ska bytas var sjätte månad 2 Lösenord får inte återanvändas utanför KI För detaljerade beskrivningar av kraven i Karolinska Institutets lösenordsregelverk ska hela detta dokument läsas. Det är det fullständiga dokumentet som anger ansvar, strategier, krav och implementation som gäller som lösenordsregelverk för Karolinska Institutet. Utgivare: Karolinska Institutet Universitetsförvaltningen Version: 2.0 För frågor kontakta it-support@ki.se 1 För andra typer av konton än personliga användarkonton gäller andra krav 2 Enligt not nr 1

Sida 3 av 7 Lösenordsregelverk för Karolinska Institutet Syfte Det övergripande syftet med detta regelverk är att så långt det är möjligt skydda Karolinska Institutets lösenordsskyddade informationssystem från obehöriga användare samt att tydligt ange den lägsta nivån på krav gällande kvalitet och skydd på lösenordshantering inom Karolinska Institutet. Ansvar Efterlevnad Som användare av Karolinska Institutets informationssystem ansvarar du själv för Att dina lösenord uppfyller den kvalitet och hantering som anges i detta regelverk. Att användarkonton, lösenord och koder är personliga och endast får användas av innehavaren. Att du håller dina lösenord hemliga. Att, som en del av ovanstående punkt, aldrig uppge dina lösenord till någon som efterfrågar dem via e-post, i telefon eller på annat sätt. För system som är kopplade till Karolinska Institutets gemensamma inloggnings- och autentiseringsrutiner (Webbinloggning, LDAP och Active Directory) finns systemstöd för efterlevnad av detta lösenordsregelverk. För system med egen lösenordshantering är det systemägare som ansvarar för efterlevnad av detta lösenordsregelverk. Strategier Alla informationssystem (applikationer) ska vara kopplade till Karolinska Institutets gemensamma inloggningstjänst om inte särskilda skäl föreligger. Karolinska Institutets gemensamma inloggningstjänst innehåller teknikstöd för god lösenordskvalitet och säker lösenordshantering, Varje användare har ett användar-id och ett lösenord för inloggning till Karolinska Institutets IT-tjänster. För inloggning till vissa IT-tjänster kan användaren dessutom ha ytterligare ett eller flera användar-id/lösenord. Därutöver kan verksamhets- och/eller systemspecifika lösenord finnas. Alla

lösenord på Karolinska Institutet ska minst uppnå kraven för lösenordskvalitet i enlighet med detta regelverk. Tvåfaktorautentisering ska användas för åtkomst till IT-tjänster eller system (applikationer) som kan klassas som synnerligen känsliga eller konfidentiella. Används tvåfaktorsautentisering kan undantag till delar av detta regelverk göras, dock ska det tydligt analyseras och dokumenteras per system, tjänst eller applikation som använder tvåfaktorsautentisering. Omfattning Regelverket för lösenordshantering gäller för alla IT-tjänster och system (applikationer) vid Karolinska Institutet. Lösenordsregelverk Personligt användarkonto Lösenordet ska vara sammansatt på följande sätt: Bestå av minst 10 tecken Vara tillräckligt starkt, dvs. vara sammansatt av följande tecken: o A Z o a z o 0 9 o Mellanslag o Följande specialtecken: ~,!, @, #, $, %, ^, &, (, ), _, +, -, *, /, =, {, }, [, ],, \, :, ;, (enkelt citationstecken), (dubbelt citationstecken), <, >,, (kommatecken),. (punkt), och? Innehålla minst två alfabetiska och antingen minst två specialtecken eller en siffra Observera att till de bokstäver som kan användas hör endast a-z/a-z, d.v.s. inte de skandinaviska bokstäverna (å,ä,ö osv) Lösenordet får inte vara samma som de senaste 24 lösenorden Minsta tillåtna tid mellan lösenordsbyte är 1 dagar Lösenordet får inte vara sammansatt av ett lätt gissat ord eller vanligt förekommande lösenord från så kallade ordlistor Tvingande lösenordsbyte ska ske senast inom: o 6-månader för anställda, anknutna samt doktorander. o 12-månader för studenter. Ett påminnelse mail kommer skickas till den registrerade användaren av kontot när det är dags att byta lösenord

Det är inte tillåtet att återanvända lösenordet för KIs användarnamn för andra tjänster än KIs tjänster. (som. t.ex. Facebook, publika e-posttjänster, privat användning, m.fl.) likaväl som det inte är tillåtet att använda sin KI e-post adress för privata tjänster på Internet. Ovan angivna krav gäller för alla identiteter i alla IT-tjänster och system (applikationer) vid Karolinska Institutet. Utöver ovan gäller följande krav för nedanstående kontotyper. Administratörskonto Alla konton som har höga åtkomsträttigheter, så kallade administratörsrättigheter ska vara personliga. Användandet av de generella root- /administrator-kontot eller motsvarande är bara tillåtet i undantagsfall. För administratörskonton gäller utöver anvisningarna för personligt konto följande: Lösenordet ska bestå av minst 15 tecken Tvingande lösenordsbyte ska ske senast inom 6 månader Servicekonton För servicekonto gäller utöver anvisningarna för personligt konto följande: Lösenordet ska bestå av minst 15 tecken Lösenordet ska bytas var 12e månad samt att detta ska dokumenteras i systemets förvaltningsdokumentation. Funktionskonton Ett funktionskonto är främst avsett för en delad funktion, där flera användare behöver ha åtkomst till en gemensam funktion. För funktionskonton ska behörighet till funktionskontot delegeras så att varje unik användares personliga användarkonto används så att spårbarhet alltid uppnås. Det får inte förekomma delade funktionskonton. Skulle det vara teknisk omöjligt att efterleva detta så gäller kraven för Servicekonto även för funktionskonto.

Lösenordsskydd Datalagring och transport av lösenord För att reducera risken för obehörig åtkomst till lösenord gäller följande för lagring och transport av lösenord: Lösenord ska alltid lagras och transporteras i krypterad form. Lösenord ska aldrig presenteras i läsbar form. Lösenord ska aldrig kommuniceras via epost, telefon eller motsvarande. IT-personal med teknisk åtkomst till de datorer och datamedia där lösenord lagras ska underteckna särskilda ansvarsförbindelser. En uppdaterad lista över medarbetare med dessa priviligierade behörigheter ska finnas vid den organisation som sköter driften av systemet, t.ex. ITA Skydd mot nätbaserade gissningsattacker (Rate limiting) För att reducera risken för automatiserade gissningsattacker mot lösenord (s.k. Brute force attacker) ska inloggningen vara skyddad genom s.k. rate limiting som förhindrar en inkräktare från att göra många upprepade lösenordsgissningar på kort tid. I Karolinska Institutets gemensamma inloggningstjänst är detta utformat enligt följande: 30 felaktiga gissningar innan automatisk kontolåsning. 30 minuters automatisk kontolåsning efter maximalt antal felaktiga gissningar. Räknaren över antalet felaktiga gissningar nollställs efter korrekt inloggning eller efter 60 minuter efter senaste felaktiga inloggningsförsök. Undantag Om det i enskilda system som inte är kopplade till den gemensamma inloggningstjänsten föreligger särskilda tekniska skäl för att inte följa ovanstående lösenordsregelverk för god lösenordskvalitet eller lösenordsskydd ska undantag godkännas av systemägare och dokumenteras i systemets förvaltningsdokumentation eller motsvarande dokument. Vidare måste särskild hänsyn tas vid åtkomst av data hämtade från andra system. Kontroll Centrala IT-avdelningen förbehåller sig rätten att regelbundet granska efterlevnaden av KIs regelverk för lösenord.

Definitioner Personliga användarkonton: är en användaridentitet som är kopplad till en unik person och som personen använder för att komma åt sina individuella resurser såsom e-post och applikationer/system som användaren nyttjar i sin tjänst. Administratörskonton: användarkonton som är kopplat till en person och som används för att administrera någon systemresurs som inte är den personens individuella resurs. Alla administratörskonton ska vara personliga. Exempelvis kan det finnas administratörskonton för system eller servrar. Servicekonton: användarkonton där ett delsystem är användaren och som används för att styra vilka delar av ett annat system som det delsystemet får komma åt. Alla servicekonton ska vara unika för respektive system och ska begränsas till att enbart få använda det system det är avsett för. Ett exempel på servicekonto är när en applikation (ex Webbtjänst) använder sin egen databas som ligger på en annan server. Funktionskonto: Ett funktionskonto är främst avsett för en delad funktion, där flera användare behöver ha åtkomst till exempelvis ett delat e-post konto i centrala e-postsystemet som möjliggör att flera användare kan ta emot, läsa och svara på e-post skickade till en funktion, exempelvis registrator@ki.se eller itsupport@ki.se. Ett funktionskonto har inget eget användarnamn eller lösenord utan varje användare med behörighet till funktionskontot använder sitt personliga användarkonto för att arbeta i funktionsrollen. Lösenordskvalitet. God lösenordskvalitet innebär att ett lösenord är tillräckligt långt och komplext sammansatt för att reducera risken för att en inkräktare kan gissa sig till rätt lösenord. Två saker avgör svårigheten i att gissa ett lösenord: längden och komplexiteten på lösenordet. Lösenordsskydd. Säker lösenordshantering innebär, förutom att varje användare ansvarar för att hålla sina lösenord hemliga, att inloggningstjänsten skyddar lösenord från otillbörlig åtkomst och användning. Lösenordsbyte. För att ytterligare reducera risken att en inkräktare avslöjar ett lösenord till Karolinska Institutets IT- och informationssystem ska varje användare kontinuerligt byta lösenord inom ett fastställt tidsintervall. Tvåfaktorautentisering/multifaktorautentisering. (förkortas vanligen 2FA/MFA) Inloggning (autentisering) med minst två skilda faktorer; något man vet (t.ex. ett lösenord) och något man har (t.ex. ett smart kort eller USBsticka).

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss