De tre sikkerhetsfaktorene. IT-sikkerhetsledelse og -krav. Hva er informasjonssikkerhet? Geir Ove Rosvold AITeL/HiST



Like dokumenter
Innhold 1. IT-SIKKERHETSLEDELSE OG -KRAV KVALITETSSYSTEM... 6

Sikkerhetsledelse et løpende og langsiktig arbeid. - Som ikke alltid gir raske resultater

Informasjonssikkerhetsstyring

1. Introduksjon til Informasjonssikkerhetsstyring

Internkontroll og informasjonssikkerhet lover og standarder

ISO Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen

Hva er et styringssystem?

Rettslige krav til styring av informasjonssikkerhet. Karin Kristiansen og Amund Eriksen

Om respondenten. U.off jf. offl. 15. Virksomhetens navn: Hvem svarer på undersøkelsen: Virksomhetsleder (direktør) Andre (angi rolle):

Erfaringer med innføring av styringssystemer

Velkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) Susanne Helland Flatøy Markedssjef Digital Kvalitet

1. Styringssystemet for informasjonssikkerhet

Informasjonssikkerhet. Øyvind Rekdal, 17. mars 2015

Slik kan du styrke sikkerhetskulturen med kommunikasjon

Risikoledelse i hverdagen mulig eller umulig? Linda Svendsrud Teamleder Rådgivning

Kvalitetshåndbok. Side 1 av 6

Informasjonssikkerhet En tilnærming

Strategi for Informasjonssikkerhet

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget /11

Erfaringer med innføring av styringssystemer

Guri Kjørven, ISO 9001:2015 LEDELSESSYSTEMER FOR KVALITET

Hvordan styre informasjonssikkerhet i et dynamisk trusselbilde? Tommy Molnes Security Manager Digital Sikkerhet AS

Forvaltningsrevisjon IKT sikkerhet og drift 2017

Krav til informasjonssikkerhet i nytt personvernregelverk

Det digitale trusselbildet Sårbarheter og tiltak

SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing. Informasjonssikkerhet og personvern Renate Thoreid

Måling av informasjonssikkerhet. Håkon Styri Seniorrådgiver Oslo,

Avmystifisere internkontroll/styringssystem - informasjonssikkerhet

Etablering av et ISMS Vi er i gang i SPK. Gunilla Fagerberg Grimsgaard

Opplæring i informasjonssikkerhet Fem egenutviklete elæringsmoduler

SIKRING i et helhetsperspektiv

Spesielt om personvern og krav til sikring av personopplysninger. Dag Wiese Schartum

SIKRING i et helhetsperspektiv

Internkontroll for informasjonssikkerhet en fleksibel tilnærming med høy nytteverdi

Sekretariat for informasjonssikkerhet i UHsektoren. Rolf Sture Normann

KF Brukerkonferanse 2013

Ledelsens gjennomgåelse Anne Grændsen Norsk akkreditering / Grændsen consulting

Kommunens Internkontroll

Informasjonssikkerhet i kommunene. Gaute Wangen, seniorrådgiver Seksjon for digital sikkerhet, NTNU

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001

Styring og ledelse. 10.nov 2018 Fylkeslege Anne-Sofie Syvertsen 1

Sikkerhetstenking i vannbransjen noen innledende bemerkninger

NS-EN Ledelsessystemer for kvalitet - NS-EN ISO 9001 for helseog omsorgstjenester

God sikkerhetsforvaltning forenkler tilsyn

HMS PLAN 2015 BERGEN VANN

Endelig kontrollrapport

Sikkerhetskultur. Helge Holtebekk Oslo T-banedrift AS

Handbok i informasjonstryggleik. Presentasjon Geir Håvard Ellingseter, dokumentsenteret

Fagkurs for kommuner Arbeid med informasjonssikkerhet i egen virksomhet (45 minutter)

Anbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet

Ledelsesforankring rettskrav, muligheter og utfordringer. Tommy Tranvik, Senter for rettsinformatikk. Sikkerhetsforum for UH-sektoren, 14. juni 2012.

Berit Sørset, Norsk Industri Guri Kjørven, Standard Norge NS-ISO LEDELSESSYSTEMER FOR ARBEIDSMILJØ KRAV OG VEILEDNING OM BRUK

1.4. Beskrivelse av kvalitetssystemet, HMS og IK-akva

STRATEGI FOR INFORMASJONSSIKKERHET FOR POLITIET

RiskManager fremtidens kvalitetssystem

Måling av informasjonssikkerhet ISO/IEC 27004:2016. Håkon Styri Seniorrådgiver Oslo,

Veiledningsmateriellet Internkontroll i praksis - informasjonssikkerhet. For toppleder Oppdatert:

Kommunikasjon med ledelsen hva kan Difi bidra med?

Informasjonssikkerhet i Nord-Trøndelag fylkeskommune

Mandat informasjonssikkerhet. Avdelingsdirektør Arne Lunde Uh-avdelingen KD

Styrende dokumenter og informasjonssikkerhet - erfaringer fra Hydro

Tilsyn - samfunnets risikostyring

Personvern i skyen Medlemsmøte i Cloud Security Alliance

November Internkontroll og styringssystem i praksis - Aleksander Hausmann

Måling av informasjonssikkerhet i norske virksomheter

Internkontroll i praksis Informasjonssikkerhet: Måling, evaluering og revisjon. Workshop Måling av informasjonssikkerhet

NTNU Retningslinje for arbeid med sikkerhetskultur og opplæring innen informasjonssikkerhet

Avito Bridging the gap

Helhetlig arbeid med informasjonssikkerhet. Remi Longva

Fylkesberedskapsrådet i Hordaland Styring og kontroll - informasjonssikkerhet. Øyvind Grinde Seksjonssjef for informasjonssikkerhet 18.

Akkrediteringsdag 2018

Tiltaksplan for oppfølging av revisjonsrapport om systemforvaltning i Pasientreiser ANS

Internkontroll i praksis (styringssystem/isms)

Hva er vitsen med sikkerhetspolicies?

Styringssystem for informasjonssikkerhet et topplederansvar

RISIKOVURDERING. Jan Fosse Seksjonssjef Avdeling Sikkerhetsstyring NSM NASJONAL SIKKERHETSMYNDIGHET

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:

Spørsmål ved revisjon Informasjonssikkerhet kapittel 6

1-2. Virkeområde Forskriften gjelder for jernbanevirksomheter på det nasjonale jernbanenettet og for jernbanevirksomheter som driver tunnelbane.

Sikkert nok - Informasjonssikkerhet som strategi

Erfaringer fra NIRF`s kvalitetskontroll

IKT-sikkerhet og sårbarhet i Risør kommune

Kontrollrapport. Kontrollobjekt: Våler kommune Sted: Våler

Risikoanalysemetodikk

Etableringsplan. Internkontroll for informasjonssikkerhet og personvern

Gjennomføring av sikringsrisikoanalyser og iverksetting av tiltak

NOTAT SAMMENDRAG. Høringsuttalelse om nye forskrifter til ny sikkerhetslov. Nye forskrifter til lov om nasjonal sikkerhet (sikkerhetsloven) Åpen

HMS. HelgelandsKraft AS

Interne revisjoner et sentralt ledelsesverktøy i forbedringsarbeid. Erfaringer etter utføring av mere enn 200 HMS revisjoner

Standarder for risikostyring av informasjonssikkerhet

Introduksjon til - LEDELSE -

Security Awareness Næringsforeningen 24. Februar 2015 Jens Kristian Roland Ernst Kristian Henningsen

Sykehuset Telemark HF Fertilitetsklinikken Sør

Ledelse og kvalitetsforbedring. Forskrift om ledelse og kvalitetsforbedring i helse- og omsorgssektoren

GDPR ny personvernforordning. Styring via godt arbeid med informasjonssikkerhet

Økonomisk internkontroll

GDPR - Personvern

Databehandleravtale etter personopplysningsloven

Transkript:

IT-sikkerhetsledelse og -krav Geir Ove Rosvold AITeL/HiST Hva er informasjonssikkerhet? "Tiltak iverksatt for å sikre at informasjon ikke er tilgjengelig uten autorisasjon (konfidensialitet), at informasjon ikke uautorisert endres eller ødelegges (integritet), og at informasjon er tilstede og anvendelig for medarbeidere slik at pålagte oppgaver kan utføres (tilgjengelighet)." Datatilsynets definisjon De tre sikkerhetsfaktorene Konfidensialitet: Beskyttelse mot at uvedkommende får tilgang til informasjon Integritet: Beskyttelse mot utilsiktet eller uautorisert endring av informasjon Tilgjengelighet: Beskyttelse mot hendelser som gjør at informasjon ikke er tilstede og anvendelig for de som trenger den til enhver tid 1

Konsekvenser av uønskede hendelser Tjenester og leveranser kan settes ut av drift (nedetid og tapt omsetning) Informasjon kan gå tapt eller bli misbrukt Det kan oppstå feil i datagrunnlaget Identiteter kan bli misbrukt Mediaoppslag og tap av kundekontrakter (ødelagt image og tapte muligheter i markedet) Etterforskning + nye tiltak uansett: Det genererer kostnader!! Kostnader (eksempel) Datatrøbbel koster milliarder Nettavisen 17. mar 2002 10:08 Ansatte i større norske bedrifter bruker tre timer i uken på egne eller andres datatrøbbel. Totalt koster problemene 33,6 milliarder per år. 136 timer i året Ifølge undersøkelsen brukte hver ansatt i fjor 136 timer i året, eller bortimot tre timer i uken, på egne og andres dataproblemer. Dette koster norske bedrifter til sammen 33,6 milliarder kroner, skriver Aftenposten, ifølge NTB. 800 intervjuet En norsk bedrift med 200 ansatte bruker hele 6,4 millioner kroner i året på dataproblemer, viser undersøkelsen. Fra dagspressen 1 Eksansatte hacker for hevn Utgjør stor sikkerhetsrisiko tor 5. jul 2001 kl. 11:15 De mange oppsigelsene i IT-bransjen har forårsaket en bølge av dataforbrytelser. I ren frustrasjon hevner eksansatte seg ved å angripe sine tidligere arbeidsgiveres datasystemer. Eksansatte som trenger inn i datasystemer for å hevne seg er et økende problem, hevder FBI. 2

Fra dagspressen 2 Hackere har blitt stort problem 06. apr 2001 14:09 Hackere brøt seg inn i og tok kontrollen I hele 155 datasystemer hos 32 føderale enheter i USA. Datainnbrudd har blitt en farsott, og USA lekker hemmeligstemplet informasjon. Fra dagspressen 3 I alt blev 2675 såkaldte 'hosts' undersøgt hos 47 forskellige kunder over en periode på tre måneder. Og i stort set samtlige tilfælde var sikkerheden så ringe, at direktør Henrik Pedersen fra Cautela måtte rive sig i håret. - Vores scanninger viser helt klart, at de danske firmaer ikke tager deres IT-sikkerhed ret alvorligt, siger han. 25.10.2001 Fra dagspressen 4 Ett av tre selskaper hacket Av Einar Ryvarden Publisert 04.04.2001 12:18 Oslo (04.04.2001) - Hackerne er mange og de er flinke, hevder en fersk engelsk undersøkelse som omfatter 2.000 IT-sjefer. Hacking og IT-innbrudd er vanskelige å måle. I tillegg offentliggjør ikke alle at de har blitt rammet i frykt av dårlig PR, eller at bekymrede partnere og kunder skal ringe. 3

Fra dagspressen 5 Slaskete sikkerhet og muldvarper truer e-biz Av Per Chr. Klingenberg Stokke Publisert 31.10.2001 09:42 To av tre e-handelsbedrifter slurver med sikkerheten sin, ifølge en ny rapport. Svært få gjennomfører sikkerhetstiltak på systemer eller rutiner. Opplysningene fremkommer i en pressemelding skrevet av det oppdragsfinansierte nyhetsbyrået Newswire. Meldingen er skrevet på oppdrag fra konsulentselskapet KPMG, som har snakket med 1.200 toppledere over hele verden. - Det er et klart paradoks at bedriftene på den ene siden definerer god sikkerhet som et viktig konkurransefortrinn, og samtidig lar være å utbedre sikkerheten, sier Elisabeth G. Myhre, sjef for informasjons-risikostyring i KPMG. Hun mener norske ledere og bedrifter er ekstremt naive når det kommer til sikkerhetsspørsmål, og ikke er bevisst den informasjonen de faktisk forvalter. - Ledere har en lei tendens til å gi IT-sjefen blankofullmakter til å håndtere ITsystemet slik denne vil, uten at de har gjort de nødvendige risikoanalysene av hva som må sikres, sier Myhre. Styringssystem for informasjonssikkerhet Krav til at det skal finnes en sikkerhetsorganisering med pålagt ansvar, risikovurderinger, logging, loggrutiner og avvikshåndtering er nå blitt så sentrale elementer i lovpålagte forskrifter at det må vies spesiell oppmerksomhet. Innføring av ISMS ISMS (Information Security Management System) eller Styringssystem for informasjonssikring på norsk. For å bygge opp et ISMS vurderer man hvilke behov bedriften har for å beskytte sine informasjonsressurser. Dette er grunnlaget for å velge de prinsipper, retningslinjer, prosedyrer, standarder etc. som er nødvendige for at bedriften kan være sikker på at informasjonens integritet, konfidensialitet og tilgjengelighet bevares. Vi ser ulike sikkerhetshensyn i sammenheng med hverandre og i forhold til resten av virksomheten, og vi må forstå hva som kreves av et styringssystem for informasjonssikring. I praksis gjennomfører vi da det som kalles sikkerhetsledelse. Omfang og innhold av sikkerhetsledelse kan være vesensforskjellig i forskjellige bedrifter fordi behovet er vesensforskjellig. Det er bedriftens konkrete situasjon som avgjør. 4

Grunnprinsipp: Kontinuerlig forbedring Arbeidet må gå kontinuerlig, vi blir aldri ferdige Det vi gjør, må baseres på fakta som vi skaffer oss gjennom målinger og evaluering Arbeidet starter med at vi velger ut og planlegger tiltak for forbedring Disse tiltakene gjennomfører vi Så måler vi hvordan det gikk og hvordan effekten var Basert på dette, vurderer vi om forbedringene var riktige og skal fortsette, eller om det må gjøres nye forbedringer Basert på det vi nå har lært, identifiserer og planlegger vi nye tiltak Dette fremstilles ofte som Demings sirkel: Demings sirkel Iverksette vedlikehold og forbedringer Iverksette Planlegge Planlegge sikringstiltak Følge opp Følge opp hvor godt sikringstiltakene fungerer Utføre Utføre de planlagte sikringstiltak Det viktige poenget: Arbeidet går kontinuerlig. Vi måler og vi planlegger det vi skal gjøre. Så gjør vi det. Identifikasjon av forbedringsbehov Gjennomfør korrigerende tiltak Læring av uønskede hendelser Iverksette Planlegge Forankring Mål for sikkerhetsarbeidet Overordnet sikkerhetspolitikk Gap-analyse Risikoanalyse Velg tiltak for å håndtere risiko Følge opp Revisjoner Måling Oppfølging og evaluering Trend analyser Benchmarking Sikring av bevis Utføre Opplæring, motivasjon, informasjon Sikkerhetskultur, etikk Detaljert sikkerhetspolitikk Prosedyrer og retningslinjer Sertifisering av produkter og systemer 5

Gapanalyse Essensen så langt Arbeidet med informasjonssikkerheten i bedriften bør følge prinsippet om kontinuerlig forbedring. I standardene BS 7799 og NS-ISO/IEC 17799 anbefales det at bedriftens arbeid med sikkerhet styres etter prinsippene fra Demings sirkel for å oppnå kontinuerlig forbedring. En plan for arbeidet Egen del for å fokusere særskilt på forankring Gjennomfør kulturprogram Oppstart Planlegg Evaluer Gjennomfør teknisk program Kontinuerlig forbedring 6

Et ISMS vil ha både en formell del og en uformell del. Hvis det ikke er samsvar mellom disse to vil vi aldri lykkes med sikkerhetsarbeidet i bedriften. En plan for arbeidet Gjennomfør kulturprogram Fokus på den uformelle delen av sikkerhetssystemet. Den vi finner i folks holdninger og bedriftskulturen. Oppstart Planlegg Evaluer Gjennomfør teknisk program Få på plass alle krav, retningslinjer og prosedyrer som skal gjelde. Kontinuerlig forbedring En plan for arbeidet Hver aktivitet er nærmere beskrevet i leksjonen. Legg spesielt merke til: 1. Forankring i ledelsen: Ledelsen formulerer mål og strategi for arbeidet og en overordnet sikkerhetspolitikk for firmaet. Hensikten er å fortelle hva ledelsen forventer av sikkerhetsarbeidet i bedriften og hva ISMS skal gi av resultater. Dette skal også gi klart utrykk for hvilke holdninger de ansatte forventes å ha til sikkerhet. 2. For at et sikkerhetsarbeid skal bli vellykket må hele organisasjonen stå bak. Hensikten med kulturprogrammet er å skaffe slik støtte. Her jobber vi med folks holdninger og kompetanse, og gjøre alle delaktige i arbeidet. 3. For gjennomføring av teknisk program vil standarden NS- ISO/IEC 17799 være til uvurderlig hjelp. Kvalitetssystem Et kvalitetssystem er samlingen av de elementene som ledelsen innfører i bedriften for å kunne styre den. Kvalitetssystemet omfatter hele bedriften og all virksomhet i bedriften. Dermed også bedriftens retningslinjer og holdninger når det gjelder informasjonssikkerhet. ISMS er en del av bedriftens kvalitetssystem. Kvalitetssystemer kan være mer eller mindre formell og veldokumentert (avhengig av bedriftens behov) 7

Totalt kvalitetssystem Det totale kvalitetssystemet består av tre deler: 1. Det dokumenterte system (håndbøker, stillingsinstruksjoner osv) 2. Det formaliserte system. Dette er det dokumenterte system + alt som er formalisert i bedriftens behandling av ulike styringsspørsmål, selv om det ikke er dokumentert. (Ledermøter, medarbeidersamtaler osv). 3. Det uformelle system. Her finner vi normer, ritualer, holdninger og regler for adferd som ikke lar seg dokumentere i form av prosedyrer og instrukser. Standarder for kvalitetssystemet og for ISMS gjelder for det dokumenterte systemet. Oppsummering Kvalitetssystemet omfatter hele bedriften og all virksomhet i bedriften. Det omfatter dermed også bedriftens retningslinjer og holdninger når det gjelder informasjonssikkerhet. De overordnede prinsippene som gjelder for kvalitetssystemer, og som vi blant annet finner i ISO 9000:2000-serien, vil også være overordnede prinsipper når vi skal etablere et ISMS i en bedrift. Et ISMS kan også være mer eller mindre formelt, på samme måte som kvalitetssystemet. Hvor formelt og veldokumentert vårt ISMS må være, vil - som for kvalitetssystemet - avhenge av bedriftens behov. Det er viktig å være oppmerksom på at ISMS har både en formell og en uformell del, og at bare deler av den formelle kan finnes igjen i dokumentene. Hvis vi vil lykkes med sikkerhetsarbeidet, må vi sørge for at det er samsvar mellom alle delene av ISMS. Det hjelper ikke om vi har verdens beste system på papiret, hvis ingen i bedriften gjør det etter boka. Kilder: Greta Hjertø: Leksjoner og foredrag om kvalitet i programvare og informasjonsforvaltning Tomas M. Huseby: Foredrag på AITeL 13. februar 2003. De fleste foiler er hentet fra disse to kilder. Vær så snill å ikke bruk stoffet i andre sammenhenger uten avtale med forfattere. 8

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding