Rettslige krav til styring av informasjonssikkerhet Karin Kristiansen og Amund Eriksen
Hva får dere IKKE?
Informasjonssikkerhet? Informasjonssikkerhet dreier seg om å håndtere risiko relatert til virksomhetens informasjonsverdier og behandling av personopplysninger. Fra Datatilsynets veiledning om internkontroll og informasjonssikkerhet
Rettslige krav? Lover og forskrifter Instrukser Kontraktsforpliktelser virksomhet
STYRING AV INFORMASJONSSIKKERHET?
Besk.instr 2 Pol. 13 eforvf. 13 Pof. 2-4 Pof. 2-5 Pof. 2-7 Sikkerhl. 11 Pof. 2-2 Helsereglov
ISO 27001 og 27002 Vedtatt i standardiseringsrådet som anbefalte standarder for offentlig sektor Difi arbeider med ny versjon av Referansekatalogen hvor dette skal inn Evalueres og vurderes om standardene skal gjøres obligatoriske etter ett år www.standard.difi.no
11 områder, 39 sikringsmål og 133 sikringstiltak Utdyping av 133 sikringstiltak
Rettskilder Lov Forskrift Rundskriv/interne meldinger ISO/IEC 27001:2005
Sikkerhetsloven eforvaltningsforskriften Personopplysningsloven Rikets sikkerhet og andre vitale nasjonale sikkerhetsinteresser Forskrift om infosikk Fokus på konfidensialitet Forskrift om sikkerhetsadministrasjon Forvaltningsorgan som benytter elektronisk kommunikasjon Krav til sikkerhetsmål og sikkerhetsstrategi I henhold til anerkjente prinsipper Er det noen grunn til å problematisere dette da?? Internkontroll Personopplysninger Informasjonssikkerhet
Krav til internkontroll (pol 14) Den behandlingsansvarlige skal etablere og holde vedlike planlagte og systematiske tiltak som er nødvendige for å oppfylle kravene i loven og forskriften, herunder sikre personopplysningenes kvalitet
Krav til informasjonssikkerhet (pol 13) Den behandlingsansvarlige og databehandleren skal gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet mht konfidensialitet, integritet og tilgjengelighet ved behandling av personopplysninger For å oppnå tilfredsstillende informasjonssikkerhet skal de nevnte ansvarlige dokumentere informasjonssystemet og sikkerhetstiltakene (for medarbeidere, Datatilsynet og Personvernnemnda) Behandlingsansvarlig skal påse at eksterne som får tilgang til personopplysninger (databehandler/oppdragstaker) oppfyller kravene over
Du skal planlegge Du skal jobbe systematisk Du skal ha tilfredsstillende informasjonssikkerhet Du skal dokumentere Du har ansvaret for eksterne
Personopplysningsforskriften Kap. 2 Flere bestemmelser men liten veiledning for hvordan du går frem Krav på overordnet nivå Veiledninger fra Datatilsynet
Et kort overblikk Pof 2-1 Forholdsmessige krav om sikring av personopplysninger 2-6 Avvik ISO 27001 Krav til risikotilnærming 2-3 Sikkerhetsledelse Management 2-4 Risikovurdering Risk management 2-5 Sikkerhetsrevisjon Internal audit Corrective and preventive action 2-16 Dokumentasjon Documentation requirements
Forholdet mellom regelverk og ISO 27001 Regelverk gjelder Standarden kan utfylle Vi må avstemme
ISO/IEC 27001:2005 Standard for et styringssystem for informasjonssikkerhet Information Security Management Systems (ISMS) Plan Do Check Act
To deler: obligatorisk og valgfri Risikotilnærming ISMS for en definert del av virksomheten samsvar med regelverk og andre rettslige forpliktelser (kontrakt) Omfattende dokumentasjonskrav
PLAN ACT DO CHECK
Du skal planlegge det du skal gjøre P FOR PLAN
PLAN Hva skal styringssystemet gjelde for? ISMS-policy (Mål og strategi) Risikovurdering og -tilnærming Ut fra risikovurderingen skal vi velge sikringsmål og tiltak for håndtering av risiko (Annex A) Få ledelsens godkjennelse for foreslåtte restrisiko
Ivaretakelse av rettslige krav Skal vurdere de rettslige krav i planleggingsfasen Vedlegg A A.15 compliance Mål: Å unngå brudd på lover, forskrifter og kontraktsforpliktelser A.15.1 Compliance with legal requirements Kontraktsforpliktelser Opphavsrettigheter Personvern og personopplysningsvern Med mer
PLAN overgang til neste fase Få ledelsens godkjenning til å implementere og drifte ISMS Forberede SoA sikkerhetstiltak..og deretter starter DO-fasen PLAN ACT DO CHECK
Du skal gjøre det du planla å gjøre D FOR DO
D for DO Utarbeide risikohåndteringsplan ( prosjektplan ) Gjennomføre planen Definere hvordan man skal måle virkningen av sikringstiltak Utarbeide og implementere prosedyrer og rutiner Gjennomføre opplæring Styre ressurser Implementere prosedyrer/tiltak for å oppdage og håndtere avvik
Du skal sjekke at du gjør det du planla å gjøre C FOR CHECK
C for check Tiltak for å overvåke og revidere ISMS Undersøke om sikkerhetskrav blir oppfylt Revidere risikovurderingen(e) Revidere restrisiko Revidere akseptabelt risikonivå Gjennomføre intern revisjon Gjennomføre ledelsens gjennomgang Oppdatere planer Dokumentasjon på isms-hendelser og tiltak
Du skal korrigere og forbedre P-D-C A FOR ACT
A for act Du skal korrigere og forbedre P-D-C
Dokumentasjonskrav den behandlingsansvarlige og databehandleren dokumentere informasjonssystemet og sikkerhetstiltakene Mer spesifisert i pof ISO 27001 kap. 4.3 Documentation requirements
PLAN ACT Personopplysninger? Gradert informasjon? DO CHECK
Oppsummering Rettslige krav er mer enn formelt regelverk Regelverket krever ikke et fullt ISMS ISMS ~= pof. Kap. 2 ISMS vil hjelpe deg å oppnå tilfredsstillende informasjonssikkerhet ISMS som inngangsport til å oppfylle regelverk!