Sikkerhed i cloud computing



Relaterede dokumenter
Digitalisering og sikkerhed i den offentlige sektor. Om Digitaliseringsstyrelsen Sikkerhedsopgaverne i Digitaliseringsstyrelsen Projekter Dilemmaer

Kontraktbilag 7: Databehandleraftale

Procedure for tilsyn af databehandleraftale

Cloud jura hvilke regler gælder I skyen? IT Driftskonferencen, 29. januar 2014

Databeskyttelsesdagen

Cloud jura hvilke regler gælder I skyen? DeiC konferencen, 1. oktober 2014 Pia Ullum, Legal Director, CSC Danmark A/S

DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet

DATABEHANDLERAFTALE. Mellem parterne: Den dataansvarlige myndighed Regioner og kommuner (herefter Dataansvarlig )

Databehandleraftale mellem Aarhus Kommune, Børn og Unge og leverandørnavn indsættes

Databehandleraftale mellem Aarhus Kommune, Børn og Unge og [leverandørnavn indsættes]

It-revision af Sundhedsdatanettet januar 2016

3 Omfattede typer af personoplysninger og kategorier af registrerede

Eksempel på KOMBITs instruks til ISAE 3000 revisionserklæring

3 Omfattede typer af personoplysninger og kategorier af registrerede

Databehandleraftale. (den Dataansvarlige og Databehandleren i det følgende hver for sig benævnt Part og under et Parterne )

Cloud og it-sikkerhedsudfordringerne: Dansk Automationsselskab

Databehandleraftale. mellem. [anfør kontraktpart] [anfør adresse] [anfør postnummer] [anfør cvr.nr.] (herefter benævnt Databehandleren )

Databehandleraftale Bilag 8 til Contract regarding procurement of LMS INDHOLD

Status baseret på MedCom s svar og handleplan vedrørende revisionsrapport om it-revision af Sundhedsdatanettet (SDN) 2015

BILAG 14: DATABEHANDLERAFTALE

Bilag 7.1 Status på handleplan

Datatilsynet er den centrale uafhængige myndighed, der fører tilsyn med, at reglerne i persondataloven overholdes. Kort om Datatilsynet.

BILAG 5 DATABEHANDLERAFTALE

DATABEHANDLERAFTALE. Mellem. [XXXX] Kommune [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Kommunen )

Databehandleraftale. (De Dataansvarlige og Databehandleren i det følgende hver for sig benævnt Part og under ét Parterne )

(Fremtidens) Regulering af cloud computing

Vejledning om den praktiske tilrettelæggelse af tilsynet med informationssikkerheden

! Databehandleraftale

Driftskontrakt. Databehandleraftale. Bilag 14

Kontraktbilag 3. Databehandleraftale

2. Leverandøren er som databehandler forpligtet til følgende:

Udkast til svar på Rigsrevisionens rapport om it-sikkerheden på SDN [Godkendt af MedComs styregruppe den 12. februar 2016]

KOMBIT sikkerhedspolitik

Notat. Notat om love og regler der unødigt vanskeliggør anvendelsen af cloud computing

Digitaliseringsstyrelsens konference 1. marts 2018

(Dataansvarlig og Databehandler herefter under et benævnt Parterne og enkeltvis Part )

Databehandleraftale. (den Dataansvarlige og Databehandleren i det følgende hver for sig benævnt Part og under et Parterne )

IT-sikkerhedspolitik S i d e 1 9

Forsvarsministeriets Materiel- og Indkøbsstyrelse

AFTALE OM BEHANDLING AF PERSONOPLYSNINGER. Mellem. [X] [Adresse] [Postnr. + By] CVR. nr.: [xxxxxxxx] (herefter Leverandøren )

VEJLEDNING Sikkerhedsmæssige overvejelser ved cloud computing og outsourcing

Bilag 1 Databehandlerinstruks

Databehandlingsaftale

Vejledning og tjekliste til indgåelse af databehandleraftaler

Bilag 11 - Databehandleraftale

KOMBIT OG SIKKERHED NU, OM LIDT OG FREMTIDEN

DATABEHANDLERAFTALE. Conscia A/S. Conscia A/S Kirkebjerg Parkvej 9 DK-2605 Brøndby Tlf

Tønder Kommune BILAG 10

DATABEHANDLERAFTALE. Mellem. Svendborg Kommune Ramsherred Svendborg CVR. nr.: (herefter Kommunen ) XXXXXX xxxxxx xxxx

MedComs informationssikkerhedspolitik. Version 2.2

Beretninger om behandling af fortrolige oplysninger og forebyggelse af hackerangreb

Netic A/S. Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til Netic A/S serviceydelser.

Databehandleraftale. Dags dato er indgået nedenstående aftale mellem

(den Dataansvarlige og Databehandleren i det følgende hver for sig benævnt Part og under et Parterne )

Databehandleraftalen omfatter følgende typer af personoplysninger:

Behandling af personoplysninger

Databehandleraftale. mellem. [anfør kontraktpart] [anfør adresse] [anfør postnummer] [anfør cvr.nr.] (herefter benævnt Databehandleren )

DATABEHANDLERAFTALE VEDRØRENDE [AFTALENAVN]

DATABEHANDLERAFTALE [LEVERANDØR]

DATABEHANDLERAFTALE. Mellem. Furesø Kommune Stiager Værløse CVR. nr.: (herefter Kommunen )

INFORMATIONS- OG INDIVIDSIKKERHED (IOI) VEJLEDNING OM RISIKOHÅNDTERING (SIKKERHEDSKONTROLLER) Version 1.0

Overordnet informationssikkerhedsstrategi

Databeskyttelsespolitik

PRIVATLIVSPOLITIK MONTAGEBUREAUET APS S AF PRIVATLIVSPOLITIK

Bilag 9 Databehandleraftale

Overordnet Informationssikkerhedsstrategi. for Odder Kommune

Hjørring Kommune. Overordnet I-sikkerhedspolitik for Hjørring Kommune

Jeres virksomhed ( Kunden ); og Digital-servicebook.com, Vordingborgvej 79, 4700 Næstved DK ( Leverandøren )

Databehandleraftale. Mellem. Den dataansvarlige: Virksomhed: CVR: Adresse: Postnummer & By: Land: Databehandleren. Virksomhed: OnlineFox CVR:

Publikationen er gratis. Publikationen kan hentes på: digitaliser.dk. Udgivet af: IT- & Telestyrelsen. ISBN (internet):

Ledelsen har sikret, at der er etableret en hensigtsmæssig itsikkerhedsorganisation

Kontrakt om IT-infrastruktur-services 2017

Den Dataansvarlige og Databehandleren benævnes herefter samlet "Parter" og hver for sig "Part".

OVERORDNET INTERN PERSONDATAPOLITIK FOR BEHANDLING AF PERSONLIGE OPLYSNINGER I LIONS MD 106.

Databehandleraftale. Mellem. Egedal Kommune. Dronning Dagmars Vej Ølstykke. Herefter benævnt Dataansvarlig. Leverandør navn.

Informationssikkerhedspolitik for <organisation>

DATABEHANDLERAFTALE. Omsorgsbemanding

DATABEHANDLERAFTALE. Mellem. [indsæt systemejer] adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Kommunen )

Persondatapolitik for behandling af personoplysninger i Børnecancerfonden Vedtaget af Børnecancerfonden den

Bilag til kunder (herefter Dataansvarlige), som har indgået aftale med Dansk Løn Service ApS

Databehandleraftale vedrørende brug af. WinPLC og relaterede services. Version 1.0 d. 1. november Parterne. Kundenr.:

Dragør Kommune Borgmestersekretariat, IT og Personale Marts

Persondataretlige aspekter ved cloud computing

DATABEHANDLERAFTALE. Mellem. Silkeborg Kommune Søvej Silkeborg CVR. nr.: (herefter Kommunen )

Vejledning. Tværinstitutionelt samarbejde mellem regioner og universiteter vedrørende sundhedsdata. September 2018

Databehandleraftale. vedr. brug af WebReq (WBRQ) Version 1.2 af d. 23. maj Dansk Medicinsk Data Distribution A/S

BEK nr 529 af 02/05/2019 (Gældende) Udskriftsdato: 20. juni Senere ændringer til forskriften Ingen

Overordnet organisering af personoplysninger

DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II)

DATABEHANDLERAFTALE. Mellem. [XXXX] Kommune [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Kommunen )

Persondataforordningen fra Dansk Energis perspektiv. Xellent inspirationsdag, 1. juni 2017

Målrettet arbejde med persondataforordningen for

Overordnet organisering af personoplysninger

Retsudvalget REU Alm.del Bilag 353 Offentligt. Anbefalinger til styrkelse af sikkerheden i statens outsourcede it-drift

EG Cloud & Hosting

GML-HR A/S CVR-nr.:

Databehandleraftale. Mellem. Den dataansvarlige: Helle Melgaard. Fiskerstræde Millinge. Denmark. Databehandleren. Bricksite ApS CVR

Ishøj Kommune Ishøj Store Torv Ishøj CVR [behandlernes navn] [behandlerens adresse] [Postnummer] CVR.

DATABEHANDLERAFTALE Version 1.1a

Transkript:

Sikkerhed i cloud computing Databeskyttelsesdagen 2012 Morten Jørsum Center for Digitalisering Digitaliseringsstyrelsen mjrsm@digst.dk

Hvad er cloud computing It som en service: Leveres og betales efter behov og forbrug. Tilgås via internettet. Leveres fra en platform af fælles computerressourcer. Kan let skaleres op og ned efter behov.

Potentialer Effektivisering af drift og vedligehold Den store skala gør, at services kan tilbydes billigt. Øget fleksibilitet og innovation Cloud er fleksibelt og giver derved mere plads til innovation. Kortere time to market. Flytte it-afdelingens ressourcer fra drift over til udvikling af forretningskritisk it.

Initiativer Brug af cloud f.eks. Nemhandel. Cloud computing og de juridiske rammer. Arbejdsgruppe om love og regler der unødigt vanskeliggør cloud computing. Kommissionen forventes at lancere en strategi for cloud computing i 2012.

Sikkerhed i cloud computing Datacentre beliggende i udlandet. Sikkerhed i cloud computing miljøer skabes i højere grad af logiske kontroller (såsom mekanismer til sikring mod tab af fortrolighed, integritet og tilgængelighed) frem for fysisk adskillelse. Trusler og risici vil variere afhængigt af, om man f.eks. benytter en standardiseret software-løsning som et mail- eller dokumentprogram, eller om man benytter skyen til at drive (hoste) applikationer, som man selv har udviklet. Sikkerhed i cloud computing etableres bl.a. via: Etablering af sikkerhedspolitikker Programmer for informationssikkerhed Klassificering af assets Personalesikkerhed Fysisk sikkerhed Adgangskontrol Andre logiske og tekniske kontroller Overvågning Processer for sikker udvikling

To veje til sikkerhed i cloud computing 1. Kontrol via revision og sikkerhedsdokumentation Via kontrakten og ved vurdering og revision af sikkerhedskontroller kan det sikres, at databehandleren overholder passende organisatoriske og tekniske sikkerhedskrav. 2. Forebyggende sikkerhed Hvor sikkerheden bygges ind i systemet fra start af. Derved bliver man mindre afhængig af cloudleverandørens egen sikkerhed.

Risikovurdering Den dataansvarlige laver en samlet risikovurdering (ISO 27001, DS 484). Inspiration i ENISA s publikation om cloud computing og informationssikkerhed fra 2009. Tilgængelighed, integritet, fortrolighed og sikring af privatlivets fred. Risikovurderingen kan baseres på: Gennemgang og vurdering af den it-revision, som leverandøren har fået foretaget. Yderligere dokumentation for, at kontroller er implementerede og effektive. Føre kontrol ved inspektion af log-data. Indhente andre relevante oplysninger om iværksatte kontroller og sikkerhedsforanstaltninger.

Databehandleraftale Den dataansvarlige skal sikre sig, at databehandleren kan træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger. Der skal indgås en databehandleraftale (kontrakt) hvoraf det bl.a. skal fremgå: At databehandleren alene handler efter instruks fra den dataansvarlige. At databehandleren træffer fornødne tekniske og organisatoriske sikkerhedsforanstaltninger. Udfordring: Cloududbydere benytter standardkontrakter.

Overførsel til tredjelande Overførsel til sikkert tredjeland. Safe Harbor-ordningen. Kommissionens standardkontrakt om overførsel af oplysninger til tredjeland. Øvrige sikkerhedskrav (sikkerhedsbekendtgørelsen).

Forebyggende sikkerhed Udfordring: Traditionelle sikkerhedsmodeller er baseret på en stærk perimetersikkerhed. Perimeteren udfordres bl.a. af cloud computing. Ved at designe it-systemer på en ny måde kan man i nogen grad imødekomme udfordringen. Minimere brugen af sensitive data. Dette kan gøre det nemmere og billigere at beskytte it-systemer. Dette er noget vi arbejder generelt med, men det er stadig i de indledende stadier. Erstatter ikke den anden tilgang, men kan supplere den.

Byggeklodser Ny type akkreditiver (kontekstafhængige) baseret på avanceret kryptografi. Selective disclosure. Fjern personhenførbare referencer til data - brug virtuelle identiteter. Isolér de enkelte brugertransaktioner.

Perspektiver Ved at anvende disse principper i sikkerhedsdesignet minimeres konsekvenserne ved kompromittering af data: Hvis løsningen kompromitteres vil data ikke kunne henføres til fysiske personer, men kun til virtuelle identiteter. Data vedrører kun den lokale transaktion og kan ikke sammenkobles med øvrige data. Kan potentielt gøre det nemmere og billigere at beskytte data. Man bliver mindre afhængig af cloudleverandørens sikkerhed.

MERE INFORMATION Morten Jørsum mjrsm@digst.dk Tlf. 72 31 91 86 Se mere på: http://digitaliser.dk/group/375255

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback