IT-säkerhetshandbokenn

IT-säkerhetshandboken
http://www.susec.sunet.se
susec@sunet.se

2.3 Delegationer.

Inledning

Styrelsen har den xxx-xx-xx fastställt en informationssäkerhetspolicy för lärosätet.

I enlighet med denna beslutar Rektor att informationssäkerheten skall organiseras enligt följande:

att det centralt skall finnas en informationssäkerhetschef för samordning av informationssäkerhetsarbetet. Informationssäkerhetschefen rapporterar löpande till rektor/ledning.

Se Uppgifter för infosakerhetschef

att en särskild grupp/person ansvarar för incidentbevakning och incidenthantering med befogenheter enligt Ansvar, befogenheter och skyldigheter för systemadministratör i incidentgrupp (IRT-operatör)

att den verksamhetsansvarige är ansvarig för informationssäkerheten inom sitt verksamhetsområde i enlighet med lärosätets policy, riktlinjer och regler.

att den verksamhetsansvarige får delegera till en särskild person att vara informationssäkerhetsansvarig t.ex. systemadministratör.

att systemägare är ansvarig för informationssäkerheten i respektive IT-system och skall utse en särskild person att bevaka informationssäkerheten i systemet samt att vara kontaktperson gentemot informationssäkerhetsfunktionen.

Se Systemägarens ansvar

att en systemförvaltare utses för varje IT-system med ansvar för informationssäkerheten i detta

Se Systemförvaltares ansvar

att en IT-ansvarig/tekniskt ansvarig utses för drift och underhåll av IT-systemet

Se Tekniskt ansvarig

att en teknisk förvaltare utses med ansvar enligt beskrivning för [javascript:void(0);/*1322998612982*/ Teknisk förvaltare]

att den verksamhetsansvarige utser behörighetsansvarig enligt beskrivning för Behörighetsansvarig

att systemägaren utser behörighetsadministratör enligt beskrivning för Behörighetsadministratör

att den verksamhetsansvarige utser en arkivansvarig vid enheten med ansvar enligt beskrivning för Arkivansvarig

Närmare beskrivning av delegationer se fördjupning

Aktuell delegation skall diarieföras vid enheten.

Informationssäkerhetschefen

Ska leda verksamheten vid informationssäkerhetsfunktionen och vara sammankallande i referensgruppen.

Huvudsakliga uppgifter för informationssäkerhetsfunktionen:

Beredning och kontroll

Beredning av informationssäkerhetsfrågor för beslut av lärosätets ledning

Kontinuerlig lägesrapportering av informationssäkerheten till ledningen

Ta fram årsvis handlingsplan och budget samt uppföljning till ledningen

Utforma policy, riktlinjer, regler etc.

Löpande uppföljning av beslutade åtgärder

Initiera årsvis granskning av enheter vid lärosätet

Ansvara för metoder och mallar för kontroll och granskning av informationssäkerheten

Ta fram kontrollplan för gemensamma IT-system m.m.

Sammanställa granskningsresultat och rapportera till lärosätets ledning

Krav och bevakning

Formulera säkerhetskrav vid upphandling och införande av nya system

Uppfylla säkerhetskrav vid drift av system, datorer och nät

Uppfylla säkerhetskrav på kommunikation

Hantera incidenter (IRT-verksamhet. Se IRT-operatör)

Rapportera incidenter och hantera samordning med SUNET CERT

Sköta bevakning i styrgrupper till IT-projekt

Följa upp beslut inom ansvarsområdet

Stödjande verksamhet

Precisera säkerhetsnivåer och rekommendera lämpliga säkerhetsnivåer för aktuella IT-system etc.

Rekommendera av standarder för säkerhetslösningar

Ta fram åtgärdsförslag och handlingsplaner

Ge stöd vid lärosätets enheters egen granskning och kontroll av informationssäkerheten,

Medverka vid prefektseminarier

Förmedla expertstöd

Ge utbildning och sprida information

Sköta samverkan med övriga lärosäten, med SUSEC och SUNETIRT-operatör

Ansvar, befogenher och skyldigheter gör systemadministratör i incidentgrupp (IRT-grupp)

Rektor delegerar till

Namn:

Institution/enhet/motsv:

att ingå i lärosätets IRT-grupp med befogenheter och skyldigheter i enlighet med nedanstående.

Ansvarsområde Befogenheter och skyldigheter för IRT-operatör i IRT-grupp vid intrång eller misstanke om intrång omfattar alla berörda datorsystem, nät- och datorresurser vid Lärosätet.

IRT-gruppen skall vid konstaterat eller befarat intrång, efter rapport från drabbad eller på eget initiativ, agera på lämpligt sätt.

Krav på personal

Tjänsten innebär ett stort ansvar och stora befogenheter samt tillgång till känsliga och kritiska system. Stora krav ställs därför på att IRT-operatör är lämplig för denna tjänst.

Befogenheter

IRT-operatör har rätt att för lärosätets räkning och i enlighet med gällande lagar, policies, regler och beslut, inom ansvarsområdet:

utföra alla de åtgärder som behövs för utredning och för att minimera skador avseende all IT-utrustning, bl a för loggning och backup

att lagra loggfiler och vissa andra filer av betydelse för utredning

att påkalla felsökning och omistallation av IT-system på IT-utrustning

att om så bedöms nödvändigt isolera berörd IT-utrustning

att om så bedöms nödvändigt stänga av användare

då så erfordras samverka med andra IRT-grupper utanför lärosätet

då så erfordras för att kunna fullgöra sina arbetsuppgifter, granska och kontrollera data, program, datakommunikation och andra uppgifter i all IT-utrustning. Vid granskning och kontroll av data bör om möjligt samverkan ske med berörd systemadministratör och om så behövs med berörd informationsägare

då så erfordras för att kunna fullgöra sina arbetsuppgifter kopiera, flytta eller radera data, program och andra uppgifter i IT- utrustning. Radering får dock inte göras utan medgivande från respektive informationsägare och/eller systemägare såvida inte tillräckliga åtgärder vidtagits för att spara informationen på annan IT-utrustning eller annat medium. Undantag då lagring av data strider mot lärosätets regler

Skyldigheter

IRT-operatör är skyldig att:

utföra arbetet med den noggrannhet och försiktighet som krävs

följa de riktlinjer för IRT-verksamheten som gäller vid lärosätet

följa de regler för datoranvändning, standarder etc. som gäller vid lärosätet och SUNET

följa de regler och anvisningar för informationssäkerhet som gäller vid lärosätet och SUNET

iaktta tystnadsplikt i sitt arbete

hantera sekretessbelagda eller integritetskänsliga data, samt datamedier och utrustning där sådana lagras, i enlighet med gällande regler

så snart möjligt kontakta andra drabbade, som kan tänkas påverkas av incident

dokumentera alla moment vid jourutryckningen, och rapportera till IRT-ansvarig

att samverka med berörd systemadministratör

då så bedöms nödvändigt eller lämpligt, anmäla om lärosätets dator-, nät- och systemresurser används i strid mot gällande regler, eller vid misstanke om sådan användning, till prefekt (motsvarande) och/eller till informationssäkerhetsansvarig vid lärosätet

vid misstankar om disciplinärende eller brott snarast underrätta informationssäkerhetsansvarig vid lärosätet eller annan som rektor utsett

medverka vid utredning om användning av lärosätets dator-, nät- och systemresurser i strid mot gällande lagar och regler

bistå disciplinnämnd, polis och åklagare i utredning

Tystnadsplikt enligt ovan inskränker inte de rättigheter och skyldigheter som tillkommer var medborgare enligt tryckfrihetsförordning och sekretesslag.

Undertecknad har tagit del av och accepterat ovanstående

Lärosätet den..................

................................................ .......................................

Anställd

Chef

Upload new attachment "ansvarsforbirt.pdf"

Systemadministratör

Ansvar, befogenheter och skyldigheter

Syftet med riktlinjerna är att skapa förutsättningar för en god IT-säkerhet vid administration av lärosätets datorer, nät och datorsystem.

Riktlinjerna grundar sig på lärosätets informationssäkerhetspolicy beslutad den xxxx-xx-xx samt regler för användning av lärosätets dator-, nät- och IT-systemresurser.

Bakgrund

I lärosätets informationssäkerhetspolicy fastslås bl.a. följande.

För datorer, datasystem, datanät eller datautrustning som används vid lärosätet skall det alltid finnas en informationssäkerhetsansvarig.

Varje enhet som använder datorer, datasystem eller datanät måste ha tillgång till relevant kompetens gällande informationssäkerhet för att informationssäkerheten skall upprätthållas vid enheten.

Rektor har beslutat att:

Prefekt/motsvarande är informationssäkerhetsansvarig vid enheten. Detta ansvar kan delegeras.

Respektive enhet skall utse den eller de som ansvarar för systemadministrationen vid enheten samt fastställa skyldigheter och i förekommande fall de befogenheter som delegeras.

Aktuella delegationer inklusive omfattningen av dessa skall diarieföras vid institutionen.

Nedan finns en generell sammanställning av de skyldigheter och befogenheter som kan delegeras till en systemadministratör. Tanken är att sammanställningen skall utgöra en mall som anpassas lokalt till de förhållanden som råder vid enheten.

Ansvar, befogenheter och skyldigheter för systemadministratör

Namn:..

Institution/enhet/motsv.:.....

Ansvarsområde:..

Ansvar, befogenheter och skyldigheter avser de datorsystem, nät- och datorresurser som anges nedan:

Befogenheter

Systemadministratör har rätt att för lärosätets räkning och i enlighet med gällande lagar, regler och beslut, inom ansvarsområdet:

- installera och konfigurera operativsystem och programvara i all utrustning

- modifiera och installera datorer och annan data- och kommunikationsutrustning

- lägga upp, ändra och ta bort användare och behörigheter för dessa i IT-utrustning

- lämna ut användaridentiteter och lösenord till användare, dock först efter det att dessa undertecknat ansvarsförbindelse

- felsöka och utföra reparationer och service på IT-utrustning inom sitt ansvarsområde

- låta extern servicepersonal, med iakttagande av gällande regler, felsöka, utföra reparationer och service på IT-utrustning

- då så erfordras samverka med andra systemadministratörer eller IRT-operatör vid lärosätet vid felsökning, reparationer och service

- då så erfordras för att kunna fullgöra ålagda arbetsuppgifter, granska och kontrollera data, program, datakommunikation och andra uppgifter i all IT-utrustning. Vid granskning och kontroll av data skall informationsägarens eller rektors medgivande inhämtas.

- då så erfordras för att kunna fullgöra ålagda arbetsuppgifter kopiera, flytta eller radera data, program och andra uppgifter i all IT-utrustning. Radering får dock inte göras utan medgivande från respektive informationsägare (motsvarande) såvida inte tillräckliga åtgärder vidtagits för att spara informationen på annan utrustning eller annat medium.

Skyldigheter

Systemadministratör är skyldig att

- utföra arbetet med den noggrannhet och försiktighet som krävs

- dokumentera rutin- och versions(för)ändringar

- följa de regler för datoranvändning, standarder etc. som gäller vid lärosätet och SUNET

- följa de regler och anvisningar för datasäkerhet som gäller vid lärosätet och SUNET

- iaktta tystnadsplikt vad gäller arbetsmaterial och uppgifter som kan bli föremål för sekretessbelagda uppgifter, inklusive uppgifter om skyddsåtgärder mm, som systemadministratören fått kännedom om

- hantera sekretessbelagda eller integritetskänsliga data, samt datamedier och utrustning där sådana lagras, i enlighet med gällande regler

- så snart möjligt anmäla fel och problem till IT-ansvarig/systemägare

- dokumentera allvarliga störningar och incidenter, och rapportera dessa till IRT-gruppen

- vid behov övervaka utomstående personal som utför reparation, service e d på utrustning eller program.

- vid behov påtala för användare att de använder lärosätets dator-, nät- och systemresurser i strid mot gällande regler

- då så bedöms nödvändigt eller lämpligt, anmäla om lärosätets dator-, nät- och systemresurser används i strid mot gällande regler, eller vid misstanke om sådan användning, till prefekt (motsvarande) och/eller till informationssäkerhetsansvarig vid lärosätet

- vid misstanke om disciplinärende eller brott snarast underrätta (central) informationssäkerhetschef vid lärosätet eller annan som rektor utsett.

- efter beslut av rektor eller informationssäkerhetsansvarig vid lärosätet eller annan som rektor utsett, medverka vid utredning om användning av lärosätets dator-, nät- och systemresurser i strid mot gällande lagar och regler

- bistå lärosätets disciplinnämnd, polis och åklagare vid utredning

Systemadministratörens tystnadsplikt enligt ovan inskränker inte systemadministratörens rättigheter och skyldigheter enligt tryckfrihetsförordning och sekretesslagen.

Ovanstående ansvar, befogenheter och skyldigheter delegeras till nedanstående systemadministratör

lärosäte den

Prefekt

Undertecknad har tagit del av och accepterat ovanstående

Ort den

Sstemadministratör

Dokumentet finns att ladda ner i pdf-format här.

Systemägare

För varje system skall en systemägare (systemansvarig tjänsteman) finnas.

Systemägaren ansvarar för:

Vid systemanskaffning och -utveckling:

att det planerade IT-systemet utformas och förvaltas så att det uppfyller kraven på god informationssäkerhet
att projektorganisationen har tillgång till erforderlig informationssäkerhetskompetens
att i de fall personuppgifter kommer att ingå i det planerade systemet, att detta dokumenteras och anmäls till lärosätets personuppgiftsombud samt att systemet utformas så att det uppfyller personuppgiftslagens krav
att en förvaltningsorganisation med utöver systemägare utsedd systemförvaltare, IT-ansvarig/tekniskt ansvarig och teknisk förvaltare skapas för systemets drift och underhåll.

Vid befintliga system:

att analys av säkerhetsbehov genomförs med hänsyn till informationsinnehåll och verksamhetskrav
att säkerhetskraven anges med inriktning på tillgänglighet, riktighet, sekretess och spårbarhet
att en förvaltningsorganisation med utöver systemägare utsedd systemförvaltare, IT-ansvarig/tekniskt ansvarig och teknisk förvaltare finns för systemets drift och underhåll
att riktlinjer för behörighetstilldelning utarbetas och att IT-ansvarig/tekniskt ansvarigs säkerhetskrav uppfylls

Exempel på systemägare: personalchefen kan vara systemägare för det personaladministrativa systemet och en chef för en forskargrupp kan vara systemägare för gruppens forskningsdatabas.

Systemförvaltare

Ansvarar för systemförvaltningen utifrån systemägarens direktiv avseende tillämpning, användares krav och behov. Systemförvaltaren skall ha en djup kunskap om den verksamhet som systemet skall stödja samt övergripande kunskap om tekniken som tillämpas i systemet.

Systemförvaltaren är ansvarig för informationssäkerheten i IT-systemet och skall rapportera avvikelser och händelser som kan påverka informationssäkerheten. Systemförvaltaren är kontaktperson för användare av IT-systemet och skall fortlöpande samarbeta med teknisk förvaltare i systemdriftfrågor.

Tekniskt ansvarig/IT-ansvarig

För den tekniska driftsäkerheten skall en tekniskt ansvarig tjänsteman finnas utsedd. (Till exempel chefen för central IT-drift alternativt IT-ansvarig vid respektive enhet.)

Den tekniskt ansvarige ansvarar för:

att säkerhetstekniska lösningar följer av lärosätet uppsatta standarder
att IT-systemet i förekommande fall kan integreras med befintliga system utan att informationssäkerheten försämras utöver det tillfredsställande
att till större IT-system en teknisk förvaltare utses till av systemägaren föreslagen förvaltningsorganisation
att IT-systemet förs in i lärosätets systemförteckning, om sådan finns
att analyser av den tekniska IT-säkerheten genomförs med hänsyn till tillgänglighet, riktighet, sekretess och spårbarhet samt att påvisade brister åtgärdas
att systemägarens säkerhetskrav uppfylls tekniskt.

Teknisk förvaltare

Ansvarar för den tekniska förvaltningen av IT-systemet utifrån tekniskt ansvarigs direktiv. Den tekniska systemförvaltaren skall ha goda kunskaper om IT-systemets konstruktion, datahantering och tekniska säkerhetslösningar samt övergripande kunskaper om den verksamhet som IT-systemet stödjer.

Teknisk förvaltare är ansvarig för informationssäkerheten i IT-systemet och skall till IT-ansvarig rapportera avvikelser och händelser som kan påverka informationssäkerheten.

Teknisk förvaltare är kontaktperson i tekniska frågor rörande IT-systemet och skall fortlöpande samarbeta med systemförvaltaren i systemdriftfrågor.

Behörighetsansvarig

beslutar om tilldelning av åtkomsträttigheter till lärosätets gemensamma och lokala IT-system
ansvarar för uppföljning av och tilldelning av behörighet i enlighet med av systemägare och tekniskt ansvarig fastställda riktlinjer
behörighetsansvarig kan vara prefekt, avdelningschef för gemensam förvaltning, enhetschef för bibliotek i universitetsbiblioteket eller chef för annan enhet. Behörighetsadministratör
ansvarar för inregistrering och avregistrering av behörighet enligt behörighetsansvarigs beslut
ansvarar för att beslut om behörighetstilldelning arkiveras enligt fastställda arkivkrav.

Arkivansvarig

Lärosätets arkiv skall spegla verksamheten och är en källa till nutida och framtida forskning samt stöd i den dagliga verksamheten.

Hantering och förvaring av information skall ske så att den skyddas mot förlust, skada och obehörig användning.

Respektive enhet skall utse arkivansvarig.

Ansvaret avser hantering och förvaring av information i enlighet med lärosätets föreskrifter för informationssäkerhet, offentlighet och sekretess, registrering, arkivbildning, arkivredovisning samt vård av arkiv.

Detta gäller såväl digitalt lagrad information (ss webbplatser och e-post) som bilder och pappersdokument.