INF37000 Informasjonsteknologi og samfunn. Informasjonssikkerhet del 2 Innebygd personvern og sikkerhet

Like dokumenter
IN1030 Systemer, krav og konsekvenser. Innebygd informasjonssikkerhet. Audun Jøsang Institutt for Informatikk Universitetet i Oslo 28.

IN1030 Systemer, krav og konsekvenser. Innebygd informasjonssikkerhet. Audun Jøsang Institutt for Informatikk Universitetet i Oslo 21.

Innebygd personvern og personvern som standard. 27. februar 2019

KINS-tech: Innebygd personvern bestemmelsen som implementerer hele forordningen.

Innebygd personvern personvernforordningen artikkel 25

Programvareutvikling med innebygd personvern nye personvernregler

Nøkkelen til morgendagens personvern innebygd personvern

Nye personvernregler i GDPR i helsesektoren

Programvareutvikling med innebygd personvern og personvern som standardinnstilling. Eirik Saltkjel Veronica Jarnskjold Buer

Ansvarlighetsprinsippet og virksomhetens plikter

Minimere og begrense. Gjem og skjul. Separere.

Nye personvernregler og innebygd personvern

Krav til informasjonssikkerhet i nytt personvernregelverk

Nye personvernregler fra mai 2018 Personvern og medlemslister Knut B. Kaspersen - Datatilsynet 12. desember 2017

Nye personvernregler

Brudd på personopplysningssikkerheten

Nye personvernregler

Nye personvernregler (GDPR)

GDPR I DEN NORSKE OPERA & BALLETT. Spekter, 13. desember 2017

GDPR Ny personvernforordning

Nye personvernregler fra 2018

GDPR - PERSONVERN. Advokat Sunniva Berntsen

Har du kontroll på verdiene dine

Perspektiver og planer ved Universitetet i Oslo

ADDSECURES BEHANDLING AV PERSONOPPLYSNINGER

HVORDAN SØRGE FOR ETTERLEVELSE AV SIKKERHETSKRAVENE I GDPR?

EUs nye forordning for personvern

Personvern - sjekkliste for databehandleravtale

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001

GDPR TIL GLEDE ELLER BESVÆR? Nye regler for behandling av personopplysninger

Personvern - vurdering av personvernkonsekvenser - DPIA

Informasjonssikkerhet i forordningen

Hva gjør så KiNS og KS med GDPR?

ISO Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen

Personvern nytt landskap i #Oppdatert Tromsø 14. september 2017 Senioradvokat Simen Evensen Breen

Regelverk for IoT. GDPR eprivacy

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik

Nye personvernregler fra mai 2018

Nytt regelverk (GDPR) og IoT

November Internkontroll og styringssystem i praksis - Aleksander Hausmann

OM PERSONVERN TRONDHEIM. Mai 2018

Informasjonssikkerhet og internkontroll - hva er nytt med EUs personvernforordning

GDPR Hva er det og hva er nytt? Presentasjon fra GDPR-prosjektet hos Direktoratet for e-helse

Nytt regelverk, nye muligheter og masse avviksmeldinger!

GDPR ny personvernforordning. Styring via godt arbeid med informasjonssikkerhet

Personvern - Hva er det

EUs personvernforordning - hva kreves? #Oppdatert oktober, Radisson Blu Hotel, Bergen Partner advokat (H) Halfdan Mellbye

Behandling av personopplysninger. DIGITAL ARENA BARNEHAGE 2018 Tone Tenold

Policy for personvern

Hva betyr det for din virksomhet?

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik

SAK NR INFORMASJON OM TILPASNINGER TIL NY PERSONOPPLYSNINGSLOV MED FORORDNING (GDPR) STATUS I ARBEIDET I SYKEHUSET INNLANDET

Nye personvernregler (GDPR)

INFORMASJONSSIKKERHET & GDPR. Kundeforum 18.oktober

PERSONVERN INNFØRING I DAGENS REGELVERK OG NY FORORDNING

GDPR - Ny personopplysningslov - betydning for arkivsektoren? 18.april Seniorrådgiver Linda Svendsrud

Databehandleravtale mellom [Kunde] og Tibe T Reklamebyrå AS

Vurdering av personvernkonsekvenser (DPIA)

Mandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011

Prosjektveiviser for sikkerhet. Sikkerhet og Sårbarhet 2016/Jens Lien

Fagseminar og nettverkssamling personvern. Quality Hotel Leangkollen mai 2019

Personvernerklæring. 3) være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for («dataminimering»)

Personvernkrav ved behandling av kundeopplysninger utvalgte emner. Bård Soløy Ødegaard Juridisk rådgiver Datatilsynet

Personopplysninger og opplæring i kriminalomsorgen

Vurdering av personvernkonsekvenser, databehandleravtaler og avvik

Ny personopplysningslov og personvernforordning mai 2018 Personalledersamling 7. og 8. november

Personvernerklæring for Flyt Høgskolen i Molde

Store data store spørsmål. Bruk av statens store datamengder

Risikovurdering. Utgitt med støtte av: Støttedokument Faktaark nr 7 Versjon: 3.0 Dato:

Personvernombudsrollen. Henrik Gullaker, personvernombud.

CW Event, CIO Forum GDPR: Kan jeg bestemme mitt personvern i den smarte verden?

VEILEDER GDPR PERSONVERN. DEL 2 - personopplysninger utover ansatteforhold

BEHANDLING AV PERSONOPPLYSNINGER. Tone Tenold 2017

Policy for informasjonssikkerhet og personvern i Sbanken ASA

Nye personvernregler fra mai 2018

AVTALE OM BEHANDLING AV PERSONOPPLYSNINGER (DATABEHANDLERAVTALE)

Nye personvernregler fra mai Hva betyr det for din virksomhet? Advokat Sverre McSeveny-Åril og advokat Maja Glad Pedersen

De nasjonale tilsynsmyndighetene (Datatilsynet i Norge)

Personvernveileder. for medlemsbedrifter i Norges Bilbransjeforbund

Hva betyr GDPR for forskere. Livet etter GDPR. Camilla Nervik Seniorrådgiver, Datatilsynet

Sikkerhetstesting gjennom utviklingsløpet

Personvern i skyen Medlemsmøte i Cloud Security Alliance

Informasjonssikkerhet i kommunene. Gaute Wangen, seniorrådgiver Seksjon for digital sikkerhet, NTNU

Databehandleravtale mellom. ("Oppdragsgiver") "Behandlingsansvarlig" Kommunesektorens organisasjon ("KS") som "Databehandler"

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget /11

Retningslinje for risikostyring for informasjonssikkerhet

AVTALE OM BEHANDLING AV HELSE- OG PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) I FORBINDELSE MED DRIFT AV HELSENETTET OG TILKNYTTEDE TJENESTER

Personopplysningsvern med ProFundo som databehandler

GDPR - viktige prinsipper og rettigheter

DIFI - Seminar om Skytjenester

1 Våre tiltak. Norsk Interaktivs arbeid med personvern

3.1 Prosedyremal. Omfang

Forvaltningsrevisjon IKT sikkerhet og drift 2017

Avviksbehandling. håndtering av avvik. Virksomhetens leder/ledelse Forskningsansvarlig Prosjektleder forskning Sikkerhetsleder

Arbeidsgivers personvernplikter

Sikkerhet og personvern i skole og klasserom

Go to use the code /10/2016. En liten undersøkelse: Mobil/ nettbrett. INF1000/ INF1001: IT og samfunn.

Transkript:

INF37000 Informasjonsteknologi og samfunn Informasjonssikkerhet del 2 Innebygd personvern og sikkerhet Audun Jøsang Institutt for Informatikk Universitetet i Oslo Vår 2018

Personvern i grunnloven 102: Enhver har rett til respekt for sitt privatliv og familieliv, sitt hjem og sin kommunikasjon. Husransakelse må ikke finne sted, unntatt i kriminelle tilfeller. Statens myndigheter skal sikre et vern om den personlige integritet. INF3700-2018 Innebygd personvern og sikkerhet 2

Personopplysningsvern Beskytte spesifikke aspekter ved informasjon som kan relateres til fysiske personer (personinformasjon) Forhindre urettmessig innsamling og oppbevaring av personinformasjon Forhindre urettmessig bruk av innsamlet personinformasjon Sørge for at personinformasjon er korrekt Sørge for åpenhet og innsyn (spør facebook om opplysninger) Definere klar ansvarsfordeling Krav til adekvat informasjonssikkerhet rundt personinformasjon 10101 01101101 10110 INF3700-2018 Innebygd personvern og sikkerhet 3

INF3700-2018 Innebygd personvern og sikkerhet 4

Nedtelling til GDPR (PVF) INF3700-2018 Innebygd personvern og sikkerhet 5

Personvernforordningen (PVF) EUs lovtekst oversettes uendret Trer ikraft som nasjonal lov i hele EU/EFTA 25. mai 2018 99 paragrafer Paragraf 25 og 32 er særlig sikkerhetsrelevante Forbud mot å forvalte personinformasjon med IT-systemer som ikke følger prinsippene om innebygd personvern og sikkerhet Bøter opp til 20 000 000 eller 4% av omsetning Betydning for utdanning: Alle informatikere og IT-designere må tilegne seg kunnskap om innebygd personvern og sikkerhet. INF3700-2018 Innebygd personvern og sikkerhet 6

PVF 25: Innebygd personvern og personvern som standardinnsstilling 1. Det skal gjennomføres egnede tekniske og organisatoriske tiltak for å oppnå et effektivt vern av personopplysninger for å oppfylle kravene i denne forordning og verne de registrertes rettigheter. 2. Det skal gjennomføres egnede tekniske og organisatoriske tiltak for å sikre at det som standard bare behandles personopplysninger som er nødvendige for spesifikke formål. Dette gjelder mengden personopplysninger som samles inn, omfanget av behandlingen av opplysningene, hvor lenge de lagres og deres tilgjengelighet. INF3700-2018 Innebygd personvern og sikkerhet 7

PVF 32: Sikkerhet ved behandlingen (Innebygd informasjonssikkerhet) 1. Det skal gjennomføre egnede tekniske og organisatoriske tiltak for å oppnå et sikkerhetsnivå som er egnet i forhold til risikoen, herunder blant annet: a) pseudonymisering og kryptering av personopplysninger b) evne til å sikre vedvarende fortrolighet, integritet, tilgjengelighet og robusthet i behandlingssystemene og -tjenestene, c) evne til å gjenopprette tilgjengeligheten og tilgangen til personopplysninger i rett tid ved tekniske hendelser d) regelmessig testing, analysering og vurdering av hvor effektive behandlingens tekniske og organisatoriske sikkerhetstiltak er 2. Ved vurderingen av egnet sikkerhetsnivå skal det særlig tas hensyn til risikoene forbundet med behandlingen INF3700-2018 Innebygd personvern og sikkerhet 8

Innebygd informasjonssikkerhet Krav Forvaltning Design Opplæring Produksjonssetting Koding Test INF3700-2018 Innebygd personvern og sikkerhet 9

Opplæring Oplæring i personvern og sikkerhet Mål: Basiskunnskap og forståelse for personvern og informasjonssikkerhet, og risiko tilknyttet dette Hva skal det gis opplæring i: Når og hvorfor personvern og informasjonssikkerhet er viktig i de ansattes daglige arbeidsoppgaver. Suksesskriterier er at virksomheten sørger for ansatte har kompetanse om personvern og IT-sikkerhet retningslinjer for personvern og informasjonssikkerhet, intern opplæring i disse retningslinjene INF3700-2018 Innebygd personvern og sikkerhet 10

Krav Krav til system og behandling Definer type personopplysninger som skal behandles Definer hvilke slutninger som kan trekkes om indidivider Hvem er brukere og eiere av personinformasjonen Definer behandlingsansvarlig og databehandler Hvem er 3.parts mottager av personinformasjon Definer hvilke opplysninger det er nødvendig å samle inn, omfang lagringstid og tilgjengelighet. Åpenhet, vis hvilken informasjon som lagres, så den registrerte kan ivareta sine rettigheter. Velg adekvate tiltak for informasjonssikkerhet INF3700-2018 Innebygd personvern og sikkerhet 11

Personvernrisiko Krav Sannsynlighet og konsekvens for: Personvernhendelser, f.eks.: Tyveri og publisering av personinfo Urettmessig diskriminering basert på personinfo og profilering Re-identifisering basert på data som skal være anonyme eller pseudonym Uønsket innsamling Sikkerhetshendelser, f.eks.: Brudd på KIT (konfidensialitet, integritet, tilgjengelighet) for personinfo. Toleransenivå for hendelser: Nulltoleranse Relativt toleransenivå = risiko som kan aksepteres Nivå på kritikalitet Kritisk Høy Middels Konsekvens av skade vedrørende personopplysninger Alvorlig langvarig personlig belastning, behov for ny identitet, Langvarig betydelig personlig belastning Forbigående eller moderat personlig belastning INF3700-2018 Innebygd personvern og sikkerhet 12 Lav Ingen særlig personlig belastning Eksempel på konsekvenskriterier (retningslinjer utarbeides i 2018)

Krav om konsultasjon Vurderes i tilfelle (svært) sensitive data eller antatt høy risiko Utifra de registrertes synsvinkel Hey risiko oppstår f.eks.: når behandlingen av personinformasjon kan medføre (betydelige) negative konsekvenser for den registrerte når det behandles personinformasjon av (svært) sensitive karakter Når det foregår (massiv) innsamling og behandling av personinformasjon fra offentlige områder Alltid konsultasjon ved svært sensitiv personinfo eller massiv innsamling Prosessen vil antageligvis medføre høy risiko Ja Vurder personvernkonsekvens og anbefal tiltak Er residuell risiko akseptabel Nei Krav Konsultasjon med Datatilsynet Nei Ja INF3700-2018 Innebygd personvern og sikkerhet 13

Design av innebygd personvern Design Dataorienterte designkrav: Minimer og begrens - «Select before you collect» «Gjem og skjul» Separer og aggreger Personvern som standardinstilling Prosessorienterte designkrav Informere brukere Håndheve policyer Logge og kontrollere bruk og tilgang Demonstrere og dokumentere INF3700-2018 Innebygd personvern og sikkerhet 14

Design av innebygd sikkerhet Design Analyser angrepsflaten på det designede systemet for å vite hvordan man kan redusere muligheter til å utnytte svake punkter og sårbarheter. Ved trusselmodellering analyserer man komponenter, tilgangspunkter, dataflyt og prosessflyt i programvaren (forklares i senere forelesning). hvordan noen kan misbruke programvaren ved ulike scenarioer. hvordan designet kan forbedres for å unngå trusler som er identifisert. Resultat er et mer herdet og robust sluttprodukt. INF3700-2018 Innebygd personvern og sikkerhet 15

Sikker koding Koding Beskriv bruksområde for koden Vurder trusselmodellen fra Design-fasen Beskriv og implementer funksjonell sikkerhet Beskriv og implementer ikke-funksjonell sikkerhet Vurder sårbarheter i støttekomponenter Vurder sårbarheter i verktøy INF3700-2018 Innebygd personvern og sikkerhet 16

Ugyldiggjør usikre funksjoner og moduler Koding Analyser funksjoner, API, tredjepartsbibliotek og moduler Forby de som er utrygge, oppdater de som er utdaterte eller som inneholder kjente sårbarheter Deaktiver unødig sporing, logging og innsamling av personopplysninger INF3700-2018 Innebygd personvern og sikkerhet 17

Statisk kodeanalyse og kodegjennomgang Koding Anvend automatiske verktøy for kodeanalyse og deteksjon av usikre metoder Foreta manuell gjennomgang for å fange opp svakheter som kan medføre feil bruk eller lekkasje av personopplysninger Regelmessig gjennomgang, d.v.s for hver sprint INF3700-2018 Innebygd personvern og sikkerhet 18

Test om kravene er implementert Test Er personvern- og sikkerhetskrav ivaretatt gjennom design og koding? Er kravene riktig implementert? Er alle komponenter med? INF3700-2018 Innebygd personvern og sikkerhet 19

Sikkerhetstesting Test Dynamisk testing Test funksjonalitet i kjørende kode (verktøy eller manuelt) Undersøk ulike brukerrettigheter, også ved simulerte sikkerhetsfeil Fuzz testing Fremprovoser feil i programvaren Bruk verktøy som sender tilfeldig og misformet data inn i programvaren Test alle grensesnitt Penetrasjonstesting / sårbarhetsanalyse Kjøres før produksjonssetting og jevnlig Lovlig og autorisert forsøk på å finne, utnytte og avdekke sårbarheter INF3700-2018 Innebygd personvern og sikkerhet 20

Gjennomgang av trusselmodell og angrepsflate Test Verifisere at angrepsvektorer som ble avdekket i designfasen er håndtert Verifisere at nye angrepsvektorer introdusert under koding er identifisert og håndtert Ny gjennomgang av Trusselmodell Ny vurdering av personvernkonsekvenser INF3700-2018 Innebygd personvern og sikkerhet 21

Produksjonssetting Produksjonssetting Utarbeid plan for hendelseshåndtering for effektivt håndtere oppgaver og hendelser som kan oppstå etter produksjonssetting. Hva en hendelse er og hvilken livssyklus den har (omfatter å detektere, analysere, rapportere, håndtere og normalisere) Ressurser, kontaktpunkt/responssenter, kontaktinformasjon, responstid, kanaler, logger, rutiner, patching, evaluering mm. Plan for varsling av ledelse, den registrerte, Datatilsynet, og presse INF3700-2018 Innebygd personvern og sikkerhet 22

Produksjonssetting Produksjonssetting Full sikkerhetsgjennomgang av programvaren skal baseres på tidligere gjennomganger i utviklingsløpet og inngå i de kontrollpunkter (control gates) som må gjøres før produksjonssetting. Godkjenning av produksjonssetting Sikkerhetsrådgiver og personvernombud skal verifisere at alle definerte sikkerhets- og personvernkrav er implementert og fungerer etter hensikten. Virksomheten må definere hvem som har godkjenningsmyndighet. Arkivering bør gjøres av all relevant data og dokumentasjon fra hele utviklingsløpet. INF3700-2018 Innebygd personvern og sikkerhet 23

Forvaltning Forvaltning Håndtere hendelser og avvik etter planen Når akutte hendelser opptrer, er det viktig å bevare roen og å bruke tid på å analysere hendelsen. Responsteamet skal kunne håndtere situasjonen, og vite hvem som er i stand til å bygge, teste og installere oppdateringer. Responsteamet må vite hvilke prioriteringer som gjelder, samt vite nøyaktig hva de kan og skal gjøre, og hvem de skal kontakte når det virkelig er krise. Øv!!! INF3700-2018 Innebygd personvern og sikkerhet 24

Forvaltning Forvaltning Forvaltning, drift og vedlikehold av programvaren skal følge etablerte rutiner for hvordan personvern og sikkerhet skal ivaretas over tid. Ha ledelsessystem for personvern og informasjonssikkerhet (internkontroll) som omfatter anskaffelse, forvaltning, drift og vedlikehold. Rutiner for regelmessige testing og revidering, sikkerhetsovervåkning, målinger, forbedring mm. INF3700-2018 Innebygd personvern og sikkerhet 25

Referanser Veiledere fra Datatilsynet: Hva betyr de nye personvernreglene for din virksomhet? https://www.datatilsynet.no/regelverk-og-skjema/veiledere/hva-betyr/ Programvareutvikling med innebygd personvern https://www.datatilsynet.no/regelverk-og-skjema/veiledere/programvareutvikling-med-innebygd-personvern/ INF3700-2018 Innebygd personvern og sikkerhet 26

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding