Oversikt Remi Longva 2018-09-12
as we know, there are known knowns; there are things we know we know. We also know there are known unknowns; that is to say we know there are some things we do not know. But there are also unknown unknowns the ones we don't know we don't know. United States Secretary of Defense, Donald Rumsfeld, 2002
Verizon 2009 Data Breach Investigations Report
Konsekvenser?
Innbyggere - Virksomheter - Samfunn Mål og resultater Oppgaver og funksjoner Info-system ITkomponent
Innbyggere - Virksomheter - Samfunn Mål og resultater Oppgaver og funksjoner Tredjeparter Info-system ITkomponent
Potensielle konsekvenser Vår egen jobb feil beslutninger brudd på rettssikkerhet feil i øk. transaksjoner ikke korrekt og forsvarlig saksbehandling økonomiske tap ineffektivt arbeid tapt arbeidstid Personer og virksomheter tap av anseelse, integritet og rettigheter økonomiske tap ødelagte muligheter, arbeidsforhold, livssituasjon og eksistensgrunnlag bedriftshemmeligheter rikets sikkerhet liv og helse ikke korrekt og forsvarlig saksbehandling
Mål og resultater Være effektive Etterleve lover og regler Informasjonsbehandling Informasjonssikkerhet
1 Analysere status Planlegge etablering/forbedring Gjennomføre andre etableringsaktiviteter Gjennomføre aktivitetene systematisk 2 Internkontrollaktiviteter
1 Analysere status Planlegge etablering/forbedring Gjennomføre andre etableringsaktiviteter Gjennomføre aktivitetene systematisk 2 Internkontrollaktiviteter Sikkerhetstiltak Tilleggssikring Fellessikring Instrukser og rutiner Avtaler Retningslinje for fysisk sikkerhet Tilgangsstyring IT-systemer Sikkerhetskopiering og gjenoppretting Osv. 3
Internkontroll i praksis - informasjonssikkerhet NSMs grunnprinsipper for IKT-sikkerhet
Internkontroll i praksis - informasjonssikkerhet
Risikovurdering - «Hjertet» i internkontrollen
Formålet med risikovurdering Identifisere risikoer som må håndteres Kommunisere risiko Danner grunnlag for beslutninger
Utfordringer Bruke tid og ressurser riktig Ha tilstrekkelig oversikt over helheten Gå i dybden ved behov
Ansvar Risikoeiere (ledere) for egne ansvarsområder Systemeiere fellessystem på vegne av flere risikoeiere risikoeiere må involveres
Risikoeiere Arbeidsoppgave A System A Tiltaksleverandører Arbeidsoppgave B System B Arbeidsoppgave C Fellessystem 1 Fellessystem 2 Systemeiere fellessystem
Risikovurderingsaktiviteten - 2 deler Få/holde oversikt og prioritere Planlegge og gjennomføre risikovurdering
Få oversikt og prioritere Foranalyse Gruppere og dele opp Vurdere behov for risikovurderinger Holde oversikt over risikovurderinger Oppdatere
Arbeidsoppgaver
Informasjonsbehandling
Foranalyse (1) Risikoeiere Identifisere hvilke arbeidsoppgaver som utføres For hver arbeidsoppgave identifisere formål/mål med oppgaven hvilke typer informasjon behandles (overordnet) taushetsplikt/u.off.? personoppl.? Særlige kategorier personoppl.? spesielt obs. mht. konfidensialitet, integritet, tilgjengelighet hvilke IKT-system og tjenester benyttes i arbeidsoppgavene hvilke lover, regler, avtaler inneholder relevante krav
Felles behov tverrfaglig jobb Foranalyse del 1 Informasjonssikkerhet Personvern Informasjonsforvaltning Virksomhetsarkitektur Arkiv Andre? Videre arbeid Difis veileder beskriver videre arbeid på informasjonssikkerhetsområdet Andre fagområder kan jobbe videre iht. sine behov
Foranalyse (2) Risikoeiere Finne høyeste konsekvensnivå på arbeidsoppgavene som utføres og systemene som benyttes ved brudd på konfidensialitet, integritet eller tilgjengelighet Informasjonen som behandles og målet med oppgavene er vurderingsgrunnlaget (jf. kartleggingen foran) En forenklet variant av verdivurdering og klassifisering
Foranalyse (2) Systemeiere fellessystem Finne høyeste konsekvensnivå for sine fellessystem ved brudd på konfidensialitet, integritet eller tilgjengelighet Vurderingene fra Risikoeierne er viktig grunnlag
Foranalysen gir grunnlag for Gruppere og dele opp Vurdere behov for risikovurderinger Rekkefølgen her kan være litt frem og tilbake Formålet er å prioritere og effektivisere arbeidet med «tradisjonelle» risikovurderinger
Få oversikt og prioritere HVA OPPNÅR VI?
Primært Gir oversikt over eget ansvarsområde Gir systematikk i gruppering og prioritering av hva som bør gjennom en ny/oppdatert risikovurdering og hva vi har tilstrekkelig kontroll på Får hovedfokus på arbeidsoppgavene som utføres herunder tjenester/funksjoner enklere å få til helhetlig risikostyring i virksomheten Synliggjør særskilte behov for konfidensialitet, integritet og tilgjengelighet i arbeidsoppgavene i systemene/tjenestene som benyttes i arbeidsoppgavene
Andre fordeler Man får større interesse fra risikoeierne Det handler om deres arbeidsoppgaver og måloppnåelse Man blir mer risikobasert i valg av sikkerhetstiltak Sikkerheten i fellessystem baseres på risikoeiernes behov
Man må ikke «verdivurdere» hver enkel informasjonstype Man støtter seg kun på en enkel identifisering og behovsvurdering rundt disse Man unngår å grave seg ned i detaljer og kanskje aldri bli ferdig men identifiserer områder der det er behov for å gå dypere
Positive sideeffekter Resultatet fra kartleggingen gir et grunnlag for helhetlig styring og kontroll på informasjonssikkerhetsområdet bedre etterlevelse av sikkerhetsloven bedre etterlevelse av personvernregelverket (utover informasjonssikkerhet) muligheter for datadeling (iht. krav i Digitaliseringsrundskrivet) prosessforbedringer i den enkelte enhet samordning av prosesser på tvers i virksomheten etc
Skytjenester
Tradisjonell tjenesteutsetting Behov + krav Løsning Revisjon
Skytjenester Behov + krav Selv vurdere om tjenestene dekker behovene Selv ansvar for å konfigurere og tilpasse tjenestene Sette deg inn i tilgjengelig dokumentasjon og rapporter, og vurdere om du har tilstrekkelig tillit til sikkerheten hos leverandøren Tjenestebeskrivelser Sertifiseringer Attestasjonsrapport fra tredjepart
Difis veiledningsmateriell Beskrivelse av aktiviteten Praktisk støtte med maler og veiledning Eksempler på arbeidsoppgaver og informasjonstyper Jf. NIST 800-60 vol. II (Obs: eksemplene er ikke oppdatert iht. v1.3 av veiledningen) https://internkontroll-infosikkerhet.difi.no/