Policy för egenadministrerade datorsystem
Syfte
Denna policy avser hela datorsystem, eller del därav som t ex en programvara, som finns på KTH och som administreras och underhålls av annan person än systempersonal. Den riktar sig till dig som ska utföra detta arbete och till dig som är chef, uppdragsgivare eller motsvarande för en sådan person. Syftet med policyn är att upprätthålla en god tillgänglighet och säkerhet hos datorsystemen och att undvika dataförlust, datastöld, intrång, sabotage och liknande. Detta inte bara för att skydda systemet i fråga utan även KTH:s övriga datorresurser samt omvärlden genom att datorer på KTH inte ska kunna användas för attacker mot andra parter. Syftet är också att tydliggöra det ansvar och den arbetsinsats detta kräver så att det blir lättare för chef eller uppdragsgivare att se till att arbetstid finns tillgänglig för den som ska utföra arbetet.
Bakgrund
I vissa sammanhang kan det vara lämpligt att forskare eller andra själva administrerar och underhåller datorsystem, t ex för att användningen kräver stor kontroll över hela datormiljön eller mycket specialkunskap av administratörerna. Denna lösning innebär dock ofta merarbete och merkostnader för organisationen. Dels måste administratörerna lägga tid på kontinuerlig kunskapsinhämtning och administrativt arbete för att hålla datorn inklusive programvaror i gott skick. Dels kan merarbete uppstå för övriga organisationen i form av komplicerade supportärenden, utredningar av datorintrång, intrång som även drabbar andra system, användare som är oklara över supportnivå och säkerhetsnivå på de olika datorsystemen, förlust av data pga utebliven backuptagning etc.
Denna policy beskriver hur egenadministrerade datorsystem ska kunna drivas på ett för alla parter så smidigt sätt som möjligt.
Datorsystem som omfattas av policyn
Ordet datorsystem används här för att ange ett komplett datorsystem eller del därav, som t ex en programvara.
För dessa typer av system gäller policyn:
- Datorsystem som är viktiga för verksamheten.
- Datorsystem som kan befaras utsättas för eller användas för intrångsförsök.
Exempel på datorsystem som omfattas av policyn:
- En dator som är ansluten till datornätet.
- Ett system för bokning av labbredovisningar.
- En webbapplikation som är tillgänglig för flera.
Exempel på datorsystem som inte omfattas av policyn:
- Program avsedda för eget bruk och som inte är nåbara av andra.
- En statisk webbsida som inte använder programkod.
Ett datorsystem som används vid KTH ska uppfylla nedanstående krav.
Det ska finnas minst en ansvarig administratör och tillika kontaktperson för varje datorsystem. Administratörerna ansvarar för att systemet alltid sköts enligt denna policy. Om administratörerna inte har möjlighet att bevaka och underhålla systemet, t ex vid semestrar, resor etc, ska antingen ansvaret lämnas över till någon annan eller systemet stängas av. Det är uppdragsgivarens (chef eller motsvarande) ansvar att tillse att det alltid finns administratörer för alla system. Datorsystem som förfaller eller faller i glömska får inte förekomma.
Datorsystemen ska alltid vara uppdaterade i god ordning för att undvika säkerhetshål och liknande. Detta ska ske utan onödig fördröjning. Även om automatiska uppdateringsfunktioner används måste man fortlöpande övervaka att de fungerar. Om datorsystemet inte längre är möjligt att uppdatera, t ex pga produktens ålder, ska det tas ur drift eller isoleras från datornätet och andra datorsystem.
Innan ett system tas i bruk ska man göra en bedömning av systemets behov och risker så att man både initialt och fortlöpande kan vidta de åtgärder som krävs för att driva systemet med erforderlig stabilitet och god säkerhetsnivå. T ex ska systemets behov av säkerhetskopiering (backup), åtkomstbegränsning, risker för användare, risker för intrång, etc analyseras.
Datorsystemets administratörer ska fortlöpande hålla sig informerade om säkerhetsproblem, produktens upphörande etc. Detta gäller även för andra system som systemet bygger på. Sådan information kan inhämtas via relevanta e-postlistor eller andra snabba nyhetskanaler.
Det krävs arbetstid av datorsystemets administratörer för att hålla datorsystemet i gott skick och för att hålla sig vederbörligt informerade. Dessutom kan det krävas plötsliga arbetsinsatser t ex vid upptäckt av säkerhetshål eller vid intrång. Uppdragsgivaren (chef eller motsvarande) ska vara väl medveten om detta så att den arbetstid som krävs finns tillgänglig för administratörerna.
Information om datorsystemets kontaktpersoner, syfte, programvaror som används, beroenden, målgrupp/användargrupp och andra relevanta uppgifter, som t ex nätadresser, ska anmälas till systemgrupp eller den motsvarande funktion som tekniskt och säkerhetsmässigt ansvarar för det lokala datornätet. Om ansvaret för systemet överlämnas till annan person, även tillfälligt, ska detta också anmälas. Undantag från anmälningsplikt kan beslutas lokalt av systemgrupp eller motsvarande för de fall där anmälan inte fyller någon funktion för verksamheten. Till exempel är programvara som inte används i verksamheten och som uppenbart kan kopplas till en ansvarig användare, t ex en privat webbapplikation i en användares webbapplikationskatalog, undantagen.
Det ska inte råda något tvivel om vem som driver och ansvarar för olika datortjänster. Ingen ska av misstag behöva exponera ett lösenord för ett annat system än man tänkt sig. Det ska därför tydligt framgå, helst innan inloggning eller motsvarande, vem som är ansvarig för systemet och systemets syfte.
Om systemet använder lösenord eller annan autenticering så bör överföring av denna information ske med god säkerhet, t ex krypterat på lämpligt sätt eller på annat vis säkrat mot avlyssning och intrång. Administratören ska i samråd med systemgrupp eller motsvarande överväga om användarna ska uppmanas att inte använda samma lösenord i detta datorsystem som i andra datorsystem. Om tillräcklig gott skydd av lösenorden inte kan uppnås så måste alla användare informeras om detta så att de är införstådda med vikten av att inte använda samma lösenord som i andra system.
Om datorsystemet säkerhetsmässigt integreras med ett annat system, t ex genom att använda ett annat systems användarautenticering eller inloggningsmekanismer, ska medgivande alltid först lämnas av innehavaren av det andra systemet. Det andra systemets innehavare ska ges möjlighet att göra en säkerhetsmässig bedömning för att ta ställning till om säkerheten är tillräcklig eller om integrationen t ex ökar risken att lösenord eller annan säkerhetsrelaterad information kommer på drift.
Om datorsystemet innehåller data av värde ska regelbunden säkerhetskopiering (backup) genomföras. Om säkerhetskopiering inte sker ska alla inblandade parter vara väl medvetna om detta.
Administratörerna ansvarar för att eventuella nödvändiga licenser för hård- och mjukvara finns och att villkoren för dessa uppfylls.
Administratörerna ansvarar för att alla tillämpliga policies, lagar, förordningar och villkor uppfylls. T ex får man inte sprida upphovsrättsskyddat material. Det är administratörens ansvar att hålla sig uppdaterad om vilka regler som gäller.
Om systemet har flera användare ska KTH:s ansvarsförbindelse för datoranvändning tillämpas och denna ska undertecknas av samtliga användare. Administratörerna ska då också följa KTH:s "Ansvar, befogenheter och skyldigheter för systemadministratör - Riktlinje nr 7/97" eller senare version av denna. Information om användargrupp, hur kontohanteringen fungerar samt var ansvarsförbindelserna förvaras ska lämnas till systemgrupp eller motsvarande. Helt öppna tjänster, som t ex offentlig webbinformation, är undantagna från kravet på ansvarsförbindelse för användare. Vissa andra enkla tjänster, t ex ett diskussionsforum, kan också tänkas undantas på samma sätt men får bedömas från fall till fall.
Om man upptäcker ett intrång ska detta anmälas till systemgrupp eller motsvarande och/eller KTH:s Incident Response Team (IRT). Detta så att man gemensamt kan bedöma skadans storlek och om flera användare och/eller andra system är berörda.
Ett datorsystem kan helt eller delvis isoleras, stängas av eller beslagtas för utredning om nätansvarig, systempersonal eller IRT bedömer att det är påkallat. Några exempel på när detta kan bli aktuellt är:
- Datorsystemet har utsatts för intrång.
- Datorsystemet bedöms vara säkerhetsmässigt sårbart.
- Datorsystemet stör annan verksamhet.
- Datorsystemet har använts på ett sätt som är oförenligt med lagar och förordningar eller med regelverk upprättade av Sunet, KTH, nätansvarig eller systempersonal.
Det är inte ovanligt att ett intrång är en del i ett större sammanhang där flera intrång och även andra brott kan ha begåtts. Utredningar kan därför bli tidskrävande och därför kan systemet förbli helt eller delvis otillgängligt under en längre tid.
Ett datorsystem som utsatts för intrång får inte anslutas till datornätet eller tas i drift förrän intrånget är utrett samt intrångssäkerhet upprättad. Det kan vara mycket svårt att hitta alla dolda bakdörrar varför det ofta är enklast och säkrast med en komplett ominstallation och endast återställa ett minimum av data från säkerhetskopia.