Difi Informasjonssikkerhet 12. april 2012 Implementering av Styringssystem for informasjonssikkerhet. Øivind Nyseth

Transkript

1 Difi Informasjonssikkerhet 12. april 2012 Implementering av Styringssystem for informasjonssikkerhet Øivind Nyseth

2 Styringssystem for informasjonssikkerhet Tema Litt om SLF Status, informasjonssikkerhet i SLF i 2010 Status pr. april 2012 Underveis Erfaringer Avgjørende faktorer

3 SLF Direktoratfunksjoner under Landbruks- og matdepartementet - LMD SLF skal være en brukerrettet og effektiv virksomhet som innenfor rammene av nasjonal landbruks- og matpolitikk skal bidra til å: Sikre ressursgrunnlaget i jord- og skogbruk Sikre verdiskaping og et konkurransedyktig landbruksbasert næringsliv Er til for ca gårdbrukere, ca skogeiere, noen tusen importører, grunneiere, m.fl. Har integrerte løsninger mot en rekke andre virksomheter Har ca 30 skreddersydde fagsystemer, pluss adm. systemer, m.m. Håndterer milliarder kr pr. år Tredelt saksbehandling: Kommune, fylke, SLF 190 ansatte

4 Status, juni 2010 Behov for å utarbeide en ny sikkerhetshåndbok (gjemt og glemt) Riksrevisjonens hadde spørsmål med henvisning til ISO27002 Vi ber SLF vurdere å utarbeide en skriftlig... Vi så behov for å utvide konseptet fra en sikkerhetshåndbok til et styringssystem Det forelå en revidert sikkerhetspolicy Vi så behov for å rydde, samordne og forbedre det som fantes av materiell og retningslinjer innen informasjonssikkerhet Tidligere ROS-aktiviteter hadde resultert i få endringer var stort sett glemt Informasjonssikkerhet var en IT-sak Det meste av IT-driften var satt ut til eksterne Ingen formell organisering av arbeidet med informasjonssikkerhet

5 Status, april 2012 Er i sluttfasen av planprosessen (PDCA) Forslag til operativ organisasjon er til beslutning En rekke styrende dokumenter er til beslutning Vi har utarbeidet dokumenter ryggmargen i Styringssystemet Forbedret dokumentasjon En rekke retningslinjer er nå operative DoCheckAct gjenstår. Bl.a. å kontrollere, risikovurdere, identifisere forbedringer, iverksette tiltak, m.m.

6 Underveis ISO 27001/27002 var valgt Ikke jobbet sammenhengende Team IT, personal, fysisk sikring. Ikke prosjektrettet mye IT Utarbeidet tidlig en håndbok, adm. av informasjonssikkerhet (ledelsens krav) /ISO27002 Etablerte en dokumentstruktur Utarbeidet nye og ajourførte gamle retningslinjer Gjennomførte noen risikovurderinger med ekstern bistand Gjennomførte aktiviteter innen bevisstgjøring, Vær sikker kampanjer, interne seminarer med ekstern bistand, etc. Benyttet intranettet aktivt Startet kanskje litt i feil ende...

7

8 Erfaringer (1) For oss var det riktig å gjøre tingene i den valgte rekkefølgen prøve oss fram, få erfaring Arbeidet er tidkrevende og ikke enkelt Krever god forståelse av hva et styringssystem er. ISO har vært nyttig; også ISO27003, og spesielt Begrepsapparatet og definisjoner må være på plass ikke enkelt Tenk tidlig på hva Styringssystemet skal bestå av, dokumentstruktur og utforming Veldig mye angår IT. Kan fort bli oppfattet som en ren IT-sak Ikke alltid enkelt å engasjere; å avsette tid

9 Erfaringer (2) Få en (enkel) felles forståelse av trusselbildet f.eks. hva kan noen være ute etter i SLF? Penger? informasjon? Snevre inn. Begrense. Må forenkle; f.eks. hvordan gjennomføre risikovurderinger. Slik gjør VI det... Veien blir til mens du går greit å prøve seg fram hva vil fungere, hva passer hos oss,... Utfordrende å fastsette kriterier: Konsekvens, akseptanse, evaluering Teknologisk utvikling går raskere enn sikkerhetsarbeidet Krevende å implementere, å endre vaner Det er ikke enkelt å få iverksatt forbedringstiltak Når vi graver er det mye som avdekkes

10 Noen utfordringer Hvordan organisere det operative, daglig arbeidet? Hvordan få en matriseorganisasjon til å fungere? Hvordan unngå at det blir 100 døde dokument i en filserver? Hvordan gjøre tilgjengelig, brukervennlig? Hvordan få styringssystemet til å bli et levende og effektivt verktøy? Ikke hemmende Hvordan samordne Styringssystem for informasjonssikkerhet med andre styringssystem eller kontrollsystem i SLF? Hvordan unngå at informasjonssikkerhet kun blir ITenhetens baby?

11 Av avgjørende betydning Engasjement og trykk fra ledelsen avsette tid, ressurser, sikre medeierskap/medansvar Tydelige føringer i Tildelingsbrevet fra LMD En nødvendig forutsetning: Sikre forankring og medeierskap til dem som skal jobbe operativt med dette og at de har dette som en fastsatt del av sin arbeidsdag