Voor de beste ervaring schakelt u JavaScript in en gebruikt u een moderne browser!
EN uva.nl

Voor de aanbesteding en selectie van het centrale Research Data Management-systeem van de Bibliotheek werd een stevig Programma van Eisen voor de informatiebeveiliging opgesteld.

‘Als je je onderzoekdata straks centraal opslaat, hoef je je geen zorgen meer te maken over zaken als beschikbaarheid, integriteit en vertrouwelijkheid van het systeem en de omgeving’, vertelt UvA/HvA-informatie security manager Frank Haak enthousiast.

Reputatieschade

‘Bij opslag in het centrale RDM-systeem voldoet een onderzoeker aan alle veiligheidseisen. Je hoeft je dan niet meer ongerust te maken over zaken als: het terug kunnen vinden van je data voor replicatieonderzoek; datalekken; inbreuk op data; en wettelijke eisen voor archivering. Een USB-stick met onderzoekdata kun je kwijtraken. Daarbij loop je ook nog eens het risico van een hele forse boete en reputatieschade.’

Desintegratie van informatiedragers

‘Informatiedragers zoals cd-roms kunnen desintegreren en omdat ICT-ontwikkelingen zo snel gaan, kunnen systemen ze vaak al snel niet meer lezen. In het centrale RDM-systeem zorgen we voor een goede borging van onderzoeksdata. We maken systeemupdates, houden alles goed in de gaten – denk aan hacking! - en patchen (dichten) gaten die kunnen ontstaan door bijvoorbeeld programmeerfouten en nieuwe technieken die niet voorzien waren.’

UvA/HvA-eisen informatiebeveiliging

‘Het UvA/HvA-beleid en de Baseline voor Informatiebeveiliging (1) zijn gebaseerd op de ISO27001/2-normen. We vragen een vergelijkbaar niveau van informatiebeveiliging van onze partners. De leverancier moet met een Third Party Mededeling (2) aantonen te voldoen aan onze UvA/HvA-eisen voor informatiebeveiliging. Daarbovenop is in het contract opgenomen dat we dit ook zelf willen kunnen toetsen.’

Fysieke en logische toegangsbeveiliging

De ISO27001/2-normen stellen eisen aan fysieke en logische toegangsbeveiliging. Daarbij gaat het bijvoorbeeld om back-up- en restore-procedures en -processen, en het inrichten van de gebruikersstructuur en autorisaties - wie heeft waartoe toegang en wat mag die gebruiker daar doen? -. Bovendien moet het personeel van een partner of leverancier een geheimhoudingsverklaring ondertekend hebben.

Dataclassificatie: standaard, gevoelig en kritiek

‘We onderscheiden drie niveaus voor beveiliging: standaard, gevoelig en kritiek. Voor standaard data geldt de Baseline Informatiebeveiliging met zo’n 120 richtlijnen. Dit zijn beveiligingsmaatregelen die van toepassing kunnen zijn.

Bij gevoelig gaat het bijvoorbeeld om privacy of vertrouwelijkheid vanwege octrooien en patenten. Dan nemen we extra veiligheidsmaatregelen, bijvoorbeeld two factor identification (3) of encryptie. Bij kritiek maken we een uitgebreide risicoanalyse.

De onderzoeker is verantwoordelijk voor het bepalen van het benodigde veiligheidsniveau. Uiteraard kan hij/zij advies vragen bij een UvA/HvA-jurist en de ICTS-informatie security managers.’

Privacy & USA Freedom Act

‘We zijn zeer alert op de privacy van persoonsgegevens. Vanwege de USA Freedom Act – die maakt dat de Amerikaanse overheid data kan opvragen bij Amerikaanse cloudcomputingbedrijven – werken we nu niet met Amerikaanse bedrijven zoals Amazon.

Bewustwording van wat nodig is om data echt veilig op te slaan en van de privacy van data is ontzettend belangrijk. Er wordt wel gezegd: “De huidige wijze van omgang met persoonlijke data is als het roken van de jaren zestig.” Onderzoekers beseffen nog onvoldoende de schadelijke impact die dit kan hebben.’

Baseline Informatiebeveilging UvA/HvA (intranet, UvAnetID vereist)

(1)  Het document Baseline Informatiebeveiliging bevat maatregelen die gelden als minimale eisen op het gebied van beveiliging binnen de UvA. De beschreven maatregelen zijn een combinatie van best-practices, bestaande UvA-praktijk en ervaringen van de samenstellers.

(2) Een Third Party Mededeling (TPM) is een verklaring die afgegeven wordt door een onafhankelijk audit partij over de kwaliteit van een uitbestede ICT-dienst. Een TPM geeft inzicht in de kwaliteit van de ICT-beheerorganisatie en -dienstverlening van de leverancier.

(3) Two factor identification is een extra stap tijdens het inlogproces (authenticatie). Bijvoorbeeld: je hebt niet alleen je inlogcode nodig maar ook je bankpas voor de E-denitifier.