Informationssäkerhet

Informationssäkerhet vid Uppsala universitet

Informationssäkerhet

Rutiner & riktlinjer

Utbildningar På webben, resesäkerhet, länkar

DatalagringLagringslösningar för forskningsdata

KrypteringVeraCrypt, BitLocker, FileVault

ÖvrigtGDPR, distansarbete, ansvar och roller

1. Systematiskt informationssäkerhetsarbete vid Uppsala universitet

Systematiskt arbete med informationssäkerhet ska säkerställa att risker, störningar och hot mot universitetets informationsresurser identifieras och hanteras så att negativa konsekvenser avseende konfidentialitet, riktighet och tillgänglighet minimeras. 

Universitetets informationssäkerhetsarbete är baserat på svensk standard SS-ISO/IEC 27001:2014 för att därmed kunna uppfylla kraven i myndighetens för samhällsskydd och beredskap (MSB) föreskrifter om statliga myndigheters informationssäkerhet, (MSBFS 2016:1).

Läs mer om systematiskt informationssäkerhetsarbete vid Uppsala universitet

Med information avses alla former (muntlig, skriftlig, elektronisk) av forsknings- och utbildningsmaterial, administrativa uppgifter med mera. Information betraktas som en tillgång som i likhet med personal och fysisk egendom är avgörande för universitetets verksamhet.

2. Riktlinjer och rutiner

En översiktlig guide finns här (nanolearning)

Rutiner för riskhantering (rev. 2021-09-29) med bilagor;

• Bilaga 1. Konsekvensanalys (word). (Rev. 2018-01-24)
• Bilaga 2. (rev. 2021-02-18) Instruktion/stöd för informationsklassning (PDF) (an English version is also available in PDF, select "This page in English")
  Informationsklassning är basen för allt arbete med informationssäkerhet. För att veta hur informationen ska skyddas måste man veta vilken information som hanteras. Se även avsnittet (nanolearning) för informationsklassning och kravanalys eller presentationen från workshops (2018-03-08). Det finns också en referenstabell för universitetsförvaltningen (2022-01-21) att ladda ner.
• Bilaga 3. (version 1.23, rev. 2021-09-29) Nulägesanalys/Kravanalys (Excel)
• Bilaga 4. (Rev. 2021-10-04) Riskanalys (Excel) (an English version is also available)
• Bilaga 5. (Rev. 2018-06-15) Hantering av identifierade säkerhetsbrister (Word)
• Bilaga 6. (Rev. 2021-09-03) Mall för informationsklassning (Word)  (an English version is also available)
• Standardklassning av basinformation (Word) (Rev. 2018-04-24)
• KRT-Klassningsvärden (KRT) för centralt förvaltade system (PDF) (Rev. 2022-12-15)  
• Säkerhetskrav runt administration av system (Rev. 2018-03-16)

Rutiner för säker informationshantering (Rev. 2020-05-12), inklusive molntjänster ur ett informationssäkerhetsperspektiv

Rutiner för anskaffning och drift av IT-system (Rev. 2021-05-07), inklusive outsourcing / drift i leverantörs regi. Vi har även tagit fram ett beslutsstöd för anskaffning (inköp) av externa IT-tjänster (Excel, rev. 2020-04-23)

Ytterligare riktlinjer och rutiner för IT- och informationssäkerhet finns i mål- och regelsamlingen

3. Säker kommunikation, resesäkerhet, utbildningar (även på webben/nanolearning)

• Resesäkerhet - informationssäkerhet för dig som reser (in Swedish and English)
• Behov av lånedator vid resa utanför EU? Kontakta security@uu.se
• Checklista, resesäkerhet (PDF)
• Personsäkerhet på resor (mål- och regelsamlingen)
• Samtliga utbildningar inom säkerhetsområdet

Säker delning av information/stöd för kryptering och signering
För att göra e-postkommunikation säkrare kan du signera och kryptera meddelanden. För att skicka känslig information kan du kryptera din e-post, eller enbart kryptera bilaga där informationen finns (se hjälpavsnitt om kryptering av e-post eller att kryptera bilagor). Läs information om krypteringsprogrammet VeraCrypt.

Du kan även använda tjänsten myfiles.uu.se för att dela filer och mappar med andra. Observera att det inte är lämpligt att använda tjänsten myfiles.uu.se som en kontinuerlig samarbetsyta med externa parter. Sådana samarbetsytor behöver hanteras i tjänster som nås via ett regelrätt autentiseringsförfarande.
När du delar filer/kataloger med externa parter via myfiles.uu.se, tänk på att

• Begränsa tiden för åtkomst.
• Endast dela filer/kataloger som är nödvändiga i det aktuella sammanhanget.
• Var noggrann med hur du delar ut rättigheter till filer/kataloger.  

Läs mer om de olika möjligheterna till lagring och delning.

Säker hantering av kodnycklar

Nycklar (kodnycklar/pseudonymiseringsnycklar/krypteringsnycklar) och kodlistor ska

• förvaras separat från den information som den är kopplad till,
• förvaras i så få kopior som möjligt, dock ska minst en säkerhetskopia finnas, 
• förvaras i någon form av lösning som uppfyller de krav som faller ut för klassificeringsnivån 332 enligt universitetets metoder för informationsklassificering och kravanalys *,
• ska i den lösning som väljs för lagring skyddas med ett starkt lösenord (ska bestå av minst 10 tecken – varav minst en versal, minst en gemen, och antingen minst ett specialtecken eller en siffra.), 
• kommuniceras på ett säkert sätt, endast till behöriga personer.

*Kodnyckel ska sparas på säkrast möjliga sätt. Vad som är säkrast möjliga sätt är upp till användaren att bedöma utifrån de förutsättningar som finns i sammanhanget. Att lagra kodnyckeln i Allvis eller Argos kan betraktas som en säker hantering under förutsättning att den lagras i en separat lagringsyta, åtskild från den kodade informationen samt är krypterad. Kodnyckeln kan även förvaras på en lösenordskyddad USB-enhet i ett låst skåp/motsvarande med lösenordsfrasen till USB-enheten säkert hanterad, exempelvis med hjälp av en lösenordshanterare. Har man tillgång till ett kassaskåp kan kodnyckeln lagras utskriven på ett papper i detta.

Att använda OneNote och/eller dela anteckningsbok i OneNote:

• Försäkra dig om att inget lagras i ”molnet”, allt ska lagras lokalt på den egna datorn alternativt på en gemensam lokal filserver vid universitetet. Detta gäller även cachen (den temporära informationen). Kolla inställningar i din OneNote-installation under Alternativ/Spara och kopiera.
• För en grupp som ska dela anteckningsbok gäller följande: Skapa en anteckningsbok för den exklusiva gruppen/endast behöriga i en skyddad katalog på en lokal filserver vid universitetet. Kontakta IT Servicedesk vid behov av skyddad katalog.

4. Lagringslösningar för forskningsdata

En övergripande rekommendation som kan tillämpas generellt är inte möjlig att ge då behoven kan skilja sig åt från fall till fall. Frågan om säker lagring av forskningsdata är prioriterad vid universitetet och arbete med att vidareutveckla och färdigställa lösningar att använda för ändamålet pågår. I många sammanhang finns behovet att dela information med aktörer utanför Uppsala universitet. Förutsättningarna för sådan delning behöver utredas i varje enskilt fall - i dagsläget pekar vi på följande alternativ:

• Dataportalen Allvis
• Tilläggstjänsten Datalagring (tidigare benämnd Argos)
• Tilläggstjänsten Vesta
• SUNET erbjuder en molnportal där all information lagras i Sverige
• SUNET Box har klassificerats till 222 och kan användas för information som inte är personuppgifter och inte överstiger denna nivå. OBS! På grund av ett oklart juridiskt läge (se Schrems II-domen ovan) avråder vi just nu från att använda SUNET Box för hantering av personuppgifter. Kontakta säkerhetsavdelningen om du har frågor om detta.
• Intendenturer, institutioner och centrumbildningar har i många fall egna lösningar att erbjuda. Kontakta innehavaren av tjänsten för ytterligare information. 
• Många ser molntjänster som ett smidigt sätt att lagra information. Under vilka omständigheter i universitetets informationshantering kan molntjänster användas? Se vår nanolearning för användning av molntjänster.

Personuppgifter och överföringar
Information om dataskydd, personuppgifter mm finns på universitetets sidor om dataskyddsförordningen. Du  kan även läsa på Integritetsskyddsmyndighetens sida om hur Schrems II-domen påverkar överföringar av personuppgifter till tredje land.

Säkerhetsavdelningens rekommendationer

• Avvakta tills vidare med nya initiativ som medför att personuppgifter överförs till USA eller som bygger på systemlösningar baserade på amerikanska molntjänster

• Kartlägg befintlig användning av tjänster som kan beröras av det uppkomna läget

• Följ utvecklingen. Säkerhetsavdelningen avser att återkomma med aktuell information angående hur läget utvecklas. Kontakta oss om du vill veta mer.

Läs mer om aktuell status gällande tjänster som erbjuds i universitetets regi.

Kontakta Säkerhetsavdelningen för hjälp med prövning, råd och stöd.

5. Kryptering

Krypterad container med VeraCrypt:

Först behöver du hämta VeraCrypt. Är din Windowsdator administrerad av central datorsupport kan VeraCrypt laddas ner via Software Center. Annars finns VeraCrypt att ladda ner: nedladdning av programvara VeraCrypt

Skapa en krypterad container:

• Instruktion för Windows
• Instruktion för macOS 

Åtkomst (access) till den krypterade containern:

• Instruktion för Windows 
• Instruktion för macOS

Kryptera med 7-Zip

Programmet 7-Zip kan användas som ett alternativ till VeraCrypt för att kryptera mappar och filer. Detta under förutsättning att

•    lösenord som används är minst 15 tecken långt och att det i övrigt utgörs av en blandning av gemener, versaler, siffror och specialtecken
•    krypteringsalgoritmen AES-256 används
•    alternativet om att även kryptera filnamn bockas för

Om programmet inte finns förinstallerat på din dator – installera det via Software Center (Windows) eller Self Service (MAC OS). Om din dator inte är centralt administrerad kan du hitta aktuella programversioner på https://www.7-zip.org/download.html 

Kryptera fysisk enhet med BitLocker (Windows)

Instruktioner för hur du krypterar med hjälp av BitLocker (extern webbplats)

Kryptera fysisk enhet med FileVault (Mac OS)

Instruktioner för hur du krypterar med hjälp av FileVault (extern webbplats)

Mer om IT-säkerhet - säkrare IT-vardag, incidentrapportering, radering med mera.

6.Övrigt

Om dataskyddsförordningen (GDPR)

• Intro till dataskyddsförordningen för institutioner (PDF rev. 2018-05-29)
• Presentation från workshop inför dataskyddsförordningen (PDF rev. 2018-04-20)
• Universitetets samlingssida om dataskyddsförordningen - så här fungerar den 

Distansarbete
Jobba säkert på distans - tips om hur du ska tänka när du inte är på arbetsplatsen.

Roller och ansvar
Alla medarbetare inom verksamheten har ett ansvar för verksamhetens

informationssäkerhet. Därtill följer ett särskilt ansvar kopplat till roller och för olika yrkeskategorier. Via länkarna nedan visas checklistor relevanta för olika kategorier.

• Medarbetare
• Prefekt/motsvarande
• Forskare
• Upphandlare/personal som deltar vid anskaffning av IT-system och IT-tjänster
• Teknisk personal (systemutvecklare/driftpersonal)
• Projektledare, Systemägare, e-områdesansvarig/motsvarande

Publicerad: 09 mars 2023