Anvisningens syfte

Syftet med anvisningen är att stödja institutionerna att implementera säkerhetsåtgärder i enlighet med Riktlinjer för informationssäkerhet vid Stockholms universitet.

I anvisningen finns underlag som ger hjälp till att införa och upprätthålla lämplig nivå av säkerhetsåtgärder som relaterar till åtkomststyrning.

Allmänt om åtkomststyrning

Åtkomststyrning handlar, lite förenklat beskrivet, om att se till så rätt person har den åtkomst och behörighetsnivå som krävs för dennes roll, vid varje given tidpunkt. Detta innebär således även att se till så åtkomst och behörigheter tas bor alternativt förändras när någon träder ur eller förändrar sin roll. Därmed syftar åtkomstkontroll även till att förhindra obehörig åtkomst till information. Begreppet omfattar även att man kommunicerar inloggningsuppgifter till användaren på ett säkert sätt.

Säkerhetsåtgärder

Denna del av anvisningen talar om ett antal säkerhetsåtgärder som ska beaktas. Anvisning styr inte på något sätt omfattning och nivå på säkerhetsåtgärder. De kan realiseras med olika omfattning och nivå beroende på vilket behov man har. För alla säkerhetsåtgärder gäller dock följande;

Skyddsåtgärdernas omfattning och dimensionering kan utformas utifrån resultatet av informationstillgångarnas klassificering samt verksamhetsanalys med tillhörande risk- och sårbarhetsanalys. Valet av omfattning och nivå bör kunna motiveras.

Rutin process för behörighetshantering

Det ska finnas en rutin etablerad genom vilken all behörighetshantering ska hanteras. Tillse att rutinen också innefattar eventuella system som inte har koppling till SUKAT.

Med all behörighetshantering menas alla ärenden som rör:

  • Skapande/borttag (alternativt inaktivering) av användarkonton
  • Tilldelning/anpassning/borttag av behörigheter till användarkonton

Detta avser behörigheter rörande alla typer av resurser (Applikationer, Operativsystem och Nätverkstjänster)

Rutinen bör tillämpas för alla kategorier av användare. Exempel på kategorier är:

  • Vanliga användare inom institutionen/motsv.
  • Gästanvändare
  • Studenter
  • Priviligierade användare som DSA/motsvarande

Rutinen bör omfatta följande egenskaper:

  • Hur användaren ansöker om behörighet
  • Steg för godkännande samt vilken eller vilka roll(er) som ska godkänna behörighetsförändringen innan den realiseras
  • Steg för realisering av behörighetsförändringen
  • Dokumentation av ärendet

Rutinen bör stödja följande:

  • När en individ börjar i sin roll
  • När en individ ändrar sin roll
  • När en individ avslutar sin roll

Regelbunden revision av befintliga behörigheter, i syfte att fånga uteblivna förändringar pga. att ovan tre delprocesser inte till fullo fungerat.

Hantering av användares konfidentiella autentiseringsinformation

Det ska även finnas en rutin som försäkrar en säker tilldelning av inloggningsuppgifter, dvs. det sätt man kommunicerar autentiseringsinformation som t.ex. användarnamn och lösenord på till användare. Alternativt kan detta med fördel omfattas av rutinen ovan.

Exempel på egenskaper för denna del är:

  • Identifiering av individ innan uppgifterna tilldelas denne.
  • Nyttjande av säkert media som inte kan avlyssnas eller läsas av obehöriga, för förmedling av informationen. Undvik klartext i elektroniska meddelanden eller användning av externa parter.
  • Tilldelning av ett tillfälligt lösenord som är tidsbegränsat och måste bytas av användaren vid första inloggningen.

Användarkonton

Alla användarkonton ska vara personliga.
Användarkonton som delas av flera individer ska ej förekomma. Om verksamheten av någon anledning kräver detta ska varje specifikt undantag beslutas och dokumenteras.

Behörighetsnivå

Behörighet bör tilldelas med en minimalistisk princip i grunden, dvs. inte tilldela högre behörighet än vad behovet för respektive roll är.
Åtkomst bör regleras på individuell basis för alla typer av information (med undantag från publik information t.ex. på extern webbsida)

Privilegierade verktygsprogram

Användning av program som har möjlighet att kringgå säkerhetsåtgärder kan behöva användas i flera syften, som till exempel att kontrollera miljöns säkerhetsnivå (s.k. penetrationstester) eller för att bereda tillgång till information som på olika sätt oavsiktligt har skyddats på ett sätt som förhindrar rättmätig informationsägares tillgång till informationen. Det bör dokumenteras vem eller vilka som har rätt att använda denna typ av verktygsprogram samt vad som är tillåtet vid användande.

Detta skyddar både institutionen från otillåten användning och den som arbetar med verktyget från anklagelser om till exempel dataintrång.