Risiko- og sårbarhetsvurdering

Like dokumenter
Kvalitetssikring av arkivene

Risikoanalysemetodikk

Box: erfaringer med UNINETTs første internasjonale skytjeneste. Jan Meijer, UNINETT

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/ /MEI 11. juli 2014

Bruk av skytjenester Sikkerhet, personvern og juridiske forhold i skyen. Hallstein Husand, fagdirektør IKA Trøndelag Trondheim 24.

Kommunens Internkontroll

Databehandleravtale. Denne avtalen er inngått mellom

Vedlegg 6. Versjon Databehanlderavtale. Busstjenster Årnes Gardermoen 2016

Endelig kontrollrapport

Konkurranse om minibusstjenester. Vedlegg 8. Databehandleravtale

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:

E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)

Bilag 14 Databehandleravtale

Endelig kontrollrapport

Kontrollrapport. Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

Kort innføring i personopplysningsloven

Endelig kontrollrapport

Arbeids- og velferdsetaten Vedlegg [sett inn vedlegg] Databehandleravtale Kontraktsnummer: [sett inn kontraktsnummer] Side 1 av 6

Rettslige krav til styring av informasjonssikkerhet. Karin Kristiansen og Amund Eriksen

Behandling av personopplysninger. DIGITAL ARENA BARNEHAGE 2018 Tone Tenold

Databehandleravtale mellom. ("Oppdragsgiver") "Behandlingsansvarlig" Kommunesektorens organisasjon ("KS") som "Databehandler"

Kontrollrapport. Kontrollobjekt: Nittedal kommune Sted: Nittedal

Internkontroll og informasjonssikkerhet lover og standarder

Endelig kontrollrapport

Endelig kontrollrapport

Risiko- og sårbarhetsanalyse i forbindelse med bruker med begrenset tilgang for inn- og utregistrering

Databehandleravtaler

Kontrollrapport. Kontrollobjekt: Våler kommune Sted: Våler

IKT-reglement for Norges musikkhøgskole

Mandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011

Kan du legge personopplysninger i skyen?

Personopplysninger og opplæring i kriminalomsorgen

Risikovurdering. Utgitt med støtte av: Støttedokument Faktaark nr 7 Versjon: 3.0 Dato:

Databehandleravtale Pilot Digitalt Bortsettingsarkiv

Oslo kommune Utdanningsetaten

Kontrollrapport. Kontrollobjekt: Østfold fylkeskommune Sted: Sarpsborg

Databehandleravtale etter personopplysningsloven

Endelig kontrollrapport

Policy for personvern

Arkivsystemer med skyløsninger

Kontrollrapport. Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger

Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON

Databehandleravtale I henhold til ny personvernlov, jf. personvernforordningen art. 28 nr. 3, inngås databehandleravtale mellom Kunden

HVEM ER JEG OG HVOR «BOR» JEG?

AVTALE OM BEHANDLING AV PERSONOPPLYSNINGER I HENHOLD TIL PERSONOPPLYSNINGSLOVEN. Felles Studentsystem (FS)

Nye regler nye muligheter skytjenester i kjølvannet av Narvik og Moss. Bjørn Erik Thon

Innledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten

Revisjonsrapport for 2017 om informasjonssikkerhet i forskningssystemer

Avtale mellom. om elektronisk utveksling av opplysninger

RISIKOANALYSE (Grovanalyse-Hazid )

Risikovurdering av informasjonssystem

Vedlegg 8 Databehandleravtalen. Bussanbud Stor-Trondheim

Bruk av risikoanalyser i KRIK

Rollen som databehandler innebærer at vi behandler opplysninger på oppdrag fra den ansvarlige virksomheten (itfag.no).

Internkontroll i mindre virksomheter - introduksjon

Kontrollrapport. Kontrollobjekt: Vestby kommune Sted: Vestby

Databehandleravtale etter personopplysningsloven

Databehandleravtale. Fellesforbundet avdeling.. Fellesforbundet

Kontrollrapport. Kontrollobjekt: Horten kommune Sted: Horten

Varsel om pålegg - Personvern og informasjonssikkerhet i smartklokker for barn - PepCall AS

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget /11

GDPR. General Data Protection Regulation Personvernforordningen, erstatning for personopplysningsloven - fra 2018

Skytjenester. Forside og Databehandleravtale. Telenor Norge

Spesielt om personvern og krav til sikring av personopplysninger. Dag Wiese Schartum

De største utfordringene i tilgangsstyring til EPJ?

Endelig Kontrollrapport

Databehandleravtale. Kommunenes Sentralforbund - Databehandler

Laget av Dato Orginal plassering fil. Johnny Andre Sunnarvik. Nov 2016

Sporveien AS standardvilkår for Databehandleravtaler Versjon Vedlegg 1 til Databehandleravtale mellom Sporveien AS og Databehandler

AVTALE OM BEHANDLING AV HELSE- OG PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) I FORBINDELSE MED DRIFT AV HELSENETTET OG TILKNYTTEDE TJENESTER

Brukerinstruks Informasjonssikkerhet

RETNINGSLINJER FOR ANSATTES BRUK AV IKT-TJENESTER I NORMISJON

Kontrollrapport. Kontrollobjekt: Svelvik kommune Sted: Svelvik

Informasjonssikkerhet i Nord-Trøndelag fylkeskommune

DATABEHANDLERAVTALE MELLOM., org.nr. «Behandlingsansvarlig» Info Vest Forlag, org.nr «Databehandler»

Personvern - sjekkliste for databehandleravtale

Kontrollrapport. Kontrollobjekt: Verdal kommune Sted: Levanger

Endelig kontrollrapport

VIRKE. 12. mars 2015

*Sikkerhetsbehov: K: Konfidensialitet, T: Tilgjengelighet, I: Integritet **Tiltak kan være både organisatoriske og tekniske.

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015

Personvern nytt landskap i #Oppdatert Tromsø 14. september 2017 Senioradvokat Simen Evensen Breen

Forvaltningsrevisjon IKT sikkerhet og drift 2017

Pålegg om stans av behandling av personopplysninger - Gator AS

Nettskyen, kontroll med data og ledelsens ansvar

KF Brukerkonferanse 2013

Risikoområder ved behandling av personopplysninger hva kan gå galt? Jan Henriksen FAKTUM NoR AS / INFOSEC Norge AS E-post: jan@faktum.

Kontrollrapport. Kontrollobjekt: Øksnes kommune Sted: Myre

Databehandleravtale. I henhold til helseregisterlovens 16, jf. 18 og personopplysningsforskriftens kapittel 2. mellom. Bærum kommune, Pleie- og omsorg

Databehandleravtale. Charlotte Lindberg Difi

Min bakgrunn: Jurist i 1994 og «IT-advokat» fra 1997 Personvernspørsmål har stadig blitt viktigere i den tiden...

" Deling og utveksling med pasienter Deling i store foretak Utlevering / deling mellom foretak Legemiddeldeling Kjernejournal

Styresak Orienteringssak - Informasjonssikkerhet

Databehandleravtale. mellom. [NAVN], org.nr. [ ], [Adresse] heretter «Databehandler» Xledger AS org.nr , Østensjøveien OSLO

Proff behandling av personopplysninger. Bjørn Erik Thon direktør i personvernbloggen.no

Retningslinjer for databehandleravtaler

Skytjenester bruk dem gjerne, men bruk dem riktig

Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket.

Transkript:

Risiko- og sårbarhetsvurdering Risikovurdering av skytjenesten box.com Versjon: 0.3 Dato: 2013-31-08 Skrevet av: Rolf Sture Normann Utkast 0.3 Side 1 2013-31-08

Innholdsfortegnelse Innledning... 3 Bakgrunn... 3 Formål... 3 Avgrensninger... 4 Om skytjenesten box.com... 4 Prosjektgjennomføring... 4 Hovedkonklusjon og anbefaling... 5 Aksept tabell... 10 Kriterier... 11 Vedlegg... 14 Utkast 0.3 Side 2 2013-31-08

Innledning 13 i personopplysningsloven (POL) pålegger den behandlingsansvarlige og databehandleren å sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet. Dette pålegget gjelder alle, uavhengig av hva slags personopplysninger som behandles og uavhengig av hva slags hjelpemidler som benyttes. I forskrift til loven finnes bestemmelser om informasjonssikkerhet som gjelder for all behandling av personopplysninger som helt eller delvis skjer med elektroniske hjelpemidler, «der det for å hindre fare for tap av liv og helse, økonomisk tap eller tap av anseelse og personlig integritet, er nødvendig med sikkerhetstiltak». Vurdering av risiko er utgangspunktet for alt sikkerhetsarbeid sikkerhet er nettopp håndtering av risiko. I denne sammenhengen er formålet med risikovurderinger å identifisere hendelser som kan få betydning for sikring av personvernet, samt formulere hypoteser om konsekvensene av hendelsene og sannsynligheten for at de inntreffer. En viktig del av oppgaven er kartlegging av de aktiva som må sikres, og å kartlegge det miljø verdiene befinner seg i. Risikovurderingen skal i tillegg identifisere behovet for risikoreduserende tiltak ved å sammenligne avdekket risiko med akseptabelt risikonivå. For å understreke resultatene av vurderingen, er det også naturlig å gi anbefalinger om sikkerhetstiltak som kan være til hjelp i det videre arbeidet med informasjonssikkerheten. Risikovurderinger er altså et sentralt element i sikkerhetsarbeidet. I tillegg er risikovurderinger lovpålagt i mange sammenhenger, se for eksempel personopplysningsforkriften 2-4. Det skal dessuten gjøres vurderinger slik at sikkerhetstiltakene skal stå i forhold til den aktuelle risikoen. Det er ikke bare i personopplysningsloven man finner bestemmelser om risikovurdering; andre eksempler er sikkerhetsloven og helseregisterloven. Bakgrunn Den 30. april 2013 ble det gjennomført en Risiko- og sårbarhetsvurdering (ROS vurdering) v/ UNINETT begrenset til vurderinger av sårbarheter som kan være aktuelle i forbindelse med skytjenesten box.com. Formål Formålet med ROS vurderingen er å kartlegge hvilke trusler som eksisterer eller som kan utløses i forbindelse med skytjenesten box.com. Utkast 0.3 Side 3 2013-31-08

Avgrensninger Rapporten er avgrenset til situasjoner rundt bruken av skytjenesten box.com. Om skytjenesten box.com Tjenesten BOX.COM tilbyr en sikker samarbeidsplattform for deling av dokumenter enten dette er mediafiler, eller rene tekstdokumenter eller andre. Informasjon som lagres i BOX kan deles både internt og eksternt avhengig av hvem du som bruker inviterer inn i dokumentmappe eller dokument. Brukerne kan bruke nesten hva som helst av utstyr enten det er en iphone, ipad, Android, Windows mobile eller andre enheter med tilgang til en nettjener. Tjenesten BOX.COM kan integreres mot andre skytjenesteleverandører slik som Microsoft, Amazon eller Google. Tjenesten tilbyr en synkronisering av filer fra din enhet til BOX.COM. BOX.COM er amerikansk selskap som har undertegnet safe harbour avtalen. Hovedsenteret ligger i California. BOX.COM benytter tjenester fra blant andre Amazon som backup for sine kunders data. Prosjektgjennomføring ROS vurderingen er gjennomført i form av et arbeidsmøte den 30. april med følgende deltakere: Rolf Sture Normann (UNINETT) Øivind Høiem (UNINETT) Jan Meijer (UNINETT) Lars Strømmen (NTNU) Ole Langfeldt (NTNU) Espen Grøndal (UIO) Bente Aasgaard (UIO) Arbeidsmøtet ble ledet av Rolf Sture Normann fra UNINETT. Metodikken var lik den som sekretariat for informasjonssikkerhet for øvrig benytter under ROS vurderinger. Møtet ble i noe større grad basert på idemyldring og gule lapper, og noe mer fristilt i henhold til skjematikken. Dette var positivt i forhold til at dette var en enkelttjeneste, og Utkast 0.3 Side 4 2013-31-08

deltakerne måtte se på problemstillinger som hadde betydning for både studenter, forelesere, forskere, ansatte og de organisasjoner de tilhører. Også UNINETT som selskap som sådan. Box.com antydet å kunne levere single-signout funksjonalitet per 31.7 men klarte det ikke. 31. august ble det foretatt en revisjon for å ta det risikomomentet med ROS vurderingen. Hovedkonklusjon og anbefaling Dette avsnittet presenterer hovedkonklusjonene fra ROS vurderingen. Datagrunnlaget finnes i det vedlagte regnearket. Følgende scenario ble vektet som uakseptable, eller med høy risikofaktor og som det må settes inn tiltak for å redusere risiko. Referanse 2, Risikoverdi 9 Brukere senker gradering av informasjon av bekvemmelighetshensyn for å kunne laste opp informasjon med behov for konfidensialitet (personsensitivt, bedriftskritisk el.l.) Muligheten for at brukere av tjenesten box.com kan komme til å laste opp informasjon som ikke burde være lagt ut til en skytjenesteleverandør som box.com for å lett kunne hente ned informasjonen fra andre steder, f.eks. hjemmekontor, reise eller lignende ble vurdert til å ha høy sannsynlighet (3) og dersom den skulle inntreffe vil konsekvensen eller skadevirkningen i værste fall kunne være alvorlig (3) Bevistgjøre og ansvarliggjøre brukerne. Informere og repetere at brukerne gjør ansvarlige valg i forbindelse med bruken av box gjennom å informere på startssiden ved pålogging. Det bør også lages en kort veileder/kjøreregler for bruken av box.com Avtalen mellom UNINETT og institusjon bør inneholde forventninger om at institusjonen bevistgjør og ansvarliggjøre brukerne. Vurdere bruken av BoxCryptor i noen tilfeller Utkast 0.3 Side 5 2013-31-08

Referanse 32, Risikoverdi 9 Tilgang til brukers box-konto på en delt enhet, på grunn av manglende funksjonalitet. Manglende Single Sign out medfører fare for kompromittering av egen konto at dersom en bruker logger seg på en delt enhet (PC, nettbrett el.l.). Et eksempel på denne problemstillingen er at en foreleser logger seg på klasseromsmaskinen, og henter ut noen filer fra Box kontoen sin. Deretter logger vedkommende seg ut av box kontoen. Neste foreleser eller annen bruker som logger seg på denne maskinen vil finne forrige foreleseren pålogget. Dermed kan denne brukeren fritt kopiere, sende til andre, endre eller slette innholdet til foreleseren som var pålogget. Dette er et scenario som er vurdert som alvorlig med høy sannsynlighet. Tiltak bør etableres. Hver enkelt institusjon må vurdere dette punktet og ta stilling til om man er villig til å akseptere denne risikoen eller ikke. Implementere Single Sign Out Private/Inkognito Browsing Bevistgjøre brukerne slik at de ikke benytter delte maskiner for å logge seg på boxkontoen sin Igangsette prosess for å få bedre internasjonalt fokus på Single Sign Out som obligatorisk funksjonalitet slik at box.com implementerer Single Sign Out raskt. Referanse 11, Risikoverdi 8 Uønsket sammenstilling av data som følge av koblinger mot andre applikasjoner eller skytjenesteleverandører (Big data) Selv om skytjenesten box.com sin policy er å ikke utlevere informasjon til andre parter kan dette være hendelse. Integrering av ulike skytjenesteleverandører som google, microsoft, amazon eller andre med skytjenesten box.com kan forekomme som følge av at brukeren selv gjør dette mulig. Dette er en situasjon som kan komme til å utlevere mye mere informasjon enn hvert informasjonselement hver for seg. Vurdere tekniske tiltak i Box som begrenser mulighetene for sammenstilling av data. Overvåke dataflyt fra Box til andre tjenester for å monitorere om dette er et problem. Bevistgjøring og opplæring av brukerne vil også her være sentralt Referanse 1, Risikoverdi 6 Amerikanske myndigheters rett til innsyn i data Skytjenesten box.com har underskrevet Safe harbour act. Selv om dette er tilfellet vil amerikanske myndigheter ved mistanke om terror eller andre situasjoner forbeholde seg retten til å kreve innsyn. Dette kan i værste fall medføre store problemer for brukere som har lastet opp informasjon som av amerikanske myndigheter kan tolkes som kriminelle selv om brukeren kunne hatt helt andre intensjoner. For eksempel forskning på terrornettverk etc. Utkast 0.3 Side 6 2013-31-08

Benytte BoxCryptor eller andre krypteringsprogramvare Informere brukeren om amerikanske myndigheters innsynsrett i henhold til Patriot Act og konsekvenser dette kan ha Referanse 6, Risikoverdi 6 Tekniske sikkerhetshull eller sårbarheter i skytjenesten box.com Skytjenesten box.com kan inneholde tekniske sårbarheter som kan utnyttes. Dette er selvsagt ikke spesifikt for box.com. Sårbarheter kan utnyttes av uvedkommende og informasjon med behov for beskyttelse kan bli utlevert, uautorisert endret eller slettet. Avtale som sikrer UNINETT innsyn i Box sine egne sikkerhetsrevisjoner (databehandleravtale) Etablere klare varslingsrutiner mellom UNINETT og Box dersom sikkerhetshull skulle avdekkes Generell egen monitorering og årvåkenhet Referanse 10, Risikoverdi 6 Opplasting av feil data, eller opplasting av riktig data til feil mappe med andre brukertilganger Skytjenesten box.com har i tillegg til at en kan laste opp filer og mapper også en synkroniseringstjeneste. En bruker kan komme i skade for å laste opp feil dokument, eller legge et dokument med behov for beskyttelse i en mappe med videre brukertilganger. Lage veiledningsmateriell, ex «10 enkle regler for bruk av box» Skape holdninger gjennom informasjon «Du bryr deg vel om dataene dine?» Informere på påloggingsside til Box Institusjonen bør vurdere å benytte LMS og/eller forelesere til å informere Referanse 12, Risikoverdi 6 Applikasjoner og tilhørende plugins/apper i box.com blir benyttet på en slik måte at brukeren mister oversikt over dataflyt og tilganger. Bevisst og ubevisst kopiering av data. Skytjenesten box.com tilbyr en del funksjonalitet gjennom såkalte apper. Brukere som installerer disse og tilhørende i andre tjenester kan medføre at brukeren bevisst eller ubevisst kopierer data som har behov for konfidensialitet. UNINETT må skaffe seg mer detaljert oversikt over plugins Se ellers tiltak i Referanse 11. Referanse 13, Risikoverdi 6 Utkast 0.3 Side 7 2013-31-08

Uautorisert tilgang som følge av feil gruppetilhørighet, medlemmer av en gruppe som ikke skulle vært det med tilhørende tilganger. Skytjenesten box.com gir deg som bruker mulighet til å etablere grupper og melde andre inn i ulike grupper for deling av informasjon. Dette gir en mulighet for at en bruker har medlemmer som ikke skulle vært det av ulike årsaker. Det kan være at en har glemt å fjerne noen fra en gruppe, eller legger til feil person i en gruppe. Dette kan medføre at informasjon med behov for beskyttelse blir utlevert. Se tiltak under referanse 10. Etablere standard grupper som brukerne kan benytte for å begrense brukerfeil Referanse 16, Risikoverdi 6 Hacking/innbrudd i systemer med tilhørende datatyveri eller annen uautorisert tilgang. Skytjenesten box.com eller en av brukerne kan få innbrudd i sine systemer med tilhørende datatyveri, uautorisert endring eller sletting av informasjon. Se tiltak referanse 10 UNINETT bør støtte institusjonene med å utarbeide en kriseplan ved større hendelser med Box Referanse 5, Risikoverdi 4 Opplasting av uønsket eller støtende og eller ulovlig informasjon til en brukers konto som følge av gitt tilgang. Brukere som tidligere har delt informasjon med hverandre kan komme til å laste opp informasjon som er trakkaserende eller støtende. Det kan også være ulovlig informasjon slik som barneporno, terrorinformasjon som kan føre til pågripelser eller tap av omdømme el.l. Informere om hvem som eksplisitt skal varsles ved slike hendelser Benytt CERT/abuse som støttespiller på dette Forbeholde seg retten til å stenge brukere ute ved alvorlige hendelser. Dette må være en del av brukeravtalen Oppfordre til å rapportere uønsket oppførsel Hver enkelt institusjon må definere prosesser for hvordan slike saker skal behandles Andre forhold En bør også se på andre forhold slik som leverandørens mulighet til å endre vilkår, oppkjøp og konkurs eller andre forhold som endrer forutsetningene for leveransen. Det bør også spesifiseres hvor lenge man kan hente ut sine data ved for eksempel endringer i organisasjonen box.com. Utkast 0.3 Side 8 2013-31-08

Se for øvrig komplett oversikt over uønskede hendelser. Hver enkelt institusjon må selv gjøre en vurdering av risikofaktor og eventuelt adressere andre hendelser. Denne risikovurderingen er gjort av en arbeidsgruppe. Institusjonene selv kan ha andre meninger om sannsynlighet og konsekvens enn denne, og eventuelt andre hendelser som ikke er adressert her. Utkast 0.3 Side 9 2013-31-08

Aksept tabell Tallene i de enkelte rubrikkene i tabellen referer til risikoelementene i det vedlagte regnearket. Utkast 0.3 Side 10 2013-31-08

Kriterier Sannsynlighet Prosjektgruppen vedtok å benytte følgende skala for sannsynlighet S=1; Lav sannsynlighet S=2; Moderat sannsynlighet S=3; Høy sannsynlighet S=4; Svært høy sannsynlighet Frekvens Hendelser som kan inntreffe 1 gang pr 5 år eller sjeldnere For brann: hvert 50. år eller sjeldnere. Hendelser som kan inntreffe 1 gang pr 2 år eller sjeldnere For brann: hvert 10. år eller sjeldnere Hendelser som kan inntreffe flere ganger pr. år For brann: årlig eller sjeldnere Hendelser som kan inntreffe flere ganger pr. halvår. For brann: flere ganger pr. år. Letthet Sikkerhetstiltak er etablert i forhold til sikkerhetsbehovet og fungerer etter hensikten. Tiltakene kan kun omgås/brytes av egne medarbeidere med gode ressurser, og god/fullstendig kjennskap til tiltakene. Utenforstående kan ikke omgå/bryte tiltakene. Sikkerhetstiltak er etablert i forhold til sikkerhetsbehovet og fungerer etter hensikten. Tiltakene kan likevel omgås/brytes av egne medarbeidere med små til normale ressurser, som i tillegg har normal kjennskap til tiltakene. Utenforstående trenger gode ressurser, og god/fullstendig kjennskap til tiltakene for å omgå/bryte disse. Sikkerhetstiltak er ikke fullt etablert, eller fungerer ikke etter hensikten. Egne medarbeidere trenger kun små til normale ressurser for å omgå/bryte tiltakene, og det er ikke nødvendig med forutgående kjennskap til tiltakene. Utenforstående trenger små til normale ressurser, samt normal kjennskap til tiltakene, for eksempel hvilke rutiner som gjelder eller hvordan sikkerhetsteknologi er implementert. Sikkerhetstiltak er ikke etablert, eller kan omgås/brytes av egne medarbeidere og utenforstående med små til normale ressurser. Det er ikke nødvendig med forutgående kjennskap til tiltakene Motivering Sikkerhetsbrudd kan kun skje ved at egne medarbeidere opptrer med overlegg og har spesiell kompetanse eller kunnskap. Utenforstående må ha spisskompetanse og et samarbeid med personer i virksomheten Sikkerhetsbrudd kan skje ved at egne medarbeidere opptrer med forsett og har en viss kompetanse. Utenforstående må opptre med overlegg og noe kunnskap om interne forhold (med hensikt og plan, eksempelvis ved at flere tiltak brytes i riktig rekkefølge) for å omgå/bryte sikkerhetstiltakene Sikkerhetsbrudd kan skje ved uaktsomhet av egne medarbeidere. Utenforstående må ha noe kompetanse, og forsettelig (bevisst eller aktivt) gå inn for å bryte sikkerhetstiltakene. Sikkerhetsbrudd kan skje ved uaktsomhet (ubevisst eller uten forsett) av egne medarbeidere eller utenforstående. Det er ikke nødvendig med spesielle kunnskaper om interne forhold. De forskjellige nivåene er oppsummert i følgende sannsynlighetsmatrise: Konsekvens Prosjektgruppen vedtok å benytte følgende skala for konsekvens: K=1; Ubetydelig K=2; Moderat K=3; Alvorlig Utkast 0.3 Side 11 2013-31-08

K=4; Katastrofal Nivåene er oppsummert i følgende konsekvensmatrise: Ubetydelig (1) Moderat (2) Alvorlig (3) Katastrofal (4) Konfidensialitet Integritet Ingen uautorisert innsyn i ikke sensitive personopplysninger der konfidensialitet er nødvendig. Journal/ nedtegnelser er tilnærmet komplett Uautorisert innsyn i ikke sensitive personopplysninger eller personopplysninger der konfidensialitet er nødvendig. Brudd på lov. I forhold til enkeltpersoner Noen mangler i Journal/ nedtegnelser Mulighet for endring av personopplysninger Registeret har tapt integritet for enkeltperson. Uautorisert innsyn i enkelte sensitive personopplysninger eller personopplysninger der konfidensialitet er nødvendig. Brudd på lov. En eller få kan få innsyn Hele/deler registeret avdekket på fakultets- /avdelingsnivå Viktig informasjon mangler i journal/ nedtegnelser Mulighet for endring av enkelte sensitive personopplysninger eller personopplysninger der integritet er nødvendig. Fullt uautorisert innsyn i alle sensitive personopplysninger eller personopplysninger der konfidensialitet er nødvendig. Brudd på lov. Mange kan få innsyn der konfidensialitet er nødvendig. Hele registeret avdekket på institusjonsnivå Kritisk informasjon mangler i journal/ nedtegnelser og brudd på lov. Mulighet for omfattende uautorisert endring av alle sensitive personopplysninger eller personopplysninger der integritet er nødvendig. Tilgjengjeli ghet Systembrudd er uvesentlig. Utfall 1 dag (studentregistrering /eksamen 1-2 timer) Systembrudd kan føre til skade dersom reservesystem ikke fins. Utfall opptil 5 dager. (studentregistrering /eksamen = 2 t). System settes ut av drift opptil 14 dager (studentregistrering /eksamen = 5 t) System settes ut av drift mer enn 4 uker (studentregistrering /eksamen = 1 dag) Hensikten med å fastsette risiko er å få en oversikt over virksomhetens trusselbilde og bruke dette som grunnlag for å redusere de risikoer man ikke kan akseptere. Personopplysningsforskriften 2-4 slår fast at «Virksomheten skal selv fastlegge kriterier for akseptabel risiko forbundet med behandlingen av personopplysninger». En forutsetning for å kunne vurdere graden av risiko er at det finnes etablerte kriterier å vurdere opp mot. Det må fastsettes grenser for hva som er akseptabel risiko innenfor områder som helse, omdømme, økonomi, etterlevelse av lover og forskrifter, etc., og retningslinjer for å anslå når en risiko øker Utkast 0.3 Side 12 2013-31-08

ut over dette nivået. Ansvaret for å fastlegge akseptabelt risikonivå for organisasjonen må legges der ansvaret for en eventuell hendelse ligger, altså er dette en ledelsesbeslutning. Selv om behandlingsansvarlig i virksomheten skal fastlegge kriterier for akseptabel risiko, vil også ytre forhold og regulatoriske krav kunne legge føringer for dette. For eksempel sier personopplysningsforskriften at «Datatilsynet kan gi pålegg om sikring av personopplysninger, herunder fastlegge kriterier for akseptabel risiko forbundet med behandling av personopplysninger». I tillegg kan Datatilsynet gjennom pålegg fastlegge kriterier for akseptabelt risikonivå for virksomheter som har besluttet et for lavt nivå, eller for virksomheter som ikke har fastlagt akseptabelt risikonivå. Akseptabel risiko Etter at man har funnet risikonivået for en hendels, skal man vurdere om risikoen er akseptabel eller ikke. For å kunne gjøre dette må man ha definert hva som er et akseptabelt risikonivå. Der hvor man ikke kan benytte lovkrav eller virksomhetskrav for å avgjøre om risikoen er akseptabel, kan arbeidsgruppen se på det resulterende risikonivået (se risikomatrisen). Dersom risikoen er høy bør den trolig ikke aksepteres, da konsekvensene trolig kan medføre vesentlige økonomiske (og andre) problemer for virksomheten. Dersom risikoen havner i det midtre området må veie kostnaden opp mot nytten av å redusere den aktuelle risikoen. Dersom kostnadene overstiger den antatte nytten (i kroner) av å redusere risikoen, er det lite hensiktsmessig å gjøre noe (risikoen aksepteres). Motsatt, dersom nytten av å redusere risikoen antas å være høyere enn kostnadene, bør risikoen reduseres (risikoen er uakseptabel). Prosjektgruppen satte 4 som akseptabelt nivå der driveren er sannsynlighet, og 3 der driveren er konsekvens. Utkast 0.3 Side 13 2013-31-08

Vedlegg Selve ROS vurderingen finnes i vedlagte regneark: ROS_vurdering box_com 30_04_13-revisjon31_08_13.xlsx Utkast 0.3 Side 14 2013-31-08

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding