Styringssystem for informasjonssikkerhet i Arbeidstilsynet

Like dokumenter
Revisjonsrapport for 2017 om styringssystem for informasjonssikkerhet i Arbeidstilsynet

Personopplysninger og opplæring i kriminalomsorgen

ISO Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:

Behandling av personopplysninger. DIGITAL ARENA BARNEHAGE 2018 Tone Tenold

Kan du legge personopplysninger i skyen?

Spesielt om personvern og krav til sikring av personopplysninger. Dag Wiese Schartum

Underbygger lovverket kravene til en digital offentlighet

Policy for informasjonssikkerhet og personvern i Sbanken ASA

Informasjonssikkerhetsprinsipper

GDPR I DEN NORSKE OPERA & BALLETT. Spekter, 13. desember 2017

Informasjonssikkerhet i Nord-Trøndelag fylkeskommune

Hva er et styringssystem?

RETNINGSLINJE for klassifisering av informasjon

Bruk av skytjenester og sosiale medier i skolen

Endelig kontrollrapport

RUTINE FOR INFORMASJONSSIKKERHET FOR PERSONOPPLYSNINGER I BRIS. Innhold. Rutine for informasjonssikkerhet for personopplysninger i BRIS

Mandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011

Bergen kommunes strategi for informasjonssikkerhet

Kontrollrapport. Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer

Endelig kontrollrapport

Informasjonsaktiva. - en (forsøksvis) praktisk tilnærming til kategorisering av data. Harald Rishovd. Oslo kommune, Vann- og avløpsetaten

Endelig kontrollrapport

Retningslinjer for databehandleravtaler

Veiledningsdokument for håndtering av personopplysninger i Norge digitalt

Rettslige krav til styring av informasjonssikkerhet. Karin Kristiansen og Amund Eriksen

Strategi for Informasjonssikkerhet

Retningslinje for risikostyring for informasjonssikkerhet

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001

Endelig kontrollrapport

Risikoledelse i hverdagen mulig eller umulig? Linda Svendsrud Teamleder Rådgivning

Kvalitetssikring av arkivene

Informasjonssikkerhet og internkontroll. DRI1010 forelesning Jon Berge Holden

Styringssystem i et rettslig perspektiv

Internkontroll og informasjonssikkerhet lover og standarder

Anbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet

KF Brukerkonferanse 2013

Har du kontroll på verdiene dine

Internkontroll i mindre virksomheter - introduksjon

Kontrollrapport. Kontrollobjekt: Østfold fylkeskommune Sted: Sarpsborg

Stilling/navn Seksjonsleder sikkerhet/geir Hovind Fagansvarlig strategisk sikkerhet/christian Jacobsen

Vedlegg 14 Behandleravtalen. Bussanbud Stor-Trondheim

Overordnede retningslinjer for Informasjonssikkerhet. Nord-Trøndelag fylkeskommune

Avmystifisere internkontroll/styringssystem - informasjonssikkerhet

Risikovurderinger. Øivind Høiem CISA, CRISK, ISO Lead implementer. Sekretariat for informasjonssikkerhet, UNINETT. SUHS-konferansen 2015

Personvernkrav ved behandling av kundeopplysninger utvalgte emner. Bård Soløy Ødegaard Juridisk rådgiver Datatilsynet

Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON

Kontrollrapport. Kontrollobjekt: Nittedal kommune Sted: Nittedal

Risiko og Sårbarhetsanalyse på NTNU. Presentasjons av prosess

Risikoanalysemetodikk

OVERSIKT SIKKERHETSARBEIDET I UDI

Krav til informasjonssikkerhet. DRI1010 forelesning Jon Berge Holden

Kommunens Internkontroll

Personvern og informasjonssikkerhet i UH sektoren

Velkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) Susanne Helland Flatøy Markedssjef Digital Kvalitet

Prosedyre for skjerming av informasjon

Konkurranse om minibusstjenester. Vedlegg 8. Databehandleravtale

Kontrollrapport. Kontrollobjekt: Vestby kommune Sted: Vestby

Risikovurdering for folk og ledere Normkonferansen 2018

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget /11

Kvalitetssikring av KS digitaliseringsprosjekter Sjekkliste informasjonssikkerhet og personvern

Målet er å bevisstgjøre om viktige prinsipper og tiltak for ledere i «Virksomheten».

Forvaltningsrevisjon IKT sikkerhet og drift 2017

Sporveien AS standardvilkår for Databehandleravtaler Versjon Vedlegg 1 til Databehandleravtale mellom Sporveien AS og Databehandler

Styresak Orienteringssak - Informasjonssikkerhet

Personvern - sjekkliste for databehandleravtale

Endelig kontrollrapport

Difis veiledningsmateriell, ISO og Normen

Endelig kontrollrapport

EDB Business Partner. Sikkerhetskontroller / -revisjoner

Revisjon av IT-sikkerhetshåndboka

Krav til informasjonssikkerhet i nytt personvernregelverk

Policy for personvern

Krav til informasjonssikkerhet. DRI1010 forelesning Jon B. Holden

Hvordan styre informasjonssikkerhet i et dynamisk trusselbilde? Tommy Molnes Security Manager Digital Sikkerhet AS

Revisjonsrapport for 2017 om informasjonssikkerhet i forskningssystemer

Vedlegg 8 Databehandleravtalen. Bussanbud Stor-Trondheim

Risikovurdering. Utgitt med støtte av: Støttedokument Faktaark nr 7 Versjon: 3.0 Dato:

Vedtak om pålegg - endelig kontrollrapport kontroll hos Direktoratet for arbeidstilsynet

Kontrollrapport. Kontrollobjekt: Våler kommune Sted: Våler

1. Kort forklaring av felles risikovurderingsmetodikk Oppsummering av risikovurderingene... 2

SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing. Informasjonssikkerhet og personvern Renate Thoreid

Gjelder fra: Godkjent av: Fylkesrådet

VEDLEGG A UTKAST TIL LEVERANSEBESKRIVELSE

VI BYGGER NORGE MED IT.

Etterlevelse av personvernforordningen (GDPR) sett opp mot ISO hva er nytt/viktig? Anders Bergman Greenfinger AB

Datasikkerhet internt på sykehuset

Krav til informasjonssikkerhet. DRI1010 forelesning Jon B. Holden

Risiko- og sårbarhetsvurdering

Informasjonssikkerhet Retningslinjer for behandling av personopplysninger og annen informasjon underlagt taushetsplikt

Kontrollrapport. Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger

Personvernforordningen

Informasjonssikkerhet og etikk hvordan henger dette sammen DRI

Personvernforordningen

Fagkurs for kommuner Krav til informasjonssikkerhet (105 minutter)

Endelig kontrollrapport

BRUKERVEILEDNING TIL TRINN 1 - Datakartlegging

Nettvett i STFK. Retningslinjer og etiske regler. for bruk av datanett i STFK RETNINGSLINJE FOR INFORMASJONSSIKKERHET. Versjon 1.0.

HVILKE RISIKOER LØPER VI NÅR ALLE DATAENE VÅRE ER I NETTSKYEN?

Transkript:

2

Styringssystem for informasjonssikkerhet i Arbeidstilsynet 11. Juni 2014 Bjørn S. Larsen Direktoratet for arbeidstilsynet bjorn.larsen@arbeidstilsynet.no 3

Drivere Riksrevisjonen 17-18 oktober 2011 Riksrevisjonen 18. oktober 2012 Datatilsynet 5. desember 2012 Identifiser drivere samt knagger og bruk dem for alt de er verd. 4

Hva er et styringssystem for informasjonssikkerhet? Et styringssystem for informasjonssikkerhet er en samling styrende dokumenter og prosedyrer som skal hjelpe oss med å identifisere risiko og spisse innsatsen innen informasjonssikring og databeskyttelse. Start med å forklare hva et styringssystem er. Bruk enkle begreper som folk forstår. 5

Tidlige krav til styringssystemet En oversiktlig struktur og tydelig hierarki Metodikk som alle medarbeiderne kan forstå Tydelighet i alle krav fokus på det som er viktig Momentlister og krav skal være reviderbare Første versjon må dekke det viktigste, dvs systemet skal være operasjonaliserbart, men med muligheter for utvidelser 6

Retningslinje for sikring av nettverk og infrastruktur Retningslinje for sikring av systemer og applikasjoner Retningslinje for Retningslinje for Styringssystemets planlagte oppbygging ved oppstart av arbeidet Klassifiseringssystem Kartlegge informasjonsressursene (aktiva) Klassifisering av aktiva Risikoanalyser av de mest kritiske aktiva Identifisere tiltak Følge opp tiltak og rapportere/kvittere ut Reklassifisering Informasjonssikkerhetsstrategi Informasjonssikkerhetspolicy 7

Egentlig en to-delt utfordring Skap en sikkerhetskultur Implementer tekniske tiltak En virksomhet med en god kultur trenger færre regler 8

Det virkelige trusselbildet Policy Ansatt Styringssystem for informasjonssikkerhet Inn her Instruks Finn på noe uventet som skaper oppmerksomhet 9

Konfidensialitet Ingen skal ha tilgang til informasjon uten tjenestelige behov Konfidensialitet, Integritet og Tilgjengelighet 10

Integritet Informasjon og systemer skal være korrekte og pålitelige Konfidensialitet, Integritet og Tilgjengelighet 11

Tilgjengelighet Informasjon og systemer skal være tilgjengelig for autoriserte brukere ved behov Konfidensialitet, Integritet og Tilgjengelighet 12

KLASSIFISERING 13

Gradering vs Klassifisering Gradering Informasjon som en lov eller forskrift bestemmer at ikke alle skal ha tilgang til. Klassifisering Gruppere noe som har visse kjennetegn til felles Offentlighetsloven Sikkerhetsloven Beskyttelsesinstruksen Finn gode forretningsmessige kriterier for klassifiseringen. 14

Klassifisering av informasjonssystemer Klassifiseringsprosessen er nøkkelen for å få til en riktig beskyttelse av objektet/informasjonen Forretningsverdien av informasjonssystemet bestemmer sikkerhetsklassen: Klasse A: Svært kritiske objekter Klasse B: Kritiske objekter Klasse C: Mindre kritiske objekter Klasse D: Ikke-kritiske objekter Begrens antallet klasser til færrest mulig. Gjør det ikke mer komplisert enn nødvendig. 15

Forretningssiden skal bestemme risikoviljen 16

Fra forretningsmessige kriterier til tekniske løsninger Fra: Strategiske og forretningsmessige behov Til: Tiltak i Infrastruktur Programkode Mekanismene i styringssystemet skal ta deg fra forretningsmessige kriterier til tekniske løsninger. 17

Sammenhengen mellom kartlegging, klassifisering, risikoanalyser og tiltak Kartlegging Klassifisering Risikoanalyse Identifisere tiltak Hva: Kartlegge alle IT-systemer Hva: Klassifisere de kartlagte IT-systemene Hva: Gjennomføre risikoanalyse av de mest kritiske IT-systemene Hva: Identifisere tiltak - organisatoriske - IT-system - IT-infrastruktur Hvem Informasjonssikkerhetsansvarlig Hvem Prosesseier med fasilitering fra informasjonssikkerhetsansv. Hvem Prosesseier (sammen med tjenesteeier) Hvem Tjenesteeier (sammen med prosesseier) Hvorfor: Få en oversikt over IT-systemene Hvorfor: Dele de kartlagte informasjonsressursene inn i klasser etter hvilken verdi de har for AT Hvorfor: Identifisere uønskede hendelser hvor det er nødvendig med tiltak. Hvorfor: Identifisere nødvendige tiltak som må iverksettes 18

5 trinn til god informasjonssikkerhet Ta systemet i bruk Teknologiske problemstillinger Implementer tekniske tiltak Implementer tiltak i arbeidsprosessen Forretningsmessige problemstillinger Risikoanalyser IT-systemet med utgangspunkt i klassifiseringen Identifiser og prioriter forretningsprosessene Klassifiser IT-systemene ut fra forretningsmessig kritikalitet Forretningsmessige problemstillinger Hold orden på når du behandler forretningsmessige eller teknologiske problemstillinger. 19

Kartlegging (skjema) Nr System Prosesseier/ Systemeier Klassifisering utført Sikkerhetsklasse 1 Melding om arbeidsulykke Kari-Kari 19.06.2013 A 2 Mottak og håndtering av Tips Ola-Ola 24.04.2014 B 20

System/Formål Melding om arbeidsulykke/ Oppfølging av melding og statistiske analyser Oversikt over behandling av personopplysninger (skjema) Klassifisering Behandlingsgrunnlag A AML 5-2 Melding/ konsesjon Melding (hjemmel i lov) POL 33 4. ledd Ja Hva behandles Navn, p.nr, skadens art og omfang Opplysninger hentes fra Sensitive personopplysninger Sikkerhetstiltak Lagring og kommunik asjon Daglig ansvar for behandlingsansvarliges plikter Arbeidsgiver Intern sone Internt Kari-Kari Nei Utleveres til 21

Klassifisering Område Vurderingstema/fokus Økonomi Omdømme Avhengighet Rammekrav og forventninger Sikkerhetsprofil Systemets verdi i kroner og øre Mulig interesse for systemet eller dets innhold i kriminelle miljøer Potensiale for økonomisk ansvar/erstatningsansvar Systemets medieinteresse Omdømmemessige konsekvenser ved et sikkerhetsbrudd Arbeidstilsynets avhengighet av systemet i det daglige virket Eksterne parters avhengighet av systemet Systemets samfunnsmessige betydning Konsesjonskrav eller offentlige reguleringer som systemet vil bli omfattet av Interne krav om sikring av systemets informasjon Eksterne krav og forventninger om sikring av systemets informasjon Et avklart eierskap til data som flyter i systemet Krav til personvern eller vern av informasjon som er unntatt offentligheten Avklaringer av eventuelle interessenters forventninger til sikring av data i systemet 22

Område: Avhengighet Hjelpespørsmål 1 Hvor kritisk er systemet for Arbeidstilsynet 2 Hvor mange personer i Arbeidstilsynet er avhengige av systemet i sitt daglige virke? Poeng Stor vekt: Systemet inngår i flere viktige arbeidsprosesser Liten vekt: Systemet inngår ikke i viktige prosesser Stor vekt: Svært mange ansatte er avhengig av systemet i sitt daglige virke. Liten vekt: Få ansatte er avhengig av systemet i sitt daglige virke 3 Er etater/foretak eller enkeltpersoner utenfor Arbeidstilsynet avhengige av systemet? 4 Er systemet av stor samfunnsmessig betydning? Stor vekt: Etater/foretak eller enkeltpersoner er avhengig av systemet i sitt daglige virke, eller systemet inngår som en betydningsfull komponent i en eller flere svært viktige prosesser i eksterne etater/foretaks arbeidsprosesser/verdikjeder Liten vekt: Hverken foretak eller enkeltpersoner utenfor Arbeidstilsynet er på noen måte avhengig av systemet Stor vekt: Systemet er av stor betydning for samfunnet, og vil dessuten gi Arbeidstilsynet svært negativ omtale ved utfall eller storfeil. Liten vekt: Systemet er uten samfunnsmessig betydning. SUM 0 Antall tellende spørsmål 0 Gjennomsnitt - overføres klassifiseringsdokumentet ##### Avvikende verdi Avvikende totalverdi kan gis, men skal begrunnes. Legges inn i tabell for systeminformasjon manuelt. 23

Eksempel på klassifiseringsresultat Poeng Økonomi 3 Begrunnelse Systemet inneholder data som kan misbrukes og kan være ettertraktet. Omdømme 4,5 Svært stort omdømmetap hvis data kommer på avveie. Avhengighet 3,25 Systemet brukes av mange ansatte i daglige oppgaver. Systemet er av stor samfunnsmessig betydning. Rammekrav 4 Systemet har tydelige rammekrav, bl.a. personvernloven Sikkerhetsprofil 5 Systemet behandler sensitiv informasjon Poengsum 19,8 Tilsier sikkerhetsklasse A eller B Tildelt Sikkerhetsklasse A Systemet behandler sensitiv personinformasjon 21-25 p A 16-20 p A eller B 11-15 p B eller C 5-10 p C eller D 24

Eksempel: Autentiseringskrav Beskyttelsesklasse Rolle D C B A Bruker Ingen passord Passord 2 faktor eller 2 faktor passord Administrator Passord Passord m/streng policy Maskin Ingen Passord m/streng policy Applikasjon Ingen Passord m/streng policy 2 faktor eller passord m/streng policy sertifikat eller passord m/streng policy Sertifikat eller passord m/streng policy 2 faktor Sertifikat Sertifikat Sett opp noen faste krav som følger sikkerhetsklassen. Gi gjerne alternativer, men sett krav til sporbarhet. 25

Resultat etter Klassifisering Kartlegging Resultat: Oversikt over informasjonssystemer Hjemmel og håndtering av personopplysninger Resultat: Dokumentasjon av kontroll av plikter og krav ift lover og forskrifter Klassifisering Resultat: Informasjonssystemet har fått en sikkerhetsklasse Pålagte tiltak som følger sikkerhetsklassen 26

RISIKOANALYSER 27

Veiledning for risikoanalyser av informasjonssystemer Bygger på Datatilsynets metodikk og veiledning Tilpasset Arbeidstilsynet Regneark og mal Risikoanalyse Beskriv en entydig skala for Konsekvens og Sannsynlighet 28

Vår definerte skala Konsekvensvurdering (K) Konsekvens Beskrivelse 4 Katastrofalt Ikke akseptabelt, må unngås 3 Kritisk Svært uheldig 2 Farlig Kan være uheldig 1 Lite farlig Dette lever vi godt med Sannsynlighets-vurdering (S) 4 Svært sannsynlig 3 Meget sannsynlig 2 Sannsynlig 1 Lite sannsynlig Sannsynlighet Beskrivelse Hendelsen inntreffer flere ganger hvert år Hendelsen inntreffer en gang pr år eller sjeldnere Hendelsen inntreffer en gang pr 10. år eller sjeldnere Hendelsen inntreffer en gang pr 50. år eller sjeldnere 29

30

Summen av tiltak som skal implementeres Retningslinje for sikring av nettverk og infrastruktur Retningslinje for sikring av systemer og applikasjoner Tiltak som følger fra Retningslinjer i ISMS og lovverk Tiltak som følger av klassifiseringen Retningslinje for klassifisering av informasjonssystemer Tiltak som følger av Risikoanalysen Veiledning for risikoanalyser av informasjonssystemer 31

Faser i systemets levetid Forstudie/Initiering (Prosjektoppdrag) Obligatoriske handlinger som skal dokumenteres Gjennomføre Klassifisering og Risikoanalyse (Alle systemklasser) Forprosjekt/Planlegging (Prosjektavtale) Produksjonsetting av nye versjoner Vurdere om det er behov for reklassifisering og behov for fornyet risikoanalyse Vurdere behov for reklassifisering og behov for fornyet risikoanalyse (ved produksjonssetting av alle nye versjoner - også ved inkrementelle utrullinger) Avvikling Utfasing Gjennomføre risikoanalyse (Klasse A, B og C) = Obligatorisk handling som skal dokumenteres. Mangel på dokumentasjon = Avvik. 32

STYRINGSSYSTEMETS OPPBYGGING OG STRUKTUR 33

Dokumentasjon og bevis Prosedyrer, rutiner og veiledninger Retningslinjer Strategi Policy Struktur ISMS 0 1 1-1 1-2 1-3 1-4 1-5 1-6 1-7 1-6-1 1-6-2 1-6-3 Ledelsens gjennomgang Revisjonsrapporter 34

Dok ID Dokumentnavn Dokumenttype ISMS-0 Policy for Informasjonssikkerhet Policy ISMS-1 Informasjonssikkerhetsstrategi Strategi ISMS-1-1 Retningslinjer for klassifisering av informasjonssystemer Retningslinje ISMS-1-1-1 Klassifisering av informasjonsressurs (mal) Maldokument for klassifiseringsresultat ISMS-1-1-2 Hjelpespørsmål for systemklassifisering Score Card for systemklassifisering (regneark) ISMS-1-1-3 Veiledning til systemklassifisering Veiledning ISMS-1-1-4 Veiledning for risikoanalyser av informasjonssystemer Veiledning ISMS-1-1-5 Risikoanalyser informasjonssikkerhet, regneark. Hjelpeark (Regneark) ISMS-1-2 Retningslinjer for sikring av nettverk og infrastruktur Retningslinje ISMS-1-3 Retningslinje for sikring av systemer og applikasjoner Retningslinje 35

36

Spørsmål? 37

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding