Informasjonssikkerhet? - vi er da politiet!

Transkript

1 Informasjonssikkerhet? - vi er da politiet! Frode Josefsen, Politidirektoratet Anne Kristine Næss, PROMIS AS

2 Hvem er vi? Frode Josefsen Informasjonssikkerhetsleder for Politi- og lensmannsetaten Initiativtaker og hovedansvarlig for innføringen av overordnet styringssystem for informasjonssikkerhet i Politiet Anne Kristine Næss Innleid konsulent Prosessdriver for innføringsaktiviteter, kartlegging av tilstand og utarbeiding av materiell

3 Informasjonssikkerhet? Vi er da politiet! Det én vet, vet ingen. Det to vet, er uvisst. Det tre vet, vet alle. Fra Håvamål Nettavisen.no rbnett.no Publikum må kunne ha tillit til at vi tar godt vare på informasjonen de gir oss. nrk.no Informasjon til feil person kan hindre etterforskning, true den enkeltes rettssikkerhet eller til og med true samfunnssikkerheten. Politidirektoratet

4 Konfidensialitet Tilgjengelighet Integritet NATIONAL POLICE DIRECTORATE Informasjon politiets viktigste verdi Politidirektoratet

5 Teknologi gir nye muligheter Den teknologiske utviklingen går meget raskt, og mulighetene som åpner seg er fristende. Fokus på tilgjengelighet til informasjon går på bekostning av konfidensialiteten.

6 Trusselbildet forverres De fleste av oss er nok politifolk, men hvorfor er hver og en av oss blitt det?

7 Trusselbildet forverres Trusselaktørene blir flere og kapasiteten deres øker. Det blir stadig vanskeligere å forutse hvordan organiserte kriminelle og etterretningsmiljøer arbeider, og hva de er ute etter av informasjon.

8 Forstudium av informasjonssikkerhetstilstanden IKT-systemene Politiregistrene Instrukser Rutiner Retningslinjer Organisasjon Holdninger Kunnskap Faktiske handlinger Menneske Teknologi Politidirektoratet

9 Tiltak 1: IS-forum Møtes hvert halvår Politidirektoratets pulsmåler på hva som rører seg i politinorge Referansegruppe for policy- og veiledningsmateriell Treningsarena for informasjonssikkerhetsoppgaver Stor takhøyde og mye rett fra levra Formidlingskanal for krav til støtte til de lokale prosessene Kommentarer og ytringer rundt hvordan aktører rundt omkring i landet oppfatter sentrale føringer Erfaring og læring Deling av gode og dårlige erfaringer Nettverksbygging og støtte for egen rolle Holdningsendring rundt informasjonssikkerhetsprinsippene

10 Tiltak 2: Gjennomføre klassifisering og verdivurdering Den første modenhetsreisen Bli klar over hvor sensitiv informasjon man faktisk behandler Tenke igjennom hvilken informasjon som må være helt korrekt for å unngå at beslutninger tas på feil grunnlag Være oppmerksom på hvilken informasjon man er avhengig av hurtig tilgang til, og når på døgnet man må ha tilgang Tingenes tilstand Verdivurderingen gjør deltakerne umiddelbart oppmerksomme på gapet mellom nåsituasjonen og hvordan ting burde være. Innspill til etablering/revurdering av SLA-krav

11 Tiltak 3: Gjennomføre risikovurderinger Oppleves som en real tankevekker for mange Man ser sårbarheter man ikke har tenkt over før Man blir oppmerksom på hvilke trusselkilder som finnes Man innser at det ofte er enkle tiltak som skal til

12 Små skritt og større skritt Første gang: Fokus på økt tilgjengelighet til informasjon: Krav om ipad i politibilen, krypterte minnepinner og andre duppedingser Nå: Større modenhet rundt konfidensialitetsutfordringene Forebygging av lekkasjer Bedre ivaretakelse av informasjonsverdiene Krav om å få ting rett i hendene fra direktoratet Policyer Håndbøker Etc. Ønske om aktiv deltakelse i arbeidet Spredning av best practise Tilpasning til den lokale hverdagen

13 NATIONAL POLICE DIRECTORATE Videre arbeid Satsning rundt kulturog kompetansebygging i hele etaten Innføringsaktiviteter knyttet til styringsmodell og styringssystem for informasjonssikkerhet Viktig å vekke folks nysgjerrighet og årvåkenhet!