Internkontroll. SUHS konferansen. 07. November 2012 Kenneth Høstland, CISA, CRISC

Like dokumenter
Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:

Mandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011

Internkontroll og informasjonssikkerhet lover og standarder

Informasjonssikkerhet i UH-sektoren

Styringssystem i et rettslig perspektiv

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001

Personopplysninger og opplæring i kriminalomsorgen

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015

Spesielt om personvern og krav til sikring av personopplysninger. Dag Wiese Schartum

Sekretariat for informasjonssikkerhet i UHsektoren. Rolf Sture Normann

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget /11

Endelig kontrollrapport

Avmystifisere internkontroll/styringssystem - informasjonssikkerhet

Informasjonssikkerhet og internkontroll. DRI1010 forelesning Jon Berge Holden

Hvordan styre informasjonssikkerhet i et dynamisk trusselbilde? Tommy Molnes Security Manager Digital Sikkerhet AS

Rettslige krav til styring av informasjonssikkerhet. Karin Kristiansen og Amund Eriksen

Retningslinje for risikostyring for informasjonssikkerhet

Forvaltningsrevisjon IKT sikkerhet og drift 2017

Tilsyn med IKT-sikkerhet i finansnæringen. Finanstilsynsdirektør Morten Baltzersen Dataforeningens seminar 14. november 2017

Krav til informasjonssikkerhet. DRI1010 forelesning Jon Berge Holden

Endelig kontrollrapport

SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing. Informasjonssikkerhet og personvern Renate Thoreid

Informasjonssikkerhet i Nord-Trøndelag fylkeskommune

Databehandleravtale. Denne avtalen er inngått mellom

Risikoledelse i hverdagen mulig eller umulig? Linda Svendsrud Teamleder Rådgivning

Sikkerhetsforum Styring og kontroll av informasjonssikkerhet. 19. desember 2013

ISO Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen

Informasjonssikkerhet i kommunene. Gaute Wangen, seniorrådgiver Seksjon for digital sikkerhet, NTNU

VEDLEGG TIL HOVEDAVTALE DATABEHANDLERAVTALE

KF Brukerkonferanse 2013

E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)

SUHS konferansen Infomasjonssikkerhetsspor (CSO)

Sikkerhetshendelse hos Kartverket i Oppfølging på kort og lang sikt. Pål Asmund Røste Seksjonsleder IT Applikasjonsdrift- 10/04/2019

Nettskyen, kontroll med data og ledelsens ansvar

Risikoanalysemetodikk

Kvalitetssikring av arkivene

Forvaltningsrevisjon. IKT-sikkerhet og sårbarhet i Arendal kommune

Hva er et styringssystem?

Internkontroll i praksis (styringssystem/isms)

Har du kontroll på verdiene dine

VEDLEGG A UTKAST TIL LEVERANSEBESKRIVELSE

Kan du legge personopplysninger i skyen?

Presentasjon sikkerhetsforum Avdelingsdirektør Arne Lunde Uh-avdelingen KD

Databehandleravtale etter personopplysningsloven

Strategi for Informasjonssikkerhet

Kontrollrapport. Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer

Revisjonsrapport for 2017 om informasjonssikkerhet i forskningssystemer

Policy for personvern

Velkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) Susanne Helland Flatøy Markedssjef Digital Kvalitet

Behandlingsansvarlig Virksomheter som bestiller opplæring i forbindelse med Nasjonal sikkerhetsmåned

Bilag 14 Databehandleravtale

Revisjon av informasjonssikkerhet

Ny styringsmodell for informasjonssikkerhet og personvern

3) Personregister Registre, fortegnelser m.v. der personopplysninger er lagret systematisk slik at opplysninger om den enkelte kan finnes igjen.

Forvaltningsrevisjonsrapporten "IKT-sikkerhet, drift og utvikling"

NTNU Retningslinje for fysisk sikring av IKTinfrastruktur

Mandat informasjonssikkerhet. Avdelingsdirektør Arne Lunde Uh-avdelingen KD

Krav til informasjonssikkerhet i nytt personvernregelverk

Endelig kontrollrapport

Vedlegg 8 Databehandleravtalen. Bussanbud Stor-Trondheim

Endelig kontrollrapport

VIRKE. 12. mars 2015

Følger sikkerhet med i digitaliseringen?

Seminar om betalingssystemer og IKT i finanssektoren,

November Internkontroll og styringssystem i praksis - Aleksander Hausmann

Kontrollrapport. Kontrollobjekt: Våler kommune Sted: Våler

Personvern - sjekkliste for databehandleravtale

Kommunens Internkontroll

Ny sikkerhetslov og forskrifter

Endelig kontrollrapport

Forvaltningsrevisjon. IKT-sikkerhet og sårbarhet i Lillesand kommune

Endelig kontrollrapport

Konkurranse om minibusstjenester. Vedlegg 8. Databehandleravtale

UNINETT-konferansen 2017

Bruk av skytjenester Sikkerhet, personvern og juridiske forhold i skyen. Hallstein Husand, fagdirektør IKA Trøndelag Trondheim 24.

Risikovurdering. Utgitt med støtte av: Støttedokument Faktaark nr 7 Versjon: 3.0 Dato:

Aggregering av risiko - behov og utfordringer i risikostyringen

Bransjenorm. for personvern og informasjonssikkerhet i elektronisk billettering. Vedlegg 4: Veiledning for internkontroll - informasjonssikkerhet

Gjelder fra: Godkjent av: Camilla Bjørn

Databehandleravtaler

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

UTFORDRINGER INTERNKONTROLL INTERNKONTROLL SOM SVAR KONTROLLKOMPONENTER KONTROLLMÅLSETTING. INTERNKONTROLL- FORSKRIFTEN (Helse og sosial)

Cloud computing en veileder i bruk av nettskytjenester. En vurdering av nettskytjenester opp mot kravene i personopplysningsloven 1.

GDPR I DEN NORSKE OPERA & BALLETT. Spekter, 13. desember 2017

Avito Bridging the gap

NTNU Retningslinje for arbeid med sikkerhetskultur og opplæring innen informasjonssikkerhet

DATABEHANDLERAVTALE. mellom. [Skjåk Kommune] (heretter kalt "Behandlingsansvarlig") Mattilsynet. (heretter kalt "Databehandler")

RISIKOVURDERING. Jan Fosse Seksjonssjef Avdeling Sikkerhetsstyring NSM NASJONAL SIKKERHETSMYNDIGHET

Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket.

Endelig kontrollrapport

Stilling/navn Seksjonsleder sikkerhet/geir Hovind Fagansvarlig strategisk sikkerhet/christian Jacobsen

Kontrollrapport. Kontrollobjekt: Nittedal kommune Sted: Nittedal

Brudd på personopplysningssikkerheten

Har du kontroll med din databehandler? En utro elsker. Annikken Seip Seniorrådgiver IT-tilsyn

Internkontroll i mindre virksomheter - introduksjon

Stikkord om utvikling (1)

Sikkerhetsbestemmelsene i personopplysningsforskriften med kommentarer

Informasjonssikkerhet i Norge digitalt Teknologiforum

Endelig kontrollrapport

Leverandøren en god venn i sikkerhetsnøden?

Transkript:

Internkontroll SUHS konferansen 07. November 2012 Kenneth Høstland, CISA, CRISC

Innhold Internkontroll Regulatorisk forankring Ulike tilnærminger til internkontroll Litt om trusler Generelle erfaringer med internkontroll Internkontroll i UH sektoren Styrende, gjennomførende og kontrollerende dokumentasjon Risikostyring 2

Regulativ forankring av Internkontroll Personopplysningsloven (POL) POL - 13. Informasjonssikkerhet Den behandlingsansvarlige og databehandleren skal gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet ved behandling av personopplysninger. For å oppnå tilfredsstillende informasjonssikkerhet skal den behandlingsansvarlige og databehandleren dokumentere informasjonssystemet og sikkerhetstiltakene. 3 POL - 14. Internkontroll Den behandlingsansvarlige skal etablere og holde vedlike planlagte og systematiske tiltak som er nødvendige for å oppfylle kravene i eller i medhold av denne loven, herunder sikre personopplysningenes kvalitet. Den behandlingsansvarlige skal dokumentere tiltakene.

Internkontroll COSO ERM Enhver virksomhet er utsatt for et stort antall risikofaktorer; dvs. mulige hendelser som kan hindre virksomheten i å realisere sine strategier og nå sine mål. Risikoen kan komme fra et bredt spekter av risikofaktorer. Risiko er et produkt av sannsynligheten for og konsekvensen av at slike hendelser (risikofaktorer) skal inntreffe. Som ansvarlig leder må du stille deg følgende spørsmål; Hvordan kan du identifisere nye og endrede risikofaktorer? Hvilke av disse risikofaktorene er vurdert som de vesentligste for din virksomhet? Hvordan kan jeg etablere relevante styrings- og kontrollmekanismer som balanserer risiko og kontroll? Hvordan kan jeg vite at disse styrings- og kontrollmekanismene fungerer effektivt og som forutsatt? 4 Det er disse aktiviteter, utført som en ledelsesdrevet kontinuerlig prosess, som utgjør virksomhetens "intern kontroll". Behovet for å få innsikt i ovennevnte problemstillinger og aktuelle løsninger, førte til at det ble gjennomført flere internasjonale studier innenfor området styring og kontroll. De mest kjente er COSO rapporten (USA), CoCo rapporten (Canada) og Cadbury rapporten (UK)

Internkontroll - NIRF Begrepet intern kontroll omfatter alt hva selskapet gjør for å sikre sine verdier tilrettelegge en forsvarlig drift for å nå de planlagte mål. Ethvert selskap må i større eller mindre grad etablere intern kontroll, avhengig av selskapets størrelse, virksomhet og kompleksitet. 7 Intern kontroll er en integrert del av ledelsens totale styringssystem. Den interne kontrolls form og omfang påvirkes av f.eks. bransje, selskapsstørrelse og tekniske hjelpemidler.

Personopplysningsbegreper (POL 2) Personopplysning Opplysninger og vurderinger som kan knyttes til en enkeltperson. POL: Personopplysningsloven POF: Personopplysningsforskriften Sensitive personopplysninger Opplysninger om rase, etnisk bakgrunn, politisk, filosofisk, religiøs oppfatning, straffbare forhold, helse, sex forhold eller fagforreningsmedlemskap. 8 Sensitive personopplysinger skal behandles og lagres i sikrede soner hvor kun autoriserte brukere gis tilgang. En virksomhet kan opprette flere sikrede soner avhengig av behovet.

Hvor en opplever at skoen trykker når det gjelder POF 2-3 Manglende sikkerhetsmål og strategi. Styrende, gjennomførende og kontrollerende dokumentasjon. 11 2-4 Manglende gjennomføring av risikovurdering, herunder fastsettelse av kriterier for akseptabel risiko. 2-12 Mangelfull håndtering av tilgjengelighet og driftskontinuitet i tilfelle kriser og katastrofer

Overordnet liste av avvik i sektoren Pri Lover& forskr. Avvik/funn Tiltak Ref Status 1 Pof 2-3 Ikke sikkerhetsmål & - strategi (policy) 9 Manglende IT strategi 3 POF 2-12 Mangler KBP 6 POL 13 Manglende databehandler avtale 2 POF 2-4 Ikke gjennomført ROS ift informasjonssikkerhet 4 POL 16-22, POF 3 Utarbeide oversikter over hvilke Personopplysninger som behandles (rutiner for innsyn, logger og lignende.) 5 POF 2-6 Manglende rutiner for avviksbehandling. Dette er et avvik ifht regulative krav og God IT skikk. 7 POF 2-10 Manglende skriftlig rutine for gjenbruk og destruering av brukt IT utstyr 12 Mangler retningslinjer for hjemmearbeidsplass 8 POF 2-11 Det er lagret sensitive data på fellesområdet "G:" som blir tilgj. for uautoriserte ved feil konfig i < >

Internkontroll og utfordringer 14

Litt om trusler og sårbarheter Trender Informasjon er mer verdifull enn noen gang Nettverk er kritisk infrastruktur e-post stadig mer virksomhetskritisk ID-tyveri Angrep hurtigere enn patcher (zero-day) sluttbrukere representerer risiko målrettede angrep organisert kriminalitet Mobile enheter representerer stadig større risiko ( Mobilen er vår farligste eiendel Norsis) Det aktuelle trusselbildet avdekkes gjennom en risikovurdering 15 http://www.norsis.no http://www.sans.org/top20/ http://www.gocsi.com/ http://www.cert.org/analysis/

Noen erfaringer Generelle erfaringer Den menneskelige faktoren utgjør en vesentlig del av det totale sikkerhetsbildet (80% ifht teknologi 20%). Teknisk personell setter sikkerhetsnivået der det ikke er Policies - > fører til Pansrede ståldører i stakitt gjerder Det er bedre nå enn før, men der det er dårlig fortsatt, er der hvor styrende dokumenter mangler (Policy, IT-strategi etc). Mangelfullt design og sikkerhetskonfigurasjon PEBKAC 16

Noen flere erfaringer Kompleksitet kan være fiende o Som følge av unødvendig funksjonalitet o Som følge av for mye Teknologi fokus Stadige endringer/ teknologi skifte en trussel o Gir mindre tid for utvikling av effektive sikkerhetstiltak Mangelfull/manglende IT-/Teknologi strategi en trussel o Kan gi tilfeldige anskaffelser o Være kostbart o IT-strategi må være forretningsforankret Unngå For mye sikkerhetsteknologi o Sett tiltakene etter ROS vurdering Unngå risikopreget konfigurasjon o Eksempel: klienter og servere i samme segment/ regime, i kombinasjon med tilgang til lokal administrator på klient/pc samt tillate BYOD uten ansvarliggjørende tiltak Mobilitet og BYOD gir risikoer o Flytter grenser / Sikkerhetsbarrierer o Privat enhet som ofte fylles med virksomhetens informasjon 17

Finanstilsynets risikorapport for 2011 Handler om finansforetakenes bruk av informasjons- og kommunikasjonsteknologi (IKT) Noen funn fra IT-tilsyn Rapporterte hendelser Risikoer med Cloud Risiko ved utkontraktering Mangler ved styring og kontroll Kriminelle angrep mot betalingssystemene Risiko for driftsavbrudd og systemfeil 19

Definisjon av risikostyring enkel def. Risikostyring handler om å fastsette akseptabel risiko, foreta risikovurdering og prioritere sikkerhetstiltak. Dette er øverste leders ansvar. (Norsis) 22

Risikostyring - overordnet Informasjonssikkerhet Mål- og resultatstyring Steg NSM /Datatilsynet/ NORSIS DFØ/COSO 1. Planlegging og organisering a. Planlegging b. Organisering c. Identifisering av verdier d. Kartlegging av risikobildet Identifisering av overordnede mål a. Mål og verdier b. Pålitelig regnskapsrapportering og økonomiforvaltnig c. Overholdelse av lover og regler 2. Gjennomføring av ROS analyse (vurdering) a. Identifisering av uønskede hendelser b. Fastsettelse av Sannsynlighet og Konsekvens c. Fastsettelse av Risiko d. Evaluering av risiko og akseptabel R Identifisering av KSF 24 3. Utarbeidelse og implementering av tiltak a. Kartlegging av eksisterende tiltak b. Utarbeiding av sikringstiltak c. Vurdering av nytte og kostnad d. Kommunikasjon med beslutningstakere Identifisering av risikoer 4. Kontroll og revisjon Oppfølging og kontroll av sikkerhetsarbeidet Ledelsens evaluering Vurdering og prioriteringer av risikoer 5. Vurdering av S og K 6. Prioritering av risikoene -> unngå, redusere, dele eller akseptere risiko.

Hensiktsmessig sikkerhetskontroll? 25

Dilbert BYOD & Internkontroll 26

Internkontroll i UH siden 2008 2008-2012 Etablering av Policy for informasjonssikkerhet IT revisjon: >30 2013-> Hva nå?? IT revisjon/ Kartlegging Utkast til policy og rutiner mm. Policy: >15 Test av etterlevelse 27 Justrering policy Holdninger Tilpassning i WS Implementasjon ROS BIA KBP ROS BIA KBP Policy Utrulling i UH

Internkontroll i UH-sektoren ISO 27002 i all sin grusomhet Noe av innholdsfortegnelsen 28

Internkontroll i UH-sektoren Datatilsynet får ofte spørsmål om hvordan bedriften kan tilpasse seg Datatilsynets krav til informasjonssikkerhet. Blant annet spørres det om forholdet til ISO-standarder. Forskriften bygger på ISO-standarder 29 Forskriftens kapittel 2 om informasjonssikkerhet bygger på og har samme systematikk som ISOstandard 17799. Standarden er imidlertid mer utfyllende og er nok et nyttig verktøy i virksomhetens arbeid. Standardserien består av to deler. Den første delen er oversatt til norsk. Standarden kan skaffes ved henvendelse til Pronorm.

Internkontroll i UH-sektoren retningslinjer og dokumentasjon Består av planlagte og systematiske tiltak slik som 1) Sikkerhetspolicy definerer mål, hensikt, ansvar og overordnede krav. -> Styrende dokumentasjon 2) Overordnede retningslinjer for informasjonssikkerhet. Her defineres hva som må gjøres for å etterleve den etablerte policy. -> Styrende dokumentasjon Hvorfor Hva 30 3) Standarder og prosedyrer for informasjonssikkerhet med detaljerte retningslinjer for hvordan disse standardene skal implementeres. -> Gjennomførende og kontrollerende dokumentasjon Hvordan

Eksempel på Hvordan gjennomførende dok. 31

Eksempel på Hvordan 32

Eksempel på gjennomførende dok. (KBP) KBP IT Administrativ plan Definisjoner Overordnet prosedyre Overordnede varslingslister Krise?/type katastrofe? 33 Kriseplan IT Kriser (og noen typer katastrofer) Varslingslister (også ifht driftspartner(e) Alternativt datarom på campus Nødvendige gjenopprettingsprosedyrer i egen driftede systemer, herunder Omlegging av data og trafikk Drift m. redusert kapasitet Gjenoppretting av prim. datahall Katastrofeplan IT Større katastrofe Varslingslister (også ifht driftspartner(e) Velge eksternt driftssted Cold Site Nødvendige gjenopprettingsprosedyrer, herunder Bestillinger Klargjøringer Gjenoppretting til nød drift Gjenoppretting av prim. Datahall (om mulig) System og driftsdokumentasjon Testplaner

Eksempel på kontrollerende dok. 34

Eksempel på Hvordan - Soneinndeling 35

Best Practice 37

Oppsummering Internkontroll: etablere og holde vedlike planlagte og systematiske tiltak tiltakene skal være forholdsmessige både logiske og tekniske tiltak risikosyring både ifht målstyring og informasjonssikkerhet God internkontroll: etterlever lover& regler oppfyller forretnigsmessige krav unngår for mye sikkerhet Dette betinger en metodisk tilnærming: IT revisjon/ kartlegging av ståsted Risikovurderinger Styrende dokumenter Kvalitetsarbeid Forretningsstrategi IT-strategi KBP Opplæring, holdningsskapende tiltak 39

TAKK FOR OPPMERKSOMHETEN Spørsmål? 40

Noen referanser om internkontroll NIRF om Internkontroll: http://www.iia.no/filestore/kataloger_og_brosjyrer/cosoerm_sammendrag_internett.pdf Datatilsynet om Internkontroll : http://www.datatilsynet.no/global/04_veiledere/internkontroll_veil.pdf POL: http://www.lovdata.no/all/hl-20000414-031.html POF: http://www.lovdata.no/cgi-wift/ldles?doc=/sf/sf/sf-20001215-1265.html Internkontrollforskriften: http://www.lovdata.no/cgi-wift/ldles?doc=/sf/sf/sf-20080922-1080.html DFØ om målstyring: http://www.sfso.no/upload/forvaltning_og_analyse/risikostyring/ny_metodedokument_060120 06.pdf 41

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding