IT-sikkerhedsrapport 2012



Relaterede dokumenter
Ishøj Kommune Ishøj Store Torv Ishøj CVR [behandlernes navn] [behandlerens adresse] [Postnummer] CVR.

Sammenfattende kan Datatilsynet konkludere

NORDISK SAMARBEJDE OM INFORMATIONSSIKKERHED I KOMMUNER OG REGIONER

Procedure for tilsyn af databehandleraftale

DATABEHANDLERAFTALE. Mellem parterne: Den dataansvarlige myndighed Regioner og kommuner (herefter Dataansvarlig )

lov nr. 429 af 31/05/2000 med senere ændringer om behandling af personoplysninger (Persondataloven).

Databehandleraftale. Mellem. Egedal Kommune. Dronning Dagmars Vej Ølstykke. Herefter benævnt Dataansvarlig. Leverandør navn.

Bilag 1 Databehandlerinstruks

Databehandleraftale. Mellem. Egedal Kommune. Dronning Dagmars Vej Ølstykke. (Herefter benævnt Dataansvarlig)

Kontraktbilag 7: Databehandleraftale

DATABEHANDLERAFTALE vedr. Indkøbsordning til visiterede borgere i eget hjem

Retningsgivende databehandlervejledning:

BILAG 5 DATABEHANDLERAFTALE

DATABEHANDLERAFTALE. Mellem. [XXXX] Kommune [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Kommunen )

DATABEHANDLERAFTALE. Mellem. Svendborg Kommune Ramsherred Svendborg CVR. nr.: (herefter Kommunen ) XXXXXX xxxxxx xxxx

Sikkerhedsregler for Kalundborg Kommune

Eksempel på KOMBITs instruks til ISAE 3000 revisionserklæring

DATABEHANDLERAFTALE MELLEM ODENSE KOMMUNE. Flakhaven 2, 5000 Odense C [INDSÆT NAVN. CVR xxxxxxxx. Adresse ]

Tilladelsen gives på følgende vilkår:

> DKCERT og Danskernes informationssikkerhed

Underbilag 4B til kontrakt om elektronisk nøglesystem mellem Kalundborg Kommune og [Navn - skal udfyldes af leverandøren]

Driftskontrakt. Databehandleraftale. Bilag 14

SIKRING AF BORGERNES PERSONOPLYSNINGER ENDELIG RAPPORT

Databehandlerinstruks

hos statslige myndigheder

Dragør Kommune Borgmestersekretariat, IT og Personale Marts

DATABEHANDLERAFTALE Mellem Randers kommune Laksetorvet 8900 Randers C CVR.nr

DATABEHANDLERAFTALE. Mellem. [indsæt systemejer] adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Kommunen )

Hillerød Kommune. IT-sikkerhedspolitik Bilag 2. Opfølgning på lovbestemte krav

Persondata på Københavns Universitet

Databehandleraftale. Dags dato er indgået nedenstående aftale mellem

Politikken beskrivelser hvordan vi behandler persondata om vores medlemmer og netværk.

Databehandleraftale. om [Indsæt navn på aftale]

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015

Tønder Kommune BILAG 10

Fællesregional Informationssikkerhedspolitik

EG Cloud & Hosting. Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til EG Cloud & Hostings serviceydelser

Sikkerhed i cloud computing

PERSONDATAPOLITIK FOR DANMARKS LÆRERFORENING. Vedtaget af styregruppen 21. februar 2018

Databehandleraftale. mellem. [anfør kontraktpart] [anfør adresse] [anfør postnummer] [anfør cvr.nr.] (herefter benævnt Databehandleren )

DK CERT COMPUTER EMERGENCY RESPONSE TEAM. Chefkonsulent Preben Andersen

DATABEHANDLERAFTALE. Mellem. Furesø Kommune Stiager Værløse CVR. nr.: (herefter Kommunen )

Beretninger om behandling af fortrolige oplysninger og forebyggelse af hackerangreb

Dokumentation af sikkerhed i forbindelse med databehandling

Datatilsynets inspektionsrapport

Databehandleraftale vedrørende brug af. WinPLC og relaterede services. Version 1.0 d. 1. november Parterne. Kundenr.:

Vedrørende tilsyn med behandling af personoplysninger

DATABEHANDLERAFTALE. Mellem. [XXXX] Kommune [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Kommunen )

Hvordan styrer vi leverandørerne?


Databehandleraftale. Dags dato er indgået nedenstående aftale mellem

Overordnet organisering af personoplysninger

Bilag til kunder (herefter Dataansvarlige), som har indgået aftale med Dansk Løn Service ApS

Privatlivspolitik for medarbejdere

PERSONDATAPOLITIK FOR ÅRHUS LÆRERFORENING Revideret 17. januar 2019

DATABEHANDLERAFTALE VEDRØRENDE [AFTALENAVN]

Overordnet organisering af personoplysninger

Forslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed

Privatlivspolitik for studerende

De første 350 dage med den nye databeskyttelsesforordning

It-sikkerhed i Dansk Supermarked

Projektets titel. Projektets formål

IT-SIKKERHED HOS MOBILIZE ME APS

DATABEHANDLERAFTALER MELLEM ESBJERG KOMMUNE OG LEVERANDØRER. Tekst, der er sat i [ ] og markeret med grøn angiver, at Leverandøren skal forholde

(Dataansvarlig og Databehandler herefter under et benævnt Parterne og enkeltvis Part )

DATABEHANDLERAFTALE. Mellem. Silkeborg Kommune Søvej Silkeborg CVR. nr.: (herefter Kommunen )

Netic A/S. Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til Netic A/S serviceydelser.

Cloud Computing De juridiske aspekter

PERSONDATAPOLITIK FOR LÆRERSTUDERENDES LANDSKREDS

OPTION TIL RM OG RN BILAG 14 TIL KONTRAKT OM EPJ/PAS IT-SIKKERHED OG DATABEHANDLERAFTALE

Databehandleraftale. mellem. [anfør kontraktpart] [anfør adresse] [anfør postnummer] [anfør cvr.nr.] (herefter benævnt Databehandleren )

Torben Waage Partner

LOGNING AF ELEKTRONISK SAGSBEHANDLING OG BORGERES ADGANG TIL INDSIGT I OPLYSNINGER

AFTALE OM DATASIKKERHED I FORBINDELSE MED GODKENDELSE AF PRIVATE LEVERANDØRER UNDER FRIT VALGS-ORDNINGEN

For så vidt angår Statsrevisorernes og Rigsrevisionens konkrete bemærkninger, skal jeg bemærke følgende:

Version: 1.0 Maj Informationssikkerhedspolitik for Struer Statsgymnasium

Fællesregional Informationssikkerhedspolitik

Retsudvalget REU Alm.del Bilag 364 Offentligt

Databehandleraftale. Der er indgået denne Databehandlingsaftale ("Aftale") mellem

EG Cloud & Hosting

Agenda. Introduktion: Rasmus & CyberPilot. Eksempler fra det virkelig verden. Persondataforordningen & IT-sikkerhed (hint: ISO27001)

IT-sikkerhedsbestemmelser for anvendelse af e-post

persondataforordningen

Faaborg-Midtfyn Kommunes it-sikkerhedspolitik Udkast pr. 26. maj 2009

! Databehandleraftale

Databehandleraftale. (den Dataansvarlige og Databehandleren i det følgende hver for sig benævnt Part og under et Parterne )

Databeskyttelsespolitik for DSI Midgård

1. Ledelsens udtalelse

Arbejdsgange og retningslinier vedr. brug af KMD-SAG-EDH

Databehandleraftale mellem Aarhus Kommune, Børn og Unge og leverandørnavn indsættes

Databehandleraftale. Dags dato er indgået nedenstående aftale mellem

1. Har jeres organisation kendskab til den nye databeskyttelsesforordning?

Ledelsen har sikret, at der er etableret en hensigtsmæssig itsikkerhedsorganisation

origo Databehandleraftale

Databeskyttelsespolitik

SOPHIAGÅRD ELMEHØJEN

PERSONDATAPOLITIK (EKSTERN)

Rammeaftalebilag 5 - Databehandleraftale

KÆRE MEDARBEJDER OG LEDER

Bilag til management letter om it-revision af Sundhedsdatanettet (SDN) hos MedCom 2018 J.nr juni 2018

Transkript:

IT-sikkerhedsrapport 2012 I henhold til Randers kommunes IT-sikkerhedspolitik gennemføres mindst én gang årligt, samt ved større tekniske eller organisatoriske ændringer, en sikkerhedsvurdering og kommunens ledelse orienteres om det aktuelle risikobillede. Status Generelt er it-sikkerheden højt prioriteret i Randers kommune, hvilket også afspejler sig i den udvidede itsikkerhedsrevision, samt i antallet af henvendelser fra medarbejdere om it-sikkerhedsmæssige spørgsmål og hændelser. Af hensyn til it-sikkerhedslederens organisatoriske placering har Randers kommune rekvireret udvidet itsikkerhedsrevision hos BDO/KR. Denne blev gennemført i november 2012 og har som den helt overordnede konklusion: Gennemgangen har vist, at Randers Kommunes administration af it-sikkerheden på de udvalgte områder er betryggende set ud fra et revisionsmæssigt synspunkt samt god it-skik. Endvidere, at der generelt er en fornuftig sammenhæng mellem kommunens retningslinjer (it-sikkerhedshåndbogen og bilag) og itafdelingens efterlevelse i praksis. De svagheder vi konstaterede ved sidste gennemgang, i foråret 2012, er rettet op eller er under udbedring. Hvor de er under udbedring, vil vi naturligt følge op på dette arbejde ved en kommende gennemgang. Vi har ved denne gennemgang ikke konstateret nye svagheder. Kommunens etablerede tilsyn med efterlevelse af it-sikkerheden i kommunen er udført som forudsat og har ikke ført til kritik fra vores side. I sidste halvdel af 2012 og primo 2013 blev Sb-Sys, SD-Løn og KMD-Sag EDH taget i anvendelse. Hermed har Randers kommune grundlaget for at overholde Sikkerhedsbekendtgørelsens krav om logning af elektronisk behandling af personfølsomme data. Den 7. november 2012 aflagde Datatilsynet besøg i Randers kommune. Inspektionens tema var Randers Kommunes ESDH-system (elektronisk sags- og dokumenthåndtering) med særlig fokus på tildeling og kontrol af autorisationer samt adgangen til personoplysninger i ESDH-systemet. Inspektionen gav anledning til bemærkninger, som der arbejdes på at få løst. I 2012 blev der gennemført 12 anmeldte og et mindre antal uanmeldte kontrolbesøg. Anmeldte kontrolbesøg foretages enten på baggrund af et uanmeldt tidligere besøg eller ved tilfældig udvælgelse. Her gennemgås en række it-sikkerhedspunkter ud fra et forud fremsendt skema. Uanmeldte kontrolbesøg foretages jævnligt tilfældigt eller på baggrund af konkrete hændelser, som f.eks. it-support har registreret. Herudover er der lagt vægt på mange spontane besøg uden et egentligt kontrolformål. Generelt er bevidstheden om it-sikkerhed og nødvendigheden heraf meget høj, hvilket giver sig udtryk i mange henvendelser om mulige og aktuelle trusler de enkelte brugere har observeret. Tilsvarende bekræfter trafikken på vores it-sikkerhedsportal også denne tendens. I løbet af året har 2.862 it-brugere således været inde på it-sikkerhedsportalen. Statusrapport pr. 1/3 2013 1 18. marts 2013

Sikkerhedshændelser Der er ikke registreret egentlige sikkerhedshændelser i denne kategori i 2012 1. Der er forekommet hændelser, som kunne have udviklet sig til dette, men hvor det kunne løses med uddannelse og omlægning af arbejdsmetode. Trusler Antallet af forsøg på at ramme it-systemerne eller enkelte brugere er generelt steget betydeligt på internationalt plan. Således også mod Randers Kommune. I januar måned 2012 registrerede/fangede kommunens firewall (Ironport) 983 angreb. I januar måned 2013 udgjorde tallet 2334. DKCERT 2 har jfr. deres årsrapport konstateret en stigning i antallet af sikkerhedshændelser på 45 % i forhold til 2011 og forventer at denne stigning fortsætter. Såvel hackerforsøg som i særdeleshed port scanninger er ifølge DKCERT steget voldsomt. It-afdelingen har opgraderet it-sikkerheden generelt og har udvidet brugen af ekstern sårbarhedsscanning af vores it-systemer. Seneste scanning i februar måned af en række udvalgte kritiske systemer viste kun få og mindre sårbarheder, som lader sig rette. Der blev således hverken fundet høje eller kritiske sårbarheder. Sårbarheder i Java, som bl.a. anvendes til at logge ind på netbank, Skat m.fl., har fyldt meget det sidste halve år, fordi hackere har kunnet udnytte disse sårbarheder til at få adgang til brugernes pc, hvis de kunne lokke brugeren til at klikke på et link, som derefter kunne placere forskellige hackerfiler på pc en. Bl.a. en keylogger som f.eks. aflæser brugerens password. Firmaet Oracle har imidlertid opgraderet vedligeholdelsen af denne applikation, så det er blevet vanskeligere for hackeren at udnytte Java til kriminelle aktiviteter. DanId arbejder også på at udvikle et alternativ til Java, men foreløbig taler de om en tidshorisont på 1 år. Udfordringer EU-forordning om persondatabeskyttelse: Et aktuelt udkast til en EU-Forordning om persondatabeskyttelse er udsendt til medlemslandene til udtalelse. I modsætning til et Direktiv tilsidesætter en Forordning de love og bestemmelser medlemslandet har på området. Med andre ord vil vores nuværende Persondatalov med tilhørende bekendtgørelser m.fl. udgå og blive erstattet af en fælles EU-lov. I forslaget skelnes der i øvrigt som udgangspunkt ikke mellem kommercielle virksomheder og offentlige myndigheder, og såvel kommuner som virksomheder med mere end 250 ansatte skal udpege en datasikkerhedsansvarlig som bl.a. skal indberette persondatatab til en myndighed. Ud fra en vurdering af tab og årsag vil der kunne idømmes bøde på en størrelsesorden op til 7,5 mill. Kr. Forslaget handler om at sikre ensartet og bedre beskyttelse af EU-borgernes data og databehandlinger, fordi der indsamles enorme mængder data om borgerne. 1 En sikkerhedshændelse kan eksempelvis være tab af data, servernedbrud eller kriminel handling mod Randers kommunes IT eller brug heraf. 2 DKCERT (Computer Emergency Response Team) er en tjeneste fra DeIC, DTU. DKCERT fungerer som CERT for Forskningsnettet. DKCERT varsler om akutte trusler mod it-sikkerheden på internettet. Statusrapport pr. 1/3 2013 2 18. marts 2013

Der er udvidede krav til udformning af Work flow, blanketter m.m., som kommunen skal anvende fremover. Disse krav fastsættes af EU. Et af kravene er eksempelvis, at borgeren aktivt skal tilkendegive, at han/hun er bekendt med hvilke data der indsamles og hvorfor. I dag er der kun krav om dokumentation af, at borgeren er orienteret herom, hvilket typisk sker i en fodnote i et brev til borgeren. I sit høringssvar til udkastet forudser KL store ressourcemæssige og økonomiske omkostninger for kommunerne til udviklingen af de selvbetjeningsløsninger, som er planlagt/planlægges i forbindelse med digitaliseringsplanen. På it-sikkerhedsområdet vil udfordringen være opfyldelse af udvidede kontrolkrav og regulær sagsbehandling i forhold til den enkelte borgers ønske om indsigt og sletning af egne data, jfr. nye rettigheder i forordningsudkastet. Det er endnu uklart, hvorledes disse rettigheder om sletning af egne data skal udmøntes, hvor sletning/arkivering i dag reguleres i Persondatalov og Arkivlov. Mobilitet Ønske om at kunne tilgå sine data fra hvor som helst og på mobile enheder er stærkt stigende, men de tekniske muligheder for at kunne imødekomme dette er også blevet bedre. Således kan IT-afdelingen i dag tilbyde løsninger som gør det muligt at tilgå Randers kommunes netværk på en sikker og betryggende måde fra eksempelvis skolernes elevnet eller et hvert andet netværk, som brugeren kan få adgang til. Ligeså kan gæster også hos os få adgang til internettet fra medbragt udstyr via vores gæstenet. De øgede muligheder for mobile adgange er netop reguleret i et nyt sikkerhedsbilag om distance- og mobile arbejdspladser, fordi brugen heraf også kræver at brugeren er særligt opmærksom på sikkerhedskrav og risici. Området kræver fortsat megen opmærksomhed. Brugen af ipad er øget betydeligt og ideerne til, hvad de kan bruges til ligeså. Dette har krævet et ikke ubetydeligt ressourceforbrug i årets løb og gør det fortsat, fordi det ofte handler om særdeles personfølsomme data, som kræver en høj grad af sikkerhed, logning m.m.. Ekstern databehandling Brug af Cloudløsninger 3 er ikke steget væsentligt og kun godkendt i tilfælde, hvor der er tale om data som hverken er personfølsom eller fortrolig. Brugen af Cloud er reguleret i et internt bilag som findes på itsikkerhedsportalen. Derimod er antallet af systemer, hvor data befinder sig på servere uden for Randers kommune, ændret fra få til flere databehandlere. KMD var og er stadig en af de store databehandlere, men også forhandlerne af SD- Løn, Prisme, E-dagsorden, Sb-sys m.fl. er kommet på banen. Udfordringen er at der indgås databehandleraftaler med leverandørerne, og at der årligt føres kontrol med, at disse overholder de gældende sikkerhedsbestemmelser i forhold til Randers Kommunes data. 3 Lagring af data på internettet hos eksterne udbydere. Statusrapport pr. 1/3 2013 3 18. marts 2013

Video Møder og kommunikation Ønsker og behov for løsninger på dette område er stigende. Især fordi der kan spares mange penge og tid på transport. Eksempel herpå er tolkebistand, der med brugen af video/audio kan ydes, selv om tolken sidder på en adresse et andet sted i landet. It-udfordringen er sikkerhed, når disse systemer anvendes til regulær sagsbehandling og/eller behandling af personfølsomme eller fortrolige data. Der skal være sikkerhed for, at kommunikationen foregår krypteret og sikkert mellem og kun mellem de berørte parter, ligesom logningskravet jfr. sikkerhedsbekendtgørelsen ikke er mindre blot fordi der er tale om video/audio, der på lige fod med det skrevne er data, som skal bevares. Ikke mindst for at vi kan dokumentere sagsbehandlingen. Også sagspartens ret til indsigt er væsentlig i den henseende. Når der anvendes ekstern udbyder, som eksempelvis et tolkebistandskontor er der også en særlig udfordring i at sikre at deres sagsbehandling og behandling af data er i overensstemmelse med en databehandleraftale, hvis de bånder møderne. Endelig er der også en udfordring i opbevaringen af videooptagelserne fordi de fylder utroligt meget. Video-optagelser Der laves en del video-optagelser på især børn- og unge området. Disse bruges f.eks. til dokumentation af et barns udvikling. Også her gælder at disse optagelser skal opbevares i et system som kan opfylde krav om kryptering og logning, ligesom en anmodning om aktindsigt skal kunne behandles efter gældende lov. Problemet er blot, at de gængse systemer, som f.eks. KMD Sag Edh, ikke kan håndtere så store filer. It-afdelingen arbejder på at finde løsninger også på dette område. Digitaliseringen Den 1. november 2013 skal alle virksomheder i Danmark kommunikere digitalt med det offentlige og 1. november 2014 skal 80 procent af danskere over 15 år kunne kommunikere digitalt med det offentlige. Digital kommunikation med det offentlige stiller især krav om kryptering, verificering, lagring og dokumentation. Det stiller ikke blot store krav digitale postløsninger, men også til selvbetjeningsløsninger hvor borgere og virksomheder kan skaffe sig adgang til egne og relevante data. Det betyder at kommunen skal have øget opmærksomhed på adgangskontroller. Altså at man er sikker på, at den rette borger eller virksomhed får adgang til de rette data, ligesom man, som hidtil, skal være sikker på, at kommunens medarbejdere ikke får adgang til data, som de ikke har lov til at se. Altså kun data som de har brug for arbejdsmæssigt og for at kunne foretage den konkrete sagsbehandling.. Statusrapport pr. 1/3 2013 4 18. marts 2013

Også logningskravene skal være overholdt, så kommunen kan dokumentere misbrug eller modbevise det modsatte. Hele dette område skal vægtes højt. Sikkerhedsstandard DS484, som Randers Kommunes it-sikkerhedspolitik læner sig op ad, er som sådan udgået og vedligeholdes ikke mere af Dansk Standard, som i stedet anbefaler ISO 27001 m.fl. herefter omtalt som 2700-standarden og er den nye internationale sikkerhedsstandard for informationssikkerhed. Den største forskel mellem de to standarder er især udgangspunktet for ansvar, hvor ISO 2700-standarden tager udgangspunkt i, at it-sikkerheden er ledelsens ansvar, mens DS484 tager udgangspunkt i de enkelte sikkerheds områder. Staten og flere andre myndigheder samt mange kommercielle og private virksomheder er gået over til 2700- standarden, mens kommunerne er ret tilbageholdende indtil videre. Formentlig fordi det vil kræve en del ressourcer at omlægge til 2700-standarden, eller at man skønner, at DS484-standarden er god nok endnu. I hvert fald er der ikke formelt krav om, at kommunerne skal overholde en bestemt standard. Sammenholdt med tidligere omtalte EU-forordning og de krav der stilles heri vil det være hensigtsmæssigt at skifte til 2700-standarden før eller senest samtidig med. Statusrapport pr. 1/3 2013 5 18. marts 2013

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback