Hvordan styrer vi leverandørerne?

Transkript

1 Hvordan styrer vi leverandørerne? DI Digital 26. September 2016 DKCERT Henrik Larsen

2 Agenda Hvem er jeg? DKCERT Hvem er vi og hvad gør vi? Hvordan styrer universitetssektoren leverandørerne? Krav Databehandleraftaler ISO og EU s persondataforordning Kontrol 2

3 Hvem er jeg? Cand.mag. (historie og nordisk arkæologi) 1985 Sideløbende uddannelse i handel, økonomi, ledelse og edb/it siden 1971 Exam. ESL, ITIL-F, CISSP, CISM, CGEIT, ISO27001-Master Nationalmuseet , Højskolen Marielyst Københavns Universitet og , informationssikkerhedschef tidligere bl.a. it-drift/infrastrukturchef i Koncern-it DeiC, Chef for DKCERT marts 2015->, tillige Chef for WAYF fra juli 2016 medlem af bestyrelsen for Rådet for Digital Sikkerhed, DIFO Sikkerhedspanel mv. 3

4 DKCERT: opgaver og tjenester

5 Hvem er DKCERT? - Opgaver DKCERT er en tjeneste fra DeIC (Danish e-infrastructure Cooperation), der følger sikkerheden på internettet og advarer om potentielle it-sikkerhedsproblemer DKCERT tager imod henvendelser om sikkerhedshændelser på internettet fra Forskningsnettet og andre danske og udenlandske kilder DKCERT indgår i FIRST, et verdensomspændende netværk af over 350 CERT/CSIRT teams, samt i den europæiske organisation Trusted Introducer DKCERT har et bredt samarbejde med danske og nordiske organisationer og myndigheder 5

6 Hvem er DKCERT? - Tjenester Informationstjenesten ( Webnyheder, nyhedsbreve, advarsler, tweets, awareness, trendrapport mv. Presse, konferencer mv. Borgerundersøgelse Sagsbehandlingen Modtager og behandler rapporter om sikkerhedshændelser på eller relateret til Forskningsnettet. Rådgiver og støtter efter behov Sårbarhedsscanninger Otte parallelle Nessus Enterprise-scannere Totale scanninger, on-demand scanninger, interne scanninger Dataanalyse Analyse af forskningsnettets netflowdata 6

7 Hvem kan bruge os? Alle institutioner, der er tilsluttet forskningsnettet: De otte universiteter En række kulturministerielle institutioner: Musikkonservatorier, Kunstakademiet, Nationalbiblioteket, Rigsarkivet, Statens Museum for kunst En række andre forsknings- og uddannelsesinstitutioner, kollegier mv. Øvrige efter aftale og mod betaling Statslige myndigheder m.fl. DKCERT kan i mindre omfang levere konsulentydelser til fx kommuner, andre offentlige enheder eller til små og mellemstore private virksomheder (indtægtsdækket virksomhed) 7

8 Hvordan styrer universiteterne leverandørerne? Krav

9 Persondataloven Når en dataansvarlig overlader en behandling af oplysninger til en databehandler, skal den dataansvarlige sikre sig, at databehandleren kan træffe de i 41, stk. 3-5, nævnte tekniske og organisatoriske sikkerhedsforanstaltninger, og påse, at dette sker. Stk. 2. Gennemførelse af en behandling ved en databehandler skal ske i henhold til en skriftlig aftale parterne imellem. Af aftalen skal det fremgå, at databehandleren alene handler efter instruks fra den dataansvarlige, og at reglerne i 41, stk. 3-5, ligeledes gælder for behandlingen ved databehandleren. Hvis databehandleren er etableret i en anden medlemsstat, skal det fremgå af aftalen, at de bestemmelser om sikkerhedsforanstaltninger, som er fastsat i lovgivningen i den medlemsstat, hvor databehandleren er etableret, gælder for denne. 9

10 Persondataloven Stk. 3. Den dataansvarlige skal træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven. Tilsvarende gælder for databehandlere. Stk. 4. For oplysninger, som behandles for den offentlige forvaltning, og som er af særlig interesse for fremmede magter, skal der træffes foranstaltninger, der muliggør bortskaffelse eller tilintetgørelse i tilfælde af krig eller lignende forhold. Stk. 5. Justitsministeren kan fastsætte nærmere regler om de i stk. 3 anførte sikkerhedsforanstaltninger. 10

11 Persondataloven Stk. 3. Den dataansvarlige skal træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven. Tilsvarende gælder for databehandlere. Stk. 4. For oplysninger, som behandles for den offentlige forvaltning, og som er af særlig interesse for fremmede magter, skal der træffes foranstaltninger, der muliggør bortskaffelse eller tilintetgørelse i tilfælde af krig eller lignende forhold. Stk. 5. Justitsministeren kan fastsætte nærmere regler om de i stk. 3 anførte sikkerhedsforanstaltninger. 11

12 Sikkerhedsbekendtgørelsen 2000 Bekendtgørelse om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning 7. Hvis behandling af personoplysninger foretages af en databehandler på den dataansvarliges vegne, skal der foreligge en skriftlig aftale, hvoraf det fremgår, at reglerne i denne bekendtgørelse ligeledes gælder for behandlingen ved databehandleren. Hvis databehandleren er etableret i en anden medlemsstat, skal det fremgå af aftalen, at de bestemmelser om sikkerhedsforanstaltninger, som er fastsat i lovgivningen i den medlemsstat, hvor databehandleren er etableret, gælder for denne. 12

13 Vejledning til Sikkerhedsbekendtgørelsen Vejledning til bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning Den dataansvarlige skal således aktivt sikre, at de krævede sikkerhedsforanstaltninger overholdes hos databehandleren, og det kan i den sammenhæng være relevant at indhente en årlig revisionserklæring fra en uafhængig tredjepart. Den skriftlige aftale parterne imellem som nævnt ovenfor kunne bl.a. indeholde denne revisionserklæring som en betingelse for at lade behandlingen foretage hos databehandleren. 13

14 Den nationale strategi for cyber- og informationssikkerhed 2014 En central del af arbejdet med cyber- og informationssikkerhed er derfor, at myndighederne stiller klare sikkerhedsmæssige krav til leverandørerne og løbende følger op på, at de overholdes. De statslige myndigheder skal arbejde mere systematisk med løbende at vurdere sikkerhedsniveauet i de løsninger, som drives af eksterne leverandører. 14

15 Hvordan styrer universiteterne leverandørerne? Databehandleraftaler

16 Enhver organisations informationssikkerhed afhænger af dens underleverandørers sikkerhedsniveau 16

17 Leverandørkontrakter Fastlægge forventninger (SLA) - målbare Krav til sikkerheden Leverandørens sikkerhedspolitik Er der ansvarsfraskrivelse? Kontrol af adgange 17

18 Indholdet i en SLA - eksempler Hvordan beskytter leverandøren kundens systemer mod virusangreb? Hvordan sikrer leverandøren data mod at komme i de forkerte hænder? Hvilke garantier for oppetid giver leverandøren? Hvordan beskytter leverandøren mod ansatte, der misbruger adgangen til jeres data? Hvor hurtigt informerer leverandøren kunden om brud på sikkerheden? 18

19 Spørgsmål til cloudleverandøren Hvordan og hvor ofte bliver der taget backup? Hvordan får du slettet data? Hvordan får du dine data tilbage, når samarbejdet ophører og i hvilket format? Er du sikker på, at alle kopier af dine data bliver slettet ved kontraktophør? 19

20 Kontrol af sikkerhed Hvordan er leverandørens firewall-setup? Bruger de et Intrusion Prevention eller Intrusion Detection System? Hvordan overvåger de systemet? Hvilke procedurer har de for logning hvor ofte gennemgås logfiler? 20

21 Kontrol af sikkerhed Hvordan styres softwareopdateringer? Hvor tit installerer de sikkerhedsopdateringer? Hvor tit scanner de deres systemer for sårbarheder? Får de foretaget penetrationstest? Hvor ofte? 21

22 Hvordan styrer universiteterne leverandørerne? ISO og GDPR

23 Hvorfor ISO 27001? Internationalt anerkendt rammeværk Obligatorisk i den statslige sektor Udbredt i den private sektor Muligt at opnå certificering Efterspørgsel efter certificerede leverandører 23

24 Certificeret leverandør? Se scope for certificeringen SoA-dokumentet Stil spørgsmål! 24

25 ISO Universiteterne er ikke omfattet af kravet til statslige myndigheder om at følge ISO Uddannelses- og Forskningsministeriet, Styrelsen for Videregående Uddannelser anbefaler at universitetet orienterer sig i standarden De fleste universiteter arbejder med et ISMS, der følger ISO ISO stiller også krav til leverandørstyringen (A.15) 25

26 EU databeskyttelsesforordning Skærpelse/indskærpelse af allerede eksisterende krav Universiteterne vil være omfattet af kravet om at udpege DPO (databeskyttelsesansvarlig) Omfattende arbejde for at forberede implementering af GDPR ISO er et godt værktøj 26

27 Hvordan styrer universiteterne leverandørerne? Kontrol

28 Følg op løbende Kontrol af ISMS fx spørgeskema Statusmøder opfølgning på SLA og sikkerhedskrav Besøg? Revisionserklæringer Adgang til at scanne for sårbarheder? Penetrationstest? 28

29 [ Tak for opmærksomheden!] [Spørgsmål?] Henrik Larsen DKCERT