Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Säkerhetsåtgärder och internet

1,913 views

Published on

Föreläsning med Magnus Bergström, Datainspektionen, vid seminarium med Nätverket för E-hjälp, Stockholm 100528.

 • Login to see the comments

 • Be the first to like this

Säkerhetsåtgärder och internet

 1. 1. Säkerhet för personuppgifter Magnus Bergström IT-säkerhetsspecialist magnus.bergstrom@datainspektionen.se www.datainspektionen.se 2010-05-28 1
 2. 2. Datainspektionens tillsynsverksamhet • Tillsynsmetoder • Fältinspektioner • Skrivbordstillsyn • Enkäter • Inspektioner • Planerade – föranmälda • Oanmälda 2010-05-28 2
 3. 3. Datainspektionens befogenheter • På begäran få tillgång till • Tillgång till de personuppgifter som behandlas • Upplysningar om behandlingen och säkerheten • Tillträde till lokaler där behandlingen sker • Möjligheter till sekretess • Samma sekretess som hos tillsynsobjektet • Uppgifter om enskilda • Uppgifter om säkerhetsåtgärder 2010-05-28 3
 4. 4. Vad föranleder tillsyn? ”Det har kommit till Datainspektionens kännedom att…” • Media • Klagomål • Förfrågningar • Samråd • ”Eget intresse” • Branch- eller sektorsvisa kontroller • Nya företeelser • … Dock alltid ex officio… 2010-05-28 4
 5. 5. Hur går det då till? • Skrivbordstillsyn • Man får ett brev med frågor som ska besvaras inom viss tid. • Fältinspektion • Kontakt (Vanligtvis via PuO) • Vad vill vi veta/diskutera? • Vilka behöver vara med? • När kan vi ses? • Tillsynsskrivelse/Bekräftelse 2010-05-28 5
 6. 6. Hur går det då till? • Fältinspektion (forts) • Besök - resulterar i ett protokoll • Kommunikation av protokoll • inspektionsobjektet ges möjlighet att inkomma med synpunkter • Beslut • Eventuella synpunkter/påpekanden • Eventuella förelägganden • Ärendet avslutas • ”…kan komma att/kommer att följas upp.” 2010-05-28 6
 7. 7. ”IT-inspektioner” • Skiljer sig inte formellt från ”annan” tillsyn, bara att fokus ligger på säkerhetsåtgärder. • Kontroll av samstämmighet mellan teori och praktik… • Kontroll även av de organisatoriska aspekterna. • Styrdokument • Rutiner •… 2010-05-28 7
 8. 8. Säkerhetsåtgärder enligt PuL 2010-05-28 8
 9. 9. Den perfekta lagen? 2010-05-28
 10. 10. Integritetstrappan Säkerhet 30-32 §§ Information 23-27 §§ Person- 22 § nummer Känsliga 13-21 §§ uppgifter Tillåten 10 § behandl. Grundl. 9§ krav 2010-05-28
 11. 11. Säkerhetsåtgärder enligt PuL • 30 § • Personer som behandlar personuppgifter • 31 § • Säkerhetsåtgärder • 32 § • Befogenhet att besluta om säkerhetsåtgärder 2010-05-28 11
 12. 12. Personuppgiftsbiträde – 30 § PuL • Personuppgiftsbiträde (PuB) • 30 § • Behandlar personuppgifter för den personuppgiftsansvariges (PuA) räkning. • PuB får bara behandla personuppgifter i enlighet med instruktioner från PuA. • Skriftligt avtal. • 31 §, 2 st. • PuA ska se till att PuB både kan och verkligen vidtar ”lämpliga åtgärder” 2010-05-28 12
 13. 13. Säkerhetsåtgärder – 31 § PuL •Tekniska och organisatoriska åtgärder för att skydda uppgifterna •Åtgärderna ska åstadkomma en lämplig säkerhetsnivå 2010-05-28 13
 14. 14. Säkerhetsåtgärder – 31 § PuL (forts.) Lämplig med beaktande av: • Tekniska möjligheter • Kostnad • Särskilda risker • Hur pass känsliga uppgifterna är 2010-05-28 14
 15. 15. Vad är ”lämpligt”? • Tillgänglig teknik • Standardlösningar • Man behöver inte uppfinna något nytt • Kostnad • Sällan krävs att skyddet ska kosta mer än det som ska skyddas… 2010-05-28 15
 16. 16. Vad är ”lämpligt”? (forts) • Särskilda risker • Hot – händelser att skydda sig emot • Sannolikhet – hur ofta realiseras hotet? • Konsekvens – effekten om hotet realiseras En säkerhetsåtgärd ska (som minst) reducera antingen sannolikheten för eller konsekvensen av att ett hot realiseras! 2010-05-28 16
 17. 17. Vad är ”lämpligt”? (forts) • Hur pass känsliga uppgifterna är • Känsliga personuppgifter enligt 13 § PuL? • Särreglering? – Isf, vad säger den? • Tystnadsplikt eller sekretess? • ”Skyddsvärde” 2010-05-28 17
 18. 18. Beslut om säkerhetsåtgärder – 32 § • Beslut i enskilda fall • Beslut får förenas med vite 2010-05-28 18
 19. 19. Integritetstrappan Säkerhet 30-32 §§ Information 23-27 §§ Person- 22 § nummer Känsliga 13-21 §§ uppgifter Tillåten 10 § behandl. Grundl. 9§ krav 2010-05-28 19
 20. 20. Allmänna råd och rekommendationer 2010-05-28 20
 21. 21. Allmänna råd Säkerhet för personuppgifter • Rekommendationer • Förtydligar PuLs krav 2010-05-28 21
 22. 22. Informationsbroschyr Sammanfattning av de allmänna råden 2010-05-28 22
 23. 23. Organisatoriska åtgärder/Administrativ säkerhet 2010-05-28 23
 24. 24. Organisatoriska åtgärder 2010-05-28 24
 25. 25. Policy, ansvar och organisation • Säkerhetspolicy • Tilldelade roller i säkerhetsarbetet • Sårbarhets- och riskanalyser • Rutiner för kontroll och uppföljning 2010-05-28 25
 26. 26. Dokumentation • Aktuella policydokument • Säkerhetspolicy • Informationssäkerhetspolicy • IT-säkerhetspolicy • Etc, etc, etc… •Berörda anställda ska ha tagit del av relevant information 2010-05-28 26
 27. 27. Dokumentation (forts) • Kartläggning av säkerhetsrisker • Nulägesanalyser • Sårbarhetsanalyser • Riskanalyser 2010-05-28 27
 28. 28. Dokumentation (forts) • Incidenthantering – Rutiner för att hantera avvikelser • Rapportering • Reaktion • Uppföljning med återkoppling 2010-05-28 28
 29. 29. Utbildning • Information om policy och regelverk • Säker hantering av personuppgifter • Säkerhetsmedvetande •Hantering av teknisk utrustning, program och system 2010-05-28 29
 30. 30. Strukturerat 2010-05-28 30
 31. 31. Praktiska säkerhetsåtgärder 2010-05-28 31
 32. 32. Fysisk säkerhet • Tillträdeskontroll • Skydd av utrustning • Lokal • Lås och larm • Brandskydd • Elförsörjning 2010-05-28 32
 33. 33. Fysisk datasäkerhet • Mobila enheter och flyttbara lagringsmedia • Rutiner för hantering och förvaring • Kryptera lagrade känsliga uppgifter • Trådlösa nät, blåtand etc 2010-05-28 33
 34. 34. Autentisering – Vem är X? • Unik användaridentitet • Lösenord –personligt, hemligt, komplext • Asymmetrisk kryptering (t.ex. e-legitimation) • Engångslösenord (?) • ”Smarta kort” • Biometri 2010-05-28 34
 35. 35. Behörighetskontroll – Vad får X göra? • Styrning av åtkomsträttigheter • Skriftligt dokumenterad • Tilldelning, • ändring och • borttagning av behörigheter • Uppföljning av tilldelade behörigheter 2010-05-28 35
 36. 36. Behörighetskontroll –frågor •Hur har tilldelningen av åtkomsträttigheter beslutats (och av vem) •Rutiner för tilldelning / borttagning / uppföljning av åtkomsträttigheter • Finns det fler behörigheter än användare? • Hur vida är behörigheterna? • Leverantörs-, administrations, skräpkonton? 2010-05-28 36
 37. 37. Loggning • Dokumentation av åtkomst till personuppgifter • Information till användarna • Rutiner för uppföljning Loggning (behandlingshistorik) innebär i sig personuppgiftsbehandling! 2010-05-28 37
 38. 38. Loggning -frågor • Går det att utreda vem som gjorde vad och när? • Vilka loggar förs var och varför? • Hur hanteras logguppgifterna? • Hur länge sparas de? – Varför? • Används särskilda verktyg för logghantering? • Används loggsystemen för automatiska beslut/ larm eller andra åtgärder? 2010-05-28 38
 39. 39. Datakommunikation • Överföring av personuppgifter • Publika och externa nätverk • Internet / Sjunet • Hur skyddas kommunikationen? • Kryptering • av meddelande eller kommunikationslänk 2010-05-28 39
 40. 40. Säkerhetskopiering • Viktiga program och data • Rutiner på regelbunden basis • Förvaring/överföring av säkerhetskopior • Test av återläsning från kopian 2010-05-28 40
 41. 41. Säkerhetskopiering –frågor • Hur ofta tas säkerhetskopior? • Hur många generationer sparas? • Hur skyddas säkerhetskopiorna? • När gallras säkerhetskopiorna? • Hur förstörs säkerhetskopiorna? • Testas återläsning regelbundet? 2010-05-28 41
 42. 42. Utplåning, reparation och service •Data på lagringsmedia och i annan utrustning. •Avtal med en extern part (till exempel en servicebyrå) • Regler om tystnadsplikt/sekretess • Instruktioner till servicebyrån 2010-05-28 42
 43. 43. Skydd mot skadliga program Program på servrar och klienter som skyddar mot datavirus, trojaner, spionprogram etc. • Förebygga • Detektera • Kontinuerlig uppdatering 2010-05-28 43
 44. 44. Personuppgiftsbiträden ”Skyddet för personuppgifterna ska inte bli sämre av att man anlitar ett personuppgiftsbiträde.” 2010-05-28 44
 45. 45. Personuppgiftsbiträden • Utanför egna organisationen • Skriftligt personuppgiftsbiträdesavtal? • ”lämpliga säkerhetsåtgärder”? • servicebyrå, driftpartner, programvara som tjänst 2010-05-28 45
 46. 46. Sammanfattning • Kartlägg hotbilden • Fastställ policy • Upprätta en organisation • Inför åtgärder • Informera och utbilda kontinuerligt • Följ upp efterlevnaden • Testa säkerheten regelbundet 2010-05-28 46
 47. 47. Sammanfattande sammanfattning Man ska veta vad man gör och varför… (och se till att det är lagligt…)  2010-05-28 47

×