Referansearkitektur sikkerhet



Like dokumenter
Sikkerhetsarkitektur i NAV

Helhetlig og sentralisert tilgangskontroll

HVILKE RISIKOER LØPER VI NÅR ALLE DATAENE VÅRE ER I NETTSKYEN?

Hva arkitektur kan bidra med for at vi skal nå de strategiske målene

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001

Helhetlig arbeid med informasjonssikkerhet. Remi Longva

Policy for informasjonssikkerhet og personvern i Sbanken ASA

Beskrivelse av informasjonssystemet

3.1 Prosedyremal. Omfang

Sikkerhedstrusler i sundhedsvæsenet - hvordan kan risiko og sårbarhed reduceres

Avmystifisere internkontroll/styringssystem - informasjonssikkerhet

Informasjonssikkerhet i kommunene. Gaute Wangen, seniorrådgiver Seksjon for digital sikkerhet, NTNU

ISO Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen

Anbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet

Informasjonsforvaltning hos Riksrevisjonen (med en dash GDPR) Faglig Arena for Informasjonsforvaltning (Difi) Erik Hagen, 8. sept.

Internkontroll og informasjonssikkerhet lover og standarder

Angrepet mot Helse Sør-Øst. Norsk sykehus- og helsetjenesteforening

STRATEGI FOR INFORMASJONSSIKKERHET FOR POLITIET

Fylkesberedskapsrådet i Hordaland Styring og kontroll - informasjonssikkerhet. Øyvind Grinde Seksjonssjef for informasjonssikkerhet 18.

Difis veiledningsmateriell, ISO og Normen

Sikkert nok - Informasjonssikkerhet som strategi

Nasjonalt eid-program

Etablering av et ISMS Vi er i gang i SPK. Gunilla Fagerberg Grimsgaard

Strategi for informasjonssikkerhet

Hva betyr «Just-in-time» privileger for driftspersonalet?

Forvaltningsrevisjon IKT sikkerhet og drift 2017

Altinn, nye muligheter for samhandling og samspill i offentlig sektor. Hallstein Husand Programleder Altinn II Programmet NOKIOS 2009

ARKITEKTURPROSJEKTET

Internkontroll/styringssystem i praksis informasjonssikkerhet. Andreas Grefsrud, seniorrådgiver seksjon for informasjonssikkerhet

Gode råd til sikkerhetsansvarlige

Informasjonssikkerhet i Norge digitalt Teknologiforum

NTNU Retningslinje for fysisk sikring av IKTinfrastruktur

Strategi for nasjonale felleskomponenter og -løsninger i offentlig sektor. Strategiperiode

Strategi for informasjonssikkerhet i helse- og omsorgssektoren

IT I PRAKSIS!!!!! IT i praksis 20XX

Informasjon interesseorganisasjoner

INTERNKONTROLL INFORMASJONSSIKKERHET, GDPR OG INFORMASJONSFORVALTNING I NVE

Nasjonal sikkerhetsinfrastruktur for helse- og omsorgssektoren (NSI) Tilgang til helseopplysninger på tvers av virksomhetsgrenser Forstudie 2012/13

Ny styringsmodell for informasjonssikkerhet og personvern

Overordnet IT beredskapsplan

VEDLEGG A UTKAST TIL LEVERANSEBESKRIVELSE

Digitaliseringsstrategi

Hva karakteriserer god arkitekturpraksis og hvorfor ble valgt arkitekturmetode benyttet?

Informasjonssikkerhet i morgendagens helsevesen

Tilsyn med IKT-sikkerhet i finansnæringen. Finanstilsynsdirektør Morten Baltzersen Dataforeningens seminar 14. november 2017

SIKKERHETSFAGLIGE ANBEFALINGER VED TJENESTEUTSETTING. En utdyping av området «Beslutt leveransemodell» i NSMs grunnprinsipper for IKT-sikkerhet

GDPR I DEN NORSKE OPERA & BALLETT. Spekter, 13. desember 2017

SPISSKOMPETANSE GIR BEDRE INTERNREVISJON

Avvikshåndtering og egenkontroll

HVEM ER JEG OG HVOR «BOR» JEG?

Technical Integration Architecture Teknisk integrasjonsarkitektur

NTNU Retningslinje for arbeid med sikkerhetskultur og opplæring innen informasjonssikkerhet

Digitaliseringsstrategi

Internkontroll for informasjonssikkerhet en fleksibel tilnærming med høy nytteverdi

Mandat informasjonssikkerhet. Avdelingsdirektør Arne Lunde Uh-avdelingen KD

Spesialisthelsetjenesten har investert i rammeverk, kompetanse og utvikling av arkitekturpraksis hva er erfaringene, og hva nå?

Datadeling og nasjonal arkitektur

Metode for identifikasjon av dokumentasjon. Presentasjon i Skate

IT-sikkerhet ved outsourcing. 27. mars 2007 Tor Erik Masserud IT-Sikkerhetssjef

Strategi for eid og e-signatur i offentlig sektor. KS regionale informasjonsseminarer om IKT-politikk og IKT-utvikling

Har du kontroll på verdiene dine

Elektroniske MEG! Hvordan Difi bidrar til utvikling av elektroniske tjenester. Servicekonferansen 2010

Internkontroll i praksis (styringssystem/isms)

Saksframlegg Referanse

Digitaliseringsstrategi

Avito Bridging the gap

Styringsdokument for personvern, informasjonssikkerhet og beredskap

Informasjonssikkerhet. Øyvind Rekdal, 17. mars 2015

Sekretariat for informasjonssikkerhet i UHsektoren. Rolf Sture Normann

Difis felleskomponenter. Nokios

Behov for en nasjonal sikkerhetsinfrastruktur for helse- og omsorgssektoren - hvorfor?

IKT-sikkerhet for arkivarer. Kristine Synnøve Brorson

Egenevalueringsskjema

Risikoledelse i hverdagen mulig eller umulig? Linda Svendsrud Teamleder Rådgivning

CYBERSIKKERHET PÅ STYREROMMET HVILKE LOVVERK MÅ LEDELSEN FORHOLDE SEG TIL?

Aggregering av risiko - behov og utfordringer i risikostyringen

Veiledningsmateriellet Internkontroll i praksis - informasjonssikkerhet. For toppleder Oppdatert:

Felles arkitekturprinsipper for helse- og velferdsområdet

Digitalisering i skolen Hva skal til for å lykkes? Workshop Harald Torbjørnsen 2017

Risikovurdering av sikkert- nettskjema TSD 2.0

Sikkerhet innen kraftforsyningen

Digitaliseringsstrategi. - trygghet og tillit til teknologi

BI strategi rasjonale og metode. Fred Anda. Managing Partner NextBridge Advisory 8. november 2016

Normen og faktaark videokonsultasjon Jan Henriksen Direktoratet for ehelse

Vår referanse (bes oppgitt ved svar)

Veileder i personvern og informasjonssikkehet for helse- og sosialtjenester i kommuner Hva er det og trenger vi det?

Anvendelsesområder for bruk av e-id med og i offentlig sektor- forprosjekt

Agenda. Mulige gevinster ved å samarbeide om løsninger. Tjenesteorientert arkitektur for UH sektoren. Kontekst for arkitekturarbeid

Hvordan styre informasjonssikkerhet i et dynamisk trusselbilde? Tommy Molnes Security Manager Digital Sikkerhet AS

Ny sektorovergripende føringer - hva skjer?

Vedlegg 2-Styresak Målbildet og strategikart v.10 Helse Nord IKT HF

Transkript:

NAV IKT Styring/Arkitektur Referansearkitektur sikkerhet Senior sikkerhetsarkitekt Robert Knudsen Webinar Den Norske Dataforening 22. Mai 2013

Agenda Har vi felles forståelse og oversikt på sikkerhetsområdet? Hva og hvorfor en referansearkitektur Interessenter Referansemodeller Kapabilitetsbeskrivelse Veikart og tiltak NAV, 24.05.13 Side 2

Ledelsen i NAV-IKT ønsket en felles forståelse av: NÅ-situasjon Målbilde Nødvendige tiltak og leveranser NAV, 24.05.13 Side 3

Ledelsen i NAV-IKT ønsket kontroll på: Alle aktuelle sikkerhets kapabiliteter Kapabiliteter som er ivaretatt Kapabiliteter som ivaretar prinsipper og krav Kapabiliteter som er leveranseplassert Hva som ikke er ivaretatt og leveranseplassert NAV, 24.05.13 Side 4

Hvorfor en referansearkitektur Mindre totalkostnad Kartlegge NÅ situasjon Effektiv arkitekturstyring Kartlegge Målbilder Beskrive et veikart En del av Helhetlig Arkitektur NAV, 24.05.13 Side 5

Hva er en referansearkitektur for sikkerhet En del av en helhetlig arkitekturutvikling (TOGAF/SABSA) Gir en sortering av Arkitekturprinsipper, -krav og -føringer Kartlegging av alle sikkerhets kapabiliteter (evner) Grunnlag for dialog med prosjekter, porteføljer og IT drift Viser sammenhengen mellom informasjonssikkerhet og arkitektur Sikrer helhetlig anvendbarhet for teknologi NAV, 24.05.13 Side 6

Interessenter Ledelse Kommunisere felles forståelse og synliggjøring av målbilder og leveranser Synliggjøre hvilke kapabiliteter som er ivaretatt og hvilke som ikke er ivaretatt eller leveranseplassert Prosjekter Tydeliggjør forventninger til prosjektets innhold og omfang Definerte tiltak og ansvarsfordeling Beskrivelse av rammer og føringer Porteføljene Definerte tiltak og ansvarsfordeling Beskrivelse av rammer og føringer Grunnlag for implementering iht. til felles arkitekturrammeverk IT Drift Definerte tiltak og ansvarsfordeling Beskrivelse av rammer og føringer NAV, 24.05.13 Side 7

Helhetlig IKT arkitektur referansemodell Forretning Informasjon Applikasjon Teknologi Sikkerhet Tjenesteorientering Etterlevelse NAV, 24.05.13 Side 8

Referansemodell sikkerhetsarkitektur NAV, 24.05.13 Side 9

Område Ident- og tilgangsstyring Innholdssikring Sikkerhetsovervåking Kontinuitetsstyring Sikkerhet i utvikling og anskaffelse Driftssikkerhet Sikkerhetsstyring Beskrivelse av områder i referansemodellen Sørger for at de riktige brukerne får tilgang til de riktige ressurser til riktig tid, på riktig grunnlag. Gir evnen til å kontrollere og ha kontroll med hvem som behandler hvilken informasjon i virksomheten. Området dekker kapabiliteter som går direkte på sikring av informasjon (data) med hensyn på egenskapene konfidensialitet og integritet. Området dekker kapabiliteter som bidrar til operativ og strategisk overvåking og analyse/rapportering med hensyn på IKT-sikkerhet. Området dekker kapabiliteter som bidrar til at informasjon og -systemer er tilgjengelige når virksomheten har behov for det, inkludert krise/ katastrofescenarier. Området dekker kapabiliteter som kreves for å sørge for informasjonssikkerheten i utvikling, anskaffelse og forvaltning av informasjonssystemer. Dekker kapabiliteter som gir evne til å sikre informasjon og systemer i operativ IKT-drift. Området dekker kapabiliteter som gir evne til å arbeide strukturert og målrettet med informasjonssikkerhet og risikostyring i virksomheten. NAV, 24.05.13 Side 10

Område Ident- og tilgangsstyring Innholdssikring Sikkerhetsovervåking Kontinuitetsstyring Sikkerhet i utvikling og anskaffelse Driftssikkerhet Sikkerhetsstyring Forretningsnytte Gir nødvendige prosesser med verktøystøtte for styre tilgang til ressurser (systemer og informasjon) iht. definert beskyttelsesbehov og pålagte krav i bl.a. lov og forskrifter. Gir nødvendige verktøy for å beskytte informasjon iht. definert beskyttelsesbehov og pålagte krav i bl.a. lov og forskrifter. Området gir organisasjonen evne til å oppdage og reagere operativt på sikkerhetshendelser og -brudd (interne og eksterne/cybersikkerhetshendelser), samt kontinuerlig forbedring på operativ IKT-sikkerhet. Sørger for at virksomheten og samfunnet har riktig tilgang på kritisk informasjon og systemer også i krise/katastrofescenarier. Gir nødvendige verktøy for å beskytte informasjon iht. definert beskyttelsesbehov og pålagte krav i bl.a. lov og forskrifter. Gir nødvendige prosesser og verktøy for å beskytte informasjon iht. definert beskyttelsesbehov og pålagte krav i bl.a. lov og forskrifter i IKT-drift. Gir evne til å vise at man har riktig sikkerhetsnivå (f.eks. overfor omverden, eierdepartement og revisjon), og at ressursene som brukes til sikring brukes på de riktige tingene, samt at det gir evne til å si om man får høyere eller lavere sikkerhetsrisiko over tid. NAV, 24.05.13 Side 11

Detaljert referansemodell sikkerhetsarkitektur NAV, 24.05.13 Side 12

Detaljert beskrivelse pr. kapabilitet Kapabiliteter NAV, 24.05.13 Side 13

Veikart for sikkerhetsarkitektur (eksempel) Ident- og tilgangsstyring Innholdssikring Autentisering (eid Nivå 4) Autorisering Single- SignOn 2013 2014 2015 Tilgangskontroll Identifikasjon Sertifikathåndtering Sikkerhetsklassifisering Kryptering Audit, analyse, rapportering Tilgangsregler Monitorering og analyse Ident- og tilgangsadministrasjon. Føderering Dataflytkontroll Ikke-benektbarhet Høytilgjengelighet (HA) Forsyning av tilganger Hendelseshåndtering (CSIRT) Testdata-håndtering Signering Logging Sikkerhetstesting Målbilde Helhetlig sikkerhetsarkitektur Avvikshåndtering Sikkerhetsforståelse og etterlevelse Ledelsessystem for sikkerhet Sikkerhetsmonitorering Katastrofesikring og gjenoppretting Utviklingsmetode og retningslinjer Kravspesifikasjon Felles sikkerhetsrammeverk Konfigurasjonsstyring Soner Risikostyring Styringsinformasjon for sikkerhet Internkontrollsystem Personvern Domene Kontinuitetsstyring Sikkerhet i utvikling og anskaffelse Driftssikkerhet Sikkerhetsstyring. Realiseres i linjen. Realiseres i prosjekt. Realiseres av DIFI. Informasjonssikkerhetsavd. NAV, 24.05.13 Side 14

Oversikt tiltak (eksempel) Område Kapabilitet Tiltak Tid År Ansvar kommentar Ident- og tilgangsstyring Ident- og tilgangsstyring Autentisering Tilgangskontroll Selvbetjening: Autentisering Nivå 4 mot ID-porten Etablere ett tilgangsadministras jonspunkt Innholdssikring Signering Støtte for signering av meldinger Innholdssikring Kryptering Støtte for https ekstern klient Sikkerhet i utvikling og anskaffelse Driftssikkerhet Kravspesifikasjon Sikring mot ondsinnet kode og trafikk Strukturere ikkefunksjonelle krav til sikkerhet Etablere IPS og WebService Security Gateway Kontinuitetsstyring Patchhåndtering Sikkerhetspatching av servere Juni 2013 Drift desember 2014 Prosjekt 1 Mars 2014 Prosjekt 2 Mai 2013 Forvaltning Juni 2013 Prosjekt 3 April 2015 Drift Juli 2013 Drift NAV, 24.05.13 Side 15

2026 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding