Loggeprosjektet ved UiB FASIT 15/03-2002 Ove Gulliksen, IT-avdelingen
Bakgrunn for loggeprosjektet I forbindelse med sikkerhetsarbeidet i datanettet, bl.a. ved innføring av mer standardiserte loggemetoder i et IDS, var det ønskelig å foreta en prinsipiell gjennomgang av formålet med logging og utarbeide administrative rutiner som grunnlag for aktiviteten. Loggeprosjektet ble startet sommeren 2000 og avla sluttrapport i november 2001. Ny personopplysningslov (POL) ble iverksatt 1. januar 2001. Prosjektgruppen har lagt ned et omfattende arbeid for å analysere hvilke konsekvenser loven har for IT-avdelingens logging. Gruppen har konsentrert seg om de generelle driftsloggene, og foreslår tiltak for å få en klarere ramme rundt loggingen på bakgrunn av det nye lovverket. OG, 15.03.02 FASIT 2002
Logging Formålet med logging er å vareta drifts- og sikkerhetsfunksjoner, med basis i forebyggende, oppdagende/avskjærende og opprettende aktiviteter. Vi har delt loggene i to hovedtyper: Aktivitetslogger registrere aktiviteter (hendelser) internt i et edb-system eller datanett Tilgangslogger kontrollere tilgang til spesielle datasystemer eller data. Først og fremst et sikkerhetstiltak, som gjør det mulig å spore hvem som har hatt tilgang til hva på hvilket tidspunkt (Vi har ikke behandlet denne type logger). OG, 15.03.02 FASIT 2002
Bruk av loggene Drifte/administrere it-systemene Forbedre sikkerhet og avdekke/oppklare brudd på sikkerheten i it-systemene Utarbeide statistikker og rapporter Det er ikke tillatt at logger brukes til andre formål enn det opprinnelige formålet. F.eks til overvåking, som for å undersøke hvilke hjemmesider de ansatte besøker. Da må det innhentes samtykke fra den ansatte før loggen brukes. I den grad logging inneholder personopplysninger, må prosedyrene være i overenstemme med den nye personopplysingsloven. Det er vanskelig å skille mellom logger som brukes til drift og sikkerhet. OG, 15.03.02 FASIT 2002
Hva logger vi? Diverse innhold, men mye regnes som personopplysninger da opplysningene er relatert til brukerid, IP-adresse, telefonnummer o.l. Eks. på logging: Ryggrads- og hoved rutere (bl.a. tidspunkt, HW/SW feil, interface opp/ned, accessliste overtredelser, debug info, info om konfig endringer + annen varsling fra ruterne) Oppringte forbindelser (som ovenfor + brukeridentitet og telefonnr) Autentiseringsservere (autentiseringsinformasjon, telefonnr, brukerid, start stopp tidspunkt, protokoll, IP-adresse benyttet etc.) Overvåking (all TCP/IP trafikk gjennom uib-gw og nh-rs logges mht. IP-adresser, protokoll, port, ant. pakker, ant. bytes, varighet, tidspunkt) OG, 15.03.02 FASIT 2002
Hjemmel og samtykke For å kunne behandle personopplysninger kreves en hjemmel. Utgangspunkt: Personopplysninger kan bare behandles dersom den registrerte har samtykket (POL §8) men det gis unntak ved en del betingelser (bl.a. pkt f): at den behandlingsansvarlige eller tredjepersoner som opplysningen utleveres til kan vareta en berettiget interesse, og hensynet til den registrertes personvern ikke overstiger denne interesse. Vi har oppfattet POL §8 slik at vi har hjemmel for å utføre logging uten at det er nødvendig med samtykke fra brukerne for å utføre logging som skal vareta drift og sikkerhet i datasystemene. OG, 15.03.02 FASIT 2002
Meldeplikt Som hovedregel skal det gis melding til Datatilsynet ved behandling av personopplysninger med elektroniske hjelpemidler Unnatak: Aktivitetslogg i et edb-system eller datanett Behandling av personopplysninger som følge av registrering av aktiviteter (hendelser) internt i et edb-system, samt behandling av personopplysninger om disposisjoner til ressurser i systemet er unntatt meldeplikten etter personopplysningsloven §31 første ledd. Unntak gjelder bare dersom behandlingen har som formål: a) å administrere systemet, eller b) å avdekke/avklare brudd på sikkerheten i edb-systemet (Personopplysningsforskriften §7-11) OG, 15.03.02 FASIT 2002
Sikkerhet Opplysninger skal sikres mht.: Konfidensialitet Integritet Tilgjengelighet Vi har definert to grupper logger , gruppe 1 og gruppe 2, i sikkerhetskategoriene UGRADERT og FORTROLIG, på bakgrunn av om loggene inneholder personopplysninger eller ikke. OG, 15.03.02 FASIT 2002
Kapittel 2 i Forskrift til personopplysningsloven omhandler informasjonssikkerhet (Sikkerhetsforskriften). OG, 15.03.02 FASIT 2002
Sikkerhetsvurderinger Våre loggdata er ikke av en slik art at Personopplysningsforskriften's kap. 2, Informasjonssikkerhet, får anvendelse. Dette betyr at vi ikke trenger å implementere alle tiltak som kreves i sikkerhetsforskriften. Vi må likevel forholde oss til de mer generelle formuleringer om sikkerhet og internkontroll i personopplysningsloven. Det må derfor etableres og holdes vedlike planlagte og systematiske tiltak som er nødvendige for å oppfylle kravene i eller i medhold av denne loven. OG, 15.03.02 FASIT 2002
Dokumentasjon Den behandlingsansvarlige og databehandleren skal dokumentere informasjonssystemet og sikkerhetstiltakene (POL §13) Dokumentasjonen skal være tilgjengelig for medarbeiderne hos den behandlingsansvarlige og hos databehandleren. Dokumentasjonen skal også være tilgjengelig for Datatilsynet og Personvernnemda Det må utarbeides dokumentasjon for hver loggtype. Kravet om dokumentasjon er nær knyttet til retten om innsyn. Den behandlingsansvarlige plikter å ha tilgjengelig informasjon også om behandlinger som ikke er underlagt meldeplikt. Denne informasjonen samsvarer i stor grad med hva en eventuell melding til Datatilsynet skulle inneholde. OG, 15.03.02 FASIT 2002
Innsyn Enhver som ber om det, skal få vite hva slags behandling av person- opplysninger en behandlingsansvarlig foretar. POL §18 angir hvilken type informasjon som skal gis: a) navn og adresse på den behandlingsansvarlige og dennes eventuelle representant, b) hvem som har det daglige ansvar for å oppfylle den behandlingsansvarlige plikter, c) formålet med behandlingen, d) beskrivelse av hvilke typer personopplysninger som behandles, e) hvor opplysningene hentes fra, og f) om personopplysningene vil bli utlevert, og eventuelt hvem som er mottaker Dersom den som ber om innsyn er registrert, skal den behandlingsansvarlige opplyse om: a) hvilke opplysninger om den registrerte som behandles, og b) sikkerhetstiltakene ved behandlingen så langt innsyn ikke svekker sikkerheten OG, 15.03.02 FASIT 2002
Varsling Den behandlingsansvarlige skal på eget initiativ informere den registrerte om at det samles personopplysninger ved logging. Vedrørende våre logger vil det sannsynligvis være tilstrekkelig å informere generelt om at ved bruk av UiB's it-systemer vil det legges spor som kan føres tilbake til den enkelte bruker OG, 15.03.02 FASIT 2002
Lagring Logger som inneholder personopplysninger skal ikke lagres lenger enn det som er nødvendig for å gjennomføre formålet ved behandlingen. (POL §28) Lagringstiden må bestemmes for hver logg og være med i dokumentasjonen for loggen. Momenter ved lagringstid er bruk ved drift, sikkerhet og statistikk. Dersom sikkerhetsforskriften gjelder: Dokumentasjon skal lagres i minst 5 år fra det tidspunkt dokumentet ble erstattet med ny gjeldende utgave. Registrering av autorisert bruk av informasjonssystemet og av forsøk på uautorisert bruk, skal lagres minst 3 måneder. Det samme gjelder registrering av alle andre hendelser med betydning for informasjonssikkerheten. (ref §2-16) OG, 15.03.02 FASIT 2002
Forutsetninger Datatilsynet forutsetter at virksomheten har retnings- linjer for bruk av datasystemet som en del av virksomhetens mål og strategier for sikkerhet. De tilsatte må kjenne til disse retningslinjene, og konsekvensene av å bryte dem. OG, 15.03.02 FASIT 2002
Dokumentasjon for hver logg Tiltak: Dokumentasjon for hver logg Navn Drifts-/systemansvarlige Formål Innhold Hvor opplysningene hentes fra Hvor opplysningene lagres Loggruppe Lagringstid Sikkerhetstiltak OG, 15.03.02 FASIT 2002
Driftsrutiner (driftshåndbok) Tiltak forts.: Driftsrutiner (driftshåndbok) Ansvarsfordeling/overlapping driftspersonell. Oversikt over maskiner/utstyr som det logges fra. Oversikt over loggfiler. Daglige rutiner/prosedyrer for driftspersonell. Oppbevaring/lagringstid. Lagringstiden bestemmes av ansvarlig for loggene i samråd med driftspersonell og andre brukere (f.eks. sikkerhetspersonell) av loggen. Lagringstiden markeres i dokumentasjonen for hver logg, og må være i overensstemmelse med reglementet. Sikring av loggene. Vurdere at vi har tilstrekkelig sikkerhet rundt rutinene. Vi har to grupper logger. Bør disse behandles separat eller bør prosedyrene lages så strenge at det vil tilfredsstille sikkerhets-kravene til begge grupper? Backupprosedyrer. Sletting. Når lagringstiden er over skal den behandlingsansvarlige påse at loggen slettes forsvarlig fra de media der den oppbevares. OG, 15.03.02 FASIT 2002
Tiltak forts.: Ansvar Varsling IT-direktøren ivaretar lovens pålegg til den behandlingsansvarlige, og avgjør hvem som skal ha tilgang til loggene Varsling Utarbeide informasjon: I reglementet for IKT-bruk ved UiB. På UiB sine web-sider. Innsynsrett * Hvem har rett til innsyn (alle, registrerte, it-personell, politi, Datatisynet o.s.v.) * Hva har de rett til å se (jmfr. POL § 18) * Tidsfrister for svar på henvendelser OG, 15.03.02 FASIT 2002
Dokumentasjon av regler og prosedyrer Tiltak forts.: Dokumentasjon av regler og prosedyrer * Utarbeide dokumentasjon for de som har rett til innsyn. * Utarbeide regelverk for de som skal behandle loggene (driftspersonell). * Utarbeide regelverk for oppsett og drift av klienter. Håndtering av systemlogger som ikke brukes (delte maskiner). Det er ikke tatt stilling til hvordan vi skal forholde oss til brukere som selv setter opp sine maskiner. OG, 15.03.02 FASIT 2002