Revisjon av IT-sikkerhetshåndboka

Transkript

1 Direktørnettverket 4. juni 2014 Revisjon av IT-sikkerhetshåndboka IT-direktør Lars Oftedal Formål IT-sikkerhetsarbeidet skal sikre universitetets verdier, virksomhet, resultater og omdømme. Det skal beskytte våre brukere og sørge riktig nivå av sikkerhet, stabilitet, tilgjengelighet og kvalitet på IT-tjenester og IT-ressurser slik at primærvirksomheten og støttetjenestene kan utføres mest mulig problemog avbruddsfritt. IT-sikkerhetshåndboka skal bygge bevissthet om nødvendigheten av ITsikkerhetsarbeidet i hele universitetets organisasjon, legge grunnlaget for at dette innarbeides i daglig og langsiktig virksomhet på universitetet og dokumentere overfor tredjepart at universitetet ivaretar IT-sikkerheten på en forsvarlig måte. 21. mai 2014 Side 2

2 Historikk! Versjon 1 av IT-sikkerhetshåndboka godkjent dd mmm 20??! IT-jurist ansatt fra 10. mai 2001! IT-sikkerhetssjef ansatt 2. mai 2007! UIO-CERT opprettet 6. juni 2006! IT-sikkerhetsgruppe og IT-juridisk gruppe i IT-direktørens stab opprettet 1. januar mai 2014 Side 3 Grunnlag, eierskap og virkeområde (1)! Internasjonal standard ISO/IEC 27002:2005 Information Technology Security Techniques Code of Practice for Information Security Management Anbefalt standard for styringssystem for informasjonssikkerhet i offentlig sektor i Norge, se DIFI: Det er anbefalt å basere seg på ISO/IEC 27001:2013 ved etablering av internkontroll/ styringssystem på informasjonssikkerhetsområdet. I arbeidet med å implementere relevante tiltak (kontroller) anbefales det å følge strukturen i vedlegg A i ISO/IEC 27001:2013 og innholdsmessig støtte seg på ISO/ IEC 27002:2013.! IT-sikkerhetshåndbok, versjon 1 i to deler: IT-sikkerhetshåndbok del 1 Retningslinjer : Universitetsdirektøren IT-sikkerhetshåndbok del 2 Prosedyrer : IT-direktøren! Nå slått sammen til ett dokument 21. mai 2014 Side 4

3 Grunnlag, eierskap og virkeområde (2)! Virkeområde: Sentral og lokal IT på universitetet Institusjoner i universitetets randsone som benytter seg av universitetets ITtjenester og IT-infrastruktur Samarbeidstiltak, inkludert tiltak der universitetet er vertskap! Målgrupper: Universitetets ledelse og administrativ ledelse ved grunnenhetene IT-tilsatte i sentral og lokal IT System- og tjenesteeiere Universitetets IT-brukere (ansatte og studenter) Samarbeidstiltak universitetet er vertskap for og samarbeidende organisasjoner, inkludert organisasjoner og institusjoner i universitetets randsone 21. mai 2014 Side 5 Erfaringer med IT-sikkerhetshåndboka! Gitt retning for IT-sikkerhetsarbeidet Nedfelt viktige prinsipper som grunnlag for arbeidet Etablert klar ansvars- og oppgavedeling på området! Løftet IT-sikkerhet på IT-organisasjonens dagsorden Bygd bevissthet Etablert bedre praksis i både utvikling og drift 21. mai 2014 Side 6

4 Revisjon av IT-sikkerhetshåndboka! Beholdt struktur og grunnlag! Samlet de to delene i en del Kople prosedyrer og rutiner tettere til retningslinjene Gi bedre tilrettelegging for nettutgaven Rydde i forholdet mellom retningslinjer og prosedyrer! Ajourført og oppdatert beskrivelser 21. mai 2014 Side 7 Grunnlag og prinsipper (1)! Sammenhengende sikkerhetsarbeid Beskyttelse og sikring Kontroll og overvåking Reaksjon og oppfølging! Sikkerhet i dybden! Drifts- og informasjonssikkerhet 21. mai 2014 Side 8

5 Grunnlag og prinsipper (2) 1. Forankring i universitetets ledelse 2. Kontinuerlig oppfølging 3. Klart formulert grunnlag 4. Bevissthet om sårbarhet, trusler og risiko 5. Planlagte IT-sikkerhetstiltak 6. Tydelig ansvars- og oppgavedeling 7. Kartlagte og klassifiserte IT-tjenester 8. Roller og ansvar for den enkelte 9. Forsvarlig fysisk sikring 10. Tilstrekkelig teknisk sikring 11. Identifiserbare bruker og prosesser 12. Anskaffelse, utvikling og vedlikehold av IT-systemer 13. Beredskap i forhold til sikkerhetshendelser 14. beredskap, kontinuitets- og katastrofeplan 15. Etterleve lov- og regelverk 21. mai 2014 Side 9 IT-sikkerhetsorganisasjon og -ledelse! Universitetsdirektøren! IT-direktøren IT-sikkerhetssjef Leder av UiO-CERT Underdirektører, seksjonssjefer og gruppeledere Tjenesteeiere Lokal IT! Systemeiere! Personvernombud! Behandlingsansvarlig! Internrevisjon 21. mai 2014 Side 10

6 Utfordringer på IT-sikkerhetsområdet! Det generelle trusselbildet Internett og overvåking, personvern etc Sårbare systemer og applikasjoner (Heartbleed, Flash, IE, etc) Skytjenester! Prioriterte oppgaver Samkjøring av sikkerhetsarbeidet på universitetet Risiko- og sårbarhetsanalyser Klassifisering av informasjon og data Sikkerhetstesting av systemer og applikasjoner Tilstrekkelig trykk på arbeidet i en situasjon med knappe ressurser 21. mai 2014 Side 11 Oppfølging! Universitetsdirektøren godkjenner revisjonen av ITsikkerhetshåndboka! IT-direktøren legger årsplan med prioriteringer for ITsikkerhetsarbeidet fram for universitetsdirektøren til godkjenning og rapporterer på denne tertialvis 21. mai 2014 Side 12