Sikkerhet ved outsourcing. Espen Grøndahl IT-sikkerhetssjef UiO

Like dokumenter
GDPR. The General Data Protection Regulation. Ny personvernlov i Norge basert på EUs direktivet vedtatt 2016

Personvern nytt landskap i #Oppdatert Tromsø 14. september 2017 Senioradvokat Simen Evensen Breen

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale

Tiltaksplan for oppfølging av revisjonsrapport om systemforvaltning i Pasientreiser ANS

Vedrørende behandling av personopplysninger. mellom Norsk Tipping AS (BEHANDLINGSANSVARLIG) xx (DATABEHANDLER)

Risiko- og sårbarhetsanalyse i forbindelse med bruker med begrenset tilgang for inn- og utregistrering

1.4 Det skal leveres en beskrivelse av eierskapsmodell for registrerte data og fordeling av ansvar for behandling og vedlikehold av disse.

Bestemmelser tilknyttet elektronisk samarbeid med Vinmonopolet

Tredjepartsvilkår. Charlotte Lindberg Difi

Innledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten

Public 360 Online Datasikkerhet

Avvikshåndtering og egenkontroll

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik

Personvernerklæring. 3) være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for («dataminimering»)

som gjelder databehandlerens behandling av personopplysninger på vegne av datakontrolleren.

Personvernerklæring. Nordix Data AS Gjeldende fra

Når det brukes "vi", "våre" eller "oss" nedenfor, menes det Norsk Byggtjeneste AS.

Underbygger lovverket kravene til en digital offentlighet

Databehandleravtale I henhold til ny personvernlov, jf. personvernforordningen art. 28 nr. 3, inngås databehandleravtale mellom Kunden

Databehandleravtale for NLF-medlemmer

Hvordan være lur. Ståle Askerød Johansen - UiO-CERT Espen Grøndahl IT-sikkerhetssjef

Når du skal handle noe fra nettbutikken, må du oppgi følgende opplysninger:

AVTALE OM BEHANDLING AV HELSE- OG PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) I FORBINDELSE MED DRIFT AV HELSENETTET OG TILKNYTTEDE TJENESTER

DATABEHANDLERAVTALE. , org. nr. («Behandlingsansvarlig»)

*Sikkerhetsbehov: K: Konfidensialitet, T: Tilgjengelighet, I: Integritet **Tiltak kan være både organisatoriske og tekniske.

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001

Sikkerhet og effektivitet

Skytjenester utviklingstrekk, krav og forventninger. Frank Skapalen NVE

WordPress Driftsavtale / SLA

Skytjenester. Forside og Databehandleravtale. Telenor Norge

Personvern - sjekkliste for databehandleravtale

Cloud computing og offshoring. Juridiske sjekkpunkter for overføring av data til utlandet. Espen Werring, 1. desember 2011

Sikkerhet i Pindena Påmeldingssystem

Personvernpolicy for forbrukerkunder

POWEL DATABEHANDLERAVTALE

Smarte bygg og personvern

1.2. Vi lagrer ikke personopplysninger på våre servere med mindre det kreves for den pågående driften av denne Tjenesten.

Mellom. (heretter kalt Behandlingsansvarlig) Orgnr: ØkonomiBistand AS (heretter kalt Databehandler) Orgnr:

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

VILKÅR FOR BRUK AV PREODAY APP OG E-HANDELSLØSNING

Perspektiver og planer ved Universitetet i Oslo

Personvern i skyen Medlemsmøte i Cloud Security Alliance

Arbeids- og velferdsetaten Vedlegg [sett inn vedlegg] Databehandleravtale Kontraktsnummer: [sett inn kontraktsnummer] Side 1 av 6

GDPR Prosjektgjennomføring Sjekkliste

GDPR Automatiser prosessen med Sesam

HVEM ER JEG OG HVOR «BOR» JEG?

Databehandleravtale. mellom. Navn på skoleeier: Org. nr.: (behandlingsansvarlig)

Nytt personvernregelverk på 1-2-3

VirtHome eller muligens WebID Bedre forslag? Send en e-post til

Retningslinjer for databehandleravtaler

Krav til utkontraktering av drift 1 1. Oppbevaring av regnskapsmateriell og oppdragsdokumentasjon

Kvalitetssikring av feideforvaltningen. Senter for IKT i Utdanningen 24.April 2013 Harald Torbjørnsen

KiNS seminar for fylkeskommunene Databehandleravtaler. Datatilsynet ved seniorrådgiver Ragnhild Castberg

AVTALE OM BEHANDLING AV PERSONOPPLYSNINGER (DATABEHANDLERAVTALE)

Samarbeidsavtale om digitale tjenester for de kommunale sosiale tjenestene

Personvernregelverkets krav til skytjenester. Personvernregelverket. Krav og prinsipper

Disse retningslinjene for personvern beskriver hvordan vi bruker og beskytter informasjon som du oppgir i forbindelse med bruk av nettstedet vårt.

Identitetsstyring og tilgangskontroll innenfor et SOA-regime. Ragna Fossen,

Data be handleravtale. mellom. NNN ko m m u n e avd Oppvekst. 9sr Se%5»o. («Behandlingsansvarlig») IMAL Norge AS. Org.nr.

Politiske møtedokument

BRUKERVEILEDNING TIL TRINN 1 - Datakartlegging

Sporveien AS standardvilkår for Databehandleravtaler Versjon Vedlegg 1 til Databehandleravtale mellom Sporveien AS og Databehandler

Databehandleravtale. Databehandleravtalens hensikt. Behandlingsansvarliges rolle. Databehandlers rolle

Ketil Øyesvold Melhus Registrert Gestaltterapeut MNGF DOKUMENTASJON AV PERSONVERN

Avtale om behandling av personopplysninger (databehandleravtale) i forbindelse med <navn på tjeneste> (heretter omtalt som «avtalen»)

Datasikkerhetserklæring Kelly Services AS

3. Databehandleravtale

Databehandleravtale etter personopplysningsloven

GDPR. General Data Protection Regulation Personvernforordningen, erstatning for personopplysningsloven - fra 2018

Blir du klar til mai 2018?

Personvernerklæring for MOOC

Bruksvilkår for Difis felleskomponenter

«Vi vil sikre dine opplysninger og gi deg full åpenhet om og kontroll over opplysningene»

Databehandleravtale etter personopplysningsloven

Velkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) Susanne Helland Flatøy Markedssjef Digital Kvalitet

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:

IKT-reglement for Norges musikkhøgskole

Databehandler. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

PERSONVERNERKLÆRING FOR KUNDER, LEVERANDØRER OG PARTNERE HOS PROTRUCK AS

Registrerte og personopplysninger som behandles

Nye personvernregler fra mai Hva betyr det for din virksomhet? Advokat Sverre McSeveny-Åril og advokat Maja Glad Pedersen

Denne personvernerklæringen handler om hvordan El-Tilsynet as samler inn og bruker personopplysninger om deg.

Personvernerklæring Meldal Regnskapskontor SA

EcoNovas personvernerklæring

V I L K Å R F O R A D M I N I S T R A S J O N S V E R K T Ø Y T I L M O B I L E P A Y F O R B E D R I F T

Personvern i helse, både pasientdata og personaldata. Hvilke utfordringer innebærer GDPR?

Personvernerklæring. Telenor Norge AS. (Gjeldende fra )

ISO Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen

Databehandleravtale. Digitale løsninger og GDPR (General Data Protection Regulation)

Håndtering av personlig informasjon

Behandlingsansvarlig Virksomheter som bestiller opplæring i forbindelse med Nasjonal sikkerhetsmåned

Uansett hvor man står, ikke bli stående! Nye personvernregler fra mai 2018

Vi vil ut I skyen hva gjør vi? Tilgangsstyring. Foredrag på NIFS-møte ved Seniorrådgiver Mari Vestre Difi

Personvernerklæring. 1. Innledning

Personvernerklæring for Flyt Høgskolen i Molde

Direktoratet for IKT og fellestjenester i høyere utdanning og forskning

Personopplysningsvern med ProFundo som databehandler

MØRKETALLSUNDERSØKELSEN 2010

Service Level Agreement (SLA)

Transkript:

Sikkerhet ved outsourcing Espen Grøndahl IT-sikkerhetssjef UiO

Agenda Sikkerhet - hva er det egentlig? Uønskede hendelser Hva må en huske på? Tør vi dette da?

Sikkerhet "Sikkerhet kan defineres som en tilstand; fravær av uønskede hendelser eller frihet fra fare og frykt. Denne tilstanden er imidlertid ikke statisk, men påvirkes av endringer i faktorer som trussel og farer, sårbarhet og verdi. " - Store Norske Leksikon

Uønsket hendelse, hva er nå det da? Tap av data Tap av renommé Økonomisk tap eller erstatningsansvar Tap eller fare for liv

SIKKERHET VED OUTSOURCING

Hva bør vi tenke på Hvilke data? Hvordan flyter data? Hva skal de brukes til? Brukerhåndtering og tilganger Merkantile forhold Juridiske forhold Oppdateringer, endringer og vedlikehold Driftsmiljø Revisjon og tilsyn

Hvilke opplysninger skal overføres? Personopplysninger Sensitive personopplysninger Arkivpliktige opplysninger Regnskapsdata Bedriftshemmeligheter Andre data av stor verdi Data underlagt eksportkontroll

Hvordan flyter data? Hvilke data overføres hvordan? Og når? Kryptert? Informasjon om brukerne? Brukernavn, fullt navn, e-post, telefonnummer Provisjonering ved bruk, eller i bulk. Autentisering? Synkronisering av passord SAML2, FEIDE, Dataporten, LDAP, AD Autorisasjon Grupper, roller? Manuelt eller fra kildesystem Hvordan oppdateres disse? Finnes historikk? Flyter data tilbake? kan det indirekte påvirke sikkerheten på lokale løsninger?

Hva benyttes data til? Benyttes de kun til ditt formål, og innenfor det avtalene tillater? Er det spesifisert godt nok? Kan det skje endringer over tid? Har alle parter den samme oppfatningen av avtalen? Kan leverandøren benytte data til eget formål? Forbedring av tjenestene Til reklame / markedsføring Kan data selges til tredjepart? Til profilering av brukerne?

Brukerhåndtering og tilganger Innrullering, avslutning og sperring Hvordan gis tilgang? Hvordan fjernes tilganger? Kan en sperre en bruker ved tap av passord, eller mistanke om misbruk? Tilgangskontroll Sporing av endring Sporing av bruk Avdekke uautorisert bruk Tilgang for driftspersonell

Merkantile forhold Eierstrukturer hos leverandør Lisenser gratis er ikke alltid gratis, må det ut på anbud? Underleverandører - I flere ledd og over landegrenser? Bruksvilkår - "fair use" Eierskap til data "Exit-strategi" SLA? Tjenestekvalitet? Sanksjoner? Avvikshåndtering - setter avtalene begrensninger?

Juridiske forhold Databehandleravtaler Risikoanalyser Er systemet innenfor akseptabel risiko? Hvem eier denne risikoen? Du som kunde, eller sluttbruker? Lovlig grunnlag for å overføre data til utlandet EU/EØS? USA? Andre? Formåls- og hjemmelsvurderinger Hva skal systemet brukes til? Finnes det lovhjemmel for å samle inn personopplysninger til dette? Personvern Innebygd personvern Trygge standard-innstillinger

Oppdateringer, endringer og vedlikehold Hvordan oppdateres tjenesten? Kontinuerlig? Varsles det? Kan du som kunde styre det? Kan endringer utløse endringer i avtaler eller risikoanalyser? Kan det avtales rammer som det kan endres innenfor? Sikkerhetshendelser Hvordan vil du som kunde bli varslet? Har du muligheter til å avdekke det selv? Tilgang til logger? Tilgang til leverandør? Er du en liten kunde hos en stor leverandør?

Driftsmiljø Serverhaller? AWS? Azure? Backup? Hvordan holdes data separat fra andre kunder? SLA oppetid? Tilgang til data Fra driftspersonell Fra utenlandske myndigheter Fra underleverandører Har du tilgang på logger?

Revisjon og tilsyn Hvordan sikrer du at leverandøren overholder alle krav? Kan du føre tilsyn? Kan du teste sikkerheten? Tredjepartstilsyn? Tilgang på rapporter Muligheter ved avvik Sertifiseringer ISO 27001 ITIL Hva er dekket? Og hva er "reklame"?

Tør vi dette da?

Hvor godt kontroll har du "egentlig" in-house? Teknisk sikkerhet Er alt fullt patchet alltid? Full kontroll på brukertilganger Konfigurert etter "best practices" Tilgang til maskinrom Backup / restore Tilgang til kompetanse, ressurser og tid internt Merkantilt/juridisk Alle avtaler er på plass og arkivert Risikoanalyser er oppdatert

Det hele handler om risiko Hvilken risiko er vi villige til å ta? Tar vi risiko selv, eller på vegne av andre? Er den innenfor det vi kan akseptere? Tas denne avgjørelsen av rett person? Er de tingene vi er redd for innenfor trusselmodellen vår? Er NSA ute etter julebordspåmeldingene våre? Veldig fort gjort å bli for redd for de feil tingene.

Oppsummering Fullt mulig å outsource mange tjenester Noen vil kreve mer enn andre Neppe ønskelig eller mulig å komme utenom outsourcing De færreste vil ha økonomi eller ressurser til å drive alt selv Velg de rette tjenestene å sette ut Rett for din virksomhet, basert på strategi, økonomi og kompetanse Gjør papirarbeidet avtaler, jus og risikoanalyser Følg opp leverandørene! Benytt avtalene, si i fra ved brudd og sjekk at de følges.

Spørsmål?

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding