Helhetlig arbeid med informasjonssikkerhet. Remi Longva

Transkript

1 Helhetlig arbeid med informasjonssikkerhet Remi Longva

2

3

4 Vårt utgangspunkt

5 Informasjonssikkerhet å sikre at informasjon i alle former ikke blir kjent for uvedkommende (konfidensialitet) ikke blir endret utilsiktet eller av uvedkommende (integritet) er tilgjengelig ved behov (tilgjengelighet) å sikre informasjonssystemene som behandler informasjon inkludert IKT-systemer IKT-tjenester IKT-komponenter

6 Informasjonssystem IKT Mennesker Prosesser Teknologi

7 Potensielle konsekvenser? Vår egen jobb feil beslutninger brudd på rettssikkerhet feil i øk. transaksjoner ikke korrekt og forsvarlig saksbehandling økonomiske tap ineffektivt arbeid tapt arbeidstid Personer og virksomheter tap av anseelse, integritet og rettigheter økonomiske tap ødelagte muligheter, arbeidsforhold, livssituasjon og eksistensgrunnlag forretningshemmeligheter nasjonale sikkerhetsinteresser liv og helse ikke korrekt og forsvarlig saksbehandling

8 Brukere Kunder Samfunn Mål og resultater Oppgaver og funksjoner Info-system Tredjeparter IT-komponent

9 Kilder Konsekvenskategorier Tjenestenivå Uaktsomhet Sikkerhetsbrudd Personvern HMS (liv og helse) Vår økonomi

10 Styring og kontroll Kilde: tilsiktede handlinger Konsekvenser for Nasjonale sikkerhetsinteresser (NSI) eforv 15 Offentlig Pol + Pvf Sektorregelverk S-loven Privat Informasjonstype: personopplysninger Konsekvenser for fysiske personers rettigheter og friheter Informasjonstype: sektorspesifikk

11 «Styringstiltak» Vurdering av risiko Håndtering av risiko «Sikkerhetsstiltak»

12 «Styringstiltak» ISO/IEC (kap. 4 til 10) Tiltaksbanker «Sikkerhetsstiltak» ISO/IEC = Annex A NIST SP NSMs grunnprinsipper for IKTsikkerhet Normen kap. 5

13 Internkontroll i praksis - informasjonssikkerhet NSMs grunnprinsipper for IKT-sikkerhet

14 1 Analysere status Planlegge etablering/forbedring Gjennomføre andre etableringsaktiviteter Systematiske aktiviteter 2 Eks: Sikkerhetstiltak Tilgangskontroll Retningslinje for fysisk sikkerhet Sikkerhetskopiering og gjenoppretting Instrukser og rutiner for ansatte Avtaler med leverandører Overvåking av nettverk 3

15 Internkontrollområder (eksempler)

16 Helhetlig internkontroll Felleselementer Omfang av integrering må tilpasses virksomheten

17 Sikkerhetsloven

18 Kilder Konsekvenskategorier Tjenestenivå Uaktsomhet Sikkerhetsbrudd Personvern HMS (liv og helse) Vår økonomi GNF NSI

19 Kilder Konsekvenskategorier Tjenestenivå Uaktsomhet Sikkerhetsbrudd Personvern HMS (liv og helse) Vår økonomi GNF NSI Obs: konseptuell forståelse. Det er f.eks. krav om å sikre at informasjonssystem fungerer slik de skal i sl 6-2 a.

20 Hva skal sikres? Skjermingsverdig informasjon ( 5-1) dersom brudd på K-I-T kan skade NSI sikkerhetsgradert informasjon ( 5-3) dersom brudd på K kan skade NSI Skjermingsverdige informasjonssystemer ( 6-1) dersom systemet behandler skjermingsverdig informasjon dersom systemet har avgjørende betydning for GNF Skjermingsverdige objekter og infrastruktur ( 7-1) dersom det kan skade GNF om de får redusert funksjonalitet eller blir utsatt for skadeverk, ødeleggelse eller rettsstridig overtakelse

21 Virksomhetskontinuitet Funksjon Påkjenning Skade Funksjoner er avhengige av informasjonsbehandling og bruk av IKT

22 Virksomhetsikkerhetsforskriften Styring og kontroll Vurdering av behov Generelle krav og prinsipper Forsvarlig sikkerhetsnivå Minimumskrav til sikkerhetstiltak

23 Systematiske aktiviteter for styring og kontroll Sikkerhetstiltak iht. behov Informasjonsbehandling De samme aktivitetene for god styring og kontroll Pluss: Ivareta særkrav i regelverket Sikkerhetstiltak iht. forskrift Ytterligere sikkerhetstiltak for å oppnå forsvarlig sikkerhetsnivå S-loven

24 Alt henger sammen med alt

25 Difis veiledning om styring og kontroll

26 Hvordan arbeide med informasjonssikkerhet? En god toppleder styrer gjennom et system Difis veiledning for styring og kontroll med informasjonssikkerhet

27 Hvorfor bruke Difis veiledning? Formålseffektivt Kostnadseffektivt Systematisk tilnærming

28 Internkontroll i praksis - informasjonssikkerhet

29 sl 4-1 vsf 3 vsf 4 vsf 6 vsf 9.3 vsf 10 sl 4-2 vsf 12 sl 4-3 vsf 13 vsf 14 vsf 15 vsf 22 vsf 49 sl 4-5 sl 6-4 vsf 8 vsf 6.3 vsf 9.1 vsf 7 sl 4-4 vsf 11

30 Ting å se på Ledelsens styring og oppfølging Særskilt oppmerksomhet om sikkerhetslovens område i virksomhetsledelsens gjennomgang Risikovurdering Grundigere kartlegging av arbeidsoppgaver, informasjonstyper og IKT-systemer hvor sikkerhetsloven er relevant Valg av metoder eller støttemetoder for vurdering av risiko Risikohåndtering Definere et eget sett med sikkerhetstiltak (sikkerhetsnivå) for enkelte oppgaver og IKT-systemer

31 Ting å se på Overvåking og hendelseshåndtering Evne til å oppdage sikkerhetstruende virksomhet og sikkerhetsbrudd tilknyttet skjermingsverdige verdier Hurtig reaksjon og iverksetting av beredskapstiltak Varsling til sikkerhetsmyndigheten o.a. Måling, evaluering og revisjon Påse at evaluering gjennomføres iht. kravene Legge til rette for tilsyn og sørge for oppfølging av tilsyn

32 Ting å se på Kompetanse- og kulturutvikling Enkelte roller vil ha behov for spesiell kompetanse Kommunikasjon Dokumentere etterlevelse av sikkerhetsloven m/forskrifter Rutiner for ekstern kommunikasjon må ivareta regelverkets krav til bl.a. rapportering av avhengigheter og hendelser

33 Difis veileder er oppdatert Ny versjon 1.4 lansert 11. februar Alle henvisninger til sikkerhetsloven oppdatert

34 Lykke til internkontroll-infosikkerhet.difi.no infosikkerhet.difi.no

35 Spørsmål? NSM er fagmyndighet og gir veiledning til sikkerhetsloven m/forskrifter

36