Informasjonsaktiva. - en (forsøksvis) praktisk tilnærming til kategorisering av data. Harald Rishovd. Oslo kommune, Vann- og avløpsetaten

Like dokumenter
Prosedyre for skjerming av informasjon

RETNINGSLINJE for klassifisering av informasjon

Ny sikkerhetslov og forskrifter

Nasjonal sikkerhetsmyndighet

Behandling av personopplysninger. DIGITAL ARENA BARNEHAGE 2018 Tone Tenold

Veiledning i verdivurdering

Kvalitetssikring av arkivene

Motiv: Oslofjorden Foto: Vann- og avløpsetaten. Informasjon om sikkerhetsgraderte anskaffelser

Sikkerhetsmessig verdivurdering

Lov om forebyggende sikkerhetstjeneste (sikkerhetsloven) Lov av i kraft

Strengere personvern fra 2018 GDPR

Hva er sikkerhet for deg?

Anbefalinger om åpenhet rundt IKT-hendelser

Databehandleravtale mellom [Kunde] og Tibe T Reklamebyrå AS

Risikovurdering for folk og ledere Normkonferansen 2018

Hvem eier dataene? Rettigheter, krav til tilgang og gjenbruk

Nye personvernregler

Rapportering av sikkerhetstruende hendelser til NSM

Sikkerhetsorganisering og sikkerhetsgradering i kommunene. Knut Bakstad, Sikkerhetsleder hos FMTL

BEHANDLING AV PERSONOPPLYSNINGER

Informasjonssikkerhet Retningslinjer for behandling av personopplysninger og annen informasjon underlagt taushetsplikt

CYBERSIKKERHET PÅ STYREROMMET HVILKE LOVVERK MÅ LEDELSEN FORHOLDE SEG TIL?

Policy for informasjonssikkerhet og personvern i Sbanken ASA

Krav til utførelse av Sikringsrisikovurdering

Kontrollrapport. Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer

Vedrørende behandling av personopplysninger. mellom Norsk Tipping AS (BEHANDLINGSANSVARLIG) xx (DATABEHANDLER)

Iverksetting av ny plan- og bygningslov 2-3

Personvern nytt landskap i #Oppdatert Tromsø 14. september 2017 Senioradvokat Simen Evensen Breen

INNSYNSKRAV INNSYNSKRAV INNSYNSKRAV. love it.

Styringssystem for informasjonssikkerhet i Arbeidstilsynet

Vedlegg 14 Behandleravtalen. Bussanbud Stor-Trondheim

NORSK LOVTIDEND Avd. I Lover og sentrale forskrifter mv. Utgitt i henhold til lov 19. juni 1969 nr. 53.

Endelig kontrollrapport

RHF og HF omfattes av sikkerhetsloven

Veileder i sikkerhetsstyring. Versjon: 1

Informasjonssikkerhet? - vi er da politiet!

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:

Sikkerhetsloven. Mobil Agenda Alexander Iversen Sjefingeniør, Sikkerhetsavdelingen

Offentlighet, innsyn, åpenhet og åpne/lukkede møter juridiske utfordringer for kontrollutvalget. Avd.dir/advokat Tor Allstrin, KS advokatene

NTNU Retningslinje for fysisk sikring av IKTinfrastruktur

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001

Personvernkrav ved behandling av kundeopplysninger utvalgte emner. Bård Soløy Ødegaard Juridisk rådgiver Datatilsynet

Mandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011

Informasjonssikkerhet i Nord-Trøndelag fylkeskommune

Gjennomføring av sikringsrisikoanalyser og iverksetting av tiltak

Informasjonssikkerhetsvurderinger hos DSB

Databehandleravtale etter personopplysningsloven

Risiko og Sårbarhetsanalyse på NTNU. Presentasjons av prosess

Ny sikkerhetslov og betydningen for sikring i offentlig sektor og det private. Christer Veen Tjessem Seniorrådgiver Oslo, 10.

Konseptrapport 28. mars 2014

Sikkerhetsklareringskonferanse NTL. Direktør Gudmund Gjølstad. 3.april 2019

Retningslinje for risikostyring for informasjonssikkerhet

Veileder i fysisk sikkerhet. Versjon: 1

Sikkerhetskrav for systemer

Taushetsplikt og skjerming av informasjon v/ Tone Gotheim, seniorrådgiver, juridisk avdeling, Statens jernbanetilsyn

GDPR ny personvernforordning. Styring via godt arbeid med informasjonssikkerhet

Sikkerhetskrav for systemer

Helhetlig arbeid med informasjonssikkerhet. Remi Longva

Kjetil Tveitan. Underdirektør, Folkehelseavdelingen. Norsk Vanns årskonferanse Kristiansand 1. september 2015

Personopplysninger og opplæring i kriminalomsorgen

Krav til informasjonssikkerhet. DRI1010 forelesning Jon Berge Holden

Sikkerhetskrav for systemer

Arbeids- og velferdsetaten Vedlegg [sett inn vedlegg] Databehandleravtale Kontraktsnummer: [sett inn kontraktsnummer] Side 1 av 6

Sporveien AS standardvilkår for Databehandleravtaler Versjon Vedlegg 1 til Databehandleravtale mellom Sporveien AS og Databehandler

Hva betyr ny drikkevannsforskrift for vannverkseier? Anna Walde Vann- og avløpsetaten, Bergen kommune

Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON

Veileder for behandling av personopplysninger og informasjonssikkerhet i idretten

Personvernerklæring om behandling av personopplysninger Felleskatalogen AS

Veileder for virksomheters håndtering av uønskede hendelser. Versjon: 1

Personvernerklæring for Vesterålsprodukter AS

Anbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet

RUTINE FOR INFORMASJONSSIKKERHET FOR PERSONOPPLYSNINGER I BRIS. Innhold. Rutine for informasjonssikkerhet for personopplysninger i BRIS

Risikovurdering av Public 360

Strategi for Informasjonssikkerhet

Tillitsvalgtes håndtering av personopplysninger - GDPR GK2

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

Veileder for godkjenning av informasjonssystem. Versjon: 1

Min bakgrunn: Jurist i 1994 og «IT-advokat» fra 1997 Personvernspørsmål har stadig blitt viktigere i den tiden...

Byrådssak 1191 /15. Klassifisering av informasjonssystemer i Bergen kommune ESARK

Arbeidsgivers personvernplikter

Avtale mellom. om elektronisk utveksling av opplysninger

Helseforskningsrett med fokus på personvern

NTNU Retningslinje for klassifisering av informasjon

Nettskyen, kontroll med data og ledelsens ansvar

GDPR - Personvern

Hvordan styre informasjonssikkerhet i et dynamisk trusselbilde? Tommy Molnes Security Manager Digital Sikkerhet AS

Rusmiddeltesting i arbeidslivet et personvernperspektiv

Innledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten

VEDLEGG TIL HOVEDAVTALE DATABEHANDLERAVTALE

Norsk Vann - Rapport: Sikring av vannforsyning mot tilsiktede uønskede hendelser (security)

Databehandleravtale. Fellesforbundet avdeling.. Fellesforbundet

Risikovurdering. Utgitt med støtte av: Støttedokument Faktaark nr 7 Versjon: 3.0 Dato:

Databehandleravtale. I henhold til helseregisterlovens 16, jf. 18 og personopplysningsforskriftens kapittel 2. mellom. Bærum kommune, Pleie- og omsorg

Offentleglova. Torleif Lind Fagleder IKA Kongsberg. Interkommunalt arkiv for Buskerud, Vestfold og Telemark IKS

Avviksbehandling. håndtering av avvik. Virksomhetens leder/ledelse Forskningsansvarlig Prosjektleder forskning Sikkerhetsleder

Handbok i informasjonstryggleik. Presentasjon Geir Håvard Ellingseter, dokumentsenteret

GDPR HVA ER VIKTIG FOR HR- DATA

Personvernerklæring. Del 1. Personvern og datasikkerhet i Det frivillige Skyttervesen (DFS) Det frivillige Skyttervesen

Veileder til forskrift om sikring på jernbane Utvalgte tema, bransjemøte 12. juni Side 1

Transkript:

Informasjonsaktiva - en (forsøksvis) praktisk tilnærming til kategorisering av data Harald Rishovd Oslo kommune, Vann- og avløpsetaten

Informasjonsaktiva Hjelpemiddel for å klassifisere informasjon i henhold til lovmessig krav, nivå av konfidensialitet, sensitivitet og verdi Metode for å fastsette beskyttelsesgrad på informasjon Overgradering er like skadelig som undergradering Informasjonseier har ansvar for korrekt klassifisering Det benyttes fem basisnivåer for klassifisering av informasjon / informasjonsaktiva

Informasjonsaktiva - basisnivåer 1. Sikkerhetsgradert informasjon 2. Sensitive opplysninger 3. Annen pålagt plikt til konfidensialitet/taushetsplikt 4. Annen informasjon unntatt offentlighet 5. Åpen informasjon

En kort gjennomgang av VAVs arbeid Verdivurdering (og skadevurdering) Grunnlaget for vurdering av tilgang til og utlevering av ledningsinformasjon Kriterier for deling av ledningsinformasjon Internett (åpen: alle) Tjenstlig behov (u.off) Autorisert tilgang (gradert iht sikkerhetsloven)

Først noen spørsmål Hvorfor ønsker man å beskytte informasjon? Hva kan informasjonen brukes til? Er det behov for å beskytte all informasjon? Har vi en informasjonsplikt vi må ivareta? Hvilken verdi har ledningsinformasjonen? Og hvordan finner man informasjonen verdi?

Hvorfor beskytte? Hovedgrunn: Tilsiktede uønskede handlinger Trusselaktører: Andre lands styrker, terroraktører, kreative misfornøyde borgere Ledningsinformasjon kan brukes til kartlegging og planlegging av angrep, både nærstående og langsiktig. Kun fantasien setter grenser for bruken av informasjonen Urban Exploration: URBEX.NO

Verdivurdering (og skadevurdering) For å si noe om behovet for sikring av ledningsinformasjon, er det behov for å gjøre: Verdivurdering Finne ledningsinformasjonen verdi Klassifisering og vurdering av skade gjennom vurdering av brudd på konfidensialitet, integritet og tilgjengelighet Eventuelt også: Skadevurdering Vurdere skadepotensial (sikkerhetsloven)

Verdivurdering I Verdivurdering gjøres for å finne korrekt nivå for beskyttelse: Vanlig med 3 klassifiseringsnivåer: gradert iht sikkerhetsloven, unntatt offentlighet og åpen informasjon U.off: Hjemmel eller krav i lovverk Offl 24 tredje ledd: «Det kan gjerast unntak frå innsyn for opplysningar når unntak er påkravd fordi innsyn ville lette gjennomføringa av straffbare handlingar. Det same gjeld opplysningar der unntak er påkravd fordi innsyn ville utsetje enkeltpersonar for fare, eller lette gjennomføringa av handlingar som kan skade delar av miljøet som er særleg utsette, eller som er trua av utrydding.»

Fordeling på klassifiseringsnivå Gradert Svært liten mengde informasjon Skadevurdering må utføres før gradering: Uautorisert tilgang til informasjonen kan påvirke rikets sikkerhet og vitale nasjonale sikkerhetsinteresser Eksempler, for enkelte steder: Oversikt over ledningsnettet, detaljinformasjon rundt kritiske bygninger, klassifiserte objekter. Felleskulverter som viser sårbare punkter. U.off. 24 tredje ledd Stor mengde informasjon Tilgang til informasjonen kan lette gjennomføringen av straffbare handlinger, utsette enkeltpersoner for fare, etc. Oversikt over ledningsnett (mindre steder som ikke er et naturlig mål). Felleskanaler. Eksempler: ledningens detaljer, pumpestasjonens detaljer, stikkledning, reduksjonsventil, kum med egenskaper. Åpen Liten mengde informasjon Ingen fare for straffbare handlinger, eller skade. Opplysningsplikt Meroffentlighet Eksempler: Vannkilder, kartlag med geologisk informasjon, kum uten egenskaper, enkelte oversikter uten detaljer.

Verdivurdering II Vurdering av skadepotensial ved brudd på: Konfidensialitet: Hva er ytterste konsekvens hvis uautoriserte får innsyn/tilgang til ledningsinformasjonen? Terrorister får tilgang til informasjonen etter at en ansatt har åpnet et.pdf-dokument. Integritet: Hva er ytterste konsekvens hvis uautoriserte endrer ledningsinformasjonen Hackere endrer verdiene i kartbasen Tilgjengelighet: Hva er ytterste konsekvens hvis ansatte ikke får tilgang til ledningsinformasjon når de har behov for den? Nedetid, eller hackere har kryptert eller slettet kartbasen

Verdivurdering gir fasitsvar Gir verdifull informasjon som kan brukes til å sette krav til mottakers håndtering av informasjonen Doffin, deling med andre etater og utbyggere krav til systemet som ivaretar informasjonen kravspesifikasjon og gjennom avtaler med eksterne Svært nyttig i arbeidet med GDPR!

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding