Lyntale Informasjonssikkerhet en nøkkel til resultater og kontinuerlig forbedring Øyvind Grinde, seksjonssjef
Brukerreise
Helsekort for gravide
Navnevalg
Foreldrepenger Behandlingstid Digital Agenda Offentlig sektor spør deg ikke på nytt om noe den vet. Du trenger ikke søke om noe du har rett til. Hvis offentlig sektor trenger informasjon fra deg, skal du kunne gi den digitalt. Du får svar digitalt. Du får umiddelbart svar hvis det ikke er behov for bruk av skjønn.
infosikkerhet@difi.no infosikkerhet.difi.no internkontroll.infosikkerhet.difi.no
Lyntale NIFS Svanhild Gundersen
NIFS - Nettverk for informasjonssikkerhet
Målgruppe Sikkerhetsansvarlige i offentlige virksomheter Formål Dele erfaringer 5 møter i året
E-post: infosikkerhet@difi.no Møteplan 2016/vår 2017 23. november Informasjonssikkerhet ved anskaffelse av skytjenester 15. februar Tema ikke fastsatt 5. april Øvelse 31. mai Sikkerhetsmåneden
infosikkerhet@difi.no infosikkerhet.difi.no internkontroll.infosikkerhet.difi.no
Lyntale Internkontroll i praksis - informasjonssikkerhet Barbro Lugnfors
Internkontroll i praksis - informasjonssikkerhet
Standarden ISO/IEC 27001 og Difis veiledningsmateriell ISO/IEC 27001 er anbefalt standard å basere seg på stiller overordnede krav til hva man skal ha og hva man skal gjøre i et sertifisert «system» for styring og kontroll innen informasjonssikkerhet Difis veiledningsmateriell har en pragmatisk og behovsorientert tilnærming til standarden fokus på tilstrekkelig styring og kontroll (ikke sertifisering) baserer seg på standarden dekker det Difi anser som de viktigste kravene konkretiserer hvordan disse kravene kan implementeres og etterleves
Systematiske aktiviteter
Nettbasert veiledningsmateriell Hjelp og støtte Hovedaktiviteter og delaktiviteter Beskrivelser
http://internkontroll.infosikkerhet.difi.no
Ledelsens styring og oppfølging - «Hjernen» i internkontrollen
Risikovurdering - «Hjertet» i internkontrollen
Risikohåndtering - «Hendene» i internkontrollen
Overvåking og hendelseshåndtering - «Vakta» i internkontrollen
Måling, evaluering og revisjon - «Kontrolløren» i internkontrollen
Kompetanse- og kulturutvikling - «Læreren» i internkontrollen
Kommunikasjon - «Limet» i internkontrollen
Internkontroll i praksis - informasjonssikkerhet
Difis tilbud Nettbasert veileder 2-dagers innføringskurs For fagansvarlig informasjonssikkerhet som lederstøtte og pådrivere Arbeidsseminar Utforme overordnede styrende dokumenter Etablere fellessikring og tilleggssikring Foranalyser før risikovurdering Rådgivningsmøter med virksomheter Ut fra kapasitet
infosikkerhet@difi.no infosikkerhet.difi.no internkontroll.infosikkerhet.difi.no
Lyntale Dilemmatrening som verktøy i opplæring Britt Eva Bjerkvik Haaland
Dilemmatrening informasjonssikkerhet Britt Eva Haaland
Hvorfor laget vi dilemmatrening
Fleksibelt Virksomheten Målgruppen Tidsbruk Gir eierskap til problemstillingene Overførbar kunnskap Engasjerer Kan utvides og oppdateres Refleksjon kan føre til adferdsendring
Perspektiver
infosikkerhet@difi.no infosikkerhet.difi.no internkontroll.infosikkerhet.difi.no
Lyntale Få oversikt og prioriter før risikovurderinger Jan Sørgård
Risikovurdering Få oversikt og prioritere Planlegge risikovurderinger Gjennomføre risikovurderinger
Delaktiviteten Få oversikt og prioritere Foranalyse Gruppere og dele Vurdere behov for risikovurderinger Oversikt: Gjennomførte risikovurderinger
Delaktiviteten Få oversikt og prioritere Foranalyse Gruppere og dele Vurdere behov for risikovurderinger Oversikt: Gjennomførte risikovurderinger Foranalyse Identifisere arbeidsoppgaver Identifisere informasjonstyper, system mv. Finn potensielt konsekvensnivå: oppgaver og system Overordnet vurdering: trusler, farer, sårbarheter Oppsummering: obs-områder
Identifiser - arbeidsoppgaver Kjerneoppgaver (kjerneprosesser): Tilsyn Veiledning Tilskuddsforvaltning Planarbeid Undersøkelser Kunnskapsforvaltning Oppfølging av ekspertgrupper Øvrig saksbehandling
Identifiser informasjonstyper mv.
Potensielt konsekvensnivå - arbeidsoppgaver og IKT-system
Foranalyse - Trusler Lignende skjema for farer og sårbarheter
Foranalyse Refleksjon og oppsummering Refleksjon over foranalysen Oppsummere spesielle obs-områder
Delaktiviteten Få oversikt og prioritere Foranalyse Gruppere og dele Vurdere behov for risikovurderinger Oversikt: Gjennomførte risikovurderinger
Gruppere og dele Med støtte i foranalysen: Grupper oppgaver og system i større «områder» homogene og enkle arbeidsoppgaver likt konsekvens- og trusselnivå gode rutiner profesjonelle systemer høy kompetanse Skill ut i egne «områder» Komplekse eller kritiske enheter, arbeidsoppgaver, prosjekt, IKT-system eller deler av ovennevnt
Vurdere behov for risikovurderinger Overordnet Hvor usikker er jeg på om risikoene kan aksepteres? En enkel kvalitativ og skjønnsmessig vurdering lav, moderat og høy usikkerhet Basert på noen enkle støttespørsmål Et sett beslutningskriterier Ut fra usikkerhetsnivå og potensielt konsekvensnivå plasserer «områdene» fra forrige trinn i prioriteringsgrupper for risikovurderinger
Delaktiviteten Få oversikt og prioritere Foranalyse Gruppere og dele Vurdere behov for risikovurderinger Oversikt: Gjennomførte risikovurderinger
Få oversikt og prioritere Suksesskriterium Prosessleder Minimum ved første gangs gjennomføring Godt forarbeid Strukturert ledelse av arbeidet Hensiktsmessige maler / støtteverktøy Enkle eksempler kommer snart fra Difi i oppdatert versjon Det gjør også arbeidsseminar for prosessledere
infosikkerhet@difi.no infosikkerhet.difi.no internkontroll.infosikkerhet.difi.no
Lyntale eidas - nye regler om e-id og signaturer Jon Berge Holden
Hva er eidas? Forordning (EU) 910/2014 Regulation on electronic identification and trust services for electronic transactions in the internal market Todelt Gir regler for gjensidig anerkjennelse av e-id og signaturer i offentlig sector, kap II + artikler 27, 37 Etablerer rammer for tillitstjenester, inkl. sertifikattjenester, kap III Erstatter e-signaturdirektivet 11.02.2016 IDentitet 2016
Regler om e-id Definerer tre eidas sikkerhetsnivåer for eid, art 8 og 2015/1502 HIGH, SUBSTANTIAL, LOW Utgpkt: Nivå 4 HIGH, Nivå 3 SUBSTANTIAL Selvdeklarasjonsordning Medlemslandene melder inn aktuelle e-id-løsninger, med angivelse av nivå(er) Anerkjennelsesplikt hvis et av de to øverste nivåer brukes i tjenesten Plikten gjelder autentisering med innmeldt e-id Personen identifiseres med navn, fødselsdato, identifikator Vilkår for å få ytelser og tilgang til tjenester påvirkes ikke 11.02.2016 IDentitet 2016
Regler om e-signaturer Nye definisjoner E-segl, avansert e-segl, kvalifisert e-segl, art 3 nr 25-27 Omtrent som før: Definisjon av signatur, avansert signatur, kvalifisert signatur Rettsvirkninger av signaturer, jf. art 25: Alle elektroniske signaturer skal kunne føres for retten - at den er elektronisk eller typen signatur skal ikke i seg selv være avvisningsgrunn Kvalifiserte signaturer skal alltid oppfylle formkrav til signatur Nytt for forvaltningen Hvis avansert eller kvalifisert signatur/segl kreves, Anerkjennelsesplikt også for signaturer i XAdES, PAdES eller CAdES, jf. art 27 og 37 Anerkjennelsesplikt for andre formater, hvis medlemsstaten tilbyr valideringsmulighet, jf. art 27 og 37 11.02.2016 IDentitet 2016
Hva betyr dette for forvaltningen? Nye muligheter Flere personer med e-id et europeisk marked Sikkerhetskrav må stilles som før Effektiv, enkel, sikker kommunikasjon, jf. efvf 1 Risiko for sikkerhetsbrudd skal være akseptabel, jf. efvf 15 m.m. Risikovurdering Ta utgangspunkt i hendelser (tvister) Juster for motivasjon, sårbarhet, trusselaktører Ta hensyn til sidevirkninger
Spørsmål? infosikkerhet@difi.no 11.02.2016 IDentitet 2016
infosikkerhet@difi.no infosikkerhet.difi.no internkontroll.infosikkerhet.difi.no
Lyntale Å øve på informasjonssikkerhet Håkon Styri
Øvelser Beredskapsøvelse gjennomføres minst en gang per år 33,3 prosent i 2016 (SSB, Bruk av IKT i staten) Flere må øve, minst en gang i året Planlegg flere mindre IKT-øvelser hvert år Knytt evaluering av øvelsene til internkontroll for informasjonssikkerhet for å sikre at øvelsene kan bidra til forbedring. Dato
Øvelser og styringssystem Risikovurdering Evaluering Etablering av sikkerhetstiltak Hendelser Øvelser Testing 2016-10-19
Øvelser og styringssystem (2) 2016-10-18
Ressurser DSB NUSB kurs i øvelsesplanlegging MSB (Sverige) - Öva enkelt! (2016) Difi Veileder i planlegging og gjennomføring av IKT-øvelser (2015) 2016-10-19
infosikkerhet@difi.no infosikkerhet.difi.no internkontroll.infosikkerhet.difi.no