Forelesning 12: Applikasjonssikkerhet og GDPR
|
|
- Monika Halvorsen
- 5 år siden
- Visninger:
Transkript
1 Universitetet i Oslo IN2120 Informasjonssikkerhet Høst 2018 Workshop-spørsmål med svarforslag Forelesning 12: Applikasjonssikkerhet og GDPR Spørsmål 1: Cyber Kill Chain a. Hva er «Cyber Kill Chain»? b. Forklar trinnene i Cyber Kill Chain. a. «Cyber Kill Chain» består av trinn som vanligvis er en del av en APT (Advanced persistent Threat). Begrepet "Kill" refererer til det faktum at denne typen angrep kan bli "drept" (stoppet) på et trinn i kjeden, jo tidligere desto bedre selvfølgelig. b. Trinnene i cyber Kill Chain er: - Rekognosering (Reconnaissance): Trusselaktøren samler informasjon om det potensielle offeret, for å finne sårbarheter og muligheter for angrep. - Bevæpning (Weaponisation) Trusselaktøren konstruerer exploit-skadevare basert på f.eks. «zero days», pakket i et egnet format som kan leveres til offeret. Formatet kan f.eks. være et PDF-dokument eller en mediefil. - Overlevering (Delivery): Skadevaren kan f.eks. sendes som vedlegg med en phishing (villedende) epost som har til hensikt å lure mottakeren til å åpne vedlegget eller å installere skadevare. - Utnyttelse (Exploitation): Ved å anta at mottakeren har blitt lurt til å åpne/installere skadevaren, vil exploiten starte å utføre skadel. - Installering( Installation): Den direkte effekten av exploiten er vanligvis å laste ned en bakdør iform av et C&C program fra en ekstern server. Etter dette trinnet har angriperne ekstern tilgang til det infiserte systemet. - Kommando & Styring (Command & Control): Angriperne kan utforske nettverket rundt det infiserte systemet, forplante seg videre til andre systemer, skjule spor, og identifisere ressurser som kan stjeles eller saboteres. - Aksjon/Uthenting (Action/Exfiltration): Data samles inn, klargjøres og sendes ut av nettverket, til servere som kontrolleres av angriperne. Hvis sabotasje er angriperens mål, blir det iverksatt ødeleggende aksjoner. Spørsmål 2: Spredning av nettverksormer Forklar generelt hvordan nettverksormer sprer seg. Ormer sprer seg ved å: 1. Automatisk søke andre systemer å infisere, f.eks. ved å bruke host-tabeller eller lignende kataloger over eksterne systemadresser. 2. Automatisk koble seg til eksterne systemer. 3. Automatisk kopierer seg selv til det eksterne systemet og starte opp kopien av seg selv. 4 Begynn fra 1) igjen. Legg merke til at en nettverksorm sprer seg uten brukermedvirkning.
2 Spørsmål 3: Botnett-angrep a. Hva er et botnett? b. Hva er et DDoS, og hvordan kan et botnett brukes til å gjøre et DDoS-angrep? c. Beskriver to andre angrep som kan utføres med botnett. a. Begrepet "botnet" referere vanligvis til en samling av kompromitterte computere (kalt bots eller zombie-maskiner) som kjører bot-skadevare, vanligvis installert via drive-by nedlastinger utnytte nettleseren sårbarheter, ormer, trojanske hester, eller bakdører, under en felles kommando- og styringsinfrastruktur. b. Et DoS-angrep (tjenestenekt) er et forsøk på å hindre at legitime brukere av en tjeneste bruker denne tjenesten. Når dette angrepet kommer fra en enkel node eller nettverk, så er det bare referert til som et DoS-angrep. En mer alvorlig trussel utgjøres av et DDoS-angrep. I et DDoS-angrep, er en angriper i stand til å rekruttere en rekke noder over Internett til samtidig eller på en koordinert måte lansere et angrep på målet. Et botnet er nettopp et sett av noder som kan koordineres for DDoS-angrep. c. Botnett brukes også til spamming og for innsamling av brukeridentiteter. Spørsmål 4: SQL-Injeksjon a. Hva er et SQL-injeksjonsangrep og hvordan kan det forhindres? b. Hva er et XSS-angrep, og hvordan kan det forhindres? a. SQL Injection er en metode for injeksjon av kode som utnytter en sårbarhet i grensesnittet mot SQL-databaser. Sikkerhetsproblemet oppsstår når brukerinndata feilaktig tolkes som SQL-kommandoer, som betyr at brukere kan sende SQL-kommandoer gjennom et brukergrensesnitt. Det er en type av mer generell sikkerhetssårbarhet som kan forekomme når ett programmerings-eller skriptspråk innkapsles i et annet. SQL-Injectionsangrep kan forebygges ved å ikke tillate brukerinndata til å bli tolket som SQL-kommandoer. I stedet kan man bruke parameterkommandoer, eller brukerinndata må være nøye filtrert. b. XSS (Skripting på tvers av noder) er en angrepsteknikk som lurer en webside til å reflektere mottatte data tilbake til netlesere der dataene blir tolket og eksekvert som skript. Når en nettleser mottar og kjører et XSS-skript, vil angriperen ha tilgang til nettleserebs innhold (informasjonskapsler, logg, programversjon osv.). XSS-angrep bruker Web-server som et springbrett for å angripe nettlesere/klienter. XSS kan forebygges ved at webservere alltid filtrerer bort skadelig kode de mottar, og forhindrer at det legges ut på en webside.
3 Spørsmål 5: SQ-Injeksjon Eksempel En web-applikasjon gjør brukerautentisering ved at inndata fra påloggingsskjermen brukes direkte uten filtrering for å danne SQL-kommandoer sendt til back-end SQL-database, som illustrert i figuren nedenfor. Logikken er at brukerautentiseringen er vellykket hvis det mottatte passordet er lik det lagrede passordet for den valgte brukeren. En angriper ønsker å logge inn som Admin og skriver inn passordet: A OR X = X a. Hva blir SQL-kommandoen som sendes til SQL-databaseserveren? b. Hva er effekten av denne kommandoen? a. SQL-kommandoen blir: SELECT ACCOUNT (*) FROM Users WHERE Username = Admin AND Password = A OR X = X b. Den boolske sjekken til slutt i SQL-kommandoen er alltid TRUE fordi det alltid er sant at X = X. Derfor blir angriperen logget inn som Admin. Spørsamål 6: OWASP a. Hva betyr forkortelsen OWASP? b. Hva er målsettingen til OWASP? c. Hva er OWASP Top 10? d. Hva er nr.1 i OWASP Top 10? e. Hvorfor har nr.1 vært på toppen av listen i så mange år? f. Hva er hensikten med OWASP ASVS? a. OWASP: Open Web Application Security Project b. OWASP jobber for applikasjonssikkerhet og bevissthet for informasjonssikkerhet. c. OWASP Top 10 beskriver utbredte sikkerhetsrisikoer i web-applikasjoner. d. SQL injeksjon er sikkerhetsrisiko nr.1 i web-applikasjoner. e. SQL injeksjion burde ikke være den største sikkerhetsrisikoen fordi det egentlig er et løst problem. Grunnen til at SQL-injeksjon fremdeles er utbredt er at utviklere er late eller ignorante, eller begge deler. f. OWASP ASVS (Application Security Verification Standard) beskriver krav til sikkerhet i programutvikling, og tilbyr mange gratis verktøy for skanning av sikkerhetssårbarheter
4 Spørsmål 7: Sikker Smidig a. På hvilken måte er smidig forskjellig fra systemutvikling med fossefallmetoden? b. Hvordan kan sikkerhet integreres i smidig systemutvikling. a. I fossefallmetoden må all funksjonalitet spesifiseres før programmeringen starter. Dette står i kontrast til smidig utvikling som er sentrert rundt en rekke sprinter som vanligvis varer noen uker. Under hver sprint vil utviklingsteamet implementere et lite sett med funksjoner eller "brukerhistorier". Nye funksjoner og bruker historier kan spesifiseres underveis. b. I sikker smidig må det legges til sikkerhetsorienterte aktiviteter (i) ved initiering av prosjektet (identifisere oppdragsgivers sikkerhets prioriteringer og målsettinger, definere sikkerhetskrav), (ii) under hver sprint (identifisere trusselscenarier, og fjerne sårbarheter for å stoppe trusselenscenariene), (iii) ved den endelige testingen av systemet (test/vurdere at sikkerhetskravene er oppfylt). Spørsmål 8: Innebygd personvern og innebygd informasjonssikkerhet GDPR (General Data Protection Regulation) ble satt ikraft som ny lov i EU den 25. mai GDPR oversatt til norsk kalles PVF (Personvernforordningen). Teksten i denne ble til den nye Personopplysningsloven som ble satt ikraft den 20. juli a. Hva er hovedelementene for innebygd personvern i henhold til GDPR artikkel 5? b. Hva er hovedelementene for utvikling og drift av IT-systemer i samsvar med innebygd personvern og innebygd informasjonssikkerhet ifølge Datatilsynets veileder? a. Ifølge GDPR artikkel 5, skal personopplysninger behandles med: (a) lovlighet, rettferdighet og åpenhet (b) formålsbegrensning (c) dataminimering (d) riktighet (e) lagringsbegrensning (f) integritet og konfidensialitet b. Ifølge Datatilsynets veileder om Programvareutvikling med innebygd personvern skal organisasjoner ha gode prosesser for følgende aktiviteter under utvikling og drift av IT-systemer: - Opplæring - Krav - Design - Koding - Testing - Produksjonssetting - Forvaltning
5 Spørsmål 9: Personvern i skyen Et IT-selskap som behandler persondata bestemmer seg for å overføre lagring og behandling av personopplysninger til en skytjeneste som ligger i utlandet. a. Er dette lovlig i henhold til GDPR (Personopplysningsloven i Norge)? b. Hva må selskapet gjøre for å gjøre outsourcing lovlig i henhold til GDPR? a. Ja, med forbehold om at det gis "nødvendige garantier". For outsourcing bør selskapet ta hensyn til artikkel 46 (Overføringer som omfattes av nødvendige garantier), artikkel 47 (Bindende virksomhetsregler), artikkel 48 (Overføring eller utlevering som ikke er tillatt i henhold til unionsretten) og artikkel 49 (Unntak for særlige situasjoner) i GDPR. Uavhengig av selve outsourcingen, må den behandlingsansvarlige også tydelig spesifisere formål og behandlingsgrunnlag, ta hensyn til forholdsmessighet og nødvendighet for den registrertes rettigheter og friheter, og må alltid gjennomføre en trussel- og risikovurdering for sikkerhet og personvern, hvor risikoen må være akseptabel. b. Selskapet må ta hensyn til artiklene 46, 47, 48 og 49 i GDPR og gjennomføre en trussel- og risikovurdering for både sikkerhet og personvern spesielt knyttet til outsourcing, og etter behov foreta en DPIA (Data Protection Impact Assessment). Spørsmål 10: Straff for brudd på GDPR a. To IT-selskaper, la oss kalle dem Alfa og Omega, utvikler hvert sitt IT-system som skal behandle persondata. Begge selskaper følger prinsipper (a)-(e) i artikkel 5 i GDPR. Alfa foretar ingen trussel/risikovurdering av sikkerhet under systemutviklingen, men systemet blir testet for kjente sårbarheter under drift. Omega, på den annen side, utfører trussel og risikovurdering av sikkerhet, og fjerner sårbarheter som blir oppdaget under utviklingen av systemet. Anta at begge IT-systemer, både det fra Alfa og Omega, blir hacket, noe som resulterer i sikkerhetshendelses med alvorlig personvernkonsekvens og lekkasje av sensitive personopplysninger. I henhold til Perwonopplysningsloven (GDPR), hadde Alfa og/eller Omega lov til å sette sine systemer i drift? b. Kan Alfa og/eller Omega bli bøtelagt etter Personopplysningsloven (GDPR) som følge av sikkerhetshendelser og/eller som følge av hvordan systemene ble utviklet/driftet? c. Hva er maksimale bøtelegging for brudd på Personopplysningsloven (GDPR)? a. Alfa hadde ikke fulgt prinsipp (f) av artikkel 5 (integritet og konfidensialitet) under systemutviklingen, fulgte dermed ikke prinsippene for "innebygd personvern" og "innebygd informasjonssikkerhet", og driftet dermed systemet ulovlig. Omega hadde fulgt alle prinsippene, og driftet derfor systemet lovlig. b. Alfa kan bli bøtelagt fordi system ikke ble utviklet i henhold til prinsippene om "innebygd personvern" og "innebugd informasjonssikkerhet". Alpha kan ikke bøtelegges for selve sikkerhetshendelsen, bare for utilstrekkelig praksis for sikker utvikling av systemet. Omega hadde fulgt prinsippene for "innebygd personvern" og "innebygd informasjonssikkerhet" under utvikling og kan derfor ikke bli bøtelagt, selv om det oppstod en sikkerhetshendelse, forutsatt at Omega ellers hadde et tilfredsstillende ISMS (Information Security Management System) (Styringssystem for informasjonssikkerhet) på plass. c. Brudd på Personopplysningsloven (GDPR) kan bli bøtelagt opp til eller opp til 4% av den årlige verdensomspennende omsetningen i det foregående regnskapsåret for en bedrift, der det høyeste beløp gjelder.
Personvern i skyen Medlemsmøte i Cloud Security Alliance
Personvern i skyen Medlemsmøte i Cloud Security Alliance 31. oktober 2018 Trond Ericson Agenda Personvern i skyen Kort om Devoteam Kort om GDPR GDPR i skyen Oppsummering Devoteam Fornebu Consulting Devoteam
DetaljerInnebygd personvern og personvern som standard. 27. februar 2019
Innebygd personvern og personvern som standard 27. februar 2019 Personvern i vår digitaliserte verden Skal vi ivareta personvernprinsippene effektivt må de være inkorporert i programvaren Nøkkelpersonene
DetaljerIN2000 Software Engineering og prosjektarbeid Vår Sikker systemutvikling. Audun Jøsang Universitetet i Oslo
IN2000 Software Engineering og prosjektarbeid Vår 2019 Sikker systemutvikling Audun Jøsang Universitetet i Oslo Oversikt Modeller for programvareutvikling Sikker smidig programvareutvikling Trusselmodellering
DetaljerPersonvern nytt landskap i #Oppdatert Tromsø 14. september 2017 Senioradvokat Simen Evensen Breen
Personvern nytt landskap i 2018 #Oppdatert Tromsø 14. september 2017 Senioradvokat Simen Evensen Breen Personvernforordningen (General Data Protection Regulation/GDPR) Personvernforordningen på overordnet
DetaljerForelesning 4: Kommunikasjonssikkerhet
Universitetet i Oslo IN2120 Informasjonssikkerhet Høst 2018 Workshop-spørsmål med svarforslag Forelesning 4: Kommunikasjonssikkerhet Spørsmål 1: Sikkerhetsprotokoller a) Hva er en sikkerhetsprotokoll,
DetaljerInformasjonssikkerhet og internkontroll - hva er nytt med EUs personvernforordning
Informasjonssikkerhet og internkontroll - hva er nytt med EUs personvernforordning Senioradvokat (PhD) Thomas Olsen Normkonferansen 30. november 2017 www.svw.no GDPR viderefører personvernprinsippene Artikkel
DetaljerNy personopplysningslov. Leif Erik Nohr Juridisk rådgiver UNN, KVALUT juni 2018
Ny personopplysningslov Leif Erik Nohr Juridisk rådgiver UNN, KVALUT juni 2018 Ny lov og forordning GDPR General Data Protection Regulation Personvernforordningen I kraft i EU 25. mai 2018 Ny Personopplysningslov
DetaljerDatabehandleravtale mellom [Kunde] og Tibe T Reklamebyrå AS
Databehandleravtale mellom [Kunde] og Tibe T Reklamebyrå AS Innhold Avtalens hensikt...3 Formål...3 Behandlingsansvarliges plikter...4 Databehandlers plikter...4 Bruk av underleverandør...4 Avtale med
DetaljerTilsiktede uønskede handlinger
Tilsiktede uønskede handlinger Innledning til øvelse NIFS 2016 Hva skal jeg snakke om? Hendelsesforløp Sett fra virksomheten Sett fra trusselaktøren ISO/IEC 27035 Beredskapsplaner Beredskapsorganisasjon
DetaljerNy personopplysningslov. Per Bruvold Sikkerhetssjef/Personvernombud UNN, KVALUT oktober 2018
Ny personopplysningslov Per Bruvold Sikkerhetssjef/Personvernombud UNN, KVALUT oktober 2018 Det det handler om: Personvernforordningen, fortalen, pkt 1 «Vern av fysiske personer i forbindelse med behandling
DetaljerInformasjonssikkerhet i kommunene. Gaute Wangen, seniorrådgiver Seksjon for digital sikkerhet, NTNU
Informasjonssikkerhet i kommunene Gaute Wangen, seniorrådgiver Seksjon for digital sikkerhet, NTNU Innhold 1. Hvorfor informasjonssikkerhet? 2. Grunnleggende informasjonssikkerhet 1. Pilarene in informasjonssikkerhet
DetaljerPersonvern og studieadministrasjon. Sadia Zaka Juridisk seniorrådgiver Unit
Personvern og studieadministrasjon Sadia Zaka Juridisk seniorrådgiver Unit Hva er personvern? Retten til privatliv - Familie, hjem og korrespondanse Retten til å bestemme over egne personopplysninger Vern
DetaljerIN1030 Systemer, krav og konsekvenser. Innebygd informasjonssikkerhet. Audun Jøsang Institutt for Informatikk Universitetet i Oslo 21.
IN1030 Systemer, krav og konsekvenser Innebygd informasjonssikkerhet Audun Jøsang Institutt for Informatikk Universitetet i Oslo 21. februar 2019 Personvern i grunnloven 102: Enhver har rett til respekt
DetaljerCOMPLIANCE GENERAL DATA PROTECTION REGULATION. Johnny Berntsen ISO/IEC Master Knowit
COMPLIANCE GENERAL DATA PROTECTION REGULATION Johnny Berntsen ISO/IEC 27001 Master Knowit Hva er GRDP? GDPR står for General Data Protection Regulation og er erstattningen og oppdatering av EU s 20 år
DetaljerINF37000 Informasjonsteknologi og samfunn. Informasjonssikkerhet del 2 Innebygd personvern og sikkerhet
INF37000 Informasjonsteknologi og samfunn Informasjonssikkerhet del 2 Innebygd personvern og sikkerhet Audun Jøsang Institutt for Informatikk Universitetet i Oslo Vår 2018 Personvern i grunnloven 102:
DetaljerGDPR - PERSONVERN. Advokat Sunniva Berntsen
GDPR - PERSONVERN Advokat Sunniva Berntsen Hvorfor personvern? Viktig i et demokratisk samfunn EMK artikkel 8 Enhver har rett til respekt for sitt privatliv og familieliv, sitt hjem og sin korrespondanse.
DetaljerBeredskap og Kontinuitetsstyring
Universitetet i Oslo IN2120 Informasjonssikkerhet Høst 2018 Workshop-spørsmål med svarforslag Forelesning 8: Risikostyring, Beredskap og Kontinuitetsstyring Spørsmål 1: Risikofaktorer En mulig definisjon
DetaljerHvordan være lur. Ståle Askerød Johansen - UiO-CERT Espen Grøndahl IT-sikkerhetssjef
Hvordan være lur Ståle Askerød Johansen - UiO-CERT Espen Grøndahl IT-sikkerhetssjef To hoveddeler Jus og personvern IT-sikkerhet i det daglige Hva er personopplysninger? Personopplysninger er alle former
DetaljerImplementering av det nye personvernregelverket ved UiB
Implementering av det nye personvernregelverket ved UiB Læringsdag MatNat 31.01.2019 Spørsmål? Hvordan har UiB fulgt opp kravene i det nye personvernregelverket i datasystemene vi bruker Hva bør lokale
DetaljerINFORMASJONSSIKKERHET & GDPR. Kundeforum 18.oktober
INFORMASJONSSIKKERHET & GDPR Kundeforum 18.oktober Den nye personvernforordningen GDPR (General Data Protection Regulation) Hvem gjelder den for? Lovverket gjelder for alle EU- og EØS-land og alle bransjer
DetaljerNye personvernregler (GDPR)
Nye personvernregler (GDPR) 02.11.2017 Bakgrunn Ansvarlighet og internkontroll Informasjonssikkerhet og avviksmeldinger Vurdering av personvernkonsekvenser (DPIA) og forhåndsdrøftelse Innebygd personvern
DetaljerVeileder for bruk av tynne klienter
Veileder for bruk av tynne klienter Dette dokumentet er en veileder for bruk av terminaltjener/klient (tynne klienter) for å skille samtidige brukerrettigheter i åpne og sikre soner. April 2005 Postadresse:
DetaljerOM PERSONVERN TRONDHEIM. Mai 2018
OM PERSONVERN TRONDHEIM Mai 2018 HVORFOR ER VI HER? Ny lovgivning Alle snakker om GDPR Rundreise i alle avdelinger Overordnet innføring i regelverket Hva skjer i NHN Hva skjer med Normen OVERSIKT OVER
DetaljerPersonvernerklæring. 3) være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for («dataminimering»)
Personvernerklæring 1. Om personverndokumentet Dette dokumentet skal bidra til at vi etterlever lov om personopplysninger fra 1.juli 2018. Dokumentet skal også bidra til å påvise at vår behandling av personopplysninger
DetaljerNye personvernregler Hvordan blir organisasjonen i overensstemmelse med regelverket? Unicornis, 12. desember 2017
Nye personvernregler Hvordan blir organisasjonen i overensstemmelse med regelverket? Unicornis, 12. desember 2017 GDPR kommer! 4 Nye personvernregler - oversikt Bakgrunn / begrunnelse Tilpasning til ny
DetaljerPersonvern nye krav etter GDPR. Stian F. Kristensen seniorrådgiver, SBU
Personvern nye krav etter GDPR Stian F. Kristensen seniorrådgiver, SBU stian.kristensen@nb.no Hva skal vi gjennom? Kort intro til GDPR Hva er nytt? Personvernprinsipper GDPR i bibliotek Viktige begreper
DetaljerGDPR. General Data Protection Regulation Personvernforordningen, erstatning for personopplysningsloven - fra 2018
GDPR General Data Protection Regulation Personvernforordningen, erstatning for personopplysningsloven - fra 2018 en grunnleggende kjedelig men absolutt nødvendig innføring for lag og foreninger i Asker
DetaljerEUs personvernforordning - hva kreves? #Oppdatert oktober, Radisson Blu Hotel, Bergen Partner advokat (H) Halfdan Mellbye
EUs personvernforordning - hva kreves? #Oppdatert 2017 19. oktober, Radisson Blu Hotel, Bergen Partner advokat (H) Halfdan Mellbye Innhold 1. Personvernforordningen hva er det EU vil og hva er nytt? 2.
DetaljerTrusler, trender og tiltak 2009
Trusler, trender og tiltak 2009 Tore L Orderløkken Leder Norsk senter for informasjonssikring Hvordan kan vi være til nytte? Internett har endret oss Trusselaktører / fienden Trusselaktører Mål Evne
DetaljerGDPR og ny personvernlovgivning. Advokat (H) Torbjørn Saggau Holm
GDPR og ny personvernlovgivning Advokat (H) Torbjørn Saggau Holm Presentasjon Foreleser Kursets innhold Tidsplan ALTA KOMMUNE 09.11.2018 2 Personvern i endring EU Kommisjonen: «Det europeiske personopplysningsregelverket
DetaljerNy EU-forordning: informasjonssikkerhet. Tommy Tranvik
Ny EU-forordning: informasjonssikkerhet Tommy Tranvik Utgangspunkt Hovedkonklusjon informasjonssikkerhet tillegges større vekt enn tidligere, både kvalitativt og kvantitativt Agenda gjennomgå hovedreglene
DetaljerIN1030 Systemer, krav og konsekvenser. Innebygd informasjonssikkerhet. Audun Jøsang Institutt for Informatikk Universitetet i Oslo 28.
IN1030 Systemer, krav og konsekvenser Innebygd informasjonssikkerhet Audun Jøsang Institutt for Informatikk Universitetet i Oslo 28. februar 2018 Personvern i grunnloven 102: Enhver har rett til respekt
DetaljerGDPR Hva er det og hva er nytt? Presentasjon fra GDPR-prosjektet hos Direktoratet for e-helse
GDPR Hva er det og hva er nytt? Presentasjon fra GDPR-prosjektet hos Direktoratet for e-helse Bakgrunn General Data Protection Regulation (GDPR) ble formelt vedtatt av EU i april 2016 GDPR trer i kraft
DetaljerVEILEDER GDPR PERSONVERN. DEL 2 - personopplysninger utover ansatteforhold
VEILEDER GDPR PERSONVERN DEL 2 - personopplysninger utover ansatteforhold Nye krav fra 20. juli 2018 Forordningen ble norsk lov og den gjeldende loven ble erstattet. Det nye lovverket styrker forbrukernes
DetaljerGDPR I DEN NORSKE OPERA & BALLETT. Spekter, 13. desember 2017
GDPR I Spekter, 13. desember 2017 Overordnet - Hva er «The General Data Protection Regulation» (GDPR)? Definerer regler for all behandling av personopplysninger i virksomheter (regulering av personvern,
DetaljerGDPR Automatiser prosessen med Sesam
GDPR Automatiser prosessen med Sesam Å etterleve den nye personvernsforordningen (GDPR) krever en innsats på tre hovedområder: mennesker, prosess og teknologi. Prosess og mennesker fordrer analyser, dokumentasjon
DetaljerDatabehandleravtale for NLF-medlemmer
Databehandleravtale for NLF-medlemmer I henhold til Europa parlamentets og Rådets forordning (EU) 2016/679 av 27. april 2016 (heretter GDPR) om vern av fysiske personer i forbindelse med behandling av
DetaljerForskning på cybersikkerhet ved UiO. Audun Jøsang Universitetet i Oslo
Forskning på cybersikkerhet ved UiO Audun Jøsang Universitetet i Oslo God og dårlig oversettelse Engelsk Norsk Security Safety Certainty Sikkerhet Trygghet Visshet God Security Safety Certainty Sikkerhet
DetaljerGDPR - viktige prinsipper og rettigheter
GDPR - viktige prinsipper og rettigheter 11.09.2017 Agenda Bakgrunn for nye personvernregler Viktige prinsipper i forordningen Registrertes rettigheter Hva nå? våre forventninger og råd om veien videre
DetaljerCW Event, CIO Forum GDPR: Kan jeg bestemme mitt personvern i den smarte verden?
CW Event, CIO Forum GDPR: Kan jeg bestemme mitt personvern i den smarte verden? 26.04.2018 Hva er en smart verden? «Politikk er kunsten å hindre folk i å blande seg opp i det som angår dem» Paul Valéry
DetaljerNye personvernregler (GDPR)
Nye personvernregler (GDPR) 10.10.2017 Bakgrunn Ansvarlighet og internkontroll Informasjonssikkerhet og avviksmeldinger Vurdering av personvernkonsekvenser (DPIA) og forhåndsdrøftelse PVO, internasjonalt
DetaljerFORHOLDET MELLOM GDPR OG ARKIV. Domstoladministrasjonen 1
FORHOLDET MELLOM GDPR OG ARKIV Domstoladministrasjonen 1 Personvernprinsippene Lovlig, rettferdighet, åpenhet Formålsbegrensning Dataminimering GDPR art. 5 Riktighet Lagringsbegrensning Integritet og konfidensialitet
DetaljerFÅ KONTROLL PÅ DE USTRUKTURERTE DATAENE
FÅ KONTROLL PÅ DE USTRUKTURERTE DATAENE Start din reise mot å etterleve de nye personvernreglene INTRODUKSJON I mai 2018 innføres ny personvernlovgivning i Norge. Disse har vært mye omtalt, både som de
DetaljerADDSECURES BEHANDLING AV PERSONOPPLYSNINGER
Avtale innledning ADDSECURES BEHANDLING AV PERSONOPPLYSNINGER For den behandlingen av personopplysninger som AddSecure utfører på vegne av kundene sine, er AddSecure databehandler for kunden. Hvis du er
DetaljerMålrettede angrep. CIO forum 6.mars 2013. Tore Terjesen Head of MSS & SOCs - Nordics tore.terjesen@secode.com
Målrettede angrep CIO forum 6.mars 2013 Tore Terjesen Head of MSS & SOCs - Nordics tore.terjesen@secode.com Secode the pure play security company En ledende og relevant MSSP i Norden Malware research team
DetaljerAvtale om behandling av personopplysninger (databehandleravtale) i forbindelse med <navn på tjeneste> (heretter omtalt som «avtalen»)
Avtale om behandling av personopplysninger (databehandleravtale) i forbindelse med (heretter omtalt som «avtalen») 1 1. AVTALENS PARTER Avtalen gjelder mellom databehandlingsansvarlig
DetaljerPersonvernperspektivet og oppbevaring av intervjumateriale
Personvernperspektivet og oppbevaring av intervjumateriale Det 8. norske arkivmøte Maren Magnus Voll Personvernombud Personvern hva er det? Retten til privatliv en menneskerettighet Vi eier opplysninger
DetaljerKrav til informasjonssikkerhet i nytt personvernregelverk
Krav til informasjonssikkerhet i nytt personvernregelverk 8. desember 2017 Informasjonsikkerhet er et ledelsesansvar Sikkerhetsledelse Klare ansvarsforhold Oversikt over det totale risikobildet og beslutte
DetaljerInnstallasjon og oppsett av Wordpress
Del 1 - Installasjon og oppsett Innstallasjon og oppsett av Wordpress Wordpress har blitt en veldig populær publiseringsplattform for websider. Uten særlige tekniske ferdigheter kan man sette opp profesjonelle
Detaljersom blanker skjermen (clear screen). Du får en oversikt over alle kommandoene ved å skrive,
1. Last ned og installer XAMPP. 2. Sjekk at alt fungerer. 3. MySQL. Vi begynner med databaseserveren, MySQL. Gå til DOS klarmelding eller ledetekst (finnes under tilbehør på startmenyen om du ikke som
DetaljerNy EU-forordning: informasjonssikkerhet. Tommy Tranvik
Ny EU-forordning: informasjonssikkerhet Tommy Tranvik Utgangspunkt Europa-parlamentets og Rådets forordning (EU) 2016/679 av 27. april 2016 om beskyttelse av fysiske personer i forbindelse med behandling
DetaljerREKRUTTERING OG GDPR
REKRUTTERING OG GDPR Jan Sandtrø, DLA Piper 12. juni 2018 www.dlapiper.com 12. juni 2018 0 Hvor er vi nå? General Data Protection Regulation (GDPR) - "Personvernforordningen" Ny personopplysningslov -
DetaljerVENNLIGST LES DISSE VILKÅRENE OG BETINGELSENE NØYE FØR DU BRUKER DETTE NETTSTEDET.
VENNLIGST LES DISSE VILKÅRENE OG BETINGELSENE NØYE FØR DU BRUKER DETTE NETTSTEDET. VILKÅR FOR BRUK AV NETTSTED Disse vilkårene for bruk (sammen med dokumentene som er referert til her) forteller deg betingelsene
DetaljerPersonvern i praksis, GDPR personvernforordningen erfaringer
Personvern i praksis, GDPR personvernforordningen erfaringer Stab Fag, pasientsikkerhet og samhandling Avdeling for informasjonssikkerhet og personvern Bakgrunn EU personverndirektiv 1995. Pre-internet.
DetaljerVerdipapirfondenes forening. Ny personvernforordningen GDPR
www.pwc.com Verdipapirfondenes forening Ny personvernforordningen GDPR Christine Ask Ottesen Direktør Advokatfirmaet PwC GDPR - en jungel av nye begrep DPIA GDPR BCR Privacy by design Access Privacy Shield
DetaljerDIN DIGITALE PARTNER
DIN DIGITALE PARTNER GDPR General Data Protection Regulation eprivacy Regulation Forordning fra EU som trer i kraft 25. mai Påvirker alle virksomheter i Norge GDPR Hva gjør CoreTrek med GDPR? GDPR «treffer»
DetaljerDigital signert samtykke til forskning -erfaring med bruk av esignering. Dagfinn Bergsager
Digital signert samtykke til forskning -erfaring med bruk av esignering Dagfinn Bergsager 12.09.2019 3 12.09.2019 4 12.09.2019 5 12.09.2019 6 12.09.2019 7 12.09.2019 8 12.09.2019 9 TSD - Tjenester for
DetaljerPå tide med sikker samhandling? Helge Veum, avdelingsdirektør Sikkerhet og Sårbarhet 2013, 8. mai 2013
På tide med sikker samhandling? Helge Veum, avdelingsdirektør Sikkerhet og Sårbarhet 2013, 8. mai 2013 Kort om Datatilsynet Uavhengig forvaltningsorgan Ombud og tilsynsorgan kontrollere at lover og forskrifter
DetaljerNye personvernregler fra mai 2018 Personvern og medlemslister Knut B. Kaspersen - Datatilsynet 12. desember 2017
Nye personvernregler fra mai 2018 Personvern og medlemslister Knut B. Kaspersen - Datatilsynet 12. desember 2017 Personvern - Hva er det 3 Hva er personopplysninger? Side 4 5 Viktig nytt i forordningen
DetaljerRusmiddeltesting i arbeidslivet et personvernperspektiv
Rusmiddeltesting i arbeidslivet et personvernperspektiv 20.11.2018 Rusmiddeltesting regelverk Personopplysningsloven og personvernforordningen Generelt regelverk Regulerer all behandling av personopplysninger
DetaljerPersonvernforordningen
Tingenes Internett, hvilken info kan samles inn og hvordan skal disse dataene sikres? 30. November 16 Personvernforordningen Nye EU persronvernregler som tar sikte på å gi borgerne tilbake kontroll over
DetaljerVurdering av personvernkonsekvenser (DPIA)
Vurdering av personvernkonsekvenser (DPIA) 05.06.2019 Lovlighet, rettferdighet og åpenhet Formålsbegrensning Art. 5 Riktighet Dataminimering Integritet og konfidensialitet Ansvar Lagringsbegrensning Borgernes
DetaljerNye personvernregler
Nye personvernregler Nye personvernregler Personvernforordningen GDPR Regulation (EU) 2016/679 Hva er personvern? Beskyttelse av privatlivets fred Ivaretakelse av den personlige integritet Retten til
DetaljerPersonvernerklæring for Webstep AS
Personvernerklæring for Webstep AS Terminologi «Personopplysninger» Betyr enhver opplysning om en identifisert eller identifiserbar fysisk person. Personopplysninger er typisk navn, adresse, telefonnummer,
DetaljerHVORDAN SØRGE FOR ETTERLEVELSE AV SIKKERHETSKRAVENE I GDPR?
HVORDAN SØRGE FOR ETTERLEVELSE AV SIKKERHETSKRAVENE I GDPR? FROKOSTSEMINAR GDPR I SKYEN DAGFINN BUSET 9. NOVEMBER 2017 Alt innhold, inkludert, men ikke begrenset til metoder og analyser i denne presentasjonen
DetaljerAVTALE OM BEHANDLING AV HELSE- OG PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) I FORBINDELSE MED DRIFT AV HELSENETTET OG TILKNYTTEDE TJENESTER
AVTALE OM BEHANDLING AV HELSE- OG PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) I FORBINDELSE MED DRIFT AV HELSENETTET OG TILKNYTTEDE TJENESTER (HERETTER OMTALT SOM «AVTALEN») Databehandleravtale for drift
DetaljerSAK NR INFORMASJON OM TILPASNINGER TIL NY PERSONOPPLYSNINGSLOV MED FORORDNING (GDPR) STATUS I ARBEIDET I SYKEHUSET INNLANDET
Sykehuset Innlandet HF Styremøte 29.08.18 SAK NR 061 2018 INFORMASJON OM TILPASNINGER TIL NY PERSONOPPLYSNINGSLOV MED FORORDNING (GDPR) STATUS I ARBEIDET I SYKEHUSET INNLANDET Forslag til VEDTAK: Styret
DetaljerErfaringer med innebygd personvern i utvikling av mobilapper på UiO. Maren Magnus Jegersberg og Dagfinn Bergsager USIT/UiO
Erfaringer med innebygd personvern i utvikling av mobilapper på UiO Maren Magnus Jegersberg og Dagfinn Bergsager USIT/UiO UiO er Norges eldste institusjon for forsking og høyere utdanning 27 000 studenter
DetaljerSENTRALISERT OG SIKKER DRIFT AV WINDOWS KLIENTER OG TILKNYTTET MASKINVARE
SENTRALISERT OG SIKKER DRIFT AV WINDOWS KLIENTER OG TILKNYTTET MASKINVARE John Bothner & Olav Ligaarden Nasjonal sikkerhetsmyndighet Sikkerhetskonferansen 2017 Oslo Kongressenter 28 29.03.2017 SLIDE 1
DetaljerGDPR og ny lov om personvern
GDPR og ny lov om personvern Personvern? EU General Data Protection Regulation Gjelder fra mai 2018 Strengere krav ved behandling av persondata Alle behandlingsaktivitetene må dokumenteres Enkeltindividet
DetaljerINF329,HØST
TTHROUGH THROUGH THE FIREWALL KAPITTEL 16 BUILDING SECURE SOFTWARE INF329,HØST 2005 Isabel Maldonado st10900@student.uib.no 1 Innledning Kort om firewall Hva er det som foresaker at en brannmur blokkerer
DetaljerBehandlingsansvarlig Virksomheter som bestiller opplæring i forbindelse med Nasjonal sikkerhetsmåned
Standard Databehandleravtale for Nasjonal Sikkerhetsmåned 2018 Databehandleravtale Glasspaper Learning AS Side 1 av 5 1. Avtaleparter Behandlingsansvarlig Virksomheter som bestiller opplæring i forbindelse
DetaljerNøkkelen til morgendagens personvern innebygd personvern
Nøkkelen til morgendagens personvern innebygd personvern 24.10.2017 Personvern, prinsipper og rettigheter Personopplysninger hva er det? Peder Aas 2020 Lillevik F.nr 180262 34997 Fødselsnummer: 13087846271
DetaljerPersonvernforordning, offentleglov og arkivlov - hvordan forholde seg til disse regelverkene samlet. 6. juni 2019 KINS
Personvernforordning, offentleglov og arkivlov - hvordan forholde seg til disse regelverkene samlet 6. juni 2019 KINS Regelverkenes formål Offentleglova Legge til rette for åpenhet omkring hvordan offentlig
DetaljerKiNS seminar for fylkeskommunene Databehandleravtaler. Datatilsynet ved seniorrådgiver Ragnhild Castberg
KiNS seminar for fylkeskommunene 2019 Databehandleravtaler Datatilsynet ved seniorrådgiver Ragnhild Castberg Bakgrunn for nytt personvernregelverk Lik behandling innenfor hele EU/EØS Styrke de registrertes
DetaljerPersonvernerklæring for Clockwork i henhold til EU s General Data Protection Regulation (GDPR)
Revidert pr. 01.12.2018 Personvernerklæring for Clockwork i henhold til EU s General Data Protection Regulation (GDPR) Denne personvernerklæringen beskriver hvordan Clockwork selskapene innhenter og behandler
DetaljerGDPR. Status og veien videre. Inge V. Bakken. 12. April 2018
GDPR Status og veien videre Inge V. Bakken 12. April 2018 GDPR EUs personvernforordning (GDPR Generell Data Protection Regulations) Om arbeidet så langt ved SSHF. Noen hovedelementer i ny personvernlovgivning
DetaljerKINS-tech: Innebygd personvern bestemmelsen som implementerer hele forordningen.
KINS-tech: Innebygd personvern bestemmelsen som implementerer hele forordningen. Veronica Jarnskjold Buer Fagdirektør, digitalisering og innebygd personvern 23.09.2019 Noen ord om Personvernprinsipper
DetaljerPERSONVERN I C-ITS
PERSONVERN I C-ITS Forordning 2015/719/EU (GDPR) regulerer behandling av personopplysninger. Rettsakten ble implementert i norsk rett 20.juli 2018 gjennom personopplysningsloven. H Personopplysninger definisjon
DetaljerGDPR General Data Protection Regulativ
GDPR General Data Protection Regulativ Still gjerne spørsmål underveis... Ingen fullstendig gjennomgang av GDPR... -R-R-R-R!!! GDPR EU: Gjeldende lov fra og med 25. mai Norge (EØS): Skal innkorporeres
DetaljerSikkerhet og tilgangskontroll i RDBMS-er
Sikkerhet og tilgangskontroll i RDBMS-er IN2090 14. nov 2018 Mathias Stang 1 Agenda Modeller for tilgangskontroll Brukere og roller i RDBMS-er GRANT og REVOKE SQL Injections 2 Hovedmål med databasesikkerhet
DetaljerNINAs personverndokument
NINAs personverndokument Opprettet: Juni 2018 Sist oppdatert: 1. OM PERSONVERNDOKUMENTET... 1 2. ANSVAR FOR BEHANDLING AV PERSONOPPLYSNINGER HOS OSS... 1 3. GRUNNKRAV FOR BEHANDLING AV PERSONOPPLYSNINGER...
DetaljerEtterlevelse av personvernforordningen (GDPR) sett opp mot ISO hva er nytt/viktig? Anders Bergman Greenfinger AB
Etterlevelse av personvernforordningen (GDPR) sett opp mot ISO 15189 hva er nytt/viktig? Anders Bergman Greenfinger AB Lov om behandling av personopplysninger (personopplysningsloven) LOV-2018-06-15-38
DetaljerDatabehandleravtale. Charlotte Lindberg Difi
Databehandleravtale Charlotte Lindberg Difi Hvorfor er denne avtalen så viktig? En databehandleravtale skal sikre at personopplysninger blir behandlet i samsvar med regelverket og setter en klar ramme
DetaljerBruk av produksjonsdata til testing
Bruk av produksjonsdata til testing 14. september 2018 Asbjørn Tingulstad Hem & Trine Smedbold 14.09.2018 1 Juridisk utgangspunkt Inneholder dataen personopplysninger, gjelder personopplysningsloven og
DetaljerHvordan stå bedre rustet mot et målrettet angrep Watchcom Security Group AS
Hvordan stå bedre rustet mot et målrettet angrep MORTEN GJENDEMSJØ KONSULENTSJEF 23.10.2015 Watchcom Security Group AS 1 Agenda Bakgrunn og hendelseshåndtering Hvordan vi øver for å forbedre sikkerheten
DetaljerNye personvernregler fra 2018
Nye personvernregler fra 2018 Agenda Personopplysninger Bakgrunn for nye personvernregler Ansvarlighet og internkontroll Informasjonssikkerhet og avviksmeldinger Innebygd personvern og DPIA Personvernombud
DetaljerKontraktsmessige følger av at personopplysninger skal inngå i prosjektet ny personvernforordning. 6. Mars 2018 NARMA Av Åshild M.
Kontraktsmessige følger av at personopplysninger skal inngå i prosjektet ny personvernforordning 6. Mars 2018 NARMA Av Åshild M. Revhaug, NTNU GDPR ny personvernforordning Personvernforordningen ( 2016/679)
DetaljerSikkerhet og internett
Sikkerhet og internett Kan vi være vi trygge? Kan vi beskytte oss? Bør vi slå av nettet Stoler du på denne mannen? 25.01.2008 Om sikkerhet på Internettet ved Hans Nordhaug 2 1 Nei? Og likevel er du på
DetaljerNye personvernregler fra mai 2018
Nye personvernregler fra mai 2018 27.04.2017 Datatilsynet Opprettet 1980, lokalisert i Oslo Ca 50 medarbeidere Uavhengig forvaltningsorgan under KMD To roller tilsynsorgan og ombud Regelverk: Personopplysningsloven
DetaljerFølger sikkerhet med i digitaliseringen?
Følger sikkerhet med i digitaliseringen? RUNE MYHRE JONASSEN 1 EVRY PUBLIC Rune Myhre Jonassen EVRY Business Consulting Konsulent og rådgiver Risk Management Information Security Bakgrunn Ingeniør Over
DetaljerNye personvernregler fra mai 2018
Nye personvernregler fra mai 2018 25. oktober 2017 Personvern - Hva er det Side 2 Side 3 30.10.2017 Side 4 30.10.2017 5 6 7 Viktig nytt i forordningen Materielle krav i regelverket: Innebygd personvern
DetaljerKvalitetssikring av KS digitaliseringsprosjekter Sjekkliste informasjonssikkerhet og personvern
Kvalitetssikring av KS digitaliseringsprosjekter Sjekkliste informasjonssikkerhet og personvern Versjon 1.0-25.02.2018 Det er krav om innebygget personvern i tråd med personopplysningsloven. Innebygd personvern
DetaljerSikkerhetshendelse hos Kartverket i Oppfølging på kort og lang sikt. Pål Asmund Røste Seksjonsleder IT Applikasjonsdrift- 10/04/2019
Sikkerhetshendelse hos Kartverket i 2017 Oppfølging på kort og lang sikt Pål Asmund Røste Seksjonsleder IT Applikasjonsdrift- 10/04/2019 Status IT infrastruktur 2017 10000 9000 8000 7000 6000 Lagringskapasitet
DetaljerForvaltningsrevisjon IKT sikkerhet og drift 2017
Forvaltningsrevisjon IKT sikkerhet og drift 2017 Fremdrift i arbeidet med anbefalinger og tiltak April 2018 Sak 17/01908 og melding om vedtak i kommunestyret 12/3-2018, arkivsak-dok 17/010908-8 INNHOLD
DetaljerDatabehandleravtale. mellom. [NAVN], org.nr. [ ], [Adresse] heretter «Databehandler» Xledger AS org.nr , Østensjøveien OSLO
Databehandleravtale mellom [NAVN], org.nr. [ ], [Adresse] heretter «Databehandler» og Xledger AS org.nr. 987290986, Østensjøveien 32 0667 OSLO heretter «Underdatabehandler» 1/5 1 Avtalens formål Denne
DetaljerNye personvernregler
Nye personvernregler Agenda Hva er personvern og personopplysninger Bakgrunn for nye personvernregler De viktigste endringene fra idag til 2018 Hva nå? - våre forventninger og råd om veien videre Innledning
Detaljer