Avmystifisere internkontroll/styringssystem - informasjonssikkerhet
|
|
|
- Hanne Rønning
- 8 år siden
- Visninger:
Transkript
1 Avmystifisere internkontroll/styringssystem - informasjonssikkerhet Difis veiledningsmateriell Jan Sørgård, seniorrådgiver Difi
2 Difi Visjon: Vi utvikler offentlig sektor Digitalisering Anskaffelser Organisering og ledelse Oslo 240 ansatte Leikanger Utreder og analyserer Utvikler og forvalter fellesløsninger Rådgiver, pådriver og samordner m.m
3 Difis rolle og mandat informasjonssikkerhet Arbeide for en styrket og mer helhetlig tilnærming til informasjonssikkerhet i statsforvaltningen Være en pådriver på etater/staten når det gjelder å bedre informasjonssikkerheten Gi anbefalinger til stat og kommune (forvaltningsorgan) om internkontroll på informasjonssikkerhetsområdet (jf. eforvaltningsforskriften 15) personer i seksjon for infosikkerhet
4 Bakgrunn
5 Tilstanden er ikke god nok Mange offentlige virksomheter mangler tilstrekkelig styring og kontroll med informasjonssikkerheten Jf. Riksrevisjonens rapporter og uttalelser Datatilsynets årsmeldinger og uttalelser NSMs årsmeldinger og uttalelser
6 Digitaliseringsrundskriv pkt. 1.7, Anbefalinger i Referansekatalogen pkt. 2.16, Nasjonal strategi inf.sikkerhet, Difi-rapport 2012:15
7 Fra Difis undersøkelse (Difi-rapport 2012:15) Mange ansatte var forvirret over alle de ulike styringssystemene, og lederne jobbet veldig med å få kontroll og oversikt over disse
8 Begrepskaos? internal control intern kontroll styring og kontroll internkontroll internkontrollsystem management system styringssystem ledelsessystem kvalitetssystem. Og hva er forskjellen på a control en kontroll et tiltak et sikringstiltak. Ulike fagmiljø har ulike begrep på i hovedsak det samme Vårt råd: Vær pragmatisk!
9 Hvorfor infosikkerhet? Nå våre primære mål Være effektive Etterleve lover og regler Informasjonsbehandling Kjerneaktivitet eller kritisk støtte IKT
10 Hvorfor infosikkerhet? Nå våre primære mål Være effektive Etterleve lover og regler Informasjonsbehandling Kjerneaktivitet eller kritisk støtte IKT Understøtte Informasjonssikkerhet -tiltak for sikring av tilgjengelighet, integritet, konfidensialitet på informasjon
11 Hvorfor infosikkerhet og internkontroll? Nå våre primære mål Være effektive Etterleve lover og regler Informasjonsbehandling Kjerneaktivitet eller kritisk støtte IKT Treffer eller bommer vi? Informasjonssikkerhet -tiltak for sikring av tilgjengelighet, integritet, konfidensialitet på informasjon
12 Hvorfor infosikkerhet og internkontroll? Nå våre primære mål Målorientert Være effektive Etterleve lover og regler Informasjonsbehandling Kjerneaktivitet eller kritisk støtte Risikobasert IKT Understøtte Balansert Informasjonssikkerhet -tiltak for sikring av tilgjengelighet, integritet, konfidensialitet på informasjon
13 Forventninger til offentlig sektor Resultatkrav Bedre måloppnåelse Digitalt førstevalg Effektivisering Ta ut gevinstpotensialet i ny teknologi Frigi ressurser til primære mål Investering Interkontroll informasjonssikkerhet Nye teknologiske løsninger Nye arbeidsmåter
14 eforvaltningsforskriften endret februar 2014 (Forskrift om elektronisk kommunikasjon med og i forvaltningen) Bl.a. tydeliggjort kravene til informasjonssikkerhet Kapittel 3 Styring og kontroll med informasjonssikkerheten 15 Internkontroll på informasjonssikkerhetsområdet
15 eforvaltningsforskriften Utdrag ny 15 (endret 13). Forvaltningsorganet skal ha en internkontroll (styring og kontroll) på informasjonssikkerhetsområdet som baserer seg på anerkjente standarder for styringssystem for informasjonssikkerhet. internkontrollen skal inkludere relevante krav som er fastsatt i annen lov, forskrift eller instruks. Internkontrollen bør være en integrert del av virksomhetens helhetlige styringssystem. Omfang og innretning på internkontrollen skal være tilpasset risiko..
16 Videre anbefalinger fra Difi (Referansekatalogen ver. 4.1) Det er anbefalt å basere seg på ISO/IEC 27001:2013 ved etablering av internkontroll/styringssystem på informasjonssikkerhetsområdet Det er anbefalt å støtte seg på ISO/ IEC 27002:2013 i implementeringen av relevante tiltak
17 Struktur og krav (overordnet) i ISO/IEC 27001:2013 Kontekst (rammevilkår/forutsetninger) forstå og tydeliggjøre kontekst, forstå interessentenes behov og forventninger, definere omfang av styringssystemet Lederskap utøve lederskap og engasjement, utforme policy, klargjøre roller og ansvar Planlegging klargjøre hvordan risiko og muligheter skal analyseres og håndteres, klargjøre informasjonssikkerhetsmål og hvordan disse skal nås Støtte/support sikre tilstrekkelig ressurser, kompetanse, bevissthet, kommunikasjon, dokumentasjon
18 Struktur og krav (overordnet) i ISO/IEC 27001:2013 Drift etablering og drift av nødvendige prosesser, vurdere og håndtere risikoer Vurdere ytelse overvåking, måling, analyse, evaluering, intern revisjon, ledelsens gjennomgang Forbedring avvikshåndtering, kontinuerlig forbedring
19
20
21 Difis veiledningsmateriell internkontroll.infosikkerhet.difi.no Sentrale delmål: - Avmystifisere styringssystem for informasjonssikkerhet (ISMS) - Internkontroll i praksis - informasjonssikkerhet - Basert på ISO/IEC Dekke all informasjonsbehandling - med utgangspunkt i eforvaltningsforskriften - sikre inkludering av annet relevant regelverk
22 Difis veiledningsmateriell Under utarbeidelse Nettbasert Flere iterasjoner og betaversjoner En stor og bred referansegruppe for alle interesserte Egen referansegruppe for andre veiledningsaktører
23
24 Høyremeny «Nyttig»
25 Hovedaktivitetene i internkontrollarbeidet
26 Ledelsens styring og oppfølging Ledelsens styring og oppfølging Godt å vite Analyse av status Planlegge internkontroll Overordnede styrende dok Ledelsens gjennomgang Styringsparametere og krav Godkjenne risikohåndtering Krise og beredskap Bakgrunnskunnskap Delaktiviteter
27 Ledelsens styring og oppfølging Ledelsens styring og oppfølging Godt å vite Hvorfor infosikkerhet? Tonen på toppen Støtte til ledelsen Krav og anbefalinger Analyse av status Planlegge internkontroll Overordnede styrende dok Ledelsens gjennomgang Styringsparametere og krav Godkjenne risikohåndtering Krise og beredskap Bakgrunnskunnskap
28 Ledelsens styring og oppfølging Ledelsens styring og oppfølging Godt å vite Analyse av status Planlegge internkontroll Overordnede styrende dokument Ledelsens gjennomgang Utforme styringsparametere og krav Godkjenne risikohåndtering Krise og beredskap Bakgrunnskunnskap Ved etablering/behov
29 Ledelsens styring og oppfølging Ledelsens styring og oppfølging Godt å vite Analyse av status Planlegge internkontroll Overordnede styrende dokument Policy for infosikkerhet Retningslinje roller, ansvar, myndighet Retningslinje risikostyring Ledelsens gjennomgang Utforme styringsparametere og krav Godkjenne risikohåndtering Krise og beredskap Bakgrunnskunnskap Ved etablering/behov Ved etablering/stor endring/svakheter
30 Ledelsens styring og oppfølging Delaktiviteter Godt å vite Analyse av status Planlegge internkontroll Overordnede styrende dokument Ledelsens gjennomgang Utforme styringsparametere og krav Godkjenne risikohåndtering Krise og beredskap Bakgrunnskunnskap Ved etablering/behov Ved etablering/stor endring/svakheter Kjerneaktivitetene minst årlig
31 Ledelsens styring og oppfølging Delaktiviteter Godt å vite Analyse av status Planlegge internkontroll Overordnede styrende dokument Ledelsens gjennomgang Utforme styringsparametere og krav Godkjenne risikohåndtering Krise og beredskap Bakgrunnskunnskap Ved etablering/behov Ved etablering/stor endring/svakheter Kjerneaktivitetene minst årlig Ved behov
32 Hjernen i internkontrollen
33 Risikovurdering (Utkast betaversjon 3.0) Risikovurdering Godt å vite Statusrapporter felles grunnlag Risikovurderinger i linjen Risikovurderinger «systemeiere» Risikovurderinger teknisk infrastruktur Ekspertvurderinger Bakgrunnskunnskap Foreslåtte delaktiviteter
34 Risikovurdering (Utkast betaversjon 3.0) Risikovurdering Godt å vite Hva er risiko? Ulike metoder Organisering Kritikalitet / verdi Trusler, farer og sårbarheter Konsekvens Sannsynlighet Statusrapporter felles grunnlag Risikovurderinger i linjen Risikovurderinger «systemeiere» Risikovurderinger teknisk infrastruktur Ekspertvurderinger Bakgrunnskunnskap
35 Risikovurdering (Utkast betaversjon 3.0) Risikovurdering Godt å vite Statusrapporter felles grunnlag Trender i risikobildet nasjonalt Sikkerhetshendelser hos oss og i sektor Risikovurderinger i linjen Risikovurderinger «systemeiere» Risikovurderinger teknisk infrastruktur Ekspertvurderinger
36 Risikovurdering (Utkast betaversjon 3.0) Risikovurdering Godt å vite Statusrapporter felles grunnlag Risikovurderinger i linjen Fokus: informasjon, arbeidsforhold og arbeidsvaner Status «vernerunde infosikkerhet» Foranalyse kritikalitet, trusler og sårbarheter Risikovurdering - hendelsesbank og idedugnad Risikovurderinger «systemeiere» Risikovurderinger teknisk infrastruktur Ekspertvurderinger
37 Risikovurdering (Utkast betaversjon 3.0) Risikovurdering Godt å vite Statusrapporter felles grunnlag Risikovurderinger i linjen Risikovurderinger «systemeiere» Fokus 1: forvaltning og vedlikehold Foranalyse kritikalitet fra «linjen», trusler og sårbarheter Risikovurdering - hendelsesbank og idedugnad Fokus 2: anskaffelser, integrasjon og utvikling Risikovurderinger teknisk infrastruktur Ekspertvurderinger
38 Risikovurdering (Utkast betaversjon 3.0) Risikovurdering Godt å vite Statusrapporter felles grunnlag Risikovurderinger i linjen Risikovurderinger «systemeiere» Risikovurderinger teknisk infrastruktur Oppdeling ulike fokusområder i infrastrukturen Foranalyse avhengig av fokus Risikovurdering hendelsesmodellering (?) Ekspertvurderinger
39 Risikovurdering (Utkast betaversjon 3.0) Risikovurdering Godt å vite Statusrapporter felles grunnlag Risikovurderinger i linjen Risikovurderinger «systemeiere» Risikovurderinger teknisk infrastruktur Ekspertvurderinger Fokus: Det spesielt kritiske Avansert - ofte kompetanse- og ressurskrevende metode Eks: Octave, Octave Allegro, NIST , ISO 27005, ISO metoder eller «ekspertens metode» Evt. behov avdekkes i foranalysen eller risikovurderingen til «systemeiere»
40 Hjertet i internkontrollen
41 Risikohåndtering (Utkast betaversjon 4.0) Godt å vite Hovedalternativer akseptere, unngå, overføre, endre Tiltakskategorier pedagogiske, organisatoriske, administrative, tekniske, fysiske Ulike tiltaksansvarlige Tiltaksbanker - sikringstiltak Prosjekt og oppgaver som forbedringstiltak
42 Risikohåndtering (Utkast betaversjon 4.0) Delaktiviteter Utkast risikohåndteringsplan Fellestiltak Systemspesifikke tiltak Oppgave-/prosesspesifikke tiltak Godkjenne og finansiere prosjekt/tiltak jf. ledelsens styring og oppfølging Revidere og godkjenne risikohåndteringsplanen Gjennomføre risikoreduserende prosjekt/oppgaver Implementere sikringstiltak Følge opp og godkjenne implementering Etterleve sikringstiltak
43 Hendene i internkontrollen
44 Kompetanse- og kulturutvikling (Ferdigstilles i betaversjon 5.0) Kunnskap Bevisstgjøring Ferdigheter og øving Kulturutvikling sjekklister prosedyrer kurs kompetanseplaner kulturutviklingstiltak
45 Læreren i internkontrollen
46 Overvåking og hendelseshåndtering (Ferdigstilles i betaversjon 5.0) Overvåking Hendelseshåndtering
47 Vakta i internkontrollen
48 Måling, evaluering og revisjon (Ferdigstilles i betaversjon 6.0) Målinger ved tiltaksetablering Målinger for risikoeiere Målinger for ledelsen Styringsparametere Større evalueringer Intern revisjon
49 Kontrolløren i internkontrollen
50 Kommunikasjon (Ferdigstilles i betaversjon 6.0) Dokumenter struktur innhold og format Tydelige kommunikasjonskrav og -linjer Etablere og følge retningslinjer
51 Limet i internkontrollen
52 Internkontroll i praksis - informasjonssikkerhet
53 Internkontroll i praksis - informasjonssikkerhet
54 Fremdriftsplan Difis veiledningsmateriell Betaversjon Betaversjon 3.0 Utdypninger av «Risikovurdering» + justeringer Betaversjon 4.0 Utdypninger av «Risikohåndtering» + justeringer Betaversjon 5.0 Utdypninger av "Overvåking og hendelseshåndtering" og «Kompetanse- og kulturutvikling» + justeringer Betaversjon 6.0 Utdypninger av «Måling, evaluering og revisjon» og «Kommunikasjon» + justeringer Godkjent versjon 1.0
55 Internkontroll informasjonssikkerhet Er et systematisk arbeid for å håndtere risiko Er en forutsetning for en kontrollert og effektiv informasjonsbehandling og digitalisering Gir ledelsen og virksomheten for øvrig styringsmulighet når vi må få opp farten
56 Internkontroll i praksis - informasjonssikkerhet
57 Kontakt oss Veiledningsmateriellet: Internkontroll.infosikkerhet.difi.no