IN1030 Systemer, krav og konsekvenser. Innebygd informasjonssikkerhet. Audun Jøsang Institutt for Informatikk Universitetet i Oslo 28.

Like dokumenter
INF37000 Informasjonsteknologi og samfunn. Informasjonssikkerhet del 2 Innebygd personvern og sikkerhet

IN1030 Systemer, krav og konsekvenser. Innebygd informasjonssikkerhet. Audun Jøsang Institutt for Informatikk Universitetet i Oslo 21.

Innebygd personvern og personvern som standard. 27. februar 2019

Innebygd personvern personvernforordningen artikkel 25

Programvareutvikling med innebygd personvern nye personvernregler

KINS-tech: Innebygd personvern bestemmelsen som implementerer hele forordningen.

Nøkkelen til morgendagens personvern innebygd personvern

Nye personvernregler i GDPR i helsesektoren

Programvareutvikling med innebygd personvern og personvern som standardinnstilling. Eirik Saltkjel Veronica Jarnskjold Buer

Ansvarlighetsprinsippet og virksomhetens plikter

Minimere og begrense. Gjem og skjul. Separere.

Nye personvernregler og innebygd personvern

Krav til informasjonssikkerhet i nytt personvernregelverk

Nye personvernregler fra mai 2018 Personvern og medlemslister Knut B. Kaspersen - Datatilsynet 12. desember 2017

Nye personvernregler

Nye personvernregler

Brudd på personopplysningssikkerheten

Nye personvernregler (GDPR)

GDPR I DEN NORSKE OPERA & BALLETT. Spekter, 13. desember 2017

Nye personvernregler fra 2018

Regelverk for IoT. GDPR eprivacy

Personvern - sjekkliste for databehandleravtale

GDPR - PERSONVERN. Advokat Sunniva Berntsen

GDPR Ny personvernforordning

Har du kontroll på verdiene dine

Informasjonssikkerhet i forordningen

EUs nye forordning for personvern

Nytt regelverk (GDPR) og IoT

Hva gjør så KiNS og KS med GDPR?

ADDSECURES BEHANDLING AV PERSONOPPLYSNINGER

Personvern - vurdering av personvernkonsekvenser - DPIA

HVORDAN SØRGE FOR ETTERLEVELSE AV SIKKERHETSKRAVENE I GDPR?

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik

OM PERSONVERN TRONDHEIM. Mai 2018

GDPR TIL GLEDE ELLER BESVÆR? Nye regler for behandling av personopplysninger

Nye personvernregler fra mai 2018

November Internkontroll og styringssystem i praksis - Aleksander Hausmann

GDPR - Ny personopplysningslov - betydning for arkivsektoren? 18.april Seniorrådgiver Linda Svendsrud

GDPR ny personvernforordning. Styring via godt arbeid med informasjonssikkerhet

Personvern - Hva er det

Informasjonssikkerhet og internkontroll - hva er nytt med EUs personvernforordning

ISO Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001

Perspektiver og planer ved Universitetet i Oslo

EUs personvernforordning - hva kreves? #Oppdatert oktober, Radisson Blu Hotel, Bergen Partner advokat (H) Halfdan Mellbye

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik

Policy for personvern

Behandling av personopplysninger. DIGITAL ARENA BARNEHAGE 2018 Tone Tenold

Nytt regelverk, nye muligheter og masse avviksmeldinger!

SAK NR INFORMASJON OM TILPASNINGER TIL NY PERSONOPPLYSNINGSLOV MED FORORDNING (GDPR) STATUS I ARBEIDET I SYKEHUSET INNLANDET

Nye personvernregler (GDPR)

GDPR Hva er det og hva er nytt? Presentasjon fra GDPR-prosjektet hos Direktoratet for e-helse

Personvern nytt landskap i #Oppdatert Tromsø 14. september 2017 Senioradvokat Simen Evensen Breen

Databehandleravtale mellom [Kunde] og Tibe T Reklamebyrå AS

Hva betyr det for din virksomhet?

Vurdering av personvernkonsekvenser, databehandleravtaler og avvik

Nye personvernregler fra mai 2018

PERSONVERN INNFØRING I DAGENS REGELVERK OG NY FORORDNING

Personvernerklæring. 3) være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for («dataminimering»)

Personvernveileder. for medlemsbedrifter i Norges Bilbransjeforbund

Personopplysninger og opplæring i kriminalomsorgen

INFORMASJONSSIKKERHET & GDPR. Kundeforum 18.oktober

EUs nye forordning for personvern

Nye personvernregler

Policy for informasjonssikkerhet og personvern i Sbanken ASA

Personvern i digitalisering av forvaltningen

Personvernkrav ved behandling av kundeopplysninger utvalgte emner. Bård Soløy Ødegaard Juridisk rådgiver Datatilsynet

CW Event, CIO Forum GDPR: Kan jeg bestemme mitt personvern i den smarte verden?

Vurdering av personvernkonsekvenser (DPIA)

De nasjonale tilsynsmyndighetene (Datatilsynet i Norge)

Fagseminar og nettverkssamling personvern. Quality Hotel Leangkollen mai 2019

Ny personopplysningslov og personvernforordning mai 2018 Personalledersamling 7. og 8. november

Uansett hvor man står, ikke bli stående! Nye personvernregler fra mai 2018

Prosjektveiviser for sikkerhet. Sikkerhet og Sårbarhet 2016/Jens Lien

Store data store spørsmål. Bruk av statens store datamengder

Personvernforordningen

Mandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011

Personvernombudsrollen. Henrik Gullaker, personvernombud.

Sikkerhetstesting gjennom utviklingsløpet

Personvern i skyen Medlemsmøte i Cloud Security Alliance

Uansett hvor man står, ikke bli stående! Nye personvernregler fra mai 2018

BEHANDLING AV PERSONOPPLYSNINGER. Tone Tenold 2017

AVTALE OM BEHANDLING AV HELSE- OG PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) I FORBINDELSE MED DRIFT AV HELSENETTET OG TILKNYTTEDE TJENESTER

Forvaltningsrevisjon IKT sikkerhet og drift 2017

Nye personvernregler fra mai Hva betyr det for din virksomhet? Advokat Sverre McSeveny-Åril og advokat Maja Glad Pedersen

Nye personvernregler

Personopplysningsvern med ProFundo som databehandler

Nye personvernregler fra mai 2018, hva nå?

Nye personvernregler fra mai 2018

Risikovurdering. Utgitt med støtte av: Støttedokument Faktaark nr 7 Versjon: 3.0 Dato:

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget /11

Informasjonssikkerhet i kommunene. Gaute Wangen, seniorrådgiver Seksjon for digital sikkerhet, NTNU

GDPR - viktige prinsipper og rettigheter

Kommunens Internkontroll

Underbygger lovverket kravene til en digital offentlighet

Risikobasert etterlevelse av pvf

VEILEDER GDPR PERSONVERN. DEL 2 - personopplysninger utover ansatteforhold

Personvern og studieadministrasjon. Sadia Zaka Juridisk seniorrådgiver Unit

Transkript:

IN1030 Systemer, krav og konsekvenser Innebygd informasjonssikkerhet Audun Jøsang Institutt for Informatikk Universitetet i Oslo 28. februar 2018

Personvern i grunnloven 102: Enhver har rett til respekt for sitt privatliv og familieliv, sitt hjem og sin kommunikasjon. Husransakelse må ikke finne sted, unntatt i kriminelle tilfeller. Statens myndigheter skal sikre et vern om den personlige integritet. IN1030 2018 Innebygd informasjonssikkerhet 2

Personopplysningsvern Beskytte spesifikke aspekter ved informasjon som kan relateres til fysiske personer (personinformasjon) Forhindre urettmessig innsamling og oppbevaring av personinformasjon Forhindre urettmessig bruk av innsamlet personinformasjon Sørge for at personinformasjon er korrekt Sørge for åpenhet og innsyn (spør facebook om opplysninger) Definere klar ansvarsfordeling Krav til adekvat informasjonssikkerhet rundt personinformasjon 10101 01101101 10110 IN1030 2018 Innebygd informasjonssikkerhet 3

IN1030 2018 Innebygd informasjonssikkerhet 4

Nedtelling til GDPR (PVF) IN1030 2018 Innebygd informasjonssikkerhet 5

Personvernforordningen (PVF) EUs lovtekst oversettes uendret Trer ikraft som nasjonal lov i hele EU/EFTA 25. mai 2018 99 paragrafer Paragraf 25 og 32 er særlig sikkerhetsrelevante Bøter opp til 20 000 000 eller 4% av omsetning Foretak får nye plikter og innbyggere får nye rettigheter Betydelig behandling av persopl. krever eget personvernombud Plikt til *god* informasjon om behandling av personopplysn. Innebygd personvern ( 25) Sikkerhet ved behandlingen (innebygd info-sikkehet) ( 32) IN1030 2018 Innebygd informasjonssikkerhet 6

PVF 25: Innebygd personvern og personvern som standardinnsstilling 1. Det skal gjennomføres egnede tekniske og organisatoriske tiltak for å oppnå et effektivt vern av personopplysninger for å oppfylle kravene i denne forordning og verne de registrertes rettigheter. 2. Det skal gjennomføres egnede tekniske og organisatoriske tiltak for å sikre at det som standard bare behandles personopplysninger som er nødvendige for spesifikke formål. Dette gjelder mengden personopplysninger som samles inn, omfanget av behandlingen av opplysningene, hvor lenge de lagres og deres tilgjengelighet. IN1030 2018 Innebygd informasjonssikkerhet 7

PVF 32: Sikkerhet ved behandlingen (Innebygd informasjonssikkerhet) 1. Det skal gjennomføre egnede tekniske og organisatoriske tiltak for å oppnå et sikkerhetsnivå som er egnet i forhold til risikoen, herunder blant annet: a) pseudonymisering og kryptering av personopplysninger b) evne til å sikre vedvarende fortrolighet, integritet, tilgjengelighet og robusthet i behandlingssystemene og -tjenestene, c) evne til å gjenopprette tilgjengeligheten og tilgangen til personopplysninger i rett tid ved tekniske hendelser d) regelmessig testing, analysering og vurdering av hvor effektive behandlingens tekniske og organisatoriske sikkerhetstiltak er 2. Ved vurderingen av egnet sikkerhetsnivå skal det særlig tas hensyn til risikoene forbundet med behandlingen IN1030 2018 Innebygd informasjonssikkerhet 8

Innebygd informasjonssikkerhet Krav Forvaltning Design Opplæring Produksjonssetting Koding Test IN1030 2018 Innebygd informasjonssikkerhet 9

Opplæring Oplæring i personvern og sikkerhet Mål: Basiskunnskap og forståelse for personvern og informasjonssikkerhet, og risiko tilknyttet dette Hva skal det gis opplæring i: Når og hvorfor personvern og informasjonssikkerhet er viktig i de ansattes daglige arbeidsoppgaver. Suksesskriterier er at virksomheten har etablert retningslinjer for personvern og informasjonssikkerhet, og at intern opplæring i disse retningslinjene er adressert IN1030 2018 Innebygd informasjonssikkerhet 10

Obligatorisk Kunnskapsområder Opplæring Intern Interne krav, policyer, mål, rutiner og metodikk Lover og regelverk Marked, kunder brukere Industristandarder og bransjenormer Valgfritt Ekstern IN1030 2018 Innebygd informasjonssikkerhet 11

Krav Krav til system og behandling Definer type personopplysninger som skal behandles Definer hvilke slutninger som kan trekkes om indidivider Hvem er brukere og eiere av personinformasjonen Definer behandlingsansvarlig og databehandler Hvem er 3.parts mottager av personinformasjon Definer hvilke opplysninger det er nødvendig å samle inn, omfang lagringstid og tilgjengelighet. Åpenhet, vis hvilken informasjon som lagres, så den registrerte kan ivareta sine rettigheter. Velg adekvate tiltak for informasjonssikkerhet IN1030 2018 Innebygd informasjonssikkerhet 12

Personvernrisiko Krav Sannsynlighet og konsekvens for: Personvernhendelser, f.eks.: Tyveri og publisering av personinfo Urettmessig diskriminering basert på personinfo og profilering Re-identifisering basert på data som skal være anonyme eller pseudonym Uønsket innsamling Sikkerhetshendelser, f.eks.: Brudd på KIT (konfidensialitet, integritet, tilgjengelighet) for personinfo. Toleransenivå for hendelser: Nulltoleranse Relativt toleransenivå = risiko som kan aksepteres Nivå på kritikalitet Kritisk Høy Middels Konsekvens av skade vedrørende personopplysninger Alvorlig langvarig personlig belastning, behov for ny identitet, Langvarig betydelig personlig belastning Forbigående eller moderat personlig belastning IN1030 2018 Innebygd informasjonssikkerhet 13 Lav Ingen særlig personlig belastning Eksempel på konsekvenskriterier (retningslinjer utarbeides i 2018)

Krav om konsultasjon Vurderes i tilfelle (svært) sensitive data eller antatt høy risiko Utifra de registrertes synsvinkel Hey risiko oppstår f.eks.: når behandlingen av personinformasjon kan medføre (betydelige) negative konsekvenser for den registrerte når det behandles personinformasjon av (svært) sensitive karakter Når det foregår (massiv) innsamling og behandling av personinformasjon fra offentlige områder Alltid konsultasjon ved svært sensitiv personinfo eller massiv innsamling Prosessen vil antageligvis medføre høy risiko Ja Vurder personvernkonsekvens og anbefal tiltak Er residuell risiko akseptabel Nei Krav Konsultasjon med Datatilsynet Nei Ja IN1030 2018 Innebygd informasjonssikkerhet 14

Design av innebygd personvern Design Dataorienterte designkrav: Minimer og begrens - «Select before you collect» «Gjem og skjul» Separer og aggreger Personvern som standardinstilling Prosessorienterte designkrav Informer Kontroller Håndheve Demonstrer IN1030 2018 Innebygd informasjonssikkerhet 15

Design av innebygd sikkerhet Design Analyser angrepsflaten på det designede systemet for å vite hvordan man kan redusere muligheter til å utnytte svake punkter og sårbarheter. Ved trusselmodellering analyserer man komponenter, tilgangspunkter, dataflyt og prosessflyt i programvaren (forklares i senere forelesning). hvordan noen kan misbruke programvaren ved ulike scenarioer. hvordan designet kan forbedres for å unngå trusler som er identifisert. Resultat er et mer herdet og robust sluttprodukt. IN1030 2018 Innebygd informasjonssikkerhet 16

Sikker koding Koding Beskriv bruksområde for koden Vurder trusselmodellen fra Design-fasen Beskriv og implementer funksjonell sikkerhet Beskriv og implementer ikke-funksjonell sikkerhet Vurder sårbarheter i støttekomponenter Vurder sårbarheter i verktøy IN1030 2018 Innebygd informasjonssikkerhet 17

Ugyldiggjør usikre funksjoner og moduler Koding Analyser funksjoner, API, tredjepartsbibliotek og moduler Forby de som er utrygge, oppdater de som er utdaterte eller som inneholder kjente sårbarheter Deaktiver unødig sporing, logging og innsamling av personopplysninger IN1030 2018 Innebygd informasjonssikkerhet 18

Statisk kodeanalyse og kodegjennomgang Koding Anvend automatiske verktøy for kodeanalyse og deteksjon av usikre metoder Foreta manuell gjennomgang for å fange opp svakheter som kan medføre feil bruk eller lekkasje av personopplysninger Regelmessig gjennomgang, d.v.s for hver sprint IN1030 2018 Innebygd informasjonssikkerhet 19

Test om kravene er implementert Test Er personvern- og sikkerhetskrav ivaretatt gjennom design og koding? Er kravene riktig implementert? Er alle komponenter med? IN1030 2018 Innebygd informasjonssikkerhet 20

Sikkerhetstesting Test Dynamisk testing Test funksjonalitet i kjørende kode (verktøy eller manuelt) Undersøk ulike brukerrettigheter, også ved simulerte sikkerhetsfeil Fuzz testing Fremprovoser feil i programvaren Bruk verktøy som sender tilfeldig og misformet data inn i programvaren Test alle grensesnitt Penetrasjonstesting / sårbarhetsanalyse Kjøres før produksjonssetting og jevnlig Lovlig og autorisert forsøk på å finne, utnytte og avdekke sårbarheter IN1030 2018 Innebygd informasjonssikkerhet 21

Gjennomgang av trusselmodell og angrepsflate Test Verifisere at angrepsvektorer som ble avdekket i designfasen er håndtert Verifisere at nye angrepsvektorer introdusert under koding er identifisert og håndtert Ny gjennomgang av Trusselmodell Ny vurdering av personvernkonsekvenser IN1030 2018 Innebygd informasjonssikkerhet 22

Produksjonssetting Produksjonssetting Utarbeid plan for hendelseshåndtering for effektivt håndtere oppgaver og hendelser som kan oppstå etter produksjonssetting. Hva en hendelse er og hvilken livssyklus den har (omfatter å detektere, analysere, rapportere, håndtere og normalisere) Ressurser, kontaktpunkt/responssenter, kontaktinformasjon, responstid, kanaler, logger, rutiner, patching, evaluering mm. Plan for varsling av ledelse, den registrerte, Datatilsynet, og presse IN1030 2018 Innebygd informasjonssikkerhet 23

Produksjonssetting Produksjonssetting Full sikkerhetsgjennomgang av programvaren skal baseres på tidligere gjennomganger i utviklingsløpet og inngå i de kontrollpunkter (control gates) som må gjøres før produksjonssetting. Godkjenning av produksjonssetting Sikkerhetsrådgiver og personvernombud skal verifisere at alle definerte sikkerhets- og personvernkrav er implementert og fungerer etter hensikten. Virksomheten må definere hvem som har godkjenningsmyndighet. Arkivering bør gjøres av all relevant data og dokumentasjon fra hele utviklingsløpet. IN1030 2018 Innebygd informasjonssikkerhet 24

Forvaltning Forvaltning Håndtere hendelser og avvik etter planen Når akutte hendelser opptrer, er det viktig å bevare roen og å bruke tid på å analysere hendelsen. Responsteamet skal kunne håndtere situasjonen, og vite hvem som er i stand til å bygge, teste og installere oppdateringer. Responsteamet må vite hvilke prioriteringer som gjelder, samt vite nøyaktig hva de kan og skal gjøre, og hvem de skal kontakte når det virkelig er krise. Øv!!! IN1030 2018 Innebygd informasjonssikkerhet 25

Forvaltning Forvaltning Forvaltning, drift og vedlikehold av programvaren skal følge etablerte rutiner for hvordan personvern og sikkerhet skal ivaretas over tid. Ha ledelsessystem for personvern og informasjonssikkerhet (internkontroll) som omfatter anskaffelse, forvaltning, drift og vedlikehold. Rutiner for regelmessige testing og revidering, sikkerhetsovervåkning, målinger, forbedring mm. IN1030 2018 Innebygd informasjonssikkerhet 26

Referanser Veiledere fra Datatilsynet: Hva betyr de nye personvernreglene for din virksomhet? https://www.datatilsynet.no/regelverk-og-skjema/veiledere/hva-betyr/ Programvareutvikling med innebygd personvern https://www.datatilsynet.no/regelverk-og-skjema/veiledere/programvareutvikling-med-innebygd-personvern/ IN1030 2018 Innebygd informasjonssikkerhet 27

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding