Informationssäkerhet utifrån nya krav i förordningen och NIS-direktivet, vilket stöd finns för kommunerna

Relevanta dokument
Informationssäkerhet en förutsättning för effektiv digitalisering. Moderator: William Linnefell, Ekonomistyrningsverket

Myndigheten för samhällsskydd och beredskaps författningssamling

Stöd för ifyllnad av formuläret för itincidentrapportering

Förslag till Myndigheten för samhällsskydd och beredskaps föreskrifter om statliga myndigheters rapportering av it-incidenter 1

Nya krav på systematiskt informationssäkerhets arbete

Myndigheten för samhällsskydd och beredskaps författningssamling

Nuvarande MSBFS 2009:10 Förslag till ny föreskrift Tillämpningsområde Tillämpningsområde 1 1 första stycket 2 1 andra stycket 3 2 första stycket

Regelverk och myndighetsstöd för ökad informationssäkerhet inom dricksvattenförsörjningen (NIS) Anders Östgaard

Utredningen om genomförande av NIS-direktivet

Informationssäkerhet för samhällsviktiga och digitala tjänster

NIS-direktivet. Nya krav på informationssäkerhet i samhällsviktiga och digitala tjänster.

MSB:s arbete med samhällets information- och cybersäkerhet. Richard Oehme Verksamhetschef Samhällets informations- och cybersäkerhet (MSB)

SSF Säkerhetschef. Informationssäkerhet Per Oscarson

Årsrapport Itincidentrapportering

Informationssäkerhet Informationssäkerhet. Medicinteknisk säkerhetskurs

Svensk författningssamling

NIS-direktivet. 4 september Johanna Linder Martin Gynnerstedt

NIS-direktivet - Nya krav på informationssäkerhet i samhällsviktiga och digitala tjänster

Christoffer Karsberg Internationell samordnare, Enheten för verksamhetssamordning och strategisk analys, MSB

Konsekvensutredning rörande föreskrifter och allmänna råd om statliga myndigheters rapportering av it-incidenter

Remissyttrande Informationssäkerhet för samhällsviktiga och digitala tjänster

Informationssäkerhet trender OffSÄK, Malmö

Avtal MELLAN PERSONUPPGIFTSANSVARIG OCH PERSONUPPGIFTSBITRÄDE

Energimyndigheten och NIS-direktivet Panndagarna Tommy Wahlman Projektledare för införande av NIS-direktivet

Dataskyddsförordningen. Kristina Blomberg PuL-Pedagogen Sverige AB

Policy för behandling av personuppgifter

Myndigheten för samhällsskydd och beredskaps författningssamling

Informationssäkerhet trender Konferens om risk- och sårbarhetsanalyser (RSA), WTC, Stockholm

Christina Goede, Peter Jonegård, Cecilia Laurén, Svante Nygren

Hur värnar kommuner digital säkerhet?

PERSONUPPGIFTSBITRÄDESAVTAL

NIS-direktivet. - Därför är NIS viktigt för kommuner och landsting. 5 september 2018 Christoffer Karsberg

RIKTLINJER FÖR HANTERING AV PERSONUPPGIFTSINCIDENT

EU:s dataskyddsförordning

- Vad du behöver veta om NIS

Roller för information behöver också fastställas, använd gärna nedanstående roller som kommer från SKL och deras verktyg

GDPR. Dataskyddsförordningen

Styrande dokument. Riktlinjer för dataskydd. Fastställd av Kommunstyrelsen. Senast reviderad av Gäller från och med

Svensk författningssamling

Policy. Dataskyddspolicy. För kommunstyrelse och nämnder KS Föreskrifter Plan. Program Reglemente Riktlinjer Strategi Taxa

NIS-reglering.

GDPR. Dataskyddsförordningen 27 april Emil Lechner

Personuppgiftsbiträdesavtal

INFORMATIONSSÄKERHET OCH DATASKYDD

GDPR- Seminarium 2017

GDPR Presentation Agenda

MELLAN PERSONUPPGIFTSANSVARIG OCH PERSONUPPGIFTSBITRÄDE Bil 7

Riktlinjer för dataskydd

Gräns för utkontraktering av skyddsvärd information

ADDSECURES BEHANDLING AV PERSONUPPGIFTER

GDPR NYA DATASKYDDSFÖRORDNINGEN

Välkommen till enkäten!

SAMMANTRÄDESPROTOKOLL Kommunstyrelsens arbetsutskott Sammanträdesdatum

Verksamhetsplan Informationssäkerhet

Policy. Policy för informationssäkerhet och personuppgiftshantering i Herrljunga kommun DIARIENUMMER: KS 47/2018 FASTSTÄLLD: VERSION: 1

Ett eller flera dataskyddsombud?

Resiliens i en förändrad omvärld

Informationssäkerhetspolicy inom Stockholms läns landsting

Programmet för säkerhet i industriella informations- och styrsystem

Bilaga 1a Personuppgiftsbiträdesavtal

Informationssäkerhetspolicy

PERSONUPPGIFTSBITRÄDESAVTAL Hantering av personuppgifter i Skyddat Webbaserat informationssystem (WIS)

Anmälda personuppgiftsincidenter 2018

Koncernkontoret Enheten för juridik

Myndigheten för samhällsskydd och beredskaps författningssamling

Policy för informationssäkerhet

Informationssäkerhetspolicy för Stockholms läns landsting. Informationssäkerhetspolicy för Stockholms läns landsting

Informationssäkerhetspolicy KS/2018:260

Yttrande över betänkandet Informationssäkerhet för samhällsviktiga och digitala tjänster (SOU 2017:36) 28 LS

KOMMUNAL FÖRFATTNINGSSAMLING 2018: Policy och riktlinjer för hantering av personuppgifter. Antagen av kommunfullmäktige

AVTAL MELLAN PERSONUPPGIFTSANSVARIG OCH

Myndigheten för samhällsskydd och beredskaps författningssamling

Dataskyddsförordningen

Anmälan av personuppgiftsincident

Dataskyddsförordningen

Myndigheten för samhällsskydd och beredskap MSB Informationssäkerhet

Myndigheten för samhällsskydd och beredskap MSB Samhällets informationssäkerhet

Styrande dokument. Policy och riktlinje för hantering av personuppgifter i Göteborgs Stad

Riktlinjer för säkerhetsarbetet vid Uppsala universitet

Riktlinjer fö r behandling av persönuppgifter, Sydna rkes kömmunalfö rbund

Justitiedepartementet Stockholm

Policy för informations- säkerhet och personuppgiftshantering

Säkerhet, krisberedskap och höjd beredskap. Christina Goede Programansvarig Skydd av samhällsviktig verksamhet och kritisk infrastruktur, MSB

RIKTLINJER FÖR BEHANDLING AV PERSONUPPGIFTER INOM SKL KOMMENTUS AB OCH DESS BOLAG (KOMMENTUS)

TJÄNSTESKRIVELSE. Revidering av. informationssäkerhetspolicy TJÄNSTESKRIVELSE. Kommunstyrelsen KS/2019:63

Informations- och IT-säkerhet i kommunal verksamhet

PERSONUPPGIFTSBITRÄDESAVTAL

Årsrapport it-incidentrapportering

Underbiträdesavtal. Med Avtalet avses detta huvuddokument och vid var tid gällande bilagor.

NIS-DIREKTIVET SÅ PÅVERKAS DIN ORGANISATION

Policy och riktlinje för hantering av personuppgifter i Trosa kommun

Nationell risk- och förmågebedömning 2017

POLICY FÖR BEHANDLING AV PERSONUPPGIFTER ADVANIA SVERIGE AB

Underlag 2. Direktiv till två pågående utredningar som har bäring på informationssäkerhet. En modern säkerhetsskyddslag 1

Svensk författningssamling

Koncernkontoret Enheten för säkerhet och intern miljöledning

JUHTA Delegationen för informationsförvaltningen inom den offentliga förvaltningen

Informationssäkerhet för samhällsviktiga och digitala tjänster (SOU 2017:36) Remiss från Justitiedepartementet Remisstid den 24 augusti

Analys av Svensk e-legitimation

POLICY Behandling av personuppgifter på Torkilstötens samfällighetsförening

Transkript:

Informationssäkerhet utifrån nya krav i förordningen och NIS-direktivet, vilket stöd finns för kommunerna Helena Andersson Verksamheten för cybersäkerhet och skydd av samhällsviktig verksamhet Västkom Informationsdag EU:s nya dataskyddsförordning, Göteborg 160601 Agenda Lite om MSB Förordningen ur ett informationssäkerhetsperspektiv Andra relevanta regleringar (NIS-direktivet m.fl) It-incidentrapportering Vad behövs göras på infosäkområdet och hur ser nuläget ut? Målbild? Vilket stöd finns, var börjar man? 1

Förmågor i samhället som MSB ska bidra till Samhällets förmåga att: Samhällets förmåga att: - bedriva brand- och olycksförebyggande arbete - ha kontinuitet i samhällsviktig verksamhet - hantera farliga ämnen Förmåga att förebygga händelser Förmåga att hantera händelser - genomföra räddningsinsatser - agera samordnat vid händelser - stödja Försvarsmakten vid höjd beredskap - hantera information säkert MSB:s uppdrag på informationssäkerhetsområdet Stödja och samordna arbetet med samhällets informationssäkerhet Analysera omvärldsutvecklingen Rapportera till regeringen (inkl en årlig rapport om incidenter) Ha en funktion för att förebygga och hantera it-incidenter Agera skyndsamt Återrapportera Samverka Internationell kontaktpunkt Utfärda föreskrifter om: Statliga myndigheters informationssäkerhet Obligatorisk it-incidentrapportering Kryptoberedskap 2

Verksamheten för cybersäkerhet och skydd av samhällsviktig verksamhet Verksamhetschef: Richard Oehme Strategiskt stöd Enheten för systematiskt informationssäkerhetsarbete Tf enhetschef: Christoffer Karsberg Enheten för cybersäkerhet och skydd av kritisk informationsinfrastruktur Enhetschef: Åke Holmgren Enheten för operativ cybersäkerhet och itincidenthantering Nationell operativ samverkansfunktion för informations- och cybersäkerhet (NOS) CERT-SE Enhetschef: A-M Alverås-Lovén Dataskyddsförordningen ur ett informationssäkerhetsperspektiv 3

Några informationssäkerhetsaspekter 1. Vad är informationssäkerhet 2. Vilka krav ställs på den personuppgiftsansvariga att vidta informationssäkerhetsåtgärder? 3. Särskild hantering av säkerhetsrelaterad information? 4. Vilka krav i förordningen på hantering av personuppgifter förutsätter i praktiken att informationssäkerhetsåtgärder vidtas? (tillgänglighet, riktighet, konfidentialitet) 5. Incidentrapportering Informationssäkerhet vad är det? Informationssäkerhet Alla typer av information IT-säkerhet Digitalt hanterad information 4

Vad vill vi uppnå med informationssäkerhet? Konfidentialitet Tillgänglighet Riktighet Spårbarhet Hur arbetar vi med informationssäkerhet? Teknik Juridik Ekonomi Organisation Etik 5

Personuppgiftslagen 31 Den personuppgiftsansvarige skall vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas. Åtgärderna skall åstadkomma en säkerhetsnivå som är lämplig med beaktande av a) de tekniska möjligheter som finns, b) vad det skulle kosta att genomföra åtgärderna, c) de särskilda risker som finns med behandlingen av personuppgifterna, och d) hur pass känsliga de behandlade personuppgifterna är. När den personuppgiftsansvarige anlitar ett personuppgiftsbiträde, skall den personuppgiftsansvarige förvissa sig om att personuppgiftsbiträdet kan genomföra de säkerhetsåtgärder som måste vidtas och se till att personuppgiftsbiträdet verkligen vidtar åtgärderna. Dataskyddsförordningen: Krav på informationssäkerhet Kapitel IV Personuppgiftsansvarig och personuppgiftsbiträde Avsnitt 2: Säkerhet för personuppgifter Säkerhet i samband med behandling (art 32) Pseudonymisering, kryptering, fortlöpande arbete med CIA, återställa efter incident, testa och utvärdera säkerhetsåtgärder Anmälan av personuppgiftsincident till tillsynsmyndighet (art 33) K Information om incident till registrerad(art 34) T R 6

Dataskyddsförordningen: Krav på informationssäkerhet forts. Kapitel II Principer Principer för behandling (art 5) behandlas på ett sätt som säkerställer lämplig säkerhet för personuppgifterna, inbegripet skydd mot obehörig eller otillåten behandling och mot förlust, förstöring eller skada genom olyckshändelse, med användning av lämpliga tekniska eller organisatoriska åtgärder. Rätt till radering (art 17) Inbyggt dataskydd och dataskydd som standard (art 25) K Flera av principerna, korrekthet, uppgiftsminimering, lagringsminimering, integritet T R Behandling av personuppgifter i informationssäkerhetssyfte Laglig grund: Exempelvis behandling av personuppgifter utgör ett berättigat intresse för berörd personuppgiftsansvarig (ex. i den mån den är absolut nödvändig och proportionell för att säkerställa nät- och informationssäkerhet, pre 49) Obs ej myndigheter när de fullgör uppgifter Biometriska uppgifter känsliga uppgifter (art 9) enligt huvudregel förbjuden (undantag finns, ex K viktigt allmänt intresse) T R 7

Personuppgiftsincident En säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats Rapport utan onödigt dröjsmål och inom 72 timmar till tillsynsmyndighet Informera individen i vissa allvarligare fall Vad ska rapporteras? Incidentens art, påverkade kategorier och antal av de som berörs respektive personuppgifter Kontaktuppgifter Beskrivning av de sannolika konsekvenserna av personuppgiftsincidenten Beskriva vidtagna åtgärder 8

NIS-direktivet Energi, transport, bankverksamhet, finansmarknadsinfrastruktur, hälso- och sjukvård, leverans och distribution av dricksvatten och digital infrastruktur. Tillsyn Incidentrapportering En ny säkerhetsskyddslag Det mest skyddsvärda (når upp till en särskilt hög nivå ur ett nationellt perspektiv) Verksamhetsorienterad Antagonistiska hot (spioneri, sabotage och terroristbrott i vissa fall stöld om får konsekvenser för Sveriges säkerhet..) Säkerhetsskyddsåtgärder: informationssäkerhet, personalsäkerhet och fysisk säkerhet MSB föreslås få tillsyn över kommunernas arbete med säkerhetsskydd Utveckla och förtydliga regelverket 9

Obligatorisk it-incidentrapportering för statliga myndigheter Syftet med den obligatoriska it- incidentrapporteringen är att skapa en bred och samlad rapportering av it-incidenter i samhället Syfte: Att skapa en systematisk, bred och samlad rapportering av it-incidenter i samhället. Detta för att öka samhällets förmåga att förebygga, motstå, återhämta och lära av it-incidenter och it-relaterade kriser. Ett nationellt system för it-incidentrapportering möjliggör att: Skapa en samlad lägesbild Avvärja och begränsa Lära och återföra Arbeta förebyggande Rättvisande och aktuell lägesbild på nationell nivå Skapar beslutsunderlag Säkerställa snabbt agerande vid inträffade itincidenter genom att sprida information i samhället Samordna åtgärder Lindra effekter Kanalisera information till berörda myndigheter Ge underlag för rapportering till regeringen Ge stöd för internt informationssäkerhetsarbete Skapa underlag för långsiktigt förebyggande och ökad krisberedskap Ovanstående fördelar kommer att realiseras successivt 10

Vilka it-incidenter ska rapporteras enligt förordningen?* It-incidenter som inträffat i myndighetens informationssystem och som allvarligt kan påverka säkerheten i den informationshantering som myndigheten ansvarar för eller i tjänster som myndigheten tillhandahåller åt en annan organisation Inte it-incidenter som ska rapporteras till Säpo eller FM enligt 10 a säkerhetsskyddsförordningen (1996:633). system som hanterar hemliga uppgifter (ej ringa mängd) system som behöver särskilt skyddas mot terrorism it-incidenter som upptäckts genom FRA:s arbete * Förordning (2015:1052) om krisberedskap och bevakningsansvariga myndigheters åtgärder vid höjd beredskap Vad ska rapporteras inom 24 timmar? En rapport ska innehålla: 1. myndighetens namn, 2. en beskrivning av it-incidenten, 3. den exakta eller uppskattade tidpunkten för när itincidenten inträffade, 4. när myndigheten upptäckte it-incidenten och om den alltjämt pågår eller är avslutad, 5. till vilken eller vilka kategorier enligt 3 som it-incidenten hör, samt 6. myndighetens initiala bedömning av it-incidentens omfattning och konsekvenser. 11

Vilka kategorier av it-incidenter ska rapporteras enligt föreskrifterna: 1. störning i mjuk- eller hårdvara, såsom fel i system, komponent eller programvara samt oväntad funktion i system eller komponent eller systemkrasch, 2. störning i driftmiljö, såsom haveri i tekniskt system eller komponent, förlust av tillgänglighet i system samt störningar i säkerhetsfunktioner (ex. säkerhetskopiering), eller 3. informationsförlust eller informationsläckage, såsom förlust av tillgänglighet till eller läckage av information i myndighetens informationssystem, felaktig avyttring av teknisk utrustning som innehåller information som inte ska vara allmänt tillgänglig, eller otillåtet offentliggörande av sådan information, 4. informationsförvanskning, att informationen helt eller delvis har blivit korrumperad eller att det inte går att säkerställa dess riktighet, Kategorier av it-incidenter forts. 5. hindrad tillgång till information, att informationen eller ett system där informationen finns inte kan användas på avsett sätt. 6. säkerhetsbrist i en produkt, såsom säkerhetslucka eller annan sårbarhet i tekniskt hjälpmedel som används av myndigheten, 7. angrepp, såsom överbelastningsattack, införande av skadlig kod, intrång i informationssystem (s.k. hackning), olovligt nyttjande eller annat missbruk av lösenord, olovlig åtkomst till information genom skadliga program och obehörig användning av informationssystem, 8. handhavandefel, såsom internt felaktigt bruk eller felaktig implementering av tekniskt system eller komponent, 9. oönskad eller oplanerad störning i kritisk infrastruktur, såsom elektriskt fel, vattenskada eller störning i funktioner för avbrottsfri kraftförsörjning, säkerhetskopiering, kylning eller ventilation, eller 10. annan plötslig oförutsedd händelse som lett till skada, it-incidenter som orsakats av annan händelse än de som omfattas av kategorierna som nämnts ovan men som av rapporterande myndighet inte bedöms kunna sorteras in i någon av dessa kategorier. 12

Nuläge Utmaningen 13

Informationssäkerhet trender 2015 FRA, Försvarsmakten, Polisen och MSB Informationssäkerhet en avvägning mot andra värden Komplexiteten i moderna it-tjänster Privatlivet, informationsexplosionen och säkerheten Den säkerhetspolitiska dimensionen av informationssäkerhet Brottslighet i informationssamhället Kapplöpningen mot den svagaste länken Robusta informationssystem och kontinuitet Privatlivet, informationsexplosionen och säkerheten 14

Privatlivet, informationsexplosionen och säkerheten Frågor om privatlivet aktualiseras allt mer med större mängd och fler typer av data tillgängliga Den ökade delningen av information ger ökad osäkerhet om vem som äger data Snabb teknikutveckling gör författningar och regler kring elektroniskt informationsutbyte föråldrade, vilket försvårar systemintegrationer och skyddet för privatlivet. MSBs enkätundersökning 2015: 78 % av kommunerna svarade 102 kommuner saknar informationssäkerhetsfunktion I 70 kommuner som har en utpekad funktion för informationssäkerhet läggs mindre än 10 % 141 saknar kontinuitetsplaner 15

Vilket stöd finns och hur börjar man? Personuppgiftsombud samma problematik KIS-nätverket DISA (webbutbildning) Lämplig målbild Metodstöd för kommuner Konferensen länkar 16

Vad är en godtagbar nivå? Föreskrifter om statliga myndigheters informationssäkerhet Tidigare föreskrifter från 2009 Klar bild av bristerna Förändrade villkor för informationshantering Föreskrifterna ska vara ett praktiskt stöd Nya förskrifter från april 2016! Föreskrifterna gäller inte formellt för kommuner, landsting eller regioner använd som vägledning! Portalparagraf 5 Systematiskt och riskbaserat informationssäkerhetsarbete Stöd av ett ledningssystem ISO/IEC 27001:2014 och ISO/IEC 27002:2014 Tillräckliga resurser Löpande och regelbunden information till myndighetsledningen 17

Krav på informationssäkerhetsarbetet: Ledningssystem för informationssäkerhet, ISO 27000 Styrande dokument, tydligt ansvar, god säkerhetskultur Processarbete 1. informationsklassa, 2. analysera hot och risker, 3. identifiera åtgärder, 4. följa upp åtgärder och bedömningar, 5. kontinuerligt utveckla, 6. 6 dokumentera Incidenthantering Kontinuitetshantering Exempel på information och stöd 18

Välkomna till konferensen Informationssäkerhet för offentlig sektor 2016! Datum: 14-15 september Quality Hotel Friends, Stockholm/Solna Konferensen är gratis Anmälan är öppen Systematiskt informationssäkerhetsarbete Förbereda Analysera Utforma Införa Följa upp Förbättra 19

Några länkar Stöd för informationssäkerhetsarbete www.informationssäkerhet.se - metodstödet https://www.msb.se/sv/produkter--tjanster/publikationer/publikationerfran-msb/kommunens-informationssakerhet--en-vagledning-/ https://www.informationssakerhet.se/landningssida-forfilmer/filmkontainer/informationssakerhetssamordnaren---enintroduktionsfilm/ https://www.informationssakerhet.se/landningssida-forfilmer/filmkontainer/informationssakerhet-for-kommunledning/ Tekniskt stöd och mer information om it-incidentrapportering www.cert.se Information https://www.msb.se/produkter--tjanster/publikationer/publikationerfran-msb/en-bild-av-kommunernas-informationssakerhetsarbete-2015/ https://www.msb.se/sv/produkter--tjanster/publikationer/publikationerfran-msb/informationssakerhet---trender-2015/ Tack för uppmärksamheten! Epost: helena.andersson@msb.se 20

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss