Informatiebeveiligingsbeleid Minimale Maatregelen Universiteit Leiden
Versie 5 8 juli 2004
Inhoudsopgave 1
Inleiding _________________________________________ 3 1.1 1.2
2
Uitgangspunten _____________________________________________ 3 Minimumniveau van beveiliging _________________________________ 3
Minimale set maatregelen ___________________________ 4 2.1 2.2 2.3 2.4 2.5 2.6 2.7 2.8
Organisatie _________________________________________________ 4 Classificatie en beheer van bedrijfsmiddelen _______________________ 4 Personeel en Gebruikers ______________________________________ 4 Fysieke beveiliging ___________________________________________ 4 Beheer van communicatie- en bedieningsprocessen_________________ 5 Toegangsbeveiliging _________________________________________ 5 Ontwikkeling en onderhoud van systemen_________________________ 6 Controle en naleving _________________________________________ 8
Pagina 2 van 8
Het College van Bestuur besluit, 1
Inleiding
Dit document beschrijft de minimale maatregelen, die nodig zijn om universiteitsbreed een minimaal niveau van informatiebeveiliging te kunnen waarborgen. Deze set minimale maatregelen is van kracht geworden op 8 juli 2004 en kan worden aangehaald als “Minimale maatregelen Informatiebeveiliging Universiteit Leiden”.
1.1
Uitgangspunten
De verzameling minimum maatregelen zijn gebaseerd op: • Informatiebeveiligingsbeleid Universiteit Leiden; • Besluiten genomen in het overleg van de Security Manager met de Security Officers. • In de markt geaccepteerde opvattingen. Op dit moment wordt hiervoor de IT baseline Protection Manual van het Duitse Bundesamt für Sicherheit in der Informationstechnik genomen De directeur of bestuurder verantwoordelijk voor informatiebeveiliging verantwoordelijk voor invoering van de minimale maatregelen in zijn eenheid.
1.2
is
Minimumniveau van beveiliging
Voor het samenstellen van een niveau van informatiebeveiliging met welke methode dan ook, is een overzicht nodig van de Informatiesystemen, hun doel en hun eigenaar. Het maken en bijhouden van zo een overzicht is dan ook een onderdeel van de minimale set maatregelen. Met dit overzicht in de hand kan uit één van de beschikbare standaardwerken een “common-sense” minimum niveau worden vastgesteld. Daarnaast vormen security incidenten aanwijzingen waar voor de Universiteit Leiden specifieke kwetsbaarheden liggen. Voor de jaarlijkse aanpassing van het minimum niveau wordt dan ook gebruik gemaakt van een analyse van de incidenten uit de periode voorafgaand aan het vaststellen van het minimumniveau. Het juist en volledig registreren van security incidenten is onderdeel van de minimum set maatregelen.
Pagina 3 van 8
2 2.1
Minimale set maatregelen Organisatie 1. De verschillende rollen als gedefinieerd in het informatiebeveiligingsbeleid zijn belegd. 2. Minimaal zijn de functieomschrijvingen voorzien van een overzicht van werkafspraken waarin aangegeven is welke taken op het gebied informatiebeveiliging verricht moeten worden door de persoon die de functie uitoefent. 3. Er is functiescheiding aangebracht tussen ontwikkeling, exploitatie en gebruik
van informatiesystemen enerzijds en auditing van [de beveiliging / het correct functioneren van] informatiesystemen anderzijds.
2.2
Classificatie en beheer van bedrijfsmiddelen 4. Er wordt een CMDB onderhouden t.b.v. alle IT componenten die onderdeel uitmaken van de informatievoorziening van de Universiteit en van belang zijn voor het goed functioneren hiervan. 5. Er is een administratie waarin wordt bijgehouden welke informatiesystemen aanwezig zijn, voor welk doel en wie de eigenaar is. Tevens bevat deze administratie referenties naar de CMDB en de risicoaanduiding van de verwerkte informatie (zie de bijlage “Risicobeheersing”). 6. Er wordt een sluitend licentiebeheer gevoerd. 7. Er is een overzicht aanwezig van alle kabels, leidingen en luchtkanalen in het gebouw die relevant zijn voor de informatievoorziening.
2.3
Personeel en Gebruikers 8. Het bestaan en de consequenties van de Gedragscode voor Computergebruik wordt regelmatig onder de aandacht gebracht van alle gebruikers van Informatievoorzieningen van de Universiteit Leiden. In ieder geval wanneer medewerkers in dienst treden en wanneer studenten een studie beginnen aan de Universiteit Leiden. 9. Er is een exit-procedure waarmee toegangsrechten tot informatievoorzieningen van medewerkers en studenten die de faculteit/het onderdeel verlaten worden ingetrokken.
2.4
Fysieke beveiliging 10. Deuren van werkkamers en serverruimten zijn afsluitbaar middels een slot van goede kwaliteit (2 sterren of hoger) voorzover deze ruimten toegang bieden tot informatie en/of informatiesystemen waarop dit beleid van toepassing is. Voor deze afsluitbare ruimten is een sluitend sleutelplan aanwezig. 11. Beveiligde ruimten waarin universitaire gegevens worden verwerkt zoals serverruimten en archiefruimten zijn niet als zodanig herkenbaar. 12. Serverruimten bevatten geen ramen. Indien dit onvermijdelijk is zijn de ramen voorzien van inbraakwerend glas en een ondoorzichtige folie, tenzij de ramen Pagina 4 van 8
praktisch gezien onbereikbaar zijn voor personen (bijvoorbeeld aan de buitenzijde op de tiende verdieping van een gebouw). In geen geval mogen de ramen worden geopend. 13. Serverruimten beschikken over klimaatcontrole, die een temperatuur van maximaal +30 graden Celsius handhaaft en een relatieve luchtvochtigheid van minstens 30% en maximaal 70%. 14. Het klimaat in serverruimten wordt regelmatig, bij voorkeur automatisch, gecontroleerd en indien de temperatuur en/of de luchtvochtigheid de in het vorige artikel gestelde waarden te buiten gaat wordt corrigerende actie ondernomen. 15. Serverruimten beschikken over een UPS die korte schommelingen (omlaag én omhoog) in, en uitval tot tenminste 30 minuten van, de netspanning kan opvangen. 16. Archiefruimten voor opslag van papieren documenten alsmede serverruimten zijn tenminste voorzien van rookmelders en handblussers.
2.5
Beheer van communicatie- en bedieningsprocessen 17. Ten behoeve van gevoelige communicatie en communicatie van gevoelige gegevens is voorzien in een versleutelde e-mail voorziening. Tenminste het personeel van de afdeling P&O (indien aanwezig) en het hogere management zijn op de hoogte gebracht van het bestaan van deze voorziening en de risico’s van het niet gebruiken van deze voorziening. 18. Wachtwoorden worden nergens in leesbare tekst opgeslagen. 19. Er dient gebruik gemaakt te worden van veilige netwerkprotocollen zoals ssh, https, imaps, pop3s etc. ter vervanging van hun niet-versleutelde tegenhangers.
2.6
Toegangsbeveiliging 20. Iedere eenheid heeft een concrete beschrijving van rollen en verantwoordelijkheden van de verschillende (soorten) gebruikers van een informatiesysteem. 21. De beschrijving van de rollen en verantwoordelijkheden van de verschillende (soorten) gebruikers van een informatiesysteem onderkent minimaal het verschil tussen invoerende, controlerende, beherende en autoriserende werkzaamheden. 22. Archiefruimten die persoonsgegevens bevatten zijn slechts toegankelijk voor direct betrokken medewerkers. Anderen dan medewerkers van de betrokken ICT-afdeling mogen slechts toegang hebben tot serverruimten onder begeleiding van een medewerker van die ICT afdeling. 23. Werkstations zijn voorzien van een schermbeveiliging die na maximaal 5 minuten inactiviteit wordt geactiveerd. De eindgebruiker mag deze beveiliging niet kunnen uitschakelen.
Pagina 5 van 8
24. Het lokale netwerk is onderverdeeld in aparte en gescheiden segmenten voor tenminste “gebruikers”, “servers en beheer”, “dmz” en “extern. Deze scheiding wordt d.m.v. netwerk filtering afgedwongen. 25. Verkeer tussen de verschillende segmenten is “denied by default”. Dit geldt ook voor uitgaand verkeer. Mailverkeer (SMTP) mag slechts verlopen via expliciet daartoe aangewezen mail-relays. 26. Er is een administratie waarin wordt bijgehouden welke verkeersstromen worden toegestaan en waarom. 27. Ethernet netwerken dienen gebruik te maken van switch-port beveiliging tegen spoofing van MAC-adressen.
2.7
Ontwikkeling en onderhoud van systemen 28. Alle informatiesystemen hebben een eigenaar, functioneel beheerder en een technisch beheerder. Systemen bieden niet meer functionaliteit dan strikt noodzakelijk. 29. Vóór invoering van een nieuw informatiesysteem wordt bepaald in welke risicocategorie de informatie die dit systeem verwerkt valt en wat de invloed van dit nieuwe systeem is op de bestaande omgeving. Hiervoor geldt de methodiek en de drie categorieën ‘basis risico’, ‘verhoogd risico’ en ‘zeer hoog risico’ zoals gedefinieerd in de bijlage “Risicobeheersing”. 30. Voor systemen die in de categorie ‘basis risico’ vallen volstaan de minimale maatregelen. 31. Voor systemen die in de categorie ‘verhoogd risico’ vallen wordt een aanvullende risicoanalyse uitgevoerd. Deze analyse kan door de eigenaar, in samenwerking met de ICT afdeling worden uitgevoerd. 32. Voor systemen die informatie verwerken uit de categorie ‘zeer hoog risico’ wordt een aanvullende risico analyse uitgevoerd door, dan wel onder toezicht van, een beveiligingsexpert. 33. Informatie uit de categorie ‘verhoogd risico’ of ‘zeer hoog risico’ mag niet gebruikt worden voor testdoeleinden. 34. Alle server-, cliënt- en netwerksystemen die informatie verwerken uit de categorie ‘basis risico’ voldoen aan de relevante "level-1" baselines als gedefinieerd door het CIS (Center for Internet Security). 35. Alle server-, cliënt- en netwerksystemen die informatie verwerken uit de in de categorie ‘verhoogd risico’ voldoen aan de relevante "level-2" baselines als gedefinieerd door het CIS. 36. Een informatiesysteem wordt pas onderdeel van de operationele IT omgeving na een formele goedkeuring en acceptatie van de ICT-afdeling. 37. Er wordt voor alle servers en netwerkcomponenten een beheerd logboek bijgehouden.
Pagina 6 van 8
38. Wijzigingen aan IT-systemen worden vooraf gepland en goedgekeurd middels een change-procedure. 39. Periodiek wordt de integriteit van alle server en netwerksystemen geverifieerd. Dit kan geautomatiseerd geschieden. 40. Er is een procedure ingericht die zorg draagt voor het tijdig en correct aanbrengen van veiligheidsupdates op systemen. 41. De logfiles van alle server- en netwerksystemen worden op een centraal punt verzameld, en periodiek nagelopen op onregelmatigheden. Onregelmatigheden die geen duidelijke (onschuldige) verklaring kennen, worden als security incident aangemerkt, geregistreerd en onderzocht. 42. Default of standaard wachtwoorden moeten op alle systemen worden vervangen door niet-standaard wachtwoorden. Wachtwoorden zijn minimaal 6 karakters lang en opgebouwd uit letters + cijfers. 43. Er is een databack-up policy overeengekomen met de gebruikers, die gebaseerd is op wensen en behoeften van de gebruikers. Backup-tapes worden tenminste éénmaal per jaar gecontroleerd op leesbaarheid. Bij twijfel over de kwaliteit van de tape wordt deze gedupliceerd teneinde een kopie van goede kwaliteit te verkrijgen. 44. Tenminste de maand-backuptapes worden off-site opgeslagen. Overige tapes worden bewaard in een ruimte die zich niet in de nabijheid van de computerruimte(n) bevindt. 45. Archivering wordt uitgevoerd op applicatieniveau. Het is geen functie van het backup-procedé. 46. Er is een anti-virus concept gedocumenteerd en geïmplementeerd dat zowel e-mail stromen als desktops en servers beschermt tegen computervirussen. De gekozen virusoplossing wordt geautomatiseerd up-to-date gehouden. 47. In principe is het de verantwoordelijkheid van de ICT-afdeling om zorg te dragen voor correct functionerende en beveiligde werkplekken en systemen – gebruikers hebben geen systeembeheerrechten en kunnen geen nieuwe applicaties installeren. Een dergelijke werkplek is een ‘gesloten werkplek’. 48. In gevallen waar dit niet mogelijk is, wordt deze verantwoordelijkheid overgedragen aan een systeemeigenaar/hoofdgebruiker. Deze overdracht wordt geformaliseerd d.m.v. een overeenkomst. Er is dan sprake van een ‘open werkplek’. Met deze overdracht wordt het o.a. de verantwoordelijkheid van de systeemeigenaar/hoofdgebruiker dat aan alle maatregelen uit deze minimum set wordt voldaan. 49. Security incidenten worden geregistreerd op dezelfde wijze als overige (ICT) incidenten. Op verzoek kan er een rapportage worden gemaakt die een overzicht geeft van alleen de security incidenten. De volgende incidenten worden in ieder geval gezien als security incident en moeten als zodanig in een rapportage kunnen worden opgenomen: • Niet verklaarbare onregelmatigheden in logfiles van systemen en applicaties; • Falen van een integriteitscontrole t.b.v. een informatiesysteem of informatiebron; Pagina 7 van 8
• • • • • •
Verlies van een informatiebron; Uitval van informatiesystemen, ongeacht de oorzaak (verlies van beschikbaarheid); (vermoedelijke) inbraak op een systeem; (vermoeden van) misbruik van een systeem door een legitieme gebruiker; (vermoeden van) een grote virusuitbraak op het universitaire- en/of lokale netwerk; (mogelijk) zeer bedreigende virusuitbraak op het Internet.
50. Voor de afhandeling van deze security incidenten is een verantwoordelijke aangewezen en is een procedure opgesteld.
2.8
Controle en naleving 51. Periodiek, tenminste 4x per jaar, wordt de gehele ICT (netwerk) omgeving gescanned op aanwezigheid van zwakke plekken m.b.v. een vulnerabilityscanner. 52. Tenminste twee keer per jaar peilt de Security Officer naleving en voortgang m.b.t. de minimum set, en op basis van deze peiling wordt gerapporteerd aan de faculteitsdirectie en de Security Manager. 53. Minimaal éénmaal per jaar worden de security incidenten over de laatste 12 maanden verzameld en geanalyseerd. Dit is mede ten behoeve van de vaststelling van het minimum niveau door de Security Manager. 54. Deze rapportages worden door de faculteitsdirectie en de security manager gebruikt om het proces informatiebeveiliging (bij) te sturen.
Pagina 8 van 8
