Helhetlig arbeid med informasjonssikkerhet. Remi Longva

Like dokumenter
Fylkesberedskapsrådet i Hordaland Styring og kontroll - informasjonssikkerhet. Øyvind Grinde Seksjonssjef for informasjonssikkerhet 18.

Raskere digitalisering med god sikkerhet. Evry

Oversikt. Remi Longva

Informasjonssikkerhet og anskaffelser. Svanhild Gundersen Seniorrådgiver Seksjon for informasjonssikkerhet

Kommunikasjon med ledelsen hva kan Difi bidra med?

Veiledningsmateriellet Internkontroll i praksis - informasjonssikkerhet. For toppleder Oppdatert:

Internkontroll i praksis Informasjonssikkerhet: Måling, evaluering og revisjon. Workshop Måling av informasjonssikkerhet

Risikovurdering - sett fra ISO og informasjonssikkerhet

Spørreundersøkelse om informasjonssikkerhet

Få oversikt og prioritere - et felles grunnlag for flere fagområder. Øyvind Grinde Seksjonssjef informasjonssikkerhet og datadeling

Veileder for virksomheters håndtering av uønskede hendelser. Versjon: 1

CYBERSIKKERHET PÅ STYREROMMET HVILKE LOVVERK MÅ LEDELSEN FORHOLDE SEG TIL?

Ny sikkerhetslov og forskrifter

Internkontroll i praksis (styringssystem/isms)

Ny sikkerhetslov og betydningen for sikring i offentlig sektor og det private. Christer Veen Tjessem Seniorrådgiver Oslo, 10.

Om respondenten. U.off jf. offl. 15. Virksomhetens navn: Hvem svarer på undersøkelsen: Virksomhetsleder (direktør) Andre (angi rolle):

HVILKE RISIKOER LØPER VI NÅR ALLE DATAENE VÅRE ER I NETTSKYEN?

Sikkert nok - Informasjonssikkerhet som strategi

Internkontroll og informasjonssikkerhet lover og standarder

Difis veiledningsmateriell, ISO og Normen

Styringssystem i et rettslig perspektiv

Sikkerhetsloven. Mobil Agenda Alexander Iversen Sjefingeniør, Sikkerhetsavdelingen

Internkontroll/styringssystem i praksis informasjonssikkerhet. Andreas Grefsrud, seniorrådgiver seksjon for informasjonssikkerhet

Avmystifisere internkontroll/styringssystem - informasjonssikkerhet

NIFS 16. desember 2015

Undersøkelse om informasjonssikkerhet i Nasjonale felleskomponenter Spørreskjema Vedlegg til Difi-notat 2017:4

Etableringsplan. Internkontroll for informasjonssikkerhet og personvern

Grunnleggende begreper Målgruppe: Fagansvarlig informasjonssikkerhet og virksomhetsledelsen

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001

Direktoratet for forvaltning og ikt Besøksadresse Oslo: Besøksadresse Leikanger: Postboks 1382 Vika Oslo

Orden i eget hus, dokumentasjonsplikter og dokumentasjonsstrategi er vi allerede på vei? Kjetil Korslien, Hege Tafjord Difi 15.

Grunnleggende innføring Målgruppe: Fagansvarlig informasjonssikkerhet og virksomhetsledelsen

Rettslige krav til styring av informasjonssikkerhet. Karin Kristiansen og Amund Eriksen

Risikobasert etterlevelse av pvf

Risikobasert arbeid med personvern

Strategi for Informasjonssikkerhet

Lov om forebyggende sikkerhetstjeneste (sikkerhetsloven) Lov av i kraft

Hva er et styringssystem?

Krav til informasjonssikkerhet i nytt personvernregelverk

Informasjonssikkerhet i kommunene. Gaute Wangen, seniorrådgiver Seksjon for digital sikkerhet, NTNU

Informasjonssikkerhet er et lederansvar. Topplederen er øverste ansvarlig for at virksomheten har et velfungerende system for

Retningslinje for risikostyring for informasjonssikkerhet

OVERSIKT SIKKERHETSARBEIDET I UDI

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015

Risikovurdering for folk og ledere Normkonferansen 2018

INTERNKONTROLL INFORMASJONSSIKKERHET, GDPR OG INFORMASJONSFORVALTNING I NVE

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:

Kapittel 1 Hva er datasikkerhet? Dagens situasjon Datasikkerhet Ledelse... 27

Fagdag sikring Ny sikkerhetslov og arbeidet med nye forskrifter. Svein Anders Eriksson Leder for sikring og standardisering Ptil

Mandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011

Informasjonssikkerhet og internkontroll. DRI1010 forelesning Jon Berge Holden

Presentasjon sikkerhetsforum Avdelingsdirektør Arne Lunde Uh-avdelingen KD

Personvernerklæring. 3) være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for («dataminimering»)

NOTAT SAMMENDRAG. Høringsuttalelse om nye forskrifter til ny sikkerhetslov. Nye forskrifter til lov om nasjonal sikkerhet (sikkerhetsloven) Åpen

Veileder i personvern og informasjonssikkehet for helse- og sosialtjenester i kommuner Hva er det og trenger vi det?

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget /11

Referansearkitektur sikkerhet

Sikkerhetstiltak utforming av internkontrolltiltak på informasjonssikkerhetsområdet

Anbefalte delaktiviteter og dokumentasjon Støttedokument

Direktiv Krav til sikkerhetsstyring i Forsvaret

Anbefalte delaktiviteter og dokumentasjon

Har du kontroll på verdiene dine

3.1 Prosedyremal. Omfang

Aggregering av risiko - behov og utfordringer i risikostyringen

GDPR I DEN NORSKE OPERA & BALLETT. Spekter, 13. desember 2017

Øyvind Grinde, seksjonssjef

Veileder i fysisk sikkerhet. Versjon: 1

Konkurranse om minibusstjenester. Vedlegg 8. Databehandleravtale

Overordnet IT beredskapsplan

Motiv: Oslofjorden Foto: Vann- og avløpsetaten. Informasjon om sikkerhetsgraderte anskaffelser

Anbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet

Angrepet mot Helse Sør-Øst. Norsk sykehus- og helsetjenesteforening

SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing. Informasjonssikkerhet og personvern Renate Thoreid

Personvern i EPD-Norge

Nasjonal sikkerhetsmyndighet

Objektsikkerhet endringer i sikkerhetsloven

Spørsmål ved revisjon Informasjonssikkerhet kapittel 6

NTNU Retningslinje for fysisk sikring av IKTinfrastruktur

Risikoanalysemetodikk

Politikk for informasjonssikkerhet

1. Kort forklaring av felles risikovurderingsmetodikk Oppsummering av risikovurderingene... 2

Vedlegg 8 Databehandleravtalen. Bussanbud Stor-Trondheim

Erfaringer fra tilsyn. Helge Rager Furuseth Nasjonal sikkerhetsmyndighet

Internkontroll for arkiv den nye arkivplanen?

Policy for Antihvitvask

Personvern - sjekkliste for databehandleravtale

RHF og HF omfattes av sikkerhetsloven

Rapporteringsskjema for kryptoinstallasjon

ISO Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen

Samarbeid og koordinering på informasjonssikkerhetsområdet i nasjonale felleskomponenter

Innherred samkommune. Levanger kommunes tiltak til kravene i Personopplysningsloven. Orientering ved Personvernombudet. 1www.innherred-samkommune.

Beskrivelse av informasjonssystemet

E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)

Standarder for risikostyring av informasjonssikkerhet

Nasjonal sikkerhetsmyndighet

Brudd på personopplysningssikkerheten

Bilag 14 Databehandleravtale

Evalueringsskjema. Foretakets nettbankvirksomhet. Foretakets navn : Dato: Underskrift : Dato: Versjon: 1.0

Hvordan styre informasjonssikkerhet i et dynamisk trusselbilde? Tommy Molnes Security Manager Digital Sikkerhet AS

Personvernerklæring i NOAH AS

Transkript:

Helhetlig arbeid med informasjonssikkerhet Remi Longva 2019-02-13

Vårt utgangspunkt

Informasjonssikkerhet å sikre at informasjon i alle former ikke blir kjent for uvedkommende (konfidensialitet) ikke blir endret utilsiktet eller av uvedkommende (integritet) er tilgjengelig ved behov (tilgjengelighet) å sikre informasjonssystemene som behandler informasjon inkludert IKT-systemer IKT-tjenester IKT-komponenter

Informasjonssystem IKT Mennesker Prosesser Teknologi

Potensielle konsekvenser? Vår egen jobb feil beslutninger brudd på rettssikkerhet feil i øk. transaksjoner ikke korrekt og forsvarlig saksbehandling økonomiske tap ineffektivt arbeid tapt arbeidstid Personer og virksomheter tap av anseelse, integritet og rettigheter økonomiske tap ødelagte muligheter, arbeidsforhold, livssituasjon og eksistensgrunnlag forretningshemmeligheter nasjonale sikkerhetsinteresser liv og helse ikke korrekt og forsvarlig saksbehandling

Brukere Kunder Samfunn Mål og resultater Oppgaver og funksjoner Info-system Tredjeparter IT-komponent

Kilder Konsekvenskategorier Tjenestenivå Uaktsomhet Sikkerhetsbrudd Personvern HMS (liv og helse) Vår økonomi

Styring og kontroll Kilde: tilsiktede handlinger Konsekvenser for Nasjonale sikkerhetsinteresser (NSI) eforv 15 Offentlig Pol + Pvf Sektorregelverk S-loven Privat Informasjonstype: personopplysninger Konsekvenser for fysiske personers rettigheter og friheter Informasjonstype: sektorspesifikk

«Styringstiltak» Vurdering av risiko Håndtering av risiko «Sikkerhetsstiltak»

«Styringstiltak» ISO/IEC 27001 (kap. 4 til 10) Tiltaksbanker «Sikkerhetsstiltak» ISO/IEC 27002 = 27001 Annex A NIST SP 800-53 NSMs grunnprinsipper for IKTsikkerhet Normen kap. 5

Internkontroll i praksis - informasjonssikkerhet NSMs grunnprinsipper for IKT-sikkerhet

1 Analysere status Planlegge etablering/forbedring Gjennomføre andre etableringsaktiviteter Systematiske aktiviteter 2 Eks: Sikkerhetstiltak Tilgangskontroll Retningslinje for fysisk sikkerhet Sikkerhetskopiering og gjenoppretting Instrukser og rutiner for ansatte Avtaler med leverandører Overvåking av nettverk 3

Internkontrollområder (eksempler)

Helhetlig internkontroll Felleselementer Omfang av integrering må tilpasses virksomheten

Sikkerhetsloven

Kilder Konsekvenskategorier Tjenestenivå Uaktsomhet Sikkerhetsbrudd Personvern HMS (liv og helse) Vår økonomi GNF NSI

Kilder Konsekvenskategorier Tjenestenivå Uaktsomhet Sikkerhetsbrudd Personvern HMS (liv og helse) Vår økonomi GNF NSI Obs: konseptuell forståelse. Det er f.eks. krav om å sikre at informasjonssystem fungerer slik de skal i sl 6-2 a.

Hva skal sikres? Skjermingsverdig informasjon ( 5-1) dersom brudd på K-I-T kan skade NSI sikkerhetsgradert informasjon ( 5-3) dersom brudd på K kan skade NSI Skjermingsverdige informasjonssystemer ( 6-1) dersom systemet behandler skjermingsverdig informasjon dersom systemet har avgjørende betydning for GNF Skjermingsverdige objekter og infrastruktur ( 7-1) dersom det kan skade GNF om de får redusert funksjonalitet eller blir utsatt for skadeverk, ødeleggelse eller rettsstridig overtakelse

Virksomhetskontinuitet Funksjon Påkjenning Skade Funksjoner er avhengige av informasjonsbehandling og bruk av IKT

Virksomhetsikkerhetsforskriften Styring og kontroll Vurdering av behov Generelle krav og prinsipper Forsvarlig sikkerhetsnivå Minimumskrav til sikkerhetstiltak

Systematiske aktiviteter for styring og kontroll Sikkerhetstiltak iht. behov Informasjonsbehandling De samme aktivitetene for god styring og kontroll Pluss: Ivareta særkrav i regelverket Sikkerhetstiltak iht. forskrift Ytterligere sikkerhetstiltak for å oppnå forsvarlig sikkerhetsnivå S-loven

Alt henger sammen med alt

Difis veiledning om styring og kontroll

Hvordan arbeide med informasjonssikkerhet? En god toppleder styrer gjennom et system Difis veiledning for styring og kontroll med informasjonssikkerhet

Hvorfor bruke Difis veiledning? Formålseffektivt Kostnadseffektivt Systematisk tilnærming

Internkontroll i praksis - informasjonssikkerhet

sl 4-1 vsf 3 vsf 4 vsf 6 vsf 9.3 vsf 10 sl 4-2 vsf 12 sl 4-3 vsf 13 vsf 14 vsf 15 vsf 22 vsf 49 sl 4-5 sl 6-4 vsf 8 vsf 6.3 vsf 9.1 vsf 7 sl 4-4 vsf 11

Ting å se på Ledelsens styring og oppfølging Særskilt oppmerksomhet om sikkerhetslovens område i virksomhetsledelsens gjennomgang Risikovurdering Grundigere kartlegging av arbeidsoppgaver, informasjonstyper og IKT-systemer hvor sikkerhetsloven er relevant Valg av metoder eller støttemetoder for vurdering av risiko Risikohåndtering Definere et eget sett med sikkerhetstiltak (sikkerhetsnivå) for enkelte oppgaver og IKT-systemer

Ting å se på Overvåking og hendelseshåndtering Evne til å oppdage sikkerhetstruende virksomhet og sikkerhetsbrudd tilknyttet skjermingsverdige verdier Hurtig reaksjon og iverksetting av beredskapstiltak Varsling til sikkerhetsmyndigheten o.a. Måling, evaluering og revisjon Påse at evaluering gjennomføres iht. kravene Legge til rette for tilsyn og sørge for oppfølging av tilsyn

Ting å se på Kompetanse- og kulturutvikling Enkelte roller vil ha behov for spesiell kompetanse Kommunikasjon Dokumentere etterlevelse av sikkerhetsloven m/forskrifter Rutiner for ekstern kommunikasjon må ivareta regelverkets krav til bl.a. rapportering av avhengigheter og hendelser

Difis veileder er oppdatert Ny versjon 1.4 lansert 11. februar Alle henvisninger til sikkerhetsloven oppdatert https://www.difi.no/nyhet/2019/02/ny-versjon-avveileder-med-tilpasninger-til-ny-sikkerhetslov

Lykke til internkontroll-infosikkerhet.difi.no infosikkerhet.difi.no

Spørsmål? infosikkerhet@difi.no NSM er fagmyndighet og gir veiledning til sikkerhetsloven m/forskrifter

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding