Avmystifisere internkontroll/styringssystem - informasjonssikkerhet Difis veiledningsmateriell Jan Sørgård, seniorrådgiver Difi
Difi Visjon: Vi utvikler offentlig sektor Digitalisering Anskaffelser Organisering og ledelse Oslo 240 ansatte Leikanger Utreder og analyserer Utvikler og forvalter fellesløsninger Rådgiver, pådriver og samordner m.m
Difis rolle og mandat informasjonssikkerhet Arbeide for en styrket og mer helhetlig tilnærming til informasjonssikkerhet i statsforvaltningen Være en pådriver på etater/staten når det gjelder å bedre informasjonssikkerheten Gi anbefalinger til stat og kommune (forvaltningsorgan) om internkontroll på informasjonssikkerhetsområdet (jf. eforvaltningsforskriften 15) 10-12 personer i seksjon for infosikkerhet
Bakgrunn
2010-2011 - Tilstanden er ikke god nok Mange offentlige virksomheter mangler tilstrekkelig styring og kontroll med informasjonssikkerheten Jf. Riksrevisjonens rapporter og uttalelser Datatilsynets årsmeldinger og uttalelser NSMs årsmeldinger og uttalelser
2012-2013 Digitaliseringsrundskriv pkt. 1.7, Anbefalinger i Referansekatalogen pkt. 2.16, Nasjonal strategi inf.sikkerhet, Difi-rapport 2012:15
Fra Difis undersøkelse (Difi-rapport 2012:15) Mange ansatte var forvirret over alle de ulike styringssystemene, og lederne jobbet veldig med å få kontroll og oversikt over disse
Begrepskaos? internal control intern kontroll styring og kontroll internkontroll internkontrollsystem management system styringssystem ledelsessystem kvalitetssystem. Og hva er forskjellen på a control en kontroll et tiltak et sikringstiltak. Ulike fagmiljø har ulike begrep på i hovedsak det samme Vårt råd: Vær pragmatisk!
Hvorfor infosikkerhet? Nå våre primære mål Være effektive Etterleve lover og regler Informasjonsbehandling Kjerneaktivitet eller kritisk støtte IKT
Hvorfor infosikkerhet? Nå våre primære mål Være effektive Etterleve lover og regler Informasjonsbehandling Kjerneaktivitet eller kritisk støtte IKT Understøtte Informasjonssikkerhet -tiltak for sikring av tilgjengelighet, integritet, konfidensialitet på informasjon
Hvorfor infosikkerhet og internkontroll? Nå våre primære mål Være effektive Etterleve lover og regler Informasjonsbehandling Kjerneaktivitet eller kritisk støtte IKT Treffer eller bommer vi? Informasjonssikkerhet -tiltak for sikring av tilgjengelighet, integritet, konfidensialitet på informasjon
Hvorfor infosikkerhet og internkontroll? Nå våre primære mål Målorientert Være effektive Etterleve lover og regler Informasjonsbehandling Kjerneaktivitet eller kritisk støtte Risikobasert IKT Understøtte Balansert Informasjonssikkerhet -tiltak for sikring av tilgjengelighet, integritet, konfidensialitet på informasjon
Forventninger til offentlig sektor Resultatkrav Bedre måloppnåelse Digitalt førstevalg Effektivisering Ta ut gevinstpotensialet i ny teknologi Frigi ressurser til primære mål Investering Interkontroll informasjonssikkerhet Nye teknologiske løsninger Nye arbeidsmåter
eforvaltningsforskriften endret februar 2014 (Forskrift om elektronisk kommunikasjon med og i forvaltningen) Bl.a. tydeliggjort kravene til informasjonssikkerhet Kapittel 3 Styring og kontroll med informasjonssikkerheten 15 Internkontroll på informasjonssikkerhetsområdet
eforvaltningsforskriften Utdrag ny 15 (endret 13). Forvaltningsorganet skal ha en internkontroll (styring og kontroll) på informasjonssikkerhetsområdet som baserer seg på anerkjente standarder for styringssystem for informasjonssikkerhet. internkontrollen skal inkludere relevante krav som er fastsatt i annen lov, forskrift eller instruks. Internkontrollen bør være en integrert del av virksomhetens helhetlige styringssystem. Omfang og innretning på internkontrollen skal være tilpasset risiko..
Videre anbefalinger fra Difi (Referansekatalogen ver. 4.1) Det er anbefalt å basere seg på ISO/IEC 27001:2013 ved etablering av internkontroll/styringssystem på informasjonssikkerhetsområdet Det er anbefalt å støtte seg på ISO/ IEC 27002:2013 i implementeringen av relevante tiltak
Struktur og krav (overordnet) i ISO/IEC 27001:2013 Kontekst (rammevilkår/forutsetninger) forstå og tydeliggjøre kontekst, forstå interessentenes behov og forventninger, definere omfang av styringssystemet Lederskap utøve lederskap og engasjement, utforme policy, klargjøre roller og ansvar Planlegging klargjøre hvordan risiko og muligheter skal analyseres og håndteres, klargjøre informasjonssikkerhetsmål og hvordan disse skal nås Støtte/support sikre tilstrekkelig ressurser, kompetanse, bevissthet, kommunikasjon, dokumentasjon
Struktur og krav (overordnet) i ISO/IEC 27001:2013 Drift etablering og drift av nødvendige prosesser, vurdere og håndtere risikoer Vurdere ytelse overvåking, måling, analyse, evaluering, intern revisjon, ledelsens gjennomgang Forbedring avvikshåndtering, kontinuerlig forbedring
Difis veiledningsmateriell internkontroll.infosikkerhet.difi.no Sentrale delmål: - Avmystifisere styringssystem for informasjonssikkerhet (ISMS) - Internkontroll i praksis - informasjonssikkerhet - Basert på ISO/IEC 27001 - Dekke all informasjonsbehandling - med utgangspunkt i eforvaltningsforskriften - sikre inkludering av annet relevant regelverk
Difis veiledningsmateriell Under utarbeidelse Nettbasert Flere iterasjoner og betaversjoner En stor og bred referansegruppe for alle interesserte Egen referansegruppe for andre veiledningsaktører
Høyremeny «Nyttig»
Hovedaktivitetene i internkontrollarbeidet
Ledelsens styring og oppfølging Ledelsens styring og oppfølging Godt å vite Analyse av status Planlegge internkontroll Overordnede styrende dok Ledelsens gjennomgang Styringsparametere og krav Godkjenne risikohåndtering Krise og beredskap Bakgrunnskunnskap Delaktiviteter
Ledelsens styring og oppfølging Ledelsens styring og oppfølging Godt å vite Hvorfor infosikkerhet? Tonen på toppen Støtte til ledelsen Krav og anbefalinger Analyse av status Planlegge internkontroll Overordnede styrende dok Ledelsens gjennomgang Styringsparametere og krav Godkjenne risikohåndtering Krise og beredskap Bakgrunnskunnskap
Ledelsens styring og oppfølging Ledelsens styring og oppfølging Godt å vite Analyse av status Planlegge internkontroll Overordnede styrende dokument Ledelsens gjennomgang Utforme styringsparametere og krav Godkjenne risikohåndtering Krise og beredskap Bakgrunnskunnskap Ved etablering/behov
Ledelsens styring og oppfølging Ledelsens styring og oppfølging Godt å vite Analyse av status Planlegge internkontroll Overordnede styrende dokument Policy for infosikkerhet Retningslinje roller, ansvar, myndighet Retningslinje risikostyring Ledelsens gjennomgang Utforme styringsparametere og krav Godkjenne risikohåndtering Krise og beredskap Bakgrunnskunnskap Ved etablering/behov Ved etablering/stor endring/svakheter
Ledelsens styring og oppfølging Delaktiviteter Godt å vite Analyse av status Planlegge internkontroll Overordnede styrende dokument Ledelsens gjennomgang Utforme styringsparametere og krav Godkjenne risikohåndtering Krise og beredskap Bakgrunnskunnskap Ved etablering/behov Ved etablering/stor endring/svakheter Kjerneaktivitetene minst årlig
Ledelsens styring og oppfølging Delaktiviteter Godt å vite Analyse av status Planlegge internkontroll Overordnede styrende dokument Ledelsens gjennomgang Utforme styringsparametere og krav Godkjenne risikohåndtering Krise og beredskap Bakgrunnskunnskap Ved etablering/behov Ved etablering/stor endring/svakheter Kjerneaktivitetene minst årlig Ved behov
Hjernen i internkontrollen
Risikovurdering (Utkast betaversjon 3.0) Risikovurdering Godt å vite Statusrapporter felles grunnlag Risikovurderinger i linjen Risikovurderinger «systemeiere» Risikovurderinger teknisk infrastruktur Ekspertvurderinger Bakgrunnskunnskap Foreslåtte delaktiviteter
Risikovurdering (Utkast betaversjon 3.0) Risikovurdering Godt å vite Hva er risiko? Ulike metoder Organisering Kritikalitet / verdi Trusler, farer og sårbarheter Konsekvens Sannsynlighet Statusrapporter felles grunnlag Risikovurderinger i linjen Risikovurderinger «systemeiere» Risikovurderinger teknisk infrastruktur Ekspertvurderinger Bakgrunnskunnskap
Risikovurdering (Utkast betaversjon 3.0) Risikovurdering Godt å vite Statusrapporter felles grunnlag Trender i risikobildet nasjonalt Sikkerhetshendelser hos oss og i sektor Risikovurderinger i linjen Risikovurderinger «systemeiere» Risikovurderinger teknisk infrastruktur Ekspertvurderinger
Risikovurdering (Utkast betaversjon 3.0) Risikovurdering Godt å vite Statusrapporter felles grunnlag Risikovurderinger i linjen Fokus: informasjon, arbeidsforhold og arbeidsvaner Status «vernerunde infosikkerhet» Foranalyse kritikalitet, trusler og sårbarheter Risikovurdering - hendelsesbank og idedugnad Risikovurderinger «systemeiere» Risikovurderinger teknisk infrastruktur Ekspertvurderinger
Risikovurdering (Utkast betaversjon 3.0) Risikovurdering Godt å vite Statusrapporter felles grunnlag Risikovurderinger i linjen Risikovurderinger «systemeiere» Fokus 1: forvaltning og vedlikehold Foranalyse kritikalitet fra «linjen», trusler og sårbarheter Risikovurdering - hendelsesbank og idedugnad Fokus 2: anskaffelser, integrasjon og utvikling Risikovurderinger teknisk infrastruktur Ekspertvurderinger
Risikovurdering (Utkast betaversjon 3.0) Risikovurdering Godt å vite Statusrapporter felles grunnlag Risikovurderinger i linjen Risikovurderinger «systemeiere» Risikovurderinger teknisk infrastruktur Oppdeling ulike fokusområder i infrastrukturen Foranalyse avhengig av fokus Risikovurdering hendelsesmodellering (?) Ekspertvurderinger
Risikovurdering (Utkast betaversjon 3.0) Risikovurdering Godt å vite Statusrapporter felles grunnlag Risikovurderinger i linjen Risikovurderinger «systemeiere» Risikovurderinger teknisk infrastruktur Ekspertvurderinger Fokus: Det spesielt kritiske Avansert - ofte kompetanse- og ressurskrevende metode Eks: Octave, Octave Allegro, NIST 800-30, ISO 27005, ISO 31010-metoder eller «ekspertens metode» Evt. behov avdekkes i foranalysen eller risikovurderingen til «systemeiere»
Hjertet i internkontrollen
Risikohåndtering (Utkast betaversjon 4.0) Godt å vite Hovedalternativer akseptere, unngå, overføre, endre Tiltakskategorier pedagogiske, organisatoriske, administrative, tekniske, fysiske Ulike tiltaksansvarlige Tiltaksbanker - sikringstiltak Prosjekt og oppgaver som forbedringstiltak
Risikohåndtering (Utkast betaversjon 4.0) Delaktiviteter Utkast risikohåndteringsplan Fellestiltak Systemspesifikke tiltak Oppgave-/prosesspesifikke tiltak Godkjenne og finansiere prosjekt/tiltak jf. ledelsens styring og oppfølging Revidere og godkjenne risikohåndteringsplanen Gjennomføre risikoreduserende prosjekt/oppgaver Implementere sikringstiltak Følge opp og godkjenne implementering Etterleve sikringstiltak
Hendene i internkontrollen
Kompetanse- og kulturutvikling (Ferdigstilles i betaversjon 5.0) Kunnskap Bevisstgjøring Ferdigheter og øving Kulturutvikling sjekklister prosedyrer kurs kompetanseplaner kulturutviklingstiltak
Læreren i internkontrollen
Overvåking og hendelseshåndtering (Ferdigstilles i betaversjon 5.0) Overvåking Hendelseshåndtering
Vakta i internkontrollen
Måling, evaluering og revisjon (Ferdigstilles i betaversjon 6.0) Målinger ved tiltaksetablering Målinger for risikoeiere Målinger for ledelsen Styringsparametere Større evalueringer Intern revisjon
Kontrolløren i internkontrollen
Kommunikasjon (Ferdigstilles i betaversjon 6.0) Dokumenter struktur innhold og format Tydelige kommunikasjonskrav og -linjer Etablere og følge retningslinjer
Limet i internkontrollen
Internkontroll i praksis - informasjonssikkerhet
Internkontroll i praksis - informasjonssikkerhet
Fremdriftsplan Difis veiledningsmateriell 03.10.2014 Betaversjon 2.1 19.12.2014 Betaversjon 3.0 Utdypninger av «Risikovurdering» + justeringer 27.02.2015 Betaversjon 4.0 Utdypninger av «Risikohåndtering» + justeringer 27.03.2015 Betaversjon 5.0 Utdypninger av "Overvåking og hendelseshåndtering" og «Kompetanse- og kulturutvikling» + justeringer 30.04.2015 Betaversjon 6.0 Utdypninger av «Måling, evaluering og revisjon» og «Kommunikasjon» + justeringer 15.06.2015 Godkjent versjon 1.0
Internkontroll informasjonssikkerhet Er et systematisk arbeid for å håndtere risiko Er en forutsetning for en kontrollert og effektiv informasjonsbehandling og digitalisering Gir ledelsen og virksomheten for øvrig styringsmulighet når vi må få opp farten
Internkontroll i praksis - informasjonssikkerhet
Kontakt oss infosikkerhet@difi.no http://infosikkerhet.difi.no Veiledningsmateriellet: Internkontroll.infosikkerhet.difi.no