2
Styringssystem for informasjonssikkerhet i Arbeidstilsynet 11. Juni 2014 Bjørn S. Larsen Direktoratet for arbeidstilsynet bjorn.larsen@arbeidstilsynet.no 3
Drivere Riksrevisjonen 17-18 oktober 2011 Riksrevisjonen 18. oktober 2012 Datatilsynet 5. desember 2012 Identifiser drivere samt knagger og bruk dem for alt de er verd. 4
Hva er et styringssystem for informasjonssikkerhet? Et styringssystem for informasjonssikkerhet er en samling styrende dokumenter og prosedyrer som skal hjelpe oss med å identifisere risiko og spisse innsatsen innen informasjonssikring og databeskyttelse. Start med å forklare hva et styringssystem er. Bruk enkle begreper som folk forstår. 5
Tidlige krav til styringssystemet En oversiktlig struktur og tydelig hierarki Metodikk som alle medarbeiderne kan forstå Tydelighet i alle krav fokus på det som er viktig Momentlister og krav skal være reviderbare Første versjon må dekke det viktigste, dvs systemet skal være operasjonaliserbart, men med muligheter for utvidelser 6
Retningslinje for sikring av nettverk og infrastruktur Retningslinje for sikring av systemer og applikasjoner Retningslinje for Retningslinje for Styringssystemets planlagte oppbygging ved oppstart av arbeidet Klassifiseringssystem Kartlegge informasjonsressursene (aktiva) Klassifisering av aktiva Risikoanalyser av de mest kritiske aktiva Identifisere tiltak Følge opp tiltak og rapportere/kvittere ut Reklassifisering Informasjonssikkerhetsstrategi Informasjonssikkerhetspolicy 7
Egentlig en to-delt utfordring Skap en sikkerhetskultur Implementer tekniske tiltak En virksomhet med en god kultur trenger færre regler 8
Det virkelige trusselbildet Policy Ansatt Styringssystem for informasjonssikkerhet Inn her Instruks Finn på noe uventet som skaper oppmerksomhet 9
Konfidensialitet Ingen skal ha tilgang til informasjon uten tjenestelige behov Konfidensialitet, Integritet og Tilgjengelighet 10
Integritet Informasjon og systemer skal være korrekte og pålitelige Konfidensialitet, Integritet og Tilgjengelighet 11
Tilgjengelighet Informasjon og systemer skal være tilgjengelig for autoriserte brukere ved behov Konfidensialitet, Integritet og Tilgjengelighet 12
KLASSIFISERING 13
Gradering vs Klassifisering Gradering Informasjon som en lov eller forskrift bestemmer at ikke alle skal ha tilgang til. Klassifisering Gruppere noe som har visse kjennetegn til felles Offentlighetsloven Sikkerhetsloven Beskyttelsesinstruksen Finn gode forretningsmessige kriterier for klassifiseringen. 14
Klassifisering av informasjonssystemer Klassifiseringsprosessen er nøkkelen for å få til en riktig beskyttelse av objektet/informasjonen Forretningsverdien av informasjonssystemet bestemmer sikkerhetsklassen: Klasse A: Svært kritiske objekter Klasse B: Kritiske objekter Klasse C: Mindre kritiske objekter Klasse D: Ikke-kritiske objekter Begrens antallet klasser til færrest mulig. Gjør det ikke mer komplisert enn nødvendig. 15
Forretningssiden skal bestemme risikoviljen 16
Fra forretningsmessige kriterier til tekniske løsninger Fra: Strategiske og forretningsmessige behov Til: Tiltak i Infrastruktur Programkode Mekanismene i styringssystemet skal ta deg fra forretningsmessige kriterier til tekniske løsninger. 17
Sammenhengen mellom kartlegging, klassifisering, risikoanalyser og tiltak Kartlegging Klassifisering Risikoanalyse Identifisere tiltak Hva: Kartlegge alle IT-systemer Hva: Klassifisere de kartlagte IT-systemene Hva: Gjennomføre risikoanalyse av de mest kritiske IT-systemene Hva: Identifisere tiltak - organisatoriske - IT-system - IT-infrastruktur Hvem Informasjonssikkerhetsansvarlig Hvem Prosesseier med fasilitering fra informasjonssikkerhetsansv. Hvem Prosesseier (sammen med tjenesteeier) Hvem Tjenesteeier (sammen med prosesseier) Hvorfor: Få en oversikt over IT-systemene Hvorfor: Dele de kartlagte informasjonsressursene inn i klasser etter hvilken verdi de har for AT Hvorfor: Identifisere uønskede hendelser hvor det er nødvendig med tiltak. Hvorfor: Identifisere nødvendige tiltak som må iverksettes 18
5 trinn til god informasjonssikkerhet Ta systemet i bruk Teknologiske problemstillinger Implementer tekniske tiltak Implementer tiltak i arbeidsprosessen Forretningsmessige problemstillinger Risikoanalyser IT-systemet med utgangspunkt i klassifiseringen Identifiser og prioriter forretningsprosessene Klassifiser IT-systemene ut fra forretningsmessig kritikalitet Forretningsmessige problemstillinger Hold orden på når du behandler forretningsmessige eller teknologiske problemstillinger. 19
Kartlegging (skjema) Nr System Prosesseier/ Systemeier Klassifisering utført Sikkerhetsklasse 1 Melding om arbeidsulykke Kari-Kari 19.06.2013 A 2 Mottak og håndtering av Tips Ola-Ola 24.04.2014 B 20
System/Formål Melding om arbeidsulykke/ Oppfølging av melding og statistiske analyser Oversikt over behandling av personopplysninger (skjema) Klassifisering Behandlingsgrunnlag A AML 5-2 Melding/ konsesjon Melding (hjemmel i lov) POL 33 4. ledd Ja Hva behandles Navn, p.nr, skadens art og omfang Opplysninger hentes fra Sensitive personopplysninger Sikkerhetstiltak Lagring og kommunik asjon Daglig ansvar for behandlingsansvarliges plikter Arbeidsgiver Intern sone Internt Kari-Kari Nei Utleveres til 21
Klassifisering Område Vurderingstema/fokus Økonomi Omdømme Avhengighet Rammekrav og forventninger Sikkerhetsprofil Systemets verdi i kroner og øre Mulig interesse for systemet eller dets innhold i kriminelle miljøer Potensiale for økonomisk ansvar/erstatningsansvar Systemets medieinteresse Omdømmemessige konsekvenser ved et sikkerhetsbrudd Arbeidstilsynets avhengighet av systemet i det daglige virket Eksterne parters avhengighet av systemet Systemets samfunnsmessige betydning Konsesjonskrav eller offentlige reguleringer som systemet vil bli omfattet av Interne krav om sikring av systemets informasjon Eksterne krav og forventninger om sikring av systemets informasjon Et avklart eierskap til data som flyter i systemet Krav til personvern eller vern av informasjon som er unntatt offentligheten Avklaringer av eventuelle interessenters forventninger til sikring av data i systemet 22
Område: Avhengighet Hjelpespørsmål 1 Hvor kritisk er systemet for Arbeidstilsynet 2 Hvor mange personer i Arbeidstilsynet er avhengige av systemet i sitt daglige virke? Poeng Stor vekt: Systemet inngår i flere viktige arbeidsprosesser Liten vekt: Systemet inngår ikke i viktige prosesser Stor vekt: Svært mange ansatte er avhengig av systemet i sitt daglige virke. Liten vekt: Få ansatte er avhengig av systemet i sitt daglige virke 3 Er etater/foretak eller enkeltpersoner utenfor Arbeidstilsynet avhengige av systemet? 4 Er systemet av stor samfunnsmessig betydning? Stor vekt: Etater/foretak eller enkeltpersoner er avhengig av systemet i sitt daglige virke, eller systemet inngår som en betydningsfull komponent i en eller flere svært viktige prosesser i eksterne etater/foretaks arbeidsprosesser/verdikjeder Liten vekt: Hverken foretak eller enkeltpersoner utenfor Arbeidstilsynet er på noen måte avhengig av systemet Stor vekt: Systemet er av stor betydning for samfunnet, og vil dessuten gi Arbeidstilsynet svært negativ omtale ved utfall eller storfeil. Liten vekt: Systemet er uten samfunnsmessig betydning. SUM 0 Antall tellende spørsmål 0 Gjennomsnitt - overføres klassifiseringsdokumentet ##### Avvikende verdi Avvikende totalverdi kan gis, men skal begrunnes. Legges inn i tabell for systeminformasjon manuelt. 23
Eksempel på klassifiseringsresultat Poeng Økonomi 3 Begrunnelse Systemet inneholder data som kan misbrukes og kan være ettertraktet. Omdømme 4,5 Svært stort omdømmetap hvis data kommer på avveie. Avhengighet 3,25 Systemet brukes av mange ansatte i daglige oppgaver. Systemet er av stor samfunnsmessig betydning. Rammekrav 4 Systemet har tydelige rammekrav, bl.a. personvernloven Sikkerhetsprofil 5 Systemet behandler sensitiv informasjon Poengsum 19,8 Tilsier sikkerhetsklasse A eller B Tildelt Sikkerhetsklasse A Systemet behandler sensitiv personinformasjon 21-25 p A 16-20 p A eller B 11-15 p B eller C 5-10 p C eller D 24
Eksempel: Autentiseringskrav Beskyttelsesklasse Rolle D C B A Bruker Ingen passord Passord 2 faktor eller 2 faktor passord Administrator Passord Passord m/streng policy Maskin Ingen Passord m/streng policy Applikasjon Ingen Passord m/streng policy 2 faktor eller passord m/streng policy sertifikat eller passord m/streng policy Sertifikat eller passord m/streng policy 2 faktor Sertifikat Sertifikat Sett opp noen faste krav som følger sikkerhetsklassen. Gi gjerne alternativer, men sett krav til sporbarhet. 25
Resultat etter Klassifisering Kartlegging Resultat: Oversikt over informasjonssystemer Hjemmel og håndtering av personopplysninger Resultat: Dokumentasjon av kontroll av plikter og krav ift lover og forskrifter Klassifisering Resultat: Informasjonssystemet har fått en sikkerhetsklasse Pålagte tiltak som følger sikkerhetsklassen 26
RISIKOANALYSER 27
Veiledning for risikoanalyser av informasjonssystemer Bygger på Datatilsynets metodikk og veiledning Tilpasset Arbeidstilsynet Regneark og mal Risikoanalyse Beskriv en entydig skala for Konsekvens og Sannsynlighet 28
Vår definerte skala Konsekvensvurdering (K) Konsekvens Beskrivelse 4 Katastrofalt Ikke akseptabelt, må unngås 3 Kritisk Svært uheldig 2 Farlig Kan være uheldig 1 Lite farlig Dette lever vi godt med Sannsynlighets-vurdering (S) 4 Svært sannsynlig 3 Meget sannsynlig 2 Sannsynlig 1 Lite sannsynlig Sannsynlighet Beskrivelse Hendelsen inntreffer flere ganger hvert år Hendelsen inntreffer en gang pr år eller sjeldnere Hendelsen inntreffer en gang pr 10. år eller sjeldnere Hendelsen inntreffer en gang pr 50. år eller sjeldnere 29
30
Summen av tiltak som skal implementeres Retningslinje for sikring av nettverk og infrastruktur Retningslinje for sikring av systemer og applikasjoner Tiltak som følger fra Retningslinjer i ISMS og lovverk Tiltak som følger av klassifiseringen Retningslinje for klassifisering av informasjonssystemer Tiltak som følger av Risikoanalysen Veiledning for risikoanalyser av informasjonssystemer 31
Faser i systemets levetid Forstudie/Initiering (Prosjektoppdrag) Obligatoriske handlinger som skal dokumenteres Gjennomføre Klassifisering og Risikoanalyse (Alle systemklasser) Forprosjekt/Planlegging (Prosjektavtale) Produksjonsetting av nye versjoner Vurdere om det er behov for reklassifisering og behov for fornyet risikoanalyse Vurdere behov for reklassifisering og behov for fornyet risikoanalyse (ved produksjonssetting av alle nye versjoner - også ved inkrementelle utrullinger) Avvikling Utfasing Gjennomføre risikoanalyse (Klasse A, B og C) = Obligatorisk handling som skal dokumenteres. Mangel på dokumentasjon = Avvik. 32
STYRINGSSYSTEMETS OPPBYGGING OG STRUKTUR 33
Dokumentasjon og bevis Prosedyrer, rutiner og veiledninger Retningslinjer Strategi Policy Struktur ISMS 0 1 1-1 1-2 1-3 1-4 1-5 1-6 1-7 1-6-1 1-6-2 1-6-3 Ledelsens gjennomgang Revisjonsrapporter 34
Dok ID Dokumentnavn Dokumenttype ISMS-0 Policy for Informasjonssikkerhet Policy ISMS-1 Informasjonssikkerhetsstrategi Strategi ISMS-1-1 Retningslinjer for klassifisering av informasjonssystemer Retningslinje ISMS-1-1-1 Klassifisering av informasjonsressurs (mal) Maldokument for klassifiseringsresultat ISMS-1-1-2 Hjelpespørsmål for systemklassifisering Score Card for systemklassifisering (regneark) ISMS-1-1-3 Veiledning til systemklassifisering Veiledning ISMS-1-1-4 Veiledning for risikoanalyser av informasjonssystemer Veiledning ISMS-1-1-5 Risikoanalyser informasjonssikkerhet, regneark. Hjelpeark (Regneark) ISMS-1-2 Retningslinjer for sikring av nettverk og infrastruktur Retningslinje ISMS-1-3 Retningslinje for sikring av systemer og applikasjoner Retningslinje 35
36
Spørsmål? 37