Erfaringer fra revisjon av informasjonssikkerhet i statsforvaltningen

Like dokumenter
Riksrevisjonens erfaringer fra sikkerhetsrevisjoner

Revisjon av informasjonssikkerhet

Revisjonen er gjennomført, hva nå? IT direktør Marina Daidian

OVERORDNET HMS MÅLSETTING

Oppfølging av forvaltningsrevisjonsrapporten "IKT-sikkerhet, drift og utvikling"

Olje- og energidepartementet

Avmystifisere internkontroll/styringssystem - informasjonssikkerhet

Kunnskapsbehov. Torleif Husebø PTIL/PSA

Handlingsplan for Mental Helse Telemark

ISO Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen

Kommunal beredskapsplikt

SPISSKOMPETANSE GIR BEDRE INTERNREVISJON

Kvalitetskontrollen hvor trykker skoen?

Krav til informasjonssikkerhet. DRI1010 forelesning Jon Berge Holden

BEBY-sak 57-04: Forvaltningsrevisjonsprosjektet "Barnevern i barnehager". Delrapport I

Instruks for administrerende direktør Helse Nord IKT HF. Vedtatt av styret xx.xx.2016

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:

ebok #01/2016 Med fokus på HMS Helse, miljø og sikkerhet STICOS ebok #01/2016 TEMA: HMS SIDE: 01

Informasjonssikkerhet og internkontroll. DRI1010 forelesning Jon Berge Holden

Kastellet skole Positivt skolemiljø Det er mitt valg

Internkontroll i praksis Informasjonssikkerhet: Måling, evaluering og revisjon. Workshop Måling av informasjonssikkerhet

Gode råd til sikkerhetsansvarlige

TJELDSUND KOMMUNE. - ca innbyggere - Fastlandet, Hinnøy og Tjeldøy - ligger mellom Harstad og Narvik - Norges Brannskole, ROS

HOVEDINSTRUKS FOR Direktoratet for e-helse

IMPLEMENTERING AV INSTRUKS FOR BUFETAT

Læreplan i sikkerhetsfaget Vg3 / opplæring i bedrift

Alta kommune. Sluttrapport: Samspillkommune 30 Elektronisk informasjonsutveksling i pleie- og omsorgstjenesten i kommunene

Driftsassistansen for VA i Nordre Nordland oktober 2007, Rica hotel Bodø

I brev med varsel om pålegg av fekk de frist til for å komme med kommentarar. Vi har motteke kommentarar frå dykk.

Forvaltningsrevisjonsrapporten "Styring av IKT-satsningen i Hedmark fylkeskommune

Forvaltningsrevisjon IKT sikkerhet og drift 2017

Ansvarlig forvaltningsvirksomhet i Folketrygdfondet - Anstendige arbeidsforhold og faglige rettigheter

På lederutviklingsprogrammene som ofte gjennomføres på NTNU benyttes dette verktøyet. Du kan bruke dette til inspirasjon.

Cyberforsvaret. - Forsvarets nye «våpengren» Cybertrusselen Nye sikkerhetsutfordringer i cyberspace. Gunnar Salberg

Datasikkerhet internt på sykehuset

Side : 1 av 7 Dato : Utgave : 1

Vennskap og deltakelse Kompetansesatsing for barnehageansatte i 2012

Poliklinisk aktivitet HLK utredning og evaluering av organisering.

Barnehagepolitisk offensiv

KVALITET... Lederkonferansen 2016

Inspecta Stålproduksjon i Østen. 12/11/2013 Brukonferansen 2013

SUHS konferansen 2012 CSO forum for sikkerhetsansvarlige. Rolf Sture Normann CSO, UNINETT

Revisjonsrapport for 2017 om styringssystem for informasjonssikkerhet i Arbeidstilsynet

Statsbudsjettet for 2016 kap. 280 post 51 Tildelingsbrev for BIBSYS

Forsvarlig oppfølgning av barnehager i Ski kommune. - jf. Barnehageloven 8 og 16

Nasjonal sikkerhetsmyndighet

HØRINGSSVAR FRA DRAMMEN KOMMUNE OM ET FORSVARLIG SYSTEM I OPPLÆRINGSLOVEN

Handlingsplan for helse, miljø og sikkerhet

VEILEDER FOR KLASSENS TIME VED THOR HEYERDAHL VGS

Ny sikkerhetslov og forskrifter

Internrevisjon ved Universitetet i Bergen

SYSTEMATISK HÅNDTERING AV VOLD OG TRUSLER. Fase 1 Mai 2015 april 2016

Deres ref. Vår ref. Dato 2011/ /

LP-modellen som utviklingsarbeid i skolen

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001

Riksrevisjonen og UH-sektoren - viktige saker og forventninger. Riksrevisor Per-Kristian Foss, Kunnskapsdepartementets styreseminar

Rapport etter forurensningstilsyn ved Geilo avløpsanlegg

Ny opplæring klasse B

Kontrollrapport. Kontrollobjekt: Stjørdal kommune Sted: Stjørdal

EY, 19. mars 2015 NIRF, 26. januar Investorforventninger til selskaper Hvordan integrere klimahensyn i investeringsstrategien

Samferdselsdepartementet

Riksrevisjonen medspiller eller motstander? SSØs kundeforum 2011

Forvaltningsrevisjonsrapporten "IKT-sikkerhet, drift og utvikling"

Bruk av evaluering i styringen

TILSYN VED AVINOR AS, TRONDHEIM LUFTHAVN VÆRNES

KUNNSKAPSLØFTET: PLAN FOR KOMPETANSEUTVIKLING FOR PEDAGOGISK PERSONALE I GRUNNSKOLENE

Fra personal til HR Hva betyr det for DMF? 17. Februar 2011

HMS - ansvar i mindre prosjekter

Studiedag om mobbing

Aggregering av risiko - behov og utfordringer i risikostyringen

Landbruks- og matdepartementet

Hvordan styre informasjonssikkerhet i et dynamisk trusselbilde? Tommy Molnes Security Manager Digital Sikkerhet AS

KONVENSJON OM FUNKSJONSHEMMEDES RETTIGHETER

Mal for en enkel HMS håndbok for Virksomheten AS

Sykehuset Innlandet HF. Oppsummering årsoppgjørssrevisjon 2014

Innherred samkommune Brannforebygging

Styringssystem for informasjonssikkerhet et topplederansvar

Nærings- og fiskeridepartementet

fotball og pengespill

Dyrevelferden i Norge 1. tertial Mattilsynets funn på tilsyn

Kartlegging i 1.klasse. Det som er verdt å gjøre, er det verdt å gjøre godt

DOK2analysemodellen 1

Mal for vurderingsbidrag

Gode råd til sikkerhetsansvarlige

Saksframlegg. Styret Pasientreiser HF 13/09/2017. SAK NR Behandling av personopplysninger - oppfølging av styresak

«Tid for lek og læring» Kompetanse for mangfold

Vurdering på barnetrinnet. Nå gjelder det

Strategi for Informasjonssikkerhet

Tilsyn - BALSFJORD KOMMUNE KULTURSKOLEN

Årsplan GUNNERSBRÅTAN BARNEHAGE

LOGGBOK for. deltakere i praksis. Oppdag talentene dine

Fra sikkerhetsledelse til handling ambisjoner og forventninger

Ny styringsmodell for informasjonssikkerhet og personvern

Tilgjengelighet for alle i Oslo

Hvordan kan vi forebygge storulykker?

Sammen skal vi skape en bedre kommune! Fra å spire... vil vi SKAPE. Prosjektplan. Fra å Spire vil vi Skape

Evaluering av nasjonal- og flerregional behandlingstjenester 2011

Halvtårsplan for Saltkråkan våren 2010, Sammen skaper vi mestring, glede og trygghet.

Fylkesråd for utdanning Unni M. Gifstad Strategisk kompetansestyring Kick Off Samling for ledere og tillitsvalgte Nfk Bodø, 26.

Medarbeidersamtalen ved Det helsevitenskapelige fakultet

Transkript:

Erfaringer fra revisjon av informasjonssikkerhet i statsforvaltningen Konferanse om informasjonssikkerhet i offentlig sektor Stig Folkvord - 21. oktober 2014

Om Riksrevisjonen Visjon: Bedre offentlig ressursbruk. Dette gjør vi gjennom revisjon, kontroll og veiledning. Mandat: Riksrevisjonen skal bidra til at fellesskapets midler og verdier blir brukt og forvaltet slik Stortinget har bestemt. 2

Men hvorfor er Riksrevisjonen interessert i informasjonssikkerhet? I utøvelse av vårt mandatet vurderer vi etterlevelse av regelverk. etterlevelse av vedtak slik Stortinget har bestemt. forvaltningen av statens materielle verdier. ikt og internkontrollens påvirkning på regnskapet. 3

Oversikt Kort om IKT-trusselbilde 2014 Erfaringer fra revisjon av informasjonssikkerhet i perioden 2009-2013 Hva er utfordringene? Noen anbefalinger 4

Trusselbilde i Norge 2014 NSM om sikkerhetstilstanden 2014 Mange virksomheter mangler oversikt over sine egne verdier og egen sikkerhetstilstand. Ofte mangler det bevissthet omkring sikkerhetsmessig risiko og erkjennelse av at virksomhetene kan være utsatt. I 50 % av de 100 virksomhetene som samarbeidet med NSM i 2013, ble det oppdaget datainnbrudd. Mørketallsundersøkelsen 2014 Ca. 4 % har opplevd datainnbrudd i 2013. Fokus 2014 Statlige aktører har avanserte digitale etterretningskapasiteter som benyttes i det digitale rom. 5

Trusselbilde 2014 Risiko: Profesjonalisering av aktører utgjør en trussel mot virksomhetenes systemer. Dette kan skje i form av utenlandsk etterretning, kriminelle organisasjoner eller industrispionasje. Truslene er rettede og kan være vanskeligere å oppdage enn tidligere. 6

Erfaringer fra revisjon av informasjonssikkerhet Grunnlag: 50 virksomheter i perioden 2009-2013 7

En måte å se sikkerhetsarbeidet på Organisering Læring og forbedring Forankring i ledelsen Identifisere de viktigste verdiene Risikovurderinger Beskyttelse Rapportering av hendelser Revisjoner og evalueringer Forankring i organisasjonen Kompetanse Policyer og rutiner 8

Identifisering og klassifisering av virksomhetens viktigste verdier Mange virksomheter hadde ikke identifisert og klassifisert virksomhetens viktigste verdier. 9

Risikovurderinger Stort sett alle virksomheter hadde gjennomført risikoanalyser, men da ofte knyttet til om virksomhetene når sine mål. Halvparten manglet imidlertid risikoanalyser som omfattet de viktigste verdiene i virksomheten. Omtrent halvparten hadde heller ikke rutiner for jevnlig oppdatering av analysene. 10

Sikkerhetspolicy og en sikkerhetsorganisasjon Stort sett alle hadde en sikkerhetspolicy eller tilsvarende dokumenter. Stort sett alle hadde etablert en egen sikkerhetsorganisasjon. 11

Opplæring og bevisstgjøring Over halvparten hadde opplæring og/eller løpende tiltak for bevisstgjøring innen informasjonssikkerhet i egen organisasjon. Opplæring og bevisstgjøring av eksterne brukere er svakere enn for egne ansatte. 12

Beskyttelse - tilganger Stort sett alle virksomheter hadde etablert rutiner for administrasjon av tilganger for vanlige ansatte. Imidlertid ofte manglende oversikt over gitte tilganger. manglende rutiner for tildeling av tilganger til de med utvidede rettigheter. mange brukerkonti med administratorrettigheter. bruk av upersonlige brukere/ fellesbrukere. manglende periodiske gjennomganger av tilganger. 13

Beskyttelse - logging og overvåkning Gjennomgående svakheter på området logging og overvåking. Brukere og systemadministrators aktiviteter har liten grad blitt logget eller fulgt opp. 14

Beskyttelse serverrom Revisjonene våre har vist at de fleste serverrom er sikret mot fysiske farer. 15

Beskyttelse for øvrig Svake krav til passord. Manglende patching. Manglende testing av endringer og systemer før produksjonssetting. Manglende systemdokumentasjon. Manglende oppfølging av driftsleverandører. 16

Kontinuitetsplanlegging Stort sett alle virksomheter hadde en kontinuitetsplan eller prosess for kontinuitetsplanlegging. Få virksomheter hadde imidlertid oppdaterte kontinuitetsplaner for IKT. Generelt gjennomfører altfor få virksomheter øvelser i kontinuitetsplanen. 17

Rapportering av hendelser og informasjonssikkerhetsbrudd Over halvparten av virksomhetene hadde rutiner for å rapportere og håndtere hendelser og informasjonssikkerhetsbrudd. Omtrent halvparten av disse hadde imidlertid ikke konkretisert hvilke typer hendelser som skal loggføres og rapporteres som sikkerhetsbrudd. 18

Hva er utfordringene? Mangelfull ledelsesforankring av arbeidet med informasjonssikkerhet. For lav trussel- og risikoforståelse. Mangelfull grunnsikring. Mangelfull kompetanse på utvalgte områder. 19

Mine anbefalinger Erkjenn at dere har verdier og informasjon som andre er ute etter. Virksomheter vil aldri kunne sikre all informasjon. Det viktige er å identifisere informasjonen og informasjonssystemer som er av høyest verdi og sikre disse deretter. Husk på å gi opplæring til og kontinuerlig bevisstgjøre både ledere og ansatte i hvordan de kan påvirke informasjonssikkerhetsarbeidet. 20

Takk for meg 21

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding