Privatlivsimplikationsanalyse (PIA) for GovCERT IDS v3.

Størrelse: px
Starte visningen fra side:

Download "Privatlivsimplikationsanalyse (PIA) for GovCERT IDS v3."

Transkript

1 Notat Privatlivsimplikationsanalyse (PIA) for GovCERT IDS v februar 2011 Holsteinsgade København Ø Telefon Telefax E-post Netsted CVR-nr Sagsbehandler Marc Andersen Telefon Telefax E-post Sagsnr. Dok nr. Side 1/3

2 1 Resumé Denne rapport dokumenterer resultatet af en privatlivsimplikationsanalyse (PIA) udført på GovCERTs Intrusion Detection System (GovCERT IDS). Analysen er udført af IT-sikkerhedskontoret i. Privatlivsimplikationsanalysen er udført i projektets etableringsfase med udgangspunkt i den udarbejdede tekniske dokumentation. GovCERT IDS analyserer information for at varsle om angreb på itinfrastrukturen. Informationen består af trafikdata og pakkedata. Der vil som udgangspunkt ikke etableres filtre forud for indsamlingen af data. Der er således mulighed for, at pakkedata kan indeholde personoplysninger. Ligeledes bearbejder GovCERT IDS personoplysninger i form af IP-adresser. Der er derfor udført en PIA på de processer og områder af GovCERT IDS systemet, hvor opsamling og behandling af data indeholdende personoplysninger kan forekomme. På baggrund af de sikkerhedsforanstaltninger, der er truffet for at beskytte data i forbindelse med behandling af informationerne, estimeres GovCERT IDS til at have en samlet risiko mod privatlivet på LAV. Side 2/25 Denne PIA vil i forbindelse med GovCERT IDS udviklingsforløb og ved større ændringer i opsætningen blive opdateret. Rapporten er senest opdateret den 15. februar 2011.

3 2 Indholdsfortegnelse 1 RESUMÉ INDHOLDSFORTEGNELSE DEFINITIONER INDLEDNING INTRODUKTION PERSONOPLYSNINGER I GOVCERT IDS IMPLIKATIONER FOR BESKYTTELSEN AF PRIVATLIVETS FRED APPENDIKS A Side 3/25

4 3 Definitioner GovCERT IDS IDS signatur Internet Protocol Suite Internettrafik IP-adresse KL Netflow v5 Netværkspakke Pakkedata Port Trafikdata UKL VPN tunnel Government Computer Emergency Response Team. Enhed der varsler om trusler mod den statslige del af internettet. Intrusion Detection System. Automatiseret system til alarmering ved ondsindet brug af netværk, som for eksempel virus- og hackerangreb. Regel benyttet af et IDS til at opdage mønstre i internettrafik. Sæt af kommunikationsprotokoller brugt på internettet og i andre lignende netværk. Pakkedata + trafikdata. Internet Protocol adresse. Adresse på en enhed tilsluttet internettet. Klassificeret. Informationsklassifikation i henhold til statsministeriets sikkerhedscirkulære CIR nr. 204 af 07/12/2001. Netværksprotokol udviklet af Cisco til at samle IP baseret trafikdata. En afgrænset del af en datastrøm på internettet. Indholdet af internetbaseret kommunikation. Kommunikationsendepunkt i dele af Internet Protocol Suiten Data, som behandles med henblik på overføring af pakkedata. Uklassificeret. Information uden klassifikation. Virtual Private Network tunnel. En krypteret tunnel mellem to enheder på netværket. Side 4/25

5 4 Indledning Denne rapport dokumenterer resultatet af en privatlivsimplikationsanalyse (PIA) udført på GovCERTs Intrusion Detection System (GovCERT IDS). Analysen er udført af It-sikkerhedskontoret, herunder GovCERT, i. Privatlivsimplikationsanalysen er udført i projektets etableringsfase med udgangspunkt i den udarbejdede tekniske dokumentation. Privatlivsimplikationsanalysen vil løbende blive opdateret i forbindelse med den egentlige implementering af GovCERT IDS og eventuel ny lovgivning på området. Rapporten beskriver i afsnit 5 funktion og basis for GovCERT IDS. Afsnit 6 beskriver analysen af de personoplysninger, der bliver bearbejdet af GovCERT IDS. Rapporten afsluttes i afsnit 7 med en risikoanalyse af GovCERT IDS i forhold til behandlingen af personoplysninger. 5 Introduktion Side 5/25 Regeringen besluttede i maj 2009 at etablere en statslig varslingstjeneste for internettrusler, en såkaldt GovCERT (Government Computer Emergency Response Team). Enheden skal sikre overblik over trusler og sårbarheder i produkter, tjenester, net og systemer i staten, samt løbende vurdere it-sikkerheden og varsle statslige myndigheder om it-sikkerhedsmæssige hændelser og trusler på internettet. Det er hensigten, at private virksomheder beskæftiget med kritisk infrastruktur, regioner og kommuner også skal kunne tilslutte sig GovCERT. GovCERT udfører følgende opgaver: Indhentning af information om it-sikkerhedshændelser og aktiviteter i net og systemer i staten Analyse og vurdering af internet-sikkerhedsniveauet i staten samt analyse af enkelthændelser. Varsling om internet-relaterede sikkerhedshændelser, rådgivning om modforholdsregler og i særlige tilfælde bistand til myndigheder ved omfattende hændelser Kontaktpunkt for tilsvarende varslingstjenester i andre lande og løbende udveksling af information med disse. 5.1 GovCERT IDS Opgaverne vedrørende varsling og informationsindsamling forudsætter et opdateret og indgående kendskab til situationen på internettet. Dette kendskab tilegnes gennem monitorering af internettrafikken på pakkeniveau for virus- og hackerangreb. Til dette formål etablerer GovCERT et Intrusion Detection System (IDS), som skitseret nedenfor i Figur 1.

6 IDS tjenesten er et tilbud til myndigheder, som har indgået en skriftlig aftale med GovCERT om ydelsen. Side 6/25 Figur 1 GovCERT IDS netværk Etablering af GovCERT IDS gør det muligt løbende at monitorere internettrafikken mellem tilsluttede myndigheder og internettet, og derved danne sig et normalbillede af trafikken. Ved væsentlige ændringer i dette billede, som ikke kan begrundes med særlige aktiviteter hos myndigheden selv, kan GovCERT udføre tekniske analyser af internettrafikken, eksempelvis at spore hvorfra eventuel unormal trafik udgår og vurdere om hensigten formodes at være fjendtlig. GovCERT IDS består af dels af decentrale IDS enheder, der monitorerer internettrafikken for angrebsmønstre på internetforbindelsen hos tilsluttede myndigheder, og dels af centrale servere til analyser og datalagring. De decentrale IDS enheder er placeret udenfor myndighedernes ydre netværksperimeter og kan ikke opfange interne IP-adresser. Data behandles af GovCERT i to adskilte netværk: Et uklassificeret (UKL) og et klassificeret (KL) I UKL netværket vil IDS data forefindes temporært og benyttes til indledende analyser og monitorering. KL netværket er konfigureret til at kunne håndtere op til HEMMELIG information 1 og er godkendt af den nationale sikkerhedsmyndighed. Netværket har ikke forbindelse til internettet. Registrering af information i GovCERTs hændelsesre- 1 Se Statsministeriets sikkerhedscirkulære CIR nr. 204 af 07/12/2001.

7 gistreringssystem, dybdegående analyser og sammenkørsel af data foregår udelukkende på det klassificerede netværk. 5.2 Kvalificering af privatlivsimplikationsanalysen GovCERT IDS analyserer information for at varsle om angreb på infrastrukturen. Informationen består til dels af pakkedata fra decentrale IDS enheder. Der er som udgangspunkt ikke sat filtre på opsamling af data. Der er således mulighed for, at pakkedata indeholder personoplysninger. Ligeledes bearbejder GovCERT IDS personhenførbar data i form af IP-adresser. På basis heraf er det fundet nødvendigt at udføre en PIA på de processer og områder af GovCERT IDS systemet, hvor opsamling og behandling af data indeholdende personoplysninger kan forekomme. 5.3 Formål og anvendelse af privatlivsimplikationsanalysen PIA skal bidrage til varetagelsen af privatlivshensynet i GovCERT IDS. Analysen udføres tidligt i etableringsfasen, således at identificerede risici i forbindelse med privatlivshensyn kan minimeres. PIA vil gennem GovCERT IDS udviklingsforløb og ved større ændringer i opsætningen blive opdateret. Side 7/25 6 Personoplysninger i GovCERT IDS Privatlivsimplikationerne, der kan forekomme i GovCERT IDS, analyseres med udgangspunkt i informationens karakter, brugen af information, opbevaring, samtykke, samt adgang og sikkerhed. 6.1 Informationens karakter GovCERT bearbejder information, baseret på trafikken på den monitorerede internetlinje. Informationen kan opdeles i IDS alarmer, trafikdata og pakkedata. Disse er kort beskrevet i følgende tabel. Procestabel Beskrivelse af data med personoplysninger Indsamlet af. Formattype Formål Mulig indeholdte personoplysninger. Lagring IDS alarmer Centrale UKL servere. Beskrivelse af alarmer udløst på de decentrale IDS enheder inkl. den udløsende netværkspakke (pakkedata) og tilhørende trafikdata. Automatiseret alarmering ved angrebsmønstre på den monitorerede internetlinje. Følsomme og ikkefølsomme personoplysninger indeholdt i de enkelte pakker. Centrale UKL servere.

8 Trafikdata Decentrale IDS enheder og centrale KL servere. NetFlow v5 Monitorering til undersøgelser af hændelser. Personhenførbar information i form af IPadresser. Centrale KL servere. pakkedata Decentrale IDS enheder. Tabel 1 Procestabel Rå netværkspakker fra den monitorerede internetforbindelse. Til generering af alarmer ved angrebsmønstre og til analyser ved angreb. Følsomme og ikkefølsommepersonoplysninger. Decentrale IDS enheder. Centrale KL servere i forbindelse med sikkerhedshændelser. GovCERT IDS har ikke som funktion at opsamle personoplysninger, men som det fremgår af tabellen kan disse befinde sig i trafikstrømmen. Datatyperne er derfor uddybet i det følgende IDS alarmer Side 8/25 Alarmerne genereres af de decentrale IDS enheder ud fra bestemte trafikmønstre i trafikdata såvel som på mønstre i pakkedata. Mønstrene, der er baseret på kendt ondsindet internettrafik, bliver genkendt via IDS signaturer. Nedenstående er et eksempel på en IDS signatur: alert tcp any any -> $HOME_NET 443 (msg:"dos Attempt"; flow:to_server,established; content:" "; offset:0; depth:3; content:" 01 "; within:1; distance:2; byte_jump:1,37,relative,align; byte_test:2,>,255,0,relative; reference:cve; classtype:attempted-dos; sid: ; rev:5;) Forklaringen på signaturen er: Alert: type af IDS event tcp: protokoltype any: source IP any: source port ->: retning af trafik, her er mod $HOME_NET $HOME_NET: definition på hjemmenetværket 443: destination port msg: Navn på IDS event De resterende informationer i signaturen beskriver mønstret og den del af trafikstrømmen, der ligger til grund for en alarm. I eksemplet genererer de decentrale IDS enheder alarm med navn DoS Attempt, når en vilkårlig IP-adresse fra internettet fra en vilkårlig port tilgår hjemmenetværket på port 443 og samtidig indeholder og 01 specifikke steder i en netværkspakke.

9 Der benyttes udelukkende signaturer relevante for GovCERTs virke. Alarmerne bliver via en VPN tunnel overført fra de decentrale IDS enheder til centrale servere i GovCERT, hvor disse løbende bliver monitoreret. En alarm vil foruden dens navn og beskrivelse bestå af trafikdata, samt af den netværkspakke, der eventuelt ligger til grund for alarmen. Det pakkedata, der forårsager alarmerne, består således af enkelte datapakker til manuel verifikation og vil normalt være ude af kontekst i forhold til den samlede monitorerede datastrøm Trafikdata Trafikdata er baseret på Netflow v5 protokollen og vil, ud over tidsindikator, trafikmængde og specifikke sessionsinformationer af dataforbindelser, bestå af følgende informationer: Source IP address Source Port number Destination IP address Destination Port number Protocol Side 9/25 Trafikdata overføres løbende til de centrale servere i GovCERT med henblik på vurdering af sikkerhedstilstanden på den statslige del af internettet og muligheden for at kunne finde tidligere og uopdagede angreb. På de centrale UKL servere vil trafikdata kun findes i forbindelse med initial monitorering og indledende analyser. Informationerne anonymiseres ikke, da original data er nødvendig til vurderingen af sikkerhedsniveauet på den monitorerede del af internettet. Trafikdata, som ikke er relateret til en konkret sikkerhedshændelse, må maksimalt opbevares i 12 måneder. Hvis trafikdata er knyttet til en konkret sikkerhedshændelse forlænges fristen til maksimalt tre år Pakkedata Pakkedata gemmes på de decentrale IDS enheder og består af rå data fra den monitorerede eksterne internetlinje, dvs. netværkspakkerne. Som udgangspunkt vil pakkedata dog blive slettet efter seks dage. Der kan dog være behov for at opbevare pakkedata i mere end seks kalenderdage, hvis der er begrundet mistanke om en sikkerhedshændelse, dog maksimalt 14 dage. Den nødvendige mængde pakkedata, der er relateret til en konkret eller formodet sikkerhedshændelse, vil overføres til de centrale UKL servere i forbindelse med IDS alarmer, verifikation af IDS alarmer, herunder indledende analyser. Analyseret pakkedata, større mængder pakkedata i forbindelse med dybdegående analyser og registreret pakkedata relateret til alarmer i GovCERTs hændelsesregistrerings-

10 system, vil blive lagret på de centrale KL servere i op til tre år i de tilfælde, hvor data er relateret til en konkret sikkerhedshændelse. Figur 2 viser et eksempel på pakkedata vist i et trafikanalyseværktøj. Side 10/25 Figur 2 Eksempel på pakkedata fra decentral IDS enhed De øverste to vinduer viser trafikdata udledt af det rekvirerede pakkedata og det nederste vindue i analyseværktøjet viser indholdet af en specifik netværkspakke. I det her tilfælde er der tale om et netbios datagram broadcast fra IP-adressen Da der som udgangspunkt ikke er etableret filtre under indsamlingen af pakkedata, er det muligt, at personoplysninger kan forefindes her. Krypteret pakkedata indgår ikke i GovCERTs datagrundlag på ukrypteret form. Krypteret information kan eksempelvis være https trafik eller krypteret med en digital signatur Systemets kilder til information Kilden til information er tilsluttede myndigheders internetlinjer, hvor indsamling til systemet alene sker via decentrale IDS enheder Informations korrekthed GovCERT IDS systemet benyttes alene til monitorering og er ikke konfigureret til at modificere data. GovCERT bibeholder således eksakte kopier af de informationer, der er indsamlet på de monitorerede internetlinjer.

11 6.1.6 Implikationer for beskyttelsen af privatlivets fred GovCERT IDS har til formål at monitorere internetlinjen hos tilsluttede myndigheder for mønstre i internettrafikken, der indikerer angreb på den statslige del af internettet. Systemet genererer alarmer på baggrund af mønstre i trafikdata og pakkedata. Trafikdata, der benyttes i GovCERT IDS, indeholder personhenførbare data i form af IP-adresser. Alarmerne i GovCERT IDS genereres på de decentrale IDS enheder ud fra signaturer, der identificerer kendt ondsindet trafik såsom virus- eller hackerangreb. Alarmerne overføres til de centrale IDS systemer, herunder et antal netværkspakker der svarer til det pakkedata henholdsvis trafikdata, der ligger til grund for alarmen. Der er sandsynlighed for, at personoplysninger kan blive overført til de centrale servere i forbindelse med en alarm og dertilhørende analyse, f.eks. enkelte netværkspakker af en i forbindelse med en virus. I de tilfælde hvor pakkedata tilknyttet en alarm ikke er tilstrækkeligt til en analyse, kan GovCERT rekvirere yderligere pakkedata til de centrale servere. Der vil ligeledes her være mulighed for, at personoplysninger kan være til stede i pakkedata, der medtages i analysen. Side 11/25 Pakkedata vil løbende kunne forefindes på de decentrale IDS enheder. Der er således mulighed for, at der på ethvert tidspunkt kan befinde sig følsomme og ikkefølsomme personoplysninger på de decentrale IDS enheder. For at sikre disse data mest muligt er der fra GovCERT foran de decentrale IDS enheder installeret en firewall, der etablerer en VPN tunnel til GovCERTs centrale firewall. Adgang til informationerne i GovCERT IDS vil udelukkende blive givet Gov- CERT personale, der er instrueret i privatlivsproblematikker og GovCERTs politikker og retningslinjer. 6.2 Brug af information Data indsamlet og behandlet af GovCERT IDS benyttes til at genkende og analysere angreb på den statslige del af internettet og giver dermed mulighed for at danne et generelt trusselsbillede for staten.

12 Figur 3 - Datastrømsdiagram Side 12/25 Procesdiagrammet i Figur 3 illustrerer, hvordan datatyperne inklusive personoplysninger (PO) behandles i GovCERT IDS. Procesdiagrammet kan ligeledes findes i Appendiks A. I Tabel 2 er de forskellige stadier af databehandlingen listet. Behandling Monitorering Verifikation af alarm og indledende analyse. Uddybende analyse Datatyper i brug IDS alarmer, trafikdata IDS alarmer, pakkedata, trafikdata Pakkedata, trafikdata Beskrivelse IDS alarmer indsendt fra de decentrale IDS enheder vil blive monitoreret centralt. Trafikdata i realtid benyttes som indikator på angreb. Begrænset pakkedata i et fastlagt interval omkring alarmtidspunktet kan indhentes fra decentral IDS enheder for at verificere og analysere en alarm. Relevant information omkring et angreb hentes fra decentral IDS enhed med henblik på at fastslå omfanget og effekten af det verificerede an- Personoplysninger Under monitoreringen vil personhenførbar data i form af IP-adresser behandles. Ydermere kan der være personoplysninger til stede i de netværkspakker, der er indeholdt i alarmerne. Alarmerne og begrænset pakkedata kan indeholde følsomme og ikkefølsomme personoplysninger. Der tages under den indledende analyse stilling til om eventuelle personoplysninger kan fjernes. Alarmer og pakkedata kan indeholde følsomme og ikke-følsomme personoplysninger. Der tages under den uddybende analyse stilling til, om eventuelle personoplysninger kan fjernes.

13 Tabel 2 greb. oversigt over databehandling I det følgende vil de tre behandlingsniveauer blive gennemgået i detaljer Monitorering Alarmerne fra de decentrale IDS enheder og trafikdata bliver løbende monitoreret på UKL netværket. I forbindelse med alarmerne vil der medfølge de netværkspakker henholdsvis trafikdata, der har udløst alarmen og som IDS signaturen har reageret på. Herved kan det manuelt verificeres om alarmen er korrekt og relevant, eller om der er tale om en falsk positiv. Der etableres regelsæt til alarmering på mistænkelige og udsædvanlige trafikmønstre. GovCERT vil operere med et fælles sæt af grundsignaturer for alle myndigheder med mulighed for yderligere individuelle regelsæt for den enkelte servicerede myndighed etableret efter aftale med myndighedens kontaktperson. I tilfælde af en gyldig alarm vil data blive overført til KL netværket til viderebehandling og hændelsen vil blive dokumenteret i GovCERTs hændelsesregistreringssystem. Side 13/ Indledende analyse Under den indledende analyse, hvor pakkedata tilknyttet alarmen ikke er tilstrækkelig til at verificere alarmen, vil der blive rekvireret en mængde pakkedata baseret på et fastlagt interval omkring alarmtidspunktet. Intervallet til brug for den indledende analyse forventes at være på maksimalt fem minutter før og efter alarmtidspunktet. Behandling af pakkedata vil foregå på KL netværket og indhentning af data til den indledende analyse vil blive registreret i GovCERTs hændelsesregistreringssystem. Skulle GovCERTs personale blive bekendt med personoplysninger i det rekvirerede pakkedata under den indledende analyse vil disse blive forsøgt slettet eller omgået på anden måde Uddybende analyse Ved gyldige alarmer og angreb kan yderligere mængder pakkedata rekvireres fra de decentrale IDS enheder. Indhentning af pakkedata til en dybdegående analyse vil blive registeret i GovCERTs hændelsesregistreringssystem. Analyse af dette pakkedata vil udelukkende foregå på KL netværket. Skulle GovCERTs personale blive bekendt med personoplysninger i det rekvirerede pakkedata under den uddybende analyse vil disse blive forsøgt slettet eller omgået på anden måde Opdatering af information

14 GovCERTs IDS er udelukkende konfigureret til at opsamle data og ikke modificere data Indsamling af statistik Personhenførbar data i form af IP-adresser indgår til statistiske formål og sporing af anomalier i trafikstrømmen Deling og offentliggørelse Trafikdata kan videregives til andre danske og udenlandske CERT er, danske myndigheder og private tilsluttede virksomheder i forbindelse med analyser, respons og koordination i tilfælde af konkrete sikkerhedshændelser. Pakkedata vil kun kunne videregives til politiet, såfremt data knytter sig til en konkret sikkerhedshændelse. Formålet hermed er at sikre, at politiet kan modtage oplysninger til brug for efterforskning og forfølgelse af strafbare forhold, der kan være begået i forbindelse med en konkret sikkerhedshændelse, som f.eks. et virusangreb. Side 14/ Adgang, godtgørelse og korrektion Det er en del af GovCERTs myndighedsopgave at stille trusselbilleder og relevante data til rådighed for myndigheder, herunder varslingsdata. Dette inkluderer også de oplysninger, som ligger til grund for varslingen, herunder oplysninger om trafikdata Implikationer for beskyttelsen af privatlivets fred GovCERT IDS har til formål - ud fra signaturer - at alarmere ved mønstre i trafikken, der identificeres som kendt ondsindet trafik. For at kunne verificere og reagere på alarmer behandles data i GovCERT IDS på forskellige niveauer. Behandlingen af pakkedata kan medføre, at personoplysninger vil være indeholdt i datagrundlaget for analyser. Pakkedata af åbenlys privat karakter, som GovCERTs personale under verificering og behandling af alarmer og angreb eventuelt støder på, vil så vidt muligt blive udelukket fra arkivering på de centrale systemer og dermed undtages fra en videre behandling af hændelsen. Såfremt personoplysninger under analysen ikke kan fjernes, vil oplysningerne forblive på GovCERTs systemer. Der er kun adgang til informationer til udvalgt GovCERT personale. 6.3 Opbevaring af information

15 Trafikdata vil blive lagret på det centrale KL netværk til analyser og statistiske formål og vil temporært forefindes på UKL netværket i forbindelse med indledende analyser. De decentrale IDS enheder lagrer pakkedata fra den monitorerede linje. Pakkedata i relation til alarmer (enkelte netværkspakker) vil blive lagret på de centrale UKL servere. Pakkedata i relation til sikkerhedshændelser vil forefindes på de centrale KL servere Sletning Pakke- og trafikdata, der knytter sig til en konkret sikkerhedshændelse, kan maksimalt opbevares i tre år. Pakkedata, der ikke knytter sig til en konkret sikkerhedshændelse, kan maksimalt opbevares i 14 dage. Trafikdata, der ikke knytter sig til en konkret sikkerhedshændelse, kan maksimalt opbevares i 12 måneder. Side 15/ Implikationer for beskyttelsen af privatlivets fred Indholds- og trafikdata overført til de centrale servere, der knytter sig til konkrete sikkerhedshændelser vil blive gemt i tre år. Pakkedata kan indeholde personoplysninger. Trafikdata indeholdende personhenførbare oplysninger i form af IP-adresser vil blive lagret i 12 måneder på de centrale KL servere til analyse, statistik og historik i forbindelse med opdagelse af uregelmæssigheder i trafikken bagud i tiden. Da indeksering og lagring ikke foretages på baggrund af personoplysninger, vil der ikke være tale om systematisk sletning af de personoplysninger, der eventuelt måtte befinde sig på GovCERT IDS systemer, medmindre disse er blevet opdaget under analyser af GovCERTs personale og kunne fjernes. Sletningen af personoplysninger vil således generelt ske i takt med, at GovCERT IDS øvrige data, der måtte rumme personoplysninger, vil blive slettet. GovCERT IDS systemet benytter sig af enkeltstående databaser, der udelukkende benyttes og serviceres af GovCERT personale. Der er ikke tilgang eller samkøringsmulighed med eksterne databaser, såsom CPR registret eller teleoperatørernes databaser. 6.4 Samtykke

16 Der er krav om, at myndigheden, der har indgået en aftale med GovCERT, underretter de ansatte om monitoreringen af trafikken til og fra internettet Implikationer for beskyttelsen af privatlivets fred Det er et krav fra GovCERT, at medarbejderne i de myndigheder, der har indgået aftale med GovCERT om monitorering af internettrafik, er underrettet om markering af private s og generel kryptering af privat kommunikation. Personer udenfor myndighederne, der kommunikerer elektronisk med disse, vil ikke blive orienteret. I tilfælde af, at personer sender personoplysninger ukrypteret vil dette blive opsamlet af GovCERT IDS. 6.5 Teknisk adgang og sikkerhed Ud over sikkerhedsforanstaltningerne beskrevet i bekendtgørelse nr. 528 af 15. juni 2000 kapitel 1, 2 og 3, arbejder GovCERT med data klassificeret til HEM- MELIG. Sikringsforanstaltningerne i denne databehandling er godkendt af den nationale sikkerhedsmyndighed og underlagt inspektion. Side 16/25 Trafikken mellem de decentrale IDS enheder og GovCERTs netværk varetages via VPN tunneller oprettet mellem decentrale firewalls placeret hos de servicerede myndigheders internetlinje og den centrale GovCERT firewall. Firewall logs samles centralt og gennemgås løbende for tegn på angreb og adgangsforsøg. GovCERT IDS omfatter ligeledes GovCERTs eget netværk og vil blive monitoreret for angreb og generel ondsindet trafik. UKL og KL netværkene adskilles via en envejsenhed. Det er således ikke muligt at sende data fra KL netværket til UKL netværket. GovCERT etablerer dokumenterede standardprocedurer i overensstemmelse med ISO der skal sikre, at databehandlingen sker ensartet og systematisk, samt at egenkontroller overholdes. Et uafhængigt tilsyn, nedsat af Ministeren for Videnskab, Teknologi og Udvikling, vil følge GovCERTs virksomhed. GovCERTs sikkerhedsanalytikere er sikkerhedsgodkendte til niveau HEMME- LIGT, og der vil ikke blive givet adgang til data for andre end udvalgt personale i GovCERT Autentifikation og autorisation GovCERT er en del af og er dermed underlagt sikkerhedsprocedurer for ansættelse af personale i styrelsen, herunder retningslinjer vedrørende sikkerhedsorganisering og databeskyttelse angivet i DS484.

17 Alle GovCERTs systemer bliver overvåget i forbindelse med adgangsforsøg. GovCERT IDS omfatter GovCERTs eget netværk og vil blive monitoreret for angreb og forsøg på ulovlig adgang Leverandør adgang Der er ikke elektronisk adgang til GovCERT IDS til eksterne leverandører. I tilfælde af, at udstyr eller andet skal serviceres, vil dette ske på GovCERTs lokation under overvågning af GovCERT personale Brud I tilfælde af brud på sikkerheden i GovCERT IDS, er der procedurer i GovCERT til at afdække omfanget af bruddet og kommunikere dette til de berørte parter, samt notifikation af Datatilsynet Implikationer for beskyttelsen af privatlivets fred Sikkerheden i GovCERT sikres gennem opfyldelsen af sikkerhedsforanstaltningerne beskrevet i bekendtgørelse nr. 528 af 15. juni 2000 kapitel 1, 2 og 3, opfyldelse af retningslinjerne i ISO 27001, persondataloven og opfyldelsen af kravene til at kunne behandle data med klassifikationen HEMMELIGT. Side 17/25 Tildeling af adgang til systemerne i GovCERT IDS bliver etableret via procedurer og er baseret på et need-to-know grundlag. GovCERTs personale er trænet i de for GovCERTs etablerede retningslinjer og politikker vedrørende behandling af personhenførbar data og er gennem uddannelse sikret den nødvendige viden omkring problemstillingerne vedrørende privatliv. Lagring af personoplysninger i GovCERT IDS er utilsigtet i forhold til funktionen om monitoreringen af den statslige del af internettet og angreb på denne.

18 7 Implikationer for beskyttelsen af privatlivets fred På basis af foregående analyse af IDS-tjenestens omfang og implikationer i relation til privatlivets fred, estimeres de samlede risici ved systemet, herunder sandsynligheds- og konsekvensvurdering for de enkelte risici. 7.1 Metode for risikovurdering Denne risikovurdering er en kvalitativ risikoanalyse, der kategoriserer risikoen for en given hændelse med udgangspunkt i følgende aspekter: Sandsynligheden for, at hændelser på et identificeret risikoområde for beskyttelsen af privatlivets fred indtræffer Konsekvensen af, at en hændelse optræder Motivationen for at forårsage hændelsen. Motivation er typisk personligt eller økonomisk drevet. For økonomisk vinding vil der typisk være en større gruppe af individer, der har motivation til at udføre hændelsen Konsekvensbeskrivelse i henhold til Vejledning om risikovurdering på en firetrins skala 2 : Side 18/25 Konsekvens (betegnelse) Beskrivelse K1: Ubetydelig Ingen særlig påvirkning. K2: Mindre alvorlig Der er formelle mangler i oplysninger til og om den enkelte, men ikke i graverende grad. K3: Meget alvorlig (kritisk) Den enkelte fratages råderet og valgmulighed med hensyn til egne data. Ikkefølsomme data videregives uretmæssigt. K4: Graverende / uacceptabel Den enkelte udsættes for uacceptable (ødelæggende) krænkelser af privatlivet. Der træffes bebyrdende afgørelser mod den enkelte på et forkert grundlag. Følsomme data videregives uretmæssigt. Sandsynlighed betegner muligheden på en 5-punkts skala for, at der indtræffer en hændelse, der krænker beskyttelsen af privatlivet på et identificeret risikoområde. Sandsynlighed (betegnelse) Beskrivelse S1: Ingen Sikkerhedsværn og privatlivsbeskyttelse er etableret og fungerer efter hensigten. Tiltag kan kun omgås af egne medarbejde med gode ressourcer og fuldt kendskab. Eksternt personel kan ikke omgås foranstaltninger. S2: Lav Sikkerhedsværn og privatlivsbeskyttelse 2 Vejledning om risikovurdering for offentlige institutioner,, oktober 2007.

19 er etableret og fungerer efter hensigten. Tiltag kan brydes af egne medarbejdere med normale ressourcer og kendskab. Eksterne personer kan med gode ressourcer og kendskab omgå foranstaltninger. S3: Middel Sikkerhedstiltag og privatlivsbeskyttelse er ikke fuldt etableret eller fungerer ikke efter hensigten. Egne medarbejdere kan omgå tiltag med små ressourcer, eksternt personel kan omgå tiltag med kendskab til rutiner og små ressourcer. S4: Høj Sikkerhedstiltag og privatlivsbeskyttelse er ikke systematisk etableret og kan omgås af egne medarbejdere og eksterne personer må få eller ingen ressourcer. S5: Sikker Der er ikke truffet forebyggende foranstaltninger af nogen art. Side 19/25 Motivation er en medvirkende faktor i vurderingen af det samlede risikoniveau for mulige hændelser indenfor et givent område. Motivation, eller incitamentsfaktoren, kvalificeres ud fra følgende 5-punkts skala for, om hændelsen kan ske på baggrund af overlæg, forsæt eller uagtsomhed, samt de krævede ressourcer i forbindelse hermed. Motivation (betegnelse) Beskrivelse M1: Meget høj Hændelse til krænkelse af privatlivets fred kan ske på basis af overlæg med store ressourcer og kræver således høj motivation for udførelse. M2: Høj Hændelse til krænkelse af privatlivets fred kan ske på basis af forsæt med store ressourcer for interne medarbejdere, men kræver høj kompetence og overlæg for eksterne personer. M3: Middel Hændelse til krænkelse af privatlivets fred kan ske på basis af forsæt med små ressourcer for interne medarbejdere, men kræver dog høj kompetence og forsæt for eksterne personer. M4: Lav Hændelse til krænkelse af privatlivets fred kan ske på basis af uagtsomhed for interne medarbejdere, men kræver dog nogen kompetence og forsæt for eksterne personer. M5: Ingen Hændelse til krænkelse af privatlivets fred kan ske på basis af uagtsomhed, og kræver ingen speciel motivation eller ressourcer til udførelse.

20 Konsekvens, sandsynlighed og motivation danner de samlede risiko for, at en given hændelse indenfor et identificeret risikoområde forekommer. Risikoen kategoriseres efter en skala i fem trin: Risiko (betegnelse) Beskrivelse R1: Ingen Et højt niveau af beskyttelse af privatlivets fred, som væsentlig overvurderer informationens vigtighed. R2: Lav Et stærkt niveau af beskyttelse af privatlivets fred, som vurderer informationens vigtighed højt. R3: Middel Et passende niveau af beskyttelse af privatlivets fred, som afspejler informationens vigtighed. R4: Høj Et ringe niveau af beskyttelse af privatlivets fred, som vurderer informationens vigtighed lavt. R5: Meget høj Et kritisabelt lavt niveau af beskyttelse af privatlivets fred, som væsentligt undervurderer informationens vigtighed. Side 20/25 Det påpeges, at en risikovurdering er et øjebliksbillede. Det er en del af anbefalingerne til udførelse af en PIA, at vurderingen opdateres og vedligeholdes løbende. Dette ansvar påhviler GovCERT. 7.2 Risikovurdering I det følgende beskrives de identificerede risikoområder.

21 7.2.1 Brug af pakkedata Pakkedata kan indeholde følsomme personoplysninger som f.eks. sundheds- eller økonomioplysninger. Disse oplysninger kan eksempelvis stamme fra en ukrypteret mail fra en borger som utilsigtet lagres som en del af GovCERT IDS pakkedata. Uberettiget adgang til sådanne oplysninger ved brud på GovCERTs perimeter kan krænke den kommunikerende parts privatliv. Lagringen af pakkedata er en kritisk del af GovCERT IDS. Den midlertidige lagring af pakkedata muliggør valideringer og uddybende analyser af udløste alarmer. Alarmer vil derfor være uden værdi, hvis alarmerne ikke indeholder pakkedata, da deres korrekthed og eventuelle implikationer ikke kan bekræftes. Opsamlet pakkedata lagres på decentrale IDS enheder, der fysisk befinder sig hos de myndigheder, der er tilknyttet GovCERT IDS. Personoplysninger kan kun lagres i denne sammenhæng, såfremt oplysningerne er sendt ukrypteret over internettet. Personoplysningerne vil derfor allerede være tilgængelige for uberettiget adgang fra ondsindede personer med adgang til et netværk som pakkedata gennemrejser. Side 21/25 Pakkedata, der ikke udløser en alarm, vil blive opbevaret på de decentrale IDS enheder i maksimalt 14 dage dog som udgangspunkt kun i seks dage -, hvorefter alle data slettes permanent. Hvis pakkedata udløser en alarm, vil det indgå i en indledende analyse for at bestemme, om alarmen er gyldig. Vurderes alarmen som gyldig, vil yderligere pakkedata blive analyseret. Støder GovCERTs personale på personoplysninger under analysen, forsøges disse fjernet og permanent slettet forud for videre analyse og registrering af data. Pakkedata som er knyttet til en bekræftet sikkerhedshændelse kan opbevares i op til tre år. Både indledende og uddybende analyser forestås af personale i GovCERT, der benytter sig af faste procedurer for hvordan personoplysninger skal frasorteres. Pakkedata indsamlet af GovCERT IDS vil under hele levetiden i systemet være beskyttet under iagttagelse af sikkerhedsbekendtgørelsen og procedurer i ISO til sikring af oplysninger. GovCERT er derudover underlagt tilsyn af Rigsrevisionen, Datatilsynet, samt et uafhængigt tilsyn. Konsekvens: Da uberettiget adgang til pakkedata lagret af GovCERT kan medføre at evt. følsomme personoplysninger bliver tilgængelige for andre, vurderes konsekvensen af sådan en hændelse at være alvorlig. K3 Sandsynlighed: Brud på adgangskontrollerne til pakkedataet vil være mulig for GovCERT medarbejdere med fuldt kendskab, men vil kræve både kendskab og mange ressourcer for eksterne personer at gennemføre. S2 Motivation: Der kræves en høj grad af forsæt og nødvendige kompetencer for at forårsage en hændelse, der krænker privatlivet ved at skaffe sig uberettiget adgang til eventuelle personoplysninger i lagret pakkedata. M2

22 Risiko: De personoplysninger der kan eksistere i GovCERT IDS indgår i data som vurderes at have høj følsomhed og som bliver sikret derefter. R Brug af trafikdata Trafikdata indeholder personhenførbar data i form af IP-adresser. IP-adresser kan i yderste konsekvens benyttes til at spore en persons adfærd på den statslige del af internettet. Lagring af trafikdata i en længere periode giver GovCERT mulighed for sporing af anomalier i trafikstrømmen og korrelation af historisk data. Den samlede analyse af statens trafikdata sætter GovCERT IDS i stand til at levere overbliksbilleder over konkrete trusler på tværs af tilsluttede myndigheder, hvilket er et væsentligt element i de samlede analyser af alarmer. Truslen i relation til beskyttelse af privatlivet består i mulig overvågning og profilering ved, at det eksempelvis med en målrettet søgning vil kunne udledes, hvis en person har besøgt en myndigheds hjemmeside og derefter afsendt en række mails til en anden myndighed. Hvilket indhold brugeren har set på hjemmesiden og indholdet af de afsendte mails vil ikke kunne udledes af trafikdata. Ligeledes vil personens færden andetsteds på internettet heller ikke fremgå, da det kun er trafik, der passerer forbi de decentrale IDS enheder, der indgår i trafikdata. Det er ikke muligt ud fra trafikdata lagret i GovCERT IDS, direkte at udlede personen tilknyttet en IP-adresse. Knytningen af en IP-adresse til personen kræver således kendskab til yderligere data, såsom data fra teleoperatører. Side 22/25 Trafikdata, der lagres af GovCERT IDS, genereres på de decentrale IDS enheder og overføres til KL netværket. Her opbevares trafikdata i 12 måneder, hvorefter data slettes permanent. I denne periode vil informationen kun kunne tilgås af GovCERT personale, og vil kun blive benyttet med henblik på analyser af alarmer, dannelse af overordnede situationsrapporter og risikovurderinger. Hvis trafikdata er relateret til en bekræftet sikkerhedshændelse kan data dog gemmes i op til tre år. Konsekvens: Da uberettiget adgang til trafikdata lagret af GovCERT kun kan medføre, at personoplysninger af begrænset følsomhed bliver tilgængelige for andre, vurderes konsekvensen af sådan en hændelse at være mindre alvorlig. K2 Sandsynlighed: Brud på adgangskontrollerne til trafikdata vil være mulig for GovCERT medarbejdere med fuldt kendskab, men vil kræve både kendskab og mange ressourcer for eksterne personer at gennemføre. S2 Motivation: Der kræves en høj grad af forsæt og nødvendige kompetencer for at forårsage en hændelse der krænker privatlivet ved at skaffe sig uberettiget adgang til eventuelle personoplysninger i lagret trafikdata. M2 Risiko: De personoplysninger der kan eksistere i GovCERT IDS indgår i data som vurderes at have høj følsomhed og som bliver sikret derefter. R2

23 7.3 Sammenfatning af implikationer for beskyttelsen af privatlivets fred GovCERT IDS er en kritisk komponent i GovCERTs samlede strategi for varslingsvirksomhed. GovCERT IDS skal bidrage til overblik over trusler og sårbarheder i produkter, tjenester, net og systemer i staten, samt løbende medvirke til vurdering af it-sikkerheden og varsling af statslige myndigheder om itsikkerhedsmæssige hændelser og trusler på internettet. Funktionaliteten i GovCERT IDS er baseret på analyse af indsamlet internettrafik. Denne trafik kan utilsigtet indeholde personoplysninger, hvorfor beskyttelse af privatlivet er en komponent af projektet allerede i denne indledende fase. Samlet vurderes GovCERT IDS at udgøre en LAV RISIKO for kompromittering af privatlivets fred. Dette skyldes, at GovCERT IDS ikke har til formål at opsamle, anvende eller lagre personhenførbar information. Tillige er sikkerhedskrav og foranstaltninger i og omkring GovCERT systemerne meget vidtrækkende, hvilket yderligere medvirker til at nedbringe risikoen for brud på sikkerheden og adgang til personfølsomme data. Side 23/25 To risikoområder er identificeret i denne PIA: Brug af pakkedata og brug af trafikdata. For begge områder gælder, at processer til at undgå utilsigtet indsamling og anvendelse af personoplysninger er etableret, og ligeledes er tiltag taget til systematisk eliminering af personoplysninger ved indledende analyser i Gov- CERT regi. Endelig vurderes risikoen ved brug af GovCERTs systemer som minimal grundet GovCERTs generelle sikkerhedsforanstaltninger. Risikoniveau udgørende en lav risiko vurderes passende til formålet med oprettelse af GovCERT IDS. I et fremadrettet perspektiv kan dog iværksættes yderligere tiltag til uddannelse og oplysning af medarbejdere og berørt personel hos tilsluttede myndigheder, således at filtrering af personoplysninger kan forfines yderligere. Endelig vil GovCERT inddrage beskyttelse af privatlivets fred, ved blandt andet at holde denne PIA løbende opdateret som GovCERT udvikles, samt ved at inddrage beskyttelsen af personoplysninger som et aspekt af årlige gennemgang af interne procedurer.

24 8 Appendiks A Side 24/25 Figur 4 - Datastrømsdiagram

Risikoanalyse af implikationer for privatlivets fred

Risikoanalyse af implikationer for privatlivets fred Risikoanalyse af implikationer for privatlivets fred Appendiks 5 Håndbog i: Privatlivsimplikationsanalyse IT og Telestyrelsen INDHOLDSFORTEGNELSE Risikovurdering af implikationer for privatlivets fred...

Læs mere

Ofte stillede spørgsmål om GovCERT s serviceydelser og sensornetværk

Ofte stillede spørgsmål om GovCERT s serviceydelser og sensornetværk 9. april 2013 Dokumentnr.: CKG Ofte stillede spørgsmål om GovCERT s serviceydelser og sensornetværk Indhold: 1. Organisation...2 2. Serviceydelser...3 3. Teknik...6 4. Gældende regler...9 1/9 1. Organisation

Læs mere

NOTAT. definitionen af sikkerhedshændelse i lovforslaget om Center for Cybersikkerhed (L 192)

NOTAT. definitionen af sikkerhedshændelse i lovforslaget om Center for Cybersikkerhed (L 192) Forsvarsudvalget 2013-14 L 192 Bilag 6 Offentligt NOTAT 30. maj 2014 om definitionen af sikkerhedshændelse i lovforslaget om Center for Cybersikkerhed (L 192) 1. Begrebet sikkerhedshændelse er et centralt

Læs mere

HØRING OVER UDKAST TIL FORSLAG TIL LOV OM CENTER FOR CYBERSIKKERHED SAMT EVALUERING AF GOVCERT-LOVEN

HØRING OVER UDKAST TIL FORSLAG TIL LOV OM CENTER FOR CYBERSIKKERHED SAMT EVALUERING AF GOVCERT-LOVEN Forsvarsministeriet fmn@fmn.dk pah@fmn.dk hvs@govcert.dk WILDERS PLADS 8K 1403 KØBENHAVN K TELEFON 3269 8888 DIREKTE 3269 8805 RFJ@HUMANRIGHTS.DK MENNESKERET.DK J. NR. 540.10/30403/RFJ/MAF HØRING OVER

Læs mere

Forslag. Lov om den statslige varslingstjeneste for internettruslers behandling af personoplysninger

Forslag. Lov om den statslige varslingstjeneste for internettruslers behandling af personoplysninger Forslag til Lov om den statslige varslingstjeneste for internettruslers behandling af personoplysninger 1. Loven regulerer den under Ministeriet for Videnskab, Teknologi og Udvikling etablerede statslige

Læs mere

Forslag. Lov om behandling af personoplysninger ved driften af den statslige varslingstjeneste. Lovforslag nr. L 197 Folketinget 2010-11

Forslag. Lov om behandling af personoplysninger ved driften af den statslige varslingstjeneste. Lovforslag nr. L 197 Folketinget 2010-11 Lovforslag nr. L 197 Folketinget 2010-11 Fremsat den 27. april 2011 af videnskabsministeren (Charlotte Sahl-Madsen) Forslag til Lov om behandling af personoplysninger ved driften af den statslige varslingstjeneste

Læs mere

Guide til sikker it. Daglig brug Programmer E-mail Internet Databehandling

Guide til sikker it. Daglig brug Programmer E-mail Internet Databehandling Guide til sikker it Daglig brug Programmer E-mail Internet Databehandling Hvilke retningslinjer skal du følge som it-bruger i Hillerød Kommune? Indhold Daglig brug af din computer 4 Computere, programmer

Læs mere

Sikkerhed i trådløse netværk

Sikkerhed i trådløse netværk Beskyt dit trådløse netværk IT- og Telestyrelsen Holsteinsgade 63 2100 Kbh. Ø Telefon 3545 0000 Telefax 3545 0010 E-post: itst@itst.dk www.itst.dk Rådet for it-sikkerhed www.raadetforitsikkerhed.dk Der

Læs mere

DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet

DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet Sammenfatning Denne vejledning adresserer risikoen for industrispionage fra statssponserede aktører i udlandet mod

Læs mere

GovCERT og DK CERT. Forskningsnettet 17. november 2010

GovCERT og DK CERT. Forskningsnettet 17. november 2010 GovCERT og DK CERT Forskningsnettet 17. november 2010 Hvad er GovCERT? GovCERT står for Government Computer Emergency Response Team, og er en statslig internet varslingstjeneste plaseret i IT- og Telestyrelsen

Læs mere

Databehandleraftale. Der er indgået denne Databehandlingsaftale ("Aftale") mellem

Databehandleraftale. Der er indgået denne Databehandlingsaftale (Aftale) mellem Oktober 2014 Sagsnr. 013928-0190 cen/dla Databehandleraftale Der er indgået denne Databehandlingsaftale ("Aftale") mellem Fredericia Kommune Gothersgade 20 7000 Frdericia CVR-nr.: 69116418 ("Kommunen")

Læs mere

Center for Cybersikkerheds beretning 2014. Center for Cybersikkerheds beretning 2014

Center for Cybersikkerheds beretning 2014. Center for Cybersikkerheds beretning 2014 Center for Cybersikkerheds beretning 2014 1 Center for Cybersikkerheds beretning 2014 2 Center for Cybersikkerheds beretning 2014 Center for Cybersikkerhed Kastellet 30 2100 København Ø Tlf.: 3332 5580

Læs mere

Overvågningen og beskyttelsen af den amerikanske ambassade

Overvågningen og beskyttelsen af den amerikanske ambassade Dato: 16. november 2010 Overvågningen og beskyttelsen af den amerikanske ambassade 1. Indledning I den seneste tid har der været omtale i medierne af, at amerikanske repræsentationer foretager overvågning

Læs mere

SIKRING AF BORGERNES PERSONOPLYSNINGER ENDELIG RAPPORT

SIKRING AF BORGERNES PERSONOPLYSNINGER ENDELIG RAPPORT SIKRING AF BORGERNES PERSONOPLYSNINGER ENDELIG RAPPORT BORGERRÅDGIVERENS EGEN DRIFT-UNDERSØGELSER INDHOLDSFORTEGNELSE 1. INDLEDNING 3 2. KONKLUSION OG SAMMENFATNING 4 3. KONSEKVENSER 6 4. FORSLAG, HENSTILLINGER

Læs mere

It-sikkerhedstekst ST4

It-sikkerhedstekst ST4 It-sikkerhedstekst ST4 Datatransmission af personoplysninger på åbne net Denne tekst må kopieres i sin helhed med kildeangivelse. Dokumentnavn: ST4 Version 1 Oktober 2014 Datatransmission af personoplysninger

Læs mere

Instrukser for brug af it

Instrukser for brug af it it sikkerhed Instrukser for brug af it Må Skal ikke Kan Januar 2010 Version 1.0 Indhold Forord................................................... 3 Resumé.................................................

Læs mere

lov nr. 429 af 31/05/2000 med senere ændringer om behandling af personoplysninger (Persondataloven).

lov nr. 429 af 31/05/2000 med senere ændringer om behandling af personoplysninger (Persondataloven). Bilag 6 Databehandleraftale og databehandlerinstruks 1. Leverandøren overholder de til enhver tid gældende regler og forskrifter for behandling af personoplysninger under Kontrakten, herunder: lov nr.

Læs mere

IT driftsaftale Bilag 7: IT-sikkerhedsbestemmelser

IT driftsaftale Bilag 7: IT-sikkerhedsbestemmelser IT driftsaftale Bilag 7: IT-sikkerhedsbestemmelser INDHOLDSFORTEGNELSE 1. Baggrund og formål... 2 2. Ansvarsfordeling... 2 2.1 Jobcenterchefens ansvar... 2 2.2 Gensidig informationspligt... 3 3. Krav til

Læs mere

Henkel Norden AB ("Henkel") er en del af Henkel Corporation, og i henhold til DPA, er Jörg Heine, den dataansvarlige: schwarzkopf.dk@henkel.

Henkel Norden AB (Henkel) er en del af Henkel Corporation, og i henhold til DPA, er Jörg Heine, den dataansvarlige: schwarzkopf.dk@henkel. HENKEL FORTROLIGHEDSPOLITIK Vi, hos Henkel, tager vores forpligtelser i henhold til dansk lov om databeskyttelse (persondataloven) alvorligt og er forpligtet til at beskytte dit privatliv. Denne fortrolighedserklæring

Læs mere

1 Hvad skal man gøre, når man er blevet hacket - eller har mistanke om, at man er hacket?

1 Hvad skal man gøre, når man er blevet hacket - eller har mistanke om, at man er hacket? 1 Hvad skal man gøre, når man er blevet hacket - eller har mistanke om, at man er hacket? En forudsætning i denne situation er, at der eksisterer kapacitet til at erkende og dokumentere, hvorvidt man er

Læs mere

Borgernes rettigheder ved anvendelse af video

Borgernes rettigheder ved anvendelse af video Borgernes rettigheder ved anvendelse af video I løbet af de seneste år er anvendelsen af video og tv blevet stadig mere udbredt på de danske veje. Video og tv anvendes i en række sammenhænge: Trafikinformation

Læs mere

POLITIK FOR DATABESKYTTELSE

POLITIK FOR DATABESKYTTELSE POLITIK FOR DATABESKYTTELSE Disse retningslinjer for databeskyttelse beskriver, hvordan vi bruger og beskytter oplysninger, som du afgiver i forbindelse med brug af vores hjemmeside. Vi har forpligtet

Læs mere

Retspolitisk Forenings kommentar til udkast til beretning nr. 3 fra Folketingets Retsudvalg og Kulturudvalg.

Retspolitisk Forenings kommentar til udkast til beretning nr. 3 fra Folketingets Retsudvalg og Kulturudvalg. R E T S P O L I T I S K F O R E N I N G Retspolitisk Forenings kommentar til udkast til beretning nr. 3 fra Folketingets Retsudvalg og Kulturudvalg. Indledende bemærkninger og problemstilling. Retspolitisk

Læs mere

Datatilsynets udtalelse af 15. oktober 2009 vedhæftes.

Datatilsynets udtalelse af 15. oktober 2009 vedhæftes. Region Syddanmark Damhaven 12 7100 Vejle Sendt til kontakt@regionsyddanmark.dk 4. februar 2013 Vedrørende sikkerhedsbrist i Region Syddanmark Datatilsynet Borgergade 28, 5. 1300 København K CVR-nr. 11-88-37-29

Læs mere

Retningslinier. for. Video-overvågning i Faxe Kommune

Retningslinier. for. Video-overvågning i Faxe Kommune Retningslinier for Video-overvågning i Faxe Kommune Formål Formålet med i Faxe Kommune er at beskytte kommunens ejendomme og værdier mod kriminelle handlinger samt tilføre tryghed for ansatte i kommunen

Læs mere

Kære medarbejder og leder

Kære medarbejder og leder Kære medarbejder og leder Adgang til informationer i it-systemer og elektronisk kommunikation er for de fleste medarbejdere i Region Hovedstaden en selvfølgelig del af arbejdsdagen. Hvis vi ikke har adgang

Læs mere

It-sikkerhedstekst ST2

It-sikkerhedstekst ST2 It-sikkerhedstekst ST2 Overvejelser om sikring mod, at personoplysninger kommer til uvedkommendes kendskab i forbindelse med Denne tekst må kopieres i sin helhed med kildeangivelse. Dokumentnavn: ST2 Version

Læs mere

Årlig redegørelse fra tilsynsudvalget vedrørende politiets og forsvarets efterretningstjenesters behandling af personoplysninger (Wamberg-udvalget)

Årlig redegørelse fra tilsynsudvalget vedrørende politiets og forsvarets efterretningstjenesters behandling af personoplysninger (Wamberg-udvalget) Oluf Engell Årlig redegørelse fra tilsynsudvalget vedrørende politiets og forsvarets efterretningstjenesters behandling af personoplysninger (Wamberg-udvalget) Partner Tlf 33 34 50 00 oe@bruunhjejle.dk

Læs mere

Risikostyring ifølge ISO27005 v. Klaus Kongsted

Risikostyring ifølge ISO27005 v. Klaus Kongsted Risikostyring ifølge ISO27005 v. Klaus Kongsted Agenda Dubex A/S Formålet med risikovurderinger Komponenterne Risikovurderinger Dubex A/S fakta og værdier Den førende sikkerhedspartner De bedste specialister

Læs mere

Informationssikkerhed Version 2.0 29.09.10

Informationssikkerhed Version 2.0 29.09.10 Informationssikkerhed Version 2.0 29.09.10 Retningslinjer for retablering af systemer og data (Ændringer i forhold til tidligere version er markeret med Understregning) Disse retningslinjer beskriver de

Læs mere

Forår 2012 - Firewalls

Forår 2012 - Firewalls Syddansk Universitet DM830 - Netværkssikkerhed Imada - Institut for matematik og datalogi Forår 2012 - Firewalls Forfatter: Daniel Fentz Johansen Alexei Mihalchuk Underviser: Prof. Joan Boyar Indhold 1

Læs mere

Sikkerhedsanbefaling. It-sikkerhed på rejsen

Sikkerhedsanbefaling. It-sikkerhed på rejsen Sikkerhedsanbefaling It-sikkerhed på rejsen Juni 2015 2 It-sikkerhed på rejsen En sikkerhedsanbefaling fra Center for Cybersikkerhed 3 4 Om sikkerhedsanbefalingen Denne sikkerhedsanbefaling fra Center

Læs mere

Sikkerhedsanbefaling. It-sikkerhed på rejsen

Sikkerhedsanbefaling. It-sikkerhed på rejsen Sikkerhedsanbefaling It-sikkerhed på rejsen Juni 2015 It-sikkerhed på rejsen En sikkerhedsanbefaling fra Center for Cybersikkerhed 2 Om sikkerhedsanbefalingen Denne sikkerhedsanbefaling fra Center for

Læs mere

Faxe Kommune. informationssikkerhedspolitik

Faxe Kommune. informationssikkerhedspolitik Faxe Kommune informationssikkerhedspolitik 10-10-2013 1 Overordnet informationssikkerhedspolitik Dette dokument beskriver Faxe Kommunes overordnede informationssikkerhedspolitik og skaber, sammen med en

Læs mere

Guide til awareness om informationssikkerhed. Marts 2013

Guide til awareness om informationssikkerhed. Marts 2013 Guide til awareness om informationssikkerhed Marts 2013 Udgivet marts 2013 Udgivet af Digitaliseringsstyrelsen Publikationen er kun udgivet elektronisk Henvendelse om publikationen kan i øvrigt ske til:

Læs mere

DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II)

DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II) DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II) 1 Udgivet af: DI ITEK Redaktion: Henning Mortensen ISBN: 978-87-7353-951-4 0.05.12

Læs mere

Har du spørgsmål til vilkårene for brugen af Berlingske Business Premium så kontakt Michael Friislund på micfr@berlingske.dk eller 22533351.

Har du spørgsmål til vilkårene for brugen af Berlingske Business Premium så kontakt Michael Friislund på micfr@berlingske.dk eller 22533351. ABONNEMENTS- OG MEDLEMSKABSBETINGELSER for Berlingske Business Premium For IP-adgang til biblioteker, uddannelsesinstitutioner og højere læreanstalter, 21-08-2013 (Version 1.2) Biblioteker på uddannelsesinstitutioner

Læs mere

PERSONALE RETNINGSLINJER FOR VIDEOOVERVÅGNING

PERSONALE RETNINGSLINJER FOR VIDEOOVERVÅGNING Risikostyring - tag vare på dit, mit og vores - og på dig selv og os PERSONALE RETNINGSLINJER FOR VIDEOOVERVÅGNING 1 Definition Ved videoovervågning forstås vedvarende eller periodisk gentagen overvågning

Læs mere

Forskrift G - Diskretionspolitik og procedurer omkring datasikkerhed

Forskrift G - Diskretionspolitik og procedurer omkring datasikkerhed Forskrift G - Diskretionspolitik og procedurer omkring datasikkerhed December 2007 Rev. 1 Nov. 2006 Nov. 2006 Jan. 2007 Jan. 2007 DATE LEG BCM/MRP LEG LSO NAME Nov. 2006 DATE HEP/LEG NAME REV. DESCRIPTION

Læs mere

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015 It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015 Hvem er vi? It-revisor Claus. B. Jensen, CISA, CIA Lang erfaring med it-revision i bl.a. pengeinstitutter og forsvaret Ansat

Læs mere

RETNINGSLINJER FOR TV-OVERVÅGNING I BOLIGFORENINGEN VIBO

RETNINGSLINJER FOR TV-OVERVÅGNING I BOLIGFORENINGEN VIBO RETNINGSLINJER FOR TV-OVERVÅGNING I BOLIGFORENINGEN VIBO Definition Ved tv-overvågning forstås vedvarende eller periodisk gentagen overvågning af både udendørs- og indendørs arealer ved hjælp af automatisk

Læs mere

Datatilsynet har besluttet at undersøge sagen af egen drift.

Datatilsynet har besluttet at undersøge sagen af egen drift. KL Weidekampsgade 10 2300 København S Sendt pr. brev samt på mail til MIH@kl.dk 15. april 2011 Vedrørende sikkerhedsbrist som følge af KL s overførsel af køreprøvebooking system til en cloud-løsning Datatilsynet

Læs mere

Risikovurdering Gartneriet PKM

Risikovurdering Gartneriet PKM DM091 - Gruppe 1 Risikovurdering Gartneriet PKM Udarbejdet af: Andreas Harder, Morten Knudsen Lars Vendelbo & Kresten Østerby Indledning Gartneriet PKM producerer på årlig basis ca. 20 millioner planter,

Læs mere

Hvad du søgte efter Identiteten på det websted, du besøgte umiddelbart før vores websted (henvisende websted).

Hvad du søgte efter Identiteten på det websted, du besøgte umiddelbart før vores websted (henvisende websted). Brugervilkår og andre gode ting, som du bør vide for at være sikker online. Sikkerhed er alles ansvar En del af IKEA ånden er "jeg gør min del, du gør din del, og sammen gør vi en masse." Dette gælder

Læs mere

Strategi for politiets indsats over for æresrelaterede forbrydelser

Strategi for politiets indsats over for æresrelaterede forbrydelser 22. januar 2007 POLITIAFDELINGEN Polititorvet 14 1780 København V Telefon: 3314 8888 Telefax: 3343 0006 E-mail: Web: rpcha@politi.dk www.politi.dk Strategi for politiets indsats over for æresrelaterede

Læs mere

Vejledning i it-risikostyring og -vurdering. Februar 2015

Vejledning i it-risikostyring og -vurdering. Februar 2015 Vejledning i it-risikostyring og -vurdering Februar 2015 Udgivet februar 2015 Udgivet af Digitaliseringsstyrelsen Publikationen er kun udgivet elektronisk Henvendelse om publikationen kan i øvrigt ske

Læs mere

Forsikring & Pension Philip Heymans Allé 1 2900 Hellerup

Forsikring & Pension Philip Heymans Allé 1 2900 Hellerup Forsikring & Pension Philip Heymans Allé 1 2900 Hellerup 14. maj 2012 Orientering om nye regler om private dataansvarliges anmeldelsespligt Datatilsynet Borgergade 28, 5. 1300 København K CVR-nr. 11-88-37-29

Læs mere

Kontorchef Cecile Christensen, Center for sikkerhed og systemforvaltning. 5. november 2014 1

Kontorchef Cecile Christensen, Center for sikkerhed og systemforvaltning. 5. november 2014 1 Tilgængelighed, fortrolighed og integritet. Høj kvalitet i informationssikkerhed og dokumentation Hvilken betydning har principper og anbefalinger i sikkerhedsstandarden ISO 27001 for kvaliteten af dokumentationen?

Læs mere

Forslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed

Forslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed Forslag til Vordingborg Kommunes Overordnede bestemmelser om IT- informationssikkerhed Rev. 12. januar 2015 Hvad der er markeret med rød skrift er tilføjelser til den vedtagne politik af 24. februar 2011.

Læs mere

Indhold. Digital post. Digital Post

Indhold. Digital post. Digital Post Indhold Digital Post Hvad modtager jeg i min digitale postkasse? Hvem er det, der står bag den digitale postkasse? Hvilke oplysninger registrerer vi om dig? Kan jeg sende digital post til det offentlige?

Læs mere

IT-SIKKERHEDSPOLITIK UDKAST

IT-SIKKERHEDSPOLITIK UDKAST IT-SIKKERHEDSPOLITIK UDKAST It-sikkerhedspolitikken tilstræber at understøtte Odsherred Kommunes overordnede vision. It- og øvrig teknologianvendelse, er et af direktionens redskaber til at realisere kommunens

Læs mere

Sikkerhedspolitik Version 4.0506 d. 6. maj 2014

Sikkerhedspolitik Version 4.0506 d. 6. maj 2014 Nærværende dokument beskriver de sikkerhedsforanstaltninger, som leverandøren har opstillet til den interne fysiske sikkerhed, datasikkerhed, logisk sikkerhed og sikkerhed i forbindelse med netværk, firewall

Læs mere

Cloud jura hvilke regler gælder I skyen? IT Driftskonferencen, 29. januar 2014

Cloud jura hvilke regler gælder I skyen? IT Driftskonferencen, 29. januar 2014 Cloud jura hvilke regler gælder I skyen? IT Driftskonferencen, 29. januar 2014 Hvorfor vælger vi Cloud? No cloud (On-Premise) Infrastructure (as a Service) Platform (as a Service) Software (as a Service)

Læs mere

8 PRINCIPPER FOR GOD NET-ADFÆRD FOR PRIVATPERSONER

8 PRINCIPPER FOR GOD NET-ADFÆRD FOR PRIVATPERSONER 8 PRINCIPPER FOR GOD NET-ADFÆRD FOR PRIVATPERSONER 8 PRINCIPPER FOR GOD NET-ADFÆRD FOR PRIVATPERSONER 1 BESKYT DIN COMPUTER OG ANDRE ENHEDER 2 BESKYT DINE PERSONLIGE OPLYSNINGER 3 BESKYT DINE ELEKTRONISKE

Læs mere

Hvilke retningslinjer skal du følge som bruger i Norddjurs Kommune?

Hvilke retningslinjer skal du følge som bruger i Norddjurs Kommune? Hvilke retningslinjer skal du følge som bruger i Norddjurs Kommune? Som bruger i Norddjurs Kommune er du ansvarlig for det, du foretager dig på din computer og for de oplysninger, som du gemmer. Det betyder,

Læs mere

Røde Kors i Danmarks holdning til korruption

Røde Kors i Danmarks holdning til korruption GODKENDT AF HOVEDBESTYRELSEN 31. JANUAR 2013 Røde Kors i Danmarks holdning til korruption RødeKors.dk INDHOLD 1 Indledning... 3 2 Hvad er korruption?... 3 3 Standpunkt angående korruption... 4 4 Tilgang

Læs mere

Digital Signatur Sikker brug af digital signatur

Digital Signatur Sikker brug af digital signatur Digital Signatur IT- og Telestyrelsen December 2002 Resumé Myndigheder, der ønsker at indføre digital signatur, må ikke overse de vigtige interne sikkerhedsspørgsmål, som teknologien rejser. Det er vigtigt,

Læs mere

Tænk når du taster. kom nærmere

Tænk når du taster. kom nærmere Tænk når du taster kom nærmere Regler for medarbejdernes brug af TDC s pc-arbejdspladser Nedenfor kan du læse om de regler, TDC s Direktion har vedtaget for brugen af koncernens*) pc-arbejdspladser Reglerne

Læs mere

Undgå DNS Amplification attacks

Undgå DNS Amplification attacks Undgå DNS Amplification attacks 29. november 2013 Til: Den it-sikkerhedsansvarlige Resumé Center for Cybersikkerhed har i den seneste tid set flere DDoS-angreb mod danske myndigheder og private virksomheder.

Læs mere

Sikkerhed i cloud computing

Sikkerhed i cloud computing Sikkerhed i cloud computing Databeskyttelsesdagen 2012 Morten Jørsum Center for Digitalisering Digitaliseringsstyrelsen mjrsm@digst.dk Hvad er cloud computing It som en service: Leveres og betales efter

Læs mere

LÆS VENLIGST VILKÅRENE OMHYGGELIGT, FØR DU BRUGER DENNE HJEMMESIDE.

LÆS VENLIGST VILKÅRENE OMHYGGELIGT, FØR DU BRUGER DENNE HJEMMESIDE. LÆS VENLIGST VILKÅRENE OMHYGGELIGT, FØR DU BRUGER DENNE HJEMMESIDE. BRUGSVILKÅR FOR HJEMMESIDE Disse brugsvilkår angiver sammen med de øvrige retningslinjer, som der heri henvises til vilkårene for brug

Læs mere

Justitsministeriet Civil- og Politiafdelingen

Justitsministeriet Civil- og Politiafdelingen Justitsministeriet Civil- og Politiafdelingen Dato: 2. marts 2006 Kontor: Politikontoret Sagsnr.: 2005-945-0019 Dok.: TFR40093 N O T I T S om logning af Internet-oplysninger, oplysninger om Internet-baserede

Læs mere

Persondataloven og sundhedsvidenskabelige forskningsprojekter

Persondataloven og sundhedsvidenskabelige forskningsprojekter Persondataloven og sundhedsvidenskabelige forskningsprojekter Fuldmægtig Signe Astrid Bruun Fuldmægtig Martin Nybye-Petersen Datatilsynet 9. januar 2014 Dagens Program Datatilsynets struktur og arbejdsopgaver

Læs mere

IT-SIKKERHEDSVEJLEDNING IT-SIKKERHED ER OGSÅ DIT ANSVAR

IT-SIKKERHEDSVEJLEDNING IT-SIKKERHED ER OGSÅ DIT ANSVAR IT-SIKKERHEDSVEJLEDNING IT-SIKKERHED ER OGSÅ DIT ANSVAR 1 HUSK n Adgangskoder må ikke videregives til andre. n Andre må ikke anvende din personlige bruger-id. n Ved mistanke om, at andre har fået kendskab

Læs mere

Beskyttelse af personlige oplysninger

Beskyttelse af personlige oplysninger Beskyttelse af personlige oplysninger Kelly Services, Inc. og dens datterselskaber (herefter kaldet "Kelly Services" eller Kelly ) respekterer dit privatliv, og vi anerkender, at du har rettigheder i forbindelse

Læs mere

Sag 61828-mho Udkast 06.05.2015. Cookiepolitik. 1. Politik for brug af HC Containers onlinetjenester

Sag 61828-mho Udkast 06.05.2015. Cookiepolitik. 1. Politik for brug af HC Containers onlinetjenester Sag 61828-mho Udkast 06.05.2015 Cookiepolitik 1. Politik for brug af HC Containers onlinetjenester På denne side oplyses om de nærmere vilkår for brugen af www.hccontainer.dk og eventuelle andre hjemmesider,

Læs mere

> hvidbog. Beskytter du dine kunders og dine egne data godt nok?

> hvidbog. Beskytter du dine kunders og dine egne data godt nok? > hvidbog Beskytter du dine kunders og dine egne data godt nok? HVAD BETYDER DET? DU ER ALDRIG FOR STOR TIL AT BLIVE HACKET ELLER FOR LILLE Går man ti år tilbage var teknologi knyttet tæt sammen med vores

Læs mere

Instrukser for brug af dataudstyr ved OUH

Instrukser for brug af dataudstyr ved OUH Skal Kan Må ikke Instrukser for brug af dataudstyr ved OUH Afdelingen for Driftsoptimering og IT Vi er til for borgerne, og bruger dataudstyr for at sikre effektivitet og kvalitet. Vi skal have en høj

Læs mere

Databeskyttelse: Afrunding. Jacob Herbst, CTO, Dubex A/S Dubex A/S, den 11. juni 2015

Databeskyttelse: Afrunding. Jacob Herbst, CTO, Dubex A/S Dubex A/S, den 11. juni 2015 Databeskyttelse: Afrunding Jacob Herbst, CTO, Dubex A/S Dubex A/S, den 11. juni 2015 Der er to typer virksomheder Der er to typer virksomheder: Dem, der ved at de er blevet hacket og dem der ikke ved at

Læs mere

Faaborg-Midtfyn Kommunes it-sikkerhedspolitik Udkast pr. 26. maj 2009

Faaborg-Midtfyn Kommunes it-sikkerhedspolitik Udkast pr. 26. maj 2009 1. Indledning It-anvendelsen i Faaborg-Midtfyn Kommune skal understøtte kommunens vision. Samtidig ønsker Faaborg- Midtfyn Kommune, at medarbejderne har en bevidst holdning til begrebet it-sikkerhed, hvor

Læs mere

Rigsrevisionen, digitalisering og dokumentation Statens Arkiver den 5. november 2014 v/rigsrevisor Lone Strøm

Rigsrevisionen, digitalisering og dokumentation Statens Arkiver den 5. november 2014 v/rigsrevisor Lone Strøm Rigsrevisionen, digitalisering og dokumentation Statens Arkiver den 5. november 2014 v/rigsrevisor Lone Strøm Offentlig revision Folketinget Finansudvalget Øvrige politiske udvalg De af Folketinget valgte

Læs mere

Vedr.: Høring over udkast til forslag til lov om Center for Cybersikkerhed.

Vedr.: Høring over udkast til forslag til lov om Center for Cybersikkerhed. 4. marts 2014 Forsvarsministeriet Att.: Peter Heiberg Holmens Kanal 42 1060 København K Mail: pah@fmn.dk Vedr.: Høring over udkast til forslag til lov om Center for Cybersikkerhed. Rådet for Digital Sikkerhed

Læs mere

Sikkerhedsanbefaling. Forholdsregler ved ophør af serviceopdateringer til Windows XP Embedded

Sikkerhedsanbefaling. Forholdsregler ved ophør af serviceopdateringer til Windows XP Embedded Sikkerhedsanbefaling Forholdsregler ved ophør af serviceopdateringer til Windows XP Embedded Juli 2014 Indledning Microsoft har annonceret, at selskabet den 31. december 2016 frigiver den sidste serviceopdatering

Læs mere

Michael Teschl Etik Portalerne ApS Lotusvej 58 2300 København S. Sendt til: mt@etikportalen.dk

Michael Teschl Etik Portalerne ApS Lotusvej 58 2300 København S. Sendt til: mt@etikportalen.dk Michael Teschl Etik Portalerne ApS Lotusvej 58 2300 København S Sendt til: mt@etikportalen.dk 14. marts 2013 Vedrørende behandling af personoplysninger hos Etik Portalerne ApS Datatilsynet Borgergade 28,

Læs mere

Europaudvalget 2011 Rådsmøde 3096 - RIA Bilag 3 Offentligt

Europaudvalget 2011 Rådsmøde 3096 - RIA Bilag 3 Offentligt Europaudvalget 2011 Rådsmøde 3096 - RIA Bilag 3 Offentligt Civil- og Politiafdelingen Supplerende samlenotat vedrørende de sager inden for Justitsministeriets ansvarsområde, der forventes behandlet på

Læs mere

Regionernes politiske linje for informationssikkerhed

Regionernes politiske linje for informationssikkerhed Regionernes politiske linje for informationssikkerhed 1 / SUNDHEDSDATA I TRYGGE HÆNDER / Danske Regioner 2015 Regionernes politiske linje for informationssikkerhed Danske Regioner 2015 Layout: UHI, Danske

Læs mere

Reglerne Om Behandling Af Personlige Oplysninger

Reglerne Om Behandling Af Personlige Oplysninger Reglerne Om Behandling Af Personlige Oplysninger Sådan bruger og beskytter vi personlige oplysninger Hos Genworth Financial ligger det os stærkt på sinde at beskytte dit privatliv og dine personlige oplysninger.

Læs mere

Enkelt Nemt Effektivt Skalérbart

Enkelt Nemt Effektivt Skalérbart Enkelt Nemt Effektivt Skalérbart Overvåg hele din IT infrastruktur med ét værktøj Som IT ansvarlig er din infrastruktur lig med dit image over for interne som eksterne kunder. Din mulighed for at reagere

Læs mere

Retningslinjer til beskyttelse af privatlivets fred i tværoffentlige digitaliseringsprojekter

Retningslinjer til beskyttelse af privatlivets fred i tværoffentlige digitaliseringsprojekter Retningslinjer til beskyttelse af privatlivets fred i tværoffentlige digitaliseringsprojekter Den tværoffentlige arbejdsgruppe vedrørende privacy Høringsmateriale februar 2009 Retningslinjer til beskyttelse

Læs mere

Løsningen garanterer at finde alle de cookies, som et nationalt tilsyn kan finde. Løsningen er valideret af Audit Bureau of Circulation i England.

Løsningen garanterer at finde alle de cookies, som et nationalt tilsyn kan finde. Løsningen er valideret af Audit Bureau of Circulation i England. Cookievejledningens Tekniske Guide Den tekniske guide beskriver fem skridt til overholdelse af cookiereglerne: 1. Fastlæggelse af webejendom 2. Undersøgelse af om der sættes cookies på hjemmesiden 3. Afgivelse

Læs mere

STOFA VEJLEDNING SAFESURF INSTALLATION

STOFA VEJLEDNING SAFESURF INSTALLATION STOFA VEJLEDNING SAFESURF INSTALLATION Denne vejledning gennemgår installationsproceduren af SafeSurf, og herefter de tilpasningsmuligheder man kan benytte sig af. Trin 1 Installationen starter med at

Læs mere

Bilag: Beskyttelse af borgeres privatliv i den intelligente by

Bilag: Beskyttelse af borgeres privatliv i den intelligente by KØBENHAVNS KOMMUNE Teknik- og Miljøforvaltningen Center for Bydækkende Strategier NOTAT Til Teknik- og Miljøudvalget Bilag: Beskyttelse af borgeres privatliv i den intelligente by Baggrund Notatet er udformet

Læs mere

It-sikkerhedstekst ST7

It-sikkerhedstekst ST7 It-sikkerhedstekst ST7 Overdragelse af faktorer ved udstedelse af et personligt login til en identificeret fysisk Denne tekst må kopieres i sin helhed med kildeangivelse. Dokumentnavn: ST7 Version 1 Februar

Læs mere

Vejledning i brug af Kollegienettet

Vejledning i brug af Kollegienettet Vejledning i brug af Kollegienettet Del I - Sådan tilsluttes din computer til netværket/internettet - side 2 Del II - Vejledning for intranetog internetadgang - side 16 Del III - Regler for Intranetog

Læs mere

Retsudvalget 2013-14 REU Alm.del endeligt svar på spørgsmål 1434 Offentligt

Retsudvalget 2013-14 REU Alm.del endeligt svar på spørgsmål 1434 Offentligt Retsudvalget 2013-14 REU Alm.del endeligt svar på spørgsmål 1434 Offentligt Folketinget Retsudvalget Christiansborg 1240 København K Lovafdelingen Dato: 14. november 2014 Kontor: Forvaltningsretskontoret

Læs mere

LUDUS WEB. Installations- og konfigurations-vejledning. Den 7. april 2009. J.nr.: 4004 V0624 09

LUDUS WEB. Installations- og konfigurations-vejledning. Den 7. april 2009. J.nr.: 4004 V0624 09 LUDUS WEB Installations- og konfigurations-vejledning Den 7. april 2009 J.nr.: 4004 V0624 09 CSC Scandihealth A/S, P.O. Pedersens Vej 2, DK-8200 Århus N Tlf. +45 3614 4000, fax +45 3614 7324, www.scandihealth.dk,

Læs mere

Lovpligtig Lognings Service

Lovpligtig Lognings Service Lovpligtig Lognings Service Indholdsfortegnelse Telefonilogning 3 Internet hotspot logning 3 Sikkerhed 3 PBS Transaktions ID 3 PIN Koder MAC ID 3 VLAN ID 3 Generelt 4 Fig. 1 Sikkerhed ved Sealink Hotspot

Læs mere

DI og DI ITEKs vejledning om cookiebekendtgørelsen

DI og DI ITEKs vejledning om cookiebekendtgørelsen DI og DI ITEKs vejledning om cookiebekendtgørelsen Udgivet af: DI ITEK Redaktion: Henning Mortensen ISBN: 978-87-7353-989-7 0.02.13 Kort baggrund Det er på baggrund af EU-lovgivning forbudt af lagre og

Læs mere

Cirkulære om sikkerhedsforanstaltninger i Kirkenettet

Cirkulære om sikkerhedsforanstaltninger i Kirkenettet Cirkulære om sikkerhedsforanstaltninger i Kirkenettet Cirkulæret omhandler organisatoriske forhold og fysisk sikring, herunder sikkerhedsorganisation, administration af adgangskontrolordninger og autorisationsordninger

Læs mere

FREDERICIA KOMMUNE Brandvæsenet EKSTERN BEREDSKABSPLAN FORENINGEN DANSKE OLIEBEREDSKABSLAGRE LAGRE J-6 TINGSKOVVEJ 3 7000 FREDERICIA

FREDERICIA KOMMUNE Brandvæsenet EKSTERN BEREDSKABSPLAN FORENINGEN DANSKE OLIEBEREDSKABSLAGRE LAGRE J-6 TINGSKOVVEJ 3 7000 FREDERICIA FREDERICIA KOMMUNE Brandvæsenet EKSTERN BEREDSKABSPLAN FORENINGEN DANSKE OLIEBEREDSKABSLAGRE LAGRE J-6 TINGSKOVVEJ 3 7000 FREDERICIA 2 Ekstern beredskabsplan FDO J-6 Indholdsfortegnelse 1. Forord... 3

Læs mere

PROfessiOnel RisikOstyRing med RamRisk

PROfessiOnel RisikOstyRing med RamRisk 4 Professionel risikostyring med ramrisk www.ramrisk.dk Risikostyring med RamRisk Rettidig håndtering af risici og muligheder er afgørende for enhver organisation og for succesfuld gennemførelse af ethvert

Læs mere

TAVSHEDSPLIGT OG VIDEREGIVELSE AF OPLYSNINGER

TAVSHEDSPLIGT OG VIDEREGIVELSE AF OPLYSNINGER TAVSHEDSPLIGT OG VIDEREGIVELSE AF OPLYSNINGER Reglerne om tavshedspligt og videregivelse af fortrolige oplysninger har stor praktisk betydning, da vi som medarbejdere i kommunen behandler mange personfølsomme

Læs mere

It-sikkerhed i Dansk Supermarked

It-sikkerhed i Dansk Supermarked It-sikkerhed i Dansk en kort introduktion It-sikkerhed i Dansk 1 Velkommen som it-bruger i Dansk Kære medarbejder Brug af it er for mange i Dansk en naturlig del af arbejdsdagen. Hvis vi skal sikre vores

Læs mere

IT-sikkerhedspolitik for

IT-sikkerhedspolitik for Norddjurs Kommune IT-sikkerhedspolitik for Norddjurs Kommune Overordnet IT-sikkerhedspolitik 1.0 Politik 14-11-2006 Side 2 af 7 Overordnet IT-sikkerhedspolitik Indledning Dette dokument beskriver Norddjurs

Læs mere

ARTIKEL 29-GRUPPEN VEDRØRENDE DATABESKYTTELSE. Udtalelse nr. 02/2012 om ansigtsgenkendelse i online- og mobiltjenester

ARTIKEL 29-GRUPPEN VEDRØRENDE DATABESKYTTELSE. Udtalelse nr. 02/2012 om ansigtsgenkendelse i online- og mobiltjenester ARTIKEL 29-GRUPPEN VEDRØRENDE DATABESKYTTELSE 00727/12/DA WP 192 Udtalelse nr. 02/2012 om ansigtsgenkendelse i online- og mobiltjenester Vedtaget den 22. marts 2012 Gruppen er nedsat ved artikel 29 i direktiv

Læs mere

IT-retningslinier og sikkerhedspolitik for Viborg Kommunes Skole IT. - gældende for undervisere

IT-retningslinier og sikkerhedspolitik for Viborg Kommunes Skole IT. - gældende for undervisere IT-retningslinier og sikkerhedspolitik for Viborg Kommunes Skole IT - gældende for undervisere August 2009 IT retningslinier og sikkerhedspolitik for Viborg kommunes Skole IT - gældende for undervisere

Læs mere

Johnson Controls' Binding Corporate Rules (bindende virksomhedsregler)

Johnson Controls' Binding Corporate Rules (bindende virksomhedsregler) Johnson Controls' Binding Corporate Rules (bindende virksomhedsregler) Indhold 1. Introduktion 2. Område og anvendelse 3. Gennemsigtighed og underretning 4. Rimelig behandling og afgrænsning af formål

Læs mere

Loven indebærer ændringer i både persondataloven 4 og tv-overvågningsloven

Loven indebærer ændringer i både persondataloven 4 og tv-overvågningsloven Til samtlige kommuner, regioner og ministerier (underliggende myndigheder og institutioner bedes venligst orienteret) 28. juni 2007 Orientering til offentlige myndigheder om de nye regler i persondataloven

Læs mere