Informasjonssikkerhet i UH-sektoren Per Arne Enstad CSO Forum, 13-14 juni 2012
Dagens tekst Bakgrunn Gjennomføring Hvorfor sikkerhetspolicy? Erfaringer så langt Veien videre 2
Bakgrunn Tradisjonelt: Sikkerhet = teknisk sikkerhet 80 % holdninger, 20 % teknologi 3 GigaCampus: Mer fokus på overordnet sikkerhetsarbeid Fra IT-sikkerhet til informasjonssikkerhet
Bakgrunn UNINETT-konferansen 2007: «GC setter sikkerhetspolicy på dagsordenen» «Grunnpakke» IT-revisjon Sikkerhetspolicy 4 Risiko- og sårbarhetsvurderinger (ROS-vurderinger), Kontinuitets- og beredskapsplaner (KBP), mv.
Hvem er «vi»? 5 personer fra UNINETT + 1 ekstern Nett- og systemavdeling + FAS Bakgrunn: sikkerhet, nett ++ 4 CISA + 3 i emning 5
Gjennomføring: IT-revisjon 1-dags «on-site» befaring, intervjuer, mv. Rapport med anbefalinger Konfidensiell! Sjekklister basert på ISO 27001/27002 og beste praksis Avstemt mot Datatilsynet og Riksrevisjonen 6
Gjennomføring: informasjonssikkerhetspolicy «Standard» policy 1-dags workshop: Tilpasning til lokale forhold 7 Sikkerhetsmål og -strategi Roller og ansvar Overordnede retningslinjer
Informasjonssikkerhetspolicy 8
Policy: dokumentstruktur 1) Sikkerhetspolicy definerer mål, hensikt, ansvar og overordnede krav. Styrende 2) Overordnede retningslinjer for informasjonssikkerhet. Her defineres hva som må gjøres for å etterleve den etablerte policyen. Styrende 3) Standarder og prosedyrer for informasjonssikkerhet inneholder detaljerte retningslinjer for implementering av sikkerhetsarbeidet. Gjennomførende og kontrollerende Hvorfor Hva Hvordan 9
Rutiner («Nivå 3- dokumenter») Forslag til noen av de viktigste rutinene IT-reglement Taushetserklæring Hendelses- og avvikshåndtering Klassifisering ROS-vurderinger 10 Ikke oppdatert på en stund lite tilbakemeldinger
Finansiering Tilbud til GigaCampus-deltagerne Finansiering: GigaCampus Fastpris for revisjon og policyworkshop Dette har vi fortsatt med i @campus 11
Deltagelse Hovedfokus på høgskolene og de nye universitetene Breddeuniversitetene har i stor grad egne ressurser 12
Resultater og erfaringer IT-revisjoner: 30 Resten: Internrevisjon 13 Andre eksterne Ikke svart Policyworkshops: 25 ROS: 8
Oppfølging 14
Resultater og erfaringer: funn Mangler sikkerhetsmål og -strategi Mangler IT-strategi Mangler ROS-vurderinger Mangler kontinuitets- og beredskapsplaner for IT Generelt lite dokumentasjon Vi etterspør ikke mye! Lovkrav + beste praksis ift. bl.a. avhengighet 15
Resultater og erfaringer: lovkrav Lov/forskrift POF 2-3 Skkerhetsmål og -strategi Hvor mange har oppfylt kravet? Ingen POF 2-12 KBP for IT Ingen POL 13 POF 2-4 POL 16-22, POF 3 Databehandleravtale med tredjeparter ROS-vurdering mht. info-sikkerhet Oversikt over personopplysninger Ingen Noen få Noen få 16 POF 2-6 System for avvikshåndtering Halvparten POF 2-5 Gjennomført revisjon Alle!
Resultater og erfaringer Den menneskelige faktor (PEBKAC) Dårlig forankring i ledelsen Dårlig ledelsesforankring gjør at IT-avdelingen setter sikkerhetsnivået ubalanserte tiltak Dette er ikke IT-avdelingens feil! 17
Hvorfor sikkerhetspolicy? Formulerer ledelsens mål og intensjoner for informasjonssikkerheten Felles platform for sikkerhet Overordnede og langsiktige føringer Retningslinjer og prosedyrer gir detaljert beskrivelse av tiltak; understøtter policy Felles plattform i UH-sektoren: understøtter samarbeid Viser at virksomheten tar sikkerhet på alvor It s the law! 18
Grunnleggende krav til policy En policy må være mulig å implementere og håndheve være konsis og lett å forstå balansere beskyttelse med produktivitet 19
Grunnleggende krav til policy En policy må være mulig å implementere og håndheve være konsis og lett å forstå balansere beskyttelse med produktivitet uttrykke hvorfor den er etablert 20
Velbegrunnet sikkerhet? 21
Grunnleggende krav til policy En policy må være mulig å implementere og håndheve være konsis og lett å forstå balansere beskyttelse med produktivitet uttrykke hvorfor den er etablert beskrive hva den dekker definere ansvar og kontaktpunkter angi hvordan brudd vil bli håndtert 22
Grunnleggende krav til policy En policy må være mulig å implementere og håndheve være konsis og lett å forstå balansere beskyttelse med produktivitet uttrykke hvorfor den er etablert beskrive hva den dekker definere ansvar og kontaktpunkter angi hvordan brudd vil bli håndtert 23
Veien videre: Sekretariat for informasjonssikkerhet GigaCampus @campus Sekretariat for informasjonssikkerhet Samme målgruppe IT-revisjon «første runde» ferdig Samme finansieringsmodell ROS-vurderinger Ledelsens gjennomgang BIA, og etter hvert: kontinuitets- og beredskapsplaner Oppfølging 24
Veien videre: ROS-vurderinger Lovpålagt: personopplysningsforskriften 2-5 Rammeverk basert på NSM/SSØ Har gjennomført på 3 institusjoner Personopplysninger IKT-infrastruktur 25
Veien videre: KBP for IT Personopplysningsforskriften 2-12 Alternativ behandling skal forberedes for de tilfeller informasjonssystemet er utilgjengelig for normal bruk Etablere rammeverk for KBP med standard prosedyrer mv. Utfordring: finne et passende nivå! Samarbeid med UMB og UIS 27
Veien videre: rammebetingelser Riksrevisjonens Dokument 1 Kritikk av DSS, KD Kunnskapsdep. vil legge større vekt på sikkerhet tildelingsbrev til UH-sektoren Sekretariat for informasjonssikkerhet Er i ferd med å bli etablert, 1 ny stilling i 2012 29
En metodisk tilnærming til sikkerhet en risikostyrt tilnærming 30
Helt til slutt http://www.isaca.org http://www.sfso.no http://www.nsm.no http://www.datatilsynet.no 31 Kontakt: per.a.enstad@uninett.no 930 91 420
TAKK FOR OPPMERKSOMHETEN! Spørsmål? 32