säkerhetsåtgärder och internet
DESCRIPTION
Föreläsning med Magnus Bergström, Datainspektionen, vid seminarium med Nätverket för E-hjälp, Stockholm 100528.TRANSCRIPT
Säkerhet för personuppgifter
Magnus Bergström
IT-säkerhetsspecialist
www.datainspektionen.se
2010-05-28
1
Datainspektionens tillsynsverksamhet
• Tillsynsmetoder
• Fältinspektioner• Skrivbordstillsyn• Enkäter
• Inspektioner
• Planerade – föranmälda• Oanmälda
2010-05-28
2
Datainspektionens befogenheter
• På begäran få tillgång till
• Tillgång till de personuppgifter som behandlas• Upplysningar om behandlingen och säkerheten• Tillträde till lokaler där behandlingen sker
• Möjligheter till sekretess
• Samma sekretess som hos tillsynsobjektet• Uppgifter om enskilda• Uppgifter om säkerhetsåtgärder
2010-05-28
3
Vad föranleder tillsyn?
”Det har kommit till Datainspektionens kännedom att…”
• Media• Klagomål• Förfrågningar• Samråd• ”Eget intresse”
• Branch- eller sektorsvisa kontroller• Nya företeelser• …
Dock alltid ex officio…2010-05-28
4
Hur går det då till?
• Skrivbordstillsyn
• Man får ett brev med frågor som ska besvaras inom viss tid.
• Fältinspektion
• Kontakt (Vanligtvis via PuO)• Vad vill vi veta/diskutera?• Vilka behöver vara med?• När kan vi ses?
• Tillsynsskrivelse/Bekräftelse
2010-05-28
5
Hur går det då till?
• Fältinspektion (forts)
• Besök - resulterar i ett protokoll• Kommunikation av protokoll
• inspektionsobjektet ges möjlighet att inkomma med synpunkter
• Beslut• Eventuella synpunkter/påpekanden• Eventuella förelägganden• Ärendet avslutas• ”…kan komma att/kommer att följas upp.”
2010-05-28
6
”IT-inspektioner”
• Skiljer sig inte formellt från ”annan” tillsyn, bara att fokus ligger på säkerhetsåtgärder.
• Kontroll av samstämmighet mellan teori och praktik…
• Kontroll även av de organisatoriska aspekterna.
•Styrdokument•Rutiner•…
2010-05-28
7
Säkerhetsåtgärder enligt PuL
2010-05-28
8
Den perfekta lagen?2010-05-28
Integritetstrappan
Information
Tillåten behandl.
Känsliga uppgifter
Person-nummer
10 §
13-21 §§
9 §
22 §
Grundl. krav
23-27 §§
Säkerhet 30-32 §§
2010-05-28
Säkerhetsåtgärder enligt PuL
• 30 §
• Personer som behandlar personuppgifter• 31 §
• Säkerhetsåtgärder• 32 §
• Befogenhet att besluta om säkerhetsåtgärder
2010-05-28
11
Personuppgiftsbiträde – 30 § PuL• Personuppgiftsbiträde (PuB)
• 30 §
• Behandlar personuppgifter för den personuppgiftsansvariges (PuA) räkning.
• PuB får bara behandla personuppgifter i enlighet med instruktioner från PuA.
• Skriftligt avtal.
• 31 §, 2 st.
• PuA ska se till att PuB både kan och verkligen vidtar ”lämpliga åtgärder”
2010-05-28
12
Säkerhetsåtgärder – 31 § PuL
• Tekniska och organisatoriska åtgärder för att skydda uppgifterna
• Åtgärderna ska åstadkomma en lämplig säkerhetsnivå
2010-05-28
13
Säkerhetsåtgärder – 31 § PuL (forts.)
Lämplig med beaktande av:
• Tekniska möjligheter• Kostnad• Särskilda risker• Hur pass känsliga uppgifterna är
2010-05-28
14
Vad är ”lämpligt”?
• Tillgänglig teknik
• Standardlösningar• Man behöver inte uppfinna något nytt
• Kostnad
• Sällan krävs att skyddet ska kosta mer än det som ska skyddas…
2010-05-28
15
Vad är ”lämpligt”? (forts)
• Särskilda risker
• Hot – händelser att skydda sig emot• Sannolikhet – hur ofta realiseras hotet?• Konsekvens – effekten om hotet realiseras
En säkerhetsåtgärd ska (som minst) reducera antingen sannolikheten för eller konsekvensen av att ett hot realiseras!
2010-05-28
16
Vad är ”lämpligt”? (forts)
• Hur pass känsliga uppgifterna är
• Känsliga personuppgifter enligt 13 § PuL?
• Särreglering? – Isf, vad säger den?• Tystnadsplikt eller sekretess?• ”Skyddsvärde”
2010-05-28
17
Beslut om säkerhetsåtgärder – 32 §
• Beslut i enskilda fall
• Beslut får förenas med vite
2010-05-28
18
Integritetstrappan
2010-05-28
Information
Tillåten behandl.
Känsliga uppgifter
Person-nummer
10 §
13-21 §§
9 §
22 §
Grundl. krav
23-27 §§
Säkerhet 30-32 §§
19
Allmänna råd och rekommendationer
2010-05-28
20
Allmänna råd
Säkerhet för personuppgifter
• Rekommendationer
• Förtydligar PuLs krav
2010-05-28
21
Informationsbroschyr
Sammanfattning av de allmänna råden
2010-05-28
22
2010-05-28
Organisatoriska åtgärder/Administrativ säkerhet
23
2010-05-28
Organisatoriska åtgärder
24
Policy, ansvar och organisation
• Säkerhetspolicy
• Tilldelade roller i säkerhetsarbetet
• Sårbarhets- och riskanalyser
• Rutiner för kontroll och uppföljning
2010-05-28
25
Dokumentation
• Aktuella policydokument
• Säkerhetspolicy• Informationssäkerhetspolicy• IT-säkerhetspolicy• Etc, etc, etc…
• Berörda anställda ska ha tagit del av relevant information2010-05-28
26
Dokumentation (forts)
• Kartläggning av säkerhetsrisker
• Nulägesanalyser• Sårbarhetsanalyser• Riskanalyser
2010-05-28
27
Dokumentation (forts)
• Incidenthantering – Rutiner för att hantera avvikelser
• Rapportering• Reaktion• Uppföljning med återkoppling
2010-05-28
28
Utbildning
• Information om policy och regelverk
• Säker hantering av personuppgifter
• Säkerhetsmedvetande
• Hantering av teknisk utrustning, program och system
2010-05-28
29
2010-05-28
Strukturerat
30
Praktiska säkerhetsåtgärder
2010-05-28
31
Fysisk säkerhet
• Tillträdeskontroll
• Skydd av utrustning
• Lokal• Lås och larm• Brandskydd• Elförsörjning
2010-05-28
32
Fysisk datasäkerhet
• Mobila enheter och flyttbara lagringsmedia
• Rutiner för hantering och förvaring
• Kryptera lagrade känsliga uppgifter
• Trådlösa nät, blåtand etc
2010-05-28
33
Autentisering – Vem är X?
• Unik användaridentitet• Lösenord –personligt, hemligt, komplext• Asymmetrisk kryptering (t.ex.
e-legitimation)• Engångslösenord (?)• ”Smarta kort”• Biometri
2010-05-28
34
Behörighetskontroll – Vad får X göra?
• Styrning av åtkomsträttigheter
• Skriftligt dokumenterad
• Tilldelning, • ändring och • borttagning av behörigheter• Uppföljning av tilldelade behörigheter
2010-05-28
35
Behörighetskontroll –frågor
• Hur har tilldelningen av åtkomsträttigheter beslutats (och av vem)• Rutiner för tilldelning / borttagning / uppföljning av åtkomsträttigheter• Finns det fler behörigheter än användare?• Hur vida är behörigheterna?• Leverantörs-, administrations, skräpkonton?
2010-05-28
36
Loggning
• Dokumentation av åtkomst till personuppgifter
• Information till användarna
• Rutiner för uppföljning
Loggning (behandlingshistorik) innebär i sig personuppgiftsbehandling!
2010-05-28
37
Loggning -frågor
• Går det att utreda vem som gjorde vad och när?
• Vilka loggar förs var och varför?
• Hur hanteras logguppgifterna?
• Hur länge sparas de? – Varför?
• Används särskilda verktyg för logghantering?
• Används loggsystemen för automatiska beslut/ larm eller andra åtgärder?
2010-05-28
38
Datakommunikation• Överföring av personuppgifter
• Publika och externa nätverk• Internet / Sjunet
• Hur skyddas kommunikationen?
• Kryptering• av meddelande eller
kommunikationslänk
2010-05-28
39
Säkerhetskopiering
• Viktiga program och data
• Rutiner på regelbunden basis
• Förvaring/överföring av säkerhetskopior
• Test av återläsning från kopian
2010-05-28
40
Säkerhetskopiering –frågor
• Hur ofta tas säkerhetskopior?
• Hur många generationer sparas?
• Hur skyddas säkerhetskopiorna?
• När gallras säkerhetskopiorna?
• Hur förstörs säkerhetskopiorna?
• Testas återläsning regelbundet?
2010-05-28
41
Utplåning, reparation och service
• Data på lagringsmedia och i annan utrustning.
• Avtal med en extern part (till exempel en servicebyrå)
• Regler om tystnadsplikt/sekretess• Instruktioner till servicebyrån
2010-05-28
42
Skydd mot skadliga program
Program på servrar och klienter som skyddar mot datavirus, trojaner, spionprogram etc.
• Förebygga• Detektera• Kontinuerlig uppdatering
2010-05-28
43
Personuppgiftsbiträden
”Skyddet för personuppgifterna ska inte bli sämre av att man anlitar ett personuppgiftsbiträde.”
2010-05-28
44
Personuppgiftsbiträden
• Utanför egna organisationen
• Skriftligt personuppgiftsbiträdesavtal?
• ”lämpliga säkerhetsåtgärder”?
• servicebyrå, driftpartner, programvara som tjänst
2010-05-28
45
Sammanfattning
• Kartlägg hotbilden
• Fastställ policy
• Upprätta en organisation
• Inför åtgärder
• Informera och utbilda kontinuerligt
• Följ upp efterlevnaden
• Testa säkerheten regelbundet
2010-05-28
46
Sammanfattande sammanfattning
Man ska veta vad man gör och varför…(och se till att det är lagligt…)
2010-05-28
47