Revisjon av informasjonssikkerhet Frode Ikdahl Andreas Førde Oslo 14. juni 2012
2
Oversikt Rammeverk og standarder IKT-profil Revisjon av informasjonssikkerhet 2009 (Dok.1 2010-2011) Revisjon av informasjonssikkerhet knyttet til personopplysningsloven 2010 (Dok.1 2011-2012) Oppsummering 3
Rammeverk og standarder Organisasjonsnivå Eiere/ Departement Virksomhetsstyring Coso Virksomhetsledelse IT-ledelse IT-ansatte IKTprofil Ledelse av ITIL IT-tjenester IT Governance Cobit Beste praksis/ ISO/ IEC 27001/27002 standarder Aktiviteter Operasjonelt Styring Overvåkning 4
Internasjonale revisjonsstandarder ISSAI-rammeverket implementert. Gjennom risikovurderingshandlinger skal revisor opparbeide seg en forståelse av enheten og dens omgivelser, herunder intern kontroll. Revisor skal opparbeide seg en forståelse for de delene av informasjonssystemet som er relevante og prosedyrene innen IT-systemer. Revisor skal opparbeide seg en forståelse for enhetens kontrollaktiviteter og hvordan enheten har håndtert risikoer som følge av bruk av IT. 5
IKT-profil 1. IT-miljøets betydning for virksomhetens primærog sekundæroppgaver 2. Organisering og oppgaver 3. Infrastruktur, systemer og applikasjoner 4. Informasjonssikkerhetskriterier 5. Sentrale dokumenter, rutiner og internkontroll 6. Oppsummering 7. Risikovurdering og videre løp 8. Tidligere IT-revisjoner 6
Revisjon av informasjonssikkerhet 2009 Revisjonskriterier: Reglement for og bestemmelser om økonomistyring i staten Nasjonale retningslinjer for å styrke informasjonssikkerheten 2007-2010 ISO/ IEC 27001 og 27002 Internasjonale standarder for informasjonssikkerhet 7
Revisjonsprogrammet - virksomhet Revisjonsprogram NS-ISO/IEC 27002 (deler av kapitlene) Nasjonale retningslinjer Identifisere og klassifisere Kapittel 7 Pkt 3.3 Risikovurderinger Kapittel 4 Pkt 3.4 Organisering Kapittel 5, 6 og 8 Pkt 3.5 Beskyttelse Kapittel 9, 10, 11, 12 og 14 Pkt 3.1 Informasjonssikkerhetsbrudd Kapittel 13 Pkt 3.6 8
Identifisering og klassifisering av informasjon og informasjonssystemer Departement: Få hadde besluttet en felles tilnærming på sektornivå eller stilt krav til virksomhetene Virksomhet: Ca 40 % hadde ikke identifisert sine viktigste aktiva Over 50 % hadde ikke et system for å klassifisere informasjon og informasjonssystemer
Risikoanalyser Departement: 6 hadde ikke stilt krav til underliggende virksomheter om gjennomføring av risikoanalyser som omfatter samfunns- eller virksomhetskritisk ikt-infrastruktur Virksomhet: Ca 70 % hadde utarbeidet risikoanalyser Halvparten manglet imidlertid risikoanalyser som omfattet de viktigste aktivaene i virksomhetene Halvparten manglet rutiner for jevnlig oppdatering av risikoanalyser 10
Organisering - kunnskapsbygging Departement: 50 % hadde ikke stilt krav til underliggende virksomheter om å gjennomføre tiltak for å øke bevisstheten og kompetansen om informasjonssikkerhet Virksomhet: Ca 60 % hadde opplæring og/eller løpende tiltak for bevisstgjøring innen informasjonssikkerhet i egen organisasjon Opplæring og bevisstgjøring av eksterne brukere er svakere enn for egne ansatte 11
Organisering videre Virksomhet: Over 80 % hadde utarbeidet en sikkerhetspolicy eller tilsvarende dokument 75 % hadde etablert en egen sikkerhetsorganisasjon 12
Beskyttelse Departement: Få har stilt krav til beskyttelse av kritisk iktinfrastruktur 13
Beskyttelse - administrasjon av tilganger Virksomhet: De fleste hadde skriftlige rutiner for administrasjon av tilganger Halvparten hadde imidlertid ikke skriftelige rutiner for tildeling av utvidede rettigheter Ca 80 % hadde svakheter i dokumentasjon av at faktiske tilganger var i samsvar med autoriserte tilganger 14
Beskyttelse - logging og overvåkning Virksomhet: Revisjonen viste en gjennomgående svakhet på området logging og overvåkning Bruker og systemadministrators aktiviteter blir i liten grad logget eller fulgt opp 15
Beskyttelse - kontinuitetsplanlegging Virksomhet: Ca 80% hadde enten en kontinuitetsplan eller en prosess for kontinuitetsplanlegging De fleste kontinuitetsplaner var imidlertid ikke oppdaterte Omtrent halvparten manglet oversikt over hvilke systemer som skal prioriteres i en avbruddssituasjon Kun 3 hadde gjennomført øvelser i kontinuitetsplanen 16
Beskyttelse - fysisk sikkerhet Virksomhet: Revisjonen viste at de fleste datarom var sikret mot fysiske farer 17
Informasjonssikkerhetsbrudd Departement: Få hadde gitt føringer for rapportering av sikkerhetshendelser til fagdepartementet og til relevante sektormyndigheter Virksomhet: Ca 60 % hadde etablert rutiner for å rapportere og håndtere sikkerhetsbrudd. Omtrent halvparten hadde imidlertid ikke konkretisert hvilke typer hendelser som skal loggføres og rapporteres 18
Bruk av standarder for informasjonssikkerhet Departement: Få hadde stilt krav til underliggende virksomheter om å ta i bruk standarder for informasjonssikkerhet 19
Dokument 1 (2010 2011) 11 departementer har vesentlige mangler i sin styring av underlagte virksomheters informasjonssikkerhet 10 virksomheter har fått revisjonsbrev med merknader knyttet til vesentlige mangler ved informasjonssikkerheten FAD har samordningsansvaret for IKT-politikken, og revisjonen peker på mangler i departementets oppfølging av dette ansvaret 20
Revisjon av informasjonssikkerhet 2010 Revisjon av utvalgte virksomheter på UHsektoren Videreføring av revisjonen for 2009, men med større vekt på personopplysningsloven Vurderingsgrunnlag bl.a. ISO/IEC 27002 21
Funn: Identifisere aktiva Utfordrende å holde oversikt sentralt over hvilke systemer som forvalter personopplysninger (både sensitive og ikkesensitive) Prosjektleder synes å ha oversikt for egne prosjekter, men det fremgår ikke av sentrale føringer hvilke rutiner eller prosedyrer som skal være styrende for dette 22
Funn: Risiko- og sårbarhetsanalyser Liten grad av systematiserte ROS-analyser på overordnet nivå, men for enkelte forskningsprosjekter var det gjort slike vurderinger Foreligger ikke føringer fra ledelsen, og mye av arbeidet delegeres til avdeling, fakultet eller den enkelte prosjektleder 23
Funn: Sikkerhetspolicy Det var utarbeidet sikkerhetspolicyer, men det var svakheter i implementeringen 24
Funn: Informasjonssikkerhetsbrudd Manglende rutiner eller prosedyrer for hvordan brudd skal behandles Medfører økt sannsynlighet for at alvorlige hendelser ikke rapporteres og at korrigerende tiltak ikke blir iverksatt 25
Funn: Håndtering av personopplysninger i utvalgte prosjekter Fullmakter og ansvar er delegert til de enkelte prosjektledere, uten at det er etablert tilfredsstillende internkontrollsystemer Det eksisterer ikke systemer som fanger opp brudd f.eks. pga. mangelfull kunnskap og forståelse hos prosjektleder 26
Dokument 1 (2011-2012) Forholdene ble tatt opp Dokument 1, der det blant annet ble stilt spørsmål ved om KD har sikret seg at personopplysninger som virksomhetene innhenter og benytter, behandles på en tilfredsstillende måte 27
Avslutningsvis Oppfølging av revisjonsfunn fra sikkerhetsrevisjonen i 2009 viser økt fokus på området i forvaltningen. Sikkerhet er ikke et produkt, men en prosess. Det som blir målt blir gjort. 28
Spørsmål 29