Informationssäkerhet

Informationssäkerhet vid Uppsala universitet

Informationssäkerhet

Rutiner & riktlinjer

Utbildningar På webben, resesäkerhet, länkar

DatalagringLagringslösningar för forskningsdata

KrypteringVeraCrypt, BitLocker, FileVault

ÖvrigtGDPR, distansarbete, ansvar och roller

1. Systematiskt informationssäkerhetsarbete vid Uppsala universitet

Systematiskt arbete med informationssäkerhet ska säkerställa att risker, störningar och hot mot universitetets informationsresurser identifieras och hanteras så att negativa konsekvenser avseende konfidentialitet, riktighet och tillgänglighet minimeras. 

Universitetets informationssäkerhetsarbete är baserat på svensk standard SS-ISO/IEC 27001:2014 för att därmed kunna uppfylla kraven i myndighetens för samhällsskydd och beredskap (MSB) föreskrifter om statliga myndigheters informationssäkerhet, (MSBFS 2016:1).

Läs mer om systematiskt informationssäkerhetsarbete vid Uppsala universitet

Med information avses alla former (muntlig, skriftlig, elektronisk) av forsknings- och utbildningsmaterial, administrativa uppgifter med mera. Information betraktas som en tillgång som i likhet med personal och fysisk egendom är avgörande för universitetets verksamhet.

2. Riktlinjer och rutiner

En översiktlig guide finns här (nanolearning)

Rutiner för riskhantering (rev. 2021-09-29) med bilagor;

• Bilaga 1. Konsekvensanalys (word). (Rev. 2018-01-24)
• Bilaga 2. (rev. 2021-02-18) Instruktion/stöd för informationsklassning (PDF) (an English version is also available in PDF, select "This page in English")
  Informationsklassning är basen för allt arbete med informationssäkerhet. För att veta hur informationen ska skyddas måste man veta vilken information som hanteras. Se även avsnittet (nanolearning) för informationsklassning och kravanalys eller presentationen från workshops (2018-03-08). Det finns också en referenstabell för universitetsförvaltningen (2022-01-21) att ladda ner.
• Bilaga 3. (version 1.23, rev. 2021-09-29) Nulägesanalys/Kravanalys (Excel)
• Bilaga 4. (Rev. 2021-10-04) Riskanalys (Excel) (an English version is also available)
• Bilaga 5. (Rev. 2018-06-15) Hantering av identifierade säkerhetsbrister (Word)
• Bilaga 6. (Rev. 2021-09-03) Mall för informationsklassning (Word)  (an English version is also available)
• Standardklassning av basinformation (Word) (Rev. 2018-04-24)
• Säkerhetskrav runt administration av system (Rev. 2018-03-16)

För information om centrala systems klassificering (KRT-värde), kontakta säkerhetsavdelningen.

Rutiner för säker informationshantering (Rev. 2020-05-12), inklusive molntjänster ur ett informationssäkerhetsperspektiv

Rutiner för anskaffning och drift av IT-system (Rev. 2021-05-07), inklusive outsourcing / drift i leverantörs regi. Vi har även tagit fram ett beslutsstöd för anskaffning (inköp) av externa IT-tjänster (Excel, rev. 2020-04-23)

Ytterligare riktlinjer och rutiner för IT- och informationssäkerhet finns i mål- och regelsamlingen

3. Säker kommunikation, resesäkerhet, utbildningar (även på webben/nanolearning)

• Resesäkerhet - informationssäkerhet för dig som reser (in Swedish and English)
• Behov av lånedator vid resa utanför EU? Kontakta security@uu.se
• Checklista, resesäkerhet (PDF)
• Personsäkerhet på resor (mål- och regelsamlingen)
• Utbildningar inom informationssäkerhet
• Samtliga utbildningar inom säkerhetsområdet

Säker delning av information/stöd för kryptering och signering
För att göra e-postkommunikation säkrare kan du signera och kryptera meddelanden. För att skicka känslig information kan du kryptera din e-post, eller enbart kryptera bilaga där informationen finns (se hjälpavsnitt om kryptering av e-post eller att kryptera bilagor). Läs information om krypteringsprogrammet VeraCrypt.

Du kan även använda tjänsten myfiles.uu.se för att dela filer och mappar med andra. Observera att det inte är lämpligt att använda tjänsten myfiles.uu.se som en kontinuerlig samarbetsyta med externa parter. Sådana samarbetsytor behöver hanteras i tjänster som nås via ett regelrätt autentiseringsförfarande.
När du delar filer/kataloger med externa parter via myfiles.uu.se, tänk på att

• Begränsa tiden för åtkomst.
• Endast dela filer/kataloger som är nödvändiga i det aktuella sammanhanget.
• Var noggrann med hur du delar ut rättigheter till filer/kataloger.  

Läs mer om de olika möjligheterna till lagring och delning.

Säker hantering av kodnycklar

Nycklar (kodnycklar/pseudonymiseringsnycklar/krypteringsnycklar) och kodlistor ska

• förvaras separat från den information som den är kopplad till,
• förvaras i så få kopior som möjligt, dock ska minst en säkerhetskopia finnas, 
• förvaras i någon form av lösning som uppfyller de krav som faller ut för klassificeringsnivån 332 enligt universitetets metoder för informationsklassificering och kravanalys *,
• ska i den lösning som väljs för lagring skyddas med ett starkt lösenord (ska bestå av minst 10 tecken – varav minst en versal, minst en gemen, och antingen minst ett specialtecken eller en siffra.), 
• kommuniceras på ett säkert sätt, endast till behöriga personer.

*Kodnyckel ska sparas på säkrast möjliga sätt. Vad som är säkrast möjliga sätt är upp till användaren att bedöma utifrån de förutsättningar som finns i sammanhanget. Att lagra kodnyckeln i Allvis eller Argos kan betraktas som en säker hantering under förutsättning att den lagras i en separat lagringsyta, åtskild från den kodade informationen samt är krypterad. Kodnyckeln kan även förvaras på en lösenordskyddad USB-enhet i ett låst skåp/motsvarande med lösenordsfrasen till USB-enheten säkert hanterad, exempelvis med hjälp av en lösenordshanterare. Har man tillgång till ett kassaskåp kan kodnyckeln lagras utskriven på ett papper i detta.

Att använda OneNote och/eller dela anteckningsbok i OneNote:

• Försäkra dig om att inget lagras i ”molnet”, allt ska lagras lokalt på den egna datorn alternativt på en gemensam lokal filserver vid universitetet. Detta gäller även cachen (den temporära informationen). Kolla inställningar i din OneNote-installation under Alternativ/Spara och kopiera.
• För en grupp som ska dela anteckningsbok gäller följande: Skapa en anteckningsbok för den exklusiva gruppen/endast behöriga i en skyddad katalog på en lokal filserver vid universitetet. Kontakta IT Servicedesk vid behov av skyddad katalog.

4. Lagringslösningar för forskningsdata

En övergripande rekommendation som kan tillämpas generellt är inte möjlig att ge då behoven kan skilja sig åt från fall till fall. Frågan om säker lagring av forskningsdata är prioriterad vid universitetet och arbete med att vidareutveckla och färdigställa lösningar att använda för ändamålet pågår. I många sammanhang finns behovet att dela information med aktörer utanför Uppsala universitet. Förutsättningarna för sådan delning behöver utredas i varje enskilt fall - i dagsläget pekar vi på följande alternativ:

• Dataportalen Allvis
• Tilläggstjänsten Datalagring (tidigare benämnd Argos)
• Tilläggstjänsten Vesta
• SUNET erbjuder en molnportal där all information lagras i Sverige
• SUNET Box har klassificerats till 222 och kan användas för information som inte är personuppgifter och inte överstiger denna nivå. 
• Intendenturer, institutioner och centrumbildningar har i många fall egna lösningar att erbjuda. Kontakta innehavaren av tjänsten för ytterligare information. 
• Många ser molntjänster som ett smidigt sätt att lagra information. Under vilka omständigheter i universitetets informationshantering kan molntjänster användas? Se vår nanolearning för användning av molntjänster.

Överföring av personuppgifter till USA

Den 10 juli 2023 antog EU-kommissionen ett beslut om att skyddet av personuppgifter i USA numer anses vara väsentligen likvärdig den inom EU/EES-området. Läs mer om detta på Personuppgifter till USA - Uppsala universitet (uu.se) och EU-kommissionen har fattat beslut om adekvat skyddsnivå för USA (imy.se). Fortfarande gäller att man beaktar informationssäkerhetsmässiga aspekter vid användning av externa IT-tjänster oavsett var i världen informationen behandlas eller lagras. Se Rutiner för säker informationshantering - Uppsala universitet (uu.se), särskilt avsnittet Information i IT-system och lagringslösningar.

5. Kryptering

Krypterad container med VeraCrypt:

Först behöver du hämta VeraCrypt. Är din Windowsdator administrerad av central datorsupport kan VeraCrypt laddas ner via Software Center. Annars finns VeraCrypt att ladda ner: nedladdning av programvara VeraCrypt

Skapa en krypterad container:

• Instruktion för Windows
• Instruktion för macOS 

Åtkomst (access) till den krypterade containern:

• Instruktion för Windows 
• Instruktion för macOS

Kryptera med 7-Zip eller Keka

Programmet 7-Zip kan användas som ett alternativ till VeraCrypt för att kryptera mappar och filer. Detta under förutsättning att

• lösenord som används är minst 15 tecken långt och att det i övrigt utgörs av en blandning av gemener, versaler, siffror och specialtecken
• krypteringsalgoritmen AES-256 används.

Vi rekommenderar därtill att alternativet om att även kryptera filnamn bockas för då ett sådant alternativ erbjuds. I ett fall då detta inte erbjuds – tänk på att namnet på filen sätts så att känsligt innehåll inte röjs.
 

Om du använder en dator med Mac OS utgör programmet Keka ett bra alternativ till 7-Zip.

Om programmet inte finns förinstallerat på din dator – installera det via Software Center (Windows) eller Self Service (Mac OS). Du kan även hitta aktuella programversioner på https://www.7-zip.org/download.html och Keka - Filarkivering för macOS.

Kryptera fysisk enhet med BitLocker (Windows)

Instruktioner för hur du krypterar med hjälp av BitLocker (extern webbplats)

Kryptera fysisk enhet med FileVault (Mac OS)

Instruktioner för hur du krypterar med hjälp av FileVault (extern webbplats)

Mer om IT-säkerhet - säkrare IT-vardag, incidentrapportering, radering med mera.

6.Övrigt

Har du koll på dina lösenord?

En lösenordshanterare kan vara en bra hjälp, förutsatt att du:

• har koll på din enhet och att den är skyddad med autolås och lösenord
• väljer ett mycket starkt masterlösenord, minst 15 tecken
• tillämpa 2faktor-autentisering genom att välja inloggning med både masterlösenord och en keyfile  
• tar backup på både filen för lösenordsdatabasen och genererad keyfile
• använder en produkt från en känd och seriös leverantör. Vi Rekommenderar Keypass2Anroid, KeePass 2.x för MacOS.

Om dataskyddsförordningen (GDPR)

Universitetets samlingssida om dataskyddsförordningen - så här fungerar den 

Distansarbete
Jobba säkert på distans - tips om hur du ska tänka när du inte är på arbetsplatsen.

Roller och ansvar
Alla medarbetare inom verksamheten har ett ansvar för verksamhetens

informationssäkerhet. Därtill följer ett särskilt ansvar kopplat till roller och för olika yrkeskategorier. Via länkarna nedan visas checklistor relevanta för olika kategorier.

• Medarbetare
• Prefekt/motsvarande
• Forskare
• Upphandlare/personal som deltar vid anskaffning av IT-system och IT-tjänster
• Teknisk personal (systemutvecklare/driftpersonal)
• Projektledare, Systemägare, e-områdesansvarig/motsvarande

Publicerad: tisdag 14:45

Innehållsansvarig: Veronika Berglund 13 september 2023