Informationssäkerhetsanalys Dataskyddsförordning

Slides:



Advertisements
Liknande presentationer
Hälso- och sjukvårdslagen (HSL)  1§ Med hälso- och sjukvård avses i denna lag åtgärder för att medicinskt förebygga, utreda och behandla sjukdomar och.
Advertisements

Pilotprojekt för Digitalt Stöd i samverkan, H2O. Vad har vi lärt oss? Digitalt stöd ökar valfriheten och tryggheten för våra brukare, bibehåller kvalitén.
Vad innebär Dataskyddsförordningen?
SAMHÄLLSBYGGNADSFÖRVALTNINGEN Redovisning Case november 2015.
DIVISION Landstingsdirektörens stab Samverkan via video mellan landstinget och länets kommuner 25 april )Bakgrund 2)Hur det kommer att fungera efter.
Färdiga e-tjänster för att effektivisera er hantering kring ENSAMKOMMANDE BARN Under 2015 kom ensamkommande barn och unga till Sverige för att söka.
Revidering av riktlinjer gällande särskilt boende för äldre
Den kommunala hälso- och sjukvården av idag
regeringen. se/rattsdokument/proposition/2017/02/prop
Välfärdens processer för myndighetsutövning inom IFO/FH
Attraktiv Hemtjänst Välkommen till introduktion
Samordnad Individuell Plan - Hur enkelt kan det bli?
Barnets bästa i främsta rummet
Ett stöd för införande av ett LIS
Region Gävleborg Förvaltningsorganisation, tjänsteresa och riskanalys (10 minuter) Eftermiddagen
Avbrott i nätinfrastrukturen på US
Länsgemensam ledning i samverkan
En plattform för samhällsekonomisk analys
Samordnad Individuell Plan - Hur enkelt kan det bli?
Fördjupad utvärdering 2015 Nuläge, vad händer framöver, regionala inspel Ann Wahlström Naturvårdsverket 10 december 2014.
Nya föreskrifter och allmänna råd om läkemedelshantering
Tisdag den 21 mars – Samling och kaffe/te med macka
Föreslagna ändringar från Naturvårdsverket i reglerna om landsbygdsutveckling i strandnära lägen Peder Seidegård Länsarkitekt.
eHälsomyndigheten om planerna för Säker Åtkomst och Sambi
Dataskyddsförordningen – och vårt arbete utifrån den
LUP Mål 3 Satsning på kompetensförsörjning
Förändringar i FIFA efter sommaren 2017
Nätverk för lärare på fritidshem
Lathund-Ladok-95-Studiedeltagande
Johan M. Sanne Lisa Schmidt
Hjälpmedelsförskrivning
Digital signering av hälso- och sjukvårdsåtgärder
Alla vill och kan skapa en bra arbetsmiljö
En utvecklad studie- och yrkesvägledning
Välkomna! Utbildning för sköterskor förskrivning av madrasser
Individuell energimätning och personuppgiftslagen
EU´s dataskyddsförordningen
Överenskommelse mellan kommunerna och Västra Götalandsregionen
Nitha - it-stöd för händelseanalys
Vässa SAM med hjälp av IA-systemet
Förskrivarutbildning Hjälpmedel vid rörelsenedsättning
Branschrådet för spårväg och tunnelbana den 17 maj 2018
GDPR General Data Protection Regulation
Samordning av miljöinformationsförsörjning Inte nytt men ”nystart”
Schyst offentlig upphandling
EU:s Allmänna Dataskyddsförordning
- ett verktyg för ANDT-uppföljning Introduktion
Intraservice IT-Konsekvensanalys DSF.
Samordnad utveckling för god och nära vård S2017:01
Åtgärdsvalsstudie - Tillgänglighet för Stockholm, Nacka, Värmdö och Lidingö SL Riggert Anderson.
Systematiskt kvalitetsarbete
Utredningen om ekologisk kompensation
Introduktion till systematiskt kvalitetsarbete
Provisionsinformation
Introduktion till systematiskt kvalitetsarbete
Fördjupning till systematiskt kvalitetsarbete
Arbetsmiljöläget 1989.
Samordnad hantering Inledande utgångspunkter
Hållbar utveckling måste vara
Utvärdering av system för styrning, uppföljning och kontroll
LSG Uppföljningsrapport
Dokumentera rätt i vården
Revisionsredogörelsen 2017
Systematiskt förbättringsverktyg för samverkan
Nämndernas/styrelsernas utvärdering av arbetet med budget 2005
Rapport från Temagrupp Psykiatri
Saker att ta upp… Skärpning av reglerna omkring MKN vatten
Agenda Projektets uppdrag Vad har projektet identifierat?
Framtagande av Regional utvecklingsstrategi Uppsala län
Kontinuitetshantering
Presentationens avskrift:

Informationssäkerhetsanalys Dataskyddsförordning Jan A Svensson

Om analysen Bakgrund Syfte Omfattning och avgränsning EU har beslutat om en dataskyddsförordning (DSF) som blir direkt tillämplig i samtliga medlemsstater. DSF ersätter personuppgiftslagen (PuL) och ska börja tillämpas under våren 2018 PuL är en av de lagar som ställer direkta krav på informationssäkerheten Syfte Analysen syftar till att klargöra hur DSF ur ett informationssäkerhetsperspektiv kommer att påverka processer, metoder, rutiner, skyddsåtgärder, stadsövergripande styr- och stöddokumenten etc inom informationssäkerhetsområdet Omfattning och avgränsning Enbart DSF (finns fn inga klarläggande från EU kommissionen eller DI. Regeringsutredning klar i maj 2017) Ett stadsövergripande perspektiv. Verksamhetsspecifika/lokala styr- och stöddokument ingår inte i analysen HÅLLBAR STAD – ÖPPEN FÖR VÄRLDEN

Sammanfattning analysresultat Grundprinciperna i DSF rörande informationssäkerhet är i stort i linje med Stadens styrdokument och metodik för säker informationshantering* De delar som har tillkommit och även preciserats jämfört med PuL har Staden i stort redan täckt in i styrdokument Trots utvecklade preciseringar i DSF blir det ändå i vissa fall svårt att i detalj veta vad kraven innebär rent reellt eftersom det i nuläget inte finns några formella tolkningar eller tekniska standarder framtagna av EU kommissionen. Ändring av styrdokument Policy och riktlinjer för tillämpning av personuppgiftslagen vid Göteborgs Stads förvaltningar och bolag Bör ersättas av ett nytt eftersom det per automatik blir obsolet. Det bör tas fram snarast. Om det inte är möjligt att få det gällande förrän efter att DSF träder ikraft så bör det finnas tillgängligt som ett stöddokument parallellt med den gamla riktlinjen. Ändring av stöddokument Råd för riskanalys avseende informationssäkerhet Råd för säker informationshantering Råd för säkerhet i molntjänster Råd – säkerställande av program (appar) för smarta mobiler/surfplattor Råd IT-kontroller Råd – Förslag på lokala anvisningar/bestämmelser för informationshantering och IT-användning Råd – exempel på informationsklassificering Råd - Uppföljning och analys av incidenter * Det är positivt att flera av de tillkommande kraven i DSF ligger helt i linje med den metod som Staden redan använder för att säkerställa informationshantering bl a hos extern part (PUB) eftersom detta sannolikt redan nu kommer att underlätta dialogen med dessa HÅLLBAR STAD – ÖPPEN FÖR VÄRLDEN

Nota bene Framgent när det kommer klarlägganden från kommissionen och när regeringens utredning avseende kompletterande lagstiftning blir klar kan behovet av ändringar rörande styr- och stöddokument komma att förändras! HÅLLBAR STAD – ÖPPEN FÖR VÄRLDEN

Ändringsbehov i ”Policy och riktlinjer för tillämpning av personuppgiftslagen vid Göteborgs Stads förvaltningar och bolag” Fördjupning Tydliggöra de grundläggande principerna för behandling av pu i Staden Tydliggöra att Dataskyddsombudet ska rådfrågas och övervaka riskanalysen Tydliggöra att det krävs samråd med tillsynsmyndigheten om man i sin riskhantering inte klarar av att minska en hög risk Tydliggöra att synpunkter från de registrerade ska inhämtas i samband med riskanalysen när det är lämpligt Tydliggöra att pseudonymisering eller kryptering är riskminimeringsåtgärder som bör användas Tydliggöra krav gällande ”inbyggt dataskydd” och ”dataskydd som standard” såsom uppgiftsminimering, lagringsminimering, fritextfältsmimimering, åtkomstbegränsning och att om möjligt nyttja pseudonymisering, anonymisering och kryptering samt krav på att säkerställandet av personuppgiftshanteringen ska finnas med redan från den initiala planeringen och täcka såväl tekniska som organisatoriska åtgärder Tydliggöra att Stadens grundsäkerhetsnivå för informationssäkerhet (nivå 1) gäller vid hantering av pu generellt (en del i tydliggörandet av ”dataskydd som standard”) och att kompletterande säkerhetsåtgärder (nivå 2) ska utformas specifikt vid hantering av pu i ”särskilda kategorier” Tydliggöra krav på att kunna visa, kontinuerligt testa, undersöka och utvärdera effektiviteten av införda säkerhetsåtgärder Tydliggöra krav på incidentanmälan till tillsynsmyndigheten Tydliggöra krav på spridning av incidentinformation till registrerade som drabbats Tydliggöra kraven som ställs på PUB-avtal Tydliggöra kraven på PUB att kunna visa att säkerhetskraven uppfylls, att det finns beskrivningar över hur kraven uppfylls och att säkerheten ska vara verifierad och verifieras regelbundet HÅLLBAR STAD – ÖPPEN FÖR VÄRLDEN

Ändringsbehov i stöddokument Råd för riskanalys avseende informationssäkerhet Tydliggöra att Dataskyddsombudet ska rådfrågas och övervaka riskanalysen Tydliggöra att det krävs samråd med tillsynsmyndigheten om man i sin riskhantering inte klarar av att minska en hög risk Tydliggöra att synpunkter från de registrerade ska inhämtas i samband med riskanalysen när det är lämpligt Tydliggöra att pseudonymisering eller kryptering är riskminimeringsåtgärder som bör användas Råd för säker informationshantering Tydliggöra säkerhetskraven (nivå 1 och 2) som gäller vid hantering av pu Tydliggöra att det är DSF krav att kunna visa att säkerhetskraven uppfylls, att det finns beskrivningar över hur kraven uppfylls och att säkerheten ska vara verifierad och verifieras regelbundet Råd för säkerhet i molntjänster Uppdatera krav (nivå 1 och 2) som gäller vid hantering av pu Råd – säkerställande av program (appar) för smarta mobiler/surfplattor Uppdatera krav (nivå 1 och 2) som gäller vid hantering av pu Råd IT-kontroller Uppdatera vilka kontroller som uppfyller DSF krav pu-hantering generellt respektive för pu i ”särskilda kategorier” Råd – Förslag på lokala anvisningar/bestämmelser för informationshantering och IT-användning Uppdatera klassningsförslagen utifrån DSF istället för PuL Råd – exempel på informationsklassificering Råd - Uppföljning och analys av incidenter Tydliggöra krav på incidentanmälan till tillsynsmyndigheten Tydliggöra krav på spridning av incidentinformation till registrerade som drabbats Fördjupning HÅLLBAR STAD – ÖPPEN FÖR VÄRLDEN

Stadens metod för säker informationshantering Identifiera verksamhet Identifiera information Identifiera krav Klassa RA Tydliggör skyddsåtg. Verifiera skyddsåtg. Följ upp HÅLLBAR STAD – ÖPPEN FÖR VÄRLDEN

Styr- och stöddokument (urval) Säkerhetspolicy (Krav på kontinuerliga riskanalyser, krav på uppföljning av säkerhet, krav på att säkerhetsåtgärder ska vara dokumenterade) Riktlinje för hantering av säkerhetsrisker (krav på att identifiering, analys, utvärdering, behandling, övervakning och granskning av säkerhetsrisker ska ske kontinuerligt inom verksamheten och alltid vid större förändringar) Riktlinje för informationssäkerhet (krav på att informationsklassning ska göras kontinuerligt, att informationsklassning ska ligga till grund för hur informationen ska hanteras, att tillämpliga lagar och styrdokument ska vägas in i klassningen samt tydliggör ande av säkerhetsåtgärder och krav på verifiering och uppföljning av säkerheten) Riktlinjer för användning av informationsteknik (krav på att verksamheternas information ska vara strukturerad och tydligt åskådliggjord ) Regler gällande informationssäkerhetsansvar för chefer (krav på att vidta åtgärder för att minska personberoendet såsom att dokumentera processer) Riktlinjer till arkivreglemente (krav på processorienterad informationsredovisning som inkluderar verksamhetens processer) Riktlinjer för intern kontroll (krav på att följsamhet mot lagar, styrdokument etc ska följas upp) Regler för kommungemensamma interna tjänster generellt (krav på att tydliggöra krav (inkl legala) på informationshanteringen samt krav på att följsamhet mot lagar, styrdokument etc ska följas upp) …. Identifiera verksamhet Identifiera information Identifiera krav Klassa RA Tydliggör skyddsåtg. Verifiera skyddsåtg. Följ upp Råd för säker informationshantering. Metodbeskrivning inklusive exempel på hur man genomför en informationsklassning Råd - exempel på informationsklassning. Rekommendationer för hur man kan klassa viss typ av information Råd för riskanalys avseende informationssäkerhet. Rekommendationer för hur man riskhanterar informationssäkerheten Råd informationssäkerhetskontroller. Rekommendationer över de informationssäkerhetskontroller som behöver finnas i en verksamhet Råd – säkerställande av appar. Rekommendationer för hur man i verksamheten bör hantera program (s k appar) för smarta mobiler/surfplattor. Råd - uppföljning och analys incidenter i informationssystem. Råd för hur man i verksamheten bör agera för att säkerställa nyttjandet av molntjänster Råd för uppföljning av behörigheter. Stöd för att upprätthålla korrekt åtkomst till stadens informationssystem ….. HÅLLBAR STAD – ÖPPEN FÖR VÄRLDEN

Inspel till IT-analysen Rent IT-mässigt finns det stora utmaningar för Staden. Exempelvis att hitta alla pu som gäller en specifik individ i alla Stadens IT-lösningar, även i löptext, för utlämnande, radering, korrigering etc. Incidenthantering När det gäller incidenthantering (rapportering, loggning, åtgärdande, informationsspridning, eskalering, uppföljning och analys) så är detta idag centraliserat avseende IT-området för de kommungemensamma administrativa tjänsteområdena. Den nuvarande hantering spänner inte över informationssäkerhetsincidenter vilket är det egentliga kravet enligt Stadens styrdokument (Regler för kommungemensamma interna tjänster generellt). Att utöka omfattningen så att incidenthanteringen ligger i linje med KF:s beslut bör ske snarast. Den interna tjänsten bör också utvidgas till att bli en central kommungemensam intern incidenthanteringstjänst för Stadens säkerhetsincidenter (täcker områdena personsäkerhet, fysisk säkerhet, informationssäkerhet och krisberedskap) eftersom det blir såväl effektivare som mindre kostsamt för Staden att nyttja de redan gjorda investeringarna jämfört med om varje verksamhet ska realisera egna lösningar. Värt att notera är att utöver de interna kraven och kraven från DSF så finns det även krav i EU:s nyligen beslutade NIS direktiv 2016/1148 om tvingande extern incidentrapportering fr o m 10 maj 2018 för samhällsviktiga tjänster inom olika sektorer i Staden såsom energi, transport, hälso- och sjukvård och leverans av dricksvatten. Ovanstående bör analyseras vidare i IT-analysen av DSF! HÅLLBAR STAD – ÖPPEN FÖR VÄRLDEN