English version of this page

Sikker overføring av data til eller fra tredjepart

Overføring av data til eller fra tredjepart, altså korrespondenter utenfor universitetet, må skje på en sikker og godkjent måte dersom dataene er beskyttelsesverdige. Her finner du regler for dette.

Merk at egne regler gjelder for TSD, altså strengt fortrolige, eller sorte data.

0. Hvilke data gjelder dette?

Dette gjelder i hovedsak røde data, men også gule data dersom det er snakk om store mengder. Se klassifiseringen og lagringsguiden for å lære mer.

1. Kryptering

1.1. Krypteringsstyrke

Dataene skal krypteres med krypteringsalgoritme med styrke tilsvarende eller bedre enn  AES/RSA. Der sjekksumalgoritmer benyttes, skal denne være SHA2 eller bedre.

1.2. Programvare for kryptering

Til sporadisk kryptering, for eksempel kryptering av innhold i e-post, anbefaler vi programmet 7-zip, som er tilgjengelig for alle vanlige plattformer. De fleste maskinene på UiO har dette installert i startmenyen.

2. Automatisk overføring av data

Dette gjelder alle former for maskinelle, regelmessige overføringer. Eksempler kan være batch-jobber, scripts, eller programmer som jevnlig overfører data til eller fra systemer utenfor UiO. Dette er f. eks. vanlig for å integrere systemer med hverandre. Slike overføringer skal skje kryptert etter reglene gitt i avsnitt 1.

2.1. Hva skal krypteres?

Både selve dataene og overføringen skal krypteres. De krypterte dataene skal altså overføres over en kryptert forbindelse.

2.2. Passord til nøkler

Passord til nøkler skal skiftes regelmessig.

2.3. Overføring med proprietær overføringsmekanisme

Her snakker vi om mekanismer som USIT eller UiO ikke har laget selv. Dette kan f. eks. være overføringsmekanismer som er innebygget i programvareløsningene. Disse kan ikke alltid endres og ikke alle krypteringsalgoritmer og nøkkellengder er støttet. Der slike benyttes så skal man:

  • ...så langt det teknisk er mulig følge bestemmelsene i avsnitt 1.
  • ...dokumentere hvilken krypteringsalgoritme og nøkkellengde som benyttes.
  • ...dokumentere og teste skifte av passord og nøkler.

Er det behov for avvik fordi algoritmer ikke er støttet, eller ønsket nøkkellengde ikke er mulig, skal det foreligge en kort risikovurdering som skal godkjennes av systemeier(e) og IT-sikkerhetssjef. Et slikt eksempel kan være eldre programvare som kun støtter DES el.l.

3. Manuell overføring av data

Med manuell overføring av data menes enkeltoverføringer som ikke er automatiserte. Typisk vil dette være førstegangslasting av data, overføring av databasedumper for feilsøking eller oppgradering osv.

3.1. Overføring av data pr. post eller bud

Data som sendes pr. post eller bud, for eksempel på en harddisk eller minnepinne, skal alltid være kryptert. Krypteringen skal følge kravene gitt i 1.1.

Eneste unntak er hvis datamengdene er så store at kryptering ikke kan utføres, eller det teknisk ikke er mulig å kryptere. I slike tilfeller skal bud være ansatt hos en av de involverte partene og personlig følge forsendelsen.

3.2. Overføring av data pr. e-post

Dersom data skal sendes pr. e-post skal de krypteres i forkant. Fortrinnsvis skal GPG eller S/MIME med gode sertifikater benyttes. For andre krypteringsmekanismer gjelder krav til krypteringsstyrke som i avsnitt 1. 7-zip er anbefalt.

Passord skal alltid sendes i annen kanal enn hovedforsendelsen, f. eks. pr. faks, SMS eller over telefon. Passord for oversendelsen skal ikke gjenbrukes.

3.3. Overføring av data pr. andre kanaler eller internett-tjenester

Data skal ikke overføres via fildelingstjenester på Internett.

Publisert 18. feb. 2019 12:22 - Sist endret 6. mai 2019 12:41