For vores sikkerheds skyld

Transkript

1 For vores sikkerheds skyld Informationssikkerhed på Københavns Universitet Alle, der færdes på Københavns Universitet, skal kender til informationssikkerhed (IS): fordi vi skal passe godt på den viden, vi frembringer og deler fordi det er til gavn for os selv, hinanden, nutiden og fremtiden fordi vi skal passe på Københavns Universitets gode navn og omdømme. I det følgende kan du hurtigt og nemt orientere dig i, hvad du som Ansat på KU skal vide om informationssikkerhed - IS. Side 1 af 13 A

2 Kort og godt om sikkerheden på KU Når du færdes på Københavns Universitet, er det vigtigt, at du ved, hvordan du passer på din egen, andres og vores fælles viden. Det gør du ved at følge en række sikkerhedsregler. Vi har lagt vægt på stor brugervenlighed i sikkerhedsreglerne, for det skal være nemt og rimeligt at overholde sikkerheden. På den måde er det let for alle at tage del i sikkerhedsansvaret som en naturlig del af hverdagen på Københavns Universitet. Hvem? skal vide hvad - Vi skal alle sammen kende og følge nogle grundlæggende regler om sikkerhed i hverdagen. - Som ansat er det særlig vigtigt, at du sætter sig ind reglerne for passwords og pinkoder, og at du er opmærksom og reagerer, når du oplever brud på sikkerheden, indkøb af systemer, sikre ansættelser og lov og orden. Hvorfor? skal jeg vide det - Du skal kende til de mest typiske trusler mod sikkerheden, for at vi kan undgå skader. - Du skal kende sikkerhedsreglerne for at sikre din egen og vores andres viden og færden. - Du skal vide, hvornår det er vigtigt, at du reagerer Hvordan? skal jeg forholde mig - Du skal læse sikkerhedsreglerne på dette site igennem. - Du skal lade sikkerhedstankerne blive en del af hverdagen. - Du skal reagere og kontakte os, hvis du oplever eller har mistanke om brud på sikkerheden. Hvad? gør jeg hvis jeg opdager noget mistænkeligt eller er i tvivl - Du ringer til din nærmeste IS-ansvarlige, som du finder på siden der er angivet nedenfor, og hvis det haster, kan du kontakt KU s IT-sikkerhedsleder direkte på tlf Hvis du er i tvivl om, hvorvidt du følger sikkerhedsprocedurerne, kan du på finde de gældende regler, ligesom der her er link til lokale sikkerhedssider? Uanset situationen er du altid mere end velkommen til at skrive eller ringe til den ISansvarlige, dér hvor du færdes til daglig, og du finder vedkommende på Hvis ikke du kan få kontakt til den sikkerhedsansvarlige, eller ikke ved, hvem det er, kan du altid ringe til KU s IT-sikkerhedsleder på tlf eller på IS@adm.ku.dk. Side 2 af 13 A

3 For vores sikkerheds skyld Viden er vores afgørende værdi Vi fremskaffer og formidler viden. Elektronisk, skriftligt og mundtligt. Det er Københavns Universitets væsentligste aktivitet og værdi. Så enkelt kan det siges. Så vi skal passe godt på den viden. Alle sammen. Det kræver en mindre indsats i dagligdagen fra hver enkelt af os. Så lad det blive en god og selvfølgelig vane. Helt simpelt helt sikkert! Det er egentlig meget simpelt. Vi skal passe på dét, vi producerer, og dét, vi allerede har produceret. Nemlig den viden, vi har samlet ved og udveksler på Københavns Universitet. Vi skal passe på den for vores egen og hinandens og for fortidens, nutidens og fremtidens skyld. Viden og information er alle steder i vores hverdag. Både i den helt almindelige samtale på gangen og i mobiltelefonsamtalen, du fører, mens du går på gaden. Den kan også være nedskrevet på papir, lagret elektronisk på en bærbar pc, ligge som en i ind- eller sendt-bakken, transmitteret via kabler, båret gennem luften eller være gemt på film. Hver gang informationen skifter plads fra tankerne til enten tale, papir eller elektronik, skal vi passe på den og sikre den. Vi har derfor brug for, at alle ved, hvordan de er med til at værne om Københavns Universitets viden og dermed sikre universitets daglige drift nu og i fremtiden. Forestil dig at... - Din bærbare bryder sammen. Men du har ikke taget en sikkerhedskopi af dine filer. Alt dit arbejde gennem mange år går tabt og kan ikke genskabes, selv ikke med de bedste it-kræfter eller hjælpemidler. Det er en reel sikkerhedstrussel. Brud på sikkerheden er ikke kun brand og tyveri eller noget, der sker for andre. Der er potentielle huller i sikkerheden i alt, hvad vi foretager os. Og det, der truer os mest, skal vi forholde os til. Det gælder alt lige fra fortrolige samtaler, sikkerhedskopier, adgangskort, virus, tyveri, svindel, spionage, sabotage, terror, ildebrand, oversvømmelse. Både mindre og større trusler tæller. Side 3 af 13 A

4 Så få restriktioner som muligt Københavns Universitet er en forsknings- og uddannelsesinstitution, hvor vi alle i stor grad anvender elektronisk kommunikation internt og eksternt til digital informationsudveksling. Det skal vi kunne blive ved med og helst med så få restriktioner som overhovedet muligt. Dvs. med stor brugervenlighed og uden unødigt besværlige sikkerhedsforanstaltninger. Det er ud fra den vinkel, at vi planlægger og ajourfører alle former for sikkerhedstiltag. Informationssikkerheden er tilrettelagt, så den sikrer vores største aktiv, nemlig viden, og tager højde for, at vi kan være på forkant inden for forskning og undervisning. Informationssikkerheden dækker både naturgivne, tekniske og menneskeskabte trusler. Informationssikkerheden er tilrettelagt ud fra et ønske om, at der er en god balance i vores åbenhed, vores sikkerhed og vores økonomi. Vigtigt med tilgængelighed, integritet og fortrolighed Tre vinkler er centrale for den måde, vi anskuer sikkerheden på: Tilgængelighed Vi skal ubesværet kunne benytte de relevante it-systemer og få adgang til de relevante data, vi har brug for, for at kunne løse KU s opgaver. Integritet Vores viden skal være lagret intakt og korrekt, og it-systemerne skal fungere korrekt. Fortrolighed Vores viden skal være beskyttet, så uautoriserede brugere ikke kan komme til den eller sprede den. Det mest væsentlige i sikkerhedssammenhæng er dermed også din dvs. den enkeltes ansvarlighed. Side 4 af 13 A

5 Risikovurderinger og systematikker Vi opnår den bedste sikkerhedssituation i en kombination af at implementere overvåge revurdere og løbende ajourføre politikker, praksis, procedurer, organisatoriske tiltag og system- eller maskintekniske funktioner. I den forbindelse gennemfører vi regelmæssige risikovurderinger, der giver os et systematisk grundlag at udpege indsatsområder og reducere risici på. Du finder en beskrivelse af metoden for udarbejdelse af risikovurdering i kapitel 4 i IS-håndbogen. Sådan arbejder vi med IS Københavns Universitet er underlagt og følger lovgivningen på sikkerhedsområdet. Og i ISU (InformationsSikkerhedsUdvalget) arbejder vi konstant med at skabe forståelse for de trusler og de sårbarheder, der er forbundet med vores mange it-aktiviteter. For det er vigtigt, at alle brugerne kender alle relevante retningslinjer og regler, så vi kan opretholde det ønskelige sikkerhedsniveau. Vi ajourfører it-informationssikkerhedsstrategien mindst én gang om året, for at sikre at den er relevant og effektiv. IS-organisationen (ISO) Sikkerhedsansvaret i forhold til IS-politikken og opfølgning er fordelt sådan at: - Ledelsesteamet LT har det overordnede ansvar for informationssikkerheden og kan uddelegere opgaver til de enkelte funktionsområder. - Du og enhver anden, der færdes på Københavns Universitet, har medansvar for informationssikkerheden herunder ansvar for at gøre opmærksom på brud på og brister sikkerheden. - IT-Sikkerhedslederen, leder informationssikkerhedsorganisationen, og har til daglig ansvaret for styringen af informationssikkerheden,. - Informationssikkerhedsudvalget ISU koordinerer sikkerhedsarbejdet, rådgiver rektor og udarbejder overordnede retningslinjer. - Direktøren eller vicedirektøren for it er formand for ISU, formændende fra de lokale udvalg LISU er medlemmer og IT-sikkerhedslederen er sekretær for udvalget. - Det operationelle arbejde med informationssikkerheden varetages af de lokale informationssikkerhedsudvalg LISU. - Side 5 af 13 A

6 Sådan ser ISO ud. Side 6 af 13 A

7 Alt er på lister og i registre For at vi kan opretholde et højt sikkerhedsniveau, skal alle universitetets såkaldte informationsrelaterede aktiver løbende identificeres og beskrives, og der skal udpeges en ansvarlig ejer. På den måde får vi samlet alt i fortegnelser, og derved sikrer vi os, at vi ved større uheld kan genetablere situationen effektivt, og at vi generelt kan have en grundig risikostyring. Informationsrelaterede aktiver er et meget omfattende begreb, som dækker over disse grupper: Informationsaktiver vil sige: Databaser, filer, systemdokumentation, interne håndbøger, undervisningsmateriale, driftsvejledninger, beredskabsplaner, nødplaner, kontrakter. Systemaktiver vil sige: brugersystemer, styresystemer, udviklings- og hjælpeværktøjer. Fysiske aktiver vil sige: informationsbehandlingsudstyr, kommunikationsudstyr, lagringsmedier, nødstrømsforsyning, møbler, lokaler. Serviceaktiver vil sige: serviceydelser, kritiske forretningsgange, forsyninger. Menneskelige aktiver vil sige: medarbejdere (videnskabelige, administrative, studerende osv.), deres kvalifikationer, ekspertise og erfaring. Immaterielle aktiver vil sige: Omdømme og goodwill. Alle disse informationer og data er klassificeret ud fra deres forretningsmæssige værdi, følsomhed og behovet for fortrolighed. 4 klassifikationsniveauer Alle Universitetets informationsaktiver skal være klassificeret, og vi har 4 klassifikationsniveauer: Fortroligt niveau vil sige, at kun ejer og ledelsen har adgang til informationerne. Følsomt niveau vil sige, at der kun er adgang for ejer og særligt betroede medarbejdere. Internt niveau vil sige, af adgangen er forbeholdt personale. Offentligt niveau Uklassificeret; alle har adgang til informationsaktivet. Side 7 af 13 A

8 Sikre ansættelser Det er særlig vigtigt, at der er stor fokus på informationssikkerheden i forbindelse med ansættelser. Før ansættelsen er det vigtigt: - at eventuelle sikkerhedsmæssige opgaver og ansvar er beskrevet i stillings- og funktionsbeskrivelsen og siden hen i kontrakten - at ansøgeren ved ansættelsessamtalen får at vide, hvilke sikkerhedsmæssige krav der er i ansættelsen, og ligeledes ved, hvilket ansvar det indebærer og er indforstået med det - at den nye medarbejder i de stillinger, hvor det er relevant allerede ved ansættelsen underskriver en tavshedserklæring - at ansøgeren godkender de oplysninger, som han eller hun har givet i ansøgningen, og at oplysningerne eventuelt efterprøves under ansættelsessamtalen inden for gældende lovgivning, regler og etik i forhold til den aktuelle arbejdsopgave. Efterprøvningen skal i de sammenhænge, hvor det er relevant, omfatte: en personlig reference, cv, uddannelser og professionelle kvalifikationer, identitetskontrol (gennem kørekort, pas eller lignende), og i nogle tilfælde også straffeattest. Under ansættelsen er det vigtigt: - at ledelsen sørger for, at medarbejderen kender og efterlever vores IS-politik - at ledelsen tildeler den ansatte de rette adgangsrettigheder til informationsarkiverne - at den ansattes eventuelt manglende overholdelse af regler og politikker sanktioneres efter reglerne. Efter ansættelsen er det vigtigt: - ledelsen informerer medarbejderen om de regler, han eller hun skal overholde efter opsigelsen og efter fratrædelsen - at medarbejderen afleverer alle universitetets informationsaktiver - at medarbejderens adgangsrettigheder inddrages - at der tages særlig vare på ansatte, der har arbejdet med særligt fortrolige aktiver. Relevante kontaktpersoner finder du på hjemmesiden Side 8 af 13 A

9 Hvordan sikrer man 100 fodboldbaner? Københavns Universitet er spredt ud over mange bygninger og mange adresser. Vi bebor et samlet areal på mere end bruttoetagemeter svarende til cirka 100 fodboldbaner. Det er et meget stort område at sikre, og derfor er det nødvendigt, at vi alle sammen er med til at beskytte lokaler og informationsaktiver mod uautoriseret fysisk adgang og fysiske skader og forstyrrelser. Det betyder: at bygninger, lokaler mv. skal opfylde en række krav at der er adgangskontrol, så kun personer med den rette autorisation har adgang at kontorer, lokaler og udstyr skal sikres at der er taget højde for trusler som brand, oversvømmelse, jordskælv, eksplosioner, civile optøjer, terrorisme og andre former for natur- og menneskeskabte trusler at der er etableret forretningsgange og procedurer og sikre områder, som beskytter følsomme informationsaktiver at af- og pålæsningsområder overvåget, hvor der er offentlig adgang at udstyr er beskyttet mod fysiske trusler at der er lavet procedurer for nødforsyning, hvis forsyningerne af vand, el, kloak, ventilation svigter at kabler til elektricitetsforsyning og datakommunikation er sikret at udstyr og anlæg vedligeholdes efter forskrifterne at udstyr, der benyttes uden for universitetets område, er beskyttet at kritiske/følsomme informationer er fjernet fra udstyr, der skal bortskaffes at sikre at universitetets informationsaktiver ikke bliver fjernet uden tilladelse. Side 9 af 13 A

10 Vær opmærksom og reager! Det er vores fælles ansvar at holde øje med og rapportere brud på eller svaghed i sikkerheden. Helt overordnet vil det sige, at du skal være opmærksom på: Ondsindede handlinger som o indbrud o tyveri o hærværk Menneskelige fejl som o forretningsgange, der ikke bliver fulgt o vejledninger, der ikke følges o manglende uddannelse o brud på adgangskontrollen Systemfejl som o hardwarefejl o fejl i operativsystemet o fejl i basissystemerne o forsyningssvigt Usædvanlige hændelser som o unormalt langsomme systemer o gentagelse af indlogningsbilleder o virus, spam, spyware og lignende Husk at reagere! Vi kender det alle sammen. Når man ser eller har mistanke om et brud på sikkerheden, tøver vi måske med at melde det. For vi kan jo have set forkert. Eller vi er usikre på reglerne. Eller også ved vi ikke lige, hvad vi præcis skal gøre. Men tøv ikke. Uanset om du har set rigtigt eller forkert, vil vi meget gerne høre fra dig. Så når du opdager eller har mistanke om et brud på sikkerheden, så ring eller send en til den nærmeste IS-ansvarlige (eller til KU s IT-Sikkerhedsleder på tlf ) og fortæl, hvad du har set, og hvordan vi kan få fat i dig, hvis vi har brug for flere oplysninger (telefon/mobilnummer er derfor vigtigt). Side 10 af 13 A

11 Pas på password og pinkoder Vores it-afdelinger styrer Københavns Universitets netværkssikkerhed. Det betyder, at de sørger for at give de rette mennesker adgang til de rette systemer, og at de sikrer en lang række procedurer for blandt andet automatisk sikkerhedskopiering, overvågning af systemer, beskyttelse mod virus, orme, trojanske heste osv. Husk i hverdagen Id-kort med pinkode: Studerende og ansatte har alle et Id-kort med pinkode. Id-kortet er personligt og fortroligt. Det vigtigste for sikkerheden er: at du holder dine passwords og adgangskoder strengt fortrolige og altså hverken giver dem videre eller skriver dem ned at du sørger for, at passwords og adgangskoder aldrig lagres elektronisk i klar tekst at du vælger dine passwords og adgangskoder så o de er nemme at huske o de ikke kan gættes af andre ud fra fx navne, telefonnumre, fødselsdatoer osv. o de ikke tager udgangspunkt eller kan findes i ordbøger eller andre ordlister o de ikke indeholder ens tal eller bogstaver ved siden af hinanden at du skifter adgangskoder med faste intervaller og ikke genbruger gamle koder at du ikke bruger samme adgangskode til private og arbejdsmæssige formål at du skifter adgangskode ved mistanke om, at andre har set den at du ikke inkluderer din adgangskode i nogen automatisk log-on-proces at du ikke lader din computer stå ubeskyttet, så andre kan få adgang til indholdet at du passer ekstra godt på PDA er, mobiltelefoner, USB-nøgler, cd er og andet mobilt udstyr, som indeholder fortrolige data at du er opmærksom på unormal adfærd hos andre, og rapporterer det til den nærmeste sikkerhedsansvarlige. Hvad med de bærbare? Også når du arbejder hjemme eller har mobilt udstyr som fx en bærbar pc, mobiltelefon, PDA mv. gælder der en række sikkerhedsforanstaltninger, som du skal sørge for at opfylde. o Dit mobile udstyr skal løbende opdateres, så det er beskyttet mod skadevoldende programmer o.lign. o Du skal sørge for faste sikkerhedskopieringer af væsentlige informationer. Side 11 af 13 A

12 Alle nye systemer skal sikkerhedsvurderes I forbindelse med indkøb, anskaffelse, udvikling, ibrugtagning og vedligeholdelse af informationssystemer er det vigtigt at følge en række regler og procedurer, der sikrer både de nye og de eksisterende systemer. Det er derfor ikke tilladt at indkøbe eller tage nye/nyudviklede systemer i brug, før de er testet og risikovurderet af den rette sikkerhedsafdeling, dvs. på fakultetsniveau. Med informationssystemer mener vi: o Styresystemer o Infrastruktur o Forretningssystemer o Brugerudviklede systemer og tjenesteydelser Vi har udviklet en række tjeklister, som du skal udfylde i forbindelse med anskaffelse, udvikling eller vedligeholdelse af informationssystemer. Lov og orden - læs på lektien Er du forsker eller underviser ved Københavns Universitet, skal du i særlig høj grad være opmærksom på ophavsrettigheder og copyright-krav. Som universitet har vi et oplagt behov for at beskytte vores rettigheder til den viden, som frembringes her. Og vi skal følge lovgivningen. Et af de områder, som du derfor skal være særligt opmærksom på, er, når du lægger materialer ud på internettet i såvel åbne som lukkede virtuelle rum. Også i forbindelse med installation af programmel skal du være opmærksom på at overholde licensrettighederne, sådan at Københavns Universitet ikke pludselig påføres erstatningskrav. Få råd og vejledning hos Center for Webbaseret læring på Læs også på CopyDans hjemmeside på Hent Kulturministeriets vejledning God citatskik og plagiat i tekster på Hent materialer om korrekt håndtering på dansk på er/god-citatskik.pdf og på engelsk på Læs også Stanford University s side om Copyright and Fair Use Overview i relation til den amerikanske lovgivning på fairuse.stanford.edu/copyright_and_fair_use_overview Side 12 af 13 A

13 Vi har en plan På alle institutter og fakulteter, ja kort sagt på alle såkaldte enheder på Københavns Universitet skal der udarbejdes en beredskabsplan for, hvordan vi sikrer os mod en række katastrofer og sikkerhedsbrister, som kan skade universitetets værdier og drift. Revisionen forholder sig ved deres jævnlige besøg især til beredskabsplanerne og -styringen. Beredskabsplanerne skal tage højde for alle truende hændelser og beskrive, hvordan I forholder jer, styrer beredskabet og genopretter situationen/driften/systemerne. Alle kritiske forretningsaktiviteter, det vil sige de områder, der er sårbare, skal identificeres og risikovurderes. Beredskabsplanerne skal bl.a. beskrive nødprocedurer, midlertidige driftsprocedurer, ansvarlige i en række situationer, hvordan man som enkeltindivid skal forholde sig, hvor man skal mødes, hvordan man krisekommunikerer mv. Beredskabsplanerne skal testes mindst én gang om året. Alle medarbejdere skal være informeret om planen og kende til beredskabsorganisationen. Du finder Drejebog til udarbejdelse af beredskabsplaner i kapitel 14 i IS-håndbogen på adressen Side 13 af 13 A