Efnisyfirlit

Lög og reglugerðir

Persónuverndarlög - Alþingi (hér), og gott yfirlit yfir lög og relgur á síðu Persónuverndar (hér)

Reglugerðir frá Evrópusambandinu er snertir persónugreinanleg og ekki-perónugreinanleg gögn :

• GDPR - General Data Protection Regulation (wikipedia) 
• FFD - Regulation on Free Flow of non-personal Data (umfjöllun EU)

Staðsetning og fullveldi gagna

• Staðsetning gagna í Office 365 hér og um auðkennisupplýsingar í Azure AD fyrir Evrópu hér.
• Umfjöllun Wikipediu um fullveldi gagna (data sovereignty) hér.

Leiðbeiningar

• Leiðbeiningar til ríkisstofnana um notkun á tölvuskýjalausnum - Fjármála- og efnahagsráðuneytið, í samstarfi við Persónuvernd og Rekstrarfélag Stjórnarráðsins, hefur tekið saman gátlista um hverju stofnanir þurfa að huga að áður en tekin er ákvörðun um notkun tölvuskýja.

Uppitími og aðgengileiki

• Uppitími og aðgengileiki þjónusta í skýjinu eru mikilvægir afkastavísar (Key Performance Indicators) fyrir aðila sem þurfa að taka ákvörun um nýtingu þeirra. Hér er þjónusta sem mælir slíkt mjög ítarlega: https://office365mon.com/
• Fyrirlestur Örn Orrasonar frá Farice á Ský fundi 2.maí 2018 "Rekstaröryggi útlandasambanda - helstu áhættuþættir og leiðir til úrbóta" um öryggi og uppitíma útlandasambanda. Athugið áhugaverða líkindareikninga.

GDPR (Persónuverndarlög) sem varða Microsoft 365

• Allt um Office 365 Security and Compliance hér.
• Compliance lausnir fyrir Microsoft 365 hér.
• Microsoft GDPR FAQ hér.
• GDPR "contractual commitments" af hálfu Microsoft hér.
• Almennt yfirlit yfir GDPR frá Microsoft hér.
• Almenna GDPR síða Microsoft m.a. yfirlit yfir öryggislausnir í boði, sem og spurt og svarað
• Öryggisvefsíða Microsoft og GDPR síða þess með m.a. tengla á skilmála Microsoft
• Compliance Manager - Dæmi um nær einstakt tól sem getur hjálpað stofnunum að vera í samræmi m.a. við persónuverndarlögin
• Vinnslusamningur er innifalinn í þjónustuskilmálum frá Microsoft, sjá sérstaklega viðhengi 3 (Attachment 3, "The Standard Contractual Clauses (Processors)") í skilmálunum sem hægt er að skoða hér , en einnig "Data Protection Terms" kaflann og viðhengi 4 (Attachment 4, "European Union General Data Protection Regulation Terms").

Könnun Persónuvernd Hollands á Office 365 ProPlus (og öðrum útgáfum)

Samantekt af Data Protection Impact Assessment af Microsoft Office af hálfu Hollenska ríkisins hér. 

• DPIA DIAGNOSTIC DATA IN MICROSOFT OFFICE PROPLUS – 5.nov 2018 (Commissioned by the Ministry of Justice and Security)
• Impact assessment shows privacy risks in Microsoft Office ProPlus Enterprise – (Privacy Company) – Um skýrsluna og hvað hefur gerst síðan.
• 1903 uppfærslan á Office 365 ProPlus er hluti af viðbrögðum Microsoft við niðurstöðum skýrlsunnar, sjá hér.
• Tilkynning Hollenska DPA (Persónuvernd) vegna viðbragða Microsoft við skýrslunnar
• Upplýsingar frá Microsoft um hvaða greiningargögn er safnað og hvers vegna.

Persónuvernd Hessen (Þýskaland) takmarkar tímabundið notkun skýjaþjónusta af hálfu barna

Hessen takmarkaði notkun á Office 365 og Windows 10 hjá skólum með börn undir 16 ára aldri. Það var vegna þess að börnin gætu sjálf ekki gefið leyfi fyrir vinnslu upplýsinga og að foreldrar mættu það ekki heldur fyrir þeirra hönd. Þetta gilti ekki eingöngu um Microsoft ský heldur öll önnur ský og skýjaþjónustur, s.s. G-Suite.

Hér er fréttaskeyti Persónuverndar Hessen um bannið.

Þetta þýddi í raun að þær útgáfur sem mætti nota á tölvum með Microsoft búnaði væri Windows 7 og Office 2013. Það hefði því þurft að niðurfæra hugbúnaðarútgáfur verulega hjá mörgum.

Persónuvernd Hessen fór yfir málið með Microsoft í kjölfarið. Það kom í ljós að flestar athugasemdir hefði verið svarað eða lagfærðar, sértaklega með 1904 útgáfu Windows 10. Takmörkunin var því felld niður, sjá fréttatilkynningu hér.

Microsoft Öryggi

Hér er Microsoft Cybersecurity Reference Architecture - yfirlit yfir allan öryggisarkítektúr hjá Microsoft.

Hér er svo ágætis yfirlit yfir "Microsoft Security Stack" og hvenær eigi að nota hvað.

Öryggi sem fylgir með Microsoft 365 pökkum

Microsoft 365 er samsafn margra pakka og inniheldur hver pakki margar þjónustur. Hver pakki tekur að einhverju leiti á öryggi, en saman veita þau möguleikann miklu öryggi, fram yfir val á einstökum pökkum.

Hér er stuttur listi af þeim pökkum sem Microsoft 365 samanstendur af (Docs síður Microsoft í tenglum):

• Office 365 – Inniheldur öryggisstýringar fyrir skýjaumhverfi
  • Exchange Online inniheldur fjöldan af öryggis- og samræmisvirkni (security and compliance). Hér er yfirlit og skýringar á þeim á skjölunarsíðu Microsoft.
• Enterprise Mobility + Security (EMS) – Þjónustupakki sem miða sérstaklega að því að auka vernd notendaauðkenna, gagna og tækja.
• Windows 10 Enterprise – Innheldur aukna vernd gegn spilliforritum, sem og einangrar og herðir lykilkerfi og leynileg notendagögn gagnvart innbrotum (Hér er ágætis tækileg útskýring á þessu tvennu).

Nánar um Enterprise Mobility + Security (EMS):

Enterprise Mobility + Security (EMS) inniheldur röð af þjónustum fyrir hvern notanda. Þær þjónustur snúa allar að auknu upplýsingatækniöryggi.

Þessar öryggislausnir taka á 3 megin þáttum upplýsingatækni:

• Vernda notendaauðkenni. Með tveggja þátta auðkenni og skilyrtum aðgangsstýringum, er aukið til muna öryggi á innskráningum notenda og notkun stolinna auðkenna gert mun erfiðara fyrir að skrá sig inn á kerfi viðskiptavina.
• Vernda upplýsingar. Með því að flokka og merkja gögn, er verkfærum á borð við dulkóðun og aðgangsstýringum beitt til þess að hefta aðgengi óviðkomandi að trúnaðarupplýsingum, ásamt því að takmarka áhættu á að trúnaðarupplýsingum sé dreift af misgáningi.
• Vernda tæki notenda. Með því að ná stjórn á snjalltækjum notenda (bæði í eigu hins opinbera og einkatækjum í notkun við vinnu), er hægt að viðhalda lágmarks aðgangsöryggi að tækjum, setja skilyrði fyrir notkun upplýsinga, tryggja uppfærslu og varnir gegn óværum, endurheimta trúnaðargögn og stjórna notkun tækjanna.

Hér er einfaldur listi eiginleika EMS og hér eru skjölunarsíður Microsoft á þeim.

Hér er eldri (2016) umfjöllun á næstum mannamáli hvað fæst með EMS

Öryggistól

• Office 365 Security & Compliance - þitt umhverfi hér.
• ComplianceManager hér.
• Microsoft Trust Center hér.

Öryggistengdar upplýsingar

• The Defense Information Systems Agency (DISA) is the entity responsible for maintaining the security posture of the Department of Defense (DoD) IT infrastructure. ... One of the ways DISA accomplishes this task is by developing and using what they call Security Technical Implementation Guides, or “STIGs.” - Hér er hægt að skoða STIGs
• National Cyber Security Centre ráðlegginga og leiðbeininga síður um alls konar málefni hér.
• NCSA-FI eða National Communications Security Authority Finlands - hér er m.a. hægt að finna skýrslu (Criteria to Assess the Information Security of Cloud Services) sem getur hjálpað við greiningu öryggis skýja.