Resume Københavns Universitet efterlever nu ISO 27001, om end der udestår en del konsekvensrettelser i IS-håndbog, sikkerhedspolitik mv.

Transkript

1 K Ø B E N H A V N S U N I V E R S I T E T Ledelsesteamet S A G S N O T A T 1. JUNI 2012 Vedr.: Statusrapport vedr. informationssikkerhed på KU for 2011 fra ISU til LT Sagsbehandler: Henrik Larsen Bilag: 1. IS-årshjul 2. DK CERT Trendrapport 2011 KONCERN-IT NØRREGADE 10, POSTBOKS KØBENHAVN K TLF DIR MOB Indledning Rammerne for arbejdet med sikring af informationssikkerheden på KU er fastlagt i Informationssikkerhedspolitik for Københavns Universitet og i DS484: Standard for Informationssikkerhed, som Universitetet har skullet efterleve siden 1. januar Senest i løbet af 2013 skal universitetet være overgået til den internationale standard, ISO (og de tilhørende standarder i ISO serien). Informationssikkerhedsorganisationen har i 2011 vedtaget at skifte nu. I såvel DS484:2005 som i ISO kræves det, at der årligt gives en rapport for arbejdet med og status for informationssikkerheden. Følgende er statusrapport for arbejdet med informationssikkerheden på Københavns Universitet pr. 1. februar henl@adm.ku.dk informationssikkerhed.ku.dk REF: HENL Opg. C, Resume Københavns Universitet efterlever nu ISO 27001, om end der udestår en del konsekvensrettelser i IS-håndbog, sikkerhedspolitik mv.

2 Arbejdet med informationssikkerheden er forankret bredt på universitetet gennem informationssikkerhedsorgansísationen. Lokalt er arbejdet forankret hos de enkelte IS-ansvarlige og de lokale informationssikkerhedsudvalg (LISU), overordnet styres det af det fælles informationssikkerhedsudvalg (ISU), der referer til LT. KU har en fælles informationssikkerhedspolitik IS-politik, der ajourføres årligt og som er udbredt på hele universitetet. IS-politikken findes i både en dansk som en engelsk udgave. De praktiske regler og krav vedrørende informationssikkerheden er detaljeret fastlagt i IS-håndbogen. IS-håndbogen er primært skrevet for ISorganisationen, mens der til universitetets øvrige brugere er skrevet en kortere vejledning, som findes i både dansk og engelsk udgave. De vigtigste løbende IS-aktiviteter er: håndtering af IS-hændelser, vurderinger af IS-risici, vedligeholdelse af IS-beredskabsplaner løbende vejledning af brugere og udbredelse af vejledninger i sikker brug af informationsteknologi og anden omgang med kritiske informationer. Kun informationssikkerhedschefen er fuldtidsbeskæftiget med informationssikkerhed. For de øvrige medlemmer af IS-organisationen er IS-opgaven blot en af flere opgaver, de varetager. For fortsat at kunne opretholde et passende lavt ressourceforbrug, er det meget vigtigt, at IS-arbejdet bestandigt har ledelsens opbakning, og at alle opgaver udføres rettidigt og som angivet i IS-håndbogen. SIDE 2 AF 13 Arbejdet i 2011 har bl.a. været præget af skift på posten som informationssikkerhedschef og af implementering af et elektronisk system til risikovurderinger.

3 SIDE 3 AF 13 Indledning:... 1 Resume:... 1 Status... 4 IS-politik... 4 IS-håndbøger... 4 IS-organisationen... 5 IS-aktiviteter... 5 Risikovurderinger:... 6 Sikkerhedshændelser:... 8 Beredskabsplaner:... 9 Informationsaktiviteter: KU s risikobillede: Fokusområder og nye aktiviteter Skift fra DS484:2005 til ISO27001: Mobile enheder: Test af beredskabsplaner samt auditeringer af IS-arbejdet

4 Status Københavns Universitet skal fremover efterleve international standard for informationssikkerhed ISO KU er i stigende grad afhængig at, at der er en passende høj sikkerhed omkring universitetets informationsaktiver (data, udstyr og personer). Forskere, studerende, sponsorer og samfundet generelt må have tillid til, at der er en passende beskyttelse imod tab af informationsaktiver, at disse ikke kommer i uvedkommendes hænder, og at deres integritet er sikret. Endvidere at informationsaktiverne er tilgængelige for de retmæssige brugere, når de skal anvendes. At der er en passende høj sikkerhed vil sige, at sikkerheden til stadighed overholder de lovgivningsmæssige krav, samtidig med at der tages passende hensyn til universitetets specielle forhold, så det daglige virke understøttes og ikke generes unødigt. SIDE 4 AF 13 IS-politik I IS-politik (informationssikkerhedspolitik) for Københavns Universitet har ledelsen fastlagt rammerne for informationssikkerheden på universitetet. På web-siden findes KUs aktuelle ISpolitik i såvel dansk som engelsk udgave. Informationssikkerhedsudvalget (ISU) reviderer årligt IS-politikken og fremlægger denne for rektor til godkendelse og HSU til orientering. Senest revision er fra december Der er ikke opdateret i 2011, men i 2012 skal der gennemføres en større revision, bl.a. med konsekvensrettelser efter overgang til ISO serien. IS-håndbøger I ISO er angivet en del krav, der skal vurderes og efterleves hvor dette er relevant set i forhold til lovkrav og universitetets virke. I IS-håndbogen er disse vurderinger angivet sammen med KU specifikke krav til informationssikkerhed. IS-håndbogen ajourføres løbende og angiver som nævnt de krav alle skal efterleve. Hvor der er behov for lokale skærpelser, kan disse fastlægges af den lokale sikkerhedsorganisation, mens lempelse af IS-håndbogens krav ikke er tilladt. IS-håndbogen er tilgængelig for alle på sikkerhedshjemmesiden IS-håndbogen er skrevet til at virke som håndbog for IS-organsationen og er meget omfangsrig, og den kan virke svært tilgængelig for andre. Til brug for flertallet af KU s brugere findes der en lille let tilgængelig vejlednings pjece på både dansk og engelsk. Pjecerne er fordelt rundt på Universitetet og findes i elektronisk form på sikkerhedshjemmesiden. Også disse pjecer står over for en revision.

5 IS-organisationen Rammerne for arbejdet med informationssikkerheden er beskrevet i IShåndbogen i kapitel 6 Organisering af informationssikkerhed Ved fastlæggelse af organisationen er det målet, at sikkerhedsorganisation lever op til kravene i standarden, er en integreret og naturlig del af universitetet, og opnår målene for sikkerheden på en økonomisk måde. SIDE 5 AF 13 Ansvaret for informationssikkerhed er ledelsens og på hvert institut eller tilsvarende enhed er der udpeget en person til at varetage opgaven, en ISansvarlig. Den IS-ansvarliges opgaver er blandt andre løbende at sikre, at sikkerhedshændelser bliver håndteret på passende vis og rapporteret korrekt, at enheden vedligeholder risikovurdering for alle væsentlige informationsaktive, så risikobilledet er klarlagt og accepteret, at enheden vedligeholder en beredskabsplan, så enhedens største trusler er dækket, at alle enhedens brugere løbende bliver informeret om de gældende regler, og hvilke trusler disse skyldes. De lokale informationssikkerhedsudvalg (LISU) samler de lokale ISansvarlige. Der var i 2011 syv lokale udvalg i forbindelse med fakultetsfusionerne er to nedlagt i 1. kvartal 2012, således at der nu er fem LISU. I kapitel 6 i IS-håndbogen er disse angivet, sammen med en beskrivelse af hvordan de skal fungere, dvs. mødetidspunkter, mødefrekvens og mødedagsorden. LISU udgør det operative niveau i sikkerhedsorganisationen. Formændene for de enkelte LISU indgår, sammen med vicedirektøren for koncern-it og repræsentanter for HSU, i det centrale informationssikkerhedsudvalg (ISU), hvor universitetsdirektøren er formand og informationssikkerhedschefen sekretær. Rammerne for ISU er ligeledes fastlagt i kaptiel 6 i IS-håndbogen. ISU udgør KUs taktiske niveau i arbejdet med informationssikkerheden. ISU referer til LT, der udgør det det strategiske niveau i informationssikkerhedsarbejdet. IS-aktiviteter I bilag 1 IS-årshjulet er de faste aktiviteter med informationssikkerheden på KU vist.

6 Risikovurderinger: I afsnit 4.1 i DS484:2005 er bl.a. angivet følgende: SIDE 6 AF 13 En risikovurdering skal identificere og prioritere risici med udgangspunkt i virksomhedens forretningsmæssige forhold. Resultatet skal bidrage til at fastlægge og prioritere de nødvendige ledelsesindgreb og sikringsforanstaltninger for at imødegå relevante risici. En risikovurdering skal dels omfatte en overordnet vurdering af de forretningsmæssige risici, en virksomhed er udsat for, når den benytter sig af informationsteknologi, dels mere dybtgående analyser på konkrete områder, fx lokaler, systemer, databaser og systemudviklingsprocesser. Ofte anvendes den overordnede risikovurdering til at få udpeget de kritiske områder, der skal gøres til genstand for dyberegående analyser. Formuleringen kan findes tilsvarende i ISO 17999, der danner grundlag for ISO 27002, som handler om praktisk implementering af kravene i ISO ISO er langt hen ad vejen identisk med DS 484:2005. Definitionen er stadig gældende, idet dog risikovurderingen ikke bør indskrænkes til informationsteknologi i klassisk forstand, men også omfatte andre kritiske informationsaktiver i form af fx papirarkiver, samlinger af museumsgenstande og af håndskrifter, boreprøver af indlandsis, genprøver osv. I ISO serien er formuleringen anderledes, idet risikovurdering omtales flere steder. ISO er en særskilt standard for risikostyring, som indgår i serien. I ISO 27001, som opstiller krav til ledelsessystem for informationssikkerhed (ISMS), afsnit om Etablering af ISMS-systemer hedder det bl.a.:

7 Virksomheden skal foretage følgende: c) Definere metoden til risikovurdering i virksomheden. 1) Identificere en metodik til risikovurdering, der passer til ISMS-systemet og de fastlagte krav til sikring af forretningsoplysninger samt lov- og myndighedskrav. 2) Udarbejde kriterier for risikovillighed og identificere de risikoniveauer, der kan accepteres. (se 5.1f)). Den valgte metodik til risikovurdering skal sikre, at risikovurderinger giver sammenlignelige og reproducerbare resultater. d) Identificere risiciene. 1) Identificere aktiverne inden for anvendelsesområdet for ISMS-systemet og disse aktivers ejere ²). 2) Identificere truslerne mod disse aktiver. 3) Identificere de sårbarheder, som kan opstå af truslerne. 4) Identificere de virkninger, som tab af fortrolighed, integritet og tilgængelighed kan have på aktiverne. e) Analysere og bedømme risiciene. 1) Vurdere de forretningsmæssige indvirkninger på virkshomheden, som følge af sikkerhedssvigt, under hensyntagen til konsekvenserne af tab af fortrolighed, integritet eller tilgængelighed af aktiverne. 2) Vurdere den realistiske sandsynlighed fr,a t der sker sikkerhedssvigt i lyset af de tilstedeværende trusler og sårbarheder samt indvirkninger, der er forbundet med disse aktiver, og de aktuelt iværksatte foranstaltninger. 3) Vurdere graderne af risici. 4) Afgøre, om risiciene kan accepteres eller kræver håndtering ud fra kriterierne for risikovillighed i 4.2.1c)2). SIDE 7 AF 13 ²) Med udtrykket ejer menes en enkeltperson eller entitet, der har godkendt ledelsesmæssigt ansvar for at styre produktion, udvikling, vedligeholdelse og sikring af aktiverne. Udtrykket ejer betyder ikke, at personen har ejendomsret til aktivet. Til opfyldelse af kravet i c)1) om valg af metodik har Københavns Universitet valgt at anvende en kvalitativ vurderingsmetode, jf. ISO Til at sikre sammenlignelige og reproducerbare resultater har KUs informationssikkerhedsorganisation anskaffet et elektronisk værktøj, SecureAware fra Neupart A/S. SecureAware er designet til at understøtte mange af elementerne i ISMS, men er i første omgang alene taget i brug til risikovurderinger, idet der i 2011 har været tilbudt workshops til alle lokale IS-ansvarlige. Implementeringen og oplæringen af IS-ansvarlige er fortsat i 2012.

8 Vurdering og håndtering af risici er helt essentielt for informationssikkerheden på universitetet. Det er vigtigt, at IS-organisationen og KUs brugere erkender og håndterer de risici, der er i forbindelse med skabelsen og bearbejdning af universitetets viden. Det er ligeledes afgørende at sikre, at risikohåndteringen og omgangen med universitetets informationsaktiver sker med passende hensyntagen til enhedens lokale forhold og fælles forpligtelser. Alle relevante personalegrupper skal høres og bidrage ved risikovurderingen. I IS-håndbogens kapitel 5 - Overordnede retningslinjer er det i bilaget /risikovurdering_metode/ beskrevet hvordan risikovurderingen skal udføres. Alle institutter og tilsvarende enheder på KU har risikovurderinger for deres informationsaktiver, og vedligeholder disse - fra 2011 i SecureAware. Vanskeligheder i forbindelse med implementeringen af et standardsystem, der har skullet tilpasses til at kunne understøtte KUs organisation og virkelighed har gjort, at en række vurderinger er forsinket og ikke alle enheder har således i skrivende stund afsluttet deres risikovurderinger. Også ændringer i IS-organisationen som følge af fakultetsfusioner og institutsammenlægninger har forsinket arbejdet. Der presses på, for at arbejdet kan afsluttes snarest, ligesom det fortsat forventes at opdatering af såvel risikovurderinger som beredskabsplaner for 2012 kan være afsluttet inden årsskiftet. SIDE 8 AF 13 Sikkerhedshændelser: Pkt. A.13 i Standard for Informationssikkerhed ISO 27001, Appendiks A omhandler styring af informationssikkerhedshændelser og fastsætter: A.13.1 Rapportering af informationssikkerhedshændelser og svagheder Mål: At sikre, at informationssikkerhedshændelser og svagheder i forbindelse med informationssystemer kommunikeres på en sådan måde, at der kan iværksættes korrigerende handlinger rettidigt. Rapportering af informationsikkerhedshændelser Informationssikkerhedshændelser skal rapporteres ad passende ledelseskanaler så hurtigt som muligt. Rapportering af sikkerhedssvagheder Alle medarbejdere, kontrahenter og eksterne brugere af informationssystemer og tjenester skal have pligt til at notere og rapportere alle observerede svagheder eller mistanker om svagheder i systemer og tjenester.

9 Der har i 2011 ikke været sager, hvor universitetet er blevet gjort ansvarlig for forkert omgang med følsomme persondata. SIDE 9 AF 13 Med den stadig stigende brug af Internettet på KU, er det meget vigtigt, at alle er opmærksomme på de oplysninger der lægges ud til offentlig beskuelse, og at man staks får rettet eventuelle fejl. Det har desværre ved flere lejligheder de seneste par år vist sig, at ikke alle brugere er klar over, hvad der må offentliggøres på internettet, hvordan de løser eventuelle fejl, hvor der kan fås hjælp, og hvem der er deres kontakt, i henseende til informationssikkerhed. Der er behov for at de enkelte IS-ansvarlige til stadighed gør opmærksom på deres funktion, og at denne underbygges af den lokale ledelse. Informationssikkerhedshjemmesiden er blevet suppleret med en vejledning om emnet: Hvad må jeg offentliggøre på internettet, udarbejdet på baggrund af en tilsvarende publikation fra Aalborg Universitet og godkendt af ISU i Beredskabsplaner: ISO 27001s krav til beredskabsplanlægning er følgende: A.14 Beredskabsstyring A.14.1 Informationssikkerhedsaspekter ved beredskabsstyring Mål: At modvirke afbrydelser af forretningsaktiviteter og at beskytte kritiske forretningsprocesser mod virkningerne af større nedbrud af informationssystemer eller katastrofer og at sikre rettidig retablering. A A A A A Inddragelse af informationssikkerhed i beredskabsstyringsprocessen Beredskab og risikovurdering Udvikling og implementering af beredskabsplaner, herunder informationssikkerhed Rammer for beredskabsplanlægning Prøvning, vedligeholdelse og revurdering af beredskabsplaner Der skal udarbejdes og opretholdes en styret proces til beredskabsstyring i virksomheden, som behandler de krav til informationssikkerhed, der er nødvendige for virksomhedens fortsatte drift. Hændelser, der kan forårsage afbrydelser af forretningsprocesser, skal identificeres sammen med sandsynligheden for og virkningen af sådanne afbrydelser og deres konsekvenser for informationssikkerheden. Der skal udarbejdes og implementeres planer for at vedligeholde eller retablere virksomhedens aktiviteter og sikre tilgængelighed af informationer på det krævede niveau og inden for de krævede tidsfrister efter afbrydelse eller nedbrud af kritiske forretningsprocesser. Der skal opretholdes en enkelt ramme for beredskabsplaner for at sikre, at alle planer er overensstemmende, at krav til informationssikkerhed håndteres konsekvent, og at prioriteringen af test og vedligeholdelse fastlægges. Beredskabsplaner skal afprøves og opdateres regelmæssigt for at sikre, af at de er tidssvarende og effektive.

10 Formålet med beredskabsplaner i relation til informationssikkerhed er, at de skal bidrage til at sikre at universitet kan opretholde sine normale aktiviteter, at de skal sikre en passende beskyttelse af KUs informationsaktiver (bl.a. data, udstyr og ansatte/studerende), samt at de skal sikre mulighed for en passende hurtig tilbagevenden til normalt virke efter et nedbrud eller en anden sikkerhedshændelse. SIDE 10 AF 13 Beredskabsplanerne bygger på de risikovurderinger, der er udarbejdet og som løbende bliver vedligeholdt, samt på de hændelser der har fundet sted eller forventes at kunne ske, og de omfatter de situationer og hændelser, der er vurderet at være at mest kritiske for enheden. De lokale IS-ansvarlige sørger for, at beredskabsplanerne bliver udarbejdet og vedligeholdt. Til støtte i arbejdet er der udarbejdet skabeloner, drejebøger og vejledninger, ligesom der har været afholdt workshops og kurser i brugen af disse. Informationsaktiviteter: Det er god dataskik, ligesom det er krævet i KUs IS-håndbog, at universitetets informationsaktiver bliver beskyttet på passende vis imod tab (tilgængelighedsbrud), imod uautoriserede ændringer (integritetsbrud), samt imod at komme i uvedkommendes besiddelse (fortrolighedsbrud). Passende beskyttelse af fortrolige og følsomme oplysninger kan eksempelvis opnås ved brug af kryptering, og når disse oplysninger er på mobile enheder, eller er under transport i netværk udenfor KU, skal de være sikret ved anvendelse af kryptering. Kryptering af informationer kan udføres på utallige måder. Der findes både freeware produkter, der kan anvendes gratis og kommercielle. Mange moderne værktøjer som eksempelvis Microsoft Office har indbygges krypterings muligheder. ITMEDIA på Det Humanistiske Fakultet har sammen med KU s ISorganisation udviklet et antal instruktive videoer om kryptering og om anvendelsen af samme. De nævnte videoer samt beskrivelser kan findes på I takt med at behov opstår og afdækkes, er det hensigten at udbygge oversigten med flere videoer og vejledninger, og såvel tilbagemeldinger som ønsker til fremtidige videoer og vejledninger bedes sendt til IS-organisationen, på is@adm.ku.dk I statusrapport 2010 er der oplistet, hvilke videoer, der findes i samlingen af vejledninger.

11 KUs risikobillede Registreringen af hændelser i 2011 er foretaget dels i et nyt selvbetjeningssystem på KUnet, dels i det fælles KU IT Service Management-system (KUITSM). Rapporteringen er endnu ikke på et sådant niveau, at det har været muligt, at lave en kvantitativ opgørelse, men muligheden er nu inden for rækkevidde. SIDE 11 AF 13 De største trusler for KU vurderes at være: at følsomme personoplysninger bliver lækket som følge af uagtsom adfærd. Eksempler på disse trusler er fejlagtig offentliggørelse af hold- og deltagerlister med cpr.nr. at data går tabt som følge af manglende overholdelse af gældende regler. Eksemplerne er her tab af videnskabelige data som følgende af manglende sikkerhedskopieringer. at lokalt udstyr bliver inficeret med malware som følge af uheldig brugeradfærd. Her er eksemplerne, at brugerne svarer på phishingmails, hvorved der afgives følsomme personoplysninger, og/eller at der installeres malware på brugernes pc. En kompromitteret mailkonto (brugeren har udleveret passwordet) bruges typisk til at udsende spam- og phishingmails med den konsekvens at KU blokeres på diverse mailservere på internettet. Mængden af phishingmails er stigende, ligesom de bliver stadigt mere raffinerede. at de daglige aktiviteter bliver bremset eller begrænset som følge af tekniske fejl i IT. At der er relativt få sikkerhedshændelser må dog ikke resultere i en mindsket opmærksomhed på informationssikkerheden og forebyggelse af uheld. KU har rigtig mange uerstattelige informationsaktiver, og faren for endog meget alvorlige hændelser med store økonomiske og/eller prestigemæssige tab til følge er bestemt til stede. Der er generelt en meget god og fornuftig omgang med universitetets informationer. Brugerne er meget bevidste om, at sikkerheden afhænger af dem, men det er alligevel nødvendigt løbende at afvikle opmærksomhedsskabende aktiviteter. At mængden af smitte med virus og anden malware er så lav på KU, som den er, kan primært tages som udtryk for, at de tekniske forebyggende tiltag er effektive, såvel lokalt som centralt. Der er overalt gode antivirusprogrammer i funktion. Firewalls er udstyret med gode regler til kontrol af trafikken på nettet, og der foretages en hensigtsmæssig frafiltrering af mails

12 med spam og anden uønsket vedhæftning desværre kan denne filtrering dog ikke være 100% effektiv. SIDE 12 AF 13 I bilag 3 DK CERT Trendrapport 2011 kan det ses, at der er stort sammenfald imellem de trusler KU er udsat for, og de, der eksisterer på internettet generelt og på Forskningsnettet specielt. KUs nytiltrådte informationssikkerhedschef har bidraget til trendrapporten med en beskrivelse af sine oplevelser og forventninger i forbindelse med overtagelse af funktionen. Fokusområder og nye aktiviteter Skift fra DS484:2005 til ISO27001: IT- og Telestyrelsen har tilkendegivet, at den nuværende standard DS484:2005 ikke vil blive vedligeholdt eller revideret, men erstattes af den internationale standard, ISO27000-serien. It- og Telestyrelsen har meddelt at det nu er muligt at skifte til ISO27001, og at skiftet forventes at være krævet i KU har valgt at påbegynde skiftet i Der udestår stadig konsekvensrettelser i IS-håndbogen, men i øvrigt følger KU nu ISO og de tilhørende standarder i ISO serien. Mobile enheder: Den stadig stigende brug af Internettet og mobile enheder på KU, giver nye udfordringer. Mængden af data på mobile enheder er hurtigt stigende. Det er ikke altid helt klart, hvor data er, eller hvordan de er beskyttet, men denne viden er krævet af sikkerhedsstandarderne. Det er altid ejerens ansvar at sikre, at hans/hendes data er beskyttet og sikret på passende og lovlig vis. Data skal sikres såvel imod tab eller utilsigtet ændring, som imod at komme i uvedkommendes hænder. Der er løbende behov for, at regler og retningslinjer ajourføres til at tage højde for den nye teknologi, og for vejledning af KU s brugere i sikker adfærd og omgang med data. En egentlig sikekrhedspolitik for området er sendt i høring efter ISUs møde i december Den behandles nu i en arbejdsgruppe under HSU og forventes klar til godkendelse på ISUs junimøde. Test af beredskabsplaner samt auditeringer af IS-arbejde:. I 2011 vil der være fokus på at få afsluttet implementeringen af SecureAware, at få foretaget test af alle beredskabsplaner samt den løbende kontrol af informationssikkerheden.

13 KUs eksterne revisor, PwC, har i 2011 koncentreret it-revisionsindsatsen omkring de store administrative systemer, der er i drift hos Koncern-it. Det forventes at at et eller flere fakulteter vil blive revideret i SIDE 13 AF 13