Informatiebeveiliging Beleid en Basisregels Universiteit Utrecht
Versie beheer Versie Datum Korte beschrijving aanpassing 1.0 01-11-2005 Eerste versie vast te stellen door CvB op 15-11-2005 Copyright 2005, Universiteit Utrecht Niets uit deze uitgave mag worden verveelvoudigd en/of openbaar gemaakt door middel van druk, fotokopie, microfilm of op welke andere wijze dan ook zonder voorafgaande schriftelijke toestemming van de afdeling ICT van de Universiteit Utrecht. Universiteit Utrecht 1
Inhoudsopgave VERSIE BEHEER... 1 INHOUDSOPGAVE... 2 1 DEEL I: BELEIDSKADER INFORMATIEBEVEILIGING... 4 1.1 INLEIDING... 4 1.2 WETTELIJKE BASIS... 4 1.3 DOELSTELLING INFORMATIEBEVEILIGING... 4 1.4 DOELGROEP... 5 1.5 KADERSTELLING... 5 1.6 LEESWIJZER... 5 2 DEEL II: BASISREGELS INFORMATIEBEVEILIGING... 7 2.1 ORGANISATIE EN VERANTWOORDELIJKHEDEN... 7 2.2 CLASSIFICATIE EN BEHEER VAN BEDRIJFSMIDDELEN... 9 2.3 BEVEILIGINGSEISEN TEN AANZIEN VAN PERSONEEL STUDENTEN EN BEZOEKERS... 11 2.3.1 Beveiligingseisen bij indiensttreding medewerkers... 11 2.3.2 Informatiebeveiliging in functiebeschrijvingen medewerkers... 11 2.3.3 Beveiligingseisen studenten en bezoekers... 11 2.3.4 Gebruiksregels ICT-faciliteiten... 11 2.3.5 Opleiding van gebruikers... 11 2.3.6 Reactie op beveiligingsincidenten... 11 2.4 FYSIEKE BEVEILIGING... 12 2.4.1 Publieke ruimten... 12 2.4.2 Niet-publieke ruimten... 12 2.4.3 Beveiligde ruimten... 12 2.4.4 Beveiliging van apparatuur... 12 2.4.5 Beveiliging mobiele middelen... 12 2.4.6 Netwerkvoorzieningen en bekabeling... 12 2.4.7 Afvoeren van informatiedragers... 12 2.4.8 Overige fysieke beveiligingsmaatregelen... 13 2.5 COMMUNICATIE- EN BEDIENINGSPROCESSEN... 14 2.5.1 Procedures en verantwoordelijkheden... 14 2.5.2 Integriteit van programmatuur en gegevens... 14 2.5.3 Beveiliging informatiedragers... 14 2.5.4 Uitwisseling van informatie... 14 2.6 TOEGANGSBEVEILIGING... 15 2.6.1 Toegangsbeleid... 15 2.6.2 Beheer van toegangsrechten... 15 2.6.3 Verantwoordelijkheden van gebruikers... 15 2.6.4 Toegangsbeveiliging voor netwerken, computers en applicaties... 15 2.7 ONTWIKKELING EN ONDERHOUD VAN SYSTEMEN... 16 2.8 CONTINUÏTEITSMANAGEMENT... 16 2.9 NALEVING... 17 2.9.1 Wettelijke voorschriften en contractuele eisen... 17 2.9.2 Beveiligingsbeleid... 17 2.9.3 Technische naleving... 17 2.9.4 Incidentafhandeling:... 17 2.10 SANCTIES BIJ INBREUKEN OP HET INFORMATIEBEVEILIGINGSBELEID... 18 2.10.1 Maatregelen studenten en medewerkers... 18 2.10.2 Ingehuurd personeel en bezoekers... 18 2.10.3 Aansprakelijkheid... 18 2.11 BEWUSTWORDING... 19 3 DEEL III: ACTIVITEITENPLAN... 20 Universiteit Utrecht 2
BIJLAGE I: GEBRUIKTE DEFINITIES... 21 BIJLAGE II: BEVEILIGINGSORGANISATIE EN MANAGEMENT MODEL... 24 BIJLAGE III - HET BASIS BEVEILIGINGSMODEL:... 25 BIJLAGE IV AANSLUITVOORWAARDEN SOLISNET... 28 BIJLAGE V GEBRUIKSREGELS ICT-FACILITEITEN... 36 Universiteit Utrecht 3
1 Deel I: Beleidskader informatiebeveiliging 1.1 Inleiding De bedrijfsprocessen van de universiteit zijn in grote mate afhankelijk van de kwaliteit van de informatievoorziening. Dit geldt voor nagenoeg alle bedrijfsprocessen op zowel universitair niveau als op decentraal niveau. Onder bedrijfsprocessen worden niet alleen de processen voor bestuur en beheer verstaan, maar uitdrukkelijk ook de primaire processen, zijnde onderwijs en onderzoek. De kwaliteit van de informatievoorziening wordt voornamelijk gedefinieerd in termen van beschikbaarheid, integriteit en vertrouwelijkheid. Om de gegevens en informatiesystemen waarover de universiteit beschikt op de hiervoor genoemde gebieden te kunnen beschermen is het noodzakelijk een universitair informatiebeveiligingsbeleid te hebben. 1.2 Wettelijke basis Behalve deze interne eisen zijn er bovendien wettelijke eisen gesteld aan de beveiliging van gegevens en informatiesystemen. Voorbeelden hiervan zijn te vinden in de Wet Bescherming Persoonsgegevens, in de Wet computercriminaliteit, maar ook in het Burgerlijk Wetboek, de Telecommunicatiewet, de Auteurswet, de wet op de Jaarrekening, de Archiefwet en het Wetboek van Strafvordering. Deze regelingen bevatten in het algemeen een resultaatsverplichting tot een passend niveau van informatiebeveiliging. 1.3 Doelstelling informatiebeveiliging Informatiebeveiligingsbeleid is de leidraad voor de aansturing en coördinatie van de verschillende beveiligingsprocessen binnen de universiteit. Het uiteindelijke doel is het inrichten van een evenwichtig stelsel van beveiligingsmaatregelen, gericht op risicobeheersing. De risicobronnen waar de informatie en informatievoorziening van de universiteit aan is blootgesteld komen onder andere voort uit: de door de organisatie gewenste functionaliteit de gebruikers van de informatiesystemen de kwetsbaarheid van de ICT-infrastructuur externe oorzaken (bijv. inbraak, ongeoorloofd gebruik, vernieling) externe oorzaken (natuurgeweld maar ook technische calamiteiten zoals bijv. lekkage) In het kader van informatiebeveiliging worden maatregelen getroffen om de risico s die de hiervoor genoemde risicobronnen met zich meebrengen te beperken c.q. de vervolgschade te beperken. Niet alleen het treffen van fysieke, procedurele, organisatorische en technische beveiligingsmaatregelen is noodzakelijk, ook de controle op naleving ervan is essentieel. Dit informatiebeveiligingsbeleid is leidend voor het opstellen en uitvoeren van beveiligingsmaatregelen en dient tevens als communicatiemiddel richting alle betrokkenen. Met dit informatiebeveiligingsbeleid beoogt de universiteit te voorkomen dat: in strijd met (inter)nationale wetgeving wordt gehandeld in strijd met de aansluitvoorwaarden van de Internetprovider voor de universiteit, zijnde SURFnet, wordt gehandeld zij in verlegenheid wordt gebracht doordat informatie, onder beheer van de universiteit, in onbevoegde handen komt haar positie in gevaar komt doordat kritische strategische informatie beschikbaar komt voor onbevoegden de informatievoorziening in gevaar komt door inbreuken op de integriteit, beschikbaarheid en vertrouwelijkheid van gegevens de gebruikers last ondervinden bij het gebruik van diensten en producten door onvolkomenheden in de informatievoorziening Het universitaire informatiebeveiligingsbeleid heeft ook tot doel de bewustwording ten aanzien van informatiebeveiliging te vergroten. Universiteit Utrecht 4
1.4 Doelgroep Het universitaire beveiligingsbeleid geldt voor alle onderdelen van de universiteit, voor zowel medewerkers (ook gastmedewerkers en inhuurkrachten), studenten (ook gast- en uitwisselingstudenten) en overige bezoekers. Indien bij samenwerking met derden sprake is van uitwisseling van informatie, waarvan de universiteit eigenaar of beheerder is, dient informatiebeveiliging een onderdeel van de samenwerkingsovereenkomst te zijn en is deze niet strijdig met het universitaire informatiebeveiligingsbeleid. Het beleid is locatie onafhankelijk. Indien een medewerker of student werkzaamheden verricht op een locatie die niet tot de universiteit behoort, maar waarbij men wel met informatie of informatievoorzieningen van de universiteit werkt, dient men dit beleid te respecteren. 1.5 Kaderstelling Binnen de universiteit vindt op sterk uiteenlopende en soms tegenstrijdige manier informatieuitwisseling en informatiebeheer plaats. Enerzijds zijn er de kritische bedrijfsprocessen waarbij een hoge mate van beschikbaarheid, integriteit en vertrouwelijkheid van de informatie vereist is en om die redenen in een zo gesloten mogelijke omgeving geplaatst dienen te worden. Anderzijds zijn er onderwijs- en onderzoekprocessen die, tot op zekere hoogte, juist gebaat zijn bij een zo groot mogelijke openheid met als doel informatie te verkrijgen of informatie beschikbaar te stellen. Tegen deze achtergrond is het informatiebeveiligingsbeleid opgesteld en geldt het als het basis beveiligingsbeleid van de universiteit Utrecht. Basis beveiligingsbeleid is in dit kader het minimum beveiligingsniveau. De meest kritische bedrijfsprocessen zoals de concernadministratie, de studentenadministratie en de patiëntenadministratie van diergeneeskunde vereisen aanvullend beleid. Bij het opstellen van het universitaire informatiebeveiligingsbeleid is de internationale standaard ISO/IEC 17799:2000, zijnde de code voor informatiebeveiliging, als leidraad gebruikt. In deze standaard worden alle facetten van informatiebeveiligingsbeleid die als good practice van belang zijn, benoemd en beschreven. 1.6 Leeswijzer In dit deel (deel één) is het beleidskader van het informatiebeveiligingsbeleid van de Universiteit Utrecht vastgelegd (Code voor Informatiebeveiliging hoofdstuk 3). Deel twee bevat de basisregels voor de universitaire informatiebeveiliging en is als volgt opgebouwd: Hoofdstuk 2.1: Organisatie en verantwoordelijkheden (Code voor Informatiebeveiliging hoofdstuk 4) Hoofdstuk 2.2: Classificatie en beheer van informatie en bedrijfsmiddelen (Code voor Informatiebeveiliging hoofdstuk 5) Hoofdstuk 2.3: Beveiligingseisen ten aanzien van personeel, studenten en bezoekers (Code voor Informatiebeveiliging hoofdstuk 6) Hoofdstuk 2.4: Fysieke beveiliging (Code voor Informatiebeveiliging hoofdstuk 7) Hoofdstuk 2.5: Beheer van communicatie- en bedieningsprocessen (Code voor Informatiebeveiliging hoofdstuk 8) Hoofdstuk 2.6: Logische toegangsbeveiliging (Code voor Informatiebeveiliging hoofdstuk 9) Hoofdstuk 2.7: Ontwikkeling en onderhoud van systemen (Code voor Informatiebeveiliging hoofdstuk 10) Hoofdstuk 2.8: Continuïteitsmanagement (Code voor Informatiebeveiliging hoofdstuk 11) Hoofdstuk 2.9: Naleving (Code voor Informatiebeveiliging hoofdstuk 12). Hoofdstuk 2.10: Sancties bij inbreuken op het informatiebeveiligingsbeleid Hoofdstuk 2.11: Bewustwording Deel drie is een activiteitenplan met daarin de activiteiten die uit deel één en twee volgen. Dit deel is tevens onderdeel van de beleidsrapportage. Universiteit Utrecht 5
Tenslotte bevatten de bijlagen respectievelijk: Bijlage I - een lijst met definities Bijlage II - de beveiligingsorganisatie en managementmodel Bijlage III- het basis beveiligingsmodel Bijlage IV - de aansluitvoorwaarden SOLISnet Bijlage V de gebruiksregels ICT-faciliteiten Universiteit Utrecht 6
2 Deel II: Basisregels informatiebeveiliging 2.1 Organisatie en verantwoordelijkheden Om de kwaliteit van de informatiebeveiliging te kunnen waarborgen is het van belang dat de verantwoordelijkheden op het gebied van informatiebeveiliging binnen de gehele organisatie goed verankerd zijn. Het College van Bestuur stelt het universitaire informatiebeveiligingsbeleid vast en is (eind-) verantwoordelijk. Het College van Bestuur heeft de bevoegdheden die nodig zijn voor het uitvoeren van het beleid gedelegeerd aan de directeur ICT. Het management van faculteiten en diensten is verantwoordelijk voor de naleving van het vastgestelde informatiebeveiligingsbeleid binnen de faculteit of dienst. De universiteit heeft een Chief Information Security Officer (CISO-UU) aangesteld. Deze onderhoudt het universitaire informatiebeveiligingsbeleid en adviseert zowel het universitair als het decentraal verantwoordelijke management over beveiligingsvraagstukken. De CISO-UU is verantwoordelijk voor het opstellen en uitdragen het universitaire beleid op het gebied van informatiebeveiliging en ziet toe op de uitvoering hiervan. De CISO-UU rapporteert aan de directeur ICT, maar kan zich in uitzonderlijke gevallen rechtstreeks tot het College van Bestuur wenden. Elke faculteit en dienst heeft een functionaris die binnen het universitaire onderdeel verantwoordelijk is voor de uitvoering van het informatie beveiligingsbeleid. Deze functionaris, Local Security Contact (LSC) genaamd, is door de decaan of directeur van het universitaire onderdeel benoemd. Het behoort tot de taak van de LSC om het universitaire beleid binnen de faculteit of dienst uit te voeren en te bewaken. De LSC rapporteert aan de decaan of directeur en levert op verzoek informatie aan de CISO-UU. De CISO-UU en de LSC s overleggen minimaal twee keer per jaar met als doel het universitaire informatiebeveiligingsbeleid te toetsen aan actuele inzichten. Binnen de organisatie van het informatiebeveiligingsbeleid is het ook van belang om één centraal punt te hebben waar alle incidenten op het gebied van informatiebeveiliging aangemeld en gecoördineerd worden. Binnen de universiteit is voor deze taak het Computer Emergency Response Team UU (CERT-UU) opgericht. Bij dit team, dat 7 dagen per week voor calamiteiten bereikbaar is, dienen beveiligingsincidenten aangemeld worden. CERT-UU coördineert de afhandeling van deze incidenten en bewaakt de voortgang. CERT-UU rapporteert maandelijks aan de CISO-UU. De rapportage is eveneens beschikbaar voor de LSC s. Het managementmodel van de hiervoor geschetste organisatie is opgenomen in bijlage II. Naast de hiervoor genoemde functionarissen hebben beheerders van informatie en ICT-middelen én eindgebruikers elk hun eigen verantwoordelijkheid op het gebied van informatiebeveiliging. Ter ondersteuning van de door hen uit te voeren taken zijn hun middelen en bevoegdheden toegekend. Aan het gebruik van deze middelen en bevoegdheden is de verantwoordelijkheid verbonden voor een deugdelijk beheer. Iedere beheerder en gebruiker is daarom verantwoordelijk voor alle aspecten van beveiliging binnen de eigen invloedsfeer. Voor beheerders liggen de verantwoordelijkheden vast in beheerprocedures. Deze procedures worden door de beheereenheid vastgesteld. De CISO-UU adviseert de universitaire beheereenheden bij het opstellen van beheerprocedures. Externe dienstverleners die voor of namens de universiteit universitaire informatie beheren zijn verplicht inzicht te geven in hun beheerprocedures. Dit wordt contractueel vastgelegd. Voor alle op het netwerk aangesloten systemen gelden de aansluitvoorwaarden SOLISnet. Deze aansluitvoorwaarden worden jaarlijks vastgesteld door de directeur ICT en zijn onderdeel van het informatiebeveiligingsbeleid. De aansluitvoorwaarden zijn opgenomen in bijlage IV Universiteit Utrecht 7
De verantwoordelijkheden voor eindgebruikers zijn in universitaire de gebruiksregels ICTfaciliteiten vastgelegd. Deze gebruiksregels maken deel uit van het universitaire informatiebeveiligingsbeleid De organisatie, bedrijfsprocessen, informatievoorziening en daarmee de informatiebeveiliging zijn voortdurend aan verandering onderhevig. Het universitaire informatiebeveiligingsbeleid wordt dan ook jaarlijks op inhoud, uitvoerbaarheid en implementatiestatus beoordeeld en, indien nodig, aangepast. De CISO-UU is verantwoordelijk voor dit proces. Dit proces van controle en beheer is een continu proces, echter jaarlijks wordt expliciet een revisie uitgevoerd. Hierover wordt gerapporteerd aan het College van Bestuur. Universiteit Utrecht 8
2.2 Classificatie en beheer van bedrijfsmiddelen Aan alle processen en middelen is een eigenaar toegewezen die verantwoordelijk is voor de implementatie en handhaving van de beveiligingsmaatregelen. Deze is verantwoordelijk voor classificatie en risicoanalyse van de processen en middelen. Binnen de universiteit wordt gebruik gemaakt van een uniform systeem voor classificatie van beveiligingsniveaus voor informatiesystemen. Voor deze classificatie wordt uitgegaan van de volgende criteria: - Beschikbaarheid en tijdigheid - integriteit en volledigheid - performance en capaciteit - vertrouwelijkheid Classificatielabel Kenmerken van systemen Kritisch Informatie of een (informatie)bedrijfsmiddel wordt kritisch genoemd indien het niet functioneren ervan in termen van beschikbaarheid, tijdigheid, integriteit, enz. de voortgang van het bedrijfsproces direct bedreigd of tot grote schade leidt. Voor deze categorie is aanvullend beveiligingsbeleid verplicht. Voorbeelden hiervan zijn: Osiris, het bibliotheeksysteem, het patiëntensysteem van diergeneeskunde, belangrijke delen van het netwerk, maar dit kan ook een onderzoeksysteem van een individuele onderzoeker zijn. Belangrijk Informatie of een (informatie)bedrijfsmiddel wordt belangrijk genoemd indien het onderdeel uitmaakt van het primaire bedrijfsproces, maar het niet functioneren hiervan niet direct leidt tot grote schade of bedreiging van de voortgang ervan. Voorbeelden hiervan zijn de UU-webserver of Metis Standaard Informatie of een (informatie)bedrijfsmiddel wordt standaard genoemd indien het geen onderdeel uitmaakt van het primaire bedrijfsproces en niet functioneren ervan niet leidt tot bedreiging van, of schade aan, het primaire bedrijfsproces Voorbeelden hiervan zijn bijv. de werkstations van de individuele werknemer Alle informatie binnen de universiteit wordt geclassificeerd naar één van de vier niveaus van vertrouwelijkheid, zoals hieronder vermeld. Classificatielabel Publiek Bedrijfsvertrouwelijk Vertrouwelijk Strikt vertrouwelijk Kenmerken van informatie Alle informatie die algemeen toegankelijk is. Beveiligingsmaatregelen beperken zich tot de integriteit en beschikbaarheid van de informatie. Dit betreft de informatie die toegankelijk mag of moet zijn voor alle medewerkers van de universiteit of alle medewerkers van een faculteit of dienst. Vertrouwelijkheid is gering. Beveiligingsmaatregelen beperken zich tot de integriteit van de informatie. Dit betreft informatie die alleen toegankelijk mag zijn voor een beperkte groep gebruikers. De informatie wordt ter beschikking gesteld op basis van need to know. Schending van deze classificatie kan serieuze schade toebrengen aan de universiteit of onderdelen daarvan. Dit betreft gevoelige informatie die alleen toegankelijk mag zijn voor de direct geadresseerde. Verder verspreiding kan grote schade toebrengen aan de universiteit, onderdelen van de universiteit of personen binnen de universiteit. Universiteit Utrecht 9
De eisen en maatregelen in vervolg op de classificatie van vertrouwelijkheid van informatie is in een apart document, Informatie classificatie genaamd, vastgelegd. De diverse beveiligingsniveaus voor informatiesystemen mét bijbehorende maatregelen zijn vastgelegd in het basis beveiligingsmodel. Dit model beschrijft een verplicht minimum beveiligingsniveau voor alle onderdelen van de universiteit én voor externe partijen die voor de universiteit diensten verrichten. Het basis beveiligingsmodel is beschreven in bijlage III. Universiteit Utrecht 10
2.3 Beveiligingseisen ten aanzien van personeel studenten en bezoekers Het doel van beveiligingseisen ten aanzien van personeel is het verminderen van menselijke fouten, diefstal, fraude of misbruik van voorzieningen. 2.3.1 Beveiligingseisen bij indiensttreding medewerkers Iedere medewerker krijgt bij indiensttreding schriftelijke informatie over het geldende basis informatiebeveiligingsbeleid. 2.3.2 Informatiebeveiliging in functiebeschrijvingen medewerkers Voor zover van toepassing worden de verantwoordelijkheden op het gebied van informatiebeveiliging in functieomschrijvingen vastgelegd. Voor kritische functies waarbij de functionaris toegang tot vertrouwelijke of privacy gevoelige informatie heeft, kan het ondertekenen van een geheimhoudingsverklaring verplicht worden gesteld. Bij deze functies staat informatiebeveiliging op de agenda voor functioneringsgesprekken. 2.3.3 Beveiligingseisen studenten en bezoekers Voor de beveiligingseisen ten aanzien van studenten en bezoekers zijn de hieronder genoemde paragrafen over gebruiksregels, opleidingen en reactie op beveiligingsincidenten van toepassing. 2.3.4 Gebruiksregels ICT-faciliteiten Het universitaire informatiebeveiligingsbeleid voorziet in gebruiksregels voor ICT-faciliteiten. Deze gelden voor medewerkers, studenten en bezoekers van de universiteit. Door gebruik te maken van de ICT-middelen van de universiteit heeft de gebruiker zich verplicht tot het naleven van de gebruiksregels. De gebruiksregels worden toegevoegd als bijlage V 2.3.5 Opleiding van gebruikers Informatiebeveiliging is onderdeel van opleidingen in het gebruik van ICT-middelen. Onder opleiding wordt ook verstaan het beschikbaar stellen van brochures die informatie bevatten over het universitaire informatiebeveiligingsbeleid. 2.3.6 Reactie op beveiligingsincidenten Er is een vaste procedure voor het melden van incidenten. Eenieder die beveiligingsrisico s in het kader van dit basis informatiebeveiligingsbeleid veronderstelt of constateert is verplicht dit te aan CERT-UU te melden. Dit geldt ook voor vermeende of geconstateerde onvolkomenheden in programmatuur. Universiteit Utrecht 11
2.4 Fysieke beveiliging Doel van fysieke ICT-beveiliging is het voorkomen van ongeautoriseerde toegang, teneinde schade in gebouwen en schade of verstoring van informatie te voorkomen. 2.4.1 Publieke ruimten Toegang tot ICT-voorzieningen in publieke ruimten is aan eenieder toegestaan. De fysieke beveiliging is gericht op het voorkomen van het ongeoorloofd verwijderen van apparatuur. 2.4.2 Niet-publieke ruimten Toegang tot niet-publieke ruimten en het gebruik van de in deze ruimten aanwezige ICT-middelen is alleen toegestaan aan daartoe geautoriseerde personen. ICT-middelen in niet-publieke ruimten, zoals kantoorruimten, worden fysiek beschermd tegen ongeoorloofd gebruik. Fysieke bescherming kan zijn het afsluiten van de ruimte bij afwezigheid of een fysieke toegangscontrole (bijv. via XS-pas). De fysieke beveiliging van niet-publieke ruimten is de verantwoordelijkheid van het voor deze ruimten verantwoordelijke management. 2.4.3 Beveiligde ruimten Kritische (ICT-)voorzieningen worden in beveiligde ruimten geplaatst. Deze ruimten zijn alleen toegankelijk voor daartoe gemachtigde personen. De fysieke beveiliging van beveiligde ruimten is gericht op: - voorkoming van ongeautoriseerde toegang - registratie van geautoriseerde toegang - brandwerende maatregelen - voorkoming van schade door water, blikseminslag of ander natuurgeweld - maatregelen bij stroomuitval Reservekopieën van informatie en informatiesystemen worden in voldoende mate, eventueel met reserve apparatuur en media, in beveiligde ruimtes en op veilige afstand van het origineel bewaard ter voorkoming van verlies of beschadiging bij calamiteiten. Ook de documentatie over deze informatie en informatiesystemen wordt op een veilige plaats, op veilige afstand van de het origineel, bewaard. 2.4.4 Beveiliging van apparatuur Kritische apparatuur is in beveiligde ruimten geplaatst (zie 5.3). Voor kritische apparatuur is een onderhoudscontract afgesloten. Er zijn maatregelen genomen om te voorkomen dat de eventueel op deze middelen aanwezige vertrouwelijke (bedrijfs)informatie door misbruik, diefstal of interceptie van dataverkeer ontvreemd of verminkt kan worden. 2.4.5 Beveiliging mobiele middelen Mobiele ICT-middelen (o.a. laptops, PDA s, memory keys, mobiele telefoons) zijn beveiligd tegen ongeautoriseerde toegang. Er zijn maatregelen genomen om te voorkomen dat de eventueel op deze middelen aanwezige vertrouwelijke (bedrijfs)informatie door misbruik, diefstal of interceptie van dataverkeer ontvreemd of verminkt kan worden. 2.4.6 Netwerkvoorzieningen en bekabeling De fysieke netwerkinfrastructuur bestaande uit actieve netwerkcomponenten en bekabeling, is een universitaire voorziening en is dusdanig beveiligd, dat deze niet zondermeer toegankelijk is voor ongeautoriseerde personen. 2.4.7 Afvoeren van informatiedragers Bij verwijdering of hergebruik van apparatuur met informatiedragers (o.a. harde schijven) wordt de daarop aanwezige informatie vernietigd of overschreven. Universiteit Utrecht 12
2.4.8 Overige fysieke beveiligingsmaatregelen Behalve de hiervoor genoemde maatregelen zijn het voorkomen van ongeoorloofd meelezen van beeldschermen en het ongeoorloofd lezen van vertrouwelijke of privacy gevoelige informatie op papier elementaire fysieke beveiligingsmaatregelen. In dit kader dienen de begrippen clean desk en clean screen gehanteerd te worden. Vertrouwelijke of privacy gevoelige documenten worden onder toezicht afgedrukt en onmiddellijk verwijderd (bij printers en faxen). Universiteit Utrecht 13
2.5 Communicatie- en bedieningsprocessen Het doel van communicatie- en bedieningsprocessen is het garanderen van een correcte en veilige bediening en beheer van ICT-voorzieningen. 2.5.1 Procedures en verantwoordelijkheden Voor alle informatie en elk informatiesysteem is vastgesteld wie functioneel eigenaar is. Voor het beheer van informatie en informatiesystemen zijn verantwoordelijkheden en procedures vastgelegd. De eigenaar van de informatie en informatiedragers stelt deze vast en is verantwoordelijk voor het onderhoud ervan. De CISO-UU stelt de kaders en kan eigenaren adviseren. Om vergissingen, nalatigheid of opzettelijk misbruik zoveel mogelijk te voorkomen, wordt de grootst mogelijke vorm van functiescheiding nagestreefd. Productie-, acceptatie- en ontwikkelomgeving zijn van elkaar gescheiden Voor het aanbrengen van wijzigingen in kritische ICT-voorzieningen is een formele wijzigingsprocedure vastgesteld. 2.5.2 Integriteit van programmatuur en gegevens Om de integriteit van programmatuur en gegevens te beschermen, zijn op alle systemen maatregelen genomen tegen kwaadaardige programmatuur, zoals virussen, wormen, Trojaanse paarden e.d. Het is verplicht om beveiligingsadviezen (patches) van leveranciers altijd onmiddellijk op te volgen, tenzij uitvoering van een dergelijk advies het goed functioneren van bedrijfskritische processen belemmert. Er wordt zoveel mogelijk gebruik gemaakt van actuele versies van programmatuur die door de leverancier ondersteund wordt. Indien dit niet mogelijk is kunnen beperkingen worden opgelegd ten aanzien van de koppeling van dergelijke systemen aan het universitaire netwerk. 2.5.3 Beveiliging informatiedragers Er zijn procedures voor het beheer van informatiedragers. Overtollige informatiedragers (bijv. overjarige pc s en servers) worden op een veilige manier afgevoerd 1. De daarop aanwezige informatie wordt op een adequate manier vooraf verwijderd. Er zijn duidelijke voorschriften en procedures voor de veilige behandeling en opslag van informatie (o.a. back-up strategie). In het bijzonder dient rekening gehouden te worden met wettelijke minimale en maximale bewaartermijnen en de bepalingen rond toegankelijkheid van opgeslagen informatie. 2.5.4 Uitwisseling van informatie Uitwisseling van vertrouwelijke of privacygevoelige bedrijfsinformatie en programmatuur tussen (onderdelen van) de universiteit en andere organisaties is alleen mogelijk op basis van wettelijke voorschriften of schriftelijke overeenkomsten tussen partijen en is in overeenstemming met het informatiebeveiligingsbeleid van de universiteit. Vertrouwelijke of privacygevoelige informatie wordt ook tijdens transport beveiligd tegen misbruik, manipulatie en inzage. 1 Ter voorkoming van zaken zoals die van Tonino Universiteit Utrecht 14
2.6 Toegangsbeveiliging Het doel van toegangsbeveiliging is het beschermen van ICT-diensten en (digitale) informatiebronnen tegen ongeoorloofde toegang, wijziging, vernietiging en openbaring. 2.6.1 Toegangsbeleid Studenten en medewerkers van de universiteit krijgen alleen op basis van functionele vereisten/behoeften toegang tot niet-publiek toegankelijke ICT-diensten en (digitale) informatiebronnen van de universiteit. Voor derden is expliciet toestemming van de eigenaar vereist voor toegang tot de niet publiek toegankelijke informatiesystemen en ICT-diensten. De eigenaar van de informatie of ICT-dienst is verantwoordelijk voor het toegangsbeleid en autorisatie van de toegangsrechten. Alle daartoe geautoriseerde gebruikers beschikken over een unieke gebruikersidentificatie. Omdat het gebruik van faciliteiten altijd tot een persoon herleidt moet kunnen worden is deze gebruikersidentificatie enkel voor persoonlijk gebruik. Het gebruik van ICT-diensten en informatiebronnen is vastgelegd (logging van het gebruik) om vast te kunnen stellen of is voldaan aan het toegangsbeleid. 2.6.2 Beheer van toegangsrechten Door de eigenaar van gegevens en informatiebronnen zijn voor het registreren, muteren en afvoeren van gebruikers en autorisaties van gebruikers formele procedures vastgesteld. De CISO-UU stelt de kaders en kan eigenaren adviseren. 2.6.3 Verantwoordelijkheden van gebruikers Gebruikers worden op hun verantwoordelijkheden gewezen in het bijzonder tot het gebruik van authenticatiemiddelen. Deze verantwoordelijkheden zijn in de gebruiksregels ICT-faciliteiten vastgelegd. 2.6.4 Toegangsbeveiliging voor netwerken, computers en applicaties Voor de toegang tot netwerken, computers en applicaties zijn de eisen vastgelegd. Toegang tot deze middelen of pogingen daartoe worden gelogd en gecontroleerd. Met in achtneming van de Wet Bescherming Persoonsgegevens worden de inloggegevens van deze voorzieningen opgeslagen. De mate van vertrouwelijkheid van de informatie bepaalt de zwaarte van de toegangsbeveiliging. Voor informatie die algemeen publiekelijk beschikbaar dient te zijn, is geen toegangsbeveiliging op persoonsniveau noodzakelijk. Voor toegang tot de overige informatie is gebruikersnaam / wachtwoord de minimale eis. In sommige gevallen is zwaardere authenticatie vereist. Welke vorm van authenticatie is voorgeschreven wordt op basis van de classificatie van ICT-diensten en informatiebronnen bepaald. Uit de classificatie volgt eveneens de geldigheidsduur van de gebruikersidentificatie. Universiteit Utrecht 15
2.7 Ontwikkeling en onderhoud van systemen Bij het ontwerp, selectie of de ontwikkeling van nieuwe informatiesystemen worden de benodigde beveiligingseisen op basis van een risicoanalyse vastgesteld. Projecten en ondersteunende activiteiten dienen op een veilige manier te worden uitgevoerd. Voorbeelden hiervan zijn het gebruik van testgegevens en het gebruik van een testsysteem naast de productieomgeving. Het aanbrengen van wijzigingen wordt volgens vaste procedures op een gecontroleerde en door de eigenaar van het betreffende informatiesysteem geaccordeerde manier uitgevoerd. 2.8 Continuïteitsmanagement Voor kritische ICT-diensten en informatiesystemen is een continuïteitsplan aanwezig. In het continuïteitsplan is opgenomen hoe, in geval van calamiteiten, de getroffen ICT-dienst of het getroffen informatiesysteem weer zo snel mogelijk operationeel gemaakt kan worden. Een continuïteitsplan kan variëren van een goede back-upvoorziening of het geografisch spreiden van de ICT-dienst tot een complete uitwijk. Continuïteitsplannen worden minimaal één keer per jaar op actualiteit geëvalueerd en regelmatig getest. Universiteit Utrecht 16
2.9 Naleving Het voorschrijven van maatregelen is alleen zinvol indien deze ook gecontroleerd en gehandhaafd kunnen worden. 2.9.1 Wettelijke voorschriften en contractuele eisen Het ontwerp, de bediening, het gebruik en beheer van ICT-diensten en informatiesystemen voldoet aan de wettelijke en contractuele vereisten. 2.9.2 Beveiligingsbeleid Het management zorgt ervoor dat alle maatregelen en normen die uit het informatiebeveiligingsbeleid voortvloeien worden nageleefd en uitgevoerd. Afhankelijk van het belang van het te beveiligen proces of middel definieert de CISO-UU controle maatregelen. Voor de vitale bedrijfsprocessen kan een uitgebreide EDP-audit worden uitgevoerd. 2.9.3 Technische naleving Het basis beveiligingsbeleid van de universiteit voorziet in een zogenaamde security scan. Met een dergelijke scan worden de beveiligingslekken in ICT-middelen geïnventariseerd. De security scan wordt regelmatig uitgevoerd op alle systemen die op SOLISnet zijn aangesloten. De scan controleert de aangesloten systemen op de meest voorkomende gebreken in de beveiliging. De uitkomsten van deze scans worden aan de LSC van het verantwoordelijke onderdeel overhandigd. Deze is ervoor verantwoordelijk dat de geconstateerde gebreken worden opgelost. Het niet verhelpen van geconstateerde gebreken kan afsluiting van SOLISnet tot gevolg hebben. Behalve dat hiermee het beveiligingsniveau van ICT-middelen inzichtelijk wordt gemaakt, verhoogt dit ook de bewustwording. Het universitaire netwerk wordt continue gemeten om te beoordelen of de capaciteit nog voldoende is. Bij vermeend misbruik kunnen deze metingen worden geïntensiveerd en kan, om de oorsprong te achterhalen, naar de inhoud van de getransporteerde datapakketten gekeken worden. Deze werkwijze is vastgelegd in de aansluitvoorwaarden voor SOLISnet 2.9.4 Incidentafhandeling: Bij de organisatie van de informatiebeveiliging in hoofdstuk 2.1 is vastgesteld dat CERT-UU het centrale punt is waar alle incidenten op het gebied van informatiebeveiliging aangemeld en gecoördineerd worden. In dit kader wordt onder incidenten verstaan: - beveiligingsincidenten waarbij medewerkers, studenten of ICT-middelen van de universiteit betrokken zijn (als slachtoffer of als veroorzaker) - diefstal of vernieling van ICT-middelen CERT-UU opereert in opdracht van de CISO-UU en is het meldpunt voor de hiervoor genoemde incidenten en heeft slechts een coördinerende en adviserende rol bij de oplossing ervan. Incidenten kunnen door zowel interne als externe gedupeerden aangemeld worden. De gedupeerde faculteit of dienst kan besluiten aangifte te doen van de hierboven genoemde incidenten, maar is hier zelf verantwoordelijk voor. Bij diefstal of vernieling wordt ook de bedrijfsbeveiliging (FBU-security) ingelicht. CERT-UU kan in voorkomende gevallen, in overleg met de CISO-UU of de directeur ICT, zonodig systemen of zelfs delen van het netwerk af laten sluiten van de rest van het universitaire netwerk of Internet. In die gevallen waarbij de CISO-UU of de directeur ICT niet bereikbaar zijn, en de ernst van een incident afsluiting noodzakelijk maken, is CERT-UU gerechtigd om zelfstandig systemen of delen van het netwerk af te sluiten. De verantwoordelijke systeembeheerder wordt, zo mogelijk vooraf, maar in ieder geval achteraf hiervan op de hoogte gesteld. CERT-UU rapporteert maandelijks aan de CISO-UU. Universiteit Utrecht 17
2.10 Sancties bij inbreuken op het informatiebeveiligingsbeleid Bij inbreuk op het inforrnatiebeveiligingsbeleid kunnen door of namens het College van Bestuur maatregelen worden getroffen. 2.10.1 Maatregelen studenten en medewerkers Aan studenten of medewerkers die zich niet houden aan de regels die voortvloeien uit dit informatiebeveiligingsbeleid en die vastgelegd zijn in de gebruiksregels ICT-faciliteiten, kunnen door of namens het College van Bestuur disciplinaire maatregelen worden opgelegd. 2.10.2 Ingehuurd personeel en bezoekers Ingehuurd personeel en bezoekers die zich niet houden aan de regels die voortvloeien uit het informatiebeveiligingsbeleid kan toegang tot universitaire middelen ontzegd worden. 2.10.3 Aansprakelijkheid Indien de universiteit wordt aangesproken op de overtreding van eigendomsrechten, auteursrechten of overtreding van andere wettelijke bepalingen, zijn de wettelijke en universitaire aansprakelijkheidsregelingen van toepassing. Indien de universiteit schade ondervindt door nalatigheid bij het gebruik of het opzettelijke misbruik van ICT-voorzieningen worden de wettelijke en universitaire aansprakelijkheidsregelingen op de veroorzaker toegepast. Universiteit Utrecht 18
2.11 Bewustwording Veel gebruikers en beheerders van informatie zijn zich niet bewust van de risico s die men in het kader van informatiebeveiliging loopt of zijn zich niet voldoende bewust van de verantwoordelijkheid die zij dragen ten opzichte van de informatie waar zij toegang toe hebben. Helaas is dit een vruchtbare voedingsbodem voor incidenten. Onderzoek geeft aan dat de meerderheid van beveiligingsincidenten zijn oorsprong vindt binnen de eigen organisatie. Daarom is bewustwording of liever bewustmaking een belangrijk instrument bij informatiebeveiliging en wordt als een apart proces gedefinieerd. De CISO-UU is verantwoordelijk voor het bewustwordingsproces en ontwikkelt jaarlijks een campagne hiervoor. Universiteit Utrecht 19