Handreiking Informatiebeveiliging

Transcriptie

1 Handreiking Informatiebeveiliging 1

2 Versie beheer Versie juni 2014 Eerste concept Marco Gosselink Versie juni 2014 Na review door Jan-Willem Brock rubricering met onderwerpen aangepast. Focus ligt nu op universitaire werkplek en acties worden vanuit gebruikers beschreven. Versie juni 2014 Nog enkele actiepunten aangepast na tweede review Jan-Willem Brock. Versie juli 2014 Na review door Johan Detollenaere document aangepast. Versie augustus 2014 Nieuwe versie na review door informatiemanagers en het ISSC. Versie augustus 2014 Definitieve versie 2

3 Inhoudsopgave Inleiding 4 1. Werkplek Vaste werkplek Mobiele werkplek Bring Your Own Device / Choose Your Own Device Remote toegang Licenties 6 2. Communicatievoorzieningen , spam en phishing Omgaan met social media/online privacy Vertrouwelijke documenten Patriot Act 9 3. Netwerk en toegang Accounts Wachtwoorden Draadloos netwerk Data opslag Data distributie Gedragscode en statements Gedragscode gebruik informatievoorziening Statements (privacy en security) 15 Bijlage: 1. Gedragscode gebruik informatievoorziening 2. Privacy Statement 3. Security Statement 4. Template risicoanalyse 5. Verklaring omtrent Gedrag 6. Het contract locale beheersrechten 7. Gebruikersvoorwaarden ULCN account 3

4 Inleiding Aan het begin van 2014 is een nieuw informatiebeveiligingsbeleid en een nieuwe baseline van maatregelen opgesteld. Na de presentatie van beide documenten is gebleken dat er behoefte bestaat aan een praktische uitwerking op sommige aspecten van dit beleid. Deze handreiking is bedoeld als een handvat voor gebruikers en informatiemanagers zodat zij antwoorden hebben op concrete vragen die omtrent informatiebeveiliging leven. De handreiking raakt veel aspecten van informatiebeveiliging maar pretendeert niet volledig te zijn en moet vooral gezien worden als een checklist voor gebruikers die zich bezighouden met vragen over informatiebeveiliging. Het document is ingedeeld in een aantal gebieden: de werkplek, communicatievoorzieningen, het netwerk, gedragscode en privacy informatie. Bij de werkplek gaat het vooral om hoe deze is ingericht en er worden tips gegeven om deze veilig te gebruiken. Bij communicatievoorzieningen wordt verteld over hoe met spam en phishing om te gaan en hoe social media veilig kan worden gebruikt. Bij netwerken gaat het om accounts en het gebruik van wachtwoorden maar ook over data opslag en distributie. Tenslotte wordt de gedragscode informatievoorziening en diverse statements onder de aandacht gebracht. In het gehele document komen gegevens en de classificatie hiervan naar voren. De universiteit hanteert hierbij de volgende categorieën: openbare informatie is klasse 3, interne informatie voor binnen de universiteit is klasse 2 en vertrouwelijke c.q. geheime informatie is klasse 1. In termen van systemen geldt dat gegevens in systemen van klasse 3 een basis risico vormen, klasse 2 is een verhoogd risico en klasse 1 is een hoog risico waarbij extra maatregelen moeten worden genomen. Bij deze laatste categorie kan het om gegevens m.b.t. patenten, medische of strafrechtelijke gegevens handelen. In de bijlage staan de instrumenten. Denk hierbij o.a. aan de gedragscode gebruik informatievoorziening, privacy- en security statements, methode om een risicoanalyse te verrichten en het contract local admin. 4

5 1. Werkplek 1.1 Vaste werkplek De dienstverlening van het ISSC omvat een pakket diensten voor medewerkers en studenten die zij nodig hebben voor het uitvoeren van hun werkzaamheden. Denk hierbij aan helpdeskondersteuning, keuze werkplek modellen, registratie van gegevens maar ook aan antivirus management, patch management, keuze uit beschikbare besturingssystemen en applicaties op aanvraag beschikbaar stellen. De werkplek wordt ingericht als er toestemming is verleend door een geautoriseerd ICT contactpersoon. Voor problemen met o.a. virussen kan men bij de helpdesk van het ISSC terecht. 1.2 Mobiele werkplek Het ISSC biedt naast de vaste werkplek ook een laptop werkplek aan. Functioneel biedt deze hetzelfde als de vaste werkplek met een aantal aanpassingen i.v.m. het mobiele karakter van de laptop. Voor de managed windows laptop: - Extra beveiligingsmaatregelen in verband met mogelijk verlies/diefstal: altijd inloggen met ULCN account (ook bij offline gebruik) en encryptie van de harde schijf - Aangepaste instellingen zodat de laptop bij offline gebruik bruikbaar is - Synchronisatie van bestanden op P:\ en J:\ schijf met behulp van Datanow. Datanow geeft tevens de mogelijkheid deze bestanden op verzoek te wipen bij verbinding met het universitaire netwerk. Voor het onderhoud van de laptop (installatie van patches, updates antivirusbestanden) is geregeld aanloggen binnen het universitaire netwerk nodig. Naast de (semi-) managed desktop en laptop kunnen ook andere mobiele apparaten via het ISSC worden besteld, zoals tablets, smartphones en unmanaged laptops. Deze apparaten worden unmanaged geleverd, d.w.z. dat de gebruiker zelf zorgt voor installatie e.d. Via deze apparaten kan gebruik gemaakt worden van diverse ICT-diensten via remote toegang. Op de ISSC website zijn enkele handleidingen te vinden. 1.3 Bring Your Own Device / Choose Your Own Device In het beleidskader Bring-Your-Own-Device (BYOD) worden de volgende richtlijnen opgenomen: - Een wachtwoord of pincode moet zijn ingesteld op het apparaat - Remote wipe (het apparaat op afstand wissen) moet zijn ingesteld - Na max. 10 keer een fout wachtwoord moet het apparaat gewist worden - Geen gmail, hotmail, etc gebruiken voor bedrijfsinformatie - Er moet altijd een kopie van de bedrijfsinformatie op één van de universitaire systemen staan - Er mag geen bedrijfsinformatie met hoog risico (klasse 1) op het apparaat staan Voor personen die een mobiel apparaat van de werkgever krijgen, Choose-Your-Own-Device (CYOD), dienen o.a. de volgende maatregelen in acht te nemen: - Een wachtwoord of pincode installeren op het apparaat - Er moet altijd een kopie van de bedrijfsinformatie op één van de universitaire systemen staan - Het apparaat niet onbeheerd achterlaten - Geen jailbreak of root installeren 5

6 - Er mag geen bedrijfsinformatie met hoog risico (klasse 1) op het apparaat staan - Een contract ondertekenen en op de hoogte zijn van de voorwaarden - Verlies of diefstal melden bij de leidinggevende en de ISSC helpdesk Verder is het belangrijk te controleren dat het apparaat de recente anti-virus en anti-malwaresignaturen en de meest recente (security) patches heeft. Encryptiesoftware kan worden aangevraagd bij het ISSC. 1.4 Remote toegang De standaard Windows werkplek is op afstand via internet beschikbaar via Remote Werkplek. De systeemeigenaar bepaalt of toegang op afstand aanvaardbaar is of niet. Voor SAP-logon (de beheerapplicatie) en Docman is afgesproken om geen remote toegang toe te staan. Hierin is namelijk vertrouwelijke en geheime informatie opgenomen. Er zijn geen centrale regels voor het werken vanuit huis of op een andere werkplek buiten de universiteit. Het is aan de faculteit te bepalen wie en onder welke condities thuis mag werken. Meeste gevaar voor het inzien van informatie bij remote toegang is de plaats waar men is: vanuit huis of in een publieke gelegenheid. Vaak werkt men thuis vanaf een bureau waar ook anderen toegang toe hebben. Als er wordt gewerkt met vertrouwelijke of geheime gegevens dan is het niet gewenst dat huisgenoten hiervan kennis kunnen nemen. Het is aan de medewerker om hiervoor maatregelen te nemen. Actie: als remote toegang voor een applicatie wordt toegestaan dan moet de werknemer zelf maatregelen nemen in de thuissituatie of op de plek waar men is: - Het niet laten rondslingeren van (vertrouwelijke of geheime) stukken. - Bij het printen van documenten deze niet op de printer laten liggen. - De computer vergrendelen (in Windows: ctrl-alt-del) bij het verlaten van de werkplek. 1.5 Licenties De universiteit heeft campuslicenties voor de meest gebruikelijke standaard producten zoals MS Office. Deze zijn standaard geïnstalleerd voor gebruik op vaste en laptop (semi-) managed Windows werkplekken. Zij zijn ook via Remote Werkplek bereikbaar. Een aantal andere pakketten heeft de universiteit wel beschikbaar maar deze pakketten zijn niet standaard op werkstations geïnstalleerd omdat ze niet overal gebruikt worden. Het ISSC stelt een gedeelte van deze applicaties beschikbaar om zelf te installeren of via de helpdesk op verzoek beschikbaar. Software zonder campuslicentie kan door het ISSC in overleg beschikbaar gesteld worden. Zij bestelt dan de software en stelt deze beschikbaar op de werkplek(ken) en voert het licentiebeheer. Bij een semi-managed werkplek kan een medewerker/onderzoeker zelf software installeren. Deze software kan via het ISSC of zelf worden gekocht en geïnstalleerd. Houd echter rekening met de volgende aspecten: - Installeer geen software zonder geldige licentie en alleen in lijn met de geldende licentievoorwaarden - Houd een registratie bij van aangeschafte licenties - Bij herinstallatie of vervanging van de werkplek is men zelf verantwoordelijk voor het opnieuw installeren en configureren van de gewenste toepassingen 6

7 2. Communicatievoorzieningen 2.1 , spam en phishing en spam is een snelle en gemakkelijke manier van communiceren. Via is het mogelijk om naast tekst ook foto s, muziek en filmpjes te versturen. Helaas worden adressen ook regelmatig gebruikt om ongewenste berichten (spam) mee te versturen, kunnen er virussen op de computer binnenkomen via bijlagen of kan het account misbruikt worden door iemand anders berichten worden niet versleuteld verstuurd over het internet. In principe kunnen kwaadwillenden of buitenlandse overheden de berichten inzien, ook als deze vanuit de universiteit worden verstuurd. Actie: - open spamberichten niet, maar verwijder ze direct - open geen s van onbekende afzenders - reageer nooit op s waarin gevraagd wordt om wachtwoorden en andere persoonlijke gegevens Phishing Het per vragen naar informatie is een snel groeiende tak van digitale criminaliteit. Het is een vorm van oplichting. Via de mail (maar ook via de telefoon) lijken betrouwbare instanties zoals een bank of creditcardmaatschappij te vragen om bijvoorbeeld inloggegevens, creditcardinformatie, pincode of andere persoonlijke informatie. Het herkennen van phishing: - In de wordt gevraagd om persoonlijke gegevens zoals creditcardnummers en wachtwoorden - Let er op als om een snelle reactie wordt gevraagd door te klikken op een link, een programma te installeren, ergens even in te loggen of om persoonlijke informatie. Betrouwbare organisaties vragen hier nooit om. - De aanhef van de is onpersoonlijk en begint bijvoorbeeld met Beste klant. Maar let op: ook gepersonaliseerde s kunnen nep zijn. Instanties die een sturen vermeiden controleerbare gegevens zoals rekening- of klantnummer - In de wordt gesproken over problemen die urgent zijn of over fraude en oplichting. Om de problemen op te lossen is het noodzakelijk dat men gegevens doorgeeft. Het taalgebruik is ook dwingend en er wordt gedreigd met blokkeren van accounts, afschrijvingen, etc. - In de staat vaak een link naar de website van de bank. Dit is een valse link. De link ziet er in de normaal uit maar verwijst naar een andere website. Door met de muis over de koppeling in de te bewegen, komt de echte link tevoorschijn. Controleer dit adres. - Via een link in de komt men terecht op de website van de bank maar er verschijnt een popup in beeld waarin inloggegeven moeten worden ingevoerd. Actie: het voorkomen van phishing: - Reageer nooit op s waarin om persoonlijke gegevens wordt gevraagd - Controleer het certificaat van de website om te zien of een beveiligde verbinding afkomstig is van een bepaalde bank. De adresbalk wordt dan groen of de tekst in de adresbalk wordt groen. - Bij een verdacht telefoontje ophangen en controleren bij de organisatie die het betreft of ze ook echt hebben gebeld - Meld een phishing (zogenaamd) uit naam van het ISSC altijd bij de ISSC helpdesk - Zie de website: 7

8 2.2 Omgaan met social media/online privacy Internet wordt gebruikt om contacten te onderhouden. Het is gemakkelijk om familie en vrienden van over de hele wereld op de hoogte te houden van de eigen ervaringen. Via sociale netwerksites en andere internetdiensten kan iedereen te weten komen waar iemand zicht bevindt, wat hij doet en welke berichten worden verstuurd (met foto s, muziek en filmpjes). Helaas brengen deze netwerksites en ander online diensten ook risico s met zich mee. Wat kan hiertegen worden gedaan? Actie: - denk goed na voordat iets online wordt gezet: zo gemakkelijk als het is om iets op het internet te plaatsen, zo moeilijk gaat het er weer af. Zelfs als het verwijderd is kan het elders op het internet plotseling opduiken. Informatie kan immers door anderen worden opgeslagen en hergebruikt. - plaats geen vertrouwelijke of geheime informatie over de Universiteit Leiden, haar studenten,de alumni of collega s op een site die geen eigendom is van de universiteit - medewerkers zijn zelf verantwoordelijk voor de inhoud die zij publiceren op sociale media - gebruik geen discriminerende en racistische taal - wees ervan bewust dat anderen chatgesprekken (inclusief: Skype) kunnen opslaan - zorg voor een goede bescherming van het eigen profiel op sociale netwerksites als Facebook of Twitter - gebruik online een bijnaam of alleen een voornaam; noem geen telefoonnummers, adressen of andere herkenbare plekken zodat anderen weten waar iemand woont - houd rekening met de online privacy van anderen: plaats niet zomaar foto s of filmpjes van anderen op het internet. Deel geen informatie als de aard van de informatie niet passend is voor een openbaar forum - bij de installatie en het gebruik van o.a. Facebook en Twitter houd er rekening mee dat deze social media diensten toegang tot veel gegevens op het mobiele apparaat krijgen; ga daarna voorzichtig om met eventuele bedrijfsgegevens op het apparaat. Voor beleidslijnen omtrent het gebruik van social media zie de volgende link: Vertrouwelijke documenten Voor gegevens in vertrouwelijke (papieren) documenten geldt dat vooraf is bepaald wie toegang krijgt tot deze documenten en hoe de gegevens fysiek worden verstrekt. Na gebruik worden de dossiers meteen weer opgeborgen in een afgesloten kast. Als een andere niet bevoegde medewerker inzage in vertrouwelijke documenten nodig heeft dan dient dit onder toezicht van de verantwoordelijke beheerder te geschieden. 8

9 2.4 Patriot Act De Patriot Act is een samenstel van Amerikaanse wetten die als doel heeft om de Amerikaanse overheid meer mogelijkheden te geven om informatie te vergaren over en op te treden in geval van mogelijk terrorisme. De wet is vergelijkbaar met de Nederlandse wet bewaarplicht telecommunicatiegegevens die in houdt dat internetproviders gegevens over internet- en telefoniegebruik gedurende zes tot twaalf maanden moeten bewaren. De bewaarde gegevens kunnen door Justitie worden gebruikt bij het handhaven van de wet en het bestrijden van terrorisme. De Patriot Act is strijdig met de Nederlandse en Europese wetgeving op het gebied van privacy, doordat er geen mogelijkheid is de inzage te voorkomen door een uitspraak van de rechter. Hoewel er vaak over het (niet) plaatsen van gegevens op Amerikaans grondgebied wordt gesproken reikt de wet veel verder: alle Amerikaanse bedrijven of bedrijven met een dochter, zuster of moederorganisatie in Amerika vallen onder de wet. De universiteit is net als vele andere Europese instellingen en bedrijven - vatbaar voor de Patriot Act doordat er systemen of software van Amerikaanse bedrijven wordt gebruikt voor onderwijssystemen of de onderliggende infrastructuur. In de basis is voor de Universiteit Leiden bescherming van haar gegevens tegen de Amerikaanse overheid niet anders dan het beschermen van haar gegevens tegen andere niet gerechtigden. De maatregelen om onderzoeksdata te beschermen tegen diefstal door criminelen bieden ook bescherming tegen inzage door de Amerikaanse overheid. Hierbij wordt altijd gestart met een classificatie van de informatie (is deze openbaar of vertrouwelijk). De informatie in alle concernsystemen is geclassificeerd en de beveiliging is conform bijbehorende maatregelen ingericht en wordt periodiek geaudit. Van geen van deze systemen wordt de informatie opgeslagen op Amerikaans grondgebied. Wel wordt voor alle systemen (of de achterliggende infrastructuur) gebruikt gemaakt van Amerikaanse leveranciers, waardoor de universiteit het risico loopt dat de Amerikaanse overheid gegevens raadpleegt op basis van de Patriot Act. Hierin is de universiteit niet uniek en deze situatie kan in de huidige context ook niet worden aangepast: dit is te kostbaar en er zijn niet altijd alternatieven. Door het niet geplaatst hebben van gegevens op Amerikaans grondgebied is de drempel voor het opvragen wel aanzienlijk verhoogd. De universiteit heeft reeds informatiebeveiligingsbeleid dat uitspraken doet over het classificeren van de informatie (is deze vertrouwelijk of openbaar), de bedreigingen waar rekening mee gehouden wordt en de maatregelen die daarbij horen (opslaan in eigen beheer, versleutelen, aanvullende authenticatie, etc.). Daarnaast is er de sourcingstrategie waarmee gekeken wordt welke werkzaamheden de universiteit met eigen personeel doet (en op eigen locatie) en welke uitbesteed kunnen worden, bijvoorbeeld als (Europese) cloud dienst. Als laatste is de universiteit gehouden aan de Europese wet- en regelgeving, zo ook bij aanbestedingen. Aan potentiële aanbieders van diensten waarbij gegevens worden opgeslagen wordt de eis gesteld hieraan te voldoen, waardoor aanbieders die vallen onder de Patriot Act worden uitgesloten (indien het vertrouwelijke gegevens betreft). Met deze bestaande middelen kunnen ook met oog op de Patriot Act de goede beslissingen worden genomen, waarbij weging plaatsvindt op basis van de specifieke situatie en het besluit door het CvB genomen wordt. Vanuit juridisch oogpunt - m.n. voor aanbestedingsrechtelijke conflicten en de rechtsbescherming van Nederlandse gebruikers was het reeds wenselijk dat de Europese wetgeving van toepassing is. Hierdoor bestond - voorafgaand aan de Patriot Act al de voorkeur van een Europese dienstverlener boven een Amerikaanse (cloud-)dienstverlener. Voor die informatie over specifieke medewerkers en studenten waarvan het aannemelijk is dat de Amerikaanse overheid die met het oog op terrorisme bestrijding wil vergaren moet overwogen worden deze niet in geautomatiseerde systemen op te slaan die vanaf buiten benaderbaar zijn. De Nederlandse veiligheidsdienst kan voor dergelijke specifieke gevallen advies geven. Actie: neem voordat een overeenkomst over hosting wordt aangegaan of voor het aanmaken van een website contact op met de informatiemanager. 9

10 3. Netwerk en toegang 3.1 Accounts De personen die een account ontvangen zijn studenten, medewerkers en externen. Deze kunnen worden onderverdeeld in personen die verbonden zijn aan de universiteit (o.a.: studenten, contractstudenten, HOVO-cursisten, cursisten à la carte, alumni, medewerkers, medewerkers LUMC en promovendi) en externen zoals gasten van de universiteit (bezoekers, leners van de bibliotheken en anderen). Soorten accounts binnen de Universiteit Leiden zijn: 1. Medewerker account 2. Studenten account 3. Gast account 4. Functioneel account 5. Systeemaccount Ad.1 Medewerker account: Een medewerker account wordt automatisch aangemaakt na het door P&O invoeren van een nieuwe medewerker in SAP HR. Het account wordt 90 dagen voor de aanstelling actief en blijft dat tot 60 dagen na uitdiensttreding. Voorwaarden: - Een account is strikt persoonlijk. De accounthouder is verantwoordelijk voor alle handelingen die met het account worden verricht. - Op het gebruik van het account is de door het CvB vastgestelde Gedragscode gebruik informatievoorzieningen van toepassing. Actie: bij het aangaan van een arbeidscontract zal automatisch ook een medewerker account worden aangevraagd; medewerkers worden gewezen op de gedragscode. Ad.2 Studenten account Een studenten account wordt automatisch aangemaakt na invoer van de aanmelding in usis. Het account wordt actief 60 dagen voor aanvang van de studie en blijft na uitschrijving bij de universiteit nog 60 dagen beschikbaar. Voorwaarden: - Een account is strikt persoonlijk. De accounthouder is verantwoordelijk voor alle handelingen die met het account worden verricht. - Op het gebruik van het account is de door het CvB vastgestelde gedragscode gebruik informatievoorziening van toepassing. Actie: inschrijving van de student in usis leidt ertoe dat een studenten account automatisch wordt aangevraagd en verkregen. 10

11 Ad.3 Gast account Het gastaccount biedt de mogelijkheid om mensen zonder medewerkersaccount tijdelijk van de infrastructuur gebruik te laten maken. Een gastaccount wordt uitgegeven m.b.v. het Gasten Management Systeem (GMS). Gasten kunnen bijvoorbeeld de catalogi van de Universiteitsbibliotheek raadplegen of internettoegang krijgen tijdens congressen of open dagen. Afhankelijk van de rollen die bij een gastaccount worden uitgegeven kan een gast beschikken over een tijdelijke opslagruimte op het netwerk. Daarnaast biedt het gastaccount internettoegang via Leiden University Wireless Access. Voorwaarden: - Het gastaccount is niet anoniem. Er vindt altijd registratie en identificatie plaats van de persoon aan wie het account verstrekt wordt. - Een gastaccount wordt uitgegeven m.b.v. het Gasten Management Systeem. Dit systeem is decentraal beschikbaar op o.a. secretariaten. Actie: een gastaccount kan geautomatiseerd aangemaakt worden na invoer van de gast in het gastenmanagementsysteem. Ad.4 Functioneel account Het kan noodzakelijk zijn dat meerdere personen op verschillende tijdstippen toegang nodig hebben tot dezelfde toepassingen en gegevens. Voorbeeld is medewerkers van recepties. Dit account heeft dezelfde mogelijkheden als een medewerker account, maar staat niet op één specifiek naam. Een van de gebruiksvoorwaarden van SURF, de internetleverancier van de Universiteit, is dat alle acties die via haar diensten plaatsvinden herleidbaar zijn tot één persoon. Beleid is daarom om terughoudend in het gebruik te zijn. Voorwaarden: -De verantwoordelijkheid en aansprakelijkheid voor het functioneel account ligt bij de aanvrager. Deze dient zorg te dragen voor een sluitende administratie van wie er wanneer gebruik heeft gemaakt van het functioneel account. - Op het gebruik van het account is de door het CvB vastgestelde gedragscode gebruik informatievoorziening van toepassing. Actie: een functioneel account kan worden aangevraagd bij de helpdesk ISSC. 11

12 Ad.5 Systeemaccount Niet alleen systeembeheerders kunnen systeemaccounts hebben maar ze komen ook voor bij de Faculteit W&N en zijn bedoeld om systeemapplicaties te laten functioneren. Systeemaccounts zijn bedoeld voor het beheer van de informatievoorziening. Dit account biedt enkel lokale rechten (local admin). Met de uitgave dient terughoudend te worden omgesprongen. Er zijn voorwaarden gekoppeld aan het gebruik van een local admin account. Actie: admin accounts voor de eigen pc kunnen worden aangevraagd volgens de procedure local admin rechten (zie bijlage). Dit betekent dat de medewerker het formulier ondertekent, het faculteitsbestuur toestemming geeft en van daaruit de aanvraag door de ISSC-helpdesk verder wordt afgehandeld. 3.2 Wachtwoorden Het huidige wachtwoordbeleid voor toegang tot de systemen van de universiteit bestaat uit minimaal 8 en maximaal 13 tekens; Het wachtwoord vereist tevens een hoofdletter, kleine letter en een cijfer. In het nieuwe wachtwoordenbeleid zullen meer karakters als maximum worden toegestaan. Ook diakritische tekens kunnen worden gebruikt en het wachtwoord zal langer geldig zijn. Aanwijzingen voor een goed wachtwoord: - Gebruik nooit voor de hand liggende woorden of reeksen (niet naam van partner of kinderen, reeksen als 12345, etc.) - Gebruik naast gewone letters en cijfers ook hoofdletters, kleine letters en cijfers - Acht karakters is het minimum maar liever meer karakters Actie: ga veilig om met het wachtwoord: - Geef het wachtwoord aan niemand - Zorg dat niemand meekijkt bij het wachtwoord intypen - Gebruik verschillende wachtwoorden voor verschillende diensten - Wissel de wachtwoorden regelmatig - Laat het wachtwoord niet rondslingeren in de buurt van de computer - Sla wachtwoorden niet onbeveiligd op de computer op. Bij gebruik van veel wachtwoorden gebruik dan een speciale wachtwoordenbeheerapplicatie - Organisaties zullen nooit om het wachtwoord vragen. Geef het dus ook nooit af. - Controleer of de website waar de gegevens moeten worden ingevoerd wel echt is (kijk of het internetadres groen wordt, veiligheidscertificaat, slotje in de browser) Actie: bestanden van een wachtwoord voorzien Kleinere bestanden kunnen via 7-zip met een wachtwoord worden beveiligd en verstuurd. Selecteer de bestanden voeg deze toe aan het programma(archief) waarna een wachtwoord kan worden gekozen. Het bestand kan daarna worden verstuurd. Stuur het wachtwoord per sms of geef het via de telefoon door. Office documenten zoals Word kunnen ook van een wachtwoord worden voorzien: ga naar Bestand en Info en kies Document Beveiligen. 12

13 3.3 Draadloos netwerk De Universiteit Leiden biedt o.a. internettoegang tot twee draadloze netwerken: Het Leiden University Netwerk en Eduroam. Het Leiden University Netwerk biedt medewerkers, studenten en gasten draadloze toegang met behulp van het ULCN account of gastenaccount. Dit netwerk biedt toegang tot de meest gangbare webapplicaties. Dit draadloos netwerk werkt vanaf elk apparaat en met elke webbrowser. Het Eduroam netwerk biedt medewerkers en studenten van de Universiteit Leiden en andere Hoger Onderwijs instellingen draadloze toegang met hun eigen instellingsaccount. Al het dataverkeer over dit netwerk wordt versleuteld en is daarmee moeilijker af te luisteren. Medewerkers en studenten aan de Universiteit Leiden kunnen dit netwerk gebruiken wanneer zij vertrouwelijke informatie willen versturen of applicaties willen gebruiken (voor bijvoorbeeld onderzoeken) die op het Leiden University Netwerk worden geblokkeerd. Voor gebruik van dit netwerk, dient extra software geïnstalleerd te worden en werkt ook met het ULCN account. Voordelen bij het gebruik van Eduroam: - de informatie gaat beveiligd door de lucht door het toepassen van encryptie - via POP3 of IMAP4 heeft men wel toegang tot externe mailservers - via de client kan worden ingelogd op het eduroamnetwerk van andere universiteiten en hogescholen - medewerkers en studenten van andere universiteiten kunnen op eduroam inloggen met hun inloggegevens van hun eigenuniversiteit of hogeschool. Quarantainenet wordt gebruikt om te voorkomen dat de werkplekken besmet raken. Quarantainenet is een systeem dat een geïnfecteerde computer isoleert van het netwerk totdat het probleem is opgelost. Geïsoleerde gebruikers worden door middel van een webpagina automatisch op de hoogte gesteld van de reden van isolatie en krijgen een aantal tips om het probleem zelf te kunnen verhelpen. De websites die nodig zijn bij het oplossen van het probleem blijven beschikbaar. Voorwaarden voor toegang draadloos netwerk: - een ULCN account is vereist - voor Eduroam is extra software noodzakelijk die de universiteit ter beschikking stelt - net als op de vaste voorzieningen zijn op de mobiele voorzieningen de universitaire gedragscode informatievoorziening van toepassing Actie: men kan zichzelf toegang verschaffen tot beide netwerken; bij problemen kan contact met de helpdesk worden opgenomen. 13

14 3.4 Data Opslag De behoefte aan extra data opslag is ook binnen de universitaire gemeenschap van belang. Er komen steeds meer publieke voorzieningen die het mogelijk maken om informatie en documenten te delen met samenwerkingspartners buiten de universiteit. Het informatiebeveiligingsbeleid van de universiteit kent het uitgangspunt open tenzij. Consequentie hiervan is dat dit soort voorzieningen toegankelijk zijn en niet technisch geblokkeerd worden. Het toestaan van dergelijke diensten wil echter nog niet zeggen dat er ook ondersteuning op geleverd wordt. SURFdrive is een dienst van SURF (community cloud) die de universiteit aanbiedt. Men krijgt hiermee data opslag in de cloud. Deze dienst is beschikbaar voor alle medewerkers. Zij kunnen de client zelf installeren of via de browser van de dienst gebruik maken. Voor andere gebruikers kunnen gast accounts worden aangevraagd in het GMS. Daarnaast kan Dropbox worden gebruikt. Geadviseerd wordt hierop geen informatie van de universiteit op te slaan. Voor vertrouwelijke informatie is dit sowieso verboden. Dropbox zal echter niet worden geblokkeerd. Indien Dropbox nodig is kan dit via het faculteitsbestuur worden aangevraagd. De gebruiker dient dan een overeenkomst te ondertekenen dat er geen vertrouwelijke informatie wordt bewaard. Actie: SURFdrive kan worden aangevraagd bij de ISSC helpdesk Actie: Dropbox kan via de informatiemanager worden aangevraagd bij het faculteitsbestuur. Na goedkeuring hiervan kan het worden aangevraagd bij de ISSC helpdesk 3.5 Data Distributie Bij een ULCN account krijgen gebruikers automatisch ruimte voor opslag van data van bestanden en s. Mocht dit te weinig zijn om de werkzaamheden te verrichten dan kan de limiet worden verhoogd. Gebruikers vooral onderzoekers met grote databestanden kunnen dit of op het interne netwerk of bij research centra in Nederland opslaan. Als het data is met een verhoogd of hoog risico dan moet deze data versleuteld worden voordat het wordt getransporteerd. Naast opslag van bestanden op vaste media kunnen data ook op mobiele media (externe harde schijven, usb sticks, tablets, etc) worden opgeslagen. Ook hier geldt dat de eigenaar van te voren bekijkt of het vertrouwelijke data bevat en als dit het geval is dan is versleuteling noodzakelijk. Daarbij dient een kopie van bedrijfsinformatie altijd op één van de universitaire systemen worden opgeslagen. Actie: voor encryptiesoftware neem contact op met ISSC helpdesk 14

15 4. Gedragscode en statements 4.1 Gedragscode gebruik informatievoorziening De gedragscode is een regeling die de gedragsregels beschrijft voor individuele gebruikers van Informatievoorzieningen van de Universiteit Leiden. Deze regeling maakt onderdeel uit van het informatiebeveiligingsbeleid en is van toepassing op iedereen die gebruik maakt van Informatievoorzieningen aangeboden door (een onderdeel van) de Universiteit In de gedragscode staan gedragsregels hoe met het gebruik van informatievoorziening moet worden omgegaan. Verder zijn er regels voor controle en naleving en kunnen er sancties volgen bij constatering van overtreding van de gedragsregels. In de bijlage staat de gedragscode. 4.2 Statements (privacy en security) De Universiteit Leiden heeft een privacy statement en een security statement. Deze verklaring kan worden verstrekt aan instanties en subsidieverstrekkers die inzicht willen hebben hoe de universiteit om gaat met informatiebeveiliging en persoonsgegevens. Privacy statement In het privacy statement staat hoe de universiteit omgaat met het verzamelen en gebruiken van persoonsgegevens voor de verwerking in administratieve processen. Het statement is van toepassing op gegevens die worden gebruikt en opgeslagen in geautomatiseerde systemen binnen de universiteit. Het betreft veelal gegevens van studenten, personeel en de gasten van de universiteit. De Universiteit Leiden verwerkt persoonsgegevens conform de Wet bescherming persoonsgegevens (WBP). Security statement Het security statement geeft informatie over hoe de Universiteit Leiden omgaat met informatiebeveiliging met betrekking tot medewerkers, studenten en externen. De universiteit streeft ernaar om ervoor te zorgen dat gebruikersgegevens veilig worden verkregen en bewaard. Het security statement is erop gericht om duidelijkheid te bieden over de beveiliging zodat mensen er zeker van kunnen zijn dat de gegevens voldoende beschermd worden. Actie: zie bijlage voor het privacy statement en het security statement; gebruik beide statements indien externen informatie nodig hebben hoe bij de universiteit wordt omgegaan met (persoons) gegevens 15

16 Bijlage 1. Gedragscode gebruik informatievoorziening 2. Privacy Statement 3. Security Statement 4. Template risicoanalyse onderzoeken 5. Verklaring omtrent Gedrag 6. Het contract lokale beheersrechten 7. Gebruikersvoorwaarden ULCN account 16

17 Bijlage 1. Gedragscode gebruik informatievoorziening d.d Het College van Bestuur besluit, vast te stellen een gedragscode gebruik informatievoorzieningen, luidende als volgt: 1 Inleiding Deze regeling beschrijft de gedragregels voor individuele gebruikers van Informatievoorzieningen van de Universiteit Leiden. Deze regeling maakt onderdeel uit van het informatiebeveiligingsbeleid en is van toepassing op iedereen die gebruik maakt van Informatievoorzieningen aangeboden door (een onderdeel van) de Universiteit Leiden. 2 Begripsbepalingen In deze regeling wordt verstaan onder: Gebruikers: Elke persoon, die gebruik maakt van de aan hem/haar door de Universiteit Leiden geboden Informatievoorzieningen. Hiertoe behoren in ieder geval Werknemers, studenten, personen aan wie de status van gastmedewerker is verleend, en ingehuurd personeel. Werknemer(s): De werknemer als bedoeld in de CAO Nederlandse Universiteiten die in dienst is bij de Universiteit Leiden. 3 Gedragsregels Het gebruik van de Informatievoorzieningen zoals aangeboden door (een onderdeel van) de Universiteit Leiden is onderworpen aan de volgende regels en voorwaarden: 1. De Gebruiker mag de geboden Informatievoorzieningen uitsluitend gebruiken na daartoe aan hem door of vanwege de Universiteit Leiden verstrekte toestemming. 2. Aan Gebruikers verstrekte toegangscodes voor het gebruik van informatievoorzieningen zijn persoonlijk en niet overdraagbaar. Ten aanzien van autorisatiecodes en/of wachtwoorden is strikte geheimhouding verplicht. 3. De Gebruiker is persoonlijk verantwoordelijk voor het gebruik dat van zijn toegangscodes voor informatiesystemen wordt gemaakt en het daar op volgend gebruik, dat onder deze toegangscodes van faciliteiten wordt gemaakt. 4. De Gebruiker zal bij constatering of vermoeden van enig misbruik direct melding maken via de daarvoor gebruikelijke kanalen. 5. Het is verboden systeem- of gebruikers-autorisatiecodes (wachtwoorden) van andere gebruikers op enigerlei wijze en in enigerlei vorm te bemachtigen. 17

18 6. De Gebruiker zal zich geen toegang verschaffen of trachten toegang te verkrijgen tot computersystemen en/of gegevensverzamelingen voor zover dit systemen/verzamelingen betreft waarvoor geen expliciete toegangsmogelijkheid voor de gebruiker is gecreëerd. 7. Het is de Gebruiker niet toegestaan de door de Universiteit Leiden ter beschikking gestelde programmatuur, databestanden en documentatie te kopiëren of ter beschikking te stellen aan derden, behoudens daartoe verleende (schriftelijke) toestemming. 8. Het is verboden informatie waarvan de verwerking in strijd is met de wet of de goede zeden (o.a. expliciet pornografisch materiaal), informatie die de goede naam van de Universiteit Leiden aantast, informatie die een discriminerend, racistisch, aanstootgevend, opruiend, of bedreigend karakter heeft op te slaan en/of te verspreiden middels de door de Universiteit Leiden geboden voorzieningen. Enige uitzondering op deze regel is gebruik voor een wetenschappelijk, educatief en/of therapeutisch doel. 9. Het is de Gebruiker niet toegestaan informatievoorzieningen te gebruiken of te exploiteren voor doeleinden anders dan die welke voortvloeien uit de functievervulling of studie aan de Universiteit Leiden, behoudens beperkt privé-gebruik van en Internetvoorziening, voorzover dit gebruik niet storend is voor overige Gebruikers. en het gebruik zijn/haar werkzaamheden niet nadelig beïnvloedt. 10. De Gebruiker zal de ter beschikking gestelde informatievoorzieningen niet voor commerciële doeleinden gebruiken of exploiteren. 4 Controle en naleving 1. Beheerders van de Informatievoorzieningen hebben geheimhoudingsplicht met betrekking tot gegevens over - en internetgebruik die tot personen herleidbaar zijn. 2. Er vindt geen systematische controle van de inhoud van het netwerk en verkeer plaats, anders dan nodig is voor het weren van spam, virussen, wormen en overige aanvallen op de infrastructuur van de Universiteit Leiden. 3. Ten behoeve van het waarborgen van de goede werking van de geboden informatievoorzieningen wordt verkeers- en gebruiksinformatie vastgelegd en op regelmatige basis geanalyseerd. 4. Verkeers- en gebruiksinformatie (onder meer gegevens over afzender, bestemming, datum, tijd, hoeveelheid en omvang) wordt in beginsel niet langer bewaard dan zes maanden. Ingeval van een vermoeden van onjuist gebruik kunnen deze gegevens langer worden bewaard totdat de noodzaak daartoe is vervallen, hetgeen conform de Wet bescherming persoonsgegevens wordt gemeld bij het College Bescherming Persoonsgegevens. 5. Indien er gerechtvaardigde vermoedens van overtreding van de gedragsregels bestaan, kan op last van het College van Bestuur gericht onderzoek plaatsvinden naar de inhoud van het netwerk, Internet en verkeer van de individuele gebruikers. Het College van Bestuur ontvangt een schriftelijk verslag van de resultaten van het onderzoek. Indien het onderzoek geen aanleiding geeft tot verdere maatregelen wordt het schriftelijke verslag vernietigd. 6. De Gebruiker ten wiens laste een onderzoek als bedoeld in artikel 4 lid 5 plaatsvindt, wordt zo spoedig mogelijk schriftelijk geïnformeerd over de aanleiding, uitvoering en het resultaat van het onderzoek. De Gebruiker wordt in de gelegenheid gesteld uitleg te geven over de aangetroffen gegevens. Het 18

19 verstrekken van informatie aan de Gebruiker kan uitgesteld worden indien het onderzoek daardoor kan worden geschaad. 5 Sancties 1. Bij constatering van overtreding van de gedragsregels kan het College van Bestuur op voorstel van de portefeuillehouder informatiebeveiliging van de eenheid waar de overtreding is begaan een disciplinaire sanctie opleggen. 2. Bij overtreding van de gedragsregels op zodanige wijze dat directe overlast voor andere gebruikers of derde partijen wordt veroorzaakt kan een gebruiker op last van de relevante portefeuillehouder voor beperkte tijd toegang tot (delen van) de informatievoorzieningen ontzegd worden, en kan aan de gebruiker opgedragen worden informatie van het netwerk te verwijderen. 3. Indien een gebruiker handelt in strijd met de wet, of een redelijk vermoeden hiertoe bestaat, zal hem of haar met onmiddellijke ingang toegang tot de Informatievoorzieningen worden ontzegd. 4. Voor de Werknemer zijn deze gedragsregels tevens op te vatten als een verbijzondering van artikel 9.1. van de CAO Nederlandse Universiteiten 1 september augustus Overtreding van deze gedragsregels kan voor de Werknemer eveneens rechtspositionele consequenties hebben. 6 Bezwaar 1. De Gebruiker ten aanzien van wie gericht onderzoek als bedoeld in artikel 4.5, 4.6 of 4.7 is of wordt uitgevoerd kan daartegen schriftelijk en gemotiveerd bezwaar aantekenen bij het College van Bestuur binnen zes weken nadat de Gebruiker is ingelicht over het onderzoek. 2. Het College van Bestuur reageert schriftelijk en gemotiveerd binnen vier weken na ontvangst van het bezwaar. Indien het bezwaar als bedoeld in het vorige lid gegrond wordt verklaard, worden de door middel van de onderzoeksmaatregelen verkregen gegevens terstond vernietigd. Tevens worden eventuele maatregelen ingetrokken indien deze - naar achteraf blijkt uit het nader onderzoek ten onrechte zijn genomen. 7 Slotbepalingen 1. In gevallen waarin deze regeling niet voorziet, beslist het College van Bestuur. 2. Deze regeling treedt in werking op 30 mei 2005 en kan worden aangehaald als Regeling Acceptabel Gebruik Informatievoorzieningen van de Universiteit Leiden. 3. Ten opzicht van andere regelingen met eenzelfde werkingsgebied kent deze regeling een kaderstellend karakter. Dat wil zeggen dat overige regelingen niet strijdig mogen zijn met deze regeling maar hier wel een aanvulling op mogen geven. 19

20 Bijlage 2. Privacy Statement d.d Privacystatement Universiteit Leiden Hoe de Universiteit Leiden omgaat met gegevens In dit privacystatement staat hoe de universiteit omgaat met het verzamelen en gebruiken van persoonsgegevens voor de verwerking in administratieve processen. Het statement is van toepassing op gegevens die worden gebruikt en opgeslagen in geautomatiseerde systemen binnen de universiteit. Het betreft veelal gegevens van studenten, personeel en de gasten van de universiteit. De Universiteit Leiden verwerkt persoonsgegevens conform de Wet bescherming persoonsgegevens (WBP). Persoonlijke gegevens Voor de werkzaamheden die plaatsvinden binnen de universiteit kunnen de volgende persoonlijke gegevens worden verzameld: naam, adres, telefoonnummer, woonadres, gegevens over (voor)opleiding, studievoortgang en gegevens die betrekking hebben op overige studenten- en personeelsaangelegenheden. De gegevens worden door de betrokkenen zelf verstrekt, maar kunnen ook afkomstig zijn uit bronsystemen van derden, bijvoorbeeld de Belastingdienst, Studielink, de IND en het ABP. Tevens kunnen gegevens worden verzameld doordat belangstellenden deze achterlaten op de website teneinde hen op de hoogte te kunnen houden van diverse activiteiten van de universiteit. Deze gegevens worden niet aan derden verstrekt. Tevens kunnen in het kader van de studentenwerving gegevens worden verwerkt. Gebruik van gegevens De gegevens worden door de universiteit gebruikt om als instelling voor hoger onderwijs en wetenschappelijk onderzoek en als werkgever in het kader van de bedrijfsvoering, de daarbij behorende taken en wettelijke plichten naar behoren uit te voeren. Gegevens voor studenten worden in het bijzonder gebruikt voor het geven en plannen van het onderwijs, de begeleiding van studenten, het verstrekken van leermiddelen, het innen van collegegelden, het behandelen van geschillen, het bijhouden van studievoortgang, het verstrekken van diploma s, het doen uitoefenen van accountantscontrole en het onderhouden van contact met alumni. Gegevens die betrekking hebben op het personeel van de universiteit worden onder andere gebruikt voor de behandeling van personeelszaken, het vaststellen van salarisaanspraken, het regelen van aanspraken op uitkeringen in verband met de beëindiging van een dienstverband, interne en accountantscontrole en in verband met de bedrijfsmedische zorg. Naast de hiervoor genoemde groepen, kunnen binnen de universiteit ook persoonsgegevens worden verzameld in het kader van wetenschappelijk onderzoek en onderwijs. Voor deze gegevens geldt dat gewerkt wordt conform de wet en de Gedragscode voor gebruik van persoonsgegevens in wetenschappelijk onderzoek VSNU. Het kan voorkomen dat daaronder ook gegevens van patiënten worden verzameld, bijvoorbeeld in het kader van onderwijs en onderzoek in het LUMC en de Faculteit Sociale Wetenschappen. Naast de hiervoor genoemde gedragscode zijn in die gevallen ook de betreffende beroepscodes van toepassing. 20