EBITS 2010-02-15 Arbetsgruppen för Energibranschens Reviderad 2010-02-17 Informationssäkerhet



Relevanta dokument
Utmaningar vid molnupphandlingar

Välkommen! Bakgrund Cloud Sweden Vad är molnet? Legala aspekter på molntjänster.

Framgångsfaktorer i molnet!

Molntjänster - vilka är riskerna och vad säger PUL? ADVOKAT HANS NICANDER

Molnet ett laglöst land?

MOLNTJÄNSTER ÄR DET NÅGOT FÖR OSS?

Använd molntjänster på rätt sätt

Migration to the cloud: roadmap. PART 1: Möjligheter och hinder för att migrera till molnet

EBITS Arbetsgruppen för Energibranschens Reviderad Informationssäkerhet

GDPR OCH OUTSOURCING - VEM BÄR ANSVARET?

Innehåll Molntjänster... 4 Vad är detta?... 5 Cirkeln sluts... 6 The Cloud... 7 The Cloud (forts.)... 8 Definition av molntjänster...

DIG IN TO Nätverksadministration

VÄGLEDNING ATT UPPHANDLA PÅ ETT SÄKERT SÄTT

JHS 179 Planering och utveckling av en övergripande arkitektur Bilaga 9. Virtualisering och molntjänster i planering av teknologiarkitektur

Informationssäkerhetspolicy

Molntjänster. Översikt. Lektion 1: Introduktion till molntjänst. Introduktion till molntjänst. Vilka tjänster finns? Säkerhet.

Riktlinjer för informationssäkerhet

Introduktion till molntjänster Tekniken bakom molntjänster och legala utmaningar

Hot eller möjlighet? Datormolnet och SMHI. Lisa Hammar, IT-arkivarie, SMHI. Mallversion

Vad är molnet? Vad är NAV i molnet? Vem passar NAV i molnet för? Fördelar med NAV i molnet Kom igång snabbt...

JURIDIKEN I MOLNET CIO Cloud Confessions

Molntjänster -- vad är molnet?

Bilaga 9 Säkerhet Dnr: /2015 Förfrågningsunderlag

Informationssäkerhetspolicy IT (0:0:0)

Copyright 2008 RADAR GROUP AB All rights reserved Copyright 2008 RADAR GROUP AB All rights reserved

PERSONUPPGIFTSBITRÄDESAVTAL Hantering av personuppgifter i Skyddat Webbaserat informationssystem (WIS)

Riktlinjer för IT-säkerhet i Halmstads kommun

OUTSOURCING TILL MOLNET

Risk, säkerhet och rättslig analys för migrering till molnet. PART 4: Skydd, rättigheter och juridiska skyldigheter

ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) Kommunkansliet Antagen av Kommunfullmäktige , 14 Dnr ks 09/20. Innehållsförteckning

I samband med att du söker arbete hos oss och lämnar personuppgifter till oss.

Allmänna råd. Datainspektionen informerar Nr 2/2014. om användning av molntjänster (Cloud Computing) i den offentliga sektorn.

Minnesisolering för virtuella maskiner en hypervisorstudie

Allmänna AVTAL villkor Kundnamn Orgnummer

EBITS E-MÖTE / VIRTUELLT MÖTE 5 INFORMATIONSKLASSNING. 1 Syfte. 2 Avgränsningar. 3 Bakgrund. 4 Informationsformer

Regelverk. Infrastrukturen för vidareförmedling av grundläggande uppgifter om företag. Bilaga D. Personuppgiftsbiträdesavtal. Version: 2.

Informationssäkerhet Informationssäkerhet. Medicinteknisk säkerhetskurs

Policy för tekniska och organisatoriska åtgärder för dataskydd. 14 juni 2018 Peter Dickson

Allmänna villkor Version: Allmänna Villkor

Vill du läsa mer om personuppgiftshantering och de lagar och regler som gäller, gå in på Datainspektionens hemsida.

Molntjänster och integritet vad gäller enligt PuL?

Onslip Cloud ABs integritetspolicy

Varför ska vi ha en informationssäkerhetspolicy och hur tar vi fram en? En policy ska ju fånga in en organisations målsättning för ett visst område,

Universitetet och Datainspektionen i Molnet

Economicmodelimpactand cloud management. PART 2: Business model enactment

Program för informationssäkerhet 2008:490. kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning

Kontaktuppgifter till er: Företag: Ort: Kontaktperson: Telefonnummer:

EBITS Arbetsgruppen för Energibranschens Informationssäkerhet

Personuppgiftsbiträdesavtal

Informationssäkerhetspolicy. Informationssäkerhetspolicy för Vingåkers kommun

Riktlinjer för informationsklassning

Bilaga. Särskilda villkor för Molntjänst. Programvaror och tjänster Systemutveckling

Cloud Computing. Richard Richthoff Strategisk Rådgivare Radar Group International

SNITS-Lunch. Säkerhet & webb

Riktlinjer för IT i Lilla Edets kommun. 2. Syftet med IT i Lilla Edets kommun

Handfasta råd och tips för en lyckad IT-investering

IT governance i praktiken: Styrning och kontroll över ITriskerna. Fredrik Björck Transcendent Group för ADBJ Agenda

Bilaga 1 Allmänna villkor för Socialnämnds anslutning till Sammansatt Bastjänst Ekonomiskt Bistånd (SSBTEK)

Lagring i molnet. Dokumenthantering i högskolans Office365 ur ett offentlighetsperspektiv

Mjukvarukraft Integration som Tjänst (ipaas)

ANVÄNDARVILLKOR FÖR NYHETSTJÄNSTEN FPLUS Sida 1 av 5

Hantering av personuppgifter

Bilaga 9. Överenskommelse om tjänstenivåer (SLA)

VGR-RIKTLINJE FÖR KOMMUNIKATION OCH DRIFT

ANVÄNDARVILLKOR ILLUSIONEN

Med Servicetid anses den tid under vilken PromikBook garanterar att påbörja och avhjälpa driftavbrott.

SAMMANTRÄDESPROTOKOLL Kommunstyrelsens arbetsutskott Sammanträdesdatum

UTKAST. Riktlinjer vid val av molntjänst

Informationssäkerhetspolicy för Katrineholms kommun

Molnets möjligheter och utmaningar. IT Asset Management Summit 24 januari 2017 Peter Nordbeck/Partner/Advokat

Informationsklassning och systemsäkerhetsanalys en guide

NYA FÖRORDNINGAR OM PERSONUPPGIFTER (GDPR) VAD BETYDER DET FÖR DITT FÖRETAG?

Video- och distansmöte - Beskrivning och tjänstespecifika villkor

GDPR och molnet. Konferens SUNET Inkubator den 16 maj 2017

Cartamundi Sekretesspolicy

Smartare affärer med det bästa från molnet

ANVISNING Säkerhetsuppdateringar för IT infrastruktur

Personuppgiftsbiträdesavtal

PERSONUPPGIFTS- POLICY FÖR KONSULTER. Version Extern A. Dokumentnamn Personuppgiftspolicy för konsulter. Ansvarig Styrelsen.

Skolorna visar brister i att hantera personuppgifter

IT SOM TJÄNST IT SOM TJÄNST - IT-DRIFT - SÄKERHET - LAGRING - E-POST - BACKUP - MJUKVARA - OFFICE IT-ARBETSPLATS IT SOM TJÄNST.

Integritetspolicy. Dokumentnamn: Integritetspolicy Version:

Risk, security, and legal analysis for migration to cloud. PART 3: Privacy and security management

MELLAN PERSONUPPGIFTSANSVARIG OCH PERSONUPPGIFTSBITRÄDE Bil 7

I de fall vi har utsett ett dataskyddsombud (DPO) kan du kontakta vår DPO via kontaktuppgifterna som finns i "Frågor och funderingar" nedan.

Informationssäkerhetspolicy

Policy för informationssäkerhet

Cloudstrategins roll och betydelse

Economic model impact and cloud management. PART 1: Cloud service model

Informationssäkerhet, Linköpings kommun

Juridikens betydelse när det oväntade händer. Agnes Andersson Hammarstrand, IT-advokat Setterwalls Advokatbyrå

Informationssäkerhet vid upphandling och inköp av IT-system och tjänster

Informationssäkerhetspolicy för Ånge kommun

Innehåll 1 Kvadrats personuppgiftspolicy för kunder och leverantörer Tillämpning... 3

IT SOM TJÄNST IT SOM TJÄNST - IT-DRIFT - SÄKERHET - LAGRING - E-POST - BACKUP - MJUKVARA - OFFICE IT-ARBETSPLATS IT SOM TJÄNST.

Cloudstrategins roll och betydelse

PERSONUPPGIFTSBITRÄDESAVTAL

Molntjänster för administration, utbildning och forskning. Projektplan för 2017

Du är alltid välkommen att kontakta oss om du har frågor om hur vi behandlar dina personuppgifter. Kontaktuppgifter står sist i denna text.

Transkript:

2010-02-15 Arbetsgruppen för Energibranschens Reviderad 2010-02-17 Informationssäkerhet IT SOM TJÄNST - MOLNTJÄNSTER Användning av internetbaserade IT-tjänster tillhandahållna av extern leverantör Syfte Syfte med detta dokument är att beskriva de säkerhetsrelaterade frågeställningar som är aktuella vid användning av databehandlingstjänster som tillhandahålls av leverantörer över internet. Inledning Traditionellt har informationssystem införts genom att företag har anskaffat datorutrustning genom att t.ex. köpa, hyra eller leasa den, och genom att utveckla eller köpa nödvändiga program. Detta kräver förstås att företagen har personal med rätt kompetens eller köper tjänster externt för att upprätthålla och utveckla IT-miljön. Ett alternativ eller komplement till den traditionella modellen är att lägga ut driften av datorsystem på entreprenad, s.k. outsourcing. Det finns många olika former av outsourcing där man lägger mer eller mindre ansvar på entreprenören. Outsourcing innebär att man som kund fortfarande har stor påverkan på den tekniska utformningen av de levererade IT-tjänsterna. Molntjänster kan ses som en speciell form av outsourcing och innebär att leverantören av molntjänster tillhandahåller centralt all nödvändig hård- och mjukvara som krävs för att leverera dynamiskt skalbara resurser för att lagra och bearbeta kunders information. Vidare ansvarar molntjänsteleverantören för konfiguration, uppgradering, drift, kundsupport osv. Kunder kopplar upp sig (oftast genom internet) mot molnföretaget för att nyttja de tjänster man har behov av. Begreppet molntjänster innefattar mjukvara som tjänst (Software as a Service SaaS) plattform som tjänst (Platfrom as a Service PaaS) infrastruktur som tjänst (Infrastructure as a Service IaaS) Typiska molntjänster kan vara projekthantering, kundhantering, bokföring och kompletta affärssystem. Motiven för att köpa molntjänster varierar men några vanliga exempel är: 100217 IT som tjänst - Molntjänster v1.1.doc 1 (5)

kostnad flexibilitet brist på kompetent personal i den egna organisationen implementationstid möjlighet att använda tjänsterna på distans från olika platser utanför det egna företaget tillgång till de senaste versionerna av program IT som tjänst inom energibranschen Förutom de typiska molntjänsterna som nämnts ovan och som används i många olika branscher, finns det ett för energibranschen specifikt område där molnet blivit ett alternativ, nämligen mätvärdesinsamling. Det innebär att ett företag, ofta med en eller flera underleverantörer mha. fjärrmanövrerade mätare, samlar in och bearbetar bl.a. förbrukningsdata från energibolagets kunder. Därefter överförs "färdiga mätvärden" till energibolaget. Att anlita en molntjänsteleverantör för att köpa "färdiga mätvärden" för med sig ett antal informationssäkerhetsrelaterade utmaningar. Molnleverantören behöver tillgång till både kunddata och anläggningsregister vilket energibolagen vanligtvis betraktar som mycket värdefull information. Det är inte ovanligt att ett molnföretag som leverantör av "färdiga mätvärden" hanterar kund- och anläggningsinformation från flera konkurrerande företag. En annan svårlöst fråga är hur man säkerställer mätvärdenas riktighet. Ett mätvärdes väg från en fjärrmanövrerad mätare, via en eller flera kommunikationskanaler (t.ex. radio, PLC eller GPRS/GSM) via molntjänsteleverantörens system till energibolaget kan, om den inte skyddas, bli förvanskad. Förvanskningen kan ha tekniska orsaker men kan också vara avsiktlig. En systematisk manipulation av mätvärden skulle kunna orsaka energiföretaget stor skada och är i regel svårare att upptäcka och bevisa jämfört med fysisk manipulation av mekaniska mätare. Energibolagen måste säkerställa att molnföretaget uppfyller de krav man ställer på hanteringen av anläggningsinformation, kunddata, mätvärden och styrinformation till fjärrmanövrerade mätare. 100217 IT som tjänst - Molntjänster v1.1.doc 2 (5)

Molntjänster och informationssäkerhet - en motsats? Då man överväger att köpa molntjänster är det många aspekter och potentiella risker som behöver beaktas såsom kvalitet, kostnad och servicenivåer. Den i dagsläget i särklass mest förbisedda aspekten från både kunder och molnföretagen är informationssäkerhet. Det är viktigt att förstå att man genom att använda sig av molntjänster ger tjänsteleverantören kontroll över den information som bearbetas och lagras. Detta kan ha allvarliga konsekvenser när det gäller informationens riktighet, tillgänglighet och sekretess. Det är också viktigt att förstå att molntjänsteföretaget för att få stordriftsfördelar och dynamiskt kunna erbjuda kapacitet använder tekniker som t.ex. virtualisering, tjänsteorientering (SOA), outsourcing och samlokalisering. Detta innebär att leverantören använder samma hård- och mjukvara för att serva flera olika kunder och att man som kund i regel inte har kontroll över var information bearbetas och lagras. Eftersom molnföretaget får kontroll över potentiellt affärskritisk information är det av yttersta vikt att man som kund ställer rätt krav. Detta betyder att avtalet som reglerar de tjänster man köper och som man upprättar med tjänsteleverantören är helt centralt. Problemet är att de standardavtal som leverantörerna idag använder sig av och som de oftast är ovilliga att gör förändringar i, är mycket bristfälliga, och i vissa fall katastrofala när det gäller informationssäkerhet. Det är vanligt att inga åtaganden görs från leverantörens sida när det gäller ansvar för kundens information. Kunden har i många fall inte rätt till kompensation över huvudtaget om tjänsten inte är tillgänglig, om kundens information försvinner eller om obehöriga får tillgång till den. I andra fall är molntjänsteleverantörens ansvar begränsat till ett maximalbelopp som i de flesta verksamheter inte på långa vägar täcker kostnaden för återskapande av information vid en förlust eller de förtroendeskador som obehörig åtkomst till t.ex. kundinformation kan ge. Att köpa molntjänster är till synes enkelt och kräver inte med nödvändighet någon större teknisk kompetens. Därför tas initiativet till att nyttja molntjänster ofta utanför IT-avdelningen och ibland t.o.m. utan IT-avdelningens vetskap. Detta behöver inte i sig vara ett problem, men det ställer stora krav på den som väljer, kravställer och upphandlar molntjänster. 100217 IT som tjänst - Molntjänster v1.1.doc 3 (5)

Checklista - molntjänster Då man i en verksamhet överväger att använda molntjänster är det viktigt att förstå hur dessa tjänster fungerar och vilken påverkan på verksamheten användningen av tjänsterna kan ha. Som vanligt bör man göra en noggrann hot- och riskanalys. Denna analys bör bl.a. ge svar om vad det är för typ av verksamhetsinformation man planerar att låta molntjänsteleverantören hantera och vilka krav man i sitt företag ställer på denna hantering för att upprätthålla informationens sekretess, riktighet och tillgänglighet. Nedan följer ett antal områden som är viktiga att tänka på och några tips då man överväger att använda sig av molntjänster. Vem äger informationen när den överförts till molnleverantören? Vad får leverantören göra med informationen? Finns det särskilda lagkrav på bearbetning, överföring och lagring av den information som kommer att hanteras av molntjänsteleverantören (t.ex. personuppgifter)? Var bearbetar och lagrar tjänsteleverantören kunders information, i Sverige eller utomlands? Om företaget finns utomlands, är det i så fall i ett land (EU/Efta) där informationen kan få skydd av relevant lagstiftning? I det fall informationen lagras utomlands, vad säger detta lands lagstiftning om tillgången till information samt möjlighet till spårning m.m. i det fall oegentligheter inträffar? Vad händer om molnföretaget blir föremål för tvångsåtgärd, går i konkurs eller blir uppköpt (av t.ex. ett utländskt företag)? Vilka förebyggande åtgärder och tekniska lösningar har molntjänsteföretaget för att skydda kunders information? Verifiera på plats! Tro inte på löften eller allmänna beskrivningar på företagets webbplats. Vem har ansvaret för säkerhetskopiering? Är det molnföretaget eller kunden? Om det är tjänsteföretaget, verifiera att det fungerar i verkligheten. Ett antal fall har uppmärksammats där kunder blivit lovade säkerhetskopiering, men när väl katastrofen var ett faktum fanns det ingen säkerhetskopia. 100217 IT som tjänst - Molntjänster v1.1.doc 4 (5)

Övrigt Vad händer om internet inte är tillgängligt? Även om molnföretaget har vidtagit åtgärder för att upprätthålla sin verksamhet finns det inga garantier för Internets tillgänglighet. Har den egna verksamheten en kontinuitetsplan i det fall molntjänsten av någon anledning inte är tillgänglig? (Jmf. ö-drift). Har kunden, med egen personal eller med extern part, rätt att utföra revisioner för att kontrollera tjänsteföretagets informationssäkerhetsskydd? Har molnföretaget processer för att säkerhetspröva den egna personalen? Tänk på att de som har administratörsrättigheter på tjänsteföretaget i regel har tillgång till kunders information. Finns krav och rutiner för rapportering av händelser som drabbat molntjänsteföretaget och som kan hota kundens information? Finns det tydliga gränsdragningar kring ansvar mellan kunden och tjänsteföretaget? Har kunden rätt till ersättning vid röjande, förvanskning eller förlust av information? Hur stor är denna ersättning? Observera att informationsförlust räknas som en indirekt skada. Frågor kan ställas till EBITS via e-post ebits_box@svenskenergi.se 100217 IT som tjänst - Molntjänster v1.1.doc 5 (5)

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss