Anbefaling til God IT-skikk (nr. 2) Tilgangskontroll Styring av informasjonstilgang



Like dokumenter
Revisjon av informasjonssikkerhet

Sikkerhetskrav for systemer

Laget av Dato Orginal plassering fil. Johnny Andre Sunnarvik. Nov 2016

Sikkerhetskrav for systemer

Forvaltningsrevisjon IKT sikkerhet og drift 2017

Sikkerhetskrav for systemer

Informasjonssikkerhet Retningslinjer for behandling av personopplysninger og annen informasjon underlagt taushetsplikt

Anvefaling til God IT-skikk (nr. 0) Grunnleggende retningslinjer for god IT-skikk

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale

Spesielt om personvern og krav til sikring av personopplysninger. Dag Wiese Schartum

Risiko- og sårbarhetsanalyse i forbindelse med bruker med begrenset tilgang for inn- og utregistrering

Policy for personvern

Veiledning- policy for internkontroll

NTNU Retningslinje for arbeid med sikkerhetskultur og opplæring innen informasjonssikkerhet

IKT-reglement for Norges musikkhøgskole

Veiledningsmateriellet Internkontroll i praksis - informasjonssikkerhet. For toppleder Oppdatert:

HVEM ER JEG OG HVOR «BOR» JEG?

Policy for informasjonssikkerhet og personvern i Sbanken ASA

Felles datanett for kommunene Inderøy, Verran og Steinkjer

Helhetlig risikostyring og informasjonssikkerhet. Knut Håkon T. Mørch PricewaterhouseCoopers Tlf.

Informasjonssikkerhet i Nord-Trøndelag fylkeskommune

Kommunens Internkontroll

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001

IT-Reglement for Telemark fylkeskommune (TFK) 1 Reglementets virkeområde

Styring og intern kontroll.

OVERSIKT SIKKERHETSARBEIDET I UDI

VEILEDER GDPR PERSONVERN DEL 1 ANSATTE OG TILLITSVALGTE

Hvordan styre informasjonssikkerhet i et dynamisk trusselbilde? Tommy Molnes Security Manager Digital Sikkerhet AS

Sikkerhet ved outsourcing. Espen Grøndahl IT-sikkerhetssjef UiO

Diabetesforbundet. Personvernerklæring

Internkontroll og informasjonssikkerhet lover og standarder

Avtale om bruk av Modia Arbeidsrettet Oppfølging for deltakere i Kvalifiseringsprogrammet

Fylkesberedskapsrådet i Hordaland Styring og kontroll - informasjonssikkerhet. Øyvind Grinde Seksjonssjef for informasjonssikkerhet 18.

Mandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011

VEILEDER GDPR PERSONVERN. DEL 2 - personopplysninger utover ansatteforhold

Personvern og informasjonssikkerhet

ISO Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen

Sekretariat for informasjonssikkerhet i UHsektoren. Rolf Sture Normann

NTNU Retningslinje for tilgangskontroll

Reglement for bruk av Hedmark fylkeskommunes IT-løsninger (IT-reglement)

Tilsyn med IKT-sikkerhet i finansnæringen. Finanstilsynsdirektør Morten Baltzersen Dataforeningens seminar 14. november 2017

SIKKERHETSINSTRUKS - Informasjonssikkerhet

Helhetlig arbeid med informasjonssikkerhet. Remi Longva

Retningslinje for risikostyring for informasjonssikkerhet

Internkontroll i Gjerdrum kommune

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

Enhet for Intern Revisjon REVISJONSRAPPORT. IT-tilgangsstyring

INNHERRED SAMKOMMUNE LEVANGER KOMMUNE VERDAL KOMMUNE

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:

Tilgang til helseinformasjon: Praksis, lov, behov og system

Riksrevisjonens erfaringer fra sikkerhetsrevisjoner

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik

VET DU NOK OM SIKRINGEN OG BESKYTTELSEN AV PERSONOPPLYSNINGENE DINE? PERSONOPPLYSNINGER OG HVORDAN VI BEHANDLER DEM

Retningslinjer for LYN Fotball Varslingsordning

Saksframlegg Referanse

VEDLEGG 7 SIKKERHET 1. KRAV TIL SIKRING AV DATAFILER VED OVERFØRING TIL/FRA BANKEN

Prinsipper for virksomhetsstyring i Oslo kommune

Forvaltningsrevisjonsrapporten "IKT-sikkerhet, drift og utvikling"

Risikovurdering for folk og ledere Normkonferansen 2018

Sikkerhetsmål og sikkerhetsstrategi Internkontrollinstruks for Frischsenteret

4.2 Sikkerhetsinstruks bruker

IKT-reglement for NMBU

Risikostyring og internkontroll

Veileder for behandling av personopplysninger og informasjonssikkerhet i idretten

Hva betyr «Just-in-time» privileger for driftspersonalet?

Policy for Antihvitvask

Datasikkerhet internt på sykehuset

VI BYGGER NORGE MED IT.

Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON

Prosedyre for personvern

Vedlegg 8 Databehandleravtalen. Bussanbud Stor-Trondheim

Personvern og informasjonssikkerhet ved anskaffelser

*Sikkerhetsbehov: K: Konfidensialitet, T: Tilgjengelighet, I: Integritet **Tiltak kan være både organisatoriske og tekniske.

Norsox. Dokumentets to deler

Fagkurs for kommuner Krav til informasjonssikkerhet (105 minutter)

Egenevaluering av internkontrollen

Internkontroll i praksis Informasjonssikkerhet: Måling, evaluering og revisjon. Workshop Måling av informasjonssikkerhet

Sammenligning av ledelsesstandarder for risiko

Databehandleravtale mellom. ("Oppdragsgiver") "Behandlingsansvarlig" Kommunesektorens organisasjon ("KS") som "Databehandler"

Sykehuset Telemark HF Revisjonsplan 2012 og oppsummering interim November 2012

Egenevalueringsskjema

SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing. Informasjonssikkerhet og personvern Renate Thoreid

Informasjonssikkerhet og personvern Definisjoner

Sikkert nok - Informasjonssikkerhet som strategi

Personvernerklæring for EVUweb - søkere

Målet er å bevisstgjøre om viktige prinsipper og tiltak for ledere i «Virksomheten».

Samarbeidsavtale om digitale tjenester for de kommunale sosiale tjenestene

Etiske retningslinjer

1.2. Vi lagrer ikke personopplysninger på våre servere med mindre det kreves for den pågående driften av denne Tjenesten.

Handlingsplan etter forvaltningsrevisjon fra EY november 2016 sak 33/16

GDPR I DEN NORSKE OPERA & BALLETT. Spekter, 13. desember 2017

Hvordan gjennomføre og dokumentere risikovurderingen i en mindre bank

NTNU Retningslinje for fysisk sikring av IKTinfrastruktur

Styreskolen. Prodekan Lars Atle Kjøde. Universitetet i Stavanger uis.no

BYOD SUHS-13. Per Arne Enstad, CISA/CISM/CRISC. Bring Your Own Disaster?

Overordnet IT beredskapsplan

Saksframlegg. Styret Pasientreiser HF 13/09/2017. SAK NR Behandling av personopplysninger - oppfølging av styresak

Rollen som databehandler innebærer at vi behandler opplysninger på oppdrag fra den ansvarlige virksomheten (itfag.no).

Det må etableres gode og fremtidsrettede helseregistre som gir formålstjenlig dokumentasjon til kvalitetsforbedrende arbeid og forskning.

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget /11

Transkript:

Anbefaling til God IT-skikk (nr. 2) Tilgangskontroll Styring av informasjonstilgang

Innhold 1 Innledning... 4 1.1 Formål og definisjon... 4 1.2 Hva er tilgangskontroll... 4 1.3 Målgruppen for dokumentet... 4 1.4 Ansvar... 4 1.5 Oversikt over aktuell lovgivning og standarder... 5 2. Virksomhetens organisering (for å håndtere tilgangskontroll)... 5 2.1 Ledelsens styring og kontroll... 5 2.2 Sikkerhetspolicy og retningslinjer for tilgangskontroll... 6 2.3 Informasjonssikkerhetssjef (CISO)... 6 2.4 Eierskap til informasjon og systemer... 6 2.5 Nærmeste leder... 7 2.6 Virksomhetens holdninger og sikkerhetskultur... 7 3 Tekniske tiltak... 7 3.1 Identitet i IT-systemer... 7 3.2 Autentisering... 8 3.3 Rollestyring og systemtilgang... 9 3.4 Aktivitetsoppfølging (logging og oppfølging)... 9 Referanser... 10 3

Innledning 1.1 Formål og definisjon Formålet med denne anbefalingen er å bidra til å konkretisere krav til tilgangskontroll som norske virksomheter bør oppfylle for å imøtekomme kravene i det rettslige begrepet betryggende kontroll, de krav som stilles i lover, forskrifter og allment 1 aksepterte standarder. 1.2 Hva er tilgangskontroll Virksomhetsprosesser er i dagens samfunn helt avhengig av rettidig tilgang til IT-systemer. Samtidig representerer informasjon som lagres og behandles ofte store verdier. Effektiv kontroll med tilgang til informasjon er derfor en viktig forutsetning for å sikre virksomhetens verdier og drift. Større grad av distribuerte ressurser medfører utvidede muligheter for tilgang til informasjon for flere personer gjennom nettverk og kommunikasjonskanaler fra omverdenen, for eksempel Internett. Med tilgangskontroll menes metoder for å tildele, endre, slette og føre kontroll med autorisasjon for tilgang til IT-ressursene for å opprettholde konfidensialitet, integritet og tilgjengelighet til informasjon. Dette gjelder så vel interne brukere i virksomheten som eksterne brukere/kunder som får tilgang til virksomhetens informasjon gjennom webbaserte tjenester på internett. Tilgangskontroll er en viktig forutsetning for å sikre forsvarlig utvikling/anskaffelse, drift, bruk, vedlikehold og avvikling av virksomhetens informasjonssystemer og skal forhindre at IT-ressursene blir brukt eller påvirket på en ukontrollert måte. God tilgangskontroll kan føre til: Kontroll med at informasjon ikke kommer på avveie Redusert risiko for svindel og interne misligheter Reduserte økonomiske tap som følge av ukontrollert nedetid Redusert risiko for misbruk av informasjon, systemer og ressurser som ikke fremmer virksomhetens interesse Redusert risiko for svekket omdømme og tillit Informasjon kan i mange tilfeller være virksomhetens beslutningsgrunnlag og konkurransefortrinn og på den måten være avgjørende for dens eksistens. 1.3 Målgruppen for dokumentet Beslutningstakere med et Sørge-for -ansvar De som beslutter investeringene, de som definerer krav til virksomheten og de forretningsenhetene som bruker og/ eller har eierskap til IT-tjenestene. Aktører som har et Utføre-ansvar Interne eller eksterne interessenter som tilbyr IT-tjenester. Dette kan være IT-linjeledere, prosjektledere, prosessledere, utviklere eller driftspersonell med ansvar for daglig drift. De med et Påse -ansvar Interne og eksterne interessenter som har ansvar for kontroll og risikohåndtering. Dette kan være personell med oppgaver innen sikkerhet, kontroll med behandling av personopplysninger samt personell med ansvar for risikohåndtering For personell med ansvar for internkontroll og revisjon anbefales i tillegg ISACAs G38 Access Controls, se referanseliste. 1.4 Ansvar Det er styret og den daglige ledelsen som har ansvaret for at et tilfredsstillende nivå av tilgangskontroll innføres og opprettholdes. Ansvar for å ivareta sikkerhet i en virksomhet er både i privat og offentlig sektor regulert i lov. Dersom deler av virksomhetens IT-behandling utføres av eksterne leverandører, fritar ikke dette ledelsen for kontrollansvaret. 4

Virksomhetens organisering 1.5 Oversikt over aktuell lovgivning og standarder. Det er viktig å ha oversikt over aktuell lovgivning som gir føring for tilgangskontroll i din virksomhet og din sektor og som gir føringer for forsvarlig implementering av tilgangskontroll. Personopplysningsloven med forskrifter gjelder på tvers av sektorer og virksomheter i Norge. Andre viktige lover som gir føringer for tilgangskontroll er: Sikkerhetsloven med forskrifter (for offentlig sektor og enkelte andre virksomheter som er underlagt denne) Økonomireglementet i staten 1 Offentleglova IKT-forskriften (for finanssektoren) Helseregisterloven med forskrifter (for helsesektoren) Mange norske virksomheter er også underlagt sektorspesifikt lovverk med taushetsbestemmelser Det finnes også standarder som gir informasjon om tilgangskontroll, for eksempel NS ISO 27000-serien og ISACAs G38 Access Controls. 2 Virksomhetens organisering (for å håndtere tilgangskontroll) 2.1 Ledelsens styring og kontroll Det er virksomhetens ledelse som er ansvarlig for at det innføres hensiktsmessige retningslinjer, rutiner og egnede tekniske løsninger for tilgangskontroll. Ledelsen skal sørge for at gode holdninger til tilgangskontroll er en integrert del av virksomhetens kultur og at det er kjent for brukerne hvilke regler som gjelder. Basert på virksomhetens vurdering av egen profil rundt åpenhet, risikovurdering og krav i lover og forskrifter, må virksomheten fastsette og opprettholde et ønskelig nivå for sikring av informasjon og ressurser. Ønsket nivå for virksomhetens sikring av informasjon og ressurser kan endre seg over tid. Det må derfor etableres hensiktsmessige rutiner for å fange opp dette slik at nødvendige tiltak kan iverksettes. Ledelsen må gjøre kjent i organisasjonen hvilke reaksjoner som kan bli iverksatt ved brudd eller forsøk på brudd på virksomhetens sikkerhetsretningslinjer. Dette kan for eksempel innarbeides i ansettelsesvilkårene eller i annen styrende dokumentasjon. 1 Hovedprinsippet er offentlighet, men at restriksjoner kan settes. 5

2.2 Sikkerhetspolicy og retningslinjer for tilgangskontroll En virksomhet bør ha en overordnet sikkerhetspolicy og i tillegg et eller flere mer detaljerte dokumenter som beskriver de konkrete retningslinjene (standarder, rutiner og retningslinjer) for tilgangskontroll. Sikkerhetspolicy er et overordnet dokument som beskriver ledelsens og organisasjonens ansvar og målsetninger for å sikre selskapets informasjon og ressurser. Dokumentet skal kommunisere ledelsens holdninger til sikkerhet og kan også omfatte forhold utenfor ITområdet. Overordnet sikkerhetspolicy skal formelt godkjennes av virksomhetens styre. De konkrete retningslinjene for tilgangskontroll må gjenspeile intensjon og målsetninger fastsatt i overordnet sikkerhetspolicy. Konsekvenser av brudd på retningslinjene skal være reflektert i disse. Retningslinjene for tilgangskontroll skal formelt godkjennes på riktig nivå i den aktuelle virksomhet. Målsetninger for tilgangskontroll bør være målbare, slik at det er mulig å få til god oppfølging og rapportering på disse. Normalt er det virksomhetens informasjonssikkerhetssjef (se neste kap.) som har ansvar for å utarbeide de konkrete retningslinjene for tilgangskontroll. 2.3 Informasjonssikkerhetssjef (CISO) Informasjonssikkerhetssjef skal vedlikeholde den delen av virksomhetens sikkerhetspolicy som gjelder informasjonssikkerhet, gjøre den kjent i organisasjonen samt å se til at virksomhetens retningslinjer for informasjonssikkerhet blir fulgt. Inkludert i dette er retningslinjene for tilgangskontroll. Retningslinjene for etablering, endring og sletting av tilgangsrettigheter bør blant annet inneholde: regler om at tildelte tilgangsrettigheter skal være formelt godkjent og legitimert på en slik måte at tildelingen kan kontrolleres i ettertid regler om meldeplikt ved fratreden, nyansettelse og endring av stilling regler for vurdering av tilgangsrettigheter i oppsigelsesperioden regler om at bruker skal bekrefte ansvar for alle handlinger foretatt med egen brukeridentifikasjon Informasjonssikkerhetssjef skal sørge for at virksomheten har: etablerte funksjoner i linjen som sørger for løpende/periodisk kontroll av gitte tilganger etablerte retningslinjer for rapportering av brudd på virksomhetens retningslinjer for tilgangskontroll Informasjonssikkerhetssjef skal rapportere brudd på selskapets retningslinjer samt avvik avdekket under løpende /periodiske kontroller til riktig nivå i egen virksomhet. Informasjonssikkerhetssjef må ha et nært samarbeid med informasjonseiere, systemeiere og ledere. Vedkommende vil også være ansvarlig overfor toppledelsen for å sørge for at aktivitetene blir tilfredsstillende utført. 2.4 Eierskap til informasjon og systemer Det er viktig å definere eierskap til selve informasjonen. Informasjonseier har ansvar for informasjonsarkitektur og skal sørge for datakvalitet og kontroll med hvilke systemer som bruker den aktuelle informasjonen. Gjenbruk av samme informasjon i flere systemer er i dag vanlig. Likeledes kan et system inneholde informasjon fra flere informasjonseiere. Informasjon som flyter gjennom flere systemer kan skifte eier underveis i prosessen. Det er viktig å ha rutiner for å håndtere slike skifter i eierskap på en ryddig måte. Alle systemer skal ha en ansvarlig systemeier. Systemeier skal sørge for at det er implementert tilgangkontroll for systemet, i tråd med virksomhetens generelle tilgangskontrollregime. Ansvaret ivaretas i større virksomheter normalt ved å benytte etablerte funksjoner i linjen. Systemeier er ansvarlig for å påse at det føres kontroll med tilganger i systemet gjennom regelmessig gjennomgang/ revisjon som sikrer at kun autoriserte brukere har tilgang og at tilganger er gitt i henhold til tjenstlig behov. I større virksomheter vil normalt slike gjennomganger utføres ved å benytte etablerte funksjoner i linjen. Systemeieren har ansvaret for å sørge for at nødvendige kontroller er innebygget i systemet og prosessen, for eksempel, sporbarhet og etterprøvbarhet. 6

3 Tekniske tiltak 2.5 Nærmeste leder Nærmeste leder skal sørge for at egne medarbeidere har riktige rettigheter i systemene. Lederen har ansvar for tildeling, fjerning og endring av brukers rettigheter, herunder at tilgang til ressurser fjernes når brukeren slutter eller går over i annen funksjon/stiling. Nærmeste leder har også en oppgave med å utføre regelmessig tilgangsrevisjon for egne medarbeidere, 2.6 Virksomhetens holdninger og sikkerhetskultur Virksomhetens holdninger og sikkerhetskultur er avgjørende for virksomhetens informasjonssikkerhet. Ledelsen bør derfor vektlegge tiltak for å informere og skape en god sikkerhetskultur og gode holdninger til sikring av og tilgang til informasjon. 3 Tekniske tiltak 3.1 Identitet i IT-systemer For oppfølging og kontroll av tilgang til informasjon og administrasjon av IT-ressurser er det nødvendig å knytte bruken opp mot personlige og unike brukeridentifikatorer. Det kan forenkle oppfølging og administrasjon dersom man i så stor utstrekning som mulig klarer å knytte den enkelte bruker til en og samme brukeridentifikator (brukerident) på tvers av systemer, for eksempel ved hjelp av katalogtjenester som Microsoft Active Directory og/eller andre LDAP (Lightweight Directory Access Protocol) -kataloger. Gjenbruk av den ansattes identitet (ansattident) kan være et godt utgangspunkt. Det anbefales å ha en gjennomtenkt standard for brukeridentifikator som skiller på egne ansatte, driftsbrukere, eksternt/ innleid personell samt brukere av virksomhetens eventuelle webbaserte tjenester på internett. Av hensyn til personvernet bør fødselsnummer ikke benyttes som identifikator. Eventuell bruk av fødselsnummer som identifikator må begrunnes særskilt. 7

3.2 Autentisering Brukeridentifikator og passord er per i dag mest utbredt for autentisering av brukere i interne IT-systemer. Dette betegnes som en enfaktor-løsning, hvor passordet er sikkerhetsfaktoren. Andre autentiseringsmekanismer er for eksempel tofaktorløsninger der passord kombineres med bruk av smartkort, engangspassord og biometri. Autentisering av bruker kan gjøres ved en eller flere av: noe bruker vet (f.eks. passord, PIN-kode) noe bruker har (f.eks. nøkkel, magnetstripekort) noe bruker er (biometrisk signatur) hvor brukeren befinner seg Fysiske tilgangsnøkler og biometrisk gjenkjennelse kan også benyttes sammen med passord. Ved biometrisk gjenkjennelse identifiseres brukeren på grunnlag personlige karaktertrekk som for eksempel stemme, fingeravtrykk og signatur; og er en Brukeridentifikator og ingen sikkerhetsfaktor. Ideelt sett må derfor Brukerident og biometrisk gjenkjennelse ikke brukes alene, men sammen med en av de andre nevnte sikkerhetsfaktorene. Sikkerhetsretningslinjene må gjøre kjent brukerens personlige ansvar for hemmeligholdelse av egne passord/- PIN-koder. Passord må ikke enkelt kunne gjettes eller assosieres med brukeren. Brukeren skal være ansvarlig for all bruk av IT-ressursene foretatt med brukerens brukeridentifikator. Den enkelte ressurs betydning for virksomheten avgjør hvilke krav som må settes til autentisering. Skifte av passord bør fremtvinges av systemet, men den enkelte bruker må også gis anledning til selv å endre passord etter behov. I sikkerhetsretningslinjene må det tas stilling til: passordlengde og innhold (tegnsammensetning) hvor ofte passord skal skiftes (endringsfrekvens) regler for gjenbruk av passord (eksempelvis antall generasjoner/tid før gjenbruk) hvor mange tegn som må være ulike for nytt og gammelt passord rutiner for automatisk nedkobling av tilgang til ressurser ved inaktivitet (f.eks. avlogging av bruker eller låsing av arbeidsstasjon) antall mislykkede autentiseringsforsøk som skal aksepteres med tilhørende sanksjoner (f.eks. sperring av brukeridentifikasjon). Graden av sikkerhet øker vanligvis ved passordets lengde og endringsfrekvens. Man skal imidlertid være oppmerksom på at for lange og kompliserte passord samt for hyppig endringsfrekvens lett kan føre til at brukeren må skrive ned passord for å være i stand til å huske det. Kravene bør tilpasses de rettigheter og tilganger brukerne har. Eksempelvis må det være strenge krav til passordlengde og endringsfrekvens for brukere med omfattende tilgang til sensitive ressurser. Spesielle sikringstiltak kan være bruk av engangspassord og/eller prosedyrer der passord oppbevart i forseglet konvolutt utkvitteres ved akutt behov. Dersom brukere har tilgang til operativsystemets kommandolinje og/eller andre systemkommandoer, kan dette innebære en høyere risiko fordi dette kan gi brukeren tilgang til å endre, slette eller kopiere data. I slike miljøer må det legges spesiell vekt på å begrense den tilgang til ressurser som kan oppnås gjennom direkte bruk av systemkommandoer. 8

3.3 Rollestyring og systemtilgang Tilgangen til IT-ressurser må styres ut fra prinsippet om at en medarbeider kun skal ha tilgang til de ressurser / systemer 2 vedkommende trenger for å utføre sine ordinære arbeidsoppgaver. Dette prinsippet kalles minste privilegiums prinsipp. Vellykket implementering av minste privilegiums prinsipp i en virksomhet krever meget god forståelse av virksomheten, risikobildet knyttet til den informasjonen som behandles, lover og regler som gir føringer for tilgangskontrollen og de ITsystemene virksomheten benytter. Ved implementering av tilgangskontroll i virksomheten, må en ha en praktisk tilnærming til hvordan minste privilegiums prinsipp best realiseres. Systematisk forståelse for risikobildet knyttet til informasjonen som behandles, forutsetter at virksomheten har et klassifiseringssystem for informasjon. Eksempler på informasjonsklasser i et slikt system kan være åpen informasjon og taushetsbelagt informasjon. Vi deler ofte opp tilgangskontroll i mandatory, discretionary og rollebasert. Rollebasert tilgangskontroll er etter hver blitt det mest vanlige. De ulike brukerne tildeles roller, for eksempel som selger, rådgiver eller IT-plattformdrift. Rollene kan også knyttes mot hvilke kunder man behandler, for eksempel kunder tilhørende spesielle kundesegmenter eller kunder i et geografisk område i landet. Ulike roller gis tilgang til den informasjonen som er nødvendig for å utføre aktuelle oppgaver basert på virksomhetens organisering og forretningsprosesser. Det kan også være nødvendig å gjennomføre organisasjonsmessige grep for å hindre for brede tilganger til spesielt sensitiv informasjon som utredninger om enkeltpersoners helsesituasjon. For eksempel ved å opprette spesialrådgiverfunksjoner som behandler denne type opplysningene i virksomheten. Omorganiseringer og /eller endring av virksomhetsprosesser kan medføre behov for å endre tilgangskontrollregimet i virksomheten. For å oppnå god intern kontroll bør man innrette seg slik at kritiske arbeidsoppgaver deles mellom to eller flere personer. Ved å begrense den enkeltes rettigheter, kan man sikre en slik ansvars- og arbeidsdeling (- på engelsk kjent som Segregation of duties ). Personene vil da kontrollere hverandre og på denne måten bidra til korrekt behandling. Det anbefales å etablere deling av kritiske arbeidsoppgaver der dette har praktisk betydning for sikring av virksomhetens verdier og der kostnaden ved en slik kontroll står i forhold til risiko og tapspotensial. Tilgangskontroller på et riktig nivå vil også være en beskyttelse for brukeren i en situasjon der det er mistanke om sikkerhetsbrudd eller det kan gi en viss beskyttelse der noen ønsker å misbruke brukerens rettigheter i kriminelle handlinger. Ved for eksempel å kryss-sjekke brukerens aktivitetslogg mot bygningens adgangssystem kan man ekskludere en bruker som ikke fysisk var tilstede dersom aktiviteten spores tilbake til en spesiell arbeidsstasjon eller arbeidsplass. 3 3.4 Aktivitetsoppfølging (logging og oppfølging) Her beskrives krav til sikkerhetslogger på brukernivå. I tillegg vil det i de fleste systemer være krav til driftslogging blant annet til bruk ved feilsøking i forbindelse med driftshendelser. Så langt det er mulig, skal det være sporing på brukernivå gjennom alle lag i systemet. Systemet skal ha godkjent referanseklokke for å sikre riktig tid i loggen. Det skal for alle vesentlige hendelser være mulig å identifisere tidspunkt, bruker og hva som er utført. Både vellykkede og mislykkede påloggingsforsøk, leseoperasjoner og endringer skal logges. Loggen skal gi tilstrekkelig informasjon til å følge opp eventuelle sikkerhetsbrudd. Logger skal oppbevares i henhold til krav i lover og forskrifter. Både minste og lengste oppbevaringstid av logger skal normalt fastsettes. Loggene skal revideres jevnlig og unormale hendelser skal rapporteres og følges opp. Sikkerhetsrelaterte hendelser eller brudd bør saksbehandles i et eget hendelsessystem hvor kun høyt betrodde ansatte har tilgang. Når man implementerer loggfunksjonalitet, må man ta høyde for den lasten logging av hendelser påfører systemet når det kommer i drift. Virksomheten må sørge for å etablere tilstrekkelige mekanismer for å sikre integritet i loggen. Sekvensnummerering av logghendelser, signering av loggen og/eller overføring til sikrere lagringsområder kan være aktuelle tilleggsmekanismer. 2 På engelsk omtales dette som Need to access -prinsippet som et alternativ til Need to know -prinsipp som vil gi større privilegier enn det som er ønskelig for enkelte brukere. 3 Se for eksempel NIST sin RBAC-site: http://csrc.nist.gov/groups/sns/rbac/ 9

Referanser ISACAs G38 Access Controls. Lov om rett til innsyn i dokument i offentleg verksemd (Offentleglova) IKT-forskriften (for finanssektoren) 4 Helseregisterloven med forskrifter (for helsesektoren) COBIT versjon 4.1 Cobit Assurance Guide Cobit Control Practices Enterprise Value: Governance of IT Investments; The Val IT Framework 2.0 ITIL versjon 3 NS ISO 17799 og NS ISO 27001 NS ISO 9001 Software Engineering Institute: Capability Maturity Model CISA Review Manual 2009 Helhetlig risikostyring et integrert rammeverk COSO 2 Sikkerhetsloven med forskrifter Aksjeloven med forskrifter Personopplysningsloven med forskrifter Bokføringsloven med forskrifter Økonomireglementet i staten Hvitvaskingsloven med forskrifter Kapitalkravsforskriften Høringsnotat Om endring av internkontrollforskriften av 20. juni 1997 nr. 1057, Kredittilsynet COSO (the Committee of Sponsoring Organisations of the Treadway Commission) sitt rammeverk COSO ERM 4 4 Hovedprinsippet er offentlighet, men at restriksjoner kan settes. 10

ISACA-medlemmer som har deltatt i arbeidet: Åshild Johnsen,Kredittilsynet, CISA Andrew Aus. Ernst & Young AS, CISA, CITP, MBCS, MIBC, ARCS Jan T. Bjørnsen, Ageto Råggivning, CISA, CISM, CGEIT Kåre Prestun, Mnemonic, CISSP, CISA, PCI-QSAP, PCI-PA-QSAP Eirik Thormodsrud, Ernst & Young AS, CISA, GSOC Kjetil Kvernflaten, CIBER Norge AS, CISA, ITIL Service Manager Camilla Olsen, FFI, CISA Liubov Kokorina, Oslo kommunerevisjon Gaute Brynildsen, DnB NOR ASA, CISA Øivind Høiem, Statoil ASA, CISA Mari Grini, SpareBank 1, CISA, CISSP

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding