Artikkel, sist endret 11.06.08 13:25
11 eKommune 2012: Informasjonssikkerhet
- eKommune 2012- lokal, digital agenda
- 1 eKommune 2012: Innledning
- 2 eKommune 2012: Hvorfor eKommune?
- 3 eKommune 2012: Lokaldemokrati og deltakelse i informasjonssamfunnet
- 4 eKommune 2012: Tjenester på nett
- 5 eKommune 2012: Elektronisk samhandling i helse- og omsorgstjenesten
- 6 eKommune 2012: NAV-reformen og IKT
- 7 eKommune 2012: IKT i grunnopplæringen
- 8 eKommune 2012: Geografisk informasjon
- 9 eKommune 2012: Elektronisk handel
- 10 eKommune 2012: Arkivering og saksbehandling
- 11 eKommune 2012: Informasjonssikkerhet
- 12 eKommune 2012: IKT-arkitektur
- 13 eKommune 2012: Åpne standarder
- 14 eKommune 2012: Integrasjon av IKT-systemer
- 15 eKommune 2012: Fri programvare
- 16 eKommune 2012: Grønn IT
- 17 eKommune 2012: Bredbånd
- 18 eKommune 2012: Interkommunalt IKT-samarbeid
- 19 eKommune 2012: Strategisk IKT-ledelse
- 20 eKommune 2012: Kompetanseutvikling
Ny teknologi og økt kompleksitet øker kravene til informasjonssikkerhet i kommunesektoren. Bruk av mobile enheter, minnepinner og trådløse nettverk utgjør et trusselbilde som medfører større sikkerhetsrisiko enn tidligere.
Når informasjonssikkerhet skal prioriteres og implementeres, er det helt nødvendig å forankre mål og planer i hele organisasjonen. Bedring av sikkerheten må være en løpende prosess. Det har tidligere vært lagt stor vekt på at sikkerhet er et ansvar som ligger hos ledelsen, men for å oppnå god sikkerhet må alle ansatte både forstå og følge de rutiner og prosedyrer som danner grunnlaget for god sikkerhet.
I offentlig sektor benyttes i stor grad fødselsnummer og organisasjonsnummer i IKT-systemene til datafangst og andre formål. Bruk av fødselsnummer for nettbaserte tjenester bidrar til å øke risikoen for identitetstyveri. Datatilsynet har laget veiledere for kommuner og fylkeskommuner når det gjelder behandling av sensitive personopplysninger.[1] Helsedirektoratet har utviklet en norm for informasjonssikkerhet i helse- og sosialsektoren.[2] Det stilles krav til informasjonssikkerhet også i eforvaltningsforskriften,[3] personopplysningsloven[4] og personopplysningforskriften.[5]
Elektronisk ID og elektronisk signatur er nødvendig for å kunne innføre fullelektronisk kommunikasjon mellom kommunen og innbyggerne og næringslivet. Bruk av standardisert elektronisk signatur åpner for etablering og videreutvikling av en rekke offentlige tjenester. Minside og Altinn er eksempler på statlige portaler der identifikasjon av brukeren er nødvendig for å kunne utføre sikre transaksjoner. Dette vil også gjelde for kommuner som ønsker å etablere selvbetjeningsløsninger på Internett.
Det er utarbeidet et rammeverk[6] for autentisering og uavviselighet i elektronisk kommunikasjon med og i offentlig sektor. Dette rammeverket bør legges til grunn for alle offentlige virksomheter som har tatt eller planlegger å ta i bruk løsninger for elektronisk autentisering og signering. KS har utarbeidet Sikkerhetshåndbok for tjenester på nett, som er basert på rammeverket. Håndboka gir veiledning til kommuner som ønsker å tilby tjenester på Internett gjennom egen portal og Minside. Selv om innføring av elektronisk ID og elektronisk signatur gir muligheter for bedre sikkerhet, er det viktig at kommuner og fylkeskommuner gjennomfører risikoanalyser for å avdekke mulige sikkerhetshull og utarbeider rutiner som sikrer at sensitive opplysninger ikke kommer på avveie.
Staten skal tilby en felles offentlig elektronisk ID på mellomhøyt sikkerhetsnivå for tilgang til offentlige tjenester på Internett til alle innbyggere som ønsker dette. Den første utgaven av en slik felles eID er tilgjengelig på portalene Minside og Altinn.
Direktoratet for forvaltning og IKT (DIFI) skal etablere et samtrafikknav som skal håndtere og verifisere ulike eID-er som er i bruk. Samtrafikknavet skal verifisere både den felles offentlige eID-en og godkjente eID-løsninger som er i bruk i markedet. Navet skal også tilby felles pålogging til offentlige nettjenester.
Felles offentlig autentiseringsløsning (Minid)
Norge.no benytter en felles offentlig autentiseringsløsning for sikker innlogging på Minside (Minid). Denne løsningen skal gjelde inntil en ny offentlig sikkerhetsløsning blir etablert. Innloggingsløsningen vil tilby autentisering og signering for innbyggeren. Autentiseringen i Minside er basert på PIN-koder som distribueres til innbyggerne via skattekortet. Løsningen inkluderer også videreformidling av elektronisk identitet slik at innbyggeren kan gå videre til et annet offentlig nettsted uten ny innlogging. Kommuner og fylkeskommuner som tilbyr tjenestene sine på Minside, skal ha muligheten til å bruke løsningen for innlogging også i egne portaler.
Mål
1 I løpet av 2008 skal kommuner og fylkeskommuner ha innarbeidet sikkerhetsrutiner i henhold til gjeldende retningslinjer fra Datatilsynet.
2 I løpet av 2009 skal kommuner og fylkeskommuner kunne tilby autentisering ved hjelp av Minid.
3 I løpet av 2009 skal kommuner og fylkeskommuner som tilbyr portaltjenester gjennom egen portal eller gjennom Minside/Altinn, ha gjort risikoanalyser av personvernet.
Tiltak
1 KS vil etablere samarbeid med relevante aktører for å sikre at retningslinjer og veiledere for sikkerhet er oppdatert når det gjelder utviklingen i kommunesektoren.
2 KS vil utvikle en beste praksis-veileder for kommunene for tilknytning av tjenester på kommunale nettsider og Minside
3 KS vil medvirke til informasjons- og erfaringsutveksling knyttet til personvern i forbindelse med kommunale portaltjenester.
[1] Datatilsunets veileder for kommuner og fylker
[2] Norm for informasjonssikkerhet i helse- og sosialsektoren
[3] eforvaltningsforskriften - forskrift om elektronisk kommunikasjon med og i forvaltningen
[4] Personopplysningsloven - lov om behandling av personopplysninger
[5] Personopplysningsforskriften - forskrift om behandling av personopplysninger
[6] Rammeverk for autentisering og uavviselighet i elektronisk kommunikasjon med og i offentlig sektor