Säkerhet för
             personuppgifter

                    Magnus Bergström

                   IT-säkerhetsspecialist...
Datainspektionens tillsynsverksamhet
•   Tillsynsmetoder
      •   Fältinspektioner
      •   Skrivbordstillsyn
      •   ...
Datainspektionens befogenheter
•   På begäran få tillgång till
      •   Tillgång till de personuppgifter som behandlas
  ...
Vad föranleder tillsyn?

”Det har kommit till Datainspektionens kännedom att…”
     • Media
     • Klagomål

     • Förfrå...
Hur går det då till?
•   Skrivbordstillsyn
      •   Man får ett brev med frågor som ska besvaras inom
          viss tid....
Hur går det då till?
•   Fältinspektion (forts)
      •   Besök - resulterar i ett protokoll
      •   Kommunikation av pr...
”IT-inspektioner”
•    Skiljer sig inte formellt från ”annan” tillsyn, bara att
    fokus ligger på säkerhetsåtgärder.
•  ...
Säkerhetsåtgärder enligt PuL




2010-05-28
                               8
Den perfekta lagen?
2010-05-28
Integritetstrappan
                               Säkerhet    30-32 §§


                           Information    23-27 §...
Säkerhetsåtgärder enligt PuL

•   30 §
     • Personer som behandlar personuppgifter
•   31 §
     • Säkerhetsåtgärder
•  ...
Personuppgiftsbiträde – 30 § PuL
•   Personuppgiftsbiträde (PuB)
•   30 §
      •    Behandlar personuppgifter för den
   ...
Säkerhetsåtgärder – 31 § PuL
•Tekniska och organisatoriska åtgärder för
att skydda uppgifterna
•Åtgärderna ska åstadkomma ...
Säkerhetsåtgärder – 31 § PuL          (forts.)



Lämplig med beaktande av:
     •   Tekniska möjligheter
     •   Kostnad...
Vad är ”lämpligt”?

•   Tillgänglig teknik
      •   Standardlösningar
      •   Man behöver inte uppfinna något nytt

•  ...
Vad är ”lämpligt”? (forts)

•   Särskilda risker
     •   Hot – händelser att skydda sig emot
     •   Sannolikhet – hur o...
Vad är ”lämpligt”? (forts)

•   Hur pass känsliga uppgifterna är
     •   Känsliga personuppgifter enligt 13 §
         Pu...
Beslut om säkerhetsåtgärder – 32 §

•   Beslut i enskilda fall
•   Beslut får förenas med vite




2010-05-28
            ...
Integritetstrappan
                               Säkerhet    30-32 §§


                           Information    23-27 §...
Allmänna råd och rekommendationer




2010-05-28
                                    20
Allmänna råd

Säkerhet för personuppgifter
•   Rekommendationer
•   Förtydligar PuLs krav




2010-05-28
                 ...
Informationsbroschyr

Sammanfattning av de
allmänna råden




2010-05-28
                       22
Organisatoriska åtgärder/Administrativ säkerhet




  2010-05-28
                                           23
Organisatoriska åtgärder




 2010-05-28
                           24
Policy, ansvar och organisation

•    Säkerhetspolicy
•    Tilldelade roller i
     säkerhetsarbetet
•    Sårbarhets- och ...
Dokumentation

•   Aktuella policydokument
     •   Säkerhetspolicy
     •   Informationssäkerhetspolicy
     •   IT-säker...
Dokumentation        (forts)


•   Kartläggning av säkerhetsrisker
     •   Nulägesanalyser
     •   Sårbarhetsanalyser
  ...
Dokumentation       (forts)



•   Incidenthantering
    – Rutiner för att hantera avvikelser
      •   Rapportering
     ...
Utbildning

•   Information om policy och regelverk
•   Säker hantering av personuppgifter
•   Säkerhetsmedvetande
•Hanter...
Strukturerat




2010-05-28
               30
Praktiska säkerhetsåtgärder




2010-05-28
                              31
Fysisk säkerhet
•   Tillträdeskontroll
•   Skydd av utrustning
     •   Lokal
     •   Lås och larm
     •   Brandskydd
  ...
Fysisk datasäkerhet
• Mobila enheter och flyttbara
lagringsmedia
     •   Rutiner för hantering och
         förvaring
   ...
Autentisering – Vem är X?
     •   Unik användaridentitet
     •   Lösenord –personligt, hemligt, komplext
     •   Asymme...
Behörighetskontroll – Vad får X göra?

•   Styrning av åtkomsträttigheter
•   Skriftligt dokumenterad
             •   Til...
Behörighetskontroll         –frågor

•Hur har tilldelningen av åtkomsträttigheter beslutats
(och av vem)
•Rutiner för till...
Loggning

•   Dokumentation av åtkomst till personuppgifter
•   Information till användarna
•   Rutiner för uppföljning


...
Loggning        -frågor

•   Går det att utreda vem som gjorde vad och när?
•   Vilka loggar förs var och varför?
•   Hur ...
Datakommunikation
•   Överföring av personuppgifter
     •   Publika och externa nätverk
     •   Internet / Sjunet

•   H...
Säkerhetskopiering


•   Viktiga program och data
•   Rutiner på regelbunden basis
•   Förvaring/överföring av säkerhetsko...
Säkerhetskopiering       –frågor


•   Hur ofta tas säkerhetskopior?
•   Hur många generationer sparas?
•   Hur skyddas sä...
Utplåning, reparation och service


•Data på lagringsmedia och i annan
utrustning.
•Avtal med en extern part (till exempel...
Skydd mot skadliga program


Program på servrar och klienter som skyddar mot
datavirus, trojaner, spionprogram etc.
    • ...
Personuppgiftsbiträden


”Skyddet för personuppgifterna ska inte bli
sämre av att man anlitar ett
personuppgiftsbiträde.”
...
Personuppgiftsbiträden
•   Utanför egna organisationen
•   Skriftligt personuppgiftsbiträdesavtal?
•   ”lämpliga säkerhets...
Sammanfattning

•   Kartlägg hotbilden
•   Fastställ policy
•   Upprätta en organisation
•   Inför åtgärder
•   Informera ...
Sammanfattande sammanfattning


       Man ska veta vad man gör och varför…
             (och se till att det är lagligt…)...
Upcoming SlideShare
Loading in …5
×

Säkerhetsåtgärder och internet

1,693 views
1,641 views

Published on

Föreläsning med Magnus Bergström, Datainspektionen, vid seminarium med Nätverket för E-hjälp, Stockholm 100528.

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
1,693
On SlideShare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
5
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Säkerhetsåtgärder och internet

  1. 1. Säkerhet för personuppgifter Magnus Bergström IT-säkerhetsspecialist magnus.bergstrom@datainspektionen.se www.datainspektionen.se 2010-05-28 1
  2. 2. Datainspektionens tillsynsverksamhet • Tillsynsmetoder • Fältinspektioner • Skrivbordstillsyn • Enkäter • Inspektioner • Planerade – föranmälda • Oanmälda 2010-05-28 2
  3. 3. Datainspektionens befogenheter • På begäran få tillgång till • Tillgång till de personuppgifter som behandlas • Upplysningar om behandlingen och säkerheten • Tillträde till lokaler där behandlingen sker • Möjligheter till sekretess • Samma sekretess som hos tillsynsobjektet • Uppgifter om enskilda • Uppgifter om säkerhetsåtgärder 2010-05-28 3
  4. 4. Vad föranleder tillsyn? ”Det har kommit till Datainspektionens kännedom att…” • Media • Klagomål • Förfrågningar • Samråd • ”Eget intresse” • Branch- eller sektorsvisa kontroller • Nya företeelser • … Dock alltid ex officio… 2010-05-28 4
  5. 5. Hur går det då till? • Skrivbordstillsyn • Man får ett brev med frågor som ska besvaras inom viss tid. • Fältinspektion • Kontakt (Vanligtvis via PuO) • Vad vill vi veta/diskutera? • Vilka behöver vara med? • När kan vi ses? • Tillsynsskrivelse/Bekräftelse 2010-05-28 5
  6. 6. Hur går det då till? • Fältinspektion (forts) • Besök - resulterar i ett protokoll • Kommunikation av protokoll • inspektionsobjektet ges möjlighet att inkomma med synpunkter • Beslut • Eventuella synpunkter/påpekanden • Eventuella förelägganden • Ärendet avslutas • ”…kan komma att/kommer att följas upp.” 2010-05-28 6
  7. 7. ”IT-inspektioner” • Skiljer sig inte formellt från ”annan” tillsyn, bara att fokus ligger på säkerhetsåtgärder. • Kontroll av samstämmighet mellan teori och praktik… • Kontroll även av de organisatoriska aspekterna. • Styrdokument • Rutiner •… 2010-05-28 7
  8. 8. Säkerhetsåtgärder enligt PuL 2010-05-28 8
  9. 9. Den perfekta lagen? 2010-05-28
  10. 10. Integritetstrappan Säkerhet 30-32 §§ Information 23-27 §§ Person- 22 § nummer Känsliga 13-21 §§ uppgifter Tillåten 10 § behandl. Grundl. 9§ krav 2010-05-28
  11. 11. Säkerhetsåtgärder enligt PuL • 30 § • Personer som behandlar personuppgifter • 31 § • Säkerhetsåtgärder • 32 § • Befogenhet att besluta om säkerhetsåtgärder 2010-05-28 11
  12. 12. Personuppgiftsbiträde – 30 § PuL • Personuppgiftsbiträde (PuB) • 30 § • Behandlar personuppgifter för den personuppgiftsansvariges (PuA) räkning. • PuB får bara behandla personuppgifter i enlighet med instruktioner från PuA. • Skriftligt avtal. • 31 §, 2 st. • PuA ska se till att PuB både kan och verkligen vidtar ”lämpliga åtgärder” 2010-05-28 12
  13. 13. Säkerhetsåtgärder – 31 § PuL •Tekniska och organisatoriska åtgärder för att skydda uppgifterna •Åtgärderna ska åstadkomma en lämplig säkerhetsnivå 2010-05-28 13
  14. 14. Säkerhetsåtgärder – 31 § PuL (forts.) Lämplig med beaktande av: • Tekniska möjligheter • Kostnad • Särskilda risker • Hur pass känsliga uppgifterna är 2010-05-28 14
  15. 15. Vad är ”lämpligt”? • Tillgänglig teknik • Standardlösningar • Man behöver inte uppfinna något nytt • Kostnad • Sällan krävs att skyddet ska kosta mer än det som ska skyddas… 2010-05-28 15
  16. 16. Vad är ”lämpligt”? (forts) • Särskilda risker • Hot – händelser att skydda sig emot • Sannolikhet – hur ofta realiseras hotet? • Konsekvens – effekten om hotet realiseras En säkerhetsåtgärd ska (som minst) reducera antingen sannolikheten för eller konsekvensen av att ett hot realiseras! 2010-05-28 16
  17. 17. Vad är ”lämpligt”? (forts) • Hur pass känsliga uppgifterna är • Känsliga personuppgifter enligt 13 § PuL? • Särreglering? – Isf, vad säger den? • Tystnadsplikt eller sekretess? • ”Skyddsvärde” 2010-05-28 17
  18. 18. Beslut om säkerhetsåtgärder – 32 § • Beslut i enskilda fall • Beslut får förenas med vite 2010-05-28 18
  19. 19. Integritetstrappan Säkerhet 30-32 §§ Information 23-27 §§ Person- 22 § nummer Känsliga 13-21 §§ uppgifter Tillåten 10 § behandl. Grundl. 9§ krav 2010-05-28 19
  20. 20. Allmänna råd och rekommendationer 2010-05-28 20
  21. 21. Allmänna råd Säkerhet för personuppgifter • Rekommendationer • Förtydligar PuLs krav 2010-05-28 21
  22. 22. Informationsbroschyr Sammanfattning av de allmänna råden 2010-05-28 22
  23. 23. Organisatoriska åtgärder/Administrativ säkerhet 2010-05-28 23
  24. 24. Organisatoriska åtgärder 2010-05-28 24
  25. 25. Policy, ansvar och organisation • Säkerhetspolicy • Tilldelade roller i säkerhetsarbetet • Sårbarhets- och riskanalyser • Rutiner för kontroll och uppföljning 2010-05-28 25
  26. 26. Dokumentation • Aktuella policydokument • Säkerhetspolicy • Informationssäkerhetspolicy • IT-säkerhetspolicy • Etc, etc, etc… •Berörda anställda ska ha tagit del av relevant information 2010-05-28 26
  27. 27. Dokumentation (forts) • Kartläggning av säkerhetsrisker • Nulägesanalyser • Sårbarhetsanalyser • Riskanalyser 2010-05-28 27
  28. 28. Dokumentation (forts) • Incidenthantering – Rutiner för att hantera avvikelser • Rapportering • Reaktion • Uppföljning med återkoppling 2010-05-28 28
  29. 29. Utbildning • Information om policy och regelverk • Säker hantering av personuppgifter • Säkerhetsmedvetande •Hantering av teknisk utrustning, program och system 2010-05-28 29
  30. 30. Strukturerat 2010-05-28 30
  31. 31. Praktiska säkerhetsåtgärder 2010-05-28 31
  32. 32. Fysisk säkerhet • Tillträdeskontroll • Skydd av utrustning • Lokal • Lås och larm • Brandskydd • Elförsörjning 2010-05-28 32
  33. 33. Fysisk datasäkerhet • Mobila enheter och flyttbara lagringsmedia • Rutiner för hantering och förvaring • Kryptera lagrade känsliga uppgifter • Trådlösa nät, blåtand etc 2010-05-28 33
  34. 34. Autentisering – Vem är X? • Unik användaridentitet • Lösenord –personligt, hemligt, komplext • Asymmetrisk kryptering (t.ex. e-legitimation) • Engångslösenord (?) • ”Smarta kort” • Biometri 2010-05-28 34
  35. 35. Behörighetskontroll – Vad får X göra? • Styrning av åtkomsträttigheter • Skriftligt dokumenterad • Tilldelning, • ändring och • borttagning av behörigheter • Uppföljning av tilldelade behörigheter 2010-05-28 35
  36. 36. Behörighetskontroll –frågor •Hur har tilldelningen av åtkomsträttigheter beslutats (och av vem) •Rutiner för tilldelning / borttagning / uppföljning av åtkomsträttigheter • Finns det fler behörigheter än användare? • Hur vida är behörigheterna? • Leverantörs-, administrations, skräpkonton? 2010-05-28 36
  37. 37. Loggning • Dokumentation av åtkomst till personuppgifter • Information till användarna • Rutiner för uppföljning Loggning (behandlingshistorik) innebär i sig personuppgiftsbehandling! 2010-05-28 37
  38. 38. Loggning -frågor • Går det att utreda vem som gjorde vad och när? • Vilka loggar förs var och varför? • Hur hanteras logguppgifterna? • Hur länge sparas de? – Varför? • Används särskilda verktyg för logghantering? • Används loggsystemen för automatiska beslut/ larm eller andra åtgärder? 2010-05-28 38
  39. 39. Datakommunikation • Överföring av personuppgifter • Publika och externa nätverk • Internet / Sjunet • Hur skyddas kommunikationen? • Kryptering • av meddelande eller kommunikationslänk 2010-05-28 39
  40. 40. Säkerhetskopiering • Viktiga program och data • Rutiner på regelbunden basis • Förvaring/överföring av säkerhetskopior • Test av återläsning från kopian 2010-05-28 40
  41. 41. Säkerhetskopiering –frågor • Hur ofta tas säkerhetskopior? • Hur många generationer sparas? • Hur skyddas säkerhetskopiorna? • När gallras säkerhetskopiorna? • Hur förstörs säkerhetskopiorna? • Testas återläsning regelbundet? 2010-05-28 41
  42. 42. Utplåning, reparation och service •Data på lagringsmedia och i annan utrustning. •Avtal med en extern part (till exempel en servicebyrå) • Regler om tystnadsplikt/sekretess • Instruktioner till servicebyrån 2010-05-28 42
  43. 43. Skydd mot skadliga program Program på servrar och klienter som skyddar mot datavirus, trojaner, spionprogram etc. • Förebygga • Detektera • Kontinuerlig uppdatering 2010-05-28 43
  44. 44. Personuppgiftsbiträden ”Skyddet för personuppgifterna ska inte bli sämre av att man anlitar ett personuppgiftsbiträde.” 2010-05-28 44
  45. 45. Personuppgiftsbiträden • Utanför egna organisationen • Skriftligt personuppgiftsbiträdesavtal? • ”lämpliga säkerhetsåtgärder”? • servicebyrå, driftpartner, programvara som tjänst 2010-05-28 45
  46. 46. Sammanfattning • Kartlägg hotbilden • Fastställ policy • Upprätta en organisation • Inför åtgärder • Informera och utbilda kontinuerligt • Följ upp efterlevnaden • Testa säkerheten regelbundet 2010-05-28 46
  47. 47. Sammanfattande sammanfattning Man ska veta vad man gör och varför… (och se till att det är lagligt…)  2010-05-28 47

×