Artikkel, sist endret 14.01.11 11:45
11 eKommune 2012: Informasjonssikkerhet
- eKommune 2012- lokal, digital agenda
- 1 eKommune 2012: Innledning
- 2 eKommune 2012: Hvorfor eKommune?
- 3 eKommune 2012: Lokaldemokrati og deltakelse i informasjonssamfunnet
- 4 eKommune 2012: Tjenester på nett
- 5 eKommune 2012: Elektronisk samhandling i helse- og omsorgstjenesten
- 6 eKommune 2012: NAV-reformen og IKT
- 7 eKommune 2012: IKT i grunnopplæringen
- 8 eKommune 2012: Geografisk informasjon
- 9 eKommune 2012: Elektronisk handel
- 10 eKommune 2012: Arkivering og saksbehandling
- 11 eKommune 2012: Informasjonssikkerhet
- 12 eKommune 2012: IKT-arkitektur
- 13 eKommune 2012: Åpne standarder
- 14 eKommune 2012: Fri programvare
- 15 eKommune 2012: Grønn IT
- 16 eKommune 2012: Bredbånd
- 17 eKommune 2012: Interkommunalt IKT-samarbeid
- 18 eKommune 2012: Strategisk IKT-ledelse
- 19 eKommune 2012: Kompetanseutvikling
Ny teknologi og økt kompleksitet øker kravene til informasjonssikkerhet i kommunesektoren. Bruk av mobile enheter, minnepinner og trådløse nettverk utgjør et trusselbilde som medfører større sikkerhetsrisiko enn tidligere.
|
Felles offentlig autentiseringsløsning (MinID) MinID er en personlig, elektronisk ID (legitimasjon) som gir tilgang til offentlige tjenester på nett. Eksempler på tjenester kan være innlevering av selvangivelse, endring av skattekort, bytte av fastlege, melding om flytting eller søknad om studielån. MinID brukes både til statlige og kommunale tjenester. MinID har over 2 millioner brukere og brukes som innlogging til mange kommunale og statlige tjenester. https://ksikt-forum.no/artikler/2008/4/ekommune_infosikkerhet/www.minid.difi.no |
Når informasjonssikkerhet skal prioriteres og implementeres, er det helt nødvendig å forankre mål og planer i hele organisasjonen. Håndtering av sikkerheten må være en løpende prosess. Det har tidligere vært lagt stor vekt på at sikkerhet er et ansvar som ligger hos ledelsen, men for å oppnå god sikkerhet må alle ansatte både forstå og følge de rutiner og prosedyrer som danner grunnlaget for god sikkerhet.
I offentlig sektor benyttes i stor grad fødselsnummer og organisasjonsnummer i IKT-systemene til datafangst og andre formål. Bruk av fødselsnummer for nettbaserte tjenester bidrar til å øke risikoen for identitetstyveri. Datatilsynet[1] og Helsedirektoratet[2] har egne veiledere for kommuner og fylkeskommuner når det gjelder behandling av sensitive personopplysninger. Det stilles krav til informasjonssikkerhet også i eforvaltningsforskriften[3], personopplysningsloven[4] og personopplysningforskriften[5].
|
ID-porten Difi har ansvaret for å etablere en felles infrastruktur for bruk av elektronisk ID (eID) i offentlig sektor. Den skal gi innbyggerne mulighet til å velge hvilken eID de ønsker å bruke for å logge seg på offentlige tjenester. Infrastrukturen har navnet ID-porten, og ble lansert i versjon 1.0 i november, 2009. Innloggingen skal være lik og gjenkjennelig for alle offentlige tjenester som tilbyr innlogging via ID-porten. |
Elektronisk ID og elektronisk signatur er nødvendig for å kunne innføre fullelektronisk kommunikasjon mellom kommunen og innbyggerne og næringslivet. Bruk av standardisert elektronisk signatur åpner for etablering og videreutvikling av en rekke offentlige tjenester. Minside og Altinn er eksempler på statlige portaler der identifikasjon av brukeren er nødvendig for å kunne utføre sikre transaksjoner. Dette vil også gjelde for kommuner som ønsker å etablere selvbetjeningsløsninger på Internett.
Det er utarbeidet et rammeverk[6] for autentisering og uavviselighet i elektronisk kommunikasjon med og i offentlig sektor. Dette rammeverket bør legges til grunn for alle offentlige virksomheter som har tatt eller planlegger å ta i bruk løsninger for elektronisk autentisering og signering. KS har utarbeidet Sikkerhetshåndbok for tjenester på nett, som er basert på rammeverket. Håndboka gir veiledning til kommuner som ønsker å tilby tjenester på Internett gjennom egen portal og Minside. Selv om innføring av elektronisk ID og elektronisk signatur gir muligheter for bedre sikkerhet, er det viktig at kommuner og fylkeskommuner gjennomfører risikoanalyser for å avdekke mulige sikkerhetshull og utarbeider rutiner som sikrer at sensitive opplysninger ikke kommer på avveie.
Staten tilbyr en felles offentlig elektronisk ID (MinID) på mellomhøyt sikkerhetsnivå for tilgang til offentlige tjenester på Internett til alle innbyggere som ønsker dette.
Difi har etablert ID-porten som skal håndtere og verifisere ulike eID-er som er i bruk. ID-porten skal verifisere både den felles offentlige eID-en og godkjente eID-løsninger som er i bruk i markedet. ID-porten skal også tilby felles pålogging til offentlige nettjenester.
MÅL
- Kommuner og fylkeskommuner skal ha innarbeidet sikkerhetsrutiner i henhold til gjeldende retningslinjer fra Datatilsynet.
- Kommuner og fylkeskommuner skal følge "Norm for informasjonssikkerhet i helse-, omsorgs-og sosialsektoren".
- Kommuner og fylkeskommuner skal kunne tilby autentisering ved hjelp av MinID eller tilsvarende autentiseringsløsning.
TILTAK
- KS vil etablere samarbeid med relevante aktører for å sikre at retningslinjer og veiledere for sikkerhet er oppdatert når det gjelder utviklingen i kommunesektoren, (f.eks. Helsedirektoratet, IKT-senteret og Datatilsynet).
- KS vil medvirke til informasjons- og erfaringsutveksling knyttet til personvern i forbindelse med kommunale portaltjenester.
[1] http://www.datatilsynet.no/ (Veileder for kommuner og fylker)
[2] http://www.normen.no/ (Norm for informasjonssikkerhet i helse- og sosialsektoren)
[3] http://www.lovdata.no/ (eforvaltningsforskriften)
[4] http://www.lovdata.no/ (personopplysningsloven)
[5] http://www.lovdata.no/ (personopplysningsforskriften)
[6] http://www.regjeringen.no/ (Rammeverk for autentisering og uavviselighet i elektronisk kommunikasjon med og i offentlig sektor)