Øyvind Grinde, seksjonssjef

Transkript

1 Lyntale Informasjonssikkerhet en nøkkel til resultater og kontinuerlig forbedring Øyvind Grinde, seksjonssjef

2 Brukerreise

3 Helsekort for gravide

4 Navnevalg

5 Foreldrepenger Behandlingstid Digital Agenda Offentlig sektor spør deg ikke på nytt om noe den vet. Du trenger ikke søke om noe du har rett til. Hvis offentlig sektor trenger informasjon fra deg, skal du kunne gi den digitalt. Du får svar digitalt. Du får umiddelbart svar hvis det ikke er behov for bruk av skjønn.

6 infosikkerhet.difi.no internkontroll.infosikkerhet.difi.no

7 Lyntale NIFS Svanhild Gundersen

8 NIFS - Nettverk for informasjonssikkerhet

9 Målgruppe Sikkerhetsansvarlige i offentlige virksomheter Formål Dele erfaringer 5 møter i året

10 E-post: Møteplan 2016/vår november Informasjonssikkerhet ved anskaffelse av skytjenester 15. februar Tema ikke fastsatt 5. april Øvelse 31. mai Sikkerhetsmåneden

12 Lyntale Internkontroll i praksis - informasjonssikkerhet Barbro Lugnfors

13 Internkontroll i praksis - informasjonssikkerhet

14 Standarden ISO/IEC og Difis veiledningsmateriell ISO/IEC er anbefalt standard å basere seg på stiller overordnede krav til hva man skal ha og hva man skal gjøre i et sertifisert «system» for styring og kontroll innen informasjonssikkerhet Difis veiledningsmateriell har en pragmatisk og behovsorientert tilnærming til standarden fokus på tilstrekkelig styring og kontroll (ikke sertifisering) baserer seg på standarden dekker det Difi anser som de viktigste kravene konkretiserer hvordan disse kravene kan implementeres og etterleves

15 Systematiske aktiviteter

16 Nettbasert veiledningsmateriell Hjelp og støtte Hovedaktiviteter og delaktiviteter Beskrivelser

17

18 Ledelsens styring og oppfølging - «Hjernen» i internkontrollen

19 Risikovurdering - «Hjertet» i internkontrollen

20 Risikohåndtering - «Hendene» i internkontrollen

21 Overvåking og hendelseshåndtering - «Vakta» i internkontrollen

22 Måling, evaluering og revisjon - «Kontrolløren» i internkontrollen

23 Kompetanse- og kulturutvikling - «Læreren» i internkontrollen

24 Kommunikasjon - «Limet» i internkontrollen

25 Internkontroll i praksis - informasjonssikkerhet

26 Difis tilbud Nettbasert veileder 2-dagers innføringskurs For fagansvarlig informasjonssikkerhet som lederstøtte og pådrivere Arbeidsseminar Utforme overordnede styrende dokumenter Etablere fellessikring og tilleggssikring Foranalyser før risikovurdering Rådgivningsmøter med virksomheter Ut fra kapasitet

28 Lyntale Dilemmatrening som verktøy i opplæring Britt Eva Bjerkvik Haaland

29 Dilemmatrening informasjonssikkerhet Britt Eva Haaland

30 Hvorfor laget vi dilemmatrening

31 Fleksibelt Virksomheten Målgruppen Tidsbruk Gir eierskap til problemstillingene Overførbar kunnskap Engasjerer Kan utvides og oppdateres Refleksjon kan føre til adferdsendring

32 Perspektiver

34 Lyntale Få oversikt og prioriter før risikovurderinger Jan Sørgård

35

36 Risikovurdering Få oversikt og prioritere Planlegge risikovurderinger Gjennomføre risikovurderinger

37 Delaktiviteten Få oversikt og prioritere Foranalyse Gruppere og dele Vurdere behov for risikovurderinger Oversikt: Gjennomførte risikovurderinger

38 Delaktiviteten Få oversikt og prioritere Foranalyse Gruppere og dele Vurdere behov for risikovurderinger Oversikt: Gjennomførte risikovurderinger Foranalyse Identifisere arbeidsoppgaver Identifisere informasjonstyper, system mv. Finn potensielt konsekvensnivå: oppgaver og system Overordnet vurdering: trusler, farer, sårbarheter Oppsummering: obs-områder

39 Identifiser - arbeidsoppgaver Kjerneoppgaver (kjerneprosesser): Tilsyn Veiledning Tilskuddsforvaltning Planarbeid Undersøkelser Kunnskapsforvaltning Oppfølging av ekspertgrupper Øvrig saksbehandling

40 Identifiser informasjonstyper mv.

41 Potensielt konsekvensnivå - arbeidsoppgaver og IKT-system

42 Foranalyse - Trusler Lignende skjema for farer og sårbarheter

43 Foranalyse Refleksjon og oppsummering Refleksjon over foranalysen Oppsummere spesielle obs-områder

45 Gruppere og dele Med støtte i foranalysen: Grupper oppgaver og system i større «områder» homogene og enkle arbeidsoppgaver likt konsekvens- og trusselnivå gode rutiner profesjonelle systemer høy kompetanse Skill ut i egne «områder» Komplekse eller kritiske enheter, arbeidsoppgaver, prosjekt, IKT-system eller deler av ovennevnt

46 Vurdere behov for risikovurderinger Overordnet Hvor usikker er jeg på om risikoene kan aksepteres? En enkel kvalitativ og skjønnsmessig vurdering lav, moderat og høy usikkerhet Basert på noen enkle støttespørsmål Et sett beslutningskriterier Ut fra usikkerhetsnivå og potensielt konsekvensnivå plasserer «områdene» fra forrige trinn i prioriteringsgrupper for risikovurderinger

48 Få oversikt og prioritere Suksesskriterium Prosessleder Minimum ved første gangs gjennomføring Godt forarbeid Strukturert ledelse av arbeidet Hensiktsmessige maler / støtteverktøy Enkle eksempler kommer snart fra Difi i oppdatert versjon Det gjør også arbeidsseminar for prosessledere

50 Lyntale eidas - nye regler om e-id og signaturer Jon Berge Holden

51 Hva er eidas? Forordning (EU) 910/2014 Regulation on electronic identification and trust services for electronic transactions in the internal market Todelt Gir regler for gjensidig anerkjennelse av e-id og signaturer i offentlig sector, kap II + artikler 27, 37 Etablerer rammer for tillitstjenester, inkl. sertifikattjenester, kap III Erstatter e-signaturdirektivet IDentitet 2016

52 Regler om e-id Definerer tre eidas sikkerhetsnivåer for eid, art 8 og 2015/1502 HIGH, SUBSTANTIAL, LOW Utgpkt: Nivå 4 HIGH, Nivå 3 SUBSTANTIAL Selvdeklarasjonsordning Medlemslandene melder inn aktuelle e-id-løsninger, med angivelse av nivå(er) Anerkjennelsesplikt hvis et av de to øverste nivåer brukes i tjenesten Plikten gjelder autentisering med innmeldt e-id Personen identifiseres med navn, fødselsdato, identifikator Vilkår for å få ytelser og tilgang til tjenester påvirkes ikke IDentitet 2016

53 Regler om e-signaturer Nye definisjoner E-segl, avansert e-segl, kvalifisert e-segl, art 3 nr Omtrent som før: Definisjon av signatur, avansert signatur, kvalifisert signatur Rettsvirkninger av signaturer, jf. art 25: Alle elektroniske signaturer skal kunne føres for retten - at den er elektronisk eller typen signatur skal ikke i seg selv være avvisningsgrunn Kvalifiserte signaturer skal alltid oppfylle formkrav til signatur Nytt for forvaltningen Hvis avansert eller kvalifisert signatur/segl kreves, Anerkjennelsesplikt også for signaturer i XAdES, PAdES eller CAdES, jf. art 27 og 37 Anerkjennelsesplikt for andre formater, hvis medlemsstaten tilbyr valideringsmulighet, jf. art 27 og IDentitet 2016

54 Hva betyr dette for forvaltningen? Nye muligheter Flere personer med e-id et europeisk marked Sikkerhetskrav må stilles som før Effektiv, enkel, sikker kommunikasjon, jf. efvf 1 Risiko for sikkerhetsbrudd skal være akseptabel, jf. efvf 15 m.m. Risikovurdering Ta utgangspunkt i hendelser (tvister) Juster for motivasjon, sårbarhet, trusselaktører Ta hensyn til sidevirkninger

55 Spørsmål? IDentitet 2016

57 Lyntale Å øve på informasjonssikkerhet Håkon Styri

58 Øvelser Beredskapsøvelse gjennomføres minst en gang per år 33,3 prosent i 2016 (SSB, Bruk av IKT i staten) Flere må øve, minst en gang i året Planlegg flere mindre IKT-øvelser hvert år Knytt evaluering av øvelsene til internkontroll for informasjonssikkerhet for å sikre at øvelsene kan bidra til forbedring. Dato