Revisjon av informasjonssikkerhet

Transkript

1 Revisjon av informasjonssikkerhet Frode Ikdahl Andreas Førde Oslo 14. juni 2012

2 2

3 Oversikt Rammeverk og standarder IKT-profil Revisjon av informasjonssikkerhet 2009 (Dok ) Revisjon av informasjonssikkerhet knyttet til personopplysningsloven 2010 (Dok ) Oppsummering 3

4 Rammeverk og standarder Organisasjonsnivå Eiere/ Departement Virksomhetsstyring Coso Virksomhetsledelse IT-ledelse IT-ansatte IKTprofil Ledelse av ITIL IT-tjenester IT Governance Cobit Beste praksis/ ISO/ IEC 27001/27002 standarder Aktiviteter Operasjonelt Styring Overvåkning 4

5 Internasjonale revisjonsstandarder ISSAI-rammeverket implementert. Gjennom risikovurderingshandlinger skal revisor opparbeide seg en forståelse av enheten og dens omgivelser, herunder intern kontroll. Revisor skal opparbeide seg en forståelse for de delene av informasjonssystemet som er relevante og prosedyrene innen IT-systemer. Revisor skal opparbeide seg en forståelse for enhetens kontrollaktiviteter og hvordan enheten har håndtert risikoer som følge av bruk av IT. 5

6 IKT-profil 1. IT-miljøets betydning for virksomhetens primærog sekundæroppgaver 2. Organisering og oppgaver 3. Infrastruktur, systemer og applikasjoner 4. Informasjonssikkerhetskriterier 5. Sentrale dokumenter, rutiner og internkontroll 6. Oppsummering 7. Risikovurdering og videre løp 8. Tidligere IT-revisjoner 6

7 Revisjon av informasjonssikkerhet 2009 Revisjonskriterier: Reglement for og bestemmelser om økonomistyring i staten Nasjonale retningslinjer for å styrke informasjonssikkerheten ISO/ IEC og Internasjonale standarder for informasjonssikkerhet 7

8 Revisjonsprogrammet - virksomhet Revisjonsprogram NS-ISO/IEC (deler av kapitlene) Nasjonale retningslinjer Identifisere og klassifisere Kapittel 7 Pkt 3.3 Risikovurderinger Kapittel 4 Pkt 3.4 Organisering Kapittel 5, 6 og 8 Pkt 3.5 Beskyttelse Kapittel 9, 10, 11, 12 og 14 Pkt 3.1 Informasjonssikkerhetsbrudd Kapittel 13 Pkt 3.6 8

9 Identifisering og klassifisering av informasjon og informasjonssystemer Departement: Få hadde besluttet en felles tilnærming på sektornivå eller stilt krav til virksomhetene Virksomhet: Ca 40 % hadde ikke identifisert sine viktigste aktiva Over 50 % hadde ikke et system for å klassifisere informasjon og informasjonssystemer

10 Risikoanalyser Departement: 6 hadde ikke stilt krav til underliggende virksomheter om gjennomføring av risikoanalyser som omfatter samfunns- eller virksomhetskritisk ikt-infrastruktur Virksomhet: Ca 70 % hadde utarbeidet risikoanalyser Halvparten manglet imidlertid risikoanalyser som omfattet de viktigste aktivaene i virksomhetene Halvparten manglet rutiner for jevnlig oppdatering av risikoanalyser 10

11 Organisering - kunnskapsbygging Departement: 50 % hadde ikke stilt krav til underliggende virksomheter om å gjennomføre tiltak for å øke bevisstheten og kompetansen om informasjonssikkerhet Virksomhet: Ca 60 % hadde opplæring og/eller løpende tiltak for bevisstgjøring innen informasjonssikkerhet i egen organisasjon Opplæring og bevisstgjøring av eksterne brukere er svakere enn for egne ansatte 11

12 Organisering videre Virksomhet: Over 80 % hadde utarbeidet en sikkerhetspolicy eller tilsvarende dokument 75 % hadde etablert en egen sikkerhetsorganisasjon 12

13 Beskyttelse Departement: Få har stilt krav til beskyttelse av kritisk iktinfrastruktur 13

14 Beskyttelse - administrasjon av tilganger Virksomhet: De fleste hadde skriftlige rutiner for administrasjon av tilganger Halvparten hadde imidlertid ikke skriftelige rutiner for tildeling av utvidede rettigheter Ca 80 % hadde svakheter i dokumentasjon av at faktiske tilganger var i samsvar med autoriserte tilganger 14

15 Beskyttelse - logging og overvåkning Virksomhet: Revisjonen viste en gjennomgående svakhet på området logging og overvåkning Bruker og systemadministrators aktiviteter blir i liten grad logget eller fulgt opp 15

16 Beskyttelse - kontinuitetsplanlegging Virksomhet: Ca 80% hadde enten en kontinuitetsplan eller en prosess for kontinuitetsplanlegging De fleste kontinuitetsplaner var imidlertid ikke oppdaterte Omtrent halvparten manglet oversikt over hvilke systemer som skal prioriteres i en avbruddssituasjon Kun 3 hadde gjennomført øvelser i kontinuitetsplanen 16

17 Beskyttelse - fysisk sikkerhet Virksomhet: Revisjonen viste at de fleste datarom var sikret mot fysiske farer 17

18 Informasjonssikkerhetsbrudd Departement: Få hadde gitt føringer for rapportering av sikkerhetshendelser til fagdepartementet og til relevante sektormyndigheter Virksomhet: Ca 60 % hadde etablert rutiner for å rapportere og håndtere sikkerhetsbrudd. Omtrent halvparten hadde imidlertid ikke konkretisert hvilke typer hendelser som skal loggføres og rapporteres 18

19 Bruk av standarder for informasjonssikkerhet Departement: Få hadde stilt krav til underliggende virksomheter om å ta i bruk standarder for informasjonssikkerhet 19

20 Dokument 1 ( ) 11 departementer har vesentlige mangler i sin styring av underlagte virksomheters informasjonssikkerhet 10 virksomheter har fått revisjonsbrev med merknader knyttet til vesentlige mangler ved informasjonssikkerheten FAD har samordningsansvaret for IKT-politikken, og revisjonen peker på mangler i departementets oppfølging av dette ansvaret 20

21 Revisjon av informasjonssikkerhet 2010 Revisjon av utvalgte virksomheter på UHsektoren Videreføring av revisjonen for 2009, men med større vekt på personopplysningsloven Vurderingsgrunnlag bl.a. ISO/IEC

22 Funn: Identifisere aktiva Utfordrende å holde oversikt sentralt over hvilke systemer som forvalter personopplysninger (både sensitive og ikkesensitive) Prosjektleder synes å ha oversikt for egne prosjekter, men det fremgår ikke av sentrale føringer hvilke rutiner eller prosedyrer som skal være styrende for dette 22

23 Funn: Risiko- og sårbarhetsanalyser Liten grad av systematiserte ROS-analyser på overordnet nivå, men for enkelte forskningsprosjekter var det gjort slike vurderinger Foreligger ikke føringer fra ledelsen, og mye av arbeidet delegeres til avdeling, fakultet eller den enkelte prosjektleder 23

24 Funn: Sikkerhetspolicy Det var utarbeidet sikkerhetspolicyer, men det var svakheter i implementeringen 24

25 Funn: Informasjonssikkerhetsbrudd Manglende rutiner eller prosedyrer for hvordan brudd skal behandles Medfører økt sannsynlighet for at alvorlige hendelser ikke rapporteres og at korrigerende tiltak ikke blir iverksatt 25

26 Funn: Håndtering av personopplysninger i utvalgte prosjekter Fullmakter og ansvar er delegert til de enkelte prosjektledere, uten at det er etablert tilfredsstillende internkontrollsystemer Det eksisterer ikke systemer som fanger opp brudd f.eks. pga. mangelfull kunnskap og forståelse hos prosjektleder 26

27 Dokument 1 ( ) Forholdene ble tatt opp Dokument 1, der det blant annet ble stilt spørsmål ved om KD har sikret seg at personopplysninger som virksomhetene innhenter og benytter, behandles på en tilfredsstillende måte 27

28 Avslutningsvis Oppfølging av revisjonsfunn fra sikkerhetsrevisjonen i 2009 viser økt fokus på området i forvaltningen. Sikkerhet er ikke et produkt, men en prosess. Det som blir målt blir gjort. 28

29 Spørsmål 29