Kapittel 9: Brukere og deres tilgang til IT-tjenestene

Studenter og tilsatte ved Universitetet i Oslo tildeles en brukerkonto på grunnlag av informasjon om den enkelte i universitetets autoritative systemer. Brukerkontoer benyttes til identifikasjon, autentisering og autorisering.

For bruk av slike brukerkontoer og tilgangen den gir til IT-tjenestene og IT-systemene ved universitetet, skal det foreligge klare bestemmelser knyttet til arbeidsavtaler, taushetsplikt, sikkerhetsklarering med mer. Det skal eksistere tilbud om opplæring av de ulike gruppene for å sikre nødvendig kompetanse innen IT- og informasjonssikkerhet.

9.1 Definisjoner

Med  «IT-brukere» menes alt personell som skal ha tilgang til IT-tjenestene og IT-systemene ved Universitetet i Oslo. Dette omfatter følgende brukergrupper:

  • Studenter og tilsatte ved universitetet
  • Tilknyttede brukere (gjesteforskere o.l.)
  • Brukere tilknyttet universitetet gjennom avtaler (randsoner o.l.)
  • Gjestebrukere
  • Representanter for tredjepart (konsulenter, servicepersonell, utviklere o.l.)
  • IT-tilsatte lokalt og sentralt på universitetet

Med «tilgang» menes brukerrettigheter knyttet til et brukernavn og et passord.

9.2 Flere typer tilgang til tjenestene

Det finnes tre hovedtyper tilgang til UiOs IT-tjenester:

  1. Tilgang for personer som ikke har spesiell tilgang, for eksempel det generelle publikum som bruker UiOs web-tjenester.
  2. Tilgang for personer som hører til andre institusjoner. Disse får tilgang til et begrenset sett med IT-tjenester ved å autentisere seg med personlig brukernavn og passord tildelt av institusjonen.
  3. Tilgang for personer som har tilknytning til UiO. Disse får tilgang til ytterligere IT-tjenester ved å autentisere seg med brukernavn og passord tildelt av UiO.

Personers generelle tilgang til universitetets IT-ressurser tildeles på grunnlag av deres tilknytning til universitetet og reguleres av IT-reglementet. Denne tildelingen skjer vanligvis automatisk. Manuell tildeling skal kun utføres unntaksvis.

9.3 Brukerkontoen kommer med ansvar

Alle som får tildelt et brukernavn og passord for å få tilgang til IT-tjenestene og IT-systemene på universitetet skal gjøres kjent med IT-reglementet. Det skal samtidig opplyses om hvilke konsekvenser brudd på IT-reglementet kan få for den enkeltes tilgang til IT-tjenestene.

9.4 Identitetsforvaltning

Identitetsforvaltning ved Universitetet i Oslo skal normalt skje i det brukeradministrative systemet (BAS) Cerebrum på vegne av alle IT-tjenester og IT-systemer. Dette systemet leverer autentiseringsinformasjon til de autentiseringstjenester som benyttes og autoriseringsinformasjon til IT-tjenester og IT-systemer som krever det. Unntak fra dette skal behandles etter egne regler for unntakshåndtering.

9.4.1 Autentisering

Brukeren identifiserer seg overfor universitetets IT-tjenester og IT-systemer med sitt brukernavn og autentiseres med passordet. Dette skal skje over en kryptert forbindelse.

Noen tjenester er ekstra sensitive og stiller større krav til autentisering. Noen vil kreve bruk av tofaktor- eller flerfaktorautentisering.

Ekstern autentisering av andre brukere av IT-tjenester og IT-systemer ved Universitetet i Oslo skal skje via godkjente autentiseringstjenester (EduRoam, FEIDE, Dataporten eller Weblogin).

9.4.2 Autorisering

Autorisering innebærer å gi brukere bestemte rettigheter i forhold til en tjeneste eller et system. Dette er den enkelte tjenestes og det enkelte systems ansvar. I størst mulig grad bør det skje på grunnlag av sted- og rolleinformasjon om brukere i de autoritative systemene.

9.5 Autoritative kilder til personinformasjon

Informasjon om personer som skal ha ordinær tilgang til universitetets IT-tjenester og IT-systemer skal være registrert i følgende autoritative systemer:

  • SAPUiO – Universitetets personal- og lønnssystem
  • FS – Felles studentsystem

Informasjonen i disse systemene skal være kilde til informasjonen i universitetets system for brukeradministrasjon (BAS), – Cerebrum. I tillegg til informasjon om personer inneholder disse systemene også informasjon om disse personers organisatoriske tilknytning til universitetet (sted) og deres funksjon (rolle).

Tilgang til universitetets IT-tjenester og IT-systemer for andre enn tilsatte og studenter skal være hjemlet i eget reglement eller i egen kontrakt.

9.6 Kategorier av folk som får brukerkonto

Universitetet i Oslo deler inn de som får brukerkonto i følgende kategorier:

9.6.1 Tilsatte

Tilsatte i så vel vitenskapelige som teknisk-administrative stillinger ved universitetet blir tildelt brukerrettigheter på grunnlag av registrerte opplysninger om vedkommende i universitetets lønns- og personalsystem (SAP-UiO). Ved tilsetting skal det i arbeidsavtalen være en referanse til IT-reglementet med pålegg til den nytilsatte om å sette seg inn i dette, inkludert bestemmelser om etablering og avvikling av brukerrettigheter knyttet til statusen som ansatt på universitetet og å gjøre seg kjent med web-sider om IT-sikkerhet. Underskrevet arbeidsavtale er bekreftelse på at vedkommende er innforstått med dette.

9.6.2 Studenter

Studenter tildeles brukernavn og passord på grunnlag av registrering i FS – Felles studentsystem. Ved utlevering av brukernavn og passord skal studentene bli gjort tydelig oppmerksom på eksistensen av IT-reglementet og plikten vedkommende har til å sette seg inn i dette, referanse til web-sider om IT-sikkerhet, samt rutinene knyttet til etablering og avvikling av brukerrettigheter knyttet til statusen som student.

9.6.3 Tilknyttede

Tilknyttede brukere er personer som enheter ved universitetet samarbeider med og som tildeles rettigheter på linje med ansatte. Tilknyttete brukere skal være registrert i SAPUiO og deres rettigheter er regulert i eget reglement.

9.6.4 Gjester

Gjester er sporadiske brukere som får tildelt begrensete rettigheter for en kort periode. Disse rettighetene er regulert i eget reglement

9.6.5 Rettigheter på grunnlag av kontrakt

Brukere som får tildelt rettigheter til universitetets IT-tjenester og IT-systemer på grunnlag av kontrakt skal registreres i SAPUiO og få tildelt rettigheter slik de er spesifisert i kontrakten.

9.6.6 Manuelt registrerte brukerkontoer

Manuelt registrerte brukerkontoer er kontoer som registreres direkte i brukeradministrasjonssystemet og får tildelt rettigheter gjennom dette. Slik registrering skal kun skje etter godkjenning og utføres kun av USIT.

9.6.7 Privilegerte brukerkontoer

Disse har spesielle rettigheter i IT-systemene og behandles spesielt.

9.7 Privilegerte brukerkontoer

Kontoer med spesielle rettigheter omfatter flere kategorier privilegerte kontoer:

  • Kontoer med rot- eller administratorrettigheter på maskiner. Tildeling av slike rettigheter skal begrenses til det høyst nødvendige, og skal være grunnet i tjenestelige behov.
  • Kontoer med spesielle privilegier i tjenester, systemer og applikasjoner (‘superbrukere’). Tildeling av slike rettigheter skjer kun etter avtale med tjeneste- eller systemeiere

IT-tilsatte knyttet til drift, utvikling og annen tilrettelegging av IT-tjenester og IT-systemer ved Universitetet i Oslo omfatter to grupper:

  • Tilsatte ved USIT
  • Lokale IT-ansvarlige og andre IT-tilsatte ved grunnenheter på universitetet

I arbeidsavtalen skal IT-tilsatte i tillegg til informasjonen som gis ordinære tilsatte på universitetet (jf ovenfor) også undertegne en taushetserklæring. IT-direktøren avgjør om det for enkelte stillinger vil være påkrevd med sikkerhetsklarering.

IT-direktøren er ansvarlig for at IT-ansatte med et spesielt ansvar for IT- og informasjonssikkerhet har den nødvendige kompetanse til å løse oppgavene.

9.7.1 Eksterne konsulenter og adgang for tredjepart

Konsulenter, representanter for leverandører og annen tredjepart får tilgang til aktuelle IT-tjenester og IT-systemer ved behov. Denne tilgangen skal være regulert i kontrakt. Ved tildeling av brukernavn og passord skal disse brukerne gjøres kjent med IT-reglementet og plikten til å etterleve dette ved bruken av universitetets IT-ressurser.

9.8 Upersonlige brukerkontoer

Et viktig prinsipp er at alle brukerkontoer ved universitetet skal være knyttet til en person eller en ansvarlig enhet. Noen kontoer er i sin natur ikke slik, og må behandles spesielt.

9.8.1 Lokale brukerkontoer

Med «lokale brukerkontoer» menes brukerkontoer som er registrert lokalt på en datamaskin eller i en IT-tjeneste.

  • Nye lokale brukerkontoer skal registreres kun unntaksvis, og antall slike kontoer skal begrenses til et minimum.
  • Dersom operativsystemet kommer med slike kontoer aktivert, skal de sperres eller deaktiveres med mindre IT-tjenesten som kjører på maskinen krever at den er aktivert.
  • Noen operativsystemer leveres med gjestekontoer. Det skal verifiseres at lokale gjestekontoer er sperret, uten kjent passord og uten privilegier.

9.8.2 Systemkontoer

På servere finnes det ofte systemkontoer, egne brukerkontoer spesielt laget for å kjøre tjenester eller applikasjoner. Disse brukerkontoene har ofte mange rettigheter og det innebærer en del jobb og planlegging for å skifte passord på dem.

  • Dersom det er mulig, skal systemkontoer hindres i å logge inn eller på andre måter konfigureres slik at passordet ikke brukes.
  • På Windows skal GMSA-kontoer brukes hvis mulig
  • Systemkontoer skal settes opp med så lite rettigheter som praktisk mulig, slik at skaden ved et tap av passord er minimal.
  • Systemkontoer skal navngis og merkes på en slik måte at det går tydelig frem hva de benyttes til og hvem som er ansvarlig for kontoen. Den ansvarlige bør være en gruppe eller en enhet, ikke en person.
  • Systemkontoer skal videresende e-post som sendes til kontoen. E-posten skal videresendes til e-post-listen til den gruppen eller enheten som er ansvarlig for systemkontoen.

9.8.3 Felleskontoer

Det finnes av historiske årsaker kontoer som brukes av flere personer samtidig. Bruk av slike kontoer skal begrenses til et minimum. Slike kontoer skal ikke lages uten tillatelse fra IT-sikkerhetssjef. Felleskontoer skal ikke brukes som et alternativ til e-post-lister for å få en bestemt epost-adresse.

9.9 Avvikling av brukerkontoer

Det skal eksistere rutiner for avvikling av brukerrettigheter når en brukers tilknytning til universitetet avsluttes:

  • Spesielle rettigheter skal avvikles umiddelbart
  • Ansatte og studenter beholder ordinære brukerrettigheter tre måneder etter at ansettelsesforhold og studier er avsluttet. Ansatte eller studenter som en enhet ønsker fortsatt samarbeid med, skal enheten registrere som tilknyttet bruker
  • Tilknyttede brukeres rettigheter avvikles automatisk etter ett år dersom de ikke fornyes
  • Rettigheter knyttet til brukere etablert med hjemmel i kontrakt avvikles umiddelbart etter kontraktens utløp
  • Gjestebrukere avvikles automatisk ved utløp
  • Manuelt registrerte brukere skal ha tidsbegrensete rettigheter og disse avvikles umiddelbart etter dette

Det skal eksistere rutiner for utlevering av data fra brukers hjemmeområde når tilknytning til universitetet avsluttes.

9.10 Tilleggene

IT-reglementet

Rutine for avvikling av privilegerte kontoer

Regler for passord

Regler for passord for privilegerte brukere

Publisert 28. feb. 2017 13:17 - Sist endret 3. jan. 2018 11:57