Obligatorisk Oppgave 2 DRI 2002 Av Margrethe Ulfsbøl Aarseth, Simen Pettersen, Hanna Aase, Øivind Langeland

Disposisjon Om Samordna opptak Om Samordna opptak Om Intervjuet Om Intervjuet Drøfting mht. etterlevelse POL / POLF Drøfting mht. etterlevelse POL / POLF Sikkerhetsledelse (§ 2-3) Sikkerhetsledelse (§ 2-3) Risikovurdering (§ 2-4) Risikovurdering (§ 2-4) Sikring av konfidensialitet (§ 2-11) Sikring av konfidensialitet (§ 2-11) Dokumentasjon (§ 2-16) Dokumentasjon (§ 2-16) Konklusjon Konklusjon Kilder Kilder

Om Samordna opptak Samordna opptak (SO) er et serviceorgan for høgskoler og universiteter i deres opptak til høgre grunnutdanning. Samordna opptak (SO) er et serviceorgan for høgskoler og universiteter i deres opptak til høgre grunnutdanning. (To typer brukere; potensielle studenter og læringsinstitusjoner) Videre driver SO veiledning og informasjon for høgskole- og universitetssektoren og driver en informasjonsdatabase med oversikt over søkermassen til all høyere utdanning. Videre driver SO veiledning og informasjon for høgskole- og universitetssektoren og driver en informasjonsdatabase med oversikt over søkermassen til all høyere utdanning. (Ikke utelukkende, men primært er det informasjonssikkerheten rundt denne databasen vi er interessert i) Samordna opptak er faglig underlagt et styre oppnevnt av Utdannings- og forskningsdepart. (UFD), og er organisert som en enhet ved Universitetet i Oslo. (Interessant ifbm. plassering av ansvar) Samordna opptak er faglig underlagt et styre oppnevnt av Utdannings- og forskningsdepart. (UFD), og er organisert som en enhet ved Universitetet i Oslo. (Interessant ifbm. plassering av ansvar) (Samordna opptak )

Om Intervjuet I Fremgangsmåte Fremgangsmåte Telefon Telefon Epost Epost Respons Respons Generelt god respons og oppfølging Generelt god respons og oppfølging Oppmerksom på 30 dagers frist jfr POL § 16 Oppmerksom på 30 dagers frist jfr POL § 16

Om Intervjuet II Spørsmål 1: Spørsmål 1: Er det klart hvem som har ansvaret for informasjonssikkerheten for vedkommende system, og hvordan utøves denne funksjonen? (person? oppgaver? mv) Svar 1: Svar 1: SO ansvarlig for å tilfredsstille krav fra Datatilsynet (konsesjon), samt at lover og regler overholdes. SO ansvarlig for å tilfredsstille krav fra Datatilsynet (konsesjon), samt at lover og regler overholdes. USIT er utøvende USIT er utøvende

Om Intervjuet III Spørsmål 2: Spørsmål 2: Hvem får tilgang til personopplysningene i systemet? Svar 2: Svar 2: Universiteter og høgskoler Universiteter og høgskoler USIT (Drift, vedlikehold, utvikling) USIT (Drift, vedlikehold, utvikling) Samordna Opptak Samordna Opptak Potensielle Studenter Potensielle Studenter

Om Intervjuet IV Spørsmål 3: Spørsmål 3: Er det foretatt noen risikovurdering i forhold til ivaretakelse av konfidensialitet, og hva er konklusjonen? Svar 3: Svar 3: Siste risikovurdering utført ifbm. konsesjonen fra Datatilsynet. Resultatet er dokumentert. Siste risikovurdering utført ifbm. konsesjonen fra Datatilsynet. Resultatet er dokumentert. Driftsforum er under oppretting, og vil ta stilling til denne type oppgaver / rutiner Driftsforum er under oppretting, og vil ta stilling til denne type oppgaver / rutiner

Om Intervjuet V Spørsmål 4: Spørsmål 4: Er det iverksatt noen tiltak for å sikre konfidensialiteten? Svar 4: Svar 4: Organisatorisk Organisatorisk  PIN kode pr. post  Instruks om personopplysninger pr. telefon  Kun saksbehandlende institusjon har tilgang til aktuelle personopplysninger  Konsesjon av gir føringer mht. konfidensialitetssikring, datakvalitetssikring, tilgjengelighetssikring og tiltak ved påviste sikringsbrudd Teknisk Teknisk  Brannmur  Aksesskontroll (filtrering) vha. IP adr.  Passord  Elektonisk Signatur (utredes)  Statistikk er aggregert og anonymisert  Den enkelte søker har kun tilgang til sine egne personopplysninger  Sensitive opplysninger lagres ikke utover søkeperioden (gjelder spesielt de som søker på særskilte vilkår)

Om Intervjuet VI Spørsmål 5: Spørsmål 5: Er tiltakene dokumenterte? Svar 5: Svar 5: Utgangspunktet er konsesjonsbrevet av Utgangspunktet er konsesjonsbrevet av Korrespondansen (SO, Datatilsynet, UFD) som foranlediget konsesjonen, samt selve konsesjonen utgjør dokumentasjonen. Korrespondansen (SO, Datatilsynet, UFD) som foranlediget konsesjonen, samt selve konsesjonen utgjør dokumentasjonen. Kontrakt mellom SO og USIT eksisterer; 2005 – Revideres hvert 2. år (kost). (begrenset offentlighet). Kontrakt mellom SO og USIT eksisterer; 2005 – Revideres hvert 2. år (kost). (begrenset offentlighet).

Sikkerhetsledelse (§ 2-3) Bestemmelser og etterlevelse jfr. POLF Bestemmelser og etterlevelse jfr. POLF Daglig ledelse hos behandlingsansvarlig er ansvarlig Daglig ledelse hos behandlingsansvarlig er ansvarlig  Jfr. Svar 1: Ansvaret er plassert hos SO Sikkerhetsmål skal beskrives Sikkerhetsmål skal beskrives  Driftsforumet, som er planlagt opprettet, vil ta tak i dette. Sikkerhetsstrategi skal beskrives Sikkerhetsstrategi skal beskrives  Driftsforumet, som er planlagt opprettet, vil ta tak i dette. Jevnlig gjennomgang Jevnlig gjennomgang  Siste gjennomgang Driftsforumet vil bringe dette videre. Driftsforumet eksistens fremkommer av kontrakt mellom USIT og SO av desember Dokumentasjon Dokumentasjon  Korrespondansen (SO, Datatilsynet, UFD) som foranlediget konsesjonen, samt selve konsesjonen utgjør dokumentasjonen.

Risikovurdering (§ 2-4) Bestemmelser og etterlevelse jfr. POLF Bestemmelser og etterlevelse jfr. POLF Oversikt over personopplysninger som blir behandlet Oversikt over personopplysninger som blir behandlet  Det eksisterer oversikt over personopplysninger som blir behandlet. Fastlegge kriterier for akseptabel risiko Fastlegge kriterier for akseptabel risiko  Ikke gjort. Driftsforumet vil ta tak i dette. Gjennomføre risikovurderinger Gjennomføre risikovurderinger  Sist utført Driftsforumet, som er under oppretting, vil ta tak i dette, og vil bla. sørge for jevnlige rutiner. Dokumentasjon Dokumentasjon  Korrespondansen (SO, Datatilsynet, UFD) som foranlediget konsesjonen, samt selve konsesjonen utgjør dokumentasjonen..

Sikring av konfidensialitet (§ 2-11) Bestemmelser jfr. POLF Bestemmelser jfr. POLF Tiltak mot uautorisert innsyn Tiltak mot uautorisert innsyn  Passord  IP Adr. filtrering  Brannmur  Avgrenset til enkeltpersoner Kryptering ved elektronisk overføring eksternt Kryptering ved elektronisk overføring eksternt  HTTP over SSL (HTTPS)  Gjelder også mellom SO (USIT) og de ulike lærestedene Merking av lagringsmedium hvor konfidensialitet er påkrevd Merking av lagringsmedium hvor konfidensialitet er påkrevd  Platelagrene ligger hos USIT. Dette må være databehandlers ansvar å utføre. SO benytter dedikerte platelagere (mulig endring ifbm. feiltolerans, men data vil fortsatt være separert/isolert). Sletting av lagringsmedia Sletting av lagringsmedia  USIT håndterer dette. Dette må være databehandlers ansvar å utføre. Blitt nevnt av USIT, men trolig ikke nedfelt prosedyre i kontrakt o.l.

Dokumentasjon (§ 2-16) Bestemmelser jfr. POLF Bestemmelser jfr. POLF Rutiner for bruk av informasjonssystemet mv. skal dokumenteres Rutiner for bruk av informasjonssystemet mv. skal dokumenteres  Konsesjonen av er utgangspunktet. De ansatte ved SO er kjent med innholdet. Dog foreligger denne kun i papir, men er planlagt scannet. For øvrig gjelder IT-reglementet ved UiO Dokumenter skal lagres i minst fem år Dokumenter skal lagres i minst fem år  Dette ble ikke SO spurt om. Uklart hvorvidt dette er en oppgave som bør ligge hos databehandler eller behandlingsansvarlig. Aksesslogger mv. skal lagres i minst 3 mnd. Aksesslogger mv. skal lagres i minst 3 mnd.  Ikke spesifisert i avtale mellom SO og USIT. Kan tenkes at databehandler (USIT) må være ansvarlig for dette.

Konklusjon Totalt sett virker det som om SO har et bevisst forhold til POL og POLF. Totalt sett virker det som om SO har et bevisst forhold til POL og POLF. Konfidensialitet later til å ha fokus og til å være vel ivaretatt. Konfidensialitet later til å ha fokus og til å være vel ivaretatt. Siste risikovurdering: Siste risikovurdering: Korrespondans og konsesjon utgjør dokumentasjonen Korrespondans og konsesjon utgjør dokumentasjonen Våre funn må sees i lys av at SO tradisjonelt har vært under UiO (prosjekt 1994 – 2004), og først i det senere fått eget styre. Våre funn må sees i lys av at SO tradisjonelt har vært under UiO (prosjekt 1994 – 2004), og først i det senere fått eget styre.

Kilder Samordna opptak. Om SO URL: [Lest ] Samordna opptak. Om SO URL: [Lest ] Personopplysningsloven. URL: html&dep=alle&titt=personopplysningsloven& [Lest ] Personopplysningsloven. URL: html&dep=alle&titt=personopplysningsloven& [Lest ] Personopplysningsforskriften. URL: [Lest ] Personopplysningsforskriften. URL: [Lest ] Schartum: Informasjonssikkerhet, Fagbokforlaget. Schartum: Informasjonssikkerhet, Fagbokforlaget. Daglig Leder Olaf Svorstøl Daglig Leder Olaf Svorstøl Ass. Daglig Leder Trine Hotvedt Ass. Daglig Leder Trine Hotvedt