Informationssäkerhet och earkiv Rimforsa 14 april 2016 Stephen Dorch, ISMP
Information - Organisationens viktigaste tillgång - Säkerhet - Informationen att lita på när jag behöver den - Samordna - Gemensamma insatser för att uppnå rätt säkerhet i rätt tid till rätt person - = Informationssäkerhetssamordnare - En samordnande resurs för 10 kommuner i Kalmar län -
I händelse av katastrof Pappersarkiv -> Informationen är förlorad Digitalt arkiv - > Informationen är bevarad Stephen Dorch
Vad är Informationssäkerhet? Tillgänglighet Hur länge kan vi vara utan den? Riktighet Spårbarhet Vem har ändrat? Information Hur viktigt att den är rätt? Konfidentialitet Hur hemlig är den?
Tillgänglighet Tidsbeständiga format, Konvertering, E-tjänster, Åtkomst, Kompetens, Organisation, Nätverk etc Stephen Dorch
Riktighet Informationens äkthet otvivelaktig, inbyggda kontrollfunktioner, tekniska, organisatoriska och lärande åtgärder, etc
Sekretess Ett e-arkiv omfattas av sekretessgränser och system som skyddar mot insyn, intrång och otillbörligt åtkomst. Stephen Dorch
Spårbarhet En nörd och en runsten Översättning jmf format Metadata, beskrivning av informationens upprättande och bevarande Dataintrång, uppföljning, utredning, ansvar, brottsutredning, utlämnande, verifiering, äkthet Vem gjorde vad, och när? Logg-granskning Stephen Dorch
E-arkiv vs Informationssäkerhet vs IT-säkerhet Tillgänglighet Egenskaper Säkerhetsåtgärder Riktighet Konfidentialitet Sekretess E-Arkiv är en säkerhetsåtgärd, en infrastruktur och en plattform för informationsförsörjning Informationssäkerhet Spårbarhet Teknisk säkerhet e-arkiv Administrativ säkerhet IT säkerhet Fysisk säkerhet Formell säkerhet Informell säkerhet som förutsätter organisation, kompetens samt Data säkerhet Kommunikationssäkerhet Extern säkerhet Intern säkerhet ledning och styrning!
Ej OK 170 av 241 kommuner arbetar INTE systematiskt med informationssäkerhet
Konsekvens Riktighet Konfidentialitet / Sekretess Tillgänglighet Spårbarhet Information där förlust av riktighet innebär Information där förlust av konfidentialitet innebär Information där förlust av tillgänglighet innebär Information där förlust av spårbarhet innebär Nivå 4 Allvarlig konsekvens 4 Allvarlig allvarlig/katastrofal allvarlig/katastrofal allvarlig/katastrofal allvarlig/katastrofal 3 Betydande konsekvens 3 Betydande betydande betydande betydande betydande 2 Måttlig konsekvens 2 - Måttlig måttlig måttlig måttlig måttlig 1- Ingen eller endast försumbar 1 Obetydlig konsekvens för verksamheten...ingen eller endast försumbar ingen eller endast försumbar ingen eller endast försumbar ingen eller endast försumbar negativ påverkan på egen eller annan organisation och dess tillgångar, eller på enskild individ.
Konsekvens vs Skyddsnivå 4 Allvarlig konsekvens 3 Betydande konsekvens 2 Måttlig konsekvens 1 Obetydlig konsekvens för verksamheten Mycket hög skyddsnivå Hög skyddsnivå Normal skyddsnivå (grundnivå) Låg skyddsnivå
Risk analys Risk S K RV 1. Risk att. 3 2 6 2. Risk att. 4 1 4 3. Risk om. 1 4 4 4. Risk att. 3 4 12 Metoden är mindre viktig - det viktiga är att risker hanteras!
GAP analys Stephen Dorch
Strategisk nivå ATT något ska göras Taktisk nivå VAD ska göras Generell operativ nivå HUR ska det göras Detaljerad operativ nivå HUR & VEM gör vad Policy Riktlinjer Anvisningar Instruktioner
Strategisk nivå ATT något ska göras Informationssäkerhetspolicy Kvalitétspolicy Taktisk nivå VAD ska göras Riktlinje (QLIS, Kvalitetsmanual, handbok etc) Generell operativ nivå HUR ska det göras Anvisning X Process A Anvisning Y Process B Anvisning Z Process C Anvisning n Process n Detaljerad operativ nivå HUR & VEM gör vad Instruktioner & rutiner Instruktioner & rutiner Instruktioner & rutiner Instruktioner & rutiner Intranät & Bolagswebb
Strategisk nivå ATT något ska göras Policy Informationssäkerhetspolicy Kvalitétspolicy Taktisk nivå VAD ska göras Riktlinjer Riktlinje (QLIS, Kvalitetsmanual, handbok etc) Generell operativ nivå HUR ska det göras Anvisning X Anvisning Y Anvisningar Process A Process B Anvisning Z Process C Anvisning n Process n Detaljerad operativ nivå HUR & VEM gör vad Instruktioner & rutiner Instruktioner & rutiner Instruktioner Intranät & Bolagswebb Instruktioner & rutiner Instruktioner & rutiner
Vad menas med systematisk informationssäkerhet? Planera Genomföra Kontrollera Åtgärda, PDCA Klassificera information Analysera Information Väl rätt åtgärd Kontrollera och följ upp Act Check Plan Do
Informationssäkerhet flera delar: Svensk standard för informationssäkerhet SS-ISO/IEC 27001:2014 SS-ISO/IEC 27002:2014 Säkerhet i lösningar Incident Ledningssystem för Informationssäkerhet (LIS) Internt arbete
Parallella synsätt för Informationssäkerhet och kvalité Information som är viktig för verksamheten Finns något som kan hota den? Skydda den Mål som är viktiga för verksamheten Finns något som kan hindra måluppfyllnad? Undvik hindren och nå målen Informationssäkerhet = Kvalitet
Framtidens utmaningar är här nu, Internet of things, till synes helt utan minsta tanke på säkerhet Vilken information lämnar dessa prylar efter sig som ska bevaras, eller som inte ska bevaras? Dessa prylar som räddar våra liv och som kränker vår integritet! Hur hanteras loggar, hur länge ska dom sparas, vem har åtkomst? En sak är säker, någon annan vet allt om oss! Vad säger framtidens forskare om vår tids utveckling? Stephen Dorch
Några lagar som styr informationssäkerhet Från rikets säkerhet till Sveriges säkerhet. Vi går från en antagonistisk hållning där Sverige som nation hotas till en mer lokal och regional hotbild. Det finns en växande hotbild där alla måste vara med och ta ansvar. Övriga lagar och förordningar det alldagliga som vi har att förhålla oss till under normala omständigheter OSL LSS PDL SOL KL Arkivlag HSL KÖL PUL/Dataskyddsdirektiv (EU)
Upp till 20 miljoner euro, eller Upp till 4 procent av årsomsättning Gäller alla, även kommuner Källa: SKL, J.Thorslund 20160212, KIS/NIS nätverksträff
http://computerswed en.idg.se/2.2683/1.64 4553/dataskyddsregle r/sida/1/sida-1 Rätten att bli glömd Var finns informationen? Hur raderas informationen? Vilka beroende finns när information raderas? Dataskydd som standard Känsliga personuppgifter och känslig data ska krypteras Vem vilken funktion i företaget säkerställer detta? Portabilitet Att flytta data från ett ställe till ett annat Företag måste göra information strukturerat tillgänglig Bevisa samtycke Man ska kunna visa när och hur ett samtycke gavs Digitala signaturer? Utse dataskyddschef Data Protection Officer Mix av IT, juridik och revision Information enbart till uttalat ändamål Varning för ändamålsglidning Ändamålet ska kunna bevisas
Vi förlorar inte vår historia, för vi tänker efter före! Tack för er tid! stephen.dorch@rfkl.se
Aktiviteter i utvecklingsprojekt Informationssäkerhet Roller och ansvar Informationsklassning EU:s dataskyddsdirektiv ITIL intro och grund 2:4 medel krisberedskap, fråga din säkerhetssamordnare! Informationssäkerhet och juridik ISO27000 intro och grund IT-katastrofövning och plan för disaster recovery E-learning Slutkonferens för politik och chefer Stephen Dorch
Informationssäkerhet e-arkiv, lite att tänka på Ramverk, regler och processer Organisation och bemanning Informationsägare och övriga roller Kompetensförsörjning Egenkontroll Avtal och licenser Kontinuitetsplan Risk- och sårbarhetsanalyser Regler och kontroll för åtkomst, behörighet och roller Autentisering Loggning Identifiera information Klassificera information Rutinbeskrivningar Fysisk kontroll Metadata Test och validering Överföring Informationsstruktur Säkerställa spårbarhet, bevarande och äkthet Kontroll av integritet Dokumentation Övervaka plattformen och tekniska miljön Sökbegrepp Följa utveckling av teknisk säkerhet Teknikutvecklingen Följa utveckling av hot, risk, skydd, åtgärd osv. Robust infrastruktur med beprövad teknik, ny teknik med omdöme Mjukvara och programvara Rutin för kopiering, återläsning och säkerhetsåterläsning Incidenthantering Katastrofplan Kontinuitetsplan Serviceplan Uppdateringar System för lagring Förändringshantering