Oversikt. Remi Longva

Transkript

1 Oversikt Remi Longva

2 as we know, there are known knowns; there are things we know we know. We also know there are known unknowns; that is to say we know there are some things we do not know. But there are also unknown unknowns the ones we don't know we don't know. United States Secretary of Defense, Donald Rumsfeld, 2002

3 Verizon 2009 Data Breach Investigations Report

4 Konsekvenser?

5 Innbyggere - Virksomheter - Samfunn Mål og resultater Oppgaver og funksjoner Info-system ITkomponent

6 Innbyggere - Virksomheter - Samfunn Mål og resultater Oppgaver og funksjoner Tredjeparter Info-system ITkomponent

7 Potensielle konsekvenser Vår egen jobb feil beslutninger brudd på rettssikkerhet feil i øk. transaksjoner ikke korrekt og forsvarlig saksbehandling økonomiske tap ineffektivt arbeid tapt arbeidstid Personer og virksomheter tap av anseelse, integritet og rettigheter økonomiske tap ødelagte muligheter, arbeidsforhold, livssituasjon og eksistensgrunnlag bedriftshemmeligheter rikets sikkerhet liv og helse ikke korrekt og forsvarlig saksbehandling

8 Mål og resultater Være effektive Etterleve lover og regler Informasjonsbehandling Informasjonssikkerhet

9 1 Analysere status Planlegge etablering/forbedring Gjennomføre andre etableringsaktiviteter Gjennomføre aktivitetene systematisk 2 Internkontrollaktiviteter

10 1 Analysere status Planlegge etablering/forbedring Gjennomføre andre etableringsaktiviteter Gjennomføre aktivitetene systematisk 2 Internkontrollaktiviteter Sikkerhetstiltak Tilleggssikring Fellessikring Instrukser og rutiner Avtaler Retningslinje for fysisk sikkerhet Tilgangsstyring IT-systemer Sikkerhetskopiering og gjenoppretting Osv. 3

11 Internkontroll i praksis - informasjonssikkerhet NSMs grunnprinsipper for IKT-sikkerhet

12 Internkontroll i praksis - informasjonssikkerhet

13 Risikovurdering - «Hjertet» i internkontrollen

14 Formålet med risikovurdering Identifisere risikoer som må håndteres Kommunisere risiko Danner grunnlag for beslutninger

15 Utfordringer Bruke tid og ressurser riktig Ha tilstrekkelig oversikt over helheten Gå i dybden ved behov

16 Ansvar Risikoeiere (ledere) for egne ansvarsområder Systemeiere fellessystem på vegne av flere risikoeiere risikoeiere må involveres

17 Risikoeiere Arbeidsoppgave A System A Tiltaksleverandører Arbeidsoppgave B System B Arbeidsoppgave C Fellessystem 1 Fellessystem 2 Systemeiere fellessystem

18 Risikovurderingsaktiviteten - 2 deler Få/holde oversikt og prioritere Planlegge og gjennomføre risikovurdering

19 Få oversikt og prioritere Foranalyse Gruppere og dele opp Vurdere behov for risikovurderinger Holde oversikt over risikovurderinger Oppdatere

20 Arbeidsoppgaver

21 Informasjonsbehandling

22 Foranalyse (1) Risikoeiere Identifisere hvilke arbeidsoppgaver som utføres For hver arbeidsoppgave identifisere formål/mål med oppgaven hvilke typer informasjon behandles (overordnet) taushetsplikt/u.off.? personoppl.? Særlige kategorier personoppl.? spesielt obs. mht. konfidensialitet, integritet, tilgjengelighet hvilke IKT-system og tjenester benyttes i arbeidsoppgavene hvilke lover, regler, avtaler inneholder relevante krav

23

24

25

26

27 Felles behov tverrfaglig jobb Foranalyse del 1 Informasjonssikkerhet Personvern Informasjonsforvaltning Virksomhetsarkitektur Arkiv Andre? Videre arbeid Difis veileder beskriver videre arbeid på informasjonssikkerhetsområdet Andre fagområder kan jobbe videre iht. sine behov

28 Foranalyse (2) Risikoeiere Finne høyeste konsekvensnivå på arbeidsoppgavene som utføres og systemene som benyttes ved brudd på konfidensialitet, integritet eller tilgjengelighet Informasjonen som behandles og målet med oppgavene er vurderingsgrunnlaget (jf. kartleggingen foran) En forenklet variant av verdivurdering og klassifisering

29 Foranalyse (2) Systemeiere fellessystem Finne høyeste konsekvensnivå for sine fellessystem ved brudd på konfidensialitet, integritet eller tilgjengelighet Vurderingene fra Risikoeierne er viktig grunnlag

30 Foranalysen gir grunnlag for Gruppere og dele opp Vurdere behov for risikovurderinger Rekkefølgen her kan være litt frem og tilbake Formålet er å prioritere og effektivisere arbeidet med «tradisjonelle» risikovurderinger

31 Få oversikt og prioritere HVA OPPNÅR VI?

32 Primært Gir oversikt over eget ansvarsområde Gir systematikk i gruppering og prioritering av hva som bør gjennom en ny/oppdatert risikovurdering og hva vi har tilstrekkelig kontroll på Får hovedfokus på arbeidsoppgavene som utføres herunder tjenester/funksjoner enklere å få til helhetlig risikostyring i virksomheten Synliggjør særskilte behov for konfidensialitet, integritet og tilgjengelighet i arbeidsoppgavene i systemene/tjenestene som benyttes i arbeidsoppgavene

33 Andre fordeler Man får større interesse fra risikoeierne Det handler om deres arbeidsoppgaver og måloppnåelse Man blir mer risikobasert i valg av sikkerhetstiltak Sikkerheten i fellessystem baseres på risikoeiernes behov

34 Man må ikke «verdivurdere» hver enkel informasjonstype Man støtter seg kun på en enkel identifisering og behovsvurdering rundt disse Man unngår å grave seg ned i detaljer og kanskje aldri bli ferdig men identifiserer områder der det er behov for å gå dypere

35 Positive sideeffekter Resultatet fra kartleggingen gir et grunnlag for helhetlig styring og kontroll på informasjonssikkerhetsområdet bedre etterlevelse av sikkerhetsloven bedre etterlevelse av personvernregelverket (utover informasjonssikkerhet) muligheter for datadeling (iht. krav i Digitaliseringsrundskrivet) prosessforbedringer i den enkelte enhet samordning av prosesser på tvers i virksomheten etc

36 Skytjenester

37 Tradisjonell tjenesteutsetting Behov + krav Løsning Revisjon

38 Skytjenester Behov + krav Selv vurdere om tjenestene dekker behovene Selv ansvar for å konfigurere og tilpasse tjenestene Sette deg inn i tilgjengelig dokumentasjon og rapporter, og vurdere om du har tilstrekkelig tillit til sikkerheten hos leverandøren Tjenestebeskrivelser Sertifiseringer Attestasjonsrapport fra tredjepart

39 Difis veiledningsmateriell Beskrivelse av aktiviteten Praktisk støtte med maler og veiledning Eksempler på arbeidsoppgaver og informasjonstyper Jf. NIST vol. II (Obs: eksemplene er ikke oppdatert iht. v1.3 av veiledningen)

40