Styring og ledelse av informasjonssikkerhet

Transkript

1 Styring og ledelse av informasjonssikkerhet SUHS-konferansen 30. oktober 2013 Øivind Høiem, CISA CRISC Seniorrådgiver UNINETT AS

2 Mål for styring informasjonssikkerhet Målene for styring av informasjonssikkerhet er å: Justere informasjonssikkerhetsmål og strategi med institusjonens mål og strategi Levere merverdi til institusjonen Sikre at informasjonsrisiko blir tilstrekkelig ivaretatt 4. november 2013 SLIDE 2

3 Ønskede resultater Riktig styring og ledelse av informasjonssikkerhet skal: Bidra til at institusjonens ledelse har oversikt over status for informasjonssikkerhet Gi en god tilnærming til beslutningstaking relatert til informasjonsrisiko Føre til riktige investeringer for å styrke informasjonssikkerheten Bidra til at institusjonen overholder juridiske, lovmessige og avtalemessige krav 4. november 2013 SLIDE 3

4 Rammeverk og standarder Noen standarder og rammeverk for styring og ledelse av informasjonssikkerhet; COBIT 5 for Information Security ISO 27014:2013 Governance of Information Security ISFs Standard of good practice for Information Security COBIT 4.1 and 5 ISO 27001:2013 Information security management systems 27002:2013 Code of practice for information security controls ISO 38500:2010 Corporate governance of information technology ISO 20000:2012 Service management (ITIL) TOGAF-rammeverket for virksomhetsarkitektur (informasjonsarkitektur) 4. november 2013 SLIDE 4

5 Skjematisk oversikt over rammeverk og standarder Kilde: Jan T. Bjørnsen, Slik får du IT-styring og kontroll, Universitetsforlaget november 2013 SLIDE 5

6 COBIT 5s hjelpemidler 4. november 2013 SLIDE 6

7 COBIT 5 Prosessreferansemodell 4. november 2013 SLIDE 7

8 Styringsmodell for informasjonssikkerhet Kilde: ISO 27014:2013 Governance of Information Security 4. november 2013 SLIDE 8

9 Management Level Strategic Alignment Risk Management Value Delivery Performance Measurement Resource Management Integration Board of directors/ trustees (Universitets- /Høgskolestyre) Senior executives (Sentral ledelse) Set direction for a demonstrable alignment Institute processes to integrate security with business objectives Set direction for a risk management policy that applies to all activities and regulatory compliance Ensure that roles and responsibilities include risk management in all activities. Monitor regulatory compliance. Set direction for reporting of security activity costs and value of information protected Require business case studies of security initiatives and value of information protected Set direction for reporting of security effectiveness Require monitoring and metrics for reporting security activities Set direction for a policy of knowledge management and resource utilisation Ensure processes for knowledge capture and efficiency metrics Set direction for a policy of assuring process integration Provide oversight of all management process functions and plans for integration ISSC Information Security Steering committee Review and assist security strategy and integration efforts, ensure that business unit managers and process owners support integration Identify emerging risks, promote business unit security practices, and identify compliance issues Review and advise adequacy of security initiatives to serve business functions and value delivered in terms of enabled services Review and advise the extent to which security initiatives meet business objectives Review processes for knowledge capture and dissemination Identify critical business processes and management assurance providers. Direct assurance integration efforts. CISO - Chief information security officer Develop security strategy, oversee the security programme and initiatives, and liaise with business unit managers and process owners for ongoing alignment Ensure risk and business impact assessments, develop risk mitigation strategies, and enforce policy and regulatory compliance Monitor utilisation and effectiveness of security resources and reputation and the delivery of trust Develop and implement monitoring and metrics collection and analysis and reporting approaches. Direct and monitor security activities. Develop methods for knowledge capture and dissemination. Develop metrics for effectiveness and efficiency Liaise with other management process functions. Ensure that gaps and overlaps are identified and addressed. Basic Information Security Responsibilities, ITGI november 2013 SLIDE 9

10 Roller beskrevet i rammeverkene Informasjonssikkerhetsansvarlig (CISO - Chief information security officer) Informasjonssikkerhetskomité (ISSE - Information security steering committee) Informasjonssikkerhetsleder (ISM - Information security manager) Risikostyringskomité (Enterprise risk management (ERM) committee) Informasjonssikkerhetsfunksjon Informasjonseiere Styret og virksomhetens ledelse 4. november 2013 SLIDE 10

11 Informasjonssikkerhetsansvarlig - CISO CISO har det overordnede ansvaret for informasjonssikkerheten ved institusjonen CISO skal rapportere til institusjonens ledelse CISO er bindeleddet mellom ledelse og informasjonssikkerhetsprogrammet CISO bør kommunisere og koordinere tett med sentrale interessenter å sikre korrekt beskyttelse av informasjon En CISO må: Ha god forståelse av institusjonens strategiske visjon Være en effektiv kommunikator Være flink til å bygge effektive relasjoner Tilpasse informasjonssikkerhetsarbeidet for å bidra til å nå institusjonens mål 4. november 2013 SLIDE 11

12 Informasjonssikkerhetsansvarliges oppgaver CISO er ansvarlig for å: Implementere og vedlikeholde virksomhetens informasjonssikkerhetsstrategi Etablere og vedlikeholde et styringssystem for informasjonssikkerhet (SSIS) Etablere og vedlikeholde en handlingsplan for behandling av informasjonssikkerhetsrisiko inkl. «ledelsens gjennomgang» Påse at risiko- og sårbarhetsvurderinger (ROS-analyse) og virksomhetskritikalitetsvurderinger (BIA) blir gjennomført og revidert Påse at katastrofesikringsplaner for IS (ISCP) blir implementert og vedlikeholdt Påse at kriseøvelser blir avholdt Påse at holdningsskapende programmer gjennomføres Følge opp Nasjonal strategi for informasjonssikkerhet og påse at aktuelle tiltak i strategiens handlingsplan blir gjennomført Følge opp aktuelle tiltak fra anbefalingene i 22. juli-kommisjonens rapport 4. november 2013 SLIDE 12

13 Informasjonssikkerhetskomitéen Komitéen skal være en mekanisme for å koordinere sikkerhetsaktivitetene og gi støtte til styring og ledelse informasjonssikkerheten Komitéen skal sikre at beste praksis innen informasjonssikkerhet blir implementert i institusjonen Komitéen er ansvarlig for institusjonens beslutningsprosesser innen informasjonssikkerhet Komitéen bør ledes av CISO og ha har regelmessige møter Komitéen bør har følgende medlemmer: Informasjonssikkerhetsansvarlig - CISO En eller flere ledere fra institusjonen (som f.eks. har ansvar for kritiske systemer) Representanter for spesialistfunksjoner (f.eks. revisjon, økonomi, arkiv, personal, fysisk sikring m.fl.) IKT-leder 4. november 2013 SLIDE 13

14 Informasjonssikkerhetskomitéens oppgaver Definere og kommunisere en informasjonssikkerhetsstrategi som er i tråd med institusjonens strategi Kartlegge og dokumentere institusjonens krav til informasjonssikkerhet Utarbeide eller godkjenne policyer og retningslinjer for informasjonssikkerhet Utarbeide eller godkjenne informasjonssikkerhetsplaner og -aktiviteter Delta i endringsprosesser for å vurdere om endringene innvirker på sikkerhetsbildet Måle effekten av informasjonssikkerhetsaktivitetene Bidra til å høyne profilen på informasjonssikkerhetsarbeidet innen institusjonen Rådgi institusjonens ledelse i informasjonssikkerhetsspørsmål 4. november 2013 SLIDE 14

15 Informasjonssikkerhetsfunksjonen En spesialisert informasjonssikkerhetsfunksjon bør etableres Funksjonen har ansvar for å fremme informasjonssikkerheten i institusjonen for å sikre god praksis innen informasjonssikkerhet 4. november 2013 SLIDE 15

16 Informasjonssikkerhetsfunksjonens oppgaver Informasjonssikkerhetsfunksjonen skal støtte institusjonens informasjonssikkerhetspolitikk ved å: bistå i utvikling og vedlikehold av en informasjonssikkerhetsstrategi utvikle standarder, prosedyrer og retningslinjer for informasjonssikkerhet definere et sett av sikkerhetstjenester (f.eks identitetstjenester, autentisering tjenester, kryptografiske tjenester) som gir en sammenhengende rekke av sikkerhetsfunksjoner koordinere informasjonssikkerhet på tvers av institusjonen overvåke effektiviteten av informasjonssikkerhetsarbeidet føre tilsyn med etterforskning av sikkerhetshendelser 4. november 2013 SLIDE 16

17 Informasjonssikkerhetsfunksjonens oppgaver Informasjonssikkerhetsfunksjonen bør representere et "centre of excellence" for informasjonssikkerhet ved å: gi faglige råd om alle aspekter ved informasjonssikkerhet kjøre et kontinuerlig program for informasjonssikkerhetsbevissthet og bidra til å utvikle sikkerhetsferdigheter for ansatte og studenter i institusjonen gi støtte til å beskytte informasjonen knyttet til institusjonens kritiske infrastruktur vurdere sikkerhetsimplikasjonene i prosjekter 4. november 2013 SLIDE 17

18 Informasjonssikkerhetsfunksjonens oppgaver Informasjonen sikkerhetsfunksjon skal gi proaktiv støtte til: risikovurderinger (ROS) og virksomhetskritikalitetsvurderinger (BIA) klassifisering av informasjon og systemer i henhold til deres betydning for institusjonen viktige sikkerhetsrelaterte prosjekter utvikling av institusjonens virksomhetskontinuitetsprogram revisjon 4. november 2013 SLIDE 18

19 Generelt organisasjonskart (adm. funk.) CISO? CISO? 4. november 2013 SLIDE 19