Utredning av standarder for styring av informasjonssikkerhet

Utredning av standarder for styring av informasjonssikkerhet

Versjonshåndtering Versjonsnr. Endret Beskrivelse av endring: Endret av: dato: 0.7 08.02.2011 Godkjenning av alle endringer KrB 1

Innhold 1 Sammendrag... 4 2 Innledning... 7 2.1 Bakgrunn... 7 2.2 Formål... 8 2.3 Mandatet... 8 2.4 Arbeidsmetodikk... 9 2.5 Sammendrag av kapitlene... 9 3 Styringssystem og sikringstiltak... 10 3.1 Kort historikk... 10 3.2 Styringssystem for informasjonssikkerhet... 11 3.3 Sikringstiltak kontroller... 11 3.4 Risikovurdering... 12 3.5 Sertifisering... 13 3.6 Kompetanse og opplæring... 14 3.7 Utvikling og harmonisering... 14 4 Behov... 14 4.1 Informasjonsbehandling... 15 4.2 Elektronisk kommunikasjon og samhandling... 15 4.3 Offentlig elektroniske tjenester... 16 4.4 IKT- drift og forvaltning... 16 4.5 Regelverket... 17 5 Kartlegging... 18 5.1 Standardiseringsarbeidet... 19 5.2 Andre initiativer... 19 6 Avgrensning... 20 7 Evaluering av ISO/IEC 27001... 21 7.1 Hva er formålet med standarden (5.1.2.1)... 21 7.2 Prosessen rundt utvikling og forvaltning av standarden (5.1.2.2)... 22 7.3 Standardens aksept og utbredelse i markedet (5.1.2.3)... 23 7.4 Tilfredsstiller standarden offentlige virksomheter og deres brukeres behov? (5.1.2.4)... 25 7.5 Hvilke konsekvenser vil en anbefaling av standarden gi? (5.1.2.5)... 27 8 Evaluering av ISO/IEC 27002... 30 8.1 Hva er formålet med standarden (5.1.2.1)... 30 8.2 Prosessen rundt utvikling og forvaltning av standarden (5.1.2.2)... 31 8.3 Standardens aksept og utbredelse i markedet (5.1.2.3)... 32 2

8.4 Tilfredsstiller standarden offentlige virksomheter og deres brukeres behov? (5.1.2.4)... 33 8.5 Hvilke konsekvenser vil en anbefaling av standarden gi? (5.1.2.5)... 35 9 Konklusjoner og forslag... 36 9.1 Sammendrag... 37 9.2 Kriterier... 37 9.3 Sikker informasjonsbehandling... 38 9.4 Sikker elektronisk kommunikasjon og samhandling... 39 9.5 Informasjonssikkerhet i virksomhetsstyring... 39 9.6 Sikker ekstern IKT-drift og forvaltning... 40 9.7 Sikker intern IKT-drift og forvaltning... 41 9.8 Sikkerhetskrav og strukturering... 42 9.9 Oppsummering av ISO/IEC 27001 og 27002... 44 10 Andre anbefalinger... 45 11 Vedlegg - standardene i ISO/IEC 27000 serien... 46 11.1 Vedtatte standarder... 46 11.2 Sektorvise standarder... 47 11.3 Standarder - planlagte eller under utarbeidelse... 47 11.4 Andre relevante standarder... 49 11.5 De mest aktuelle standardene i ISO/IEC 27000 serien... 50 12 Referanser... 55 3

1 Sammendrag Utredningen tar for seg standardene ISO/IEC 27001 krav til styringssystem for informasjonssikkerhet og ISO/IEC 27002 veiledning til generelt aksepterte sikringstiltak (best practices). Vi kan innledningsvis oppsummere med at standardene bør være godt kjent og aksepterte etter flere år som internasjonale og nasjonale standarder. Det er mange som etter hvert har opparbeidet nødvendig kunnskap og erfaring med standardene, også innenfor offentlig sektor. Etter en kort introduksjon til styringssystem for informasjonssikkerhet og sikringstiltak i kapittel 3, er behovene for bruk av omtalte standarder forsøkt gruppert i noen bruksbehov. Bruksområdene i kapittel 4 er grovt inndelt ut fra forventet risiko og behov for et utvidet sikkerhetsnivå. Ved å etablere et styringssystem etter kravene i ISO/IEC 27001 med bl.a. prosesser for planlegging, implementering og forbedring vil dette kunne bidra til å ivareta ledelsens ansvar for informasjonssikkerhet. Sammen med at virksomheten gjennomfører en verdivurdering av egne informasjons- eller IKTaktiva, og en vurdering av eget risikobilde, kan virksomheten så finne en egnet struktur på sikringstiltakene 1 i ISO/IEC 27002, samt forslag til anerkjente sikringstiltak (krav) 2. Til sammen kan dette ha avgjørende betydning om virksomheten er i stand til å ivareta nødvendig grad av informasjonssikkerhet, og om virksomheten etterlever relevant regelverk. Utredningen er gjennomført etter Standardiseringsrådets arbeidsmetodikk. Standardene ISO/IEC 27001 og 27002 er evaluert hver for seg. Evalueringen viser at begge standardene er egnet som forvaltningsstandarder iht. kriteriene i metodikken. I utredningen blir det gitt forslag til hvordan ISO/IEC 27001 og ISO/IEC 27002 kan anvendes. Standardene foreslås som: Anbefalt Obligatorisk Obligatorisk og styringssystemet sertifisert 3 Utredningen anbefaler noen sentrale og viktige anvendelsesområder som bør inngå i listen over anbefalte og obligatoriske forvaltningsstandarder i offentlig sektor: 1 Sikkerhetsmål, som kan strukturere hovedinstrukser eller policyer 2 Kontrollmålsetninger 3 For ISO/IEC 27001, dvs. det implementerte styringssystemet skal være sertifisert 4

Informasjonsbehandling - for sikring av informasjon med spesielt beskyttelsesbehov mht. konfidensialitet, integritet eller tilgengelighet, på bakgrunn av krav i regelverk eller av andre grunner. 4 Det avgrenses mot krav som følge av sikkerhetsloven [8] o ISO/IEC 27001 gjøres obligatorisk o ISO/IEC 27002 gjøres obligatorisk for å følge struktur og vurdere anbefalte sikringstiltak Elektronisk kommunikasjon og samhandling - i offentlig sektor gjennom avtaler eller andre reguleringer o ISO/IEC 27001 gjøres obligatorisk o ISO/IEC 27002 gjøres obligatoriske for å følge struktur og vurdere anbefalte sikringstiltak Virksomhetsstyring - sikkerhetskrav til intern og underliggende virksomhet(er) o ISO/IEC 27001 gjøres anbefalt o ISO/IEC 27002 gjøres anbefalt for å følge struktur og vurdere anbefalte sikringstiltak Ekstern drift - samfunnskritisk infrastruktur eller funksjoner o ISO/IEC 27001 gjøres obligatorisk og ISMS 5 sertifisert o ISO/IEC 27002 gjøres obligatorisk for å følge struktur og vurdere anbefalte sikringstiltak Ekstern drift - for offentlig sektor dvs. virksomhetsutsetting / outsourcing o ISO/IEC 27001 gjøres obligatorisk og ISMS sertifisert o ISO/IEC 27002 gjøres obligatorisk for å følge struktur og vurdere anbefalte sikringstiltak Intern drift - i offentlig sektor av samfunnskritisk infrastruktur eller funksjoner o ISO/IEC 27001 gjøres obligatorisk o ISO/IEC 27002 gjøres obligatoriske for å følge struktur og vurdere anbefalte sikringstiltak Intern drift - i offentlig sektor av virksomhetskritisk infrastruktur eller - systemer o ISO/IEC 27001 gjøres obligatorisk og ISMS sertifisert o ISO/IEC 27002 gjøres obligatorisk for å følge struktur og vurdere anbefalte sikringstiltak 4 Dette må ikke forstås slik at å følge standardene tilfredsstiller alle krav i ulikt lovverk på området. 5 ISMS Information Security Management System Styringssystem for informasjonssikkerhet 5

Intern drift - i offentlig sektor av nasjonale felleskomponenter eller - systemer o ISO/IEC 27001 gjøres obligatorisk og ISMS sertifisert o ISO/IEC 27002 gjøres obligatorisk for å følge struktur og vurdere anbefalte sikringstiltak Felles drift - i offentlig sektor for flere virksomheter o ISO/IEC 27001 gjøres obligatorisk og ISMS sertifisert o ISO/IEC 27002 gjøres obligatorisk for å følge struktur og vurdere anbefalte siktingstiltak Sikkerhetskrav strukturering av sikkerhetskrav og forslag til sikringstiltak o ISO/IEC 27002 gjøres anbefalt for å følge struktur 6 og vurdere egne behov for alle de foreslåtte sikringstiltakene Kapittel 9 gir begrunnelse til forslagene om bruk av standardene. Dette blir oppsummert i en tabell i kapittel 9.9. Av andre anbefalinger kan det kort nevnes at ISO/IEC 27005 - risikostyring bør få en egen utredning senere. Grunnen er at det allerede finnes flere standarder, veiledninger og anbefalinger på området. Ofte har virksomheten valgt en annen metodikk og har høstet erfaring med dette. Tilslutt i rapporten er det tatt med et vedlegg som kort oppsummerer de andre standardene i 27000-serien. 6 Se sikkerhetsområdene i kapitlene 5 t.o.m 15 6

2 Innledning 2.1 Bakgrunn Utredningen har kommet i gang med utgangspunkt i forprosjektet for kartlegging av sikkerhetsstandarder [1], og etter behandling i standardiseringssekretariatet, med saksfremlegg til Standardiseringsrådet. Rådet ga tilslutning og en anbefaling om å utrede ISO/IEC 27001 og ISO/IEC 27002. Disse to standardene har vært tilgjengelige i mange år, men i ulike versjoner, og er godt kjent også innen offentlig sektor. Det kan vel også hevdes at standardene i noen tilfeller ble benyttet ved kravsetting eller referanser ved arbeid med nye lover, forskrifter og veiledninger. Kapittel 2 i personopplysningsforskriften, men veiledning, er et klart eksempel på dette. Informasjonssikkerhet er et ledelsesansvar, og det må forventes at virksomhetene arbeider metodisk og målrettet med utfordringene. I dette ligger det et særlig ansvar når det behandles sensitiv 7 eller gradert 8 informasjon, eller ved drift og forvaltning av kritisk IKT- infrastruktur. Virksomheter blir i lovog regelverket pålagt å ivareta informasjons- eller IKT-sikkerheten, uten derved alltid å få klare krav og føringer. Det er virksomhetens leder som er ansvarlig for å vurdere egen risikoeksponering og iverksette tilstrekkelig sikringstiltak. I nasjonale retningslinjer for å styrke informasjonssikkerheten [2] finnes det noen klare føringer bl.a. i kapittel 3.1 med overskrift at samfunnskritisk IKTinfrastruktur må beskyttes bedre, og i kapittel 3.7 som slår fast at alle departementer bør fremme bruk av standarder, sertifisering og egenregulering. Harmonisering og etablering av et grunnivå 9 for informasjonssikkerhet kan være en god strategi for offentlig sektor, eller for deler av denne. Det kan her vises til et sektorielt initiativ med felles normer og kjøreregler som i normen for informasjonssikkerhet [3] for helsesektoren, supplert med utvalgte og faktaark, som for eksempel faktaark nr. 2 - Styringssystem for informasjonssikkerhet [4]. Eksempelvis kan det også vises til hva som er gjort i Sverige gjennom Basnivå för informationssäkerhet (BITS) 10 hvor dette er harmonisert mot SS-ISO/IEC 27001, og kravsettet er fra SS-ISO/IEC 17799. Det finnes også i Danmark direkte pålegg om å oppfylle krav i standarder for styring av informasjonssikkerhet. Standarden har til når vært DS 484, som nå 7 Eks. sensitive personopplysninger 8 Sikkerhets- eller beskyttelsesgradert 9 Base line, eller basisnivå 10 http://www.msb.se/sv/produkter--tjanster/informationssakerhet---stod--verktyg/bitskonceptet/ 7

gradvis skal erstattes av ISO/IEC 27001, og seneste overgang er når det foreligger en ny versjon av standarden. Andre mulige behov som kan dekkes ved å benytte standarder og veiledninger innenfor området informasjonssikkerhet, kan være ønske om eller behovet for nødvendig organisatoriske sikkerhetsmål, samt felles rammeverk for sikringstiltak (kontroller). Dette kan være med på å underbygge tillitsmodeller mellom publikum og det offentlige, samt mellom virksomheter innenfor offentlig forvaltning, og 3.parter (eksempel eksterne driftspartnere). Det er observert at Riksrevisjonen har avdekket mangler ved føringer og krav gitt fra eksempelvis departementer vedrørende krav til informasjonssikkerhet hos underliggende etater, og ved oppfølging av sikkerhetsarbeidet hos disse. Revisjons- og tilsynsarbeid kan underlettes og effektiviseres ved at det i virksomhetene benyttes anerkjente standarder og/eller veiledninger. Standardene kan da legges til grunn som måleparametre for om kravene til informasjonssikkerhet blir ivaretatt. I denne rapporten er begrepet informasjonssikkerhet i stor grad benyttet. Begrepet som benyttes i 27000 -serien er information security. Ofte ser vi også at IT- eller IKT- sikkerhet, der K står for kommunikasjon blir benyttet. I noen miljøer er de distinkte på å benytte informasjonssikkerhet når målet er å sikre informasjonsaktiva (type sensitivitet), og I(K)T sikkerhet når de beskiver ressursene som maskin- og programvare, samt driftsmiljøene rundt dette. Rapporten tar ikke stilling til begrepsbruk, og bruker i hovedsak informasjonssikkerhet. 2.2 Formål Formålet med utredningen er å gi et konkret beslutningsgrunnlag til Standardiseringsrådet, om standardene skal være anbefalte eller obligatoriske i offentlig sektor. 2.3 Mandatet Mandatet for utredningen er gitt av Standardiseringsrådet. Sitat fra anbefaling etter møte 23, kap. 8.2 punkt 2 Høring av anbefalte standarder for styring av informasjonssikkerhet i møtereferat [5]; Informasjonssikkerhetsarbeidet er viktig i offentlig sektor. Skal man etablere kommunikasjon på tvers av organisasjoner er det viktig å vite at man kan stole på samarbeidspartneres behandling av overført informasjon. Et overordnet regime for styring av informasjonssikkerhet er derfor et viktig virkemiddel i arbeidet for en sikrere og bedre samhandling på tvers av offentlige virksomheter. 8

Det ble også i samme møte under kap. 8.2 punkt 5 Utredning av standarder for risikostyring og -vurdering i møtereferat [5], anbefalt en utredning med fokus på ISO/IEC 27005 og de andre standardene i 27000-serien. Slik det fremkommer senere i denne rapporten, dvs. kap.10, anbefales det en egen utredningsrapport om risikostyring - og vurdering, med risiko- og sårbarhetsanalyser (ROS). 2.4 Arbeidsmetodikk Arbeidet med denne utredningen følger Standardiseringsrådets overordnede arbeidsmetodikk, som finnes på Standardiseringsportalen. http://www.standard.difi.no/arbeidsprosessen Stikkordene er; å avdekke behov, avgrense utredningen, kartlegge standarder, evaluere mot kriterier i arbeidsmetodikken, vurdere alternativer, velge med begrunnelse, og etter at valg er gjort, konsekvensvurdere effektene. 2.5 Sammendrag av kapitlene Nedenfor er et kort sammendrag av alle kapitlene i utredningen. Kapittel 1, sammendrag gir en kort oppsummering av utredningen. Kapittel 2, innledning, gir det en kort gjennomgang av bakgrunn, mandatet, metodevalg for utredningen. Kapittel 3, styringssystem og sikringstiltak har til hensikt å gi en kort presentasjon av standardene ISO/IEC 27001 og ISO/IEC 27002 og hensikten med disse. I kapittel 4, behov, forsøker å kategorisere og oppsummere noen behov for standardene i offentlig sektor. Bruksområdene kan være informasjonsbehandling, elektronisk kommunikasjon og samhandling, offentlige elektroniske tjenenester, drift og forvaltning, samt lover- og regelverk. I kapittel 5, kartlegging, konkluderer med at det ikke er andre relevante standarder for etablering av et styringssystem for informasjonssikkerhet enn ISO/IEC 27001, og at god praksis på sikringstiltak kan dekkes av tilhørende veiledning i ISO/IEC 27002. Kapittel 6 gir noen avgresninger for denne utredningen. Det blir ikke vurdert andre standarder enn ISO/IEC 27001 og ISO/IEC 27002, men utredningen omtaler andre standarder i 27000 serien. Utredningen gir ingen utdypende kravanalyse eller behov gitt i medhold av regelverket. I kapittel 7 utredes ISO/IEC 27001 mot spørsmålslisten som følger Standardiseringsrådets overordnede arbeidsmetodikk (utreningsmetodikk). I kapittel 8 utrederes ISO/IEC 27002 mot spørsmålslisten som følger Standardiseringsrådets overordnede arbeidsmetodikk (utredningsmetodikk). 9

Kapittel 9, konklusjoner og forslag gir konkrete anbefalinger om hvilke anvendelsesområder i offentlig sektor ISO/IEC 27001 og 27002 må være respektive anbefalte eller obligatoriske, og eventuelt krav om et sertifisert styringssystem for informasjonssikkerhet 11 etter ISO/IEC 27001 Kapittel 10 gir andre anbefalinger som for eksempel at det bør gjennomføre en egen utrening for ISO/IEC 27005 Risikostyring, da det også finnes andre aktuelle standarder og veiledninger på området. Kapittel 11 i dette vedlegget er de mest aktuelle standardene i 27000-serien presentert. Først en oversikt over alle standarder i serien p.t., deretter en nærmere gjennomgang av, i tillegg til ISO/ 27001:2005 og 27002:2005, også ISO/IEC 27000:2009, ISO/IEC 27005:2008, samt ISO/IEC 27006:2007. 3 Styringssystem og sikringstiltak 3.1 Kort historikk Standardene har sin opprinnelse i en britisk standard, BS7799 Code of Practice og første versjon ble utgitt februar 1995, og ny hovedversjon kom mai 1999. I desember 2000 ble ISO/IEC 17799 første gang ISO standard, etter et fast track prosess. Fra juli 2007 byttet ISO/IEC 17799:2005 navn til ISO/IEC 27002, men innholdet er det samme. Den andre delen BS7799 ble først publisert i 1999, og da som BS7799 part 2 (BS7799-2) med tittel Information Security Management Systems - Specification with guidance for use. Fokuset allerede da var at standarden skulle stille krav til implementering av et styringssystem for informasjonssikkerhet. BS 7799-2, i norsk oversettelse NS 7799:2003, var blant den mest aktuelle og ble valgt som sertifiseringsstandard for den nyetablerte sertifiseringsordningen sertifisering av sikkerhet i organisasjoner, se kap. 3.5. Arbeidet med å gjøre BS 7799-2 til en ISO-standard 12 møtte noe motstand i starten for det var en tid arbeidet med en annen standard, ISO/IEC TR 13335 Guidelines for the management of IT Security (GMITS). Denne er nå ISO/IEC 27001. 11 ISMS 12 ISO - International Organization for Standardization 10

3.2 Styringssystem for informasjonssikkerhet ISO/IEC 27001:2005 Information technology -- Security techniques -- Information Security Management Systems - requirements (ISMS). ISO/IEC 27001:2005 spesifiserer ulike krav til etablering, implementering, drift, overvåkning, revisjon, vedlikehold og forbedring av et dokumentert styringssystem for informasjonssikkerhet (ISMS). Utgangspunkt skal være i organisasjonens totale virksomhetsrisikoer. Standarden spesifiserer også krav til implementering av sikkerhetsmål og kontroller 13, tilpasset organisasjonens individuelle krav, eller deler av disse. Standarden er i seg selv ikke et styringssystem, men gir hjelp til å utvikle et, tilpasset egen virksomhet. Standarden kan benyttes i alle virksomheter, uavhengig typer og størrelse. ISO/IEC 27003:2010 gir en veiledning til implementering av et styringssystem for informasjonssikkerhet etter kravene i ISO/IEC 27001. ISO/IEC 27004:2009 gir veiledning ved utvikling og bruk av sikringstiltak, samt målemetoder med hensikt å vurdere effekten av et implementert styringssystem for informasjonssikkerhet (ISMS) og sikringstiltak, i grupper av tiltak som spesifisert i ISO/IEC 27001. Hovedprosessene i ISO/IEC 27001 er PDCA, dvs. Plan-Do-Check-Act. Standarden er også en sertifiseringsstandard, noe mange land etter hvert har tatt bruk, også Norge, jfr. kapittel 3.5. 3.3 Sikringstiltak kontroller ISO/IEC 27002:2005 Information technology -- Security techniques -- Code of practice for information security management. 13 Sikkerhetskrav- eller tiltak 11

Standarden gir veiledninger til retningslinjer og generelle prinsipper for initiering, implementering, vedlikehold, samt forbedring av organisasjons styring av informasjonssikkerhet. Skisserte sikkerhetsmålsetninger har til hensikt å gi en generell veiledning om allment aksepterte mål for styring av informasjonssikkerheten. Standarden inneholder beste praksis til kontroller og krav innen følgende områder innen informasjonssikkerhet: sikkerhetspolicy, sikkerhetsorganisering, håndtering av aktiva, personellsikkerhet, fysisk sikkerhet, kommunikasjons- og driftsstyring, tilgangskontroll, anskaffelse, utvikling og vedlikehold av informasjonssystemer, håndtering av sikkerhetshendelser, beredskaps- og kontinuitetsstyring, samt etterleve regelverk. Hensikten med kontrollene og kravene i ISO/IEC 27002:2005 er å implementere nødvendige sikringstiltak, identifisert i risiko- og sårbarhetsvurderinger (ROS) slik at rest risikoen blir redusert til et akseptabelt nivå. Standarden har til hensikt å gi felles basis for og et praktisk verktøy ved utvikling av virksomhetens sikkerhetssystem 14, være et effektivt ledelsessystem, samt underbygge tillit i forbindelse med samhandling med andre virksomheter. Mange har erfart at standarden fungerer utmerket som en sjekkliste for administrative og organisatoriske sikringstiltak. Standarden blir da også ofte benyttet ved revisjoner, og da som en benchmark. Når det gjelder det siste kontrollpunktet, om å etterleve regelverk, har den internasjonale standarden selvsagt ikke så mange innspill til de enkelte, nasjonale regelverkene. Kontrollpunktet fungerer som en påminnelse om at den enkelte virksomhet selv må identifisere, vurdere og etterleve de kravene som måtte finnes i lover, forskrifter, instrukser, rammeverk, nasjonale retningslinjer, kontrakter mv. Dette er en selvstendig jobb, som for så vidt må gjennomføres uavhengig av standardene. Regelverk er overordnet standardene. Det er likevel fornuftig å etablere et styringssystem som også sikrer etterlevelsen av de ulike rettslige kravene. 3.4 Risikovurdering ISO/IEC 27005:2008 Information technology - Security techniques - Information security risk management. 14 På området IKT- eller informasjonssikkerhet 12

Standarden gir veiledninger for risikostyring, hvor det også inngår risiko- og sårbarhetsanalyse av informasjonssikkerheten. Standarden støtter konseptene spesifisert i ISO/IEC 27001, og er utviklet for å underbygge implementering av informasjonssikkerhet, med utgangspunkt i en risikobasert tilnærming. Kunnskap om konsepter, modeller, prosesser og terminologi dokumentert i ISO/IEC 27001 og 27002 er viktig for å forstå hensikten med ISO/IEC 27005:2008. Standarden kan benyttes og gjelder for alle typer av organisasjoner / virksomheter som ønsker å administrere egen risikostyring. I tillegg til krav om å gjennomføre en risikovurdering, er det essensiell å fokusere på viktigheten av å utføre en verdivurdering av informasjonsaktiva i virksomheten, ref. [15] 15, samt veiledning fra NSM 16. 3.5 Sertifisering I Norge er det Norsk akkreditering som er akkrediteringsorganet, dvs. de som godkjenner sertifiseringsvirksomheter, slik at de i sin tur igjen kan utstede sertifikater etter sertifiseringsstandarder, som ISO/IEC 27001 og ISO 9001. http://www.akkreditert.no/no Virksomheten som søker akkreditering skal følge ISO/IEC 17021 17, og under prosessen med å godkjenne en sertifiseringsvirksomhet for ISO/IEC 27001 benytter Norsk Akkreditering i tillegg ISO/IEC 27006. http://www.akkreditert.no/no/om_oss/hva_er_akkreditering/ Følgende 3 norske firmaer er akkreditert, dvs. godkjent av Norsk Akkreditering som sertifikatutsteder etter ISO/IEC 27001; Teknologisk Institutt (TI) http://www.teknologisk.no/ti-sertifiseringas/systemsertifisering/informasjonssikkerhet Det Norske Veritas (DNV) - http://www.dnv.no/tjenester/sertifisering/systemsertifisering/informasjo nssikkerhet/iso27001/ Nemko - http://www.nemko.no/services/management-system-certification/iso- 27001-information-security-management-system 15 Eksempelvis; KIS hovedrapport KOBI Klassifisering og beskyttelse av informasjon v.1.1-30.04.2008 16 NSM Nasjonal Sikkerhetsmyndighet Veiledning i verdivurdering 17 Standard for akkreditering av sertifiseringsorgan som sertifiserer styringssystemer 13

For mange virksomheter foregår sertifisering etter ISO/IEC 27001 ISMS samtidig som etter ISO 9001 Kvalitetsstyring. For å opprettholde akkrediteringer eller sertifiseringer må styringssystemene fornyes periodisk. Dette foregår ved revisjoner og bedømming. 3.6 Kompetanse og opplæring ISO-standardene er godt etablerte standarder, og det må forventes utbredt kunnskap om og kompetanse rundt bruk av standardene også vårt nasjonale sikkerhetsmiljø. Det er flere firmaer som holder kurs og opplæring. Det kan her nevnes kurs i revisjon etter ISO/IEC 27001 og kurs i implementering av slikt styringssystem. 3.7 Utvikling og harmonisering Det foregår flere interessante utviklings- og harmoniseringsaktiviteter også utenfor ISO organisasjonen, som i en eller annen form berører standardene ISO/IEC 27001 og ISO/IEC 27002, og kanskje spesielt den siste. Dette kan i seg selv være tema for en interessant kartlegging. Kort kan vi her nevne noen få aktiviteter rundt andre standarder berører ISOstandardene: ITIL v.3 Service Management (ITSM) og ISO/IEC 20000 (-1 og -2) CobiT 18 fra ISACA 19 Det kan også nevnes at ISO/IEC 27001 til en viss grad er harmonisert med ISO 9001:2000, Quality management system - requirements og ISO/IEC 20000:2005, Information technology service management (ITSM). 4 Behov Relevante standarder som støtter og underbygger informasjonssikkerhet, bør tas i bruk fordi de bl.a. bygger på mange fagpersoners kollektive erfaring, samt felles utvikling av fagområdet over tid, nasjonalt og internasjonalt. På denne måten kan sikkerhetskultur- og nivå bedres og unødvendige feil og risikoer kan unngås. Standardisering forenkler opplæring og motivasjon, slik at kunnskap og erfaring kan utvikles på området. Standarder og bruk av disse bidrar også til samordning av sikkerhetsnivået mellom virksomheter. Standarder bidrar også til å underlette kravsetting til IKT- systemer, løsninger og virksomheter, samt være målestokk når etterlevelsen og sikkerhetsnivået i disse skal etterprøves eller revideres. 18 Control Objectives for Information and related Technology 19 Information Systems Audit and Control Association, jfr. kapittel 5.1 14

Lov- og regelverk er ikke alltid like klare i formulering av sikkerhetskrav. Det er ofte generelle formuleringer mot god praksis og tematiske områder, uten å gi klare formulerte krav. Det skal for eksempel oppnås tilfredsstillende informasjonssikkerhet, men hvordan er opp til virksomheten. I de neste kapitlene er det forsøkt å identifisere og gruppere ulike bruksområder innenfor offentlig sektor spesielt. Det forutsettes særskilte forventninger, behov eller krav knyttet til disse bruksområdene. 4.1 Informasjonsbehandling Behovet for sikringstiltak er lov- og forskriftspålagt i flere tilfeller, både ved intern og ekstern informasjonsbehandling i offentlig forvaltning, som bruk av personopplysninger etter pol/pof [6], eller elektronisk kommunikasjon iht. eforvaltningsforskriften [7]. Men det er tilfeller hvor slik behandling faller utenfor et regelverk. Beskyttelsesverdig og sensitiv informasjon må ha behandlingsregler og være underlagt et tilfredsstillende regime for informasjonssikkerhet. Det bør i virksomheten være foretatt en grenseoppgang mellom personopplysninger, taushetsplikt og unntatt offentlighet, eksempelvis etter en verdivurdering av informasjonsaktiva, samt risikovurdering. Styringssystem og sikringstiltak etter standardiserte krav og veiledninger kan gi et basis sikkerhetsnivå, utvidet med skjerpede retningslinjer, krav og sikringstiltak for informasjonskategorier og systemer som krever særlig beskyttelse. I denne utredningen diskuterer vi ikke sikkerhets- og beskyttelsesgradert informasjon etter sikkerhetsloven [8] eller beskyttelsesinstruksen [9], da slik gradert informasjon har egne behandlingsregler og sikringskrav. 4.2 Elektronisk kommunikasjon og samhandling Kommunikasjon, samhandling og samarbeide bygger på grader av tillit eller tiltro mellom partene. Dette allmenne postulatet gjelder også innenfor ITverdenen. Informasjonssikkerhet har også til hensikt å bidra til å underbygge og verifisere at kommunikasjons- og samarbeidspartneren ivaretar sitt ansvar på en dokumentert og sikker måte. Informasjonssikkerhet i forbindelse med samhandling må derfor bygge på tillit/tiltro, og må underbygges med et avtaleverk (sikkerhetsmodeller). Vi må være sikre på at samhandlingspartneren eller en 3. part ivaretar nødvendig sikkerhet på avsender/oppdragsgivers vegne. En av flere utfordringer ved samhandling er å verifisere sikkerhetsnivået hos samarbeidspartnere. Spørsmålet er ofte om nivået er det samme eller bedre. Her vil et styringssystem for informasjonssikkerhet (ISMS), etter en felles standard, samt standardiserte og lett verifiserbare sikringstiltak, underlette denne utfordringen på en effektiv måte. 15

4.3 Offentlig elektroniske tjenester Dette gjelder offentlig tilbud av elektroniske tjenester rettet mot publikum og næringsliv. Det er politiske og forvaltningsmessige motiver for å utvikle og sette i produksjon flere og bedre offentlig elektroniske tjenester til det beste for publikum og næringslivet. Hensikten og målet er flere, og innbefatter bl.a. en mer effektiv og brukervennlig forvaltning. Men dette forutsetter og er avhengig av tillit hos innbyggerne, publikum eller brukerne av offentlige tjenester. Brukerne av tjenestene må derfor kunne forvente styring og forvaltning av tjenesteproduksjonen, ved styringsprosesser (styringsmodeller) og standardisert eller beste praksis på sikringstiltak. Standardene ISO/IEC 27001 og ISO/IEC 27002 kan også her bidra til etablere et basisnivå på informasjonssikkerhet gjennomgående for offentlig forvaltning. 4.4 IKT- drift og forvaltning Når det gjelder IKT- drift og forvaltning er det behov og utfordringer knyttet til kravsetting, kontraktsinngåelse og oppfølging med 3.part driftspartnere (outsourcing). Mørketallsundersøkelsen 2010 [10] tar også opp denne utfordringen, og foreslår samtidig konkrete tiltak. Fra undersøkelsen fremgår det i en av hovedanbefalingene at det offentlige må etablere en sertifiseringsordning for sikkerhet hos IT-driftsleverandørene. Det kanskje aller viktigste er drift av samfunnskritiske IT-systemer, samfunnskritisk IKT-infrastruktur eller (virksomhets-) kritiske IKT-systemer og samfunnsfunksjoner. Nå er disse ikke noen eksakte og vel definerte begreper, hvor det innen offentlig sektor klart fremgår hvilke systemer, funksjoner eller løsninger dette gjelder. Utredningene Når sikkerheten er viktigst - Beskyttelse av landets kritiske infrastrukturer og kritiske samfunnsfunksjoner [11] og BAS5 [12] diskuterer disse begrepene. I tillegg har sikkerhetsloven [8] fått en ny forskrift om objektsikkerhet. I nasjonale retningslinjer for informasjonssikkerhet [2] er det i kapittel 3.1 gitt føringer for samfunnskritisk IKT-infrastruktur. Dette og flere begreper er forklart i avnittet ord og uttrykk. Vi kan også her trekke frem drift av fellestjenester - eller komponenter (ITsystemer), i regi av en offentlig virksomhet, og tilbydere av offentlige elektroniske tjenester til publikum og næringsliv. Dette bruksområdet kan også gjelde felles drift for det offentlige fellesskapet, jfr. DSS 20. 20 Departementenes Service Senter 16

4.5 Regelverket Et viktig spørsmål er om sentrale lover og forskrifter gir konkrete krav til ISMS og omfang eller struktur på sikringstiltak. Det er også utfordringer på andre plan, bl.a. hvordan i praksis etterleve ett eller ofte flere regelverk på et ledelsesog styringsnivå. I rapporten fra Statskonsult til SARI 21 Rettslig plikt til å ha system for informasjonssikkerhet? (2007)[12] ble et utvalg regelverk gjennomgått. Formålet var å se om de krevde styringssystem for informasjonssikkerhet. Konklusjonen var at de fleste regelverkene indirekte krevde det, mens noen få, kanskje bare ett, har en ordlyd som relativt direkte kan sies å kreve et styringssystem, basert på anerkjente prinsipper 22, jf forskrift for elektronisk kommunikasjon med og i forvaltningen, fra 2004 [17]. Forskriften er hjemlet i forvaltningsloven, og har samme virkeområde. De vanligste regelverkskravene på dette området er i følge rapporten formulert slik: man skal ha planlagte og systematiske tiltak som dokumenteres, og er helhetlig, videre må en ha internkontroll, kvalitetssystem, lage sikkerhetsmål, sikkerhetsstrategi, prosesser, prosedyrer, rutiner, sikkerhetsadministrasjon, anerkjente prinsipper for informasjonssystemers sikkerhet osv, - alt sammen for å ivareta tilfredsstillende informasjonssikkerhet, tilpasset/skalert iht. egen virksomhet og størrelse. Den nevnte eforvaltningsforskriften gir heller ikke noen føring på hvilken eller hvilke standard(er) som skal legges til grunn, dette er valgfritt. Men det er en plikt å velge en (eller flere), og å følge den/de, som grunnlag for å ivareta informasjonssikkerheten i virksomheten. Alle valg av sikkerhetstiltak skal være basert på dette grunnlaget. Også beslutninger om ikke å bruke sikkerhetstiltak, eller å bruke svake sikkerhetstiltak, skal være forankret i det samme. Forskriften forutsetter at virksomheten lager sin egen sikkerhetsstrategi og sitt eget styringssystem for informasjonssikkerhet, basert på internasjonalt anerkjente prinsipper, i klartekst en eller flere internasjonalt anerkjente standarder. 21 Samarbeidsgruppe for regelverk for informasjonssikkerhet (SARI) under Koordineringsutvalget for informasjonssikkerhet (KIS). SARI vites ikke om denne lengre er i funksjon. 22 eforvaltningsforskriften (FOR-2004-06-25-988) 13. Sikkerhetsmål og sikkerhetsstrategi (1) Forvaltningsorgan som benytter elektronisk kommunikasjon skal ha beskrevet mål og strategi for informasjonssikkerhet i virksomheten (sikkerhetsmål og sikkerhetsstrategi). Sikkerhetsstrategien skal danne grunnlaget for forvaltningsorganets beslutninger om innføring og bruk av sikkerhetstjenester og -produkter på en helhetlig, planlagt, systematisk og dokumentert måte. Sikkerhetsstrategien skal inkludere relevante krav som er fastsatt i annen lov, forskrift eller instruks. (2) Sikkerhetsstrategien skal være utarbeidet i henhold til anerkjente prinsipper for informasjonssystemers sikkerhet. 17

Også personopplysningsloven og -forskriften gir pålegg om å lage sikkerhetsstrategi. De krever planlagte og systematiske tiltak, som dokumenteres. Dette forutsetter at et styringssystem legges til grunn. Personopplysningsforskriftens kapittel 2 har til og med tatt utgangspunkt i og bygget sine krav på den daværende mest anerkjente standarden, som er en forløper for dagens ISO/IEC 27001-standard. Datatilsynet går også langt i å peke på at hvis en følger denne standarden, har en langt på vei dekket de viktigste kravene i loven og forskriften. Men de fremhever naturlig nok også at etterlevelse av reglene krever selvstendig vurdering. Dette vil det være naturlig å gjøre som et ledd i å ta i bruk standarden for styring av informasjonssikkerhet i egen virksomhet. Personvernreglene gjelder både i privat og offentlig sektor, så disse reglene har et omfattende, generelt nedslagsfelt. Videre finner vi i norm for informasjonssikkerhet i helsesektoren [3] og i kap. 4.1 krav til styringssystem for informasjonssikkerhet. En del av de anbefalte sikringstiltak etter ISO/IEC 27002 (tidligere kjent som ISO/IEC 17799:2005) kjenner vi godt igjen i lov og regelverk, men ikke gruppert og i det omfanget og med den systematikken som standarden beskriver. Lov- og forskriftsverket gir ofte visse føringer innenfor enkelte tematiske områder innenfor informasjonssikkerhet. Dette kan som eksempel være nevnte krav om sikkerhetsmål og sikkerhetsstrategi i pol/pof 23 [5] fra Datatilsynet, samt i eforvaltningsforskriften [7]. På begge områder finnes det veiledninger. Konklusjonen er at det finnes en rekke krav i ulike lover og forskrifter til å ivareta informasjonssikkerheten. Dette skal gjøres planlagt, systematisk og dokumentert, og ut fra egen sikkerhetsstrategi/policy og risikovurderinger. Ved å etablere og forvalte et styringssystem for informasjonssikkerhet, også tilpasset virksomhetens andre styringssystemer, kan dette gjøre det lettere å etterleve krav fra regelverk, samt virksomhetens eventuelle øvrige behov for informasjonssikkerhet. 5 Kartlegging Det er gjort en kartlegging av standarder som inneholder krav eller veiledninger for utvikling, etablering og forvaltning av et styringssystem for informasjonssikkerhet. Det styrende prinsippet bak et styringssystem må være at virksomheten skal, med utgangspunkt i standard eller veiledning, kunne være i stand til å utvikle, implementere og vedlikeholde et konsistent sett med policyer, prosesser og systemer. Dette for å kunne styre alle risikoer mot informasjons- og IKT - 23 Personopplysningsloven og personopplysningsforskriften 18

ressursene på en slik måte at restrisikoen for informasjonssikkerhet kan aksepteres av ledelsen. 5.1 Standardiseringsarbeidet Standardiseringsarbeidet innen ISO og på området informasjonssikkerhet har pågått i mange år, og i flere komiteer og arbeidsgrupper. For vår utredning er komiteen SC27 og arbeidsgruppene WG 1, 2 og 3, de mest aktuelle å følge jfr. kap. 7.2.2. Norge deltar til tider aktivt med norsk representasjon og med arbeid i norsk referansegruppe under Standard Norge, med deltakelse fra næringsliv og offentlig sektor. Det må kunne hevdes at den internasjonalt best kjente og aksepterte standarden som etter krav til et ISMS må være ISO/IEC 27001. For ISO/IEC 27001 ISMS er det først og fremt ISO/IEC 27002 som er samhandlende, samt ISO/IEC 27000 med introduksjonen og begrepsapparat. Det er vanskelig å se etablering av et styringssystem for informasjonssikkerhet uten å benytte disse tre ISO-standardene, og eventuelt med støtte i ISO/IEC 27003 veiledning ved implementering 24. Når det gjelder tilstøtende 25 standarder til ISO/IEC 27002 blir disse ikke kartlagt. Det blir gitt en kort presentasjon av de andre mest aktuelle i 27000- serien i kap. 11.5. 5.2 Andre initiativer Den internasjonale foreningen Information Security Forum ISF 26 har i flere år oppsummert erfaringer, praksis og forslag fra sine medlemsorganisasjoner og utgitt en Standard of Good Practice (SOGP) for informasjonssikkerhet. ISF vedlikeholder veiledningen, med tilbakemeldinger fra medlemmene og utgir nye versjoner periodisk. Denne er derfor i form en veiledning og beste praksis og ingen formell vedtatt standard, men kan oppfattes som en vel anerkjent industristandard. Så vidt det er brakt i erfaring kreves det medlemskap i ISF for å få tilgang til veiledningen Standard of Good Practice og det må betales en avgift for å kunne bruke denne i en medlemsorganisasjon. Se for øvrig; https://www.securityforum.org/ 24 Av ISO/IEC 27001 25 Dvs. sektor- eller løsningsorienterte tokninger og veiledinger til ISO/IEC 27002. 26 Må ikke forveksles med foreningen Norsk Informasjonssikkerhetsforum (ISF) - http://www.isf.no/ 19

En annet og mye omtalt rammeverk er CobiT 27. Denne er utviklet av og blir forvaltet av ISACA 28, jfr. www.isaca.org eller se også den norske avdelingen www.isaca.no Dette er også et sett med beste praksis, og som bygger på mange andre standarder og veiledninger. Hensikten med rammeverket er i første rekke å gi virksomhetene en veiledning til styring, kontroll og forvaltning av ITvirksomheten. CobiT gir brukergrupper som ledere, revisorer, IT-personell anerkjente målsetninger (krav), måleparametre (KPI), prosesser, samt beste praksis. Ved å benytte CobiT kan brukeren få veiledning og støtte til å forbedre effektene ved bruk av IKT. I tillegg kan det gjennom bruk av rammeverket oppnås hensiktmessig ledelse og kontroll med IKT- virksomheten. For IKT-virksomheter generelt bør vi også ta med ITIL 29. Dette er en beste praksis med prosesser og strukturer for etablering av Information Technology Service Management (ITSEM) for IKT-utvikling og -drift. ITIL gir et bibliotek med viktige IT-prosesser. Disse er detaljert beskrevet med omfattende sjekkliser, oppgaver og prosedyrer, noe som enhver virksomhet kan benytte og skreddersy for sitt behov. ITIL v3 har under området Service Design dokumentert en god del prosesser innenfor først og fremst sikring av IKT- miljøet, men også informasjonssikkerhet. Både CobiT og ITIL dekker andre behov og virkeområder enn standardene i 27000-serien. Det er allerede utført interessant arbeid, noe som fortsatt pågår med henblikk på å finne praktisk bruk av standardene og veiledningen i en sammenheng og slik at de utfyller og støtter hverandre. Det er i forprosjektet kartlegging av sikkerhetsstandarder [1] og i dette utredningsarbeidet ikke funnet frem til andre standarder, veiledninger eller andre som kan erstatte ISO/IEC 27001 på tilsvarende måte. En av styrkene til ISO-standarden ligger i at den følges opp av ISO/IEC 27002 med anbefalte krav til sikringstiltak, samt andre standarder i 27000 -serien. 6 Avgrensning Denne utredningen ser på behovet, mulige valg og forslag vedrørende krav til styringssystem og anbefalte sikringstiltak innenfor informasjonssikkerhet i offentlig forvaltning. Forslagene går ut på om standardene skal være anbefalte eller obligatoriske for de ulike anvendelsesområdene som foreslås. 27 The Control Objectives for Information and related Technology, se http://www.isaca.org/knowledge-center/cobit/pages/overview.aspx 28 Information Systems Audit and Control Association 29 ITIL betyr Information Technology Infrastructure Library 20

Utredningen vurderer standardene ISO/IEC 27001 og ISO/IEC 27002. Det er ikke kartlagt andre standarder eller veiledninger som kan erstatte eller delvis supplere disse to når det gjelder styringssystem for informasjonssikkerhet eller veiledninger til krav og sikringstiltak for å ivareta nødvendig og lovpålagt informasjonssikkerhet. Utredningen fokuserer på anvendelse med og i offentlig sektor. Se ellers mandatet i kap. 2.3. Utredningen vurderer ikke standardene opp mot konkrete sikrings- eller beskyttelseskrav fra sikkerhetsloven med forskrifter [8], beskyttelsesinstruksen [9] eller fra personopplysningsloven med forskrift [6], eller annet regelverk, utover det som er gjengitt i kapittel 4.5. Det understrekes likevel at interessene bak de rettslige kravene til sikring av konfidensialitet, integritet og tilgjengelighet generelt er sammenfallende med de interesser og bruks- og anvendelsesområder som utredningen diskuterer. Utredningen tar ikke stilling til styrker eller eventuelle svakheter i de to aktuelle standardene, men observerer at begge er under en viktig revisjon, som er forventet å ta noe tid. 7 Evaluering av ISO/IEC 27001 Vurdering av kriteriene i Standardiseringsrådets arbeidsmetodikk. 7.1 Hva er formålet med standarden (5.1.2.1) 7.1.1 Hva er hensikten ved å ta standarden i bruk? (5.1.2.1.1) ISO/IEC 27001 spesifiserer ulike krav til etablering, implementering, drift, overvåkning, gransking (revisjon), vedlikehold og (ikke minst) forbedring av et dokumentert styringssystem for informasjonssikkerhet (ISMS) med utgangspunkt i organisasjonens totale forretnings- eller virksomhetsrisikoer. Standarden spesifiserer krav til implementering av sikringstiltak, tilpasset organisasjonens individuelle krav, eller deler av disse. ISO/IEC 27001:2005 kan benyttes i alle typer av organisasjoner. Hensikten er å etablere gode og formålstjenlige prosesser, rutiner og instrukser, på en standardisert måte, og som sikrer at virksomheten iverksetter og vedlikeholder nødvendig nivå på informasjonssikkerhet. Standarden er med andre ord et kravdokument for etablering og forvaltning at et styringssystem for informasjonssikkerhet (ISMS). Standarden kan underbygge og skape tillit gjennom samhandling og virksomhetsutsetting (outsourcing av IT-drift). 7.1.2 Hvilket nedslagsfelt, bruksområde har standarden? (5.1.2.1.2) ISO/IEC 27001:2005 er utviklet og revidert over flere år med hensikt å kunne benyttes i alle typer av organisasjoner. 21

7.2 Prosessen rundt utvikling og forvaltning av standarden (5.1.2.2) 7.2.1 Har utviklingen av standarden vært en åpen prosess der alle interessenter har kunnet delta på en ikke diskriminerende måte? (5.1.2.2.1) Utvikling og forvaltning (revisjon) følger en omfattende prosess, slik alle internasjonale standarder gjennomgår i International Organization for Standardization (ISO). Norge ved Standard Norge har i mange år hatt en nasjonal referansegruppe som deltar og kommer med innspill og kommentarer i ulike faser av standardiseringsarbeidet. ISO/IEC 27001 har en hatt en forholdsvis lang utvikling og modning i tid. Standarden er nå også under en viktig revisjon. 7.2.2 Standarden er anerkjent og vil bli vedlikeholdt av en ikkekommersiell organisasjon. Det løpende utviklingsarbeidet foregår på basis av en beslutningsprosess som er åpen for alle interesserte parter på en ikke-diskriminerende måte (kan være konsensus drevet, basert på flertallsavgjørelser osv). (5.1.2.2.2) ISO/IEC 27001 var opprinnelig en bristisk standard BS 7799-part 2, men har nå i flere år vært underlagt regimet til ISO ved JTC1/SC 27, dvs. Joint Technical Committee 1- Information technology and Subcommittee 27 - IT Security techniques and Working Group 1 - Information security management systems. SC27 har for øvrig flere arbeidsgrupper. Standarden bør nå være godt kjent både nasjonalt og internasjonalt. Dette ikke minst grunnet at de kan vise til historikk tilbake til slutten av 1990-tallet. 7.2.3 Har beslutningsprosesser i standardiseringsorganisasjonen vært slik at alle parter har hatt likeverdig og nødvendig innflytelse? (5.1.2.2.3) Det er mange nasjoner som deltar i standardiseringsarbeidet, også i SC 27 / WG 1. Prosessen med draft, høringer og godkjenning bidrar til å sikre resultatene. Ulempen er at dette, både er ressurs- og tidskrevende. Se lenke under for oversikt over de ulike kodene som benyttes; http://www.iso.org/iso/standards_development/processes_and_procedures/stage s_description/stages_table.htm 7.2.4 Er standardiseringsorganisasjonen en ikke kommersiell organisasjon? (5.1.2.2.4) Ja, både International Organization for Standardization (ISO) og International Electrotechnical Commission (IEC) er ikke kommersielle organisasjoner. 22

7.2.5 Har beslutningsprosessen vært åpen og transparent slik at alle har fått ta del i prosessen og kan se hvilket beslutningsgrunnlag som ligger bak standarden? (5.1.2.2.5) Alle representanter fra nasjonale standardiseringsorgan og arbeidsgrupper (referansegrupper) som deltar har selvsagt full innsyn i prosessen. I tillegg er det mulig for andre å få innsyn, og de viktige resultatene blir publisert både på hjemmesidene til ISO, og de ulike Subcommittees (SC). Dette fordrer selvsagt interesse og aktive handlinger for å skaffe informasjon. 7.2.6 Er standarden publisert og dokumentasjon er tilgjengelig enten gratis eller til en ubetydelig avgift? Er det tillatt for alle å kopiere, distribuere og bruke standarden gratis eller for en ubetydelig avgift? (5.1.2.2.6) Standarden kan bl.a. kjøpes via Standard Norge. Om prisen er ubetydelig kan selvsagt diskuteres, men prisen for nedlasting er p.t. 980,00 kr eks. mva. Ved abonnent er det rabatt og mengderabatt. 7.2.7 Er intellektuelle rettigheter knyttet til standarden (for eksempel patenter) gjort ugjenkallelig? Er standarden tilgjengelig uten royalties? (5.1.2.2.7) Standardene er fritt tilgjengelige, og man betaler kun for administrative kostnader for produksjon av standardene. Ingen andre bruks- eller lisenskostnader er knyttet til bruk av standarden. 7.2.8 Er det noen som helst forbehold knyttet til standarden som for eksempel i tilknytning til gjenbruk? (5.1.2.2.8) Ja, det forutsettes at hver kopi kjøpes. Kopiene blir merket med kjøper navn. 7.2.9 Hvilket nedslagsfelt har standardiseringsorganisasjonen (nasjonalt, europeisk, amerikansk, etc.)? (5.1.2.2.9) Både ISO 30 og IEC 31 er anerkjente internasjonale standardiseringsorganisasjoner. 7.2.10 Hvilket kontaktpunkt i Norge har standardiseringsorganisasjonen? (5.1.2.2.10) Standard Norge; www.standard.no 7.3 Standardens aksept og utbredelse i markedet (5.1.2.3) 30 International Organization for Standardization 31 The International Electrotechnical Commission 23

7.3.1 Standardens modenhet, er den utprøvd, har den vært gjennom flere revisjoner, er den implementert i reelle løsninger? (5.1.2.3.1) Det er gått mer enn 10 år siden den første gang ble publisert som en Britisk standard (BS). Den er implementert i en rekke løsninger nasjonalt og internasjonalt. Det er sannsynligvis grunnlag for å si at det er den mest kjente og brukte standarden på dette området. Det ble på slutten av 1990-tallet konkludert med at det i Norge var et behov for en sertifiseringsordning for informasjonssikkerhet i organisasjoner. Standarden BS 7799 ble da valgt, og gjort til NS-7799. ISO/IEC 27001 er for tiden under en viktig revisjon. 7.3.2 Er tilstøtende områder, som må benyttes for å ta i bruk standarden, også standardisert? (5.1.2.3.2) Standarden henger tett sammen med ISO/IEC 27002. Det forutsettes at det skal være gjennomført en ROS-analyse før etablering av et ISMS. ISO/IEC 27005 risikostyring kan med dekke behovet for metodeverk. ISO/IEC 27003 Veiledning kan benyttes for å støtte arbeidet med implementeringsprosessen av ISO/IEC 27001 ISMS. I ISO/IEC 27000 finnes oversikt over standardene i serien, med beskrivelse, samt en oversikt over vokabularet som benyttes. ISO/IEC 27004 kan neves som relevant ved oppfølging og forbedring av styringssystemet. Standarden er fortsatt under utvikling. 7.3.3 Adopsjon i markedet - hvor utbredt er standarden i tjenester, løsninger og produkter tilgjengelig i markedet? (5.1.2.3.3) Det kan hevdes og oppsummeres at standarden, og dens forgjengere har hatt påvirkning på regelutforming, men kanskje i større grad ISO/IEC 27002. Standarden har storbetydning ved revisjons- og tilsynsaktiviteter (benckmark). Riksrevisjonen benyttet standarden som revisjonsgrunnlag for sin store revisjon på området for informasjonssikkerhet i 2009. 7.3.4 Benytter de fleste samme versjon av standarden? (5.1.2.3.4) Det vaskelig å konkludere med hvilken versjon som er i bruk, men revisjonene kommer ikke ofte, og det er gått en tid siden siste revisjon, så det må forventes at det er ISO/IEC 27001:2005 som er i bruk. Når det gjelder sertifiseringsordningen skal siste offisielle versjon benyttes, men det finnes en overgangsordning for sertifikatinnehaver ved re-sertifisering. 7.3.5 I hvilken grad er standarden bakover og forover kompatibel? (5.1.2.3.5) Den er vel best forover. Revisjonsarbeidet fra ISO gjør forhåpentligvis standarden stadig bedre og mer oppdatert og funksjonell. 7.3.6 Hvor mange parallelle standarder finnes det på området? Deres styrker og svakheter i forhold til hverandre? Er de 24

dekkende, egner de seg for forskjellige anvendelsesområder? (5.1.2.3.6) Den er ingen som dekker tilsvarende mål og hensikt som ISO/IEC 27001. Tilsvarende med at standarden følges opp av anbefalinger til sikringstiltak i ISO/IEC 27002. 7.4 Tilfredsstiller standarden offentlige virksomheter og deres brukeres behov? (5.1.2.4) 7.4.1 Løser standarden et problem for offentlig sektor? Har offentlig sektor behov for den funksjonaliteten standarden understøtter? (5.1.2.4.1) Hele den offentlige sektor har tatt i bruk informasjonsteknologi, og har dermed et behov for å sikre elektronisk informasjon. Ved å benytte et felles standardisert styringssystem, oppnås en enhetlig tilnærming i hele sektoren. Dette gir store fordeler i forhold til tilgang på kompetanse og i forhold til godkjenning og kontroll. Det gir også store fordeler i forhold til gjenbruk av dokumentasjon. Vi forutsetter at det på ledelsesnivå kan by på utfordringer å jobbe systematisk og målrettet med spørsmål og krav innenfor informasjonssikkerhet. Det er et lederansvar å etablere, vedlikeholde og forbedre ledelsessystem og styringsprosesser i virksomheten. Standarden hjelper til med å stille krav til underliggende virksomheter. Standarden medvirker til fokus på informasjonssikkerhet herunder sikkerhetsmål, sikkerhetsstrategi og sikkerhetsadministrasjon i virksomheten. Et felles rammeverk synliggjør arbeid og prosesser ved informasjonssikkerhet. Det å tilstrebe et systematisk og prosessorientert arbeid på et utfordrende fagfelt i stadig utvikling, (trusler/sårbarheter) bør kunne gi positive effekter. Samtidig vil standarden kunne bidra til å effektivisere internkontroll, internrevisjon og tilsyn med felles og standardisert referanse (benchmark). Relevant regelverk innenfor offentlig forvaltning stiller konkrete krav om å ivareta informasjonssikkerheten på en planlagt, systematisk og dokumentert måte. Ordlyden ligger svært nær det som er hensikten med et styringssystem for informasjonssikkerhet, og som kan ivaretas av et slikt ISMS, men uten å bruke selve ordet styringssystem for informasjonssikkerhet. Det er imidlertid åpenbart at standarden i stor grad dekker flere helt grunnleggende viktige områder hvor det stilles konkrete krav i ulikt regelverk. Krav om sikkerhetsmål, -strategi/policy, risikoanalyse og styring, samt forholdsmessige tiltak for å oppnå akseptabelt sikkerhetsnivå, er noen eksempler. Et særlig hensyn er at ett styringssystem for informasjonssikkerhet i en offentlig virksomhet kan (og bør) brukes i forbindelse med etterlevelsen av alle relevante rettslige krav. De fleste offentlige virksomheter er underlagt flere lover og forskrifter med krav til informasjonssikkerhet. Det må da unngås å lage styringssystemer for hvert regelverk. De må behandles på en planlagt, 25