Presentasjon lastes. Vennligst vent

Presentasjon lastes. Vennligst vent

Prof. Dag Wiese Schartum, AFIN

Liknende presentasjoner


Presentasjon om: "Prof. Dag Wiese Schartum, AFIN"— Utskrift av presentasjonen:

1 Prof. Dag Wiese Schartum, AFIN
Krav til sikring av personopplysninger i hht pol § 13, pof kap. 2 og efvf kap. 3 og 4 Prof. Dag Wiese Schartum, AFIN

2 Sikkerhetsregler og andre regler
“Kombinasjoner” Enkeltstående regler Helhetlige regelverk grunnregler

3 Oversikt over helhetlig regelverk vedrørende informasjonssikkerhet
Personopplysningsloven § 13 med forskrifter (pof kap. 2) Helseregisterloven § 16 med forskrifter (særlig pof kap. 2) Forskrift om elektronisk kommunikasjon med og i forvaltningen (eForvaltningsforskriften), § 4 og kapitlene 3 - 6 Kap. 7 i forskrift til Sis-loven, jf lovens § 3 IKT-forskriften i hht kredittilsynsloven Sikkerhetsloven

4 Hvordan sikre? Lovens krav til framgangsmåter i når personopplysninger skal sikres, jf pol § 13 Tiltak skal være Planlagte Systematiske Dokumenterte Dokumentasjonen skal også omfatte informasjonssstemet All dokumentasjon (IS + tiltak) skal være tilgjengelig for Alle aktuelle medarbeidere Tilsynsmyndigheter Alle typer virkemidler er aktuelle: Rettslige Organisatoriske Teknologiske Pedagogiske Økonomiske mv Pof kap. 2 er i stor grad inspirert av BS7799, jf ISO-17799: 2005 "Informa- sjonsteknologi - Sikkerhetsteknikk - Administrasjon av informasjonssikkerhet"

5 Hvem skal sikre, hva skal sikres og hvor sikre skal opplysningene være
Hvem skal sikre, hva skal sikres og hvor sikre skal opplysningene være? (jf pol § 13) Bestemmelsen i § 13 gjelder både behandlingansvarlig og data-behandler og utgjør ramme for hva som kan bestemmes i forskrift Arbeidet med informasjonssikkerhet skal omfatte Konfidensialitet Integritet Tilgjengelighet Informsjonssikkerheten skal være “tilfredsstillende”, jf pol § 13 Vurderingen gjelder hvor ekstensive (omfattende) tiltakene skal være og hvor intensive/strenge tiltakene skal være Kravet i § 13 om tilfredsstillende sikkerhet innebærer at det alltid skal skje en konkret vurdering av hver behandling Forskriften stiller opp noen materielle minstkrav mv Forskriften stiller opp krav til organisering mv av sikkerhetsarbeidet Forskriften stiller opp krav til framgangsmåter for sikkerhetsarbeidet Behov for harmoniserende fortolkning!

6 Krav til organisering mv av sikkerhetsarbeidet i pof
Aktuelle roller: Behandlingsansvarlig, databehandler, daglig leder, daglig ansvarlig person, sikkerhetsrevisor, stedlig representant, personvernombud Den daglige ledelsen for den behandlingsansvarliges virksomhet skal ha (daglig) ansvar for etterlevelse av sikkerhetsbestemmelsene (§ 2-3, 1) Det skal etableres klare ansvars- og myndighetsforhold vedrørende bruk av informasjonssystemet (§ 2-7, 1) Bruk av sikkerhetsmessig betydning skal følge faste rutiner (§ 2-7, 5) Ansvar- og myndighetsforhold samt konfigurasjon av systemet skal dokumenteres (§ 2-7, 2 og 4) Sikkerhetsdokumentasjonen etter § 2-7 må bare endres på måter som er autorisert av (sikkerhets)ledelsen. Personell skal bare utføre pålagte oppgaver de er autoriserte for (§ 2-8) Personell skal ha nødvendig kunnskap om bruk i hht autorisasjon og rutiner (§ 2-8)

7 Efvf: Krav til sikkerhetsmål og -strategi (kap. 3)
Merk at sikkerhetsstrategien direkte kun gjelder elektronisk kommunikasjon Sikkerhetsstrategien bør gi en samlet oversikt over kravene til informasjonssikkerhet innen det enkelte forvaltningsområdet Strategien skal inkludere relevante krav som er fastsatt i annen lov, forskrift eller instruks Strategien skal danne grunnlag for innføring og bruk av sikkerhets- produkter og -tjenester, på en helhetlig, planlagt, systematisk og dokumentert måte Dersom det er relevant skal sikkerhetsstrategien skal inneholde en rekke konkrete problemstillinger som er oppregnet i § 13 tredje ledd bokstavene a - h. Direkte henvisning til pol § 13 og pof kap. 2 i efvf § 13 bokstav g

8 Krav til fremgangsmåter i sikkerhetsarbeidet i pof
Stiller krav til etablering av sikkerhetsmål og -strategi (§ 2-3, 2 flg) Formål og overordnede føringer for bruk av IKT skal inngå Valg og prioriteringer i sikkerhetsarbeidet skal beskrives Stiller krav til gjennomføring av risikovurdering (§ 2-4) “Vurdering” og ikke nødvendigvis “analyse” Vurderingen skal skje ift egne kriterier for akseptabel risiko og/eller ift pålegg som Datatilsynet har gitt, jf § 2-2 Skal vurdere hva den antatte risikoen er Forskriften gir ikke anvisning på spesielle metoder mv for risikovurdering, jf dog NS 5814 “Krav til sikkerhetsanalyser” Forskjellen mellom antatt og akseptabel risiko skal utlignes ved hjelp av sikkerhetstiltak Risikovurdering skal gjentas ved relevante endringer Resultatene av risikovurderingen skal dokumenteres

9 Materielle krav til informasjonssikkerhet i pof
Krav til sikring forutsetter mulig “personverntap” ! (til tross for § 2-1, 1) Tiltakene skal stå i forhold til sannsynligheten for og konsekvenser av “sikkerhetsbrudd” (§ 2-1, 2), jf krav til risikovurdering (§ 2-4) Konkretiserer krav til: Fysisk sikring (§ 2-10) Konfidensialitet (§ 2-11) Tilgjengelighet (§ 2-12) Integritet (§ 2-13) Sporbarhet, ikke-manipulering og automatisering (§ 2-14) Krav til kvalitet ved overføring av personopplysninger (§ 2-15) Datatilsynet kan gi pålegg om sikring (§ 2-2, jf pol §§ 46 og 47)

10 Oversikt over nærmere krav til sikkerhets- dokumentasjon mv i pof
Innholdsmessige elementer i dokumentasjonen Ansvars- og myndighetsforhold (internt og eksternt) Sikkerhetsmål og -strategi Resultatet av risikovurdering Resultatet av sikkerhetsmessige gjennomganger av IS (2-3, 4) Iverksatte sikkerhetstiltak Resulatet av sikkerhetsrevisjon Resultatet av avviksbehandling Krav til fortløpende logging Forsøk på uautorisert bruk (2-14, 2) Autorisert bruk (2-8, 3)

11 Efvf: Krav til publikums bruk av sikkerhetstjenester og -produkter (§ 4)
Enhver som henvender seg til et forvaltningsorgan ved bruk av elektronisk kommunikasjon, kan gjøre det uten bruk av sikkerhetstjenester eller -produkter, med mindre: Noe annet følger av lov mv Det er nødvendig å beskytte taushetsbelagte opplysninger for uberettiget innsyn, jf § 5 Forvaltningsorganet har bestemt at visse sikkerhetstjenester eller -produkter skal benyttes for visse sakstyper Forvaltningsorganet bestemmer at visse sikkerhetstjenester eller -produkter skal benyttes i spesifikke enkeltsaker Forvaltningsorganet skal gjøre tilgjengelig sikkerhetstjenester og -produkter som oppfyller de krav forvaltningsorganet stiller eller anvise hvilke løsninger som ellers kan benyttes Selv om forvaltningen har stor frihet mht hvilke krav de skal stille, må resultatet være brukervennlig, ikke-diskriminerende og gi forsvarlig saksbehandling, jf § 1


Laste ned ppt "Prof. Dag Wiese Schartum, AFIN"

Liknende presentasjoner


Annonser fra Google