Rettslige krav til styring av informasjonssikkerhet. Karin Kristiansen og Amund Eriksen

Transkript

1 Rettslige krav til styring av informasjonssikkerhet Karin Kristiansen og Amund Eriksen

2 Hva får dere IKKE?

3

4 Informasjonssikkerhet? Informasjonssikkerhet dreier seg om å håndtere risiko relatert til virksomhetens informasjonsverdier og behandling av personopplysninger. Fra Datatilsynets veiledning om internkontroll og informasjonssikkerhet

5 Rettslige krav? Lover og forskrifter Instrukser Kontraktsforpliktelser virksomhet

6 STYRING AV INFORMASJONSSIKKERHET?

7

8

9 Besk.instr 2 Pol. 13 eforvf. 13 Pof. 2-4 Pof. 2-5 Pof. 2-7 Sikkerhl. 11 Pof. 2-2 Helsereglov

10 ISO og Vedtatt i standardiseringsrådet som anbefalte standarder for offentlig sektor Difi arbeider med ny versjon av Referansekatalogen hvor dette skal inn Evalueres og vurderes om standardene skal gjøres obligatoriske etter ett år

11 11 områder, 39 sikringsmål og 133 sikringstiltak Utdyping av 133 sikringstiltak

12 Rettskilder Lov Forskrift Rundskriv/interne meldinger ISO/IEC 27001:2005

13 Sikkerhetsloven eforvaltningsforskriften Personopplysningsloven Rikets sikkerhet og andre vitale nasjonale sikkerhetsinteresser Forskrift om infosikk Fokus på konfidensialitet Forskrift om sikkerhetsadministrasjon Forvaltningsorgan som benytter elektronisk kommunikasjon Krav til sikkerhetsmål og sikkerhetsstrategi I henhold til anerkjente prinsipper Er det noen grunn til å problematisere dette da?? Internkontroll Personopplysninger Informasjonssikkerhet

14 Krav til internkontroll (pol 14) Den behandlingsansvarlige skal etablere og holde vedlike planlagte og systematiske tiltak som er nødvendige for å oppfylle kravene i loven og forskriften, herunder sikre personopplysningenes kvalitet

15 Krav til informasjonssikkerhet (pol 13) Den behandlingsansvarlige og databehandleren skal gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet mht konfidensialitet, integritet og tilgjengelighet ved behandling av personopplysninger For å oppnå tilfredsstillende informasjonssikkerhet skal de nevnte ansvarlige dokumentere informasjonssystemet og sikkerhetstiltakene (for medarbeidere, Datatilsynet og Personvernnemnda) Behandlingsansvarlig skal påse at eksterne som får tilgang til personopplysninger (databehandler/oppdragstaker) oppfyller kravene over

16 Du skal planlegge Du skal jobbe systematisk Du skal ha tilfredsstillende informasjonssikkerhet Du skal dokumentere Du har ansvaret for eksterne

17 Personopplysningsforskriften Kap. 2 Flere bestemmelser men liten veiledning for hvordan du går frem Krav på overordnet nivå Veiledninger fra Datatilsynet

18 Et kort overblikk Pof 2-1 Forholdsmessige krav om sikring av personopplysninger 2-6 Avvik ISO Krav til risikotilnærming 2-3 Sikkerhetsledelse Management 2-4 Risikovurdering Risk management 2-5 Sikkerhetsrevisjon Internal audit Corrective and preventive action 2-16 Dokumentasjon Documentation requirements

19 Forholdet mellom regelverk og ISO Regelverk gjelder Standarden kan utfylle Vi må avstemme

20 ISO/IEC 27001:2005 Standard for et styringssystem for informasjonssikkerhet Information Security Management Systems (ISMS) Plan Do Check Act

21 To deler: obligatorisk og valgfri Risikotilnærming ISMS for en definert del av virksomheten samsvar med regelverk og andre rettslige forpliktelser (kontrakt) Omfattende dokumentasjonskrav

22 PLAN ACT DO CHECK

23 Du skal planlegge det du skal gjøre P FOR PLAN

24 PLAN Hva skal styringssystemet gjelde for? ISMS-policy (Mål og strategi) Risikovurdering og -tilnærming Ut fra risikovurderingen skal vi velge sikringsmål og tiltak for håndtering av risiko (Annex A) Få ledelsens godkjennelse for foreslåtte restrisiko

25 Ivaretakelse av rettslige krav Skal vurdere de rettslige krav i planleggingsfasen Vedlegg A A.15 compliance Mål: Å unngå brudd på lover, forskrifter og kontraktsforpliktelser A.15.1 Compliance with legal requirements Kontraktsforpliktelser Opphavsrettigheter Personvern og personopplysningsvern Med mer

26 PLAN overgang til neste fase Få ledelsens godkjenning til å implementere og drifte ISMS Forberede SoA sikkerhetstiltak..og deretter starter DO-fasen PLAN ACT DO CHECK

27 Du skal gjøre det du planla å gjøre D FOR DO

28 D for DO Utarbeide risikohåndteringsplan ( prosjektplan ) Gjennomføre planen Definere hvordan man skal måle virkningen av sikringstiltak Utarbeide og implementere prosedyrer og rutiner Gjennomføre opplæring Styre ressurser Implementere prosedyrer/tiltak for å oppdage og håndtere avvik

29 Du skal sjekke at du gjør det du planla å gjøre C FOR CHECK

30 C for check Tiltak for å overvåke og revidere ISMS Undersøke om sikkerhetskrav blir oppfylt Revidere risikovurderingen(e) Revidere restrisiko Revidere akseptabelt risikonivå Gjennomføre intern revisjon Gjennomføre ledelsens gjennomgang Oppdatere planer Dokumentasjon på isms-hendelser og tiltak

31 Du skal korrigere og forbedre P-D-C A FOR ACT

32 A for act Du skal korrigere og forbedre P-D-C

33 Dokumentasjonskrav den behandlingsansvarlige og databehandleren dokumentere informasjonssystemet og sikkerhetstiltakene Mer spesifisert i pof ISO kap. 4.3 Documentation requirements

34 PLAN ACT Personopplysninger? Gradert informasjon? DO CHECK

35 Oppsummering Rettslige krav er mer enn formelt regelverk Regelverket krever ikke et fullt ISMS ISMS ~= pof. Kap. 2 ISMS vil hjelpe deg å oppnå tilfredsstillende informasjonssikkerhet ISMS som inngangsport til å oppfylle regelverk!

36

37