INTERNKONTROLLINSTRUKS 1 Sikkerhetsmål og sikkerhetsstrategi Internkontrollinstruks for Frischsenteret Gjeldende fra 1.1.2003 1 Innledning Datasikkerhet er svært viktig for et forskningsinstitutt, av to grunner: Personvern. Vi er betrodd taushetsbelagte opplysninger, underlagt personopplysningsloven og eventuelt konsesjon fra Datatilsynet, og har ansvaret for at disse ikke kommer på avveie. Beskyttelse av investeringer. Svært mye av vår produksjon er lagret som datafiler, f.eks. bearbeidede datasett, egenutviklede programmer, rapporter og arbeidsnotater. Dette er kapital som det koster mye å gjenskape, og hvor det er viktig å sikre kvalitet. Dette dokumentet er det overordnete styringsdokumentet i Frischsenterets system for informasjonssikkerhet. Den gjennomgår lovgrunnlaget, fastlegger sikkerhetsmål, sikkerhetsstrategi, krav til sikkerhetsinstruks og øvrig dokumentasjon, samt ansvarsfordelingen mellom ledelse, driftspersonell og øvrige ansatte. 2 Lovgrunnlag og definisjoner 2.1 Personopplysningsloven Lov av 14. april 2000 nr 31 om behandling av personopplysninger (personopplysningsloven) fastlegger grunnleggende regler. Loven gjelder fra 1.1.2001, men konsesjoner etter den eldre personregisterloven gjelder inntil ny konsesjon foreligger dersom søknad er sendt innen 31.12.2002. Lovens 2 gir definisjoner, 8 og 9 gir vilkårene for å behandle personopplysninger, 13 fastlegger krav til gjennomføring og dokumentasjon av informasjonssikkerhet, og 14 fastlegger krav til gjennomføring og dokumentasjon av internkontroll.
INTERNKONTROLLINSTRUKS 2 2.2 Personopplysningsforskriften Forskrift til personopplysningsloven fastsatt ved kongelig resolusjon 15. desember 2000 har mer detaljerte regler som utfyller loven på en rekke punkter. Av særlig interesse er kapitlene 2 om informasjonssikkerhet og 3 om internkontroll, samt kapittel 7 om melde og konsesjonsplikt. Kapittel 6 om overføring av personopplysninger til utlandet kan i enkelte tilfeller være relevant. 2.3 Helseregisterloven Lov av 18. mai 2001 nr 24 om helseregistre og behandling av helseopplysninger (Helseregisterloven) har spesifikke regler for helseområdet, og inneholder bl.a. i 17 tilsvarende regler for internkontroll. 2.4 Definisjoner Blant de sentrale definisjonene i personopplysningslovens 2 er : 1) personopplysning: opplysninger og vurderinger som kan knyttes til en enkeltperson, 3) personregister: registre, fortegnelser m.v. der personopplysninger er lagret systematisk slik at opplysninger om den enkelte kan finnes igjen, 4) behandlingsansvarlig: den som bestemmer formålet med behandlingen av personopplysninger og hvilke hjelpemidler som skal brukes, 8) sensitive personopplysninger: opplysninger om a) rasemessig eller etnisk bakgrunn, eller politisk, filosofisk eller religiøs oppfatning, b) at en person har vært mistenkt, siktet, tiltalt eller dømt for en straffbar handling, c) helseforhold, d) seksuelle forhold, e) medlemskap i fagforeninger. 2.5 Vilkår for behandling Forskningsmessig behandling av personopplysninger er hjemlet i personopplysningslovens 8 behandlingen er nødvendig for... d) å utføre en oppgave av allmenn interesse. For sensitive opplysninger er kravet strengere ved at en i tillegg krever i 9 at h) behandlingen er nødvendig for historiske, statistiske eller
INTERNKONTROLLINSTRUKS 3 vitenskapelige formål, og samfunnets interesse i at behandlingen finner sted klart overstiger ulempene den kan medføre for den enkelte. 2.6 Innsyn Innsynsretten gjelder ikke for forskningsregistre i den forstand at enkeltpersoner ikke kan kreve å se hva som er registrert om dem selv, men enhver som ber om det skal etter personopplysningslovens 18 likevel få vite hva et register inneholder og hvordan det brukes. 2.7 Melde og konsesjonsplikt Personopplysningsforskriftens 7-25 gir regler for når et forskningsprosjekt kun er meldepliktig og ikke konsesjonspliktig. Det er ikke et vilkår at det ikke er sensitive opplysninger, men krav om respondentens samtykke og at personregistre ikke sammenstilles gjør at de fleste aktuelle forskningsregistrene likevel er konsesjonspliktige. 2.8 Øvrig dokumentasjon Datatilsynets hjemmesider på www.datatilsynet.no inneholder alle relevante lover og forskrifter, og gir i tillegg en del veiledninger og skjemaer som kan være nyttig for tolkning av regler og utforming av informasjonssystemer. 3 Sikkerhetsmål Sikkerhetssystemet skal utformes slik at det kan utføres god og relevant forskning basert på persondata uten unødig risiko for at sensitive opplysninger om identifiserbare enkeltpersoner kommer på avveie. Sikring av konfidensialitet for disse opplysningene er en nødvendig kostnad ved forskningen. Også ikke-sensitive opplysninger om identifiserbare enkeltpersoner skal sikres mot utlevering i den grad det er mulig uten at det hindrer en god utnyttelse av datamaterialet. Frischsenteret skal ha et høyt nivå på sikring av konfidensialitet, og en lav akseptabel risiko som konkretiseres i sikkerhetsinstruksen. Sikkerhetssystemet skal også sikre opplysningenes integritet og tilgjengelighet uten at det går på bekostning av konfidensialiteten.
INTERNKONTROLLINSTRUKS 4 4 Sikkerhetsstrategi 4.1 Soner Fysisk og logisk oppbevaring og tilgang til informasjon baseres på tre definerte soner, og på sikkerhetsbarrierer mellom disse: Ekstern sone omfatter nettet ved Universitetet i Oslo (UiO) og de ressursene Frischsenteret har tilgang til som del av avtale med Universitetets senter for informasjonsteknologi (USIT), med nettverksforbindelse videre til internett mer generelt. Tilgang til universitetsnettet kontrolleres av USIT. Intern sone omfatter maskiner og ressurser i Frischsenterets lokaler, samt spesifiserte maskiner utenfor lokalene som har adgang gjennom krypterte forbindelser etter autentisering. Tilgang gis i utgangspunktet til alle Frischansatte, og er basert på USITs brukeradminstative systemer og Forskningsparkens nøkkelkort. Sikker sone skal være sikret mot enhver uautorisert tilgang fra omverdenen, både fysisk og nettverksmessig. Tilgang skal kontrolleres i detalj for hver enkelt medarbeider med egne passord og krypteringssystemer eller fysiske låser og autoriseres av forskningssjef eller nettverksansvarlig. Enhver overføring av resultater eller annen informasjon fra sikker sone til intern sone skal initieres innenfra sikker sone. 4.2 Lagring og bearbeiding av personopplysninger Sensitive personopplysninger skal kun lagres og bearbeides i sikker sone. Sensitive data kan i særskilte tilfeller etter en konkret vurdering av forskningssjefen av sikkerhet og risiko, etter nærmere regler som fastsettes i sikkerhetsinstruksen, bearbeides andre steder dersom det er nødvendig for å få utført en analyse. I slike tilfeller skal alle nøkler og kodebøker til forståelse av datasettets innhold forbli i sikker sone ved Frischsenteret. Tilgang til de enkelte datasettene med sensitive personopplysninger skal kun gis til spesifiserte prosjektmedarbeidere etter vurdering av forskningssjefen. Ikke-sensitive personopplysninger skal som hovedregel lagres og bearbeides i sikker sone dersom det ikke er vanskelig å identifisere enkeltpersoner. Dersom det er
INTERNKONTROLLINSTRUKS 5 vanskelig å identifisere enkeltpersoner kan slike opplysninger lagres og bearbeides i intern sone. Tilgang til de enkelte datasettene skal kun gis til spesifiserte prosjektmedarbeidere etter vurdering av prosjektansvarlig eller forskningssjefen. Om forskningssjefen finner det nødvendig for bearbeiding at ikke-sensitive personopplysninger overføres til andre systemer, skal dette kun skje etter en konkret risikovurdering. Andre taushetsbelagte datasett som ikke inneholder opplysninger om fysiske personer, men om f.eks. bedrifter, organisasjoner eller andre enheter, skal behandles på linje med ikke-sensitive personopplysninger. Anonyme datasett som ikke inneholder personopplysninger faller ikke inn under Personopplysningsloven og kan lagres og bearbeides i intern sone, men skal likevel som hovedregel behandles med forsiktighet. 4.3 Sikkerhetsklasser Alle datasett i Frischsenterets varetekt skal klassifiseres i sikkerhetsklasse etter sensitivitet og identifiserbarhet. Sikkerhetsklassifiseringen gir grunnlaget for regler om lagring og bearbeiding av data i de ulike sonene, tilgangskontroll og sletting. Detaljene i Frischsenterets system for informasjonssikkerhet fastsettes av forskningssjefen i en egen sikkerhetsinstruks. 5 Dokumentasjon 5.1 Internkontrollinstruks Internkontrollinstruksen (dette dokumentet) skal inneholde overordnede krav til sikkerhet i informasjonssystemet, rutiner og ansvar for oppfylling av personopplysningslovens krav, og skal tilfredsstille dokumentasjonskravet i personopplysningslovens 14 og personopplysningsforskriftens kapittel 3. Instruksen fastsettes av Frischsenterets styre. Instruksen skal til enhver tid være kjent og tilgjengelig for de ansatte.
INTERNKONTROLLINSTRUKS 6 5.2 Sikkerhetsinstruks Sikkerhetsinstruksen skal inneholde detaljerte krav til utforming av informasjonssystemet som sikrer konfidensialitet, integritet og autorisert tilgjengelighet til personopplysninger. Den skal fastlegge kriteriene for akseptabel risiko etter 2-4 i personopplysningsforskriften, og tilfredstille de varige dokumentasjonskravene i de øvrige sikkerhetsbestemmelsene i kapittel 2 av personopplysningsforskriften. Den skal videre gi konkrete prosedyrer for å få tilgang til opplysninger for autoriserte medarbeidere, inndeling av ulike deler av hver sone og krav knyttet til disse, prosedyrer for uthenting av resultater, transport av data, kryptering, sikkerhetskopiering, fysiske låsesystemer og avviksrapportering. Instruksen skal til enhver tid være kjent og tilgjengelig for de ansatte. 5.3 Dataoversikt Dataoversikten skal føres som et løpende register over de datasett som til enhver tid befinner seg hos Frischsenteret. Dataoversikten skal vise hvilken sikkerhetsklasse datasettet befinner seg i langs aksene sensitivitet og identifiserbarhet, og derved hvilke sikkerhetstiltak som er nødvendig. Oversikten skal også angi konsesjonsvilkår, krav om sletting og bruksklausuler ellers. Avledede datasett skal registreres separat dersom de er bearbeidet eller koblet slik at de blir kategorisert i en annen risikoklasse enn grunnlagsdataene. 5.4 Risikovurdering Risikovurderingen skal vurdere sannsynligheten for og konsekvensen av sikkerhetsbrudd og sammenholde disse med kriteriene for akseptabel risiko fastsatt i sikkerhetsinstruksen. Risikovurderingen skal revideres årlig eller oftere ved endringer i sikkerhetsinstruksen eller informasjonssystemet som kan ha betydning for sikkerheten. 5.5 Driftsdokumentasjon Driftsdokumentasjonen skal gi en opplisting av alle komponenter i informasjonssystemet i sikker sone og i sikkerhetsbarrierene, både maskinvare og programvare, og hvordan disse vedlikeholdes, lisensieres, overvåkes og oppdateres.
INTERNKONTROLLINSTRUKS 7 Videre skal det gis detaljerte anvisninger om hvordan en foretar autentisering og tilgangskontroll for de ulike ressursene, og hvem som til enhver tid har tilgang til de ulike ressursene og datasettene. 5.6 Logger og avviksrapportering All endring av autorisering og tilgangskontroll, installasjon av ny programvare, og uautoriserte forsøk på tilgang skal loggføres og automatisk meldes til nettverksansvarlig. Øvrig bruk av ressurser i sikker sone skal såvidt mulig logges for å kunne avsløre avvik ved stikkprøver eller andre indikasjoner på sikkerhetsbrudd. Brudd på sikkerhetsinstruksen skal meldes til forskningssjefen. 6 Ansvarsfordeling Samtlige ansatte ved Frischsenteret skal undertegne en taushetserklæring der det går fram at de er kjent med innholdet i denne internkontrollinstruksen og i sikkerhetsinstruksen. Ved vesentlige endringer i instruksene skal ny erklæring undertegnes. Prosjektdeltakere skal i tillegg sette seg inn i vilkår og undertegne eventuelle taushetserklæringer knyttet til bruk av de enkelte datasettene. Prosjektledere er normalt registeransvarlige overfor Datatilsynet. Dersom data skal brukes på flere prosjekter med ulike prosjektledere er forskningssjefen registeransvarlig. Registeransvarlig skal ha full kontroll med alle kopier av personregistere, sørge for at datasettene er dokumentert og sikkerhetskopiert og spesielt ta stilling til om et datasett inneholder personopplysninger, samt om disse i så fall er sensitive personopplysninger. Registeransvarlig skal angi hvilke prosjektdeltakere som skal ha tilgang til de enkelte datasettene. Driftsansvarlig skal forestå den daglige driften av utstyr i sikker sone og sikkerhetsbarrierene mellom de ulike sonene, samt gi tilgang til sikker sone og de ulike datasettene etter instruks fra forskningssjefen eller nettverksansvarlig. Driftsansvarlig skal videre foreslå driftsdokumentasjon, iverksette og overvåke logger, og foreslå endringer i sikkerhetsinstruksen.
INTERNKONTROLLINSTRUKS 8 Nettverksansvarlig fastlegger driftsrutiner og driftsdokumentasjon, utarbeider risikovurderinger og foreslår endringer i internkontrollinstruks og sikkerhetsinstruks. Nettverksansvarlig autoriserer tilgang til ikke-sensitive personopplysninger etter forslag fra prosjektleder. Forskningssjefen fastsetter sikkerhetsinstruksen, og har det overordnete ansvaret for at internkontrollinstruksen blir fulgt. Forskningssjefen står for dataoversikten og sikkerhetsklassifiserer datasettene, og autoriserer tilgang til sensitive personopplysninger etter forslag fra prosjektleder. Forskningssjefen har også ansvaret for at systemer og dokumenter jevnlig blir gjennomgått med tanke på eventuelle endringer. Styret for Frischsenteret fastsetter internkontrollinstruksen. 7 Revisjon Det skal årlig foretas en sikkerhetsrevisjon for verifisere at de sikkerhetstiltak som er bestemt, herunder reglene om lagring, tilgang til og sletting av taushetsbelagte data, faktisk er etablert og blir etterlevd. Nærmere regler om sikkerhetsrevisjon fastsettes i sikkerhetsinstruksen. Sikkerhetsinstruks, internkontrollinstruks og risikovurdering skal gjennomgås av forskningssjefen og nettverksansvarlig med tanke på endringer når det anses nødvendig, og minst en gang per år.