Styringssystem for informasjonssikkerhet

Transkript

1 Styringssystem for informasjonssikkerhet et topplederansvar og en viktig kulturpåvirker Jan Sørgård Seniorrådgiver Difi

2 Visjon «Vi utvikler offentlig sektor» Områder Digital forvaltning Offentlige anskaffelser Ledelse og organisering Hovedtilnærminger Utreder og analyserer Rådgiver, pådriver og samordner Utvikler og forvalter fellesløsninger

3 Statsbudsjettet for 2013 Nye midler til IKT-sikkerhet «skal nyttes til etablering av et kompetansemiljø i direktoratet som skal bli en pådriver for, og bidra til, bedre styring og kvalitetssikring av informasjonssikkerheten i statsforvaltningen» Ny seksjon for informasjonssikkerhet i Avdeling for Digital forvaltning i Difi Opprettet (2 ½ stillinger med fra tidligere) Første rekrutteringsrunde ferdig (5 starter august 2013) Videre rekruttering høsten 2013

4 Difis tildelingsbrev 2013 Hovedmål 2: Offentlig sektor skal utnytte digitalisering til å tilby bedre tjenester og understøtte oppgaveløsningen Ett av oppdragene: Difi skal etablere en permanent enhet for informasjonssikkerhet. Enheten skal legge til rette for en felles tilnærming til informasjonssikkerheten i statsforvaltningen. Ett av resultatmålene: IKT-sikkerheten i statsforvaltningen blir styrket gjennom økt risikoforståelse og økt anvendelse av styringssystem.

5 Grunnlagsarbeid i 2012 Styringssystem og ISO-standarder Difi-rapport 2012:15 Innhold Hva handler dette egentlig om? (kap. 3) Erfaringer med og råd om innføring (kap. 4) Pålegg om bruk av ISOstandardene eller andre tiltak? (kap. 5)

6 Informasjonssikkerhet sikre konfidensialitet, integritet og tilgjengelighet NB! Kan være interesse- og målkonflikter som må balanseres, spesielt mellom konfidensialitet og tilgjengelighet

7 Tradisjonelt lite fokus på informasjonssikkerhet! Eventuelt i hovedsak på sikring av konfidensialitet / hindre adgang.? litt på etterlevelse av lover og regler spesielt rett etter spørsmål eller kritikk fra Riksrevisjonen? periodisk på virksomhetens/ledelsens omdømme? I liten grad systematisk ut fra virksomhetsmål, risikovurderinger og «Hva tjener vi på dette?»

8 Hvorfor har vi bremser på en bil? For å kunne stoppe? For å kunne kjøre raskt, effektivt og målretta? Gode bremser gjør det mulig å kjøre raskt til målet, bremse ned når en bør og stoppe når en må Hensiktsmessige sikringstiltak er en muliggjører Uhensiktsmessige sikringstiltak irriterer, hemmer, blir undergravd og gir økt risiko

9 Hva bør avgjøre sikringstiltak? Virksomhetsmål og sikkerhetsmål Usikkerhet dvs. risiko Akseptabelt risikonivå

10 Akseptabelt risikonivå mht. hva? Trusler Verdier Sårbarheter Uønskede hendelser

11 Risiko = Sannsynlighet X Konsekvens Trusler Verdier Sårbarheter Uønskede hendelser

12 Risiko = Sannsynlighet X Konsekvens Estimert fra: Statistikk (frekvens) Profesjonelt skjønn (motivasjon, ressurser, mulighet, naturgitte forhold, iverksatte tiltak mv.) Trusler Verdier Sårbarheter Alvorlighetsgrader innen: Samfunnsskade Personskade Omdømme Økonomi mv. Uønskede hendelser

13 Hva er akseptabelt risikonivå hos oss? Nøkkelspørsmål for ledelsen Hva er innholdet i skalaene hos oss? Hva er akseptabelt risikonivå hos oss? Hvilke strategier skal vi følge for rød, gul og grønn risiko?

14 Det handler om tilstrekkelig styring og kontroll Det er et topplederansvar å selv ha og å skape en organisasjon med tilstrekkelig styring og kontroll Styringsystem for informasjonssikkerhet er verktøyet

15 Hvor er så de statlige virksomhetene i dette bildet?

16 Revisjons- og tilsynsmyndighetene sier Tilstanden svært variabel Mange sikringstiltak, men få reelle styringssystem Hos mange står det dårlig til med styring og kontroll Mange sliter med å forstå hva et styringssystem er Mange har overordna mål og policy, men mangler tilhørende risikovurderinger kobling til valgte sikringstiltak avvikshåndtering jevnlige revisjoner ledelsesforankring

17 Hva er et styringssystem for informasjonssikkerhet? MOTSATT VEI FEIL VEI SNARVEI EN ANNEN VEI LUR VEI SÆREGEN VEI

18 et styringssystem? eller ledelsessystem? kvalitetssystem? internkontrollsystem? internkontroll? intern kontroll? internal control?. Og hva er forskjellen på a control en kontroll et tiltak et sikringstiltak. Ulike begrep på i hovedsak det samme

19 Og hvor brukes de Bruk Virksomhetsstyring Økonomistyring Kvalitetsstyring IT-styring HMS Miljøstyring Informasjonssikkerhet Samfunnssikkerhet Rikets sikkerhet Forankring/metodikk/veiledninger COSO-rammeverket/ Økonomiregelverket (++) ISO 9001 COBIT, TOGAF, ITIL, ISO Internk.forskr./OHSAS ISO 14001, Miljøfyrtårn ISO 27001,NIST, ISACA ISO 223x,. Sikkerhetsloven m. forskrifter

20 Fra Difis undersøkelse (Difi-rapport 2012:15) Mange ansatte var forvirret over alle de ulike styringssystemene, og lederne jobbet veldig med å få kontroll og oversikt over disse

21 Tilsyn viser at folk mangler kompetanse, det gjelder både vanlige brukere, sikkerhetsledere og virksomhetsledere

22 Vi blir litt småforvirret her ute når DFØ, Difi, Datatilsynet, NSM osv. gir ut forskjellige veiledninger om det samme. Hva bør vi egentlig bruke?

23 Aller viktigst er forankring i toppledelsen fra start til slutt. Ledelsen må ikke komme inn på slutten og kun ende opp med en kort orientering Ledelsesforankring gir fart og retning Toppsjefen må ville ha gjennomføringen og gå foran som drivkraft for å få suksess

24 Det handler om tilstrekkelig styring og kontroll og er et topplederansvar

25 Regelverk og føringer om styring og kontroll innen informasjonssikkerhet

26 Økonomiregelverket i staten 4 Grunnleggende styringsprinsipper Alle virksomheter skal: a) fastsette mål og resultatkrav innenfor rammen av disponible ressurser og forutsetninger gitt av overordnet myndighet b) sikre at fastsatte mål og resultatkrav oppnås, ressursbruken er effektiv og at virksomheten drives i samsvar med gjeldende lover og regler, herunder krav til god forvaltningsskikk, habilitet og etisk adferd c) sikre tilstrekkelig styringsinformasjon og forsvarlig beslutningsgrunnlag Styring, oppfølging, kontroll og forvaltning må tilpasses virksomhetens egenart samt risiko og vesentlighet

27 Flere krav om intern kontroll / internkontroll og risikostyring Prosesser, systemer og rutiner igangsatt av ledelsen og de ansatte for å gi rimelig sikkerhet for virksomhetens måloppnåelse innenfor Målrettet og effektiv drift Pålitelig rapportering Overholdelse av lover og regler Den interne kontrollen skal være tilpasset egenart, samt risiko og vesentlighet. SSØ (2007) Hvordan få en god start på risikostyring i statlige virksomheter Jf. Økonomiregelverket i staten og Kommuneloven 23 (2) Jf. Coso-rammeverket og ISO styringssystemstandardene

28 Intern kontroll eller internkontroll? I denne rapporten blir omgrepet «internkontroll» nytta. Det ligg ikkje noko anna i det enn i «intern kontroll», som blir nytta av andre KRD (2009) 85 tilrådingar for styrkt eigenkontroll i kommunane Forskrift om internkontroll i sosial- og helsetjenesten er uttrykk for myndighetenes klare satsing på systematisk styring og kontinuerlig forbedring Helsedirektoratet (2004). Veileder. Hvordan holde orden i eget hus. Internkontroll i sosial- og helsetjenesten Difi 2012:15: tilstrekkelig styring og kontroll med informasjonssikkerheten (risikobasert)

29 eforvaltningsforskriften 13 (1) Forvaltningsorgan som benytter elektronisk kommunikasjon skal ha beskrevet mål og strategi for informasjonssikkerhet i virksomheten (sikkerhetsmål og sikkerhetsstrategi) Sikkerhetsstrategien skal danne grunnlaget for forvaltningsorganets beslutninger om innføring og bruk av sikkerhetstjenester og -produkter på en helhetlig, planlagt, systematisk og dokumentert måte. Sikkerhetsstrategien skal inkludere relevante krav som er fastsatt i annen lov, forskrift eller instruks. (2) Sikkerhetsstrategien skal være utarbeidet i henhold til anerkjente prinsipper for informasjonssystemers sikkerhet.

30 Referansekatalogen 3.1 fra Difi Pkt Det er anbefalt å benytte ISO/IEC ved etablering av styringssystem for informasjonssikkerhet. I arbeidet med å implementere relevante kontroller anbefales det å følge strukturen i ISO/IEC appendiks A og innholdsmessig støtte seg på ISO/ IEC Dersom en virksomhet allerede har et operativt styringssystem på andre områder(f.eks. i relasjon til ISO 9001, ISO eller HMS), vil det i de fleste tilfeller være mest hensiktsmessig å oppfylle ISO kravene innenfor rammene av det eksisterende styringssystemet.

31 Hovedelementene i styringssystemet (ISO/IEC 27001) Ledelsens policy for styringssystemet, Herunder mål, ansvar og akseptabelt risikonivå Oversikt viktig informasjon og øvrige viktige aktiva for informasjonssikkerheten Systematiske og periodiske risikovurderinger Anvendelseserklæring - toveis kobling mellom risiko og valgte sikringstiltak - ut fra ikke-akseptabel risiko Tiltaksplan for å implementere valgte sikringstiltak Hendelses- og avvikshåndtering Systematiske interne revisjoner Ledelsens gjennomgang minst en gang årlig

32 Strukturen på aktuelle tiltak ( appendix A i ISO jf ) Sikkerhetspolicy Organisering av informasjonssikkerhet Administrasjon av aktiva (informasjon m.v.) Personalsikkerhet Fysisk og miljømessig sikkerhet Kommunikasjons- og driftsadministrasjon Aksesskontroll Anskaffelse, utvikling og vedlikehold av informasjonssystemer Administrasjon av informasjonssikkerhetsbrudd Kontinuitetsplanlegging Samsvar (etterleve regelverk)

33 Digitaliseringsrundskrivet FAD P10/2012 pkt. 1.7 Virksomheten skal ha en internkontroll på informasjonssikkerhetsområdet som baserer seg på anerkjente standarder for styringssystem for informasjonssikkerhet.(jf. Difis referansekatalog versjon 3.1, pkt Styringssystem for informasjonssikkerhet) Denne internkontrollen kan med fordel være en integrert del av virksomhetens helhetlige styringssystem for kontinuerlig forbedring av virksomhetens arbeidsprosesser, måloppnåelse, informasjonssikkerhet, HMS, miljøledelse, samfunnsansvar m.v.

34 Det handler om tilstrekkelig styring og kontroll (internkontroll) og er et topplederansvar

35 Råd fra virksomhetene -1 (Difi-rapport 2012:15) Identifiser og synliggjør virksomhetens egennytte av et styringssystem for informasjonssikkerhet Bevisstgjør ledere på alle nivåer om deres faktiske ansvar innen informasjonssikkerhet Informasjonssikkerhetsansvarlige må se eget ansvarsområde i en større sammenheng, og gi ledelsen gode råd for å sikre helheten

36 Råd fra virksomhetene - 2 (Difi-rapport 2012:15) Helt essensielt at toppledelsen er aktiv som pådriver til innføringen for hele virksomheten Pass på at innføringen ikke blir et pålegg fra ledelsen uten at ledelsen har tatt eierskap Les ISO standarden Hva trengs? Gjør det enkelt Pass på oppdateringsutfordringen Få felles forståelse av akseptabel risiko

37 Råd fra virksomhetene - 3 (Difi-rapport 2012:15) Gjennomfør risikovurderinger systematisk og periodisk Sett inn kompetanse og resurser der det trengs spesielt i de første iterasjoner Sikringstiltak skal være koblet til risikoer Skap god kultur for avviksrapportering tolk ikke avvik som feil, kall det forbedringssystem Jobb systematisk med sikkerhetskulturen. Ha sikkerhet som fast tema i medarbeidersamtalene

38 Øvrige råd fra virksomhetene vurderinger fra Difi forklaringer om hva dette handler om og sammenhenger mellom styringssystem o.l. se kap. 3 og 4 i

39 Organisasjonskultur (herunder sikkerhetskultur) En enkel og vanlig definisjon: «Slik gjør vi det hos oss» En utdypende definisjon: «De sett av felles delte verdier, normer og virkelighetsoppfatninger som utvikles i en organisasjon når medlemmene samhandler med hverandre og med omgivelsene» Henning Bang

40 Samme definisjon nå illustrert Organisasjonsmedlemmer Samhandler Ytre Omgivelser Samhandler Samhandler Indre omgivelser Utvikler Organisasjonskultur Felles delte verdier, normer og virkelighetsoppfatninger Adferd former/styrer

41 Involvering og ansvarliggjøring av de ansatte Nødvendig for omforent forståelse av mål, akseptabel risiko, informasjonsverdier, risikovurderinger og sikringstiltak Avgjørende for en kulturutvikling som understøtter virksomhetenes sikkerhetsmål Avgjørende for kvaliteten på styringssystemet Avgjørende for etterlevelsesevne og handlingskompetanse

42 Hvem bør være involvert i sikkerhetsarbeidet? Toppledelsen Linjeledelsen Ansatte i linjene Sikkerhetsledelsen Ansvarlige IKT og bygg Alle skal med! men i ulike roller Sett inn nødvendige resurser og kompetanse der det trengs, når det trengs Utfør risikovurderinger! Vurder alltid alternative typer sikringstiltak - pedagogiske, organisatoriske, juridiske, tekniske, fysiske

43 Styringssystem for informasjonssikkerhet Er en forutsetning for en kontrollert og effektiv digitalisering «Gir oss styringsmulighet når vi må få opp farten»

44