Presentasjon lastes. Vennligst vent

Presentasjon lastes. Vennligst vent

Loggeprosjektet ved UiB FASIT 15/ Ove Gulliksen, IT-avdelingen

PublisertCarina Antonsen Endret for 9 år siden

Liknende presentasjoner

Presentasjon om: "Loggeprosjektet ved UiB FASIT 15/ Ove Gulliksen, IT-avdelingen"— Utskrift av presentasjonen:

1 Loggeprosjektet ved UiB FASIT 15/03-2002 Ove Gulliksen, IT-avdelingen

2 Bakgrunn for loggeprosjektet
I forbindelse med sikkerhetsarbeidet i datanettet, bl.a. ved innføring av mer standardiserte loggemetoder i et IDS, var det ønskelig å foreta en prinsipiell gjennomgang av formålet med logging og utarbeide administrative rutiner som grunnlag for aktiviteten. Loggeprosjektet ble startet sommeren 2000 og avla sluttrapport i november 2001. Ny personopplysningslov (POL) ble iverksatt 1. januar 2001. Prosjektgruppen har lagt ned et omfattende arbeid for å analysere hvilke konsekvenser loven har for IT-avdelingens logging. Gruppen har konsentrert seg om de generelle driftsloggene, og foreslår tiltak for å få en klarere ramme rundt loggingen på bakgrunn av det nye lovverket. OG, FASIT 2002

3 Logging Formålet med logging er å vareta drifts- og sikkerhetsfunksjoner, med basis i forebyggende, oppdagende/avskjærende og opprettende aktiviteter. Vi har delt loggene i to hovedtyper: Aktivitetslogger registrere aktiviteter (hendelser) internt i et edb-system eller datanett Tilgangslogger kontrollere tilgang til spesielle datasystemer eller data. Først og fremst et sikkerhetstiltak, som gjør det mulig å spore hvem som har hatt tilgang til hva på hvilket tidspunkt (Vi har ikke behandlet denne type logger). OG, FASIT 2002

4 Bruk av loggene Drifte/administrere it-systemene
Forbedre sikkerhet og avdekke/oppklare brudd på sikkerheten i it-systemene Utarbeide statistikker og rapporter Det er ikke tillatt at logger brukes til andre formål enn det opprinnelige formålet. F.eks til overvåking, som for å undersøke hvilke hjemmesider de ansatte besøker. Da må det innhentes samtykke fra den ansatte før loggen brukes. I den grad logging inneholder personopplysninger, må prosedyrene være i overenstemme med den nye personopplysingsloven. Det er vanskelig å skille mellom logger som brukes til drift og sikkerhet. OG, FASIT 2002

5 Hva logger vi? Diverse innhold, men mye regnes som personopplysninger da opplysningene er relatert til brukerid, IP-adresse, telefonnummer o.l. Eks. på logging: Ryggrads- og hoved rutere (bl.a. tidspunkt, HW/SW feil, interface opp/ned, accessliste overtredelser, debug info, info om konfig endringer + annen varsling fra ruterne) Oppringte forbindelser (som ovenfor + brukeridentitet og telefonnr) Autentiseringsservere (autentiseringsinformasjon, telefonnr, brukerid, start stopp tidspunkt, protokoll, IP-adresse benyttet etc.) Overvåking (all TCP/IP trafikk gjennom uib-gw og nh-rs logges mht. IP-adresser, protokoll, port, ant. pakker, ant. bytes, varighet, tidspunkt) OG, FASIT 2002

6 Hjemmel og samtykke For å kunne behandle personopplysninger kreves en hjemmel. Utgangspunkt: Personopplysninger kan bare behandles dersom den registrerte har samtykket (POL §8) men det gis unntak ved en del betingelser (bl.a. pkt f): at den behandlingsansvarlige eller tredjepersoner som opplysningen utleveres til kan vareta en berettiget interesse, og hensynet til den registrertes personvern ikke overstiger denne interesse. Vi har oppfattet POL §8 slik at vi har hjemmel for å utføre logging uten at det er nødvendig med samtykke fra brukerne for å utføre logging som skal vareta drift og sikkerhet i datasystemene. OG, FASIT 2002

7 Meldeplikt Som hovedregel skal det gis melding til Datatilsynet ved behandling av personopplysninger med elektroniske hjelpemidler Unnatak: Aktivitetslogg i et edb-system eller datanett Behandling av personopplysninger som følge av registrering av aktiviteter (hendelser) internt i et edb-system, samt behandling av personopplysninger om disposisjoner til ressurser i systemet er unntatt meldeplikten etter personopplysningsloven §31 første ledd. Unntak gjelder bare dersom behandlingen har som formål: a) å administrere systemet, eller b) å avdekke/avklare brudd på sikkerheten i edb-systemet (Personopplysningsforskriften §7-11) OG, FASIT 2002

8 Sikkerhet Opplysninger skal sikres mht.: Konfidensialitet Integritet
Tilgjengelighet Vi har definert to grupper logger , gruppe 1 og gruppe 2, i sikkerhetskategoriene UGRADERT og FORTROLIG, på bakgrunn av om loggene inneholder personopplysninger eller ikke. OG, FASIT 2002

9 Kapittel 2 i Forskrift til personopplysningsloven omhandler informasjonssikkerhet (Sikkerhetsforskriften). OG, FASIT 2002

10 Sikkerhetsvurderinger
Våre loggdata er ikke av en slik art at Personopplysningsforskriften's kap. 2, Informasjonssikkerhet, får anvendelse. Dette betyr at vi ikke trenger å implementere alle tiltak som kreves i sikkerhetsforskriften. Vi må likevel forholde oss til de mer generelle formuleringer om sikkerhet og internkontroll i personopplysningsloven. Det må derfor etableres og holdes vedlike planlagte og systematiske tiltak som er nødvendige for å oppfylle kravene i eller i medhold av denne loven. OG, FASIT 2002

11 Dokumentasjon Den behandlingsansvarlige og databehandleren skal dokumentere informasjonssystemet og sikkerhetstiltakene (POL §13) Dokumentasjonen skal være tilgjengelig for medarbeiderne hos den behandlingsansvarlige og hos databehandleren. Dokumentasjonen skal også være tilgjengelig for Datatilsynet og Personvernnemda Det må utarbeides dokumentasjon for hver loggtype. Kravet om dokumentasjon er nær knyttet til retten om innsyn. Den behandlingsansvarlige plikter å ha tilgjengelig informasjon også om behandlinger som ikke er underlagt meldeplikt. Denne informasjonen samsvarer i stor grad med hva en eventuell melding til Datatilsynet skulle inneholde. OG, FASIT 2002

12 Innsyn Enhver som ber om det, skal få vite hva slags behandling av person- opplysninger en behandlingsansvarlig foretar. POL §18 angir hvilken type informasjon som skal gis: a) navn og adresse på den behandlingsansvarlige og dennes eventuelle representant, b) hvem som har det daglige ansvar for å oppfylle den behandlingsansvarlige plikter, c) formålet med behandlingen, d) beskrivelse av hvilke typer personopplysninger som behandles, e) hvor opplysningene hentes fra, og f) om personopplysningene vil bli utlevert, og eventuelt hvem som er mottaker Dersom den som ber om innsyn er registrert, skal den behandlingsansvarlige opplyse om: a) hvilke opplysninger om den registrerte som behandles, og b) sikkerhetstiltakene ved behandlingen så langt innsyn ikke svekker sikkerheten OG, FASIT 2002

13 Varsling Den behandlingsansvarlige skal på eget initiativ informere den registrerte om at det samles personopplysninger ved logging. Vedrørende våre logger vil det sannsynligvis være tilstrekkelig å informere generelt om at ved bruk av UiB's it-systemer vil det legges spor som kan føres tilbake til den enkelte bruker OG, FASIT 2002

14 Lagring Logger som inneholder personopplysninger skal ikke lagres lenger enn det som er nødvendig for å gjennomføre formålet ved behandlingen. (POL §28) Lagringstiden må bestemmes for hver logg og være med i dokumentasjonen for loggen. Momenter ved lagringstid er bruk ved drift, sikkerhet og statistikk. Dersom sikkerhetsforskriften gjelder: Dokumentasjon skal lagres i minst 5 år fra det tidspunkt dokumentet ble erstattet med ny gjeldende utgave. Registrering av autorisert bruk av informasjonssystemet og av forsøk på uautorisert bruk, skal lagres minst 3 måneder. Det samme gjelder registrering av alle andre hendelser med betydning for informasjonssikkerheten. (ref §2-16) OG, FASIT 2002

15 Forutsetninger Datatilsynet forutsetter at virksomheten har retnings-
linjer for bruk av datasystemet som en del av virksomhetens mål og strategier for sikkerhet. De tilsatte må kjenne til disse retningslinjene, og konsekvensene av å bryte dem. OG, FASIT 2002

16 Dokumentasjon for hver logg
Tiltak: Dokumentasjon for hver logg Navn Drifts-/systemansvarlige Formål Innhold Hvor opplysningene hentes fra Hvor opplysningene lagres Loggruppe Lagringstid Sikkerhetstiltak OG, FASIT 2002

17 Driftsrutiner (driftshåndbok)
Tiltak forts.: Driftsrutiner (driftshåndbok) Ansvarsfordeling/overlapping driftspersonell. Oversikt over maskiner/utstyr som det logges fra. Oversikt over loggfiler. Daglige rutiner/prosedyrer for driftspersonell. Oppbevaring/lagringstid. Lagringstiden bestemmes av ansvarlig for loggene i samråd med driftspersonell og andre brukere (f.eks. sikkerhetspersonell) av loggen. Lagringstiden markeres i dokumentasjonen for hver logg, og må være i overensstemmelse med reglementet. Sikring av loggene. Vurdere at vi har tilstrekkelig sikkerhet rundt rutinene. Vi har to grupper logger. Bør disse behandles separat eller bør prosedyrene lages så strenge at det vil tilfredsstille sikkerhets-kravene til begge grupper? Backupprosedyrer. Sletting. Når lagringstiden er over skal den behandlingsansvarlige påse at loggen slettes forsvarlig fra de media der den oppbevares. OG, FASIT 2002

18 Tiltak forts.: Ansvar Varsling
IT-direktøren ivaretar lovens pålegg til den behandlingsansvarlige, og avgjør hvem som skal ha tilgang til loggene Varsling Utarbeide informasjon: I reglementet for IKT-bruk ved UiB. På UiB sine web-sider. Innsynsrett * Hvem har rett til innsyn (alle, registrerte, it-personell, politi, Datatisynet o.s.v.) * Hva har de rett til å se (jmfr. POL § 18) * Tidsfrister for svar på henvendelser OG, FASIT 2002

19 Dokumentasjon av regler og prosedyrer
Tiltak forts.: Dokumentasjon av regler og prosedyrer * Utarbeide dokumentasjon for de som har rett til innsyn. * Utarbeide regelverk for de som skal behandle loggene (driftspersonell). * Utarbeide regelverk for oppsett og drift av klienter Håndtering av systemlogger som ikke brukes (delte maskiner). Det er ikke tatt stilling til hvordan vi skal forholde oss til brukere som selv setter opp sine maskiner. OG, FASIT 2002

Laste ned ppt "Loggeprosjektet ved UiB FASIT 15/ Ove Gulliksen, IT-avdelingen"

Liknende presentasjoner

Personopplysningsloven: -innhold, styrker og svakheter

Personopplysningsloven: -innhold, styrker og svakheter
Dokumentasjonsplikt for alternative behandlere i Norge

Dokumentasjonsplikt for alternative behandlere i Norge
Astrid Øksenvåg Rådgiver EKOR AS

Astrid Øksenvåg Rådgiver EKOR AS
Forutsetninger: Alle deltagere skal ha kompetanse tilsvarende modul 1

Forutsetninger: Alle deltagere skal ha kompetanse tilsvarende modul 1
IK-Bygg på web: Formål IK-Bygg web skal bidra til å avdekke avvik i forhold til helse, miljø og sikkerhet. Det stilles strenge krav til hvilken forfatning.

IK-Bygg på web: Formål IK-Bygg web skal bidra til å avdekke avvik i forhold til helse, miljø og sikkerhet. Det stilles strenge krav til hvilken forfatning.
Krav til rettslig grunnlag for behandling av personopplysninger

Krav til rettslig grunnlag for behandling av personopplysninger
Etikk og nettvett i barnehagen

Etikk og nettvett i barnehagen
Hvilke rettsregler gjelder for norske nettsteder? Prof. Dag Wiese Schartum, AFIN.

Hvilke rettsregler gjelder for norske nettsteder? Prof. Dag Wiese Schartum, AFIN.
Krav til samtykke og informasjon.

Krav til samtykke og informasjon.
Prof. Dag Wiese Schartum, AFIN

Prof. Dag Wiese Schartum, AFIN
Om personopplysningslovens betydning for forvaltningens beslutningssystemer og nettsider Dag Wiese Schartum, AFIN.

Om personopplysningslovens betydning for forvaltningens beslutningssystemer og nettsider Dag Wiese Schartum, AFIN.
Sikring av personopplysninger i offentlig forvaltning Prof. Dag Wiese Schartum, AFIN.

Sikring av personopplysninger i offentlig forvaltning Prof. Dag Wiese Schartum, AFIN.
Norm for informasjonssikkerhet Taushetsplikt

Norm for informasjonssikkerhet Taushetsplikt
Vibeke Bjarnø, Avdeling for lærerutdanning og internasjonale studier

Vibeke Bjarnø, Avdeling for lærerutdanning og internasjonale studier
E-post l Raskt l Oversiktlig? l Uformelt l Kan nå mange l Raskt l Uformelt l Upersonlig l Informasjons- oversvømmelse l Søppelmail l Overvåking.

E-post l Raskt l Oversiktlig? l Uformelt l Kan nå mange l Raskt l Uformelt l Upersonlig l Informasjons- oversvømmelse l Søppelmail l Overvåking.
Oppgave 2. Oppgave 2 a) De sentrale paragrafene her er §§ 2 og 31 i personopplysningsloven (herretter forkortet til p.o. loven) og § 7-16 i forskriften.

Oppgave 2. Oppgave 2 a) De sentrale paragrafene her er §§ 2 og 31 i personopplysningsloven (herretter forkortet til p.o. loven) og § 7-16 i forskriften.
Anne Marie Dalen Øverhaug Kvalitetsregisterkonferansen

Anne Marie Dalen Øverhaug Kvalitetsregisterkonferansen
1) Saksbehandling knyttet til kvalifikasjonene til bemanning på Transocean Leader 25/3 2004 - I elektronisk post fra Norsk Sjøoffisersforbund/DSO til Petroleumstilsynet.

1) Saksbehandling knyttet til kvalifikasjonene til bemanning på Transocean Leader 25/ I elektronisk post fra Norsk Sjøoffisersforbund/DSO til Petroleumstilsynet.
Personopplysningsloven

Personopplysningsloven
Orientering om automatisk tilgangsstyring

Orientering om automatisk tilgangsstyring

Liknende presentasjoner

Annonser fra Google