Anbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet



Like dokumenter
Utredning av standarder for styring av informasjonssikkerhet

ELMER for innbyggerskjemaer? Anbefalinger til Standardiseringsrådet

Mandat informasjonssikkerhet. Avdelingsdirektør Arne Lunde Uh-avdelingen KD

Standardiseringsarbeidet

Avmystifisere internkontroll/styringssystem - informasjonssikkerhet

Revisjonsnotat høsten 2014

Styringssystem i et rettslig perspektiv

Internkontroll i praksis (styringssystem/isms)

Prioritering møte i Standardiseringsrådet Beslutningssak

Grunnleggende datakommunikasjon sikker datakommunikasjon fra offentlige nettsteder

Standardiseringsrådsmøte #4 i November 2015

Sentrale krav til IKT-anskaffelser. Gardermoen, 16. januar 2014 Kristian Bergem, Difi

Utredning av standarder for styring av informasjonssikkerhet Versjon

STANDARDISERINGSRÅDETS ARBEID

Arbeidsgruppens behandling av rapporten Forberedende vurderinger av standarder d for. Møte i Standardiseringsrådet 16. mars 2010

Revisjonsnotat Beslutningssak i det 25. standardiseringsrådsmøte

Rettslige krav til styring av informasjonssikkerhet. Karin Kristiansen og Amund Eriksen

Informasjonssikkerhet. Øyvind Rekdal, 17. mars 2015

Sikkert nok - Informasjonssikkerhet som strategi

VEDLEGG A UTKAST TIL LEVERANSEBESKRIVELSE

«Standard for begrepsbeskrivelser»

Standarder for risikostyring av informasjonssikkerhet

Høringsnotat ny delversjon av Referansekatalog for anbefalte og obligatoriske IT-standarder i offentlig sektor, våren 2015

Undersøkelse om informasjonssikkerhet i Nasjonale felleskomponenter Spørreskjema Vedlegg til Difi-notat 2017:4

definisjonsarbeid Anbefalinger til standardiseringsrådet

Metodikk for arbeidet i Standardiseringsrådet

Internkontroll/styringssystem i praksis informasjonssikkerhet. Andreas Grefsrud, seniorrådgiver seksjon for informasjonssikkerhet

Høringssvar - Forslag til ny pasientjournallov og ny helseregisterlov

Hva er et styringssystem?

Standarder for en tjenesteorientert arkitektur

Presentasjon sikkerhetsforum Avdelingsdirektør Arne Lunde Uh-avdelingen KD

Olje- og energidepartementet

Utredning av standarder for styring av informasjonssikkerhet

Dato: 30. september Høringsuttalelse til forslag til styring, forvaltning og finansiering av nasjonale felleskomponenter i offentlig sektor

Seksjon for informasjonssikkerhet

Velkommen til Tegnsett seminar

Difis veiledningsmateriell, ISO og Normen

Åpne standarder og digitalisering

Sikkerhetsforum Styring og kontroll av informasjonssikkerhet. 19. desember 2013

Difis veiledningsmateriell for offentlig sektor internkontroll.infosikkerhet.difi.no

Dokumentformater 23. møte i Standardiseringsrådet

Nasjonal arbeidsgruppe IPv6

Regnskapsførervirksomheten skal ved forespørsel få fremlagt dokumentasjon på dette.

Databehandleravtale. Denne avtalen er inngått mellom

Tillegg nr. 2 til tildelingsbrev for 2018

Veikart Standardiseringsrådet

Etableringsplan. Internkontroll for informasjonssikkerhet og personvern

Kvalitetssikring av KS digitaliseringsprosjekter Sjekkliste informasjonssikkerhet og personvern

Departementenes oppfølging av informasjonssikkerheten i underliggende virksomheter

Nasjonale standardar og felleskomponentar kva er det og korleis påverkar det arkivet?

Informasjonssikkerhet i Nord-Trøndelag fylkeskommune

Forskrift 25. september 2009 nr om IT-standarder i offentlig forvaltning

Veiledningsmateriellet Internkontroll i praksis - informasjonssikkerhet. For toppleder Oppdatert:

Høringsuttalelse - referansekatalog over anbefalte og obligatoriske IKTstandarder

VEILEDER OM KRAVET TIL SKOLEEIERS "FORSVARLIGE SYSTEM"

Difis og Skates bidrag til mer, bedre og samordnet digitalisering

Internkontroll og informasjonssikkerhet lover og standarder

Prioritering Møte i Standardiseringsrådet 24. november 2011

Sak 3/18 Sluttbehandling av Etablere enhetlig arkitekturrammeverk (ST 2.2) Skate-møtet 21.mars 2018

Regelverk. Endringer i regelverk for digital forvaltning

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik

Revisjon av informasjonssikkerhet

Vedrørende behandling av personopplysninger. mellom Norsk Tipping AS (BEHANDLINGSANSVARLIG) xx (DATABEHANDLER)

OVERSIKT SIKKERHETSARBEIDET I UDI

HVILKE RISIKOER LØPER VI NÅR ALLE DATAENE VÅRE ER I NETTSKYEN?

Høring - Anbefalt standard for transportsikring av epost

Ny postregulering - høringsuttalelse

Politikk for åpne standarder og fri programvare Linuxdagen - Oslo, 1. juni 2006

Saksframlegg Referanse

«Standard for begrepsbeskrivelser»

Høring av Referansekatalogen v Marit Grønntun og Kristian Bergem

Kristian Bergem. Direktoratet for forvaltning og IKT

Fylkesberedskapsrådet i Hordaland Styring og kontroll - informasjonssikkerhet. Øyvind Grinde Seksjonssjef for informasjonssikkerhet 18.

Veilederen må oppheves og erstattes av et mer helhetlig og hensiktsmessig rammeverk for å operasjonalisere instruksen.

Vedlegg B: Behandling i Standardiseringsrådet, DANE

Oppfølging av informasjonssikkerheten i UH-sektoren

Helhetlig arbeid med informasjonssikkerhet. Remi Longva

Personvernerklæring. 3) være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for («dataminimering»)

Velkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) Susanne Helland Flatøy Markedssjef Digital Kvalitet

Fra sikkerhetsledelse til handling ambisjoner og forventninger

Policy for personvern

Prinsipper for virksomhetsstyring i Oslo kommune

Barne- og likestillingsdepartementet

for prosjektet Digital kontaktinformasjon og fullmakter for virksomheter planleggingsfasen

Frist for innspill: 1. november Mottaker etter liste

Akkumulert risikovurdering oktober 2015

SELVDEKLARERING for IKT-relaterte satsingsforslag

Strategi for Informasjonssikkerhet

Skytjenester. Forside og Databehandleravtale. Telenor Norge

Digital kommunikasjon som hovedregel endringer i eforvaltningsforskriften

Referansearkitektur sikkerhet

Norm for Informasjonssikkerhet i Helsesektoren. Tor Ottersen

Vedlegg D: Behandling i Standardiseringsrådet, DNSSEC

Konsekvensutredning av ELMER som obligatorisk forvaltningsstandard for innbyggerskjemaer. Beslutningssak i det 25. standardiseringsrådsmøte

Vår referanse (bes oppgitt ved svar)

Forslag til oppfølgingsansvar

SIKKERHETSFAGLIGE ANBEFALINGER VED TJENESTEUTSETTING. En utdyping av området «Beslutt leveransemodell» i NSMs grunnprinsipper for IKT-sikkerhet

Styresak Orienteringssak - Informasjonssikkerhet

Referat fra møtet i Standardiseringsrådet mai 2012

Høring rapport om felles meldingsboks

Transkript:

Anbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet Bakgrunn Utredningen av standarder for informasjonssikkerhet har kommet i gang med utgangspunkt i forprosjektet for kartlegging av sikkerhetsstandarder. Og videre av behandlingen i standardiseringssekretariatet, med saksfremlegg til Standardiseringsrådet. Rådet ga tilslutning og en anbefaling om å utrede ISO/IEC 27001 og ISO/IEC 27002. Disse to standardene har vært tilgjengelige i mange år, men i ulike versjoner, og er godt kjent også innen offentlig sektor. Informasjonssikkerhet er et ledelsesansvar, og det må forventes at virksomhetene arbeider metodisk og målrettet med utfordringene. I dette ligger det et særlig ansvar når det behandles sensitiv 1 eller gradert 2 informasjon, eller ved drift og forvaltning av kritisk IKT- infrastruktur. Virksomheter blir i lovog regelverket pålagt å ivareta informasjons- eller IKT-sikkerheten, uten derved alltid å få klare krav og føringer. Det er virksomhetens leder som er ansvarlig for å vurdere egen risikoeksponering og iverksette tilstrekkelig sikringstiltak. Det er observert at Riksrevisjonen har avdekket mangler ved føringer og krav gitt fra eksempelvis departementer vedrørende krav til informasjonssikkerhet hos underliggende etater, og ved oppfølging av sikkerhetsarbeidet hos disse. Revisjons- og tilsynsarbeid kan underlettes og effektiviseres ved at det i virksomhetene benyttes anerkjente standarder og/eller veiledninger. Standardene kan da legges til grunn som måleparametre for om kravene til informasjonssikkerhet blir ivaretatt. Rapportens konklusjoner Utredningen foreslår å gjøre ISO/IEC 27001 og ISO/IEC 27002 til forvaltningsstandarder for informasjonssikkerhet i offentlig sektor. Utredningen peker ut noen viktige anvendelsesområder innen informasjonssikkerhet, og avhengig av området er det foreslått ulik styrke i kravet om å følge standardene. Standardene foreslås enten som anbefalte eller obligatoriske, og i noen sammenhenger kreves det også at virksomheten skal være sertifisert iht. standarden. Det er i forbindelse med drift av samfunns- eller virksomhetskritiske systemer, at det foreslås å kreve sertifisering av styringssystemet iht. ISO27001. 1 Eks. sensitive personopplysninger 2 Sikkerhets- eller beskyttelsesgradert 1

Innspill til rapporten Utkast til rapporten om utredning av standarder for styring av informasjonssikkerhet, ble publisert på Standardiseringsportalen, og har vært tilgjengelig for kommentarer i nærmere 3 uker. Det ble åpnet for både kommentarer på nettstedet og innspill per e-post. Det er også avholdt to møter med Standardiseringsrådets arbeidsgruppe for sikkerhet. Difi har ikke mottatt noen kommentarer på rapporten i høringsperioden, men har mottatt ett innspill fra Oslo Kommune, som også er en del av arbeidsgruppen, i etterkant. Hovedbudskapet i Oslo Kommunes innspill er: I det store og hele støttes de konklusjoner som nå fremgår av utredingen. Intern ressurstilgang og kompetanse er en nødvendighet for å kunne beholde eventuell sertifisering og for å kunne forvalte ISMS tilfredsstillende over tid anbefale standardene som obligatorisk for store deler av offentlig sektor slik at det er mulig å opparbeide seg en helhetlig oversikt over sikkerhetsnivå, - og tillitsnivå for respektive samhandlingspartnere og aktører på vegne av både borgere, brukere, kunder og leverandører. Arbeidsgruppen har diskutert rapporten nøye og det er gjort noen justeringer i rapporten som følge av diskusjonene i arbeidsgruppen. Det har kommet et innspill fra NAV om å lette på kravet til ISO 27001. Et forslag resten av arbeidsgruppen ikke gav sin tilslutning til og som derfor ikke er tatt inn i forslaget. Det ble foreslått at i stedet for å sette krav til at selve ISO standarden skal følges, så burde det settes krav til at virksomhetene skal følge anerkjente prinsipper for styring av informasjonssikkerhet. Hvorav ISO 27001 er et eksempel på slike anerkjente prinsipper, men at også tilsvarende prinsipper kan benyttes. Arbeidsgruppens anbefaling til Standardiseringsrådet Arbeidsgruppen støtter rapportens konklusjoner og mener at anviste standarder bør gjøres anbefalte på alle skisserte anvendelsesområder i neste del-versjon av referansekatalogen og at det gjennomføres en konsekvensanalyse av å gjøre standardene obligatoriske og kreve sertifisering på angitte anvendelsesområder. Arbeidsgruppen synes det er en god regel at man ikke krever mer sikkerhet enn nødvendig, og synes derfor det er nyttig å definere konkret hvilke anvendelsesområder som gjelder i stedet for å komme med et veldig bredt pålegg som treffer alle. De områdene som ligger der i dag er derimot delvis overlappene, og rådet bør vurdere om alle eller enkelte av anvendelsesområdene bør samordnes. Inndelingen som foreligger gir derimot god innsikt i hvilke områder som vil bli berørt av pålegget og gir en god oversikt i forhold til å vurdere om det er rett nivå på kravene på alle områder. Vi ber rådet spesielt om å vurdere kravene om sertifisering internt i offentlig sektor, et krav som delvis bryter med vanlig praksis i dag. Rådet bør vurdere om en konsekvensvurdering av et obligatorisk krav om bruk av standardene, samt konsekvens av krav til sertifisering på utvalgte områder bør gjennomføres umiddelbart, eller om standardene bør være anbefalt noen år før en eventuell slik utredning med tanke på å gjøre kravene 2

obligatorisk gjennomføres. Alternativt om standardene i første omgang kun bør gjøres obligatorisk for en mindre gruppe offentlige virksomheter (for eksempel de som tilgjengeliggjør sensitiv informasjon gjennom elektroniske tjenester mot innbyggere og næringsliv), for deretter og breddes ytterligere avhengig av erfaringer. Nedenfor ligger teksten som er tenkt å gå inn i referansekatalogen på sikt når eventuelt konsekvenser er vurdert. Det er foreslått 2 ulike alternativer, et alternativ der alle utpekte anvendelsesområder er skissert hver for seg og et der anvendelsesområdene er slått sammen i størst mulig grad. Alternativ 1 tekst til fremtidig referansekatalog Krav til standarder for styring av informasjonssikkerhet 1. Styring av informasjonssikkerhet ved informasjonsbehandling Anvendelsesområdet som her omtales gjelder offentlige virksomheters behandling av beskyttelsesverdig informasjon. Med beskyttelsesverdig forstås her informasjon som er regulert gjennom regelverket og annen informasjon med særlig behov for beskyttelse. I dette inngår sikring av enten en eller flere av egenskapene konfidensialitet, integritet eller tilgjengelighet. Det avgrenses mot krav som følge av sikkerhetsloven med forskrifter. Det presiseres at selv om det å følge anviste standarder på området bidrar til økt sikkerhet, gir det ikke en automatisk tilfredsstillelse av alle krav i gjeldende regelverk. Det er obligatorisk å benytte ISO/IEC 27001 for styring av informasjonssikkerhet ved informasjonsbehandling. Det er også obligatorisk å følge strukturen og vurdere sikringstiltakene i ISO/IEC 27002. 2. Styring av informasjonssikkerhet i elektronisk kommunikasjon og samhandling Avendelsesområder må her forstås som sikker kommunikasjon og samhandling med og i offentlig sektor. I dette inngår sikring av enten en eller flere av egenskapene konfidensialitet, integritet eller tilgjengelighet. Det er obligatorisk å benytte ISO/IEC 27001 for styring av informasjonssikkerhet ved elektronisk kommunikasjons og samhandling med og i offentlig sektor. Det er også obligatorisk å følge strukturen og vurdere sikringstiltakene i ISO/IEC 27002. 3

3. Styring av informasjonssikkerhet ved ekstern IKT-drift og forvaltning (Gjelder alle 3 underområder) Anvendelsesområdet gjelder ekstern drift, som er når offentlige virksomheter har satt driften ut til en privat aktør. Anvendelsesområdet gjelder drift av systemer som den offentlige virksomhet selv har klassifisert som kritiske for samfunnet, sin egen virksomhet eller ikke kritisk. Anvendelsesområdet dekker informasjonssikkerhetsmekanismene konfidensialitet, tilgjengelighet og integritet. Hensikten er å kunne oppnå en sikker og forsvarlig drift hos ekstern kommersiell driftspartner gjennom avtaler og krav. I dette inngår primært å sikre driftsmiljøet hos denne, både administrativ, organisatorisk og systemteknisk. a) Det er obligatorisk å benytte og være sertifisert iht. ISO/IEC 27001 for styring av informasjonssikkerhet ved ekstern IKT-drift av samfunnskritisk infrastruktur eller funksjoner. Det er også obligatorisk å følge kravstrukturen i 27002 og vurdere sikkerhetstiltakene listet i standarden. b) Det er obligatorisk å benytte og være sertifisert iht. ISO/IEC 27001 for styring av informasjonssikkerhet ved ekstern IKT-drift av virksomhetskritisk infrastruktur eller c) Det er obligatorisk å benytte ISO/IEC 27001 for styring av informasjonssikkerhet ved ekstern IKT-drift av ikke kritisk infrastruktur eller funksjoner. Det er også obligatorisk å følge kravstrukturen i 27002 og vurdere 4. Styring av informasjonssikkerhet ved intern IKT-drift og forvaltning i offentlig sektor (Gjelder alle 6 underområder) Anvendelsesområdet er intern drift i det offentlige av IKT- systemer eller -infrastruktur som den offentlige virksomheten selv har klassifisert som kritiske for samfunnet, offentlig sektor, sin egen virksomhet eller ikke kritisk. Anvendelsesområdet dekker informasjonssikkerhetsmekanismene konfidensialitet, tilgjengelighet og integritet. I anvendelsesområdet inngår både virksomhetsintern og felles intern drift på vegene av flere offentlige virksomheter, samt drift av nasjonale felleskomponenter. Hensikten er å oppnå en sikker og forsvarlig intern drift på vegene av fellesskapet. I dette inngår primært å sikre driftsmiljøet hos den offentlige virksomheten, både administrativt, organisatorisk og systemteknisk. a) Det er obligatorisk å benytte og være sertifisert iht. ISO/IEC 27001 for styring av informasjonssikkerhet ved virksomhetsintern IKT-drift av samfunnskritisk infrastruktur eller b) Det er obligatorisk å benytte og være sertifisert iht. ISO/IEC 27001 for styring av informasjonssikkerhet ved virksomhetsintern IKT-drift av virksomhetskritisk infrastruktur eller 4

c) Det er anbefalt å benytte ISO/IEC 27001 for styring av informasjonssikkerhet ved virksomhetsintern IKT-drift av ikke kritisk infrastruktur eller funksjoner. Det er også anbefalt å følge kravstrukturen i 27002 og vurdere d) Det er obligatorisk å benytte og være sertifisert iht. ISO/IEC 27001 for styring av informasjonssikkerhet ved felles offentlig IKT-drift av samfunnskritisk infrastruktur eller e) Det er obligatorisk å benytte og være sertifisert iht. ISO/IEC 27001 for styring av informasjonssikkerhet ved felles offentlig IKT-drift av virksomhetskritisk infrastruktur eller f) Det er obligatorisk å benytte ISO/IEC 27001 for styring av informasjonssikkerhet ved felles offentlig IKT-drift av ikke kritisk infrastruktur eller funksjoner. Det er også obligatorisk å følge kravstrukturen i 27002 og vurdere 5. Informasjonssikkerhetskrav i styringsdialogen Anvendelsesområdet gjelder offentlige virksomheters overordnede utøvelse av ansvaret for informasjonssikkerhet i underliggende virksomhet (-er). Virksomhetene bør i sin styringsdialog med underliggende virksomheter be om rapportering om sikkerhetstilstanden og arbeidet med styringssystem for informasjonssikkerhet og iverksatte sikringstiltak. Dette iht. til kravene i denne referansekatalogen. Det skal settes krav til underliggende virksomheter om å rapportere om sikkerhetstilstanden og arbeidet med informasjonssikkerhet iht. referansekatalogens krav på ulike anvendelsesområder til ISO/IEC 27001 og ISO/IEC 27002. 6. Sikkerhetskrav og strukturering Anvendelsesområdet gjelder strukturering av sikkerhetskrav og vurdering av aktuelle sikringstiltak i tilknytning til informasjonssikkerhetsarbeid i offentlig sektor. 5

Det er anbefalt å følge kravstrukturen i ISO/IEC 27002, og vurdere alle de foreslåtte sikringstiltakene. Alternativ 2 tekst til fremtidig referansekatalog Krav til standarder for styring av informasjonssikkerhet 1. Styring av informasjonssikkerhet ved informasjonsbehandling Anvendelsesområdet som her omtales gjelder sikker offentlig behandling av beskyttelsesverdig informasjon. Med beskyttelsesverdig forstås her informasjon som er regulert gjennom regelverket og annen informasjon med særlig behov for beskyttelse (for eksempel informasjon som blir ansett som samfunnskritisk eller virksomhetskritisk). I dette inngår sikring av enten en eller flere av egenskapene konfidensialitet, integritet eller tilgjengelighet. Det avgrenses mot krav som følge av sikkerhetsloven med forskrifter. Det presiseres at selv om det å følge anviste standarder på området bidrar til økt sikkerhet, gir det ikke en automatisk tilfredsstillelse av alle krav i gjeldende regelverk. Anvendelsesområdet inkluderer styring av informasjonssikkerheten ved samhandling og elektronisk kommunikasjon med og i offentlig sektor og styring av informasjonssikkerheten knyttet til ekstern og intern drift av beskyttelsesverdig informasjon. I tillegg inkluderer anvendelsesområdet krav om rapportering på sikkerhetstilstanden og arbeidet med informasjonssikkerhet iht. disse kravene i styringsdialogen til underliggende virksomhet. Det er obligatorisk å benytte ISO/IEC 27001 for styring av informasjonssikkerhet ved behandling av informasjon. Det er også obligatorisk å følge strukturen og vurdere sikringstiltakene i ISO/IEC 27002. Når det gjelder de delene av dette anvendelsesområdet, som omhandler styring av informasjonssikkerheten ved ekstern, offentlig sektor intern og offentlig virksomhetsintern IKT-drift, så er det også pålagt å sertifisere seg selv eller kreve sertifisering av ekstern driftsleverandøren iht. ISO 27001. 2. Sikkerhetskrav og strukturering Anvendelsesområdet gjelder strukturering av sikkerhetskrav og vurdering av aktuelle sikringstiltak i tilknytning til informasjonssikkerhetsarbeid i offentlig sektor. 6

Det er anbefalt å følge kravstrukturen i ISO/IEC 27002, og vurdere alle de foreslåtte sikringstiltakene. Unntak (gjelder begge alternativene over) Foreløpig er det ikke identifisert behov for unntak. Behov for unntak kan imidlertid fremkomme i konsekvensutredningen. Ikrafttredelse og forberedelse (gjelder begge alternativene over) Det anbefales at standardene gjøres anbefalte våren/sommeren 2011, ved publisering av neste del versjon av referansekatalogen. Rådet bør vurdere om en konsekvensvurdering av et obligatorisk krav om bruk av standardene, samt konsekvens av krav til sertifisering på utvalgte områder bør gjennomføres umiddelbart, eller om standardene bør være anbefalt noen år før et eventuelt obligatorisk tiltak. Alternativt om standardene kun gjøres obligatorisk for en mindre gruppe offentlige virksomheter (for eksempel de som tilgjengeliggjør sensitiv informasjon gjennom elektroniske tjenester mot innbyggere og næringsliv). 7

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding