Datasäkerhet och integritet. Juridiska frågor

Relevanta dokument
Säkerhetspolicy för Västerviks kommunkoncern

Bilaga 3 till F:203. Säkerhet. Dnr Fasta och mobila operatörstjänster samt transmission -C. Bilaga 3. Säkerhet

Informationssäkerhetspolicy

Informationssäkerhet, Linköpings kommun

Rätt informationssäkerhet är A&O vid införande av välfärdsteknologi. Jeanna Thorslund, Sveriges Kommuner och Landsting Thomas Nilsson, Certezza

Riktlinjer för IT-säkerhet i Halmstads kommun

Hot + Svaghet + Sårbarhet = Hotbild

Bilaga 9 Säkerhet Dnr: /2015 Förfrågningsunderlag

VISION STRATEGI REGLEMENTE PROGRAM POLICY PLAN» RIKTLINJE REGEL. Riktlinjer för informationssäkerhet

Bilaga 3 till F:203. Säkerhet. Dnr Fasta och mobila operatörstjänster samt transmission -C. Bilaga 3. Säkerhet

SÄKERHETSPOLICY FÖR VÄSTERVIKS KOMMUNKONCERN ANTAGEN AV KOMMUNFULLMÄKTIGE , 8

Informationssäkerhet Informationssäkerhet. Medicinteknisk säkerhetskurs

IT-Säkerhetsinstruktion: Förvaltning

Informationssäkerhetspolicy. Linköpings kommun

Informationssäkerhet. Hur skall jag som chef hantera detta?? Vad är det??

Policy för tekniska och organisatoriska åtgärder för dataskydd. 14 juni 2018 Peter Dickson

Riktlinjer för Informationssäkerhet Falkenbergs Kommun Kommunledningskontoret

INFORMATIONSSÄKERHET 1 INLEDNING MÅL FÖR IT-SÄKERHETSARBETET... 2

Bilaga 3 Säkerhet. Bilaga 3 Säkerhet. Dnr Kommunikation som tjänst - A

VGR-RIKTLINJE FÖR ÅTKOMST TILL INFORMATION

Administrativ säkerhet

Informationssäkerhetspolicy IT (0:0:0)

ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) Kommunkansliet Antagen av Kommunfullmäktige , 14 Dnr ks 09/20. Innehållsförteckning

Informationssäkerhet. Varför jobbar vi med informationssäkerhet? Vad är informationssäkerhet? Presentation

Informationssäkerhetspolicy

Informationssäkerhetspolicy för Sunne kommun KS2016/918/01 Antagen av kommunfullmäktige , 57

Säkerhet vid behandling av personuppgifter i forskning

Informationssäkerhetspolicy KS/2018:260

Policy Document Number ESS Date Mar 14, 2013 Revision 1 (3) Plan för IT Säkerhet

Informationssäkerhetspolicy inom Stockholms läns landsting

Din guide till en säkrare kommunikation

Status för.se:s kvalitets- och säkerhetsarbete. Anne-Marie Eklund Löwinder

Riktlinjer för säkerhetsarbetet vid Uppsala universitet

Remiss angående säkerhetspolicy med tillhörande riktlinjer

Koncernkontoret Enheten för säkerhet och intern miljöledning

TJÄNSTESKRIVELSE. Revidering av. informationssäkerhetspolicy TJÄNSTESKRIVELSE. Kommunstyrelsen KS/2019:63

Informationssäkerhetspolicy för Ånge kommun

Regler för användning av Riksbankens ITresurser

Dnr

Skolorna visar brister i att hantera personuppgifter

Informationssäkerhetspolicy. Informationssäkerhetspolicy för Vingåkers kommun

Riktlinje Informationssäkerhet Landstinget Sörmland beslutad LS 12/13

Bilaga till rektorsbeslut RÖ28, (5)

Riktlinjer avseende Informationssäkerheten för Götene, Lidköping och Skara kommuner

Fördelning av ansvar för informationssäkerhet. Version: 1. Beslutsinstans: Regiondirektören

Regel. Användning av Riksbankens IT-resurser. Inledning. Användning av IT-resurser

Riktlinje för säkerhetsarbetet i Norrköpings kommun

Icke funktionella krav

Informationssäkerhet - en översikt. Louise Yngström, DSV

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter

SAMMANTRÄDESPROTOKOLL Kommunstyrelsens arbetsutskott Sammanträdesdatum

Informationssäkerhetspolicy för Stockholms läns landsting. Informationssäkerhetspolicy för Stockholms läns landsting

Informationssäkerhetspolicy för Ystads kommun F 17:01

Policy. Policy för informationssäkerhet och personuppgiftshantering i Herrljunga kommun DIARIENUMMER: KS 47/2018 FASTSTÄLLD: VERSION: 1

IT-SÄKERHETSPLAN - FALKÖPINGS KOMMUN

Bilaga 1 - Handledning i informationssäkerhet

KOMMUNAL FÖRFATTNINGSSAMLING Nr 005.6

Bilaga, Definition av roller och begrepp, till policy för IT-säkerhet. Publiceringsdatum Juni 2007 ( rev. September 2011)

DNR: KS2016/918/01. Informationssäkerhetspolicy för Sunne kommun KS2016/918/ (1) Kommunstyrelsen

Bilaga 3 Säkerhet Dnr: /

10. Säkerhetspolicy och riktlinjer för säkerhetsarbetet i Västerviks kommunkoncern Dnr 2016/

Informationssäkerhet vid Karolinska Universitetssjukhuset. Dokumentansvarig: Markus Ekbäck, CISO Karolinska Senast uppdaterad:

Bilaga, Definition av roller och begrepp, till policy för IT-säkerhet

Policy för informations- säkerhet och personuppgiftshantering

IT-säkerhet Externt och internt intrångstest

Program för informationssäkerhet 2008:490. kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning

Ledningssystem för Informationssäkerhet

IT-SÄKERHETSPLAN - FALKÖPINGS KOMMUN

Datacentertjänster IaaS

Myndigheten för samhällsskydd och beredskaps författningssamling

Informationssäkerhetspolicy för Katrineholms kommun

Riktlinjer för Hässleholms kommuns säkerhet och beredskap mandatperiod

1(6) Informationssäkerhetspolicy. Styrdokument

EDA KOMMUN. nformationssäkerhet - Informationssäkerhetspolicy

Hantera nya ENKLA GRUNDER I DATASKYDD. dataskyddsförordningen MAJ. Den nya dataskyddsförordningen träder i kraft.

Checklista inför att den nya Dataskyddsförordningen, GDPR, träder i kraft den. 25 maj Detta är i princip taget från SKLs checklista.

Informationssäkerhetspolicy för Umeå universitet

SÅ HÄR GÖR VI I NACKA

Informationsklassning och systemsäkerhetsanalys en guide

Instruktion enligt personuppgiftslagen (1998:204) för Eskilstuna kommunkoncern

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Musikhögskolan i Stockholm 2010.

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

Bengt Sebring OKTOBER 2000 Ordförande GRANSKNINGSRAPPORT 3 Sida: 1

Informationssäkerhetspolicy för Nässjö kommun

Verksamhetsplan Informationssäkerhet

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter

Riktlinje för informationssäkerhet i Skövde kommun motsvarar Informationssäkerhetspolicy enligt BITS såsom Myndigheten för samhällsskydd och

8 Steg GDPR. Förbered verksamheten. Organisera GDPR-arbetet. Kartlägg. Analysera. Dokumentera. Inför rutiner. Leverantörer och avtal

En guide om GDPR och vad du behöver tänka på

Informationssäkerhet och earkiv Rimforsa 14 april 2016

Kapitel 15 Efterlevnad

Policy för informationssäkerhet

Kommunstyrelsens förslag till antagande av reviderad informationssäkerhetspolicy Ärende 11 KS 2017/336

Ledningssystem för Informationssäkerhet

RISKHANTERING FÖR SCADA

Bilaga 10 Säkerhet. Dnr: / stockholm.se. Stadsledningskontoret It-avdelningen

KOMMUNALA STYRDOKUMENT

Säkerhetspolicy för Falkenbergs kommun. KS

Vägledande rutin för chefer om kontroll av hur arbetstagare använder kommunens IT-utrustning och ITresurser

Utbildning i Säkerhet

Transkript:

OH-9 v1 Juridiska frågor Lagändringar i Sverige Metodverktyg & resurser PAPAI SBA m.m. Juridiska frågor Tekniska och administrativa åtgärder bör genomföras på ett sätt som är förenligt med lagar, olika föreskrifter, avtal etc. Skilj mellan informationsobjekt och infrastruktur ur rättslig synvinkel Tekniker och jurister tänker oftast i olika banor vad gäller dessa objekt Åtgärder som rör arbetstagare Arbetsgivaren bestämmer säkerhetsnivån, det är därför viktigt att denne sätter upp tydliga regler för hur de anställda får använda ITresurserna och dels hur företaget skall sköta sin datasäkerhet PUL (PersonUppgiftsLagen) Bör konsulteras redan i ett tidigt skede av säkerhetsarbetet 2 1

PUL (PersonUppgiftsLagen) Ansvarig på företaget enligt PUL bör Bestämma tydliga ändamål för personuppgiftsbehandlingar Se till att behandlingar är relevanta Informera de som behandlats Gallra bort uppgifter som ej längre är relevanta Lagra personuppgifter kräver samtycke från arbetstagare PUL-ansvarig är skyldig att skydda personuppgifter mot utomstående åtkomst www.datainspektionen.se och www.regeringen.se Rapport 2003:3 - Behandling av personuppgifter Betänkande 2002:18 - Personlig integritet i arbetslivet 3 Straffrättsligt skydd PUL-ansvarig behöver veta Vilket skydd ger lagstiftningen inom området mot obehörig åtkomst från arbetstagare eller utomstående? Vilka kontroll och skyddsåtgärder kan företaget vidta utan att göra sig skyldigt till straffbart intrång, olovlig åtkomst till andras nät m.m. Förslag om persondataskydd regel från integritetsutredningen Arbetsgivare får ej läsa privat e-post etc. Det är viktigt att informera och involvera arbetstagarna/facket i säkerhetsarbetet så man får de med sig och inte mot sig 4 2

Lagändringar i Sverige På senaste tiden har många lagändringar skett i Sverige (EU-beslut etc.) för att kunna bekämpa terrorism och organiserad brottslighet. I december 2005 röstade Europaparlamentet igenom lagstiftning om obligatorisk lagring i 6-24 månader av information om alla människors ringande, e-postande, SMS:ande liksom viss information om Internetanvändning. Hemlig telefonavlyssning tillåten i stor skala, även överskottsinformation m.m. m.m. Många menar att vi är på väg mot ett övervakarsamhälle där stora risker finns för missbruk av uppgifter som kränker integriteten Bodströmsamhället (http://bodstrom.omfg.se) Säkerhetspolisen (www.sakerhetspolisen.se) Rubriken: Utredningar som berör oss Många företag har systematisk övervakning via programvaror (mönsterigenkänning) av sina anställda Läs mer om allt detta på: www.stoppastorebror.se 5 IT-säkerhet sid 277 Säkerhet produkter, tjänster, organisation och IT-resurser Hårdvara, systemprogram, tillämpningar, datainformation Bevara Tillgänglighet för auktoriserade användare, svarstid Integritet förändringar genomförs på ett auktoriserat sätt Sekretess endast auktoriserad åtkomst Företagets högsta ledning ansvarar för att en säkerhetspolicy finns IT-chef/IT-säkerhetschef är ansvariga för att upprätthålla den Tjänsteägarna är kravställare mot systemägarna 6 3

Effektiv IT-säkerhet kan enbart införas då hotbild, svagheterna och sårbarhet är kända Hot + svaghet + sårbarhet = hotbild Hot är någon form av handling eller händelse som kan skada företagets IT-resurser Fysiska, logiska, mänskliga hot etc. Hot-tabeller med påverkan för t.ex. tillgänglighet, integritet, sekretess etc. kan minska komplexiteten Svaghet benämningen för en IT-resurs tekniska utformning med kända/okända brister, kan även vara bristande beredskap, rutiner etc. Sårbarhet är benämningen för hur utsatt en IT-resurs är genom sannolika hot och kända svagheter 7 Motåtgärder Fysiska - redundans Logiska behörigheter, virusskydd Administrativa tydliga regler/organisation etc. Säkerhetsnivåer (exempel) Ingen skada resurser som man kan avvara Liten skada resurser som märks, billigt Skada resurser som ej är kritiska, kostar en del Allvarlig skada kritiska resurser, mycket kostsamt Mycket allvarlig skada mycket vitala resurser 8 4

Tabeller med motåtgärder kan skapas för varje säkerhetsnivå, se sid. 282-283 Allmänna motåtgärder (måste finnas impl.) Identifiering och autentisering Spårbarhet (loggning) Åtkomstkontroll Säkerhetsnivåer och teknikområden Lokala nätverket Fjärrförbindelser Servrar och klienter Distribuerade tillämpningar Gemensam IT 9 Exempel på enkel modell för hot-identifiering inom varje teknikområde Lokalt nätverk - kan delas upp i två delar - fysiska nätet och logiska nätverket (protokoll) Exempel på tabell s287 för olika nätverksprotokoll och dess påverkan på säkerheten Begreppet säkerhetsdomäner Kommunikation uppåt i säkerhets-hiearkin är ej tillåten default (bestäms av den högre nivån) Exempel på motåtgärders-tabeller för de 5 olika säkerhetsnivåerna sid. 289-291 10 5

Kända hot och svagheter för lokalt nätverk bör detaljspecificeras av systemägaren Fysiska hot och svagheter Komponentfel, mänskliga faktorn etc. Logiska hot och svagheter Obehörig inloggning eller åtkomst till nätverket Administrativa hot och svagheter Användare får felaktiga åtkomsträttigheter 11 Fjärrförbindelser Uppringda förbindelser VPN-förbindelser Fasta förbindelser Telefon- eller faxförbindelse Tabell för vilka hot/svagheter som förekommer s293 Tabell (s294 295) för olika motåtgärder i de 5 olika säkerhetsnivåerna (inneh. som tid. följ. kolumner) Generella och specifika motåtgärder Vad skyddas inte Konsekvenser Kostnad 12 6

Kända hot och svagheter för fjärrförbindelser bör detaljspecificeras av systemägaren Fysiska hot och svagheter Avgrävd kabel, systemhaveri hos leverantör Logiska hot och svagheter Avlyssning av telefoni/fax, felaktiga nummer Administrativa hot och svagheter Obehörig installation 13 Server Många olika hårdvaru- och OS plattformar Hitta duktiga systemadministratörer som kan säkra OS plattformarna genom kompetens Tabell för olika motåtgärder i de 5 olika säkerhetsnivåerna s297-298 Generella och specifika motåtgärder Vad skyddas inte Konsekvenser Kostnad 14 7

Kända hot och svagheter för server bör detaljspecificeras av systemägaren Fysiska hot och svagheter Miljö (brand, strömavbrott) Olika hårdvarufel Obehörig fysisk åtkomst Logiska hot och svagheter Obehörig åtkomst/inlogging Manipulering av data Införande av skadlig kod Administrativa hot och svagheter Inga brister får finnas i ansvarsfördelning och privilegier 15 Klienter Många olika miljöer finns både tekniskt (nätverkstyp, datortyp etc.) och fysiskt (mobil, stationär etc.) Tabell för olika motåtgärder i de 5 olika säkerhetsnivåerna s300-302 Generella och specifika motåtgärder, vad skyddas inte, konsekvenser, kostnad Extra säkerhetsnivå för mobila arbetsplatser Kryptering, PIN-kod etc. 16 8

Kända hot och svagheter för klienter bör detaljspecificeras av systemägaren och liknar server Fysiska hot och svagheter Miljö (brand, strömavbrott) Olika hårdvarufel Obehörig fysisk åtkomst Logiska hot och svagheter Obehörig åtkomst/inlogging Manipulering av data Införande av skadlig kod Administrativa hot och svagheter Att någon avviker från de enhetliga standards som gäller för arbetsplatsen 17 Distribuerade tillämpningar Nätverksapplikationer Två oberoende delar (klient och server) Avgränsa vilka tjänster som skall vara med som distribuerad tillämpning Varje tjänst för sig? Tabell för olika motåtgärder i de 5 olika säkerhetsnivåerna s304-306 Generella och specifika motåtgärder, vad skyddas inte, konsekvenser, kostnad 18 9

Kända hot och svagheter för distribuerade tillämpningar bör detaljspecificeras av systemägaren Fysiska hot och svagheter Obehörig påverkan Logiska hot och svagheter Obehörig åtkomst/inlogging Manipulering av data Införande av skadlig kod Administrativa hot och svagheter Samma som för servrar och klienter 19 Gemensam IT Systemen är inte isolerade företeelser! Ett heltäckande angreppssätt krävs Syftet är att hitta gemensamma balansen för säkerhetsnivå med bibehållen funktionalitet Alltså få system som harmoniserar med varandra! Tabell för olika motåtgärder i de 5 olika säkerhetsnivåerna s307-310 Generella och specifika motåtgärder Vad skyddas inte Konsekvenser Kostnad 20 10

PAPAI (Policy - Analys - Plan - Arkitektur - Implementering) Ledningssystem för informationssäkerhet (LIS) 21 PAPAI www.mixtum.se Verksamhet Allt säkerhetsarbete måste utgå från verksamhetens krav. Därför är det nödvändigt att kartlägga alla informationstillgångar och vilka krav som ställs på dessa t.ex. i fråga om sekretess, riktighet och tillgänglighet. Omgivning På samma sätt måste omgivningen kartläggas för att identifiera den hotbild som organisationen står inför. Säkerhetspolicy Organisationens mål och visioner med informationssäkerhetsarbetet beskrivs i en policy. Den övergripande säkerhetspolicyn skall hållas kort och får ej innehålla tekniska detaljer för att den skall kunna leva många år utan förändring. Detaljerna utarbetas sedan i områdesspecifika policies, riktlinjer, instruktioner etc. Riskanalys Analys är kärnan i säkerhetsarbetet. Här identifieras vilken påverkan hoten har mot organisationens informationstillgångar. Man skapar sig en uppfattning om de risker man utsätts för och tar fram förslag till åtgärder inför planarbetet. 22 11

PAPAI www.mixtum.se Säkerhetsplan I planen fördelas resurser så att policyn kan förverkligas. Med utgångspunkt från policies och resultaten från riskanalysen initieras olika säkerhetshöjande aktiviteter som - säkerhetsutbildningar - framtagning av riktlinjer och instruktioner - utveckling av incident- och katastrofhantering - revision och uppföljning Säkerhetsarkitektur På arkitekturnivån närmar vi oss tekniken men på ett produktoberoende sätt. Här väljs den kombination av olika tekniker som ger de bästa egenskaperna i organisationens infrastruktur och IT-system. Implementering Först när vi kommer hit till den lägsta nivån intresserar vi oss för produkter och deras egenskaper. Innan vi väljer säkerhetsprodukt måste vi gjort klart hela säkerhetsarbetet. Det är ingen mening med att skaffa säkerhetsprodukter utan att dessförinnan ha analyserat vad som är skyddsvärt och på vilket sätt det skall skyddas. Här ägnar vi oss också åt praktiska säkerhetsdetaljer i den dagliga driften. 23 SBA metoden (Dataföreningen) www.dfs.se/products/sba/ Är mer ett koncept där man tittar på analys och säkerhetsarbete inom datarelaterade affärsområden Man utgår från en human model, dvs. expertkunskap hos medarbetare vilket resulterat i en programsvit SBA Check Verktyg för nulägesanalys av informationssäkerheten SBA Project Analysverktyg för att tidigt identifiera tänkbara risker med ett projekt SBA Scenario En metod och verktyg för att värdera och analysera framtida risker och hot i verksamheten SBA Virusvarning & helsäkert Utbildningspaket för datoranvändare 24 12

Mer resurser Center of Internet security expertise (CERT) http://www.cert.org/ OCTAVE - http://www.cert.org/octave/ The SANS Security Policy Project http://www.sans.org/resources/policies Essential Security Actions Step-by-Step, mallar etc. Internet Security Policy: A technical Guide www.rxn.com/services/faq/internet/isptg.html Utdrag ur Säkerhet & Sekretess http://arkiv.idg.se/pdfdownload/free/?item=13990 25 13

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss