Informationssäkerhetsanalys Dataskyddsförordning Jan A Svensson
Om analysen Bakgrund Syfte Omfattning och avgränsning EU har beslutat om en dataskyddsförordning (DSF) som blir direkt tillämplig i samtliga medlemsstater. DSF ersätter personuppgiftslagen (PuL) och ska börja tillämpas under våren 2018 PuL är en av de lagar som ställer direkta krav på informationssäkerheten Syfte Analysen syftar till att klargöra hur DSF ur ett informationssäkerhetsperspektiv kommer att påverka processer, metoder, rutiner, skyddsåtgärder, stadsövergripande styr- och stöddokumenten etc inom informationssäkerhetsområdet Omfattning och avgränsning Enbart DSF (finns fn inga klarläggande från EU kommissionen eller DI. Regeringsutredning klar i maj 2017) Ett stadsövergripande perspektiv. Verksamhetsspecifika/lokala styr- och stöddokument ingår inte i analysen HÅLLBAR STAD – ÖPPEN FÖR VÄRLDEN
Sammanfattning analysresultat Grundprinciperna i DSF rörande informationssäkerhet är i stort i linje med Stadens styrdokument och metodik för säker informationshantering* De delar som har tillkommit och även preciserats jämfört med PuL har Staden i stort redan täckt in i styrdokument Trots utvecklade preciseringar i DSF blir det ändå i vissa fall svårt att i detalj veta vad kraven innebär rent reellt eftersom det i nuläget inte finns några formella tolkningar eller tekniska standarder framtagna av EU kommissionen. Ändring av styrdokument Policy och riktlinjer för tillämpning av personuppgiftslagen vid Göteborgs Stads förvaltningar och bolag Bör ersättas av ett nytt eftersom det per automatik blir obsolet. Det bör tas fram snarast. Om det inte är möjligt att få det gällande förrän efter att DSF träder ikraft så bör det finnas tillgängligt som ett stöddokument parallellt med den gamla riktlinjen. Ändring av stöddokument Råd för riskanalys avseende informationssäkerhet Råd för säker informationshantering Råd för säkerhet i molntjänster Råd – säkerställande av program (appar) för smarta mobiler/surfplattor Råd IT-kontroller Råd – Förslag på lokala anvisningar/bestämmelser för informationshantering och IT-användning Råd – exempel på informationsklassificering Råd - Uppföljning och analys av incidenter * Det är positivt att flera av de tillkommande kraven i DSF ligger helt i linje med den metod som Staden redan använder för att säkerställa informationshantering bl a hos extern part (PUB) eftersom detta sannolikt redan nu kommer att underlätta dialogen med dessa HÅLLBAR STAD – ÖPPEN FÖR VÄRLDEN
Nota bene Framgent när det kommer klarlägganden från kommissionen och när regeringens utredning avseende kompletterande lagstiftning blir klar kan behovet av ändringar rörande styr- och stöddokument komma att förändras! HÅLLBAR STAD – ÖPPEN FÖR VÄRLDEN
Ändringsbehov i ”Policy och riktlinjer för tillämpning av personuppgiftslagen vid Göteborgs Stads förvaltningar och bolag” Fördjupning Tydliggöra de grundläggande principerna för behandling av pu i Staden Tydliggöra att Dataskyddsombudet ska rådfrågas och övervaka riskanalysen Tydliggöra att det krävs samråd med tillsynsmyndigheten om man i sin riskhantering inte klarar av att minska en hög risk Tydliggöra att synpunkter från de registrerade ska inhämtas i samband med riskanalysen när det är lämpligt Tydliggöra att pseudonymisering eller kryptering är riskminimeringsåtgärder som bör användas Tydliggöra krav gällande ”inbyggt dataskydd” och ”dataskydd som standard” såsom uppgiftsminimering, lagringsminimering, fritextfältsmimimering, åtkomstbegränsning och att om möjligt nyttja pseudonymisering, anonymisering och kryptering samt krav på att säkerställandet av personuppgiftshanteringen ska finnas med redan från den initiala planeringen och täcka såväl tekniska som organisatoriska åtgärder Tydliggöra att Stadens grundsäkerhetsnivå för informationssäkerhet (nivå 1) gäller vid hantering av pu generellt (en del i tydliggörandet av ”dataskydd som standard”) och att kompletterande säkerhetsåtgärder (nivå 2) ska utformas specifikt vid hantering av pu i ”särskilda kategorier” Tydliggöra krav på att kunna visa, kontinuerligt testa, undersöka och utvärdera effektiviteten av införda säkerhetsåtgärder Tydliggöra krav på incidentanmälan till tillsynsmyndigheten Tydliggöra krav på spridning av incidentinformation till registrerade som drabbats Tydliggöra kraven som ställs på PUB-avtal Tydliggöra kraven på PUB att kunna visa att säkerhetskraven uppfylls, att det finns beskrivningar över hur kraven uppfylls och att säkerheten ska vara verifierad och verifieras regelbundet HÅLLBAR STAD – ÖPPEN FÖR VÄRLDEN
Ändringsbehov i stöddokument Råd för riskanalys avseende informationssäkerhet Tydliggöra att Dataskyddsombudet ska rådfrågas och övervaka riskanalysen Tydliggöra att det krävs samråd med tillsynsmyndigheten om man i sin riskhantering inte klarar av att minska en hög risk Tydliggöra att synpunkter från de registrerade ska inhämtas i samband med riskanalysen när det är lämpligt Tydliggöra att pseudonymisering eller kryptering är riskminimeringsåtgärder som bör användas Råd för säker informationshantering Tydliggöra säkerhetskraven (nivå 1 och 2) som gäller vid hantering av pu Tydliggöra att det är DSF krav att kunna visa att säkerhetskraven uppfylls, att det finns beskrivningar över hur kraven uppfylls och att säkerheten ska vara verifierad och verifieras regelbundet Råd för säkerhet i molntjänster Uppdatera krav (nivå 1 och 2) som gäller vid hantering av pu Råd – säkerställande av program (appar) för smarta mobiler/surfplattor Uppdatera krav (nivå 1 och 2) som gäller vid hantering av pu Råd IT-kontroller Uppdatera vilka kontroller som uppfyller DSF krav pu-hantering generellt respektive för pu i ”särskilda kategorier” Råd – Förslag på lokala anvisningar/bestämmelser för informationshantering och IT-användning Uppdatera klassningsförslagen utifrån DSF istället för PuL Råd – exempel på informationsklassificering Råd - Uppföljning och analys av incidenter Tydliggöra krav på incidentanmälan till tillsynsmyndigheten Tydliggöra krav på spridning av incidentinformation till registrerade som drabbats Fördjupning HÅLLBAR STAD – ÖPPEN FÖR VÄRLDEN
Stadens metod för säker informationshantering Identifiera verksamhet Identifiera information Identifiera krav Klassa RA Tydliggör skyddsåtg. Verifiera skyddsåtg. Följ upp HÅLLBAR STAD – ÖPPEN FÖR VÄRLDEN
Styr- och stöddokument (urval) Säkerhetspolicy (Krav på kontinuerliga riskanalyser, krav på uppföljning av säkerhet, krav på att säkerhetsåtgärder ska vara dokumenterade) Riktlinje för hantering av säkerhetsrisker (krav på att identifiering, analys, utvärdering, behandling, övervakning och granskning av säkerhetsrisker ska ske kontinuerligt inom verksamheten och alltid vid större förändringar) Riktlinje för informationssäkerhet (krav på att informationsklassning ska göras kontinuerligt, att informationsklassning ska ligga till grund för hur informationen ska hanteras, att tillämpliga lagar och styrdokument ska vägas in i klassningen samt tydliggör ande av säkerhetsåtgärder och krav på verifiering och uppföljning av säkerheten) Riktlinjer för användning av informationsteknik (krav på att verksamheternas information ska vara strukturerad och tydligt åskådliggjord ) Regler gällande informationssäkerhetsansvar för chefer (krav på att vidta åtgärder för att minska personberoendet såsom att dokumentera processer) Riktlinjer till arkivreglemente (krav på processorienterad informationsredovisning som inkluderar verksamhetens processer) Riktlinjer för intern kontroll (krav på att följsamhet mot lagar, styrdokument etc ska följas upp) Regler för kommungemensamma interna tjänster generellt (krav på att tydliggöra krav (inkl legala) på informationshanteringen samt krav på att följsamhet mot lagar, styrdokument etc ska följas upp) …. Identifiera verksamhet Identifiera information Identifiera krav Klassa RA Tydliggör skyddsåtg. Verifiera skyddsåtg. Följ upp Råd för säker informationshantering. Metodbeskrivning inklusive exempel på hur man genomför en informationsklassning Råd - exempel på informationsklassning. Rekommendationer för hur man kan klassa viss typ av information Råd för riskanalys avseende informationssäkerhet. Rekommendationer för hur man riskhanterar informationssäkerheten Råd informationssäkerhetskontroller. Rekommendationer över de informationssäkerhetskontroller som behöver finnas i en verksamhet Råd – säkerställande av appar. Rekommendationer för hur man i verksamheten bör hantera program (s k appar) för smarta mobiler/surfplattor. Råd - uppföljning och analys incidenter i informationssystem. Råd för hur man i verksamheten bör agera för att säkerställa nyttjandet av molntjänster Råd för uppföljning av behörigheter. Stöd för att upprätthålla korrekt åtkomst till stadens informationssystem ….. HÅLLBAR STAD – ÖPPEN FÖR VÄRLDEN
Inspel till IT-analysen Rent IT-mässigt finns det stora utmaningar för Staden. Exempelvis att hitta alla pu som gäller en specifik individ i alla Stadens IT-lösningar, även i löptext, för utlämnande, radering, korrigering etc. Incidenthantering När det gäller incidenthantering (rapportering, loggning, åtgärdande, informationsspridning, eskalering, uppföljning och analys) så är detta idag centraliserat avseende IT-området för de kommungemensamma administrativa tjänsteområdena. Den nuvarande hantering spänner inte över informationssäkerhetsincidenter vilket är det egentliga kravet enligt Stadens styrdokument (Regler för kommungemensamma interna tjänster generellt). Att utöka omfattningen så att incidenthanteringen ligger i linje med KF:s beslut bör ske snarast. Den interna tjänsten bör också utvidgas till att bli en central kommungemensam intern incidenthanteringstjänst för Stadens säkerhetsincidenter (täcker områdena personsäkerhet, fysisk säkerhet, informationssäkerhet och krisberedskap) eftersom det blir såväl effektivare som mindre kostsamt för Staden att nyttja de redan gjorda investeringarna jämfört med om varje verksamhet ska realisera egna lösningar. Värt att notera är att utöver de interna kraven och kraven från DSF så finns det även krav i EU:s nyligen beslutade NIS direktiv 2016/1148 om tvingande extern incidentrapportering fr o m 10 maj 2018 för samhällsviktiga tjänster inom olika sektorer i Staden såsom energi, transport, hälso- och sjukvård och leverans av dricksvatten. Ovanstående bör analyseras vidare i IT-analysen av DSF! HÅLLBAR STAD – ÖPPEN FÖR VÄRLDEN