Handreiking Informatiebeveiliging
1
Versie beheer
Versie 0.1
4 juni 2014
Eerste concept Marco Gosselink
Versie 0.2
18 juni 2014
Na review door Jan-Willem Brock rubricering met onderwerpen aangepast. Focus ligt nu op universitaire werkplek en acties worden vanuit gebruikers beschreven.
Versie 0.3
24 juni 2014
Nog enkele actiepunten aangepast na tweede review Jan-Willem Brock.
Versie 0.4
8 juli 2014
Na review door Johan Detollenaere document aangepast.
Versie 0.5
4 augustus 2014
Nieuwe versie na review door informatiemanagers en het ISSC.
Versie 1.0
6 augustus 2014
Definitieve versie
2
Inhoudsopgave
Inleiding 1. Werkplek 1.1 Vaste werkplek 1.2 Mobiele werkplek 1.3 Bring Your Own Device / Choose Your Own Device 1.4 Remote toegang 1.5 Licenties 2. Communicatievoorzieningen 2.1 E-mail, spam en phishing 2.2 Omgaan met social media/online privacy 2.3 Vertrouwelijke documenten 2.4 Patriot Act 3. Netwerk en toegang 3.1 Accounts 3.2 Wachtwoorden 3.3 Draadloos netwerk 3.4 Data opslag 3.5 Data distributie 4. Gedragscode en statements 4.1 Gedragscode gebruik informatievoorziening 4.2 Statements (privacy en security)
4 5 5 5 5 6 6 7 7 8 8 9 10 10 12 13 14 14 15 15 15
Bijlage: 1. Gedragscode gebruik informatievoorziening 2. Privacy Statement 3. Security Statement 4. Template risicoanalyse 5. Verklaring omtrent Gedrag 6. Het contract locale beheersrechten 7. Gebruikersvoorwaarden ULCN account
3
Inleiding Aan het begin van 2014 is een nieuw informatiebeveiligingsbeleid en een nieuwe baseline van maatregelen opgesteld. Na de presentatie van beide documenten is gebleken dat er behoefte bestaat aan een praktische uitwerking op sommige aspecten van dit beleid. Deze handreiking is bedoeld als een handvat voor gebruikers en informatiemanagers zodat zij antwoorden hebben op concrete vragen die omtrent informatiebeveiliging leven. De handreiking raakt veel aspecten van informatiebeveiliging maar pretendeert niet volledig te zijn en moet vooral gezien worden als een checklist voor gebruikers die zich bezighouden met vragen over informatiebeveiliging. Het document is ingedeeld in een aantal gebieden: de werkplek, communicatievoorzieningen, het netwerk, gedragscode en privacy informatie. Bij de werkplek gaat het vooral om hoe deze is ingericht en er worden tips gegeven om deze veilig te gebruiken. Bij communicatievoorzieningen wordt verteld over hoe met spam en phishing om te gaan en hoe social media veilig kan worden gebruikt. Bij netwerken gaat het om accounts en het gebruik van wachtwoorden maar ook over data opslag en distributie. Tenslotte wordt de gedragscode informatievoorziening en diverse statements onder de aandacht gebracht. In het gehele document komen gegevens en de classificatie hiervan naar voren. De universiteit hanteert hierbij de volgende categorieën: openbare informatie is klasse 3, interne informatie voor binnen de universiteit is klasse 2 en vertrouwelijke c.q. geheime informatie is klasse 1. In termen van systemen geldt dat gegevens in systemen van klasse 3 een basis risico vormen, klasse 2 is een verhoogd risico en klasse 1 is een hoog risico waarbij extra maatregelen moeten worden genomen. Bij deze laatste categorie kan het om gegevens m.b.t. patenten, medische of strafrechtelijke gegevens handelen. In de bijlage staan de instrumenten. Denk hierbij o.a. aan de gedragscode gebruik informatievoorziening, privacy- en security statements, methode om een risicoanalyse te verrichten en het contract local admin.
4
1. Werkplek 1.1 Vaste werkplek
De dienstverlening van het ISSC omvat een pakket diensten voor medewerkers en studenten die zij nodig hebben voor het uitvoeren van hun werkzaamheden. Denk hierbij aan helpdeskondersteuning, keuze werkplek modellen, registratie van gegevens maar ook aan antivirus management, patch management, keuze uit beschikbare besturingssystemen en applicaties op aanvraag beschikbaar stellen. De werkplek wordt ingericht als er toestemming is verleend door een geautoriseerd ICT contactpersoon. Voor problemen met o.a. virussen kan men bij de helpdesk van het ISSC terecht.
1.2 Mobiele werkplek
Het ISSC biedt naast de vaste werkplek ook een laptop werkplek aan. Functioneel biedt deze hetzelfde als de vaste werkplek met een aantal aanpassingen i.v.m. het mobiele karakter van de laptop. Voor de managed windows laptop: - Extra beveiligingsmaatregelen in verband met mogelijk verlies/diefstal: altijd inloggen met ULCN account (ook bij offline gebruik) en encryptie van de harde schijf - Aangepaste instellingen zodat de laptop bij offline gebruik bruikbaar is - Synchronisatie van bestanden op P:\ en J:\ schijf met behulp van Datanow. Datanow geeft tevens de mogelijkheid deze bestanden op verzoek te wipen bij verbinding met het universitaire netwerk. Voor het onderhoud van de laptop (installatie van patches, updates antivirusbestanden) is geregeld aanloggen binnen het universitaire netwerk nodig. Naast de (semi-) managed desktop en laptop kunnen ook andere mobiele apparaten via het ISSC worden besteld, zoals tablets, smartphones en unmanaged laptops. Deze apparaten worden unmanaged geleverd, d.w.z. dat de gebruiker zelf zorgt voor installatie e.d. Via deze apparaten kan gebruik gemaakt worden van diverse ICT-diensten via remote toegang. Op de ISSC website zijn enkele handleidingen te vinden. 1.3 Bring Your Own Device / Choose Your Own Device
In het beleidskader Bring-Your-Own-Device (BYOD) worden de volgende richtlijnen opgenomen: -
Een wachtwoord of pincode moet zijn ingesteld op het apparaat Remote wipe (het apparaat op afstand wissen) moet zijn ingesteld Na max. 10 keer een fout wachtwoord moet het apparaat gewist worden Geen gmail, hotmail, etc gebruiken voor bedrijfsinformatie Er moet altijd een kopie van de bedrijfsinformatie op één van de universitaire systemen staan Er mag geen bedrijfsinformatie met hoog risico (klasse 1) op het apparaat staan
Voor personen die een mobiel apparaat van de werkgever krijgen, Choose-Your-Own-Device (CYOD), dienen o.a. de volgende maatregelen in acht te nemen: -
Een wachtwoord of pincode installeren op het apparaat Er moet altijd een kopie van de bedrijfsinformatie op één van de universitaire systemen staan Het apparaat niet onbeheerd achterlaten Geen jailbreak of root installeren
5
- Er mag geen bedrijfsinformatie met hoog risico (klasse 1) op het apparaat staan - Een contract ondertekenen en op de hoogte zijn van de voorwaarden - Verlies of diefstal melden bij de leidinggevende en de ISSC helpdesk Verder is het belangrijk te controleren dat het apparaat de recente anti-virus en anti-malwaresignaturen en de meest recente (security) patches heeft. Encryptiesoftware kan worden aangevraagd bij het ISSC. 1.4 Remote toegang
De standaard Windows werkplek is op afstand via internet beschikbaar via Remote Werkplek. De systeemeigenaar bepaalt of toegang op afstand aanvaardbaar is of niet. Voor SAP-logon (de beheerapplicatie) en Docman is afgesproken om geen remote toegang toe te staan. Hierin is namelijk vertrouwelijke en geheime informatie opgenomen. Er zijn geen centrale regels voor het werken vanuit huis of op een andere werkplek buiten de universiteit. Het is aan de faculteit te bepalen wie en onder welke condities thuis mag werken. Meeste gevaar voor het inzien van informatie bij remote toegang is de plaats waar men is: vanuit huis of in een publieke gelegenheid. Vaak werkt men thuis vanaf een bureau waar ook anderen toegang toe hebben. Als er wordt gewerkt met vertrouwelijke of geheime gegevens dan is het niet gewenst dat huisgenoten hiervan kennis kunnen nemen. Het is aan de medewerker om hiervoor maatregelen te nemen. Actie: als remote toegang voor een applicatie wordt toegestaan dan moet de werknemer zelf maatregelen nemen in de thuissituatie of op de plek waar men is: - Het niet laten rondslingeren van (vertrouwelijke of geheime) stukken. - Bij het printen van documenten deze niet op de printer laten liggen. - De computer vergrendelen (in Windows: ctrl-alt-del) bij het verlaten van de werkplek.
1.5 Licenties
De universiteit heeft campuslicenties voor de meest gebruikelijke standaard producten zoals MS Office. Deze zijn standaard geïnstalleerd voor gebruik op vaste en laptop (semi-) managed Windows werkplekken. Zij zijn ook via Remote Werkplek bereikbaar. Een aantal andere pakketten heeft de universiteit wel beschikbaar maar deze pakketten zijn niet standaard op werkstations geïnstalleerd omdat ze niet overal gebruikt worden. Het ISSC stelt een gedeelte van deze applicaties beschikbaar om zelf te installeren of via de helpdesk op verzoek beschikbaar. Software zonder campuslicentie kan door het ISSC in overleg beschikbaar gesteld worden. Zij bestelt dan de software en stelt deze beschikbaar op de werkplek(ken) en voert het licentiebeheer. Bij een semi-managed werkplek kan een medewerker/onderzoeker zelf software installeren. Deze software kan via het ISSC of zelf worden gekocht en geïnstalleerd. Houd echter rekening met de volgende aspecten: - Installeer geen software zonder geldige licentie en alleen in lijn met de geldende licentievoorwaarden - Houd een registratie bij van aangeschafte licenties - Bij herinstallatie of vervanging van de werkplek is men zelf verantwoordelijk voor het opnieuw installeren en configureren van de gewenste toepassingen
6
2. Communicatievoorzieningen 2.1 E-mail, spam en phishing
E-mail en spam E-mail is een snelle en gemakkelijke manier van communiceren. Via e-mail is het mogelijk om naast tekst ook foto’s, muziek en filmpjes te versturen. Helaas worden e-mailadressen ook regelmatig gebruikt om ongewenste berichten (spam) mee te versturen, kunnen er virussen op de computer binnenkomen via bijlagen of kan het e-mailaccount misbruikt worden door iemand anders E-mail berichten worden niet versleuteld verstuurd over het internet. In principe kunnen kwaadwillenden of buitenlandse overheden de berichten inzien, ook als deze vanuit de universiteit worden verstuurd. Actie: - open spamberichten niet, maar verwijder ze direct - open geen e-mails van onbekende afzenders - reageer nooit op e-mails waarin gevraagd wordt om wachtwoorden en andere persoonlijke gegevens
Phishing Het per e-mail vragen naar informatie is een snel groeiende tak van digitale criminaliteit. Het is een vorm van oplichting. Via de mail (maar ook via de telefoon) lijken betrouwbare instanties zoals een bank of creditcardmaatschappij te vragen om bijvoorbeeld inloggegevens, creditcardinformatie, pincode of andere persoonlijke informatie. Het herkennen van phishing: - In de e-mail wordt gevraagd om persoonlijke gegevens zoals creditcardnummers en wachtwoorden - Let er op als om een snelle reactie wordt gevraagd door te klikken op een link, een programma te installeren, ergens even in te loggen of om persoonlijke informatie. Betrouwbare organisaties vragen hier nooit om. - De aanhef van de e-mail is onpersoonlijk en begint bijvoorbeeld met “Beste klant”. Maar let op: ook gepersonaliseerde e-mails kunnen nep zijn. Instanties die een e-mail sturen vermeiden controleerbare gegevens zoals rekening- of klantnummer - In de e-mail wordt gesproken over problemen die urgent zijn of over fraude en oplichting. Om de problemen op te lossen is het noodzakelijk dat men gegevens doorgeeft. Het taalgebruik is ook dwingend en er wordt gedreigd met blokkeren van accounts, afschrijvingen, etc. - In de e-mail staat vaak een link naar de website van de bank. Dit is een valse link. De link ziet er in de e-mail normaal uit maar verwijst naar een andere website. Door met de muis over de koppeling in de e-mail te bewegen, komt de echte link tevoorschijn. Controleer dit adres. - Via een link in de e-mail komt men terecht op de website van de bank maar er verschijnt een popup in beeld waarin inloggegeven moeten worden ingevoerd. Actie: het voorkomen van phishing: - Reageer nooit op e-mails waarin om persoonlijke gegevens wordt gevraagd - Controleer het certificaat van de website om te zien of een beveiligde verbinding afkomstig is van een bepaalde bank. De adresbalk wordt dan groen of de tekst in de adresbalk wordt groen. - Bij een verdacht telefoontje ophangen en controleren bij de organisatie die het betreft of ze ook echt hebben gebeld - Meld een phishing e-mail (zogenaamd) uit naam van het ISSC altijd bij de ISSC helpdesk - Zie de website: http://www.issc.leidenuniv.nl/ict-voor-medewerkers/tips-trucs/malware.html
7
2.2 Omgaan met social media/online privacy
Internet wordt gebruikt om contacten te onderhouden. Het is gemakkelijk om familie en vrienden van over de hele wereld op de hoogte te houden van de eigen ervaringen. Via sociale netwerksites en andere internetdiensten kan iedereen te weten komen waar iemand zicht bevindt, wat hij doet en welke berichten worden verstuurd (met foto’s, muziek en filmpjes). Helaas brengen deze netwerksites en ander online diensten ook risico’s met zich mee. Wat kan hiertegen worden gedaan? Actie: - denk goed na voordat iets online wordt gezet: zo gemakkelijk als het is om iets op het internet te plaatsen, zo moeilijk gaat het er weer af. Zelfs als het verwijderd is kan het elders op het internet plotseling opduiken. Informatie kan immers door anderen worden opgeslagen en hergebruikt. - plaats geen vertrouwelijke of geheime informatie over de Universiteit Leiden, haar studenten ,de alumni of collega’s op een site die geen eigendom is van de universiteit - medewerkers zijn zelf verantwoordelijk voor de inhoud die zij publiceren op sociale media - gebruik geen discriminerende en racistische taal - wees ervan bewust dat anderen chatgesprekken (inclusief: Skype) kunnen opslaan - zorg voor een goede bescherming van het eigen profiel op sociale netwerksites als Facebook of Twitter - gebruik online een bijnaam of alleen een voornaam; noem geen telefoonnummers, adressen of andere herkenbare plekken zodat anderen weten waar iemand woont - houd rekening met de online privacy van anderen: plaats niet zomaar foto’s of filmpjes van anderen op het internet. Deel geen informatie als de aard van de informatie niet passend is voor een openbaar forum - bij de installatie en het gebruik van o.a. Facebook en Twitter houd er rekening mee dat deze social media diensten toegang tot veel gegevens op het mobiele apparaat krijgen; ga daarna voorzichtig om met eventuele bedrijfsgegevens op het apparaat. Voor beleidslijnen omtrent het gebruik van social media zie de volgende link: http://www.communicatie.leidenuniv.nl/social-media/richtlijnen.html 2.3 Vertrouwelijke documenten
Voor gegevens in vertrouwelijke (papieren) documenten geldt dat vooraf is bepaald wie toegang krijgt tot deze documenten en hoe de gegevens fysiek worden verstrekt. Na gebruik worden de dossiers meteen weer opgeborgen in een afgesloten kast. Als een andere – niet bevoegde – medewerker inzage in vertrouwelijke documenten nodig heeft dan dient dit onder toezicht van de verantwoordelijke beheerder te geschieden.
8
2.4 Patriot Act
De Patriot Act is een samenstel van Amerikaanse wetten die als doel heeft om de Amerikaanse overheid meer mogelijkheden te geven om informatie te vergaren over en op te treden in geval van mogelijk terrorisme. De wet is vergelijkbaar met de Nederlandse wet bewaarplicht telecommunicatiegegevens die in houdt dat internetproviders gegevens over internet- en telefoniegebruik gedurende zes tot twaalf maanden moeten bewaren. De bewaarde gegevens kunnen door Justitie worden gebruikt bij het handhaven van de wet en het bestrijden van terrorisme. De Patriot Act is strijdig met de Nederlandse en Europese wetgeving op het gebied van privacy, doordat er geen mogelijkheid is de inzage te voorkomen door een uitspraak van de rechter. Hoewel er vaak over het (niet) plaatsen van gegevens op Amerikaans grondgebied wordt gesproken reikt de wet veel verder: alle Amerikaanse bedrijven of bedrijven met een dochter, zuster of moederorganisatie in Amerika vallen onder de wet. De universiteit is – net als vele andere Europese instellingen en bedrijven - vatbaar voor de Patriot Act doordat er systemen of software van Amerikaanse bedrijven wordt gebruikt voor onderwijssystemen of de onderliggende infrastructuur. In de basis is voor de Universiteit Leiden bescherming van haar gegevens tegen de Amerikaanse overheid niet anders dan het beschermen van haar gegevens tegen andere niet gerechtigden. De maatregelen om onderzoeksdata te beschermen tegen diefstal door criminelen bieden ook bescherming tegen inzage door de Amerikaanse overheid. Hierbij wordt altijd gestart met een classificatie van de informatie (is deze openbaar of vertrouwelijk). De informatie in alle concernsystemen is geclassificeerd en de beveiliging is conform bijbehorende maatregelen ingericht en wordt periodiek geaudit. Van geen van deze systemen wordt de informatie opgeslagen op Amerikaans grondgebied. Wel wordt voor alle systemen (of de achterliggende infrastructuur) gebruikt gemaakt van Amerikaanse leveranciers, waardoor de universiteit het risico loopt dat de Amerikaanse overheid gegevens raadpleegt op basis van de Patriot Act. Hierin is de universiteit niet uniek en deze situatie kan in de huidige context ook niet worden aangepast: dit is te kostbaar en er zijn niet altijd alternatieven. Door het niet geplaatst hebben van gegevens op Amerikaans grondgebied is de drempel voor het opvragen wel aanzienlijk verhoogd. De universiteit heeft reeds informatiebeveiligingsbeleid dat uitspraken doet over het classificeren van de informatie (is deze vertrouwelijk of openbaar), de bedreigingen waar rekening mee gehouden wordt en de maatregelen die daarbij horen (opslaan in eigen beheer, versleutelen, aanvullende authenticatie, etc.). Daarnaast is er de sourcingstrategie waarmee gekeken wordt welke werkzaamheden de universiteit met eigen personeel doet (en op eigen locatie) en welke uitbesteed kunnen worden, bijvoorbeeld als (Europese) cloud dienst. Als laatste is de universiteit gehouden aan de Europese wet- en regelgeving, zo ook bij aanbestedingen. Aan potentiële aanbieders van diensten waarbij gegevens worden opgeslagen wordt de eis gesteld hieraan te voldoen, waardoor aanbieders die vallen onder de Patriot Act worden uitgesloten (indien het vertrouwelijke gegevens betreft). Met deze bestaande middelen kunnen – ook met oog op de Patriot Act – de goede beslissingen worden genomen, waarbij weging plaatsvindt op basis van de specifieke situatie en het besluit door het CvB genomen wordt. Vanuit juridisch oogpunt - m.n. voor aanbestedingsrechtelijke conflicten – en de rechtsbescherming van Nederlandse gebruikers was het reeds wenselijk dat de Europese wetgeving van toepassing is. Hierdoor bestond - voorafgaand aan de Patriot Act – al de voorkeur van een Europese dienstverlener boven een Amerikaanse (cloud-)dienstverlener. Voor die informatie over specifieke medewerkers en studenten waarvan het aannemelijk is dat de Amerikaanse overheid die met het oog op terrorisme bestrijding wil vergaren moet overwogen worden deze niet in geautomatiseerde systemen op te slaan die vanaf buiten benaderbaar zijn. De Nederlandse veiligheidsdienst kan voor dergelijke specifieke gevallen advies geven. Actie: neem voordat een overeenkomst over hosting wordt aangegaan of voor het aanmaken van een website contact op met de informatiemanager.
9
3. Netwerk en toegang 3.1 Accounts
De personen die een account ontvangen zijn studenten, medewerkers en externen. Deze kunnen worden onderverdeeld in personen die verbonden zijn aan de universiteit (o.a.: studenten, contractstudenten, HOVO-cursisten, cursisten à la carte, alumni, medewerkers, medewerkers LUMC en promovendi) en externen zoals gasten van de universiteit (bezoekers, leners van de bibliotheken en anderen). Soorten accounts binnen de Universiteit Leiden zijn: 1. 2. 3. 4. 5.
Medewerker account Studenten account Gast account Functioneel account Systeemaccount
Ad.1 Medewerker account: Een medewerker account wordt automatisch aangemaakt na het door P&O invoeren van een nieuwe medewerker in SAP HR. Het account wordt 90 dagen voor de aanstelling actief en blijft dat tot 60 dagen na uitdiensttreding. Voorwaarden: - Een account is strikt persoonlijk. De accounthouder is verantwoordelijk voor alle handelingen die met het account worden verricht. - Op het gebruik van het account is de door het CvB vastgestelde Gedragscode gebruik informatievoorzieningen van toepassing. Actie: bij het aangaan van een arbeidscontract zal automatisch ook een medewerker account worden aangevraagd; medewerkers worden gewezen op de gedragscode.
Ad.2 Studenten account
Een studenten account wordt automatisch aangemaakt na invoer van de aanmelding in uSis. Het account wordt actief 60 dagen voor aanvang van de studie en blijft na uitschrijving bij de universiteit nog 60 dagen beschikbaar.
Voorwaarden: - Een account is strikt persoonlijk. De accounthouder is verantwoordelijk voor alle handelingen die met het account worden verricht. - Op het gebruik van het account is de door het CvB vastgestelde gedragscode gebruik informatievoorziening van toepassing. Actie: inschrijving van de student in uSis leidt ertoe dat een studenten account automatisch wordt aangevraagd en verkregen.
10
Ad.3 Gast account
Het gastaccount biedt de mogelijkheid om mensen zonder medewerkersaccount tijdelijk van de infrastructuur gebruik te laten maken. Een gastaccount wordt uitgegeven m.b.v. het Gasten Management Systeem (GMS). Gasten kunnen bijvoorbeeld de catalogi van de Universiteitsbibliotheek raadplegen of internettoegang krijgen tijdens congressen of open dagen. Afhankelijk van de rollen die bij een gastaccount worden uitgegeven kan een gast beschikken over een tijdelijke opslagruimte op het netwerk. Daarnaast biedt het gastaccount internettoegang via Leiden University Wireless Access.
Voorwaarden: - Het gastaccount is niet anoniem. Er vindt altijd registratie en identificatie plaats van de persoon aan wie het account verstrekt wordt. - Een gastaccount wordt uitgegeven m.b.v. het Gasten Management Systeem. Dit systeem is decentraal beschikbaar op o.a. secretariaten. Actie: een gastaccount kan geautomatiseerd aangemaakt worden na invoer van de gast in het gastenmanagementsysteem. Ad.4 Functioneel account
Het kan noodzakelijk zijn dat meerdere personen op verschillende tijdstippen toegang nodig hebben tot dezelfde toepassingen en gegevens. Voorbeeld is medewerkers van recepties. Dit account heeft dezelfde mogelijkheden als een medewerker account, maar staat niet op één specifiek naam. Een van de gebruiksvoorwaarden van SURF, de internetleverancier van de Universiteit, is dat alle acties die via haar diensten plaatsvinden herleidbaar zijn tot één persoon. Beleid is daarom om terughoudend in het gebruik te zijn. Voorwaarden: -De verantwoordelijkheid en aansprakelijkheid voor het functioneel account ligt bij de aanvrager. Deze dient zorg te dragen voor een sluitende administratie van wie er wanneer gebruik heeft gemaakt van het functioneel account. - Op het gebruik van het account is de door het CvB vastgestelde gedragscode gebruik informatievoorziening van toepassing. Actie: een functioneel account kan worden aangevraagd bij de helpdesk ISSC.
11
Ad.5 Systeemaccount
Niet alleen systeembeheerders kunnen systeemaccounts hebben maar ze komen ook voor bij de Faculteit W&N en zijn bedoeld om systeemapplicaties te laten functioneren. Systeemaccounts zijn bedoeld voor het beheer van de informatievoorziening. Dit account biedt enkel lokale rechten (local admin). Met de uitgave dient terughoudend te worden omgesprongen. Er zijn voorwaarden gekoppeld aan het gebruik van een local admin account. Actie: admin accounts voor de eigen pc kunnen worden aangevraagd volgens de procedure local admin rechten (zie bijlage). Dit betekent dat de medewerker het formulier ondertekent, het faculteitsbestuur toestemming geeft en van daaruit de aanvraag door de ISSC-helpdesk verder wordt afgehandeld.
3.2 Wachtwoorden
Het huidige wachtwoordbeleid voor toegang tot de systemen van de universiteit bestaat uit minimaal 8 en maximaal 13 tekens; Het wachtwoord vereist tevens een hoofdletter, kleine letter en een cijfer. In het nieuwe wachtwoordenbeleid zullen meer karakters als maximum worden toegestaan. Ook diakritische tekens kunnen worden gebruikt en het wachtwoord zal langer geldig zijn.
Aanwijzingen voor een goed wachtwoord: - Gebruik nooit voor de hand liggende woorden of reeksen (niet naam van partner of kinderen, reeksen als 12345, etc.) - Gebruik naast gewone letters en cijfers ook hoofdletters, kleine letters en cijfers - Acht karakters is het minimum maar liever meer karakters
Actie: ga veilig om met het wachtwoord: - Geef het wachtwoord aan niemand - Zorg dat niemand meekijkt bij het wachtwoord intypen - Gebruik verschillende wachtwoorden voor verschillende diensten - Wissel de wachtwoorden regelmatig - Laat het wachtwoord niet rondslingeren in de buurt van de computer - Sla wachtwoorden niet onbeveiligd op de computer op. Bij gebruik van veel wachtwoorden gebruik dan een speciale wachtwoordenbeheerapplicatie - Organisaties zullen nooit om het wachtwoord vragen. Geef het dus ook nooit af. - Controleer of de website waar de gegevens moeten worden ingevoerd wel echt is (kijk of het internetadres groen wordt, veiligheidscertificaat, slotje in de browser) Actie: bestanden van een wachtwoord voorzien Kleinere bestanden kunnen via 7-zip met een wachtwoord worden beveiligd en verstuurd. Selecteer de bestanden voeg deze toe aan het programma(archief) waarna een wachtwoord kan worden gekozen. Het bestand kan daarna worden verstuurd. Stuur het wachtwoord per sms of geef het via de telefoon door. Office documenten zoals Word kunnen ook van een wachtwoord worden voorzien: ga naar Bestand en Info en kies Document Beveiligen.
12
3.3 Draadloos netwerk
De Universiteit Leiden biedt o.a. internettoegang tot twee draadloze netwerken: Het Leiden University Netwerk en Eduroam. Het Leiden University Netwerk biedt medewerkers, studenten en gasten draadloze toegang met behulp van het ULCN account of gastenaccount. Dit netwerk biedt toegang tot de meest gangbare webapplicaties. Dit draadloos netwerk werkt vanaf elk apparaat en met elke webbrowser. Het Eduroam netwerk biedt medewerkers en studenten van de Universiteit Leiden en andere Hoger Onderwijs instellingen draadloze toegang met hun eigen instellingsaccount. Al het dataverkeer over dit netwerk wordt versleuteld en is daarmee moeilijker af te luisteren. Medewerkers en studenten aan de Universiteit Leiden kunnen dit netwerk gebruiken wanneer zij vertrouwelijke informatie willen versturen of applicaties willen gebruiken (voor bijvoorbeeld onderzoeken) die op het Leiden University Netwerk worden geblokkeerd. Voor gebruik van dit netwerk, dient extra software geïnstalleerd te worden en werkt ook met het ULCN account. Voordelen bij het gebruik van Eduroam: - de informatie gaat beveiligd door de lucht door het toepassen van encryptie - via POP3 of IMAP4 heeft men wel toegang tot externe mailservers - via de client kan worden ingelogd op het eduroamnetwerk van andere universiteiten en hogescholen - medewerkers en studenten van andere universiteiten kunnen op eduroam inloggen met hun inloggegevens van hun eigenuniversiteit of hogeschool. Quarantainenet wordt gebruikt om te voorkomen dat de werkplekken besmet raken. Quarantainenet is een systeem dat een geïnfecteerde computer isoleert van het netwerk totdat het probleem is opgelost. Geïsoleerde gebruikers worden door middel van een webpagina automatisch op de hoogte gesteld van de reden van isolatie en krijgen een aantal tips om het probleem zelf te kunnen verhelpen. De websites die nodig zijn bij het oplossen van het probleem blijven beschikbaar. Voorwaarden voor toegang draadloos netwerk: - een ULCN account is vereist - voor Eduroam is extra software noodzakelijk die de universiteit ter beschikking stelt - net als op de vaste voorzieningen zijn op de mobiele voorzieningen de universitaire gedragscode informatievoorziening van toepassing Actie: men kan zichzelf toegang verschaffen tot beide netwerken; bij problemen kan contact met de helpdesk worden opgenomen.
13
3.4 Data Opslag
De behoefte aan extra data opslag is ook binnen de universitaire gemeenschap van belang. Er komen steeds meer publieke voorzieningen die het mogelijk maken om informatie en documenten te delen met samenwerkingspartners buiten de universiteit. Het informatiebeveiligingsbeleid van de universiteit kent het uitgangspunt “open tenzij” . Consequentie hiervan is dat dit soort voorzieningen toegankelijk zijn en niet technisch geblokkeerd worden. Het toestaan van dergelijke diensten wil echter nog niet zeggen dat er ook ondersteuning op geleverd wordt. SURFdrive is een dienst van SURF (community cloud) die de universiteit aanbiedt. Men krijgt hiermee data opslag in de cloud. Deze dienst is beschikbaar voor alle medewerkers. Zij kunnen de client zelf installeren of via de browser van de dienst gebruik maken. Voor andere gebruikers kunnen gast accounts worden aangevraagd in het GMS. Daarnaast kan Dropbox worden gebruikt. Geadviseerd wordt hierop geen informatie van de universiteit op te slaan. Voor vertrouwelijke informatie is dit sowieso verboden. Dropbox zal echter niet worden geblokkeerd. Indien Dropbox nodig is kan dit via het faculteitsbestuur worden aangevraagd. De gebruiker dient dan een overeenkomst te ondertekenen dat er geen vertrouwelijke informatie wordt bewaard. Actie: SURFdrive kan worden aangevraagd bij de ISSC helpdesk Actie: Dropbox kan via de informatiemanager worden aangevraagd bij het faculteitsbestuur. Na goedkeuring hiervan kan het worden aangevraagd bij de ISSC helpdesk
3.5 Data Distributie
Bij een ULCN account krijgen gebruikers automatisch ruimte voor opslag van data van bestanden en e-mails. Mocht dit te weinig zijn om de werkzaamheden te verrichten dan kan de limiet worden verhoogd. Gebruikers – vooral onderzoekers – met grote databestanden kunnen dit of op het interne netwerk of bij research centra in Nederland opslaan. Als het data is met een verhoogd of hoog risico dan moet deze data versleuteld worden voordat het wordt getransporteerd. Naast opslag van bestanden op vaste media kunnen data ook op mobiele media (externe harde schijven, usb sticks, tablets, etc) worden opgeslagen. Ook hier geldt dat de eigenaar van te voren bekijkt of het vertrouwelijke data bevat en als dit het geval is dan is versleuteling noodzakelijk. Daarbij dient een kopie van bedrijfsinformatie altijd op één van de universitaire systemen worden opgeslagen. Actie: voor encryptiesoftware neem contact op met ISSC helpdesk
14
4. Gedragscode en statements 4.1 Gedragscode gebruik informatievoorziening De gedragscode is een regeling die de gedragsregels beschrijft voor individuele gebruikers van Informatievoorzieningen van de Universiteit Leiden. Deze regeling maakt onderdeel uit van het informatiebeveiligingsbeleid en is van toepassing op iedereen die gebruik maakt van Informatievoorzieningen aangeboden door (een onderdeel van) de Universiteit In de gedragscode staan gedragsregels hoe met het gebruik van informatievoorziening moet worden omgegaan. Verder zijn er regels voor controle en naleving en kunnen er sancties volgen bij constatering van overtreding van de gedragsregels. In de bijlage staat de gedragscode.
4.2 Statements (privacy en security)
De Universiteit Leiden heeft een privacy statement en een security statement. Deze verklaring kan worden verstrekt aan instanties en subsidieverstrekkers die inzicht willen hebben hoe de universiteit om gaat met informatiebeveiliging en persoonsgegevens. Privacy statement In het privacy statement staat hoe de universiteit omgaat met het verzamelen en gebruiken van persoonsgegevens voor de verwerking in administratieve processen. Het statement is van toepassing op gegevens die worden gebruikt en opgeslagen in geautomatiseerde systemen binnen de universiteit. Het betreft veelal gegevens van studenten, personeel en de gasten van de universiteit. De Universiteit Leiden verwerkt persoonsgegevens conform de Wet bescherming persoonsgegevens (WBP). Security statement Het security statement geeft informatie over hoe de Universiteit Leiden omgaat met informatiebeveiliging met betrekking tot medewerkers, studenten en externen. De universiteit streeft ernaar om ervoor te zorgen dat gebruikersgegevens veilig worden verkregen en bewaard. Het security statement is erop gericht om duidelijkheid te bieden over de beveiliging zodat mensen er zeker van kunnen zijn dat de gegevens voldoende beschermd worden. Actie: zie bijlage voor het privacy statement en het security statement; gebruik beide statements indien externen informatie nodig hebben hoe bij de universiteit wordt omgegaan met (persoons) gegevens
15
Bijlage
1. Gedragscode gebruik informatievoorziening 2. Privacy Statement 3. Security Statement 4. Template risicoanalyse onderzoeken 5. Verklaring omtrent Gedrag 6. Het contract lokale beheersrechten 7. Gebruikersvoorwaarden ULCN account
16
Bijlage 1. Gedragscode gebruik informatievoorziening d.d. 06-11-2006
Het College van Bestuur besluit, vast te stellen een gedragscode gebruik informatievoorzieningen, luidende als volgt:
1 Inleiding Deze regeling beschrijft de gedragregels voor individuele gebruikers van Informatievoorzieningen van de Universiteit Leiden. Deze regeling maakt onderdeel uit van het informatiebeveiligingsbeleid en is van toepassing op iedereen die gebruik maakt van Informatievoorzieningen aangeboden door (een onderdeel van) de Universiteit Leiden.
2 Begripsbepalingen In deze regeling wordt verstaan onder: Gebruikers: Elke persoon, die gebruik maakt van de aan hem/haar door de Universiteit Leiden geboden Informatievoorzieningen. Hiertoe behoren in ieder geval Werknemers, studenten, personen aan wie de status van gastmedewerker is verleend, en ingehuurd personeel. Werknemer(s): De werknemer als bedoeld in de CAO Nederlandse Universiteiten die in dienst is bij de Universiteit Leiden.
3 Gedragsregels Het gebruik van de Informatievoorzieningen zoals aangeboden door (een onderdeel van) de Universiteit Leiden is onderworpen aan de volgende regels en voorwaarden: 1. De Gebruiker mag de geboden Informatievoorzieningen uitsluitend gebruiken na daartoe aan hem door of vanwege de Universiteit Leiden verstrekte toestemming. 2. Aan Gebruikers verstrekte toegangscodes voor het gebruik van informatievoorzieningen zijn persoonlijk en niet overdraagbaar. Ten aanzien van autorisatiecodes en/of wachtwoorden is strikte geheimhouding verplicht. 3. De Gebruiker is persoonlijk verantwoordelijk voor het gebruik dat van zijn toegangscodes voor informatiesystemen wordt gemaakt en het daar op volgend gebruik, dat onder deze toegangscodes van faciliteiten wordt gemaakt. 4. De Gebruiker zal bij constatering of vermoeden van enig misbruik direct melding maken via de daarvoor gebruikelijke kanalen. 5. Het is verboden systeem- of gebruikers-autorisatiecodes (wachtwoorden) van andere gebruikers op enigerlei wijze en in enigerlei vorm te bemachtigen.
17
6. De Gebruiker zal zich geen toegang verschaffen of trachten toegang te verkrijgen tot computersystemen en/of gegevensverzamelingen voor zover dit systemen/verzamelingen betreft waarvoor geen expliciete toegangsmogelijkheid voor de gebruiker is gecreëerd. 7. Het is de Gebruiker niet toegestaan de door de Universiteit Leiden ter beschikking gestelde programmatuur, databestanden en documentatie te kopiëren of ter beschikking te stellen aan derden, behoudens daartoe verleende (schriftelijke) toestemming. 8. Het is verboden informatie waarvan de verwerking in strijd is met de wet of de goede zeden (o.a. expliciet pornografisch materiaal), informatie die de goede naam van de Universiteit Leiden aantast, informatie die een discriminerend, racistisch, aanstootgevend, opruiend, of bedreigend karakter heeft op te slaan en/of te verspreiden middels de door de Universiteit Leiden geboden voorzieningen. Enige uitzondering op deze regel is gebruik voor een wetenschappelijk, educatief en/of therapeutisch doel. 9. Het is de Gebruiker niet toegestaan informatievoorzieningen te gebruiken of te exploiteren voor doeleinden anders dan die welke voortvloeien uit de functievervulling of studie aan de Universiteit Leiden, behoudens beperkt privé-gebruik van e-mail en Internetvoorziening, voorzover dit gebruik niet storend is voor overige Gebruikers. en het gebruik zijn/haar werkzaamheden niet nadelig beïnvloedt. 10. De Gebruiker zal de ter beschikking gestelde informatievoorzieningen niet voor commerciële doeleinden gebruiken of exploiteren.
4 Controle en naleving 1. Beheerders van de Informatievoorzieningen hebben geheimhoudingsplicht met betrekking tot gegevens over e-mail- en internetgebruik die tot personen herleidbaar zijn. 2. Er vindt geen systematische controle van de inhoud van het netwerk en e-mail verkeer plaats, anders dan nodig is voor het weren van spam, virussen, wormen en overige aanvallen op de infrastructuur van de Universiteit Leiden. 3. Ten behoeve van het waarborgen van de goede werking van de geboden informatievoorzieningen wordt verkeers- en gebruiksinformatie vastgelegd en op regelmatige basis geanalyseerd. 4. Verkeers- en gebruiksinformatie (onder meer gegevens over afzender, bestemming, datum, tijd, hoeveelheid en omvang) wordt in beginsel niet langer bewaard dan zes maanden. Ingeval van een vermoeden van onjuist gebruik kunnen deze gegevens langer worden bewaard totdat de noodzaak daartoe is vervallen, hetgeen conform de Wet bescherming persoonsgegevens wordt gemeld bij het College Bescherming Persoonsgegevens. 5. Indien er gerechtvaardigde vermoedens van overtreding van de gedragsregels bestaan, kan op last van het College van Bestuur gericht onderzoek plaatsvinden naar de inhoud van het netwerk, Internet en e-mail verkeer van de individuele gebruikers. Het College van Bestuur ontvangt een schriftelijk verslag van de resultaten van het onderzoek. Indien het onderzoek geen aanleiding geeft tot verdere maatregelen wordt het schriftelijke verslag vernietigd. 6. De Gebruiker ten wiens laste een onderzoek als bedoeld in artikel 4 lid 5 plaatsvindt, wordt zo spoedig mogelijk schriftelijk geïnformeerd over de aanleiding, uitvoering en het resultaat van het onderzoek. De Gebruiker wordt in de gelegenheid gesteld uitleg te geven over de aangetroffen gegevens. Het
18
verstrekken van informatie aan de Gebruiker kan uitgesteld worden indien het onderzoek daardoor kan worden geschaad.
5 Sancties 1. Bij constatering van overtreding van de gedragsregels kan het College van Bestuur op voorstel van de portefeuillehouder informatiebeveiliging van de eenheid waar de overtreding is begaan een disciplinaire sanctie opleggen. 2. Bij overtreding van de gedragsregels op zodanige wijze dat directe overlast voor andere gebruikers of derde partijen wordt veroorzaakt kan een gebruiker op last van de relevante portefeuillehouder voor beperkte tijd toegang tot (delen van) de informatievoorzieningen ontzegd worden, en kan aan de gebruiker opgedragen worden informatie van het netwerk te verwijderen. 3. Indien een gebruiker handelt in strijd met de wet, of een redelijk vermoeden hiertoe bestaat, zal hem of haar met onmiddellijke ingang toegang tot de Informatievoorzieningen worden ontzegd. 4. Voor de Werknemer zijn deze gedragsregels tevens op te vatten als een verbijzondering van artikel 9.1. van de CAO Nederlandse Universiteiten 1 september 2003 – 31 augustus 2004. Overtreding van deze gedragsregels kan voor de Werknemer eveneens rechtspositionele consequenties hebben. 6 Bezwaar 1. De Gebruiker ten aanzien van wie gericht onderzoek als bedoeld in artikel 4.5, 4.6 of 4.7 is of wordt uitgevoerd kan daartegen schriftelijk en gemotiveerd bezwaar aantekenen bij het College van Bestuur binnen zes weken nadat de Gebruiker is ingelicht over het onderzoek. 2. Het College van Bestuur reageert schriftelijk en gemotiveerd binnen vier weken na ontvangst van het bezwaar. Indien het bezwaar als bedoeld in het vorige lid gegrond wordt verklaard, worden de door middel van de onderzoeksmaatregelen verkregen gegevens terstond vernietigd. Tevens worden eventuele maatregelen ingetrokken indien deze - naar achteraf blijkt uit het nader onderzoek – ten onrechte zijn genomen. 7 Slotbepalingen 1. In gevallen waarin deze regeling niet voorziet, beslist het College van Bestuur. 2. Deze regeling treedt in werking op 30 mei 2005 en kan worden aangehaald als “Regeling Acceptabel Gebruik Informatievoorzieningen van de Universiteit Leiden”. 3. Ten opzicht van andere regelingen met eenzelfde werkingsgebied kent deze regeling een kaderstellend karakter. Dat wil zeggen dat overige regelingen niet strijdig mogen zijn met deze regeling maar hier wel een aanvulling op mogen geven.
19
Bijlage 2. Privacy Statement d.d. 23-10-2012
Privacystatement Universiteit Leiden Hoe de Universiteit Leiden omgaat met gegevens In dit privacystatement staat hoe de universiteit omgaat met het verzamelen en gebruiken van persoonsgegevens voor de verwerking in administratieve processen. Het statement is van toepassing op gegevens die worden gebruikt en opgeslagen in geautomatiseerde systemen binnen de universiteit. Het betreft veelal gegevens van studenten, personeel en de gasten van de universiteit. De Universiteit Leiden verwerkt persoonsgegevens conform de Wet bescherming persoonsgegevens (WBP). Persoonlijke gegevens Voor de werkzaamheden die plaatsvinden binnen de universiteit kunnen de volgende persoonlijke gegevens worden verzameld: naam, e-mailadres, telefoonnummer, woonadres, gegevens over (voor)opleiding, studievoortgang en gegevens die betrekking hebben op overige studenten- en personeelsaangelegenheden. De gegevens worden door de betrokkenen zelf verstrekt, maar kunnen ook afkomstig zijn uit bronsystemen van derden, bijvoorbeeld de Belastingdienst, Studielink, de IND en het ABP. Tevens kunnen gegevens worden verzameld doordat belangstellenden deze achterlaten op de website teneinde hen op de hoogte te kunnen houden van diverse activiteiten van de universiteit. Deze gegevens worden niet aan derden verstrekt. Tevens kunnen in het kader van de studentenwerving gegevens worden verwerkt.
Gebruik van gegevens De gegevens worden door de universiteit gebruikt om als instelling voor hoger onderwijs en wetenschappelijk onderzoek en als werkgever in het kader van de bedrijfsvoering, de daarbij behorende taken en wettelijke plichten naar behoren uit te voeren. Gegevens voor studenten worden in het bijzonder gebruikt voor het geven en plannen van het onderwijs, de begeleiding van studenten, het verstrekken van leermiddelen, het innen van collegegelden, het behandelen van geschillen, het bijhouden van studievoortgang, het verstrekken van diploma’s, het doen uitoefenen van accountantscontrole en het onderhouden van contact met alumni. Gegevens die betrekking hebben op het personeel van de universiteit worden onder andere gebruikt voor de behandeling van personeelszaken, het vaststellen van salarisaanspraken, het regelen van aanspraken op uitkeringen in verband met de beëindiging van een dienstverband, interne en accountantscontrole en in verband met de bedrijfsmedische zorg. Naast de hiervoor genoemde groepen, kunnen binnen de universiteit ook persoonsgegevens worden verzameld in het kader van wetenschappelijk onderzoek en onderwijs. Voor deze gegevens geldt dat gewerkt wordt conform de wet en de Gedragscode voor gebruik van persoonsgegevens in wetenschappelijk onderzoek VSNU. Het kan voorkomen dat daaronder ook gegevens van patiënten worden verzameld, bijvoorbeeld in het kader van onderwijs en onderzoek in het LUMC en de Faculteit Sociale Wetenschappen. Naast de hiervoor genoemde gedragscode zijn in die gevallen ook de betreffende beroepscodes van toepassing.
20
Verstrekking aan derden Slechts in bepaalde gevallen worden derden voorzien van persoonlijke gegevens. Bijvoorbeeld indien de wet dit vereist, bijvoorbeeld in het kader van een WOB-verzoek, of indien de betrokkene daarvoor toestemming heeft gegeven. Voorbeelden hiervan zijn Studielink, het Ministerie van OC&W, het ABP en de IND. Gegevens, die niet tot individuele personen herleidbaar zijn, kunnen voor statistische en historische doeleinden aan derden worden verstrekt. Toegang tot gegevens De gegevens die worden verzameld zijn niet voor iedereen toegankelijk. Alleen medewerkers en personen die in opdracht van de universiteit werkzaamheden verrichten, hebben toegang tot de gegevens als dit noodzakelijk is voor de uitoefening van hun functie. Door middel van een naam- en wachtwoordbeveiliging worden diegenen geautoriseerd om toegang te krijgen tot de gegevens. Alle medewerkers die toegang hebben zijn op basis van de CAO-Nederlandse Universiteiten tot geheimhouding verplicht.
Bewaring gegevens Persoonsgegevens worden niet langer bewaard dan nodig is voor de realisering van de doeleinden waarvoor zij worden verzameld en verwerkt, tenzij dit noodzakelijk is voor historische, statistische of wetenschappelijke doeleinden, of op grond van een wettelijk voorschrift. Beveiliging van gegevens De universiteit acht beveiliging van de persoonsgegevens van groot belang. Het College van Bestuur draagt zorg voor de noodzakelijke voorzieningen van technische en organisatorische aard ter beveiliging en verlies van de persoonsgegevens en tegen onbevoegde verwerking daarvan. Inzage en correctie gegevens Personen wiens gegevens door de universiteit worden verwerkt, kunnen conform de betreffende bepalingen van de Wet Bescherming Persoonsgegevens inzicht krijgen in de gegevens en in voorkomende gevallen verzoeken deze gegevens aanpassen. Betrokkenen kunnen daartoe een afspraak maken door het verzoek tot inzage te richten aan de instantie die op hen betrekking hebben. Voor Studenten geldt dat zij zich kunnen richten tot de studentenadministratie van de faculteit. Personeelsleden kunnen zich richten tot de betreffende afdeling P&O. Een ieder die niet tot de voorgaande groepen horen, dien het verzoek te richten aan de afdeling Juridische Zaken van het Bestuursbureau
21
Bijlage 3. SecurityStatement d.d. 03-06-14
Hoe de Universiteit Leiden omgaat met security In het kader van het onderwijs- en onderzoeksproces en bedrijfsvoering worden gegevens van studenten, medewerkers en relaties vastgelegd. In het privacy statement geven wij aan hoe de universiteit omgaat met het verzamelen en gebruiken van persoonsgegevens voor de verwerking van bovengenoemde processen. Dit security statement geeft informatie over hoe de Universiteit Leiden omgaat met informatiebeveiliging. Uitgangspunt De universiteit neemt veiligheid en privacy serieus en streeft ernaar om ervoor te zorgen dat gebruikersgegevens veilig worden verkregen en bewaard. Dit security statement is erop gericht om duidelijkheid te bieden over onze beveiliging zodat u er zeker van kunt zijn dat uw gegevens voldoende beschermd worden. De Universiteit Leiden werkt met betrekking tot informatiebeveiliging conform de Code voor Informatiebeveiliging (NEN norm 27001/2). De persoonsgegevens worden verwerkt conform de Wet bescherming persoonsgegevens. Concreet worden bovenstaande normen uitgewerkt in een aantal documenten. Belangrijk zijn het Informatiebeveiligingsbeleid en de Baseline van maatregelen die moeten worden genomen. Er worden risicoanalyses op systemen verricht om de classificatie van gegevens te bepalen en daarna de maatregelen die voor die systemen moeten worden genomen. Verder wordt er gewerkt aan campagnes om het bewustzijn van de medewerkers en studenten te vergroten. Informatiebeveiliging Het doel van beveiliging is enerzijds het waarborgen van de continuïteit van de bedrijfsprocessen en anderzijds het minimaliseren van eventuele schade, direct of indirect, die ontstaat uit beveiligings-incidenten. Dit doel wordt bereikt door het treffen van een evenwichtig pakket preventieve maatregelen (het voorkomen van incidenten), alsmede repressieve en correctieve maatregelen (gericht op het beperken van de negatieve gevolgen van incidenten). De Code voor Informatie-beveiliging richt zich niet alleen op de beveiliging van informatie in computers en netwerken, maar op alle vormen van informatie, dus bijvoorbeeld ook de informatie die is opgeslagen in papieren documenten. De informatiebeveiliging kent drie aspecten: beschikbaarheid, integriteit en vertrouwelijkheid. De beschikbaarheid moet aansluiten bij het gebruik in het proces en daarom neemt de universiteit maatregelen tegen o.a. overbelasting van computers of het niet goed functioneren hiervan. Bij integriteit van gegevens gaat het om maatregelen die het ongeautoriseerd toevoegen, wijzigen en wissen van gegevens tegengaat. Vertrouwelijkheid is belangrijk zodat het netwerk niet wordt afgeluisterd of anderszins door hackers wordt gecompromitteerd.
22
Beveiligingsprincipes Een aantal beveiligingsprincipes die de universiteit hanteert zijn: - we voorzien alle ICT voorzieningen van logische toegangscontrole (toegang alleen na expliciete toestemming; alle gebruikers zijn uniek herleidbaar tot een natuurlijk persoon; de authenticiteit van de gebruiker wordt vastgesteld op basis van identificatie) - we delen ICT voorzieningen in zones in waarbinnen gegevens vrijelijk kunnen worden uitgewisseld. Uitwisseling met andere zones verloopt via koppelvlakken. Doel hiervan is isolatie van risico’s - we gebruiken diverse fysieke en logische beveiligingsmaatregelen. Dit betekent dat het doorbreken van één maatregel niet leidt tot de val van het hele systeem. Controle Omdat de ontwikkelingen binnen de informatiebeveiliging snel gaan wordt elk jaar en bij aanpassing van het systeem gecontroleerd of de maatregelen nog adequaat zijn via risicoanalyse en audits. Deze audits worden getoetst door een externe partij. De uitkomsten hiervan zijn input voor nieuwe maatregelen. Ondanks alle inspanningen kan het gebeuren dat er een incident plaatsvindt. Voor het omgaan met incidenten zijn processen ingericht. Een absolute veiligheid kan namelijk niet worden gegarandeerd. Als de Universiteit Leiden kennisneemt van een inbreuk op de beveiliging zullen wij de getroffen gebruikers op de hoogte stellen, zodat zij passende beschermende maatregelen kunnen nemen. Tevens zal de inbreuk zo spoedig mogelijk worden verholpen. Meldingsprocedures omvatten kennisgeving per e-mail of publicatie van een melding op onze website.
23
Bijlage 4. Template Risicoanalyse d.d. 17-02-2014
Het template bestaat uit twee onderdelen: 1. Achtergrondvragen bij de risicoanalyse 2. De risicoanalyse zelf 3. (De op te stellen rapportage) Ad.1 Achtergrondvragen risicoanalyse
A1
Wat is de naamsaanduiding van het systeem?
A2
Specificeer naam en bereikbaarheidsgegevens van de eigenaar en de functionele beheerder vermeld ook het bedrijfsonderdeel waaronder het systeem valt
A3
Scope: wat behoort tot het systeem en wat niet?
A4
Voor welke functionele doelen wordt het systeem gebruikt? denk hier aan hoofdfuncties als administratie, onderwijs, publieksinformatie etc., en aan doelgroepen van gebruikers
A5
Welke typen gegevens worden vastgelegd? denk aan structuur (teksten, tabellen, plaatjes) en inhoud (meetresultaten, personalia, locaties, financiën) e.d.
A6
Worden historische gegevens vastgelegd, dan wel weggeschreven naar andere media? bedoeld is hier een interne en/of externe archiveringsfunctie en de regelmaat waar en waarmee dit gebeurt
A7
Hoe lang worden gegevens online bewaard nadat ze bedrijfsmatig zijn afgehandeld? specificeer de termijnen, bijvoorbeeld na een jaarafsluiting of na diploma-uitreiking of pensionering
24
A8
Hoe vindt het transport van authenticatiegegevens plaats van en naar het systeem? zijn er client/server-verbindingen of webinterfaces? met welke communicatieprotocols?
A9
Hoeveel personen hebben mutatiebevoegdheden? maak hierbij onderscheid: autorisatie van gebruikers, mutatie van systeemtabellen, invoer van transacties e.d. vermeld ook de rechten van (externe) consultants bij uitbreiding of onderhoud
A10
Hoeveel personen hebben raadpleegbevoegdheden? maak hierbij onderscheid: autorisatie van gebruikers, raadplegen van systeemtabellen, raadplegen van transacties, e.d. Vermeld ook de rechten van (externe) consultants bij uitbreiding of onderhoud
A11
Wat zijn de bronsystemen van dit systeem? bijvoorbeeld van bronsystemen voor organisatorische of persoonsgebonden gegevens
A12
Wat zijn de doelsystemen (de afnemende systemen) van dit systeem? specificeer per afnemend systeem de naamsaanduiding en de naam van de eigenaar;
A13
Is er sprake van ‘fatale’ onderbrekingsmomenten? denk hierbij aan formele peildatumrapportages, incidentele massaverwerking, gegevensconversie, jaarafsluiting e.d.
A14
Aan welke wetgeving of regelgeving moet het systeem voldoen?
25
A15
Welke wettelijke bewaartermijnen zijn er voorgeschreven? denk hierbij aan de archiefwet, de wet bescherming persoonsgegevens, en fiscale of civiel-rechterlijke bewaartermijnen
A16
Wat is de juistheidsverwachting van de bedrijfsinformatie binnen het systeem? specificeer: laag, redelijk, hoog, zeer hoog
A17
Bevat het systeem informatie onder embargo of met een andere publicatiebeperking?
A18
Bevat het systeem persoonsgegevens?
A19
Welk type werkplekken zijn er voor raadpleging en/of mutatie van gegevens beschikbaar Kantoor/thuis/mobiel
A20
Hoe ziet het plaatje met de verbindingen tussen de systemen eruit?
26
Ad.2 De risicoanalyse zelf
Schadescenario’s nvt
L
M
Schade aan (hoofd) bedrijfsprocessen Beschikbaarheid < 3 uur Beschikbaarheid > week Exclusiviteit Integriteit Directe fin. schade Beschikbaarheid < 3 uur Beschikbaarheid > week Exclusiviteit Integriteit Overeenkomsten Beschikbaarheid < 3 uur Beschikbaarheid > week Exclusiviteit Integriteit Imagoschade Beschikbaarheid < 3 uur Beschikbaarheid > week Exclusiviteit Integriteit
27
H
Persoonsschade Beschikbaarheid < 3 uur Beschikbaarheid > week Exclusiviteit Integriteit Wet- en regelgeving en beleid Beschikbaarheid < 3 uur Beschikbaarheid > week Exclusiviteit Integriteit
NB. In het Excel spreadsheet van de risicoanalyse zijn de categorieën L(aag), M(idden) en H(oog) ingevuld zodat er een handvat is om de keuze te maken.
Ad. 3 De zelf op te stellen rapportage (Zelf op te stellen)
28
Bijlage 5. Verklaring omtrent Gedrag d.d. 2014
Voor medewerkers van het ISSC (in dienst en ingehuurd) en voor andere medewerkers met systeembeheerrechten geldt dat zij bij in dienst treden een Verklaring omtrent Gedrag moeten inleveren. Het ISSC vermeldt dit bij alle vacatures en inhuur van personeel: U krijgt in uw dagelijkse werk te maken met vertrouwelijke informatie. Voor deze functie vragen wij u om een Verklaring omtrent het gedrag (VOG). Deze verklaring is verkrijgbaar bij de afdeling Burgerzaken van de gemeente waar u staat ingeschreven. U krijgt de kosten hiervoor vergoed Een uitgebreide beschrijving van de VOG vindt u op de website http://www.rijksoverheid.nl/onderwerpen/verklaring-omtrent-het-gedrag
Bij het aangaan van contracten met derde partijen wordt opgenomen: De opdrachtnemer draagt vooraf zorg voor screening van de geleverde kandidaat/kandidaten op basis van een Verklaring omtrent Gedrag met de volgende functieaspecten; - bevoegdheid hebben tot het raadplegen en/of bewerken van systemen, - met gevoelige/vertrouwelijke informatie kunnen omgaan, - kennis dragen van veiligheidssystemen, controlemechanismen en verificatieprocessen. De VOG verklaring kan op verzoek aan de inlener worden overhandigd.
29
Bijlage 6. Het contract lokale beheersrechten d.d. aug. 2014
Het faculteitsbestuur/ bestuur van de eenheid stelt de volgende voorwaarden aan lokale beheer rechten: 1. Risico’s van het hebben van lokale beheer rechten liggen bij de aanvrager/ondertekenaar. Deze risico’s zijn o.a. de mogelijkheid om lokaal opgeslagen data te verliezen en de mogelijkheid dat standaard applicaties niet meer goed functioneren door zelf geïnstalleerde software of aanpassingen in instellingen. 2. De toegekende beheer rechten zijn persoonlijk en niet overdraagbaar. 3. De rechten worden alleen toegekend voor het verrichten van werkzaamheden in het kader van uw aanstelling bij de Universiteit Leiden. 4. Het ISSC verleent uitsluitend ondersteuning op het standaard gedeelte van de werkplek, waaronder de hardware, het OS en de standaard NUWD-applicaties. 5. De ondersteuning door het ISSC is op basis van redelijke inspanning, waarbij de standaard Service levels niet van toepassing zijn. 6. Het ISSC kan de werkplek indien gewenst of noodzakelijk in oorspronkelijke staat terugbrengen. Voordat deze handeling wordt uitgevoerd wordt persoonlijk contact opgenomen. 7. Voor zelf geïnstalleerde software geldt: o Software mag niet worden geïnstalleerd zonder geldige licentie en alleen in lijn met de geldende licentievoorwaarden. o Van zelf aangeschafte licenties dient een registratie te worden bijgehouden. o Ondertekenaar geeft het faculteitsbestuur/ bestuur van de eenheid toestemming om de werkplek waarop de lokale beheer rechten zijn toegekend en de daarop geïnstalleerde software periodiek en zonder aankondiging vooraf te (laten) inspecteren en hierover zo nodig te rapporteren. o Bij herinstallatie of vervanging van de werkplek is de ondertekenaar verantwoordelijk voor het opnieuw installeren / configureren van de door hemzelf gewenste toepassingen. 8. Het ISSC raadt het gebruik van de lokale disk(s) voor opslag van data sterk af. In geval van verlies van data op de lokale disk(s) is het ISSC hiervoor niet aansprakelijk. 9. Het is niet toegestaan om: o De virusscanner te wijzigen of te verwijderen o De netwerkinstellingen te wijzigen o Accounts en services die voor het beheer door het ISSC noodzakelijk zijn uit te schakelen dan wel te blokkeren. 10. In geval van herhaald onkundig gebruik of misbruik is het ISSC gerechtigd om de werkplek (tijdelijk) van het netwerk af te sluiten en om ondertekenaar zijn lokale beheer rechten te ontnemen. Betreft werkplek: ______________________________ Naam: __________________________________________ Datum: __-__-____ Voor akkoord: __________________________________________ (handtekening) Service request nummer: ______________________________
30
Bijlage 7. Gebruikersvoorwaarden ULCN account
Gedragsregels Wettelijk
De Universiteit Leiden respecteert binnen de grenzen van de wet de vrijheid van meningsuiting. Voor het gebruik van universitaire voorzieningen gelden wettelijke gedragsregels (bijvoorbeeld laster). Bepaalde vormen van computermisbruik (bijvoorbeeld hacken) vallen onder de strafwetgeving.
Overig
De universiteit stelt naleving van de gangbare internet gedragsregels verplicht. Elektronische communicatie stelt hogere eisen op het gebied van zorgvuldigheid, beleefdheid, e.d. Beledigende, bedreigende of obscene taal is niet toegestaan. Bij elektronische communicatie gelden de standaard gedragsregels bij het gebruik van geschreven of gesproken communicatie.
Gebruik van universitaire voorzieningen Doeleinden
Het is verboden universitaire voorzieningen te gebruiken voor doeleinden die onverenigbaar zijn met de doeleinden van de universiteit. De universitaire voorzieningen zijn primair bedoeld voor onderwijs en onderzoek en dat heeft voorrang boven al het andere gebruik. Het is verboden universitaire voorzieningen te gebruiken voor commerciële doeleinden, tenzij hiervoor toestemming is verleend.
Beeldvorming
Uw gebruik van universitaire voorzieningen associëren anderen met activiteiten van de Universiteit Leiden of veronderstellen dat die instelling uw werkzaamheden heeft goedgekeurd. De naam van de Universiteit Leiden kan schade oplopen indien uw gebruik niet duidelijk is gerelateerd aan onderwijs of onderzoek. Geef om misverstanden te voorkomen zonodig aan dat u persoonlijk verantwoordelijk bent voor de door u verspreide gegevens.
Software en hardware
Gebruik universitaire voorzieningen op een zorgvuldige wijze. Het is verboden om de goede werking van universitaire computers en netwerken te verstoren. Het gebruik van universitaire computers of netwerken mag niet leiden tot schade voor anderen. Diefstal of vernieling van universitaire voorzieningen wordt aangegeven bij de politie.
31
Het aansluiten van eigen apparatuur (laptop, USB-stick) mag niet leiden tot verstoringen in het netwerk. Laptops mogen alleen aangesloten worden op daarvoor aangewezen plekken.
Beveiliging
Het is verboden om beveiligingsmaatregelen van de Universiteit Leiden en andere instellingen te omzeilen. Het is verboden om hiaten in een beveiliging op te sporen en/of te gebruiken. Het is verboden om in te breken op de beveiliging van computersystemen of om deze zonder toestemming te "testen". Het is verboden om beveiligingslekken te verspreiden. Geef deze door aan de Helpdesk van het ISSC.
Accounts en wachtwoorden Elke gebruiker is persoonlijk aansprakelijk voor het gebruik van accounts en wachtwoorden die door de Universiteit Leiden aan haar/hem zijn uitgereikt. Wachtwoorden worden als privé-eigendom van een gebruiker gezien. Het is verboden om accountgegevens aan derden (zoals collega's, studenten, vrienden of familieleden) door te geven. Het is verboden om derden met uw persoonlijk toegewezen account toegang te verlenen tot universitaire voorzieningen. Het is verboden en in sommige gevallen strafbaar om op onrechtmatige wijze in het bezit te komen van de beveiligde identificatie-informatie (zoals wachtwoorden en PINcodes) van andere personen. Pogingen tot het omzeilen van een accountsysteem of het onrechtmatig gebruik van het account van een ander wordt door de universiteit beschouwd als een vorm van (poging tot) diefstal. Communicatie Het is verboden om spam te verzenden. Het is verboden kettingbrieven per mail te verzenden. Het is verboden om zich als een andere gebruiker voor te doen (bijvoorbeeld een ander e-mailadres als afzender opgeven). Anonieme communicatie is in de wetenschappelijke omgeving over het algemeen niet gebruikelijk. Vertrouwelijkheid Vertrouwelijke gegevens
Behandel alle gegevens vertrouwelijk (bestanden, mail, loggegevens en backups). Het is verboden gegevens in te zien of te gebruiken, ondanks dat deze door de eigenaar onvoldoende zijn afgeschermd. Het is verboden onbeveiligde persoonsgebonden gegevens (zoals gebruikersnaam, mailadres en geopende bestanden) te gebruiken als hiermee de privacy wordt geschonden. Het is verboden om systematisch het computergebruik te monitoren of af te luisteren. Het is verboden gegevens uit universitaire adresboeken ter beschikking te stellen aan derden.
32
Vertrouwelijkheid doorbreken In de volgende gevallen mogen bevoegde personen vertrouwelijke gegevens inzien: bij onderzoek naar een strafbaar feit bij overtreding van de spelregels bij wettelijke verplichting bij inroepen van hulp helpdesk door gebruiker bij voorkomen of verhelpen van schade Intellectueel eigendomsrecht Academische producten (computerprogramma's en documenten) zijn auteursrechtelijk beschermd. Er is toestemming van de eigenaar nodig om deze gegevens te dupliceren, gebruiken of distribueren. Het opvragen, bekijken, verzamelen, samenvoegen of gebruiken van gegevens of programma's zonder toestemming van de rechthebbende kan een inbreuk zijn op diens rechten. Overtreding van de spelregels Computer- of netwerkmisbruik wordt direct gemeld aan het faculteitsbestuur of de directie van de desbetreffende eenheid, waarna nader onderzoek volgt en/of disciplinaire acties worden opgelegd. Hangende het onderzoek kan de toegang tot universitaire voorzieningen tijdelijk worden ontzegd. Aansprakelijkheid De Universiteit Leiden is niet aansprakelijk voor verlies van gegevens en tijd als gevolg van computer- en netwerkstoringen. De Universiteit Leiden voorziet niet in compensatie bij verlies van persoonlijke bestanden, software en hardware, welke het gevolg zijn van het gebruik van universitaire voorzieningen.
33