November 2018 Internkontroll og styringssystem i praksis - Aleksander Hausmann
Artikkel 24 - Den behandlingsansvarliges ansvar Idet det tas hensyn til behandlingens art, omfang, formål og sammenhengen den utføres i, samt risikoene av varierende sannsynlighets- og alvorlighetsgrad for fysiske personers rettigheter og friheter, skal den behandlingsansvarlige gjennomføre egnede tekniske og organisatoriske tiltak for å sikre og påvise at behandlingen utføres i samsvar med denne forordning. Nevnte tiltak skal gjennomgås på nytt og skal oppdateres ved behov.
Artikkel 32 punkt 1 - Sikkerhet ved behandlingen Ved personopplysningsbehandling (...) skal den behandlingsansvarlige og databehandleren gjennomføre egnede tekniske og organisatoriske tiltak for å oppnå et sikkerhetsnivå som er egnet med hensyn til risikoen, herunder blant annet, alt etter hva som er egnet, a) pseudonymisering og kryptering av personopplysninger, b) evne til å sikre vedvarende konfidensialitet, integritet, tilgjengelighet og robusthet i behandlingssystemene og -tjenestene, c) evne til å gjenopprette tilgjengeligheten og tilgangen til personopplysninger i rett tid dersom det oppstår en fysisk eller teknisk hendelse, d) en prosess for regelmessig testing, analysering og vurdering av hvor effektive behandlingens tekniske og organisatoriske sikkerhetstiltak er.
Information Security Management System (ISMS) - Styrende dokumenter ISO27001 setter krav til et minimum av styrende dokumenter som må etableres, de mest sentrale er: Policy/Strategi og mål Akseptabel bruk av informasjonsverdier Tilgangsstyringspolicy Leverandørstyringspolicy Operative prosedyrer for IT-ledelse Prinsipper for sikre systemer Hendelseshåndterings prosedyre Business continuity prosedyre Emne baserte policier Policy Hva ønsker vi å være? Kravene fra kontrollkatalogen Standarder Prosedyrer og retningslinjer Step by step descriptions Hvordan krav vil bli møtt (Prosess)
Implementering og forbedring av internkontrollsystem Få ledelsesstøtte Definer scope Scope Kartlegg informasjonsverdier Gjennomfør risikovurdering Lag SoA and RBP Utarbeid prosjektplan SoA & RBP Informasjonsverdiregitster ISMS operational artifacts Lag Develop Develop Develop Raporter Målinger Hendelser... Policy Måling og revisjon Emnebaserte policier Sikkerhetsstandarder Logger Prosedyrer og retningslinjer Endring av styringssystem
Verdikartlegging Hvilke informasjonsverdier har deres virksomhet? Hvilken informasjon er dere redd for at skal lekke ut? (Konfidensialitet) Hva må beskyttes for autorisert endring? (Integritet) Hva er virksomheten redd for at skal bli utilgjengelig? (Tilgjengelighet) 6
Implementering og forbedring av internkontrollsystem Få ledelsesstøtte Definer scope Scope Kartlegg informasjonsverdier Gjennomfør risikovurdering Lag SoA and RBP Utarbeid prosjektplan SoA & RBP Informasjonsverdiregitster ISMS operational artifacts Lag Develop Develop Develop Raporter Målinger Hendelser... Policy Måling og revisjon Emnebaserte policier Sikkerhetsstandarder Logger Prosedyrer og retningslinjer Endring av styringssystem
Risikovurderingmetodikk 1 2 3 4 Scoping / Verdikartlegging Risikoidentifisering (Trulser og farer) Sårbarhetsvurdering og konsekvensvurdering Risikoevaluering 5 Risikohåndtering (Tiltak og effekt)
Risiko, metodikk og definisjoner ISO31000:13: Virkningen av usikkerhet knyttet til mål Risiko karakteriseres ofte ved å refere til potensielle hendelser og konsekvenser eller en kombinasjon av disse Risiko uttrykkes ofte som en kombinasjon av konsekvensene av en hendelse og den tilhørende muligheten for at den skal forekomme Prof. Terje Aven (Store Norske Leksikon): opptreden av hendelser med påfølgende konsekvenser, og tilhørende usikkerhet (en vet ikke hvilke hendelser som vil skje og hva konsekvensene vil bli)
Risikoidentifisering - Environmental: Miljømessige hendelser 11
Risikoidentifisering - Accidental: Feilhandlinger og uhell Feilsendt informasjon (konfidensialitet) Feilaktig tilgjengeliggjort informasjon (konfidensialitet) Feil ved avhending av media med virksomhetskritisk informasjon (konfidensialitet) Manglende kapasitet (tilgjengelighet) Feilkonfigurering av system, device (tilgjengelighet) Svikt i støttesystemer som klimakontroll (tilgjengelighet) Gjenglemt eller mistet device med virksomhetskritisk informasjon (Konfidensialitet) Feilhandlinger av underleverandør med fjernaksess (integritet, tilgjengelighet) 12
Risikoidentifisering - Adversarial: Trusselvurdering Nation State Hacktivism INSIDER Cyber Terrorists Organised Crime 13
Risikoanalyse - Konsekvensvurdering
Risikovurdering - Konsekvensvurdering (GDPR)
Risikoanalyse - Sannsynlighetsvurdering Historikk Sårbarhet Forventet frekvens Trusler / Farer
Risikoevaluering - Sannsynlighet og konsekvens
Risikohåndtering - Tiltak / Kontroller
Hva kan skje hos dere? Hvilke risikoer står dere ovenfor? Hva vil konsekvensen være dersom risikoen skulle forekomme? Tap av konfidensialitet Tap av integritet Tap av tilgjengelighet 1 2 3 4 Scoping / Verdikartlegging Risikoidentifisering (Trulser og farer) Sårbarhetsvurdering og konsekvensvurdering Risikoevaluering 5 Risikohåndtering (Tiltak og effekt)
Statement of Applicability - SoA Kontraktuelle krav Regulatoriske krav Resultat av egen risikovurdering Forpliktelser gjennom NDA, kontrakter med kunder etc. Lovpålagte krav som IKT forskrift, GDPR, sikkerhetslov etc. Egen sikring av IP, tilgjengelighet til systemer iht SLA etc. Statement of Applicability SoA Utvalg av kontroller fra valgt kontrollkatalog.
Implementering og forbedring av internkontrollsystem Få ledelsesstøtte Definer scope Scope Kartlegg informasjonsverdier Gjennomfør risikovurdering Lag SoA and RBP Utarbeid prosjektplan SoA & RBP Informasjonsverdiregitster ISMS operational artifacts Lag Develop Develop Develop Raporter Målinger Hendelser... Policy Måling og revisjon Emnebaserte policier Sikkerhetsstandarder Logger Prosedyrer og retningslinjer Endring av styringssystem
Takk for oppmerksomheten! Aleksander Hausmann Manager PwC Aleksander.hausmann@gmail.com 99 51 47 96