Universiteit van Amsterdam. Baseline Informatiebeveiliging

UNIVERSITEIT VAN AMSTERDAM Informatiseringscentrum

Universiteit van Amsterdam Baseline Informatiebeveiliging 2010

Voor akkoord getekend: leidinggevende

klant

naam, [functie]

naam, [functie]

d.d.

d.d.

Bestandsnaam : Versie : Datum :

Baseline IB 2010 V01.doc 0.1 = concept, ter bespreking 01-11-2009

Auteur : Type : Project :

R. Boontje, B. Visser, J. van Dongen Beleidsdocument Informatiebeveiliging (IB)

1/26


Het lege document Doel van dit document is om het basisstelsel van beveiligingsmaatregelen te beschrijven.

Documentbeheer versie

datum

0.1

01-11-2009


distributie


status

wijzigingen op hoofdpunten

Concept ter bespreking

n.v.t.



2/26

UNIVERSITEIT VAN AMSTERDAM Informatiseringscentrum Inhoudsopgave Inhoudsopgave........................................................................................................................................................3 1

Over de baseline..........................................................................................................................................5 1.1 1.2 1.3 1.4

2

3

Inleiding............................................................................................................................................ 5 Beveiligingsniveaus.......................................................................................................................... 5 Classificatie van informatie .............................................................................................................. 6 Het kiezen van een niveau ................................................................................................................ 7

Informatiebeveiliging algemeen.................................................................................................................9 2.1

Omgaan met studenten ..................................................................................................................... 9

2.2

Omgaan met medewerkers ............................................................................................................... 9

2.3 2.4 2.5 2.6 2.7

Omgaan met derden.......................................................................................................................... 9 Geheimhoudingsclausule in overeenkomsten................................................................................. 10 Verantwoordelijkheden voor bedrijfsmiddelen .............................................................................. 10 Contact met special interest groepen .............................................................................................. 11 Controle op naleving ...................................................................................................................... 11

2.1.1 2.1.2 2.2.1 2.2.2

2.7.1 2.7.2

Voor aanvang van een studie of cursus ........................................................................................................................ 9 Gedurende de studie...................................................................................................................................................... 9 Voor indiensttreding ..................................................................................................................................................... 9 Gedurende het dienstverband ....................................................................................................................................... 9

Onafhankelijke interne beoordeling ........................................................................................................................... 11 Externe controle .......................................................................................................................................................... 11

Inrichting en ontwikkeling van de informatievoorziening ....................................................................12 3.1 3.2

Toevoegen van nieuwe ICT functionaliteit .................................................................................... 12 Ontwikkeling en/of verwerving van nieuwe ICT systemen............................................................ 12

3.3 3.4 3.5 3.6 3.7 3.8 3.9

Inrichting van serversystemen ........................................................................................................ 13 Inrichting van netwerken ................................................................................................................ 13 Inrichting toegangsbeveiliging van ICT systemen ......................................................................... 14 Inrichting authenticatie van gebruikers .......................................................................................... 14 Inrichting van logging .................................................................................................................... 15 Plaatsing van apparatuur................................................................................................................. 16 Inrichting van server- en archiefruimten ........................................................................................ 16

3.2.1 3.2.2 3.2.3 3.2.4 3.2.5

3.9.1 3.9.2 3.9.3 3.9.4 3.9.5 3.9.6

Betrokkenheid beveiligingsspecialist ......................................................................................................................... 12 Scheiding van test/ontwikkel- en productieomgevingen ........................................................................................... 12 Gebruik van productiegegevens in test en ontwikkelomgevingen............................................................................. 12 Veiligheids Acceptatie Test........................................................................................................................................ 12 Wijzigingsprocedure................................................................................................................................................... 13

Omgeving van de ruimte ............................................................................................................................................ 16 Locatie......................................................................................................................................................................... 16 Inrichting..................................................................................................................................................................... 17 Brandbestrijdingsmiddelen ......................................................................................................................................... 17 Binnenklimaat ............................................................................................................................................................. 17 Energievoorziening..................................................................................................................................................... 17

3.10 Inrichting van werkruimten ............................................................................................................ 17 3.11 Inrichting van werkstations ............................................................................................................ 18 3.12 Inrichting van mobiele toegang/toegang op afstand ....................................................................... 18 3.12.1 Mobiele toegang ......................................................................................................................................................... 18 3.12.2 Mobiele apparatuur ..................................................................................................................................................... 19

4

Beheer en onderhoud van de informatievoorziening .............................................................................19 4.1 4.2

Beheer van wijzigingen in de ICT omgeving ................................................................................. 19 Toegangsbeheer voor ICT systemen .............................................................................................. 19

4.3

Toegangsbeheer server- en archiefruimten..................................................................................... 20


4.2.1 4.2.2 4.2.3

Toegang op netwerk niveau........................................................................................................................................ 19 Toegang op systeemniveau......................................................................................................................................... 20 Autorisaties op applicatieniveau................................................................................................................................. 20




3/26

UNIVERSITEIT VAN AMSTERDAM Informatiseringscentrum 4.4 4.5 4.6 4.7 4.8 4.9 5

6

Aanbrengen van veiligheidsupdates ............................................................................................... 20 Backup van gegevens ..................................................................................................................... 20 Controleren van systeemlogs.......................................................................................................... 21 Registratie en afhandeling van beveiligingsincidenten................................................................... 21 Capaciteitsbeheer............................................................................................................................ 22 Testen van continuïteitsvoorzieningen ........................................................................................... 22

Beëindiging van de informatievoorziening .............................................................................................22 5.1

Beëindiging personele omgang ...................................................................................................... 22

5.2

Afdanken van media....................................................................................................................... 23

5.1.1 5.1.2 5.1.3

Na afloop van de studie door student ......................................................................................................................... 22 Bij beëindiging van het dienstverband met medewerker ........................................................................................... 22 Bij beëindiging van contract met derden.................................................................................................................... 23

Gebruik van de informatievoorziening ...................................................................................................24 6.1 6.2 6.3 6.4 6.5 6.6


Gebruiksvoorwaarden UvA ICT voorzieningen............................................................................. 24 Werken in server- of archiefruimten............................................................................................... 24 Omgaan met gerubriceerde informatie ........................................................................................... 24 Uitwisseling van informatie............................................................................................................ 25 Gebruik op afstand (telewerken/mobiel) ........................................................................................ 26 Melden van incidenten ................................................................................................................... 26




4/26


1

Over de baseline

1.1

Inleiding Deze baseline moet beschouwd worden als het algemeen geldend minimumniveau van eisen voor beveiliging binnen de UvA. Hieraan dienen alle informatiesystemen te voldoen, om te beginnen de concerninformatiesystemen. De beschreven maatregelen zijn een combinatie van best-practices, bestaande UvA praktijk en ervaring van de samenstellers. Bij het samenstellen van de inhoud is primair uitgegaan van de laatste versie van de Code voor Informatiebeveiliging (NEN norm), echter de structuur van de Code is omwille van de toegankelijkheid niet aangehouden. Wel is in de baseline elk aandachtsgebied uit de Code beschreven. De structuur die is aangehouden in dit document volgt in grote lijnen de levenscyclus van de informatievoorziening: inrichting, beheer, gebruik en afdanken. De diverse onderwerpen kunnen in de verschillende stadia aan bod komen, echter nergens vindt een “herhaling van zetten” plaats. D.w.z. alle richtlijnen omtrent het veilig inrichten zijn te vinden onder “inrichting”, alle richtlijnen t.b.v. beheer zijn te vinden onder “beheer” enzovoorts. Enkele onderdelen passen niet direct in deze structuur, veelal omdat ze een overkoepelend karakter hebben. Hiervoor is dan ook een hoofdstuk “informatiebeveiliging algemeen” toegevoegd. Beschreven beveiligingsmaatregelen kunnen verder worden uitgewerkt in specifieke policies, procedures e.d..

1.2

Beveiligingsniveaus Implementatie van het basis beveiligingsniveau (aangehaald als “de baseline”) biedt bescherming tegen verlies van vertrouwelijkheid, verlies van integriteit en permanent verlies van gegevens door alledaagse niet-gerichte dreigingen zoals virussen, stroomuitval, hardware fouten, “script-kiddie” aanvallen en basale fouten van beheerders. Let wel: over beschikbaarheid worden geen expliciete uitspraken gedaan op dit niveau (“best effort”). Soms is meer bescherming nodig dan het basisniveau kan bieden. Bijvoorbeeld tegen gerichte aanvallen – een aanvaller wil om een bepaalde reden niet “een systeem” hacken, maar persé “dáat systeem”. Of beschikbaarheid is van zo'n groot belang dat “best effort” niet meer voldoende is. In die gevallen kunnen 1 of meerdere aanvullingen worden geïmplementeerd. De volgende aanvullingen zijn beschikbaar: 

“V-Hoog” (aangehaald als “de baseline V-Hoog”) Biedt naast de basisbescherming tegen compromittatie van gegevens tevens bescherming tegen toegang tot gegevens door gerichte aanvallen van nietprofessionele aanvallers met een in zekere mate beperkt kennis en middelen niveau en fysieke toegang tot het UvAnet.



I-Hoog (aangehaald als “de baseline I-Hoog”) Biedt naast de basisbescherming tegen ongeautoriseerde wijziging of vernietiging van gegevens tevens verhoogde bescherming tegen ongeautoriseerde wijziging of vernietiging van gegevens door technisch falen en gericht handelen van personen. Ongeautoriseerde wijziging of vernietiging kan wel optreden, maar is op dit niveau doorgaans tegen redelijke meerkosten te herstellen.




“B-Hoog” (“de baseline B-Hoog”)




5/26

UNIVERSITEIT VAN AMSTERDAM Informatiseringscentrum Biedt naast de basisbescherming tegen uitval en verlies tevens een verhoogde bescherming tegen verlies en uitval als gevolg van technisch falen door middel van toepassing van noodstroom (geschikt om langdurige stroomonderbreking op te vangen) en redundante voedingen/voedingslijnen. Op dit niveau is nog geen sprake van algehele systeem-redundantie of bescherming tegen bewust veroorzaakte uitval. Uitval is dus wel mogelijk, maar de kans is aanzienlijk kleiner t.o.v. het basisniveau door toepassing van noodstroom en enige redundantie op hardware niveau. Dit niveau is tegen redelijke meerkosten te realiseren. 

“V-Zeer Hoog” De baseline beschrijft geen maatregelen voor dit niveau, voor dit niveau is altijd sprake van maatwerk. Het biedt naast de bescherming van niveau “V-Hoog” tevens bescherming tegen toegang tot gegevens door gerichte aanvallen van professionele aanvallers met veel kennis en middelen en fysieke toegang tot het UvAnet. Toegang tot gegevens is op dit niveau zeer lastig. Het realiseren van dit niveau brengt echter doorgaans (zeer) hoge kosten met zich mee en levert vaak aanzienlijk ongemak op voor de eindgebruiker.



I-Zeer Hoog”. De baseline beschrijft geen maatregelen voor dit niveau, voor dit niveau is altijd sprake van maatwerk. Het biedt naast de bescherming van niveau “I-Hoog” tevens bescherming tegen wijziging of vernietiging van gegevens door ernstig technisch falende apparatuur of gerichte aanvallen van professionele frauderende handelingen. Het realiseren van dit niveau brengt doorgaans hoge kosten met zich mee.



“B-Zeer Hoog” De baseline beschrijft geen maatregelen voor dit niveau, voor dit niveau is altijd sprake van maatwerk. Het biedt naast de basisbescherming van niveau “B-Hoog” tegen uitval en verlies tevens een zeer hoge bescherming tegen verlies en uitval (ongeacht de oorzaak, al dan niet moedwillig) door o.a. algehele systeemredundantie en noodstroomvoorzieningen (geschikt om langdurige stroomonderbreking op te vangen) Daarnaast kan gedacht worden aan het afsluiten van hoogwaardige servicecontracten met leveranciers (bv. 7 dagen per week) en het 7 dagen per week “monitoren” van het systeem. Uitval is bij dit beschermingsniveau zeer zeldzaam. Het realiseren van dit niveau brengt doorgaans hoge kosten met zich mee.

De “B” staat voor Beschikbaarheid, de “I” staat voor Integriteit”en de “V” staat voor “Vertrouwelijkheid” . In de baseline wordt voor iedere maatregel een minimale richtlijn beschreven en optioneel aanvullende richtlijnen voor de genoemde aanvullingen. NOOT: in deze versie van de baseline ligt het accent op het basisniveau. In volgende versies worden aanvullende normen en maatregelen per verantwoordelijkheidsgebied uitgewerkt om daardoor op een hoger beveiligingsniveau uit te komen. 1.3

Classificatie van informatie In het beleidsdocument voor informatiebeveiliging zijn de drie beveiligingsaspecten vertrouwelijkheid, integriteit en beschikbaarheid nader toegelicht. Deze spelen een rol bij de classificatie van informatie. De UvA onderscheidt de volgende informatieklassen ten aanzien van gevoeligheid/vertrouwelijkheid van informatie:





6/26

UNIVERSITEIT VAN AMSTERDAM Informatiseringscentrum 

Openbaar: Kennisneming brengt geen schade toe aan de belangen van de UvA, haar medewerkers of haar klanten;



UvA intern: Kennisneming door enig lid van de UvA gemeenschap brengt geen schade toe aan de belangen van de UvA, haar medewerkers of haar klanten. Kennisneming door personen buiten de UvA gemeenschap kan mogelijk enig ongemak/lichte schade veroorzaken voor de UvA, haar medewerkers of haar klanten maar is vooral niet nodig. De categorie “UvA intern” verdient wellicht een toelichting. Een voorbeeld kan zijn een applicatie voor het reserveren van zaaltjes t.b.v. overleg. In beginsel is het niet erg dat een ieder via Internet kennis kan nemen van de diverse reserveringen (wijzigen is wellicht een ander verhaal). Aan de andere kant: wat hebben niet-UvA'-medewerkers er mee te maken? En het is een kleine moeite om vrije toegang te beperken tot de UvA gemeenschap – en daarmee wordt eventueel misbruik wellicht niet voorkomen, maar wel beter beheersbaar gemaakt;



Vertrouwelijk: Kennisneming door niet-gerechtigden kan schade toebrengen aan de belangen van de UvA, haar medewerkers, haar klanten of andere betrokkenen;



Zeer vertrouwelijk of geheim: Kennisneming door niet-gerechtigden kan ernstige schade toebrengen aan de belangen van de UvA, haar medewerkers, haar klanten of andere betrokkenen.

Ten aanzien van juistheid, tijdigheid en volledigheid van informatie, d.w.z. integriteit, worden de volgende klassen onderscheiden: 

Niet vitaal: Ongewenste toevoeging, wijziging of vernietiging van gegevens brengt geen merkbare schade toe aan de belangen van de UvA, haar medewerkers of haar klanten;



Vitaal: Ongewenste toevoeging, wijziging of vernietiging van gegevens brengt merkbare schade toe aan de belangen van de UvA, haar medewerkers of haar klanten, maar is niet onomkeerbaar;



Zeer vitaal: Ongewenste toevoeging, wijziging of vernietiging van gegevens kan ernstige of onomkeerbare schade toebrengen aan de belangen van de UvA, haar medewerkers, haar klanten of andere betrokkenen.

Ten aanzien van het belang van informatie, hetgeen tot uiting komt in beschikbaarheidseisen, worden de volgende klassen onderscheiden:

1.4



Niet vitaal: algeheel niet beschikbaar zijn van deze informatie gedurende langer dan 1 week brengt geen merkbare schade toe aan de belangen van de UvA, haar medewerkers of haar klanten;



Vitaal: algeheel niet beschikbaar zijn van deze informatie gedurende langer dan 1 week brengt merkbare schade toe aan de belangen van de UvA, haar medewerkers of haar klanten;



Zeer vitaal: algeheel niet beschikbaar zijn van deze informatie gedurende langer dan 1 etmaal brengt merkbare schade toe aan de belangen van de UvA, haar medewerkers of haar klanten.

Het kiezen van een niveau Welk beveiligingsniveau geschikt is voor een bepaald informatiesysteem hangt af van de classificatie van de informatie die het systeem verwerkt. Bedoeld wordt informatie in elke verschijningsvorm. Dit is ongeacht het medium (zoals beeldscherm, papier, USB-stick, etc.).





7/26

UNIVERSITEIT VAN AMSTERDAM Informatiseringscentrum De classificatie dient door of namens de eigenaar van het betreffende informatiesysteem of verantwoordelijkheidsgebied (hierna: Eigenaar) te worden bepaald. Onderstaande tabel geeft weer welk beveiligingsniveau bij welke klasse van informatie behoort:

Vertrouwelijkheid Openbaar

Basisbescherming

UvA-Intern

Basisbescherming

Vertrouwelijk

Hoog

Zeer vertrouwelijk

Zeer Hoog

Integriteit Niet vitaal

Basisbescherming

Vitaal

Hoog

Zeer vitaal

Zeer Hoog

Beschikbaarheid


Niet vitaal

Basisbescherming

Vitaal

Hoog

Zeer vitaal

Zeer Hoog




8/26


2

Informatiebeveiliging algemeen

2.1

Omgaan met studenten

2.1.1

Voor aanvang van een studie of cursus Elke student die gebruik zal maken van UvA ICT-faciliteiten, ontvangt daarvoor een UvAnetID en wordt uiterlijk bij aanvang van het gebruik door of namens de verantwoordelijke gemandateerde verzocht akkoord te gaan met het Reglement UvAnet en bijbehorende ICT-gedragsregels.

2.1.2

Gedurende de studie Op UvA niveau worden onder verantwoordelijkheid van de Manager Informatiebeveiliging ten behoeve van studenten periodiek bewustwordingsactiviteiten op het gebied van informatiebeveiliging georganiseerd. Bij het overtreden van beveiligingsvoorschriften kunnen corrigerende maatregelen genomen worden, waarbij gebruik gemaakt wordt van een standaard procedure conform paragraaf 7.2 (Naleving) uit het informatiebeveiligingsbeleid.

2.2

Omgaan met medewerkers

2.2.1

Voor indiensttreding Elke medewerker die werkzaam zal zijn voor de UvA en gebruik zal maken van UvA ICT-faciliteiten ontvangt daarvoor een UvAnetID en wordt uiterlijk bij aanvang van het gebruik door of namens de gemandateerde (veelal de leidinggevende) verzocht akkoord te gaan met het Reglement UvAnet en bijbehorende ICT-gedragsregels. Voor aangestelde of gecontracteerde kandidaten die binnen de UvA als onderdeel van hun werk toegang zullen krijgen tot als Vertrouwelijk of hoger geclassificeerde informatie, zorgt P&O voor tenminste de volgende controles:

2.2.2



controleren van tenminste 2 referenties (nabellen);



originele diploma's laten zien (geen kopie);



origineel paspoort tonen (geen kopie);



een VOG (verklaring omtrent gedrag), profiel onderwijs.

Gedurende het dienstverband Op UvA niveau worden onder verantwoordelijkheid van de manager informatiebeveiliging ten behoeve van het personeel periodiek bewustwordingsactiviteiten op het gebied van informatiebeveiliging georganiseerd. Bij het overtreden van beveiligingsvoorschriften kunnen corrigerende maatregelen genomen worden, waarbij gebruik gemaakt wordt van een standaard procedure conform paragraaf 7.2 uit het informatiebeveiligingsbeleid.

2.3

Omgaan met derden In contracten met derden zijn de noodzakelijke informatiebeveiligingsvoorwaarden opgenomen. De verantwoordelijkheid hiervoor ligt bij de in het contract genoemde gemandateerde namens de UvA.





9/26

UNIVERSITEIT VAN AMSTERDAM Informatiseringscentrum In deze voorwaarden zijn tenminste opgenomen: 

De redenen, eisen en voordelen die de toegang door derden noodzakelijk maken;



Beschrijving van de diensten die beschikbaar moeten worden gesteld;



Respectievelijke aansprakelijkheden van de partijen in de overeenkomst;



Toegestane toegangsmethoden en beheer en gebruik van toegangscodes en wachtwoorden;



Autorisatieproces voor gebruikerstoegang en privileges van gebruikers;



Indien de gebruikersadministratie niet door de UvA plaats vindt: de verplichting tot het bijhouden van een overzicht van personen die bevoegd zijn de ter beschikking gestelde dienst te gebruiken, en wat hun rechten en privileges zijn ten aanzien van een degelijk gebruik;



De opmerking dat alle toegang die niet expliciet is toegestaan, verboden is;



Een proces om toegangsrechten te herroepen of de verbinding tussen systemen af te breken;



Gestelde eisen t.a.v. uitwisseling van informatie (conform paragraaf 5.4).

Medewerkers van gecontracteerde derden dienen verwezen te worden naar het Reglement UvAnet en bijbehorende ICT gedragsregels. Van deze medewerkers kan een verklaring verlangd worden ten aanzien van geheimhouding en het voldoen aan het reglement en de gedragsregels. Controle en beoordeling van dienstverlening door (medewerkers van )derden is eveneens een taak van de in het contract genoemde gemandateerde. Hij behoort te waarborgen dat de voorwaarden van de overeenkomsten voor de informatiebeveiliging worden nageleefd en dat informatiebeveiligingsincidenten en problemen goed worden afgehandeld. Hiertoe draagt hij zorg voor een goede relatie tussen de UvA en de dienstverlenende partij en verifieert hij steekproefsgewijs of afspraken worden nagekomen. 2.4

Geheimhoudingsclausule in overeenkomsten In aanstellingen en overeenkomsten waarbij geheimhouding van informatie vereist is worden expliciete eisen opgenomen om vertrouwelijkheid van informatie te waarborgen. Deze overeenkomsten moeten in overeenstemming zijn met geldende wet- en regelgeving op dit gebied. In de eisen worden tenminste vastgelegd:

2.5



Definitie, eigendom en toegestaan gebruik van vertrouwelijke informatie;



Duur van de overeenkomst, verantwoordelijkheden van betrokkenen;



Het recht om activiteiten inzake waarborging van vertrouwelijkheid te controleren;



Vereiste activiteiten ter waarborging van de vertrouwelijkheid;



Rapportage bij overtreding en sanctiebepalingen bij overtreding.

Verantwoordelijkheden voor bedrijfsmiddelen De verschillende verantwoordelijkheden op dit vlak zijn beschreven in hoofdstuk 2 van het informatiebeveiligingsbeleid. Kortheidshalve wordt hiernaar verwezen.





10/26

UNIVERSITEIT VAN AMSTERDAM Informatiseringscentrum 2.6

Contact met special interest groepen De UvA informatiebeveiligingsfunctionarissen nemen deel in het landelijke overleg van informatiebeveiligers in het hoger onderwijs (Surf IBO). CERT-UvA onderhoudt nauwe samenwerkingscontacten met Surfnet-CERT en CERT-teams van andere universiteiten. Daarnaast nemen de UvA informatiebeveiligingsfunctionarissen deel aan professionaliseringsactiviteiten bij organisaties zoals Platform voor Informatiebeveiliging (PvIB), e.d.

2.7

Controle op naleving

2.7.1

Onafhankelijke interne beoordeling De onafhankelijke interne beoordeling van de implementatie van het informatiebeveiligingsbeleid wordt uitgevoerd door de afdeling Concern Control. In overleg tussen Central Security Officer en Hoofd Concern Control worden uit te voeren beoordelingsactiviteiten afgesproken. Jaarlijks neemt de afdeling Concern Control de in dit kader uit te voeren activiteiten in haar audit jaarplan op. Rapportage is gericht aan de Central Security Officer.

2.7.2

Externe controle De externe controle van belangrijke onderdelen van het beveiligingsstelsel en de maatregelen zal in het kader van de werkzaamheden op het gebied van de jaarrekening jaarlijks plaatsvinden. Rapportage vindt plaats aan het CvB, de Central Security Officer en Directeur IC. Aanvullende externe beoordeling van de algemene kwaliteit van de informatiebeveiliging vindt in opdracht van de Central Security Officer plaats door een onafhankelijke externe partij. Rapportage vindt plaats aan de Central Security Officer.





11/26


3

Inrichting en ontwikkeling van de informatievoorziening

3.1

Toevoegen van nieuwe ICT functionaliteit Bij het opnemen van nieuwe ICT functionaliteit binnen de heersende ICT architectuur dient toestemming te zijn verkregen van zowel de Eigenaar als de Directeur IC. Tevens dient de goedkeuringsprocedure (zie 4.1) te worden gerespecteerd en dienen de diverse testen te zijn afgerond (zie 3.2.4).

3.2

Ontwikkeling en/of verwerving van nieuwe ICT systemen

3.2.1

Betrokkenheid beveiligingsspecialist Bij iedere nieuwe ontwikkeling dient vanaf het begin een beveiligingsspecialist betrokken te zijn. Afhankelijk van de aard van het systeem kan dit een Applicatie Specialist IB en/of een Infrastructuur Specialist IB zijn (zie hoofdstuk 2 van het informatiebeveiligingsbeleid). De betrokken beveiligingsspecialist en de projectleider voeren gezamenlijk een veiligheidsintake uit. Tijdens deze intake wordt bepaald welke beveiligingsaspecten van belang zijn en op welke wijze toetsing hiervan dient plaats te vinden. Gedurende het ontwikkelingstraject dienen deze aspecten getoetst te worden aan de hand van de tijdens de intake vastgestelde criteria. Voor systemen waarvoor het beveiligingsniveau “Hoog” is, geldt dat als onderdeel van het ontwikkelingstraject een onafhankelijke (d.w.z. niet bij de ontwikkeling/verwerving betrokken) informatiebeveiligingsdeskundige het systeem aan een algeheel veiligheidsonderzoek moet onderwerpen. Alle tijdens dit onderzoek ontdekte manco's moeten ofwel worden verholpen of door zowel de Eigenaar als de bij het project betrokken Specialist Informatiebeveiliging als “geaccepteerd risico” aangemerkt worden. Van de bevindingen alsmede eventueel geaccepteerde risico's wordt rapport opgemaakt. Dit rapport wordt ter beschikking gesteld aan de Eigenaar en aan de Manager Informatiebeveiliging. Het beschikbaar zijn van dit rapport is een criterium voor het slagen van de veiligheids acceptatie test.

3.2.2

Scheiding van test/ontwikkel- en productieomgevingen Er moeten verschillende, gescheiden omgevingen zijn voor testen/ontwikkeling en productie e.d. Tijdens transporten tussen de omgevingen dienen de vereiste beveiligingsmaatregelen gehandhaafd te blijven (zie ook 4.1 – Beheer van wijzigingen in de ICT omgeving).

3.2.3

Gebruik van productiegegevens in test en ontwikkelomgevingen Gegevens uit de productieomgevingen mogen niet gebruikt worden in test of ontwikkelomgevingen behoudens met de expliciete toestemming van zowel de Eigenaar als de Manager Informatiebeveiliging. Zij kunnen deze toestemming zowel onvoorwaardelijk als onder voorwaarden (bijvoorbeeld: dé-personificeren) verlenen. Indien deze toestemming in het geheel niet wordt verkregen zal in de test- of ontwikkelomgeving gewerkt moeten worden met speciaal voor dat doel samengestelde gegevensverzamelingen.

3.2.4

Veiligheids Acceptatie Test Alvorens een nieuw (of aanzienlijk gewijzigd) ICT systeem toe te voegen aan de productie omgeving moet expliciet geverifieerd worden of alle aspecten die bij de start





12/26

UNIVERSITEIT VAN AMSTERDAM Informatiseringscentrum van de ontwikkeling (tijdens de intake, zie 3.2.1) zijn aangemerkt als belangrijk, ook daadwerkelijk getoetst zijn en voldoen aan de gestelde criteria. Van deze check wordt apart rapport opgemaakt en dit rapport wordt ter beschikking gesteld aan de Eigenaar en de Manager Informatiebeveiliging. 3.2.5

Wijzigingsprocedure Voor het aanbrengen van wijzigingen aan de bestaande ICT omgeving is formele goedkeuring nodig. Zie hiervoor 4.1.

3.3

Inrichting van serversystemen Serversystemen worden ingericht op basis van een inrichtingsstandaard. Deze standaard wordt vastgesteld (i.c. goedgekeurd) door de Infrastructuur Specialist IB. Aanbevolen wordt om hierbij gebruik te maken van reeds beschikbare en betrouwbare bronnen zoals de baselines van o.a. leveranciers. Ook moet bij de inrichting van serversystemen rekening gehouden worden met het kunnen voldoen aan de vereisten voor het maken van backups van gegevens (zie paragraaf 4.5), het aanbrengen van veiligheidsupdates (zie paragraaf 4.4), logging (zie paragraaf 3.7), authenticatie van gebruikers (zie paragraaf 3.6) en het voeren van capaciteitsbeheer (zie paragraaf 4.8). Ten behoeve van het detecteren van ongewenste wijzigingen dienen alle serversystemen voorzien te zijn van een host-based intrusion detection systeem dat tenminste periodiek de integriteit van alle belangrijke systeembestanden verifieert. Tevens dienen maatregelen genomen te worden om de integriteit van de door deze systemen gebruikte database met checksums te waarborgen1. Ten behoeve van capaciteitsbeheer dienen alle serversystemen voorzien te zijn van middelen om het CPU en geheugen gebruik centraal te kunnen monitoren. Voor servers welke bedoeld zijn om ingezet te worden op beveiligingsniveau “BHoog” is het noodzakelijk dat deze zijn uitgerust met redundant uitgevoerde voeding en opslag. Houdt tevens rekening met het gestelde in paragraaf 3.5 aangaande het “least privilege” beginsel.

3.4

Inrichting van netwerken Voor de inrichting van netwerken gelden vanuit het oogpunt van beveiliging de volgende richtlijnen:

1 2 3



netwerken moeten worden verdeeld in segmenten met een gelijk functioneel doel en/of gelijk gebruiksrisico2;



verkeer tussen de verschillende segmenten is alleen toegestaan indien noodzakelijk en legitiem (“deny by default”);



middels technische maatregelen moet zoveel als (technisch) mogelijk worden afgedwongen dat alleen bekende/vertrouwde systemen in een netwerksegment aanwezig zijn3;

Een mogelijkheid is om deze database op een ander systeem te bewaren en steeds vlak voor de check deze te laten downloaden. Denk hierbij aan laptops, wel/niet door IC beheerde werkstations, gasten, serversystemen etc. Een “laptop net” voor bijvoorbeeld bezoekers of de eigen laptop van studenten zou een uitzondering op deze regel kunnen zijn. In voorkomende gevallen zal echter het verkeer van en naar dit segment zeer strikt moeten worden gereguleerd.





13/26


3.5

ten behoeve van netwerkbeheer dient voorzien te zijn in middelen om de hoeveelheid en de aard van het netwerkverkeer op en tussen de verschillende segmenten te kunnen monitoren.

Inrichting toegangsbeveiliging van ICT systemen De zichtbaarheid van een systeem moet zoveel als technisch mogelijk is beperkt worden tot die gebruikers die legitiem toegang hebben tot het systeem. Systemen waarvoor het beveiligingsniveau “V-Hoog” of “I-Hoog”geldt, mogen niet benaderbaar zijn over Internet of via draadloze netwerkverbindingen, behoudens via de UvA VPN faciliteit. Gebruikers van ICT systemen dienen altijd geauthenticeerd te zijn alvorens toegang wordt verkregen tot een systeem. Uitzonderingen op bovenstaande vormen publiek toegankelijke websites, die voor een ieder zichtbaar moeten zijn en waarvoor anonieme toegang is toegestaan – in voorkomende gevallen dient echter de toegang tot alleen-lezen beperkt te zijn. Verder dient het ICT systeem af te dwingen dat gebruikers en processen die op het systeem draaien alleen die handelingen kunnen uitvoeren waarvoor zij expliciet geautoriseerd zijn (zie ook 4.2 – toegangsbeheer voor ICT systemen). Hierbij geldt een “denied by default” -policy. Dus als niet is komen vast te staan dat een gebruiker de voor een handeling benodigde autorisaties heeft, wordt de handeling niet toegestaan. Dit staat bekend als het “least privilege” beginsel. Bovenstaande geldt tevens voor operationeel beheerders van systemen – voor zover het taken zijn die routinematig en met regelmaat moeten worden uitgevoerd zal bij de inrichting van een systeem een overzicht van deze taken en de benodigde rechten worden opgesteld. Operationeel beheerders krijgen vervolgens die rechten toegewezen die nodig zijn voor het uitvoeren van de gespecificeerde taken.

3.6

Inrichting authenticatie van gebruikers Authenticatie van gebruikers (daaronder ook te verstaan beheerders) vindt plaats middels een persoonsgebonden gebruikersnaam en een wachtwoord. Voor systemen waarvoor het beveiligingsniveau “Hoog” geldt en voor toegang op systeemniveau (zie 4.2.2) zijn aanvullende factoren vereist (bijvoorbeeld 2-factor authenticatie). Alle systemen maken gebruik van UvAnetID en, indien vereist, 2-factor authenticatie. In alle gevallen gelden de volgende regels voor wachtwoorden:




Het wachtwoord heeft minimaal 8 karakters;



Het wachtwoord bestaat uit tenminste 1 hoofdletter, 1 cijfer en 1 leesteken;



Het wachtwoord is: o

geen bestaand woord;

o

niet gelijk aan, of afgeleid van het UvAnetID van de gebruiker;

o

niet gelijk aan, of afgeleid van de achternaam of voornaam van de gebruiker.




14/26


Het wachtwoord heeft een geldigheidsduur van maximaal 1 jaar. Wachtwoorden worden alleen in versleutelde vorm opgeslagen en alleen versleuteld getransporteerd over het netwerk. Hierbij dient een cryptografisch sterk hashing algoritme gebruikt te worden4. De wachtwoord eisen worden afgedwongen door het authenticatiesysteem. Aan gebruikers wordt tijdig gemeld dat het wachtwoord verloopt. Per account zijn slechts 5 achtereenvolgende foutieve inlogpogingen toegestaan per termijn van minimaal 15 minuten. Indien dit aantal wordt overschreden, wordt het account voor minimaal 15 minuten geblokkeerd. Bij het aanmaken van een nieuw wachtwoord of bij verlies van een wachtwoord, wordt een wachtwoord voor eenmalige toegang gegenereerd, met als doel dat de gebruiker z.s.m. na ontvangst een nieuw persoonlijk wachtwoord kan instellen.

3.7

Inrichting van logging Activiteiten van gebruikers, uitzonderingen en informatiebeveiligingsgebeurtenissen behoren te worden vastgelegd in audit logbestanden. Deze informatie kan gebruikt worden voor audit doeleinden en voor het verhelpen van incidenten. Deze logbestanden behoren gedurende tenminste 3 maanden te worden bewaard, ten behoeve van toekomstig onderzoek en toegangscontrole. De Eigenaar kan verzoeken om logbestanden voor een bepaald systeem langer te bewaren. Voor alle systemen moeten tenminste de navolgende gebeurtenissen worden geregistreerd: 

mislukte aanlog pogingen zowel op systeemniveau als op toepassingsniveau (indien de toepassing inloggen vereist);



alle vormen van directe toegang op systeemniveau;



reboots van het systeem en het stoppen en starten van toepassingen;



afwijkingen als gedetecteerd door file-integriteits checks alsmede het feit of de check heeft plaatsgevonden.

Voor systemen welke het beveiligingsniveau “Hoog” vereisen dienen tevens alle gebeurtenissen of combinatie van gebeurtenissen welke kunnen duiden op fraude te worden geregistreerd. De Eigenaar is verantwoordelijk voor het opstellen van een lijst van dergelijke gebeurtenissen tijdens het ontwikkelproces (zie 3.4). In de audit logbestanden behoren de volgende gegevens te worden vastgelegd: 

gebruikers-ID's;



data, tijdstippen en details van de geregistreerde gebeurtenissen;



waar mogelijk de identiteit van de computerterminal of de locatie.

Tijdstippen in logbestanden moeten worden vastgelegd in UTC. Alle informatiesystemen dienen hun beveiligingsgerelateerde log informatie naar een centraal beheerd log systeem te versturen. De technisch beheerder van dit log systeem heeft geen systeembeheer-toegang tot andere systemen behalve het centrale log systeem (functiescheiding).

4

De door Windows gebruikte algoritmen (lmhash, nthash) voldoen niet. LM-Hash dient in geheel niet meer toegepast te worden Begin 2007 komt hiervoor bij nieuwe ontwikkeling alleen SHA-256/384/512 in aanmerking. Voor bestaande systemen zijn MD5 en SHA-1 ook nog acceptabel, echter voor 2010 zou het gebruik bij voorkeur zijn uitgefaseerd.





15/26

UNIVERSITEIT VAN AMSTERDAM Informatiseringscentrum De beheerder van het centrale log systeem zal er op toezien dat het systeem steeds voldoende capaciteit heeft. 3.8

Plaatsing van apparatuur Apparatuur zoals servers en netwerkcomponenten (welke niet bedoeld zijn voor persoonsgebonden gebruik) dienen geplaatst te worden in een speciaal daartoe ingerichte serverruimte (zie hierna 3.9 – Inrichting van server- en archiefruimten).

3.9

Inrichting van server- en archiefruimten Ruimten waar zich grote hoeveelheden belangrijke informatie cq. belangrijke ICT infrastructuur bevinden, zoals serverruimten of archiefruimten, dienen als “beveiligde ruimte” aangewezen worden. Beveiligde ruimten moeten zijn beveiligd tegen ongeautoriseerde toegang, schade en verstoring. Iedere beveiligde ruimte heeft een beheerder. Deze beheerder is verantwoordelijk voor het naleven van de richtlijnen. Op of naast de deur van een dergelijke ruimte dient een bordje of sticker te zijn aangebracht met daarop de naam en contactgegevens van de beheerder en eventueel aangestelde sleutelbeheerder (zie 4.2 – Toegangsbeheer voor ICT systemen).

3.9.1

3.9.2

Omgeving van de ruimte De omgeving van beveiligde ruimten, de zogenaamde beveiligde zone, dient te voldoen aan de volgende richtlijnen: 

De grenzen van de beveiligde zone behoren duidelijk te worden gedefinieerd (in de administratieve zin) maar niet als zodanig zichtbaar te zijn;



Het gebouw of locatie waarin zich beveiligde zones/ruimtes bevinden behoort fysiek deugdelijk te zijn. Aanbevolen wordt aan te sluiten bij de eisen zoals die worden opgesteld in de Nederlandse Praktijk Richtlijn voor Computerruimtes en Datacenters die ontwikkeld wordt door de NEN werkgroep 381888.;



Alle branddeuren in een beveiligde zone behoren te zijn voorzien van een alarm, te worden gecontroleerd en getest in combinatie met de muren, om overeenkomstig nationale, regionale of internationale normen het vereiste brandwerendheid niveau vast te stellen; ze behoren volgens de plaatselijke brandvoorschriften faalveilig te functioneren;



ICT-voorzieningen of archieven die door de organisatie zelf worden beheerd, behoren fysiek te zijn gescheiden van systemen die door derden worden beheerd.

Locatie De locatie van de beveiligde ruimte dient zo gekozen te worden dat de kans op schade door bedreigingen van buitenaf, zoals brand, overstroming, molest etc. minimaal is. Dit houdt in:




boven straatniveau en, indien realiseerbaar, boven NAP;



indien op de begane grond: niet direct grenzend aan de publieke ruimte (bijvoorbeeld straat);



niet in de nabijheid van een ruimte waar erg brandbare of anderszins gevaarlijke materialen worden opgeslagen (de wenselijke afstand is afhankelijk van het soort materiaal dat opgeslagen ligt – hier dient bij de inrichting naar gekeken te worden. Echter zeker niet direct aangrenzend);




16/26


3.9.3



niet in de directe nabijheid, en zeker niet onder, “natte” ruimten zoals bijvoorbeeld toiletgroepen. Indien dit onvermijdelijk is dienen aanvullende maatregelen genomen te worden om schade door overstroming te voorkomen. Denk dan aan veel vrije ruimte onder de verhoogde vloer (dus geen stopcontacten op de ondervloer) en/of een extra overkapping over kasten of racks zodat eventueel van boven instromend water gekanaliseerd kan worden;



bij voorkeur niet direct op het zuiden of direct onder het (platte) dak – indien dit onvermijdelijk is dient extra aandacht te worden besteed aan koeling.

Inrichting Er mogen geen water-, gas- of elektriciteitsleidingen door of vlak boven de beveiligde ruimte lopen, anders dan welke nodig zijn voor voorzieningen in de ruimte zelf. Indien dit onvermijdelijk is (bijvoorbeeld in bestaande bouw) dient de aanwezigheid en locatie van deze leidingen duidelijk gedocumenteerd en gemarkeerd te worden.

3.9.4

Brandbestrijdingsmiddelen In de ruimte dienen adequate brandbestrijdingsmiddelen aanwezig te zijn in lijn met de heersende wet- en regelgeving. Evenwel mogen de toegepaste blusmiddelen niet schadelijk zijn voor de in de ruimte aanwezige systemen of archieven.

3.9.5

Binnenklimaat Het binnenklimaat van beveiligde ruimten dient beheerst te worden. Voor ruimten waarin ICT-systemen of papieren archieven zijn ondergebracht geldt: 

een constante temperatuur van 18-20 graden Celsius (met een absoluut maximum van 30 graden Celsius);



een constante relatieve luchtvochtigheid van idealiter 50-55% (maar minimaal 30% en maximaal 70%).

Tevens dient het binnenklimaat bewaakt te worden. Bij afwijkingen van de vereiste waarden dient de beheerder van de ruimte gealarmeerd te worden. De beheerder dient vervolgens correctieve actie te ondernemen. 3.9.6

Energievoorziening Met name voor server- en datacomruimten geldt dat voorzien moet zijn in een deugdelijke energievoorziening. Iedere kast moet voorzien zijn van een stroomvoorziening met een capaciteit die toereikend is voor de in de kast geïnstalleerde apparatuur. Tevens dient voorzien te zijn in een UPS welke tenminste voldoende capaciteit biedt om een stroomonderbreking van een half uur op te vangen (teneinde alle systemen gecontroleerd af te kunnen sluiten). Voor niveau “B-Hoog” en hoger dient de stroomvoorziening dubbel uitgevoerd te worden middels twee voedingslijnen uit verschillende schakelkasten. Tevens dient te zijn voorzien in een noodstroomvoorziening welke, zonder menselijke tussenkomst, minimaal een onderbreking van 24 uur kan overbruggen. De benodigde capaciteit is sterk afhankelijk van het beoogde gebruiksdoel van de ruimte en zal tijdens het inrichtingstraject moeten worden ingeschat.

3.10

Inrichting van werkruimten Werkruimten waar met vertrouwelijke informatie wordt gewerkt dienen afsluitbaar te zijn en tevens te zijn voorzien van afsluitbare opbergmiddelen van toereikende capaciteit.





17/26

UNIVERSITEIT VAN AMSTERDAM Informatiseringscentrum De afsluiting van een werkruimte of opbergmiddel hoeft niet zodanig zwaar te worden uitgevoerd dat toegang wordt voorkomen, maar is bedoeld om te zorgen dat ongeautoriseerde toegang niet kan geschieden zonder duidelijke sporen van braak. 3.11

Inrichting van werkstations Werkstations dienen zo ingericht te worden dat: 

Gebruikers geen onnodige beheerdersrechten hebben;



Het beeldscherm na 10 minuten in-activiteit wordt geblokkeerd, waarna de gebruiker opnieuw zijn wachtwoord moet ingeven om opnieuw toegang te verkrijgen; In situaties waarin de standaard schermbeveiliging niet goed werkbaar blijkt te zijn, dienen zodanige alternatieve maatregelen te worden genomen dat voorkomen wordt dat onbevoegd gebruik kan worden gemaakt van werkstations of dat anderszins onbevoegde inzage in geclassificeerde (vertrouwelijk en hoger) gegevens kan worden verkregen. Maatregelen kunnen bijvoorbeeld bestaan uit (een combinatie van): •

Werkstations onder toezicht te stellen

•

Onbewaakte werkstations in een afgesloten ruimte opstellen en de toegang beperken tot een vooraf gedefinieerde groep geautoriseerde personen

•

Onbewaakte werkstations ontdoen van de mogelijkheden om de getoonde gegevens te veranderen of te verwijderen. Deze optie geldt slechts in het geval er openbare gegevens worden getoond, immers voor geclassificeerde gegevens (vertrouwelijk en hoger) gelden altijd beperkte toegangsrechten.



Geen informatie kan worden opgeslagen op het lokale systeem, zodat gebruikers gedwongen zijn om gebruik te maken van netwerkopslag;



Maatregelen zijn genomen tegen de besmetting van het werkstation met virussen, wormen en andere malware;



Maatregelen zijn genomen ter spoedige detectie van een eventuele besmetting met malware.

In een aantal gevallen zal bovenstaande niet (volledig) gerealiseerd kunnen worden. In voorkomende gevallen dient dit feit als uitzondering te worden aangemerkt en dient de gebruiker schriftelijk op de hoogte te worden gesteld van de extra verantwoordelijkheid die hij hierdoor draagt. 3.12

Inrichting van mobiele toegang/toegang op afstand

3.12.1

Mobiele toegang Toegang tot systemen van de UvA waarvoor het beveiligingsniveau “V-Hoog” of “IHoog” geldt, is in beginsel alleen toegestaan vanaf “vertrouwde segmenten” van het UvAnet. Toegang via Internet mag alleen via UvAVPN (dit is een minimum eis – er kunnen aanvullende eisen worden gesteld aan de toegang en het gebruik). Met betrekking tot laptops welke niet onder beheer van het IC staan geldt dat deze worden beschouwd als gelijk aan een willekeurig systeem op Internet. Deze systemen krijgen alleen toegang via UvAdraadloos of een laptopnetwerk (bedrade UvAnet). Zowel UvAdraadloos als het laptopnetwerk wordt niet beschouwd als een vertrouwd segment van het UvAnet.





18/26

UNIVERSITEIT VAN AMSTERDAM Informatiseringscentrum 3.12.2

Mobiele apparatuur Aangaande verwijderbare massa media als USB-sticks en mobiele apparatuur zoals laptops, PDA's en smartphones, e.d. geldt dat deze in beginsel niet mogen worden gebruikt voor de opslag en/of verwerking van vertrouwelijke informatie. Indien hier wel behoefte aan is, is maatwerk vereist. Door UvA beheerde mobiele apparatuur wordt voorzien van toegangsbeveiliging. Er wordt gebruik gemaakt van een lock-out policy. Vertrouwelijke informatie wordt uitsluitend versleuteld opgeslagen op mobiele apparatuur. Transport van vertrouwelijke informatie tussen mobiele apparatuur en UvA systemen vindt altijd plaats middels beveiligde communicatieprotocollen.. De gebruiker van mobiele apparatuur dient te worden gewezen op de risico's van opslag van vertrouwelijke informatie op mobiele apparaten (bewustwording). De gebruiker dient maatregelen te nemen om het risico van diefstal zoveel mogelijk te beperken. Er is een procedure voor het melden en afhandelen van diefstal of verlies van door de UvA beheerde mobiele apparatuur.

4

Beheer en onderhoud van de informatievoorziening

4.1

Beheer van wijzigingen in de ICT omgeving Voor de installatie van nieuwe ICT-voorzieningen of wijziging van bestaande voorzieningen wordt door de procescoördinator wijzigingsbeheer een goedkeuringsprocedure vastgesteld. In deze procedure is vastgelegd dat ongeautoriseerde voorzieningen niet mogen worden geïnstalleerd of gebruikt en dat elke installatie en bijbehorend doel en gebruik formeel moeten worden goedgekeurd op zakelijk en technisch niveau. Zakelijke goedkeuring wordt verleend door de betreffende Eigenaar, technische goedkeuring door de managers die verantwoordelijk zijn voor onderhoud en beheer van de voorziening. Naleving van de goedkeuringsprocedure wordt jaarlijks gecontroleerd door of namens de Manager Informatiebeveiliging. In een dienst die wordt verleend door een derde partij, is het beheer van wijzigingen de verantwoordelijkheid van de manager onder wiens verantwoordelijkheid de overeenkomst met de derde partij is aangegaan. Steeds geldt dat tijdens en na een wijziging een situatie moet bestaan welke voldoet aan de gestelde (beveiligings)eisen.

4.2

Toegangsbeheer voor ICT systemen

4.2.1

Toegang op netwerk niveau Wijzigingen in de toegang op netwerk niveau t.o.v. de oorspronkelijke inrichting zijn alleen mogelijk met instemming van de Eigenaar en een positief advies van de infrastructuur specialist IB.





19/26

UNIVERSITEIT VAN AMSTERDAM Informatiseringscentrum 4.2.2

Toegang op systeemniveau Toegang op systeemniveau is voorbehouden aan de technische beheerders. Beheerders krijgen naast het persoonlijke UvAnetID tevens de beschikking over een persoonlijk beheeraccount. Bij de inrichting van een systeem wordt een overzicht opgesteld van uit te voeren operationele beheertaken en de bijhorende rechten. Deze rechten worden toegevoegd aan het persoonlijk beheeraccount van de betreffende operationeel beheerders. Toegang met het algemene “administrator” of “root” account is niet toegestaan.5 Een beperkte groep technisch beheerders krijgt middels hun persoonlijke beheeraccount rechten die vergelijkbaar zijn met “administrator” of “root”.

4.2.3

Autorisaties op applicatieniveau Autorisaties op applicatieniveau worden volgens het “least privilege” beginsel (zie 3.5 – Inrichting toegangsbeveiliging) verstrekt door of namens de Eigenaar, waarbij deze tevens rekening houdt met eventueel vereiste functiescheiding. Hiertoe wordt door de Eigenaar voor iedere applicatie een procedure ingericht voor het aanvragen en verkrijgen van de benodigde autorisaties. Periodiek (tenminste 1x per kwartaal) wordt door de functioneel beheerder een overzicht geproduceerd van alle uitgegeven autorisaties. Deze worden vervolgens door de Eigenaar geverifieerd. Indien bepaalde autorisaties niet meer actueel blijken te zijn worden deze per direct ingetrokken. Voor systemen met meer dan 50 gebruikers kan worden volstaan met een relevante steekproef.

4.3

Toegangsbeheer server- en archiefruimten Toegang tot beveiligde ruimten moet worden beheerst en behoort te worden beperkt tot bevoegd personeel. Hierbij kan gekozen worden uit twee methoden: 1.

persoonsgebonden elektronische toegangspasjes;

2.

klassieke veiligheidssloten met een bijhorend sluitend sleutelplan en een sleuteluitgifteprocedure.

Het verkrijgen van autorisaties voor het betreden van een beveiligde ruimte verloopt via de beheerder van de ruimte. Voor de uitvoering van deze bepaling kan de beheerder van de ruimte desgewenst een sleutelbeheerder aanstellen. Toegangsrechten tot beveiligde ruimten dienen tenminste ieder kwartaal te worden beoordeeld en wanneer nodig te worden ingetrokken. Dit is een verantwoordelijkheid van de betreffende beheerder. 4.4

Aanbrengen van veiligheidsupdates De technisch beheerder van een systeem draagt zorg voor het opstellen, documenteren en uitvoeren van een procedure waarmee de door hem beheerde systemen steeds zo snel als mogelijk, nodig en verantwoord voorzien worden van door de leverancier/auteur uitgebrachte veiligheidsupdates.

4.5

Backup van gegevens Van centraal, onder beheer van het IC, opgeslagen gegevens wordt tenminste eenmaal per dag een backup gemaakt. Deze gegevens worden tenminste 30 dagen bewaard. Op verzoek van de Eigenaar is het mogelijk om hier voor archiefdoeleinden een

5

Voor windows systemen kan hiervoor gebruik gemaakt worden van het geldende rechtenssyteem. Voor unix systemen wordt het gebruik van 'sudo' aanbevolen.





20/26

UNIVERSITEIT VAN AMSTERDAM Informatiseringscentrum maandelijkse backup (bewaartijd 1 jaar) en een jaarlijkse backup (bewaartijd 4 jaar) aan toe te voegen. De backupvoorziening moet in een andere ruimte dan de systemen zelf staan, maar kan eventueel wel in hetzelfde gebouw gevestigd zijn. Binnen 24 uur na het maken van de backup wordt er een kopie gemaakt naar een andere locatie op minimaal 5 kilometer afstand. Behandeling van backups dient in overeenstemming te zijn met het beveiligingsniveau van het betrokken informatiesysteem. 4.6

Controleren van systeemlogs Dagelijks wordt door het Operations Control Center van het IC (OCC) alle geregistreerde gebeurtenissen omtrent het functioneren van de systemen bekeken en beoordeeld. Hierbij dienen de volgende punten in ogenschouw genomen te worden: 

Het aantal mislukte aanlogpogingen moet in lijn liggen met de verwachtingen van de beheerder hieromtrent;



de tijdstippen waarop toegang tot het systeem op systeemniveau is gezocht moeten in lijn zijn met de verwachtingen van de beheerder;



reboots van het systeem of stoppen/starten van toepassingen moeten verklaarbaar zijn op basis van een geplande wijziging of bekend incident;



afwijkingen als gedetecteerd door file-integriteitschecks moeten een logische en onschuldige verklaring hebben;



de file-integriteitscheck moet volledig en normaal hebben plaatsgevonden.

Voor systemen waarvoor beveiligingsniveau “Hoog” van toepassing is dienen tevens de specifiek voor dat systeem vastgelegde gebeurtenissen te worden nagekeken. Indien op één van de bovengenoemde punten twijfel bestaat dient nader onderzoek ingesteld te worden. 4.7

Registratie en afhandeling van beveiligingsincidenten Registratie en afhandeling van beveiligingsincidenten vindt door twee verschillende partijen plaats, al naar gelang de aard van het incident. De afhandeling van incidenten betreffende de beschikbaarheid van systemen wordt gecoördineerd door Service Management van het IC. Incidenten betreffende vertrouwelijkheid en/of integriteit (bijvoorbeeld systeem compromittatie) worden (al of niet door tussenkomst van de leidinggevende of de daartoe aangestelde functionaris) gemeld aan, alsmede geregistreerd en afgehandeld door, CERT-UvA. Zowel Service Management als CERT-UvA zullen incidenten zodanig (laten) registreren dat zij in staat zijn om op verzoek over een willekeurige periode een incidenten rapportage op te leveren. Een dergelijke rapportage dient tenminste te bevatten: 

Wanneer het incident begon en wanneer het voorbij was;



Wat de aard van het incident was;



Wat de root-cause van het incident was;



Wie bij het onderzoek betrokken zijn geweest.

Zie ook 6.6 – Melden van incidenten Bestandsnaam : Versie : Datum :




21/26


Capaciteitsbeheer Dagelijks wordt door het OCC het CPU- en geheugengebruik van serversystemen en de hoeveelheid netwerkverkeer op de verschillende verbindingen gecontroleerd. Hierbij geven de volgende twee punten aanleiding tot actie: 

Ongebruikelijke, plotselinge/sprongsgewijze en substantiële toename van gebruik van CPU, geheugen en/of netwerkcapaciteit;



Het gestaag doch geleidelijk benaderen van de grenzen van de aanwezige capaciteit, zulks ter inschatting van het OCC personeel. Wat hierbij de exacte grens is, hangt af van de beschikbare capaciteit, tolerantie van het betreffende systeem t.a.v. tekorten en de snelheid waarmee het gebruik toeneemt.

In het eerste geval dient e.e.a. beschouwd te worden als potentieel beveiligingsincident en als zodanig onderzocht te worden. In het tweede geval dient een waarschuwing gegeven te worden aan de betreffende technisch beheerder van het systeem. 4.9

Testen van continuïteitsvoorzieningen Continuïteitsvoorzieningen, zoals remote backups en noodstroomvoorzieningen, dienen periodiek getest te worden. Enerzijds om er zeker van te zijn dat ze werken als bedoeld, anderzijds om er zeker van te zijn dat een ieder van de betrokkenen weet hoe ze werken. Tenminste moet het volgende getest worden: 

restore van een volledig ICT systeem, beginnende met schone hardware (jaarlijks);



terugzetten van enkele indivuele bestanden (maandelijks6);



proefdraaien van de noodstroom voorziening (maandelijks);



nabootsen van een algehele stroomuitval welke langer duurt dan 1 uur7 (jaarlijks)

Het Hoofd Operations is verantwoordelijk voor het opstellen van een testschema en toezicht op de naleving hiervan.

5

Beëindiging van de informatievoorziening

5.1

Beëindiging personele omgang

5.1.1

Na afloop van de studie door student Bij beëindiging van de studie dienen alle toegangrechten (zowel tot ICT systemen als beveiligde ruimten) van de betreffende student ingetrokken te worden. Hiertoe dienen procedures te worden opgesteld en uitgevoerd welke tot doel hebben dit te bewerkstelligen. Het opstellen van de procedures ligt bij de verschillende Eigenaren (denk aan centrale en locale studentenadministratie en studentenservices).

5.1.2

Bij beëindiging van het dienstverband met medewerker Bij beëindiging van het dienstverband dienen alle toegangrechten (zowel tot ICT systemen als beveiligde ruimten) van de betreffende medewerker ingetrokken te

6 7

Indien er met regelmaat verzoeken van gebruikers komen om bestanden terug te zetten dan kan het afhandelen van die verzoeken ook als test dienst doen. Dit houdt in dat alle systemen “down” gaan, behalve welke op de noodstroomvoorziening zijn aangesloten.





22/26

UNIVERSITEIT VAN AMSTERDAM Informatiseringscentrum worden. Hiertoe dienen procedures te worden opgesteld en uitgevoerd welke tot doel hebben dit te bewerkstelligen. Het opstellen van de procedures ligt bij de verschillende Eigenaren (denk aan centrale gebruikersadministratie van UvAnetID en beheerders van beveiligde ruimten). 5.1.3

Bij beëindiging van contracten met derden Bij beëindiging van de werkzaamheden in het kader van een contract met derden dienen alle toegangsrechten(zowel tot ICT systemen als beveiligde ruimten) van de betreffende medewerker(s) ingetrokken te worden. Tevens dienen alle verstrekte gegevens, resultaten, constructies, rapporten, documentatie en daarin vervatte informatie onmiddellijk te worden teruggevorderd ofwel dient een verklaring te worden verkregen waarin partij verklaart betreffende informatie(dragers) te zullen vernietigen. Hiertoe dienen procedures te worden opgesteld en uitgevoerd welke tot doel hebben dit te bewerkstelligen.

5.2

Afdanken van media Indien media wordt afgedankt, welke mogelijk informatie met een gevoeligheidsclassificatie “UvA Intern” of hoger bevat (bijvoorbeeld harde schijven of backup-tapes), dienen deze onleesbaar gemaakt te worden alvorens ze af te voeren. Onleesbaar maken van de media kan gedaan worden door de media te overschrijven met willekeurige data. Het verwijderen van bestanden of het “formatteren” van de media is niet toereikend. Specifiek geldt: 

Harde schijven dienen geheel te worden overschreven;



Solid state schijven (SSD) dienen geheel te worden overschreven;



PDA’s en Smartphones dienen te worden teruggezet in de “factory defaults” en tevens dient het interne geheugen geheel te worden overschreven;



CD’s, DVD’s en dergelijke dienen fysiek te worden vernietigd;



Papieren informatiedragers dienen te worden vernietigd middels een shredder8,

Voor media die mogelijk informatie met de gevoeligheidsclassificatie “Vertrouwelijk” of hoger bevatten geldt dat er tenminste 3 ronden nodig zijn: geheel overschrijven met willekeurige data, geheel overschrijven met nullen en nogmaals geheel overschrijven met (andere) willekeurige data. Indien de media zodanig zijn beschadigd, of van zodanige aard zijn (bijv. CD-roms), dat overschrijving niet (meer) mogelijk is, dienen zij fysiek vernietigd te worden of gedurende tenminste 5 jaar op een veilige plaats te worden opgeslagen alvorens te worden afgevoerd. In voorkomende gevallen waarbij de media moeten worden ingenomen door de leverancier, bijvoorbeeld in verband met garantie, dienen sluitende afspraken te worden gemaakt met de leverancier in kwestie omtrent een veilig levenseinde van de media.

8

In aanmerking komen alleen shredders met een snipper grootte van niet meer dan 30mm lang en 5mm breed.





23/26

UNIVERSITEIT VAN AMSTERDAM Informatiseringscentrum 6

Gebruik van de informatievoorziening

6.1

Gebruiksvoorwaarden UvA ICT voorzieningen Op de toegang door personen tot de UvA ICT voorzieningen is het “Reglement UvAnet” van toepassing. Onder personen wordt in dit verband onder meer verstaan: aankomend studenten en geïnteresseerden, aan de UvA studerenden, UvA-alumni, en medewerkers. In artikel III van het Reglement is een uitputtende opsomming opgenomen van personen aan wie toegang verleend kan worden. Bij het verlenen van toegang aan personen wordt door de verlener (i.c. de gemandateerde, bijv. CSA, P&O) aan de betrokkene een exemplaar verstrekt van de ICT gedragsregels, welke deel uitmaakt van het Reglement. Deze gedragsregels worden tevens gepubliceerd op de UvA website. In het geval van andere personen dan aangestelde medewerkers dienen deze gebruikers van het netwerk contractueel akkoord te gaan met de regels.

6.2

Werken in server- of archiefruimten Voor werkzaamheden in beveiligde ruimten, zoals server- en archiefruimten, gelden de volgende regels:

6.3



Toegangsrechten worden verkregen via de beheerder van de ruimte. De contactgegevens van de beheerder staan op of naast de deur van de betreffende ruimte;



Bij het als laatste verlaten van de ruimte dient de ruimte afgesloten te worden (ook als het voor korte duur is);



Geen eten of drinken nuttigen in de ruimte;



Eventuele onrechtmatigheden (sporen van braak, vocht, niet functionerende airconditioning etc.) per direct melden aan de beheerder;



Eventueel in de ruimte ter kennisgeving opgehangen aanvullende regels stipt opvolgen.

Omgaan met gerubriceerde informatie Voor het omgaan met informatie met gevoeligheidsclassificatie “Vertrouwelijk” of hoger gelden de volgende richtlijnen: 




Voorkom dat niet-gerechtigden kennisnemen van de betreffende informatie; o

Voorkom dat een bezoeker documenten kan inzien die toevallig op het bureau liggen;

o

Praat niet over het betreffende onderwerp in bijzijn van nietgerechtigden;

o

Blokkeer (“Lock”) het beeldscherm bij het verlaten van de werkplek;

o

Draag zorg voor een correcte vernietiging conform het gestelde bij 5.2 Afdanken van media.

Documenten die niet direct gebruikt worden, moeten zijn opgeslagen in een daartoe geschikt afsluitbaar opbergmiddel (zie ook 3.10 – Inrichting van werkruimten);




24/26


Zodra de laatste medewerker de werkplek verlaat dient het opbergmiddel ook daadwerkelijk afgesloten te worden9;



De laatste medewerker die een kamer verlaat waarin vertrouwelijke informatie ligt opgeslagen draagt ervoor zorg dat de ramen gesloten zijn en sluit de deur van de kamer af.

Sporen van (poging tot) braak aan opbergmiddelen dienen altijd gemeld te worden. Zie hiervoor 6.6 - Melden van incidenten. Indien in het betreffende opbergmiddel informatie met gevoeligheidsclassificatie “Vertrouwelijk” of hoger is opgeslagen, dient dit feit bij het melden van het incident expliciet aangegeven te worden. 6.4

Uitwisseling van informatie Voor het uitwisselen van informatie geldt het volgende:

9



“Openbare” informatie kan zonder beperkingen worden uitgewisseld;



“UvA-interne” informatie kan tussen UvA medewerkers onderling zonder beperkingen worden uitgewisseld. Uitwisseling met derden is mogelijk indien daar noodzaak toe bestaat en het de belangen van de UvA, haar medewerkers, studenten etc. niet schaadt. Zulks ter beoordeling van de medewerker die het initiatief tot uitwisseling neemt.



“Vertrouwelijke” informatie mag alleen worden uitgewisseld met partijen die een “need to know” hebben, d.w.z. indien dat noodzakelijk is voor de werkzaamheden,. Zulks ter beoordeling aan de Eigenaar van de informatie. Vertrouwelijke informatie wordt alleen uitgewisseld op basis van beveiligde (TCP/IP) protocollen. Voor zover het UvA medewerkers betreft gelden geen verdere beperkingen. Voor derde partijen geldt dat vóór uitwisseling een overeenkomst moet zijn opgesteld en bekrachtigd conform het gestelde in paragraaf 2.4 - Omgaan met derden en paragraaf 2.5 Geheimhoudingsovereenkomsten.



Voor “Zeer vertrouwelijke” informatie geldt hetzelfde als voor “Vertrouwelijke” informatie, met de navolgende extra beperkingen: o

de informatie wordt bij voorkeur niet digitaal ter beschikking van derden gesteld;

o

afschriften van de betreffende informatie worden genummerd uitgegeven en op zo kort mogelijke termijn teruggevorderd (en bij voorkeur vervolgens vernietigd);

o

bij digitaal uitgegeven informatie wordt van de ontvangende partij expliciet geëist dat de informatie na gebruik wordt vernietigd en dat de vernietiging wordt gerapporteerd aan de eigenaar.

o

de eigenaar van de informatie houdt een administratie bij waarin is opgenomen: 

welk afschrift aan wie ter beschikking wordt gesteld;



aan wie een digitale kopie ter beschikking is gesteld;



of het afschrift reeds is terug ontvangen dan wel de kopie reeds is vernietigd.

Indien er nog wel medewerkers achterblijven, echter deze medewerkers mogen geen kennisnemen van de betreffende informatie geldt uiteraard hetzelfde.





25/26


Gebruik op afstand (telewerken/mobiel) Gebruik van systemen van de UvA waarvoor het beveiligingsniveau “V-Hoog” of “IHoog” geldt, is in beginsel alleen toegestaan vanaf “vertrouwde segmenten” van het UvAnet. Gebruik via Internet mag alleen via UvAVPN (dit is een minimum eis – er kunnen aanvullende eisen worden gesteld aan de toegang en het gebruik).

6.6

Melden van incidenten Individuele medewerkers die een incident of inbreuk op het gebied van informatiebeveiliging (met name vertrouwelijkheid en integriteit) vermoeden, voorzien of constateren, dienen dit op zo kort mogelijke termijn te melden aan de leidinggevende of aan een daartoe aangestelde functionaris of instantie. Op centraal UvA-niveau bestaat hiervoor het Computer Emergency Response Team van de UvA (CERT-UvA). Beveiligingsincidenten op het gebied van beschikbaarheid kunnen ook worden gemeld aan de Servicedesk van het IC. De Servicedesk IC dient na bepaling van het type incident zorg te dragen voor de juiste “routing”. Onder beveiligingsincident wordt ondermeer verstaan: 

Uitval van ICT systemen;



Inbraak op ICT systemen;



Virusbesmettingen;



Pogingen tot phishing;



Inbraak of pogingen daartoe in beveiligde ruimten of opbergmiddelen.

Zie ook 4.7 - Registratie en afhandeling van beveiligingsincidenten 





26/26

Universiteit van Amsterdam. Baseline Informatiebeveiliging

Recommend Documents