0. Hvilke data gjelder dette?
Dette gjelder i hovedsak r?de data, men ogs? gule data dersom det er snakk om store mengder. Se klassifiseringen og lagringsguiden for ? l?re mer.
1. Kryptering
1.1. Krypteringsstyrke
Dataene skal krypteres med krypteringsalgoritme med styrke tilsvarende eller bedre enn AES/RSA. Der sjekksumalgoritmer benyttes, skal denne v?re SHA2 eller bedre.
1.2. Programvare for kryptering
Til sporadisk kryptering, for eksempel kryptering av innhold i e-post, anbefaler vi programmet 7-zip, som er tilgjengelig for alle vanlige plattformer. De fleste maskinene p? UiO har dette installert i startmenyen.
2. Automatisk overf?ring av data
Dette gjelder alle former for maskinelle, regelmessige overf?ringer. Eksempler kan v?re batch-jobber, scripts, eller programmer som jevnlig overf?rer data til eller fra systemer utenfor UiO. Dette er f. eks. vanlig for ? integrere systemer med hverandre. Slike overf?ringer skal skje kryptert etter reglene gitt i avsnitt 1.
2.1. Hva skal krypteres?
B?de selve dataene og overf?ringen skal krypteres. De krypterte dataene skal alts? overf?res over en kryptert forbindelse.
2.2. Passord til n?kler
Passord til n?kler skal skiftes regelmessig.
2.3. Overf?ring med propriet?r overf?ringsmekanisme
Her snakker vi om mekanismer som USIT eller UiO ikke har laget selv. Dette kan f. eks. v?re overf?ringsmekanismer som er innebygget i programvarel?sningene. Disse kan ikke alltid endres og ikke alle krypteringsalgoritmer og n?kkellengder er st?ttet. Der slike benyttes s? skal man:
- ...s? langt det teknisk er mulig f?lge bestemmelsene i avsnitt 1.
- ...dokumentere hvilken krypteringsalgoritme og n?kkellengde som benyttes.
- ...dokumentere og teste skifte av passord og n?kler.
Er det behov for avvik fordi algoritmer ikke er st?ttet, eller ?nsket n?kkellengde ikke er mulig, skal det foreligge en kort risikovurdering som skal godkjennes av systemeier(e) og IT-sikkerhetssjef. Et slikt eksempel kan v?re eldre programvare som kun st?tter DES el.l.
3. Manuell overf?ring av data
Med manuell overf?ring av data menes enkeltoverf?ringer som ikke er automatiserte. Typisk vil dette v?re f?rstegangslasting av data, overf?ring av databasedumper for feils?king eller oppgradering osv.
3.1. Overf?ring av data pr. post eller bud
Data som sendes pr. post eller bud, for eksempel p? en harddisk eller minnepinne, skal alltid v?re kryptert. Krypteringen skal f?lge kravene gitt i 1.1.
Eneste unntak er hvis datamengdene er s? store at kryptering ikke kan utf?res, eller det teknisk ikke er mulig ? kryptere. I slike tilfeller skal bud v?re ansatt hos en av de involverte partene og personlig f?lge forsendelsen.
3.2. Overf?ring av data pr. e-post
Dersom data skal sendes pr. e-post skal de krypteres i forkant. Fortrinnsvis skal GPG eller S/MIME med gode sertifikater benyttes. For andre krypteringsmekanismer gjelder krav til krypteringsstyrke som i avsnitt 1. 7-zip er anbefalt.
Passord skal alltid sendes i annen kanal enn hovedforsendelsen, f. eks. pr. faks, SMS eller over telefon. Passord for oversendelsen skal ikke gjenbrukes.
3.3. Overf?ring av data pr. andre kanaler eller internett-tjenester
Data skal ikke overf?res via fildelingstjenester p? Internett.