1. SP-1 Inleiding tot de Security Policies

1.

SP-1 Inleiding tot de Security Policies

1

Kader

In hoofdstuk 4 van het Informatiebeveiligingsbeleid Universiteit Twente (IB) worden de security-deelpolicies geïntroduceerd – deze policies beschrijven voor specifieke deelgebieden van de UT ICT-voorzieningen de beveiligingseisen en het proces daaromheen. De policies zijn niet opgenomen in het beleidsdocument, maar zijn er wel onverbrekelijk mee verbonden. Om het verschil te duiden in terminologie kunnen we onderscheid maken in policies (beleid), standards (standaarden) en guidelines (richtlijnen). Policies kunnen beschouwd worden als dwingende regelgeving die als toetsing gebruikt dient te worden bij implementatie van maatregelen. Bij standaarden is er sprake van gekozen en vastgelegde acties, met behulp van procedure beschrijvingen, die exact weergeven hoe de inrichting moet plaatsvinden. Bij richtlijnen kan gedacht worden aan adviserend en suggesties conform in de praktijk gebruikte middelen en methoden. Security Policies dienen daartoe beschouwd te worden als “Wetboek ICT”. Genomen maatregelen in de ICT diensten en voorzieningen dienen in de basis conform de policies geïmplementeerd te zijn. De Security Policies zijn in dit document onderverdeeld in deelpolicies zoals gegeven in de inhoudsopgave. Specifieke deelpolicies worden aangeduid met SP-nummer waarbij het nummer oploopt vanaf 1. Voor al deze deelpolicies geldt het volgende: o De deelpolicy is door het College van Bestuur vastgesteld in het kader van het “Informatiebeveiligingsbeleid Universiteit Twente”, afgekort Informatiebeveiligingsbeleid. o

Uitgangspunt voor de deelpolicy is de “Gedragscode ICT- en Internetgebruik Universiteit Twente”, afgekort Gedragscode-ICT. Van de lezer wordt verwacht dat deze de Gedragscode-ICT kent en ernaar handelt.

Op de beveiligingswebsite van de UT http://www.utwente.nl/itsecurity kunnen alle voornoemde stukken ingezien worden. Daarnaast liggen papieren versies ter inzage bij de Secretaris van de UT, bij de dienst ICTS en bij de dienst Student & Onderwijs (S&O).

2

Doelstelling

2.1 Het doel van de Security Policies in zijn algemeenheid is om voor de belangrijkste deelgebieden van de UT ICT-voorzieningen de noodzakelijke mate van beveiliging te definiëren en te reguleren. De nadruk ligt daarbij op de gebruikelijke aspecten: o o o o

beschikbaarheid, in de zin van (voldoende) functioneren, niet in de zin van servicelevels of kwaliteitsnormen; vertrouwelijkheid; integriteit; controleerbaarheid.

Daarbij wordt telkens de optimale balans gezocht tussen de volgende vier factoren (citaat uit het UT Informatiebeveiligingsbeleid): o

Vereiste veiligheid: hierbij wordt van het risico nemende principe uitgegaan dat preventieve maatregelen alleen zinvol zijn als de kosten lager zijn dan de waarschijnlijk geachte schade bij ontstentenis van die maatregelen;

Security Policies UNIVERSITEIT TWENTE.

Pagina 1 van 31

o o

o

Benodigde beheersinspanning: hierbij wordt uitgegaan van noodzakelijk en voldoende beheer; Aanvaardbaar gebruikersongemak: naast het dienende karakter van beveiliging wordt hierbij tevens uitgegaan van het ervaringsfeit, dat maatregelen die significant ongemak veroorzaken, omzeild of genegeerd zullen worden – en dat dit voorkomen dient te worden door verlaging van het ongemak en goede voorlichting, in plaats van door controle en repressie; Effectiviteit van handhaving: het uitgangspunt hier is dat regels alleen zin hebben als ze gehandhaafd kunnen worden en ook daadwerkelijk gehandhaafd worden – als goede handhaving niet mogelijk of betaalbaar is, is de afweging om hetzij het risico ter zake te nemen en alleen curatief op te treden in ernstige gevallen, of om de bewuste functionaliteit te blokkeren.

2.2 Het doel van SP-1 in het bijzonder is de sleutel te zijn tot alle Security Policies. Bij het lezen van om het even welke Security Policy wordt verwacht dat de lezer SP-1 kent en ernaar handelt.

3

Aanvullende Definities

Als uitgangspunt voor de Security Policies gelden de definities van de Gedragscode-ICT. Daarbovenop gelden de volgende definities (deels afkomstig uit het Informatiebeveiligingsbeleid) – in alfabetische volgorde; a. Beveiligingswebsite: Centrale bron voor informatie betreffende informatiebeveiliging, raadplegen via http://www.utwente.nl/itsecurity b. CERT-UT: het Computer Emergency Response Team van de Universiteit Twente, ingesteld om in opdracht van het College van Bestuur onder de verantwoordelijkheid van de Directeur ICTS computerveiligheidsproblemen binnen de Universiteit Twente aan te pakken en waar mogelijk te voorkomen. c. Gedragscode-ICT: Verkorte vorm van verwijzing naar de “Gedragscode ICT- en Internetgebruik Universiteit Twente”. d. ICTS: ICT-Servicecentrum van de Universiteit Twente. ICTS is verantwoordelijk voor de implementatie, uitvoering en bewaking van ICTS gerelateerde deel van de UT informatiebeveiliging. ICTS neemt in dat kader de benodigde preventieve, voorlichtende en curatieve maatregelen. e. IM: Directie Informatie Management van de Universiteit Twente. IM voert de regie over het Informatiebeveiligingsbeleid van de UT en draagt zorg voor de controle en beoordeling van de uitvoering ervan. f. Informatiebeveiligingsbeleid: Het beleid aangaande informatiebeveiliging van de UT zoals opgesteld en vastgelegd “Informatiebeveiligingsbeleid Universiteit Twente”. g. Opdrachtgever: de opdrachtgever in de zin van deze policies is degene die ten aanzien van een bepaalde ICT voorziening, zoals een werkplek of server, of een netwerkvoorziening, in formele zin de opdrachtgever is. Opdrachtgevers bevinden zich meestal op management- of onderzoeksniveau. “Beheerders” zoals onderscheiden in de Gedragscode-ICT zijn veelal opdrachtgever – de term “beheerder” wordt vermeden in dit stuk, om verwarring met systeembeheer e.d. te voorkomen. h. UTSO: de UT Security Officer, handelend in opdracht van de Directeur ICTS in samenwerking met de Informatie Manager. De UTSO is verantwoordelijk voor de uitvoering en borging van het ICTS gerelateerde deel van het UT Informatiebeveiligingsbeleid.


Pagina 2 van 31

4.

Reikwijdte & Doelgroep.

4.1 Deze SP-1 policy is de sleutel tot alle Security Policies, en staat derhalve niet op zichzelf. 4.2

Deze policy is bestemd voor een ieder voor wie een deelpolicy van toepassing is.

5

Governance

5.1 De governance ten aanzien van de Security Policies is door het CvB vastgesteld in het kader van het UT Informatiebeveiligingsbeleid en wordt hieronder aangehaald. 5.2 Het CvB stelt de Security Policies vast, op initiatief van IM. Daaraan voorafgaand bespreekt IM ze met de UCB (adviesorgaan CvB met betrekking tot UT bedrijfsvoering). 5.3 ICTS is verantwoordelijk voor de inhoud en uitvoering van de Security Policies en de controle daarop. Gewijzigde of nieuwe policies worden aan IM aangeboden ter vaststelling. 5.4 De UTSO beheert de Security Policies en draagt zorg voor de borging ervan. De UTSO betrekt CERT-UT nauw in de creatie van, controle op en verbetering van deze policies. 5.5 IM draagt zorgt voor de controle op en beoordeling van de uitvoering van het beleid, met inbegrip van de Security Policies. 5.6 Daarnaast evalueert “Operational Audit” onafhankelijk en in opdracht van het CvB het beleid, met inbegrip van de Security Policies.

6

Handhaving & sancties

6.1 De Security Policies bevatten dwingende minimumrichtlijnen. Het handelen in strijd met deze richtlijnen leidt in principe tot corrigerende en/of disciplinaire maatregelen. Dit kan onder andere leiden tot uitsluiting van het UTnet (quarantaine) of verdergaande maatregelen. 6.2 Zonder aankondiging vooraf kunnen door of namens de UTSO controles uitgevoerd worden om te controleren of aan de Security Policies wordt voldaan.

7

Uitzonderingen

7.1 De UTSO houdt een registratie bij van uitzonderingen: situaties en toepassingen waarin tijdelijk of permanent van specifieke policies afgeweken mag worden en in welke mate. 7.2 De UTSO rapporteert over de uitzonderingen periodiek naar de Directeur ICTS, en treedt ook tijdig met deze in overleg waar het potentieel zwaarwegende uitzonderingen betreft.

8

Incidentmelding & afhandeling

8.1 UT gerelateerde veiligheidsincidenten, de directe dreiging daarvan, evenals enigerlei inbreuk op de regels van de Security Policies, worden zonder uitstel gemeld aan CERT-UT, te bereiken op [email protected] en telefonisch: zie voor de actuele informatie de UT beveiligingswebsite. 8.2 CERT-UT opereert onder auspiciën van de Directeur ICTS maar in opdracht van het CvB en heeft daarmee vergaande bevoegdheden om veiligheidsincidenten te onderzoeken en af te handelen. Zie hiervoor ook de Gedragscode-ICT.


Pagina 3 van 31

9

Beroepsmogelijkheden & suggesties

9.1 Suggesties voor verbetering/verandering, bezwaar tegen inhoud of strekking van bepaalde Security Policies, of klachten over de handhaving kunnen worden ingediend bij de UTSO op [email protected] . De UTSO rapporteert daarover periodiek naar de Directeur ICTS, en treedt ook waar nodig met deze in overleg.


Pagina 4 van 31

2.

SP-2 Verwerving van hardware en software

1

Kader

Bij het lezen van SP-2 wordt verwacht dat de lezer de inleidende policy SP-1 kent en ernaar handelt.

2

Doelstelling

Preventie is meer dan het halve werk bij beveiliging. Daarom moet juist al bij het verwerven van hardware en software rekening gehouden worden met de beveiligingseisen binnen de UT. Vervolgens moeten deze aspecten bewaakt worden tijdens de verdere bestaanscyclus van de hardware en software. Deze policy geeft voor het proces van de verwerving van hardware en software de randvoorwaarden ten aanzien van beveiliging, en de gevolgen daarvan van installatie tot en met het uitfaseren en afvoeren.

3


a. UTware: hardware inclusief daarvoor relevante opslagmedia en software in eigendom (komend) van de UT en/of (verder) ontwikkeld door de UT en in beheer genomen door de UT. In deze policy zal de term soms eerder op hardware slaan, soms eerder op opslagmedia, of op software – vaak op alle drie. Dit zal te allen tijde uit de context duidelijk worden, en niet expliciet benoemd worden. b. Verwerving: elke vorm van inkoop-, offerte- of aanbestedingsprocedure, Call for Proposal (CfP), Call for Tender (CfT), in-beheer-neming (inclusief huur), software ontwikkeling, enzovoorts die (uiteindelijk) tot doel hebben UTware te verwerven.

4


4.1 Deze policy heeft betrekking op alle UTware, ongeacht de locatie en of deze al dan niet verbonden is met het UTnet. 4.2 Deze policy heeft geen betrekking op hardware en software met directe of indirecte toegang tot UTnet die echter niet in eigendom van of in beheer bij de UT is. De policy geldt voor de betrokken klanten en houders wel bij verwerving. 4.3 Deze policy is bestemd voor een ieder die belast is met de verwerving van UTware en verantwoordelijk is voor de verdere bestaanscyclus daarvan.

5

Verwerving van UTware.

5.1

Bij de verwerving van UTware zal in de verwervingsbeschrijving te allen tijde een zinvolle beveiligingsparagraaf opgenomen worden. Hierin zijn altijd opgenomen: harde eisen ten aanzien van de beveiligingsaspecten van het te verwerven product, ook genoemd: MUST’s; wensen ten aanzien van hetzelfde, ook genoemd: SHOULD’s.

o o

5.2 De beveiligingsparagraaf van de verwerving wordt vooraf vastgesteld in consultatie met de UT Security Officer (UTSO). De daadwerkelijke verwerving kan pas worden gestart nadat de UTSO het groene licht daarvoor heeft gegeven. 5.3 In geval van de verwerving van kostenintensieve UTware en waar de beveiligingsparagraaf daartoe aanleiding geeft kan in overleg met de UTSO, een ter zake kundige beveiligingsexpert in het verwervingsteam opgenomen worden, ter beoordeling van de offertes en ten behoeve van de onderhandelingen met leveranciers. Anderzijds kan de Security Policies UNIVERSITEIT TWENTE.

Pagina 5 van 31

UTSO opleggen dat, indien hiervoor aanleiding is, een ter zake kundige beveiligingsexpert wordt opgenomen. 5.4 De UTSO kan in het kader van de verwerving allerhande beveiligingseisen en – wensen vaststellen in overleg met de verwervende instantie. Meer in het bijzonder moet aandacht besteed worden aan minimaal de volgende aspecten (voor zover van toepassing): o minimaliseren van software afhankelijkheden die leiden tot onveiligheid; o “security patching”: dit is een onderhoudscyclus waardoor geconstateerde beveiligingsproblemen zo tijdig mogelijk worden opgelost – hier hoort bij dat de leverancier gemelde problemen ook daadwerkelijk in behandeling neemt; o controle van afgeleide security patches voor het onderliggende operating system dient uitgevoerd te worden. Tijdsafhankelijkheden kunnen daarbij optreden en hoe gaat de leverancier daar mee om. o adequate afhandeling door de leverancier van meldingen van security incidenten; o toegangsbeveiliging, en waar nodig: RBAC (“role based access control”: geavanceerde toegangsbeveiliging op basis van rollen); e.e.a. dient te passen op de binnen de UT aanwezige systemen van toegangsbeveiliging en RBAC; o “logging” van toegang en gebruik in overeenstemming met UT en wettelijke eisen; o veiligheid van onderhoud en reparatie (bijvoorbeeld: wat gebeurt er met een defecte harde schijf); o (veilig) verwijderingsprotocol van de zijde van de leverancier bij uitfasering; o enzovoorts: deze opsomming beoogt geen compleetheid. 5.5 Software-ontwikkeling in eigen beheer wordt in het kader van deze policy beschouwd als verwerving van software.

6

Installatie, gebruik en beheer van UTware.

6.1 In dit artikel worden de gevolgen beschreven die de verwervingseisen ten aanzien van beveiliging hebben voor installatie, gebruik en beheer van de verworven UTWare. 6.2 Veilige installatie en beheer van UTware is de operationele verantwoordelijkheid van de betrokken ICT-functionarissen. De eindverantwoordelijkheid ligt bij de opdrachtgever. 6.3 Alle server-apparatuur wordt geplaatst in daartoe aangewezen UT computerruimten. Afspraken over deze geconditioneerde ruimten worden in samenspraak met het Facilitair Bedrijf vastgelegd in een operationele overeenkomst. Beschikbaarheideisen van diensten zijn medebepalend voor het niveau van basisvoorzieningen als temperatuurbeheersing, netvoeding en alarmering. 6.4 Bij de installatie moet overwogen worden of de UT veiligheid gediend is met installatie in een afgesloten omgeving, zoals een afgeschermd deel van het netwerk of een separate ruimte. 6.5 Bij zowel de installatie als het verdere gebruik en beheer van UTware dienen de bij de verwerving vastgelegde beveiligingsaspecten blijvend uitgevoerd c.q. ondersteund te worden, juist ook in een veranderende omgeving. Met nadruk wordt daarbij gewezen op de specifieke aandachtspunten als omschreven in 6.4 van deze deelpolicy. 6.6 Te allen tijde kan de UTSO om advies gevraagd worden ten aanzien van de beveiligingsaspecten van UTware. 6.7 Beveiligingsincidenten worden zonder uitstel gerapporteerd aan CERT-UT. Dit laat onverlet de plicht van de gebruikers en opdrachtgevers van UTware om zorg te dragen voor adequate beveiliging met betrekking tot die UTware en de daarmee verbonden gegevens.


Pagina 6 van 31

7

Uitfasering van UTware.

7.1 Veilige uitfasering van UTware is de operationele verantwoordelijkheid van de betrokken ICT-functionarissen en gebruikers. De eindverantwoordelijkheid ligt bij de opdrachtgever. 7.2 Waar mogelijk en zinvol wordt uitfasering in overleg met de leverancier van de UTware gedaan. 7.3 Met name wordt bij uitfasering aandacht besteed aan de vernietiging van gegevens alvorens de UTware vrij wordt gegeven voor afvoer – daarbij wordt met klem gesteld dat het simpel uitwissen van gegevens in de meeste gevallen niet betekent dat ze ook werkelijk “weg” zijn. Richtlijnen voor het vernietigen van gegevens zijn beschikbaar bij de UTSO. In het bijzonder moet aandacht besteed worden aan minimaal de volgende aspecten afhankelijk van beveiligingsniveau en voor zover van toepassing:  Datadragers zullen betrouwbaar gewist of vernietigd moeten worden: o Personal Computer (Hard disk) o Server systemen (Hard disk) o Storage systemen (SAN systemen) o Backup media (Tapes) o Externe mediadragers (USB, CD-ROM, DVD, Memory Cards) o Apparatuur (Mobiele Telefoons, Digitale Camera’s) o Overige datadragers


Pagina 7 van 31

3.

SP-3 Toegangssleutels

1

Kader


2

Doelstelling

Een toegangssleutel is, conform de Gedragscode-ICT, een combinatie van gebruikersnaam en wachtwoord of andere authenticatiefaciliteit die een gebruiker autoriseert tot het gebruik van {bij de autorisatie behorende} ICT-voorzieningen van de Universiteit Twente. Toegangssleutels worden ook wel AA-credentials genoemd, waarbij AA staat voor authenticatie en autorisatie. Deze policy legt de uitgangspunten voor toegangssleutels vast en geeft aan hoe in dat kader omgegaan moet worden met de uitgifte van toegangssleutels, wachtwoordbeheer en met eventuele incidenten.

3


a. ICT-account: een geregistreerde rol in een ICT-voorziening. Een ICT-account heeft altijd een accountnaam (een persoon of een functie), en is meestal voorzien van een beveiliging op basis van een wachtwoord, soms ook op basis van een certificaat of “token”.

4


4.1 Deze policy heeft betrekking op alle toegangssleutels die uitgegeven zijn door de UT in het kader van de ICT-dienstverlening en -voorzieningen. 4.2 Deze policy is hoofdzakelijk bestemd voor de ICT-functionarissen die betrokken zijn bij het beheer van ICT-accounts en toegangssleutels, of bij de controle daarop. 4.3 Gebruikers dienen conform de Gedragscode-ICT met de aan hun verstrekte toegangssleutels om te gaan, onder verwijzing naar 5.4 hieronder.

5.

Uitgangspunten

5.1 Iedere ICT-voorziening of gegevensverzameling binnen de UT wordt beschermd door middel van een authenticatie en autorisatie methode die aansluit bij het belang ervan. De betreffende klant of houder bepaalt de mate van dit belang en het gewenste niveau van beveiliging. De keuze van geschikte toegangssleutels voor deze voorziening of gegevensverzameling is hier een direct gevolg van. De UTSO kan hierin adviserend optreden. 5.2 o o o

Er bestaan minimaal drie niveaus van beveiliging: publiek, normaal en hoog: Voor het publieke niveau bestaat geen toegangsbeveiliging. Voor het normale beveiligingsniveau worden minimaal toegangssleutels gebruikt bestaande uit een accountnaam en een wachtwoord. Voor het hoge beveiligingsniveau worden per geval eisen opgesteld in overleg met de UTSO.

5.3 Alle systemen waarin personele, financiële of studenteninformatie is opgeslagen vallen onder het hoge beveiligingsniveau. 5.4 Het gestelde in de Gedragscode-ICT ten aanzien van toegangssleutels is onveranderd van toepassing: Security Policies UNIVERSITEIT TWENTE.

Pagina 8 van 31

o

De door de Universiteit Twente aan Gebruiker verleende Toegangssleutel is strikt persoonlijk en blijft eigendom van de Universiteit Twente.

o

Het is niet toegestaan de Toegangssleutel aan derden te verstrekken, tenzij dit noodzakelijk is voor een adequate uitoefening van de werkzaamheden en dan alleen na toestemming van de Directeur ICTS.

o

Degene aan wie de Toegangssleutel is verstrekt, is verplicht al hetgeen te doen dan wel na te laten wat redelijkerwijs van hem/haar mag worden verwacht om misbruik van de verstrekte Toegangssleutel te voorkomen.

5.5 Naast persoonlijke ICT-accounts bestaan er functionele ICT-accounts deze worden persoonsgebonden geacht. 5.6 Voor functionele ICT-accounts verleende toegangssleutels geldt in deze Policy in essentie hetzelfde als voor de persoonlijke. 5.7 In voorkomende gevallen dienen niet-persoonsgebonden functionele ICT-accounts tot een minimum beperkt te worden.

6

Uitgifte van toegangssleutels.

6.1 De keuze van toegangssleutels geschikt voor een bepaalde ICT-voorziening hangt af van het gewenste beveiligingsniveau. De klant of houder en ICTS stellen dat per geval gezamenlijk vast. Eenmaal vastgesteld worden de toegangssleutels strikt conform die keuze door ICTS geadministreerd, uitgegeven en beheerd. 6.2 Bij de uitgifte van toegangssleutels wordt de ontvanger expliciet gewezen op de Gedragscode-ICT, op eventuele aanvullende handreikingen betreffende toegangssleutels c.q. wachtwoorden, en op de te volgen procedure bij verlies of compromitteren van toegangssleutels. 6.3 De uitgifte van toegangssleutels dient voldoende veilig plaats te vinden. Onversleutelde e-mail of webverkeer gelden in elk geval niet als voldoende veilig.

7

Wachtwoordbeheer.

7.1 ICT-accounts met wachtwoorden zijn veel voorkomende toegangssleutels. Waar het beleid ten aanzien van het beheer van wachtwoorden technisch niet uitvoerbaar of handhaafbaar is, wordt een aanvaardbaar alternatief gekozen in overleg met de UTSO. 7.2 Alle gebruikerswachtwoorden moeten periodiek gewijzigd worden. Bij het aanmaken van een wachtwoord kan de gebruiker hulp krijgen bij het kiezen van een veilig wachtwoord. Onveilige wachtwoorden worden geweigerd. Wachtwoorden dienen te voldoen aan de op de beveiligingswebsite aangegeven regelgeving. 7.3 Alle serverwachtwoorden moeten periodiek worden gewijzigd. Het nieuwe wachtwoord mag niet eerder gebruikt zijn. Wachtwoorden dienen te voldoen aan de richtlijnen op de beveiligingswebsite. 7.4 Serverwachtwoorden moeten veilig opgeslagen worden in een daartoe geëigend middel en volgens een vastgelegde procedure. Deze procedure dient tevens te voorzien in toegangsregeling tot de wachtwoorden in geval van calamiteiten. 7.5 Wachtwoorden moeten opgeslagen worden in veilig versleutelde vorm, binnen computersystemen en daarbuiten.


Pagina 9 van 31

7.6 ICT-functionarissen hebben geen toegang tot wachtwoorden in onversleutelde vorm en mogen deze evenmin aftappen.

8

Certificaten.

8.1 Indien nodig wordt voor extra beveiliging van informatie gebruik gemaakt van certificaten. Deze worden gebruikt voor de versleuteling van de informatie. ICTS verstrekt deze certificaten, waaronder die voor Webmail. 8.2 Certificaten worden ook gebruikt voor het toestemming verlenen aan software om te draaien binnen een bepaalde omgeving. Dit kan gezien worden als autorisatie voor het gebruik van een applicatie, de rechten binnen de applicatie zijn verbonden met de toegangssleutel van de gebruiker. 8.3 Uitgifte en gebruik van certificaten dienen gecontroleerd plaats te vinden. Indien gebruik gemaakt wordt van certificaten dient dit vastgelegd te worden in de beveiligingsparagraaf van een dienst. 8.4 Algemene regels ten aanzien van het gebruik van certificaten worden nader uitgewerkt.

9

Incidenten.

9.1 Zodra het vermoeden bestaat, door melding van de betreffende gebruiker, door controles of anderszins, dat een toegangssleutel gecompromitteerd of verloren is, dan wordt de betreffende toegangssleutel zonder uitstel geblokkeerd, en de gebruiker daarvan op de hoogte gesteld. In overleg met de gebruiker wordt vervolgens een nieuwe toegangssleutel uitgegeven. 9.2 Artikel 9.1 geldt onverkort voor vergeten wachtwoorden. ICT-accounts mogen geblokkeerd worden indien de bijbehorende wachtwoorden eenvoudig te compromitteren zijn. ICTS heeft het recht dit laatste structureel of gericht te onderzoeken. 9.3 In het geval van misbruik door een gebruiker (ook zijnde een ICT-functionaris), in de zin van de Gedragscode-ICT, of in het geval van verdenking van strafbare feiten, worden zonodig en naar oordeel van CERT-UT, in het kader van deze policy de toegangssleutels van de betreffende gebruiker zonder uitstel geblokkeerd en zo nodig teruggevorderd. De gebruiker wordt hiervan op de hoogte gesteld. 9.4 In het kader van een onderzoek door CERT-UT of Justitie kan worden afgeweken van het gestelde in artikel 9.1-9.3, in het belang van het desbetreffende onderzoek.


Pagina 10 van 31

4.

SP-4 Security Domeinen

1

Kader


2

Doelstelling

Toegangssleutels, zoals benoemd in SP-3 “Toegangssleutels”, geven mogelijkheden voor beveiliging op allerlei niveaus, zelfs per server. Het is gewenst in deze complexe situatie enige ordening aan te brengen, door soortgelijke systemen en vergelijkbare gebruikers onder te brengen in security domeinen, waarvoor dan ook (ruwweg) dezelfde beveiligingseisen zullen gelden. Deze policy legt de uitgangspunten voor deze security domeinen vast en geeft vervolgens per security domein aan wat deze precies inhoudt, en welke randvoorwaarden er aan de beveiliging in dat domein gesteld worden, in het bijzonder in relatie tot de andere domeinen: “wie heeft waar toegang en onder welke voorwaarden”.

3


a. Server back-end: de back-end van een server is de functionele toegang tot een server, bedoeld voor vormen van beheer zoals systeem-, applicatie- en/of databeheer. b. Server front-end: de front-end van een server is de functionele toegang tot een server, bedoeld voor de vormen van regulier gebruik, zoals raadpleging, gebruik voor opslag (in geval van een storage server), en beperkt databeheer op gebruikers niveau (bijvoorbeeld voor het invullen van formulieren). c. Security Domein: een security domein wordt beschouwd als een applicatie of verzameling van applicaties die een gemeenschappelijke toegangssleutel voor authenticatie of autorisatie accepteren. In het algemeen krijgt een gebruiker een interne toegangssleutel na aanmelden met gebruikersnaam en wachtwoord. d. Remote Management: via netwerk toegang hebben tot fysieke server. Hieronder vallen hardware monitoring, power management en remote console via daarvoor ingericht Management Netwerk. e. VLAN: virtual local area network, een methode om meerdere logische netwerken te implementeren op één fysiek netwerk. f. VPN: virtual private network, een methode om een netwerk transparant en beveiligd over een ander netwerk aan te bieden. Wordt gebruikt om bedrijfsnetwerken over Internet te leiden naar werkplekken op afstand. g. Bastion host: Een extra beveiligde server die speciaal is ingericht om beveiligingsaanvallen vanuit het netwerk tegen te gaan. Daarnaast voorziet de server in toegangscontrole en toegang naar het achterliggende netwerk. Het is dus een beveiligingsmiddel om vanuit niet-vertrouwde netwerken geautoriseerde en beveiligde toegang te verschaffen naar servers of services.

4


4.1 Deze policy heeft betrekking op alle computer configuraties die verbonden zijn met het UTnet. De verbinding kan daarbij vast, mobiel, direct, van de UT campus of van extern gemaakt zijn. Hiertoe worden ook gerekend apparatuur verbonden met het UTnet zoals printers, scanners en handheld devices. Security Policies UNIVERSITEIT TWENTE.

Pagina 11 van 31

4.2 Deze aanvullende policy is daarentegen alleen bestemd voor de ICT-functionarissen die betrokken zijn bij het beheer van het UTnet en de computer configuraties op de UT campus. Voor gebruikers wordt verwezen naar de “SP-7 Werkplek beveiliging” en de Gedragscode-ICT.

5

Uitgangspunten.

5.1 o o o o o o o o o o 5.2

De UT onderscheidt de volgende security domeinen binnen haar netwerken: IDM domein Opslag domein Beheerdomein Bedrijfskritisch domein Productie domein Campus domein VPN domein Internet domein – (op zich geen UT domein) Quarantaine domein Speciale doelen domeinen (registratie en beheer bij UTSO) Security domeinen kennen geen overlap.

5.3 Servers kunnen zich geheel binnen één domein bevinden, maar hebben in de regel koppelvlakken met méér domeinen. Servers kennen meestal zowel een front-end als een back-end (zie definities), die bij voorkeur in verschillende domeinen liggen. In wezen vormen servers dus de bruggen tussen domeinen. 5.4

Werkplekken mogen zich slechts tegelijkertijd in één domein bevinden.


Pagina 12 van 31

5.5 De specifieke definitie van de in 5.1 genoemde domeinen, en de security invulling ervan, volgen in de artikelen hieronder. Het Quarantaine domein en de Speciale doelen domeinen zijn niet in het schema weergegeven vanwege hun uitzonderlijke karakter, zie de omschrijvingen. De volgende schematische tekening is daarbij van nut:

Toelichting bij het schema: Functioneel gebruik: (front-end) o Stip: de dienst is die aangeboden wordt vanuit een server. o Pijl: in welke andere security domein(en) de front-end beschikbaar is. o toegangscontrole tot de dienst wordt gestuurd vanuit het IDM domein. Applicatie-, Data-, Systeembeheer: (back-end) o Stip: de werkplek van waaruit beheer plaatsvindt. o Pijl: welke andere security domein(en) bereikbaar zijn voor beheer. o toegangscontrole voor beheer van een server wordt gestuurd vanuit het IDM domein. De Firewalls, Filtering Routers en Bastions voorzien in de beveiliging van de koppelvlakken van de security domeinen. In de omschrijving per security domein wordt weergegeven welke relaties er zijn tussen de genoemde security domeinen. Werkplekken bevinden zich in het productie domein, het campus domein en het internet domein. Tevens wordt er onderscheid gemaakt in toegang vanaf internet en toegang met behulp van VPN.


Pagina 13 van 31

5.6 De UT gaat qua toegangscontrole niet uit van UT-brede “single sign-on”, maar van compartimentering in de security domeinen. Binnen de security domeinen is “single sign-on” wél toelaatbaar, met aanvullende toegangseisen waar dat nodig wordt geacht. 5.7 De toegang tot UT security domeinen, en tot specifieke diensten binnen die domeinen, is daarmee in essentie gebaseerd op het gebruik van toegangssleutels, conform het gestelde in SP-3 “Toegangssleutels”. Als grondbeginsel geldt dat elk domein zijn eigen toegangssleutel vereist, en dat diensten binnen die domeinen waar extra beveiliging voor vereist is, additionele toegangssleutels vereisen. 5.8 De technische oplossingen die gekozen worden voor compartimentering in domeinen en afscherming van specifieke diensten hangen af van het gewenste beveiligingsniveau en de beschikbare mogelijkheden. In de praktijk gebruikte middelen zijn o.a. VLAN’s, gescheiden fysieke netwerken, firewalls en bastions. 5.9 Deze policy geldt als uitgangspunt en richtlijn. Uitzonderingsmaatregelen zijn mogelijk, maar dienen besproken te worden met de UTSO en worden door deze geregistreerd.

6

IDM domein.

6.1 Het IDM (IDentity Management ) domein bevat het UT IDM-systeem en koppelvlakken naar alle systemen die vanuit IDM gevoed worden met RBAC (role based access control) data. 6.2

IDM dient het gehele IDM proces binnen één security domein af te handelen.

6.3 Het IDM verkeer binnen het IDM domein vindt versleuteld plaats op basis van wat op dat moment als “sterke cryptografie” geldt, dat wil zeggen nagenoeg “onkraakbaar" volgens de inzichten van dat moment. 6.4 Voor het functioneel gebruik van de dienst IDM, waaronder het toekennen van autorisaties, worden alleen front-ends in het productiedomein toegestaan.

7

Opslag domein.

7.1 Het Opslag domein bevat de centrale opslag servers voor “back-up/restore” en netwerk “storage”, en koppelvlakken met alle in die zin ondersteunde systemen. 7.2 Opslag servers bevinden zich behalve in het Opslag domein, uitsluitend ook in het beheerdomein, ten einde beheert te kunnen worden. 7.3 Anders dan in de zin van 7.1 en 7.2 is het Opslag domein geheel geïsoleerd van de overige domeinen.

8

Beheerdomein.

8.1 In het beheerdomein bevindt zich die apparatuur die essentieel is voor het in stand houden van de UT ICT infrastructuur en diensten. Hier vallen onder meer actieve netwerkcomponenten zoals routers onder, evenals applicatieservers zoals voor e-mail en world-wide-web. De toegang tot de fysieke server via Remote Management wordt ook gerekend tot het beheerdomein. 8.2 Servers in het beheerdomein kennen altijd een back-end, en kunnen tevens een front-end hebben. Back-ends liggen binnen het beheerdomein zelf. Front-ends liggen binnen het productie domein en/of het Internet domein. De servers kunnen bovendien een koppelvlak hebben met het IDM domein, het bedrijfskritische domein en/of het Opslag domein. SP-5 “Netwerk beveiliging” c.q. SP-6 “Server beveiliging” zijn van toepassing op deze servers. Security Policies UNIVERSITEIT TWENTE.

Pagina 14 van 31

8.3

Er zijn geen werkplekken binnen het beheerdomein anders dan server consoles.

8.4 Uitsluitend vanaf het productiedomein en het VPN domein hebben ICTfunctionarissen op basis van toegangssleutels toegang tot de server back-ends, voor systeembeheer, applicatiebeheer en databeheer. Deze toegang verloopt via één of meer beveiligingsmiddelen - het “bastion” - die het beheerdomein afschermen. Per back-end wordt bepaald wie toegang heeft en vanaf welke domeinen. Vanuit een back-end kunnen géén andere back-ends bereikt worden – dit kan alleen van buitenaf via het bastion. 8.5 In aanvulling op 8.4 geldt voor servers die zich tevens in het bedrijfskritische domein bevinden, dat de toegang vanuit het beheerdomein beperkt kan worden in functionaliteit, teneinde een functiescheiding te realiseren tussen wat vanuit het beheerdomein geadministreerd wordt (met name systeembeheer) en wat vanuit het bedrijfskritische domein zelf geadministreerd wordt (met name databeheer). 8.6 Van buitenaf is er anders dan bedoeld in 8.4 geen toegang tot het beheerdomein, anders dan tot de server front-ends, al dan niet op basis van toegangssleutels. Voor elke dienst die via front-ends bereikbaar is, wordt bepaald wie toegang heeft, op welke basis en vanaf welke domeinen. De toegang tot front-ends wordt waar nodig extra beveiligd. 8.7 Ten opzichte van het boven bepaalde en in SP-5 “Netwerk beveiliging”, SP-6 “Server beveiliging” kunnen voor de servers en server consoles binnen het beheerdomein, evenals voor de aldaar tijdelijk aanwezige gebruikers, extra beveiligingsmaatregelen van toepassing worden verklaard, waaronder fysieke. Dit geldt in het bijzonder voor servers die zich tevens in het bedrijfskritische domein bevinden. 8.8 In aanvulling op 8.4 geldt voor het Remote Management van beheer van fysieke server hardware dat deze beperkt is tot het beheerdomein. Inrichting van toegangsbeveiliging voor het Management Netwerk is vergelijkbaar met Server back-end.

9

Bedrijfskritisch domein.

9.1 In het bedrijfskritische domein bevindt zich die apparatuur die essentieel is voor het in stand houden van de belangrijkste bedrijfsvoering van de UT. 9.2 Servers in het bedrijfskritische domein kennen altijd een back-end, en kunnen tevens een front-end hebben. Back-ends liggen binnen het bedrijfskritische domein zelf. Front-ends liggen binnen het productie domein, maar nooit binnen het Internet domein. De servers hebben bovendien altijd een koppelvlak met het beheerdomein, en kunnen een koppelvlak hebben met het IDM domein en het Opslag domein. SP-6 “Server beveiliging” is van toepassing op deze servers. 9.3 Er zijn geen werkplekken binnen het bedrijfskritisch domein anders dan server consoles. 9.4 Uitsluitend en alleen vanaf het productiedomein hebben ICT-functionarissen op basis van toegangssleutels toegang tot de server back-ends, voor applicatiebeheer en/of databeheer. Deze toegang verloopt via één of meer beveiligingsmiddelen - het “bastion” die het bedrijfskritische domein afschermen. Per back-end wordt bepaald wie toegang heeft. Vanuit een back-end kunnen géén andere back-ends bereikt worden – dit kan alleen van buitenaf via het bastion. 9.5 Van buitenaf is er anders dan bedoeld in 9.4 geen toegang tot het bedrijfskritische domein, anders dan tot de server front-ends, en dit alleen op basis van toegangssleutels. Voor elke bedrijfskritische dienst die via front-ends bereikbaar is, wordt bepaald wie toegang heeft en vanaf welke domeinen. De toegang tot front-ends wordt waar nodig extra beveiligd. Security Policies UNIVERSITEIT TWENTE.

Pagina 15 van 31

9.6 Ten opzichte van het boven bepaalde en SP-6 “Server beveiliging” kunnen voor de servers en server consoles binnen het bedrijfskritische domein, evenals voor de aldaar tijdelijk aanwezige gebruikers, extra beveiligingsmaatregelen van toepassing worden verklaard, waaronder fysieke.

10

Productiedomein.

10.1 In het productiedomein bevindt zich die apparatuur die wordt gebruikt voor het primaire en/of secundaire proces van de UT. Dit is inclusief de overgrote meerderheid van alle UT werkplekken, ongeacht de gebruikte netwerktechniek, of dit nu UTnet bedraad of draadloos is, of anderszins; en ongeacht de gebruikers, of dit nu werknemers, studenten of gasten zijn. Rechten worden verleend via toegangssleutels. 10.2 Servers in het productiedomein kennen altijd een back-end, en kunnen tevens een front-end hebben. Front-ends liggen binnen het productie domein zelf en/of het Internet domein. Back-ends liggen in beginsel binnen het bedrijfskritische en/of beheerdomein, maar bij wijze van uitzondering ook binnen het productiedomein zelf – die uitzonderingen worden door zorg van de UTSO geregistreerd. De servers kunnen bovendien een koppelvlak hebben met het IDM domein en/of het Opslag domein. SP-6 “Server beveiliging” is van toepassing op deze servers. 10.3 Bij het activeren van werkplekken en minimaal driejaarlijks herhaald worden de gebruikers expliciet gewezen op de Gedragscode-ICT, op eventuele aanvullende regels, en op de te volgen procedure bij mogelijke incidenten. 10.4 Werkplekken binnen het productiedomein hebben toegang tot de server front-ends, al dan niet op basis van toegangssleutels. Voor elke dienst die via front-ends bereikbaar is, wordt bepaald wie toegang heeft en op welke basis. De toegang tot front-ends wordt waar nodig extra beveiligd. Deze werkplekken hebben geen toegang tot overige domeinen, met uitzondering van het gestelde in 10.5 (systeembeheer e.d.) en 10.6 (Internet toegang). SP-7 “Werkplek beveiliging” is van toepassing op deze werkplekken. 10.5 Werkplekken binnen het productiedomein zijn als regel bedoeld voor systeemgebruik, niet voor systeem-, applicatie- of databeheer, met de volgende uitzonderingen: o ICT-functionarissen met toegang tot het beheerdomein mogen zich die toegang verschaffen vanaf het productiedomein; o Voor servers zonder back-end in het beheerdomein, bijvoorbeeld servers binnen vakgroepen, of appliance-servers als printers, scanners en kopieermachines, wordt het systeem-, applicatie- en databeheer wél uitgevoerd vanaf werkplekken binnen het productiedomein. Altijd op basis van toegangssleutels; o Hetzelfde geldt in essentie voor het beheer van de werkplekken zelf. 10.6 De werkplekken binnen het productiedomein hebben vrije toegang tot het Internet domein, waarbij de UT zich het recht voorbehoudt gerichte filtering te verrichten om veiligheidsredenen. Andersom heeft het Internet domein alleen toegang tot deze werkplekken voor zover nodig in het kader van de vorige zin (stateful filtering genoemd). Dit houdt in dat services geïnstalleerd op werkplekken, niet bereikbaar zijn vanaf het Internet. 10.7 Van buitenaf is er verder geen toegang tot het productiedomein, anders dan tot de server front-ends, en dit alleen op basis van toegangssleutels. Per dienst die via een of meer front-ends bereikbaar is, wordt bepaald wie toegang heeft, op welke basis en vanaf welke domeinen. De toegang tot front-ends wordt waar nodig extra beveiligd. 10.8 Ten opzichte van het boven bepaalde en in SP-6 “Server beveiliging”, SP-7 “Werkplek beveiliging” kunnen voor zowel de servers als werkplekken binnen het productiedomein, Security Policies UNIVERSITEIT TWENTE.

Pagina 16 van 31

maar ook voor de daar geautoriseerde of tijdelijk aanwezige gebruikers, extra beveiligingsmaatregelen van toepassing worden verklaard, waaronder fysieke.

11

Campusdomein.

11.1 In het campusdomein bevinden zich de thuisaansluitingen op het UTnet van studenten en medewerkers die op de UT campus wonen. 11.2 Om technische redenen is het campusdomein op dit moment een integraal deel van het productiedomein. Daarmee geldt alles wat in artikel 10 gesteld is ook voor het campusdomein, met uitzondering van 10.5 in die zin, dat het Internet domein vrije toegang heeft tot het campusdomein, waarbij de UT zich het recht voorbehoudt gerichte filtering te verrichten om veiligheidsredenen. 11.3 Bij het activeren van thuisaansluitingen en minimaal driejaarlijks herhaald wordt de campusbewoner expliciet gewezen op de Gedragscode-ICT, op de aanvullende regels inzake thuisaansluitingen, en op de te volgen procedure bij mogelijke incidenten. 11.4 In de onder 11.3 genoemde aanvullende regels inzake thuisaansluitingen wordt minimaal opgenomen, inclusief tekst, uitleg en concrete tips: o De campusbewoner verplicht zich zijn/haar werkplekken qua beveiliging up-to-date te houden, bijvoorbeeld door de standaard beschikbare auto-update faciliteiten te activeren; o de campusbewoner verplicht zich om de standaard firewall van zijn/haar werkplek(ken) te activeren, of een betere firewall; o de campusbewoner verplicht zich om up-to-date anti-malware software op zijn/haar werkplek(ken) te activeren, teneinde virussen, wormen en andere infecties zowel inkomend als uitgaand onschadelijk te maken; o de campusbewoner verplicht zich om hen die geen werknemers of studenten zijn van de UT, geen toegang tot het UTnet te verlenen via de aanwezige werkplek(ken); o de UT behoudt zich het recht voor de campusbewoner te verplichten om op zijn/haar werkplek(ken) aanvullende software te installeren ter verbetering van de beveiliging; o (potentiële) security incidenten worden door de campusbewoner zonder uitstel bij CERT-UT gemeld; o indien CERT-UT het redelijke vermoeden heeft dat de campusbewoner zich niet houdt aan de Gedragscode-ICT of de voornoemde regels, zal de thuisaansluiting gedeactiveerd worden of beperkt in functionaliteit, hangende nader onderzoek. De campusbewoner wordt hiervan op de hoogte gesteld; o de campusbewoner wordt sterk geadviseerd om tussen de werkplek(ken) en de campusaansluiting een hardware firewall te activeren. Daarbij wordt minimaal 1 model firewall, uitgetest door de UT, concreet aangeraden.

12

VPN domein.

12.1 In het VPN domein bevinden zich de aansluitingen van studenten en medewerkers die via hun (niet-UT) Internet aansluiting een VPN tunnel vanaf thuis of elders opzetten naar het UTnet. Deze tunnels zijn in de regel discontinu: de gebruiker kan ze naar believen aanen uitzetten, bijvoorbeeld door het uitzetten van de werkplek. 12.2 De in het VPN domein gebruikte VPN technologie dient minimaal de best practices voor zulke technologie te ondersteunen. Dit betekent dat de authenticatie zowel als de sessies afdoende veilig versleuteld moeten zijn. 12.3 Om technische redenen is het VPN domein op dit moment een integraal deel van het productiedomein. Daarmee geldt alles wat in artikel 10 gesteld is ook voor het VPN domein, met uitzondering van 10.5. Internet verkeer dient in principe via de lokale internetverbinding afgehandeld te worden. Indien toegang tot informatiesystemen op Internet gecontroleerd


Pagina 17 van 31

wordt, zijnde vanaf het productiedomein, dan wordt bij uitzondering toegestaan het Internet verkeer via de VPN tunnel te laten gaan. 12.4 Bij het activeren van VPN aansluitingen en minimaal driejaarlijks herhaald wordt de VPN gebruiker expliciet gewezen op de Gedragscode-ICT, op de aanvullende regels inzake VPN aansluitingen, en op de te volgen procedure bij mogelijke incidenten. 12.5 In de onder 12.4 genoemde “aanvullende regels voor VPN aansluitingen” wordt minimaal opgenomen, inclusief tekst, uitleg en concrete tips: o De VPN gebruiker verplicht zich zijn/haar VPN werkplek qua beveiliging up-to-date te houden, bijvoorbeeld door de auto-update faciliteiten te activeren; o de VPN gebruiker verplicht zich om de standaard firewall van zijn/haar VPN werkplek te activeren, of een betere firewall; o de VPN gebruiker verplicht zich om up-to-date anti-malware software op zijn/haar VPN werkplek te activeren, teneinde virussen, wormen en andere infecties zowel inkomend als uitgaand onschadelijk te maken; o de VPN gebruiker verplicht zich om hen die geen werknemers of studenten zijn van de UT, geen toegang tot het UTnet te verlenen via de aanwezige VPN werkplek; o de UT behoudt zich het recht voor de VPN gebruiker te verplichten om op zijn/haar VPN werkplek aanvullende software te installeren ter verbetering van de beveiliging; o (potentiële) security incidenten worden door de VPN gebruiker zonder uitstel bij CERT-UT gemeld; o indien CERT-UT het redelijke vermoeden heeft dat de VPN gebruiker zich niet houdt aan de Gedragscode-ICT of de voornoemde regels, zal de VPN aansluiting gedeactiveerd worden of beperkt in functionaliteit, hangende nader onderzoek. De VPN gebruiker wordt hiervan op de hoogte gesteld; o de VPN gebruiker wordt sterk geadviseerd om tussen de VPN werkplek en de Internet aansluiting een hardware firewall te activeren. De relevante ISP heeft daarvoor in de regel mogelijkheden en adviezen voor beschikbaar.

13

Internet domein.

13.1 Het Internet domein is zelf geen UT domein maar raakt er wel aan – het bevat het hele Internet wereldwijd behalve de UT, met de volgende aanvullingen: o front-ends van beheerdomein servers die de UT expliciet tot het Internet domein rekent (zoals de UT e-mail- en webservers): de toegang hiertoe geschiedt al dan niet op basis van toegangssleutels; o front-ends van productiedomein servers buiten het beheerdomein die de UT expliciet tot het Internet domein rekent (zoals een vakgroep server met webpages): de toegang hiertoe geschiedt altijd op basis van toegangssleutels. 13.2 o o o

Het Internet domein heeft binnen de UT uitsluitend toegang tot: in 13.1 genoemde front-end servers; werkplekken in het productiedomein op basis van communicatie geïnitieerd vanaf de werkplek (stateful filtering) en mogelijke additionele filtering naar UT keuze; werkplekken in het campusdomein op basis van mogelijke additionele filtering naar UT keuze.

13.3 In hoeverre UT domeinen toegang hebben tot het Internet domein, wordt per UT domein expliciet bepaald. 13.4 Security incidenten op de UT met een oorsprong op het Internet domein mogen door CERT-UT aan SURFcert, de CERT van SURFnet, gerapporteerd worden. SURFcert neemt daarop actie en houdt CERT-UT op de hoogte. Security incidenten op het Internet domein met een oorsprong binnen de UT worden door SURFcert gerapporteerd aan CERT-UT. CERT-UT neemt daarop actie en houdt SURFcert op de hoogte.


Pagina 18 van 31

14

Speciale doelen domeinen.

14.1 Speciale doelen domeinen worden gecreëerd om computer configuraties met een specifiek doel af te zonderen van andere domeinen, in al die gevallen wanneer dat nuttig of nodig is voor de beveiliging van die computer configuraties, of van andere domeinen. 14.2 Speciale doelen domeinen worden geregistreerd en beheerd door de UTSO. Waar nodig worden aanvullende richtlijnen ter beschikking gesteld aan de gebruikers. 14.3 Voor elk speciale doelen domein wordt vastgelegd bij de UTSO hoe server- en werkplekbeheer worden uitgevoerd, evenals de toekenning van toegangssleutels. 14.4 Binnen alle speciale doelen domeinen is voor servers SP-6 “Server beveiliging” de richtlijn, en voor werkplekken SP-7 “Werkplek beveiliging”. Uitzonderingen zijn toegelaten voor zover nodig en alleen na toestemming van de UTSO. 14.5 Speciale doelen domeinen worden jaarlijks op initiatief van de UTSO geëvalueerd, en in overleg met de betrokken gebruikers en/of opdrachtgevers aangepast of verwijderd. 14.6 Registratie en beschrijving in document: “Speciale doelen domeinen”. De informatie is tevens beschikbaar op de beveiligingswebsite.

15

Quarantaine domein.

15.1 De apparatuur die zich binnen het quarantaine domein bevindt is daar “in quarantaine” geplaatst om (in principe tijdelijk) uitgesloten te zijn van ieder ander domein. Dit is om de rest van het UTnet veilig, schoon en betrouwbaar te houden. Er zijn geen eisen gesteld aan apparatuur die in dit domein geplaatst mag worden. 15.2 De UTSO houdt een “whitelist” bij van bedrijfs- of onderzoekskritische apparatuur die niet automatisch in quarantaine geplaatst mogen worden. Bij ontstentenis van een tijdige en adequate reactie op security incidenten inzake zulke apparatuur, is CERT-UT alsnog gemachtigd deze in quarantaine te (laten) plaatsen. 15.3 Zodra de reden voor het in quarantaine plaatsen van bepaalde apparatuur is vervallen, en de betrokken ICT-functionarissen en/of gebruikers voldoende maatregelen hebben genomen om herhaling te voorkomen, wordt de bewuste apparatuur weer uit quarantaine gehaald, ter beoordeling van ICTS. Indien hierover een meningsverschil ontstaat tussen belanghebbende en ICTS, dan kunnen beide de kwestie escaleren naar de UTSO, zijn beslissing is vervolgens bindend.

16

Incidenten.

16.1 In het geval van bedoeld of onbedoeld misbruik door een gebruiker, in de zin van de Gedragscode-ICT, of in het geval van verdenking van strafbare feiten, wordt zonodig en naar oordeel van CERT-UT, in het kader van deze policy de betreffende gebruiker zonder uitstel in het quarantaine domein geplaatst. De gebruiker wordt hiervan op de hoogte gesteld. 16.2 In het kader van een onderzoek door CERT-UT of Justitie kan worden afgeweken van het gestelde in artikel 16.1, in het belang van het desbetreffende onderzoek.


Pagina 19 van 31

5.

SP-5 Netwerk beveiliging

1

Kader


2

Doelstelling

De ICT infrastructuur van de UT is gebaseerd op actieve netwerkcomponenten, onderling verbonden door allerlei soorten van verbindingen, kabels zowel als draadloos. Daarop aangesloten zijn dan servers, werkplekken enzovoorts. Het draait in deze policy om de actieve netwerkcomponenten, zoals routers, switches, hubs, access-points e.d. Deze policy legt vast welke beveiligingsregels in acht moeten worden genomen ten aanzien van deze actieve netwerkcomponenten.

3


n.v.t.

4


4.1 Deze policy heeft betrekking op op alle actieve netwerkcomponenten binnen de UT, of deze nu centraal beheerd worden of niet. 4.2 Deze aanvullende policy is daarentegen alleen bestemd voor de ICT-functionarissen die betrokken zijn bij het beheer actieve netwerkcomponenten, of bij de controle daarop.

5

Uitgangspunten.

5.1 ICTS beheert de ICT infrastructuur van de UT, inclusief de actieve netwerkcomponenten. 5.2 Uitzonderingen op 5.1 worden door de UTSO geregistreerd. Toegelaten uitzonderingen zijn thans: o actieve netwerkcomponenten door gebruikers geplaatst binnen het campusdomein, zie SP-4 “Security Domeinen”; o actieve netwerkcomponenten door gebruikers geplaatst binnen specifieke onderzoeksdomeinen of het experimenten domein. Voor deze gevallen geldt wel onverkort dat de geplaatste componenten goedgekeurd moeten zijn door de directeur ICTS. 5.3 Ten aanzien van de uitzonderingen conform 5.2 wordt de gebruiker minimaal driejaarlijks gewezen op de Gedragscode-ICT, op eventuele aanvullende handreikingen inzake actieve netwerkcomponenten, en op de te volgen procedure bij veiligheidsincidenten. 5.4 Het gestelde in de Gedragscode-ICT ten aanzien van actieve netwerkcomponenten is onveranderd van toepassing: o

Het is de gebruiker niet toegestaan om andere netwerkapparatuur (zoals routers en switches) op het UTnet aan te sluiten dan waarvoor de directeur ICTS toestemming heeft gegeven.

5.5 Het gestelde in SP-2 “Verwerving” is onverkort van toepassing op de verwerving, installatie en beheer van actieve netwerkcomponenten. 5.6 Het gestelde in SP-3 “Toegangssleutels” is onveranderd van toepassing op het beheer van actieve netwerkcomponenten. Dit betreft dus zowel de uitgifte van toegangssleutels tot Security Policies UNIVERSITEIT TWENTE.

Pagina 20 van 31

die componenten, als de controle erop (met name op de wachtwoordbeveiliging) en de eventuele blokkering ervan. 5.7 Actieve netwerkcomponenten kunnen in de zin van SP-4 “Security Domeinen” beschouwd worden als servers.

6

Regels.

6.1 Bij de verwerving van actieve netwerkcomponenten conform SP-2 “Verwerving” moet speciale aandacht besteed worden aan de beveiliging van de toegang ertoe en het beheer ervan, door middel van SNMP of soortgelijke middelen. 6.2 Actieve netwerkcomponenten worden zoveel mogelijk alleen geplaatst in separaat, afgesloten ruimtes, waartoe alleen geautoriseerd personeel toegang heeft. Uitzonderingen, zoals groep switches op de kamers van selecte gebruikers, worden geregistreerd door de UTSO. 6.3 Bij de installatie van actieve netwerkcomponenten conform SP-2 “Verwerving” moet speciale aandacht besteed worden aan het in een beveiligde omgeving de-installeren, blokkeren of wijzigen van ongewenste standaard accounts/wachtwoorden en andere ongewenste instellingen / functionaliteiten. 6.4 Alleen daartoe aangewezen ICT-functionarissen krijgen toegang tot actieve netwerkcomponenten. 6.5 Alleen die processen (applicaties) op actieve netwerkcomponenten die noodzakelijk zijn voor veilig gebruik en beheer zijn gewenst. Alle andere processen worden uitgeschakeld. 6.6 Actieve netwerkcomponenten worden in de zin van SP-4 “Security Domeinen” zoveel mogelijk geplaatst in het beheerdomein, waar ze via hun back-end beheerd worden door daartoe geautoriseerde ICT-functionarissen. Actieve netwerkcomponenten hebben in de regel geen front-end functionaliteit, of deze is uitgeschakeld: de gebruiker hoeft immers niets te merken van de aanwezigheid en werking van actieve netwerkcomponenten, aangezien deze transparant zijn voor Internet verkeer. 6.7 De toegang tot actieve netwerkcomponenten in het beheerdomein vanuit het VPN domein is bij wijze van uitzondering toegestaan na overleg met opdrachtgever en UTSO, en alleen indien het voor de continuïteit van deze componenten noodzakelijk is om ook van buiten de UT beheer te kunnen plegen. De UTSO registreert deze uitzonderingen. 6.8 Ten aanzien van draadloze netwerken (WLAN, bluetooth e.d.) en de daarin gebruikte actieve netwerkcomponenten en randapparatuur geldt bovendien: o alleen ICTS mag binnen de UT campus draadloze netwerken in productie nemen: uitzonderingen alleen in overleg met de UTSO, die deze tevens registreert; o draadloze netwerken opereren conform best practices qua beveiliging: authenticatie en verkeer dienen daarbij in beginsel altijd veilig versleuteld te zijn; o draadloze netwerken mogen andere netwerken en/of apparatuur niet storen in de zin van functieverlies of –aantasting; o ICTS heeft te allen tijde het recht draadloze netwerken uit te (laten) schakelen indien deze niet voldoen aan de in deze policy gestelde bepalingen. 6.9 Een actieve netwerkcomponent, al dan niet centraal beheerd, die de werking van het UTnet of ICT-diensten binnen de UT significant verstoort, of die tot veiligheidsincidenten leidt of kan leiden, wordt door ICTS geïsoleerd of anderszins uitgeschakeld, tot de oorzaak van het probleem is opgeheven.


Pagina 21 van 31

7

Incidenten.

7.1 In het geval van misbruik door een gebruiker (ook zijnde een ICT-functionaris), in de zin van de Gedragscode-ICT, of in het geval van verdenking van strafbare feiten, worden zonodig en naar oordeel van CERT-UT, de toegangssleutels van de betreffende gebruiker zonder uitstel geblokkeerd. De gebruiker wordt hiervan op de hoogte gesteld. 7.2 In het kader van een onderzoek door CERT-UT of Justitie kan worden afgeweken van het gestelde in artikel 7.1, in het belang van het desbetreffende onderzoek.


Pagina 22 van 31

6.

SP-6 Server beveiliging

1

Kader


2

Doelstelling

De ICT infrastructuur van de UT is gebaseerd op servers, werkplekken enzovoorts, onderling verbonden door actieve netwerkcomponenten en allerlei soorten van verbindingen, kabels zowel als draadloos. Het draait in deze policy om voornoemde servers, wat in het algemeen systemen zijn bestemd voor gebruik door méér dan één gebruiker, die zich bevinden op een plek waar veilig beheer goed mogelijk is. Deze policy legt vast welke beveiligingsregels in acht moeten worden genomen ten aanzien van deze servers.

3


n.v.t.

4


4.1 Deze policy heeft betrekking op alle servers binnen de UT, of deze nu centraal beheerd worden of niet. 4.2 Deze aanvullende policy is daarentegen alleen bestemd voor de ICT-functionarissen die betrokken zijn bij het beheer van servers, of bij de controle daarop.

5.

Uitgangspunten.

5.1

ICTS beheert de ICT infrastructuur van de UT, inclusief de servers.

5.2 Uitzonderingen op 5.1 worden door de UTSO geregistreerd. Toegelaten uitzonderingen zijn thans: o servers door gebruikers geplaatst binnen het campusdomein, zie SP-4 “Security Domeinen”; o servers door gebruikers geplaatst binnen specifieke onderzoeksdomeinen of het experimenten domein. Voor deze gevallen geldt wel onverkort dat de geplaatste servers goedgekeurd moeten zijn door de directeur ICTS. 5.3 Ten aanzien van de uitzonderingen conform 5.2 wordt de gebruiker minimaal driejaarlijks gewezen op de Gedragscode-ICT, op eventuele aanvullende handreikingen inzake servers, en op de te volgen procedure bij veiligheidsincidenten. 5.4 Het gestelde in SP-2 “Verwerving” is onverkort van toepassing op de verwerving, installatie en beheer van servers. 5.5 Het gestelde in SP-3 “Toegangssleutels” is onveranderd van toepassing op het gebruik en beheer van servers. Dit betreft dus zowel de uitgifte van toegangssleutels tot die servers, als de controle erop (met name op de wachtwoordbeveiliging) en de eventuele blokkering ervan. 5.6 Servers kunnen in de zin van SP-4 “Security Domeinen” beschouwd worden als die systemen die de UT security domeinen met elkaar verbinden, of op zichzelf staan binnen een security domein. Security Policies UNIVERSITEIT TWENTE.

Pagina 23 van 31

6

Regels.

6.1 Bij de verwerving van servers conform SP-2 “Verwerving” moet speciale aandacht besteed worden aan de beveiliging van de toegang ertoe en het beheer ervan, evenals aan de opties voor functiescheiding ten aanzien van systeem-, applicatie- en databeheer. 6.2 Voor iedere server wordt een eindverantwoordelijke ICT-functionaris en een plaatsvervanger aangewezen. Deze zijn eerste aanspreekpunt voor systeembeheer en beveiliging van de server. De lijst van namen wordt intern bij ICTS bijgehouden. 6.3 Alle servers worden geplaatst in daarvoor ingerichte geconditioneerde computerruimten, zoals gesteld in SP-2 “Verwerving”, waartoe alleen geautoriseerd personeel toegang heeft. Uitzonderingen, zoals groep- of onderzoeksververs, worden gemaakt op expliciet verzoek van de opdrachtgever en geregistreerd door de UTSO. 6.4 Bij de installatie van servers conform SP-2 “Verwerving” moet speciale aandacht besteed worden aan het in een beveiligde omgeving de-installeren, blokkeren of wijzigen van ongewenste standaard accounts/wachtwoorden en andere ongewenste instellingen/functionaliteiten. 6.5 Eindgebruikers krijgen door middel van toegangssleutels zoveel mogelijk alleen toegang tot de relevante functionaliteit en applicaties op de servers voor zover nodig voor het uitvoeren van hun werkzaamheden. 6.6 Alleen daartoe aangewezen ICT-functionarissen krijgen door middel van toegangssleutels beheerstoegang tot servers. Beheerstaken mogen niet met gebruikersaccounts worden uitgevoerd, ook niet door tijdelijk de rechten van zulke accounts te verhogen. 6.7 Derden, zoals applicatie-ontwikkelaars of database-programmeurs, krijgen door middel van toegangssleutels uitsluitend toegang tot servers na expliciete toestemming van de opdrachtgever ten aanzien van de server in kwestie. Periodieke controle van autorisatie zorgt voor bewaking en het up-to-date houden van deze categorie gebruikers/beheerders. 6.8 Alleen die processen (applicaties) op servers die noodzakelijk zijn voor veilig gebruik en beheer zijn gewenst. Alle andere processen worden uitgeschakeld. 6.9 Servers worden in de zin van SP-4 “Security Domeinen” zoveel mogelijk geplaatst in het beheerdomein of het bedrijfskritische domein, waar ze opgenomen worden in het UT monitorsysteem en via hun back-end beheerd worden door daartoe geautoriseerde ICTfunctionarissen. Servers hebben in de regel wel een front-end, dat zich in het productiedomein bevindt en waarlangs het dagelijkse gebruik van de server plaatsvindt. 6.10 De toegang tot servers in het beheerdomein vanuit het VPN domein is bij wijze van uitzondering toegestaan na overleg met opdrachtgever en UTSO, en alleen indien het voor de continuïteit van deze servers noodzakelijk is om ook van buiten de UT beheer te kunnen plegen. De UTSO registreert deze uitzonderingen. 6.11 De voor een server verantwoordelijke ICT-functionaris draagt zorg voor het tijdig signaleren en in een zo vroeg mogelijk stadium verhelpen van, al dan niet door anderen (met name CERT-UT), geconstateerde beveiligingslekken of kwetsbaarheden. Tot die taak behoort minimaal het volgende: o bijhouden van relevante bronnen voor de server; o inrichten van automatische logging van gebruiks- en verkeersgegevens per account, voorzover nodig voor verantwoord systeembeheer en traceerbaarheid van beveiligingsincidenten; o updates/patches uitvoeren om de server up-to-date en zo veilig mogelijk te houden; Security Policies UNIVERSITEIT TWENTE.

Pagina 24 van 31

o

o

uitvoeren van beveiligingscontroles op de server, en handelen naar de resultaten, met name: - uitschakelen van niet gebruikte of onveilige processen; - beheren van toegangssleutels: verouderde en gecompromitteerde sleutels verwijderen of (tijdelijk) blokkeren; inlichten van CERT-UT over geconstateerde beveiligingslekken of kwetsbaarheden.

6.12 Aanwijzingen van CERT-UT ten aanzien van de veiligheid van servers worden door de verantwoordelijke ICT-functionarissen zonder uitstel in behandeling genomen en zo snel als verantwoord mogelijk is uitgevoerd. 6.13 Indien een op een server aanwezige applicatie de werking van het UTnet of ICTdiensten binnen de UT significant verstoort, of tot veiligheidsincidenten leidt of kan leiden, heeft de verantwoordelijke ICT-functionaris de plicht om deze situatie zonder uitstel te verhelpen. 6.14 Een server, al dan niet centraal beheerd, die de werking van het UTnet of ICTdiensten binnen de UT significant verstoort, of die tot veiligheidsincidenten leidt of kan leiden, wordt door ICTS geïsoleerd of anderszins uitgeschakeld, tot de oorzaak van het probleem is opgeheven.

7

Incidenten.



Pagina 25 van 31

7.

SP-7 Werkplek beveiliging

1

Kader


2

Doelstelling

De ICT infrastructuur van de UT is gebaseerd op servers, werkplekken enzovoorts, onderling verbonden door actieve netwerkcomponenten en allerlei soorten van verbindingen, kabels zowel als draadloos. Het draait in deze policy om voornoemde werkplekken, wat in het algemeen systemen zijn bestemd voor gebruik door één gebruiker, die zich bevinden in veelal open omgevingen, zoals kamers in gebouwen zonder toegangscontrole. Ook mobiele werkplekken zijn inbegrepen. Deze policy legt vast welke beveiligingsregels in acht moeten worden genomen ten aanzien van deze werkplekken.

3


n.v.t.

4


4.1 Deze policy heeft betrekking op alle werkplekken binnen de UT, of deze nu centraal beheerd worden of niet. 4.2 Deze aanvullende policy is daarentegen alleen bestemd voor de ICT-functionarissen die betrokken zijn bij het beheer van werkplekken, of bij de controle daarop.

5

Uitgangspunten.

5.1

ICTS beheert de ICT infrastructuur van de UT, inclusief de werkplekken.

5.2 Uitzonderingen op 5.1 worden door de UTSO in algemene zin geregistreerd. Toegelaten uitzonderingen zijn thans: o alle werkplekken binnen het campus en VPN domein, zie SP-4 “Security Domeinen”; o werkplekken door gebruikers geplaatst binnen specifieke onderzoeksdomeinen of het experimenten domein; o mobiele werkplekken in eigendom van gebruikers (inclusief derden en gasten), voor zover toegelaten door ICTS in de zin van het verstrekken van toegangssleutels voor deze werkplekken. 5.3 Ten aanzien van de uitzonderingen conform 5.2 wordt de gebruiker minimaal driejaarlijks expliciet gewezen op de Gedragscode-ICT, op eventuele aanvullende handreikingen inzake werkplekken, en op de te volgen procedure bij veiligheidsincidenten. 5.4 Het gestelde in SP-2 “Verwerving” is onverkort van toepassing op de verwerving, installatie en beheer van UT werkplekken. 5.5 Het gestelde in SP-3 “Toegangssleutels” is onveranderd van toepassing op het gebruik en beheer van werkplekken. Dit betreft dus zowel de uitgifte van toegangssleutels tot die werkplekken (login accounts), als de controle erop (met name op de wachtwoordbeveiliging) en de eventuele blokkering ervan. Voor het gebruik van werkplekken geldt bovendien dat, eveneens in de zin van SP-3 “Toegangssleutels”, de gebruiker toegangssleutels verstrekt kan krijgen om toegang te krijgen tot specifieke security domeinen en waar nodig aanvullende diensten. Security Policies UNIVERSITEIT TWENTE.

Pagina 26 van 31

5.6 Werkplekken kunnen in de zin van SP-4 “Security Domeinen” beschouwd worden als systemen die zich altijd maar in één UT security domein tegelijk mogen bevinden.

6

Regels.

6.1 Bij de verwerving van werkplekken conform SP-2 “Verwerving” moet speciale aandacht besteed worden aan de beveiliging van het beheer ervan, en met name en nadruk aan middelen om de werkplek zo eenvoudig mogelijk veilig te houden. 6.2 Voor iedere verzameling werkplekken wordt een eindverantwoordelijke ICTfunctionaris en een plaatsvervanger aangewezen. Deze zijn eerste aanspreekpunt voor systeembeheer en beveiliging van de werkplek. De lijst van namen wordt intern bij ICTS bijgehouden. 6.3 Werkplekken worden in de regel geplaatst op onbeveiligde locaties. De ingestelde beveiliging dient hiermee rekening te houden, om ongeautoriseerd gebruik zoveel mogelijk te voorkomen. Hierbij dient gedacht te worden aan uiteenlopende maatregelen als fysieke beveiliging (kabelslot, vastschroeven e.d.) en functionele beveiliging (screensaver met wachtwoord e.d.). 6.4 Bij de installatie van werkplekken conform SP-2 “Verwerving” moet speciale aandacht besteed worden aan het in een beveiligde omgeving de-installeren, blokkeren of wijzigen van ongewenste standaard accounts/wachtwoorden en andere ongewenste instellingen/functionaliteiten. 6.5 Eindgebruikers krijgen door middel van toegangssleutels alleen toegang tot de relevante functionaliteit en applicaties op de werkplekken voor het uitvoeren van hun werkzaamheden. Eindgebruikers krijgen, indien mogelijk, geen zogenaamde superuser, administrator of root accounts. 6.6. Alleen daartoe aangewezen ICT-functionarissen krijgen door middel van toegangssleutels beheerstoegang tot werkplekken. 6.7 Alleen die processen (applicaties) op werkplekken die noodzakelijk zijn voor veilig gebruik en beheer zijn in beginsel gewenst. Andere processen kunnen door ICTfunctionarissen worden geblokkeerd of uitgeschakeld, indien dat de functionaliteit en beveiliging ten goede komt. 6.9 UT werkplekken zijn in de zin van SP-4 “Security Domeinen” vooral te vinden in het productie domein, het experimenten domein en de onderzoeksdomeinen. Werkplekken, anders dan server consoles, zijn niet toegelaten in het beheerdomein en het bedrijfskritische domein. 6.10 UT werkplekken worden beheerd door ICT-functionarissen uitsluitend vanaf het domein waarin ze zich bevinden. 6.11 Ten aanzien van het gebruik van eigen werkplekken (zoals eigen laptops) binnen de UT wordt een richtlijn opgesteld en minimaal driejaarlijks verstrekt aan de gebruikers daarvan. Daarin is minimaal opgenomen, inclusief tekst, uitleg en concrete tips: o De gebruiker verplicht zich zijn/haar werkplek qua beveiliging up-to-date te houden, bijvoorbeeld door de standaard beschikbare auto-update faciliteiten te activeren; o de gebruiker verplicht zich om de standaard firewall van zijn/haar werkplek(ken) te activeren, of een betere firewall; o de gebruiker verplicht zich om up-to-date anti-malware software op zijn/haar werkplek te activeren, teneinde virussen, wormen en andere infecties zowel inkomend als uitgaand onschadelijk te maken;


Pagina 27 van 31

o o o o

de gebruiker verplicht zich om hen die geen werknemers of studenten zijn van de UT, geen toegang tot het UTnet te verlenen via de werkplek; de UT behoudt zich het recht voor de gebruiker te verplichten om op zijn/haar werkplek aanvullende software te installeren ter verbetering van de beveiliging; (potentiële) security incidenten worden door de gebruiker zonder uitstel bij CERT-UT gemeld; indien CERT-UT het redelijke vermoeden heeft dat de gebruiker zich niet houdt aan de Gedragscode-ICT of de voornoemde regels, zal de UTnet toegang gedeactiveerd worden of beperkt in functionaliteit, hangende nader onderzoek. De gebruiker wordt hiervan op de hoogte gesteld.

6.12 De voor een UT werkplek verantwoordelijke ICT-functionaris draagt zorg voor het tijdig signaleren en in een zo vroeg mogelijk stadium verhelpen van, al dan niet door anderen (met name CERT-UT), geconstateerde beveiligingslekken of kwetsbaarheden. Tot die taak behoort minimaal het volgende: o bijhouden van relevante bronnen per verzameling werkplekken; o updates/patches uitvoeren om de werkplek up-to-date en zo veilig mogelijk te houden; o routinematig uitvoeren van beveiligingscontroles op de werkplek, en handelen naar de resultaten, met name: o blokkeren of uitschakelen van expliciet onveilige processen; o beheren van toegangssleutels: verouderde en gecompromitteerde sleutels verwijderen of (tijdelijk) blokkeren; o inlichten van CERT-UT over geconstateerde beveiligingslekken of kwetsbaarheden. 6.13 Aanwijzingen van CERT-UT ten aanzien van de veiligheid van werkplekken worden door de verantwoordelijke ICT-functionarissen zonder uitstel in behandeling genomen en tijdig uitgevoerd. 6.14 Indien een op een UT werkplek aanwezige applicatie de werking van het UTnet of ICT-diensten binnen de UT significant verstoort, of tot veiligheidsincidenten leidt of kan leiden, heeft de verantwoordelijke ICT-functionaris de plicht om deze situatie zonder uitstel te verhelpen. 6.15 Een werkplek, al dan niet centraal beheerd, die de werking van het UTnet of ICTdiensten binnen de UT significant verstoort, of die tot veiligheidsincidenten leidt of kan leiden, wordt door ICTS geïsoleerd of anderszins uitgeschakeld, tot de oorzaak van het probleem is opgeheven.

7

Incidenten.



Pagina 28 van 31

8.

SP-8 E-mail beveiliging

1

Kader

Bij het lezen van SP-8 wordt eveneens verwacht dat de lezer de inleidende policy SP-1 kent en ernaar handelt.

2

Doelstelling

E-mail communicatie wordt gezien als directe ondersteuning van het primaire proces en de overige processen van de UT en dient daarom veilig en betrouwbaar te zijn. Deze policy richt zich daarbij op het aspect veiligheid. Deze policy legt de uitgangspunten voor veilig e-mail beheer vast en geeft aan hoe in dat kader omgegaan moet worden met uitgaande en inkomende e-mail en met eventuele incidenten.

3


a. Mail-account: een geregistreerde rol in een ICT-voorziening ten behoeve van e-mail gebruik. Een mail-account heeft altijd een accountnaam (een persoon of een functie), en is voorzien van een beveiliging op basis van een wachtwoord. Een mail-account is een bijzondere vorm van een ICT-account, zie SP-3 “Toegangssleutels”. b. Schadelijke content {in e-mail}: ongewenste of schadelijke inhoud c.q. attachment van e-mail, zij het in de vorm van virussen, wormen, spam, phishing, of anderszins, dit ter beoordeling van ICTS.

4


4.1 Deze policy heeft betrekking op alle door de UT beheerde e-mail voorzieningen en is daardoor van toepassing op alle e-mail die legitiem verstuurd wordt vanaf door de UT beheerde maildomeinen, waaronder met name @utwente.nl , evenals op alle andere e-mail die wordt verstuurd of ontvangen met behulp van UT e-mail voorzieningen. 4.2 Deze aanvullende policy is daarentegen alleen bestemd voor de ICT-functionarissen die betrokken zijn bij het beheer van UT e-mail voorzieningen, of bij de controle daarop.

5

Uitgangspunten.

5.1 De naamgeving van alle UT e-mailadressen moet voldoen aan de “UT e-mail naming conventions” zoals te vinden op de UT beveiligingswebsite. 5.2 ICTS verstrekt aan alle werknemers en studenten van de UT een primair persoonlijk e-mailadres binnen @utwente.nl . ICTS mag deze op verzoek uitbreiden met aliassen, indien daar een redelijk belang mee gediend is. Ook derden met toegang tot de UT ICTvoorzieningen krijgen een persoonlijk e-mail adres. 5.3 ICTS verstrekt functionele, niet persoonlijke, e-mailadressen binnen @utwente.nl naar behoefte. 5.4 Binnen andere UT maildomeinen dan @utwente.nl is de houder van dat domein verantwoordelijk voor de uitgifte van e-mailadressen. Deze policy blijft voor die maildomeinen evenwel mutatis mutandis expliciet van kracht. 5.5 Bij de uitgifte van e-mailadressen conform 5.2-5.4 wordt de ontvanger expliciet gewezen op de Gedragscode-ICT, op eventuele aanvullende handreikingen inzake e-mail, en op de te volgen procedure bij veiligheidsincidenten. Security Policies UNIVERSITEIT TWENTE.

Pagina 29 van 31

5.6 Het gestelde in SP-3 “Toegangssleutels” is onveranderd van toepassing op de e-mailaccounts gebruikt voor e-mail op basis van ICT-voorzieningen van de UT. Dit betreft dus zowel de uitgifte van zulke e-mail-accounts, als de controle erop (met name op de wachtwoordbeveiliging) en de eventuele blokkering ervan. 5.7 Het gestelde in de Gedragscode-ICT ten aanzien van e-mail is onveranderd van toepassing: o De gebruiker dient bij gebruik van de e-mailvoorziening van de Universiteit Twente als afzender een e-mailadres te gebruiken dat door de Universiteit Twente aan de gebruiker is verstrekt. Het is de gebruiker niet toegestaan het e-mailadres ter beschikking te stellen aan anderen of een persoonlijk toegekend e-mailadres van een ander gebruiken.

6

o

Indien een gebruiker geautoriseerd is een functioneel e-mailadres als afzender te gebruiken dan is de Gedragscode-ICT eveneens onverminderd van kracht voor het gebruik van dat e-mailadres.

o

Het is de gebruiker niet toegestaan om voor anderen bestemde e-mailberichten te lezen, copiëren, wijzigen of wissen, tenzij daarvoor expliciet door de geadresseerde toestemming is verleend of het plaatsvindt in het kader van het gerichte onderzoek als in artikel {relevante nummers} is behandeld.

o

E-mailberichten van en naar de Universiteit Twente worden gecontroleerd op malware (virussen, en dergelijke) en spam. Zonodig worden besmette berichten verwijderd of ontdaan van malware.

Uitgaande e-mail.

6.1 Al het uitgaande UT e-mail verkeer moet geleid worden via de centrale emailvoorziening van de UT. 6.2 Uitgaande UT e-mail wordt alleen na controle op authenticatie doorgelaten, bijvoorbeeld op basis van toegangssleutels (mail-accounts). De toegelaten authenticatiemechanismen worden door ICTS vastgesteld. 6.3 ICTS draagt er zorg voor dat alle e-mail afkomstig van de UT, en om het even of deze intern of extern gericht is, automatisch gecontroleerd wordt op de aanwezigheid van schadelijke content. Indien nodig wordt de gehele e-mail verwijderd, of alleen de schadelijke attachments. Van dat feit mag ICTS de afzender per e-mail op de hoogte stellen. 6.4 Het aantal geadresseerden in één e-mail is aan een redelijke bovengrens gebonden. Bij overschrijding daarvan wordt de e-mail niet doorgelaten. Van dat feit stelt ICTS de afzender per e-mail op de hoogte. 6.5 De grootte van één e-mail is aan een redelijke bovengrens gebonden. Bij overschrijding daarvan wordt de e-mail niet doorgelaten. Van dat feit stelt ICTS de afzender per e-mail op de hoogte. 6.6 ICTS stelt de methodiek en actuele normen op voor de genoemde protocollen. Deze worden beschikbaar gesteld op de UT beveiligingswebsite. De UTSO is hiervoor bevraagbaar.

7

Inkomende e-mail.

7.1 ICTS behoudt zich het recht voor om inkomende e-mail automatisch te weigeren op basis van een “blacklist”. Indien nodig kunnen hierop in een “whitelist" expliciet uitzonderingen worden gemaakt.


Pagina 30 van 31

7.2 ICTS draagt er zorg voor dat inkomende e-mail automatisch gecontroleerd wordt op de aanwezigheid van schadelijke content. Indien nodig wordt de gehele e-mail verwijderd, of alleen de schadelijke attachments. Van dat feit mag ICTS de geadresseerde per e-mail op de hoogte stellen. 7.3 Is er in het kader van 7.2 sprake van spam, dan streeft ICTS ernaar deze e-mail te markeren als (mogelijke) spam en deze dan aan de hand van een individuele gebruikersinstelling door te sturen of te verwijderen. 7.4 De grootte van één e-mail is aan een redelijke bovengrens gebonden. Bij overschrijding daarvan wordt de e-mail verwijderd. Van dat feit mag ICTS de afzender en/of de geadresseerde per e-mail op de hoogte stellen. 7.5 ICTS stelt de methodiek en actuele normen op voor de genoemde protocollen. Deze worden beschikbaar gesteld op de UT beveiligingswebsite. De UTSO is hiervoor bevraagbaar.

8

Incidenten.

8.1 In het geval van misbruik door een gebruiker (ook zijnde een ICT-functionaris), in de zin van de Gedragscode-ICT, of in het geval van verdenking van strafbare feiten, worden zonodig en naar oordeel van CERT-UT, in het kader van deze policy de e-mail(accounts) van de betreffende gebruiker zonder uitstel geblokkeerd. De gebruiker wordt hiervan op de hoogte gesteld. 8.2 In het kader van een onderzoek door CERT-UT of Justitie kan worden afgeweken van het gestelde in artikel 8.1, in het belang van het desbetreffende onderzoek.


Pagina 31 van 31

1. SP-1 Inleiding tot de Security Policies

Recommend Documents