Revisjon av anbefalte standarder for styringssystem for informasjonssikkerhet Difi gjennomfører en årlig revisjon av alle anvendelsesområder i listen over anbefalte og obligatoriske IT-standarder i offentlig sektor. Høsten 2012 viste gjennomgangen at det snart ville foreligge nye standarder på området styring av informasjonssikkerhet. Høsten 2013 kom disse standardene på plass og dermed denne utredningen for å vurdere om og eventuelt når man skal peke på de nye versjonene av standardene på anvendelsesområdet. Denne utredningen danner grunnlaget for de råd Standardiseringsrådet gir Difi om hvilke standarder offentlig sektor bør ta i bruk på området styring av informasjonssikkerhet. I tillegg danner dette notatet sammen med møtereferatet fra Standardiseringsrådsmøte grunnlaget for høring av den reviderte listen over anbefalte og obligatoriske IT-standarder i offentlig sektor (Standardiseringsportalen). Denne utredningen danner også grunnlaget for endringen av tidligere planlagte standarder på anvendelsesområdet risikostyring av informasjonssikkerhet. Nye internasjonale versjoner av anbefalte standarder I Referansekatalogen over obligatoriske og anbefalte standarder for norsk forvaltning er ISO/IEC 27001:2005 og ISO/IEC 27002:2005 med nærmere spesifiseringer anbefalte til bruk på området styringssystem for informasjonssikkerhet 1. Disse standardene har nå vært gjennom et omfattende internasjonalt revisjonsarbeid. 25.09.2013 kom ISO med de nye versjonene ISO/IEC 27001:2013 og ISO/IEC 27002:2013. På Norsk Standard sine nettsider sies det i tilknytning til disse at 2005- versjonene er «tilbaketrukket». Norsk Standard opplyser at deres tilsvarende versjoner NS-ISO/IEC 27001:2013 og NS-ISO/IEC 27002:2013, som kun har norsk forside og ellers er som de engelske originalversjonene, er forventet klare primo november 2013. De gamle utgavene, fra 2005, trekkes samtidig tilbake. I og med at det tar litt tid før det foreligger nye oppdaterte utgaver av 27003 (implementasjonsråd), 27004 (metrikker) og 27000 (Oversikt og termer) sier Standard Norge at det antakeligvis er viktig for noen at de tilbaketrukne standardene er å få tak i, og at de regner med at blir en tilrettelagt ordning for de som har slike behov når de nye versjonene blir tilgjengelig. Standardene er ikke gratis tilgjengelig, men må kjøpes fra Standard Norge eller tilsvarende. Dette gjelder både Standard Norge sine og de internasjonale. På bakgrunn av endringene i de internasjonale standardene bør Difi ta stilling til om det bør gjøres endringer i anbefalingene i Referansekatalogen for de standarder som er omtalt der og omfattet av versjonsendringene. Det er samtidig naturlig å klargjøre status mht. eventuelle anbefalte forvaltningsstandarder for risikostyring av informasjonssikkerhet. Dette har vært behandlet tidligere 1 I de første gjengivelsene av Referansekatalogen 3.1 ble årstallet (utgaven) ved en inkurie utelatt. Det lå implisitt at anbefalingene gjaldt 2005-versjonen (den siste). Dette er nå i ferd med å bli presisert i oppdtaringer av Referansekatalogen der årstall/versjon er tatt med for disse standardene. Side 1 av 14
uten at Difi har valgt å gjøre bestemte standarder til forvaltningsstandarder gjennom Referansekatalogen. Historikk og betydning i offentlig forvaltning Notat Etter et omfattende forarbeid anbefalte Difi 30.10.2012, i referansekatalogen v. 3.1, å benytte ISO 27001:2005 ved etablering av styringssystem for informasjonssikkerhet. I arbeidet med å implementere relevante kontroller anbefales det å følge strukturen i ISO/IEC 27001 appendiks A og innholdsmessig støtte seg på ISO/ IEC 27002. Det ble videre presisert at dersom en virksomhet allerede har et operativt styringssystem på andre områder (f.eks. i relasjon til ISO 9001, ISO 14001 eller HMS), vil det i de fleste tilfeller være mest hensiktsmessig å oppfylle ISO 27001-kravene innenfor rammene av det eksisterende styringssystemet 2. Dette var første gangen det ble gitt en formell anbefaling om en felles og internasjonalt basert forvaltningsstandard for styring av informasjonssikkerhet i norsk forvaltning. Tydelighet om en slik felles anbefaling var noe mange hadde etterspurt. Det er etter vår vurdering grunn til å tro at denne klargjøringen vil gjøre det lettere å bygge opp relevant kompetanse og etablere og følge opp god styring av informasjonssikkerheten i alle offentlige virksomheter. Målgruppen med anbefalingen er både etatsstyrere i departementene, virksomhetsledere, kvalitetsledere og sikkerhetsledere i staten og tilsvarende i kommunene. Som anbefalt forvaltningsstandard gjelder anbefalingen både stat og kommune. Anbefalingen vil også være viktig for utviklere av regelverk og konkrete veiledninger både innen informasjonssikkerhet og tilgrensende områder. Fornyings- og administrasjonsdepartementet (FAD) tok dette raskt videre og gjennom Digitaliseringsrundskrivet (P10-2012). 31.10.2012 presiserte de at statlige virksomheter skal ha en internkontroll på informasjonssikkerhetsområdet som baserer seg på anerkjente standarder for styringssystem for informasjonssikkerhet. Her henviste de til ovennevnte punkt i Referansekatalogen. Rundskrivet sa videre at denne internkontrollen med fordel kan være en integrert del av virksomhetens helhetlige styringssystem for kontinuerlig forbedring av virksomhetens arbeidsprosesser, måloppnåelse, informasjonssikkerhet, HMS, miljøledelse, samfunnsansvar m.v. De samme føringene er gjengitt i det oppdaterte Digitaliseringsrundskrivet P4-2013, datert 02.09.2013 3. Med rundskrivets krav og videre henvisning til Difis anbefalinger i referansekatalogen, er det nå ikke lenger uklart hva statlige virksomheter bør basere seg på, dersom de ikke har velbegrunnede alternativ. Formuleringene i Digitaliseringsrundskrivet gir samtidig handlingsrom for bruken av de anbefalte standardene ut fra virksomhetens egenart samt risiko og vesentlighet. Dette i samsvar med de overordnede føringene for intern kontroll i økonomiregelverket i staten. FADs presisering av at denne internkontrollen med fordel kan være en integrert del av virksomhetenes helhetlige styringssystem, anses også som et viktig signal for å få virksomhetene til å ta de riktige helhetlige vurderingene før de starter implementeringen. 2 Jf. den fullstendige teksten gjengitt i vedlegg 2 3 Jf. den fullstendige teksten gjengitt i vedlegg 3 Side 2 av 14
Digitaliseringsrundskrivet kan etter vår vurdering også sees på som en tydeliggjøring av eforvaltningsforskriftens 13. I Difis rapport 2012:15 4 foreslår Difi at eforvaltningsforskriftens 13 revideres og presiseres med i hovedsak det innhold og den tolkning av Digitaliseringsrundskrivet som er gitt over. I et forslag 5 om flere endringer i eforvaltningsforskriften, som nylig var til høring med høringsfrist 13.09.2013, har FAD fulgt opp dette. Der er 13 foreslått oppdatert og harmonisert med føringene i Digitaliseringsrundskrivet. I tillegg til harmoniseringen vil de tydeliggjorte føringene også gjelde for kommunene. Det er etter vår vurdering grunn til å tro at både rundskrivet og harmoniseringen med eforvaltningsforskriften vil sørge for at det blir bedre kjennskap i hele offentlig sektor om både den anbefalte standardene og rundskrivet/forskriftens presiseringer. Videre at ledere på alle nivå i større grad vil se styringssystem for informasjonssikkerhet som en del av den ordinære internkontrollen og noe som med fordel kan integreres i eksisterende styringssystem. En må også kunne forvente at rundskrivet og den trolige forskriftsendringen vil medfører at flere virksomhetsledere retter fokus på status innen området i egen virksomhet, og ut fra dette starter arbeidet med forbedringstiltak. Tilsvarende at en del etatsstyrere i større grad tar opp temaet i etatsstyringen, og at relevante statusundersøkelser og forbedringstiltak blir iverksatt i virksomhetene som følge av dette. Versjonsendringer i ISO/IEC 27001 og 27002 ISO/IEC 27001 I Difis rapport 2012:15 er de (da) kommende endringene omtalt. Der heter det om 27001: I den nye versjonen av ISO 27001 som trolig kommer høsten 2013 er det forventet en vesentlig omstrukturering av innholdet i standarden. Dette bl.a. for å oppnå større harmonisering med andre styringssystemstandarder som ISO 9001. Selve innholdet forventes det imidlertid ikke vesentlige endringer i, bortsett fra tillegg av noen nye sikringsområder som bør vurderes. I tillegg forventes det som nevnt at den såkalte Plan-Do-Check-Act modellen tones ned eller fjernes helt i den nye versjonen av standarden. Dette synes å ha vært en rimelig riktig beskrivelse av endringene. The British Standards Institution (BSI) sier nå følgende 6 om hovedendringene: What are the main changes? The revised standard has been written using the new high level structure, which is common to all new management systems standards. This will allow easy integration when implementing more than one management system 4 Styringssystem for informasjonssikkerhet. Erfaringer med og anbefalinger om standardene ISO 27001 og ISO 27002 (Difi, Rapport 2012:15) 5 Jf. den fullstendige forslagsteksten gjengitt i vedlegg 1 pkt. 4 eller omtalt i pkt. 6.4 og gjengitt i pkt. 11 i høringsnotatet http://www.regjeringen.no/upload/fad/vedlegg/iktpolitikk/horingsnotat_dig_komm.pdf. 6 Jf. http://www.bsigroup.com/en-gb/iso-27001-information-security/isoiec-27001-revision/ Side 3 av 14
Terminology changes have been made and some definitions have been removed or relocated Risk assessment requirements have been aligned with BS ISO 31000 Management commitment requirements have a focus on leadership Preventive action has been replaced with actions to address, risks and opportunities SOA requirements are similar, with more clarity on the need to determine controls by the risk treatment process Controls in Annex A have been modified to reflect changing threats, remove duplication and have a more logical grouping. Specific controls have also been added around cryptography and security in supplier relationships. Greater emphasis is on setting objectives, monitoring performance and metrics Dette er videre utdypet i BSI sitt fritt nedlastbare «transition guide» dokument 7 «Moving from ISO/IEC 27001:2005 to ISO/IEC 27001:2013». Der heter det at ISO/IEC 27001:2013 først og fremst er en revisjon som tar opp i seg de praktiske erfaringene ved bruken av standarden. Dette er den første revisjonen av ISO/IEC 27001. Det pekes samtidig på to andre viktige innflytelser på revisjonen. Det første er ISO sine nye krav om at alle nye og reviderte styringssystemstandarder skal møte de samme kravene til overordnet struktur og benytte samme kjernetekst. Dette for å gjøre det lettere for virksomhetene å implementere og etterleve standardene i helhetlige styringssystem som dekker flere områder. Det andre viktige innflytelsen var beslutningen om koble ISO/IEC 27001 til prinsippene og veiledningen i ISO 31000 (risk management). Dette også for å legge til rette for at virksomheter kan benytte den samme risikovurderingsmetodikk på tvers av flere disipliner. Et godt eksempel på dette er at identifikasjon av verdier, trusler og sårbarheter ikke lenger er et krav for å identifisere informasjonssikkerhetsrisikoer. Det blir opp til virksomhetene om de finner denne eller andre tilnærminger hensiktsmessig. Videre er vedlegg A i ISO/IEC 27001 og tiltaksmål og tiltak i ISO/IEC 27002 tett koblet også i den nye versjonen. Vedlegg A i 27001 er dermed justert og harmonisert i tråd med revisjonen av aktuelle sikringsmål og tiltak i 27002. For mer detaljerte utdypninger om endringer i ISO/IEC 27001 viser vi til vedlagt «transition guide» dokument fra BSI ISO/IEC 27002 I Difis rapport 2012:15 er de (da) kommende endringene i ISO/IEC 27002 omtalt som følger: I den nye versjonen av ISO 27002 som trolig kommer høsten 2013, forventes det en del endringer på struktur i dokumentet. Det kommer også til noen nye mål, sikringstiltak og retningslinjer for noen nye områder. Det forventes også noen mindre endringer i tidligere mål, sikringstiltak og retningslinjer. 7 Jf. Vedlegg 5 her eller http://www.bsigroup.com/documents/iso-27001/resources/bsi-iso27001- transition-guide-uk-en-pdf.pdf Side 4 av 14
Dette synes også i hovedsak å være rimelig riktig. I BSI sin nye omtale 8 av ISO/IEC 27002:2013 heter det: Whilst many of its controls in BS ISO/IEC 27002:2013 are unchanged from the 2005 edition, the associated guidance text has been thoroughly reviewed and updated. Some controls have been removed or combined as they are no longer considered best practice in today s highly interconnected world. Other controls have been clarified or reworded. New controls have been added, addressing developments in technology such as cloud computing and new management challenges such as supplier chain relationships. I BSIs tidligere refererte «transition guide» for ISO 27001 heter det: During the revision of ISO/IEC 27002 the number of controls has been reduced from 133 controls to 114 controls, and the number of major clauses has been expanded from 11 to 14. Some controls are identical or otherwise very similar; some have been merged together; some have been deleted and some are new. It is important to appreciate that the usefulness of a control to an organization should not change because it has been removed from Annex A. In accordance with Clause 6.1.3, controls are now determined on the basis of risk treatment. If an organization wishes to treat particular risks by deliberately not connecting a computer to the Internet or other networks, then it will need to use a control like the old A.11.6.2 regardless of whether it is in Annex A or not. Konsekvenser av versjonsendringene De som allerede har et velfungerende styringssystem Etter vår vurdering er det ingen dramatiske endringer i ISO/IEC 27001:2013 som gjør at offentlige virksomheter som allerede har et velfungerende styringssystem basert på ISO/IEC 27001:2005 umiddelbart må gjøre vesentlige endringer i sitt styringssystem. For de fleste av disse virksomhetene vil det være naturlig å gjennomføre endringene gradvis eller stegvis som en naturlig del av den kontinuerlige forbedringen som tidligere lå i Plan-Do-Check-Act prosessen og som nå ligger i det spesifikke kravet om kontinuerlig forbedring 9. Som BSI er inne på i sin «transition guide» er sentrale endringer i denne standarden en oppsummering av erfaringer og forbedringsmuligheter gjort av mange. En oppdatering av anbefalingene i referansekatalogen bør synliggjøre at den nye versjonen av standarden kan implementeres på denne måten. Med det til grunn kan vi ikke se at en endring i anbefalingene fra 2005-versjonen til 2013-versjonen vil medføre spesielle kostnader for virksomhetene som de ellers ikke naturlig ville fått. En viss kostnad vil det likevel ligge i å gjøre seg kjent med den nye standarden og foreta de justeringer en selv ser er nødvendig. Dette er imidlertid kostnader som naturlig må sees som driftskostnader ved å ha tilstrekkelig styring og kontroll på informasjonssikkerhetsområdet. Den strukturelle endring som 8 Jf. http://shop.bsigroup.com/productdetail/?pid=000000000030186138 9 Jf. pkt 10.2 i ISO/IEC 27001:2013 Side 5 av 14
ligger i harmonisering av alle styringssystemstandardene har også et gevinstpotensiale for virksomheter som eventuelt opererer med ulike styringssystem for en rekke forskjellig områder. Dette kan bli lettere å få synliggjort og ta ut med basis i den nye versjonen ISO/IEC 27001:2013. Det er også verdt å merke seg følgende vurdering og nyttepotensiale fra Difis rapport 2012:15 s. 58: Det synes samtidig som om virksomhetene som etablerer helhetlige styrings- og kvalitetssystem med forankring i virksomhetens arbeidsprosesser, når bedre ut i hele organisasjonen med relevante risikovurderinger og bevissthet om informasjonssikkerhet. Den viktigste oppdateringen for de som allerede har et velfungerende styringssystem er etter vår vurdering de nye tiltakene i vedlegg A i ISO 27001:2013 med tilhørende utdypninger og veiledninger i ISO 27002:2013. For høye risikoer bør det anbefales at også slike virksomheter tidlig vurderer de oppdateringer og endringer som ligger i vedlegg A i ISO/IEC27001:2013, med støtte i tilsvarende i ISO/ IEC 27002:2013. Som Difi sier videre i rapport 2012:15: Samtidig synes god sikkerhetskompetanse å være avgjørende for forståelse av trusler og sannsynlighet og for målrettet etablering og etterlevelse av de konkrete sikkerhetstiltakene. De som ikke har et velfungerende styringssystem Etter vår vurdering inneholder ikke ISO/IEC 27001:2013 element som gjør det dyrere å etablere et styringssystem etter denne versjonen enn 2005-versjonen. Som anbefaling til virksomheter som står i startgropen eller har behov for store forbedringer, vil det tvert om måtte ansees som en fordel at anbefalingene er basert på oppdaterte erfaringer. Den harmonisering som tidligere er omtalt av styringssystemstandardene som den nye versjonen av ISO 27001:2013 er en del av, vil etter vår vurdering også lettere kunne gi mer sammenhengende og helhetlige styringssystem i virksomhetene, skape større forståelse, forankring og effekt også for informasjonssikkerheten, redusere kostnader ved etablering av flere styringssystemvarianter og understøtte FAD sine anbefalinger og føringer fra Digitaliseringsrundskrivet om helhetlige styringssystem. Den samme harmoniseringseffekten kan den sterkere og mer synlige koblingen til ISO 31000 gi. Her reiser det seg samtidig et mulig behov for ytterligere presiseringer og veilednigner når det gjelder anbefalinger om metodikk for risikovurderinger som vi kommer tilbake til under. Et oppdatert vedlegg A i ISO 27001:2013, med støtte i tilsvarende i ISO/ IEC 27002:2013, anser vi også som en svært positiv forbedring for de virksomheter som står i startgropen eller har behov for store forbedring. Også på tiltakssiden er det gjennom praksis gjort nyttige erfaringer og det har skjedd forbedringer i råd og veiledninger som ved en oppdatert anbefaling i Referansekatalogen blir lettere tilgjengelig for virksomhetene. Den generelle tekstopprydding som synes å være gjort i ISO/IEC 27002 2013-versjonen og tydeliggjøring av den som støttedokument til vedlegg A i ISO/IEC 27001, gjør den også etter vår vurdering mer forståelig og lettere tilgjengelig for risikobasert bruk. Vi ser ingen økte kostnader for offentlige virksomheter ved å anbefale en oppdatert versjon i Referansekatalogen. Kostnader kan selvsagt komme dersom virksomhetene ser behov for å benytte nye tiltak. Siden disse skal være Side 6 av 14
risikobaserte, vil imidlertid slike være forankret i virksomhetenes behov for å få risikoer redusert til akseptabelt risikonivå. Oppsummert om konsekvenser Vi ser ingen vesentlige nye kostnader ved å endre anbefalingene i referansekatalogen til de nye versjonene av ISO/IEC 27001 og ISO/IEC 27002 i den retning som er skissert over. Eventuelle anbefalinger om metodikk for risikovurderinger Difi har tidligere gjennomført en utredning 10 av standarder for risikostyring av informasjonssikkerhet i offentlig forvaltning. Dette i oppfølgingen av tilsvarende arbeid om styringssystem. Tre internasjonale standarder/rammeverk er vurdert i tillegg til flere norske og internasjonale veiledninger/støttedokument og metoder. Rapporten har fokus på standardisering på informasjonssikkerhetsområdet. Om bakgrunn og vektlegging sier rapporten bl.a.: En standardisering vil medføre at virksomhetene har et felles utgangspunkt for å forstå hverandres risikogradering. Standardisering vil også forenkle kommunikasjonen mellom virksomhetene samt gi bedre samhandling i offentlig sektor. Dette vektlegges også i rapporten. Rapporten fokuserer ikke på behovet for helhetlig risikostyring internt i virksomheter på tvers av ulike områder som informasjonssikkerhet, virksomhetsstyring, HMS, miljøstyring m.v. I den avsluttende vurderingen sier rapporten: ISO/IEC 27001 og 27002 er anbefalte standarder for styring av informasjonssikkerhet.. Sammenhengen mellom ISO/IEC 27001 og ISO/IEC 27005 bør derfor tillegges avgjørende vekt for at ISO/IEC 27005 blir foretrukket. Det er ingen større ulemper ved å innføre RiskIT og NIST SP 800-39 fremfor ISO/IEC 27005. Sett i sammenheng med ISO/IEC 27001 antar vi imidlertid at det er større kostnader med å innføre de to førstnevnte. Rapporten anbefaler med dette til grunn at ISO/IEC 27005 blir gjort til forvaltningsstandard. I tillegg anbefaler den at to veiledere blir gjort til forvaltningsstandarder: Difis Risikovurdering en veiledning til Rammeverk for autentisering og uavviselighet i elektronisk kommunikasjon med og i offentlig sektor og Helsedirektoratets Risikovurdering til Norm for informasjonssikkerhet. Saken ble behandlet i Standardiseringsrådet 13. november 2012. Møtereferatet 11 viser at det var en del diskusjoner og innspill til Difis videre arbeid. De formelle konklusjonene i Standardiseringsrådet var: Det ble besluttet å gi råd til Difi om å gjøre ISO 27005 til en anbefalt standard for risikostyring. Det ble besluttet å gi råd til Difi om å videreutvikle «Veilederen i risikovurdering av elektronisk kommunikasjon» før rådet eventuelt vurderer den på nytt. I tillegg bør det tas frem et forvaltningsregime for veilederen før den fremmes på nytt. Rådet oppfordrer på det sterkeste at Difi prioriterer å jobbe videre med en slik veileder, og gjerne i samarbeid med Datatilsynet og NSM. 10 http://www.standard.difi.no/filearchive/utredning-av-standarder-for-risikostyring_v1.0_1.pdf 11 http://www.standard.difi.no/filearchive/20120313-motereferat-std-raadet.pdf Side 7 av 14
Kort tid etter kom Difi med den tidligere omtalte Rapport 2012:15 Styringssystem for informasjonssikkerhet. Erfaringer med og anbefalinger om standardene ISO 27001 og 27002. Denne rapporten synliggjorde bl.a. at behovet for mer enhetlig risikostyring er vel så stort på tvers av områder internt i virksomheter som innen informasjonssikkerhet alene på tvers av virksomheter. Det er det siste den første rapporten om Risikostyring hadde fokus på. I tillegg foretok Difi, hovedsaklig i den nyopprettede seksjon for informasjonssikkerhet, en ny overordnet vurdering av nytten og konsekvensene av å gjøre ISO/IEC 27005 til anbefalt forvaltningsstandard. Vår nye vurdering er at ISO/IEC vil være mest nyttig for store virksomheter og for de som lager mer tilrettelagte veiledninger for de andre. De fleste virksomheter i offentlig sektor er av en størrelse som gjør at de trenger tilpassede veiledninger mer enn en anbefaling om det som kan oppfattes som en kompleks ISO/IEC 27005. En anbefaling om ISO/IEC 27005 som forvaltningsstandard for alle offentlige virksomheter vil kunne føre til vesentlige kostnader for mange virksomheter som ikke står i samsvar med nytten. Disse to forholdene samlet gjorde at Difi til nå har valgt å ikke gjøre ISO/IEC 27005 til anbefalt forvaltningsstandard. Når vi nå ser dreiningen i ISO/IEC 27001:2013 inn mot ISO 31000 mer enn ISO/IEC 27005, tar vi det som en klar indikasjon på at dette har vært en riktig vurdering. Samtidig er vi enige med Standardiseringsrådet om at veiledningsmateriell i risikostyring må prioriteres. Det har det dessverre ikke vært kapasitet til ennå. Vi har også vurdert om vi bør legge mer fleksible retningsgivende anbefalinger inn i Referansekatalogen som eksemplevis: Ved valg av metoder eller ved utarbeiding av veiledninger for risikostyring anbefales det å støtte seg på begrepene, prinsippene og veiledningene i ISO 31000:2009 og ISO/IEC 27005:2011 med eventuell ytterligere støtte i NIST SP 800-39. Metode- og veiledningsvalgene virksomheten gjør bør være risikobasert og tilpasset virksomhetens behov. Dersom en virksomhet allerede har metoder og veiledninger for risikostyring vil det ofte være mest hensiktsmessig med en helhetlig harmonisering av virksomhetens risikostyringsmetodikk tilpasset virksomhetens egenart. Etter en nærmere vurdering er vi kommet frem til at anbefalinger og formuleringer som dette mer hører hjemme på Difis veiledningssider for informasjonssikkerhet enn i Referansekatalogen. Difi er i gang med en større satsning for å styrke kompetanse og verktøy innen informasjonssikkerhet i forvaltninga. Slike anbefalinger og videre arbeid med konkrete veiledninger og verktøy vil bli kanalisert dit. Difi vil derfor pr. i dag ikke legge konkrete anbefalinger om standarder for risikostyring inn i Referansekatalogen. Saken vil imidlertid bli vurdert videre i forbindelse med den videre satsingen på veiledning og veiledningsmateriell til forvaltningen innen både risikostyring spesielt og informasjonssikkerhet generelt. Om foreslåtte endringer i referansekatalogen pkt. 2.16 Styringssystem for informasjonssikkerhet 2.16.1 Avgrensning av bruksområde Side 8 av 14
I arbeidet med Difis rapport 2012:15 ble det identifisert at det hos mange er usikkerhet eller uklare oppfatninger om hva et styringssystem er. Dagens innledende beskrivelse av området under punktet 2.16.1 i Referansekatalogen benytter en språkbruk og forklaringsmåte som ikke gjør det spesielt enkelt å forstå. Med utgangspunkt i de forklaringer Difi har benyttet i rapport 2012:15 foreslås det at hele denne innledende teksten under 2.16.1 erstattes med følgende: Bruksområdet er internkontroll (styring og kontroll) på informasjonssikkerhetsområdet. Formålet er at en virksomhet skal ha tilstrekkelig styring og kontroll på informasjonssikkerheten; dvs. tilstrekkelig styring og kontroll på sikring av konfidensialitet, integritet og tilgjengelighet på informasjon. Dette gjelder både internt i virksomheten, i kommunikasjon med andre og ved bruk av tredjeparts tjenester i kommunikasjon og annen databehandling. Bruksområdet gjelder både informasjon som blir ansett som viktig for å nå virksomhetens mål og informasjon som er underlagt særskilte krav gjennom regelverk (for eksempel personopplysningloven, eforvaltningsforskriften og sikkerhetsloven). Det er forøvrig det bruksområde (scope) virksomhetsledelsen definerer som en overordnet føring for styringssystemet/internkontrollen som utgjør det faktiske bruksområdet i den enkelte virksomhet. 2.16.2 Bruk av standarder innen dette bruksområdet Som omtalt over ser Difi bare positive effekter av å anbefale de nye og oppdaterte 2013-versjonene av ISO/IEC 27001 og 27002 til virksomheter som står i startgropen eller har behov for store forbedringer i sine styringssystem. Versjonsangivelsen foreslås derfor endret i første avsnitt under 2.16.2. I dagens versjon står det at «Det er anbefalt å benytte ISO/IEC 27001». I Digitaliseringsrundskrivet og i forslag til endringer i eforvaltningsforskriften benyttes formuleringen «baserer seg på anerkjente standarder». Difi mener det er viktig med ensartet begrepsbruk her slik at virksomhetene ikke unødig blir i tvil om handlingsrommet sitt. Det foreslås derfor en justering til «basere seg på» i første setning. I dagens versjon benyttes begrepet «kontroller» og henvisningen «appendiks A». Det foreslås å tydeliggjøre begreps- og språkbruken ved å erstatte disse med «tiltak (kontroller)» og «vedlegg A» og flytte vedleggshenvisningen foran standardnavnet. Justert første avsnitt under 2.16.2 blir da: Det er anbefalt å basere seg på ISO/IEC 27001:2013 ved etablering av styringssystem for informasjonssikkerhet. I arbeidet med å implementere relevante tiltak (kontroller) anbefales det å følge strukturen i vedlegg A i ISO/IEC 27001:2013 og innholdsmessig støtte seg på ISO/ IEC 27002:2013. Andre avsnitt under pkt. 2.16.2 foreslås videreført med to små endringer. Det ene er oppdatering av versjonsnummeret på ISO/IEC 27001. Det andre er at «mål- og resultatstyring» tas med i eksempellisten. Det synliggjør tydeligere den referanse til helhetlige styringssystem som Digitaliseringsrundskrivet gir. Justert andre avsnitt under 2.16.2 blir da: Side 9 av 14
Dersom en virksomhet allerede har et operativt styringssystem på andre områder (f.eks. i relasjon til ISO 9001, ISO 14001, HMS eller mål- og resultatstyring), vil det i de fleste tilfeller være mest hensiktsmessig å oppfylle kravene i ISO/IEC 27001:2013 innenfor rammene av det eksisterende styringssystemet. For virksomheter som allerede har et velfungerende styringssystem vil det, som omtalt over, etter vår vurdering være naturlig å gjennomføre endringene de nye versjonene medfører gradvis eller stegvis som en naturlig del av den kontinuerlige forbedringen som er et krav i begge versjoner av standardene. Samtidig bør slike virksomheter anbefales å vurdere nye tiltak i det oppdaterte vedlegg A i ISO/IEC 27001:2013 for spesielle risikoer. Vi foreslår derfor et nytt tredje avsnitt under 2.16.2 som følger: For virksomheter som allerede har et velfungerende styringssystem basert på ISO/IEC 27001:2005 anbefales det en gradvis overgang til ISO/IEC 27001:2013 som en del av arbeidet med kontinuerlige forbedring av styringssystemet. Dersom slike virksomheter har risikoer over akseptabelt risikonivå, anbefales det samtidig at virksomhetene tidlig vurderer de oppdateringer og endringer som ligger i vedlegg A i ISO/IEC 27001:2013, med støtte i tilsvarende i ISO/ IEC 27002:2013. Siste avsnitt i dagens pkt. 2.16.2 har som formål å peke på at lov- og regelverkskrav kan være mer omfattende enn kravene i standardene. For å gjøre formål og konsekvens tydeligere foreslås det at også dette siste avsnittet justeres til: Det presiseres at lov- og regelverkskrav kan være mer omfattende enn krav og anbefalinger som uttrykkelig er inntatt i de ovennevnte standardene. Den enkelte virksomhetene må derfor som en del av arbeidet tilknyttet styringssystem for informasjonssikkerhet identifisere og etterleve de lov- og regelverkskrav som gjelder for dem. En samlet fremstilling av forslaget til endret punkt 2.16 Styringssystem for informasjonssikkerhet i Referansekatalogen ligger i vedlegg 1. Samme punktet slik det lyder i versjon 3.1 i Referansekatalogen ligger i vedlegg 2. Kravene i pkt. 1.7 Informasjonssikkerhet i Digitaliseringsrundskrivet ligger i vedlegg 3. Forslag til justert 13 i eforvaltningsforskriften ligger i vedlegg 4. BSIs transition guide som synligjør viktige forskjeller mellom 2005- og 2013-versjonen av ISO/IEC 27001 følger som vedlegg 5. Side 10 av 14
Vedlegg 1: Nytt forslag til Referansekatalogens pkt. 2.16 Styringssystem for informasjonssikkerhet 2.16 Styringssystem for informasjonssikkerhet 2.16.1 Avgrensing av bruksområde Bruksområdet er internkontroll (styring og kontroll) på informasjonssikkerhetsområdet. Formålet er at en virksomhet skal ha tilstrekkelig styring og kontroll på informasjonssikkerheten; dvs. tilstrekkelig styring og kontroll på sikring av konfidensialitet, integritet og tilgjengelighet på informasjon. Dette gjelder både internt i virksomheten, i kommunikasjon med andre og ved bruk av tredjeparts tjenester i kommunikasjon og annen databehandling. Bruksområdet gjelder både informasjon som blir ansett som viktig for å nå virksomhetens mål og informasjon som er underlagt særskilte krav gjennom regelverk (for eksempel personopplysningloven, eforvaltningsforskriften og sikkerhetsloven). Det er forøvrig det bruksområde (scope) virksomhetsledelsen definerer som en overordnet føring for styringssystemet/internkontrollen som utgjør det faktiske bruksområdet i den enkelte virksomhet. 2.16.2 Bruk av standarder innen dette bruksområdet Det er anbefalt å basere seg på ISO/IEC 27001:2013 ved etablering av styringssystem for informasjonssikkerhet. I arbeidet med å implementere relevante tiltak (kontroller) anbefales det å følge strukturen i vedlegg A i ISO/IEC 27001:2013 og innholdsmessig støtte seg på ISO/ IEC 27002:2013. Dersom en virksomhet allerede har et operativt styringssystem på andre områder (f.eks. i relasjon til ISO 9001, ISO 14001, HMS eller mål- og resultatstyring), vil det i de fleste tilfeller være mest hensiktsmessig å oppfylle kravene i ISO/IEC 27001:2013 innenfor rammene av det eksisterende styringssystemet. For virksomheter som allerede har et velfungerende styringssystem basert på ISO/IEC 27001:2005 anbefales det en gradvis overgang til ISO/IEC 27001:2013 som en del av arbeidet med kontinuerlige forbedring av styringssystemet. Dersom slike virksomheter har risikoer over akseptabelt risikonivå, anbefales det samtidig at virksomhetene tidlig vurderer de oppdateringer og endringer som ligger i vedlegg A i ISO/IEC 27001:2013, med støtte i tilsvarende i ISO/ IEC 27002:2013. Det presiseres at lov- og regelverkskrav kan være mer omfattende enn krav og anbefalinger som uttrykkelig er inntatt i de ovennevnte standardene. Den enkelte virksomhet må derfor som en del av arbeidet tilknyttet styringssystem for informasjonssikkerhet identifisere og etterleve de lov- og regelverkskrav som gjelder for dem.
Vedlegg 2: Dagens pkt. 2.16 Styringssystem for informasjonssikkerhet i Referansekatalogen versjon 3.1 2.16 Styringssystem for informasjonssikkerhet 2.16.1 Avgrensning av bruksområde Anvendelsesområdet gjelder sikker offentlig behandling av beskyttelsesverdig informasjon. Med beskyttelsesverdig forstås her informasjon som er underlagt krav om beskyttelse gjennom regelverk (for eksempel personopplysningloven) eller informasjon med særlig behov for beskyttelse (for eksempel informasjon som blir ansett som samfunnskritisk eller virksomhetskritisk). Anvendelsesområdet gjelder styring av alle aspekter av informasjonssikkerhet; konfidensialitet, integritet og tilgjengelighet (inkludert krav til uavviselighet). Anvendelsesområdet inkluderer blant annet, men avgrenser seg ikke til, styring av informasjonssikkerheten ved samhandling og elektronisk kommunikasjon med og i offentlig sektor og styring av informasjonssikkerheten knyttet til ekstern og intern drift av beskyttelsesverdig informasjon. 2.16.2 Bruk av standarder innen dette bruksområdet Det er anbefalt å benytte ISO/IEC27001 ved etablering av styringssystem for informasjonssikkerhet. I arbeidet med å implementere relevante kontroller anbefales det å følge strukturen i ISO/IEC27001 appendiks A og innholdsmessig støtte seg på ISO/ IEC 27002. Dersom en virksomhet allerede har et operativt styringssystem på andre områder(f.eks. i relasjon til ISO 9001, ISO 14001 eller HMS), vil det i de fleste tilfeller være mest hensiktsmessig å oppfylle ISO27001-kravene innenfor rammene av det eksisterende styringssystemet. Det presiseres at selv om det å følge anviste standarder på området bidrar til økt sikkerhet, gir det ikke en automatisk tilfredsstillelse av alle krav i gjeldende regelverk.
Vedlegg 3: Pkt 1.7. Informasjonssikkerhet i Digitaliseringsrundskrivet (P- 4/2013) Virksomheten skal ha en internkontroll på informasjonssikkerhetsområdet som baserer seg på anerkjente standarder for styringssystem for informasjonssikkerhet. Denne internkontrollen kan med fordel være en integrert del av virksomhetens helhetlige styringssystem for kontinuerlig forbedring av virksomhetens arbeidsprosesser, måloppnåelse, informasjonssikkerhet, HMS, miljøledelse, samfunnsansvar m.v.
Vedlegg 4: Høringsforslag til endring av e-forvaltningsforskriftens 13 Overskriften til kapittel 3 skal lyde: Styring og kontroll med informasjonssikkerheten 13 skal lyde: 13. Internkontroll på informasjonssikkerhetsområdet (1)Forvaltningsorgan som benytter elektronisk kommunikasjon skal ha beskrevet mål og strategi for informasjonssikkerhet i virksomheten (sikkerhetsmål og sikkerhetsstrategi). Disse skal danne grunnlaget for forvaltningsorganets internkontroll (styring og kontroll) på informasjonssikkerhetsområdet. Sikkerhetsstrategien og internkontrollen skal inkludere relevante krav som er fastsatt i annen lov, forskrift eller instruks. (2) Forvaltningsorganet skal ha en internkontroll (styring og kontroll) på informasjonssikkerhetsområdet som baserer seg på anerkjente standarder for styringssystem for informasjonssikkerhet. Internkontrollen bør være en integrert del av virksomhetens helhetlige styringssystem. Det organet departementet peker ut skal gi anbefalinger på området. (3) Omfang og innretning på internkontrollen skal være tilpasset risiko (4) I den utstrekning det er relevant skal sikkerhetsstrategien og internkontrollen for øvrig også adressere, og om nødvendig stille krav til, bl.a.: a) prosedyrer for anskaffelse, bruk, oppbevaring og sikring av signaturfremstillingsdata, passord/pinkoder og dekrypteringsnøkkel knyttet til personlige sertifikat eller sertifikat for ansatt i forvaltningen, jf. 15, 17 og 20; b) prosedyrer for anskaffelse, bruk, oppbevaring og sikring av signaturfremstillingsdata, passord/pinkoder og dekrypteringsnøkkel knyttet til virksomhetssertifikat, jf. 14 og 21; c) prosedyrer for å etablere og opprettholde et sikkert brukermiljø der det benyttes elektroniske signaturer, kryptering eller andre sikkerhetstjenester, jf. 18; d) prosedyrer for varsling og tilbaketrekking av sertifikat og passord/pin-koder ved mistanke om tap eller misbruk, jf. 23; e) prosedyrer for kontroll av sertifikater og tilbaketrekkingslister ved mottak av melding utstyrt med elektronisk signatur, herunder krav til hvor oppdatert informasjon om sertifikaters status bør være for de ulike formål sertifikatene benyttes for, jf. 25; f) prosedyrer for å nekte bruk av sertifikat mv. ved misbruk av elektronisk kommunikasjon med forvaltningen, jf. 12; g) prosedyrer for behandling av personopplysninger og taushetsbelagt informasjon, jf. 5 og 24, se også personopplysningsloven 13 og personopplysningsforskriften kap. 2; h) prosedyrer for sikkerhetskopiering, oppbevaring og deponering av dekrypteringsnøkkel for opplysninger som angår forvaltningsorganet, jf. 22.