Områden och problem att beakta inom informationssäkerhet och digitalt bevarande vid anskaffning och användning av molntjänster RIKTLINJER



Relevanta dokument
Välkommen! Bakgrund Cloud Sweden Vad är molnet? Legala aspekter på molntjänster.

Framgångsfaktorer i molnet!

Introduktion till molntjänster Tekniken bakom molntjänster och legala utmaningar

Molntjänster och integritet vad gäller enligt PuL?

Informationssäkerhet. Hur skall jag som chef hantera detta?? Vad är det??

Molntjänster. Översikt. Lektion 1: Introduktion till molntjänst. Introduktion till molntjänst. Vilka tjänster finns? Säkerhet.

Innehåll Molntjänster... 4 Vad är detta?... 5 Cirkeln sluts... 6 The Cloud... 7 The Cloud (forts.)... 8 Definition av molntjänster...

Molntjänster - vilka är riskerna och vad säger PUL? ADVOKAT HANS NICANDER

Informationssäkerhet och earkiv Rimforsa 14 april 2016

Risk, säkerhet och rättslig analys för migrering till molnet. PART 4: Skydd, rättigheter och juridiska skyldigheter

Integritetsskydd - igår, idag, imorgon. Professor Cecilia Magnusson Sjöberg

GDPR och molnet. Konferens SUNET Inkubator den 16 maj 2017

Risk, security, and legal analysis for migration to cloud. PART 3: Privacy and security management

Migration to the cloud: roadmap. PART 1: Möjligheter och hinder för att migrera till molnet

EBITS Arbetsgruppen för Energibranschens Reviderad Informationssäkerhet

VÄGLEDNING ATT UPPHANDLA PÅ ETT SÄKERT SÄTT

MOLNTJÄNSTER ÄR DET NÅGOT FÖR OSS?

DIG IN TO Nätverksadministration

Smartare affärer med det bästa från molnet

Vad är molnet? Vad är NAV i molnet? Vem passar NAV i molnet för? Fördelar med NAV i molnet Kom igång snabbt...

ALLMÄNNA VILLKOR FÖR ANVÄNDANDE AV TYRA. 1. Allmänt

JHS 179 Planering och utveckling av en övergripande arkitektur Bilaga 9. Virtualisering och molntjänster i planering av teknologiarkitektur

Molnets möjligheter och utmaningar. IT Asset Management Summit 24 januari 2017 Peter Nordbeck/Partner/Advokat

Policy för användande av IT

Minnesisolering för virtuella maskiner en hypervisorstudie

Säkerhetspolicy rev. 0.1

Varför ska vi ha en informationssäkerhetspolicy och hur tar vi fram en? En policy ska ju fånga in en organisations målsättning för ett visst område,

Digital Lagring. Jukka Salo Flygteknisk inspektör

Myndigheten för samhällsskydd och beredskaps författningssamling

Hot eller möjlighet? Datormolnet och SMHI. Lisa Hammar, IT-arkivarie, SMHI. Mallversion

Utmaningar vid molnupphandlingar

Acando Simplifying GDPR. ACANDO CAPABLE BUSINESS GDPR Från ord till handling

INTEGRITETSPOLICY Målet med denna policy är att säkerställa att personuppgifter hanteras i enlighet med gällande lagstiftning.

Universitetet och Datainspektionen i Molnet

Presentation för Sveriges Tidskrifter om GDPR - Medlemstidskrifter. 5 oktober 2017

Frågor och svar. (version )

Molnet ett laglöst land?

Allmänna råd. Datainspektionen informerar Nr 2/2014. om användning av molntjänster (Cloud Computing) i den offentliga sektorn.

Bilaga 9 Säkerhet Dnr: /2015 Förfrågningsunderlag

PERSONUPPGIFTSBITRÄDESAVTAL

GDPR OCH OUTSOURCING - VEM BÄR ANSVARET?

Informationssäkerhet och medicintekniska produkter eller Information security with respect to safety considerations

Kommittédirektiv. Behandlingen av personuppgifter inom Försvarsmakten och Försvarets radioanstalt. Dir. 2017:42

Remiss av betänkande digitalforvaltning.nu (SOU 2017:23)

Svenska Röda Korsets riktlinjer för skydd av personuppgifter. Fastställda av generalsekreteraren

Säkerhet i molnet krav och standarder

Mjukvarukraft Integration som Tjänst (ipaas)

Kontroll över IT för efterlevnad och framgång. Johanna Wallmo Peter Tornberg

Riktlinjer för informationssäkerhet

GDPR. General Data Protection Regulation

VERVA. Fujitsu Services Kenneth Landérus F

Finansinspektionens författningssamling

Personuppgiftsbiträdesavtal

Riktlinjer för dataskydd

Informationssäkerhet

INTEGRITETSPOLICY FÖR HUFVUDSTADENS HYRESGÄSTER

Datacentertjänster IaaS

PERSONUPPGIFTSBITRÄDESAVTAL

BILAGA 3 Tillitsramverk Version: 1.2

Finansinspektionens författningssamling

Molntjänster -- vad är molnet?

Europeiska unionens officiella tidning. (Icke-lagstiftningsakter) FÖRORDNINGAR

Översikt av GDPR och förberedelser inför 25/5-2018

Riktlinjer fö r behandling av persönuppgifter, Sydna rkes kömmunalfö rbund

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

Personuppgiftslagen konsekvenser för mitt företag

Inte bara det, vi har dessutom fått allt fler arbetsredskap. När vi inte har kontroll på enheterna är det svårare att skydda dem.

Regelverk. Infrastrukturen för vidareförmedling av grundläggande uppgifter om företag. Bilaga D. Personuppgiftsbiträdesavtal. Version: 2.

Överförmyndarförvaltningen. Information Sida 1 (7) Integritetspolicy

Förslag till Myndigheten för samhällsskydd och beredskaps allmänna råd och kommentarer om krav på informationssäkerhet.

RIKTLINJER. Riktlinjer för styrning av IT-verksamhet

Identity Management för Microsoft

WHITE PAPER. Dataskyddsförordningen

Vetenskapsrådets informationssäkerhetspolicy

Organisation för samordning av informationssäkerhet IT (0:1:0)

Identifieringstjänst SITHS. - Beskrivning och tjänstespecifika villkor

Vi skyddar din information. Vårt informationssäkerhetsarbete och skydd av personuppgifter

EU:s dataskyddsförordning

SNITS-Lunch. Säkerhet & webb

Utforma säkerhetsprocesser

Riktlinjer för IT-säkerhet i Halmstads kommun

Begreppet Användare avser en registrerad användare av systemet och finns kopplad till ett eller flera Företag.

GDPR och hantering av personuppgifter

Riktlinje för molntjänster

Integritetspolicy för skydd av personuppgifter Bonnier Fastigheter AB med dotterbolag

ASBRA - Dataskyddspolicy

Personuppgiftsbiträdesavtal

Personuppgiftsbiträdesavtal

Integritetspolicy. AriVislanda AB

Känsliga uppgifter 6. Personnummer på klasslistor 8. Uppgifter om familjemedlemmar 8. Bevarande av uppgifterna 10. Innehållsförteckning.

PTS redovisar härmed sin utredning enligt förordning (2007:1244) om konsekvensutredning vid regelgivning avseende upphävandet av de allmänna råden.

Tjänstefiera din IT. - Vi har beslutat oss för att flytta vår IT till molnet. - Vilka tjänster passar våra behov och vår budget?

Bilaga 1 Allmänna villkor för Socialnämnds anslutning till Sammansatt Bastjänst Ekonomiskt Bistånd (SSBTEK)

Behandling av personuppgifter vid Göteborgs universitet

IT governance i praktiken: Styrning och kontroll över ITriskerna. Fredrik Björck Transcendent Group för ADBJ Agenda

Lokal informationssäkerhetspolicy, lokala informationssäkerhetsriktlinjer och anvisningar

Stadsrevisionen. Projektplan. Informationssäkerhetsarbetet i Göteborgs Stad. goteborg.se/stadsrevisionen

SOLLENTUNA FÖRFATTNINGSSAMLING 1

Transkript:

Områden och problem att beakta inom informationssäkerhet och digitalt bevarande vid anskaffning och användning av molntjänster RIKTLINJER Version 1.1.2-2011-06-18 This paper is licensed under Create Common Share Alike 3.0 http://creativecommons.org/licenses/by/3.0/

Ändringshantering och godkännande lista Ändringslista Datum Författare Version Ändringsreferens 06/6-2010 John Lindström, LTU Bidrag från Ulf Berglund, Karl Mårten Karlsson och Erik Borglund 0.1 Första version för granskning inom Säkerhets & Juridik undergruppen 14/6-2010 John Lindström, LTU 0.2 Efter intern granskning av ledningsgrupp 28/6-2010 John Lindström, LTU 0.3 Litet tillägg inför bredare intern granskning 5/9-2010 John Lindström, LTU Bidrag från Lars G Magnusson och Karin Ahlin. 0.4 Mindre ändringar och tillägg efter intern granskning sommaren 2010 14/9-2010 John Lindström, LTU 1.0 Efter slutgenomgång av Inger Gran och små administrativa tillägg. 06/12-2010 07/12-2010 John Lindström, LTU Bidrag från Erik Borglund, Lars G Magnusson, Karl-Mårten Karlsson, Lars Perhard Inger Gran, Dataföreningen 1.1 1.1 Uppdatering och tillägg av koppling mot affärs/verksamhetsnytta Språklig slutredigering 18/6-2011 John Lindström, LTU Bidrag från Lars Perhard, Cecilia Magnusson- Sjöberg och Lars G Magnusson 1.1.2 Uppdateringar speciellt i koppling mot det juridiska Granskare Namn Godkänd version Organisation Datum Ledningsgruppen Cloud Sweden 11/6-2010 Kvalitetssäkringsgruppen Cloud Sweden Sida 2

Frivilliga inom Cloud Sweden (ca 70 st). 0.4 - preliminär Cloud Sweden 27/8-2010 Säkerhetsgruppen och frivilliga inom Cloud Sweden 1.1 Cloud Sweden 3/12-2010 Säkerhetsgruppen och frivilliga inom Cloud Sweden 1.1.2 Cloud Sweden 22/6-2011 Innehållsförteckning 1 Introduktion... 4 2 Områden och problem inom säkerhet och bevarande som bör beaktas... 6 2.1 Källor... 12 2.2 Frågor, synpunkter eller förslag till förbättring... 12 Liten ordlista och använda förkortningar SaaS IaaS PaaS CIO CISO Software as a Service - mjukvara som en tjänst Infrastructure as a Service infrastruktur som en tjänst Platform as a Service plattform som en tjänst Chief Information Officer motsvarar person med ledningsansvar för frågor rörande IT och information i en organisation Chief Information Security Officer motsvarar en person med ledningsansvar för frågor rörande informationssäkerhet i en organisation Innan Du läser detta dokument vänligen ta del av detta (disclaimer): Detta dokument har tagits fram utifrån ett svenskt perspektiv. Läsaren ombeds att ha detta i åtanke vid läsning. Dessa riktlinjer är att uppfatta som en allmän information. Riktlinjerna gör inte anspråk på att vara uttömmande och innefattar inte någon form av teknisk, juridisk eller annan typ av rådgivning. Författarna avsäger sig allt juridiskt ansvar för innehållet i detta dokument. Läsaren bör innan avtal ingås anlita adekvat teknisk, juridisk eller annan expertis. Sida 3

1 INTRODUKTION Detta dokument behandlar säkerhets- och digitalt bevarande aspekter för molntjänster. Tidigare så användes till exempel ordet e-tjänster för att benämna detta område, men under de senaste åren så har tjänsteinnehållet expanderat till att inte bara beröra mestadels mjukvara utan även infrastruktur och plattformar. Dessa benämns ofta som SaaS, IaaS och PaaS, och kan givetvis kombineras ihop eller bara delvis användas tillsammans med en organisations egen IT-miljö under olika former. När det står skrivet säkerhet eller informationssäkerhet, så inbegriper dessa termer säkerhet för både IT, informationssystem och information. Bevarande är en kortare benämning för digitalt bevarande. I övrigt så kan det vara bra att fundera över två frågeställningar när molntjänster börjar bli aktuella, skall upphandlas eller redan kanske har upphandlats: Vad är problemet och utmaningen med säkerhet och bevarande i molnet jämfört med tidigare? I problemet och utmaningen finns ett flertal olika saker. Några är till exempel att det delvis är nytt, kräver kompetens och personalgrupper som kanske inte alla organisationer har. Försörjning av personal och specifika kompetenser kan därför behöva ses över. För övrigt behöver många organisationer antagligen göra ändringar i sin egen säkerhetsprocess och bevarandeprocess då inte längre samma transparens och möjligheter att undersöka, påverka eller följa upp finns. Många organisationer är dessutom ovana att upphandla molntjänster och olika legala delar som inte tidigare påverkat måste beaktas. Vilka molnsäkerhets- och bevarandeproblem eller områden behöver en organisation se över? Det finns ingen exakt mall för detta då varje organisation och dess verksamhetsprocesser är olika, men nedan kommer ett antal problem och områden att tas upp som vi anser kommer att vara aktuella. En organisation bör själv först fundera igenom vad och var problemen finns innan detta dokument börjar användas, för att inte bli alltför färgade av innehållet och glömma bort väsentliga faktorer när innehållet i detta dokument används och bockas av. De flesta typer av organisationer har olika krav på sig vad gäller säkerhet och bevarande (regleringar, lagar eller affärskrav) men det kan skilja en hel del beroende på om det är ett mindre företag, ett aktiebolag jämfört med ett statligt verk eller en kommun. Oftast har organisationens ledning ett ansvar för att undersöka risker relaterade till IT, samt att vidta nödvändiga åtgärder för att hantera möjliga risker på ett ansvarsfullt sätt. En organisations ledning har även ansvar för bevarandefrågor. En svårighet i molnsammanhang är att en organisation oftast inte längre har samma kontroll- och påverkansmöjligheter och att det krävs en ökad transparens hos leverantörer av molntjänster (tas upp i [1, 3]) samt en förtroendeskapad relation mellan parterna. Rent legalt kan arbetsuppgifter med åtföljande ansvar för att säkerhet och bevarande upprätthålls till viss del delegeras ut till leverantörer genom ett avtalsförfarande (kontraktering). För till exempel ett aktiebolag så är dess styrelse och VD (operativa ledning) alltid slutligt ansvariga inför sina aktieägare. Generellt kan sägas att det föreligger en laglig skyldighet att kontinuerligt undersöka risker och se till att det finns en tillräcklig säkerhetsnivå och tillräckliga rutiner för bevarande. Faktorer som påverkar säkerhetskraven för en molntjänst är bland annat hur viktig informationen som hanteras är samt hur den behöver skyddas (konfidentialitet, integritet, säker backup med mera) och hur hög tillgänglighet som krävs. För att underlätta bedömningen av tillgänglighetsaspekten, så bör en organisation kartlägga sina verksamhetsprocesser på en hög nivå och samtidigt se över vilka IT-resurser och informationssystem et cetera som används i processerna. Därefter bör en bedömning göras av vilka verksamhetsprocesser som är kritiska, det vill säga alltid måste fungera eller fungera med väldigt hög tillgänglighet. Det är lättare att lägga ut stöd för hela eller delar av verksamhetsprocesser som inte är kritiska i en molntjänst. En säkerhetsgenomlysning av en molntjänst kostar mycket pengar och tar tid och resurser i Sida 4

anspråk. Därför bör en organisation inrikta sig på att mer noggrant gå igenom molntjänster för kritiska verksamhetsprocesser än för de som inte är så kritiska. Viktigt att betänka är att säkerhetsgenomlysningen inte bara skall göras initialt när en molntjänst kanske skall börja användas, utan är något som bör ske kontinuerligt så länge den används och utgå från de egna policys som finns relaterade till området, skiftande affärskrav samt förändringar i omvärlden. Alltså kan det vara bra att börja med en process som varken är kritisk eller behandlar konfidentiell information, för att lära sig och skaffa erfarenhet innan organisationen ger sig på de processer som ställer högre krav. Det som påverkar bevarandet för en molntjänst är bland annat hur länge informationen som lagras kommer att användas, hur den kan komma att behöva användas i framtiden samt hur snabbt lagrad information kan behöva göras tillgänglig för användning. Här behövs en kartläggning och plan. Dokumentet är tänkt att vara positionerat mellan de allra enklaste och mest detaljerade allmänt tillgängliga dokumenten som berör säkerhet för molntjänster. Vi tar även i detta dokument upp bevarandefrågor. I tabellen som finns i sektion 2 är de olika områdena och problemen kopplade mot den affärs/verksamhetsnytta de kan bidra till. I tabellen är det tänkt att se på innehållet i kolumnen Nytta som resultatet från vad ett genomtänkt planerande och agerande i frågan eller området kan ge. Vad gäller nytta så kan den givetvis tolkas väldigt olika beroende på typ av organisation samt vilket uppdrag och uppdragsgivare den har. Helst skulle affärs/verksamhetsnytta mätas i tydliga tal som total kostnad för användande (Total Cost of Ownership) där man jämför skillnad mellan att äga en lösning själv jämfört med att använda en molntjänst, avkastning på investering (Return-On-Investment) eller liknande. Dock så kräver dessa båda nämnda mått att man kan få fram en hel rad siffror för kostnader eller härleda vilka kassaflöden som hör till vad. Detta är oftast svårt och då många nyttor är av kvalitativ och inte av kvantitativ natur, så kommer i detta dokument fokus att ligga mer på kvalitativa än kvantitativa nyttor. De olika nyttorna har hämtats från arbetet inom Cloud Sweden, affärslitteratur och forskning. I ett försök att förenkla kopplingen av säkerhet och bevarande mot affärs/verksamhetsnytta så har olika nyttor grupperats i fyra olika huvudkategorier: förbättrad organisatorisk prestanda/lönsamhet (PRESTANDA), ökad konkurrenskraft (KONKURRENS), synergiskapande (SYNERGI) respektive förbättrad ledningsförmåga (LEDNING). Denna version av dokumentet har i nuläget en tyngdpunkt på förbättrad ledningsförmåga. Nedan listas ett eller flera olika exempel på nyttor inom varje huvudkategori: PRESTANDA produktivitetsökning, effektivare processer, lägre kostnader, ökad lönsamhet, högre avkastning på kapital eller investering, ökad försäljning, mobilare arbetsstyrka. KONKURRENS möjliggörare för nya produkter eller tjänster, bättre anpassnings/omställningsförmåga och skalbarhet (betalning utifrån användning), ökad förmåga attrahera eller få tag på resurser som är svåra att efterlikna/ sällsynta/värdefulla och ej utbytbara samt göra dessa produktiva och skapa effektivitet, nöjdare kunder och anställda, snabbare tid att nå marknaden med produkt/tjänst, lägre kostnadsbarriär, kunna nå nya marknader, minskar risk. SYNERGI förbättra relationen mellan informationssystem/it mellan organisation/strategi/ strukturer/ledningsprocesser för att skapa synergier mellan strategier/organisation/processer/ teknologi/människor samt även öka effekten från teknologin för att nå högre lönsamhet. LEDNING ledning får bättre förståelse för tillgängliga resurser/kunder med mera vilket kan leda till bättre anskaffning av resurser och produkt/tjänstedesign et cetera ledning och organisation är bättre förberedd att hantera en krissituation, ökad trovärdighet/pålitlighet från kunder och egen organisation, organisationen klarar affärs/legala krav. Vi rekommenderar att förutom att använda detta dokument, även läsa och använda de andra dokumenten som finns angivna i referenslistan för mer ingående detaljer. Sida 5

2 OMRÅDEN OCH PROBLEM INOM SÄKERHET OCH BEVARANDE SOM BÖR BEAKTAS Detta dokument utger sig inte för att vara en komplett samling av problem och områden som behöver ses över, utan tanken är att det skall utgöra en stomme (och därmed spara både tid, resurser och pengar) för arbetet inom säkerhet och bevarande att utöka och bygga vidare på. De källor som används är tydligt markerade. Vår egen erfarenhet eller forskning inom området är införlivat i texten utan explicita referenser. De nivåer som används är strategisk (s), taktisk (t) och operativ (o). Med strategisk menas ledningsnivå och beslut som påverkar hela organisationen med en längre tidshorisont (år), och med taktisk så menas ansvariga för funktioner eller processer och beslut som påverkar de som använder eller berörs av dessa där tidshorisonten är medellång (månader). Slutligen, med operativ så menas avdelnings/gruppnivå där besluten ingår i den dagliga verksamheten och tidshorisonten är normalt kort (dagar/vecka). Ett tips är att börja med de strategiska frågorna och arbeta sig nedåt mot de operativa och inte göra tvärt om. Svenska myndigheter måste göra vissa rättsliga överväganden innan de implementerar molntjänstlösningar. Det är fråga om att proaktivt beakta de rättsfrågor som då särskilt aktualiseras. I praktiken är det svårt att lägga hela ansvaret på en enda befattningshavare hos en myndighet, eftersom uppkommande rättsfrågor är av betydande omfattning och, särskilt i den mån regler skall tillämpas, kräver kompetens för hanteringen. Det kan till exempel vara fråga om tillämpning av offentlighetsprincipen, arkivlagen och olika förvaltningsrättsliga bestämmelser jämte regelverken i anslutning till behandling av personuppgifter och offentlig upphandling. Därför är det att rekommendera att implementering av molntjänster inom den offentliga sektorn styrs enligt vad som kan kallas en strategi eller policy för tillgodoseendet av uppkommande rättsliga krav vid implementeringen ( legal system management ). I syfte att ytterligare kort illustrera de rättsregler som aktualiseras vad gäller molntjänster kan nämnas det faktum att svenska myndigheter har en skyldighet till öppenhet och att organisera sin verksamhet på ett sätt som bland annat tillgodoser: 1. var och ens rätt att få ta del av allmänna handlingar 2. behovet av information för rättskipningen och förvaltningen 3. forskningens behov Således skall varje myndighet ombesörja till exempel att arkivlagen efterlevs och att den grundlagsfästa rätten för var och en att få tillgång till allmänna handlingar tillgodoses enligt tryckfrihetsförordningens andra kapitel. Vidare skall myndigheter och även privata organisationer säkerställa att personuppgifter behandlas på ett korrekt sätt inom organisationen enligt personuppgiftslagen och andra förordningar et cetera i anslutning till denna (tillexempel Datainspektionens föreskrifter och allmänna råd, internationella riktlinjer och överenskommelser). Det övergripande syftet med nämnda regelverk är att skydda människor mot att deras personliga integritet kränks när personuppgifter behandlas. Andra lagar som kan påverka krav på säkerhet och bevarande är till exempel bokförings, miljö och produktansvarslagar. Normalt skall bokföring, inklusive vem som ändrade vad och när, kunna tillgås under tio års tid medan kraven på dokumentation om produkter i vissa fall kan sträcka sig upp mot trettio år. Sida 6

Nivå Område/problem Vem är mest intresserad Nytta Källa S Uppfyllande av legala krav och bestämmelser (compliance) 1. Vilka uppfylls Ledning LEDNING Delvis [1], [4] och vilka behöver uppfyllas? S Uppfyllande av den egna säkerhetspolicyn (compliance). Några Ledning LEDNING [1, 3, 4, 6] delar som ger problem? Behöver egna säkerhetspolicyn ändras? S Uppfyllande av krav från standards, certifieringar, best practice Ledning LEDNING Delvis [1], [3, 4] et cetera (compliance). Vilka bör/måste vi uppfylla och vilka uppfyller KONKURRENSleverantören? Hur kan vi visa detta vid en (om)certifiering? S Revision och bevisinsamling. Hur kan revision göras och hur kan Ledning LEDNING [3] eventuella bevis som behövs samlas in? Görs det en gemensam revision för alla kunder? S Riskhantering transparens hos leverantören. Är det möjligt Ledning, beställarfunktion LEDNING Delvis [1], [3, 4] upprätthålla en löpande bra riskbedömning/hantering? Görs det granskningar av oberoende part efter en standardiserad modell med allmänt kända kriterier eller mätetal? Är granskningsprotokollen (flera år i följd) tillgängliga? S Försäkring. Har leverantören en ansvarsförsäkring som täcker skador eller Ledning, beställarfunktion LEDNING kostnader som kan uppstå hos kunden på grund av försumlighet (med andra ord tjänsten har ej utförts fackmannamässigt), dataintrång eller andra orsaker? Täcker i så fall försäkringen och ersättningsnivåerna de risker som identifierats? 1 Det kan noteras att det beträffande molntjänster inte bara rör sig om inhemsk svensk rätt och EU rätt. Bland annat kan planerad och existerande amerikansk lagstiftning påverka. Sida 7

S Informationsfrågor. Har organisationen säkerställt tillgången till Ledning LEDNING Delvis [1, 3, 4] sin egen information under en viss tid från en meddelad tidpunkt, även om tjänsten upphör av något skäl, eller stoppas vid en kontraktuell dispyt? Äganderätt till informationen tillhör alltid organisationen under alla omständigheter? Hålls informationen partitionerad (uppdelad) vid lagring och bearbetning (möjlig att återskapa om partition/er faller bort), och är det svårare då få ut fullt användbara data vid intrång? Hanteras informationen globalt eller sker det i utpekade datacenters särskilt viktigt om det finns det känsliga personuppgifter som berörs av till exempel EUs dataskyddsdirektiv, och Safe Harbour/Patriot Act i USA et cetera? S Långsiktigt digitalt bevarande och lagring över längre tid. Hur vill vi Ledning, CIO LEDNING att detta skall göras? Vem har ansvar för migrering och emulering KONKURRENSmed mera av formaten som lagras? Klarar leverantören av molntjänster detta eller behövs mer kunskap och kompetens införskaffas? PRESTANDA S Vid eventuellt byte av tjänst. Går informationen och dess metadata Ledning, CIO, arkitekt PRESTANDA [3, 4] att portera (eller använda rakt av) så att den passar i nya miljöer och andra leverantörers tjänster? S Kontinuitetsplanering att utöka den egna och synkronisera med Ledning, ansv. kontinuitetsplan. LEDNING Delvis [1, 3, 4] leverantörens. Går det enkelt, eller innebär det stor ansträngning? Övas hur ofta? S/T Hur långt sträcker sig leverantörens åtagande och var börjar det egna Ledning, beställarfunktion LEDNING [3, 4] ansvaret (slutar leverantörens vid hypervisorn, det vill säga till virtualiseringen/fysisk- och miljösäkerhet, eller sträcker den sig längre/kortare)? Vad gäller för säkerhetskontroller för infrastruktur, operativsystem, data/information, applikation med mera? Delas ovan (virtualiseringen) med andra kunder eller är allt separerat helt per kund? Hur vill vi ha det? Sida 8

S/T Återställningsplanering på tjänste/systemnivå - hur ser den ut? Ledning, IT och LEDNING Delvis [1] Är egna tjänster/system integrerade med leverantörens? Informationsystem avdelningar S/O Återställning (disaster recovery) hur ser leverantörens process Ledning, IT och informations- LEDNING Delvis [3], [4] ut? Behöver den integreras med den egna processen, eller räcker det att system avdelningar, drift/support den ser ut att fungera bra? Testas hur ofta? S/O Incidenthantering hur ser leverantörens process ut och hur Ledning, IT och informations- LEDNING Delvis [1, 4] kan den egna processen integreras med denna. Testas hur ofta? system avdelningar, drift/support T Identitets- och accesshantering (IAM). Hur många sådana kommer Arkitekt, beställarfunktion PRESTANDA [1], delvis [2, 3] organisationen vara del i? Finns det egna och olika varianter hos SYNERGI aktuella molntjänstleverantörer? Många olika kräver mer kunskap, resurser och separata kontrollprocesser. Går det att hitta en interoperabel lösning som flera leverantörer kan ha gemensamt? Hur många säkerhetsnivåer behövs? Vilka användare/roller kommer vi behöva? Process för att addera/ta bort användare och roller finns det? T Tjänsteintegritet. Utvecklingsprocessen hos leverantören beaktar Beställarfunktion KONKURRENS- [1, 3, 4] säkerhet och personlig integritet under hela tjänstens livscykel, och leveransen av tjänsten uppfyller kontraktuella krav på säkerhet (tillgänglighet, övervakning/revision/loggning, svarstider och support)? T Säkerhet hos användare (end point security). Behövs utbildning/ CISO PRESTANDA Delvis [1, 3, 4] medvetandeprogram för att få ett säkert beteende (mot social engineering, KONKURRENSidentitetsstöld, nätfiske, virus, farliga länkar et cetera)? Hur skall en användare (och administratör) säkert ansluta sig till tjänsten krav? Är det möjligt att ha single sign-on tillsammans med andra system/tjänster beroende på hur till exempel katalogtjänster, nycklar, nyckelhanteringen och brandväggsöppningar ser ut? Hur ser den egna säkerhetspolicyns krav ut på IT-miljön hos användare i övrigt? Sida 9

T Säkerhet i molntjänstens gränssnitt. Hur ser tjänstens CISO PRESTANDA [2], delvis [3, 4] säkerhetsnivå i gränssnittet ut (är det säkert utvecklat, se till exempel [5]) KONKURRENSoch är de eventuella APIer (Application Programming Interfaces) eller andra anslutningsmöjligheter som finns i, runt eller till molntjänsten säkra SYNERGI och utvecklade med säkerhet i åtanke? Krypteringsnivåer och nyckelgenerering/hantering? Hur och hur ofta testas allt detta? T Skydd av information. Skyddas informationen under hela tiden CIO/CISO LEDNING Delvis [1], [2, 3, 4] den befinner sig inom tjänsten enligt kraven/klassificeringen som KONKURRENSfinns i säkerhetspolicyn (kryptering, integritet, backup och återställning (recovery) med mera)? Hur hålls den separerad från andra organisationers information? Krypteringsnivåer och nyckelhantering hur ser dessa ut? Backup - metod och säker lagring? Hur ofta testas allt detta? T Dynamik i molntjänsten. Hur snabbt och hur mycket ytterligare CIO PRESTANDA [3] resurser/prestanda kan alltid tilldelas och hur lång uthållighet finns KONKURRENSför detta? Vad är vårt behov? O Fysisk säkerhet, bakgrundskontroll och loggning av personal Beställare LEDNING Delvis [1], [3] hos leverantören med mera. Kraven på leverantören skall spegla egna verksamhetens säkerhetskrav. Backuper säkert skyddade? O Är molntjänsten uppbyggd på ett sätt som skall försvåra för intrång? Beställare, CISO PRESTANDA Delvis [2], [4] Om ett intrång sker i ett datacenter får då den som gör intrånget tillgång till information i annat datacenter? Vad övervakas och loggas? Hur sker övervakning av tjänsten och finns den bemannad dygnet runt? O Har molntjänsten ett standardiserat öppet gränssnitt till MSS (managed Beställare, CISO PRESTANDA [3] security services) leverantörer för sina kunder? Behöver eller vill vi ha detta? SYNERGI Sida 10

O Patch management. Hur sker detta av molntjänstens programvaror, Beställare, CISO PRESTANDA Delvis [2], [3] säkerhetslösningar och dess underliggande programvaror som till exempel operativsystem, drivrutiner, virtualisering? Sker detta kontrollerat? Återställs alltid de inställningar som patchar ändrar, till de önskade inställningarna? O Vilka har och skall ha tillgång till och kunna logga in till molntjänsten, Beställare, CISO LEDNING Delvis [2] underliggande programvaror och informationen som finns lagrad där? PRESTANDA Behöver dessa verkligen kunna göra allt som de kan, eller har de för mycket rättigheter (gäller både personal hos molnleverantören och hos den egna organisationen)? O Hur ofta testas tjänsten mot olika former av attacker och intrång? Beställare, CISO PRESTANDA Delvis [2, 3] Attacker mot lösenordskällor och autenticeringsmekanismer, lösenords- och nyckelknäckning, tillgänglighet (DDOS/EDOS) med mera. O Är det möjligt för vilken användare som helst att lägga upp länkar, Beställare, CISO PRESTANDA Delvis [2] applikationer eller annan kod i molntjänsten? Om detta behövs, kan rättighetsstyras? Loggning? O Borttagning av data. Om data skall tas bort på begäran, hur görs detta Beställare, CISO PRESTANDA [3] och hur säkerställs det att data verkligen tagits bort? Hur lång tid tar det? Vad gäller backuper? Sida 11

2.1 Källor [1] Microsoft (2010). Cloud Computing Security Considerations. www.microsoft.com [2] CSA Cloud Security Alliance (2010). Top Threats to cloud computing v1.0. www.cloudsecurityalliance.org [3] ENISA (2009). Cloud Computing: Benefits, risks and recommendation for information security. www.enisa.eu [4] CSA Cloud Security Alliance (2009). Security Guidance for critical areas of focus in cloud computing v2.1. www.cloudsecurityalliance.org [5] OWASP (2010). OWASP top ten project - www.owasp.org [6] Microsoft (2010). Information Security Management System for Microsoft Cloud Infrastructure - http://www.globalfoundationservices.com/security/documents/informationsecuritymangsysformscl oudinfrastructure.pdf Personuppgifter Personuppgiftslagen (1998:204) och Personuppgiftsförordningen (1998:1191) och Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter [Betr. myndigheter] Digitalt bevarande Tryckfrihetsförordningen (1949:105) och Arkivlag (1990:782). 2.2 Frågor, synpunkter eller förslag till förbättring Om det finns frågor eller sätt du tycker att detta dokument kan förbättras, är du välkommen att kontakta någon av nedan: Informationssäkerhet: John Lindström - john.lindstrom@ltu.se Informationssäkerhet: Ulf Berglund ulf.berglund@uisec.se Informationssäkerhet: Karl Mårten Karlsson karlmarten.karlsson@gmail.com Informationssäkerhet: Magnus Lindkvist magnus.lindkvist@microsoft.com Informationssäkerhet: Lars G Magnusson lars.mson@gmail.com Digitalt bevarande: Erik Borglund erik.borglund@miun.se Legala frågor: Lars Perhard - lars.perhard@weplaw.se Sida 12

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss