Software as a service og andre skytjenester - oversikt og sjekkliste
-
Upload
kristian-foss -
Category
Law
-
view
128 -
download
2
Transcript of Software as a service og andre skytjenester - oversikt og sjekkliste
Software as a service og andre skytjenester
Innovasjonsarkitekt Frank Lexberg
Advokat Kristian Foss
Det årlige IKT-rettskurset 2016, Juristenes utdanningssenter
Sandefjord, 4. mars 2016
Skytjenester i dag og i morgen
Dagens prioriteter:
Enkle løsninger, og de første seriøse steg…
Trender og skytjenester om noen år:
Komplekse integrerte løsninger, AI/analyse, IOT….kjerneløsninger... Dagens kunder som leverndører av SaaS til sine kunder….
Involverte ved innkjøp av skytjenester
Data
Forretn.enhet
Konsepteier
It - innkjøpkontrakt
Juridisk It-sikkerhet
Risiko-analyse
SaaS-model fra bank
IT anskaffelser DriftTermi-nering
Forr. enh. Hendelse
Bruker admin. overvåkingRisikovurdering
IncidentUautorisert bruk
Rapport
Kontrakt prosjekt
SkykonsepteierJuridiskSikkerhetsansvarligRisiko ansvarlig
Tar avgjørelser basert på: Vedtatte retningslinjer Kategorisering av informasjon Sjekklister
Livsløp skytjenester og SaaS
Risikoanalyse
Leverandør-analyse
Juridisk analyse
Sikkerhet Analyse/tiltak
Drift/guides
Overvåkning
Kontrakt
Oversikt sjekklister
1. Premissavklaringer
2. Personvernkrav
3. Informasjonssikkerhet
4. Implementasjon og drift
5. Beredskap og katastrofe
6. Vurdering leverandørkandidater
7. Forhandling av avtale
8. Samarbeidsforhold
9. Risikoreduserende tiltak
10. Oppfølging
11. Exit
Premissavklaringer
❏Hvilke krav gjelder kunden og bransjen?❏Juridiske - krav informasjonssikkerhet
❏Personvernkrav❏Virksomhetskrav generelt
❏Tekniske ❏Kommersielle❏Emosjonelle
❏Hvilke mål har virksomheten? ❏Internasjonale ambisjoner?❏Rask vekst?❏Dataintensiv?
Personvernkrav
❏ Informasjonssikker (pol. § 13)?
❏ Grunnkrav oppfylt (pol. § 11)?
❏ Samtykke på plass?
❏ Innenfor formålet?
❏ Eksport persondata ut av EØS?
❏ EUs standardkontrakt?
❏ Hvitliste?
❏ Privacy shield?
❏ Sensitive data?
❏ Melding- eller konsesjonskrav?
❏ Kryptering?❏ Innebygget personvern?
Informasjonssikkerhet
❏Risiko = Sannsynlighet x konsekvens❏Kriminell attraktivitet?❏Autentisering❏Tilgangsstyring❏Kontoadministrasjon❏Logging❏Kommunikasjon❏Datatap❏Lagring
❏Leverandørsamarbeid
Implementasjon og drift
❏ Får kunden implementasjonsbistand?❏ Konfigureringsbistand? ❏ Krav ved migrasjon av gamle systemer? ❏ Behov opplæring?❏ Prøve og akseptanseperiode? ❏ Integrasjon egne systemer?
❏Muligheter for audits og overvåking under drift?
❏ Kostnader ovennevnte?
Beredskap og katastrofe
❏Hvilke systemer har leverandøren?
❏Hvilke systemer kan du etablere?
❏Speiling annet datasenter mulig?
❏Risiko konkurs - forskjell stor og liten?
❏Escrow relevant?
Vurdering leverandørkandidater
❏Risikovurdering
❏ Infrastruktur og underleverandører?
❏ Se eget punkt om informasjonssikkerhet
❏Referanser?
❏Sikkerhetssertifiseringer?
❏Stabilitet?
❏Åpne standarder?
❏Revisjon
❏ Tredjepart?
❏ Tilgang egen revisor?
❏Pris og prisstruktur?
Forhandling av avtale
Rett forhandlingsspor? Mentale utgangspunkter
Plassering risiko Ansvar og mellomrisiko
Villig etterleve lovkrav? Avtaleplikt vs. løfter Gir garanti geo-plassering?
Eksempel AWS-vilkår - geoplassering
AWS Customer Agreement“We will not move Your Contentfrom your selected AWS regionswithout notifying you, unlessrequired to comply with the law or requests of governmental entities.”
AWS Enterprise Agreement“AWS will not [...] (b) move Customer Content from the AWS regions Selected by Customer [...] except [...] as necessary to maintain [or provide] the Service Offerings, [....] comply with the law or [...] order of agovernmental or regulartory body (such as a subpoena or cort order).”
Samarbeidsforhold
❏Tilgang til ledelsen hos leverandør?
❏Selvbetjeningsverktøy?
❏SLA og bot?
❏Fakturering?
❏Rapportering av tjenestenivå og annet?
❏Referanser?
Risikoreduserende tiltak
❏Forsikring
❏Teknisk backup
❏ Speiling data
❏ Parallelt driftsmiljø
❏ Plassering
❏Utprøving
❏Gradvis overgang
❏Ulike leverandører
❏Hybridløsning
Risikoreduserende tiltak (II)
❏Portabilitet
❏Data
❏Løsning
❏Revisjon
❏Overvåking
❏Kortvarig lagring
❏Behandle ansatte godt
Oppfølging
❏Mot avtale
❏ Jevnlig kontakt leverandør
❏ Følge med på info og endringsvarsler
❏ Teste backup og speiling
❏ Vurder forsikringsdekningen løpende
Exit
❏Bistandsplikt ved avslutning?
❏Lesbart dataformat eksport?
❏Varslingsfrist tjenesteopphør?
❏Konfigurasjonsinformasjon?
❏Datamodell?
Spørsmål?
Aktuelle lenker
CSA Alliance: Gir god forståelse av områder som kan være problematiske ved bruk av skytjenester.
https://downloads.cloudsecurityalliance.org/initiatives/pla/Privacy_Level_Agreement_Outline.pdf
https://cloudsecurityalliance.org/group/security-guidance/
Takk for oss!Kristian Foss
Frank Lexberg