gigacampus » start page » sikkerhet

Sikkerhet

Sikkerhet blir et stadig viktigere tema. Trusselbildet er økende, og kompleksitet og kreativitet i ondsinnet aktivitet kjenner få, om noen grenser. Vi ser nå en skremmende utvikling fra rampestreker til organisert kriminalitet. Det kan ligge betydelige økonomiske motiver bak.

I GigaCampus arbeider vi med sikkerhet på flere plan. Grovt sett deler vi dette inn i to hovedområder; et operativt løp og et løp med fokus på informasjonssikkerhet (herunder etablering av sikkerhetspolicy, m.m).

Mål

:!: Dette er de opprinnelige mål slik de er formulert i programbeskrivelsen i forkant av GigaCampus:

  • I 2006 skal flere kompetansehevende kurs arrangeres myntet på lokal sikkerhetsdrift. Kurs- og opplæringsvirksomhet skal gjennomføres regelmessig i hele programperioden.
  • I 2006 skal det bygges lokale sikkerhetsteam (IRT) ved minst 10 universiteter/høgskoler. Det skal gjennomføres felles opplæring, dernest erfaringsutveksling mellom disse. Aktiviteten skal utvides til 10 nye per år. Innen 2009 skal alle ha etablert egne sikkerhetsteam.
  • I 2006 skal åtte universiteter/høgskoler få en helhetlig sikkerhetsgjennomgang med konkrete anbefalinger til forbedring. Dette arbeidet skal fortsette utover i programperioden og sluttføres i løpet av 2009.
  • I 2006 skal piloter velges for utarbeidelse av lokal sikkerhetspolicy. GigaCampus blir katalysator i prosessen, og TROST-prosjektet sin mal for arbeidet benyttes. Arbeidet gjøres lokalt og godkjent policy skal implementeres påfølgende år. I løpet av 2009 skal alle universiteter og høgskoler ha en godkjent sikkerhetspolicy.

Gjennomførte samlinger

IRT-kurs

Sikkerhetsforum

Et sikkerhetsforum for UNINETT regionskontakter, dvs UiT, NTNU, UiB og UiO, ble stiftet november 2007. Møte er av informerende/diskuterende art. Det legges opp til 1-2 mmøter pr år.

Følgende møter er gjennomført/planlagt:

  • Oppstartsmøte november 2007
  • Oppfølgingsmøte november 2008

Anbefalinger

UFS Tittel
UFS106 Anbefalt aksesslistemal

Når det gjelder aksesslister til IPv6 så anbefaler vi også å bruke UFS 106 som utgangspunkt.

Her er eksempel og forklaring på hvordan du skriver IPv6 aksesslister.

Sikkerhetsgjennomganger (operativt fokus)

GigaCampus gjennomfører ulike typer sikkerhetsbefaringer. Omtalt her er den med operativt fokus, se under for sikkerhetspolicy-aktiviteten og dets befaringer.

GigaCampus gjennomfører opptil 8 operative sikkerhetsbefaringer pr år. Til befaringene er det utarbeidet en omfattende sjekkliste som tar for seg emner innenfor sikkerhetsteam/abusehåndtering, sikkerhet i endesystemer, sikkerhetsfremmende nettdesign og lokal sikkerhetsovervåkning. Aktiviteten gjennomføres ved at personell ved sikkerhetsgruppen i UNINETT drar ut til hver enkelt UH-institusjon etter tur og foretar dybdeintervju med IT-personellet med ovennevnte sjekkliste som underlag. I etterkant av befaringene skrives det en rapport som dokumenterer selve møtet, og som oppsummerer de viktigste sakene og kommer med anbefalinger hvor dette er relevant.

Gjennomførte befaringer

# Besøksdato Institusjon
1 Februar 2006 Høgskolen i Narvik
2 April 2006 Arkitektur- og designhøgskolen i Oslo
3 September 2006 Høgskolen i Telemark
4 November 2006 Høgskolen i Hedmark
5 Januar 2007 Norges Handelshøgskole
6 Februar 2007 Høgskolen i Nesna
7 April 2007 Høgskolen i Bodø
8 Juni 2007 Høgskolen i Akershus
9 September 2007 Høgskolen i Oslo
10 Oktober 2007 Høgskolen Stord/Haugesund
11 Oktober 2007 Høgskolen i Molde
12 Februar 2008 Høgskolen i Sør-Trøndelag
13 Mars 2008 Høgskolen i Tromsø
14 Mars 2008 Høgskolen i Nord-Trøndelag
15 Mai 2008 Høgskolen i Bergen

Sårbarhetsalarmer fra Secunia

Secunia-avtalen utløp 1. mars 2010.

Informasjonssikkerhet

Informasjon er et aktivum som, i likhet med andre viktige virksomhetsaktiva, har verdi for en organisasjon og derfor må vernes på forsvarlig måte. Informasjonssikkerhet beskytter informasjon mot en lang rekke trusler med det formål å sikre driftskontinuitet, redusere skader og maksimere utbyttet av investeringer og forretningsmuligheter.

Informasjon kan eksistere i mange former. Den kan trykkes eller skrives på papir, lagres elektronisk, overføres via post eller elektroniske media, vises på film eller formidles muntlig. Uansett hvilken form informasjonen har eller hvilket middel den formidles gjennom og lagres på, bør den alltid beskyttes på forsvarlig måte.

Informasjonssikkerhet omfatter her beskyttelse av:

  • konfidensialitet: at informasjon bare er tilgjengelig for dem som har autorisert tilgang til den;
  • integritet: nøyaktig og fullstendig informasjon og behandlingsprosesser;
  • tilgjengelighet: at autoriserte brukere har tilgang til informasjon og tilhørende tjenester når de trenger dem.

Informasjonssikkerhet oppnås ved å iverksette passende kontrolltiltak, som kan være politikk, rutiner, prosedyrer, organisasjonsstrukturer og programvarefunksjoner. Disse tiltakene må etableres for å sikre at organisasjonens spesielle sikkerhetsmål oppfylles.

Utrulling av sikkerhetspolicy

Aktiviteten starter for fullt i 2008 der vi mot en egenandel tilbyr en skreddersydd sikkerhetspolicypakke i tre faser. Ambisjonen er å hjelpe opptil 20 institusjoner i 2008, resten i 2009.

Fase 1 – kartlegging av ståsted

En kartlegging gjennomføres som en en-dags workshop der vi gjennom intervjuer av nøkkelpersoner fra ledelse, personal og IKT, kartlegger status i forhold til institusjonens informasjonssikkerhetsnivå. Vi vil i etterkant skrive en rapport der vi anbefaler konkrete tiltak. Som mal for vårt arbeid benyttes ISO-standardene 27001 og 27002. Kartleggingen er å anse som en internkontroll der dere benytter fagpersoner fra UNINETT som eksterne og fortrolige konsulenter.

Fase 2 – utarbeidelse av utkast til sikkerhetspolicy

Med bakgrunn i de erfaringer vi har gjort oss i fase 1 og med utgangspunkt i en generisk mal for sikkerhetspolicy som UNINETT har arbeidet frem (basert på ISO 27002), vil det bli utarbeidet et utkast til sikkerhetspolicy for din institusjon. Denne behandles internt hos dere for lokal tilpasning hvorpå vi i en felles en-dags workshop sluttfører dokumentet slik at det kan legges frem for godkjenning av direktør og/eller styre i egen organisasjon. Vi vil samtidig tilby en samling med underliggende styrende dokumenter som danner et godt utgangspunkt for mer detaljerte sikkerhetsinstrukser/rutiner ved deres virksomhet.

Fase 3 – vedlikehold

Om lag et halvt år etter at sikkerhetspolicy er vedtatt innført arrangeres et oppfølgingsmøte hos dere med fokus på selve implementasjonsprosessen. Det kan her bl.a være behov for tilpasning av underliggende rutiner og prosedyrer.

Øvrige styrende dokumenter innen informasjonssikkerhet

Vi kan også bistå i pågående prosesser eller vi kan aktivt medvirke på nye innsatsområder innen informasjonssikkerhetsområdet. Innhold og omfang vil variere avhengig av det aktuelle universitets/høgskolens ståsted. Aktuelle prosjekter kan være:

  • Revisjon av sikkerhetspolicy.
  • Implementasjon/tilpasning av sikkerhetsinstrukser/rutiner («nivå 3-dokumenter») med referanser til ISO 27002).
  • Risiko- og sårbarhetsvurderinger (ROS-vurderinger).
  • Etablering av katastrofe- og beredskapsplaner (KBP).

Dokumentarkiv

Tilgang til dokumentarkivet krever særskilt autorisasjon. Dersom du deltar på GigaCampus sitt informasjonssikkerhetsløp - ta kontakt for å få tilgang.

Gå til arkivet...

Gjennomførte/planlagte besøk

# Besøksdato Institusjon Tema
1 11. januar 2008 Høgskolen i Molde Fase 1 - kartlegging av ståsted
2 12. februar 2008 Universitetet i Oslo Kartleggingsmøte
3 21. februar 2008 Høgskolen i Ålesund Fase 1 - kartlegging av ståsted
22. februar 2008 Høgskolen i Molde Fase 2 - policyworkshop
4 29. februar 2008 NTNU Kartleggingsmøte
5 6. mars 2008 Høgskolen i Harstad Fase 1 - kartlegging av ståsted
6 27. mars 2008 Høgskolen i Volda Fase 1 - kartlegging av ståsted
7 10. april 2008 Høgskolen Stord/Haugesund Fase 1 - kartlegging av ståsted
8 16. mai 2008 Kunsthøgskolen i Oslo Fase 1 - kartlegging av ståsted
29. mai 2008 Høgskolen i Volda Fase 2 - policyworkshop
9 6. juni 2008 Høgskolen i Oslo Fase 1 - kartlegging av ståsted
10 12. juni 2008 Høgskolen i Nesna Fase 1 - kartlegging av ståsted
26. juni 2008 Høgskolen i Harstad Fase 2 - policyworkshop
15. august 2008 Universitetet i Oslo ROS-analyse
21. august 2008 NTNU Fase 1 - kartlegging av ståsted
11 27. august 2008 Høgskolen i Telemark - Bø Fase 1 - kartlegging av ståsted
28. august 2008 Høgskolen i Telemark - Porsgrunn Fase 1 - kartlegging av ståsted
- 29. august 2008 UNINETT Fase 1 - kartlegging av ståsted
12 4. september 2008 Høgskolen i Østfold Fase 1 - kartlegging av ståsted
5. september 2008 Kunsthøgskolen i Oslo Fase 2 - policyworkshop
9. september 2008 NTNU Fase 1 - kartlegging av ståsted - fortsettelse
17. september 2008 Høgskolen Stord/Haugesund Fase 2 - policyworkshop
23. september 2008 Høgskolen i Oslo Fase 2 - policyworkshop
26. september 2008 Høgskolen i Ålesund Fase 2 - policyworkshop
8. oktober 2008 Høgskolen i Nesna Fase 2 - policyworkshop
13 3. november 2008 Høgskolen i Lillehammer Fase 1 - kartlegging av ståsted
11. november 2008 Høgskolen i Telemark Fase 2 - policyworkshop
14 28. november 2008 Universitetet for miljø- og biovitenskap (UMB) Fase 1 - kartlegging av ståsted
2. desember 2008 HiMolde, HiAls, HiVolda Fase 3 - implementasjonsprosessen
15 15. desember 2008 Norges musikkhøgskole Fase 1 - kartlegging av ståsted
15. januar 2009 NTNU Sikkerhetspolitikk - Veien videre
16 27. januar 2009 Universitetet i Agder Fase 1 - kartlegging av ståsted
18. februar 2009 Høgskolen i Lillehammer Fase 2 - policyworkshop
19. februar 2009 Universitetet for miljø- og biovitenskap (UMB) Fase 2 - policyworkshop
17 19. februar 2009 Høgskolen i Nord-Trøndelag Fase 1 - kartlegging av ståsted
18 11. mars 2009 Høgskolen i Bergen Fase 1 - kartlegging av ståsted
19 27. mars 2009 Høgskolen i Sør-Trøndelag Fase 1 - kartlegging av ståsted
4. juni 2009 Høgskolen i Østfold Fase 2 - policyworkshop
20 august 2009 Universitetet i Stavanger Fase 1 - kartlegging av ståsted
21 17. august 2009 Norges handelshøyskole Fase 1 - kartlegging av ståsted
20. august 2009 Høgskolen i Sør-Trøndelag Fase 2 - policyworkshop
28. august 2009 Universitetet i Stavanger Fase 2 - policyworkshop
9. september 2009 Høgskolen i Bergen Fase 2 - policyworkshop
22 13. oktober 2009 Høgskolen i Bodø Fase 1 - kartlegging av ståsted
24. november 2009 Universitetet i Agder Fase 2 - policyworkshop
22. desember 2009 Norges handelshøyskole Fase 2 - policyworkshop
23 22. februar 2010 Norges idrettshøgskole Fase 1 - kartlegging av ståsted
10. mars 2010 Høgskolen i Nord-Trøndelag Fase 1 - kartlegging av ståsted
9. april 2010 Høgskolen i Bodø Fase 2 - policyworkshop
24 11. mai 2010 Høgskolen i Finnmark Fase 1 - kartlegging av ståsted
25 19. mai 2010 Høgskolen i Hedmark Fase 1 - kartlegging av ståsted
10. mars 2010 Høgskolen i Nord-Trøndelag Fase 2 - policyworkshop
26 23. september 2010 Universitetsstudiene på Kjeller (UNIK) Fase 1 - kartlegging av ståsted
27 8. november 2010 Høgskulen i Sogn og Fjordane Fase 1 - kartlegging av ståsted
2. desember 2010 Norges musikkhøgskole Fase 2 - policyworkshop
14. desember 2010 Høgskolen i Finnmark Fase 2 - policyworkshop
17. desember 2010 Norges idrettshøgskole Fase 2 - policyworkshop
28 25. januar 2011 Høgskolen i Buskerud Fase 1 - kartlegging av ståsted
10. mars 2011 Høgskolen i Buskerud Fase 2 - policyworkshop
29 23. august 2011 Samisk høgskole Fase 1 - kartlegging av ståsted
30 6. september 2011 Høgskolen i Narvik Fase 1 - kartlegging av ståsted

Videre planer

Følgende institusjoner er på vår kjøreplan. Endelig dato er ikke tidfestet:

  1. Høgskolen i Vestfold
  2. Kunst høgskolen i Bergen
  3. Norges veterinærhøgskole
 
 
gigacampus/sikkerhet.txt · Last modified: 2011/09/05 22:56 by oyvind@uninett.no

Viktig melding: openwiki.uninett.no

UNINETT OpenWiki er under utfasing. Wikier som er lite brukt er satt i kun-lese-modus. Ta kontakt med UNINETT for å åpne for skrivetilgang ved behov.

Group memberships: no groups