RÅDET FOR DIGITAL SIKKERHED Privacy og brugen af data Sikkerhed & Revision 5. september 2014 Birgitte Kofod Olsen, Formand,RfDS, Partner, Carve Counsulting
Rådet for Digital Sikkerhed RfDS blev stiftet i november 2012 af DI, It-Branchen, Dansk IT, Forbrugerrådet og det nu nedlagte Rådet for Større IT Sikkerhed. Medlemmer: Virksomheder Brancheorganisationer Interesseorganisationer Regioner og kommuner Forskningsinstitutioner og forskere
RfDS formål Digital tryghed sætte retningen for fremtidens digitale velfærdssamfund it-sikkerhed og privatlivsbeskyttelse bliver naturligt integreret i systemer og samfund læring og adfærd i den digitale verden innovativ udnyttelse af teknologiens muligheder
Privacy udfordringer - jeg har ikke noget at skjule, så de må godt kigge med! - det forebygger jo terrorisme og kriminalitet! - hvad er problemet med at registrere oplysninger om politisk observans? - det er effektivt og vi opnår synergi!
Analyse-punkter RISK hvordan ser risikobilledet ud? COMPLIANCE hvilke krav gælder iht lov og standarder? GOVERNANCE hvilken organisation skal der til?
RISK: Risikobilledet Manglende sikkerhedso pdatering uautorisere t adgang Hacking RISK misbrug, tyveri Modifikation cyberangr eb - DDos læk af information placering af malware spionage
Privacy risikoen Snowden lækagen Se&Hør/Nets-sagen CSC-hacking CPR-numre på nettet
COMPLIANCE Grundloven Forvaltningsloven Persondataloven Princip: grundrettighed i demokratiet Hovedregel: beskyttelse af borgerens privatliv og data Undtagelse: begrænsning af beskyttelsen hvis der er et lovligt hensyn og hjemmel, og det er proportionalt og nødvendigt i et demokratisk samfund EU traktaten Persondatadirektivet Forslag til forordning Europarådets Menneskerettighedskonvention Persondatakonvention FN konvention om civile og politiske rettigheder
EU-forordning Principles: Transparency Porportionality Minimisation The data subject's rights: right of access to their personal data right to rectification right to erasure right to data portability right to lodge a complaint Privacy Impact Assesment PIA
Ex: Privacy Impact Assesment Identifikation af al persondata, der håndteres i et system og af måden data anvendes på Vurdering af nødvendigheden og proportionaliteten af anvendelse og opbevaring Kortlægning af, hvordan persondata håndteres efter indsamling (adgang, logning) Identifikation af privacy risici og risikoniveauet Formulering af løsninger til at eliminere eller reducere privacy risici til et acceptabelt niveau. http://www.priv.gc.ca/resource/fs-fi/02_05_d_33_e.asp
ISO 27001 Information Security Management Standard Privacy: Classification of information (A.8.2.1) Information shall be classified in terms of legal requirements, value, criticality and sensitivity to unauthorised disclosure or modification Compliance control (A.18.14) Privacy and protection of personally identifiable information shall be ensured as required in relevant legislation and regulation where applicable
ISO 27001 Informationssikkerhed: Control objectives and controls: (A.9-12) Access control User access management System and application access control Information access restrictions Secure log-on-procedures Password managment system ensure quality PWs Crytographic controls Policy on the use of cryptographic controls Key management
ISO 27001 objectives and controls: Backup Protection from malware Implementation of detection, prevention and recovery controls User awareness Logging and monitoring Events Protection of log-info Administrator and system operator log
FE målepunkter for info-sikkerhed 2013 baseret på ISO 27002:2005 Område 13: privacy Andel af systemer, der er klassificeret internt Andel af systemer, der kan håndtere differentieret brugeradgang i overensstemmelse med datas klassificering Antal systemer, der behandler persondata, hvor logning er i overensstemmelse med lovkrav Mængde af persondata, der opbevares i længere tid, end hvad der er nødvendigt i for formålet Andel medarbejdere med unødvendig adgang til personfølsomme oplysninger
GOVERNANCE ISO 27001- information security management system Context of the organisation Planning Actions to adress risks and opportunities Information security risk treatment Support Operation Performance evaluation Improvement
Risk Compliance Governance.. ISO 27001 Digital dannelse Digital tryghed Risiko Compliance: it sikkerhed & privacy Governance Viden & Awareness Business case Trusselsbillede: Angreb Adgangskontrol Læk EU forordning Privacy Impact Assesment (PIA) Vækst Potentiale Omkostningsreduktion
Kontaktinformation Rådet for Digital Sikkerhed Toldbodgade 12 1253 København K Formand Birgitte Kofod Olsen Mobil +45 41 42 83 81 Mail birgitte.kofod.olsen@digitalsikkerhed.dk Web digitalsikkerhed.dk