Difis veiledningsmateriell, ISO 27001 og Normen

Difis veiledningsmateriell, ISO 27001 og Normen Jan Sørgård, seniorrådgiver Difi Jan Gunnar Broch, seniorrådgiver Helsedirektoratet

Difi Visjon: Vi utvikler offentlig sektor Digitalisering Anskaffelser Organisering og ledelse Oslo 240 ansatte Leikanger Utreder og analyserer Utvikler og forvalter fellesløsninger Rådgiver, pådriver og samordner m.m

Difis rolle og mandat informasjonssikkerhet Arbeide for en styrket og mer helhetlig tilnærming til informasjonssikkerhet i statsforvaltningen. Være en pådriver på etater/staten når det gjelder å bedre informasjonssikkerheten Gi anbefalinger til stat og kommune (forvaltningsorgan) om internkontroll på informasjonssikkerhetsområdet (jf. eforvaltningsforskriften 15) 10-12 personer i seksjon for infosikkerhet

Norm for informasjonssikkerhet i helse og omsorgssektoren Et omforent sett av adferdsregler og tiltak Besluttet og forvaltet av sektoren, forankret i EU-direktiv 46/95 artikkel 27 POL 42, 6 Arbeidet startet opp i 2003, versjon 1 klar i 2006, versjon 4 i 2014 www.normen.no

Styringssystem for informasjonssikkerhet for all informasjonsbehandling i offentlig sektor - bakgrunn

2010-2011 - Tilstanden er ikke god nok Mange offentlige virksomheter mangler tilstrekkelig styring og kontroll med informasjonssikkerheten Jf. Riksrevisjonens rapporter og uttalelser Datatilsynets årsmeldinger og uttalelser NSMs årsmeldinger og uttalelser

2012-2013 Digitaliseringsrundskriv pkt. 1.7, Anbefalinger i Referansekatalogen pkt. 2.16, Nasjonal strategi inf.sikkerhet, Difi-rapport 2012:15

Internkontroll, styringssystem m.v. - begrepsflora eller begrepskaos? internal control intern kontroll styring og kontroll internkontroll internkontrollsystem management system styringsystem ledelsessystem kvalitetssystem. Og hva er forskjellen på a control en kontroll et tiltak et sikringstiltak. Ulike fagmiljø har ulike begrep på i hovedsak det samme Vårt råd: Vær pragmatisk!

Hvorfor infosikkerhet? Nå våre primære mål Være effektive Etterleve lover og regler Informasjonsbehandling Kjerneaktivitet eller kritisk støtte IKT

Hvorfor infosikkerhet? Nå våre primære mål Være effektive Etterleve lover og regler Informasjonsbehandling Kjerneaktivitet eller kritisk støtte IKT Understøtte Informasjonssikkerhet -tiltak for sikring av tilgjengelighet, integritet, konfidensialitet på informasjon

Hvorfor infosikkerhet og internkontroll? Nå våre primære mål Være effektive Etterleve lover og regler Informasjonsbehandling Kjerneaktivitet eller kritisk støtte IKT Treffer eller bommer vi? Informasjonssikkerhet -tiltak for sikring av tilgjengelighet, integritet, konfidensialitet på informasjon

Hvorfor infosikkerhet og internkontroll? Nå våre primære mål Målorientert Være effektive Etterleve lover og regler Informasjonsbehandling Kjerneaktivitet eller kritisk støtte Risikobasert IKT Understøtte Balansert Informasjonssikkerhet -tiltak for sikring av tilgjengelighet, integritet, konfidensialitet på informasjon

Tilpasset risiko = forholdsmessige sikringskrav Tilpasset risiko Jf. eforvaltningsforskriften 15 Omfang og innretning på internkontrollen skal være tilpasset risiko Gjelder både internkontrollsystemet og sikringstiltakene Forholdsmessige sikringskrav Jf. personopplysningsforskriften 2-1 der det for å hindre fare for tap av liv og helse, økonomisk tap eller tap av anseelse og personlig integritet er nødvendig å sikre KIT skal tiltakene stå i forhold til sannsynligheten for og konsekvens av sikkerhetsbrudd

Norm for informasjonssikkerhet i helse- og omsorgssektoren Styringsgruppens mandat Nytt mandat vedtatt juni 2013 Styringsgruppens overordnede mål for Norm for informasjonssikkerhet helse-, omsorgs- og sosialsektoren (Normen) er god og sikker informasjonsbehandling. Normen skal, innenfor lovverkets rammer, søke en balansert tilnærming til konfidensialitet, tilgjengelighet, integritet og kvalitet. Normen skal bidra til å understøtte gode helsetjenester, god pasientsikkerhet, de ansattes personvern, og en aktiv pasientrolle.

Nasjonale innsatsområder for e-helse Én innbygger én journal Styring, koordinering og prioritering Innbyggertjenester Helsepersonelltjenester Styrings- og kunnskapsgrunnlag Personvern og informasjonssikkerhet Standarder, terminologi og kodeverk Forskning, innovasjon og kompetanse IKT-infrastruktur og felleskomponenter

Sikkerhet, robusthet og personvern

Forventninger til offentlig sektor Resultatkrav Bedre måloppnåelse primære mål Digitalt førstevalg Effektivisering Ta ut gevinstpotensialet i ny teknologi Frigi ressurser til primære mål Investering Interkontroll informasjonssikkerhet Nye teknologiske løsninger Nye arbeidsmåter 7.10.2014

Hvorfor har vi bremser på en bil? For å kunne stoppe? For å kunne kjøre raskt, effektivt og målretta? Gode bremser gjør det mulig å kjøre raskt til målet, bremse ned når en bør og stoppe når en må Hensiktsmessige sikringstiltak er en muliggjører Uhensiktsmessige sikringstiltak irriterer, hemmer, blir undergravd og gir økt risiko

eforvaltningsforskriften endret februar 2014 (Forskrift om elektronisk kommunikasjon med og i forvaltningen) Bl.a. tydeliggjort kravene til informasjonssikkerhet Kapittel 3 Styring og kontroll med informasjonssikkerheten 15 Internkontroll på informasjonssikkerhetsområdet NB! Forskriften gjelder statlige virksomheter, fylkeskommuner, kommuner, helseforetak og andre forvaltningsorgan

eforvaltningsforskriften Utdrag ny 15 (endret 13). Forvaltningsorganet skal ha en internkontroll (styring og kontroll) på informasjonssikkerhetsområdet som baserer seg på anerkjente standarder for styringssystem for informasjonssikkerhet. internkontrollen skal inkludere relevante krav som er fastsatt i annen lov, forskrift eller instruks. Internkontrollen bør være en integrert del av virksomhetens helhetlige styringssystem. Omfang og innretning på internkontrollen skal være tilpasset risiko..

Videre anbefalinger fra Difi (Referansekatalogen ver. 4.1) Det er anbefalt å basere seg på ISO/IEC 27001:2013 ved etablering av internkontroll/styringssystem på informasjonssikkerhetsområdet Det er anbefalt å støtte seg på ISO/ IEC 27002:2013 i implementeringen av relevante tiltak

Struktur og krav (overordnet) i ISO/IEC 27001:2013 Kontekst (rammevilkår/forutsetninger) forstå og tydeliggjøre kontekst, forstå interessentenes behov og forventninger, definere omfang av styringssystemet Lederskap utøve lederskap og engasjement, utforme policy, klargjøre roller og ansvar Planlegging klargjøre hvordan risiko og muligheter skal analyseres og håndteres, klargjøre informasjonssikkerhetsmål og hvordan disse skal nås Støtte/support sikre tilstrekkelig ressurser, kompetanse, bevissthet, kommunikasjon, dokumentasjon

Struktur og krav (overordnet) i ISO/IEC 27001:2013 Drift etablering og drift av nødvendige prosesser, vurdere og håndtere risikoer Vurdere ytelse overvåking, måling, analyse, evaluering, intern revisjon, ledelsens gjennomgang Forbedring avvikshåndtering, kontinuerlig forbedring

ISO 27001 og Normen Bygger på samme opprinnelse Har mange av de samme hovedelementene ISO 27001 har litt større vekt på enkelte ting som måling og evaluering Normen vektlegger det spesifikke for helse Tilgangsstyring Pasientens rettigheter mv. Normen dekker både offentlige og private virksomheter

Utfordringer ved å basere seg på ISO/IEC 27001:2013 alene Fremdeles krevende å etablere internkontroll/styringssystem infosikkerhet Hvilke prosesser/aktiviteter må/bør etableres? Hvordan kan/bør de implementeres og fungere? Relasjonen/sammenhengen til andre internkontroll-/styringssystem? Difis vurdering: Standarden må suppleres med praktisk rettet veiledningsmateriell

Difis veiledningsmateriell internkontroll.infosikkerhet.difi.no Sentrale delmål: - Avmystifisere styringssystem for informasjonssikkerhet (ISMS) - Internkontroll i praksis - informasjonssikkerhet - Basert på ISO/IEC 27001 - Dekke all informasjonsbehandling (eforvaltningsforskriften)

Difis nye veiledningsmateriell Nettbasert Flere iterasjoner og betaversjoner Kommentarfunksjon på de fleste sider En stor og bred referansegruppe for alle interesserte Egen referansegruppe for andre veiledningsaktører

Høyremeny «Nyttig»

Hovedaktivitetene i internkontrollen/styringssystemet

Normen «Virksomhetens ledelse skal etablere et styringssystem for informasjonssikkerhet som en del av virksomhetens internkontrollsystem.» (Normen) «Ledelsens gjennomgang må sees i sammenheng med økonomi- og virksomhetsplanleggingen da beslutningene kan få økonomiske konsekvenser» (Normen) Normen Styrende del Gjennomførende del Kontrollerende del

Normen og Difis veiledning Styrende Gjennomførende Kontrollerende

Ledelsens styring og oppfølging Godt å vite Hvorfor infosikkerhet? Tonen på toppen Støtte til ledelsen Krav og anbefalinger

Ledelsens styring og oppfølging Delaktiviteter Analyse av status Plan for bedre internkontroll Overordnede styrende dokument Ledelsens årlige gjennomgang Utforme styringsparametere og krav Godkjenne risikohåndtering Krise og beredskap Ved etablering/behov

Ledelsens styring og oppfølging Delaktiviteter Analyse av status Plan for bedre internkontroll Overordnede styrende dokument Policy for informasjonssikkerhet Retningslinje for roller, myndighet og ansvar Retningslinje for risikostyring (risikovurdering og risikohåndtering) Ledelsens årlige gjennomgang Utforme styringsparametere og krav Godkjenne risikohåndtering Krise og beredskap Ved etablering/behov Ved etablering/stor endring/svakheter

Ledelsens styring og oppfølging Delaktiviteter Analyse av status Plan for bedre internkontroll Overordnede styrende dokument Ledelsens årlige gjennomgang Utforme styringsparametere og krav Godkjenne risikohåndtering Krise og beredskap Ved etablering/behov Ved etablering/stor endring/svakheter Årlig kjerneaktivitetene Ved behov

Hjernen i internkontrollen

Risikovurdering Godt å vite (foreløpig) Hva er risiko? Ulike metoder Kritikalitet og verdi Nivå (linje- og prosjektleder, systemeier, leverandør infrastruktur) Trusler, farer og sårbarheter Sannsynlighet Konsekvens

Risikovurdering Delaktiviteter (foreløpig) Risikovurdering på prosesser/oppgaver linje- og prosjektleder Risikovurdering på IT-system/digitale tjenester Systemeier Risikovurdering på infrastruktur/teknisk plattform Leverandør infrastruktur

Hjertet i internkontrollen

Risikohåndtering Godt å vite (foreløpig) Hovedalternativer akseptere, unngå, overføre, endre Tiltakskategorier pedagogiske, organisatoriske, administrative, tekniske, fysiske) Ulike detaljeringsnivå og aktører Etablering og vedlikehold Tiltaksbank Andre tiltak Eksisterende tiltak

Risikohåndtering Delaktiviteter (foreløpig) Risikohåndteringsplan Fellestiltak Systemspesifikke tiltak Prosesspesifikke tiltak Gjennomføre risikoreduserende prosjekt/oppgaver Implementere sikringstiltak Godkjenne implementering Etterleve sikringstiltak

Hendene i internkontrollen

Kompetanse- og kulturutvikling Kunnskap Bevisstgjøring Ferdigheter og øving Kompetanseplaner Kulturutvikling

Læreren i internkontrollen

Overvåking og hendelseshåndtering Overvåking Hendelseshåndtering

Vakta i internkontrollen

Måling, evaluering og revisjon Målinger ved tiltaksetablering Målinger for risikoeiere Målinger for ledelsen Større evalueringer Intern revisjon

Kontrolløren i internkontrollen

Kommunikasjon Dokumenter struktur innhold og format Tydelige kommunikasjonskrav og -linjer Etablere og følge retningslinjer

Limet i internkontrollen

Internkontroll i praksis - informasjonssikkerhet

Internkontroll i praksis - informasjonssikkerhet

Fremdriftsplan Difis veiledningsmateriell 28.05.2014 Betaversjon 1.0 Grunnleggende informasjon på alle hovedaktiviteter. 01.09.2014 Betaversjon 2.0 Utdypninger av «Ledelsens styring og oppfølging» + justeringer av betaversjon 1.0 for øvrig 3.10.2014 Betaversjon 2.1 Innføring av tre nivå på informasjonen i venstremeny 28.11.2014 Betaversjon 3.0 Utdypninger av «Risikovurdering» + justeringer

Fremdriftsplan Difis veiledningsmateriell 27.02.2015 Betaversjon 4.0 Utdypninger av «Risikohåndtering» + justeringer 27.03.2015 Betaversjon 5.0 Utdypninger av "Overvåking og hendelseshåndtering" og «Kompetanse- og kulturutvikling» + justeringer 30.04.2015 Betaversjon 6.0 Utdypninger av «Måling, evaluering og revisjon» + justeringer 15.06.2015 Godkjent versjon 1.0

Internkontroll i praksis - informasjonssikkerhet

eforvaltningsforskriften, Difis veiledningsmateriell og Normen eforvaltningsforskriften og Difis veiledningsmateriell Gjelder all informasjonsbehandling i virksomhetene «internkontrollen skal inkludere relevante krav som er fastsatt i annen lov, forskrift eller instruks.» Personopplysningsloven og forskriften Gjelder behandling av personopplysninger Normen En avtale som skal etterleves slik som lover og forskrifter (for de den gjelder) Stiller spesifikke krav til behandling av helseopplysninger og til andre personopplysninger helsepersonell får vite

Internkontroll informasjonssikkerhet Er et systematisk arbeid for å håndtere risiko Er en forutsetning for en kontrollert og effektiv digitalisering og informasjonsbehandling Gir ledelsen og virksomheten for øvrig styringsmulighet når vi må få opp farten

Normen og Difis veiledning - basert på ISO/IEC 27001 Styrende Gjennomførende Kontrollerende

Kontakt Difi infosikkerhet@difi.no http://infosikkerhet.difi.no Veiledningsmateriellet: Internkontroll.infosikkerhet.difi.no