RÅDET FOR DIGITAL SIKKERHED

Størrelse: px

Starte visningen fra side:

Download "RÅDET FOR DIGITAL SIKKERHED"

Troels Kristensen
9 år siden
Visninger:

1 RÅDET FOR DIGITAL SIKKERHED Privacy og brugen af data Sikkerhed & Revision 5. september 2014 Birgitte Kofod Olsen, Formand,RfDS, Partner, Carve Counsulting

2 Rådet for Digital Sikkerhed RfDS blev stiftet i november 2012 af DI, It-Branchen, Dansk IT, Forbrugerrådet og det nu nedlagte Rådet for Større IT Sikkerhed. Medlemmer: Virksomheder Brancheorganisationer Interesseorganisationer Regioner og kommuner Forskningsinstitutioner og forskere

3 RfDS formål Digital tryghed sætte retningen for fremtidens digitale velfærdssamfund it-sikkerhed og privatlivsbeskyttelse bliver naturligt integreret i systemer og samfund læring og adfærd i den digitale verden innovativ udnyttelse af teknologiens muligheder

bliver naturligt integreret i systemer og samfund læring og

4 Privacy udfordringer - jeg har ikke noget at skjule, så de må godt kigge med! - det forebygger jo terrorisme og kriminalitet! - hvad er problemet med at registrere oplysninger om politisk observans? - det er effektivt og vi opnår synergi!

5 Analyse-punkter RISK hvordan ser risikobilledet ud? COMPLIANCE hvilke krav gælder iht lov og standarder? GOVERNANCE hvilken organisation skal der til?

6 RISK: Risikobilledet Manglende sikkerhedso pdatering uautorisere t adgang Hacking RISK misbrug, tyveri Modifikation cyberangr eb - DDos læk af information placering af malware spionage

7 Privacy risikoen Snowden lækagen Se&Hør/Nets-sagen CSC-hacking CPR-numre på nettet

hjemmel, og det er proportionalt og nødvendigt i et demokratisk samfund EU traktaten Persondatadirektivet Forslag

8 COMPLIANCE Grundloven Forvaltningsloven Persondataloven Princip: grundrettighed i demokratiet Hovedregel: beskyttelse af borgerens privatliv og data Undtagelse: begrænsning af beskyttelsen hvis der er et lovligt hensyn og hjemmel, og det er proportionalt og nødvendigt i et demokratisk samfund EU traktaten Persondatadirektivet Forslag til forordning Europarådets Menneskerettighedskonvention Persondatakonvention FN konvention om civile og politiske rettigheder

9 EU-forordning Principles: Transparency Porportionality Minimisation The data subject's rights: right of access to their personal data right to rectification right to erasure right to data portability right to lodge a complaint Privacy Impact Assesment PIA

their personal data right to rectification right to erasure

10 Ex: Privacy Impact Assesment Identifikation af al persondata, der håndteres i et system og af måden data anvendes på Vurdering af nødvendigheden og proportionaliteten af anvendelse og opbevaring Kortlægning af, hvordan persondata håndteres efter indsamling (adgang, logning) Identifikation af privacy risici og risikoniveauet Formulering af løsninger til at eliminere eller reducere privacy risici til et acceptabelt niveau.

håndteres efter indsamling (adgang, logning) Identifikation af privacy risici og risikoniveauet Formulering af

11 ISO Information Security Management Standard Privacy: Classification of information (A.8.2.1) Information shall be classified in terms of legal requirements, value, criticality and sensitivity to unauthorised disclosure or modification Compliance control (A.18.14) Privacy and protection of personally identifiable information shall be ensured as required in relevant legislation and regulation where applicable

1) Information shall be classified in terms of legal requirements, value, criticality and sensitivity to

12 ISO Informationssikkerhed: Control objectives and controls: (A.9-12) Access control User access management System and application access control Information access restrictions Secure log-on-procedures Password managment system ensure quality PWs Crytographic controls Policy on the use of cryptographic controls Key management

Information access restrictions Secure log-on-procedures Password managment system

13 ISO objectives and controls: Backup Protection from malware Implementation of detection, prevention and recovery controls User awareness Logging and monitoring Events Protection of log-info Administrator and system operator log

recovery controls User awareness Logging and monitoring

14 FE målepunkter for info-sikkerhed 2013 baseret på ISO 27002:2005 Område 13: privacy Andel af systemer, der er klassificeret internt Andel af systemer, der kan håndtere differentieret brugeradgang i overensstemmelse med datas klassificering Antal systemer, der behandler persondata, hvor logning er i overensstemmelse med lovkrav Mængde af persondata, der opbevares i længere tid, end hvad der er nødvendigt i for formålet Andel medarbejdere med unødvendig adgang til personfølsomme oplysninger

systemer, der behandler persondata, hvor logning er i overensstemmelse med lovkrav Mængde af persondata, der opbevares i

15 GOVERNANCE ISO information security management system Context of the organisation Planning Actions to adress risks and opportunities Information security risk treatment Support Operation Performance evaluation Improvement

adress risks and opportunities Information security risk

16 Risk Compliance Governance.. ISO Digital dannelse Digital tryghed Risiko Compliance: it sikkerhed & privacy Governance Viden & Awareness Business case Trusselsbillede: Angreb Adgangskontrol Læk EU forordning Privacy Impact Assesment (PIA) Vækst Potentiale Omkostningsreduktion

sikkerhed & privacy Governance Viden & Awareness Business case

17 Kontaktinformation Rådet for Digital Sikkerhed Toldbodgade København K Formand Birgitte Kofod Olsen Mobil Mail [email protected] Web digitalsikkerhed.dk

Kofod Olsen Mobil +45 41 42 83 81 Mail birgitte.

Relaterede dokumenter

RÅDET FOR DIGITAL SIKKERHED

RÅDET FOR DIGITAL SIKKERHED Retsudvalget 2014-15 REU Alm.del Bilag 21 Offentligt Retsudvalgets høring om myndigheders behandling af personoplysninger Sikkerheden i den outsourcede it-drift Christiansborg,