DataOverVågning - Risiko og Væsentlighed Dias 1
Agenda 1. Indledning og agenda 2. RGA hvad og hvem 3. Fokus for RGA s IT sikkerhed 4. Hvad gør vi med InfoSphere Guardium 5. Hvorfor og hvordan implementerer vi InfoSpherer Guardium 6. Sammenfatning Dias 2
Hvem er giraffen Peter Hove Msc. Political Science/Economy Arbejdsmarkedsstyrelsen ryd op efter AMANDA og impl. Navision Stat Region Hovedstaden Intra- og internet samt Elektronisk Patient Journal Københavns Kommune KMD sag Danske Bank Erstatning af gl. legacy systemer Logica - SharePoint RI Retsgenetisk afdeling Ryd op og strømligning af Enterprise Arkitetur Mission - Ryd op i systemer - og strømline organisation og personale/roller https://dk.linkedin.co m/in/dkpeterhove Dias 3
Hvad laver RGA Analyser af DNA i forbindelse med RETSGENETIK Analyser af DNA prøver i straffesager for politiet og domstolene Tunge sager : Terror, Drab, Røveri, Voldtægt, pædofili, ildspåsættelser mv. lettere sager : Tyveri, hærværk, indbrud, mv. Analyser af DNA prøver for Statsforvaltningen faderskabssager Analyser af DNA prøver for Indenrigsministeriet Slægtsskabssager Dias 4
Hvor meget laver RGA Aktiviteter og omsætning ca. 20.000 straffesager ca. 50 drab ca.100 drabsforsøg 400-500 voldtægtssager 400-500 voldssager Resten er røverier, indbrud, ildspåsættelser, biltyveri, narkosager, hærværk, ca. 12.000 prøver fra identificerede personer 1. Januar 2015: > 100.000 personer i politiets dna-register Omtrent 3.000 hits til dna-spor i gamle sager i politiets dna-register årligt ca. 1000 faderskabssage ca. 100 slægtsskabssager Dias 5
Hvor ses det hvad RGA laver Sager fra virkeligheden Dias 6
Hvad laver RGA: Produktionsprocessen CSI Spor Domme Effekter RGA-Analyse og produktionsflow Forbrydelse Sammenligninger og Erklæring
Hvordan - DNA analyser i praksis DNA er genetiske fingeraftryk Som politiet indsamler på gerningssteder og sender til RGA Analyser af DNA prøver for Statsforvaltningen Analyser af DNA prøver for Indenrigsministeriet Dias 8
Hvad er DNA analyser Hvor finder vi DNA: Mundskrab Hårceller Spyt Blod Hudceller Sæd/vaginalceller Dias 9
Hvad er DNA analyser Hvad finder vi DNA på: Dias 10
Hvordan - DNA prøvers behandling af data DNA prøver indsamles fra nogen Som er/bliver registreret med personhenførbare oplysninger Som er sigtet for en forbrydelse eller part i en fadeskabssag Som ikke er dømt - endnu Dias 11
Hvordan - DNA prøvers behandling DNA prøver indsamles fra nogen Som er registreret Cpr. Nr Navne Adresser Ofre og gerningsmænd Som er sigtet for en forbrydelse Gerningskoder Gerningssteder Dias 12
Fokus for RGA s IT sikkerhed Datasikkerhed frem for adgangssikerhed Brug for datasikkerhed: Høj fokus Personfølsomme data - I en lang og kompleks produktionsproces og igennem mange hænder Ikke brug for Adgangssikkerhed: Lav fokus Der er ikke hul igennem Fysisk lukket netværk - Ikke hackere og angreb og datatab og kompromittering Dias 13
Fokus for RGA s IT sikkerhed Risiko og væsentlighed Need to know og nice to know (Persondatalov og EU forordning) Fortrolighed og beskyttelse af borgernes personfølsomme data (Persondatalov og EU forordning) Dias 14 Beskyttelse af kunder imod skandalisering og beskyttelse af Brand (Legal katastrofe, ødelagte kunderelationer og tabt indtjening)
Fokus for RGA s IT sikkerhed Hvordan styrer vi og monitorerer Medarbejdere og udviklere i laboratorier og sagsbehandling Akkrediterede procedurer for arbejdsgange/behandling af prøver, sager og data Opslag styres via rettigheder/roller i kernesystem (Laboratoriesystemet LabWare mv.) Udtag af data/filer fra lukket kernesystem kun via ledere m. særlig adgang og kode Indsamling/logning af opslag (CRWD) via databasemonitorering (Tidl.: McAffe Database monitorering. NU: IBM InfoSphere Guardium) Dias 15
Fokus for RGA s IT sikkerhed Hvad monitorerer vi med Databasemonitorering Hvilke medarbejdere, der har CRWD et Hvad medarbejderne/udviklerne har CRWC et Hvornår de har CRWD et Hvilken anvendelse, som er udført I overvågningsrapporter I policies (Med InfoSphere Guardium) Dias 16
Fokus for RGA s IT sikkerhed Hvad lagde RGA vægt på, da vi valgte IBM InfoSphere Guardium At det kan monitore databaseaktiviteter At det kan anvendes på hele RGA også på de øvrige afdelingers Databaser Relativ minimal performanceimpact Brugervenlig interface Opsætning af policies Dias 17
Hvordan implementerer vi InfoSphare Guardium SW setup først dernæst regler mv. 1. SW i test 2. Udfordringer med MS set-up 3. Uddannelse af brugerne 4. Udformning af hello world rapporter 5. Udformning af rigtige driftsrapporter 6. Udformning af regler og policies 7. SW i drift 8. Implementering Dias 18
Dias 19