Utredning av standarder for styring av informasjonssikkerhet

Like dokumenter
Anbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet

Prioritering møte i Standardiseringsrådet Beslutningssak

Mandat informasjonssikkerhet. Avdelingsdirektør Arne Lunde Uh-avdelingen KD

Presentasjon sikkerhetsforum Avdelingsdirektør Arne Lunde Uh-avdelingen KD

Standardiseringsrådsmøte #4 i November 2015

Standarder for risikostyring av informasjonssikkerhet

ELMER for innbyggerskjemaer? Anbefalinger til Standardiseringsrådet

Standardiseringsrådsmøte

Revisjonsnotat Beslutningssak i det 25. standardiseringsrådsmøte

Standarder for sikker bruk av VPN med og i offentlig sektor

Utredning av standarder for styring av informasjonssikkerhet Versjon

Grunnleggende datakommunikasjon sikker datakommunikasjon fra offentlige nettsteder

Avmystifisere internkontroll/styringssystem - informasjonssikkerhet

Rettslige krav til styring av informasjonssikkerhet. Karin Kristiansen og Amund Eriksen

Internkontroll i praksis (styringssystem/isms)

Internkontroll/styringssystem i praksis informasjonssikkerhet. Andreas Grefsrud, seniorrådgiver seksjon for informasjonssikkerhet

Sikkert nok - Informasjonssikkerhet som strategi

Informasjonssikkerhet. Øyvind Rekdal, 17. mars 2015

Referat fra møtet i Standardiseringsrådet mai 2012

Difis veiledningsmateriell, ISO og Normen

Kvalitetssikring av KS digitaliseringsprosjekter Sjekkliste informasjonssikkerhet og personvern

Vedlegg D: Behandling i Standardiseringsrådet, DNSSEC

Revisjonsnotat høsten 2014

HVILKE RISIKOER LØPER VI NÅR ALLE DATAENE VÅRE ER I NETTSKYEN?

Bergen kommunes strategi for informasjonssikkerhet

Møtereferat fra Standardiseringsrådsmøtet 12.nov. 2015

Referat fra møtet i Standardiseringsrådet september 2011

Standarder for en tjenesteorientert arkitektur

Revisjon av anbefalte standarder for styringssystem for informasjonssikkerhet

Kjetil Tveitan. Underdirektør, Folkehelseavdelingen. Norsk Vanns årskonferanse Kristiansand 1. september 2015

Standardisering av krypto i offentlig sektor. Standardiseringsrådsmøte (beslutningssak)

Hvordan styre informasjonssikkerhet i et dynamisk trusselbilde? Tommy Molnes Security Manager Digital Sikkerhet AS

HØRING NOU 2016:19 SAMHANDLING FOR SIKKERHET

Personvern og informasjonssikkerhet ved samhandling

Personvern og tilgang i journal Internt & Eksternt. Helge Veum, senioringeniør HelsIT, Trondheim, 25. september 2008

Hva er et styringssystem?

Oppfølging av informasjonssikkerheten i UH-sektoren

definisjonsarbeid Anbefalinger til standardiseringsrådet

Fylkesberedskapsrådet i Hordaland Styring og kontroll - informasjonssikkerhet. Øyvind Grinde Seksjonssjef for informasjonssikkerhet 18.

Olje- og energidepartementet

Metodikk for arbeidet i Standardiseringsrådet

Standardiseringsarbeidet

Standardiseringsrådsmøte # Standarder for pekere til offentlige ressurser på nett

Hva er sikkerhet for deg?

SIKKERHETSFAGLIGE ANBEFALINGER VED TJENESTEUTSETTING. En utdyping av området «Beslutt leveransemodell» i NSMs grunnprinsipper for IKT-sikkerhet

Styringssystem i et rettslig perspektiv

Informasjonssikkerhet i kommunene. Gaute Wangen, seniorrådgiver Seksjon for digital sikkerhet, NTNU

Utredning av standarder for styring av informasjonssikkerhet

Nasjonal arbeidsgruppe IPv6

Departementenes oppfølging av informasjonssikkerheten i underliggende virksomheter

Arbeidsgruppens behandling av rapporten Forberedende vurderinger av standarder d for. Møte i Standardiseringsrådet 16. mars 2010

Strategi for Informasjonssikkerhet

CYBERSIKKERHET PÅ STYREROMMET HVILKE LOVVERK MÅ LEDELSEN FORHOLDE SEG TIL?

Internkontroll for informasjonssikkerhet en fleksibel tilnærming med høy nytteverdi

Internkontroll og informasjonssikkerhet lover og standarder

Sikkerhetsforum Styring og kontroll av informasjonssikkerhet. 19. desember 2013

Sikkerhetsloven. Mobil Agenda Alexander Iversen Sjefingeniør, Sikkerhetsavdelingen

Ny sikkerhetslov og forskrifter

Styresak Orienteringssak - Informasjonssikkerhet

STRATEGI FOR INFORMASJONSSIKKERHET FOR POLITIET

Referat fra møtet i Standardiseringsrådet juni 2011

NTNU Retningslinje for fysisk sikring av IKTinfrastruktur

SIKKERHETSFAGLIGE ANBEFALINGER VED TJENESTEUTSETTING. En utdyping av området «Beslutt leveransemodell» i NSMs grunnprinsipper for IKT-sikkerhet

SIKKERHETSFAGLIGE ANBEFALINGER VED TJENESTEUTSETTING. En utdyping av området «Beslutt leveransemodell» i NSMs grunnprinsipper for IKT-sikkerhet

Veiledningsmateriellet Internkontroll i praksis - informasjonssikkerhet. For toppleder Oppdatert:

Utredning om internrevisjon i staten - et felles rammeverk

Sviktende tilgangsstyring i elektroniske pasientjournaler? Ragnhild Castberg, seniorådgiver Norsk Arkivråds arkivseminar,18.

Difis og Skates bidrag til mer, bedre og samordnet digitalisering

Høringsnotat for nye anbefalte IT-standarder i offentlig sektor mars Høringsnotat for nye anbefalte IT-standarder i offentlig sektor

Høring av Referansekatalogen v Marit Grønntun og Kristian Bergem

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik

Informasjonssikkerhet og anskaffelser. Svanhild Gundersen Seniorrådgiver Seksjon for informasjonssikkerhet

Semicolon)kokebok)2.0$! Sjekkliste!ved!endring!og!etablering!av! informasjonsutveksling!!!

Helhetlig arbeid med informasjonssikkerhet. Remi Longva

Dokumentformater 23. møte i Standardiseringsrådet

Referat Standardiseringsrådet - møte #

Vedlegg 8 Databehandleravtalen. Bussanbud Stor-Trondheim

Transportsikring av e-post rfc STARTTLS

Standardiseringsrådsmøte #

Oppdrag gitt i foretaksmøte 31. mai Foreløpig rapport om gjennomføring av oppdraget

Oppfølging av forvaltningsrevisjonsrapporten "IKT-sikkerhet, drift og utvikling"

Tilsyn med IKT-sikkerhet i finansnæringen. Finanstilsynsdirektør Morten Baltzersen Dataforeningens seminar 14. november 2017

Sikring av kritiske samfunnsfunksjoner Erfaringer fra Norge

Retningslinje for risikostyring for informasjonssikkerhet

Difis veiledningsmateriell for offentlig sektor internkontroll.infosikkerhet.difi.no

Undersøkelse om informasjonssikkerhet i Nasjonale felleskomponenter Spørreskjema Vedlegg til Difi-notat 2017:4

Forvaltningsrevisjonsrapporten "IKT-sikkerhet, drift og utvikling"

Axel Anders Kvale (Norsk Helsenett)

Ved avdelingsdirektør Tone Bringedal

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:

Sikkerhetstiltak utforming av internkontrolltiltak på informasjonssikkerhetsområdet

Styringssystem for informasjonssikkerhet et topplederansvar

Oppsummering fra Workshop om IT-standarder Vika konferansesenter 12. november møte i Standardiseringsrådet 22. og 23.

INTERNKONTROLL INFORMASJONSSIKKERHET, GDPR OG INFORMASJONSFORVALTNING I NVE

«Standard for begrepsbeskrivelser»

Referat fra møtet i Standardiseringsrådet september 2014

Seksjon for informasjonssikkerhet

Prinsipper for virksomhetsstyring i Oslo kommune

Veilederen må oppheves og erstattes av et mer helhetlig og hensiktsmessig rammeverk for å operasjonalisere instruksen.

Strategi IKT-strategi for justissektoren

Transkript:

Utredning av standarder for styring av informasjonssikkerhet 26. standardiseringsrådsmøte Beslutningssak 16.03.2011

Bakgrunn I 23.rådsmøte (2.- 3. juni) ble forprosjektsrapporten og arbeidsgruppens innstilling presentert 1. Sikker SMTP e-post (og meldingsboks) 2. Standarder for styring av informasjonssikkerhet Standardiseringsrådet støttet anbefalingen fra arbeidsgruppen om å prioritere følgende underområder innen sikkerhet, for videre utredninger: 3. Standarder for anvendelse av eid-løsninger 4. Standarder for risikostyring og vurdering (ISO/IEC27005) 5. Kryptoalgoritmer og nøkkellengder

Hovedpunkter fra diskusjonen i rådsmøtet (2.- 3. juni) Det kom innspill på at det må avgrenses tydeligere mot sikkerhetsloven og de deler av sikkerhetsarbeidet som er underlagt NSM sitt myndighetsområdet Det aller viktigste er sikkerhet knyttet til samhandling. I tillegg er det viktig å fokusere på sikkerheten i felleskomponenter. Viktig å sikre jobbpc ene, selv om brukere ikke jobber med beskyttelseverdig informasjon. Dette med tanke på e-post som allikevel kan inneholde beskyttelsesverdig informasjon. Generelle retningslinjer for krypteringsalgoritmer og nøkkellengder. Brukere har med seg pc overalt. + VPN

Anvendelse av standardene I utredningen blir det gitt forslag til hvordan ISO/IEC 27001 og ISO/IEC 27001 kan anvendes. Standardene foreslås som: Anbefalt Obligatorisk Obligatorisk og styringssystemet sertifisert (ISO/IEC 27001)

Sikkerhetsmekanismer som er lagt til grunn for samfunns- og virksomhetskritisk Konfidensialitet Det forhold at informasjon ikke er tilgjengelig for uautoriserte personer eller ikke-godkjente systemer Integritet Informasjon og objekters nøyaktighet og fullstendighet, samt pålitelighet av transaksjoner. Tilgjengelighet Tilgang til objekter, tjenester og informasjon ved behov og uten unødvendig forsinkelse Dato

Alternative modeller for anvendelsesområder Alternativ 1 Utpekte anvendelsesområder er skissert hver for seg 7 områder hvorav 3 har ytterligere 3 underområder Alternativ 2 Anvendelsesområder er slått sammen i størst mulig grad 2 områder Dato

Anvendelsesområder Informasjonsbehandling - for sikring av informasjon med spesielt beskyttelsesbehov. Elektronisk kommunikasjon og samhandling med og i offentlig sektor gjennom avtaler eller andre reguleringer Dato

Anvendelsesområder Virksomhetsintern drift - i offentlig sektor av samfunnskritisk infrastruktur eller -funksjoner Virksomhetsintern drift - i offentlig sektor av virksomhetskritisk infrastruktur eller -funksjoner Virksomhetsintern drift - i offentlige sektor av ikke kritisk infrastruktur eller -funksjoner Dato

Anvendelsesområder Felles intern drift - i offentlig sektor for flere offentlige virksomheter av samfunnskritisk infrastruktur eller -funksjoner Felles intern drift - i offentlig sektor for flere offentlige virksomheter av virksomhetskritisk infrastruktur eller -funksjoner Felles intern drift - i offentlig sektor for flere offentlige virksomheter av ikke kritisk infrastruktur eller -funksjoner

Anvendelsesområder Ekstern drift - samfunnskritisk infrastruktur eller -funksjoner Ekstern drift virksomhetskritisk infrastruktur eller -funksjoner Ekstern drift ikke kritisk infrastruktur eller funksjoner Dato

Anvendelsesområder Styringsdialogen oppfølging av informasjonssikkerhet i intern og underliggende virksomhet (-er) Sikkerhetskrav strukturering av sikkerhetskrav og forslag til sikringstiltak Dato

Informasjonsbehandling Elektronisk kommunikasjon og samhandling Samfunnskritisk Virksomhetskritisk Ikke-kritisk Samfunnskritisk Virksomhetskritisk Ikke-kritisk Samfunnskritisk Virksomhetskritisk Ikke-kritisk Styringsdialog (rapportering) Strukturering av Sikkerhetskrav Anvendelsesområder Alternativ 1 Drift - Ekstern Drift intern virksomhet Drift felles offentlig sektor Anbefalt Obligatorisk Sertifisert

Elektronisk kommunikasjon og samhandling Samfunnskritisk Virksomhetskritisk Samfunnskritisk Virksomhetskritisk Samfunnskritisk Virksomhetskritisk Styringsdialog (rapportering) Drift ikke-kritisk Strukturering av Ikke-kritisk Sikkerhetskrav og forslag til sikringstiltak Anvendelsesområder Alternativ 2 Behandling av beskyttelsesverdig, herunder samfunns- og virksomhetskritisk informasjon Drift - Ekstern Drift intern virksomhet Drift felles offentlig sektor Anbefalt Obligatorisk Sertifisert

Unntak Foreløpig er det ikke identifisert behov for unntak. Behov for unntak kan imidlertid fremkomme i konsekvensutredningen.

Rådet bør vurdere om: standardene skal gjøres anbefalte våren/sommeren 2011, ved publisering av neste delversjon av referansekatalogen en konsekvensvurdering av et obligatorisk krav og sertifisering på utvalgte områder bør gjennomføres umiddelbart, eller om standardene bør være anbefalt noen år før et eventuelt obligatorisk tiltak. alternativt om standardene kun gjøres obligatorisk for en mindre gruppe offentlige virksomheter

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding