Informasjonssikkerhet - konsernprosedyre

Transkript

1 Prosedyre Godkjent av: Boe, Karsten Side: 1 av 8 1. Mål og hensikt Konsernprosedyre Informasjonssikkerhet er forankret i konsernstandarder for hhv. sikkerhetsstyring og for kvalitetsstyring. Formålet er å styrke og opprettholde sikker og pålitelig informasjonsbehandling i Bane NOR. Prosedyren beskriver hovedprinsipper, ansvar og myndighet og gir grunnlag for etablering av menneskelige, tekniske og organisatoriske informasjonssikkerhetstiltak. Informasjonssikkerhet handler om å sikre informasjonens integritet, konfidensialitet og tilgjengelighet, for å sikre jernbanedrift og for å ivareta Bane NORs samfunnsoppdrag. 2. Omfang Konsernprosedyren omfatter all behandling av informasjon uavhengig av om informasjonen produseres og formidles i digitalt format, i fysisk format, eller i form av tale. Informasjonssikkerhet omfatter også IKT- og Cybersikkerhet. Denne konsernprosedyren gjelder for Bane NORs samlede virksomhet. 3. Forkortelse og definisjoner Forkortelse/Definisjoner Cybersikkerhet IKT IKT-sikkerhet Informasjonssikkerhet Integritet Integrert ledelsessystem ISO IT-sikkerhet Konfidensialitet Ledelsessystem NS NSM Personopplysning Beskrivelse Sikring av informasjonsverdier som er sårbare via tilganger fra IKT-systemer (informasjons og kommunikasjonsteknologi). Informasjons og kommunikasjonsteknologi. Sikring av informasjons- og kommunikasjonsteknologi i forhold til konfidensialitet, integritet og tilgjengelighet. Sikring av informasjon (informasjonsverdier) i forhold til konfidensialitet, integritet og tilgjengelighet, uavhengig av om informasjonen produseres og formidles i digitalt format, i fysisk format, eller i form av tale. Sikkerhet for at virksomhetens informasjon og informasjonsbehandlingen er fullstendig, nøyaktig og gyldig, og et resultat av autoriserte og kontrollerte aktiviteter. Et sett med samvirkende elementer som en organisasjon trenger for å nå sine mål (ref. ISO) der systemet omfatter flere fagområder. «International Standard Organization». Sikring av informasjonsteknologi i forhold til konfidensialitet, integritet og tilgjengelighet. Sikkerhet for at nærmere angitt informasjon ikke avsløres/er tilgjengelig for uvedkommende, og at kun autoriserte personer får tilgang til denne. Et sett med samvirkende elementer som en organisasjon trenger for å nå sine mål (ref. ISO). Norsk Standard. Nasjonal Sikkerhetsmyndighet. Opplysning eller vurdering som kan knyttes til enkeltperson,

2 Prosedyre Godkjent av: Boe, Karsten Side: 2 av 8 Forkortelse/Definisjoner Sensitiv personopplysning Systemeier Tilgjengelighet Beskrivelse f.eks. navn, adresse, telefonnummer, e-postadresse, IPadresse, bilnummer, bilder, fingeravtrykk, irismønster, hodeform (for ansiktsgjenkjenning) og fødselsnummer (både fødselsdato og personnummer). Opplysninger om rasemessig eller etnisk bakgrunn, eller politisk, filosofisk eller religiøs oppfatning, at en person har vært mistenkt, siktet, tiltalt eller dømt for en straffbar handling, helseforhold, seksuelle forhold, eller medlemskap i fagforeninger. En leder som er ansvarlig for å utvikle, forvalte og drifte et informasjonssystem herunder ansvarlig for informasjonssikkerhet i systemet. Sikkerhet for at tjenester oppfyller bestemte krav til stabilitet, slik at aktuell informasjon er tilgjengelig ved behov. 4. Krav til utførelse 4.1. Hovedprinsipper a) Informasjonssikkerhetsarbeidet i Bane NOR skal være målrettet, risikobasert og basert på et prinsipp der informasjon sikres iht. konsernsjef/systemeieres vurdering av akseptabel/ uakseptabel risiko Lederskap a) Bane NOR skal utøve tydelig lederskap i konsernets arbeid med informasjonssikkerhet Ledelsessystem for informasjonssikkerhet a) Informasjonssikkerhet skal inngå som en integrert del i konsernets overordnete ledelsessystem. b) Ledelsessystemet skal sikre at Bane NOR ivaretar informasjonssikkerhet helhetlig og systematisk som en integrert del av foretaksstyringen. Standard for informasjonssikkerhet (NS-ISO 27001) skal legges til grunn i det integrerte ledelsessystemet Planlegging a) Det skal utarbeides handlingsplan for samfunnssikkerhet, som inkluderer fagområdet informasjonssikkerhet. b) Handlingsplan skal inkludere tiltak for divisjonene og for konsernet samlet. Handlingsplan skal ta utgangspunkt i vurdert risiko og skal bidra til at Bane NOR når sine informasjonssikkerhetsmål Mål for informasjonssikkerhet a) Bane NOR skal sikre konsernets informasjonsverdier og være kjent med trusler, sårbarheter og risiko mht. informasjonsverdiene. Etablerte sikkerhetstiltak skal være tilpasset trusselbilde for virksomheten, og den risiko som konsernsjef/systemeiere aksepterer.

3 Prosedyre Godkjent av: Boe, Karsten Side: 3 av 8 b) Bane NOR skal bygge informasjonssikkerhet og robusthet inn i informasjonsinfrastruktur for å sikre jernbanedrift, kunder og brukere. Sikring av digital infrastruktur skal være integrert med mål, virkemidler og tiltak på lik linje som øvrig infrastruktur. c) Personvern skal være ivaretatt i konsernets behandling av personopplysninger Risikobasert informasjonssikkerhet a) Risikostyring av informasjonssikkerhet skal utøves gjennom vurdering av risiko for tap av integritet, tap av konfidensialitet og tap av tilgjengelighet - for informasjon som behandles i konsernets virksomhet. b) Risikovurderinger skal være basert på; Verdivurdering informasjonens verdi/viktighet for Bane NOR, Trusselvurdering trussel mot Bane NOR virksomhet, Sårbarhetsvurdering informasjonens sårbarhet overfor identifiserte trusler. c) Risikovurderinger skal gjøres ved bruk av konsernets fastsatte metodikk. Metoder skal sikre at like vurderingskriterier blir benyttet for fastsettelse av informasjonssikkerhetsrisiko på tvers i konsernet. d) Informasjonssystemer i Bane NOR skal verdivurderes. I verdivurderingen skal det fremkomme hvor alvorlig konsekvensene ved brudd på hhv. tap av integritet, konfidensialitet og/eller tilgjengelighet vil være. e) Alle informasjonssystemer med høy verdivurdering skal risikovurderes mht. risiko for tap av integritet, konfidensialitet og/eller tilgjengelighet Planlegging av endringer a) Ledelsessystem for informasjonssikkerhet skal sikre at endrede forutsetninger, eller endret trusselbilde, følges opp med nye eller oppdaterte risikovurderinger, samt at revisjonsfunn og øvrige avvik følges opp. b) Behov for endring i ledelsessystemet, endring av handlingsplaner og krav, endring av tiltak skal kontinuerlig vurderes. c) Ved anskaffelse av, eller utvikling av nye systemer i foretaket, skal det sikres at systemene underlegges styring av konsernets informasjonssikkerhet Støtte Ressurser a) Virksomheten skal avsette tilstrekkelige ressurser til å ivareta arbeidet med informasjonssikkerhet i konsernet Kompetanse a) Konsernet skal ha kompetansekrav som angir nødvendig minimumskompetanse for utførelse av oppgaver og funksjoner av betydning for informasjonssikkerhetsarbeidet. b) Konsernet skal ha opplæringsprogrammer som sikrer at arbeid av betydning for informasjonssikkerhet kan utføres på en tilfredsstillende måte Bevisstgjøring og kulturutvikling

4 Prosedyre Godkjent av: Boe, Karsten Side: 4 av 8 a) Det skal på alle ledd i organisasjonen arbeides med bevisstgjøring, holdningsskapende arbeid og kulturutvikling innen informasjonssikkerhet Dokumentert informasjon a) Informasjon som beskriver hvordan styring av informasjonssikkerhet ivaretas, skal være dokumentert, lett tilgjengelig og gjort kjent på hensiktsmessig måte for personell med tjenstlig behov. b) Dokumentert informasjon skal være styrt, sporbar og med versjonskontroll Drift Klassifisering av informasjon a) Bane NORs informasjon, informasjonssystemer og komponenter som inngår i den digitale infrastrukturen, skal klassifiseres iht. fastsatte kriterier for klassifisering. b) Bane NOR skal, i en egen konsernprosedyre for håndtering av informasjon, beskrive tilfredsstillende håndtering for de ulike klassifiseringsnivåene Systemeierskap a) Ledelsens eierskap til konsernets informasjonssystemer skal være definert Informasjonssikkerhetstiltak - generelt a) Menneskelige, tekniske og organisatoriske informasjonssikkerhetstiltak skal etableres og følges opp. Tiltak skal være basert på risikovurderinger og iht. den risiko som systemeier/konsernsjef aksepterer. b) Bane NOR skal følge sentrale råd fra Nasjonal Sikkerhetsmyndighet (NSM), eksempelvis om oppdatering av programvare, sikkerhetsoppdateringer, oppdatering av operativsystemer, hvitelisting av tillatte applikasjoner/blokkering av ikke-autoriserte programmer, kontroll med administratorrettigheter, e-postkontroll. Se for råd om sentrale tiltak IKT- og Cybersikkerhet - håndtering av sikkerhetshendelser a) Bane NOR skal ha tilstrekkelig kapasitet for deteksjon, analyse og varsling/respons for hendelser som kan påvirke konsernets informasjonssikkerhet. Dette kan være uønskede tilsiktede handlinger som hacking/datainnbrudd, skadevare, m.v. b) Bane NOR skal implementere hensiktsmessig logging i informasjonssystemene. Logging/overvåking skal utføres iht. norsk lov om arbeidsrett, samt iht. personopplysningsloven. c) Informasjonssikkerhetshendelser, herunder IKT- og Cybersikkerhetshendelser, skal behandles slik at sporing og eventuelt bevismateriale kan fremlegges, dersom påkrevd. d) Bane NOR skal ha en proaktiv tilnærming til Cybersikkerhet. Det skal utvikles strategi for Cybersikkerhet, integrert med konsernets øvrige mål og strategier Driftskontinuitet og beredskap

5 Prosedyre Godkjent av: Boe, Karsten Side: 5 av 8 a) Konsernets beredskapsplanverk skal omfatte IKT- og Cybersikkerhet, herunder hendelseshåndtering ved avdekking av digitale angrep/bortfall av IKT. b) Konsernets kriseledelse, samt konsernets fagansvarlige for informasjonssikkerhet, skal informeres og/eller involveres ved kritiske informasjonssikkerhetshendelser. Hendelser skal rapporteres til myndigheter dersom påkrevd Tjenesteutsetting a) Ved tjenesteutsetting av data/informasjonsbehandling skal respektive systemeiere gjennom kontrakter, og oppfølging av disse, sikre at Bane NOR har tilstrekkelig oversikt, styring og kontroll med tjenestene som settes ut. Ved evt. utsetting av tjenester til utenlandske virksomheter, skal særskilt risikovurdering gjennomføres Samvirke med interesseparter a) Forholdet til virksomheter og interesseparter som kan berøre arbeidet med informasjonssikring skal være avklart. b) Bane NOR leder arbeidet i Samarbeidsutvalg for sikring og beredskap (SUS) og er ansvarlig for samordning og koordinering av sikring/informasjonssikkerhet med, og mellom togselskaper, transportaktører og andre berørte Personvern a) Bane NOR skal, i en egen konsernprosedyre for personvern, beskrive tilfredsstillende behandling av personopplysninger i konsernet. Behandlinger av personopplysninger (ref. definisjon) i Bane NOR, skal utføres i samsvar med lov og forskrift om personopplysninger Evaluering av prestasjon a) Det skal gjennomføres overvåking, måling, analyser og evalueringer av informasjonssikkerhetsarbeidet i virksomheten. b) Det skal gjennomføres systematiske oppfølging og revisjon av ledelsessystem for informasjonssikkerhet, etterlevelse av systemet, samt etterlevelse av myndighetskrav Ledelsens årlige gjennomgåelse a) Bane NORs øverste ledelse skal ved behov, og minst en gang per år, gjennomgå konsernets informasjonssikkerhet Forbedring a) Bane NOR skal være en lærende organisasjon, som overfører erfaringer og lærer av informasjonssikkerhetshendelser og arbeidet med forebygging/skadereduksjon av slike hendelser. b) Informasjonssikkerhetshendelser skal registreres, undersøkes, analyseres og følges opp med tiltak i Bane NORs avvikssystem «Synergi». Hendelser med stort læringspotensial skal deles aktivt på tvers av divisjoner/enheter i konsernet.

6 Prosedyre Godkjent av: Boe, Karsten Side: 6 av 8 5. Ansvar og myndighet 5.1. Ledelsen a) Konsernets øverste ledelse har ansvar for å sette, kommunisere og følge opp overordnete mål og strategier for informasjonssikkerhet Konsernstab - Sikkerhet og kvalitet a) På vegne av konsernsjef, ha det overordnede fagansvaret for informasjonssikkerhet i konsernet. b) Eie konsernets overordnede styrende dokumentasjon for informasjonssikkerhet (operativt eierskap til styrende dokumentasjon for IKT- og Cybersikkerhet er delegert til divisjon Digitalisering og teknologi). c) Etablere og vedlikeholde styringssystem for informasjonssikkerhet, som en integrert del i konsernets overordnede ledelsessystem for foretaksstyring. d) Sammenstille konsernets handlingsplan for samfunnssikkerhet, inkludert fagområdet informasjonssikkerhet. e) Sikre samhandling av konsernets kontinuerlige arbeid med informasjonssikkerhet gjennom fagnettverk og funksjonsrapportering. f) Støtte og motivere fagansvarlige i divisjonene bidra til bevisstgjøring og holdningsskapende arbeid i organisasjonen og læring på tvers. g) Gjennomføre og oppdatere overordnede verdivurderinger av informasjonssystemer iht. konsernets fastsatte metodikk. h) Sammenstille, og gjennomføre regelmessig/minimum årlig, gjennomgang med konsernledelsen av konsernets trusselbilde og risiko mht. informasjonssikkerhet. i) Etablere kompetansekrav som angir nødvendig minimumskompetanse for utførelse av oppgaver/funksjoner av betydning for informasjonssikkerhetsarbeidet. j) Være koordinerende kontakt mot myndigheter, tilsyn, andre eksterne aktører mht. konsernets informasjonssikkerhetsarbeid. k) Følge opp mht. etterlevelse av konsernets styrende krav til informasjonssikkerhet også gjennom interne SK-revisjoner Divisjon - Digitalisering og teknologi a) På vegne av konsernsjef og systemeiere i divisjoner, ha fagansvar for sikker og pålitelig drift av konsernets informasjonssystemer (IKT- og Cybersikkerhet). b) Etablere og vedlikeholde ledelsessystem innen fagområdet IKT- og Cybersikkerhet, som en integrert del av informasjonssikkerhet i konsernets overordnete ledelsessystem for helhetlig foretaksstyring. c) Etablere, vedlikeholde og lede konsernets fagnettverk for IKT- og Cybersikkerhet. d) Gjennomføre trussel-, sårbarhets- og risikovurderinger mht. konsernets IKT- og Cybersikkerhet. e) Innføre sikkerhetstiltak og infrastruktur som skal sikre utvikling og pålitelig/sikker drift av konsernets informasjonssystemer. f) Arbeide tett på de utførende enhetene som bl.a. leverer kjørevegskritisk infrastruktur og ivareta alle aspekter av IKT- og Cybersikkerhet. Bistå med faglig støtte og tilgjengeliggjøre ressurser for utførende enheter og systemeiere (ref. pkt. 5.4 c, d, e, h og i). g) h) Bidra til bevisstgjøring og holdningsskapende arbeid i organisasjonen - og læring på tvers innen området IKT og Cybersikkerhet. i) Sette krav til, og løpende følge opp leverandørers IKT- og Cybersikkerhetsarbeid.

7 Prosedyre Godkjent av: Boe, Karsten Side: 7 av 8 j) Sikre gjennom kontrakter, og oppfølging av disse, at Bane NOR ved tjenesteutsetting har tilstrekkelig oversikt, styring og kontroll med tjenestene som settes ut. k) Følge opp, og månedlig rapportere status og resultat av IKT- og Cybersikkerhetsarbeidet. l) Inkludere IKT- og Cybersikkerhet i «ledelsens gjennomgåelse» i divisjonen. m) Avgi nødvendige ressurser til arbeidet med IKT- og Cybersikkerhet. n) Utarbeide strategi for Cybersikkerhet i Bane NOR og påfølgende handlingsplan for IKT- og Cybersikkerhet Divisjoner a) Konserndirektør har ansvar for informasjonssikkerhet i egen divisjon, i samsvar med overordnede krav. b) Utarbeide divisjonens del av handlingsplan for samfunnssikkerhet, innen fagområdet informasjonssikkerhet. c) Utøve ledelsens systemeierskap for respektive informasjonssystemer. d) Gjennomføre trussel-, sårbarhets- og risikovurderinger for informasjonssikkerhet i divisjonen. e) Gjennomføre risikovurderinger for divisjonens informasjonssystemer med høy verdivurdering. f) Innføre risikobaserte informasjonssikkerhetstiltak i egen divisjon. g) Gjennomføre opplæring og bevisstgjøring/holdningsskapende arbeid i egen divisjon. h) Sette krav til, og løpende følge opp leverandørers informasjonssikkerhetsarbeid. i) Som systemeiere, sikre gjennom kontrakter og oppfølging av disse, at Bane NOR ved tjenesteutsetting av data/informasjonsbehandling har tilstrekkelig oversikt, styring og kontroll med tjenestene som settes ut. j) Følge opp og månedlig rapportere status og resultat av informasjonssikkerhetsarbeidet. k) Inkludere informasjonssikkerhet i «ledelsens gjennomgåelse» i divisjonen. l) Avgi nødvendige ressurser til arbeidet med informasjonssikkerhet. m) Utpeke fagansvarlig som skal representere divisjonen i konsernets fagnettverk for «informasjonssikkerhet» innen samfunnssikkerhet Den enkelte medarbeider a) Den enkelte medarbeider skal ta et selvstendig ansvar for informasjonssikkerhet. b) Ansvaret skal utøves ved at den enkelte setter seg inn i og etterlever konsernets krav, retningslinjer og tiltak - overholder taushetsplikten - varsler om observasjoner og mulige/faktiske informasjonssikkerhetshendelser Krav til leverandører c) Bane NOR skal gjennom kontrakter stille tilsvarende informasjonssikkerhetskrav til leverandører/innleide som til egen organisasjon, samt at de har satt seg inn i konsernets til enhver tid gjeldende krav til informasjonssikkerhet. d) Bane NOR skal sikre at leverandører har - og anvender sitt eget ledelsessystem for sikkerhet og kvalitet, hvor informasjonssikkerhet inngår, i deres arbeid/leveranser for Bane NOR Fagnettverk

8 Prosedyre Godkjent av: Boe, Karsten Side: 8 av 8 a) Konsernets fagnettverk for samfunnssikkerhet (nivå I) og for informasjonssikkerhet (nivå II) ledes av konsernfagansvarlig og den han/hun delegerer ansvaret til - og består av fagansvarlige i divisjonene (på nivå I og II). b) Konsernets fagnettverk for IKT- og Cybersikkerhet ledes av fagansvarlig i divisjonen Digitalisering og teknologi. c) Fagnettverkene skal sikre samhandling, kontinuitet og vedvarende forbedring av arbeidet med informasjonssikkerhet i konsernet. 6. Rapportering a) Divisjoner skal rapportere på fagområdet informasjonssikkerhet. b) Endringer i risikobilde og større endringer på kritiske objekter skal fremgå i rapportering. 7. Fravik fra konsernprosedyre a) Begrunnet fravik fra krav i denne konsernprosedyre skal behandles av dokumenteier. 8. Referanser Jernbaneloven med sikringsforskriften IKT-forskriften Forskrift om sikkerhetsstyring for jernbanevirksomheter på det nasjonale jernbanenettet Lov om offentlighet i forvaltningen Arkivloven med forskrifter Ekomloven og Eforvaltningsforskriften Beskyttelsesinstruksen E-signaturloven Nasjonal standard for informasjonssikkerhet (NS-ISO-27001) Nasjonal standard for samfunnssikkerhet (NS-ISO-22301) Nasjonal standard for samfunnssikkerhet (NS 5831) Personopplysningsloven Revisjonsoversikt Rev nr Dato Hovedendring Dokument etablert