ISMS for Offentlig sektor Dataforum

Like dokumenter
ISO-standarderfor informasjonssikkerhet

ISO 41001:2018 «Den nye læreboka for FM» Pro-FM. Norsk tittel: Fasilitetsstyring (FM) - Ledelsessystemer - Krav og brukerveiledning

ISO Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen

Rettslige krav til styring av informasjonssikkerhet. Karin Kristiansen og Amund Eriksen

Hva er et styringssystem?

Det 7. norske arkivmøtet Informasjonssikkerhet i endringsprosesser. 6. April 2016

Erfaringer med innføring av styringssystemer

Sikkerhet, risikoanalyse og testing: Begrepsmessig avklaring

En praktisk anvendelse av ITIL rammeverket

Helhetlig risikostyring og informasjonssikkerhet. Knut Håkon T. Mørch PricewaterhouseCoopers Tlf.

Standarder for informasjonssikkerhet Rune Ask

Veileder for virksomheter som skal gå fra ISO/IEC 27001:2005 til ISO/IEC 27001:2013

Internkontroll og informasjonssikkerhet lover og standarder

Kontinuitetsplanlegging teori og praksis. Arve Sandve Scandpower AS ESRA,

Revisjon av IT-sikkerhetshåndboka

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001

ISO/DIS 45001, INNHOLD OG STRUKTUR. Berit Sørset, komiteleder, Norsk Industri

PAS 55 kvalitetsstandard for anleggsforvaltning i infrastrukturselskaper. Elsikkerhetskonferansen 2013 NEK

RS402 Revisjon i foretak som benytter serviceorganisasjon

Policy for informasjonssikkerhet og personvern i Sbanken ASA

Informasjonssikkerhet En tilnærming

Nye krav i ISO 9001, hvilke er de og hvordan implementere disse i TQM? Ragna Karoline Aasen

DE VIKTIGSTE ENDRINGENE I NYE ISO 9001:2015 OG ISO 14001:2015

Standarder for Asset management ISO 55000/55001/55002

Asset Management. Compliance og Operasjonell Risiko. Asle Bistrup Eide. Presentasjon i VFF den 28. november 2012

November Internkontroll og styringssystem i praksis - Aleksander Hausmann

Måling av informasjonssikkerhet. Håkon Styri Seniorrådgiver Oslo,

ITLED4021: IT og Ledelse Høst Styring av IT Sikkerhet. Audun Jøsang Universitetet i Oslo

Erfaringer fra en Prosjektleder som fikk «overflow»

Lovlig bruk av Cloud Computing. Helge Veum, avdelingsdirektør Difi, Oslo

Endringer i revidert ISO 50001

Standarder med relevans til skytjenester

Samfunnssikkerhet - hvordan påvirke internasjonale standarder innenfor samfunnssikkerhet?

Styringssystem basert på ISO 27001

Avmystifisere internkontroll/styringssystem - informasjonssikkerhet

EDB Business Partner. Sikkerhetskontroller / -revisjoner

SPISSKOMPETANSE GIR BEDRE INTERNREVISJON

Sikkerhetsledelse fra en toppleders ståsted - Erfaringer fra DSS

Ivaretakelse av teknisk integritet ved levetidsforlengelse. Hans Urdahl 5. november 2009

ISO serien Asset management

Styringssystem for informasjonssikkerhet et topplederansvar

Følger sikkerhet med i digitaliseringen?

ISOs styringssystemstandarder et verktøy for forenkling

SIKKERHET OG TILLIT FRA ET TVERRFAGLIG PERSPEKTIV

Gjermund Vidhammer Avdelingsleder Governance, risk & compliance

ISO 22301:2012 en introduksjon Årsmøte og seminar 12 Jun 2012 Arnfinn Roland

Hvordan styre informasjonssikkerhet i et dynamisk trusselbilde? Tommy Molnes Security Manager Digital Sikkerhet AS

ISO 9001:2015 Endringer i ledelsesstandarder

C L O U D S E C U R I T Y A L L I A N C E

Guri Kjørven, Standard Norge NS-ISO LEDELSESSYSTEMER FOR ARBEIDSMILJØ KRAV OG VEILEDNING OM BRUK

REVISJON AV COMPLIANCE-PROGRAMMER

Trondheim, SEMINAR: TA GREP OM ENERGIEN MED NS-EN ISO 50001:2018

Presentasjon sikkerhetsforum Avdelingsdirektør Arne Lunde Uh-avdelingen KD

Styring og ledelse av informasjonssikkerhet

Neste generasjon ISO standarder ISO 9001 og ISO Hva betyr det for din bedrift? DNV GL Business Assurance Norway AS SAFER, SMARTER, GREENER

Internkontroll i praksis (styringssystem/isms)

Forelesning 5: Ledelse av informasjonssikkerhet, Menneskelige faktorer for info-sikkerhet

Tilsyn med IKT-sikkerhet i boreprosesskontroll, støttesystemer innen petroleumsnæringen

Guri Kjørven, ISO/CD :2015 LEDELSESSYSTEMER FOR ARBEIDSMILJØ

Erfaringer fra revisjon av informasjonssikkerhet i statsforvaltningen

Risikofokus - også på de områdene du er ekspert

Overordnet IT beredskapsplan

Informasjonssikkerhet i kommunene. Gaute Wangen, seniorrådgiver Seksjon for digital sikkerhet, NTNU

Strategi for Informasjonssikkerhet

Riksrevisjonens erfaringer fra sikkerhetsrevisjoner

Hva er sikkerhet for deg?

Måling av informasjonssikkerhet ISO/IEC 27004:2016. Håkon Styri Seniorrådgiver Oslo,

Mandat informasjonssikkerhet. Avdelingsdirektør Arne Lunde Uh-avdelingen KD

Luftfartstilsynets funn under virksomhetstilsyn.

Retningslinje for risikostyring for informasjonssikkerhet

Den europeiske byggenæringen blir digital. hva skjer i Europa? Steen Sunesen Oslo,

Målet er å bevisstgjøre om viktige prinsipper og tiltak for ledere i «Virksomheten».

Sekretariat for informasjonssikkerhet i UHsektoren. Rolf Sture Normann

Kan du legge personopplysninger i skyen?

3.1 Prosedyremal. Omfang

Internkontroll for informasjonssikkerhet en fleksibel tilnærming med høy nytteverdi

Velkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) Susanne Helland Flatøy Markedssjef Digital Kvalitet

Fylkesberedskapsrådet i Hordaland Styring og kontroll - informasjonssikkerhet. Øyvind Grinde Seksjonssjef for informasjonssikkerhet 18.

Innebygd informasjonssikkerhet hvordan ivareta sikkerhet i prosjekter?

ISO27001 som del av forvaltningen

Internrevisjon i en digital verden

Styringssystem i et rettslig perspektiv

FM kompetanseutvikling i Statoil

Oversikt over standarder for. Kvalitetsstyring

Lovlig bruk av Cloud Computing. Helge Veum, avdelingsdirektør Cloud Inspiration Day, UBC

KJAPPE, BILLIGE SKYTJENESTER MEN HAR DU KONTROLL?

Informasjonssikkerhet i Norge digitalt Teknologiforum

Vurdering av risiko og sikkerhet i skytjenester. Håvard Reknes

Oversikt over standarder for. Kvalitetsstyring

Gaute Langeland September 2016

Kommunens Internkontroll

Neste generasjon ISO standarder ISO 9001

IKT-sikkerhet som suksessfaktor

Informasjonssikkerhetsprinsipper

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget /11

Styringssystem for informasjonssikkerhet

FM kompetanseutvikling i Statoil

Difis veiledningsmateriell for offentlig sektor internkontroll.infosikkerhet.difi.no

STRATEGI FOR INFORMASJONSSIKKERHET FOR POLITIET

Transkript:

for Offentlig sektor Dataforum 6.12.12 Tone Thingbø Tel: 908 89 571 E-post: tone.thingbo@no.ey.com

Tone Thingbø Samfunnsviter, cand.philol Lang erfaring fra virksomheter med høye krav til sikkerhet: Etterretningstjenesten Nasjonal sikkerhetsmyndighet Norges Bank OSSE Operativ erfaring fra inn- og utland

Et tankesett tilstrekkelig sikkerhet basert på risikotilnærming Verdi RISIKO Trussel Sårbarhet

Hva er et - StyringSystem for InformasjonsSikkerhet?

Alle fasene 5

Styringssystemets fundament Styringskrav Dokumentasjonskrav Krav til sikringstiltak knyttet til informasjonssikkerhet

Obligatoriske krav til styringssystem (ISO/IEC 27001) Besluttet av ledelsen Dokumentertebeslutninger og grunnlagsdokumentasjon Skalgjennomgås av ledelsen minsten gang iåret Obligatoriske dokumenter: Erklæringom policy + formål Omfang og avgrensing Retningslinjer og rutiner som støtter opp om Beskrivelseav risikometodikk Gjennomførtrisikoanalyse, inkludertrisikohåndteringsplan Beslutningom sikringstiltak(soa)

Krav til sikringstiltak (27002/annex A) Sikringstiltakene utledes av en risikoanalyse rettet mot virksomhetens informasjonsverdier samt ledelsens gjennomgang av analysen Trusselvurderin g Sårbarhet s- vurderin g Verdivurderin g Risikovurdering

Eksempel på mangelfullt sikringstiltak

Dokumenthierarki Kat 1 Designdokumenter for, informasjonssikkerhetspolicy, risikovurdering, prosedyre for revisjon av, SOA osv. Kat 2 Policyer: Hvem, hva, når og hvor. Utdyper og operasjonaliserer informasjonssikkerhetspolicy Kat 3 Prosedyrer, sjekklister, skjema. Hvordan spesifikke oppgaver skal gjennomføres Kat 4 Dokumentasjon og bevis på gjennomførte handlinger

Sikringstiltak inndelt i områder (ISO/IEC 27001, Annex A=ISO 27002) Policy for informasjonssikkerhet Policy for informasjonssikkerhet Organisering av sikkerheten Organisering av sikkerheten Administrasjon av aktiva Administrasjon av aktiva Personellsikkerhet Personalsikkerhet Fysisk og miljømessig sikkerhet Fysisk og miljømessig sikkerhet Kommunikasjons- og driftsadministrasjon og driftsadministrasjon TilgangskontrollTilgangsstyring Anskaffelse, utvikling utvikling og vedlikehold og vedlikehold av av informasjonssystemer informasjonssystemer Håndtering Håndtering av sikkerhetshendelser av sikkerhetshendelser Beredskap og krisehåndtering Kontinuitetsplanlegging Etterlevelse/samsvar Etterlevelse av rettslige krav og policyer

Personellsikkerhet Formål Retningslinjer Eksempel Sikre at alle ansatte, kontraktører og tredjepartsbrukere er sikkerhetsmessig skikket og forstår sitt ansvar for å redusere risiko for uønskede hendelser. Bakgrunnssjekk FØR ansettelse/innleie Sikkerhetsopplæring UNDER ansettelse eller innleie AVSLUTNING av ansettelse/avtaleforhold Brukerinstruks for informasjon og informasjonssystemer: Akseptabelbruk Plikt til å verdivurdere/klassifisere og beskytte informasjon Plikt til å rapportere sikkerhetshendelser Policy for informasjonssikkerhet Organisering av sikkerheten Administrasjon av aktiva Personellsikkerhet Fysisk og miljømessig sikkerhet Kommunikasjons- og driftsadministrasjon Tilgangsstyring Anskaffelse, utvikling og vedlikehold av informasjonssystemer Håndtering av sikkerhetshendelser Kontinuitetsplanleggin g Etterlevelse av rettslige krav og policyer

Kommunikasjon og driftsadministrasjon Formål Retningslinjer Eksempel Sikker drift og tilstrekkelig sikring av alle kommunikasjonssystemer, informasjonsbehandlingsutstyr, datanettverk og informasjon Dokumenterte driftsprosedyrer for servere og informasjonssystemer Håndtering av systemendringer Arbeidsdeling av administrasjon av systemer Atskillelse av utstyr for utvikling, testing og drift av operative systemer Informasjonssystemer administrert av tredjepart Beskyttelse mot skadelig programvare osv. Sikkerhetskopiering av data: For situasjoner der systemet går ned og data går tapt skal det finnes etablerte rutiner for å legge tilbake den nyeste gode versjonen av dataene man har sikkerhetskopi av Det skal finnes nedskrevne rutiner for hvert system som beskriver fremgangsmåten for å legge tilbake en sikkerhetskopi Policy for informasjonssikkerhet Organisering av sikkerheten Administrasjon av aktiva Personellsikkerhet Fysisk og miljømessig sikkerhet Kommunikasjons- og driftsadministrasjon Tilgangsstyring Anskaffelse, utvikling og vedlikehold av informasjonssystemer Håndtering av sikkerhetshendelser Kontinuitetsplanleggin g Etterlevelse av rettslige krav og policyer Kurs i informasjonssikkerhet for DSS

Utfordringer 1. Element av organisasjonsendring å etablere 2. Manglende kultur for endring 3. Manglende etablering av etterlevelse og uavhengig kontroll 4. Manglende ledelsesforankring 5. Undervurdere at etablering av er et modningsprosjekt hos de involverte 6. Etablering av kan virke utfordrende på enkelte deler av organisasjonen og trenering kan finne sted, disse utfordringene må håndteres (Skiftende fokus på informasjonssikkerhet, basert på arbeidsbelastning og forståelse av trusselbildet) 7. Utfordringer med å etablere roller og ansvar for sikkerhet (premissgiver, utførende og kontrollerende) 8. Mangelfull opplæring, mangelfull kontinuerlig opplæring 9. Fare for å være papirtiger

Ti suksesskriterier 1. Bygger på et tankesett om at verden endrer seg og at det ikke hjelper bare med brannslukking, men et systematisk forebyggende apparat 2. skal være til nytte BÅDE for organisasjonen og den enkelte 3. skal integreres i egen hverdag 4. tilpasses og bygger videre på eksisterende system 5. Gi deg trygghet på at ting gjøres riktig 6. Ikke tilfeldigheter, fordel å kunne støtte seg på et system 7. Gjennomprøvd i mange andre store organisasjoner 8. Fører til åpenhet om hvordan aktiviteter utføres 9. Føre til at aktiviteter gjøres på lik måte, uavhengig av enkeltpersoner; herding av prosesser/rutiner 10. Ledelsen har ansvar for å tildele ressurser, og skal forplikte seg

Hvordan E&Y tenker sikkerhet Trussel- og risikovurdering Uønskede hendelser Ledende praksis Verdivurderinger Sårbarheter Sikkerhetsstrategi 1 Strategisk sikkerhet 3 Teknisk sikkerhet og testing Sikkerhets-og pentesting Sikkerhetsrevisjoner Teknisk sikkerhetsarbeid Konfigurasjon og kravspek Sikkerhetsanalyser Sårbarhetsutnyttelse Prosesser I SO 27001/2 Personopplysninger IKT-forskriften Beredskap og backup Operasjonell sikkerhet 2 Sikkerhetsadministrasjon og -ledelse

Grunnpilarene i informasjonssikkerhet Konfidensialitet Integritet Tilgjengelighet I tilleggkan andre begreper som autentisitet*, sporbarhet, uavviselighet* og pålitelighet omfattes

Hva inkluderer informasjonssikkerhet? Informasjon kan finnes i mange former. Uansett hvilken form informasjonen har eller hvordan den formidles, så bør den beskyttes etter sitt behov. Informasjonssikkerhet handler om å beskytte informasjonen mot et omfang av forskjellige trusler, i den hensikt å sikre kontinuitet i tjenester og håndtere risiko

Forutsetning for sikkerhet hva skal beskyttes hos virksomheten? Verdivurdering og klassifisering

Forutsetning for sikkerhet en velfungerende sikkerhetsorganisasjon Tillit Definerte roller og personer Dokumentert Samordnet Klare ansvars-og myndighetsforhold strategisk/kontrollerende element) vs operativt sikkerhetsarbeid ingen enkeltpersoner, aktivt eller passivt, skal alene kunne undergrave sikkerheten. Koordinert

Hva er ISO/IEC 27001 og ISO/IEC 27002?

Standarder innen ISO/IEC 27000 serien Standard Name Area Published Description ISO/IEC 27000 ISO/IEC 27001 ISO/IEC 27002 ISO/IEC 27003 ISO/IEC 27004 ISO/IEC 27005 ISO/IEC 27006 ISO/IEC 27007 Fundamentals and vocabulary Information security management system Code of practice for Information security management Implementation guidance on. Metrics and measurements Information security risk management Requirements for bodies providing audit and certification of Information Security Management Systems Auditing May 2009 Requirements Oct 2005 Code of practice Previously known as ISO/IEC 17799:2005. A number change only Guidelines Jan 2010 Provides implementation guidance to support the requirements standard 27001.Detailed advice and guidance regarding the PDCA processes e.g. a) Scope and policy, b) Identification of assets, c) Monitoring and review, d) Continuous improvement Requirements Guidelines Dec 2009 June 2008 Objective to develop an Information security management measurements standard aimed at addressing how to measure the EFFECTIVENESS of implementations (processes and controls). What to measure, how to measure and when to measure. Covers risk management process that support ISO 27001: Risk assessment, Risk treatment, Selection of controls, On-going risk management activities e.g. reassessment of risks.

Standarder innen ISO/IEC 27000 serien Standard Name Area Published Description ISO/IEC 27008 ISO/IEC 27011 ISO/IEC 19011 auditing with respect to security controls Guidelines Approved April 2008 Industry specific Guidelines Dec 2008 Information security management guidelines for telecommunications Guidelines for auditing management systems Guidelines 2011 ISO 19011:2011 provides guidance on auditing management systems ISO/IEC 22301 Societal security - Business Continuity Management Requirement s 2012 Specifies requirements to plan, establish, implement, operate, monitor, review, maintain and continually improve a documented management system to protect against, reduce the likelihood of occurrence, prepare for, respond to, and recover from disruptive incidents when they arise.

Dokumenthierarki (Struktur)

Beslutning om sikringstiltak(soa)

Foreta gapanalyse/helsesjekk av sikkerhetstilstanden ISF Security Healthcheck - ISO 27002 Section Score Score 0,00 1,00 2,00 3,00 4,00 4 Risk assessment and treatment 5 Security policy 0,00 0,00 6 organisation of information security 1,18 7 Asset management 2,17 ISO 27002 Section 8 Human resources security 9 Physical and environmental security 10 Communications and operations management 11 Access control 1,92 2,17 2,72 3,03 12 Information systems acquisition, development and maintenance 2,40 13 Information security incident management 1,72 14 Business continuity management 1,60 15 Compliance 1,38

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding