IT-sikkerhet ved outsourcing 27. mars 2007 Tor Erik Masserud IT-Sikkerhetssjef
Risiko Før: Nå: Av forvaltningskapitalen er: 0,5% kontanter 99,5% representert som tall i datamaskinene 2
Sammenheng sikkerhet, brukervennlighet og kostnader God brukervennlighet Fokus for leverandør Høy sikkerhet Lave kostnader 3
Hvor sikre skal IT-systemene være? Kostnader lim f(x) x-> 100% = Sikkerhet 100% 4
Risikoområder Avtale: kun det som er avtalt blir levert; hvordan sikre at alle forhold er tilstrekkelig beskrevet? Kompetanse: utsettende organisasjon avgir medarbeidere med kompetansen; hvordan sikre tilstrekkelig fagmiljø til å kunne følge opp leverandøren? Ansvar: dersom leverandøren ikke leverer iht. avtale på sikkerhetskritiske områder er det likevel konsesjonshaver som er ansvarlig. 5
Formell ramme Avtaleverk EDB og DnB NOR: Samordnet Driftsavtale mellom EDB og DnB NOR 6
Samordnet driftsavtale mellom DnB NOR BANK ASA Og EDB Business Partner ASA Vedlegg 11 Sikkerhet 7
Vedlegg 11, IT-sikkerhet 1. Bakgrunn 2. Forutsetninger 3. IT-sikkerhets rammeverk 4. Roller og ansvar 5. Prinsipper for samhandling 6. Oppfølging og inspeksjoner 7. Katastrofeplaner og beredskap 8. Sikkerhetsrutiner og retningslinjer 9. Bruk av underleverandører, innleide ressurser og vikarer 10.Risiko 8
Bakgrunn/ Formål med IT-sikkerhet Gjennom lovgivning og forskrifter har myndighetene formulert særlig strenge regler for bank-, forsikrings- og finansieringsvirksomhet. DnB NOR legger stor vekt på at reglene etterleves på en måte som bidrar til å styrke den tillit konsernet må ha i samfunnet. DnB NOR-konsernets forretningsdrift og lønnsomhet er direkte avhengig av kvaliteten på informasjon og systemer. IT-sikkerhet er derfor en viktig del av den totale risikostyring i konsernet. IT-sikkerhet skal beskytte informasjon i systemene og systemene selv. Den skal sikre at korrekt informasjon er tilgjengelig for autoriserte brukere i konsernet og hos våre kunder. Den skal samtidig beskytte mot uønskede endringer, sletting, informasjonslekkasje, tap, misbruk, sabotasje og svindel. Leverandøren anses av DnB NOR som en strategisk samarbeidspartner med særlig tillit og skal ha som hovedfunksjon å ivareta i sine leveranser. 9
SLA-avtaler/tjenestebeskrivelser for IT-sikkerhet Det er etablert SLA innenfor flere områder. Krav i SLA mellom Kunde og Leverandør kan ikke være lavere enn i rammeverket til Kunden. Dersom kravene går utover rammeverket skal partene avtale økonomiske tiltak. De til enhver tid vedtatte SLA er beskrevet sammen med rutine- SLAer i bilag 9. Dersom en av partene ønsker å presisere krav til belyste sikkerhetsforhold, skal det opprettes SLA på nye områder av sikkerhet eller beslektet tema. I forbindelse med informasjon, varsling, behandling, logging og rapportering av IT-sikkerhets hendelser generelt henvises det til SLA for IRT som omhandler retningslinjer. 10
4. Roller og ansvar Definerer roller og ansvar til EDB og DnB NOR 11
Prinsipper for samhandling Månedsrapport og månedlig koordinatormøte ½-årsrapport og ½-årsmøte Sikkerhetsrapporter iht. SLA 12
½-årlig sikkerhetsmøte - formål I den løpende driftsoppfølgingen skal IT-sikkerhet være en integrert del i leverandør/kunde oppfølgingen I møtet skal en ha sikkerhetsfokus, men samtidig beholde ansvar og arbeidsdeling fra den løpende oppfølgingen. Halvårlig sikkerhetsmøte er til for alle deltagende parters behov på sikkerhetsområdet. Hensikten er å: Skape et samarbeidsforum på IT-sikkerhet for å fokusere DnB NORs behov Vurdere de lange linjene i sikkerhet og risikoutvikling ift. DnB NOR og EDB Vurdere om ansvar, arbeidsdeling og prosesser mellom partene fungerer Vurdere EDB IT Drifts og (relevant del av) DnB NORs planer for IT sikkerhet for de neste 6 måneder Foreta vurderingen av EDBs sikkerhet iht. avtalt målemetode, Gjennomgå sikkerhetshendelser og status på ITsikkerhetsarbeidet iht. rapporter og SLA som blir utarbeidet. 13
½-årlig sikkerhetsmøte agenda Styring og kontroll av daglig drift. Gjennomgå sikkerhetshendelser i perioden inkl. avtalte evalueringsrapporter og forbedringstiltak Gjennomgå sikkerhetsspørsmål Behandle ønsker om / muligheter for videreutvikling av tjenester og servicenivå. Status sikkerhets-sla er Ansvar og oppgaver i forhold til Vedlegg 11, herunder vurdering av EDBs egenkontroll Vurdering / forbedring av avtalt målemetode for IT- Sikkerhet mellom partene 14
½-årlig sikkerhetsmøte - saksdokumenter Siste referat og andre aktuelle referater (månedsmøter) Sikkerhetsrapporter Andre relevante rapporter Oversikt over sikkerhetsprosjekter og aktiviteter i hver enhet relevant for de andre partene SLA 15
Oversikt SLA er 1. Forebyggende og operativt arbeid mot datavirus 2. Brannvegg 3. Fysisk sikring av datainstallasjoner 4. Administrasjon av Ikke personlige brukeridenter 5. Incident Response Team (IRT) 6. Administrasjon og drift forbundet med Kryptering 7. Passordadministrasjon 8. Rutine 810 Security Administration Manager Systemforvaltning 9. Rutine 810 Security Administration Manager Vedlikeholdsansvar 10.Sikkerhetspatching 11.Administrasjon av Sikkerhetssystemer 16
Eksempel: Brannvegg 1. Ansvarlig IT-Sikkerhet, Kunden IRT-ansvarlig, xxx xxx Ansvarlig IT Operasjon, Kunden Tjenesteansvarlig Fjernnett/LAN, xxx xxx Ansvarlig Leverandør Brannveggansvarlig, xxx xxx 17
Målemetode - hensikt Objektivt måling av viktige sikkerhetsområder Manglende oppfyllelse fører til økonomiske krav Disse midlene skal brukes til å finansiere ITsikkerhetsrelaterte prosjektoppgaver 18
Områder som dekkes av målemetoden SLA Konsernkrav IT-Sikkerhet (KKIS) Avtalens Vedlegg 11 IT-Sikkerhet ISF survey Fokusområder 19
Målemetode grafisk fremstiling Overordnet faktisk oppfyllelse Avtalt minimum oppfyllelse Oppfyllelse SLA 11 10,16 9,09 Målt oppfyllelse Målt Minimum Avtalt ISF-survey 0 Avvik KKIS Eksempel Avtalens Bilag 8 20
? 21
Takk for oppkmerksomheten 22