Internkontroll/styringssystem i praksis informasjonssikkerhet Andreas Grefsrud, seniorrådgiver seksjon for informasjonssikkerhet
Hva er informasjonssikkerhet?
CIA
Seksjon for informasjonssikkerhet Arbeide for en styrket og mer helhetlig tilnærming til informasjonssikkerhet i statsforvaltningen.
Hvor trykker informasjonssikkerhetsskoen?
Utfordringer
Behov
Avlive tre myter
Myte 1 Påstand: «Internkontroll» og «styringssystem for informasjonssikkerhet» er forskjellige ting Svar: Nei, ikke når begge betyr «intern styring og kontroll»
Myte 2 Påstand: Informasjonssikkerhet = hindre uautorisert innsyn Svar: Nei, informasjonssikkerhet handler om tilstrekkelige og balansert sikring av konfidensialitet, integritet og tilgjengelighet for å nå virksomhetens mål og å etterleve lover og regler
Hvorfor har vi bremser på en bil? For å kunne stoppe? For å kunne kjøre raskt, effektivt og målretta? Gode bremser gjør det mulig å kjøre raskt til målet, bremse ned når en bør og stoppe når en må Hensiktsmessige sikringstiltak er en muliggjører Uhensiktsmessige sikringstiltak irriterer, hemmer, blir undergravd og gir økt risiko
Myte 3 Påstand: Informasjonssikkerhet = IKT-sikkerhet Svar: Nei, informasjonssikkerhet inkluderer både muntlighet, papirbruk, IKT mv. i all formidling, behandling og lagring av informasjon
Krav og anbefalinger
eforvaltningsforskriften endret februar 2014 (Forskrift om elektronisk kommunikasjon med og i forvaltningen) Bl.a. tydeliggjort kravene til informasjonssikkerhet Kapittel 3 Styring og kontroll med informasjonssikkerheten 15 Internkontroll på informasjonssikkerhetsområdet
eforvaltningsforskriften Utdrag ny 15 (endret 13). Forvaltningsorganet skal ha en internkontroll (styring og kontroll) på informasjonssikkerhetsområdet som baserer seg på anerkjente standarder for styringssystem for informasjonssikkerhet. Internkontrollen bør være en integrert del av virksomhetens helhetlige styringssystem. Det organet departementet peker ut skal gi anbefalinger på området. Omfang og innretning på internkontrollen skal være tilpasset risiko..
Videre anbefalinger fra Difi (Referansekatalogen ver. 4.1) Det er anbefalt å basere seg på ISO/IEC 27001:2013 ved etablering av internkontroll/styringssystem på informasjonssikkerhetsområdet. Det er anbefalt å støtte seg på ISO/ IEC 27002:2013 i implementeringen av relevante tiltak
Difis veiledningsmateriell - Avmystifisere styringssystem for informasjonssikkerhet (ISMS) - Internkontroll i praksis informasjonssikkerhet
Difis nye veiledningsmateriell (1) Tydeliggjøre de sentrale prosessene i internkontroll/styringssystem Forklare innhold i prosesser og aktiviteter Gi råd rundt organisering og gjennomføring Eksempler og maler Synliggjøre tilsvarende i andres veiledninger
Difis nye veiledningsmateriell (2) Nettbasert Flere iterasjoner og betaversjoner Kommentarfunksjon på de fleste sider En stor og bred referansegruppe for alle interesserte Egen referansegruppe for andre veiledningsaktører
Hva er hovedprosessene i internkontrollen/styringssystemet? Ledelsens gjennomgang og utforming av føringer Informasjon og kommunikasjon Risikostyring (risikovurdering og risikohåndtering) Tiltaksetablering og vedlikehold Kompetanse- og kulturutvikling Overvåking og hendelseshåndtering Måling, evaluering og revisjon
Hovedprosessene i internkontrollen/styringssystemet
Betaversjon 1.0 Publisert 28.5.2014 internkontroll.infosikkerhet.difi.no
Innholdet i veiledningsmateriellet
Ledelsens gjennomgang og utforming av føringer Informasjonssikkerhet? Tonen på toppen Strategiutforming generelt Mål og strategi informasjonssikkerhet Retningslinje risikostyring (kalibrering) Retningslinje internkontroll Plan for bedre internkontroll Årlige føringer Periodisk gjennomgang
Hjernen i internkontrollen
Risikostyring Hva er risiko? Organisere risikostyring Risikovurdering Risikohåndtering Videre råd
Hjertet i internkontrollen
Tiltaksetablering og vedlikehold Systemrettede tiltak Informasjonssikkerhetstiltak Ulike detaljeringsnivå Flere trinn og aktører Etablering og vedlikehold Tiltaksbanken fra ISO 27001/27002 Få oversikt eksisterende tiltak Mer veiledning?
Hendene i internkontrollen
Kompetanse- og kulturutvikling Kunnskap Bevisstgjøring Ferdigheter og øving Kompetanseplaner Kulturutvikling
Læreren i internkontrollen
Overvåking og hendelseshåndtering Overvåking Hendelseshåndtering
Vakta i internkontrollen
Måling, evaluering og revisjon Testing ved tiltaksetablering Beslutningsgrunnlag for risikoeiere og ledelsen Driftsoppfølging og SLA Grunnlag for ledelsens gjennomgang Evalueringer Intern revisjon
Kontrolløren i internkontrollen
Informasjon og kommunikasjon Struktur Innhold og format Kommunikasjon Retningslinje
Limet i internkontrollen
Oppsummering Tre myter avlivet
Internkontroll - informasjonssikkerhet
Internkontroll - informasjonssikkerhet
Internkontroll - informasjonssikkerhet
Internkontroll - informasjonssikkerhet
Kontaktinformasjon infosikkerhet@difi.no infosikkerhet.difi.no Veiledningsmateriellet Internkontroll.infosikkerhet.difi.no