SSF Säkerhetschef Informationssäkerhet 2016-12-01 Per Oscarson
Innehåll Onsdag Introduktion till informationssäkerhet Hotbild Styrning av informationssäkerhet Organisation Incidenter Torsdag LSF (Tommy Svensson) Personalsäkerhet/ säkerhetsmedvetande Sammanfattning och övriga frågor Dataskyddsförordningen Statens styrning Stöd och resurser
GDPR, sammanfattning och stöd Sammanfattning Hur kommer jag igång? Nya legala krav GDPR Dataskyddsförordningen Stödresurser EU, stat, branscher/sektorer, föreningar m.m. MSB:s vägledningar
Hur kommer jag igång? 1. Utse en funktion för informationssäkerhet Placering, resurser, kompetens, nätverk 2. Analysera nuläget Interna och externa förutsättningar, hotbild Övergripande riskanalys 3. Informera om läget Ledningen, nyckelpersoner 4. Skapa en handlingsplan Organisation, styrande dokument, klassning
Hur kommer jag igång? Externa förutsättningar Informationssäkerhetsrisker i samhället Övergripande riskanalys Riskbild/ nulägesnivå Kommunikation till ledning Beslut Handlingsplaner Interna förutsättningar Informationstillgångar GAP-analys 1. Utse en funktion 2. Analysera nuläget 3. Informera om läget 4. Skapa en handlingsplan
Nya legala krav Dataskyddsförordningen NIS-direktivet Ny säkerhetsskyddslag
Dataskyddsförordningen (GDPR) Ersätter Personuppgiftslagen (PuL) Beslutades i april 2016 av Europaparlamentet och EU:s ministerråd Gäller direkt som lag i alla medlemsstater Till skillnad från PuL som baserades på ett EU-direktiv Träder i kraft 25 maj 2018 Vissa nationella särregler medges I Sverige utreds detta En Myndighetsdatalag är föreslagen
Relaterade utredningar Ju 2016:04 om dataskyddsförordningen Ju 2016:17 om stärkt integritet i rättsmedicinalverket S 2016:05 Socialdataskyddsutredningen U 2016:04 Forskningsdatautredningen U 2016:03 Utbildningsdatautredningen Arbetsmarknadsdepartementet översyn av författningar Översyn av reglemente för brottsbekämpning, kameraövervakning etc. Samtliga ovanstående utredningar ska slutredovisas andra halvåret 2017
Digitaliseringen innebär utmaningar Ökat informationsflöde och lagring Big data både marknad och myndigheter Fler och fler användare till olika typer av tjänster och ändamål (sociala medier, appar, Internet of things, molntjänster m.m.) Informationsflöden mellan organisationer och privatpersoner Gränser suddas ut mellan vem som äger och vem som hanterar information Identitetsstölder
Viktigare att skydda personuppgifter Den personliga integriteten minskar samtidigt som insamlandet av personuppgifter ökar. Det visar den kartläggning som integritetskommittén presenterade i ett delbetänkande till regeringen 2016-06-08.
Dataskyddsförordningen Ökat informationsflöde och lagring Dataskyddslagstiftningen består av två delar: 1. En EU-förordning som gäller alla utom polisen (och motsv.) 2. Ett EU-direktiv som gäller endast för polisen (och motsv.) Datainspektionen som tidigare tillsynsmyndighet Bristande efterlevnad kan leda till administrativ sanktionsavgift på upp till 20 miljoner euro.
Huvudsakliga skillnader Mer fokus på medborgares rättigheter och kontroll Kunna få veta vilka personuppgifter som behandlas och hur Kunna säga nej i vissa situationer till användning av personuppgifter och även att bli raderad ( glömd ) i vissa fall Högre krav på bolag, myndigheter och organisationer Krav på transparens och tydlighet, hur man behandlar personuppgifter Dokumenterade beskrivningar, riktlinjer, styrdokument m.m. Krav på skydd av personuppgifter Krav på rapportering till drabbade och DI vid allvarliga incidenter (t ex dataintrång)
Dataskyddsombud Dataskyddsombud ersätter personuppgiftsombud Rapportera direkt till ledningen Inga andra åtagande med intressekonflikt Krav på kompetens Övervaka efterlevnaden av förordningen och skydd av personuppgifter Samarbeta med, och fungera som kontaktpunkt med Datainspektionen
GDPR stödmaterial Stort utbud på marknaden av kurser, seminarier m.m. Datainspektionens vägledningar T.ex. Vägledning till personuppgiftsansvariga med 13 punkter att besvara
Datainspektionens 13 punkter 1. Är er organisation medveten om Dataskyddsförordningen? 2. Vilka personuppgifter hanterar ni? 3. Använder ni missbruksregeln? 4. Vilken information lämnar ni? 5. Hur ska ni tillmötesgå de registrerades rättigheter? 6. Med vilket rättsligt stöd hanterar ni personuppgifter? 7. Hur inhämtar ni samtycke? 8. Behandlar ni personuppgifter om barn? 9. Vad ska ni göra vid personuppgiftsincidenter? 10. Vilka särskilda integritetsrisker finns med er behandling? 11. Har ni byggt in skydd för personuppgifter i era ITsystem? 12. Vem ansvar för dataskyddsfrågor i er organisation? 13. Har ni verksamhet i flera länder?
ENISA EU:s myndighet för informationssäkerhet Lokaliserad på Kreta
Statens ansvar MSB samordnar arbetet med samhällets informationssäkerhet Samfi-myndigheterna stödjer varandra i genom informationsutbyte och samverkan MSB, Försvarsmakten, FMV, FRA, PTS, Polismyndigheten, Säkerhetspolisen Ansvars-, likhets- och närhetsprincipen gäller även informationssäkerhet
Statens ansvar, forts. Datainspektionen Personlig integritet, personuppgifter Sektorsspecifika myndigheter, t.ex. Finansinspektionen Post- och telestyrelsen Socialstyrelsen
Informationssäkerhet.se Metodstöd för att skapa och förvalta ett LIS Baseras på SS-ISO/IEC 27000-serien Samfi-myndigheterna Uppdateras f.n. ny version maj 2017
Sektorsspecifika fora Privat-offentlig samverkan (POS) Finns för ett antal sektorer, t.ex. FSPOS FIDI Forum för informationsdelning NIS KIS FIDI-SCADA, FIDI-Finans, FIDI-Telecom Landstingens informationssäkerhet (SKL/MSB) Kommunernas informationssäkerhet (SKL/MSB)
Intresseorganisationer Dataföreningen SIG Security SIS ISACA
Vägledningar från MSB (exempel) Processorienterad informationskartläggning Säkrare hantering av mobila enheter Informationssäkerhet i upphandling Fysisk informationssäkerhet i IT-utrymmen Att hantera överbelastningsattacker Trendrapporter Handlingsplaner och strategier Rapporter om inträffade incidenter