Presentasjon lastes. Vennligst vent

Presentasjon lastes. Vennligst vent

Sikring av personopplysninger hos Statens Lånekasse for Utdanning Av: Rune Jacobsen, Ina C. Glymer, Bjørnar Hånes og Helle Hiorth-Schøyen.

Liknende presentasjoner


Presentasjon om: "Sikring av personopplysninger hos Statens Lånekasse for Utdanning Av: Rune Jacobsen, Ina C. Glymer, Bjørnar Hånes og Helle Hiorth-Schøyen."— Utskrift av presentasjonen:

1 Sikring av personopplysninger hos Statens Lånekasse for Utdanning Av: Rune Jacobsen, Ina C. Glymer, Bjørnar Hånes og Helle Hiorth-Schøyen

2 Sikkerhetsorganisering og grunnleggende arbeidsmåter (POF §2-3) Roller – Er disse definert i Lånekassens organisasjon, og hvem er så fall:  Behandlingsansvarlig  Daglig leder  Databehandler  Sikkerhetsrevisor  Personell / medarbeidere / brukere som er autorisert for bruk og drift av systemet Hvis det finnes en databehandler, er det på plass en avtale som beskriver hvilke sikkerhetsmekanismer databehandleren må ha på plass? Hvis ja, er det fra Lånekassens side utført noen sjekker av om avtalens innhold blir etterlevet av databehandler? Oppgaver – Hvilke ansvar og hvilke oppgaver har den eller de av de eksisterende overnevnte rollene knyttet til bruk og drift av systemet?

3 ”Sikkerhetsorganisering og grunnleggende arbeidsmåter” POF § 2-3 ”Sikkerhetsledelse” POL § 13 Informasjonssikkerhet Informasjonssikkerheten skal være tilfredstillende. Dette forutsetter en vurdering for de foreliggende behov for organisering av sikkerhetsarbeid.

4 Ansvar for informasjonssikkerhet: - Roller og arbeidsoppgaver Er disse rollene definert i Lånekassens organisasjon, hvem er i så fall og hvilke oppgaver har de: Behandlingsansvarlig Daglig leder/daglig ansvar Databehandler Sikkerhetsrevisor Personell/medarbeidere/brukere som er autorisert for bruk og drift av systemet

5 Definerte roller i lånekassa Daglig ansvar - avdelingsdirektør for kundeavdelingen, Ingeborg Thomassen Databehandlere - ERGO group - AltInn v/brønnøysundregisteret Daglig leder - direktør Bertil Tiusanen Behandlingsansvarlig - ”den administrative ledelsen” Personell/medarbeider/ brukere i kundeavdelingen Personell/medarbeider/ brukere hos databehandlerne behandlingen av PO foregår i kundeavdelingen ”Styret”

6 Daglige ansvar: Ingeborg Thomassen  Daglige ansvar for å oppfylle den behandlingsansvarliges plikter, jf POL § 32 bokstav c.  Personopplysningene i lånekassa behandles i kundeavdelingen av personellet, typisk saksbehandlere. Daglige ansvarlige har dermed ansvar for at behandlingen av disse opplysningene oppfyller krav til informasjonssikkerhet, jf POF § 2-3, 1.ledd ved behandling av personopplysninger. Roller og arbeidsoppgaver

7 Databehandlere: ERGO og brønnøydsundregisteret  Behandler personopplysninger på behandlingsansvarliges vegne, jf POL § 2 nr 5. ERGO drifter bl.a kundedatabasen i LIS-systemet (Lånekassens informasjon og saksbehandlingssystem) ERGO leier ut datakraft, lagringsplass og programvare for utvikling, drift og databasehåndtering.  Databehandlere har et selvstendig ansvar for informasjonssikkerheten, jf POL § 13.  Etter POL § 15 skal det være en skriftlig avtale mellom lånekassa og behandlingsansvarlige, en slik avtale foreligger, her kommer bl.a annet plikten til å gjennomføre sikkerhetstiltak komme frem.” Kommunikasjonen mellom kunden og systemet må tilfredsstille generelle krav til sikkerhet og omfatte sikker identifisering gjennom bruk av elektronisk ID og elektronisk signatur. Sikker autorisering av brukere.

8 Roller og arbeidsoppgaver ”Styret”  Følger opp virksomheten, kontrollere at den daglige ledelsen utfører oppgavene sine i samsvar med styringssignal og retningslinjer gitt av departementet.  Behandler bl.a Lånekassens strategiplan for å oppnå fremtidige mål, følge opp den løpende virksomheten i Lånekassen, legge fram årsrapport og årsregnskap, behandle budsjettforslag og virksomhetsplan, gi nærmere regler til forskriftene og behandle viktige saker som gjelder organisasjonen og personalet i Lånekassen.  Har studenter som medlemmer bl.a for at de kan være med på å påvirke lånekassa. Behandlingsansvarlige  Er ledelsen som har det overordnete administrative ansvaret i lånekassa, de bestemmer formål med behandlingen og hvilke hjelpemidler som skal brukes.  Målene og medfølgende strategi for å nå målene beskrives i sikkerhetsmål og sikkerhetsstrategi. Direktørens rolle:  Øverste leder i den administrative ledelsen.

9 Roller og arbeidsoppgaver (Behandlingsansvarlige) Behandlingsansvarlige har ansvar for sikkerhetsmål. Ledelsen i lånekassa skal beskrive formål med behandling og overordnete føringer, jf POF §2-3, 2.ledd. Formålet med behandling av PO: ”Formålet med behandling er å tildele lån og stipend til utdanning og opplæring i samsvar med gjeldende regelverk.” Sikkerhetsmål er dokumentert.

10 Roller og arbeidsoppgaver (Behandlingsansvarlige) Behandlingsansvarlig har ansvar for sikkerhetsstrategi. Styret i lånekassa skal beskrive valg og prioriteringer i en sikkerhetsstrategi, jf POF § 2-3, 3.ledd. En slik sikkerhetsstrategi omfatter grunnleggende beslutninger om organisering og gjennomføring av sikkerhetsarbeidet. Sikkerhetsstrategi er dokumentert.

11 Gjennomgås bruk av informasjonssystemet jevnlig, jf POF § 2- 3, 4 ledd?  I Lånekassa gjennomføres det årlige forskriftsgjennomganger og blankettutforminger.  Dette for å vurdere om opplysningene som behandles er tilstrekkelige og relevante i forhold til formålet.  Vurderer om sikkerhetsstrategien gir tilfredsstillende informasjonssikkerhet som resultat.

12 Konklusjon Lånekassas sikkerhetsorganisasjon er etter vår oppfatning i samsvar med kravene POF § 2-3.

13 Personell – Hvem har tilgang til personopplysningene i systemet? (POF §2-8) Hvem har tilgang til personopplysningene i systemet? Er alle brukere av systemet autoriserte? Hvordan gjøres denne autorisasjonen, dvs. vurdering/tildeling/endring/fjerning av autorisasjon? Hvordan registreres autorisert bruk av systemet? Hvor lenge og hvordan blir denne informasjonen lagret? Hvordan registreres forsøk på uautorisert bruk av systemet? Hvor lenge og hvordan blir denne informasjonen lagret?

14 Hvem får tilgang til personopplysninger i systemet? Kunden Gjennom Lånekassens internett portal kan kunden blant annet søke om lån og stipend, endre opplysninger om adresse etc. og se informasjon om gjeld, innbetalinger og utbetalinger Saksbehandlere Gjennom fellessystemet til Lånekassen (LIS) og system for lagring av vedtak, elektroniske gjeldsbrev mv. (AltInn) Ledelse Gjennom fellessystemet til Lånekassen (LIS) og system for lagring av vedtak, elektroniske gjeldsbrev mv. (AltInn) Administrasjon Gjennom fellessystemet til Lånekassen (LIS) og system for lagring av vedtak, elektroniske gjeldsbrev mv. (AltInn)

15 Hvem får tilgang til personopplysninger i systemet? Fort. Generellt sett kan alle brukerne (saksbehandlere, administrasjon og ledelse) av systemet kan se og spørre om all informasjon i systemet, men de får ikke endre og godkjenne Direkte databaset tilgang er det kun et minimalt antall driftspersoner som har tilgang til, gjennom en egen Proxy. Brannmurer gjør at dette er eneste direkte aksesspunkt til databasen for slike aktiviteter

16 Hvem får tilgang til personopplysninger i systemet? Fort. I tillegg overføres personopplysninger elektronisk til :  Folketrygdekontoret for utenlandssaker  Advokater  Formyndere  Likningsmyndigheter / Banker  AltInn Og skriftlig til:  Kunden  Foreldre (dersom kunden ikke er myndig)  Skolen

17 Er alle brukere av systemet autoriserte? Tilsynelatende, ja..

18 Hvordan registreres autorisert bruk av systemet? Hvor lenge og hvordan blir denne informasjonen lagret? All brukeraktivitet blir logget Hvordan og hvor lenge kjenner vi ikke til

19 Hvordan registreres forsøk på uautorisert bruk av systemet? Hvor lenge og hvordan blir denne informasjonen lagret? Systemet har flere nivåer med brannmurer som (forhåpentligvis..) vil fange opp forsøk på uautorisert aksess. Informasjon om disse forsøkene vil derfor bli lagret i evt logger som genereres av disse lagene med brannmurer. I tillegg benyttes IDS (Intrusion Detection System) for å detektere forsøk på innbrudd både gjennom internett portaler og ved forsøk på direkte innbrudd i databasesystemene. Mislykkede innloggingsforsøk blir logget på vanlig måte

20 Oppsummering / konlusjon Lånekassen oppfyller tilsynelatende kravene fra POF §2-8 om autoriserte brukere, autorisert bruk av systemet og at autorisert bruk skal logges Opplæring av brukerne må nødvendigvis skje, men hvordan kjenner vi ikke til Når det gjelder kundene er det begrenset hvor mye opplæring de kan få (og trenger..?) for å fylle ut en internett søknad.. Diskusjon: Nå har alle brukerene hos lånekassen tilgang til å se all informasjon, er dette nødvendig?

21 Risikovurdering (POF §2-4) Finnes en oversikt over hva slags type personopplysninger som behandles? Er dette dokumentert? Er kriterier for akseptabel risiko utarbeidet og dokumentert? Er det gjennomført en eller flere risikovurderinger av systemet med tanke på konfidensialitet? Er dette dokumentert? Er i såfall resultatet av risikovurderingen sammenliknet med kriterier for akseptabel risiko? Er resultatet av eventuelle gjennomførte risikovurderinger dokumentert?

22 Risikovurdering (POF §2-4) Er det foretatt noen risikovurdering i forhold til ivaretakelse av konfidensialitet, og hva er konklusjonen

23 Bakgrunnsinformasjon Lånekassen skal tilby elektronisk tildeling av støtte som et pilotprosjekt. Studentene skal kunne underskrive låneavtalen elektronisk ved bruk av digital signatur. Autentisering og signering skal gjøres vha Smartkort. Lånekassen har gjennomført en risikovurdering i forhold til kravene til behandling og oppbevaring av personopplysninger etter POL m/forskrift.

24 Utdyping av spørsmål i forbindelse med risikovurdering og drøfting av sikkerhetsaspekter relatert til POF §2-4 Gruppens arbeid med denne delen har tatt utgangspunkt i rapport fra tidligere nevnte risikovurdering. Vi har drøftet innhold og omfang av denne sett i forhold til POF §2-4 og konfidensialitetskrav. Utdyping av spørsmål  Finnes oversikt over hva slags type personopplysninger som behandles?  Er kriterier for akseptabel risiko utarbeidet?  Er det gjennomført en eller flere risikovurderinger av systemet med tanke på konfidensialitet?  Er i så fall resultatet av risikovurderingen sammenliknet med kriterier for akseptabel risiko?  Er resultatet av eventuelle gjennomførte risikovurderinger dokumentert?

25 Finnes oversikt over hva slags type personopplysninger som behandles? I rapporten har Lånekassen foretatt en vurdering av hvilke type personopplysninger som finnes i systemet. Konklusjonen er at det under piloten ikke vil være snakk om sensitive personopplysninger. Ved en eventuell senere utvidelse av omfanget for bruk av løsningen, vil sannsynligheten være stor for at det da vil bli behandlet sensitive personopplysninger. I ”Dokumentasjon på behandling av personopplysninger i forbindelse med tildeling av lån og stipend, datert 1.desember 2003”, har Lånekassen utarbeidet en systematisk oversikt over hvilke typer personopplysninger som behandles i systemet. Dette er delt inn i kategoriene ”ikke sensitive” og ”sensitive” personopplysninger. ”Ikke sensitive” personopplysninger er delt inn i følgende kategorier: Identifikasjonsopplysninger, opplysninger om adferd, opplysninger om tredjeperson, fjernsynsovervåking og lydopptak. ”Sensitive” opplysninger vil være opplysninger om: rasemessig eller etnisk bakgrunn, filosofisk eller religiøs oppfatning, at en person har vært mistenkt, siktet, tiltalt eller dømt for en straffbar handling samt helseforhold. Opplysninger av denne typen vil som nevnt i det første punktet ikke bli benyttet i piloten. Vi mener oversikten over hva slags type personopplysninger som behandles er tilfredsstillende og samsvarer med kravet i lovverket.

26 Er kriterier for akseptabel risiko utarbeidet ? I rapporten (kap.2) finnes et eget kapittel som inneholder en beskrivelse av det Lånekassen har valgt å kalle ”overordnede risikonivå vedrørende behandling av personopplysninger”. Det fokuseres her ensidig på kriterier for akseptabel risiko relatert til sensitive personopplysninger. Vi er usikre på hva Lånekassen ønsker å få frem med dette kapittelet, og ser ikke dette som til spesielt stor hjelp knyttet til utarbeidelsen av kriterier for akseptabel risiko. I rapportens kapittel 4 har Lånekassen benyttet en systematisk fremstilling for å finne hva som er akseptabel risiko med utgangspunkt i en skjematisk matrise basert på ”sannsynligheten for at en situasjon skal oppstå” og ”konsekvensen som følger om situasjonen inntreffer”. Kriteriene for akseptabel risiko er definert i matrisen. Vi mener metoden benyttet i arbeidet med å definere kriterier for hva som er akseptabel risiko er tilfredsstillende utført, og helt i samsvar med lovverket.

27 Er det gjennomført en eller flere risikovurderinger av systemet med tanke på konfidensialitet? Som ”mal” i arbeidet er ”Datatilsynets rettledning for risikovurdering av informasjonssystem, av ”, benyttet. Vi mener at man med dette har et godt utgangspunkt for lik balanse mellom de tre sikkerhetsaspektene, og altså dermed også konfidensialitetsaspektet. Rapporten påpeker og viser at vurderingen er knyttet til konfidensialitet, integritet og tilgjengelighet av personinformasjon. Vi mener dette indikerer at Lånekassen har hatt tilstrekkelig fokus på konfidensialitetsaspektet under risikovurderingen. Resultatet fra de enkelte delene i risikovurderingen er systematisk presentert i rapporten i form av 18 områder som er kategorisert som trusler. For 13 av disse 18 områdene er det fortatt en konkret vurdering med tanke på konfidensialitet. Vi mener med bakgrunn i dette at Lånekassen har hatt en tilstrekkelig grad av fokus på konfidensialitet i sin risikovurdering, og at arbeidet derfor samsvarer med lovverket.

28 Er i så fall resultatet av risikovurderingen sammenliknet med kriterier for akseptabel risiko? Etter å ha gått igjennom rapporten mener vi at ”resultatet av risikovurderingen er sammenliknet med kriterier for akseptabel risiko” på en tilfredsstillende måte, og etter vår mening helt i samsvar med lovverket. Dette begrunner vi med følgende:  I rapportens sammendrag står ”Det er gjort en risikovurdering av mulige trusler. Det er vurdert sannsynlighet og konsekvens av disse trusler. Tiltak for å begrense skader er gjennomgått. Det er ikke identifisert mulige trusler som Lånekassen ikke kan akseptere ut i fra definert risikonivå.” Vi mener dette viser at Lånekassen har gjort en vurdering av resultatet fra risikovurderingen sammenliknet med kriterier for akseptabel risiko.  Resultatet fra de enkelte delene i risikovurderingen er systematisk presentert i rapporten i form av 18 områder som er kategorisert som trusler.  Det er for hvert spesifikke område i rapporten presentert en vurdering av om trusselen er innenfor det man har definert som akseptabel risiko.

29 Er resultatet av eventuelle gjennomførte risikovurderinger dokumentert? Et av de dokumentene vi har fått overlevert fra Lånekassen, er dokumentasjon av selve risikovurderingen knyttet til behandling av personopplysninger. Vi mener dette er tilstrekkelig dokumentasjon som samsvarer med kravene i POF §2-16. Vi begrunner dette i følgende:  Det finnes ingen formkrav til selve dokumentasjonen i lovverket.  Datatilsynet har utarbeidet en ”rettledning for risikovurdering av informasjonssystem”, datert Rettledningen er benyttet som mal for dokumentasjon av risikovurderingen.  Resultatet fra de enkelte delene i risikovurderingen er systematisk presentert i rapporten i form av 18 områder som er kategorisert som trusler.  Alle disse 18 områdene er vurdert hver for seg, og resultatet er presentert og dokumentert på en oversiktelig og forståelig måte.

30 Konklusjon Vi mener Lånekassen for dette systemet har foretatt en risikovurdering i forhold til ivaretakelse av konfidensialitet som er i samsvar med kravene i POF §2-4

31 Tiltak for å sikre konfidensialitet (POF §2-11) Er det på bakgrunn av resultater fra arbeidet, med risikovurdering eller andre årsaker, iverksatt tiltak for å sikre konfidensialitets- aspektet?

32 Planlagte og implementerte tiltak på bakgrunn av tenkt hendelse: Uvedkommende klarer å autentisere seg som en annen person  Smartkort og PIN kode blir sendt i separate forsendelser. Bruk av feil PIN kode sperrer kort etter 3 forsøk. En autentisert avgiver får tilgang til informasjon om en annen avgiver  Autoriseringssystemet er basert på et markedsledende standardprodukt med omfattende beskyttelse gjennom flere nivåer av brannvegger. Det er gjennomført omfattende tester for å sikre at autorisasjon fungerer i henhold til krav. En autorisert avgiver planter virus  Alle skjema med vedlegg blir skannet for virus og informasjon med virus blir kastet. Deteksjon av virus logges

33 Planlagte og implementerte tiltak forts. Uvedkommende får direkte databasetilgang  Beskyttet med tre lag brannmurer, et minimalt antall driftspersoner har nødvendig tilgang gjennom en egen Proxy som kun autorisert driftspersonell må igjennom Uvedkommende får tilgang til foreløpig lagret i klient (Cashing, temporary internet files)  Applikasjon har slått av cashing. PDF filer blir lagret lokalt. Det gis informasjon til brukere om hvordan de skal sette opp sine klienter på en sikker måte. Det er også laget retningslinjer om oppsett av publikumsterminaler.

34 Planlagte og implementerte tiltak forts. Operatører av systemet får tilgang til informasjon  Driftsoperatør har omfattende rutiner for sikkerhetssjekk av operatørene og aksjoner logges. Operatører har signert taushetserklæring. Uvedkommende avlytter kommunikasjon mellom Altinn og Lånekassen  Kommunikasjon foregår i egen kabel i operatørs datarom. Uvedkommende får fysisk tilgang til Altinn system.  Altinns produksjonsanlegg er plassert i fjellhall og reserveanlegg er plassert i dagbygg. Begge anlegg har omfattende fysisk sikring med flersone adgangskort. Sikkerhetsvakter har periodisk kontroll og det er installert overvåkningskamera.

35 Planlagte og implementerte tiltak forts. Uvedkommende får fysisk tilgang til Sikkerhetskopier  Oppbevares i sikre lokaler/skap En etatsbruker får tilgang til data for annen etat en den han tilhører.  I etatsportalen sjekkes skjemaets etat mot brukerens etat. Systemet har flere nivåer av brannvegger og det benyttes IDS for å detektere innbrudd. Det er gjennomført penetrasjonstest av 3. part for å sikre mot innbruddsteknikker. Personnummer og adresseinformasjon kompromitteres  En avgiver kan delegere rettigheter til en annen person. Man må da kjenne personens personnummer. Man kan se personens navn eller innlegging av fødselsnummer.

36 Oppsummering av gjennomføring pr  Den systemtekniske sikkerheten er oppgradert i samsvar med Datatilsynets veilledning, bl.a med to atskilte sikkerhetssoner og kryptert elektronisk kommunikasjon. Dette arbeidet vil være ferdig innen utgangen av  Sikkerhetsmål/sikkerhetsstrategi er i all hovedsak gjennomført og gjenstående arbeid vil være ferdig innen utgangen av Risikovurdering av eksisterende adgangskontrollsystem til kontorlokaler gjennomføres i første halvår  Etablering av internkontroll, overordnet styringsmodell, prinsipper for ledelse og overordnet dokumentstruktur er etablert, samt modell for delegering av behandlingsansvar. Dokumentasjon og etablering av sikkerhetsorganisasjon vil ferdigstilles i januar  Dokumentasjon av instrukser/rutiner i.h.t. POL, system for avvikshåndtering og prinsipper for revisjon/ledelsens gjennomgang ferdigstilles i begynnelsen av Systemteknisk beredskapsplan ferdigstilles i løpet av første halvår 2004

37 Dokumentasjon (POF §2-16) Tiltakene er dokumentert av Lånekassen i en risikoanalyse datert Det ble foretatt en riskovurdering i forhold til behandling og oppbevaring av personopplysninger etter POL i forbindelse med prosjektet (pilot PKI). Arbeidsdokument opprettet om behandling av personopplysninger i forbindelse med tildeling av lån og stipend. Brev av fra Lånekassen til Datatilsynet ang. Melding om behandling av personopplysninger Kopi av meldeskjemaer til Datatilsynet fordelt på tildeling, tilbakebetaling, innkreving og adgangskontroll.

38 Hvilke rutiner finnes det for lagring, endring og sletting i.h.t. POF § 2-16? Lånekassens lagringsrutiner følger reglene i Arkivloven og den medfølgende arkivforskriften. Interne dokumenter blir lagret etter hensiktsmessighet selv om de ikke nødvendigvis blir regnet som formelle dokumenter etter Arkivloven. I POF § 2-16 [2] er det et krav til at dokumentasjonen skal lagres i minst 5 år etter dokumentet ble erstattet med ny utgave.  Vi har ikke gjort forsøk på å innhente tidligere utgaver av dokumentasjonen. I brev datert står det at internkontrollen fullt ut vil bli tilpasset POF i løpet av Antar at det arbeidet pr dags dato er gjennomført. I.h.t. POF § 2-16[3] blir registrering av forsøk på uautorisert bruk og andre hendelser med betydning for informasjonssikkerheten loggført (jmfr risikoanalyse).  Vi har ikke dokumentasjon som sier noe om rutinene for lagring og sletting av denne informasjonen.

39 Konklusjon Vi mener at Lånekassen gjennomgående har god dokumentasjon på sikring av konfidensialitet etter POF § Alt tyder på at Lånekassen har tilfredstillende rutiner for etterlevelse av kravene i POF § 2-16


Laste ned ppt "Sikring av personopplysninger hos Statens Lånekasse for Utdanning Av: Rune Jacobsen, Ina C. Glymer, Bjørnar Hånes og Helle Hiorth-Schøyen."

Liknende presentasjoner


Annonser fra Google