Internkontroll og informasjonssikkerhet lover og standarder Renate Thoreid, senioringeniør Side 1
Internkontroll og Informasjonssikkerhet Krav i Personopplysningsloven 13 og 14 Krav i Personopplysningsforskriften kapittel 2 Normer og standarder Veiledningsmateriale Hvordan komme i gang?
Redegjørelse for arbeidet med internkontroll og informasjonssikkerhet
Side 4
Veileder og maler Veileder og maler er tilgjengelig på datatilsynet.no Støtteverktøy Maler Risikovurdering Databehandleravtale Cloud computing Sikkerhetsarkitektur
Administrasjon av informasjonssikkerhet Norm og standard Side 6
ISO/IEC 27002 Code of practice for information security management En katalog med forslag til sikringstiltak
Sikkerhetspolicy Side 8
Side 9
Personopplysningsloven POL 13 Informasjonssikkerhet..gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet. Hva er tilfredsstillende? Og tilfredsstillende for meg? Hva krever 14 Internkontroll? Den behandlingsansvarlige skal etablere og holde vedlike planlagte og systematiske tiltak som er nødvendig for å oppfylle kravene i eller i medhold av denne loven, herunder personopplysningenes kvalitet Den behandlingsansvarlige skal dokumentere tiltakene Dokumentasjonen skal være tilgjengelig hos den behandlingsansvarlige og hos databehandleren Dokumentasjonen skal også være tilgjengelig for Datatilsynet og Personvernnemda
Personopplysningsforskriften kapittel 2 Informasjonssikkerhet 2-1 Forholdsmessige krav om sikring av personopplysninger Reglene i dette kapittelet gjelder for behandling av personopplysninger som helt eller delvis skjer med elektroniske hjelpemidler der det for å hindre fare for tap av liv og helse, økonomisk tap eller tap av anseelse og personlig integritet er nødvendig å sikre konfidensialitet, tilgjengelighet og integritet for opplysningene. Der slik fare er til stede skal de planlagte og systematiske tiltakene som treffes i medhold av forskriften, stå i forhold til sannsynligheten for og konsekvens av sikkerhetsbrudd.
Personopplysningsforskriften Hva sier forskriften til kapittel 3:...pålegger den behandlingsansvarlige å ha et system som sikrer gjennomføring av de pliktene loven pålegger....behandlingsansvarlige må ha rutiner også for etterlevelse av disse bestemmelsene. Det bør ikke være enkelt å få dispensasjon fra forskriften bl.a. fordi internkontrollsystemet er et av de sentrale kontrollinstrumenter personopplysningsloven stiller
Styringssystem for informasjonssikkerhet(isms) Ledelse og organisering Formål, sikkerhetsmål, sikkerhetsstrategi, akseptkriterier Sikkerhetsorganisasjon Hvem gjør hva? Ansvar og oppgaver Sikkerhetsbestemmelser 13 Informasjonssikkerhet Prosedyrer (drift, administrasjon, rapportering) 14 Internkontroll Prosedyrer (ivaretakelse av loven) Kontroll og oppfølging Sikkerhetsrevisjon Risikovurdering Avviksrapportering Ledelsens gjennomgang
Styrende del: Internkontroll - styrende Ansvarsplassering Oversikt over behandlinger Formål og hjemmelsgrunnlag for behandlingene Identifisere krav og plikter Mål / policy overordnede rammer for behandlinger av personopplysninger Sikkerhetsrevisjoner(egenkontroll) og avviksbehandling Styrende dokumenter for informasjonssikkerhet Mål Strategier Akseptkriterier(akseptert risikonivå) Organisering
Internkontroll - gjennomførende Gjennomførende del (rutiner for): Innhenting og kontroll av samtykke Informasjonsplikt når det samles inn opplysninger fra den registrerte fra andre en den registrerte Vurdering av opplysningenes kvalitet Innsyn og retting Sletting av personopplysningene Melde- og konsesjonsplikt Oppstart og opphør av behandling Med flere Informasjonssikkerhet
Kontrollerende del: Internkontroll - kontrollerende Sikkerhetsrevisjoner(egenkontroll) rutiner for kontroll av rutiner Avvikshåndtering rutiner for håndtering av brudd på internkontroll og informasjonssikkerhet Rapport fra sikkerhetsrevisjoner(egenkontroll) og forslag til tiltak Ledelsens gjennomgang Den behandlingsansvarliges verktøy for å se til at regelverket følges (gjennom rutiner) Skal også avdekke uhensiktsmessige eller manglende rutiner
Personopplysningsforskriften Kapittel 2 Informasjonssikkerhet Veilederen gjelder for offentlige og private virksomheter som behandler personopplysninger Veilederen fokuserer på hvordan en virksomhet bør implementere teknologiske tiltak for informasjonssikkerhet
Personopplysningsforskriften (krav) Organisering - ansvar og myndighet/drift og styring 2-7 kontrollerende sikkerhetsledelse, utøvende eks. driftspersonell personvernombud konfigurasjon, sikkerhetsbarrierer, soner(informasjonssystemets utforming) dokumenterte rutiner Personell 2-8 opplæring, kunnskap og kompetanse Taushetsplikt 2-9 Ansatte, databehandlere og eksterne Fysisk sikring 2-10 adgangskontroll bygningsmessig sikring utstyr
Personopplysningsforskrift (krav) Sikring av konfidensialitet - ref risikovurdering 2-11 hindre uautorisert innsyn; kryptering, skjerming, merking, sletting, sikker sone, klipp og lim, lagring osv. Sikring av tilgjengelighet - ref risikovurdering 2-12 alternativ tilgang, sikkerhetskopier, osv Sikring av integritet - ref risikovurdering 2-13 hindre utilsiktet endring av personopplysninger og sikkerhetstiltak, tilgangsstyring, autorisasjonskontroll, logging Sikkerhetstiltak 2-14 Tilfredsstillende sikkerhet, nettverks- og applikasjonskontroller, hindre sikkerhetsbrudd, soner, avdekke hendelser, opplæring Sikkerhet hos andre virksomheter 2-15 partnere og leverandører, kontrakter(databehandleravtale) Side 19
Prosesstilnærming Plan (Planlegge): sette kvalitetsmål og utarbeide handlingsplan for å nå dette; dette er ledelsens ansvar og alles oppgave. Do (Utføre): iverksette og gjennomføre handlingsplanen; er et lederansvar og alles oppgave Check /Study (Evaluere/måle): evaluere at handlingsplanen har medført endringer i praksis som er i tråd med kvalitetsmål Act (Korrigere): omfatter avviksbehandling og eventuelt iverksettelse av korrigerende tiltak (fjerne avvik) for å forbedre praksis ytterligere AS Korrigere: - ledelsens gjennomgåelse av status Act- A Kontrollere: Check - - overvåking C/Study av målinger - forebyggende og korrigerende tiltak - registreringer - intern revisjon Plan - P Do- D Planlegge: - lover og krav - overordnede mål - handlingsplaner Utføre: - organisering - opplæring - dokumentasjon - driftrutiner - beredskap
Hva gjør vi videre? Datatilsynet: Ser på regelverket Informerer om funnene og utfordringene Råd og veiledning Tilsyn Samarbeid: Vi er avhengig av drahjelp fra andre Ønsker et samarbeid om å gripe fatt i utfordringen Hvordan kan vi løse dette i fellesskap
Takk for oppmerksomheten!