Rheolaethau Diogelwch
-
- Rhan o:
- Canolfan Cymeradwyo
Cynulleidfa a awgrymir: Hyrwyddwyr digidol ysgolion, Cydlynwyr TGCh, Rheolwyr Rhwydweithiau, timau technegol awdurdodau lleol.
Trosolwg
Mae’r ddogfen hon yn disgrifio’r rheolaethau sydd ar gael ar gyfer ystod y pecynnau digidol ym Mhlatfform Hwb a sut y gellir defnyddio’r pecynnau hyn i alluogi sefydliadau i sicrhau diogelwch yr wybodaeth a ddefnyddir ganddynt.
Dosbarthiadau Diogelwch y Llywodraeth
Mae Dosbarthiadau Diogelwch y Llywodraeth ar dair lefel: SWYDDOGOL, CYFRINACHOL a THRA CHYFRINACHOL.
Diffinnir y lefelau fel a ganlyn:
Y rhan fwyaf o’r wybodaeth sy’n cael ei chreu neu ei phrosesu gan y sector cyhoeddus. Mae hyn yn cynnwys gweithrediadau busnes a gwasanaethau arferol, a gallai arwain at ganlyniadau niweidiol pe baent yn cael eu colli, eu dwyn neu eu cyhoeddi ar y cyfryngau, ond nid ydynt yn destun proffil uwch.
Gwybodaeth sensitif iawn sy’n cyfiawnhau mesurau diogelu uwch i warchod rhag bygythiadau gan rai penderfynol a galluog. Er enghraifft, lle byddai bygythiadau’n gallu achosi niwed difrifol i allu milwrol, cysylltiadau rhyngwladol neu ymchwiliadau i droseddau cyfundrefnol difrifol.
Gwybodaeth fwyaf sensitif Llywodraeth EM sy’n gofyn am y lefelau uchaf o ddiogelwch rhag y bygythiadau mwyaf difrifol. Er enghraifft, lle byddai bygythiadau’n gallu arwain at golli bywydau ar raddfa fawr neu fygythiad i ddiogelwch neu les economaidd y wlad neu genhedloedd cyfeillgar.
_______________
Bydd gwybodaeth a brosesir yn amgylchedd yr ysgol ar y lefel SWYDDOGOL. Yn achos data SWYDDOGOL, dylai rheolaethau diogelwch gwybodaeth:
- warchod rhag peryglu bwriadol gan ymosodiad awtomataidd neu fanteisgar; a
- cheisio canfod achos o beryglu gwirioneddol neu ymgais i beryglu ac ymateb iddo
Mae manylion llawn ar gael yn nogfennau cysylltiedig Swyddfa'r Cabinet.
Rheolaethau Diogelwch Hwb
Ar Hwb, cyfeirir at reolaethau diogelwch fel safonol ac uwch, a dim ond ar gyfer rhai agweddau ar Hwb y mae rheolaethau uwch ar gael.
Mae rheolaethau safonol yn addas ar gyfer y rhan fwyaf o ddefnyddwyr Hwb a bydd yn sicrhau diogelwch priodol ar gyfer data personol llai sensitif a gwybodaeth SWYDDOGOL.
Dewis Rheolaethau
Yn achos data personol bydd y penderfyniad ynglyn â pha reolaethau i’w defnyddio’n cael ei wneud gan y rheolydd data (y pennaeth fydd y rheolydd data mewn ysgolion fel arfer).
Yn ychwanegol at y dull arfaethedig ar gyfer Hwb, mae cyngor ffurfiol ar gael ar wefan yr ICO i helpu rheolyddion data i benderfynu pa lefel rheolaeth sydd ei hangen.
Mae’r tabl canlynol yn dangos defnydd nodweddiadol; fodd bynnag, mae’n debygol y bydd rhesymau dilys dros wyro oddi wrth y model hwn yn ôl amgylchiadau penodol y sefydliad; bydd unrhyw wyriad o’r fath yn benderfyniad rheoli risg lleol.
Gweler y siartiau llif dethol rheolaeth sy’n berthnasol i bob agwedd ar Hwb am eglurhad pellach.
Sefyllfaoedd | Rheolaethau Safonol Hwb yn addas? | Rheolaethau Uwch Hwb yn addas? |
Gwybodaeth gyffredinol am yr ysgol gan gynnwys data cyrhaeddiad gan y MIS (e.e. SIMS, Canolfan Athrawon), nad yw’n cynnwys gwybodaeth sensitif. | Ydynt | Ydynt |
Gwybodaeth am ddisgyblion gan y MIS, er enghraifft i’w defnyddio ar dripiau ysgol. Noder: Os oes gwybodaeth feddygol sensitif wedi’i chynnwys, dylid ystyried diogelwch uwch. Gall data AAA yn aml gynnwys gwybodaeth sensitif; dylid gwneud penderfyniad lleol sy’n seiliedig ar gyd-destun a chynnwys y data i benderfynu a ellir cyfiawnhau rheolaethau uwch. | Nid yw’n cael ei argymell | Ydynt - fe’u hargymhellir |
Mae ymchwiliadau diogelwch plant yn dueddol o fod yn sensitif ac yn gofyn am gyfrinachedd; bydd hyn fel arfer yn gofyn am reolaethau uwch. | Nac ydynt | Ydynt – yn hanfodol |
Dilysu aml-ffactor
Dilysu yw’r term a ddefnyddir i ddisgrifio’r broses o gadarnhau hunaniaeth unigolyn.
Mae'r rhan fwyaf o bobl yn gyfarwydd â defnyddio enw defnyddiwr a chyfrinair neu ôl bys i brofi pwy ydynt, ac am gyfnod hir roedd y rhain yn ddigonol i atal hacwyr rhag cael mynediad at gyfrif rhywun.
Mae’r gwahanol ffyrdd o brofi pwy yw rhywun yn seiliedig ar dair nodwedd neu ffactor:
- Rhywbeth rydych yn ei wybod – dyma’r nodwedd fwyaf cyffredin a ddefnyddir i brofi pwy yw rhywun, a bydd fel arfer ar ffurf cyfrinair neu rif adnabod personol.
- Rhywbeth sydd yn eich meddiant – e.e. ffôn clyfar, ac yn aml bydd angen darparu cod i gadarnhau bod yr eitem yn eich meddiant ar y pryd.
- Rhywbeth sy’n bersonol i chi – gan ddefnyddio biometreg sy’n adnabod ôl bys neu wyneb.
Ar eu pen eu hunain mae pob ffactor yn agored i ymosodiad, ond pan fyddant wedi’u cyfuno gall fod yn anodd eu trechu. Yn aml, cyfeirir at gyfuniad o fwy nag un math o ffactor fel proses wirio dau gam, proses ddilysu dau ffactor neu broses ddilysu aml-ffactor.
O ystyried y nifer cynyddol o achosion o we-rwydo ynghyd â’u soffistigeiddrwydd, yn achos systemau ar-lein fel Hwb mae defnyddio ffactor ychwanegol yn ffordd effeithiol o sicrhau nad yw cyfrinair sy’n cael ei ddatgelu yn rhoi mynediad llawn at gyfrif a’r holl wybodaeth sydd ynddo.
Rydym wir yn argymell defnyddio proses ddilysu aml-ffactor am ei fod yn helpu i atal mynediad heb ei awdurdodi at wybodaeth, yn enwedig os yw’n diogelu data personol sensitif. Mae dilysu aml-ffactor yn nodwedd ddiogelwch bwysig ar gyfer sefydliadau a chyfrifon ar-lein personol defnyddwyr.
Mae Dilysu Aml-ffactor (MFA) ar waith ar gyfer pob deiliad cyfrif nad ydyn nhw’n ddysgwyr.
Mae Dilysu Aml-ffactor yn gofyn am gyfrinair a chod â therfyn amser sy'n cael ei gynhyrchu gan ap Microsoft Authenticator. Felly mae’n rhaid i bob deiliad cyfrif nad ydyn nhw’n ddysgwyr lawrlwytho a gosod yr ap ar ffôn clyfar neu ddyfais symudol arall a alluogir gan y rhyngrwyd a'i gysylltu â'u cyfrif Hwb. Ceir canllawiau yn y Ganolfan Gymorth.
Ar ôl i’r ap Microsoft Authenicator gael ei osod, os bydd deiliad cyfrif yn mewngofnodi i Hwb y tu allan i rwydwaith dibynadwy eu hysgol neu sefydliad, rhaid iddynt nodi eu henw defnyddiwr, cyfrinair a chod a gynhyrchir gan yr ap. Dim ond ag un copi o Microsoft Authenticator y gellir cysylltu eich cyfrif Hwb, h.y. dim ond ar un ffôn clyfar neu ddyfais symudol arall sydd â mynediad at y rhyngrwyd y gellir ei ddefnyddio. Does dim angen cysylltiad di-dor â’r rhyngrwyd ar ôl ei osod. Bydd yn dal i weithio mewn mannau lle mae’r cysylltiad yn wan neu lle nad oes cysylltiad o gwbl. Mae rhagor o wybodaeth am yr ap ar gael gan Microsoft.
Os yw Dilysu Aml-ffactor yn mynd i fod yn effeithiol, rhaid i ddeiliaid cyfrif Hwb nad ydyn nhw’n ddysgwyr beidio â rhannu eu ffôn clyfar neu eu dyfais ag eraill na’u gadael heb eu cloi.
Os oes gennych chi unrhyw ymholiadau neu os oes angen cymorth arnoch, dilynwch eich trefniadau cymorth TG lleol yn yr ysgol neu drwy eich awdurdod lleol yn y lle cyntaf. Mae cyngor ac arweiniad hefyd ar gael gan Ddesg Gwasanaeth Hwb: e-bost cymorth@hwbcymru.net neu ffôn 03000 25 25 25.
Cydweithredu
Mae Hwb wedi diffinio cyfuniadau o reolaethau a argymhellir sy’n berthnasol i feysydd cydweithredu.
Rhagwelir mai’r rheolaethau safonol fydd y ffurfwedd fwyaf addas ar gyfer y rhan fwyaf o gydweithio a wneir gan ddefnyddwyr Hwb.
Mae Azure Multi-Factor Authentication (MFA) ac Azure Rights Management (RMS), a ddisgrifir yn fwy manwl isod, yn rheolaethau Uwch, ac maent yn cael eu hargymell pan fydd angen cydweithio â data sensitif.
Dylid dilyn penderfyniadau risg a chanllawiau lleol wrth weithio â data personol, fodd bynnag, y sefyllfaoedd defnydd a ragwelir ar gyfer y gwahanol lefelau yw:
Uwch – Yn addas ar gyfer gwybodaeth sensitif
- Lefel 1 – argymhellir i sicrhau bod dogfennau’n cael eu cadw’n ddiogel drwy gael rheolaethau sy’n ‘teithio’ gyda’r ddogfen.
- Gall y lefel hon hefyd fod yn addas pan fydd angen cydweithio â niferoedd mawr o ddefnyddwyr allanol a lle mae cyfrinachedd gwybodaeth â sensitifrwydd isel yn bwysig.
- Lefel 2 – argymhellir y lefel hon i grwpiau bach o ddefnyddwyr yn unig; mae dibyniaeth ar ymwybyddiaeth a gwyliadwriaeth defnyddwyr o ran diogelwch gwybodaeth.
- Safonol– Yn addas ar gyfer gweithio a chydweithio o ddydd i ddydd, a all gynnwys data sy’n galluogi adnabod unigolion, ond bydd fel arfer yn anaddas ar gyfer data mwy sensitif. Argymhellir fod rhannu’n allanol yn cael ei gyfyngu i grwpiau bach o ddefnyddwyr oherwydd ansicrwydd ynglyn â sut y bydd trydydd partïon yn rheoli diogelwch gwybodaeth.
Lefel | MFA | RMS | Rhannu Allanol | Nifer Disgwyliedig o Ddefnyddwyr |
Lefel uwch 1 | Ydy | Ydy | Nac ydy | Llawer |
Lefel Uwch 2 | Ydy | Nac ydy | Nac ydy | Ychydig |
Safonol | Nac ydy | Nac ydy | Nac ydy | Llawer |
Nac ydy | Nac ydy | Ydy | Ychydig |
Mae ffeiliau sy’n cael eu storio ar Google Workspace for Education yn cael eu diogelu drwy amgryptio yn ystod lanlwytho / lawrlwytho ac yn cael eu storio ar weinyddion Google Workspace for Education, ond nid oes opsiwn i amgryptio ffeiliau yn uniongyrchol h.y. os yw ffeil yn cael ei lawrlwytho o Google Workspace for Education ni fydd yn cael ei hamgryptio ar y ddyfais gyrchfan.
Mae Google Workspace for Education yn briodol i brosesu data personol, ond pan fydd angen rhannu ffeiliau sy’n cynnwys data personol dylid defnyddio’r rheolaethau sydd ar gael yn Office 365.
Cyfyngiadau ar Ffeiliau Team Drive
Gellir ffurfweddu Team Drives Google Workspace for Education i gyfyngu ar faint o ddefnyddwyr all ryngweithio â ffeiliau. Gellir ffurfweddu’r gosodiad canlynol:
Atal sylwebwyr a gwylwyr rhag lawrlwytho, copïo, ac argraffu ffeiliau yn y Team Drive hwn
Bydd yr opsiwn ffurfweddu hwn yn atal copïau heb eu rheoli rhag cael eu lawrlwytho gan neb â rôl sylwebwyr neu wylwyr. Yn ddibynnol ar amgylchiadau’r cydweithio gall lefel y rheolaeth hon fod yn briodol i rannu cynnwys â defnyddwyr allanol.
Bydd unrhyw ddefnyddwyr â mynediad golygu (cyfranwyr, rheolwyr cynnwys a rheolwyr) yn gallu lawrlwytho copïau o unrhyw ffeiliau.
Hawliau Rheoli – Rheolaeth Uwch l
Mae Azure Rights Management (RMS) yn fath o reolaeth hawliau digidol sy’n cynnig rheolaeth ychwanegol ar gyfer mynediad i ffeiliau, sy’n ‘teithio’ gyda’r ffeil.
Yn Hwb mae’r defnydd o RMS wedi’i gyfyngu ar hyn o bryd i ategu rheolaethau mynediad y rhwydwaith presennol ar gyfer llyfrgelloedd SharePoint sy’n cynnwys data sensitif. Bydd ffeiliau Microsoft Office sy’n cael eu storio yn y llyfrgelloedd diogel hyn yn cael RMS yn awtomatig a byddant ar gael yn unig i’r defnyddwyr hynny sydd â mynediad i’r llyfrgell.
Bydd ffeil sydd â RMS yn golygu y bydd yn rhaid i ddefnyddiwr gyflwyno manylion i gael mynediad at y ffeil, hyd yn oes pan fyddant yn cael mynediad ati o’r tu allan i’r amgylchedd ar-lein. Defnyddir amgryptio i atal rhywun heb ganiatâd rhag cael mynediad at gynnwys y ffeil.
Bydd defnyddio RMS ar ffeil yn helpu i sicrhau mai dim ond pobl sydd wedi cael awdurdodaeth ymlaen llaw all weld ei chynnwys, waeth pwy sydd â mynediad ati.
Cysylltwch â’ch gweinyddwr SharePoint lleol am ragor o wybodaeth.
Ffeiliau Personol
Dilysu Aml-ffactor (MFA) – Rheolaeth Uwch
Gall gyriannau storio personol yn y cwmwl elwa drwy ddefnyddio MFA gyda chyfrif personol defnyddiwr, yn yr un ffordd â gwasanaethau eraill.
Diogelu Cyfrinair Lefel Ffeil - Rheolaeth Uwch
Gellir defnyddio diogelwch cyfrinair cynhenid Microsoft Office i ddiogelu ffeiliau sy’n cynnwys data personol, er bod hyn yn cyflwyno rhai cyfyngiadau ar y dulliau mynediad at y ddogfen (gweler y crynodeb isod).
Nid yw rhaglenni ar-lein Google Google Workspace for Education yn cefnogi diogelwch cyfrineiriau’n uniongyrchol.
Gwasanaeth | A oes diogelwch cyfrinair ar gael? | A oes modd cadw ar Yriant Ar-lein? | A oes modd gweld cynnwys ffeiliau wedi’u diogelu ar-lein? | A oes modd golygu cynnwys ffeil wedi’i diogelu ar-lein? |
Google Workspace for Education | Nag oes | Oes | Oes | Nag oes |
Office 365 Ar-lein | Nag oes | Oes | Nag oes | Nag oes |
Office 365 bwrdd gwaith | Oes | Oes | Nag oes | Oes |
Os oes gennych chi unrhyw ymholiadau neu os oes angen cymorth arnoch, dilynwch eich trefniadau cymorth TG lleol yn yr ysgol neu drwy eich awdurdod lleol yn y lle cyntaf. Mae cyngor ac arweiniad hefyd ar gael gan Ddesg Gwasanaeth Hwb: e-bost cymorth@hwbcymru.net neu ffôn 03000 25 25 25.