Tillsyn över dokumentation av informationsbehandlingstillgångar

Relevanta dokument
Årlig tillsyn över incidentrapportering och inträffade integritetsincidenter Tele2 Sverige AB

Årlig tillsyn över incidentrapportering och inträffade incidenter Hi3G Access AB

Tillsyn över säkerhetsarbete hos underleverantör

Årlig tillsyn över incidentrapportering och inträffade incidenter Com Hem AB

Årlig tillsyn över incidentrapportering och inträffade integritetsincidenter Telia Company AB

Tillsyn över dokumentation av tillgångar och förbindelser

Årlig tillsyn över incidentrapportering och inträffade incidenter Hi3G Access AB

Årlig tillsyn rörande incidentrapportering och inträffade integritetsincidenter;

Tillsyn efter inträffad integritetsincident i fakturasystem

Årlig tillsyn rörande incidentrapportering och inträffade driftstörningar och avbrott

Årlig tillsyn rörande incidentrapportering och inträffade incidenter

Årlig tillsyn rörande incidentrapportering och åtgärder med anledning av inträffade störningar och avbrott av betydande omfattning Tele2 Sverige AB

Tillsyn av förmågan att identifiera och internt rapportera integritetsincidenter.

Tillsyn över behandling av uppgifter

(5)

Tillsyn med anledning av integritetsincident rörande hemliga nummer

Säkerhetsbrister i kundplacerad utrustning

Tillsyn av åtgärder för skydd av behandlade. uppgifter i butiks- och återförsäljarledet.

Exponerade fakturor på internet

Störningar och avbrott i elektroniska kommunikationsnät och -tjänster

Kommissionens förordning (EU) nr 611/2013 av den 24 juni 2013 om åtgärder tillämpliga på anmälan av personuppgiftsbrott.

Avbrott i bredbandstelefonitjänst

Informationsskyldighet vid tillhandahållande av Minicall-tjänst

Överlämnande av nummer vid byte av tjänsteleverantör

Tillsyn om störningar och avbrott i elektroniska kommunikationsnät och - tjänster

Tillsyn om ersättning vid utlämnande av lagrade uppgifter för brottsbekämpande ändamål

Tillsyn över behandling av uppgifter och inhämtade av samtycke

Uppföljande tillsyn avseende kontinuitetsplan för bredbandstelefoni

PTS redovisar härmed sin utredning enligt förordning (2007:1244) om konsekvensutredning vid regelgivning avseende upphävandet av de allmänna råden.

Säkerhetsbrister i kundplacerad utrustning

Tillsyn avseende domännamnsregistret för den nationella toppdomänen.se

Förslag till beslut om ändring av telefoninummerplanen

Genomförd tillsyn avseende säker och konfidentiell kommunikation under 2017

Tillsyn över behandling av uppgifter och inhämtade av samtycke

Förändringar i nya LEK

Saken. PTS underrättelse

Tillsyn över behandling av uppgifter och inhämtade av samtycke

Underrättelse om misstanke om att Fast Communication Sweden AB inte informerat abonnenter om villkorsändring

Beslut om ändring av telefoninummerplanen

Föreläggande om efterlevnad av skyldighet att lagra trafikuppgifter m.m. för brottsbekämpande ändamål

Underrättelse om misstanke om att SwedfoneNet AB handlar i strid med gällande regelverk vid överlämnande av nummer

Föreläggande att inkomma med uppgifter

Föreläggande om efterlevnad av skyldighet att lagra trafikuppgifter m.m. för brottsbekämpande ändamål

Vägledning om skyldigheten att rapportera integritetsincidenter

Gränsdragningen mellan den generella personuppgiftsregleringen och regleringen för området elektronisk kommunikation bör tydliggöras

Post- och telestyrelsen arbetar för att alla i Sverige ska ha tillgång till bra telefoni, bredband och post.

Underrättelse om misstanke om att Viasat AB tillämpar en längre inledande bindningstid än 24 månader

Beslut om avskrivning

Avbrott och störningar i elektroniska kommunikationsnät och tjänster

Ansökan om undantag från krav på reservkraft

Tvistlösning enligt 7 kap. 10 lagen (2003:389) om elektronisk kommunikation (LEK)

Tillsynsrapport: Informationskrav vid ändring av avtal

Hantering av nummerserierna 71xxx och 72xxx för SMS-innehållstjänster

Underrättelse om misstanke om att Canal Digital Sverige AB tillämpar en längre inledande bindningstid än 24 månader

Underrättelse om misstanke om behandling av uppgifter i strid med lag

070 0XXXXXX, 076 0XXXXXX, 076 9XXXXXX Samtliga med 0+9 siffrors nummerlängd vilket ger 3 miljoner nummer

(5) Vägledning för anmälan av anmälningspliktig verksamhet. 1. Inledning. 2. Anmälningsplikt Hur görs en anmälan?

Tillsyn avseende Telia Company AB:s incidenthantering med anledning av stormen Alfrida

Konsekvensutredning avseende föreskrifter och allmänna råd om skyddsåtgärder för behandlade uppgifter

AllTele Företag Sverige AB (AllTele Företag) Att: Mats Larsson Hammarsten, Niklas Norberg och Peter Bellgran Box SKÖVDE

Föreläggande att på begäran lämna ut uppgifter om abonnemang

Underrättelse om misstanke att Bahnhof AB (publ) inte följer skyldigheten att lämna uppgifter enligt 8 kap. 1 LEK

Tillsyn med anledning av störningar och avbrott i elektroniska kommunikationsnät och kommunikationstjänster

Remissvar angående SOU 2019:14: Ett säkert statligt IDkort- med e-legitimation (dnr Ju2019/01281/L4)

Beslut om tillstånd att använda radiosändare i 10,5 GHz-bandet

Hantering av nummerserierna 71xxx och 72xxx för SMS-innehållstjänster

Underrättelse om misstanke att Tele2 Sverige AB:s prissättning på mobil samtalsterminering inte är kostnadsorienterad

Ändring av telefoninummerplanen

Beslut om tillstånd att använda radiosändare i frekvensbandet / MHz

Post- och telestyrelsen (PTS) har beretts tillfälle att yttra sig över rubricerad promemoria.

Beslut om tillstånd att använda radiosändare i 700 MHz-bandet

Beslut om förbud enligt 12 radioutrustningslagen

Nordisk Mobiltelefon Sverige AB:s konkursbo, Lagrummet december nr 1580 AB, , under namnbyte till AINMT Sverige AB

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut om ändring av telefoninummerplanen

Förslag till föreskrifter och allmänna råd om behandling av personuppgifter och journalföring i hälso- och sjukvården

Innehåll Dnr: (5)

ÄRENDEANSVARIG, AVDELNING/ENHET, TELEFON, E-POST ERT DATUM ER REFERENS

Minnesanteckningar Driftsäkerhetsforum 23 november 2016

Beslut om tillstånd att använda radiosändare i 3,5 GHz-bandet

Avgift för tvistlösning och tillsyn enligt utbyggnadslagen

Föreläggande om efterlevnad av skyldighet att lagra trafikuppgifter m.m. för brottsbekämpande ändamål

Tele2 och Telenorbolagen stödjer PTS förslag i stort men har synpunkter på formuleringar, ändringar och önskar vidare förtydliganden av förslaget.

Föreningen Sveriges Sändareamatörer, Box 45, Sollentuna.

Föreläggande vid vite att efterleva tillståndsvillkor om effektnivå för den fullständiga multiplexsignalen vid användning av ljudrundradiosändare

Anmälan enligt kap 2 1 lagen (2003:389) om elektronisk kommunikation (LEK)

Beslut om ändring av telefoninummerplanen

UNDERRÄTTELSE 1(8) Tele2 Sverige AB Att: Gustav Ehrner Box Kista

3. PTS beslutar att undantas från tilldelning. 4. PTS beslutar att reserveras för framtida bruk.

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

3. Föreläggandet gäller omedelbart enligt 8 kap. 22 LEK.

Föreläggande vid vite att efterleva tillståndsvillkor om effektnivå för den fullständiga multiplexsignalen vid användning av ljudrundradiosändare

ÄRENDEANSVARIG, AVDELNING/ENHET, TELEFON, E-POST ERT DATUM ER REFERENS

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Remissvar angående anmälningspliktig verksamhet och anmälningspliktig omsättning

(5) Anna Rappe Mötesanteckningar Integritetsforum, 18 mars 2010

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Datum Vår referens Aktbilaga Dnr:

Transkript:

AVSKRIVNINGSBESLUT 1(6) Datum Vår referens 2017-02-01 Dnr: 16-6142 Nätsäkerhetsavdelningen Karin Lodin 08-678 56 04 karin.lodin@pts.se Hi3G Access AB Tillsyn över dokumentation av informationsbehandlingstillgångar Saken Tillsyn över dokumentation av informationsbehandlingstillgångar. Post- och telestyrelsens avgörande Post- och telestyrelsen (PTS) avskriver ärendet från vidare handläggning. Bakgrund Tillhandahållare av elektroniska kommunikationstjänster är skyldiga att skydda abonnenters och användares integritet i samband med tillhandahållande av tjänsterna. PTS har tagit fram föreskrifter och allmänna råd (PTSFS 2014:1) som närmare anger vilka krav på skyddsåtgärder som gäller för operatörer när dessa behandlar uppgifter. De skyddsåtgärder som föreskrivs förutsätter att operatören först har identifierat och dokumenterat de system, databaser och fysiska tillgångar som används för informationsbehandling (s.k. informationsbehandlingstillgångar). Att ha en aktuell och samlad bild över samtliga informationsbehandlingstillgångar underlättar för operatören att vidta de skyddsåtgärder som krävs, samt andra relevanta åtgärder för att upprätthålla en hög skyddsnivå och följa upp säkerheten för de behandlade uppgifterna över tid. Krav på identifiering och dokumentation av informationsbehandlingstillgångar har gällt sedan den 1 september 2014. Mot bakgrund av uppgifter som har lämnats till PTS i olika tillsynsärenden har PTS dock misstänkt att flera operatörer ännu inte efterlevt kraven. Post- och telestyrelsen Postadress: Besöksadress: Telefon: 08-678 55 00 Box 5398 Valhallavägen 117 A Telefax: 08-678 55 05 102 49 Stockholm www.pts.se pts@pts.se

2(6) Mot bakgrund av detta inledde PTS tillsyn över bl.a. Hi3G Access AB (Tre) i syfte att granska operatörens efterlevnad av reglerna. Den 20 juni 2016 hölls ett möte med Tre vid vilket de tillämpliga reglerna diskuterades och Tre bl.a. presenterade sin förteckning över informationsbehandlingstillgångar, samt hur operatören arbetar med att hålla förteckningen löpande uppdaterad. Tre skickade även in ett utdrag ur förteckningen till PTS. Vid mötet framförde Tre bl.a. att man inte hade tolkat begreppet informationsbehandlingstillgång så att även samtliga fysiska tillgångar omfattades. Efter påpekande från PTS om detta åtog sig Tre att komplettera sin förteckning med dessa tillgångar. Efter att myndigheten genomfört tillsynsmöte med samtliga tillsynsobjekt som omfattats av tillsynen kunde PTS konstatera att det återkommande hade förelegat vissa generella brister hos tillsynsobjekten. Dessa brister var främst relaterade till tolkningen av vissa för tillsynen relevanta begrepp, såsom just begreppet informationsbehandlingstillgång. Den 14 oktober 2016 inkom Tre med bekräftelse avseende att operatören delade PTS syn på de aktuella begreppen, samt att man nu i övrigt efterlevde reglerna för dokumentation av informationsbehandlingstillgångar. Skäl Tillämpliga bestämmelser Enligt 6 kap. 3 lagen (2003:389) om elektronisk kommunikation (LEK) ska den som tillhandahåller en allmänt tillgänglig elektronisk kommunikationstjänst vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa att uppgifter som behandlas i samband med tillhandahållandet av tjänsten skyddas. Den som tillhandahåller ett allmänt kommunikationsnät ska vidta de åtgärder som är nödvändiga för att upprätthålla detta skydd i nätet. Åtgärderna ska vara ägnade att säkerställa en säkerhetsnivå som, med beaktande av tillgänglig teknik och kostnaderna för att genomföra åtgärderna, är anpassad till risken för integritetsincidenter. Enligt 2 PTS föreskrifter och allmänna råd om skyddsåtgärder för behandlade uppgifter (PTSFS 2014:1) definieras behandlade uppgifter som uppgifter som behandlas i samband med tillhandahållande av tjänsten enligt 6 kap. 3 LEK. Enligt föreskrifternas 3 ska tjänstetillhandahållarens säkerhetsarbete avseende behandlade uppgifter bedrivas långsiktigt, kontinuerligt och systematiskt. I säkerhetsarbetet ska det finnas en tydlig rollfördelning med särskilt utpekade Post- och telestyrelsen 2

3(6) ansvariga. Rutiner, processer och rollfördelning för säkerhetsarbetet ska dokumenteras. Enligt 4 ska tjänstetillhandahållaren identifiera informationsbehandlingstillgångar där behandlade uppgifter förekommer och föra en förteckning över dessa. Tjänstetillhandahållaren ska i sitt säkerhetsarbete årligen och vid behov följa upp att förteckningen är aktuell. PTS är enligt 2 förordningen (2003:396) om elektronisk kommunikation tillsynsmyndighet enligt LEK. Tillsynsmyndigheten ska enligt 7 kap. 1 LEK utöva tillsyn över bland annat efterlevnaden av lagen. PTS bedömning Tre har skriftligen och vid möte med PTS redogjort för operatörens arbete med dokumentation av informationsbehandlingstillgångar. Vid tillsynsmötet redogjorde även PTS för hur myndigheten ser på vissa för tillsynen relevanta begrepp, i syfte att säkerställa att PTS och Tre hade samsyn gällande innebörden av begreppen. Efter att PTS genomfört tillsynsmöten med alla operatörer som omfattats av tillsynen kunde myndigheten konstatera att det förelåg några generella brister, främst avseende hur operatörer tolkade vissa för tillsynen relevanta begrepp. PTS gör gällande dessa brister följande bedömningar. Begreppet informationsbehandlingstillgång PTS kan konstatera att definitionen i föreskrifterna av informationsbehandlingstillgång är mycket vid i och med att den innefattar samtliga system, databaser och fysiska tillgångar som används för informationsbehandling. PTS kan vidare konstatera att de flesta operatörer har inkluderat system och databaser i sin förteckning, men att man vid tillsynens start saknat dokumentation av fysiska tillgångar, alternativt att man endast dokumenterat kundplacerad utrustning. Alla fysiska tillgångar som används för informationsbehandling, dvs. behandlar uppgifter, ska dokumenteras. Som exempel på fysiska tillgångar som typiskt sett behandlar uppgifter för t.ex. en mobiloperatör kan anges routrar, switchar, DSLAM, BNC, RNC, HLR, servrar, aktiva fysiska förbindelser och media converters. Post- och telestyrelsen 3

4(6) Till stöd för bedömningen av vilka tillgångar som omfattas bör operatören, enligt PTS bedömning, utreda vilka tillgångar som skulle kunna drabbas av en integritetsincident, genom att t.ex. ställa sig frågan om den fysiska tillgången på något sätt, oavsiktligt eller otillåtet, kan vara föremål för utplåning, förlust, ändring, avslöjande eller åtkomst till behandlade uppgifter. Begreppet uppgifter som behandlas i samband med tillhandahållandet av tjänsten Det andra begreppet där flera operatörer inte har haft samma tolkning som PTS är uppgifter som behandlas i samband med tillhandahållandet av tjänsten. Begreppet återfinns både i föreskrifterna och i 6 kap. 3 LEK. Det finns, enligt PTS bedömning, ingen begränsning i de tillämpliga reglerna avseende vilka uppgifter som omfattas av begreppet, utan i vart fall samtliga uppgiftskategorier som omnämns i 6 kap. LEK omfattas. Dessa kategorier utgörs åtminstone av - uppgifter i ett elektroniskt meddelande (innehåll) (t.ex. 6 kap. 17 LEK), - uppgifter om abonnemang (6 kap. 20 LEK), - lokaliseringsuppgifter (t.ex. 6 kap. 9 LEK) och - trafikuppgifter (t.ex. 6 kap. 5 LEK). Den kategori som PTS genom tillsynen har kunnat konstatera att operatörer generellt har haft okunskap rörande har varit uppgifter i elektroniskt meddelanden, dvs. meddelandens innehåll. Enligt PTS bedömning utgör denna kategori ofta den mest integritetskänsliga av de kategorier som omfattas av uttrycket uppgifter som behandlas vid tillhandahållandet av tjänsten. Det PTS inom ramen för tillsynen vidare har konstaterat är att många av operatörerna i sin förteckning endast har angett en kategori av uppgifter och att den ofta har kallats personuppgifter. Även om t.ex. trafikuppgifter mycket väl kan utgöra personuppgifter skyddas i LEK inte bara personuppgifter utan även t.ex. uppgifter om företag och själva konfidentialiteten i kommunikationen, oavsett om den går att härleda till en viss person eller inte. Även i de fall operatören benämnt uppgifterna för t.ex. kunduppgifter och med det avsett att även t.ex. företag inkluderas, så är en sådan omfattande kategorisering, enligt PTS bedömning, inte tillräckligt specificerad för ändamålet. PTS är av uppfattningen att det är lämpligt att operatören i t.ex. sin förteckning över informationsbehandlingstillgångar tydligt anger vilken typ av uppgifter som varje tillgång behandlar, bl.a. eftersom dessa uppgifter utgör en del av den information som operatören ska beakta vid genomförande av analys Post- och telestyrelsen 4

5(6) av riskerna och för att kunna vidta ändamålsenliga skyddsåtgärder för tillgången. Vilken information förteckningen bör innehålla Inom ramen för tillsynen har även ingått granskning av vilken information som en godtagbar förteckning åtminstone bör innehålla. PTS gör härvid bedömningen att, även om föreskrifterna inte innehåller några specifika krav på förteckningens innehåll, förteckningen bör vara ändamålsenlig för de efterföljande kraven i föreskrifterna. Förteckningen bör således kunna användas som underlag till de riskanalyser som ska genomföras för samtliga informationsbehandlingstillgångar, samt för de skyddsåtgärder som ska vidtas efter riskanalyserna. Enligt PTS bedömning är det mot bakgrund av detta lämpligt att i sin förteckning inkludera information om - vilken eller vilka uppgifter som en specifik tillgång behandlar, - namn på tillgången och dess funktion, - placering (fysiska tillgångar), - vem som ansvarar för den, samt - en hänvisning till den riskanalys, eller de riskanalyser, som genomförts för tillgången. Att hålla förteckningen löpande uppdaterad Slutligen har PTS kunnat konstatera att det i flera fall har förelegat vissa tveksamheter gällande hur ofta förteckningen över informationsbehandlingstillgångar uppdateras. Flera operatörer har uppgivit att detta sker årligen inom ramen för en befintlig process. Kravet i föreskrifterna är dock att förteckningen, utöver årlig revision, ska ses över vid behov. Även om flera operatörer har uppgivit att man även ser över förteckningen vid anskaffning av nya tillgångar eller vid avveckling, har det förekommit att operatörer har saknat en process som säkerställer att förteckningen även uppdateras t.ex. vid förändringar av befintliga tillgångar. Efterlevnad av Tre Efter att PTS har delgivit Tre sin syn på tolkningen och tillämpningen av de relevanta begreppen och reglerna, har Tre kompletterat sin förteckning och också skriftligen bekräftat att operatören delar PTS syn på de aktuella begreppen och att man efterlever reglerna. Utifrån de uppgifter som inkommit från Tre och det utdrag ur förteckningen av informationsbehandlingstillgångar Post- och telestyrelsen 5

6(6) som insänts till myndigheten bedömer PTS att Tre efterlever reglerna i detta avseende. Skäl att fortsätta den aktuella tillsynen över dokumentation av informationsbehandlingstillgångar föreligger därför inte, varför ärendet avskrivs från vidare handläggning. Beslutet har fattats av enhetschefen Staffan Lindmark. I ärendets slutliga handläggning har även juristen Karin Lodin (föredragande) deltagit. Post- och telestyrelsen 6

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss