Wikier

Informasjonssikke...

Nettverks- og informasjonsoverføring - retningslinje

Detaljer Skriv ut

Retningslinje for Nettverks- og informasjonsoverføring.

Innholdsfortegnelse [-]

  1. Formål
  2. Gjelder for
  3. Ansvar og roller
  4. Overordnede prinsipper
  5. Nettverk
    1. Nettverkskontroller
    2. Sikring av nettjenester
    3. Segregering i nettverk
  6. Informasjonsoverføring
    1. Elektronisk meldingsutveksling
    2. Konfidensialitets- eller taushetserklæringer

English version - Policy for network and information transfer

  • Type dokument: Retningslinje
  • Forvaltes av: Seksjon for digital sikkerhet
  • Godkjent av: Direktør for Organisasjon og infrastruktur
  • Gjelder fra: 01.10.2025
  • Neste revisjon innen: 01.10.2027
  • Unntatt offentlighet: Nei
  • Referanse ISO: ISO 27002:2022 5.14, 8.12, 8.21 – 8.23
  • Referanse Policy for informasjonssikkerhet og personvern i høyere utdanning og forskning (F-04-20): Pkt 3
  • Referanse NSMs grunnprinsipper for IKT-sikkerhet: 2.3.10, 2.5.1-2.5.6, 2.5.8, 2.7.4
  • Referanse LOV/Regel: Personopplysningsloven, Eksportkontrolloven
  • Referanse interne dokumenter: Politikk for informasjonssikkerhet, Styringsdokument for sikkerhet og beredskap

Formål

Formålet med retningslinjen er å beskytte informasjon mot tap eller misbruk ved overføring mellom interne systemer ved NTNU, elektronisk overføring av informasjon til ekstern part, eller overføring av informasjon til andre medier som kan benyttes til å lagre data (lagringsmedier) som ikke er en del av NTNUs beskyttede IKT-infrastruktur. Med NTNUs IKT-infrastruktur menes alt utstyr, digital informasjon, informasjonssystemer og tjenester som benyttes til informasjonsbehandling og kommunikasjon.

Gjelder for

«Retningslinjen for nettverks- og informasjonsoverføring» gjelder for alle som har tilgang til, og/eller bearbeider og forvalter informasjon gjennom NTNUs nettverk.

Ansvar og roller

Arbeidet med informasjonssikkerhet berører virksomheten på alle nivå. Ansvar og myndighet for informasjonssikkerhet følger det ordinære linjeansvaret. Dette står detaljert i politikk for informasjonssikkerhet.

For retningslinje for nettverks- og informasjonsoverføring har linjeledere, leder av HR- og HMS-avdelingen, leder av IT-avdelingen, leder for IT-infrastruktur, leder for digital sikkerhet samt systemeier og prosjektleder sentrale roller med tilhørende ansvar. 

Overordnede prinsipper

  • Det skal implementeres tiltak for å øke evnen til å detektere angrep, samt redusere angrepsflaten i nettverket.
  • Informasjon i transaksjoner til og fra applikasjonstjenester skal beskyttes for å hindre ufullstendig overføring, feilruting, uautorisert meldingsendring, uautorisert utlevering, uautorisert meldingsduplisering eller repetering.
  • Ved bruk av eksterne systemer skal det inngås en databehandleravtale godkjent av Avdeling for utvikling og virksomhetsstyring.
  • Forskning og kunnskap som kan misbrukes som beskrevet i Eksportkontrolloven §1, skal underlegges eksportkontroll og reguleres av «Retningslinjer for kontroll med kunnskapsoverføring»1.
  • Ved verbal kommunikasjon utenfor NTNUs lokaler må deltakere være bevisst sine omgivelser og innhold i kommunikasjon slik at ikke klassifisert informasjon kommer på avveie.

Nettverk

Nettverkskontroller

NTNUs datanett er definert som datanettet som eies og driftes av NTNU på alle Campus. Inkludert i dette er kjernenettverk og alle nettverkskomponenter som er koblet til det. Det inkluderer også alle internettforbindelser inn og ut av NTNU, samt eventuelt leide linjer mellom NTNU og partnere. For å sikre tilgangen til dette nettverket skal følgende kontroller være implementert:

  • Klientnettverk skal ha autentisering både på kablet og trådløst nett. (IEEE 802.1x).
  • Brannmurer skal benyttes for å kontrollere trafikken i nettverket, inkluderer også brannmurer på servere.
  • Logger fra brannmuren skal håndteres etter krav i «Retningslinje for Operativ Sikkerhet».
  • Ekstern tilgang til nettverkssonene Intern, Fortrolig og Strengt fortrolig skal gå via kryptert forbindelse med sikker autentisering som kan realiseres ved hjelp av f.eks. VPN. Løsningene for kryptert forbindelse må ha to-faktor autentisering for å hindre at man kan logge på bare med brukernavn og passord.

Sikring av nettjenester

Følgende tiltak skal være implementert for å sikre NTNUs datanett:

  • Nettverksutstyr skal sikres fysisk basert på krav i «Retningslinje for tilgangskontroll».
  • Nettverkskomponenter skal konfigurasjonsstyres slik at man til enhver tid har et oppdatert nettverk.
  • Det skal etableres redundante forbindelser der kravene til tilgjengelighet krever dette.
  • Kvaliteten på nettverkstjenesten skal være tydelig definert enten det leveres av NTNU IT eller av eksterne leverandører.

Segregering i nettverk

Segregering av nettverkene er en forutsetning for å kunne oppnå en høyre grad av informasjonssikkerhet. Følgende krav stilles:

  • Brukerutstyr skal isoleres i egne soner. Der det er mulig eller hensiktsmessig bør klienter også skilles fra hverandre for å unngå at klienter infiserer hverandre. (Private VLAN)
  • Nettverket skal kunne isolere brukerutstyr som er kompromittert.
  • Nettverket skal ha egne soner for brukerutstyr med forskjellige sikkerhetsnivå basert på følgende inndeling:
    • Ukjente enheter – ved kun åpen informasjon
    • Private enheter som er registrert – ved opptil intern informasjon
    • Administrerte enheter – ved opptil fortrolig informasjon
    • Administrerte enheter med høyere tilgangsstyring – ved opptil strengt fortrolig informasjon
  • Servere skal plasseres i nettverkssoner basert på klassifisering av informasjon.
  • Det skal være egne nettverkssoner for åpen, intern, fortrolig og strengt fortrolig informasjon.
  • Segregeringen av nettverket skal kontrolleres gjennom brannmurer.
  • Nettverkstrafikk fra servere i intern, fortrolig og strengt fortrolig sone skal bare nå internett via Proxy.
  • Labutstyr skal plasseres i egen sone og skal ikke nås direkte fra internett.

Informasjonsoverføring

  • All informasjonsoverføring med informasjon klassifisert som Fortrolig og Strengt Fortrolig skal ha mekanismer for å verifisere integritet.
  • Transaksjoner av informasjon klassifisert som Fortrolig eller Strengt Fortrolig skal krypteres eller sikres på annen måte for å ivareta informasjonssikkerheten2.
  • Det skal være audit logging av transaksjoner som inneholder personopplysninger og informasjon klassifisert Fortrolig eller Strengt Fortrolig. Loggen skal oppfylle krav til sporing av endringer og innsyn.
  • Ved overføring av avtaleregulert/lovregulert informasjon til en ekstern part skal det alltid foreligge en data- eller informasjonsbehandleravtale

Elektronisk meldingsutveksling

Ved overføring via e-post eller annet elektronisk meldingssystem gjelder følgende krav:

  • Fortrolig eller Strengt Fortrolig informasjon som overføres via e-post eller andre elektroniske meldingstjenester skal krypteres i henhold til «Retningslinje for bruk av kryptografiske kontroller».

Konfidensialitets- eller taushetserklæringer

Følgende krav gjelder for konfidensialitets- eller taushetserklæringer ved behandling av klassifisert informasjon:

  • Ved overføring av informasjon klassifisert Intern, Fortrolig eller Strengt Fortrolig til en ekstern part skal det foreligge en signert avtale som ivaretar NTNUs rettigheter og forpliktelser knyttet til informasjonsoverføringen.
  • Medarbeidere i NTNU skal pålegges taushetsplikt for personopplysninger hvor konfidensialitet er nødvendig.
  • Taushetsplikten skal også omfatte annen informasjon med betydning for informasjonssikkerheten.
2719 Visninger
IT-info: digital sikkerhet Målgruppe: Medarbeidere Studenter Tema: Informasjonssikkerhet