Internkontroll/styringssystem i praksis informasjonssikkerhet. Andreas Grefsrud, seniorrådgiver seksjon for informasjonssikkerhet

Transkript

1 Internkontroll/styringssystem i praksis informasjonssikkerhet Andreas Grefsrud, seniorrådgiver seksjon for informasjonssikkerhet

2 Hva er informasjonssikkerhet?

3 CIA

4 Seksjon for informasjonssikkerhet Arbeide for en styrket og mer helhetlig tilnærming til informasjonssikkerhet i statsforvaltningen.

5 Hvor trykker informasjonssikkerhetsskoen?

6

7 Utfordringer

8

9 Behov

10

11

12

13 Avlive tre myter

14 Myte 1 Påstand: «Internkontroll» og «styringssystem for informasjonssikkerhet» er forskjellige ting Svar: Nei, ikke når begge betyr «intern styring og kontroll»

15 Myte 2 Påstand: Informasjonssikkerhet = hindre uautorisert innsyn Svar: Nei, informasjonssikkerhet handler om tilstrekkelige og balansert sikring av konfidensialitet, integritet og tilgjengelighet for å nå virksomhetens mål og å etterleve lover og regler

16 Hvorfor har vi bremser på en bil? For å kunne stoppe? For å kunne kjøre raskt, effektivt og målretta? Gode bremser gjør det mulig å kjøre raskt til målet, bremse ned når en bør og stoppe når en må Hensiktsmessige sikringstiltak er en muliggjører Uhensiktsmessige sikringstiltak irriterer, hemmer, blir undergravd og gir økt risiko

17 Myte 3 Påstand: Informasjonssikkerhet = IKT-sikkerhet Svar: Nei, informasjonssikkerhet inkluderer både muntlighet, papirbruk, IKT mv. i all formidling, behandling og lagring av informasjon

18 Krav og anbefalinger

19 eforvaltningsforskriften endret februar 2014 (Forskrift om elektronisk kommunikasjon med og i forvaltningen) Bl.a. tydeliggjort kravene til informasjonssikkerhet Kapittel 3 Styring og kontroll med informasjonssikkerheten 15 Internkontroll på informasjonssikkerhetsområdet

20 eforvaltningsforskriften Utdrag ny 15 (endret 13). Forvaltningsorganet skal ha en internkontroll (styring og kontroll) på informasjonssikkerhetsområdet som baserer seg på anerkjente standarder for styringssystem for informasjonssikkerhet. Internkontrollen bør være en integrert del av virksomhetens helhetlige styringssystem. Det organet departementet peker ut skal gi anbefalinger på området. Omfang og innretning på internkontrollen skal være tilpasset risiko..

21 Videre anbefalinger fra Difi (Referansekatalogen ver. 4.1) Det er anbefalt å basere seg på ISO/IEC 27001:2013 ved etablering av internkontroll/styringssystem på informasjonssikkerhetsområdet. Det er anbefalt å støtte seg på ISO/ IEC 27002:2013 i implementeringen av relevante tiltak

22 Difis veiledningsmateriell - Avmystifisere styringssystem for informasjonssikkerhet (ISMS) - Internkontroll i praksis informasjonssikkerhet

23 Difis nye veiledningsmateriell (1) Tydeliggjøre de sentrale prosessene i internkontroll/styringssystem Forklare innhold i prosesser og aktiviteter Gi råd rundt organisering og gjennomføring Eksempler og maler Synliggjøre tilsvarende i andres veiledninger

24 Difis nye veiledningsmateriell (2) Nettbasert Flere iterasjoner og betaversjoner Kommentarfunksjon på de fleste sider En stor og bred referansegruppe for alle interesserte Egen referansegruppe for andre veiledningsaktører

25 Hva er hovedprosessene i internkontrollen/styringssystemet? Ledelsens gjennomgang og utforming av føringer Informasjon og kommunikasjon Risikostyring (risikovurdering og risikohåndtering) Tiltaksetablering og vedlikehold Kompetanse- og kulturutvikling Overvåking og hendelseshåndtering Måling, evaluering og revisjon

26 Hovedprosessene i internkontrollen/styringssystemet

27 Betaversjon 1.0 Publisert internkontroll.infosikkerhet.difi.no

28 Innholdet i veiledningsmateriellet

29 Ledelsens gjennomgang og utforming av føringer Informasjonssikkerhet? Tonen på toppen Strategiutforming generelt Mål og strategi informasjonssikkerhet Retningslinje risikostyring (kalibrering) Retningslinje internkontroll Plan for bedre internkontroll Årlige føringer Periodisk gjennomgang

30 Hjernen i internkontrollen

31 Risikostyring Hva er risiko? Organisere risikostyring Risikovurdering Risikohåndtering Videre råd

32 Hjertet i internkontrollen

33 Tiltaksetablering og vedlikehold Systemrettede tiltak Informasjonssikkerhetstiltak Ulike detaljeringsnivå Flere trinn og aktører Etablering og vedlikehold Tiltaksbanken fra ISO 27001/27002 Få oversikt eksisterende tiltak Mer veiledning?

34 Hendene i internkontrollen

35 Kompetanse- og kulturutvikling Kunnskap Bevisstgjøring Ferdigheter og øving Kompetanseplaner Kulturutvikling

36 Læreren i internkontrollen

37 Overvåking og hendelseshåndtering Overvåking Hendelseshåndtering

38 Vakta i internkontrollen

39 Måling, evaluering og revisjon Testing ved tiltaksetablering Beslutningsgrunnlag for risikoeiere og ledelsen Driftsoppfølging og SLA Grunnlag for ledelsens gjennomgang Evalueringer Intern revisjon

40 Kontrolløren i internkontrollen

41 Informasjon og kommunikasjon Struktur Innhold og format Kommunikasjon Retningslinje

42 Limet i internkontrollen

43 Oppsummering Tre myter avlivet

44 Internkontroll - informasjonssikkerhet

45 Internkontroll - informasjonssikkerhet

46 Internkontroll - informasjonssikkerhet

47 Internkontroll - informasjonssikkerhet

48 Kontaktinformasjon infosikkerhet.difi.no Veiledningsmateriellet Internkontroll.infosikkerhet.difi.no