Formålet med Aarhus Universitets politikker og regler for Driftssikkerhed er:
Driftsprocedurer for informationsbehandlingsfaciliteter skal dokumenteres og gøres tilgængelige for medarbejdere, der har brug for dem (12.1.1)
Enheder skal varetage systemejerrollen og sikre driftsprocedurer for de systemer og infrastruktur, den har ansvaret for, i det omfang disse aktiver generelt er defineret som kritiske jævnfør gældende risikovurdering eller specifikt defineret som type A-systemer. Varetagelsen af systemejerskabet skal ske med afsæt i universitetets model for IT-governance (medarbejdere.au.dk/strategi/itgovernance).
Det er blandt andet systemejers ansvar at sikre forvaltning af driftsprocedurer i et omfang tilfredsstillende for den nødvendige drifts- og informationssikkerhed. Driftsprocedurer skal generelt opbevares med nødvendig sikkerhed, være dokumenterede, ajourførte og kun gøres tilgængelige for personer med relevant driftsansvar eller arbejdsbetinget behov i øvrigt.
Hvis ansvaret for aktiver er delt mellem flere enheder på Aarhus Universitet, påhviler det enheden med systemejeransvar at sikre en klar ansvarsfordeling omkring drifts- og informationssikkerhed. Dette gælder f.eks. i tilfælde, hvor systemejerrollen for et type A-system og driftsansvaret for dets underliggende hardware og softwarekomponenter ikke varetages i samme enheder. Sådanne ansvarsfordelinger skal dokumenteres i en systemforvaltningsaftale mellem enhederne.
Ændringer til informationsbehandlingsfaciliteter og informationssystemer skal være underlagt procedurer for ændringsstyring (12.1.2)
Alle enheder med ansvaret for systemer og infrastruktur skal have en procedure for håndtering af ændringer heri. Dette med henblik på kontinuerlig styring og risikovurdering af ændringers påvirkning af drifts- og informationssikkerhed. Tilrettelægning af denne proces bør ske i overensstemmelse med f.eks. ITIL eller anden anerkendt metode.
Anvendelsen af ressourcer skal overvåges og tilpasses i overensstemmelse med de nuværende og forventede kapacitetskrav (12.1.3)
Enheder med ansvaret for systemer og infrastruktur, der generelt er defineret som kritiske jævnfør gældende risikovurdering eller specifikt er defineret som type A-systemer, skal for disse sikre følgende:
• Dimensionering og tilpasning efter kapacitetskrav og behov.
• Løbende kapacitetsovervågning efter behov og som tilstrækkeligt for pålidelig drift og tilgængelighed. Overvågningen skal afspejle aktivets generelle kritikalitet og eventuelle systemklassifikation samt understøtte den nødvendige dokumentation af tilgængeligheden af systemerne.
• Registrering af væsentlige forstyrrelser og uregelmæssigheder i driften.
Udviklings- test og produktionsmiljøer skal adskilles og sikres (12.1.4)
Enheder med ansvaret for systemer og infrastruktur, der generelt er defineret som kritiske jævnfør gældende risikovurdering eller specifikt er defineret som type A-systemer, skal sikre logisk eller fysisk adskillelse af udviklings- og testmiljøer fra driftsmiljøet med henblik på forhindring af uautoriseret adgang eller ændring i driftsmiljøet.
I denne sammenhæng skal migrering fra udvikling til produktion desuden undergå test og kontrol for at tilsikre tilstrækkeligt niveau af drifts- og informationssikkerhed samt brugbarhed inden implementering. Godkendt software skal herunder sikres mod uautoriseret efterfølgende ændring og i muligt omfang skal alene objekt-kode og ikke kildetekster migreres til driftsmiljøet.
Beskyttelse mod malware skal implementeres og understøttes af passende awareness hos brugeren (12.2.1)
Enheder med ansvar for systemer og infrastruktur skal i muligt og nødvendigt omfang sikre installering af og brugervejledning om antivirusbeskyttelse defineret som værktøj til effektiv detektering og forhindring af malware. Undtagelser kan være laboratorieopstillinger uden internetforbindelse eller segmenterede netværk, hvis isolering sikrer mod påvirkning af universitetets øvrige drifts- og informationssikkerhed gennem f.eks. spredning af malware.
Sikkerhedsforanstaltninger til forhindring af malware på udstyr tilrettelægges i henhold til gældende risikovurdering. Herunder skal servere konfigureres, så kun de nødvendige services er tilgængelige. Dette sker typisk gennem deaktivering af unødvendige funktioner samt begrænsning af adgange gennem firewalls. Arbejdsstationer skal desuden sikres inden brug. Som minimum indbefatter denne sikring installation af seneste sikkerhedsrettelser til operativsystem, applikationer samt antivirusbeskyttelse.
Backup af information, software og systemer skal vedligeholdes og testes regelmæssigt i overensstemmelse med den aftalte emnespecifikke politik for backup (12.3.1)
AUs emnespecifikke politik for backup er at enheder med ansvar for IT-systemer skal sikre kapacitets- og sikkerhedsmæssig tilstrækkelig lagring og backup af data på IT-udstyr jævnfør gældende risikovurdering. Hvor ansvaret er delt mellem flere enheder, skal planlægning ske i samarbejde med relevante systemejere og dokumenteres i systemforvaltningsaftaler.
Backup, sikkerhedskopier og redundante systemer skal placeres således, at uheld på den primære lokation ikke kan forplante sig til den sekundære lokation.
Muligheden for at retablere data fra backupløsninger skal regelmæssigt testes. Desuden skal retablering testes efter system- eller procesændringer, der kan påvirke backupløsningen.
Denne politik angiver minimumskravene for backup. Disse kan skærpes lokalt.
Logge, der optegner aktiviteter, undtagelser, fejl og andre relevante hændelser, skal udarbejdes, opbevares, beskyttes og analyseres (12.4.1, 12.4.2 og 12.4.3).
Enheder med ansvar for logning skal sikre den nødvendige kommunikation til brugerne om omfang af og formål med den implementerede logning.
Anvendelse af logfiler
Det er ikke tilladt at bruge log-filerne til at spore enkeltpersoners handlinger, medmindre det er tale om fejlsøgning og fejlretning på brugerens egen opfordring, eller hvis der er tale om henvendelser vedr. ulovlige handlinger, alarmer fra antivirus/antispam eller lignende sikkerhedssystemer, eller ved begrundet mistanke om ikke tilladt adfærd. AU IT udarbejder således ikke oversigter over den enkelte brugers aktiviteter og foretager ingen vurdering af om enkeltpersoners aktiviteter er relevante for den pågældendes arbejde på AU.
Hvis der er behov for at spore en enkelt, bruges adfærd, skal der først indhentes tilladelse hos personen selv (fx ved opfølgning på alarmer), eller ved dennes nærmeste chef (fx ved begrundet mistanke om ikke tilladt adfærd, jf. politikker, lovgivning m.v.).
AU IT må gerne bruge logfiler til følgende formål:
- Statistik over fx mail-, internet- og netværkstrafik til og fra AU.
- Statistik om anvendelse af fx visse programmer eller visse typer af netværkstrafik.
- Statistik relateret til mindre udsnit af AU, fx et institut/center eller et vicedirektørområde, sålænge man ikke kan udlede enkeltpersoner ud fra materialet.
- Fejlfinding og alarmering.
- Opfølgning på sikkerhedshændelser.
Logningsfaciliteter og logoplysninger skal beskyttes mod manipulation og uautoriseret adgang (12.4.2)
Alle enheder med ansvar for logning skal sikre, at logningsfaciliteter og logoplysninger beskyttes mod manipulation, tekniske fejl, og uautoriseret adgang.
Aktiviteter udført af systemadministrator og systemoperatør skal logges, og loggen skal beskyttes og gennemgås regelmæssigt (12.4.3)
Enheder med ansvaret for systemer og infrastruktur, der generelt er defineret som kritiske jævnfør gældende risikovurdering eller specifikt er defineret som type A-systemer, skal sikre tilstrækkelig logning af handlinger udført af brugere med administratorrettigheder. Pågældende logs skal på stikprøvevis gennemgås med et interval på mindst 3 måneder og jævnfør gældende risikovurdering.
Netværk, systemer og applikationer skal overvåges for unormal adfærd, og der skal iværksættes passende handlinger for at evaluere potentielle informationssikkerhedsincidents.
På Aarhus Universitet defineres en sikkerhedshændelse som alle hændelser med påvirkning af henholdsvis fortrolighed, integritet og tilgængelighed.
Enheder med ansvaret for systemer og infrastruktur, der generelt er defineret som kritiske jævnfør gældende risikovurdering eller specifikt er defineret som type A-systemer, skal sikre logning og overvågning af information om adgang og forsøg på adgang, samt unormal adfærd og potentielle sikkerhedsincidents. Denne tilrettelægges i henhold til gældende risikovurdering og den nødvendige varsling og sporing af uautoriseret aktivitet og sikkerhedshændelser. Hvor dette afføder behov for iværksættelse af passende foranstaltninger, skal enheden sikre dette.
Logning af fejl skal tilrettelægges med henblik på de berørte systemers behov for gennemførsel af analyse, udbedring og modforholdsregler.
Audit-logning skal tilrettelægges med henblik på de berørte systemers behov for sporing og analyse af sikkerhedshændelser.
Logning af sikkerheds- og fejlhændelser opbevares som udgangspunkt i mindst 3 måneder.
Urene i systemer til informationsbehandling, som organisationen anvender, skal synkroniseres med godkendte tidskilder. (12.4.4)
Enheder med ansvaret for systemer og infrastruktur, der generelt er defineret som kritiske jævnfør gældende risikovurdering eller specifikt er defineret som type A-systemer, skal sikre, at de benytter korrekt tid. Fortrinsvis skal benyttes automatisk tidssynkronisering fra en velanerkendt tidsserver og i øvrige tilfælde skal tidsangivelser kontrolleres og korrigeres med nødvendig regelmæssighed.
Der skal implementeres procedurer og tiltag til sikker styring af softwareinstallation i test- og produktionssystemer (12.5.1)
Som led heri skal enheder med ansvaret for systemer og infrastruktur, der generelt er defineret som kritiske jævnfør gældende risikovurdering eller specifikt er defineret som type A-systemer implementere sådanne procedurer og tiltag til sikker styring af softwareinstallation.
Softwareinstallation foretaget af brugerne på brugerenheder: Enheder påtager sig som udgangspunkt det drifts- og informationssikkerhedsmæssige ansvar ud fra en risikobaseret tilgang, hvis brugere installerer software, som ikke er godkendt af en central udbyder på Aarhus Universitet. Herunder ansvar for varetagelse af den nødvendige risikovurdering og licenshåndtering.
Der skal indhentes informationer om tekniske sårbarheder i anvendte informationssystemer, organisationens eksponering for sådanne sårbarheder skal evalueres, og der skal iværksættes passende tiltag. (12.6.1 og 12.6.2)
Enheder med ansvaret for systemer og infrastruktur, der generelt er defineret som kritiske jævnfør gældende risikovurdering eller specifikt er defineret som type A-systemer, skal holde sig informeret om relevante sikkerhedsrettelser hertil. Den ansvarlige enhed skal sikre installation heraf på servere og arbejdsstationer samt andet udstyr i pågældende driftssystemer i overensstemmelse med gældende risikovurdering.
Enheder med ansvaret for systemer og infrastruktur, der generelt er defineret som kritiske jævnfør gældende risikovurdering eller specifikt er defineret som type A-systemer, skal sikre sikkerhedstest tilrettelagt efter en risikobaseret tilgang og i overensstemmelse med følgende minimumskrav:
• Sikkerhedsniveauet for eksternt tilgængeligt netværksudstyr og servere skal testes mindst fire gange om året med en passende kombination af automatiske og manuelle test.
• Mindst to gange årligt skal foretages en sikkerhedstest af interne sikkerhedsforanstaltninger, restriktioner, begrænsninger og netværksforbindelser. Sikkerhedstesten kan omfatte både automatiske scanninger og manuelle inspektioner.
• Ligeledes mindst to gange årligt skal indhentes information om tekniske sårbarheder fra relevante kilder. Identificerede sårbarheder evalueres og risikovurderes ufortøvet, hvorefter de håndteres via gældende processer for opgaveprioritering.
Audit og andre sikringsaktiviteter, der indebærer vurdering af test- og produktionssystemer, skal planlægges og aftales mellem vedkommende, der udfører testen, og den relevante ledelse. (12.7.1)
Enheder med ansvaret for systemer og infrastruktur, der generelt er defineret som kritiske jævnfør gældende risikovurdering eller specifikt er defineret som type A-systemer, skal sikre, at auditkrav og aktiviteter planlægges med henblik på mindst mulig påvirkning af relevante forretningsprocesser.
Systemer og infrastruktur udbudt på tværs af enheder på Aarhus Universitet skal af den udbydende enhed sikres omfattet af aftalte processer for Change Management. Disse processer bør tilrettelægges i overensstemmelse med f.eks. ITIL eller anden anerkendt metode, hvormed ændringer kan indmeldes, godkendes og indgå i tværorganisatorisk planlægning af servicevinduer.
• Som medarbejder skal man sikre arbejdsrelaterede data ved regelmæssig sikkerhedskopiering (backup), fx ved at anbringe data på et af universitets netværksdrev. Derved sikrer man at data kan rekonstrueres, hvis de er blevet slettet eller overskrevet, en disk er fejlet, eller en computer stjålet.
• AU’s servere og netværksdrev er omfattet af backup, og som udgangspunkt bør alle data lagres på AU’s servere.
• Hvis data ikke umiddelbart kan lagres på sikrede servere (fx data som indsamles i felten, eller mens beregninger foregår), er man som medarbejder hos AU forpligtet til at sikre, at lagring finder sted ved først givne lejlighed. .
• Sociale netværk som fx Facebook, Twitter, Google+ m.v. er ikke lukkede og ikke sikre. Kun informationer, som kan stilles til rådighed på AU’s offentlige hjemmesider (dvs. i laveste klassifikations kategori), må distribueres via sociale netværk.