1 / 15

Obligatorisk Oppgave 2 DRI 2002

Obligatorisk Oppgave 2 DRI 2002. Av Margrethe Ulfsbøl Aarseth, Simen Pettersen, Hanna Aase, Øivind Langeland. 07.04.2005. Disposisjon. Om Samordna opptak Om Intervjuet Drøfting mht. etterlevelse POL / POLF Sikkerhetsledelse (§ 2-3) Risikovurdering (§ 2-4)

leone
Télécharger la présentation

Obligatorisk Oppgave 2 DRI 2002

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Obligatorisk Oppgave 2DRI 2002 Av Margrethe Ulfsbøl Aarseth, Simen Pettersen, Hanna Aase, Øivind Langeland 07.04.2005

  2. Disposisjon • Om Samordna opptak • Om Intervjuet • Drøfting mht. etterlevelse POL / POLF • Sikkerhetsledelse (§ 2-3) • Risikovurdering (§ 2-4) • Sikring av konfidensialitet (§ 2-11) • Dokumentasjon (§ 2-16) • Konklusjon • Kilder

  3. Om Samordna opptak • Samordna opptak (SO) er et serviceorgan for høgskoler og universiteter i deres opptak til høgre grunnutdanning. (To typer brukere; potensielle studenter og læringsinstitusjoner) • Videre driver SO veiledning og informasjon for høgskole- og universitetssektoren og driver en informasjonsdatabase med oversikt over søkermassen til all høyere utdanning. (Ikke utelukkende, men primært er det informasjonssikkerheten rundt denne databasen vi er interessert i) • Samordna opptak er faglig underlagt et styre oppnevnt av Utdannings- og forskningsdepart. (UFD), og er organisert som en enhet ved Universitetet i Oslo. (Interessant ifbm. plassering av ansvar) (Samordna opptak 16.03.2005)

  4. Om Intervjuet I • Fremgangsmåte • Telefon • Epost • Respons • Generelt god respons og oppfølging • Oppmerksom på 30 dagers frist jfr POL § 16

  5. Om Intervjuet II • Spørsmål 1: Er det klart hvem som har ansvaret for informasjonssikkerheten for vedkommende system, og hvordan utøves denne funksjonen? (person? oppgaver? mv) • Svar 1: • SO ansvarlig for å tilfredsstille krav fra Datatilsynet (konsesjon), samt at lover og regler overholdes. • USIT er utøvende

  6. Om Intervjuet III • Spørsmål 2: Hvem får tilgang til personopplysningene i systemet? • Svar 2: • Universiteter og høgskoler • USIT (Drift, vedlikehold, utvikling) • Samordna Opptak • Potensielle Studenter

  7. Om Intervjuet IV • Spørsmål 3: Er det foretatt noen risikovurdering i forhold til ivaretakelse av konfidensialitet, og hva er konklusjonen? • Svar 3: • Siste risikovurdering utført 03.08.1994 ifbm. konsesjonen fra Datatilsynet. Resultatet er dokumentert. • Driftsforum er under oppretting, og vil ta stilling til denne type oppgaver / rutiner

  8. Om Intervjuet V • Spørsmål 4: Er det iverksatt noen tiltak for å sikre konfidensialiteten? • Svar 4: • Organisatorisk • PIN kode pr. post • Instruks om personopplysninger pr. telefon • Kun saksbehandlende institusjon har tilgang til aktuelle personopplysninger • Konsesjon av 03.08.1994 gir føringer mht. konfidensialitetssikring, datakvalitetssikring, tilgjengelighetssikring og tiltak ved påviste sikringsbrudd • Teknisk • Brannmur • Aksesskontroll (filtrering) vha. IP adr. • Passord • Elektonisk Signatur (utredes) • Statistikk er aggregert og anonymisert • Den enkelte søker har kun tilgang til sine egne personopplysninger • Sensitive opplysninger lagres ikke utover søkeperioden (gjelder spesielt de som søker på særskilte vilkår)

  9. Om Intervjuet VI • Spørsmål 5: Er tiltakene dokumenterte? • Svar 5: • Utgangspunktet er konsesjonsbrevet av 03.08.1994 • Korrespondansen (SO, Datatilsynet, UFD) som foranlediget konsesjonen, samt selve konsesjonen utgjør dokumentasjonen. • Kontrakt mellom SO og USIT eksisterer; 2005 – 2007. Revideres hvert 2. år (kost). (begrenset offentlighet).

  10. Sikkerhetsledelse (§ 2-3) • Bestemmelser og etterlevelse jfr. POLF • Daglig ledelse hos behandlingsansvarlig er ansvarlig • Jfr. Svar 1: Ansvaret er plassert hos SO • Sikkerhetsmål skal beskrives • Driftsforumet, som er planlagt opprettet, vil ta tak i dette. • Sikkerhetsstrategi skal beskrives • Driftsforumet, som er planlagt opprettet, vil ta tak i dette. • Jevnlig gjennomgang • Siste gjennomgang 13.08.1994. Driftsforumet vil bringe dette videre. Driftsforumet eksistens fremkommer av kontrakt mellom USIT og SO av desember 2004. • Dokumentasjon • Korrespondansen (SO, Datatilsynet, UFD) som foranlediget konsesjonen, samt selve konsesjonen utgjør dokumentasjonen.

  11. Risikovurdering (§ 2-4) • Bestemmelser og etterlevelse jfr. POLF • Oversikt over personopplysninger som blir behandlet • Det eksisterer oversikt over personopplysninger som blir behandlet. • Fastlegge kriterier for akseptabel risiko • Ikke gjort. Driftsforumet vil ta tak i dette. • Gjennomføre risikovurderinger • Sist utført 03.08.1994. Driftsforumet, som er under oppretting, vil ta tak i dette, og vil bla. sørge for jevnlige rutiner. • Dokumentasjon • Korrespondansen (SO, Datatilsynet, UFD) som foranlediget konsesjonen, samt selve konsesjonen utgjør dokumentasjonen..

  12. Sikring av konfidensialitet (§ 2-11) • Bestemmelser jfr. POLF • Tiltak mot uautorisert innsyn • Passord • IP Adr. filtrering • Brannmur • Avgrenset til enkeltpersoner • Kryptering ved elektronisk overføring eksternt • HTTP over SSL (HTTPS) • Gjelder også mellom SO (USIT) og de ulike lærestedene • Merking av lagringsmedium hvor konfidensialitet er påkrevd • Platelagrene ligger hos USIT. Dette må være databehandlers ansvar å utføre. SO benytter dedikerte platelagere (mulig endring ifbm. feiltolerans, men data vil fortsatt være separert/isolert). • Sletting av lagringsmedia • USIT håndterer dette. Dette må være databehandlers ansvar å utføre. Blitt nevnt av USIT, men trolig ikke nedfelt prosedyre i kontrakt o.l.

  13. Dokumentasjon (§ 2-16) • Bestemmelser jfr. POLF • Rutiner for bruk av informasjonssystemet mv. skal dokumenteres • Konsesjonen av 03.08.1994 er utgangspunktet. De ansatte ved SO er kjent med innholdet. Dog foreligger denne kun i papir, men er planlagt scannet. For øvrig gjelder IT-reglementet ved UiO • Dokumenter skal lagres i minst fem år • Dette ble ikke SO spurt om. Uklart hvorvidt dette er en oppgave som bør ligge hos databehandler eller behandlingsansvarlig. • Aksesslogger mv. skal lagres i minst 3 mnd. • Ikke spesifisert i avtale mellom SO og USIT. Kan tenkes at databehandler (USIT) må være ansvarlig for dette.

  14. Konklusjon • Totalt sett virker det som om SO har et bevisst forhold til POL og POLF. • Konfidensialitet later til å ha fokus og til å være vel ivaretatt. • Siste risikovurdering: 03.08.1994 • Korrespondans og konsesjon utgjør dokumentasjonen • Våre funn må sees i lys av at SO tradisjonelt har vært under UiO (prosjekt 1994 – 2004), og først i det senere fått eget styre.

  15. Kilder • Samordna opptak. Om SOURL: http://www.samordnaopptak.no/om_so/ [Lest 16.03.05.] • Personopplysningsloven. URL: http://www.lovdata.no/cgi-wift/wiftldles?doc=/usr/www/lovdata/all/nl-20000414-031.html&dep=alle&titt=personopplysningsloven&[Lest 31.03.05.] • Personopplysningsforskriften. URL: http://odin.dep.no/jd/norsk/dok/regelverk/lover/012001-200005/hov004-bn.html[Lest 31.03.05.] • Schartum: Informasjonssikkerhet, 2005. Fagbokforlaget. • Daglig Leder Olaf Svorstøl • Ass. Daglig Leder Trine Hotvedt

More Related