Kapittel 13: Håndtering av hendelser og avvik

Universitetet skal ha dokumenterte og funksjonelle rutiner for å melde inn og håndtere hendelser og avvik av betydning for IT- og informasjonssikkerheten. Alle studenter og ansatte skal være kjent med disse rutinene, og de skal være enkle å følge.

13.1 Hva er hendelser og avvik?

Hendelser og avvik er nær beslektet, men avvik reguleres blant annet av personopplysningsloven. Avvik skal i noen tilfeller rapporteres til Datatilsynet.

Det er viktig at USIT og rett instans ved UiO får beskjed når det skjer ting som kan ha betydning for informasjonssikkerheten. Dette kan være små hendelser som vekker mistanke om at noe ikke er helt som det skal med en datamaskin, en brukerkonto eller en arbeidsrutine, til lekkasje av viktig informasjon eller tap av viktige data.

Alle IT-sikkerhetshendelser regnes som interessante ut fra hensynet til informasjonssikkerhet. Igjen kan dette være alt fra store datainnbrudd til mistanke om at et forskningsprosjekt ikke lagrer data på rett sted. Man kan godt si at noen IT-sikkerhetshendelser kan føre til avvik.

Det kan gjøres grove inndelinger i ulike typer avvik, uten at dette er skarpe skiller. Eksempler kan være

13.2 Ansvar

Universitetsdirektøren er overordnet ansvarlig for håndtering av avvik ved UiO. USIT er gitt ansvaret for å implementere og drifte verktøy for å oppdage avvik i IT-systemene ved UiO, utforming av standardprosedyrer for håndtering av disse, og håndtering av oppgaver (inklusive delegasjon) i forhold til oppdagede eller mistenkte avvik.

Ansvaret for å implementere prosedyrer og verktøy for å oppdage og håndtere avvik påhviler enhver enhet og enhver bruker av informasjonssystemene ved UiO.

13.3 Varsling

Alle ansatte og studenter ved universitetet har et felles ansvar for å varsle dersom det foreligger mistanke om at noe kan ha skjedd som påvirker informasjonssikkerheten,

Sikkerhetsbrudd og bruk av informasjonssystemene i strid med fastlagte rutiner skal behandles som avvik og rapporteres i tråd med bestemmelser for avvikshåndtering. Varsling skal skje etter gjeldende rutine for håndtering av avvik.

13.4 Håndtering

UiO-CERT og behandlingsansvarlig ved UiO vil behandle henvendelser og om nødvendig samarbeide med, og varsle videre til, andre enheter.

  • USIT
  • IT-organisasjonen
  • Politi og påtalemyndighet
  • Datatilsynet
  • Universitetets personvernombud
  • Universitetsdirektør og eventuelt andre fagdirektører
  • Helsetilsynet
  • Rettighetsinnehavere
  • Involverte brukere, studenter, ansatte og forskere

13.5 Universitetets CERT-gruppe

CERT-gruppa er organisert på USIT. Den er oppnevnt av og har sitt mandat fra IT-direktøren. CERT-gruppas leder rapporterer til IT-sikkerhetssjefen.

I tillegg til lederen består CERT-gruppa av personell fra driftsgruppene på USIT.

CERT-gruppa skal varsles umiddelbart ved mistanke om IT-sikkerhetshendelser. Forholdsregler ved slik mistanke skal være enkelt tilgjengelig for lokale IT-ansvarlige og brukere på universitetet. CERT-gruppa har ansvar for følgende:

  • Evaluere sikkerhetshendelsen
  • Sørge for varsling av berørte parter
  • Kartlegge konsekvenser
  • Iverksette tiltak for å begrense eventuelle skader som følge av hendelsen
  • Sikre eventuelle bevis og rydde opp i etterkant
  • Rapportere hendelsen til IT-sikkerhetssjefen
  • Foreslå tiltak for å redusere eller eliminere risiko for at tilsvarende hendelser skal opptre i framtida
  • Bistå ved sikkerhets- og sårbarhetsvurderinger av systemer og bistår i dokumenteringen av disse
  • Arbeide for større forståelse for IT-sikkerhetsarbeidet og initiere opplærings- og informasjonstiltak

Kontrollerende dokumentasjon

Avvik ved behandling av personopplysninger

 

 

Publisert 28. feb. 2017 13:17 - Sist endret 6. mars 2018 12:10