DEL 3: Risikobaseret behandlingssikkerhed

Risikobaseret behandlingssikkerhed 

Før databeskyttelsesforordningens ikrafttræden den 25. maj 2018 henviste myndighederne til

når myndighederne skulle forklare dig hvad du bør gøre for at iværksætte et relevant og brugbart IT-Sikkerheds Cyber Forsvar til at håndtere og dokumentere digital IT-Sikkerhed.

Efter den 25. maj 2018 er Sikkerhedsbekendtgørelsen afskaffet og i stedet henviser myndighederne til Risikobaseret IT-Sikkerhed. Dette står beskrevet i den seneste særvejledning på Datatilsynets hjemmeside ”Behandlingssikkerhed og databeskyttelse gennem design og standardindstillinger” som ligger her

Men hvad er risikobaseret IT-Sikkerhed og hvordan udfører man en risikovurdering, kæder den sammen med relevante projekter og hvordan måler man disse projekters effektivitet? Og ikke mindst hvordan aktiverer organisationens ledelsesansvaret for IT-Sikkerhed ved at kvalificere og kvantificere (økonomisk) hvilke projekter der skal gennemføres, til hvilken pris og med hvilke ressource krav? Og sidst men ikke mindst hvordan måler organisationen en ”passende” (tilstrækkelig) IT-Sikkerhed og dokumenterer den med relevante kontroller?

Draware note: Det giver et væsentligt bedre billede at tale om risiko i stedet for sikkerhed. Det skyldes at udtrykket sikkerhed henfører til den del af forsvaret som forhindrer en sikkerhedsbrist, mens risikoen henfører til at der altid vil være en risiko for en sikkerhedsbrist, men at den accepterede risiko regulerer sandsynligheden for en eller flere sikkerhedsbrister. Sidstnævnte er en mere realistisk synsvinkel på IT-Sikkerhed.

I nedenstående vil jeg gennemgå principperne for hvordan dette gøres med relevante referencer til litteratur og standarder, men allerede nu kan du springe direkte til Drawares Dansk IT-Sikkerhedsbarometer™  og se hvordan risikoprofilen kan hjælpe med dette:

 

I artikel 32+25 nævnt ovenfor (her forholder vi os kun til indholdet af artikel 32) referer styrelsen til at organisationen skal etablere et ”passende sikkerhedsniveau”. Ordet ”passende” skal ses i forhold til:

  • Den persondatabehandling der finder sted (hvor mange persondata og hvilke typer af persondata)
  • Organisationens tekniske niveau og ressourcer
  • Og ikke mindst i relation til en risikovurdering for denne behandling, hvilket vil sige konsekvensen af og sandsynligheden for at en given trussel kan føre til en persondata sikkerhedsbrist og evnen til at håndtere denne efter artikel 32-34.

En risiko kan føre til følgende hændelser hvis den ikke håndteres i tilstrækkelig grad (”er passende”) og derfor udgør fører til et sikkerhedsbrud relateret til personoplysninger:

  • hændelig eller ulovlig tilintetgørelse
  • hændeligt eller ulovligt tab
  • hændelig eller ulovlig ændring
  • uautoriseret videregivelse af eller adgang til personoplysninger,der er transmitteret, opbevaret eller på anden måde behandlet,og som kan føre til fysisk, materiel eller immateriel skade

Konsekvensen af en mangelfuld risikohåndtering kan før til skadevirkninger for fysiske personer (og du skal svare på om fysiske personer har lidt nogle af følgende skadevirkninger hvis/år du anmelder et sikkerhedsbrud på virk.dk):

  1. Fysisk skade
  2. Materiel skade
  3. Immateriel skade
  4. Forskelsbehandling
  5. Identitetstyveri
  6. Identitetssvig
  7. Økonomiske konsekvenser, herunder finansielle tab
  8. Skade på omdømme
  9. Sociale konsekvenser
  10. Indflydelse på privatliv
  11. Skade på menneskelig værdighed
  12. Skade på legitime interesser
  13. Begrænsning/krænkelse af fundamentale rettigheder og frihedsrettigheder
  14. Forhindring i udøvelse af kontrol med egne personoplysninger

 

Det anbefales at organisationen bruger en eller flere sikkerhedsstandarder som gudeline for bedste praksis og her nævner vejledningen:

  1. ISO27001 (og ISO27002)
  2. COBIT (Control Objective for Information and Related Technology)
  3. ISF Standard of Good Practice for Information Security (som også peger på Center for Internet Security 20 kritiske kontroller)

…og for risikovurderingen

  1. ISO 29134
  2. ENISA “Handbook on security of personal data processing”
    …vi anbefaler desuden at du kigger på
  3. NIST 800-30R1 (https://nvlpubs.nist.gov/nistpubs/legacy/sp/nistspecialpublication800-30r1.pdf) til risikoanalyse   
  4. Center for Internet Security (CIS) Risk Assessment Management (RAM)

 

Særvejledningen gør direkte opmærksom på at organisationen selv er ansvarlig for at kunne dokumentere en tilstrækkelig behandlingssikkerhed baseret på en relevant risikoanalyse med udgangspunkt i konsekvens og sandsynlighed for at et sikkerhedsbrud ikke påvirker fysiske personer og hvis det gør, at organisationen så kan håndtere dette på bedste måde:

Direkte fra vejledningen:

”Forordningen fortæller dig ikke, hvilke præcise foranstaltninger, du skal træffe. Valget ligger i første række hos dig. Du er ansvarlig for, og du skal kunne påvise og dokumentere, at personoplysninger i din organisation behandles på en måde, der sikrer tilstrækkelig sikkerhed for de personoplysninger, du behandler.

For at kunne gøre dette, er du nødt til at få de risici, der er forbundet med din behandling af personoplysninger frem i lyset. Det gør du ved hjælp af en risikoanalyse, hvor du også tager aktivt stilling til de risici, du har identificeret. Herefter gennemfører du de foranstaltninger, der er nødvendige for, at dit sikkerhedsniveau er tilstrækkeligt. Det er i den forbindelse et krav i fortegnelsen, at beskrive de tekniske og organisatoriske sikkerhedsforanstaltninger omhandlet i artikel 32, stk. 1.”

 

Vejledningen nævner herefter en række (ikke udtømmende) foranstaltninger og det er efter Drawares opfattelse helt afgørende at du sætter disse foranstaltninger ind i et målbart rammeværk for at kunne sikre de nødvendige kontroller, der beviser og dokumenterer den tilstrækkelige behandlingssikkerhed. Følgende er en (ikke udtømmende) liste med foranstaltninger taget direkte fra vejledningen:

  1. Tekniske foranstaltninger:
    1. Antivirus herunder nye typer antivirus, der også kan detektere nye vira
    2. Firewall
    3. Antispam og -phishing filtre
    4. IDPS (system overvågning og alarmering ved ens perimetersikring)
    5. Endpoint Security
    6. Kryptering
    7. Logging
    8. Pseudonymisering / anonymisering
    9. Sårbarhedsskanning og penetrationstests
    10. Løbende opdatering af software, herunder vedligeholdelse af systemer ved patching
    11. IAM systemunderstøttelse
    12. Adgangskontrol baseret på multi-faktor autentifikation
    13. Klassifikation af data f.eks. almindelige, fortrolige, hemmelige og top hemmelige
    14. Netværkssegmentering og isolering
    15. Mobile device management, system der kan sikre og gennemtvinge sikkerhedspolitikker på mobile enheder
       
  2. Organisatoriske foranstaltninger:
    1. IT-sikkerhedspolitik
    2. ISMS (information security management system)
    3. Fortegnelse over informationsaktiviteter
    4. Risikovurdering
    5. Træning af medarbejdere og løbende awareness
    6. Løbende identifikation af regler og praksis
    7. Identity and access governance

Særvejledningen specificerer også artikel 32’s særlige omtale af 4 centrale begreber som skal indgå i behandlingssikkerheden:

  1. Integritet
    Med ”integritet” menes oplysningernes ægthed, hvilket bl.a. vil sige muligheden for at validere, om data på dine systemer er korrekte, pålidelige, nøjagtige og/eller fuldstændige
     
  2. Tilgængelighed
    Med ”tilgængelighed” menes bl.a. hvorvidt behandlingssystemer og –tjenester og den data, der ligger i disse, er tilgængelige ved anmodning fra en autoriseret bruger
     
  3. Robusthed
    Med ”robusthed” menes bl.a. evnen til at sikre den tekniske og organisatoriske modstandsdygtighed i dine behandlingssystemer og –tjenester
     
  4. Vedvarende
    Med ”vedvarende” menes, at evnen til at sikre den ovenfor nævnte fortrolighed, integritet, tilgængelighed og robusthed er en løbende teknisk og organisatorisk forpligtelse

 

Vejledningen går herefter videre med en anbefaling til hvordan organisationen bør håndtere den praktiske behandlingssikkerhed som et workflow med følgende punkter. Her kan Draware hjælpe din organisation på følgende måde:

  1. Identifikation og vurdering af risici
    >> Løsning: Drawares GAP Analyse baseret på vores Sikkerhedsprofil giver organisationen et målbart resultat som nemt kan kommunikeres til ledelsen af organisationens nuværende digitale IT-Sikkerhedsprofil. Her peges på en prioriteret liste af sikkerhedsforanstaltninger som alle detaljeres med økonomi, ressource og tidsforbrug.
     
  2. Identifikation af mulige foranstaltninger
    >> Løsning: Draware Risikoprofil detaljerer det nuværende niveau af risiko på en % skala inden for følgende områder:
    1. Bruger baseret risiko: 14 relevante målinger
    2. IT Operations: 21 relevante målinger
    3. Ledelsen: 11 relevante målinger
    4. Ekstra målinger som organisationen selv definerer: 6 målinger

Risikoprofilen sammenkæder direkte nuværende risiko og ønsket RISIKOREDUKTION med relevante prioriterede projekter som ledelsen direkte kan udvælge/ fravælge specifikke projekter og se hvordan dette påvirker det overordnede risikobilleder.

  1. Gennemgang af, hvilke kortlagte foranstaltninger der imødegår relevante risici, så et passende sikkerhedsniveau opnås
    >> Løsning: Kombinationen af de allerede nævnte profiler, samt Ledelsesprofilen og Organisationsprofilen, samt den indbyggede sammenkædning af:
    1. Sikkerhedsforanstaltninger (detaljeret og praktisk udmålt samt relateret til ISO27001/2 compliance)
    2. Relaterede IT-Sikkerhedsprojekter med tilhørende detaljeret vurdering af ressourceforbrug
      i både ”antal timers drift om ugen” og ”antal dages implementering”
    3. Økonomisk oversigt over alle IT-Sikkerhedsprojekter
       
  2. Implementering af de foranstaltninger, som det besluttes at gennemføre
    >> Løsning: Drawares Kontrolprofil og Procesprofil hjælper dig med rettidigt at dokumentere effektiviteten af de sikkerhedsforanstaltninger som er vedtaget og gennemført under punkt 3 og 4. Når kontrollerne viser non-compliance kan du dokumentere hvorfor og tage actions til at genoprette compliance.

Hvis du gerne vil høre mere om vores sikkerhedsprofiler så kan du ringe til os på 45 76 20 21, e-maile Christian Schmidt direkte på chr@draware.dk eller se vores hjemmeside om vores løsning: Draware IT-Sikkerhedsbarometer™

 

Se også:

Blog DEL 1: Databeskyttelsesforordningen og praksis for bødestørrelser

Blog DEL 2: Hvad skal du oplyse myndighederne om ved et datasikkerhedsbrud?

 

COM_EASYBLOG_PREV_RECIPE
COM_EASYBLOG_NEXT_RECIPE