säkerhetsåtgärder och internet
DESCRIPTION
Föreläsning med Magnus Bergström, Datainspektionen, vid seminarium med Nätverket för E-hjälp, Stockholm 100528.TRANSCRIPT
![Page 1: Säkerhetsåtgärder och internet](https://reader033.vdocuments.mx/reader033/viewer/2022051412/54c4b0934a795980478b4600/html5/thumbnails/1.jpg)
Säkerhet för personuppgifter
Magnus Bergström
IT-säkerhetsspecialist
www.datainspektionen.se
2010-05-28
1
![Page 2: Säkerhetsåtgärder och internet](https://reader033.vdocuments.mx/reader033/viewer/2022051412/54c4b0934a795980478b4600/html5/thumbnails/2.jpg)
Datainspektionens tillsynsverksamhet
• Tillsynsmetoder
• Fältinspektioner• Skrivbordstillsyn• Enkäter
• Inspektioner
• Planerade – föranmälda• Oanmälda
2010-05-28
2
![Page 3: Säkerhetsåtgärder och internet](https://reader033.vdocuments.mx/reader033/viewer/2022051412/54c4b0934a795980478b4600/html5/thumbnails/3.jpg)
Datainspektionens befogenheter
• På begäran få tillgång till
• Tillgång till de personuppgifter som behandlas• Upplysningar om behandlingen och säkerheten• Tillträde till lokaler där behandlingen sker
• Möjligheter till sekretess
• Samma sekretess som hos tillsynsobjektet• Uppgifter om enskilda• Uppgifter om säkerhetsåtgärder
2010-05-28
3
![Page 4: Säkerhetsåtgärder och internet](https://reader033.vdocuments.mx/reader033/viewer/2022051412/54c4b0934a795980478b4600/html5/thumbnails/4.jpg)
Vad föranleder tillsyn?
”Det har kommit till Datainspektionens kännedom att…”
• Media• Klagomål• Förfrågningar• Samråd• ”Eget intresse”
• Branch- eller sektorsvisa kontroller• Nya företeelser• …
Dock alltid ex officio…2010-05-28
4
![Page 5: Säkerhetsåtgärder och internet](https://reader033.vdocuments.mx/reader033/viewer/2022051412/54c4b0934a795980478b4600/html5/thumbnails/5.jpg)
Hur går det då till?
• Skrivbordstillsyn
• Man får ett brev med frågor som ska besvaras inom viss tid.
• Fältinspektion
• Kontakt (Vanligtvis via PuO)• Vad vill vi veta/diskutera?• Vilka behöver vara med?• När kan vi ses?
• Tillsynsskrivelse/Bekräftelse
2010-05-28
5
![Page 6: Säkerhetsåtgärder och internet](https://reader033.vdocuments.mx/reader033/viewer/2022051412/54c4b0934a795980478b4600/html5/thumbnails/6.jpg)
Hur går det då till?
• Fältinspektion (forts)
• Besök - resulterar i ett protokoll• Kommunikation av protokoll
• inspektionsobjektet ges möjlighet att inkomma med synpunkter
• Beslut• Eventuella synpunkter/påpekanden• Eventuella förelägganden• Ärendet avslutas• ”…kan komma att/kommer att följas upp.”
2010-05-28
6
![Page 7: Säkerhetsåtgärder och internet](https://reader033.vdocuments.mx/reader033/viewer/2022051412/54c4b0934a795980478b4600/html5/thumbnails/7.jpg)
”IT-inspektioner”
• Skiljer sig inte formellt från ”annan” tillsyn, bara att fokus ligger på säkerhetsåtgärder.
• Kontroll av samstämmighet mellan teori och praktik…
• Kontroll även av de organisatoriska aspekterna.
•Styrdokument•Rutiner•…
2010-05-28
7
![Page 8: Säkerhetsåtgärder och internet](https://reader033.vdocuments.mx/reader033/viewer/2022051412/54c4b0934a795980478b4600/html5/thumbnails/8.jpg)
Säkerhetsåtgärder enligt PuL
2010-05-28
8
![Page 9: Säkerhetsåtgärder och internet](https://reader033.vdocuments.mx/reader033/viewer/2022051412/54c4b0934a795980478b4600/html5/thumbnails/9.jpg)
Den perfekta lagen?2010-05-28
![Page 10: Säkerhetsåtgärder och internet](https://reader033.vdocuments.mx/reader033/viewer/2022051412/54c4b0934a795980478b4600/html5/thumbnails/10.jpg)
Integritetstrappan
Information
Tillåten behandl.
Känsliga uppgifter
Person-nummer
10 §
13-21 §§
9 §
22 §
Grundl. krav
23-27 §§
Säkerhet 30-32 §§
2010-05-28
![Page 11: Säkerhetsåtgärder och internet](https://reader033.vdocuments.mx/reader033/viewer/2022051412/54c4b0934a795980478b4600/html5/thumbnails/11.jpg)
Säkerhetsåtgärder enligt PuL
• 30 §
• Personer som behandlar personuppgifter• 31 §
• Säkerhetsåtgärder• 32 §
• Befogenhet att besluta om säkerhetsåtgärder
2010-05-28
11
![Page 12: Säkerhetsåtgärder och internet](https://reader033.vdocuments.mx/reader033/viewer/2022051412/54c4b0934a795980478b4600/html5/thumbnails/12.jpg)
Personuppgiftsbiträde – 30 § PuL• Personuppgiftsbiträde (PuB)
• 30 §
• Behandlar personuppgifter för den personuppgiftsansvariges (PuA) räkning.
• PuB får bara behandla personuppgifter i enlighet med instruktioner från PuA.
• Skriftligt avtal.
• 31 §, 2 st.
• PuA ska se till att PuB både kan och verkligen vidtar ”lämpliga åtgärder”
2010-05-28
12
![Page 13: Säkerhetsåtgärder och internet](https://reader033.vdocuments.mx/reader033/viewer/2022051412/54c4b0934a795980478b4600/html5/thumbnails/13.jpg)
Säkerhetsåtgärder – 31 § PuL
• Tekniska och organisatoriska åtgärder för att skydda uppgifterna
• Åtgärderna ska åstadkomma en lämplig säkerhetsnivå
2010-05-28
13
![Page 14: Säkerhetsåtgärder och internet](https://reader033.vdocuments.mx/reader033/viewer/2022051412/54c4b0934a795980478b4600/html5/thumbnails/14.jpg)
Säkerhetsåtgärder – 31 § PuL (forts.)
Lämplig med beaktande av:
• Tekniska möjligheter• Kostnad• Särskilda risker• Hur pass känsliga uppgifterna är
2010-05-28
14
![Page 15: Säkerhetsåtgärder och internet](https://reader033.vdocuments.mx/reader033/viewer/2022051412/54c4b0934a795980478b4600/html5/thumbnails/15.jpg)
Vad är ”lämpligt”?
• Tillgänglig teknik
• Standardlösningar• Man behöver inte uppfinna något nytt
• Kostnad
• Sällan krävs att skyddet ska kosta mer än det som ska skyddas…
2010-05-28
15
![Page 16: Säkerhetsåtgärder och internet](https://reader033.vdocuments.mx/reader033/viewer/2022051412/54c4b0934a795980478b4600/html5/thumbnails/16.jpg)
Vad är ”lämpligt”? (forts)
• Särskilda risker
• Hot – händelser att skydda sig emot• Sannolikhet – hur ofta realiseras hotet?• Konsekvens – effekten om hotet realiseras
En säkerhetsåtgärd ska (som minst) reducera antingen sannolikheten för eller konsekvensen av att ett hot realiseras!
2010-05-28
16
![Page 17: Säkerhetsåtgärder och internet](https://reader033.vdocuments.mx/reader033/viewer/2022051412/54c4b0934a795980478b4600/html5/thumbnails/17.jpg)
Vad är ”lämpligt”? (forts)
• Hur pass känsliga uppgifterna är
• Känsliga personuppgifter enligt 13 § PuL?
• Särreglering? – Isf, vad säger den?• Tystnadsplikt eller sekretess?• ”Skyddsvärde”
2010-05-28
17
![Page 18: Säkerhetsåtgärder och internet](https://reader033.vdocuments.mx/reader033/viewer/2022051412/54c4b0934a795980478b4600/html5/thumbnails/18.jpg)
Beslut om säkerhetsåtgärder – 32 §
• Beslut i enskilda fall
• Beslut får förenas med vite
2010-05-28
18
![Page 19: Säkerhetsåtgärder och internet](https://reader033.vdocuments.mx/reader033/viewer/2022051412/54c4b0934a795980478b4600/html5/thumbnails/19.jpg)
Integritetstrappan
2010-05-28
Information
Tillåten behandl.
Känsliga uppgifter
Person-nummer
10 §
13-21 §§
9 §
22 §
Grundl. krav
23-27 §§
Säkerhet 30-32 §§
19
![Page 20: Säkerhetsåtgärder och internet](https://reader033.vdocuments.mx/reader033/viewer/2022051412/54c4b0934a795980478b4600/html5/thumbnails/20.jpg)
Allmänna råd och rekommendationer
2010-05-28
20
![Page 21: Säkerhetsåtgärder och internet](https://reader033.vdocuments.mx/reader033/viewer/2022051412/54c4b0934a795980478b4600/html5/thumbnails/21.jpg)
Allmänna råd
Säkerhet för personuppgifter
• Rekommendationer
• Förtydligar PuLs krav
2010-05-28
21
![Page 22: Säkerhetsåtgärder och internet](https://reader033.vdocuments.mx/reader033/viewer/2022051412/54c4b0934a795980478b4600/html5/thumbnails/22.jpg)
Informationsbroschyr
Sammanfattning av de allmänna råden
2010-05-28
22
![Page 23: Säkerhetsåtgärder och internet](https://reader033.vdocuments.mx/reader033/viewer/2022051412/54c4b0934a795980478b4600/html5/thumbnails/23.jpg)
2010-05-28
Organisatoriska åtgärder/Administrativ säkerhet
23
![Page 24: Säkerhetsåtgärder och internet](https://reader033.vdocuments.mx/reader033/viewer/2022051412/54c4b0934a795980478b4600/html5/thumbnails/24.jpg)
2010-05-28
Organisatoriska åtgärder
24
![Page 25: Säkerhetsåtgärder och internet](https://reader033.vdocuments.mx/reader033/viewer/2022051412/54c4b0934a795980478b4600/html5/thumbnails/25.jpg)
Policy, ansvar och organisation
• Säkerhetspolicy
• Tilldelade roller i säkerhetsarbetet
• Sårbarhets- och riskanalyser
• Rutiner för kontroll och uppföljning
2010-05-28
25
![Page 26: Säkerhetsåtgärder och internet](https://reader033.vdocuments.mx/reader033/viewer/2022051412/54c4b0934a795980478b4600/html5/thumbnails/26.jpg)
Dokumentation
• Aktuella policydokument
• Säkerhetspolicy• Informationssäkerhetspolicy• IT-säkerhetspolicy• Etc, etc, etc…
• Berörda anställda ska ha tagit del av relevant information2010-05-28
26
![Page 27: Säkerhetsåtgärder och internet](https://reader033.vdocuments.mx/reader033/viewer/2022051412/54c4b0934a795980478b4600/html5/thumbnails/27.jpg)
Dokumentation (forts)
• Kartläggning av säkerhetsrisker
• Nulägesanalyser• Sårbarhetsanalyser• Riskanalyser
2010-05-28
27
![Page 28: Säkerhetsåtgärder och internet](https://reader033.vdocuments.mx/reader033/viewer/2022051412/54c4b0934a795980478b4600/html5/thumbnails/28.jpg)
Dokumentation (forts)
• Incidenthantering – Rutiner för att hantera avvikelser
• Rapportering• Reaktion• Uppföljning med återkoppling
2010-05-28
28
![Page 29: Säkerhetsåtgärder och internet](https://reader033.vdocuments.mx/reader033/viewer/2022051412/54c4b0934a795980478b4600/html5/thumbnails/29.jpg)
Utbildning
• Information om policy och regelverk
• Säker hantering av personuppgifter
• Säkerhetsmedvetande
• Hantering av teknisk utrustning, program och system
2010-05-28
29
![Page 30: Säkerhetsåtgärder och internet](https://reader033.vdocuments.mx/reader033/viewer/2022051412/54c4b0934a795980478b4600/html5/thumbnails/30.jpg)
2010-05-28
Strukturerat
30
![Page 31: Säkerhetsåtgärder och internet](https://reader033.vdocuments.mx/reader033/viewer/2022051412/54c4b0934a795980478b4600/html5/thumbnails/31.jpg)
Praktiska säkerhetsåtgärder
2010-05-28
31
![Page 32: Säkerhetsåtgärder och internet](https://reader033.vdocuments.mx/reader033/viewer/2022051412/54c4b0934a795980478b4600/html5/thumbnails/32.jpg)
Fysisk säkerhet
• Tillträdeskontroll
• Skydd av utrustning
• Lokal• Lås och larm• Brandskydd• Elförsörjning
2010-05-28
32
![Page 33: Säkerhetsåtgärder och internet](https://reader033.vdocuments.mx/reader033/viewer/2022051412/54c4b0934a795980478b4600/html5/thumbnails/33.jpg)
Fysisk datasäkerhet
• Mobila enheter och flyttbara lagringsmedia
• Rutiner för hantering och förvaring
• Kryptera lagrade känsliga uppgifter
• Trådlösa nät, blåtand etc
2010-05-28
33
![Page 34: Säkerhetsåtgärder och internet](https://reader033.vdocuments.mx/reader033/viewer/2022051412/54c4b0934a795980478b4600/html5/thumbnails/34.jpg)
Autentisering – Vem är X?
• Unik användaridentitet• Lösenord –personligt, hemligt, komplext• Asymmetrisk kryptering (t.ex.
e-legitimation)• Engångslösenord (?)• ”Smarta kort”• Biometri
2010-05-28
34
![Page 35: Säkerhetsåtgärder och internet](https://reader033.vdocuments.mx/reader033/viewer/2022051412/54c4b0934a795980478b4600/html5/thumbnails/35.jpg)
Behörighetskontroll – Vad får X göra?
• Styrning av åtkomsträttigheter
• Skriftligt dokumenterad
• Tilldelning, • ändring och • borttagning av behörigheter• Uppföljning av tilldelade behörigheter
2010-05-28
35
![Page 36: Säkerhetsåtgärder och internet](https://reader033.vdocuments.mx/reader033/viewer/2022051412/54c4b0934a795980478b4600/html5/thumbnails/36.jpg)
Behörighetskontroll –frågor
• Hur har tilldelningen av åtkomsträttigheter beslutats (och av vem)• Rutiner för tilldelning / borttagning / uppföljning av åtkomsträttigheter• Finns det fler behörigheter än användare?• Hur vida är behörigheterna?• Leverantörs-, administrations, skräpkonton?
2010-05-28
36
![Page 37: Säkerhetsåtgärder och internet](https://reader033.vdocuments.mx/reader033/viewer/2022051412/54c4b0934a795980478b4600/html5/thumbnails/37.jpg)
Loggning
• Dokumentation av åtkomst till personuppgifter
• Information till användarna
• Rutiner för uppföljning
Loggning (behandlingshistorik) innebär i sig personuppgiftsbehandling!
2010-05-28
37
![Page 38: Säkerhetsåtgärder och internet](https://reader033.vdocuments.mx/reader033/viewer/2022051412/54c4b0934a795980478b4600/html5/thumbnails/38.jpg)
Loggning -frågor
• Går det att utreda vem som gjorde vad och när?
• Vilka loggar förs var och varför?
• Hur hanteras logguppgifterna?
• Hur länge sparas de? – Varför?
• Används särskilda verktyg för logghantering?
• Används loggsystemen för automatiska beslut/ larm eller andra åtgärder?
2010-05-28
38
![Page 39: Säkerhetsåtgärder och internet](https://reader033.vdocuments.mx/reader033/viewer/2022051412/54c4b0934a795980478b4600/html5/thumbnails/39.jpg)
Datakommunikation• Överföring av personuppgifter
• Publika och externa nätverk• Internet / Sjunet
• Hur skyddas kommunikationen?
• Kryptering• av meddelande eller
kommunikationslänk
2010-05-28
39
![Page 40: Säkerhetsåtgärder och internet](https://reader033.vdocuments.mx/reader033/viewer/2022051412/54c4b0934a795980478b4600/html5/thumbnails/40.jpg)
Säkerhetskopiering
• Viktiga program och data
• Rutiner på regelbunden basis
• Förvaring/överföring av säkerhetskopior
• Test av återläsning från kopian
2010-05-28
40
![Page 41: Säkerhetsåtgärder och internet](https://reader033.vdocuments.mx/reader033/viewer/2022051412/54c4b0934a795980478b4600/html5/thumbnails/41.jpg)
Säkerhetskopiering –frågor
• Hur ofta tas säkerhetskopior?
• Hur många generationer sparas?
• Hur skyddas säkerhetskopiorna?
• När gallras säkerhetskopiorna?
• Hur förstörs säkerhetskopiorna?
• Testas återläsning regelbundet?
2010-05-28
41
![Page 42: Säkerhetsåtgärder och internet](https://reader033.vdocuments.mx/reader033/viewer/2022051412/54c4b0934a795980478b4600/html5/thumbnails/42.jpg)
Utplåning, reparation och service
• Data på lagringsmedia och i annan utrustning.
• Avtal med en extern part (till exempel en servicebyrå)
• Regler om tystnadsplikt/sekretess• Instruktioner till servicebyrån
2010-05-28
42
![Page 43: Säkerhetsåtgärder och internet](https://reader033.vdocuments.mx/reader033/viewer/2022051412/54c4b0934a795980478b4600/html5/thumbnails/43.jpg)
Skydd mot skadliga program
Program på servrar och klienter som skyddar mot datavirus, trojaner, spionprogram etc.
• Förebygga• Detektera• Kontinuerlig uppdatering
2010-05-28
43
![Page 44: Säkerhetsåtgärder och internet](https://reader033.vdocuments.mx/reader033/viewer/2022051412/54c4b0934a795980478b4600/html5/thumbnails/44.jpg)
Personuppgiftsbiträden
”Skyddet för personuppgifterna ska inte bli sämre av att man anlitar ett personuppgiftsbiträde.”
2010-05-28
44
![Page 45: Säkerhetsåtgärder och internet](https://reader033.vdocuments.mx/reader033/viewer/2022051412/54c4b0934a795980478b4600/html5/thumbnails/45.jpg)
Personuppgiftsbiträden
• Utanför egna organisationen
• Skriftligt personuppgiftsbiträdesavtal?
• ”lämpliga säkerhetsåtgärder”?
• servicebyrå, driftpartner, programvara som tjänst
2010-05-28
45
![Page 46: Säkerhetsåtgärder och internet](https://reader033.vdocuments.mx/reader033/viewer/2022051412/54c4b0934a795980478b4600/html5/thumbnails/46.jpg)
Sammanfattning
• Kartlägg hotbilden
• Fastställ policy
• Upprätta en organisation
• Inför åtgärder
• Informera och utbilda kontinuerligt
• Följ upp efterlevnaden
• Testa säkerheten regelbundet
2010-05-28
46
![Page 47: Säkerhetsåtgärder och internet](https://reader033.vdocuments.mx/reader033/viewer/2022051412/54c4b0934a795980478b4600/html5/thumbnails/47.jpg)
Sammanfattande sammanfattning
Man ska veta vad man gör och varför…(och se till att det är lagligt…)
2010-05-28
47