Hvor trykker skoen? Informas. sjonssikkerhet. Tone Hoddø Bakås. Seniorrådgiver, M.Sc., CISA

Transkript

1 Seniorrådgiver, M.Sc., CISA Hvor trykker skoen? Informas sjonssikkerhet Personver n, lover og rutiner Tone Hoddø Bakås

2 vordan kan vi være til nytte?

3 Dagens tema Informasjonssikkerhet og n oen aktuelle trusler Lover og forskrifter Viktige rutiner

4 nformasjonssikkerhet og oen aktuelle trusler r

5 Definisjon - Informasjonssikkerhet Informasjonssikkerhet er alle tiltak som sikrer: Tilgjengelighet Informasjon og systemer er tilgjengelig ved behov Integritet Informasjon er korrekt og pålitelig Konfidensialitet i Informasjon kun tilgjengelig g g for de som skal ha tilgang g

6 Hva beskytter vi? Informasjon IT-systemer Verdier som forvaltes Personvern Evnen til å løse prioriterte oppgaver og tjenester Renommé

7

8 ansett hvilket datasystem en kommune bruker, så skal et stem alltid følges opp for å dobbeltsjekke at sensitive plysninger ikke havner på avve eie. Dersom dette ikke er gjort, er det alltid en menneskelig svikt som ligger bak, sier Knut

9 Sensitive person- plysninger lagt ut på ttbasert postjournal

10

11 Pasientopplysninger i åpen contain Feil lbretting i konvolutt, diagnosen i vinduet

12

13 Feilsendt e-post til 200 kommuneansatte om pasient

14

15

16 nglende kontroll på informasjon Informasjonen er verdien d Dokumenter og papirer WEB-sider Bærbare PC-er Mobiltelefoner og PDA-e er Minnepinner Trådløse nettverk Misbruk av IT systemer Informasjon på åpne kanaler/ Internett Lagring av informasjon Kryptering - Sikkerhetskopier

17 ttsamfunn o Hva o Hva o Hva er arkivverdig? er privat? er kommunens/ /bedriftens?

18 oen aktuelle lover

19 Lover og forskrifter Straffeloven Personopplysningsloven Helseregisterloven Kredittilsynets IKT-forskrift Sikkerhetsloven Beredskapsforskriften Arkivloven

20 Informasjonsbehand dling Arkiv-tjenesten behandler svært mye informasjon Viktig rolle og rollemodell for resten av virksomheten Viktig ansvar Hvem er sikkerhetsansvarlig? Hvem er dokumentansvarlig? Hvem er ansvarlig for perso onopplysninger?

21 Lovregulering av personvern Personvern og informas sjonssikkerhet Personopplysningsloven med forskrifter Helseregisterloven 16 Schengenloven 3 Folketrygdloven Teleloven 7-77

22 Internasjonalt vern Menneskerettigheter EUs direktiv om behandling av personopplysninger (1995) Personopplysningsloven i Norge bygger på denne

23 Personopplysnings loven Lov om behandling av pers sonopplysninger 14. april 2000 Personopplysningsforskriften All behandling av personop pplysninger Som direkte eller indirekte kan knyttes til fysisk person Omfatter informasjonsbehandlingen Hovedregel: Samtykk ke Sensitive personopplysninger Krav til informasjonssikkerhet Datatilsynet fører tilsyn med overholdelse av loven

24 Sensitive personopp pplysninger py Rasemessig eller etnisk ba kgrunn Politisk, filosofisk, religiøs oppfatning Mistenkt, siktet, tiltalt, dømt for straffbar handling Helseforhold Seksuelle forhold Medlemskap i fagforening

25 Behandlingsansvarl lig Den som bestemmer formå ålet med behandlingen Ledelsen er behandlingsansvarlig En som er ansvarlig på leders vegne Databehandler

26 latelse til å behandle personopplysninger Krav til rettslig grunnlag, 8 Samtykke hovedregel Frivillig, uttrykkelig og inform mert Lovhjemmel Nødvendighet Krav til konsesjon i visse tilfelle Hvis behandling av sensitive opplysninger I enkelttilfelle når Datatilsynet fastsetter det Kan stille krav til sikring i av personopplysninger Taushetsplikt, opplysningsplikt 8og9 e, jf peol mv

27 Formål for behandling, 11 b og c Må være saklig begrunnet i virkso omheten Kan senere endres, men ikke ubegrenset Må normalt meldes Datatilsynet, jf peol 31 og 32 Opplysningskvalitet lit t Tilstrekkelige Relevante Korrekte Oppdaterte Nødvendig (i tid og omfang)

28 Informasjonssikkerhet og internkontroll, 13 og 14 Tiltak skal være Planlagte Systematiske ti Dokumenterte Dokumentasjon skal være tilgjengelig for Informasjonssikkerhet skal omf fatte Konfidensialitet Integritet Tilgjengelighet Informasjonssikkerheten skal være tilfredsstillende, jf pol 13 Forskriften har minstekrav

29 Organisering g av sikkerhetsarbeidet Den daglige ledelsen er an svarlig for etterlevelse Krever klare ansvars- og myndighetsforhold IS skal konfigureres slik at oppnås tilfredsstillende sikkerhet Ansvar- og myndighetsforhold samt konfigurasjon av systemet t skal dokumentere es Personell skal bare utføre pålagte oppgaver de er autoriserte for Personell skal ha nødvendi ig kunnskap om bruk i hht autorisasjon og rutiner (2-8)

30 Endring og sletting Opplysninger av betydning for dokumentasjon skal markeres, sperres og suppleres Opplysninger uten betydning for do okumentasjon skal rettes og slettes Retting, sletting mv skal gjøres av eget tiltak eller etter påkrav Den behandlingsansvarlige g skal om mulig sørge for at feil ikke får konsekvenser for den enkelte Sletting av opplysninger er aktuelt når opplysningene er ukorrekte behandling av opplysningene mangler rettslig grunnlag eller dette faller bort Det rettslige grunnlaget kan falle bort (peol 27) ved at Lovhjemmelen endres/fjernes Samtykke trekkes tilbake Nødvendighetsgrunn opphører

31 Databehandleravtale Dersom andre skal behandle pers sonopplysninger på vegne av den behandlingsansvarlige (outsourcing) Skriftlig avtale mellom partene Avtalen skal forplikte partene til å følge kravene etter peol 13 med tilhørende forskrifter

32 Sikkerhetsloven Fra 20. mars 1998 Motvirke trusler mot rikets sikkerhets og andre vitale sikkerhetsinteresser Gradering av informasjon Strengt hemmelig Hemmelig Konfidensielt Begrenset Forskrift om informasjonssi i kkerhet

33 Beskyttelsesinstruksen Ansvarlig: Statsministerens t i t kontor Vedtatt som et slags speilbi lde av sikkerhetsinstruksen, for gradering av andre grunner enn de som er nevnt der Omfatter også elektroniske Ved databehandling av beskyttelsesgraderte dokumenter gjelder utvalgte deler av sikkerhetsloven med forskrifter Graderinger: Strengt t Fortrolig Fortrolig dokumenter mv Disse reglene sier mer konkret hvordan bl a taushetsbelagte opplysninge er i staten skal behandles, både i den papirbaserte og elektroniske verden

34 Arkivlova Formål tryggja arkiv slik at dessee kan verta tekne vare på og gjorde tilgjengelege l for ette ertida. Gjelder alle offentlige organer Konfidensialitet, tilgjengelighet og integritet 6 - Offentlege organ plikta ar å ha arkiv, og desse skal vera ordna og innretta slik at dokumenta er tryggja som informasjonskjelder for sam mtid og ettertid Kassaksjon og sletting (jfr personopplysningsloven)

35 Forskrift til arkivlova Planer og organisering (ink kl regelverk) Krav til arkivnøkler, dagligarkiv, oppstilling Journalføring For registrering av tryggings sgraderte dokument gjeld føresegner om informasjonstrygging 4-10 til 4-17 fastsette i medhald av trygg gingslova. For registrering av vernegraderte dokument gjeld verneinstruksen 8. Eget kapittel om lagringsme edium Sikre integritet og tilgjengelighet Behandling av post/ e-post Hvordan få til rutiner som s ikrer arkivering? (kompletthet) Krav til fysisk sikring av lokaler

36 Forskrift om utfyllende tekniske og arkivfaglige bestem melser Strenge integritetskrav og nøye spesifikasjoner Feltlengder, formater osv Sikkerhetsrutiner som f eks ansvar a for brukerrettigheter ettg eter registrering og arkivering av e-post operatøransvar, kvalitetssik kring ved skanning Kvalitetssikring digital signatur - regler og rutineopplegg registrering g av unntak for offentlighet Nødprosedyrer dersom systemet er ute av drift.

37 utiner og viktige tiltak

38

39 Risikovurdering Bestemme akseptabel risik ko Vurdere trusler Vurdere årsaker Finne risiko Konsekvensene Sannsynligheten Iverksette tilstrekkelige tiltak Policy, regler, retningslinjerr Tekniske tiltak Opplæring og holdninger for ledere og ansatte

40 Internkontroll Styrende elementer Beslutninger og føringer fra ledelsen Gjennomførende elementer Rutiner for de ansattes arbeidssituasjon Kontrollerende elementer Fange opp avvik Periodiske gjennomganger

41 Krav til den interne kontroll Planlagte og systematiske Eks på rutiner for håndtering av personopplysninger: Iverksettelse og opphør av Melde- ede og konsesjonsplikt sp Sletting av personopplysninger Kvalitetssikring av personop pplysninger Innhenting og kontroll av samtykke Plikt til informasjon Publisering gpå Internett Innsyn i e-post og private tiltak for å oppfylle kravene behandling filområder

42 Viktige tiltak Tilgangskontroll Logging Kryptering av konfidensiell informasjonn informasjon som er særlig utsatt (minnepinner, på reise) Sikring i og regler for bruk av bærbart b utstyr Opplæring Oppæ av ansatte / bruk kere ee Sikkerhetskultur

43 Sikkerhetskultur aspekter ved en kultur som påvirker sikkerheten i en el annen retning er noe mer enn summen av holdninger er rotfestet i organisasjonen og er delt av flere individer En god eller dårlig sikkerhetskultur påvirker sikkerhetsnivå Informasjonssikkerhet har beveget seg fra «harde» redsk (teknologi) til «myke» sikkerhetshjelpemidler (holdninger) Et harmonisk sikkerhetsarb eid krever både «harde» og «myke» prinsipper (NTNU/ Kufås og Mølmann) Bruce Schneier: «If you think technology can solve your security problems, then you don t understand the problem and you don t understand the technology»

44 Beredskapsplanlegg p ging g En plan eller strategi for å møte uventede avbrudd (Kriseplan, katastrofeplan, kontinuitetsplan)

45 Hvordan bevare holdninger til sikkerhet med ny teknologi?

46 Kontaktin nformasjon Tone Hoddø Bak kås Telefon: (+47)