DataOverVågning - Risiko og Væsentlighed

Transkript

1 DataOverVågning - Risiko og Væsentlighed Dias 1

2 Agenda 1. Indledning og agenda 2. RGA hvad og hvem 3. Fokus for RGA s IT sikkerhed 4. Hvad gør vi med InfoSphere Guardium 5. Hvorfor og hvordan implementerer vi InfoSpherer Guardium 6. Sammenfatning Dias 2

3 Hvem er giraffen Peter Hove Msc. Political Science/Economy Arbejdsmarkedsstyrelsen ryd op efter AMANDA og impl. Navision Stat Region Hovedstaden Intra- og internet samt Elektronisk Patient Journal Københavns Kommune KMD sag Danske Bank Erstatning af gl. legacy systemer Logica - SharePoint RI Retsgenetisk afdeling Ryd op og strømligning af Enterprise Arkitetur Mission - Ryd op i systemer - og strømline organisation og personale/roller m/in/dkpeterhove Dias 3

4 Hvad laver RGA Analyser af DNA i forbindelse med RETSGENETIK Analyser af DNA prøver i straffesager for politiet og domstolene Tunge sager : Terror, Drab, Røveri, Voldtægt, pædofili, ildspåsættelser mv. lettere sager : Tyveri, hærværk, indbrud, mv. Analyser af DNA prøver for Statsforvaltningen faderskabssager Analyser af DNA prøver for Indenrigsministeriet Slægtsskabssager Dias 4

5 Hvor meget laver RGA Aktiviteter og omsætning ca straffesager ca. 50 drab ca.100 drabsforsøg voldtægtssager voldssager Resten er røverier, indbrud, ildspåsættelser, biltyveri, narkosager, hærværk, ca prøver fra identificerede personer 1. Januar 2015: > personer i politiets dna-register Omtrent hits til dna-spor i gamle sager i politiets dna-register årligt ca faderskabssage ca. 100 slægtsskabssager Dias 5

6 Hvor ses det hvad RGA laver Sager fra virkeligheden Dias 6

7 Hvad laver RGA: Produktionsprocessen CSI Spor Domme Effekter RGA-Analyse og produktionsflow Forbrydelse Sammenligninger og Erklæring

8 Hvordan - DNA analyser i praksis DNA er genetiske fingeraftryk Som politiet indsamler på gerningssteder og sender til RGA Analyser af DNA prøver for Statsforvaltningen Analyser af DNA prøver for Indenrigsministeriet Dias 8

9 Hvad er DNA analyser Hvor finder vi DNA: Mundskrab Hårceller Spyt Blod Hudceller Sæd/vaginalceller Dias 9

10 Hvad er DNA analyser Hvad finder vi DNA på: Dias 10

11 Hvordan - DNA prøvers behandling af data DNA prøver indsamles fra nogen Som er/bliver registreret med personhenførbare oplysninger Som er sigtet for en forbrydelse eller part i en fadeskabssag Som ikke er dømt - endnu Dias 11

12 Hvordan - DNA prøvers behandling DNA prøver indsamles fra nogen Som er registreret Cpr. Nr Navne Adresser Ofre og gerningsmænd Som er sigtet for en forbrydelse Gerningskoder Gerningssteder Dias 12

13 Fokus for RGA s IT sikkerhed Datasikkerhed frem for adgangssikerhed Brug for datasikkerhed: Høj fokus Personfølsomme data - I en lang og kompleks produktionsproces og igennem mange hænder Ikke brug for Adgangssikkerhed: Lav fokus Der er ikke hul igennem Fysisk lukket netværk - Ikke hackere og angreb og datatab og kompromittering Dias 13

14 Fokus for RGA s IT sikkerhed Risiko og væsentlighed Need to know og nice to know (Persondatalov og EU forordning) Fortrolighed og beskyttelse af borgernes personfølsomme data (Persondatalov og EU forordning) Dias 14 Beskyttelse af kunder imod skandalisering og beskyttelse af Brand (Legal katastrofe, ødelagte kunderelationer og tabt indtjening)

15 Fokus for RGA s IT sikkerhed Hvordan styrer vi og monitorerer Medarbejdere og udviklere i laboratorier og sagsbehandling Akkrediterede procedurer for arbejdsgange/behandling af prøver, sager og data Opslag styres via rettigheder/roller i kernesystem (Laboratoriesystemet LabWare mv.) Udtag af data/filer fra lukket kernesystem kun via ledere m. særlig adgang og kode Indsamling/logning af opslag (CRWD) via databasemonitorering (Tidl.: McAffe Database monitorering. NU: IBM InfoSphere Guardium) Dias 15

16 Fokus for RGA s IT sikkerhed Hvad monitorerer vi med Databasemonitorering Hvilke medarbejdere, der har CRWD et Hvad medarbejderne/udviklerne har CRWC et Hvornår de har CRWD et Hvilken anvendelse, som er udført I overvågningsrapporter I policies (Med InfoSphere Guardium) Dias 16

17 Fokus for RGA s IT sikkerhed Hvad lagde RGA vægt på, da vi valgte IBM InfoSphere Guardium At det kan monitore databaseaktiviteter At det kan anvendes på hele RGA også på de øvrige afdelingers Databaser Relativ minimal performanceimpact Brugervenlig interface Opsætning af policies Dias 17

18 Hvordan implementerer vi InfoSphare Guardium SW setup først dernæst regler mv. 1. SW i test 2. Udfordringer med MS set-up 3. Uddannelse af brugerne 4. Udformning af hello world rapporter 5. Udformning af rigtige driftsrapporter 6. Udformning af regler og policies 7. SW i drift 8. Implementering Dias 18

19 Dias 19