En veileder i styringssystem for informasjonssikkerhet i UH-sektoren. Basert på ISO/IEC 27001:2013. Versjon 1.1

Transkript

1 En veileder i styringssystem for informasjonssikkerhet i UH-sektoren Basert på ISO/IEC 27001:2013 Versjon 1.1 1

2 Forord Universiteter og høyskoler er pålagt å innføre et styringssystem for informasjonssikkerhet. Dette følger både av lovgivningen som gjelder i universitets- og høyskolesektoren og av nye krav som Kunnskapsdepartementet stiller til institusjonene i tildelingsbrevet. Styringssystemet for informasjonssikkerhet er en del av institusjonenes generelle system for kvalitetsstyring og internkontroll. Denne veilederen inneholder versjon 1.0 av styringssystem for informasjonssikkerhet i universiteter og høyskoler. Styringssystemet er utarbeidet av Sekretariatet for informasjonssikkerhet i universitets- og høyskolesektoren i samarbeid med Senter for rettsinformatikk, Universitetet i Oslo. Forslaget baserer seg på anerkjente standarder for statsforvaltningen (ISO/IEC 27001/02: ) og ivaretar de kravene som lovverket stiller til slike styringssystemer. 2 Formål og målgruppe Formålet med veilederen er å bidra til at universiteter og høyskoler forvalter sine informasjonsverdier på en sikker og profesjonell måte. Veilederen retter seg mot ledere og ansatte med ansvar for informasjonssikkerhet. Bakgrunn Utformingen av forslaget til styringssystem tar utgangspunkt i en kartlegging av erfaringer med informasjonssikkerhetsarbeid i universiteter og høyskoler. Kartleggingen ble gjennomført høsten 2013 og våren Den omfattet en gjennomgang av sikkerhetsdokumentasjon fra 20 utvalgte institusjoner og intervjuer med nøkkelpersonell i disse institusjonene. Forslaget er derfor tilpasset de særegne forholdene som gjør seg gjeldende i sektoren. 1 Se Digitaliseringsrundskrivet punkt 1.7, Referansekatalogen versjon 3.1, punkt 2.16, og handlingsplanen til Nasjonal strategi for informasjonssikkerhet, tiltak I vedlegg 1 gis en oversikt over hvilke obligatoriske og anbefalte dokumenter som inngår i ISO/IEC 27001: Styringssystem for informasjonssikkerhet i UH sektoren (Basert på ISO/IECC27001:2013)

3 Lokaltilpasning Selv om styringssystemet er spesielt tilpasset universiteter og høyskoler, er det viktig at institusjoner som baserer sitt arbeid med informasjonssikkerhet på forslaget, tilpasser styringssystemet til lokale forhold. Uten lokaltilpasning er det sannsynlig at institusjonene ikke vil lykkes med å gjøre styringssystemet til sitt eget. Dermed kan det også bli vanskelig å innføre og drifte styringssystemet. Oppbygging Forslaget til styringssystem er inndelt i følgende hoveddeler: en styrende del, en gjennomførende del og en kontrollerende del. Hoveddelene omhandler de tre kjerneaktivitetene som et systematisk og planlagt informasjonssikkerhetsarbeid består av. Samtidig inneholder hver hoveddel (a) nærmere beskrivelser av de dokumenter og oppgaver som inngår i et styringssystem for informasjonssikkerhet og (b) forslag til utforming av de viktigste arbeidsredskapene som inngår i et slikt styringssystem. Videreutvikling Videreutvikling av versjon 1.0 av styringssystem for informasjonssikkerhet vil være en prioritert oppgave for Sekretariatet for informasjonssikkerhet i universitets- og høyskolesektoren. Utviklingsarbeidet vil i særlig grad basere seg på praktiske erfaringer med innføring og bruk av styringssystemet i utvalgte pilotinstitusjoner. Sekretariatet håper i tillegg at så mange institusjoner som mulig vil delta i utviklingsarbeidet. Dels ved å ta versjon 1.0 av styringssystemet i bruk og dels ved å dele egne erfaringer med resten av sektoren. På denne måten kan forslaget til styringssystem forbedres av sektoren i fellesskap. Dette vil være et avgjørende bidrag til at arbeidet med forvaltning av samfunnsviktige informasjonsverdier kan styrkes og profesjonaliseres i enda større grad enn i dag. 3

4 Kurs og bistand Sekretariatet for informasjonssikkerhet vil tilby institusjonene bistand til innføring og revisjon av styringssystemet. Det vil også bli utarbeidet og gjennomført kurs i innføring og drift av styringssystemet. Kurset vil være spesielt tilpasset universiteter og høyskoler. Ta gjerne kontakt med Rolf Sture Normann (rolfnor@uninett.no) eller Tommy Tranvik (tommy.tranvik@jus.uio.no) dersom du har spørsmål vedrørende prosjektet eller styringssystemet. Innhold Forord... 2 Formål og målgruppe... 2 Bakgrunn... 2 Lokaltilpasning... 3 Oppbygging... 3 Videreutvikling... 3 Kurs og bistand... 4 Innledning... 8 Forslag til innledning... 8 Risikostyring... 9 Krav til styringssystem for informasjonssikkerhet... 9 Del 1 styrende dokumenter Avgrensning av styringssystemet Forslag til avgrensning av styringssystemet 1: Forslag til avgrensning av styringssystem 2: Sikkerhetsmål og kriterier for akseptabel risiko Forslag til sikkerhetsmål: Forslag til kriterier for akseptabel risiko: Sikkerhetsstrategi Forslag til sikkerhetsstrategi: Sikkerhetsorganisasjon Forslag til sikkerhetsorganisasjon:

5 Universitets-/høyskolestyret: Universitets-/høyskoledirektør: CSO/CISO/informasjonssikkerhetsrådgiver: Informasjonssikkerhetsforum: Fakultetsledelsen, avdelingsledere i sentraladministrasjonen og andre enhetsledere (fagavdelinger, forskningssentre, museer, biblioteker, osv.): Forskningsansvarlig og prosjektledere i forskningsprosjekter: Forskningsansvarlig Prosjektledere i forskningsprosjekter Spesielt for prosjektledere i medisinske eller helsefaglige forskningsprosjekter: IT-avdelingen: Eiendomsavdelingen: Brukerne (ansatte, studenter, gjester, osv.): Del 2 gjennomførende dokumenter Årsplan for CSO, CISO eller informasjonssikkerhetsrådgiver Eksempel på årsplan Risikovurderinger Kartlegging av informasjonsverdier Opplæringstiltak Informasjonstiltak Sikkerhetsrevisjon Ledelsens gjennomgang (LG) Risikovurderinger Eksempel på forberedende informasjon Melding til deltakere i risikovurdering: Risikovurderinger: Beskrivelse av innloggingstjenesten Feide Tenk igjennom Risikomatrisen: Eksempel på risikovurderingsrapport: Risikohåndteringsplan Måter å håndtere risiko på

6 Eksempel på risikohåndteringsplan Etablering av sikringstiltak Del 3 kontrollerende dokumenter Avviksmelding og håndtering Eksempel på avviksmeldingsskjema Sikkerhetsrevisjon Etterlevelsesrevisjon eksempel på spørreskjema: Revisjonsrapport Ledelsens gjennomgang (LG) Eksempel på disposisjon for ledelsens gjennomgang Status på tiltak på foregående ledelsens gjennomgang (LG) Sikkerhetsmål og strategi Kriterier for akseptabel risiko Sikkerhetsorganisering Avviksmeldinger Sikkerhetsrevisjon Status på risikovurderinger Status på risikohåndtering Ressurs- og kompetansebehov Referat Vedlegg Oversikt over dokumenter i ISO/IEC27001: Egne notater: Lisensiering

7 Styringssystem for informasjonssikkerhet ved [INSTITUSJON] Basert på ISO/IEC /02:

8 Innledning Det kan være hensiktsmessig at hver institusjon lager en kort innledning til beskrivelsen av sitt styringssystem for informasjonssikkerhet. Innledningen bør i første rekke henvende seg til ledere og ansatte som er lite kjent med arbeidet med informasjonssikkerhet, og den bør inneholde to hovedpunkter: 1. Begrunnelse for og forklaring av hvorfor arbeidet med informasjonssikkerhet er viktig og nødvendig (informasjonsforvaltning, lovpålagte krav og forventninger fra Kunnskapsdepartementet). 2. Definisjon av hva arbeidet informasjonssikkerhet handler om (risikostyring og sikring av informasjonens konfidensialitet, integritet og tilgjengelighet). Nedenfor følger et forslag til innledning til styringssystem for informasjonssikkerhet. Forslag til innledning Kjernevirksomheten til [INSTITUSJON] er (a) å samle inn og bearbeide informasjon/data ved bruk av vitenskapelige metoder og (b) produsere og formidle kunnskap av høy internasjonal kvalitet. 3 Det betyr at [INSTITUSJON] i stor grad lever av å forvalte, foredle og formidle ikkematerielle verdier. Derfor er det også avgjørende at all informasjon som [INSTITUSJON] forvalter i administrasjon, forskning, undervisning og offentlig formidlingsarbeid er tilfredsstillende sikret mot brudd på: o Konfidensialiteten: hindre at uvedkommende får tilgang til konfidensiell eller sensitiv informasjon, o Integriteten: hindre uønsket endring, sletting eller manipulering av informasjon og o Tilgjengeligheten: sikre brukere tilgang til informasjon når de har behov for det. 3 Se særlig kapittel 1 i lov om universiteter og høyskoler ( 8

9 Risikostyring Informasjonssikkerhet handler om risikostyring. Risikostyring innebærer at hendelser som kan føre til uautorisert tilgang, endring, tap eller skade på informasjonen skal identifiseres og vurderes. Deretter skal de iverksettes tiltak for å unngå uønskede hendelser som vurderes å ha størst risiko. Hensikten med risikostyrt informasjonssikkerhetsarbeid er derfor å forutse og forebygge uønskede hendelser og avvik før de oppstår. Risikostyrt informasjonssikkerhetsarbeid skal forankres i toppledelsen. Arbeidet skal utføres av en sikkerhetsorganisasjon med egne mål, strategier, arbeidsmetodikk/redskaper og ressurser. Krav til styringssystem for informasjonssikkerhet Personopplysningsloven med forskrift, forvaltningsloven med forskrift (eforvaltningsforskriften) og helseforskningsloven med forskrift stiller krav til innføring av styringssystem for informasjonssikkerhet. Disse kravene gjelder også for [INSTITUSJON]. I tillegg inneholder andre lovverk, blant annet offentlighetsloven og arkivloven, bestemmelser som har betydning for arbeidet med sikring av informasjon ved [INSTITUSJON]. I Kunnskapsdepartementets (KD) tildelingsbrev til [INSTITUSJON] kreves det innføring av et styringssystem for informasjonssikkerhet (SSIS) bygget på grunnprinsippene i anerkjente sikkerhetsstandarder. 4 For å bistå oss i dette arbeidet har KD gitt UNINETT i mandat å opprette Sekretariatet for informasjonssikkerhet i UH-sektoren. [INSTITUSJON] skal rapportere til KD hvordan vi bruker denne interne tjenesten. Styringssystemet for informasjonssikkerhet ved [INSTITUSJON] ivaretar de kravene som lovverket og Kunnskapsdepartementet stiller til arbeidet med informasjonssikkerhet i UHinstitusjoner. 9 4 Tildelingsbrevet til institusjonene 2014 (tilgjengelig på Styringssystem for informasjonssikkerhet i UH sektoren (Basert på ISO/IECC27001:2013)

10 Oversikt over styringssystem med kommentarer og eksempler 10

11 Del 1 styrende dokumenter Styringssystemets første hoveddel inneholder styrende dokumenter. De styrende dokumentene definerer rammene for institusjonens arbeid med informasjonssikkerhet. Styrende dokumenter omfatter beskrivelser av følgende forhold: - Avgrensning av styringssystemet («scope») - Sikkerhetsmål og kriterier for akseptabel risiko - Sikkerhetsstrategi 5 - Sikkerhetsorganisasjon 11 5 I mange styringssystemer benyttes begrepet «informasjonssikkerhetspolicy». Dette begrepet omfatter vanligvis sikkerhetsmål, akseptkriterier og sikkerhetsstrategi. Styringssystem for informasjonssikkerhet i UH sektoren (Basert på ISO/IECC27001:2013)

12 Avgrensning av styringssystemet Dette dreier seg om å beskrive hvilke deler av organisasjonen, tekniske ressurser og informasjonsverdier som inngår i styringssystemet, og hvilke som ikke inngår. Hensikten med avgrensningen er ikke bare å definere hva og hvem som omfattes av arbeidet med informasjonssikkerhet. Avgrensningen kan også tjene en pedagogisk hensikt, det vil si å vise at informasjonssikkerhet er et bredt arbeidsfelt som krever et visst minimum av ressurser og fokus. Nedenfor følger to forslag til avgrensning av styringssystemet det første mer omfattende enn det andre. Institusjonene må selv velge hvilket forslag de ønsker å basere seg på. Uavhengig av hvilket forslag som velges, er det viktig å være oppmerksom på at alle institusjonene er rettslig pålagt å ha konfigurasjonskart for datanettverk (og IT-ressurser i nettverket) som behandler personopplysninger. 6 Oversikter over de IT-ressursene som inngår i styringssystemet bør derfor ivaretas gjennom et konfigurasjonskart (som viser ITsystemer og relasjonene mellom dem) supplert med en systemoversikt (som viser hvilke ITsystemer som driftes av institusjonen, databehandlere eller andre eksterne aktører). Konfigurasjonskartet skal gi informasjon om sikringstiltak i datanettverket, for eksempel soneinndelinger, plassering av brannmurer, VLAN, DMZ, osv. Institusjonene bør også lage en oversikt over informasjonsverdier som de er ansvarlige for. Oversikten bør inneholde en klassifisering av informasjonen som behandles i de ulike ITsystemene (se også avsnittet «Kartlegging av informasjonsverdier»). Forslag til avgrensning av styringssystemet 1: 6 Personopplysningsforskriften

13 Nedenfor følger en uttømmende oversikt over hvilke deler av organisasjonen ved [INSTITUSJON] som inngår i styringssystemet for informasjonssikkerhet: Geografiske lokasjoner: Navn på lokasjoner hvor institusjonen driver sin virksomhet. Organisatoriske enheter: Kort oversikt over enheter ved institusjonen, for eksempel avdelinger i sentraladministrasjonen, fakulteter, institutter, forsknings- eller undervisningsavdelinger, forskningssentre, museer, osv. Informasjonsverdier: Kort oversikt over hovedtyper informasjonsverdier som behandles ved institusjonen, for eksempel administrativ informasjon, forskningsdata og personopplysninger (studenter, ansatte, forskningsdeltakere, osv.). Aktører: Alle ansatte i forsknings- undervisnings- og administrative stillinger (faste og midlertidige), alle studenter som er registrert ved institusjonen, alle gjester ved institusjonen (for eksempel gjesteforskere), alt innleid personell (for eksempel personer som utfører renhold, vedlikehold, driftsoppgaver, og liknende) og alle eksterne behandlere av informasjonsverdier (for eksempel databehandlere: USIT, UNINETT eller kommersielle virksomheter). Tekniske ressurser: Alle tekniske systemer og datanettverk som anvendes til behandling av institusjonens informasjonsverdier, for eksempel IT-systemer, interne og eksterne datanettverk, databaser/-registre, manuelle personregistre, osv. Forslag til avgrensning av styringssystem 2: Styringssystemet for informasjonssikkerhet ved [INSTITUSJON] omfatter alle informasjonsverdier, IT-systemer, manuelle registre, teknisk og fysisk infrastruktur som eies eller leies av [INSTITUSJON]. Styringssystemet omfatter alle lokasjoner hvor [INSTITUSJON] 13

14 har virksomhet, og alle ansatte, registrerte studenter, innleid personell og gjester ved [INSTITUSJON]. Vedlegg: Konfigurasjonskart og systemoversikt. Sikkerhetsmål og kriterier for akseptabel risiko Sikkerhetsmål og kriterier for akseptabel risiko skal peke ut hovedretningen for arbeidet med informasjonssikkerhet. Sikkerhetsmålene skal tilkjennegi hva ledelsen ønsker å oppnå med informasjonssikkerhetsarbeidet, mens kriterier for akseptabel risiko skal gi en pekepinn på hvor godt ledelsen ønsker å sikre ulike typer informasjonsverdier mot brudd på konfidensialiteten, integriteten og tilgjengeligheten. Når det gjelder elektronisk behandling av personopplysninger og personopplysninger som inngår i manuelle personregistre, er institusjonene pålagt å sørge for tilfredsstillende informasjonssikkerhet. 7 Dette kravet bør også gjelde ved sikring av andre typer informasjonsverdier. Både sikkerhetsmål og kriterier for akseptabel risiko må derfor utformes slik at tilfredsstillende informasjonssikkerhet oppnås. I tillegg til at sikkerhetsmålene skal tilkjennegi formålet med informasjonssikkerhetsarbeidet, kan sikkerhetsmålene også fungere som pedagogiske hjelpemidler: de forteller resten av institusjonen at arbeidet skal prioriteres og hvorfor det er viktig. Kriterier for akseptabel risiko som skal gjelde for hele institusjonen, vil være overordnede og uttrykke institusjonens hovedkrav til sikring av informasjonsverdier. Det kan derfor være behov for at ledelsen ved ulike enheter (fakulteter, forsknings- eller undervisningsavdelinger, administrative enheter, osv.) konkretiserer hva akseptkriterier innebærer «her hos oss». 7 Personopplysningsloven

15 Konkretiseringene må være i tråd med de hovedkravene som institusjonens overordnede akseptkriterier innebærer. Forslag til sikkerhetsmål: Følgende mål for arbeidet med informasjonssikkerhet gjelder ved [INSTITUSJON]: 1. Arbeidet med informasjonssikkerhet skal bidra til høy kvalitet på forvaltningen av all informasjon som benyttes i administrasjon, forskning, undervisning og formidlingsaktiviteten ved [INSTITUSJON]. 2. Arbeidet med informasjonssikkerhet skal bidra til at [INSTITUSJONEN] ivaretar sine plikter som offentlig forvaltningsorgan og respekterer rettighetene til ansatte, studenter og deltakere i forskningsprosjekter. 3. Arbeidet med informasjonssikkerhet skal til enhver tid være i tråd med de krav som stilles i lover og forskrifter som gjelder for [INSTITUSJONEN], og følge opp de kravene som Kunnskapsdepartementet stiller til informasjonssikkerheten. 4. Arbeidet med informasjonssikkerhet skal ivareta grunnleggende personvernhensyn, herunder privatlivets fred, den personlige integriteten og opplysningskvaliteten, ved all elektronisk behandling av personopplysninger. 5. Arbeidet med informasjonssikkerhet skal bidra til at alle skal kunne ha tillit til kvaliteten på den informasjonen som kommuniseres og formidles av [INSTITUSJON], uavhengig av hvilke kanaler som benyttes. 6. Arbeidet med informasjonssikkerhet skal bidra til at [INSTITUSJON] ivaretar sitt omdømme som et profesjonelt og kompetent forvaltningsorgan. 15

16 Forslag til kriterier for akseptabel risiko: Arbeidet med informasjonssikkerhet skal sørge for at informasjonsverdiene ved [INSTITUSJON] til enhver tid er tilfredsstillende sikret mot brudd på konfidensialiteten, integriteten og tilgjengeligheten. For å oppnå tilfredsstillende informasjonssikkerhet skal arbeidet basere seg på følgende kriterier for akseptabel risiko: Åpen informasjon: Integriteten og tilgjengeligheten til informasjon som skal være offentlig tilgjengelig, uavhengig av om dette dreier som forsknings-, undervisnings- eller administrativ informasjon, skal prioriteres. Integriteten til informasjonen skal vektlegges foran hensynet til tilgjengeligheten. Intern informasjon: Konfidensialiteten og integriteten til informasjon som benyttes i intern administrasjon og saksbehandling eller i pågående eller planlagt forskning/studentforskning skal prioriteres høyt. Dette omfatter blant annet informasjon som er unntatt offentlighet, upubliserte artikkel- eller bokmanus, ikke-konfidensielle forskningsdata som ikke er godkjent for publisering/offentliggjøring av prosjektleder, utkast til strategier/planer eller ikkepubliserte forslag til forskningsprosjekter. Det aksepteres kun mindre brudd på denne informasjonens konfidensialitet og integritet. Kortere avbrudd i informasjonens tilgjengelighet aksepteres. Sensitiv informasjon: Konfidensialiteten og integriteten til informasjon som er spesielt beskyttelsesverdig eller som er underlagt særskilt rettslig regulering, for eksempel konfidensielle forskningsdata, opplysninger om enkeltpersoner (personopplysninger 8 ) eller forslag/tekster til eksamensoppgaver, skal prioriteres særlig høyt I personopplysningsloven 2 defineres personopplysninger som opplysninger og vurderinger som kan knyttes til en enkeltperson. Styringssystem for informasjonssikkerhet i UH sektoren (Basert på ISO/IECC27001:2013)

17 Det aksepteres ikke brudd på konfidensialiteten eller integriteten til personopplysninger. Dette gjelder i særlig grad for sensitive personopplysninger. 9 Kortere avbrudd i personopplysningers tilgjengelighet aksepteres. Det aksepteres ikke brudd på konfidensialiteten og integriteten til konfidensielle forskningsdata som ikke er godkjent for publisering/offentliggjøring av prosjektleder. Kortere avbrudd i forskningsdataenes tilgjengelighet aksepteres. Det aksepteres ikke brudd på konfidensialiteten og integriteten til eksamensoppgaver (tekster/forslag) og eksamensbesvarelser. Det samme gjelder uferdige eller innleverte studentoppgaver (bachelor/master) og avhandlinger (p.hd.) som ikke skal eller ikke er godkjent for publisering/offentliggjøring. Korte avbrudd i tilgjengeligheten aksepteres dersom dette ikke vanskeliggjør eksamensgjennomføring eller innlevering og sensurering av eksamensbesvarelser, studentoppgaver eller p.hd.-avhandlinger. 9 I personopplysningsloven 2 defineres sensitive personopplysninger som opplysninger om rasemessig eller 17 etnisk bakgrunn; politisk, filosofisk eller religiøs oppfatning; at en person har vært mistenkt, siktet, tiltalt eller dømt for en straffbar handling; helseforhold; seksuelle forhold eller medlemskap i fagforeninger. Styringssystem for informasjonssikkerhet i UH sektoren (Basert på ISO/IECC27001:2013)

18 Sikkerhetsstrategi Sikkerhetsstrategien skal inneholde en kort oversikt over de hovedgrep eller grunnleggende prioriteringer som institusjonens ledelse tar for å følge opp og realisere sikkerhetsmålene og kriteriene for akseptabel risiko. Strategien skal altså skissere hva ledelsen mener er viktigst å gjøre for at mål og akseptkriterier skal få praktisk betydning for den daglige håndteringen av institusjonens informasjonsverdier. Det er viktig å være oppmerksom at sikkerhetsstrategien og oppfølgingen av denne vil innebære at ledelsen forplikter seg til å bruke ressurser på arbeidet med informasjonssikkerhet. De hovedprioriteringene som strategien uttrykker må derfor avspeile seg i det øvrige plan- og strategiarbeidet, og i interne budsjettprosesser. Forslaget til sikkerhetsstrategi som presenteres nedenfor inneholder enkelte formuleringer når det gjelder bruk av skytjenester eller andre typer databehandlere. Det kan tenkes at institusjonene selv ønsker å håndtere disse utfordringene på andre måter enn det som er skissert nedenfor. 18

19 Forslag til sikkerhetsstrategi: For å realisere sikkerhetsmålene og sørge for tilfredsstillende informasjonssikkerhet, skal arbeidet med informasjonssikkerhet ved [INSTITUSJON] basere seg på følgende hovedprioriteringer: Alt arbeid med informasjonssikkerhet skal basere seg på risikovurderinger. Ingen sikringstiltak, uavhengig av om de er tekniske, organisatoriske, fysiske eller personalmessige, skal gjennomføres uten at risikovurderinger viser at det er behov for tiltakene. Risikovurderinger av IT-systemer og -tjenester, datanettverk og infrastruktur, arbeidsprosesser og fysiske forhold skal gjennomføres hvert annet år. Valg av sikringstiltak skal basere seg på tiltaksoversikten i ISO/IEC 27001: 2013 Annex A, jf. ISO/IEC 27002: Ledelsen ved [INSTITUSJON] vil bevilge nødvendige ressurser til opplæring og kompetanseheving for ledere og ansatte som er delegert ansvar for informasjonssikkerheten ved [INSTITUSJONEN] eller som er pålagt å utføre konkrete arbeidsoppgaver. Opplæringen og kompetansehevingen skal i særlig grad fokusere på arbeidsmetodikken i risikostyrt informasjonssikkerhetsarbeid og praktisk bruk av konkrete arbeidsredskaper. Ledere i [INSTITUSJON] som er delegert ansvaret for informasjonssikkerheten skal sørge for at ressurser bevilges til planlegging, gjennomføring og oppfølging av pålagte arbeidsoppgaver innenfor deres ansvarsområder. Dette inkluderer iverksetting av sikringstiltak som er nødvendige for å oppnå tilfredsstillende informasjonssikkerhet. Alle brukere av informasjonsverdiene til [INSTITUSJON] skal gis informasjon om rutiner for sikker håndtering av informasjonsverdier og trusler mot informasjonsverdiene. De skal også informeres om avviksmeldingssystemet ved [INSTITUSJON]. I tillegg skal de informeres om hensikten med og viktigheten av at avvik/sikkerhetsbrudd rapporteres. 19

20 Fjerndrift av [INSTITUSJON] sine informasjonsverdier, for eksempel bruk av nettbaserte tjenester eller andre typer databehandlere, kan bare skje dersom risikoen for sikkerhetsbrudd er innenfor kriteriene for akseptabel risiko, og dersom de nødvendige avtaler er inngått og blir fulgt opp. Utkontraktering (eng.: outsourcing) av drift og forvaltning av informasjon med særskilte sikkerhetskrav, for eksempel sensitive personopplysninger eller konfidensielle forskningsdata, kan bare skje etter en spesielt grundig vurdering. Arbeidet med informasjonssikkerhet ved [INSTITUSJON] skal til enhver tid basere seg på anbefalte og anerkjente standarder for styringssystemer for informasjonssikkerhet i offentlig sektor, jf. DIFIs referansekatalog versjon 3.1, punkt 2.16 (tilgjengelig på UNINETT og Sekretariatet for informasjonssikkerhet i UH-sektoren skal benyttes til rådgiving og bistand når det er nødvendig. 20

21 Sikkerhetsorganisasjon Sikkerhetsorganisasjonen fordeler roller, myndighet og oppgaver mellom aktører som skal jobbe med informasjonssikkerheten ved institusjonen fra toppledelsen og ut til brukerne (ansatte, studenter, gjester, osv.). Det er viktig at beskrivelsen av sikkerhetsorganisasjonen er tydelig. Dette betyr at beskrivelsen skal gi klare svar på tre hovedspørsmål: 1. Hvem inngår i sikkerhetsorganisasjonen? 2. Hva har hver enkelt aktør som inngår i sikkerhetsorganisasjonen ansvaret for? 3. Hvilke konkrete oppgaver skal hver enkelt aktør utføre? Uten at svarene på disse spørsmålene er tydelige og bekjentgjort, er det lite sannsynlig at sikkerhetsorganisasjonen vil kunne utføre det arbeidet den er satt til å gjøre. Enkelte institusjoner kan velge å opprette et informasjonssikkerhetsforum som skal koordinere arbeidet med informasjonssikkerhet. Oppgavene til et slikt forum kan legges til et allerede eksisterende organ ved institusjonen. Det er altså ikke nødvendig å opprette et eget organ for å ivareta informasjonssikkerhetsforumets oppgaver. Institusjoner som velger å oppnevne et eget informasjonssikkerhetsforum kan gjøre dette etter de prosedyrene som foreslås nedenfor. Avdelinger eller enheter kan ha tverrgående ansvar for informasjonssikkerheten på et bestemt område. Med dette menes for eksempel at avdelinger i sentraladministrasjonen kan være eiere av IT-systemer eller tjenester som også anvendes i andre avdelinger eller enheter ved institusjonen (for eksempel administrative fellessystemer). Avdelinger eller enheter med tverrgående ansvar har som oppgave å vurdere behovet for sikringstiltak som omfatter alle som anvender «deres» systemer eller tjenester. 21

22 IT-avdelinger (eller tilsvarende) og Eiendomsavdelinger (eller tilsvarende) har et særlig ansvar for informasjonssikkerheten når det gjelder IT-infrastruktur og fysisk infrastruktur. Myndighet, ansvar og oppgaver til lederne i disse avdelingene vil bli behandlet særskilt i vårt forslag til sikkerhetsorganisering. Legg merke til at vårt forslag til sikkerhetsorganisering må tilpasses institusjoner hvor «særlige organisatoriske forhold» gjør seg gjeldende. Dette kan for eksempel være institusjoner som har Computer Emergency Respons Team (CERT) eller institusjoner som både har Chief Security Officer (CSO) og Cheif Information Security Officer (CISO). Ansvar og oppgaver til denne typen enheter/roller må beskrives i disse institusjonenes sikkerhetsorganisering. Forslag til sikkerhetsorganisasjon: I sikkerhetsorganisasjonen til [INSTITUSJON] inngår følgende roller: Universitets-/høyskolestyret. Universitets-/høyskoledirektør. CSO/CISO, eventuelt informasjonssikkerhetsrådgiver. Informasjonssikkerhetsforum. Fakultets-, avdelings-, enhets- og prosjektledere: o Avdelingsledere/direktører i sentraladministrasjonen. o Fakultetsledelsen og ledere i fagavdelinger. o Ledere ved andre organisatoriske enheter (for eksempel forskningssentre eller museer). o Forskningsansvarlig og ledere i forskningsprosjekter. IT-leder. Leder i eiendomsavdelingen. Brukere (ansatte, studenter, gjester). 22

23 Nedenfor følger en gjennomgang av hvilket ansvar og hvilke arbeidsoppgaver de ulike rollene i sikkerhetsorganisasjonen er pålagt å ivareta. 23

24 Universitets-/høyskolestyret: Myndighet: Behandler og vedtar styringssystemet for informasjonssikkerhet ved [INSTITUSJON] og vesentlige endringer i styringssystemet. Spesielt gjelder dette endringer i sikkerhetsmål og kriterier for akseptabel risiko. Kan stille krav til det videre arbeidet med informasjonssikkerhet ved (navn på institusjonen). Rapportering: Skal informeres årlig om arbeidet med informasjonssikkerhet av universitets- /høyskoledirektøren Skal informeres om spesielt alvorlige sikkerhetsbrudd av universitets- /høyskoledirektøren. 24

25 Universitets-/høyskoledirektør: Myndighet og delegasjon: Universitets-/høyskoledirektør har det overordnede daglige ansvaret for informasjonssikkerheten ved [INSTITUSJON]. Universitets-/høyskoledirektøren oppnevner medlemmer av informasjonssikkerhetsforumet ved [INSTITUSJON]. Universitets-/høyskoledirektør kan delegere ansvaret for utøvelsen av daglige oppgaver til CSO/CISO/informasjonssikkerhetsrådgiver, herunder også oppnevnelse av medlemmer til informasjonssikkerhetsforum. Universitets-/høyskoledirektør skal inngå avtaler med eksterne aktører (databehandlere) som behandler personopplysninger på vegne av [INSTITUSJONEN]. Drift og ressurser: Skal sørge for at styringssystemet for informasjonssikkerhet blir innført, satt i drift og vedlikeholdt. Skal sørge for at det avsettes tilstrekkelige ressurser til arbeidet med informasjonssikkerhet, herunder opplæring og kompetanseheving. Kontroll og rapportering: Skal ha oversikt over de informasjonsverdiene som behandles av institusjonen, spesielt behandlingen av personopplysninger. Skal holde seg orientert om arbeidet med informasjonssikkerhet. Skal årlig gjennomgå status for arbeidet med informasjonssikkerhet ved [INSTITUSJON] (ledelsens gjennomgang). Skal årlig rapportere status for arbeidet med informasjonssikkerhet til universitets- /høyskolestyret og informere styret om spesielt alvorlige sikkerhetsbrudd. Skal, dersom det er nødvendig, foreslå endringer i styringssystemet (sikkerhetsmål, sikkerhetsstrategi, akseptabel risiko og organisering) til universitets-/høyskolestyret. 25

26 Skal meddele rektor alvorlige brudd på konfidensialiteten til personopplysninger til Datatilsynet. 26

27 CSO/CISO/informasjonssikkerhetsrådgiver: Myndighet og ansvar: Skal i det daglige utøve universitets-/høyskoleledelsens ansvar for informasjonssikkerheten ved [INSTITUSJON]. Skal planlegge og lede arbeidet i informasjonssikkerhetsforumet ved [INSTITUSJON]. Tilstand og oversikt: Skal ha oversikt over informasjonsverdier som behandles og IT-løsninger som benyttes ved [INSTITUSJON]. Skal holde seg orientert om informasjonssikkerhetstilstanden ved [INSTITUSJON], herunder motta avviksmeldinger fra fakulteter, avdelinger, andre enheter, forskningsprosjekter og individuelle brukere (ansatte, studenter, gjester, osv.). Revisjoner og rapporter: Skal sørge for at det gjennomføres revisjoner av arbeidet med informasjonssikkerhet ved fakulteter, avdelinger, andre enheter og forskningsprosjekter. Skal utarbeide rapport om informasjonssikkerhetsarbeidet til universitets- /høyskoleledelsens årlige gjennomgang. Skal rapportere alvorlige brudd på informasjonssikkerheten og andre vesentlige avvik til universitets-/høyskoledirektør. Opplæring, informasjon og bistand: Skal sørge for at det gis opplæring i praktisk informasjonssikkerhetsarbeid til ledere, administrativt og vitenskapelige ansatte, prosjektledere og prosjektdeltakere i forskningsprosjekter dersom det er nødvendig. Skal bistå fakulteter, avdelinger og forskningsprosjekter ved planlegging, gjennomføringen og oppfølging av konkrete sikkerhetsoppgaver, spesielt 27

28 risikovurderinger, iverksetting av sikringstiltak og inngåelser av avtaler med betydning for informasjonssikkerheten (SLA og liknende). Skal sørge for at brukerne informeres om trusler mot informasjonssikkerheten. Informasjonssikkerhetsforum: Myndighet og ansvar: Skal gi råd til universitets-/høyskoleledelsen om tiltak/initiativ som fremmer informasjonssikkerheten, herunder ressursbehov. Skal koordinere planleggingen og gjennomføringen av tiltak/initiativ på informasjonssikkerhetsområdet som omfatter hele institusjonen. Ledelse og sammensetning: Arbeidet planlegges og ledes av CSO/CISO/informasjonssikkerhetsrådgiver. Forumet består for øvrig av vitenskapelige og administrative ledere/ansatte. Forumet møtes minst én gang hvert semester eller ved behov. Øvrige oppgaver: Skal holde seg orientert om tilstanden på informasjonssikkerhetsområdet, herunder nye trusler mot [INSTITUSJON] sine informasjonsverdier. Skal gjennomgå meldte avvik og sikkerhetshendelser. Skal gjennomgå resultater fra sikkerhetsrevisjoner. Skal behandle eventuelle forslag til endringer i sikkerhetsmål, sikkerhetsstrategi, akseptkriterier og sikkerhetsorganisering i forkant av ledelsens gjennomgang. Skal foreslå konkrete mål for arbeidet med informasjonssikkerhet for neste periode (budsjettår) i forkant av ledelsens gjennomgang. 28

29 Fakultetsledelsen, ledere i sentraladministrasjonen og andre enhetsledere (forskningssentre, museer, biblioteker, osv.): Myndighet og delegasjon: Skal, etter delegasjon fra universitets-/høyskoledirektøren, utøve det daglige ansvaret for informasjonssikkerhet innenfor sine ansvarsområder, herunder ITsystemer/tjenester som de har eierskapet til. Skal sørge for at vedtatte sikkerhetsmål, kriterier for akseptabel risiko og sikkerhetsstrategi blir fulgt opp innenfor sine ansvarsområder. Kan delegere utøvelsen av det daglige ansvaret for informasjonssikkerheten til én eller flere ansatte ved fakultetet, avdelingen eller enheten. Kartlegging, risikovurderinger og tiltak: Skal ha oversikt over hvilke informasjonsverdier og IT-løsninger enheten er ansvarlige for, inkludert hvilke forskningsdata som behandles. Skal sørge for at det jevnlig (hvert annet år) blir gjennomført risikovurderinger av: o IT-systemer/tjenester som enhetene har eierskap til. o Bruk av eksterne IT-systemer/tjenester (fjerndrift). o Bruk av IT-utstyr. o Arbeidsprosesser (forskning, undervisning, formidling og administrasjon). o Fysiske forhold som har betydning for informasjonssikkerheten. o Anskaffelse av IT-løsninger. o Ved vesentlige endringer i arbeidsprosesser, IT-løsninger eller fysiske forhold. Skal sørge for at sikringstiltak blir iverksatt dersom risikovurderingene viser at informasjonssikkerheten ikke er tilfredsstillende, herunder bestille tekniske og fysiske sikringstiltak fra IT- eller Eiendomsavdelingen. Informering og opplæring: 29

30 Skal sørge for at administrativt og vitenskapelige ansatte med ansvar for konkrete sikkerhetsoppgaver og prosjektledere/deltakere har kompetanse til å utføre sine informasjonssikkerhetsoppgaver. Skal sørge for at alle brukere i sin enhet er kjent med de rutiner som til enhver tid gjelder for behandling av informasjonsverdier i administrasjon, undervisning, forskning og formidling. Avviksmelding og avvikshåndtering: Skal sørge for at alle brukere i sin enhet er kjent med de prosedyrer som til enhver tid gjelder for melding av rutineavvik og sikkerhetsbrudd. Skal sørge for at alle avvik og sikkerhetsbrudd i sin enhet blir lukket, herunder be om assistanse fra IT- eller Eiendomsavdelingen ved håndtering av tekniske eller fysiske sikkerhetsbrudd dersom det er nødvendig. Revisjoner og avtaler: Skal sørge for at CSO/CISO/informasjonssikkerhetsrådgiver får nødvendig bistand ved gjennomføring av sikkerhetsrevisjoner. Skal sørge for at det inngås databehandleravtaler eller andre avtaler med eksterne aktører for å ivareta informasjonssikkerheten (for eksempel SLA), herunder kontrollere at avtalevilkårene respekteres. 30

31 Forskningsansvarlig og prosjektledere i forskningsprosjekter: Forskningsansvarlig Myndighet og delegasjon: Rektor er forskningsansvarlig og har det overordnede ansvaret for informasjonssikkerheten i forskningsprosjekter. 10 Rektor delegerer utøvelsen av sitt ansvar for informasjonssikkerheten i forskningsprosjekter til faglig ledelse ved fakulteter eller tilsvarende enheter (dekan). Rektor skal årlig gjennomgå status for arbeidet med informasjonssikkerhet i forskningsprosjekter ved [INSTITUSJON] (ledelsens gjennomgang). 11 Oversikt og oppfølging: Skal ha oversikt over hvilke forskningsprosjekter som gjennomføres ved [INSTITUSJONEN]. Skal sørge for at vedtatte sikkerhetsmål, kriterier for akseptabel risiko og sikkerhetsstrategi blir fulgt opp i forskningsprosjekter. Prosjektledere i forskningsprosjekter Myndighet og ansvar: Skal sørge for at vedtatte sikkerhetsmål, kriterier for akseptabel risiko og sikkerhetsstrategi blir ivaretatt. Skal rapportere forskningsprosjekter til forskningsansvarlig ved [INSTITUSJONEN]. Skal, dersom det er nødvendig, melde forskningsprosjekter til lokalt personvernombud eller til Norsk Samfunnsvitenskapelig Datatjeneste. 10 I større institusjoner kan det være mer praktisk at forskningsansvaret legges direkte på fakultetsnivået (dekan). 11 Rektors gjennomgang av informasjonssikkerheten i forskningen bør koordineres med universitets- eller 31 høyskoledirektørens årlige gjennomgang av institusjonens arbeid med informasjonssikkerhet. Dersom forskningsansvaret legges på fakultetsnivå, er det dekan/prodekan som har ansvaret for gjennomgangen av informasjonssikkerhet i forskningen på sitt fakultet. Resultatene fra gjennomgangen rapporteres til rektor. Styringssystem for informasjonssikkerhet i UH sektoren (Basert på ISO/IECC27001:2013)

32 Kartlegging, risikovurderinger og tiltak: Skal ha oversikt over hvilke informasjonsverdier og IT-løsninger som behandles eller benyttes i forskningsprosjekter. Skal sørge for at det gjennomføres risikovurderinger ved oppstart av forskningsprosjekter og jevnlig ved langvarige prosjekter. Risikovurderingene bør omfatte prosjektets bruk av: o IT-systemer/tjenester interne og eksterne som anvendes i prosjektene. o IT-utstyr. o Fysiske forhold som har betydning for informasjonssikkerheten i forskningsprosjekter. o Anskaffelse av IT-løsninger i forskningsprosjekter. o Ved vesentlige endringer i forskningsprosjektet og endringer i IT-løsninger eller fysiske forhold. Skal sørge for at sikringstiltak blir iverksatt dersom risikovurderingene viser at informasjonssikkerheten i prosjektene ikke er tilfredsstillende, herunder bestille tekniske og fysiske sikringstiltak fra IT- og Eiendomsavdelingen. Informering og opplæring: Skal sørge for at prosjektdeltakere har kompetanse til å utføre sine sikkerhetsoppgaver, for eksempel ved å be CSO/CISO/informasjonssikkerhetsrådgiver om bistand til opplæring/kompetanseheving. Skal sørge for at alle prosjektdeltakerne er kjent med de rutiner som til enhver tid gjelder for behandling av informasjonsverdier i forskning. Avviksmelding og avvikshåndtering: Skal sørge for at alle prosjektdeltakerne er kjent med de prosedyrer som til enhver tid gjelder for melding av rutineavvik og sikkerhetsbrudd. 32

33 Skal sørge for at alle avvik og sikkerhetsbrudd blir lukket, herunder be om assistanse fra IT- eller Eiendomsavdelingen ved håndtering av tekniske eller fysiske sikkerhetsbrudd dersom det er nødvendig. Revisjoner og avtaler: Skal sørge for at CSO/CISO/informasjonssikkerhetsrådgiver får nødvendig bistand ved gjennomføring av sikkerhetsrevisjoner av forskningsprosjekter. Skal sørge for at det inngås databehandleravtaler eller andre avtaler med eksterne aktører i forskningsprosjekter for å ivareta informasjonssikkerheten (for eksempel SLA), herunder sikre at avtalevilkårene respekteres. Spesielt for prosjektledere i medisinske eller helsefaglige forskningsprosjekter: Skal følge de særskilte godkjennings- og saksbehandlingsreglene som gjelder ved oppstart, gjennomføring og avslutning av medisinske og helsefaglige forskningsprosjekter. 12 Skal følge anbefalingene i Personvern og informasjonssikkerhet i forskningsprosjekter innenfor helse- og omsorgssektoren, spesielt med hensyn til sikring av forskningsdata/forskningsfiler, koblingsnøkler og nøkkelfiler Jf Tilgjengelig på 33 informasjonssikkerhet/dokumenter/veiledere/documents/veileder_personvern-og-informasjonssikkerhet-i- forskningsprosjekter-v11.pdf. Styringssystem for informasjonssikkerhet i UH sektoren (Basert på ISO/IECC27001:2013)

34 IT-leder: Myndighet og delegasjon: IT-leder har det samme ansvaret for informasjonssikkerheten innenfor sin avdeling/ansvarsområde som øvrige ledere i sentraladministrasjonen, se instruks for fakultetsledelsen, ledere i sentraladministrasjonen og andre enhetsledere ovenfor. IT-leder skal sørge for at vedtatte sikkerhetsmål, kriterier for akseptabel risiko og sikkerhetsstrategi blir fulgt opp ved investeringer i og drift av IT-løsninger. Registrering og dokumentasjon: Skal registrere og dokumentere autorisert og forsøk på uautorisert bruk av [INSTITUSJONENS] IT-løsninger som inneholder personopplysninger. Skal registrere og dokumentere alle sikkerhetshendelser/brudd som gjelder [INSTITUSJONENS] IT-løsninger. Ekstern bistand og avtaler: Skal bistå enheter eller forskningsprosjekter ved risikovurderinger av teknisk sikkerhet (interne og eksterne IT-løsninger) når de blir bedt om å gi slik bistand. Skal bistå enheter eller forskningsprosjekter ved utforming og iverksetting av ITtekniske sikringstiltak. Skal bistå enheter og forskningsprosjekter ved håndtering av tekniske sikkerhetsbrudd. Skal sørge for at det inngås databehandleravtaler eller andre avtaler med eksterne aktører som har betydning for informasjonssikkerheten (for eksempel SLA), herunder kontrollere at avtalevilkårene respekteres. 34

35 Leder i eiendomsavdelingen: Myndighet og delegasjon: Leder i eiendomsavdelingen har det samme ansvaret for informasjonssikkerheten innenfor sin avdeling/ansvarsområde som øvrige ledere i sentraladministrasjonen, se instruks for fakultetsledelsen, ledere i sentraladministrasjonen og andre enhetsledere ovenfor. Skal sørge for at vedtatte sikkerhetsmål og kriterier for akseptabel risiko blir fulgt opp ved nybygg eller bygningsmessige endringer som har betydning for informasjonssikkerheten. Fysisk sikkerhet: Skal sørge for at sikring av tilgang til bygninger, rom og områder er i tråd med kriterier for akseptabel risiko. Bistand og avtaler: Skal bistå enheter og forskningsprosjekter ved risikovurderinger av fysisk sikkerhet og ved gjennomføring av nødvendige fysiske sikringstiltak. Skal bistå enheter og forskningsprosjekter ved håndtering av fysiske sikkerhetsbrudd. Skal sørge for at det inngås databehandleravtaler eller andre avtaler med eksterne aktører som har betydning for informasjonssikkerheten (for eksempel SLA med vaktselskaper), herunder sikre at avtalevilkårene respekteres. 35

36 Brukerne (ansatte, studenter, gjester, osv.): Ansvar: Alle brukere skal overholde de rutiner og retningslinjer som til enhver tid gjelder for sikker håndtering av informasjonsverdier og personopplysninger. Oppgaver: Alle brukere skal rapportere avvik fra vedtatte rutiner/retningslinjer og brudd på informasjonssikkerheten. Ansatte skal bistå ved planlegging, gjennomføring eller oppfølging av konkrete sikkerhetsoppgaver dersom de blir bedt om det. 36

37 Del 2 gjennomførende dokumenter Styringssystemets andre hoveddel inneholder gjennomførende dokumenter. De gjennomførende dokumentene beskriver retningslinjer for utførelsen av konkrete arbeidsoppgaver og rutiner for iverksetting av sikringstiltak. Gjennomførende dokumenter omfatter: - Årsplan for CSO, CISO eller informasjonssikkerhetsrådgiver - Risikovurderinger - Risikohåndteringsplan - Etablering av sikringstiltak («Statement of Applicability, SOA») 37

38 Årsplan for CSO, CISO eller informasjonssikkerhetsrådgiver Årsplanen er et verktøy for den som til daglig utøver ledelsens ansvar for informasjonssikkerhet i institusjonen. Planen inneholder årsmålsetninger for arbeidet med informasjonssikkerhet og konkrete arbeidsoppgaver for det kommende året. Både årsmålsetningene og arbeidsoppgavene utgår fra og skal understøtte institusjonens overordnede sikkerhetsmål og sikkerhetsstrategi. I tillegg til institusjonens overordnede sikkerhetsmål og strategi, vil svakheter eller mangler ved styringssystemet avdekket under «Ledelsens gjennomgang» kunne påvirke innholdet i årsplanen. Nedenfor følger eksempel på en årsplan for CSO, CISO eller informasjonssikkerhetsrådgiver. Den inneholder to momenter. For det første en oversikt over årsmålsetninger og hvordan de skal oppnås. For det andre planer for gjennomføring av de faste oppgavene som CSO, CISO eller informasjonssikkerhetsrådgiver er ansvarlig for (kartlegginger, risikovurderinger, opplæring og informasjon, sikkerhetsrevisjoner og ledelsens gjennomgang). Eksempel på årsplan Målsetning: Begrunnelse: Resultat: Tidspkt: Overordnet sikkerhetsmål: Gjennomføre opplæring i avviksmelding for ansatte Ansatte er lite kjent med det nye avviksmeldingssystemet. Alle ansatte skal være godt kjent med avviksmeldingssystemet Høst 20xx Begrunnet i sikkerhetsmål nr. 3. Revisjon av ITreglement Siste revisjon er fra 2001, og bør oppdateres. Ajourføring av reglement i forhold til blant annet bruk av mobilt utstyr (smarttelefoner, nettbrett etc.) Vår 20xx Begrunnet i sikkerhetsmål 5 og 6. 38

39 Risikovurderinger Enhet: Område: Tidsperiode: Juridisk fakultet v/fakultetsdirektør Fysisk sikkerhet Mars/april

40 Kartlegging av informasjonsverdier System/ tjeneste Eier Opplysningstyper Driftes av: Lovregulert Klassifisering i henhold til akseptkriterier Åpen Intern Sensitiv FS Leder studieadm. Alminnelige personopplysninger om studenter USIT POL/POF X ephorte Leder administrasjonen Sensitive personopplysninger IT avdelingen POL/POF X Opplæringstiltak Enhet/rolle: Tiltak: Målgruppe: Tidsperiode: Sentraladministrasjonen Kurs I risikovurdering Økonomiavdelingen September 2014 CISO Lead implementer i 27001: 13 Informasjonssikkerhetsansvarlig Desember 2014 Informasjonstiltak Tiltak: Målgruppe: Tidsperiode: Nasjonal sikkerhetsmåned Studenter Oktober Sikkerhetsrevisjon Utsendelse av revisjonsskjema: Svarfrist/purring: Ferdigstillelse av rapport: Medio september

41 Ledelsens gjennomgang (LG) Rapport ferdig: Møtedato:

42 Risikovurderinger Risikovurderinger handler om to ting: 1. Identifisere uønskede hendelser, det vil si hendelser som kan føre til brudd på informasjonsverdienes konfidensialitet, integritet og tilgjengelighet. 2. Vurdere risikoen sannsynlighet multiplisert med konsekvens for hver uønsket hendelse som er identifisert. Dersom risikoen (sannsynlighet/konsekvens) for én eller flere uønskede hendelser er høyere enn det institusjonen har definert som akseptabelt, må risikoen håndteres, for eksempel ved at forebyggende tiltak (sikringstiltak) iverksettes. Risikohåndtering er en egen prosess som behandles senere i veilederen («Risikohåndteringsplan»). Selve risikovurderingsprosessen består av tre hoveddeler. Dette er: 1. Forberedelse o Bestemme hvilket område som skal risikovurderes (en IT-løsning, en arbeidsprosess, bygningsmessige forhold, osv.). o Bestemme hvem og hvor mange som skal delta i risikovurderingen (daglige brukere, superbrukere, lokalt eller sentralt IT-ansatte, vitenskapelig ansatte, studenter, osv.), o Informere deltakerne om hva som skal risikovurderes og hvordan de skal forberede seg til risikovurderingen. 2. Gjennomføring o Identifisere og diskutere uønskede hendelser hva kan føre til brudd på informasjonsverdienes konfidensialitet, integritet og tilgjengelighet? o Vurdere risikoen for hver enkelt uønsket hendelse hva er sannsynligheten for og konsekvensen av at de uønskede hendelsene inntreffer? 3. Etterarbeid 42

43 o Lage en risikovurderingsrapport som viser (a) hvilke uønskede hendelser som ble identifisert, (b) risikoen for hver enkelt uønsket hendelse og (c) fremheve alle uønskede hendelser med uakseptabel høy risiko. o Forslag til hvordan uønskede hendelser med uakseptabel høy risiko bør håndteres. o Sende rapporten til lederen ved det fakultetet, avdelingen eller enheten hvor risikovurderingen ble foretatt og som er ansvarlig for at informasjonssikkerheten er tilfredsstillende. Nedenfor følger en oversikt over hvordan informasjon til deltakerne i risikovurderinger kan se ut, hvilke arbeidsredskaper som anvendes ved risikovurderinger (risikomatrise og verdier for sannsynlighet/konsekvens) og hvordan en risikovurderingsrapport kan utformes. Vi bruker innloggingstjenesten Feide som eksempel. Eksempel på forberedende informasjon Melding til deltakere i risikovurdering: Velkommen til arbeidsmøte for gjennomføring av risikovurdering av innloggingstjenesten Feide. Som forberedelse til arbeidsmøtet, ønsker vi at du tar noen minutter til å lese igjennom dette dokumentet. Risikovurderinger: Risikovurdering spiller en sentral rolle i arbeidet med å sikre at vi behandler informasjonsverdier på en trygg og sikker måte. Risikovurderinger kan virke som noe fremmed og veldig teknisk. Det er det ikke. Vi gjør alle risikovurderinger hver eneste dag. Enkelte vurderer for eksempel risikoen for trafikkulykker som så liten at vi kjører bilen til jobben hver morgen risikoen aksepteres. Men de fleste av oss forlater ikke bilen ulåst på parkeringsplassen utenfor kjøpesenteret. Denne risikoen aksepterer vi ikke. Isteden bruker vi et forebyggende tiltak (sikringstiltak) vi låser den for å redusere risikoen for at bilen eller noe i den blir stjålet. 43

44 Hvis vi tar utgangspunkt i det siste eksempelet, kan vi si at risikovurderinger består av en beskrivelse av hva som skal risikovurderes: Bilen står ulåst på parkeringsplassen utenfor kjøpesenteret. Så spør vi: hvilke uønskede hendelser kan skje? - Bilen kan bli stjålet. - Noe i bilen kan bli stjålet, for eksempel stereoanlegget, fotoapparatet, osv. Til slutt vurderer vi hvor sannsynlig det er at disse uønskede hendelsene inntreffer og hvilke negative konsekvenser det kan få for oss. Dersom vi da finner ut at sannsynligheten for og konsekvensene av hendelsene er stor, vil risikoen være uakseptabel høy. Løsningen blir da å iverksette forebyggende tiltak (sikringstiltak), for eksempel at vi låser bilen eller utstyrer den med alarm. Det er denne typen vurderinger du er invitert til å delta på når det gjelder bruk av Feide som innlogging på våre IT-systemer. Spørsmålene som vil bli drøftet er risikoen for at uvedkommende får tilgang til informasjonsverdier (konfidensialitet), risikoen for at uvedkommende endrer, sletter eller på andre måter manipulerer informasjonsverdiene (integritet) og risikoen for at informasjonsverdiene ikke er tilgjengelige for de som har behov for dem når behovet oppstår (tilgjengelighet). Beskrivelse av innloggingstjenesten Feide Formålet med Feide er å gi studentene en trygg og sikker innlogging mot ulike nettbaserte tjenester som institusjonen måtte velge å benytte seg av. Dataflyten i Feide: Studentdata registreres i FS. Derfra går det en eksport til brukeradministrasjonssystemet (BAS). Den sentrale MORIA-katalogen for Feide vil gjøre en spørring til den lokale ADAM hver gang en student vil logge inn på en Feidebasert tjeneste. ADAM vil da avvise eller godkjenne brukeren. Godkjennes brukeren sender ADAM over aktuell personinformasjon for den aktuelle tjenesten. 44

45 Studenten må første gang en tjeneste blir tatt i bruk godkjenne «Samtykke-skjemaet» for tjenesten. I samtykkeskjemaet ser studenten hvilke personopplysninger tjenesten benytter seg av. De neste gangene en student logger seg inn på Feidetjenesten vil ikke samtykkeskjemaet dukke opp. Studentene kan få den hele og fulle oversikt over sine persondata som er lagret i Feidekatalogen, hvilke tjenester studenten har tilgang til og alle samtykkene som er gitt via innsyn.feide.no. Selve Feideautentiseringstjenesten eies og driftes av Uninett. Tenk igjennom Tenk igjennom prosessen i Feide. Er det noe som kan føre til at informasjon/opplysninger kommer på avveie, at informasjon/opplysninger endres/slettes slik at de blir misvisende/uriktige eller som fører til at informasjon/opplysninger ikke er tilgjengelige for de som har behov for dem? Nedenfor finner du noen eksempler på uønskede hendelser ved bruk av Feide. Tenk igjennom om du har opplevd eller kan komme på andre typer hendelser som kan være problematiske. Eksempler på hendelser Distribusjonsliste over nyopprettede Feidebrukere kommer uvedkommende i hende. Konto (brukernavn/passord) til foreleser blir feilaktig sendt til student. Student har fremdeles tilgang til sin gamle Feidekonto etter å ha flyttet til nytt studiested. Studenten får ikke gjennomført sin obligatoriske innleveringsoppgave som følge av at kontoen ikke virker. Studenten får ikke tilgang til sin obligatoriske innleveringsoppgave fordi han/hun har glemt passordet sitt og får ikke opprettet nytt. 45

46 Feide brukernavn og passord kommer uvedkommende i hende med den følge at opplysninger om studenten blir endret eller slettet. Risikomatrisen: Verdier for sannsynlighet: 1: Sannsynligheten er lav, det vil si at hendelsen kan inntreffe hvert 5. år eller sjeldnere. For brann: hvert 50. år eller sjeldnere. 2: Sannsynligheten er moderat, det vil si at hendelsen kan inntreffe hvert 2. til 4. år. For brann: hvert 10. til 50. år. 3: Sannsynligheten er høy, det vil si hendelsen kan inntreffe flere ganger hvert år. For brann: hvert år. 4: Sannsynligheten er svært høy, det vil si hendelsen kan inntreffe flere ganger hvert halvår. For brann: flere ganger i året. 46

47 Verdier for konsekvens: 1: Hendelsens skadevirkning er ubetydelig, for eksempel at åpen informasjon er utilgjengelig for en kort periode. 2: Hendelsens skadevirkning er mindre alvorlig, for eksempel at begrensede mengder intern informasjon er endret som følge av feil i IT-systemet. 3: Hendelsens skadevirkning er alvorlig, for eksempel at uvedkommende enten har fått tilgang til sensitiv informasjon personopplysninger eller forskningsdata eller denne informasjonen er utilgjengelig fordi bærbar lagringsenhet er mistet. 4: Hendelsens skadevirkning er svært alvorlig, for eksempel at uvedkommende enten har fått tilgang til store mengder sensitive informasjon personopplysninger eller konfidensielle forskningsdata eller denne informasjonen er slettet fra lagringsområdet. 47

48 Eksempel på risikovurderingsrapport: 48