It-sikkerhed handler om at beskytte aktiver, herunder information, der er vigtig for organisationen. I DFDG og de omkringliggende systemer handler det i høj grad om at kontrollere adgangen til personhenførbare data, så uvedkommende ikke får adgang til data eller mulighed for at ændre eller tilintetgøre data.
Generelt følges sikkerhedspolitikkerne og indbygget databeskyttelse samt offentlige anbefalinger for it-sikkerhed, der omhandler sikkerhed i forhold til eksterne parter. Sikkerhed bliver et vigtigere og vigtigere element i takt med, at systemerne åbnes op til fx borgerrettede selvbetjeningsløsninger. Til systemer, der indeholder personhenførbare data, stilles der højere krav til sikkerhed.
| Table of Contents |
|---|
Se også: Krav til sikkerhed for personoplysninger
Test- og udviklingsmiljøsikkerhed
Data i testmiljøerne er, for at sikre så realistiske testdata som muligt, baseret på produktionsdata, hvor data udover CPR-nummer er renset for personhenførbare data vha. anonymiseringscrambling.
Anonymiseringen Scrambling gennemføres ved at forvanske:
...
Da testmiljøerne fortsat anvender CPR-nummer, og data ikke er fuldt syntetisk genereret, skal adgangen til testmiljøerne behandles fortroligt. Det skal sikres, at al adgang til data og miljøer logges, og at adgangen kontrolleres ved et for udviklerne personligt login eller certifikat.
Bemærk at Sikkerhedskrav for miljøer der indeholder personhenførbare oplysninger, CPR mm. er underlagt samme krav til sikkerhedsforanstaltninger som produktionsmiljøer.
Se desuden /wiki/spaces/CITY/pages/203128898, sikkerhedspolitik
Produktionsmiljøsikkerhed
...
- Sikkerhed for fortrolighed: Kun de, som har ret til informationen, skal have adgang til den
- Sikkerhed for integritet: At beskytte informationers og behandlingsmetoders korrekthed og fuldstændighed
- Sikkerhed for tilgængelighed: Det skal sikres, at bemyndigede brugere har adgang til informationen og dertil knyttede aktiver, når de har behov for det
Generelt følges sikkerhedspolitikkerne, databeskyttelse PbD 10.04 og anbefalingerne fra ”It-Sikkershedsarkitektur” arbejdet, ref. [6], der omhandler sikkerhed i forhold til eksterne parter. Sikkerhed bliver et vigtigere og vigtigere element i takt med, at systemerne åbnes op til fx borgerrettede selvbetjeningsløsninger. Til systemer, der indeholder personfølsomme data, stilles der højere udledes krav til sikkerhed gennem databeskyttelse konsekvensanalyser.
Web-service sikkerhed
Web-services sikres via OCES funktionscertifikater, og data transmitteres over en krypteret forbindelse.
...
Applikationssikkerhed
Applikationssikkerheden er dokumenteret i sikkerhedspolitikkerne, herunder 08.26 Applikationssikkerhed, der omfatter:
- Adgangskontrol i forhold til applikation og administration
- Sessionshåndtering og kryptering
- Datavalidering og applikationslogik
...
Følgende er typiske observationer af konstruktioner, der skal undgås:
- Bruger med flere rettigheder end nødvendigt
- Brugeren ’sa’ må ikke anvendes af applikationer
- Svage kodeord
- Kodeord bør være minimum 8 tegn og indeholde både store tegn, små tegn, specialtegn og tal.
- Kodeord bør regelmæssigt ændres.
...
Manglende konfiguration og vedligeholdelse af platformen kan føre til manglende sikkerhed og driftsstabilitet for de services, som it-infrastrukturen er afhængig af. Sikkerheden i applikationer og database software er ikke effektiv, hvis den underliggende platform har sårbarheder, hvorfor sikkerhedsniveauet på platformniveau er centralt for hele infrastrukturen.