Styringssystem for informasjonssikkerhet et topplederansvar Jan Sørgård Seniorrådgiver Difi
Visjon «Vi utvikler offentlig sektor» Områder Digital forvaltning Offentlige anskaffelser Ledelse og organisering Hovedtilnærminger Utreder og analyserer Rådgiver, pådriver og samordner Utvikler og forvalter fellesløsninger
Statsbudsjettet for 2013 Nye midler til IKT-sikkerhet «skal nyttes til etablering av et kompetansemiljø i direktoratet som skal bli en pådriver for, og bidra til, bedre styring og kvalitetssikring av informasjonssikkerheten i statsforvaltningen» Resultat: Seksjon for informasjonssikkerhet i Avdeling for Digital forvaltning Opprettet 1.3.2013 Rekruttering pågår
Difis tildelingsbrev 2013 Hovedmål 2: Offentlig sektor skal utnytte digitalisering til å tilby bedre tjenester og understøtte oppgaveløsningen Ett av oppdragene: Difi skal etablere en permanent enhet for informasjonssikkerhet. Enheten skal legge til rette for en felles tilnærming til informasjonssikkerheten i statsforvaltningen. Ett av resultatmålene: IKT-sikkerheten i statsforvaltningen blir styrket gjennom økt risikoforståelse og økt anvendelse av styringssystem.
Grunnlagsarbeid i 2012 Styringssystem og ISO-standarder Difi-rapport 2012:15 Innhold Hva handler dette egentlig om? (kap. 3) Erfaringer med og råd om innføring (kap. 4) Pålegg om bruk av ISOstandardene eller andre tiltak? (kap. 5)
Informasjonssikkerhet sikre konfidensialitet, integritet og tilgjengelighet NB! Kan være interesse- og målkonflikter som må balanseres, spesielt mellom konfidensialitet og tilgjengelighet
Tradisjonelt lite fokus på informasjonssikkerhet! Eventuelt i hovedsak på sikring av konfidensialitet / hindre adgang.? litt på etterlevelse av lover og regler spesielt rett etter spørsmål eller kritikk fra Riksrevisjonen? periodisk på virksomhetens/ledelsens omdømme? I liten grad systematisk ut fra virksomhetsmål, risikovurderinger og «Hva tjener vi på dette?»
Hvorfor har vi bremser på en bil? For å kunne stoppe? For å kunne kjøre raskt, effektivt og målretta? Gode bremser gjør det mulig å kjøre raskt til målet, bremse ned når en bør og stoppe når en må Hensiktsmessige sikringstiltak er en muliggjører Uhensiktsmessige sikringstiltak irriterer, hemmer, blir undergravd og gir økt risiko
Hva bør avgjøre sikringstiltak? Virksomhetsmål og sikkerhetsmål Usikkerhet dvs. risiko Akseptabelt risikonivå
Akseptabelt risikonivå mht. hva? Trusler Verdier Sårbarheter Uønskede hendelser
Risiko = Sannsynlighet X Konsekvens Trusler Verdier Sårbarheter Uønskede hendelser
Risiko = Sannsynlighet X Konsekvens Estimert fra: Statistikk (frekvens) Profesjonelt skjønn (motivasjon, ressurser, mulighet, naturgitte forhold, iverksatte tiltak mv.) Trusler Verdier Sårbarheter Alvorlighetsgrader innen: Samfunnsskade Personskade Omdømme Økonomi mv. Uønskede hendelser
Hva er akseptabelt risikonivå hos oss? Nøkkelspørsmål for ledelsen Hva er innholdet i skalaene hos oss? Hva er akseptabelt risikonivå hos oss? Hvilke strategier skal vi følge for rød, gul og grønn risiko?
Det handler om tilstrekkelig styring og kontroll Det er et topplederansvar å selv ha og å skape en organisasjon med tilstrekkelig styring og kontroll Styringsystem for informasjonssikkerhet er verktøyet
Hvor er så de statlige virksomhetene i dette bildet?
Revisjons- og tilsynsmyndighetene sier Tilstanden svært variabel Mange sikringstiltak, men få reelle styringssystem Hos mange står det dårlig til med styring og kontroll Mange sliter med å forstå hva et styringssystem er Mange har overordna mål og policy, men mangler tilhørende risikovurderinger kobling til valgte sikringstiltak avvikshåndtering jevnlige revisjoner ledelsesforankring
Hva er et styringssystem for informasjonssikkerhet? MOTSATT VEI FEIL VEI SNARVEI EN ANNEN VEI LUR VEI SÆREGEN VEI
et styringssystem? eller ledelsessystem? kvalitetssystem? internkontrollsystem? internkontroll? intern kontroll? internal control?. Og hva er forskjellen på a control en kontroll et tiltak et sikringstiltak. Ulike begrep på i hovedsak det samme
Og hvor brukes de Bruk Virksomhetsstyring Økonomistyring Kvalitetsstyring IT-styring HMS Miljøstyring Informasjonssikkerhet Samfunnssikkerhet Rikets sikkerhet Forankring/metodikk/veiledninger COSO-rammeverket/ Økonomiregelverket (++) ISO 9001 COBIT, TOGAF, ITIL, ISO Internk.forskr./OHSAS 18001 ISO 14001, Miljøfyrtårn ISO 27001,NIST, ISACA ISO 223x,. Sikkerhetsloven m. forskrifter
Fra Difis undersøkelse (Difi-rapport 2012:15) Mange ansatte var forvirret over alle de ulike styringssystemene, og lederne jobbet veldig med å få kontroll og oversikt over disse
Tilsyn viser at folk mangler kompetanse, det gjelder både vanlige brukere, sikkerhetsledere og virksomhetsledere
Vi blir litt småforvirret her ute når DFØ, Difi, Datatilsynet, NSM osv. gir ut forskjellige veiledninger om det samme. Hva bør vi egentlig bruke?
Aller viktigst er forankring i toppledelsen fra start til slutt. Ledelsen må ikke komme inn på slutten og kun ende opp med en kort orientering Ledelsesforankring gir fart og retning Toppsjefen må ville ha gjennomføringen og gå foran som drivkraft for å få suksess
Det handler om tilstrekkelig styring og kontroll og er et topplederansvar
Regelverk og føringer om styring og kontroll innen informasjonssikkerhet
Økonomiregelverket i staten 4 Grunnleggende styringsprinsipper Alle virksomheter skal: a) fastsette mål og resultatkrav innenfor rammen av disponible ressurser og forutsetninger gitt av overordnet myndighet b) sikre at fastsatte mål og resultatkrav oppnås, ressursbruken er effektiv og at virksomheten drives i samsvar med gjeldende lover og regler, herunder krav til god forvaltningsskikk, habilitet og etisk adferd c) sikre tilstrekkelig styringsinformasjon og forsvarlig beslutningsgrunnlag Styring, oppfølging, kontroll og forvaltning må tilpasses virksomhetens egenart samt risiko og vesentlighet
Flere krav om intern kontroll / internkontroll og risikostyring Prosesser, systemer og rutiner igangsatt av ledelsen og de ansatte for å gi rimelig sikkerhet for virksomhetens måloppnåelse innenfor Målrettet og effektiv drift Pålitelig rapportering Overholdelse av lover og regler Den interne kontrollen skal være tilpasset egenart, samt risiko og vesentlighet. SSØ (2007) Hvordan få en god start på risikostyring i statlige virksomheter Jf. Økonomiregelverket i staten og Kommuneloven 23 (2) Jf. Coso-rammeverket og ISO styringssystemstandardene
Intern kontroll eller internkontroll? I denne rapporten blir omgrepet «internkontroll» nytta. Det ligg ikkje noko anna i det enn i «intern kontroll», som blir nytta av andre KRD (2009) 85 tilrådingar for styrkt eigenkontroll i kommunane Forskrift om internkontroll i sosial- og helsetjenesten er uttrykk for myndighetenes klare satsing på systematisk styring og kontinuerlig forbedring Helsedirektoratet (2004). Veileder. Hvordan holde orden i eget hus. Internkontroll i sosial- og helsetjenesten Difi 2012:15: tilstrekkelig styring og kontroll med informasjonssikkerheten (risikobasert)
eforvaltningsforskriften 13 (1) Forvaltningsorgan som benytter elektronisk kommunikasjon skal ha beskrevet mål og strategi for informasjonssikkerhet i virksomheten (sikkerhetsmål og sikkerhetsstrategi) Sikkerhetsstrategien skal danne grunnlaget for forvaltningsorganets beslutninger om innføring og bruk av sikkerhetstjenester og -produkter på en helhetlig, planlagt, systematisk og dokumentert måte. Sikkerhetsstrategien skal inkludere relevante krav som er fastsatt i annen lov, forskrift eller instruks. (2) Sikkerhetsstrategien skal være utarbeidet i henhold til anerkjente prinsipper for informasjonssystemers sikkerhet.
Referansekatalogen 3.1 fra Difi 30.10.2012 - Pkt. 2.16 Det er anbefalt å benytte ISO/IEC 27001 ved etablering av styringssystem for informasjonssikkerhet. I arbeidet med å implementere relevante kontroller anbefales det å følge strukturen i ISO/IEC 27001 appendiks A og innholdsmessig støtte seg på ISO/ IEC 27002. Dersom en virksomhet allerede har et operativt styringssystem på andre områder(f.eks. i relasjon til ISO 9001, ISO 14001 eller HMS), vil det i de fleste tilfeller være mest hensiktsmessig å oppfylle ISO 27001- kravene innenfor rammene av det eksisterende styringssystemet.
Hovedelementene i styringssystemet (ISO/IEC 27001) Ledelsens policy for styringssystemet, Herunder mål, ansvar og akseptabelt risikonivå Oversikt viktig informasjon og øvrige viktige aktiva for informasjonssikkerheten Systematiske og periodiske risikovurderinger Anvendelseserklæring - toveis kobling mellom risiko og valgte sikringstiltak - ut fra ikke-akseptabel risiko Tiltaksplan for å implementere valgte sikringstiltak Hendelses- og avvikshåndtering Systematiske interne revisjoner Ledelsens gjennomgang minst en gang årlig
Strukturen på aktuelle tiltak ( appendix A i ISO 27001 - jf. 27002) Sikkerhetspolicy Organisering av informasjonssikkerhet Administrasjon av aktiva (informasjon m.v.) Personalsikkerhet Fysisk og miljømessig sikkerhet Kommunikasjons- og driftsadministrasjon Aksesskontroll Anskaffelse, utvikling og vedlikehold av informasjonssystemer Administrasjon av informasjonssikkerhetsbrudd Kontinuitetsplanlegging Samsvar (etterleve regelverk)
Digitaliseringsrundskrivet FAD 31.10.2012 - P10/2012 pkt. 1.7 Virksomheten skal ha en internkontroll på informasjonssikkerhetsområdet som baserer seg på anerkjente standarder for styringssystem for informasjonssikkerhet.(jf. Difis referansekatalog versjon 3.1, pkt. 2.16 Styringssystem for informasjonssikkerhet) Denne internkontrollen kan med fordel være en integrert del av virksomhetens helhetlige styringssystem for kontinuerlig forbedring av virksomhetens arbeidsprosesser, måloppnåelse, informasjonssikkerhet, HMS, miljøledelse, samfunnsansvar m.v.
Det handler om tilstrekkelig styring og kontroll (internkontroll) og er et topplederansvar
Råd fra virksomhetene -1 (Difi-rapport 2012:15) Identifiser og synliggjør virksomhetens egennytte av et styringssystem for informasjonssikkerhet Bevisstgjør ledere på alle nivåer om deres faktiske ansvar innen informasjonssikkerhet Informasjonssikkerhetsansvarlige må se eget ansvarsområde i en større sammenheng, og gi ledelsen gode råd for å sikre helheten
Råd fra virksomhetene - 2 (Difi-rapport 2012:15) Helt essensielt at toppledelsen er aktiv som pådriver til innføringen for hele virksomheten Pass på at innføringen ikke blir et pålegg fra ledelsen uten at ledelsen har tatt eierskap Les ISO 27001-standarden Hva trengs? Gjør det enkelt Pass på oppdateringsutfordringen Få felles forståelse av akseptabel risiko
Råd fra virksomhetene - 3 (Difi-rapport 2012:15) Gjennomfør risikovurderinger systematisk og periodisk Sett inn kompetanse og resurser der det trengs spesielt i de første iterasjoner Sikringstiltak skal være koblet til risikoer Skap god kultur for avviksrapportering tolk ikke avvik som feil, kall det forbedringssystem Jobb systematisk med sikkerhetskulturen. Ha sikkerhet som fast tema i medarbeidersamtalene
Øvrige råd fra virksomhetene vurderinger fra Difi forklaringer om hva dette handler om og sammenhenger mellom styringssystem o.l. se kap. 3 og 4 i
Hvem bør være involvert i sikkerhetsarbeidet? Toppledelsen Linjeledelsen Ansatte i linjene Sikkerhetsledelsen Ansvarlige IKT og bygg Alle skal med! men i ulike roller Sett inn nødvendige resurser og kompetanse der det trengs, når det trengs Utfør risikovurderinger! Vurder alltid alternative typer sikringstiltak - pedagogiske, organisatoriske, juridiske, tekniske, fysiske
Styringssystem for informasjonssikkerhet Er en forutsetning for en kontrollert og effektiv digitalisering «Gir oss styringsmulighet når vi må få opp farten»