Informasjonssikkerhet og personvern i de ulike fasene
Informasjonssikkerhet og personvern i konseptfasen
I konseptfasen må dere vurderere behovet for informasjonssikkerhet og personvern på det aktuelle arbeidsområdet.
Et digitaliseringsprosjekt må ha et bevisst forhold til informasjonssikkerhet og personvern fra start. Dersom tiltak må legges på til slutt resulterer dette ofte i økte kostnader og forsinkelser i prosjektet og løsningene kan ofte bli dårligere kvalitetsmessig.
I konseptfasen må dere vurdere overordnede behov for informasjonssikkerhet og personvern. Det vil si behov for å sikre konfidensialitet, integritet og tilgjengelighet og vurdere om arbeidsområdet kan være omfattet av regelverk eller avtaler som stiller spesielle krav til sikkerhetstiltak.
Dersom prosjektet skal fremskaffe løsninger som vil kunne omfattes av sikkerhetsloven, eller dersom prosjektgjennomføringen innebærer behandling av sikkerhetsgradert informasjon, må dere ivareta dette særskilt. Veiledning på sikkerhetslovens område, inkludert sikkerhetsgraderte anskaffelser, gis av Nasjonal sikkerhetsmyndighet.
Ofte vil produktene fra prosjektet behandle personopplysninger, og da må dere vurdere om dette gir personvernulemper.
I konseptfasen trenger dere ikke gå ned i detaljene, men notere eventuelle behov som dere må analysere grundigere i planleggingsfasen.
I konseptfasen skal dere utrede flere alternative konsepter, deriblant null-alternativet. Gir de ulike konseptene opphav til ulike informasjonssikkerhets- eller personvernbehov?
Personvern
Personopplysningsloven (personvernforordningen/GDPR), stiller krav til behandling av personopplysninger. Loven krever at de som behandler personopplysninger bygger inn personvern fra start i et digitaliseringsprosjekt, ved å gjennomføre egnede tekniske og organisatoriske tiltak. For en utfyllende beskrivelse av hvordan dere går fram for å sikre innebygd personvern i et produkt, se Datatilsynets veileder Programvareutvikling med innebygd personvern.
Viktige spørsmål knyttet til personvern:
- Berører konseptene personverninteressene på forskjellige måter, for eksempel hvis dere tar et makt-, integritets- eller beslutningsfokusert perspektiv på personvern?
- Kan løsningen bidra til avmakt, bedre beslutninger eller et for nærgående bilde av personen?
- Se også konseptfase-aktiviteten: Hvilke prinsipielle spørsmål reiser konseptene?
Det kan være verdt å merke seg at det å beholde dagens løsning kan gi dårligere informasjonssikkerhet og personvern enn å utvikle en ny løsning.
Eksempler på behov for informasjonssikkerhet:
- Konfidensialitet (Sikre at informasjonen ikke blir kjent for uvedkommende)
- Dersom dere skal behandle informasjon som er omfattet av lovpålagt taushetsplikt (for eksempel sensitive personopplysninger eller forretningshemmeligheter), eller informasjon som kan unntas offentlighet, kan dere ha et konfidensialitetsbehov.
- Integritet (Sikre at informasjonen ikke blir endret utilsiktet eller av uvedkommende)
- Dersom dere skal behandle informasjon som det er viktig at ikke blir endret kan dere ha et integritetsbehov.
- Tilgjengelighet (Sikre at informasjonen er tilgjengelig ved behov)
- Dersom dere skal behandle informasjon som må være tilgjengelig hele døgnet kan dere ha et tilgjengelighetsbehov
- Etterlevelse av regelverk og avtaler
- Behandler dere informasjon som kan komme inn under lov, forskrift, avtale eller lignende som for eksempel økonomiregelverket, forvaltningsloven, offentleglova, sikkerhetsloven eller personopplysningsloven? Se også om juridiske rammer for prosjektet
Hva bør man spesielt tenke på i konseptfasen?
- Har din virksomhet spesielle føringer eller retningslinjer for informasjonssikkerhet og personvern som prosjektet må forholde seg til? Dette kan være spesielle krav for sektor, bransje eller en intern sikkerhetspolicy.
- Er noen av de identifiserte behovene for informasjonssikkerhet eller personvern knyttet til et spesifikt konsept slik at dette kan påvirke konseptvalget? Identifiser i så fall behovene for hvert av konseptene.
- Er noen av behovene kritiske?
- Er det noen av behovene som gjør at et konsept ikke kan gjennomføres?
Sørg for at noen i prosjektet har ansvar for informasjonssikkerhet og personvern. Vurder å innhente ekstern kompetanse på områdene dersom dette ikke finnes internt i virksomheten.
Se også råd og veiledninger fra statens kompetansemiljø for informasjonssikkerhet i Digitaliseringsdirektoratet.
Alle offentlige virksomheter skal ha internkontroll på informasjonssikkerhetsområdet, les mer på Digitaliseringsdirektoratets sider om Internkontroll i praksis – informasjonssikkerhet.
Datatilsynet gir råd og veiledninger for personvern.
Informasjonssikkerhet og personvern i planleggingsfasen
I planleggingsfasen må dere avklare behovene for informasjonssikkerhet og personvern i det valgte konseptet. Dette må dere gjøre tilstrekkelig detaljert til at dere kan utforme krav til produktene/leveransene, og avklare hvilken kompetanse som er nødvendig på informasjonssikkerhets- og personvernområdet.
For en utfyllende beskrivelse av hvordan man går fram for å sikre innebygd personvern i et produkt, se Datatilsynets veileder Programvareutvikling med innebygd personvern.
Informasjonssikkerhet og personvern skal være tema i følgende aktiviteter i planleggingsfasen:
Beskrive prosjektets produkter
I denne aktiviteten analyserer dere behovene for informasjonssikkerhet og personvern og beskriver hvordan produktene/leveransene skal tilfredsstille disse. Behovene blir til krav.
Regelverk og avtaler som er identifisert i konseptfasen kan gi opphav til informasjonssikkerhets- og personvernkrav. Disse kravene kan også være funksjonelle (for eksempel hvilke brukergrupper som skal ha tilgang til hva).
I tillegg er det viktig å identifisere risikobaserte krav til informasjonssikkerhet og personvern. For å identifisere risikobaserte krav gjennomfører dere risikovurderinger.:
- Identifiser om det valgte konseptet krever en vurdering av personvernkonsekvenser (DPIA). Dersom det er trolig at den planlagte behandlingen av personopplysninger vil medføre høy risiko for fysiske personers rettigheter og friheter, må dere gjennomføre en slik vurdering.
- Gjennomfør eventuelt en vurdering av personvernkonsekvenser. En vurdering av personvernkonsekvenser ser på konsekvensen for de registrerte.
- Gjennomfør risikovurderinger for det valgte konseptet. Vær ekstra oppmerksom på behovene som ble identifisert som kritiske i konseptfasen. Se på tidligere utførte risikovurderinger på arbeidsområdet. Foreta nye risikovurderinger dersom det ikke er gjennomført tidligere, dersom de er utdaterte, eller det har vært store endringer på området. Bruk noen med erfaring i å lede risikovurderinger. Risikovurderingene må dokumenteres og følges opp gjennom hele prosjektet. Risikovurderinger kan utføres flere ganger ettersom man får mer klarhet i systemets funksjonalitet og dersom endringer oppstår senere i prosjektet.
- Risikoer som ikke kan aksepteres må håndteres, se Risikohåndtering. Risikoene identifiseres og beskrives, og danner grunnlaget for sikkerhetskravene. Merk at noen personvernkrav har nulltoleranse.
- I de tilfellene der risikoen for personvernkonsekvenser er høy, skal dere implementere tiltak for å redusere risikoen. Dersom risiko for personvernkonsekvenser fremdeles er høy etter at tiltakene er implementert, og de ikke kan reduseres ytterligere, krever personvernregelverket at man kontakter Datatilsynet for en forhåndsdrøftelse.
Kravene til informasjonssikkerhet og personvern vil avhenge av hvilken type produkt og hvilket løsningsalternativ som skal utvikles eller anskaffes (for eksempel utvikling, system, drift, vedlikehold).
Virksomheten selv eller en ekstern leverandør kommer med forslag til tiltak for å håndtere kravene. Prosjekteier har ansvaret for å godkjenne tiltakene.
Beskrive tekniske rammer for prosjektet
- Vurder om det er behov for en egen sikkerhetsarkitektur.
- Løsningen kan omfatte flere virksomheter. Da vil informasjonssikkerheten avhenge av sikkerheten i de enkelte virksomhetene og kommunikasjonen mellom dem. Dette må dere ta hensyn til i risikovurderingene, se ovenfor.
- Vurder mulig bruk av felleskomponenter for informasjonssikkerhet som for eksempel innloggingsløsninger.
Etablere prosjektorganisasjonen
Identifiser behovet for kompetanse på informasjonssikkerhets- og personvernområdet. Dette kan dreie seg om å lede risikovurderinger eller vurdere personvernkonsekvenser, eller sikkerhetskompetanse for testere og utviklere.
Dersom virksomheten ikke har riktig kompetanse internt må dere avklare behov for kompetansehevende tiltak og eventuelt innhente ekstern kompetanse på området. Dersom produktet skal anskaffes må leverandøren dekke behovet for sikkerhets- og personvernkompetanse på de områdene hvor leverandøren har ansvaret.
Sørg for at ansvaret for arbeidet med informasjonssikkerhet og personvern er plassert. Forholdet til virksomhetens sikkerhetsorganisasjon må avklares.
Henvisninger
Statens kompetansemiljø for informasjonssikkerhet i Digitaliseringsdirektoratet gir råd og veiledninger på informasjonssikkerhetsområdet.
Alle offentlige virksomheter skal ha internkontroll på informasjonssikkerhetsområdet, les mer på Digitaliseringsdirektoratets sider om Internkontroll i praksis – informasjonssikkerhet.
Datatilsynet gir råd og veiledninger for personvern.
Informasjonssikkerhet og personvern i gjennomføringfasene
I gjennomføringsfasene må dere følge opp at avtalte tiltak for informasjonssikkerhet og personvern blir implementert i produktene/leveransene, og verifisere at kravene er tilfredsstilt. Dere må også følge opp behov for nye risikovurderinger ved endringer, og sikre overlevering til linjen.
Underveis i gjennomføringsfasen(e) får dere mer innsikt i systemets funksjonalitet. Dere må foreta nye risikovurderinger ved behov, spesielt ved større endringer.
For en utfyllende beskrivelse av hvordan dere går fram for å sikre innebygd personvern i et produkt, se Datatilsynets veileder Programvareutvikling med innebygd personvern.
Informasjonssikkerhet og personvern skal være tema i følgende aktiviteter i gjennomføringsfasen(e):
Fremskaffe fasens produkter
I denne aktiviteten utformes og fremskaffes de planlagte produktene/leveransene og det verifiseres at de tilfredsstiller kravene til informasjonssikkerhet og personvern som ble beskrevet i planleggingsfasen. Testdetaljer og ansvaret for testene avhenger av produktene, utviklingsmetode og om produktene er utviklet internt eller anskaffet. Ved test skal det brukes syntetiske personopplysninger.
Sikkerhetstesting omfatter tester av funksjonelle sikkerhetskrav, risikobaserte sikkerhetskrav, tester som leter etter kjente sårbarheter (sårbarhetstester) og penetrasjonstester som skal finne mangler ved etablerte sikkerhetstiltak eller sårbarheter som ikke er avdekket gjennom sårbarhetstesting. Sikkerhetstesting kan kreve spesielle testdata og oppsett av spesielle testmiljøer. Behovet for sikkerhetskompetanse skal være avdekket i planleggingsfasen.
Bruk gjerne tilgjengelige ressurser på nett som OWASP for å teste for sårbarheter og OpenSAMM eller BSIMM for anbefalte programvaresikkerhetsaktiviteter.
Gjennomføre anskaffelser og inngå kontrakter
I planleggingsfasen har dere beskrevet krav til informasjonssikkerhet og personvern. Ved en anskaffelse vil kontrakter og avtaler bli inngått i gjennomføringsfasen(e). Innholdet i kontrakter og avtaler er avhengig av hva som anskaffes; utvikling, ferdig system, drift eller vedlikehold. For eksempel hvis en virksomhet setter ut hele eller deler av behandlingen av personopplysninger til andre virksomheter må partene inngå en databehandleravtale.
Hvis en virksomhet skal anskaffe en app, løsning eller system som skal behandle personopplysninger, er virksomheten behandlingsansvarlig etter personopplysningsloven og har plikt til å anskaffe en app, løsning eller system som har innebygd personvern.
Eksempler på informasjonssikkerhetskrav i anskaffelser
Overlevere ferdige produkter til linjen
Eksempel på informasjonssikkerhetsoppgaver i denne aktiviteten:
- Bekrefte at organisatoriske (roller, ansvar, ressurser) og pedagogiske (kompetanse, kultur) sikkerhetstiltak er på plass i linjeorganisasjonen.
- Bekrefte at nødvendige sikkerhetsrelaterte prosedyrer er på plass (for eksempel prosess for sikkerhetsoppdateringer og driftsovervåking).
- Etablere en plan for å håndtere hendelser relatert til produktene og leveransene. Dersom hendelsen omfatter informasjonssikkerhetsbrudd relatert til personopplysninger skal virksomheten varsle Datatilsynet innen 72 timer og den registrerte skal varsles umiddelbart.
- Er det utestående arbeid (teknisk gjeld) for å oppfylle sikkerhetskravene? Må det etableres midlertidige prosedyrer for å oppnå tilstrekkelig sikkerhet? Finnes det en plan for å håndtere utestående arbeid?
Henvisninger
Statens kompetansemiljø for informasjonssikkerhet i Digitaliseringsdirektoratet gir råd og veiledninger på informasjonssikkerhetsområdet.
Alle offentlige virksomheter skal ha internkontroll på informasjonssikkerhetsområdet, les mer på Digitaliseringsdirektoratets sider om Internkontroll i praksis – informasjonssikkerhet.
Datatilsynet gir råd og veiledninger for personvern.
DFØs fagsider om offentlige anskaffelser gir veiledning om anskaffelser av IT generelt og skytjenester spesielt.
Informasjonssikkerhet og personvern i avslutningsfasen
I avslutningsfasen skal prosjektet overføre nødvendig kunnskap om informasjonssikkerhet og personvern i leveransene til linjen og dokumentere erfaringer fra personvern- og informasjonssikkerhetsarbeidet til nytte for senere prosjekter.
Informasjonssikkerhet og personvern bør være tema i følgende aktiviteter i avslutningsfasen:
Komplettere restanseliste og overlevere til linjen
Før endelig overlevering til linjen bør det foretas en full sikkerhetstest av leveransen hvor det verifiseres at kravene til informasjonssikkerhet og personvern er oppfylt og at sikkerhetstiltakene virker etter hensikten. Når leveransen er satt i produksjon bør det gjennomføres en sårbarhetstest og eventuell penetrasjonstest.
Prosjektet bør foreta en avsluttende risikovurdering av leveransen sett i kontekst av tjenesten den skal inngå i for å avdekke eventuelle risikoer som kan ha oppstått underveis. Prosjekteier og prosjektet må bli enige om hvordan disse skal håndteres.
Enkelte sikkerhetstiltak kan være planlagt iverksatt på et senere tidspunkt. Da må linjen informeres om hvordan dette skal kompenseres med manuelle rutiner inntil sikkerhetstiltakene er på plass.
Sørg for å dokumentere og arkivere testprogramvare og testdata som ikke skal være med over i produksjonsmiljøet og fjern tilganger for utviklingspersonell og testpersonell.
Støtte til innføring av prosjektets produkter i linjeorganisasjonen
Dette kan være opplæring i bruk av ny IKT-tjeneste, inkludert eventuelle sikkerhetstiltak, og eventuelle kompenserende tiltak som nevnt over. Det kan også være nødvendig opplæring i sikkerhetstesting relevant for leveransen.
I gjennomføringsfasen ble det etablert en plan for å håndtere hendelser relatert til personvern og informasjonssikkerhet. Ved avslutning av prosjektet skal planen ferdigstilles og gjennomgås med linjeorganisasjonen.
Avslutte og arkivere prosjektdokumentasjon
Ferdigstill og arkiver underlag og resultater fra risikovurderinger, personvernarbeid, sikkerhetstester og annen informasjon (for eksempel testdata og testprogrammer) relevant for personvern og informasjonssikkerhet.
Evaluere prosjektet og utarbeide sluttrapport
Dokumenter erfaringer fra arbeidet med personvern og informasjonssikkerhet i sluttrapporten slik at etterfølgende prosjekter kan dra nytte av det. Dokumenter hva som fungerte godt og hva som fungerte mindre bra, og tanker om hvordan det kunne gjøres bedre.
Henvisninger
Statens kompetansemiljø for informasjonssikkerhet i Digitaliseringsdirektoratet gir råd og veiledninger på informasjonssikkerhetsområdet.
Alle offentlige virksomheter skal ha internkontroll på informasjonssikkerhetsområdet, les mer på Digitaliseringsdirektoratets sider om Internkontroll i praksis – informasjonssikkerhet.
Datatilsynet gir råd og veiledninger for personvern.
Informasjonssikkerhet og personvern i realiseringsfasen
Innebygd informasjonssikkerhet og personvern bidrar til gevinstrealisering.
Å følge opp informasjonssikkerhet og personvern helt fra konseptfasen reduserer sannsynligheten for at det oppstår alvorlige sikkerhetsbrudd og brudd på personvernet. Dette bidrar til økt tillit til virksomheten og lavere kostnader.