Informasjonssikkerhet i UH-sektoren

Størrelse: px

Begynne med side:

Download "Informasjonssikkerhet i UH-sektoren"

Ida Dahlen
9 år siden
Visninger:

1 Informasjonssikkerhet i UH-sektoren Per Arne Enstad CSO Forum, juni 2012

2 Dagens tekst Bakgrunn Gjennomføring Hvorfor sikkerhetspolicy? Erfaringer så langt Veien videre 2

3 Bakgrunn Tradisjonelt: Sikkerhet = teknisk sikkerhet 80 % holdninger, 20 % teknologi 3 GigaCampus: Mer fokus på overordnet sikkerhetsarbeid Fra IT-sikkerhet til informasjonssikkerhet

4 Bakgrunn UNINETT-konferansen 2007: «GC setter sikkerhetspolicy på dagsordenen» «Grunnpakke» IT-revisjon Sikkerhetspolicy 4 Risiko- og sårbarhetsvurderinger (ROS-vurderinger), Kontinuitets- og beredskapsplaner (KBP), mv.

5 Hvem er «vi»? 5 personer fra UNINETT + 1 ekstern Nett- og systemavdeling + FAS Bakgrunn: sikkerhet, nett ++ 4 CISA + 3 i emning 5

6 Gjennomføring: IT-revisjon 1-dags «on-site» befaring, intervjuer, mv. Rapport med anbefalinger Konfidensiell! Sjekklister basert på ISO 27001/27002 og beste praksis Avstemt mot Datatilsynet og Riksrevisjonen 6

7 Gjennomføring: informasjonssikkerhetspolicy «Standard» policy 1-dags workshop: Tilpasning til lokale forhold 7 Sikkerhetsmål og -strategi Roller og ansvar Overordnede retningslinjer

8 Informasjonssikkerhetspolicy 8

Policy: dokumentstruktur 1) Sikkerhetspolicy definerer mål, hensikt, ansvar og overordnede krav. Styrende 2) Overordnede retningslinjer for informasjonssikkerhet.

9 Policy: dokumentstruktur 1) Sikkerhetspolicy definerer mål, hensikt, ansvar og overordnede krav. Styrende 2) Overordnede retningslinjer for informasjonssikkerhet. Her defineres hva som må gjøres for å etterleve den etablerte policyen. Styrende 3) Standarder og prosedyrer for informasjonssikkerhet inneholder detaljerte retningslinjer for implementering av sikkerhetsarbeidet. Gjennomførende og kontrollerende Hvorfor Hva Hvordan 9

10 Rutiner («Nivå 3- dokumenter») Forslag til noen av de viktigste rutinene IT-reglement Taushetserklæring Hendelses- og avvikshåndtering Klassifisering ROS-vurderinger 10 Ikke oppdatert på en stund lite tilbakemeldinger

11 Finansiering Tilbud til GigaCampus-deltagerne Finansiering: GigaCampus Fastpris for revisjon og policyworkshop Dette har vi fortsatt med 11

12 Deltagelse Hovedfokus på høgskolene og de nye universitetene Breddeuniversitetene har i stor grad egne ressurser 12

13 Resultater og erfaringer IT-revisjoner: 30 Resten: Internrevisjon 13 Andre eksterne Ikke svart Policyworkshops: 25 ROS: 8

14 Oppfølging 14

15 Resultater og erfaringer: funn Mangler sikkerhetsmål og -strategi Mangler IT-strategi Mangler ROS-vurderinger Mangler kontinuitets- og beredskapsplaner for IT Generelt lite dokumentasjon Vi etterspør ikke mye! Lovkrav + beste praksis ift. bl.a. avhengighet 15

16 Resultater og erfaringer: lovkrav Lov/forskrift POF 2-3 Skkerhetsmål og -strategi Hvor mange har oppfylt kravet? Ingen POF 2-12 KBP for IT Ingen POL 13 POF 2-4 POL 16-22, POF 3 Databehandleravtale med tredjeparter ROS-vurdering mht. info-sikkerhet Oversikt over personopplysninger Ingen Noen få Noen få 16 POF 2-6 System for avvikshåndtering Halvparten POF 2-5 Gjennomført revisjon Alle!

17 Resultater og erfaringer Den menneskelige faktor (PEBKAC) Dårlig forankring i ledelsen Dårlig ledelsesforankring gjør at IT-avdelingen setter sikkerhetsnivået ubalanserte tiltak Dette er ikke IT-avdelingens feil! 17

18 Hvorfor sikkerhetspolicy? Formulerer ledelsens mål og intensjoner for informasjonssikkerheten Felles platform for sikkerhet Overordnede og langsiktige føringer Retningslinjer og prosedyrer gir detaljert beskrivelse av tiltak; understøtter policy Felles plattform i UH-sektoren: understøtter samarbeid Viser at virksomheten tar sikkerhet på alvor It s the law! 18

19 Grunnleggende krav til policy En policy må være mulig å implementere og håndheve være konsis og lett å forstå balansere beskyttelse med produktivitet 19

20 Grunnleggende krav til policy En policy må være mulig å implementere og håndheve være konsis og lett å forstå balansere beskyttelse med produktivitet uttrykke hvorfor den er etablert 20

21 Velbegrunnet sikkerhet? 21

22 Grunnleggende krav til policy En policy må være mulig å implementere og håndheve være konsis og lett å forstå balansere beskyttelse med produktivitet uttrykke hvorfor den er etablert beskrive hva den dekker definere ansvar og kontaktpunkter angi hvordan brudd vil bli håndtert 22

23 Grunnleggende krav til policy En policy må være mulig å implementere og håndheve være konsis og lett å forstå balansere beskyttelse med produktivitet uttrykke hvorfor den er etablert beskrive hva den dekker definere ansvar og kontaktpunkter angi hvordan brudd vil bli håndtert 23

24 Veien videre: Sekretariat for informasjonssikkerhet Sekretariat for informasjonssikkerhet Samme målgruppe IT-revisjon «første runde» ferdig Samme finansieringsmodell ROS-vurderinger Ledelsens gjennomgang BIA, og etter hvert: kontinuitets- og beredskapsplaner Oppfølging 24

25 Veien videre: ROS-vurderinger Lovpålagt: personopplysningsforskriften 2-5 Rammeverk basert på NSM/SSØ Har gjennomført på 3 institusjoner Personopplysninger IKT-infrastruktur 25

26 Veien videre: KBP for IT Personopplysningsforskriften 2-12 Alternativ behandling skal forberedes for de tilfeller informasjonssystemet er utilgjengelig for normal bruk Etablere rammeverk for KBP med standard prosedyrer mv. Utfordring: finne et passende nivå! Samarbeid med UMB og UIS 27

27 Veien videre: rammebetingelser Riksrevisjonens Dokument 1 Kritikk av DSS, KD Kunnskapsdep. vil legge større vekt på sikkerhet tildelingsbrev til UH-sektoren Sekretariat for informasjonssikkerhet Er i ferd med å bli etablert, 1 ny stilling i

28 En metodisk tilnærming til sikkerhet en risikostyrt tilnærming 30

29 Helt til slutt Kontakt:

30 TAKK FOR OPPMERKSOMHETEN! Spørsmål? 32

Like dokumenter

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger: Lagring av personopplysninger Øyvind Eilertsen UNINETT CERT SUHS-konferansen 2011 Dagens tekst Informasjonssikkerhet Behandling av personopplysninger: Organisatoriske krav Tekniske krav Informasjonssikkerhetsarbeidet