Helhetlig arbeid med informasjonssikkerhet Remi Longva 2019-02-13
Vårt utgangspunkt
Informasjonssikkerhet å sikre at informasjon i alle former ikke blir kjent for uvedkommende (konfidensialitet) ikke blir endret utilsiktet eller av uvedkommende (integritet) er tilgjengelig ved behov (tilgjengelighet) å sikre informasjonssystemene som behandler informasjon inkludert IKT-systemer IKT-tjenester IKT-komponenter
Informasjonssystem IKT Mennesker Prosesser Teknologi
Potensielle konsekvenser? Vår egen jobb feil beslutninger brudd på rettssikkerhet feil i øk. transaksjoner ikke korrekt og forsvarlig saksbehandling økonomiske tap ineffektivt arbeid tapt arbeidstid Personer og virksomheter tap av anseelse, integritet og rettigheter økonomiske tap ødelagte muligheter, arbeidsforhold, livssituasjon og eksistensgrunnlag forretningshemmeligheter nasjonale sikkerhetsinteresser liv og helse ikke korrekt og forsvarlig saksbehandling
Brukere Kunder Samfunn Mål og resultater Oppgaver og funksjoner Info-system Tredjeparter IT-komponent
Kilder Konsekvenskategorier Tjenestenivå Uaktsomhet Sikkerhetsbrudd Personvern HMS (liv og helse) Vår økonomi
Styring og kontroll Kilde: tilsiktede handlinger Konsekvenser for Nasjonale sikkerhetsinteresser (NSI) eforv 15 Offentlig Pol + Pvf Sektorregelverk S-loven Privat Informasjonstype: personopplysninger Konsekvenser for fysiske personers rettigheter og friheter Informasjonstype: sektorspesifikk
«Styringstiltak» Vurdering av risiko Håndtering av risiko «Sikkerhetsstiltak»
«Styringstiltak» ISO/IEC 27001 (kap. 4 til 10) Tiltaksbanker «Sikkerhetsstiltak» ISO/IEC 27002 = 27001 Annex A NIST SP 800-53 NSMs grunnprinsipper for IKTsikkerhet Normen kap. 5
Internkontroll i praksis - informasjonssikkerhet NSMs grunnprinsipper for IKT-sikkerhet
1 Analysere status Planlegge etablering/forbedring Gjennomføre andre etableringsaktiviteter Systematiske aktiviteter 2 Eks: Sikkerhetstiltak Tilgangskontroll Retningslinje for fysisk sikkerhet Sikkerhetskopiering og gjenoppretting Instrukser og rutiner for ansatte Avtaler med leverandører Overvåking av nettverk 3
Internkontrollområder (eksempler)
Helhetlig internkontroll Felleselementer Omfang av integrering må tilpasses virksomheten
Sikkerhetsloven
Kilder Konsekvenskategorier Tjenestenivå Uaktsomhet Sikkerhetsbrudd Personvern HMS (liv og helse) Vår økonomi GNF NSI
Kilder Konsekvenskategorier Tjenestenivå Uaktsomhet Sikkerhetsbrudd Personvern HMS (liv og helse) Vår økonomi GNF NSI Obs: konseptuell forståelse. Det er f.eks. krav om å sikre at informasjonssystem fungerer slik de skal i sl 6-2 a.
Hva skal sikres? Skjermingsverdig informasjon ( 5-1) dersom brudd på K-I-T kan skade NSI sikkerhetsgradert informasjon ( 5-3) dersom brudd på K kan skade NSI Skjermingsverdige informasjonssystemer ( 6-1) dersom systemet behandler skjermingsverdig informasjon dersom systemet har avgjørende betydning for GNF Skjermingsverdige objekter og infrastruktur ( 7-1) dersom det kan skade GNF om de får redusert funksjonalitet eller blir utsatt for skadeverk, ødeleggelse eller rettsstridig overtakelse
Virksomhetskontinuitet Funksjon Påkjenning Skade Funksjoner er avhengige av informasjonsbehandling og bruk av IKT
Virksomhetsikkerhetsforskriften Styring og kontroll Vurdering av behov Generelle krav og prinsipper Forsvarlig sikkerhetsnivå Minimumskrav til sikkerhetstiltak
Systematiske aktiviteter for styring og kontroll Sikkerhetstiltak iht. behov Informasjonsbehandling De samme aktivitetene for god styring og kontroll Pluss: Ivareta særkrav i regelverket Sikkerhetstiltak iht. forskrift Ytterligere sikkerhetstiltak for å oppnå forsvarlig sikkerhetsnivå S-loven
Alt henger sammen med alt
Difis veiledning om styring og kontroll
Hvordan arbeide med informasjonssikkerhet? En god toppleder styrer gjennom et system Difis veiledning for styring og kontroll med informasjonssikkerhet
Hvorfor bruke Difis veiledning? Formålseffektivt Kostnadseffektivt Systematisk tilnærming
Internkontroll i praksis - informasjonssikkerhet
sl 4-1 vsf 3 vsf 4 vsf 6 vsf 9.3 vsf 10 sl 4-2 vsf 12 sl 4-3 vsf 13 vsf 14 vsf 15 vsf 22 vsf 49 sl 4-5 sl 6-4 vsf 8 vsf 6.3 vsf 9.1 vsf 7 sl 4-4 vsf 11
Ting å se på Ledelsens styring og oppfølging Særskilt oppmerksomhet om sikkerhetslovens område i virksomhetsledelsens gjennomgang Risikovurdering Grundigere kartlegging av arbeidsoppgaver, informasjonstyper og IKT-systemer hvor sikkerhetsloven er relevant Valg av metoder eller støttemetoder for vurdering av risiko Risikohåndtering Definere et eget sett med sikkerhetstiltak (sikkerhetsnivå) for enkelte oppgaver og IKT-systemer
Ting å se på Overvåking og hendelseshåndtering Evne til å oppdage sikkerhetstruende virksomhet og sikkerhetsbrudd tilknyttet skjermingsverdige verdier Hurtig reaksjon og iverksetting av beredskapstiltak Varsling til sikkerhetsmyndigheten o.a. Måling, evaluering og revisjon Påse at evaluering gjennomføres iht. kravene Legge til rette for tilsyn og sørge for oppfølging av tilsyn
Ting å se på Kompetanse- og kulturutvikling Enkelte roller vil ha behov for spesiell kompetanse Kommunikasjon Dokumentere etterlevelse av sikkerhetsloven m/forskrifter Rutiner for ekstern kommunikasjon må ivareta regelverkets krav til bl.a. rapportering av avhengigheter og hendelser
Difis veileder er oppdatert Ny versjon 1.4 lansert 11. februar Alle henvisninger til sikkerhetsloven oppdatert https://www.difi.no/nyhet/2019/02/ny-versjon-avveileder-med-tilpasninger-til-ny-sikkerhetslov
Lykke til internkontroll-infosikkerhet.difi.no infosikkerhet.difi.no
Spørsmål? infosikkerhet@difi.no NSM er fagmyndighet og gir veiledning til sikkerhetsloven m/forskrifter