SlideShare a Scribd company logo

Säkerhetsåtgärder och internet

Nätverket för E-hjälp
Nätverket för E-hjälp

Föreläsning med Magnus Bergström, Datainspektionen, vid seminarium med Nätverket för E-hjälp, Stockholm 100528.

1 of 47
Download to read offline
Säkerhet för personuppgifter Magnus Bergström IT-säkerhetsspecialist magnus.bergstrom@datainspektionen.se www.datainspektionen.se 2010-05-28 1
Datainspektionens tillsynsverksamhet • Tillsynsmetoder • Fältinspektioner • Skrivbordstillsyn • Enkäter • Inspektioner • Planerade – föranmälda • Oanmälda 2010-05-28 2
Datainspektionens befogenheter • På begäran få tillgång till • Tillgång till de personuppgifter som behandlas • Upplysningar om behandlingen och säkerheten • Tillträde till lokaler där behandlingen sker • Möjligheter till sekretess • Samma sekretess som hos tillsynsobjektet • Uppgifter om enskilda • Uppgifter om säkerhetsåtgärder 2010-05-28 3
Vad föranleder tillsyn? ”Det har kommit till Datainspektionens kännedom att…” • Media • Klagomål • Förfrågningar • Samråd • ”Eget intresse” • Branch- eller sektorsvisa kontroller • Nya företeelser • … Dock alltid ex officio… 2010-05-28 4
Hur går det då till? • Skrivbordstillsyn • Man får ett brev med frågor som ska besvaras inom viss tid. • Fältinspektion • Kontakt (Vanligtvis via PuO) • Vad vill vi veta/diskutera? • Vilka behöver vara med? • När kan vi ses? • Tillsynsskrivelse/Bekräftelse 2010-05-28 5
Hur går det då till? • Fältinspektion (forts) • Besök - resulterar i ett protokoll • Kommunikation av protokoll • inspektionsobjektet ges möjlighet att inkomma med synpunkter • Beslut • Eventuella synpunkter/påpekanden • Eventuella förelägganden • Ärendet avslutas • ”…kan komma att/kommer att följas upp.” 2010-05-28 6
”IT-inspektioner” • Skiljer sig inte formellt från ”annan” tillsyn, bara att fokus ligger på säkerhetsåtgärder. • Kontroll av samstämmighet mellan teori och praktik… • Kontroll även av de organisatoriska aspekterna. • Styrdokument • Rutiner •… 2010-05-28 7
Säkerhetsåtgärder enligt PuL 2010-05-28 8
Den perfekta lagen? 2010-05-28
Integritetstrappan Säkerhet 30-32 §§ Information 23-27 §§ Person- 22 § nummer Känsliga 13-21 §§ uppgifter Tillåten 10 § behandl. Grundl. 9§ krav 2010-05-28
Säkerhetsåtgärder enligt PuL • 30 § • Personer som behandlar personuppgifter • 31 § • Säkerhetsåtgärder • 32 § • Befogenhet att besluta om säkerhetsåtgärder 2010-05-28 11
Personuppgiftsbiträde – 30 § PuL • Personuppgiftsbiträde (PuB) • 30 § • Behandlar personuppgifter för den personuppgiftsansvariges (PuA) räkning. • PuB får bara behandla personuppgifter i enlighet med instruktioner från PuA. • Skriftligt avtal. • 31 §, 2 st. • PuA ska se till att PuB både kan och verkligen vidtar ”lämpliga åtgärder” 2010-05-28 12
Säkerhetsåtgärder – 31 § PuL •Tekniska och organisatoriska åtgärder för att skydda uppgifterna •Åtgärderna ska åstadkomma en lämplig säkerhetsnivå 2010-05-28 13
Säkerhetsåtgärder – 31 § PuL (forts.) Lämplig med beaktande av: • Tekniska möjligheter • Kostnad • Särskilda risker • Hur pass känsliga uppgifterna är 2010-05-28 14
Vad är ”lämpligt”? • Tillgänglig teknik • Standardlösningar • Man behöver inte uppfinna något nytt • Kostnad • Sällan krävs att skyddet ska kosta mer än det som ska skyddas… 2010-05-28 15
Vad är ”lämpligt”? (forts) • Särskilda risker • Hot – händelser att skydda sig emot • Sannolikhet – hur ofta realiseras hotet? • Konsekvens – effekten om hotet realiseras En säkerhetsåtgärd ska (som minst) reducera antingen sannolikheten för eller konsekvensen av att ett hot realiseras! 2010-05-28 16
Vad är ”lämpligt”? (forts) • Hur pass känsliga uppgifterna är • Känsliga personuppgifter enligt 13 § PuL? • Särreglering? – Isf, vad säger den? • Tystnadsplikt eller sekretess? • ”Skyddsvärde” 2010-05-28 17
Beslut om säkerhetsåtgärder – 32 § • Beslut i enskilda fall • Beslut får förenas med vite 2010-05-28 18
Integritetstrappan Säkerhet 30-32 §§ Information 23-27 §§ Person- 22 § nummer Känsliga 13-21 §§ uppgifter Tillåten 10 § behandl. Grundl. 9§ krav 2010-05-28 19
Allmänna råd och rekommendationer 2010-05-28 20
Allmänna råd Säkerhet för personuppgifter • Rekommendationer • Förtydligar PuLs krav 2010-05-28 21
Informationsbroschyr Sammanfattning av de allmänna råden 2010-05-28 22
Organisatoriska åtgärder/Administrativ säkerhet 2010-05-28 23
Organisatoriska åtgärder 2010-05-28 24
Policy, ansvar och organisation • Säkerhetspolicy • Tilldelade roller i säkerhetsarbetet • Sårbarhets- och riskanalyser • Rutiner för kontroll och uppföljning 2010-05-28 25
Dokumentation • Aktuella policydokument • Säkerhetspolicy • Informationssäkerhetspolicy • IT-säkerhetspolicy • Etc, etc, etc… •Berörda anställda ska ha tagit del av relevant information 2010-05-28 26
Dokumentation (forts) • Kartläggning av säkerhetsrisker • Nulägesanalyser • Sårbarhetsanalyser • Riskanalyser 2010-05-28 27
Dokumentation (forts) • Incidenthantering – Rutiner för att hantera avvikelser • Rapportering • Reaktion • Uppföljning med återkoppling 2010-05-28 28
Utbildning • Information om policy och regelverk • Säker hantering av personuppgifter • Säkerhetsmedvetande •Hantering av teknisk utrustning, program och system 2010-05-28 29
Strukturerat 2010-05-28 30
Praktiska säkerhetsåtgärder 2010-05-28 31
Fysisk säkerhet • Tillträdeskontroll • Skydd av utrustning • Lokal • Lås och larm • Brandskydd • Elförsörjning 2010-05-28 32
Fysisk datasäkerhet • Mobila enheter och flyttbara lagringsmedia • Rutiner för hantering och förvaring • Kryptera lagrade känsliga uppgifter • Trådlösa nät, blåtand etc 2010-05-28 33
Autentisering – Vem är X? • Unik användaridentitet • Lösenord –personligt, hemligt, komplext • Asymmetrisk kryptering (t.ex. e-legitimation) • Engångslösenord (?) • ”Smarta kort” • Biometri 2010-05-28 34
Behörighetskontroll – Vad får X göra? • Styrning av åtkomsträttigheter • Skriftligt dokumenterad • Tilldelning, • ändring och • borttagning av behörigheter • Uppföljning av tilldelade behörigheter 2010-05-28 35
Behörighetskontroll –frågor •Hur har tilldelningen av åtkomsträttigheter beslutats (och av vem) •Rutiner för tilldelning / borttagning / uppföljning av åtkomsträttigheter • Finns det fler behörigheter än användare? • Hur vida är behörigheterna? • Leverantörs-, administrations, skräpkonton? 2010-05-28 36
Loggning • Dokumentation av åtkomst till personuppgifter • Information till användarna • Rutiner för uppföljning Loggning (behandlingshistorik) innebär i sig personuppgiftsbehandling! 2010-05-28 37
Loggning -frågor • Går det att utreda vem som gjorde vad och när? • Vilka loggar förs var och varför? • Hur hanteras logguppgifterna? • Hur länge sparas de? – Varför? • Används särskilda verktyg för logghantering? • Används loggsystemen för automatiska beslut/ larm eller andra åtgärder? 2010-05-28 38
Datakommunikation • Överföring av personuppgifter • Publika och externa nätverk • Internet / Sjunet • Hur skyddas kommunikationen? • Kryptering • av meddelande eller kommunikationslänk 2010-05-28 39
Säkerhetskopiering • Viktiga program och data • Rutiner på regelbunden basis • Förvaring/överföring av säkerhetskopior • Test av återläsning från kopian 2010-05-28 40
Säkerhetskopiering –frågor • Hur ofta tas säkerhetskopior? • Hur många generationer sparas? • Hur skyddas säkerhetskopiorna? • När gallras säkerhetskopiorna? • Hur förstörs säkerhetskopiorna? • Testas återläsning regelbundet? 2010-05-28 41
Utplåning, reparation och service •Data på lagringsmedia och i annan utrustning. •Avtal med en extern part (till exempel en servicebyrå) • Regler om tystnadsplikt/sekretess • Instruktioner till servicebyrån 2010-05-28 42
Skydd mot skadliga program Program på servrar och klienter som skyddar mot datavirus, trojaner, spionprogram etc. • Förebygga • Detektera • Kontinuerlig uppdatering 2010-05-28 43
Personuppgiftsbiträden ”Skyddet för personuppgifterna ska inte bli sämre av att man anlitar ett personuppgiftsbiträde.” 2010-05-28 44
Personuppgiftsbiträden • Utanför egna organisationen • Skriftligt personuppgiftsbiträdesavtal? • ”lämpliga säkerhetsåtgärder”? • servicebyrå, driftpartner, programvara som tjänst 2010-05-28 45
Sammanfattning • Kartlägg hotbilden • Fastställ policy • Upprätta en organisation • Inför åtgärder • Informera och utbilda kontinuerligt • Följ upp efterlevnaden • Testa säkerheten regelbundet 2010-05-28 46
Sammanfattande sammanfattning Man ska veta vad man gör och varför… (och se till att det är lagligt…)  2010-05-28 47

Recommended

Hostedexchange
HostedexchangeHostedexchange
Hostedexchange
jayhavlik
 
MySQL User Camp: MySQL Cluster
MySQL User Camp: MySQL ClusterMySQL User Camp: MySQL Cluster
MySQL User Camp: MySQL Cluster
Shivji Kumar Jha
 
MySQL User Camp: Multi-threaded Slaves
MySQL User Camp: Multi-threaded SlavesMySQL User Camp: Multi-threaded Slaves
MySQL User Camp: Multi-threaded Slaves
Shivji Kumar Jha
 
Wiklundsideal
WiklundsidealWiklundsideal
Wiklundsideal
Nätverket för E-hjälp
 
VRO_Hosonangluc
VRO_HosonanglucVRO_Hosonangluc
VRO_Hosonangluc
thanhfm
 
MySQL High Availability with Replication New Features
MySQL High Availability with Replication New FeaturesMySQL High Availability with Replication New Features
MySQL High Availability with Replication New Features
Shivji Kumar Jha
 
MySQL Developer Day conference: MySQL Replication and Scalability
MySQL Developer Day conference: MySQL Replication and ScalabilityMySQL Developer Day conference: MySQL Replication and Scalability
MySQL Developer Day conference: MySQL Replication and Scalability
Shivji Kumar Jha
 
Personlig integritet – möjliggörare eller hinder för verksamheten?
Personlig integritet – möjliggörare eller hinder för verksamheten?Personlig integritet – möjliggörare eller hinder för verksamheten?
Personlig integritet – möjliggörare eller hinder för verksamheten?
Transcendent Group
 

Recommended

Hostedexchange
HostedexchangeHostedexchange
Hostedexchange
jayhavlik
 
MySQL User Camp: MySQL Cluster
MySQL User Camp: MySQL ClusterMySQL User Camp: MySQL Cluster
MySQL User Camp: MySQL Cluster
Shivji Kumar Jha
 
MySQL User Camp: Multi-threaded Slaves
MySQL User Camp: Multi-threaded SlavesMySQL User Camp: Multi-threaded Slaves
MySQL User Camp: Multi-threaded Slaves
Shivji Kumar Jha
 
Wiklundsideal
WiklundsidealWiklundsideal
Wiklundsideal
Nätverket för E-hjälp
 
VRO_Hosonangluc
VRO_HosonanglucVRO_Hosonangluc
VRO_Hosonangluc
thanhfm
 
MySQL High Availability with Replication New Features
MySQL High Availability with Replication New FeaturesMySQL High Availability with Replication New Features
MySQL High Availability with Replication New Features
Shivji Kumar Jha
 
MySQL Developer Day conference: MySQL Replication and Scalability
MySQL Developer Day conference: MySQL Replication and ScalabilityMySQL Developer Day conference: MySQL Replication and Scalability
MySQL Developer Day conference: MySQL Replication and Scalability
Shivji Kumar Jha
 
Personlig integritet – möjliggörare eller hinder för verksamheten?
Personlig integritet – möjliggörare eller hinder för verksamheten?Personlig integritet – möjliggörare eller hinder för verksamheten?
Personlig integritet – möjliggörare eller hinder för verksamheten?
Transcendent Group
 
2024 State of Marketing Report – by Hubspot
2024 State of Marketing Report – by Hubspot2024 State of Marketing Report – by Hubspot
2024 State of Marketing Report – by Hubspot
Marius Sescu
 
Everything You Need To Know About ChatGPT
Everything You Need To Know About ChatGPTEverything You Need To Know About ChatGPT
Everything You Need To Know About ChatGPT
Expeed Software
 
Product Design Trends in 2024 | Teenage Engineerings
Product Design Trends in 2024 | Teenage EngineeringsProduct Design Trends in 2024 | Teenage Engineerings
Product Design Trends in 2024 | Teenage Engineerings
Pixeldarts
 
How Race, Age and Gender Shape Attitudes Towards Mental Health
How Race, Age and Gender Shape Attitudes Towards Mental HealthHow Race, Age and Gender Shape Attitudes Towards Mental Health
How Race, Age and Gender Shape Attitudes Towards Mental Health
ThinkNow
 
AI Trends in Creative Operations 2024 by Artwork Flow.pdf
AI Trends in Creative Operations 2024 by Artwork Flow.pdfAI Trends in Creative Operations 2024 by Artwork Flow.pdf
AI Trends in Creative Operations 2024 by Artwork Flow.pdf
marketingartwork
 
Skeleton Culture Code
Skeleton Culture CodeSkeleton Culture Code
Skeleton Culture Code
Skeleton Technologies
 
PEPSICO Presentation to CAGNY Conference Feb 2024
PEPSICO Presentation to CAGNY Conference Feb 2024PEPSICO Presentation to CAGNY Conference Feb 2024
PEPSICO Presentation to CAGNY Conference Feb 2024
Neil Kimberley
 
Content Methodology: A Best Practices Report (Webinar)
Content Methodology: A Best Practices Report (Webinar)Content Methodology: A Best Practices Report (Webinar)
Content Methodology: A Best Practices Report (Webinar)
contently
 
How to Prepare For a Successful Job Search for 2024
How to Prepare For a Successful Job Search for 2024How to Prepare For a Successful Job Search for 2024
How to Prepare For a Successful Job Search for 2024
Albert Qian
 
Social Media Marketing Trends 2024 // The Global Indie Insights
Social Media Marketing Trends 2024 // The Global Indie InsightsSocial Media Marketing Trends 2024 // The Global Indie Insights
Social Media Marketing Trends 2024 // The Global Indie Insights
Kurio // The Social Media Age(ncy)
 
Trends In Paid Search: Navigating The Digital Landscape In 2024
Trends In Paid Search: Navigating The Digital Landscape In 2024Trends In Paid Search: Navigating The Digital Landscape In 2024
Trends In Paid Search: Navigating The Digital Landscape In 2024
Search Engine Journal
 
5 Public speaking tips from TED - Visualized summary
5 Public speaking tips from TED - Visualized summary5 Public speaking tips from TED - Visualized summary
5 Public speaking tips from TED - Visualized summary
SpeakerHub
 
ChatGPT and the Future of Work - Clark Boyd
ChatGPT and the Future of Work - Clark Boyd ChatGPT and the Future of Work - Clark Boyd
ChatGPT and the Future of Work - Clark Boyd
Clark Boyd
 
Getting into the tech field. what next
Getting into the tech field. what next Getting into the tech field. what next
Getting into the tech field. what next
Tessa Mero
 
Google's Just Not That Into You: Understanding Core Updates & Search Intent
Google's Just Not That Into You: Understanding Core Updates & Search IntentGoogle's Just Not That Into You: Understanding Core Updates & Search Intent
Google's Just Not That Into You: Understanding Core Updates & Search Intent
Lily Ray
 
How to have difficult conversations
How to have difficult conversations How to have difficult conversations
How to have difficult conversations
Rajiv Jayarajah, MAppComm, ACC
 
Introduction to Data Science
Introduction to Data ScienceIntroduction to Data Science
Introduction to Data Science
Christy Abraham Joy
 
Time Management & Productivity - Best Practices
Time Management & Productivity - Best PracticesTime Management & Productivity - Best Practices
Time Management & Productivity - Best Practices
Vit Horky
 
The six step guide to practical project management
The six step guide to practical project managementThe six step guide to practical project management
The six step guide to practical project management
MindGenius
 
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
RachelPearson36
 

More Related Content

Featured

2024 State of Marketing Report – by Hubspot
2024 State of Marketing Report – by Hubspot2024 State of Marketing Report – by Hubspot
2024 State of Marketing Report – by Hubspot
Marius Sescu
 
Everything You Need To Know About ChatGPT
Everything You Need To Know About ChatGPTEverything You Need To Know About ChatGPT
Everything You Need To Know About ChatGPT
Expeed Software
 
Product Design Trends in 2024 | Teenage Engineerings
Product Design Trends in 2024 | Teenage EngineeringsProduct Design Trends in 2024 | Teenage Engineerings
Product Design Trends in 2024 | Teenage Engineerings
Pixeldarts
 
How Race, Age and Gender Shape Attitudes Towards Mental Health
How Race, Age and Gender Shape Attitudes Towards Mental HealthHow Race, Age and Gender Shape Attitudes Towards Mental Health
How Race, Age and Gender Shape Attitudes Towards Mental Health
ThinkNow
 
AI Trends in Creative Operations 2024 by Artwork Flow.pdf
AI Trends in Creative Operations 2024 by Artwork Flow.pdfAI Trends in Creative Operations 2024 by Artwork Flow.pdf
AI Trends in Creative Operations 2024 by Artwork Flow.pdf
marketingartwork
 
Skeleton Culture Code
Skeleton Culture CodeSkeleton Culture Code
Skeleton Culture Code
Skeleton Technologies
 
PEPSICO Presentation to CAGNY Conference Feb 2024
PEPSICO Presentation to CAGNY Conference Feb 2024PEPSICO Presentation to CAGNY Conference Feb 2024
PEPSICO Presentation to CAGNY Conference Feb 2024
Neil Kimberley
 
Content Methodology: A Best Practices Report (Webinar)
Content Methodology: A Best Practices Report (Webinar)Content Methodology: A Best Practices Report (Webinar)
Content Methodology: A Best Practices Report (Webinar)
contently
 
How to Prepare For a Successful Job Search for 2024
How to Prepare For a Successful Job Search for 2024How to Prepare For a Successful Job Search for 2024
How to Prepare For a Successful Job Search for 2024
Albert Qian
 
Social Media Marketing Trends 2024 // The Global Indie Insights
Social Media Marketing Trends 2024 // The Global Indie InsightsSocial Media Marketing Trends 2024 // The Global Indie Insights
Social Media Marketing Trends 2024 // The Global Indie Insights
Kurio // The Social Media Age(ncy)
 
Trends In Paid Search: Navigating The Digital Landscape In 2024
Trends In Paid Search: Navigating The Digital Landscape In 2024Trends In Paid Search: Navigating The Digital Landscape In 2024
Trends In Paid Search: Navigating The Digital Landscape In 2024
Search Engine Journal
 
5 Public speaking tips from TED - Visualized summary
5 Public speaking tips from TED - Visualized summary5 Public speaking tips from TED - Visualized summary
5 Public speaking tips from TED - Visualized summary
SpeakerHub
 
ChatGPT and the Future of Work - Clark Boyd
ChatGPT and the Future of Work - Clark Boyd ChatGPT and the Future of Work - Clark Boyd
ChatGPT and the Future of Work - Clark Boyd
Clark Boyd
 
Getting into the tech field. what next
Getting into the tech field. what next Getting into the tech field. what next
Getting into the tech field. what next
Tessa Mero
 
Google's Just Not That Into You: Understanding Core Updates & Search Intent
Google's Just Not That Into You: Understanding Core Updates & Search IntentGoogle's Just Not That Into You: Understanding Core Updates & Search Intent
Google's Just Not That Into You: Understanding Core Updates & Search Intent
Lily Ray
 
How to have difficult conversations
How to have difficult conversations How to have difficult conversations
How to have difficult conversations
Rajiv Jayarajah, MAppComm, ACC
 
Introduction to Data Science
Introduction to Data ScienceIntroduction to Data Science
Introduction to Data Science
Christy Abraham Joy
 
Time Management & Productivity - Best Practices
Time Management & Productivity - Best PracticesTime Management & Productivity - Best Practices
Time Management & Productivity - Best Practices
Vit Horky
 
The six step guide to practical project management
The six step guide to practical project managementThe six step guide to practical project management
The six step guide to practical project management
MindGenius
 
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
RachelPearson36
 

Featured (20)

2024 State of Marketing Report – by Hubspot
2024 State of Marketing Report – by Hubspot2024 State of Marketing Report – by Hubspot
2024 State of Marketing Report – by Hubspot
 
Everything You Need To Know About ChatGPT
Everything You Need To Know About ChatGPTEverything You Need To Know About ChatGPT
Everything You Need To Know About ChatGPT
 
Product Design Trends in 2024 | Teenage Engineerings
Product Design Trends in 2024 | Teenage EngineeringsProduct Design Trends in 2024 | Teenage Engineerings
Product Design Trends in 2024 | Teenage Engineerings
 
How Race, Age and Gender Shape Attitudes Towards Mental Health
How Race, Age and Gender Shape Attitudes Towards Mental HealthHow Race, Age and Gender Shape Attitudes Towards Mental Health
How Race, Age and Gender Shape Attitudes Towards Mental Health
 
AI Trends in Creative Operations 2024 by Artwork Flow.pdf
AI Trends in Creative Operations 2024 by Artwork Flow.pdfAI Trends in Creative Operations 2024 by Artwork Flow.pdf
AI Trends in Creative Operations 2024 by Artwork Flow.pdf
 
Skeleton Culture Code
Skeleton Culture CodeSkeleton Culture Code
Skeleton Culture Code
 
PEPSICO Presentation to CAGNY Conference Feb 2024
PEPSICO Presentation to CAGNY Conference Feb 2024PEPSICO Presentation to CAGNY Conference Feb 2024
PEPSICO Presentation to CAGNY Conference Feb 2024
 
Content Methodology: A Best Practices Report (Webinar)
Content Methodology: A Best Practices Report (Webinar)Content Methodology: A Best Practices Report (Webinar)
Content Methodology: A Best Practices Report (Webinar)
 
How to Prepare For a Successful Job Search for 2024
How to Prepare For a Successful Job Search for 2024How to Prepare For a Successful Job Search for 2024
How to Prepare For a Successful Job Search for 2024
 
Social Media Marketing Trends 2024 // The Global Indie Insights
Social Media Marketing Trends 2024 // The Global Indie InsightsSocial Media Marketing Trends 2024 // The Global Indie Insights
Social Media Marketing Trends 2024 // The Global Indie Insights
 
Trends In Paid Search: Navigating The Digital Landscape In 2024
Trends In Paid Search: Navigating The Digital Landscape In 2024Trends In Paid Search: Navigating The Digital Landscape In 2024
Trends In Paid Search: Navigating The Digital Landscape In 2024
 
5 Public speaking tips from TED - Visualized summary
5 Public speaking tips from TED - Visualized summary5 Public speaking tips from TED - Visualized summary
5 Public speaking tips from TED - Visualized summary
 
ChatGPT and the Future of Work - Clark Boyd
ChatGPT and the Future of Work - Clark Boyd ChatGPT and the Future of Work - Clark Boyd
ChatGPT and the Future of Work - Clark Boyd
 
Getting into the tech field. what next
Getting into the tech field. what next Getting into the tech field. what next
Getting into the tech field. what next
 
Google's Just Not That Into You: Understanding Core Updates & Search Intent
Google's Just Not That Into You: Understanding Core Updates & Search IntentGoogle's Just Not That Into You: Understanding Core Updates & Search Intent
Google's Just Not That Into You: Understanding Core Updates & Search Intent
 
How to have difficult conversations
How to have difficult conversations How to have difficult conversations
How to have difficult conversations
 
Introduction to Data Science
Introduction to Data ScienceIntroduction to Data Science
Introduction to Data Science
 
Time Management & Productivity - Best Practices
Time Management & Productivity - Best PracticesTime Management & Productivity - Best Practices
Time Management & Productivity - Best Practices
 
The six step guide to practical project management
The six step guide to practical project managementThe six step guide to practical project management
The six step guide to practical project management
 
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
 

Säkerhetsåtgärder och internet

  • 1. Säkerhet för personuppgifter Magnus Bergström IT-säkerhetsspecialist magnus.bergstrom@datainspektionen.se www.datainspektionen.se 2010-05-28 1
  • 2. Datainspektionens tillsynsverksamhet • Tillsynsmetoder • Fältinspektioner • Skrivbordstillsyn • Enkäter • Inspektioner • Planerade – föranmälda • Oanmälda 2010-05-28 2
  • 3. Datainspektionens befogenheter • På begäran få tillgång till • Tillgång till de personuppgifter som behandlas • Upplysningar om behandlingen och säkerheten • Tillträde till lokaler där behandlingen sker • Möjligheter till sekretess • Samma sekretess som hos tillsynsobjektet • Uppgifter om enskilda • Uppgifter om säkerhetsåtgärder 2010-05-28 3
  • 4. Vad föranleder tillsyn? ”Det har kommit till Datainspektionens kännedom att…” • Media • Klagomål • Förfrågningar • Samråd • ”Eget intresse” • Branch- eller sektorsvisa kontroller • Nya företeelser • … Dock alltid ex officio… 2010-05-28 4
  • 5. Hur går det då till? • Skrivbordstillsyn • Man får ett brev med frågor som ska besvaras inom viss tid. • Fältinspektion • Kontakt (Vanligtvis via PuO) • Vad vill vi veta/diskutera? • Vilka behöver vara med? • När kan vi ses? • Tillsynsskrivelse/Bekräftelse 2010-05-28 5
  • 6. Hur går det då till? • Fältinspektion (forts) • Besök - resulterar i ett protokoll • Kommunikation av protokoll • inspektionsobjektet ges möjlighet att inkomma med synpunkter • Beslut • Eventuella synpunkter/påpekanden • Eventuella förelägganden • Ärendet avslutas • ”…kan komma att/kommer att följas upp.” 2010-05-28 6
  • 7. ”IT-inspektioner” • Skiljer sig inte formellt från ”annan” tillsyn, bara att fokus ligger på säkerhetsåtgärder. • Kontroll av samstämmighet mellan teori och praktik… • Kontroll även av de organisatoriska aspekterna. • Styrdokument • Rutiner •… 2010-05-28 7
  • 10. Integritetstrappan Säkerhet 30-32 §§ Information 23-27 §§ Person- 22 § nummer Känsliga 13-21 §§ uppgifter Tillåten 10 § behandl. Grundl. 9§ krav 2010-05-28
  • 11. Säkerhetsåtgärder enligt PuL • 30 § • Personer som behandlar personuppgifter • 31 § • Säkerhetsåtgärder • 32 § • Befogenhet att besluta om säkerhetsåtgärder 2010-05-28 11
  • 12. Personuppgiftsbiträde – 30 § PuL • Personuppgiftsbiträde (PuB) • 30 § • Behandlar personuppgifter för den personuppgiftsansvariges (PuA) räkning. • PuB får bara behandla personuppgifter i enlighet med instruktioner från PuA. • Skriftligt avtal. • 31 §, 2 st. • PuA ska se till att PuB både kan och verkligen vidtar ”lämpliga åtgärder” 2010-05-28 12
  • 13. Säkerhetsåtgärder – 31 § PuL •Tekniska och organisatoriska åtgärder för att skydda uppgifterna •Åtgärderna ska åstadkomma en lämplig säkerhetsnivå 2010-05-28 13
  • 14. Säkerhetsåtgärder – 31 § PuL (forts.) Lämplig med beaktande av: • Tekniska möjligheter • Kostnad • Särskilda risker • Hur pass känsliga uppgifterna är 2010-05-28 14
  • 15. Vad är ”lämpligt”? • Tillgänglig teknik • Standardlösningar • Man behöver inte uppfinna något nytt • Kostnad • Sällan krävs att skyddet ska kosta mer än det som ska skyddas… 2010-05-28 15
  • 16. Vad är ”lämpligt”? (forts) • Särskilda risker • Hot – händelser att skydda sig emot • Sannolikhet – hur ofta realiseras hotet? • Konsekvens – effekten om hotet realiseras En säkerhetsåtgärd ska (som minst) reducera antingen sannolikheten för eller konsekvensen av att ett hot realiseras! 2010-05-28 16
  • 17. Vad är ”lämpligt”? (forts) • Hur pass känsliga uppgifterna är • Känsliga personuppgifter enligt 13 § PuL? • Särreglering? – Isf, vad säger den? • Tystnadsplikt eller sekretess? • ”Skyddsvärde” 2010-05-28 17
  • 18. Beslut om säkerhetsåtgärder – 32 § • Beslut i enskilda fall • Beslut får förenas med vite 2010-05-28 18
  • 19. Integritetstrappan Säkerhet 30-32 §§ Information 23-27 §§ Person- 22 § nummer Känsliga 13-21 §§ uppgifter Tillåten 10 § behandl. Grundl. 9§ krav 2010-05-28 19
  • 20. Allmänna råd och rekommendationer 2010-05-28 20
  • 21. Allmänna råd Säkerhet för personuppgifter • Rekommendationer • Förtydligar PuLs krav 2010-05-28 21
  • 25. Policy, ansvar och organisation • Säkerhetspolicy • Tilldelade roller i säkerhetsarbetet • Sårbarhets- och riskanalyser • Rutiner för kontroll och uppföljning 2010-05-28 25
  • 26. Dokumentation • Aktuella policydokument • Säkerhetspolicy • Informationssäkerhetspolicy • IT-säkerhetspolicy • Etc, etc, etc… •Berörda anställda ska ha tagit del av relevant information 2010-05-28 26
  • 27. Dokumentation (forts) • Kartläggning av säkerhetsrisker • Nulägesanalyser • Sårbarhetsanalyser • Riskanalyser 2010-05-28 27
  • 28. Dokumentation (forts) • Incidenthantering – Rutiner för att hantera avvikelser • Rapportering • Reaktion • Uppföljning med återkoppling 2010-05-28 28
  • 29. Utbildning • Information om policy och regelverk • Säker hantering av personuppgifter • Säkerhetsmedvetande •Hantering av teknisk utrustning, program och system 2010-05-28 29
  • 32. Fysisk säkerhet • Tillträdeskontroll • Skydd av utrustning • Lokal • Lås och larm • Brandskydd • Elförsörjning 2010-05-28 32
  • 33. Fysisk datasäkerhet • Mobila enheter och flyttbara lagringsmedia • Rutiner för hantering och förvaring • Kryptera lagrade känsliga uppgifter • Trådlösa nät, blåtand etc 2010-05-28 33
  • 34. Autentisering – Vem är X? • Unik användaridentitet • Lösenord –personligt, hemligt, komplext • Asymmetrisk kryptering (t.ex. e-legitimation) • Engångslösenord (?) • ”Smarta kort” • Biometri 2010-05-28 34
  • 35. Behörighetskontroll – Vad får X göra? • Styrning av åtkomsträttigheter • Skriftligt dokumenterad • Tilldelning, • ändring och • borttagning av behörigheter • Uppföljning av tilldelade behörigheter 2010-05-28 35
  • 36. Behörighetskontroll –frågor •Hur har tilldelningen av åtkomsträttigheter beslutats (och av vem) •Rutiner för tilldelning / borttagning / uppföljning av åtkomsträttigheter • Finns det fler behörigheter än användare? • Hur vida är behörigheterna? • Leverantörs-, administrations, skräpkonton? 2010-05-28 36
  • 37. Loggning • Dokumentation av åtkomst till personuppgifter • Information till användarna • Rutiner för uppföljning Loggning (behandlingshistorik) innebär i sig personuppgiftsbehandling! 2010-05-28 37
  • 38. Loggning -frågor • Går det att utreda vem som gjorde vad och när? • Vilka loggar förs var och varför? • Hur hanteras logguppgifterna? • Hur länge sparas de? – Varför? • Används särskilda verktyg för logghantering? • Används loggsystemen för automatiska beslut/ larm eller andra åtgärder? 2010-05-28 38
  • 39. Datakommunikation • Överföring av personuppgifter • Publika och externa nätverk • Internet / Sjunet • Hur skyddas kommunikationen? • Kryptering • av meddelande eller kommunikationslänk 2010-05-28 39
  • 40. Säkerhetskopiering • Viktiga program och data • Rutiner på regelbunden basis • Förvaring/överföring av säkerhetskopior • Test av återläsning från kopian 2010-05-28 40
  • 41. Säkerhetskopiering –frågor • Hur ofta tas säkerhetskopior? • Hur många generationer sparas? • Hur skyddas säkerhetskopiorna? • När gallras säkerhetskopiorna? • Hur förstörs säkerhetskopiorna? • Testas återläsning regelbundet? 2010-05-28 41
  • 42. Utplåning, reparation och service •Data på lagringsmedia och i annan utrustning. •Avtal med en extern part (till exempel en servicebyrå) • Regler om tystnadsplikt/sekretess • Instruktioner till servicebyrån 2010-05-28 42
  • 43. Skydd mot skadliga program Program på servrar och klienter som skyddar mot datavirus, trojaner, spionprogram etc. • Förebygga • Detektera • Kontinuerlig uppdatering 2010-05-28 43
  • 44. Personuppgiftsbiträden ”Skyddet för personuppgifterna ska inte bli sämre av att man anlitar ett personuppgiftsbiträde.” 2010-05-28 44
  • 45. Personuppgiftsbiträden • Utanför egna organisationen • Skriftligt personuppgiftsbiträdesavtal? • ”lämpliga säkerhetsåtgärder”? • servicebyrå, driftpartner, programvara som tjänst 2010-05-28 45
  • 46. Sammanfattning • Kartlägg hotbilden • Fastställ policy • Upprätta en organisation • Inför åtgärder • Informera och utbilda kontinuerligt • Följ upp efterlevnaden • Testa säkerheten regelbundet 2010-05-28 46
  • 47. Sammanfattande sammanfattning Man ska veta vad man gör och varför… (och se till att det är lagligt…)  2010-05-28 47