Politik for netværkssikkerhed (A.13)

Netværk skal styres og kontrolleres for at beskytte informationer i systemer og applikationer. (A.13.1.1)

AU IT har det overordnede ansvar for at udbyde, drive og beskytte Aarhus Universitets netværk, medmindre andet er aftalt gennem forvaltningsaftaler.

Enheder på Aarhus Universitet, der har brug for at etablere/ændre netværk, skal derfor altid kontakte AU IT og indgå en forvaltningsaftale om, hvordan netværk kan etableres/ændres uden at kompromittere drifts- og informationssikkerheden.

Det er kun tilladt at koble udstyr som eksempelvis serverer, netværksharddiske, printere eller lignende til AU’s netværk efter forudgående aftale med AU IT. Selv om der er indhentet tilladelse, kan AU IT kræve udstyret frakoblet, hvis det forstyrrer den normale drift.

Det er ikke tilladt at opsætte udstyr eller software, der gør det muligt at etablere fjernadgang til AU’s netværk eller maskiner på AU’s netværk.

Værktøjer til fjernadministration tillades, hvis adgangen sker via krypteret forbindelse ved hjælp af teknologier som eksempelvis SSH, VPN eller SSL/TLS. Opsætning af fjernadministration sker efter aftale med AU IT. Det er ejeren af det pågældende udstyr, der er ansvarlig for eventuelle brud på sikkerheden i forbindelse med fjernadministration.

AU’s gæstenetværk skal alene anvendes til internetadgang og må, med undtagelse af services særligt beregnet til gæster, ikke give direkte adgang til interne systemer.

Ansvaret for registrering af de primære domænenavne ligger hos AU IT.

Ved fjernadgang til data på universitetets netværk skal den enkelte bruger sikre, at følsomme/fortrolige informationer ikke gemmes på privat udstyr, og at regler for klassifikation af data og lagring følges.

Sikkerhedsmekanismer, serviceniveauer og styringskrav i relation til alle netværkstjenester skal identificeres og indgå i aftaler om netværkstjenester, uanset om disse tjenester leveres internt eller er outsourcede. (A.13.1.2)

AU IT har ansvaret for at indgå netværksaftaler på AU. AU IT sikrer, at alle nødvendige sikkerhedskrav er opfyldt ved indgåelse af netværksaftaler.

Grupper af informationstjenester, brugere og informationssystemer skal opdeles i netværk. (A.13.1.3)

AU IT skal segmentere netværk, hvilket betyder at opdele i logiske eller fysiske adskilte netværk for at etablere en passende adskillelse imellem forskellige brugergrupper eller systemer.

I anvendelsen af netværkssegmenter kan den akademiske frihed understøttes i organisationen med en højere risikotolerance, så længe det ikke medfører en øget risiko for den øvrige it-anvendelse.

---

Øvrige politikker og Regler:

I henhold til brug af internetadgang gælder på Aarhus Universitet nedenstående regler:

• Adgang til internettet og andre net-tjenester er primært forbeholdt aktiviteter i direkte forbindelse med arbejde/studier, men det er tilladt at bruge AU’s netværksforbindelse til private formål.
• Private aktiviteter må dog under ingen omstændigheder have et omfang, der kan genere andre medarbejderes eller studerendes legitime arbejds- eller studierelaterede aktiviteter.
• AU IT forbeholder sig ret til at spærre brugerkonti og foretage omgående frakobling af en given brugers computer, hvis det skønnes nødvendigt for at opretholde netværkssikkerheden eller på anden måde at sikre driften.
• Filer og programmer kan hentes fra internettet, forudsat at informationsikkerhedspolitikken, licensbetingelser og gældende indkøbsregler overholdes.
• Brug af AU´s internetforbindelse til kriminelle aktiviteter af enhver art er forbudt.
• Adgang til services i eget firma (udenfor Aarhus Universitet) er tilladt, forudsat at det ikke udgør en sikkerhedsrisiko for Aarhus Universitet.
• Studerende og medarbejdere må under ingen omstændigheder drive private firmaer fra udstyr, der befinder sig på AU’s netværk, så firmaet derved kan associeres med Aarhus Universitet.
• Benyttes AU udstyr til at udføre privatøkonomiske transaktioner over AU’s internetforbindelse, er Aarhus Universitet uden ansvar for fejl og tab af enhver art.
• Det påhviler den enkelte bruger at sikre, at deres færden på internettet hverken kompromitterer sikkerheden eller er skadelig for Aarhus Universitets omdømme, når de har adgang til internettet fra AU’s lokale netværk.
• Forsøg på at omgå sikkerhedsmekanismer fra AU’s internetforbindelse er forbudt.
• Ved brug af fremmede netværk anbefales VPN-forbindelse. På smartphones, tablets og lignende skal man være ekstra påpasselig.
• Medarbejdere, studerende og gæster må kun benytte de officielle trådløse netværk. Man må ikke installere eller ibrugtage udstyr, der giver anden trådløs netadgang til AU’s netværk.
• Vær opmærksom på, at der for visse maskiner (eksempelvis men ikke begrænset til servere, styringscomputere til laboratorie- og klinisk udstyr mv.) bør være begrænsninger i netværksadgangen. Eksempelvis bør denne type udstyr ikke bruges til at surfe på internettet og lignende.
• Computere tilsluttet AU’s lokalnetværk har adgang til Internettet - og vil der sædvanligvis optræde med identiteter, som henviser til au.dk eller et andet af AU’s domæner. Det påhviler derfor den enkelte bruger at sikre, at hans eller hendes færden på Internettet hverken kompromitterer sikkerheden eller Aarhus Universitets omdømme.
• Det er vigtigt at vurdere risikoscenarier ved brug af cloudtjenester. Databehandlingsgrundlag skal vurderes og tjenesterne bruges med omtanke. Generelt skal tjenesterne betragtes som et supplement til de tjenester, som Aarhus Universitet stiller til rådighed.

Fra centralt hold er der tilrettelagt og etableret en række tiltag for at dække ovenstående krav: ad. A.13.1 Netværkssikkerhed: AU IT stiller netværk til rådighed og varetager dermed ansvaret for at sikre de løsninger, der tilbydes, i henhold til ovenstående krav.  Det betyder, hvis I udelukkende benytter centralt udbudte netværksløsninger m.v. udbudt af AU IT, er dette sikret af AU IT på Aarhus Universitet.  Såfrem I har andre behov baseret på jeres risikovurdering, skal dette sikres lokalt.

Der skal foreligge formelle overførselspolitikker, -procedurer og -kontroller for at beskytte informationsoverførsel ved brug af alle former for kommunikationsudstyr. (A.13.2.1)

Kommunikationsudstyr, der ekstraordinært etableres i forbindelse med projekter, som har relation til AU skal overholde informationssikkerhedspolitikken.

Aftaler skal omhandle sikker overførsel af forretningsinformation mellem organisationen og eksterne parter. (A.13.2.2)

Ved udveksling af følsomme eller fortrolige informationer imellem Aarhus Universitet og eventuel tredje part skal dette være dækket af en skriftlig aftale herom.

Enhedsleder skal sikre forvaltning i henhold til relevant lovgivning, eksempelvis indgåelse af databehandleraftale.

Informationer i elektroniske meddelelser skal beskyttes på passende måde. (A.13.2.3)

Alle indkommende elektroniske meddelelser/e-mails skal scannes for spam og phishing. Meddelelser, der markeres som uønsket eller phishing, skal enten slettes, sættes i karantæne eller flyttes til brugernes uønsket mail folder.

Meddelelser, e-mails og data, der indeholder fortrolige informationer, herunder personoplysninger, skal altid krypteres under transmission over åbne netværk.

Aarhus Universitets mailpolitik er desuden gældende.

Krav til fortroligheds- og hemmeligholdelsesaftaler, der afspejler organisationens behov for at beskytte information, skal identificeres, gennemgås regelmæssigt og dokumenteres. (A.13.2.4)

Ved integration af Aarhus Universitets systemer og processer med tredjepart skal systemejeren sikre, at sikkerhedsrisici vurderes og dokumenteres.

Krav til fortrolighedserklæring skal overholde gældende love og forskrifter (se A.18.1) og skal gennemgås med jævne mellemrum, specielt når der sker ændringer, som påvirker kravene. 

Fra centralt hold er der tilrettelagt og etableret en række tiltag for at dække ovenstående krav: ad. A.13.2 Informationsoverførsel: AU IT stiller centrale løsninger til rådighed til brug ved informationsoverførsel i henhold til dataklassifikation og varetager dermed ansvaret for at sikre de løsninger, der tilbydes, i henhold til ovenstående krav.  Det betyder, hvis I udelukkende benytter centralt udbudte løsninger udbudt af AU IT, er dette sikret af AU IT på Aarhus Universitet.  Såfrem I har andre behov baseret på jeres risikovurdering, skal dette sikres lokalt.