Anbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet Bakgrunn Utredningen av standarder for informasjonssikkerhet har kommet i gang med utgangspunkt i forprosjektet for kartlegging av sikkerhetsstandarder. Og videre av behandlingen i standardiseringssekretariatet, med saksfremlegg til Standardiseringsrådet. Rådet ga tilslutning og en anbefaling om å utrede ISO/IEC 27001 og ISO/IEC 27002. Disse to standardene har vært tilgjengelige i mange år, men i ulike versjoner, og er godt kjent også innen offentlig sektor. Informasjonssikkerhet er et ledelsesansvar, og det må forventes at virksomhetene arbeider metodisk og målrettet med utfordringene. I dette ligger det et særlig ansvar når det behandles sensitiv 1 eller gradert 2 informasjon, eller ved drift og forvaltning av kritisk IKT- infrastruktur. Virksomheter blir i lovog regelverket pålagt å ivareta informasjons- eller IKT-sikkerheten, uten derved alltid å få klare krav og føringer. Det er virksomhetens leder som er ansvarlig for å vurdere egen risikoeksponering og iverksette tilstrekkelig sikringstiltak. Det er observert at Riksrevisjonen har avdekket mangler ved føringer og krav gitt fra eksempelvis departementer vedrørende krav til informasjonssikkerhet hos underliggende etater, og ved oppfølging av sikkerhetsarbeidet hos disse. Revisjons- og tilsynsarbeid kan underlettes og effektiviseres ved at det i virksomhetene benyttes anerkjente standarder og/eller veiledninger. Standardene kan da legges til grunn som måleparametre for om kravene til informasjonssikkerhet blir ivaretatt. Rapportens konklusjoner Utredningen foreslår å gjøre ISO/IEC 27001 og ISO/IEC 27002 til forvaltningsstandarder for informasjonssikkerhet i offentlig sektor. Utredningen peker ut noen viktige anvendelsesområder innen informasjonssikkerhet, og avhengig av området er det foreslått ulik styrke i kravet om å følge standardene. Standardene foreslås enten som anbefalte eller obligatoriske, og i noen sammenhenger kreves det også at virksomheten skal være sertifisert iht. standarden. Det er i forbindelse med drift av samfunns- eller virksomhetskritiske systemer, at det foreslås å kreve sertifisering av styringssystemet iht. ISO27001. 1 Eks. sensitive personopplysninger 2 Sikkerhets- eller beskyttelsesgradert 1
Innspill til rapporten Utkast til rapporten om utredning av standarder for styring av informasjonssikkerhet, ble publisert på Standardiseringsportalen, og har vært tilgjengelig for kommentarer i nærmere 3 uker. Det ble åpnet for både kommentarer på nettstedet og innspill per e-post. Det er også avholdt to møter med Standardiseringsrådets arbeidsgruppe for sikkerhet. Difi har ikke mottatt noen kommentarer på rapporten i høringsperioden, men har mottatt ett innspill fra Oslo Kommune, som også er en del av arbeidsgruppen, i etterkant. Hovedbudskapet i Oslo Kommunes innspill er: I det store og hele støttes de konklusjoner som nå fremgår av utredingen. Intern ressurstilgang og kompetanse er en nødvendighet for å kunne beholde eventuell sertifisering og for å kunne forvalte ISMS tilfredsstillende over tid anbefale standardene som obligatorisk for store deler av offentlig sektor slik at det er mulig å opparbeide seg en helhetlig oversikt over sikkerhetsnivå, - og tillitsnivå for respektive samhandlingspartnere og aktører på vegne av både borgere, brukere, kunder og leverandører. Arbeidsgruppen har diskutert rapporten nøye og det er gjort noen justeringer i rapporten som følge av diskusjonene i arbeidsgruppen. Det har kommet et innspill fra NAV om å lette på kravet til ISO 27001. Et forslag resten av arbeidsgruppen ikke gav sin tilslutning til og som derfor ikke er tatt inn i forslaget. Det ble foreslått at i stedet for å sette krav til at selve ISO standarden skal følges, så burde det settes krav til at virksomhetene skal følge anerkjente prinsipper for styring av informasjonssikkerhet. Hvorav ISO 27001 er et eksempel på slike anerkjente prinsipper, men at også tilsvarende prinsipper kan benyttes. Arbeidsgruppens anbefaling til Standardiseringsrådet Arbeidsgruppen støtter rapportens konklusjoner og mener at anviste standarder bør gjøres anbefalte på alle skisserte anvendelsesområder i neste del-versjon av referansekatalogen og at det gjennomføres en konsekvensanalyse av å gjøre standardene obligatoriske og kreve sertifisering på angitte anvendelsesområder. Arbeidsgruppen synes det er en god regel at man ikke krever mer sikkerhet enn nødvendig, og synes derfor det er nyttig å definere konkret hvilke anvendelsesområder som gjelder i stedet for å komme med et veldig bredt pålegg som treffer alle. De områdene som ligger der i dag er derimot delvis overlappene, og rådet bør vurdere om alle eller enkelte av anvendelsesområdene bør samordnes. Inndelingen som foreligger gir derimot god innsikt i hvilke områder som vil bli berørt av pålegget og gir en god oversikt i forhold til å vurdere om det er rett nivå på kravene på alle områder. Vi ber rådet spesielt om å vurdere kravene om sertifisering internt i offentlig sektor, et krav som delvis bryter med vanlig praksis i dag. Rådet bør vurdere om en konsekvensvurdering av et obligatorisk krav om bruk av standardene, samt konsekvens av krav til sertifisering på utvalgte områder bør gjennomføres umiddelbart, eller om standardene bør være anbefalt noen år før en eventuell slik utredning med tanke på å gjøre kravene 2
obligatorisk gjennomføres. Alternativt om standardene i første omgang kun bør gjøres obligatorisk for en mindre gruppe offentlige virksomheter (for eksempel de som tilgjengeliggjør sensitiv informasjon gjennom elektroniske tjenester mot innbyggere og næringsliv), for deretter og breddes ytterligere avhengig av erfaringer. Nedenfor ligger teksten som er tenkt å gå inn i referansekatalogen på sikt når eventuelt konsekvenser er vurdert. Det er foreslått 2 ulike alternativer, et alternativ der alle utpekte anvendelsesområder er skissert hver for seg og et der anvendelsesområdene er slått sammen i størst mulig grad. Alternativ 1 tekst til fremtidig referansekatalog Krav til standarder for styring av informasjonssikkerhet 1. Styring av informasjonssikkerhet ved informasjonsbehandling Anvendelsesområdet som her omtales gjelder offentlige virksomheters behandling av beskyttelsesverdig informasjon. Med beskyttelsesverdig forstås her informasjon som er regulert gjennom regelverket og annen informasjon med særlig behov for beskyttelse. I dette inngår sikring av enten en eller flere av egenskapene konfidensialitet, integritet eller tilgjengelighet. Det avgrenses mot krav som følge av sikkerhetsloven med forskrifter. Det presiseres at selv om det å følge anviste standarder på området bidrar til økt sikkerhet, gir det ikke en automatisk tilfredsstillelse av alle krav i gjeldende regelverk. Det er obligatorisk å benytte ISO/IEC 27001 for styring av informasjonssikkerhet ved informasjonsbehandling. Det er også obligatorisk å følge strukturen og vurdere sikringstiltakene i ISO/IEC 27002. 2. Styring av informasjonssikkerhet i elektronisk kommunikasjon og samhandling Avendelsesområder må her forstås som sikker kommunikasjon og samhandling med og i offentlig sektor. I dette inngår sikring av enten en eller flere av egenskapene konfidensialitet, integritet eller tilgjengelighet. Det er obligatorisk å benytte ISO/IEC 27001 for styring av informasjonssikkerhet ved elektronisk kommunikasjons og samhandling med og i offentlig sektor. Det er også obligatorisk å følge strukturen og vurdere sikringstiltakene i ISO/IEC 27002. 3
3. Styring av informasjonssikkerhet ved ekstern IKT-drift og forvaltning (Gjelder alle 3 underområder) Anvendelsesområdet gjelder ekstern drift, som er når offentlige virksomheter har satt driften ut til en privat aktør. Anvendelsesområdet gjelder drift av systemer som den offentlige virksomhet selv har klassifisert som kritiske for samfunnet, sin egen virksomhet eller ikke kritisk. Anvendelsesområdet dekker informasjonssikkerhetsmekanismene konfidensialitet, tilgjengelighet og integritet. Hensikten er å kunne oppnå en sikker og forsvarlig drift hos ekstern kommersiell driftspartner gjennom avtaler og krav. I dette inngår primært å sikre driftsmiljøet hos denne, både administrativ, organisatorisk og systemteknisk. a) Det er obligatorisk å benytte og være sertifisert iht. ISO/IEC 27001 for styring av informasjonssikkerhet ved ekstern IKT-drift av samfunnskritisk infrastruktur eller funksjoner. Det er også obligatorisk å følge kravstrukturen i 27002 og vurdere sikkerhetstiltakene listet i standarden. b) Det er obligatorisk å benytte og være sertifisert iht. ISO/IEC 27001 for styring av informasjonssikkerhet ved ekstern IKT-drift av virksomhetskritisk infrastruktur eller c) Det er obligatorisk å benytte ISO/IEC 27001 for styring av informasjonssikkerhet ved ekstern IKT-drift av ikke kritisk infrastruktur eller funksjoner. Det er også obligatorisk å følge kravstrukturen i 27002 og vurdere 4. Styring av informasjonssikkerhet ved intern IKT-drift og forvaltning i offentlig sektor (Gjelder alle 6 underområder) Anvendelsesområdet er intern drift i det offentlige av IKT- systemer eller -infrastruktur som den offentlige virksomheten selv har klassifisert som kritiske for samfunnet, offentlig sektor, sin egen virksomhet eller ikke kritisk. Anvendelsesområdet dekker informasjonssikkerhetsmekanismene konfidensialitet, tilgjengelighet og integritet. I anvendelsesområdet inngår både virksomhetsintern og felles intern drift på vegene av flere offentlige virksomheter, samt drift av nasjonale felleskomponenter. Hensikten er å oppnå en sikker og forsvarlig intern drift på vegene av fellesskapet. I dette inngår primært å sikre driftsmiljøet hos den offentlige virksomheten, både administrativt, organisatorisk og systemteknisk. a) Det er obligatorisk å benytte og være sertifisert iht. ISO/IEC 27001 for styring av informasjonssikkerhet ved virksomhetsintern IKT-drift av samfunnskritisk infrastruktur eller b) Det er obligatorisk å benytte og være sertifisert iht. ISO/IEC 27001 for styring av informasjonssikkerhet ved virksomhetsintern IKT-drift av virksomhetskritisk infrastruktur eller 4
c) Det er anbefalt å benytte ISO/IEC 27001 for styring av informasjonssikkerhet ved virksomhetsintern IKT-drift av ikke kritisk infrastruktur eller funksjoner. Det er også anbefalt å følge kravstrukturen i 27002 og vurdere d) Det er obligatorisk å benytte og være sertifisert iht. ISO/IEC 27001 for styring av informasjonssikkerhet ved felles offentlig IKT-drift av samfunnskritisk infrastruktur eller e) Det er obligatorisk å benytte og være sertifisert iht. ISO/IEC 27001 for styring av informasjonssikkerhet ved felles offentlig IKT-drift av virksomhetskritisk infrastruktur eller f) Det er obligatorisk å benytte ISO/IEC 27001 for styring av informasjonssikkerhet ved felles offentlig IKT-drift av ikke kritisk infrastruktur eller funksjoner. Det er også obligatorisk å følge kravstrukturen i 27002 og vurdere 5. Informasjonssikkerhetskrav i styringsdialogen Anvendelsesområdet gjelder offentlige virksomheters overordnede utøvelse av ansvaret for informasjonssikkerhet i underliggende virksomhet (-er). Virksomhetene bør i sin styringsdialog med underliggende virksomheter be om rapportering om sikkerhetstilstanden og arbeidet med styringssystem for informasjonssikkerhet og iverksatte sikringstiltak. Dette iht. til kravene i denne referansekatalogen. Det skal settes krav til underliggende virksomheter om å rapportere om sikkerhetstilstanden og arbeidet med informasjonssikkerhet iht. referansekatalogens krav på ulike anvendelsesområder til ISO/IEC 27001 og ISO/IEC 27002. 6. Sikkerhetskrav og strukturering Anvendelsesområdet gjelder strukturering av sikkerhetskrav og vurdering av aktuelle sikringstiltak i tilknytning til informasjonssikkerhetsarbeid i offentlig sektor. 5
Det er anbefalt å følge kravstrukturen i ISO/IEC 27002, og vurdere alle de foreslåtte sikringstiltakene. Alternativ 2 tekst til fremtidig referansekatalog Krav til standarder for styring av informasjonssikkerhet 1. Styring av informasjonssikkerhet ved informasjonsbehandling Anvendelsesområdet som her omtales gjelder sikker offentlig behandling av beskyttelsesverdig informasjon. Med beskyttelsesverdig forstås her informasjon som er regulert gjennom regelverket og annen informasjon med særlig behov for beskyttelse (for eksempel informasjon som blir ansett som samfunnskritisk eller virksomhetskritisk). I dette inngår sikring av enten en eller flere av egenskapene konfidensialitet, integritet eller tilgjengelighet. Det avgrenses mot krav som følge av sikkerhetsloven med forskrifter. Det presiseres at selv om det å følge anviste standarder på området bidrar til økt sikkerhet, gir det ikke en automatisk tilfredsstillelse av alle krav i gjeldende regelverk. Anvendelsesområdet inkluderer styring av informasjonssikkerheten ved samhandling og elektronisk kommunikasjon med og i offentlig sektor og styring av informasjonssikkerheten knyttet til ekstern og intern drift av beskyttelsesverdig informasjon. I tillegg inkluderer anvendelsesområdet krav om rapportering på sikkerhetstilstanden og arbeidet med informasjonssikkerhet iht. disse kravene i styringsdialogen til underliggende virksomhet. Det er obligatorisk å benytte ISO/IEC 27001 for styring av informasjonssikkerhet ved behandling av informasjon. Det er også obligatorisk å følge strukturen og vurdere sikringstiltakene i ISO/IEC 27002. Når det gjelder de delene av dette anvendelsesområdet, som omhandler styring av informasjonssikkerheten ved ekstern, offentlig sektor intern og offentlig virksomhetsintern IKT-drift, så er det også pålagt å sertifisere seg selv eller kreve sertifisering av ekstern driftsleverandøren iht. ISO 27001. 2. Sikkerhetskrav og strukturering Anvendelsesområdet gjelder strukturering av sikkerhetskrav og vurdering av aktuelle sikringstiltak i tilknytning til informasjonssikkerhetsarbeid i offentlig sektor. 6
Det er anbefalt å følge kravstrukturen i ISO/IEC 27002, og vurdere alle de foreslåtte sikringstiltakene. Unntak (gjelder begge alternativene over) Foreløpig er det ikke identifisert behov for unntak. Behov for unntak kan imidlertid fremkomme i konsekvensutredningen. Ikrafttredelse og forberedelse (gjelder begge alternativene over) Det anbefales at standardene gjøres anbefalte våren/sommeren 2011, ved publisering av neste del versjon av referansekatalogen. Rådet bør vurdere om en konsekvensvurdering av et obligatorisk krav om bruk av standardene, samt konsekvens av krav til sertifisering på utvalgte områder bør gjennomføres umiddelbart, eller om standardene bør være anbefalt noen år før et eventuelt obligatorisk tiltak. Alternativt om standardene kun gjøres obligatorisk for en mindre gruppe offentlige virksomheter (for eksempel de som tilgjengeliggjør sensitiv informasjon gjennom elektroniske tjenester mot innbyggere og næringsliv). 7