Kapittel 13: H?ndtering av hendelser og avvik

Universitetet skal ha dokumenterte og funksjonelle rutiner for ? melde inn og h?ndtere hendelser og avvik av betydning for IT- og informasjonssikkerheten. Alle studenter og ansatte skal v?re kjent med disse rutinene, og de skal v?re enkle ? f?lge.

13.1 Hva er hendelser og avvik?

Det er viktig at IT-avdelingen og rett instans ved UiO f?r beskjed n?r det skjer ting som kan ha betydning for informasjonssikkerheten. Dette kan v?re alt fra sm? hendelser som vekker mistanke om at noe ikke er helt som det skal med en datamaskin, en brukerkonto eller en arbeidsrutine, til lekkasje av viktig informasjon eller tap av viktige data.

Hendelser og avvik er n?r beslektet, men avvik reguleres blant annet av personopplysningsloven. Avvik skal i noen tilfeller rapporteres til Datatilsynet.

Alle IT-sikkerhetshendelser regnes som interessante ut fra hensynet til informasjonssikkerhet. Igjen kan dette v?re alt fra store datainnbrudd til mistanke om at et forskningsprosjekt ikke lagrer data p? rett sted. Man kan godt si at noen IT-sikkerhetshendelser kan f?re til avvik.

Det kan gj?res grove inndelinger i ulike typer avvik, uten at dette er skarpe skiller. Eksempler kan v?re

13.2 Ansvar

Universitetsdirekt?ren er overordnet ansvarlig for h?ndtering av avvik ved UiO. IT-avdelingen er gitt ansvaret for ? implementere og drifte verkt?y for ? oppdage avvik i IT-systemene ved UiO, utforming av standardprosedyrer for h?ndtering av disse, og h?ndtering av oppgaver (inklusive delegasjon) i forhold til oppdagede eller mistenkte avvik.

Ansvaret for ? implementere prosedyrer og verkt?y for ? oppdage og h?ndtere avvik p?hviler enhver enhet og enhver bruker av informasjonssystemene ved UiO.

Ledere p? alle niv?er er ansvarlig for oppl?ring og tilrettelegging slik at avvik blir oppdaget, varslet og h?ndtert.

13.3 Varsling

Alle ansatte og studenter ved universitetet har et felles ansvar for ? varsle dersom det foreligger mistanke om at noe kan ha skjedd som p?virker informasjonssikkerheten.

Sikkerhetsbrudd og bruk av informasjonssystemene i strid med fastlagte rutiner skal behandles som avvik og rapporteres i tr?d med bestemmelser for avviksh?ndtering. Varsling skal skje etter?gjeldende?rutine for h?ndtering av avvik.

13.4 H?ndtering

UiO-CERT og ut?ver av behandleransvaret ved UiO vil behandle henvendelser og om n?dvendig 澳门葡京手机版app下载e med, og varsle videre til, andre enheter.

  • IT-avdelingen
  • IT-organisasjonen
  • Politi og p?talemyndighet
  • Datatilsynet
  • Universitetets personvernombud
  • Universitetsdirekt?r og eventuelt andre fagdirekt?rer
  • Helsetilsynet
  • Rettighetsinnehavere
  • Involverte brukere, studenter, ansatte og forskere

13.5?Universitetets CERT-gruppe, UiO-CERT

UiO-CERT er organisert under IT-avdelingen. Gruppen er oppnevnt av IT-direkt?ren, og har sitt overordnede mandat fra universitetsdirekt?ren. Leder av UiO-CERT rapporterer til IT-sikkerhetssjefen. Medlemmer i UiO-CERT best?r av b?de IT-sikkerhetspersonell og personell fra driftsgruppene p? USIT.

Omfattende grunnlag og rammer for UiO-CERT (?team charter?), er beskrevet her: https://github.uio.no/IT-UIO-CERT/documentation/blob/master/cert/sim3/index.md

Publikumsrettet beskrivelse av rammene er beskrevet her: /english/services/it/security/cert/rfc2350.html

UiO-CERT skal varsles umiddelbart ved mistanke om IT-sikkerhetshendelser. Forholdsregler ved slik mistanke skal v?re enkelt tilgjengelig for IT-ansatte og brukere p? universitetet.

13.5.1 UiO-CERTs reaktive tjenester

13.5.1.1 Hendelsesh?ndtering

UiO-CERT h?ndterer f?lgende hendelser:

  • Phishing
  • Skadelig programvare
  • Svindel og bedrageri
  • Hacking og uautorisert tilgang
  • Distribuerte tjenestenektangrep (DDoS-angrep)
  • Datainnbrudd (bekreftet eller mistenkt)
  • S?rbarhetsvarsling (responsible disclosures)
  • H?ndtering, koordinering og oppf?lging av s?rbarheter (CVE-er)
  • Tyveri av IT-utstyr
  • Avvik og datalekkasjer
  • Andre sikkerhetshendelser

13.5.1.2 Etterlevelse og h?ndtering av misbruk

UiO-CERT h?ndterer ogs? hendelser innenfor f?lgende kategorier:

  • IT-reglementet
  • Misbruk av IT-tjenester
  • Ikke-godkjent eller ulovlig programvare
  • Piratkopiert eller ?cracket? programvare

13.5.1.3 H?ndtering av sensitiv informasjon

  • Sikker destruksjon av lagringsmedier

13.5.2 UiO-CERTs proaktive tjenester

UiO-CERT bidrar med tjenester innen f?lgende omr?der, men er ikke alltid eneste eier:

  • R?d og veiledning om sikkerhet
  • Policyutvikling og policyforvaltning
  • Brukerveiledninger og dokumentasjon av god praksis
  • Oppl?ring og bevisstgj?ringstiltak
  • Beredskap
  • Sikkerhetstesting
  • Kontrollaktiviteter
  • Overv?king og logganalyse
  • Proaktiv opprydding og utbedring av sikkerhetshendelser
  • Deling av trusselinformasjon
  • Samarbeid innen sektoren

13.5.3 UiO-CERTs myndighet

UiO-CERT har myndighet til ? iverksette relevante tiltak for ? forebygge og h?ndtere IT-sikkerhetshendelser. Dette inkluderer, men er ikke begrenset til:

  • Lesing og behandling av relevante logger
  • Passiv og aktiv s?rbarhetsskanning
  • Sette brukerkontoer i karantene
  • Tilgang til tjenere og klienter
  • Isolering av tjenere og klienter
  • Nedstenging av tjenere
  • Innsamling av relevante data
  • Verifisering av s?rbarheter
  • Fjerning av publiserte nettsider p? UiOs domener
  • Lesing og sletting av e-post, underlagt n?dvendig juridisk godkjenning
  • Blokkering av e-postavsendere og -domener
  • Blokkering av nettdomener
Publisert 28. feb. 2017 13:17 - Sist endret 23. feb. 2026 12:52
Del p? e-post

Varsling

UiO-CERT

(228) 40911

cert@uio.no

Behandlingsansvarlig

behandlingsansvarlig@uio.no