Informasjonssikkerhet i Norge digitalt Teknologiforum

Transkript

1 Informasjonssikkerhet i Norge digitalt Teknologiforum Trond Skyseth, sikkerhetsleder, Kartverket

2 Plan for innspill Hensikt Prinsipper for informasjonssikkerhet i ND Hvorfor er sikkerhet viktig i ND Eksempler på sikkerhetsutfordringer Føringer for informasjonssikkerhet Nasjonal strategi for informasjonssikkerhet Beskrivelse av forslag til tiltak Forslag til prioriterte tiltak

3 Hensikt Sørge for at sikkerhetsperspektivet vektlegges i ND Økt oppmerksomhet på informasjonssikkerhet i lys av Nasjonal strategi for informasjonssikkerhet Informere, utdype og bidra til diskusjon og felles refleksjon Rettet mot konkrete tiltak Drøfte noen forslag til tiltak Be om ytterligere innspill på sikkerhetsutfordringer og tiltak Veien videre

4 Prinsipper for sikkerhet i ND Hver part har ansvar for sikkerhet i egen organisasjon og for egne data! Hver part skal (ref. generelle vilkår, pkt 7): formulere sikkerhetsmål og akseptabelt sikkerhetsnivå oppfylle krav i gjeldende regelverk sikre at informasjon som skal unntas fra allmennheten ikke kommer ut gjennomføre interne opplæringstiltak Geodatakoordinator har overordnet ansvar for veiledning om informasjonssikkerhet og for at krav til informasjonssikkerhet blir ivaretatt for fellesløsninger for tilgjengeliggjøring Utilstrekkelig som prinsipp alene! utfordringer på tvers og for helheten i nasjonale geografiske infrastruktur Krever økt oppmerksomhet på verdi-, trussel- og sårbarhetsvurderinger på tvers i ND som grunnlag for retning, nivå og prioritering av sikkerhetstiltak

5 Hvorfor er sikkerhet viktig? Sikre konfidensialitet, integritet og tilgjengelighet Sikkerhet er en del av NDs leveranse Modernisering er også robusthet Krav, behov og forventninger til robuste prosesser, verktøy og leveranser Felles risikoforståelse Verdivurderinger Trusselvurderinger Internasjonalt, nasjonalt, sektor, part Sårbarhetsvurderinger

6 Sikkerhetsutfordringer i ND Eksempler: Forholdet mellom åpenhet og skjerming Hvem har ansvar for å vurdere og følge opp misbruk ved sammenstilling av åpne datasett, og på hvilket grunnlag skal man vurdere dette? Angrep på infrastruktur Teknisk sammenbrudd Tilgangskontroll og autentisitet Sårbarhet i verktøy, prosesser, verdikjeder og kritiske avhengigheter Hvor operative skal ND være i en krisesituasjon? Hva er forsvarlig sikkerhet og akseptabel risiko? Manglende eller upresise krav og forventninger på sikkerhet + Felles risikoanalyse mangler Viktig å være kjent med risikobildet

7 Føringer for ND innen informasjonssikkerhet 1/2 Generelt: Veldig overordnet, lite konkrete og operasjonaliserbare krav Compliance/etterlevelse er vanskelig og ikke tilstrekkelig Lover/forskrifter: Generelle: Sikkerhetslov, Personopplysningslov, Offentlighetsloven, Beskyttelsesinstruks, Arkivlov. Spesielle: Geodatalov, Plan og bygningslov med kart og planforskrift, Matrikkellov, Beredskapsforskrift innen kraftforsyning... EU og Inspire Generelle vilkår i Norge digitalt, pkt 7 Informasjonssikkerhet

8 Føringer for ND innen informasjonssikkerhet 2/2 Strategi for åpne kart- og eiendomsdata Tilgangsbegrensninger vs åpenhet Div. føringer fra departementer om informasjonstryggleik Ref. siste stortingsprop. Stortingsmeldinger, spesielt 29 om Samfunnssikkerhet Samvirkeprinsipp, kritisk samfunnsinfrastruktur, kritiske avhengigheter, krav til oppdatert kartgrunnlag, øvelser på tvers, bedre planverk, risikovurderinger osv. Sivilt beredskapssystem Kartverket, ND og geodatastøtte nevnes eksplisitt Nasjonal strategi for informasjonssikkerhet med handlingsplan Legge til grunn også i ND Knagger for tiltak

9 Nasjonal strategi for informasjonssikkerhet Fire overordnede mål: 1.Styrket samordning og felles situasjonsforståelse 2.Robust og sikker IKT-infrastruktur i hele samfunnet 3.Sterk evne til å håndtere uønskede IKT-hendelser 4.Høy kompetanse og sikkerhetsbevissthet

10 Nasjonal strategi for informasjonssikkerhet Syv strategiske prioriteringer for operasjonalisering av mål: 1.Ivareta informasjonssikkerhet på en mer helhetlig og systematisk måte 2.Styrke IKT-infrastrukturen 3.Sørge for felles tilnærming til informasjonssikkerhet i statsforvaltningen 4.Sikre samfunnets evne til å oppdage, varsle og håndtere alvorlige IKT-hendelser 5.Sikre samfunnets evne til å forebygge, avdekke og etterforske datakriminalitet 6.Kontinuerlig innsats for bevisstgjøring og kompetanseheving 7.Høy kvalitet på nasjonal forskning og utvikling innen informasjons- og kommunikasjonssikkerhet

11 Tiltak som støtter opp under flere av de strategiske prioriteringene Tiltak 0.1: Etablere forbedret informasjonsgrunnlag for IKTrisikobildet Tiltak ND: Felles risikoforståelse basert på risikoanalyse på tvers i sektoren Etablering av sektorvis CSIRT, kartlegging og innrapportering av uønskede hendelser I samarbeid med NSM Tiltak 0.2: Videreføring av kartleggingen av kritiske samfunnsfunksjoner, herunder understøttende infrastruktur og innsatsfaktorer Tiltak ND: sektorvis konkretisering av hva som ligger i de ulike kritiske samfunnsfunksjonene og innsatsfaktorer, sårbarheter og avhengigheter I samarbeid med DSB

12 1.Ivareta informasjonssikkerhet på en mer helhetlig og systematisk måte Fra handlingsplan: Tiltak 1.1 Styringssystem for informasjonssikkerhet i statsforvaltningen basert på standarder Anbefalt ISO for struktur, ISO for innhold kobles med andre eksisterende styringssystem Tiltak ND: Legge ISO serien til grunn for styringssystem for informasjonssikkerhet Kompetanseutvikling og veiledninger med bakgrunn i standarden Felles risikopolicy i ND som strekker seg utover det som står i generelle vilkår i dag (med føringer om standardisering)

13 2.Styrke IKT-infrastrukturen Fra handlingsplan: Tiltak 2.1 Styrke arbeid med objektsikkerhet iht. sikkerhetsloven Vurdering av egenbeskyttelse av datasentre, kabler og kritiske digitale knutepunkter (noder) i fysiske og logisk distribuerte systemer Tverrsektoriell tilnærming som tar hensyn til avhengigheter på tvers Egenbeskyttelsestiltak innen utløpet av 2013 Tiltak ND: Kartverkets felles løsninger som knutepunkt Klarlegge forholdet til objektsikkerhet i og mellom partene I samarbeid med NSM Partene har her et viktig selvstendig ansvar for sikkerhetstiltak

14 3.Sørge for felles tilnærming til informasjonssikkerhet i statsforvaltningen Fra handlingsplan: Tiltak 3.2 evt. 3.3 Innføring av evne til gradert datakommunikasjon eller sikker mobilkommunikasjon Tiltak ND: Vurdere behov for mulighet til kommunikasjon av gradert eller sensitiv informasjon, ref. Sivilt beredskapssystem Rapportere til arbeidsgruppe i JD Tiltak 3.4 Elektronisk ID Tiltak ND: Vurdere gjeldende krav, føringer og anbefalinger for tilgangskontroll og autentisering ved felles løsninger

15 4.Sikre samfunnets evne til å oppdage, varsle og håndtere alvorlige IKT-hendelser Fra handlingsplan: Tiltak 4.2: Etablering av sektorvise responsmiljøer Tiltak ND: Vurdere etablering av et sektorvist responsmiljø i ND; geodatacsirt (CSIRT - computer security incident response team) Minimumsløsning er å etablere kontaktpunkt i sektoren med varslingsrutiner internt og mot NORCERT, med felles risikoforståelse I første omgang prioritere god informasjonsflyt og deling, deretter evt. teknisk og kompetansemessig samarbeid rundt hendelseshåndtering Kartverket undersøker dette i samarbeid med NSM og NORCERT, forslag til tiltak kommer senere Felles øvelser Øvelse , brudd på informasjonssikkerhet Øvelse i 2014?

16 5.Sikre samfunnets evne til å forebygge, avdekke og etterforske datakriminalitet ND: Ingen egne tiltak?

17 6.Kontinuerlig innsats for bevisstgjøring og kompetanseheving Tiltak ND: Foredrag på teknologiforum fra ny seksjon for informasjonssikkerhet i DIFI Egen sesjon på teknologiforum om informasjonssikkerhet Utarbeide relevant veiledningsmateriale Felles risikoanalyser som grunnlag for både forebyggende sikkerhet og bevisstgjøring i ND Etablere permanent arbeidsgruppe innen informasjonssikkerhet med dimensjonerende aktører Mandat og forankring? Interne og felles opplæringstiltak koordinering basert på standarder og felles veiledninger For eksempel innen ISO 27000, ref. DIFIs tilbud

18 7.Høy kvalitet på nasjonal forskning og utvikling innen informasjons- og kommunikasjonssikkerhet ND: Ingen egne tiltak? Evt. vurdere samarbeid med Høyskolen i Gjøvik som har stor satsning på informasjonssikkerhet (et nasjonalt kompetansesenter for informasjonssikkerhet) og kompetanse på GIS Se på kritiske avhengigheter i verdikjeder og nettverk i Norge digitalt?

19 Ytterligere tiltak: Klargjøre NDs rolle innen krisestøtte og beredskap Oppdatere og operasjonalisere Sivilt beredskapssystem Egen beredskapsplan for ND Div beredskapstiltak, forebyggende og korrigerende Må regne med at uønskede hendelser vil skje, vektlegge hendelsehåndtering Dokumentasjon Felles risikoanalyse Felles sikkerhetspolicy Oppdatere generelle vilkår Organisering Klargjøre hvordan skal man følger opp partenes sikkerhetsarbeid Ref. pkt 7: Geodatakoordinator skal følge opp at partene foretar nødvendige vurderinger av informasjonssikkerhet Andre sikkerhetstiltak?

20 De første neste skritt Forslag til prioritert rekkefølge: Permanent arbeidsgruppe innen informasjonssikkerhet Risikoanalyse fra arbeidsgruppe Sikkerhetspolicy Fra arbeidsgruppe Øvelse Kompetansetiltak Kurs Veiledninger Beredskap: Felles kontaktpunkt, varslingsrutiner og lister Vurdere geodatacert