Wikier

Klassifisering av...

Behandling av informasjon med privat IKT-utstyr

Detaljer Skriv ut

NTNUs rutiner og retningslinjer stiller krav til at en jobber på administrerte NTNU-maskiner som er utstyrt med nødvendige sikkerhetsmekanismer for å behandle klassifisert informasjon. Noen ganger vil det likevel oppstå situasjoner der klassifisert informasjon må behandles på ikke-administrerte enheter. Dette gjelder i første rekke studenter, men kan også være stipendiater eller andre som av ulike grunner ikke har NTNU-administrert PC tilgjengelig. Denne wikien beskriver hvordan du kan gå fram for å behandle ulike typer informasjon med privat IKT-utstyr (som privat PC) ved NTNU.

English version - Processing of information with private ICT-equipment

Temaside forskningsdata

Innholdsfortegnelse [-]

  1. Bruk av privat IKT-utstyr
  2. Begreper og forkortelser
  3. Informasjonsklassifisering
    1. Spesielt om klassifisering av personopplysninger.
  4. Eksempler på dataflyter for forskningsdata med personopplysninger
    1. Gule intervjudata via Nettskjema Diktafon-app
    2. Gule intervjudata via Zoom
    3. Gule videodata
    4. Røde intervjudata fra diktafon
    5. Røde videodata
  5. Sletting av informasjon
    1. Eksterne lagringsmedier
    2. Sletting av filer fra privat PC
  6. Se også
  7. Kontakt

Bruk av privat IKT-utstyr

NTNU er forpliktet til å ha oversikt over informasjonsverdier som lagres og oppbevares ved NTNU og at disse er tilstrekkelig sikret. Med bakgrunn i dette skal ikke privat utstyr brukes for å lagre informasjon klassifisert som Intern, Fortrolig eller Strengt Fortrolig. I tillegg skal ikke privat utstyr brukes til behandling av informasjon i klassene Fortrolig eller Strengt fortrolig.

Dette betyr i praksis at du kan åpne og jobbe med en fil klassifisert som «intern» på din private PC, men den må lagres på godkjent lagringsområde eller skyløsning. Fortrolige filer kan derimot ikke åpnes på privat PC uten bruk av virtuelt skrivebord (VDI) og kryptering. Strengt fortrolig informasjon skal verken lagres eller behandles på privat PC i det hele tatt.

Personopplysninger er et typisk eksempel på klassifisert informasjon. Nedenfor finner du beskrivelse av arbeidsflyter for innsamling, lagring og behandling av de vanligste typene personopplysninger.

Begreper og forkortelser

AIP: I Office 365 (Word, PowerPoint, Excel, Outlook) er det mulig å klassifisere filer og dokumenter med "etiketter" som utløser tekniske tiltak som kryptering og tilgangskontroll. Systemet kalles Azure Information Protection (AIP). Merk at etiketten «fortrolig» ikke kan brukes i nettleserversjon (men kan brukes med VDI).

Hjemmeområde: Hjemmeområdet (M:) ligger på en sentral server på NTNU, og filene dine blir sendt til denne serveren for lagring. Området er personlig, og er beskyttet av ditt passord slik at ingen andre har adgang til dine filer. Hjemmeområdet er godkjent for lagring opp til fortrolig informasjon (opp til strengt fortrolig med kryptering). Ulempen med å bruke hjemmeområdet til lagring av datamateriale, er at ingen andre (for eksempel veileder) kan få tilgang.

Office 365:Office 365 gir studenter og ansatte ved NTNU gratis tilgang til tekstbehandling, skylagring og samhandlingstjenester. Her finner du bl.a Teams, Outlook, OneDrive, Word, Excel og PowerPoint både for nedlastning og for bruk i nettleseren. Bruker du privat PC, må du være nøye med at ingen Office-filer lagres på PC (men kan for eksempel lagres på Teams).

OneDrive:Microsoft OneDrive er Microsofts tjeneste for skylagring og enkel deling av filer. OneDrive tilsvarer løsninger som Dropbox og Google Drive, men laster automatisk ned en kopi til egen PC når filen brukes. OneDrive kan derfor bare brukes til lagring av personopplysninger dersom du også alltid bruker VDI (virtuelt skrivebord) hver gang filene åpnes.

Personopplysninger er opplysninger som direkte eller indirekte kan identifisere en person. Direkte personidentifiserende opplysninger er for eksempel navn, personnummer, e-postadresse, tlf.nr., IP-adresse, bilder, lydopptak og videoopptak. Transkriberte intervjuer regnes også personopplysninger, med mindre all direkte og indirekte identifiserende informasjon er fjernet. Indirekte personidentifiserende opplysninger er bakgrunnsopplysninger som kan gjøre det mulig å spore opplysningene tilbake til en enkeltperson, for eksempel arbeidsplass kombinert med opplysninger om alder, kjønn, yrke, nasjonalitet, etc.

Teams:Microsoft Teams er egentlig et skybasert verktøy for kommunikasjon og samhandling i grupper, men kan også brukes som lagringsområde dersom en ikke kan lagre på egen PC. Dersom du oppretter et privat team for lagring, får du mulighet for tilgangskontroll.

TSD:TSD er en skyløsning med et fullt sett tjenester for innsamling, lagring og analyse av forskningsdata som krever et høyt sikkerhetsnivå. TSD utvikles og driftes av USIT ved UiO. Med TSD er ikke privat PC noe problem da alt foregår inne i skyen. Utfordringen er at TSD er teknisk krevende og best egnet for større prosjekter.

VDI: Virtuell desktop. Med VMware Horizon View kan du koble deg opp til en virtuell Windows-PC og få tilgang til programmene og filer du har lagret. Programmene du bruker kjøres ikke på maskinen din, men på NTNU-servere. Når du er innlogget på en desktop (VDI) eller en virtuell applikasjon vil ingen andre ha tilgang til dataene du arbeider med.

Gjennom denne lenken (pdf) får du en detaljert guide i hvordan du bruker VMware horizon som er en app NTNU bruker for et virtuelt skrivebord. Fra side [2] finner du guiden for privat PC.
Denne programvaren har ulike nedlastninger for flere ulike typer maskiner. Følg instruksene i listen og sjekk at de ulike innstillingene er korrekte. Deretter logger du inn med NTNU-brukernavn og passord. Da har du tilgang til en virtuell NTNU-PC på din private enhet.

VLC: Medieavspiller som ikke lagrer kopier på maskinen. Kan brukes med virtuell desktop (VDI).

Informasjonsklassifisering

All informasjon du behandler og deler har ulike behov for sikring og skjerming. På NTNU bruker vi fire kategorier for å klassifisere konfidensialitetsgrad: Åpen, Intern, Fortrolig og Strengt fortrolig. Ofte brukes fargekoding for å beskrive hvilken grad det er snakk om. For mer informasjon om klassifisering, se Retningslinje for klassifisering av informasjonsverdier eller wiki om klassifisering av informasjon.

Spesielt om klassifisering av personopplysninger.

«Alminnelige» personopplysninger havner gjerne i intern (gul) kategori. Dette er informasjon og opplysninger som kan relateres til en person, men som ikke inneholder såkalte særlige kategorier av personopplysninger (også kalt sensitive). Særlige kategorier omfatter opplysninger om rasemessig eller etnisk opprinnelse, politisk oppfatning, religion, overbevisning eller fagforeningsmedlemskap, behandling av genetiske opplysninger og biometriske opplysninger med det formål å entydig identifisere en fysisk person, helseopplysninger eller opplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering. Disse opplysningene krever særskilt beskyttelse, og vil som regel havne i fortrolig kategori. Andre eksempler på fortrolige data er opplysninger om straffedommer og lovovertredelser, eller opplysninger om personer fra sårbare grupper eller i sårbare situasjoner.

Det finnes eksempler på at personopplysninger i forskning havner i klassen Strengt fortrolig (svart). Strengt fortrolig benyttes bare dersom det vil kunne forårsake betydelig skade for offentlige interesser, institusjonen, enkeltperson eller samarbeidspartner at informasjonen blir kjent for uvedkommende. Eksempel på slik informasjon kan være informasjon om personer som har behov for særlig beskyttelse (kode 7).

For mer informasjon, se Retningslinje for behandling av personopplysninger.

Eksempler på dataflyter for forskningsdata med personopplysninger

Gule intervjudata via Nettskjema Diktafon-app

  1. Logg inn i Nettskjema og opprett et diktafonskjema med lagring i Nettskjema.
  2. Last ned Nettskjema Diktafon-app til mobilen din og bruk appen til å gjøre intervjuopptakene (følg instruksene fra UiO).
  3. Lytt til filene i Nettskjema via Nettleser. (NB: Nettskjema transkriberer automatisk opptakene, men kvaliteten varierer.)
  4. Kopier over transkripsjonene til en word-fil på Teams eller hjemmeområdet ditt (ikke last ned til egen PC).
  5. Lagre de transkriberte tekstene på Teams eller hjemmeområdet (M:). Pass på at du ikke lagrer kopier på egen PC.

Gule intervjudata via Zoom

  1. Sett opp opptak i Zoom med lagring på hjemmeområdet (M:-disken)
  2. Spill av filene med VLC-spiller (lastes ned fra NTNU)
  3. Jobb med tekstfiler i Word (Office 365),
  4. Lagre Word-filene på Teams.

Gule videodata

  1. Du kan bruke digitalt videokamera til å gjøre opptak, men dette krever at du er nøye med å slette informasjonen fra opptakeren etterpå (se rutiner for sletting).
  2. Overfør videofilene direkte til hjemmeområdet ditt (M:). For mer informasjon om hvordan du kobler opp hjemmeområdet som en mappe på PCen din, se wiki om Hjemmeområde.
  3. Spill av filene med VLC-spiller (lastes ned fra NTNU)
  4. Jobb med tekstfiler i Word (Office 365).
  5. Lagre Word-filene på Teams.

Røde intervjudata fra diktafon

  1. Du kan bruke en ekstern diktafon/lydopptaker til å gjøre opptak av fortrolige intervju, men dette krever at du er nøye med å slette informasjonen fra opptakeren etterpå (se rutiner for sletting).
  2. Overfør lydfilene direkte til hjemmeområdet ditt (M:). For mer informasjon om hvordan du kobler opp hjemmeområdet som en mappe på PCen din, se wiki om Hjemmeområde.
  3. Koble deg til virtuelt skrivebord med VMware Horizon View (VDI) og lytt til filene med VLC-spilleren fra de tilgjengelige programmene.
  4. Bruk Word gjennom VDI for å transkribere.
  5. Merk tekstfilene som fortrolig med AIP og lagre dem på hjemmeområdet eller OneDrive.
  6. Bruk VDI hver gang du åpner filene og jobber med dem.

Røde videodata

  1. Du kan bruke digitalt videokamera til å gjøre fortrolige opptak, men dette krever at du er nøye med å slette informasjonen fra opptakeren etterpå (se rutiner for sletting).
  2. Overfør videofilene direkte til hjemmeområdet ditt (M:). For mer informasjon om hvordan du kobler opp hjemmeområdet som en mappe på PCen din, se wiki om Hjemmeområde.
  3. Koble deg til virtuelt skrivebord med VMware Horizon View (VDI) og spill filene med VLC-spilleren fra de tilgjengelige programmene.
  4. Bruk Word gjennom VDI for tekstarbeid.
  5. Merk tekstfilene som fortrolig med AIP og lagre dem på hjemmeområdet eller OneDrive.
  6. Bruk VDI hver gang du åpner filene og jobber med dem.

Sletting av informasjon

Eksterne lagringsmedier

  • Windows: Koble til eksternt lagringsmedium i PCen, finn mediet, høyreklikk og velg Formater. velg NTFS filsystem, pass på at «Quick format» ikke er haket av og klikk Start. NB: Det er viktig å bruke full formatering for å hindre at informasjonen lar seg gjenopprette.

  • MacOS: Koble til eksternt lagringsmedium. Åpne Disk Utility, velg enhet under External, klikk Erase og velg ønsket format fra menyen. (Bruk MS-DOS (FAT) for 32GB og mindre, og ExFat for kort over 32GB med mindre du har en god grunn til å velge andre formater.) Klikk Security Options og flytt bryteren helt til høyre før du klikker Erase.

Sletting av filer fra privat PC

  • Slett filen fra aktuelt lagringsområder, slett deretter filen fra papirkurv.

Se også

Kontakt

Har du spørsmål om bruk av privat IKT-utstyr eller kommentarer og tilbakemeldinger til denne siden, ta kontakt med Forskningsdatahjelpen gjennom NTNU Hjelp. Eksterne brukere kan sende en e-post til research-data@ntnu.no (har du en NTNU-brukerkonto vil forespørselen din bli behandlet i NTNU Hjelp-portalen).

1745 Visninger
IT-info: digital sikkerhet Målgruppe: Medarbeidere Studenter Tema: Informasjonssikkerhet
Tagger
personopplysninger forskningsdata gdpr
Vedlegg
PNG
arbeidsflyt 1.PNG
PNG
Formatering MacOS.png
PNG
Formatering Windows.png
PNG
Gule data via nettskjema diktafonapp.png
PNG
Gule intervjudata via Zoom.png
PNG
Gule videodata.png
PNG
Røde intervjudata fra diktafon.png
PNG
Røde videodata.png
PNG
sikkerhetsklasser_enkel_600.png