Nytt fra sekretariatet

Transkript

1 Nytt fra sekretariatet Sikkerhetsforum 2013 Øivind Høiem, CISA CRISC Seniorrådgiver

2 Trusselbilder fra PST «Offentlig og privat ansatte med tilgang til sensitiv informasjon smigres, bestikkes og presses til å gi fra seg informasjon eller til å bidra til å påvirke beslutningsprosesser.» 2

3 Trusselbilder fra PST «Et nyere trekk i etterretningen mot høyteknologi er enkelte etterretningstjenesters utilbørlige press mot studenter og forskere for å utlevere forskningsresultater til hjemlandet, nettopp for å styrke egen forskning og utvikling.» 3

4 Trusselbilder fra NSM «Fremmede staters etterretningstjenester søker primært å innhente informasjon som kan fremme landets politiske og økonomiske interesser.» «Aktiviteten er hovedsakelig rettet mot forsvars- og sikkerhetspolitikk, olje- og gassektoren, høyteknologi-/ forsknings-/undervisningsmiljøer og eksilmiljøer.» 4

5 Trusselaktører Nasjonalstater har både vilje og midler til å jobbe langsiktig for å oppnå sine mål Nasjonalstater Virksomheter (industrispionasje) 5 Aktivister (har kortsiktig fokus) «Vanlige» kriminelle (økonomisk vinning) Sporadiske hackere (nysgjerrighet, «ære og berømmelse»)

6 UH-sektorens sekretariat for informasjonssikkerhet Opprettet på oppdrag av KD Bakgrunnen er Riksrevisjonens kritikk av sektorens ivaretagelse av informasjonssikkerhet Skal støtte UH-sektoren i informasjonssikkerhetsspørsmål De nasjonale retningslinjene for informasjonssikkerhet legges til grunn for sekretariatets arbeid 6

7 I sekretariatet, er vi ikke late Rammeverk og metodikk Maler og informasjonsmateriell Risiko og sårbarhetsvurderinger Kontinuitet og beredskapsplaner Revisjoner Ledelsens gjennomgang Informasjon om trusselbilder Sikkerhetskulturbygging Arrangør av sikkerhetskonferanser Sikkerhetsportal på nettet Internasjonalt samarbeid 7

8 UNINETT CERT UNINETT håndterer hendelser i forskningsnettet Vi har et eget CERT - Computer Emergency Response Team Samarbeider med tilsvarende enheter i Norge og utlandet. Er medlem i FIRST - Forum of Incident Response and Security Teams og TI-Trusted Introducer 8

9 Uninytt: den sikre siden 9

10 den sikre siden 10

11 Utveksling av beste praksis i Norge Vi produserer fagspesifikasjoner i samarbeid med UHsektoren som en del programmet 11

12 og i Europa Noen av fag-spesifikasjonene blir oversatt til engelsk og gjort tilgjengelig som «Campus Best Practice» dokumenter i regi av EUprosjektet Géant 12 Vårt dokument «Information Security Policy» var det mest nedlastede dokumentet i

13 NY UFS 136 RETNINGSLINJER FOR KLASSIFISERING AV INFORMASJON 13

14 Hvorfor Før man kan utføre en risiko og sårbarhetsvurdering må man vite hva man skal beskytte 14

15 Hensikt Å beskrive hvordan man klassifiserer informasjonsobjekter i forhold til f.eks. sensitivitet, kritikalitet, oppbevaringsperiode og avhending. 15 Å være et verktøy for informasjonseiere til å bidra til at virksomhetskritisk innhold blir opprettet, behandlet og avhendet i samsvar med interne og eksterne krav og beste praksis. Og så på dette grunnlag foreta en risiko- og sårbarhetsvurdering

16 Innhold Anbefaling om hvordan vi skal klassifisere informasjon Eksempler på hvordan informasjonsobjekter som er hyppig brukt i UH-sektoren kan klassifiseres Referanser til relevante standarder, lover og forskrifter 16

17 Digresjon: Metadata Metadata er informasjon om informasjonsobjekter som Type (dokument, presentasjon, regneark m.fl) Størrelse Forfatter Tittel Opprettelsesdato Sist modifisert osv. 17 Vi har også metadatatyper som tydeligere er relatert til informasjonssikkerhet, og det er de vi er ute etter.

18 Metadatatyper som bør klassifiseres Informasjonseier (eks. organisasjonsenhet, rolle eller prosess) Innhold (f.eks. forskningsdata) Lovhjemmel (f.eks. Offentlegslova 24.6.) Lagringssted (system) Åpne data i offentlig sektor? Sikkerhetsklassifisering (Åpen, Intern, Konfidensiell) Sikkerhetsbehov (Konfidensialitet, Integritet, Tilgjengelighet) Maks. nedetid Hvorfor har informasjonen bevaringsverdi? Personopplysninger (J/N) Arkivnøkkel Oppbevaringsperiode Avhendingsmetode 18

19 Eksempler basert på input fra UH-sektoren 19

20 Sikkerhetsportalen 20

21 Nasjonal sikkerhetsmåned i oktober Sekretariatet har planer om å arrangere aktiviteter i samarbeid med UHsektoren under den nasjonale sikkerhetsmåneden i oktober. 21 Info. på sidene til NorSIS norsis.no

22 Takk for meg 22 Øivind Høiem, CISA CRISC Seniorrådgiver informasjonssikkerhet