Sjekkliste for vurdering av skytjenester

Hvorfor trenger du en skytjeneste?

• Hvilke behov skal l?sningen dekke?
• Finnes det allerede egnede l?sninger p? UiO eller i UH-sektoren?
• Har du snakket med Lokal IT eller USIT om dine behov?
• TIlbyr UNINETT allerede en liknende l?sning?
• Kan l?sninger som allerede finnes dekke behovene dine hvis det gj?res tilpasninger?

Hvem skal bruke l?sningen?

• UiO-brukere?
• Brukere i UH-sektoren i Norge?
• Akademikere i andre land?
• Studenter? Ansatte?
• Hvilke grupper av ansatte eller studenter?
• Allmenheten? Publikum?
• Deltagere i forskningsprosjekter?
• Er bruken frivillig for brukerne, eller er brukerne p?lagt ? bruke systemet?
• Er bruken f. eks. en del av et obligatorisk undervisningsopplegg?

Du m? melde fra om bruken

USIT skal ha oversikt over all bruk av skytjenester til bruk i forskning, undervisning, teknisk drift eller administrasjon. Dette betyr at USIT skal ha beskjed n?r man ?nsker ? ta i bruk nye skytjenester.

Systemer som brukes til registrering av personopplysninger skal dessuten registreres i UiOs oversikt over slike systemer, den s?kalte ?meldeappen?. Dette gjelder i praksis de aller fleste skytjenestene.

Hvilke opplysninger skal overf?res?

Ulike typer data har ulike krav til lagring og sletting. Du m? selv s?rge for ? sette deg inn i de regler som til enhver tid gjelder for dataene som er aktuelle i ditt tilfelle.

• Personopplysninger
• S?rlige kategorier av personopplysninger (tidligere kalt ?sensitive?)
• Arkivpliktige opplysninger
• Regnskapsdata
• Bedriftshemmeligheter
• Andre data av stor verdi
• Data underlagt eksportkontroll

Lokal forvaltning

Hvem er tjenesteansvarlig p? UiO? Elementer som m? vurderes:

• Kommunikasjon med tilbyderen.
• Kommunikasjon med USIT om tjenesten.
• Oppsett og konfigurasjon av UiOs milj? i l?sningen
• P?g?ende vedlikehold og administrasjon
• Oppsett og adminstrasjon av brukere
• Oppsett og adminstrasjon av grupper og roller
• Overv?kning og oversikt ¨C herunder jevnlig revisjon av bruken av tjenesten og
  tilgangsstyringen

Leverand?ren

• Er tilbyderen en ledende akt?r i IT-bransjen, en mindre akt?r, en nisjeakt?r eller en nykommer?
• Historie - hvor lenge har leverand?ren v?rt i bransjen?
• Eierstrukturer hos leverand?r - hvor er firmaet etablert?
• Finnes det momenter som gir grunn til uro - f.eks. negativ omtale i mediene eller kjente tilfeller av datalekkasje?
• Har leverand?ren andre kunder i UH-sektoren?

Underleverand?rer og tredjeparter

• Bruker leverand?ren underleverand?rer eller tredjeparter for ? tilby de aktuelle tjenestene? Hvis s?, tenk over hvilke tjenester og parter dette gjelder, og forholdet mellom leverand?r og parter.
• Brukes disse i flere ledd og over landegrenser?
• Hvilke rutiner gjelder for bytte av underleverand?rer eller tredjeparter? Blir kunden varslet? P?virker dette avtalen?
• Foretar leverand?ren aktiv overv?kning av kvaliteten p? tjenestene som leveres ?upstream? av tredjeparter for ? sikre god kvalitet p? tjenesten til UiO?+++

Kundeforholdet

• Har man laget rutiner for ? jevnlig gjennomg? og vurdere kvaliteten p? tjenesten slik den leveres av tilbyderen ¨C og hvordan kvaliteten henger sammen med kvaliteten som loves i SLA-dokumentene?
• Har man laget rutiner for ? - minst ?rlig - gjennomg? kontrakten formelt med tilbyderen?

Lokal kontinuitetsplan

Vil enheten p? UiO som bruker tjenesten lage en plan for hvordan man skal klare seg uten tjenesten dersom den skulle falle bort for kortere eller lengre tid?

Hvordan flyter data?

Hvilke data overf?res hvordan? Og n?r?
Hvilke sikkerhetsmekanismer er i bruk for ? sikre overf?ringen av data frem og tilbake mellom brukeren og tjenesten, eller mellom UiO og tjenesten?
Overf?res data manuelt eller automatisk?
Hvilke sikkerhetsmekanismer er i bruk dersom tilbyderen overf?rer data fra en lokasjon (datasenter) til en annen?
Hvilke mekanismer og l?sninger brukes av tilbyderen for ? hindre datalekkasje?
Er overf?ringen kryptert? Kvalitet p? kryptering? Hvilken score har serveren p? SSLabs?
Flyter data tilbake til UiOs egne systemer?

• Kan dette p?virke integriteten til v?re egne lokale data?
• Kan dette indirekte p?virke sikkerheten p? lokale l?sninger?

Overf?res informasjon om brukerne? Hvilken informasjon overf?res?

• Brukernavn, fullt navn, e-post, telefonnummer?
• Hvordan lagres denne informasjonen? Hvordan og n?r slettes den?
• Provisjonering ¨C ved bruk, eller i bulk.

Integrasjon av data

• Lag gjerne diagrammer som beskriver prosess-flyten og dataflyten i tjenesten.
• Trenger tjenesten ? integreres med andre UiO-l?sninger eller andre UiO-data, enten i skyen eller lokalt p? UiO? Hvis s?, tenk over hva og hvordan.
• St?tter tjenesten automatisk overf?ring av filer eller kall p? web-API-er? Tilbyr tjenesten et sikkert sted ? hente datafiler?
• Hvilke formater st?ttes for filoverf?ring? Eksempler er SFTP, SSH, HTTPS, ReST.
• Er tredjeparter involvert i disse integrasjonene?

Hva benyttes data til?

De vanlige kommersielle skyl?sningene har ofte standard vilk?r. Disse selskapene forbeholder seg ofte retten til ? bruke dataene til mer enn UiO ?nsker eller aksepterer. Ikke trykk p? ?aksept¨¦r? uten ? vite hva du sier ja til.

Benyttes dataene kun til ditt form?l, og innenfor det avtalene tillater?

• Er dette spesifisert godt nok?
• Kan det skje endringer over tid?
• Har alle parter den samme oppfatningen av avtalen?

Kan leverand?ren benytte data til eget form?l? Du m? vurdere om dette er lov.

• Forbedring av tjenestene?
• Til reklame / markedsf?ring?
• Kan data selges til tredjepart?
• Til profilering av brukerne? Brukes systemer som f. eks. Google Analytics?
• Forbeholder leverand?ren seg noen rettigheter til ? bruke, videresende eller offentliggj?re informasjon om UiOs brukere av tjenesten eller UiO sine data i tjenesten? Det er viktig ? v?re oppmerksom p? dette.

Datalagring og backup

• Hvor og hvordan vil UiO sine data lagres fysisk?
• Er dette lagret p? UiO sine datasentre?
• Brukes det en ekstern akt?r som f. eks. Amazon Web Services eller Microsoft Azure?
• Vil plassering av datasentre i ulike land p?virke de juridiske aspektene av avtalen og UiOs bruk av tjenesten?
• Hvor ofte tas det sikkerhetskopi av UiO sine data?
• Lagres sikkerhetskopiene lokalt hos tilbyderen eller et annet sted? Er underleverand?rer involvert?
• Beskriv rutinene som regulerer tilgang til sikkerhetskopiene.
• Er sikkerhetskopiene kryptert eller beskyttet p? annen m?te?
• Er det mulig for UiO ? ta sikkerhetskopi av dataene og lagre dem lokalt slik som annen lokal UiO-backup?
• Gj?r deg kjent med rutinen for ? legge tilbake data fra tilbyderens backup.

Sletting av data

• Hvilke data tas vare p? etter sletting, og hvor lenge?
• Hvor ofte sletter tilbyderen data?
• Kan tilbyderen garantere at data som slettes etter retensjonstiden faktisk slettes?
• Hva skjer med UiO-data hvis tilbyderen forsvinner fra markedet, blir kj?pt opp eller g?r konkurs?

Brukerh?ndtering og tilganger

Autentisering av brukerne

• Er brukerne lokale for l?sningen?
• Synkroniserer l?sningen passord fra UiO? Hvordan lagres disse?
• Bruker l?sningen en form for autentiseringsl?sning - SAML2, FEIDE, Dataporten, LDAP, Active Directory?

Autorisasjon og tilgangsstyring

• Hvordan h?ndteres grupper?
• Opprettes disse manuelt, eller brukes UiO sine kildesystemer?
• Hvordan oppdateres disse?
• Har man et rollebegrep?

Innrullering, avslutning og sperring

• Hvordan gis tilgang? Av hvem?
• Hvordan fjernes tilganger?
• Kan en sperre en bruker ved tap av passord, eller mistanke om misbruk?

Hvem har gjort hva n?r?

• Hvordan lagres historikken?
• Sporing av endringer
• Sporing av bruk
• Kan man avdekke uautorisert bruk?
• Tilgang for leverand?rens driftspersonell
• Tilgang fra underleverand?rers driftspersonell?
• Tilgang for v?rt eget driftspersonell
• Har utenlandske myndigheter tilgang?

Avtalevilk?r

• Oppsumm¨¦r hvilke begrensninger som finnes i UiO sin bruk av tjenesten, slik dette er beskrevet i avtaledokumenter, brukervilk?r, lisensvilk?r eller tilsvarende dokumenter.
• Husk at ?gratis ikke alltid er gratis?. Forsikre deg om at det ikke p?l?per kostnader n?r tjenesten er i produksjon.
• Har tjenesten begrensninger p? bruken basert p? f. eks. lov om eksportkontroll? Kan den brukes fritt fra alle land? Begrenser avtalen eller leverand?ren hvilke data man kan behandle i tjenesten?
• Er leverand?ren underlagt egne nasjonale lover, som f. eks. ?FISA 7.02? eller ?Cloudact??
• M? avtalen ut p? anbud?
• Bruksvilk?r - ?fair use?
• Er eierskap til dataene regulert i avtale?
• Avviksh?ndtering - setter avtalene begrensninger p? dette?
• Hvor lang tid i forveien m? tilbyderen varsle om eventuelle endringer i disse betingelsene?
• Er det beskrevet i betingelsene hvilke ?konomiske eller andre sanksjoner som gjelder overfor tilbyderen dersom det forekommer en komprimittering av UiO sine data i tjenesten?
• Hvilke sanksjonsmuligheter har man?
• Er det et tak p? de ?konomiske sanksjonene?
• Har tilbyderen egen forsikring for brudd p? IT-sikkerheten ¨C AKA ?cyber-forsikring??

Service Level Agreement (SLA)

• Har tilbyderen en gjeldende SLA som beskriver i detalj forventet kvalitet p? tjenesten, herunder f. eks. oppetid og ytelse?
• Hvordan h?ndteres variasjoner i bruksm?nster, f. eks. ved semesterstart? (?altinn.no?-effekten)
• Gj?r deg kjent med de viktige delene av denne avtalen.
• Kan tilbyderen gi oss jevnlige rapporter over kvaliteten p? tjenesten? Hvis s?, hvor ofte?
• Tenk over hvilke sanksjoner som kommer inn i bildet ved brudd p? SLA-en.
• N?r kan du f? tak i leverand?ren? Er du en liten kunde som lett kan ignoreres av en stor leverand?r?

Avslutning av avtalen

• Hva skjer n?r man vil si opp avtalen og slutte ? bruke tjenesten?
• Tenk over prosedyrene for ? si opp avtalen.
• Har man en ?Exit-strategi??
• Hva skjer med UiO sine data i tjenesten n?r avtalen avsluttes?
• Kan UiO sine data og den aktuelle tjenesten flyttes til en annen tilbyder n?r UiO ?nsker det?
• Vil UiO sine data forsvinne i sin helhet fra l?sningen, inkludert eventuelle sikkerhetskopier, n?r dataene slettes fra tjenesten eller bruken av tjenesten sies opp?
• Finnes det verkt?y for ? eksportere dataene? Er disse enkle ? bruke?
• Beholder leverand?ren rettigheter til UiO sine data selv om dataene er fjernet fra leverand?ren og tjenesten?
• Beskriv eventuelle ekstra utgifter som kan p?l?pe ved avslutning av kundeforholdet.
• Kan UiO avslutte avtalen dersom tilbyderen endrer de ?konomiske vilk?rene i avtalen?
• Kan UiO avslutte avtalen dersom det forekommer brudd p? personvern eller dataenes konfidensialitet eller integritet?

Juridiske forhold

• Har man inng?tt de n?dvendige databehandleravtaler? Er man allerede dekket av en eksisterende slik avtale?
• Blir eventuelle avtaler signert av personer med gyldig signeringsmyndighet? Kan personen signere avtaler p? vegne av UiO?
• Er det plassert et ansvar for ? f?lge opp slike avtaler etter at de er inng?tt?

Risikoanalyser

• Er systemet innenfor akseptabel risiko?
• Er det foretatt en ROS-analyse? Er denne lagret i ePhorte?
• Hvem eier denne risikoen? UiO som kunde, eller sluttbruker?

Har man lovlig grunnlag for ? overf?re data til utlandet?

• EU/E?S? USA? Andre land?
• Hvis tjenesten overf?rer opplysninger ut av EU/E?S m? EDPBs retningslinjener for supplerende sikkerhetstiltak for overf?ringer f?lges (ekstern lenke). Det m? i tillegg v?re et lovlig overf?ringsgrunnlag p? plass f?r overf?ringen kan finne sted.
• For amerikanskeide selskaper, inkludert underleverand?rer, eller i tilfeller der opplysninger overf?res til USA av tjenesten, m? ogs? sp?rsm?lene i "Notat- sp?rsm?l til tjenesteleverand?rer" svares p? av tjenestelevarnd?ren. Ta kontakt med Personvernombudet ved UiO og IT-juridisk gruppe ved USIT, for bistand med oppf?lging etter at tjenesteleverand?ren har svart p? sp?rsm?lene i notatet.

Form?ls- og hjemmelsvurderinger

• Har man rettslig grunnlag for behandlingen av dataene?
• Hva skal systemet brukes til?
• Er det n?dvendig med samtykke fra brukerne?
• Hvem utformer brukernes samtykke-erkl?ring? Kunden eller leverand?ren?
• Har brukerne f?tt n?dvendig informasjon? Er bruken frivillig?
• Finnes det lovhjemmel for ? samle inn data, for eksempel personopplysninger eller bedriftshemmeligheter til dette?

Personvern

• Hvordan oppfyller leverand?ren kravene til ?Innebygd personvern??
• Har systemet trygge standard-innstillinger?

Oppdateringer

Hvordan oppdateres tjenesten?

• Kontinuerlig? Varsles dette? Kan du som kunde styre det?
• Kan endringer utl?se endringer i avtaler eller risikoanalyser?
• Kan det avtales rammer som det kan endres innenfor?

Sikkerhetshendelser

• Gj?r deg kjent med tilbyderens rutiner for hendelsesh?ndtering

• Kan tilbyderen, dersom det er n?dvendig av hensyn til etterforskning av en hendelse, fryse dataene til ¨¦n kunde eller tenant uavhengig av andre kunder eller tenants?

• Tenk over rutinene som UiO skal bruke for ? rapportere en hendelse til tilbyderen.

• Tenk over rutinene som tilbyderen skal bruke for ? rapportere en hendelse til UiO.

• Hvilken informasjon finnes i tilbyderens generelle rapporter om IT-sikkerhetshendelser eller andre hendelser.

• Har du muligheter til ? avdekke det selv?
• Har du tilgang til logger?

Sikkerhet i applikasjonen

• Hvilke rutiner f?lger tilbyderen for utvikling av applikasjon og tjeneste? Inkluderer disse rutinene formelle test- og akseptanse-rutiner?
• Hvilke sikringstiltak er i bruk i produksjonsmilj?et? Eksempler kan v?re firewall-er p? applikasjonsniv?, databaselogging, auditing og liknende.
• Hvordan sikrer man dataenes integritet? Hvilke kontrollmekanismer finnes for intern h?ndtering av dataene?
• Er tidsavbrudd p? web-sesjoner tilgjengelige og justerbare?

Katastrofe- og kontinuitetsplan hos leverand?r

Har tilbyderen en plan for ? gjenopprette tjenesten etter en katastrofe eller st?rre hendelse?
Legg den ved dersom den finnes, og spesifis¨¦r n?r den sist var testet.

H?ndterer denne planen minimum

• Str?mstans eller kritisk systemsvikt
• Fysiske hendelser som brann, vannskade eller oversv?mmelse
• Bemanningsmessige forhold som p?virker tjenesten
• Brudd p? IT-sikkerheten som p?virker tilbyderens kjernesystemer, f. eks. DDOS-angrep.

Har tilbyderen en failover-site? I s? tilfelle, holder den like h?y standard som hoved-siten? Utred dette.
Er de samme sikkerhetsmekanismene implementert p? reserve-siten som p? hoved-siten?
Hvor er failover-siten lokalisert? Inneb?rer plasseringen endringer i de juridiske forutsetningene som m? tas hensyn til?
Hvilken tjenestekvalitet kan tilbyderen tilby i en unntakstilstand der man skal gjenopprette tjenesten etter en katastrofe eller st?rre hendelse?

Delte produksjonsmilj?er

• Er  UiO sitt milj? satt opp p? delt hardware, eller er hardware delt mellom flere kunder? Dette kalles gjerne ?multi-tenancy?.
• Hvis milj?et er delt, hvordan kontrollerer og begrenser tilbyderen tilgangen til UiO sin del av installasjonen?
• Hvilke mekanismer brukes for ? skille UiO sin del av installasjonen fra andre kunders del av installasjonen?

Standarder

St?tter tjenesten kravene til felles tilgjengelighet gitt i WCAG 2.1? Sit¨¦r eller legg ved dokumentasjon.
Hvilke sertifiseringer er involvert? Hvilke har leverand?ren?

• ISO 27001
• ITIL
• Hva er faktisk dekket i hele l?sningen? Og hva er ?reklame? fordi det bare gjelder en liten del av l?sningen?

IT-sikkerhet

Tenk over hvilke mekanismer, rutiner og kontrollgrep som brukes aktivt og operativt av tilbyderen for ? ivareta informasjonssikkerheten. Er tilbyderen sertifisert for ISO27001 eller liknende?
Har tilbyderen v?rt involvert i noen st?rre brudd p? IT- eller informasjonssikkerheten de siste to ?rene? Noter dere i s? fall disse.
Hvilke aktiviteter eller elementer logges av tilbyderen? Eksempler kan v?re

• Nett-trafikk
• Fil-aksess
• Server-aksess
• Databaser og servere
• Active Directory
• Webservere og epost-servere
• VPN-systemer
• Systemer for virtualisering
• St?tter tilbyderens rammeverk for logging og overv?kning at hendelser kan isoleres til en spesifikk kunde?

Hvem kan etablere logging av en aktivitet?
Hvem har tilgang til loggene?
Hvor lenge tar tilbyderen vare p? loggene?
Hvilke alarmer kan etableres i tjenesten?
Hvem mottar alarmene?
Dersom tilbyderen bruker virtualiseringsteknologi ¨C har man mekanismer for ? oppdage u?nskede endringer i images eller konfigurasjonen av de virtuelle maskinene?
Dersom tilbyderen bruker virtualiseringsteknologi ¨Cst?tter l?sningen at man etablerer de virtuelle maskinene p? annen hardware etter en st?rre systemsvikt?
Bruker tilbyderen kryptering for ? sikre VM-images n?r de transporteres mellom nett og mellom hypervisors?

Vedlikehold og support

• I hvilke tidsrom tilbyr tilbyderen support og brukerst?tte? Er dette hensiktsmessige tider for UiOs brukere av tjenesten?
• Er tilbyderens nedetidsvinduer hensiksmessige for UiOs brukere av tjenesten?
• I hvilken grad forplikter tilbyderen seg til ? svare p? henvendelser og l?se problemer som oppst?r? Er dette tilstrekkelig for UiOs brukere av tjenesten?
• Skal tilbyderen gi beskjed dersom kvaliteten p? tjenesten senkes p? grunn av noe forutsett eller uforutsett?
• N?r kan du f? tak i leverand?ren? Er du en liten kunde som lett kan ignoreres av en stor leverand?r?

Revisjon og tilsyn

• Hvor ofte gj?res det tilsyn, kontroll eller revisjon? F?lger dette bransjestandarder som SOC2 eller ISO27001? Gj?res dette av en uavhengig tredjepart?
• F?r UiO tilgang til, og/eller varsel om, disse rapportene? Er dette spesifisert i avtaleteksten? Gjelder dette ogs? dersom dette gj?res av en tredjepart?
• Har UiO rett til ? f?re tilsyn med eller revidere tilbyderen? Er dette spesifisert i avtaleteksten?
• Foretar tilbyderen jevnlige s?rbarhetsvurderinger eller penetrasjonstester? Beskriv i s? tilfelle n?r dette skjedde sist, og hvilke funn som ble avdekket.
• Kan UiO eller UiOs leverand?rer utf?re slike tester selv? Er dette regulert i avtalen?
• Har de sist avdekkede s?rbarhetene blitt utbedret?
• Hvordan sikrer du at leverand?ren overholder alle krav?

S?rskilt om godkjenning av nye tjenester for USIT

Dette gjelder s?rskilt for USIT n?r USIT skal ta i bruk en ny tjeneste, eller er ansvarlig for ? innf?re en ny tjeneste.

For ? f? vurdert det juridiske i en tjeneste m? f?lgende oversendes til IT-juristene, f?r de kan gj?re en vurdering. Desto mer dekkende beskrivelsen og dokumentasjonen er, jo fortere vil saksbehandlingen kunne g?.

• Oppsummer hva tjenesten skal brukes til, og av hvem.
• En liste over hvilke kategorier og mengede av opplysninger som skal h?ndteres i og av tjenesten.
• Oppsummer hvilke begrensninger som finnes i UiO sin bruk av tjenesten, slik dette er beskrevet i avtaledokumenter, brukervilk?r, lisensvilk?r eller tilsvarende dokumenter.
  • Oversend alle n?dvendige avtaler for bruk av tjenesten
  • Eksempler p? begrensinger kan v?re at tjenesten ikke kan brukes til Å·ÖÞ±­ÔÚÏßÂòÇò_Å·ÖÞ±­Í¶×¢ÍøÕ¾ÍƼö@ med forskere i utvalgte land, at tjenesten ikke kan brukes til undervisning, eller at opphavsretten til dataene som brukes i tjenesten overf?res til selskapet bak tjenesten.
• Krever bruken ved UiO at tjenesten oppfyller krav om universell utforming?
• Hvilke(n) standarder oppfyller tjenesten?
• Har leverand?ren dokumentasjon eller beskrivelser som viser at de oppfyller krav til ?Innebygd personvern??
• Hvor er ansvaret plassert for ? f?lge opp slike avtaler etter at de er inng?tt?
• Inneb?rer bruk av tjenesten at data overf?res til utlandet?
  • Hva er overf?ringsgrunnlaget (lenke) for ? for ? overf?re data ut av E?S?
  • Hvor er data lagret?
  • Hvilke ekstra sikringstiltak er gjort for ? sikre at overf?ringen er lovlig?
  • Er selskapet amerikansk eid?
• Lenke til registrering av tjenesten/bruken i UiOs protokoll over behandlinger av personopplysninger (meldeappen)

I tillegg til det juridiske, m? det ogs? gj?res en vurdering av sikkerheten i tjenesten.