Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:

Transkript

1 Lagring av personopplysninger Øyvind Eilertsen UNINETT CERT SUHS-konferansen 2011 Dagens tekst Informasjonssikkerhet Behandling av personopplysninger: Organisatoriske krav Tekniske krav Informasjonssikkerhetsarbeidet i UNINETT 2 1

2 Dagens tekst Informasjonssikkerhet Behandling av personopplysninger: Organisatoriske krav Tekniske krav Informasjonssikkerhetsarbeidet i UNINETT 3 Informasjonssikkerhet: Grunnleggende begreper Konfidensialitet Informasjonen er ikke tilgjengelig for uautoriserte Integritet Informasjonen er korrekt og fullstendig Tilgjengelighet Informasjonen er tilgjengelig og nyttbar for de som er autorisert 4 2

3 Risiko Risiko: overordnet Hendelser og forhold kan inntreffe og påvirke måloppnåelse på en negativ måte Sannsynlighet og alvorlighetsgrad 5 Risiko i forhold til informasjonssystemer Alle informasjonssystemer har svakheter som kan bli eksponert for trusler Definisjoner, personopplysningsloven 2 Personopplysninger (PO) Opplysninger og vurderinger som kan knyttes til en person 6 Behandling av PO Enhver bruk av PO, f.eks. innsamling, registrering, sammenstilling, lagring, utlevering eller en kombinasjon 3

4 Definisjoner, personopplysningsloven 2 Sensitive personopplysninger a) rasemessig eller etnisk bakgrunn, eller politisk, filosofisk eller religiøs oppfatning b) at en person har vært mistenkt, siktet, tiltalt eller dømt for en straffbar handling c) helseforhold d) seksuelle forhold e) medlemskap i fagforeninger 7 Definisjoner, personopplysningsloven 2 Behandlingsansvarlig Den som bestemmer formålet med behandlingen av personopplysninger og hvilke hjelpemidler som skal brukes. 8 Databehandler Den som behandler personopplysninger på vegne av den behandlingsansvarlige. 4

5 Dagens tekst Informasjonssikkerhet Behandling av personopplysninger: Organisatoriske krav Tekniske krav Informasjonssikkerhetsarbeidet i UNINETT 9 Sikring av informasjonssystem Personopplysningsloven 13 Personopplysningsforskriften kapittel 2 10 Anbefalinger: Veiledning i informasjonssikkerhet for kommuner og fylker Elektronisk behandling av PO Tilkobling til eksterne datanett Ekstern datakommunikasjon, inkludert av sensitive PO 5

6 Sikring av informasjonssystem Personopplysningsloven 13 Den behandlingsansvarlige og databehandleren skal gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet ved behandling av personopplysninger. 11 For å oppnå tilfredsstillende informasjons-sikkerhet skal den behandlingsansvarlige og databehandleren dokumentere informasjons-systemet og sikkerhetstiltakene. Sikring av informasjonssystem Sikkerhetsledelse Den daglige ledelsen er ansvarlig Sikkerhetsmål Formålet med behandling og overordnede føringer for IT Sikkerhetsstrategi Valg og prioriteringer i sikkerhetsarbeidet 12 6

7 Sikring av informasjonssystem Oversikt over personopplysninger Grunnlag for sikkerhetsmål og strategi Underlag for risikovurderinger Innhold Hvilke PO, formål, hjemmel Klassifikasjon Sikkerhetstiltak Lagring/overføring 13 Sikring av informasjonssystem Rett til innsyn Alle kan kreve å få vite bl.a. Hvem er behandlingsansvarlig Hvem har de daglige ansvaret Formålet med behandling av PO Hvilke opplysninger som behandles Hvor opplysningene er hentet fra Den som er registrert kan kreve innsyn i Hvilke PO som er registrert Sikkerhetstiltakene (så langt innsyn ikke svekker sikkerheten) 14 7

8 Sikring av informasjonssystem Risikovurdering Fastsette kriterier for akseptabel risiko NB! Ledelsens oppgave! Sannsynligheten for og konsekvenser av sikkerhetsbrudd Gjennomføres ved endringer som har betydning for informasjonssikkerheten 15 Sikring av informasjonssystem Sikkerhetsrevisjon Formål: sikre etterlevelse Gjennomføres jevnlig (årlig) Grunnlag for endringer i mål, strategi, organisering Vurdering av ansvar, organisering, sikkerhetstiltak og bruk av tredjepart Avvikshåndtering 16 8

9 Sikring av informasjonssystem Ledelsens gjennomgang Årlig gjennomgang av Sikkerhetsmål Sikkerhetsstrategi Risikoer Organisering av informasjonssystemet 17 Outsourcing: Krav til leverandører Forholdet til eksterne databehandlere skal reguleres i en databehandler-avtale som bl.a. regulerer Ansvar Taushetsplikt Sikkerhetsløsninger, herunder rett til gjennomgang og revisjon Avvikshåndtering 18 9

10 Personellsikring Krav til kompetanse Taushetsplikt Egen taushetserklæring! Autorisasjon 19 Fysisk sikring Adgangskontroll Fjerntilgang (hjemmearbeidsplass) 20 10

11 Dagens tekst Informasjonssikkerhet Behandling av personopplysninger: Organisatoriske krav Tekniske krav Informasjonssikkerhetsarbeidet i UNINETT 21 Tekniske sikkerhetskrav: arkitektur Soneinndeling Sikker sone: sensitive PO ephorte Intern sone: ikke-sensitive PO Åpen sone 22 UFS 122 «Anbefalt IKT-sikkerhetsarkitektur i UHsektoren» Datatilsynet: «Veileder i sikkerhetsarktitektur» 11

12 Soneinndeling: eksempel 23 Tekniske sikkerhetskrav: sikkerhetsbarrierer Sikkerhetsbarriere Utstyr og program for tilgangskontroll 24 Det skal være implementert en sikkerhetsbarriere mellom sikker sone og intern sone to sikkerhetsbarrierer mellom sikker sone og eksternt nettverk 12

13 25 Tekniske sikkerhetskrav: kommunikasjon Ekstern overføring av sensitive PO skal krypteres Krypteringsnøkler skal sikres minst like godt som informasjon 26 13

14 Tekniske sikkerhetskrav: fjerntilgang (hjemmekontor) Ikke lokal kopi av PO Kontroll med tilgang, konfigurasjon og bruk Kryptert kommunikasjon To uavhengige sikkerhetsbarrierer: VPN + terminalserver (anbefalt) Risikovurdering Fysisk sikring Hindre innsyn 27 Norm for informasjonssikkerhet: Faktaark 29 Dagens tekst Informasjonssikkerhet Behandling av personopplysninger: Organisatoriske krav Tekniske krav Informasjonssikkerhetsarbeidet i UNINETT 28 14

15 Bakgrunn Tradisjonelt: Sikkerhet = teknisk sikkerhet 80 % holdninger, 20 % teknologi 29 GigaCampus Mer fokus på overordnet sikkerhetsarbeid Fra IT-sikkerhet til informasjonssikkerhet Bakgrunn UNINETT-konferansen 2007: «GC setter sikkerhetspolicy på dagsordenen» «Grunnpakke» IT-revisjon Sikkerhetspolicy 30 Risiko- og sårbarhetsvurderinger (ROS-vurderinger), Kontinuitets- og beredskapsplaner (KBP), mv. 15

16 Gjennomføring: IT-revisjon 1-dags «on-site» befaring, intervjuer, mv. Sjekklister basert på internasjonale standarder og «beste praksis» Rapport med anbefalinger Avstemt mot Datatilsynet og Riksrevisjonen 31 Gjennomføring: informasjonssikkerhetspolicy «Standard» policy Workshop: Tilpasses lokale forhold Innhold: Sikkerhetsmål og strategi Roller og ansvar Overordnede retningslinjer 32 16

17 IT-revisjon: Resultater og erfaringer IT-revisjoner: 30 Resten: Internrevisjon Andre eksterne Ikke svart Policyworkshops: i desember 33 Resultater og erfaringer: funn Mangler sikkerhetsmål og -strategi Mangler IT-strategi Mangler ROS-vurderinger Mangler kontinuitets- og beredskapsplaner (KBP) for IT Generelt lite dokumentasjon Vi etterspør ikke mye! Lovkrav + beste praksis ift. bl.a. avhengighet 34 17

18 Resultater og erfaringer: lovkrav Lov/forskrift POF 2-3 Skkerhetsmål og -strategi Hvor mange har oppfylt kravet? Ingen POF 2-12 KBP for IT Ingen POL 13 POF 2-4 POL 16-22, POF 3 Databehandleravtale med tredjeparter ROS-vurdering mht. info-sikkerhet Oversikt over personopplysninger Ingen Noen få Noen få 35 POF 2-6 System for avvikshåndtering Halvparten POF 2-5 Gjennomført revisjon Alle! Resultater og erfaringer Den menneskelige faktor (PEBKAC) + lite brukervennlige systemer! Deling av passord Lokale kopier av sensitiv informasjon Ekstern tilgang til sensitiv informasjon 36 Dårlig forankring i ledelsen 18

19 En risikostyrt tilnærming til sikkerhet!