Presentation laddar. Vänta.

Presentation laddar. Vänta.

Informationssäkerhetsanalys Dataskyddsförordning

Publicerades avPia Lund

Liknande presentationer

En presentation över ämnet: "Informationssäkerhetsanalys Dataskyddsförordning"— Presentationens avskrift:

1 Informationssäkerhetsanalys Dataskyddsförordning
Jan A Svensson

2 Om analysen Bakgrund Syfte Omfattning och avgränsning
EU har beslutat om en dataskyddsförordning (DSF) som blir direkt tillämplig i samtliga medlemsstater. DSF ersätter personuppgiftslagen (PuL) och ska börja tillämpas under våren 2018 PuL är en av de lagar som ställer direkta krav på informationssäkerheten Syfte Analysen syftar till att klargöra hur DSF ur ett informationssäkerhetsperspektiv kommer att påverka processer, metoder, rutiner, skyddsåtgärder, stadsövergripande styr- och stöddokumenten etc inom informationssäkerhetsområdet Omfattning och avgränsning Enbart DSF (finns fn inga klarläggande från EU kommissionen eller DI. Regeringsutredning klar i maj 2017) Ett stadsövergripande perspektiv. Verksamhetsspecifika/lokala styr- och stöddokument ingår inte i analysen HÅLLBAR STAD – ÖPPEN FÖR VÄRLDEN

3 Sammanfattning analysresultat
Grundprinciperna i DSF rörande informationssäkerhet är i stort i linje med Stadens styrdokument och metodik för säker informationshantering* De delar som har tillkommit och även preciserats jämfört med PuL har Staden i stort redan täckt in i styrdokument Trots utvecklade preciseringar i DSF blir det ändå i vissa fall svårt att i detalj veta vad kraven innebär rent reellt eftersom det i nuläget inte finns några formella tolkningar eller tekniska standarder framtagna av EU kommissionen. Ändring av styrdokument Policy och riktlinjer för tillämpning av personuppgiftslagen vid Göteborgs Stads förvaltningar och bolag Bör ersättas av ett nytt eftersom det per automatik blir obsolet. Det bör tas fram snarast. Om det inte är möjligt att få det gällande förrän efter att DSF träder ikraft så bör det finnas tillgängligt som ett stöddokument parallellt med den gamla riktlinjen. Ändring av stöddokument Råd för riskanalys avseende informationssäkerhet Råd för säker informationshantering Råd för säkerhet i molntjänster Råd – säkerställande av program (appar) för smarta mobiler/surfplattor Råd IT-kontroller Råd – Förslag på lokala anvisningar/bestämmelser för informationshantering och IT-användning Råd – exempel på informationsklassificering Råd - Uppföljning och analys av incidenter * Det är positivt att flera av de tillkommande kraven i DSF ligger helt i linje med den metod som Staden redan använder för att säkerställa informationshantering bl a hos extern part (PUB) eftersom detta sannolikt redan nu kommer att underlätta dialogen med dessa HÅLLBAR STAD – ÖPPEN FÖR VÄRLDEN

4 Nota bene Framgent när det kommer klarlägganden från kommissionen och när regeringens utredning avseende kompletterande lagstiftning blir klar kan behovet av ändringar rörande styr- och stöddokument komma att förändras! HÅLLBAR STAD – ÖPPEN FÖR VÄRLDEN

5 Ändringsbehov i ”Policy och riktlinjer för tillämpning av personuppgiftslagen vid Göteborgs Stads förvaltningar och bolag” Fördjupning Tydliggöra de grundläggande principerna för behandling av pu i Staden Tydliggöra att Dataskyddsombudet ska rådfrågas och övervaka riskanalysen Tydliggöra att det krävs samråd med tillsynsmyndigheten om man i sin riskhantering inte klarar av att minska en hög risk Tydliggöra att synpunkter från de registrerade ska inhämtas i samband med riskanalysen när det är lämpligt Tydliggöra att pseudonymisering eller kryptering är riskminimeringsåtgärder som bör användas Tydliggöra krav gällande ”inbyggt dataskydd” och ”dataskydd som standard” såsom uppgiftsminimering, lagringsminimering, fritextfältsmimimering, åtkomstbegränsning och att om möjligt nyttja pseudonymisering, anonymisering och kryptering samt krav på att säkerställandet av personuppgiftshanteringen ska finnas med redan från den initiala planeringen och täcka såväl tekniska som organisatoriska åtgärder Tydliggöra att Stadens grundsäkerhetsnivå för informationssäkerhet (nivå 1) gäller vid hantering av pu generellt (en del i tydliggörandet av ”dataskydd som standard”) och att kompletterande säkerhetsåtgärder (nivå 2) ska utformas specifikt vid hantering av pu i ”särskilda kategorier” Tydliggöra krav på att kunna visa, kontinuerligt testa, undersöka och utvärdera effektiviteten av införda säkerhetsåtgärder Tydliggöra krav på incidentanmälan till tillsynsmyndigheten Tydliggöra krav på spridning av incidentinformation till registrerade som drabbats Tydliggöra kraven som ställs på PUB-avtal Tydliggöra kraven på PUB att kunna visa att säkerhetskraven uppfylls, att det finns beskrivningar över hur kraven uppfylls och att säkerheten ska vara verifierad och verifieras regelbundet HÅLLBAR STAD – ÖPPEN FÖR VÄRLDEN

6 Ändringsbehov i stöddokument
Råd för riskanalys avseende informationssäkerhet Tydliggöra att Dataskyddsombudet ska rådfrågas och övervaka riskanalysen Tydliggöra att det krävs samråd med tillsynsmyndigheten om man i sin riskhantering inte klarar av att minska en hög risk Tydliggöra att synpunkter från de registrerade ska inhämtas i samband med riskanalysen när det är lämpligt Tydliggöra att pseudonymisering eller kryptering är riskminimeringsåtgärder som bör användas Råd för säker informationshantering Tydliggöra säkerhetskraven (nivå 1 och 2) som gäller vid hantering av pu Tydliggöra att det är DSF krav att kunna visa att säkerhetskraven uppfylls, att det finns beskrivningar över hur kraven uppfylls och att säkerheten ska vara verifierad och verifieras regelbundet Råd för säkerhet i molntjänster Uppdatera krav (nivå 1 och 2) som gäller vid hantering av pu Råd – säkerställande av program (appar) för smarta mobiler/surfplattor Uppdatera krav (nivå 1 och 2) som gäller vid hantering av pu Råd IT-kontroller Uppdatera vilka kontroller som uppfyller DSF krav pu-hantering generellt respektive för pu i ”särskilda kategorier” Råd – Förslag på lokala anvisningar/bestämmelser för informationshantering och IT-användning Uppdatera klassningsförslagen utifrån DSF istället för PuL Råd – exempel på informationsklassificering Råd - Uppföljning och analys av incidenter Tydliggöra krav på incidentanmälan till tillsynsmyndigheten Tydliggöra krav på spridning av incidentinformation till registrerade som drabbats Fördjupning HÅLLBAR STAD – ÖPPEN FÖR VÄRLDEN

7 Stadens metod för säker informationshantering
Identifiera verksamhet Identifiera information Identifiera krav Klassa RA Tydliggör skyddsåtg. Verifiera skyddsåtg. Följ upp HÅLLBAR STAD – ÖPPEN FÖR VÄRLDEN

8 Styr- och stöddokument (urval)
Säkerhetspolicy (Krav på kontinuerliga riskanalyser, krav på uppföljning av säkerhet, krav på att säkerhetsåtgärder ska vara dokumenterade) Riktlinje för hantering av säkerhetsrisker (krav på att identifiering, analys, utvärdering, behandling, övervakning och granskning av säkerhetsrisker ska ske kontinuerligt inom verksamheten och alltid vid större förändringar) Riktlinje för informationssäkerhet (krav på att informationsklassning ska göras kontinuerligt, att informationsklassning ska ligga till grund för hur informationen ska hanteras, att tillämpliga lagar och styrdokument ska vägas in i klassningen samt tydliggör ande av säkerhetsåtgärder och krav på verifiering och uppföljning av säkerheten) Riktlinjer för användning av informationsteknik (krav på att verksamheternas information ska vara strukturerad och tydligt åskådliggjord ) Regler gällande informationssäkerhetsansvar för chefer (krav på att vidta åtgärder för att minska personberoendet såsom att dokumentera processer) Riktlinjer till arkivreglemente (krav på processorienterad informationsredovisning som inkluderar verksamhetens processer) Riktlinjer för intern kontroll (krav på att följsamhet mot lagar, styrdokument etc ska följas upp) Regler för kommungemensamma interna tjänster generellt (krav på att tydliggöra krav (inkl legala) på informationshanteringen samt krav på att följsamhet mot lagar, styrdokument etc ska följas upp) …. Identifiera verksamhet Identifiera information Identifiera krav Klassa RA Tydliggör skyddsåtg. Verifiera skyddsåtg. Följ upp Råd för säker informationshantering. Metodbeskrivning inklusive exempel på hur man genomför en informationsklassning Råd - exempel på informationsklassning. Rekommendationer för hur man kan klassa viss typ av information Råd för riskanalys avseende informationssäkerhet. Rekommendationer för hur man riskhanterar informationssäkerheten Råd informationssäkerhetskontroller. Rekommendationer över de informationssäkerhetskontroller som behöver finnas i en verksamhet Råd – säkerställande av appar. Rekommendationer för hur man i verksamheten bör hantera program (s k appar) för smarta mobiler/surfplattor. Råd - uppföljning och analys incidenter i informationssystem. Råd för hur man i verksamheten bör agera för att säkerställa nyttjandet av molntjänster Råd för uppföljning av behörigheter. Stöd för att upprätthålla korrekt åtkomst till stadens informationssystem ….. HÅLLBAR STAD – ÖPPEN FÖR VÄRLDEN

9 Inspel till IT-analysen
Rent IT-mässigt finns det stora utmaningar för Staden. Exempelvis att hitta alla pu som gäller en specifik individ i alla Stadens IT-lösningar, även i löptext, för utlämnande, radering, korrigering etc. Incidenthantering När det gäller incidenthantering (rapportering, loggning, åtgärdande, informationsspridning, eskalering, uppföljning och analys) så är detta idag centraliserat avseende IT-området för de kommungemensamma administrativa tjänsteområdena. Den nuvarande hantering spänner inte över informationssäkerhetsincidenter vilket är det egentliga kravet enligt Stadens styrdokument (Regler för kommungemensamma interna tjänster generellt). Att utöka omfattningen så att incidenthanteringen ligger i linje med KF:s beslut bör ske snarast. Den interna tjänsten bör också utvidgas till att bli en central kommungemensam intern incidenthanteringstjänst för Stadens säkerhetsincidenter (täcker områdena personsäkerhet, fysisk säkerhet, informationssäkerhet och krisberedskap) eftersom det blir såväl effektivare som mindre kostsamt för Staden att nyttja de redan gjorda investeringarna jämfört med om varje verksamhet ska realisera egna lösningar. Värt att notera är att utöver de interna kraven och kraven från DSF så finns det även krav i EU:s nyligen beslutade NIS direktiv 2016/1148 om tvingande extern incidentrapportering fr o m 10 maj 2018 för samhällsviktiga tjänster inom olika sektorer i Staden såsom energi, transport, hälso- och sjukvård och leverans av dricksvatten. Ovanstående bör analyseras vidare i IT-analysen av DSF! HÅLLBAR STAD – ÖPPEN FÖR VÄRLDEN

Ladda ner ppt "Informationssäkerhetsanalys Dataskyddsförordning"

Liknande presentationer

Hälso- och sjukvårdslagen (HSL)  1§ Med hälso- och sjukvård avses i denna lag åtgärder för att medicinskt förebygga, utreda och behandla sjukdomar och.

Hälso- och sjukvårdslagen (HSL)  1§ Med hälso- och sjukvård avses i denna lag åtgärder för att medicinskt förebygga, utreda och behandla sjukdomar och.
Pilotprojekt för Digitalt Stöd i samverkan, H2O. Vad har vi lärt oss? Digitalt stöd ökar valfriheten och tryggheten för våra brukare, bibehåller kvalitén.

Pilotprojekt för Digitalt Stöd i samverkan, H2O. Vad har vi lärt oss? Digitalt stöd ökar valfriheten och tryggheten för våra brukare, bibehåller kvalitén.
Vad innebär Dataskyddsförordningen?

Vad innebär Dataskyddsförordningen?
SAMHÄLLSBYGGNADSFÖRVALTNINGEN Redovisning Case november 2015.

SAMHÄLLSBYGGNADSFÖRVALTNINGEN Redovisning Case november 2015.
DIVISION Landstingsdirektörens stab Samverkan via video mellan landstinget och länets kommuner 25 april 2016 1)Bakgrund 2)Hur det kommer att fungera efter.

DIVISION Landstingsdirektörens stab Samverkan via video mellan landstinget och länets kommuner 25 april )Bakgrund 2)Hur det kommer att fungera efter.
Färdiga e-tjänster för att effektivisera er hantering kring ENSAMKOMMANDE BARN Under 2015 kom ensamkommande barn och unga till Sverige för att söka.

Färdiga e-tjänster för att effektivisera er hantering kring ENSAMKOMMANDE BARN Under 2015 kom ensamkommande barn och unga till Sverige för att söka.
Revidering av riktlinjer gällande särskilt boende för äldre

Revidering av riktlinjer gällande särskilt boende för äldre
Den kommunala hälso- och sjukvården av idag

Den kommunala hälso- och sjukvården av idag
regeringen. se/rattsdokument/proposition/2017/02/prop

regeringen. se/rattsdokument/proposition/2017/02/prop
Välfärdens processer för myndighetsutövning inom IFO/FH

Välfärdens processer för myndighetsutövning inom IFO/FH
Attraktiv Hemtjänst Välkommen till introduktion

Attraktiv Hemtjänst Välkommen till introduktion
Samordnad Individuell Plan - Hur enkelt kan det bli?

Samordnad Individuell Plan - Hur enkelt kan det bli?
Barnets bästa i främsta rummet

Barnets bästa i främsta rummet
Ett stöd för införande av ett LIS

Ett stöd för införande av ett LIS
Region Gävleborg Förvaltningsorganisation, tjänsteresa och riskanalys (10 minuter) Eftermiddagen 2015-11--17.

Region Gävleborg Förvaltningsorganisation, tjänsteresa och riskanalys (10 minuter) Eftermiddagen
Avbrott i nätinfrastrukturen på US

Avbrott i nätinfrastrukturen på US
Länsgemensam ledning i samverkan

Länsgemensam ledning i samverkan
En plattform för samhällsekonomisk analys

En plattform för samhällsekonomisk analys
Samordnad Individuell Plan - Hur enkelt kan det bli?

Samordnad Individuell Plan - Hur enkelt kan det bli?
Fördjupad utvärdering 2015 Nuläge, vad händer framöver, regionala inspel Ann Wahlström Naturvårdsverket 10 december 2014.

Fördjupad utvärdering 2015 Nuläge, vad händer framöver, regionala inspel Ann Wahlström Naturvårdsverket 10 december 2014.

Liknande presentationer

Google-annonser