Beleidsnotitie Informatiebeveiliging

Beleidsnotitie Informatiebeveiliging Radboud Universiteit Nijmegen

2013-2016

Versie: 1.2

Inhoudsopgave 1. 2. 3. 4.

Inleiding.......................................................................................................................................... 3 Doel en uitgangspunten ................................................................................................................. 3 Reikwijdte en doelgroep ................................................................................................................ 4 Beveiligingsorganisatie .................................................................................................................. 4 4.1 Uitgangspunten ................................................................................................................. 4 4.2 Uitwerking: functies en organen ....................................................................................... 4 5. Beveiliging van informatie .............................................................................................................. 6 5.1 Toewijzing van informatie en bedrijfsmiddelen ................................................................. 6 5.2 Classificatie van informatie en bedrijfsmiddelen .............................................................. 6 6. Eisen en randvoorwaarden bij het gebruik van universitaire ICT-voorzieningen .......................... 7 6.1 Opleiding van gebruikers van informatiesystemen ........................................................... 7 6.2 Gebruiksreglement ........................................................................................................... 7 6.3 Beveiligingseisen in werkinstructies ................................................................................. 7 6.4 Reactie op beveiligingsincidenten .................................................................................... 7 6.5 Beveiliging van thuiswerkplekken ..................................................................................... 7 6.6 Bewustwording op het gebied van informatiebeveiliging.................................................. 8 7. Fysieke beveiliging ........................................................................................................................ 8 7.1 ICT-beveiliging in publieke ruimten .................................................................................. 8 7.2 ICT-beveiliging in niet-publieke ruimten ........................................................................... 8 7.3 ICT-beveiliging in beveiligde ruimten................................................................................ 8 7.4 Beveiliging van draagbare systemen en voorzieningen ................................................... 8 7.5 Beveiliging van netwerkvoorzieningen ............................................................................. 9 8. Communicatie- en bedieningsprocessen ...................................................................................... 9 8.1 Procedures en verantwoordelijkheden ............................................................................. 9 8.2 Bescherming tegen kwaadaardige software..................................................................... 9 8.3 Behandeling en beveiliging van media ............................................................................. 9 8.4 Uitwisseling van informatie en software ........................................................................... 9 9. Toegangsbeveiliging .................................................................................................................... 10 9.1 Wie heeft toegang?......................................................................................................... 10 9.2 Beheer van toegangsrechten ......................................................................................... 10 9.3 Toegangsbeveiliging voor netwerken ............................................................................. 11 9.4 Authenticatie ................................................................................................................... 11 10. Ontwikkeling en onderhoud van systemen .................................................................................. 11 10.1 Beveiligingseisen voor systemen en/of diensten ............................................................ 11 10.2 Beveiliging bij ontwikkel- en ondersteuningsprocessen ................................................. 11 11. Continuïteitsmanagement ............................................................................................................ 12 12. Naleving ....................................................................................................................................... 12 12.1 Wettelijke voorschriften................................................................................................... 12 12.2 Beveiligingsbeleid ........................................................................................................... 12 12.3 Audits .............................................................................................................................. 12 12.4 Sancties .......................................................................................................................... 12 BIJLAGE 1: Definities ............................................................................................................................ 13 BIJLAGE 2: Wachtwoordbeleid ............................................................................................................. 14 BIJLAGE 3: CERT-RU: doelstelling en meldingsprocedure.................................................................. 15

Voor deze beleidsnotitie is gebruik gemaakt van het Model Informatiebeveiligingsbeleid van het Hoger Onderwijs van SURF-IBO en van de Code voor Informatiebeveiliging (ISO27001/ISO27002).

Beleidsnotitie Informatiebeveiliging RU 2013-2016

07-11-2012

2

1. Inleiding Onder informatiebeveiliging wordt verstaan: het treffen en onderhouden van een samenhangend pakket aan maatregelen om de kwaliteitsaspecten beschikbaarheid, integriteit en vertrouwelijkheid van de informatievoorziening te garanderen. Omschrijving van de kwaliteitsaspecten: • Beschikbaarheid: de mate waarin gegevens of functionaliteit op de juiste momenten beschikbaar zijn voor gebruikers; • Integriteit: de mate waarin gegevens of functionaliteit juist ingevuld zijn; • Vertrouwelijkheid: de mate waarin de toegang tot gegevens of functionaliteit beperkt is tot dege1 nen die daartoe bevoegd zijn. Belangrijk is hierbij de controleerbaarheid van de maatregelen die genomen zijn om deze kwaliteitsaspecten te borgen. Informatiebeveiliging is een beleidsverantwoordelijkheid van het college van bestuur. In het onderzoek- en onderwijsveld en in de bedrijfsvoering is sprake van toenemende afhankelijkheid van informatie- en computersystemen, waardoor nieuwe kwetsbaarheden en risico’s kunnen optreden. Het is daarom van belang hiertegen adequate maatregelen te nemen. Immers, onvoldoende informatiebeveiliging kan leiden tot onacceptabele risico’s bij de uitvoering van onderwijs en onderzoek en bij de bedrijfsvoering van de instelling. Incidenten en inbreuken in deze processen kunnen leiden tot financiële schades en imagoschade. Bij onderzoek naar informatiebeveiligingsincidenten blijkt keer op keer de menselijke factor de zwakste schakel. Er dient daarom constante aandacht te zijn voor het verhogen van het beveiligingsbewustzijn van zowel medewerkers als studenten. Informatiebeveiliging is niet af te dwingen met technische of organisatorische maatregelen alleen.

2. Doel en uitgangspunten Het doel van het beveiligingsbeleid is de vertrouwelijkheid, integriteit en beschikbaarheid van gegevens en informatie op een zodanig niveau te brengen (en te houden) dat de productie en bedrijfsvoering van de Radboud Universiteit Nijmegen gewaarborgd is. Noodzakelijk daarvoor zijn het vergroten van de bewustwording van het belang van beveiligingsmaatregelen bij RU-medewerkers en studenten en het inrichten en het in stand houden van een organisatorische en technische infrastructuur, die stabiel en betrouwbaar is v.w.b. de informatiebeveiliging. Als daarvoor de nodige maatregelen zijn getroffen, speelt de universiteit ook beter in op de steeds strengere wettelijke voorschriften voor de bescherming van privacygevoelige gegevens. Het informatiebeveiligingsbeleid moet verder aansluiten op het informatiebeveiligingsbeleid van onze internetprovider, SURFnet en op dat van onze partner op de campus, het UMC St Radboud. Het college van bestuur heeft de volgende uitgangspunten vastgesteld voor de informatiebeveiliging van de RU Nijmegen: a) Het beveiligingsbeleid op hoofdlijnen wordt vastgesteld door het college van bestuur. b) Het beveiligingsbeleid geldt voor alle gebruikers van de ICT-infrastructuur van de Radboud Universiteit. c) Het beveiligingsbeleid heeft betrekking op alle informatie en alle netwerk- en systeemvoorzieningen die onder verantwoordelijkheid van de RU Nijmegen vallen. Voor het omgaan met die informatie en voor de toegang vanuit en naar externe netwerken en systeemvoorzieningen worden door de Radboud Universiteit specifieke beveiligingseisen vastgesteld. De netwerken van de RU Nijmegen en het UMC St Radboud vormen gezamenlijk de datacommunicatie-infrastructuur van de campus Heijendaal. Ook gelet op de organisatorische verwevenheid van beide organisaties zal het beveiligingsbeleid van de RU Nijmegen nauw worden afgestemd met dat van het UMC St Radboud. 1

Overbeek, Roos LindMigreen, Spruit: Informatiebeveiliging onder controle, ISBN 90-430-0289-5

Beleidsnotitie Informatiebeveiliging RU 2013-2016

07-11-2012

3

d) De lijnorganisatie is verantwoordelijk voor de naleving en de handhaving van het beveiligingsbeleid. De directeur informatievoorziening is verantwoordelijk voor de ontwikkeling van het beveiligingsbeleid, voor adequate communicatie naar de lijnorganisatie daarover en voor het toezicht op de naleving daarvan. e) Het beveiligingsniveau zal regelmatig worden getoetst. Uitgangspunt bij de ontwikkeling van het beleid is de Code voor Informatiebeveiliging (ISO27001/ISO27002).

3. Reikwijdte en doelgroep Het college van bestuur heeft met de uitgangspunten vastgelegd dat het informatiebeveiligingsbeleid geldt voor alle gebruikers van de ICT-infrastructuur van de RU Nijmegen en betrekking heeft op alle netwerk- en systeemvoorzieningen die onder verantwoordelijkheid van de RU Nijmegen vallen. Dit betekent dat het beveiligingsbeleid van toepassing is op alle studenten, medewerkers en derden zodra en zolang zij gebruik maken van ICT-infrastructuur of gegevens van de RU Nijmegen. Speciale aandacht moet er komen voor medewerkers en studenten van de universiteit die hun werkplek in het netwerk van het UMC St Radboud hebben. Zij mogen geen nadelige gevolgen ondervinden van eventuele verschillen in het informatiebeveiligingsbeleid van de Radboud Universiteit Nijmegen en het UMC St Radboud, of de uitwerking daarvan.

4. Beveiligingsorganisatie 4.1

Uitgangspunten • • • •

4.2

Iedere Faculteit en ieder Cluster is zelf verantwoordelijk voor de uitvoering van het informatie- en ICT-beveiligingsbeleid binnen de daarvoor vastgestelde kaders (doorlooptijd, functionaliteit etc), voor zover dit de eigen ICT-bedrijfsmiddelen en gegevens betreft.. De directeur informatievoorziening is verantwoordelijk voor de coördinatie van het beveiligingsbeleid binnen de RU Nijmegen, voor adequate communicatie naar de lijnorganisatie daarover en voor het toezicht op de naleving ervan. Voor informatiebeveiligingszaken fungeren de bedrijfsvoerders van de Faculteiten en Clusters als aanspreekpunt namens hun eenheid. Daaruit voortvloeiende werkzaamheden kunnen zo nodig gedelegeerd worden. De informatiebeveiligingscoördinator stemt het beveiligingsbeleid en de uitvoering daarvan binnen de RU Nijmegen af met de beveiligingscoördinator van het UMC St Radboud.

Uitwerking: functies en organen De beveiligingsorganisatie bestaat uit de volgende functies/organen: 1. Informatiebeveiligingscoördinator RU Nijmegen Het UCI levert op dit moment de informatiebeveiligingscoördinator voor de RU Nijmegen. Deze werkt onder aansturing van de directeur informatievoorziening. In de blauwdruk voor de nieuwe ICT-organisatie, die in het najaar van 2012 beschikbaar komt, zal aangegeven worden waar de informatiebeveiligingscoördinator in de toekomst organisatorisch ondergebracht zal worden. •

De informatiebeveiligingscoördinator werkt op de volgende resultaatgebieden: o Het leveren van bijdragen aan de ontwikkeling van informatiebeveiligingsbeleid en coördinatie van de uitvoering, om zo het informatie- en ICT-beveiligingsbeleid van de RU Nijmegen gestalte te geven. o Het implementeren van het beveiligingsbeleid, o.a. door het verstrekken van RUbrede richtlijnen. Dit in overeenstemming met het door het CvB aan de directeur informatievoorziening verstrekte mandaat. o Het toezien op de naleving van het beveiligingsbeleid. In dit kader o.a. het doen uitvoeren van security audits. Deze security audits zullen worden uitgevoerd door of via de IAD

Beleidsnotitie Informatiebeveiliging RU 2013-2016

07-11-2012

4

•

De informatiebeveiligingscoördinator rapporteert elk kwartaal (en tussentijds indien de situatie dat vereist) aan het college van bestuur over relevante beveiligingsincidenten of –ontwikkelingen binnen of buiten de universiteit

2. CERT-RU Het CERT-RU, het Computer Emergency Response Team van onze universiteit, bewaakt de afhandeling van ICT-beveiligingsincidenten binnen de RU Nijmegen. Indien de impact van een incident zodanig is dat de bedrijfsvoering van de universiteit in het geding zou kunnen komen, wordt het CMT/CvB ingelicht. Het CERT is operationeel sinds december 2001 en heeft verschillende voorlichtende en adviserende taken. De taakstelling van het CERT-RU en de meldingsprocedure is in bijlage 3 opgenomen. Leden van het CERT-RU zijn beveiligingsexperts uit GDI, UCI en andere universitaire eenheden en de informatiebeveiligingscoördinator van de RU Nijmegen. 3. Decentrale beveiligingscontactpersonen (Domain Security Contacts). Domain Security Contacts zijn aanspreekpunt van de Faculteiten, Clusters en informatiedomeinen voor alle beveiligingszaken. Het zijn bij voorkeur de directeuren bedrijfsvoering en de domeineigenaren. Taken en verantwoordelijkheden van een Domain Security Contact zijn: • fungeren als aanspreekpunt inzake beveiligingskwesties voor o.a. de informatiebeveiligingscoördinator en het CERT • coördineren van de beveiligingsclassificaties binnen het eigen aandachtsgebied • adviseren van de decanen over informatiebeveiliging • toezien op de naleving van beveiligingsrichtlijnen binnen het eigen aandachtsgebied Reguliere afstemming tussen de decentrale beveiligingscontactpersonen en de informatiebeveiligingscoördinator vindt bij voorkeur plaats in reeds bestaande overlegorganen zoals het SGI en het RU-directeurenoverleg. 4. Architectuur- en beveiligingsraad Deze raad bestaat uit de ICT- en netwerkarchitecten en de Informatiebeveiligingscoördinatoren van de RU Nijmegen en het UMC St Radboud. De taken van de architectuur- en beveiligingsraad zijn: - het opstellen van beleidskaders voor de ICT-infrastructuur - het definiëren van referentiearchitecturen en beveiligingsstandaarden - het toetsen van wijzigingen op de infrastructuur - (on)gevraagd adviseren over architectuur- en beveiligingszaken 5. Interne Accountantsdienst De interne accountantsdienst heeft een controletaak op het gebied van de beveiliging. In het kader van deze taak zullen periodiek beveiligingsaudits worden uitgevoerd. De interne accountantsdienst zal zelf geen technische tests uitvoeren, maar kan daar wel opdracht toe geven. Het auditprogramma zal worden opgesteld in overleg met de informatiebeveiligingscoördinator. Het leidende principe hierbij is dat systemen die zijn geclassificeerd en waarbij de vereiste maatregelen zijn genomen, binnen een jaar na het aanbrengen van de maatregelen geaudit worden.

Beleidsnotitie Informatiebeveiliging RU 2013-2016

07-11-2012

5

5. Beveiliging van informatie 5.1

Toewijzing van informatie en bedrijfsmiddelen Alle belangrijke informatie en bijbehorende ICT-bedrijfsmiddelen 2 zijn aan een eigenaar toegewezen. De eigenaar is verantwoordelijk voor het implementeren en handhaven van de beveiligingsmaatregelen. De implementatie kan gemandateerd worden aan een houder (voor definitie, zie bijlage1) of beheerder; de eigenaar blijft echter verantwoordelijk. De beschrijving van de toewijzing en de mandatering dient ten behoeve van audits te allen tijde up-to-date te zijn.

5.2

Classificatie van informatie en bedrijfsmiddelen Informatie en bedrijfsmiddelen dienen te worden geclassificeerd om de beveiligingsbehoefte, de prioriteit en de mate van beveiliging aan te geven. Classificatie vindt momenteel plaats op het niveau van ICT-bedrijfsmiddel (= informatiesysteem) volgens een vastgestelde classificatiemethode, beschreven in de Classificatiehandleiding. Deze classificatiemethode wordt aangeduid als BIV-classificatie, waarbij de afkorting staat voor Beschikbaarheid, Integriteit en Vertrouwelijkheid. De classificatie wordt uitgevoerd onder verantwoordelijkheid van de eigenaar van het bedrijfsmiddel/de bedrijfsinformatie. Omdat ook buiten de formele informatiesystemen met informatie gewerkt wordt, moet de informatie zelf geclassificeerd worden in plaats van de informatiesystemen. Daarom moet er vóór 1 januari 2014 een methodiek ingevoerd zijn om informatie te classificeren. Om voldoende onderscheid te kunnen maken worden de beveiligingsaspecten Beschikbaarheid, Integriteit en Vertrouwelijkheid (voor een definitie van de begrippen zie de bijlage) in drie klassen gebruikt: standaard: de informatie en het bijbehorende systeem behoeven eenvoudige beschermende maatregelen; het risico van schade 3 door misbruik is relatief beperkt en heeft geen verstrekkende gevolgen. gevoelig: de informatie en het bijbehorende systeem behoeven extra beveiligingsmaatregelen boven op de standaardmaatregelen omdat het niet kunnen voldoen aan de eisen in één of meer van de BIV-aspecten gedurende maximaal 24 uur tot substantiële schade (tussen € 10.000 en € 150.000) kan leiden. Dit bedrag is inclusief imago- en volgschade. kritisch: de informatie en het bijbehorende systeem moeten worden voorzien van een set van uitgebalanceerde, strenge beveiligingsmaatregelen aangezien het niet kunnen voldoen aan de eisen in één of meer van de BIV-aspecten gedurende maximaal 24 uur tot substantiële schade ( > € 150.000) kan leiden. Dit bedrag is inclusief imago- en volgschade. Van elke classificatie wordt ten behoeve van (externe) audits nauwkeurig vastgelegd: • wie de classificatie heeft uitgevoerd • de overwegingen om tot een classificatie te komen • de uiteindelijke classificatie, zoals vastgesteld door de informatiebeveiligingscoördinator Op grond van de uiteindelijke classificatie dient de bijbehorende set van maatregelen te worden geïmplementeerd. Als hiervan afgeweken wordt, dient een beschrijving van deze afwijking en een motivatie daarvan toegevoegd te worden aan de classificatie.

2 Enkele voorbeelden van bedrijfsmiddelen verband houdend met informatie- en communicatiesystemen zijn: informatie, zoals databases, gegevensbestanden en continuïteitsplannen; software; fysieke bedrijfsmiddelen en diensten (communicatiediensten). 3

Onder schade wordt ook verstaan: - overtreding van wettelijke bepalingen en voorschriften - overtreding van door de RU uitgevaardigde bepalingen en voorschriften - imagoschade voor de RU - directe financiële schade ten gevolge van verloren gaan van middelen en/of geld - indirecte financiële schade ten gevolge van verloren gaan van resultaten van personele inzet

Beleidsnotitie Informatiebeveiliging RU 2013-2016

07-11-2012

6

Als laatste stap in de classificatie kan een audit door de IAD worden uitgevoerd. Deze audit heeft vooral tot doel na te gaan of alle stappen in het proces goed doorlopen zijn. Tevens wordt de motivatie om af te wijken van de voorgeschreven maatregelen getoetst. De classificatie dient opnieuw uitgevoerd te worden wanneer belangrijke wijzigingen zijn aangebracht aan het ICT-bedrijfsmiddel (zoals een nieuwe versie van de software of vervanging van de hardware) en/of de daarin opgenomen informatie, maar in ieder geval maximaal vier jaar na de vorige classificatie.

6. Eisen en randvoorwaarden bij het gebruik van universitaire ICTvoorzieningen Aan universitaire ICT-voorzieningen worden beveiligingseisen gesteld om het risico op diefstal, fraude of misbruik van deze voorzieningen en informatie te verminderen. Zowel medewerkers en studenten als derden krijgen met deze eisen te maken.

6.1

Opleiding van gebruikers van informatiesystemen Om het gebruik van ICT-voorzieningen correct en met inachtneming van vigerende beveiligingsmaatregelen te laten plaatsvinden, moeten degenen die gebruik maken van informatiesystemen en netwerkdiensten adequaat worden opgeleid en geïnstrueerd.De eigenaren van deze ICT-bedrijfsmiddelen dienen daarvoor zorg te dragen.

6.2

Gebruiksreglement In het kader van het informatiebeveiligingsbeleid heeft het college van bestuur een gebruiksreglement universitaire ICT-voorzieningen vastgesteld. Dit reglement geldt voor iedereen die gebruik maakt van ICT-voorzieningen van de RU Nijmegen. Het Gebruiksreglement wordt bij indiensttreding aan iedere medewerker verstrekt en is beschikbaar via Radboudnet.

6.3

Beveiligingseisen in werkinstructies Voor medewerkers met een specifieke taakstelling op het gebied van informatiebeveiliging dienen in de werkinstructies de verantwoordelijkheden op het terrein van informatiebeveiliging expliciet te zijn vastgelegd.

6.4

Reactie op beveiligingsincidenten Er is een RU-brede procedure voor het melden van beveiligingsincidenten. Gebruikers van ICT-voorzieningen op de campus dienen daarmee bekend te zijn. Informatie over lopende beveiligingsincidenten wordt strikt vertrouwelijk behandeld en alleen aan direct betrokkenen beschikbaar gesteld.

6.5

Beveiliging van thuiswerkplekken Thuiswerkplekken die een verbinding met het niet publiek toegankelijke deel van het RUnetwerk willen opzetten, dienen adequaat beveiligd te zijn tegen schadelijke software (virussen, wormen, malware) en ongewenste invloeden van buitenaf. Welke aanvullende maatregelen hiertegen genomen moeten worden (actuele virusscanner, firewall e.d.) is afhankelijk van de bescherming die het besturingssysteem van de (thuis)werkplek zelf al biedt. Verbinding met het RU-netwerk kan alleen via een beveiligde en versleutelde VPN-verbinding 4 plaatsvinden. De directeur ICT draagt er zorg voor dat de gebruikers van thuiswerkplekken die een verbinding met het niet publiek toegankelijke deel van het RU-netwerk willen opzetten, adequaat worden geïnformeerd over de te treffen beveiligingsmaatregelen. 4

VPN (Virtual Private Network): een manier om een versleutelde, niet afluisterbare, verbinding te maken, b.v. van een thuis-pc naar het RU-netwerk

Beleidsnotitie Informatiebeveiliging RU 2013-2016

07-11-2012

7

6.6

Bewustwording op het gebied van informatiebeveiliging De mens is meestal de zwakste schakel bij het ontstaan van beveiligingsincidenten. Technische of organisatorische maatregelen kunnen daarom dit soort incidenten nooit helemaal voorkomen. Er moet dan ook constant aandacht zijn voor het verhogen van het beveiligingsbewustzijn van onze studenten, medewerkers en derden die gebruik maken van onze voorzieningen. Voor wat betreft de studenten zijn de onderwijsdirecteuren er uiteindelijk verantwoordelijk voor dat het beveiligingsbewustzijn op peil gebracht wordt en blijft, voor de medewerkers en derden is dat de lijnorganisatie. Zowel de onderwijsdirecteuren als de lijnorganisatie mogen daarbij ondersteuning verwachten van de informatiebeveiligingsorganisatie van de universiteit

7. Fysieke beveiliging Doel van de fysieke beveiliging is het voorkomen van ongeautoriseerde toegang, teneinde schade aan ICT-voorzieningen in gebouwen en schade aan of verstoring van informatie te voorkomen. Onder fysieke toegang tot informatie wordt ook gerekend het meelezen van beeldschermen en het kunnen kennisnemen van niet voor de lezer bedoelde informatie op papier. Medewerkers moeten gestimuleerd worden om er een “clean desk” en “clean screen” op na te houden als elementaire maatregelen ter bescherming van informatie. Te treffen maatregelen zijn in overeenstemming met de classificatie van de informatie- en bedrijfsmiddelen op de betreffende locatie.

7.1

ICT-beveiliging in publieke ruimten Via ICT-voorzieningen die in publieke ruimten zijn opgesteld, dient men in principe alleen toegang te krijgen tot publiek toegankelijke informatiesystemen en netwerkdiensten van de RU Nijmegen. Toegang tot netwerkdiensten vanuit publieke ruimtes mag alleen verkregen worden na positieve identificatie via minimaal gebruikersnaam en wachtwoord. Inloggegevens moeten gedurende minimaal drie maanden bewaard blijven.

7.2

ICT-beveiliging in niet-publieke ruimten Het management dat verantwoordelijk is voor deze ruimten draagt zorg voor een adequate, fysieke toegangscontrole tot niet-publieke ruimten. De pc’s, terminals, printers e.d. in niet-publieke ruimten, zoals kantoorruimten, dienen alleen gebruikt te kunnen worden door geautoriseerde personen werkzaam bij dan wel ingehuurd door de RU Nijmegen.

7.3

ICT-beveiliging in beveiligde ruimten ICT-voorzieningen met de classificatie kritisch of gevoelig dienen in beveiligde ruimten te worden geplaatst. De toegang tot beveiligde computerruimten dient afgeschermd te zijn door adequate, fysieke barrières. De toegang tot beveiligde computerruimten is voorbehouden aan een beperkte groep geautoriseerde personen. Er dient een toegangsregistratie te worden bijgehouden. Reserveapparatuur en media met reservekopieën dienen op veilige afstand te worden bewaard, om te voorkomen dat ze beschadigd raken wanneer zich een calamiteit voordoet.

7.4

Beveiliging van draagbare systemen en voorzieningen Draagbare systemen en voorzieningen dienen zodanig beveiligd te zijn dat het niet mogelijk is dat ongeautoriseerden hiervan gebruik kunnen maken. Ook moet het niet mogelijk zijn dat ongeautoriseerden wederrechtelijk vertrouwelijke (bedrijfs)informatie kunnen verkrijgen door misbruik, diefstal, interceptie van dataverkeer enzovoorts. Gegevens uit informatiesystemen met de vertrouwelijkheidsclassificatie kritisch mogen niet op draagbare voorzieningen (b.v. laptops, tablets, usb-sticks, e.d.) worden opgeslagen.

Beleidsnotitie Informatiebeveiliging RU 2013-2016

07-11-2012

8

7.5

Beveiliging en beheer van fysieke netwerkvoorzieningen Tot de netwerkinfrastructuur, de netwerkdiensten en de informatie die over het netwerk van de RU Nijmegen wordt getransporteerd, kan alleen geautoriseerde toegang worden verkregen. Netwerkbeveiliging is een verantwoordelijkheid van de directeur ICT.

8. Communicatie- en bedieningsprocessen Het doel van communicatie- en bedieningsprocessen is het garanderen van een correcte en veilige bediening van de ICT-voorzieningen, het beheer ervan en van de daarin opgenomen informatie.

8.1

Procedures en verantwoordelijkheden Functiescheiding moet gericht en bewust ingezet worden om het risico van vergissingen, nalatigheid en opzettelijk misbruik van systemen te verminderen. Procedures voor computer- en netwerkbeheer dienen gedocumenteerd en onderhouden te worden en formeel door het management te worden vastgesteld. Alle kritische en gevoelige ICT-voorzieningen (hard- en software) zijn onderhevig aan een formele wijzigingsprocedure. Deze heeft als doelstelling te waarborgen dat enkel en alleen goedgekeurde wijzigingen worden doorgevoerd.

8.2

Bescherming tegen kwaadaardige software De RU Nijmegen dient over voorzieningen te beschikken voor adequate en actuele bescherming tegen ongewenste invloeden van buitenaf en kwaadaardige software, zoals virussen, wormen, Trojaanse paarden e.d. Dit geldt voor alle servers en werkstations die toegang hebben tot het campusnetwerk. Ook thuiswerkplekken die een verbinding met het RU-netwerk opzetten en laptops die aangesloten worden op het campusnetwerk dienen adequaat beveiligd te zijn. Er wordt alleen gebruik gemaakt van actuele versies van software die nog door de leverancier ondersteund worden.

8.3

Behandeling en beveiliging van media Er dienen procedures te zijn voor het beheer van media die worden afgevoerd wanneer die niet langer nodig zijn. Dit moet opeen veilige en beveiligde manier gebeuren. Ook dient de daarop oorspronkelijk aanwezige informatie afdoende verwijderd te zijn. Er dienen duidelijke voorschriften te zijn met betrekking tot de behandeling en opslag van informatie (bewaartermijnen, beveiligde opslag etc.) op die media. In het bijzonder dienen wettelijke bewaartermijnen in acht genomen te worden. Verder dient opgeslagen informatie voor de duur van de voorgeschreven bewaring gegarandeerd toegankelijk te blijven.

8.4

Uitwisseling van informatie en software Uitwisseling van vertrouwelijke informatie en/of intern ontwikkelde programmatuur met externe organisaties geschiedt enkel op basis van een schriftelijke overeenkomst, waarin o.a. de overeengekomen beveiligingsmaatregelen zijn opgenomen. Vertrouwelijke informatie dient ook bij transport beveiligd te zijn tegen misbruik, manipulatie en inzage door onbevoegden. Gegevens uit informatiesystemen met de vertrouwelijkheidsclassificatie kritisch mogen niet in de (public) cloud worden ondergebracht. De eigenaar van gegevens blijft verantwoordelijk voor die gegevens, ook als die aan anderen worden verstrekt.

Beleidsnotitie Informatiebeveiliging RU 2013-2016

07-11-2012

9

9. Toegangsbeveiliging Het doel van toegangsbeveiliging is het beschermen van ICT-diensten en (digitale) informatiebronnen tegen ongeoorloofde toegang, wijziging, vernietiging en openbaring.

9.1

Wie heeft toegang? Alle medewerkers en studenten kunnen op basis van functionele behoeften/vereisten toegang krijgen tot ICT-diensten en (digitale) informatiebronnen van de RU Nijmegen. Voor derden is expliciete toestemming van het management vereist voor toegang tot de niet publiek toegankelijke informatiesystemen en netwerkdiensten. De eigenaar van een dienst is verantwoordelijk voor de toegangsbeveiliging, en daarmee voor het toegangsbeleid en de autorisatie van de te verlenen toegangsrechten. Hierbij dient uiteraard rekening te worden gehouden met universiteitsbrede afspraken en contractuele en wettelijke vereisten. Het beleid voor de toegangsbeveiliging dient in overeenstemming te zijn met de classificatie van informatie/bedrijfsmiddelen, zoals beschreven in de Classificatiehandleiding. Informatie over het gebruik van de ICT-voorzieningen en –diensten dient te worden vastgelegd om vast te kunnen stellen of wordt voldaan aan het toegangsbeleid en de beveiligingsnormen.

9.2

Beheer van toegangsrechten Voor de toegang tot alle ICT-diensten en informatiesystemen moeten toegangsrechten verleend worden op basis van het principe dat die rechten nodig zijn voor de uitoefening van de functie of toegewezen taken. In de notitie “Identity- en Access Management” zijn hier de volgende principes voor geformuleerd: 1. Veilige en controleerbare toegang tot ICT-faciliteiten valt onder verantwoordelijkheid van het Centrale Identity en Access Management. 2. Iedere universitaire eenheid maakt gebruik van het Centrale Identity en Access Management. 3. Enkel universitaire eenheden en SURFnet mogen gebruik maken van het Centrale Identity en Access Management. 4. De Radboud Universiteit Nijmegen legt gegevens over medewerkers, studenten en derden vast in eigen bronsystemen. De enige bron voor elektronische identiteiten van deze groepen gebruikers is het Centrale Identity en Access Management. 5. De lifecycle van elektronische identiteiten is gebaseerd op de bedrijfsregels die opgesteld zijn door de verantwoordelijke domeinen voor medewerkers, studenten en derden. Voor medewerkers/studenten van andere HO-instellingen wordt aangesloten bij de lifecycle van die HO-instelling. De toewijzing en het gebruik van speciale bevoegdheden (o.a. toegang tot systeem- en netwerksoftware) dient plaats te vinden onder verantwoordelijkheid van het ICT-management. Een belangrijk aspect bij het realiseren van Identity en Access Management volgens de genoemde principes, is de borging in de organisatie. Daarvoor zijn de volgende verantwoordelijkheden benoemd: a) Het bewaken van de realisatie van een goed Identity en Access Management (governance) valt onder de verantwoordelijkheid van het college van bestuur en is gedelegeerd naar de directeur informatievoorziening. b) Periodieke revisie en onderhoud van de implementatie van IAM vallen onder de verantwoordelijkheid van de afdeling CIM en de directeur Informatievoorziening. c) De naleving van de afspraken in het kader van IAM en de controle daarop vallen uiteen in verschillende verantwoordelijken te weten: i. RU-breed toezicht en naleving door functioneel beheer IAM; ii. Beveiligingsbeleid waarbinnen IAM opereert door de Informatiebeveiligingscoördinator; iii. Een jaarlijkse audit als onderdeel van de audit cyclus van het informatie beveiligingsbeleid door de Interne Accountancy Dienst (IAD).

Beleidsnotitie Informatiebeveiliging RU 2013-2016

07-11-2012

10

d) Op het niet naleven van de afspraken in het kader van IAM kunnen sancties volgen. Individuele sancties vallen onder de verantwoordelijkheid van de lijnmanager waar het medewerkers of externen betreft en van onderwijsdirecteuren waar het studenten en cursisten betreft. e) De informatiebeveiligingscoördinator is verantwoordelijk voor het beheer van afwijkingen en uitzonderingen die op basis van advies van functioneel beheer IAM, na een risico analyse, worden vastgelegd en uitgevoerd. f) Voor iedere applicatie, service of dataopslag (bestand, map) dient een verantwoordelijke persoon te zijn. g) Leidinggevenden moeten akkoord geven voor rechten binnen applicaties of voor toegang tot data en/of services anders dan die waarvoor dit centraal geregeld is via het centraal Access Management. Dat betekent dat deze leidinggevende dan ook verantwoordelijk is voor het gebruik van deze applicaties, data en/of services in overeenstemming met de autorisatierichtlijnen.

9.3

Toegangsbeveiliging voor netwerken Gebruikers mogen via de universitaire netwerken van de RU Nijmegen alleen toegang krijgen tot die ICT-diensten, waarvoor zij specifiek geautoriseerd zijn. In de universitaire netwerken dienen maatregelen te worden getroffen om groepen ICTdiensten, gebruikers en informatiesystemen te scheiden, ter bescherming van ongeautoriseerde toegang door andere netwerkgebruikers.

9.4

Authenticatie Voor de toegang tot met wachtwoorden beveiligde RU-brede applicaties is een ‘RU-brede password policy’ vastgesteld. Gebruikers dienen de hierin vastgelegde beveiligingsregels in acht te nemen bij het kiezen en gebruik van wachtwoorden. Deze policy is opgenomen in een bijlage. Authenticatie op basis van wachtwoorden wordt niet langer in alle gevallen voldoende veilig geacht. Voor toegang tot gegevens die op vertrouwelijkheid kritisch scoren zal deze geleidelijk worden vervangen door sterke authenticatie, waarbij sterke authenticatie een combinatie is van minimaal twee van de drie volgende elementen: • Kennis (bijvoorbeeld een password) • Bezit (bijvoorbeeld een smartcard) • Eigenschap (bijvoorbeeld een vingerafdruk)

10.

Ontwikkeling en onderhoud van systemen

Bij de ontwikkeling en het onderhoud van systemen is het doel van de beveiliging te waarborgen dat ICT-beveiliging wordt ingebouwd en gehandhaafd.

10.1

Beveiligingseisen voor systemen en/of diensten In de eisen ten aanzien van nieuwe systemen en diensten of uitbreidingen van bestaande systemen en diensten dienen de beveiligingseisen te worden onderkend en goedgekeurd voordat de systemen worden ontwikkeld, aangepast of aangeschaft. De beveiligingseisen dienen in overeenstemming te zijn met contractuele en wettelijke vereisten, alsmede met de uit de classificatie voortvloeiende eisen.

10.2

Beveiliging bij ontwikkel- en ondersteuningsprocessen Voor de implementatie van wijzigingen geldt een formeel proces voor het managen van wijzigingen. De beveiliging van applicatiesoftware en informatie van RU-brede informatiesystemen en ICT-diensten dient gewaarborgd te worden. Daartoe dienen ontwikkel- en (acceptatie)testomgevingen gescheiden te zijn van productieomgevingen.

Beleidsnotitie Informatiebeveiliging RU 2013-2016

07-11-2012

11

11.

Continuïteitsmanagement

ICT-diensten en informatiesystemen, waarvan de beschikbaarheid als kritisch is geclassificeerd, dienen te beschikken over een continuïteitsplan. Continuïteitsplannen dienen regelmatig te worden getest en te worden geactualiseerd, om zeker te stellen dat ze up-to-date en effectief zijn. De continuïteitsplannen dienen in overeenstemming te zijn met het RU-calamiteitenplan.

12.

Naleving

12.1

Wettelijke voorschriften Het ontwerp, de bediening, het gebruik en het beheer van ICT-diensten en informatiesystemen dienen te voldoen aan wettelijke en contractuele vereisten.

12.2

Beveiligingsbeleid Het management dient, als onderdeel van zijn dagelijkse werk, ervoor te zorgen dat alle beveiligingsprocedures binnen zijn verantwoordelijkheidsgebied worden uitgevoerd en nageleefd om te waarborgen dat wordt voldaan aan het beveiligingsbeleid en de beveiligingsnormen.

12.3

Audits Systemen die op één van de BIV-aspecten hoger scoren dan standaard moeten minimaal één maal per drie jaar een ICT-audit ondergaan. Audits die uitgevoerd worden op operationele systemen dienen zorgvuldig te worden ingepland en goedgekeurd, om het risico van verstoring van de bedrijfsprocessen te minimaliseren. Informatiesystemen die zijn geclassificeerd en waarbij de benodigde beveiligingsmaatregelen zijn aangebracht, dienen binnen één jaar na het aanbrengen van de maatregelen te worden geauditeerd.

12.4

Sancties Misbruik van ICT-voorzieningen zal leiden tot disciplinaire maatregelen en/of aangifte bij bevoegde autoriteiten. De maatregelen die genomen worden hangen af van de relatie tussen de overtreder en de universiteit (medewerker, student, externe) en van de aard van het misbruik.

Beleidsnotitie Informatiebeveiliging RU 2013-2016

07-11-2012

12

BIJLAGE 1: Definities In deze bijlage wordt een aantal belangrijke begrippen in het kader van de informatiebeveiliging nader gedefinieerd.

Informatiebeveiliging Onder informatiebeveiliging wordt verstaan het treffen en onderhouden van een samenhangend pakket aan maatregelen om de kwaliteitsaspecten beschikbaarheid, integriteit en vertrouwelijkheid van de informatievoorziening te garanderen.

Informatiebeveiligingsbeleid Het geldende beleid voor de beveiliging van de gegevensverwerking voor de informatievoorziening met al zijn elementen (personen, apparatuur, programmatuur, gegevens en noodzakelijke infrastructuur).

Eigendom van informatie en informatiesystemen Aan informatie en -systemen zijn de volgende rollen en taken verbonden: •

Eigenaar Bij de eigenaar berust de volledige beslissingsbevoegdheid over de informatie of het informatiesysteem. Hij waakt over de mogelijkheid tot autorisatie, zorgt voor opleiding en training van degenen die met de informatie of het informatiesysteem werken en draagt zorg voor het beheer. De eigenaar delegeert waar nodig en mogelijk taken en verantwoordelijkheden aan de houder.

•

Houder De houder heeft de informatie of het informatiesysteem feitelijk in bewaring. Hij kent de autorisaties toe en is verantwoordelijk voor een juiste toepassing van de beveiligingsmaatregelen

•

Beheerder De beheerder neemt de noodzakelijke maatregelen om het door de eigenaar en/of houder vastgestelde niveau van beveiliging te garanderen. Hij ondersteunt de gebruiker bij de functionele toepassing van het informatiesysteem en ziet toe op een juiste werking van het informatiesysteem en de beveiligingshulpmiddelen.

•

Gebruiker De gebruiker maakt van de informatie of het informatiesysteem op de voorgeschreven en juiste wijze gebruik. Hij meldt mogelijke onregelmatigheden aan de beheerder als het om het informatiesysteem gaat en aan de houder als het om de informatie gaat.

Beveiligingsaspecten •

Beschikbaarheid Onder beschikbaarheid wordt verstaan: het waarborgen dat geautoriseerde gebruikers op de juiste momenten tijdig toegang hebben tot informatie en aanverwante bedrijfsmiddelen.

•

Integriteit Onder integriteit wordt verstaan: het waarborgen van de correctheid en de volledigheid van informatie en verwerking.

•

Vertrouwelijkheid Onder vertrouwelijkheid wordt verstaan: waarborgen dat informatie alleen toegankelijk is voor degenen die hiertoe geautoriseerd zijn.

Beleidsnotitie Informatiebeveiliging RU 2013-2016

07-11-2012

13

Beveiligingsklassen •

Standaard De kwalificatie standaard betekent dat de betreffende informatie of het betreffende systeem voor die beveiligingsaspecten moet voldoen aan de minimale eisen die aan alle gegevens en infrastructuur gesteld worden.

•

Gevoelig De kwalificatie gevoelig houdt in dat verstoring, maar niet zeer ernstig of onomkeerbaar, optreedt in een van de primaire processen omdat de beschikbaarheid, integriteit of vertrouwelijkheid van de betreffende informatie in het geding is.

•

Kritisch De kwalificatie kritisch wordt gereserveerd voor die informatie waarbij aantasting van beschikbaarheid, integriteit dan wel vertrouwelijkheid een zeer ernstige of onomkeerbare verstoring van een van de primaire processen veroorzaakt of een wetsovertreding inhoudt.

Baseline beveiliging De baseline beveiliging is het geheel van maatregelen dat RU-breed getroffen dient te worden, ook al geeft de classificatie op dat moment geen aanleiding tot extra maatregelen.

BIJLAGE 2: Wachtwoordbeleid Het RU-wachtwoordbeleid wordt als volgt ingevuld: • • • • • • • • • • •

5

De minimale lengte van een wachtwoord is acht posities Het wachtwoord moet bestaan uit een combinatie van cijfers, letters en leestekens Gebruik geen bestaande woorden en namen (bijvoorbeeld januari1) Wachtwoord en inlognaam/accountnaam mogen niet hetzelfde zijn Wachtwoorden dienen één keer per jaar gewijzigd te worden Gebruik niet hetzelfde wachtwoord voor systemen/applicaties die in verschillende beveiligingsniveaus vallen De laatste drie gebruikte wachtwoorden mogen niet hergebruikt worden Beheerders dienen periodiek de password files m.b.v. een crack-tool te controleren op makkelijk kraakbare wachtwoorden 5 Wachtwoorden dienen versleuteld met een onomkeerbaar algoritme opgeslagen te worden5 Na drie opeenvolgende mislukte inlogpogingen binnen vijf minuten moet het account minimaal 30 minuten geblokkeerd worden5 Wachtwoorden mogen niet onversleuteld over het netwerk gezonden worden5

Geen eis aan gebruikers maar aan (systeem)beheerders

Beleidsnotitie Informatiebeveiliging RU 2013-2016

07-11-2012

14

BIJLAGE 3: CERT-RU: doelstelling en meldingsprocedure Het doel van CERT-RU is bij te dragen aan een goede beveiliging van ICT-voorzieningen van de RU Nijmegen. CERT-RU coördineert de preventie en oplossing van beveiligingsincidenten op het gebied van computer- en netwerkbeveiliging waarmee de Radboud Universiteit zich geconfronteerd ziet. CERT-RU doet dat door de volgende diensten te bieden: • Coördinatie van beveiligingsincidenten: het inrichten en operationeel houden van een meldpunt voor beveiligingsincidenten, het coördineren en bewaken van een adequate afhandeling daarvan, inclusief escalatie naar de lijnorganisatie of het CMT/CvB • Het geven van voorlichting over preventie van incidenten en actuele bedreigingen. Hieronder valt ook het doorgeven van waarschuwingen van andere CERT’s en het informeren van het management van de universiteit bij landelijke of grootschalige malware-uitbraken over de stand van zaken bij de RU Nijmegen • Advisering ten aanzien van RU ICT-beveiligingsaspecten en het beveiligingsbeleid. CERT-RU kan gevraagd en ongevraagd advies uitbrengen om RU-specifieke beveiligingsproblemen te helpen oplossen dan wel verminderen Voor medewerkers en studenten van de RU geldt als algemene stelregel dat zij beveiligingsincidenten het beste per e-mail kunnen melden bij de betreffende lokale ondersteuningsgroep. Deze meldt het indien nodig bij CERT-RU. In dringende gevallen kunnen incidenten het beste telefonisch bij de betreffende lokale ondersteuningsgroep gemeld worden. Is de lokale ondersteuningsgroep niet te bereiken, dan kan rechtsreeks contact opgenomen worden met CERT-RU ([email protected]). De meldingen die hier binnen komen worden direct bekeken, 7 dagen per week, hoewel de meeste incidenten tijdens kantooruren worden afgehandeld. In dringende gevallen is de CERT-RU helpdesk bereikbaar op tel. 024-3610818. De CERT-RU helpdesk is 7 dagen per week, 24 uur per dag bereikbaar Bij aanmelding van een incident is het van groot belang om zoveel mogelijk relevante informatie door te geven, zoals: • datum/tijd/plaats van het incident • heeft het incident zich meermalen voorgedaan en zo ja hoe vaak • betrokken IP-nummers/systemen (slachtoffer zowel als vermoedelijke veroorzaker) • betrokken URL's • eventuele (fout)meldingen • (een uitdraai van) logfiles CERT-RU behandelt meldingen vertrouwelijk en verstrekt alleen informatie over beveiligingsincidenten als dat noodzakelijk en relevant is voor de oplossing van een incident. .

Beleidsnotitie Informatiebeveiliging RU 2013-2016

07-11-2012

15