Embed Size (px)
Citation preview
Helhetlig arbeid med
informasjonssikkerhet
Remi Longva
2019-02-13
Vårt utgangspunkt
• å sikre at informasjon i alle former
• ikke blir kjent for uvedkommende (konfidensialitet)
• ikke blir endret utilsiktet eller av uvedkommende (integritet)
• er tilgjengelig ved behov (tilgjengelighet)
• å sikre informasjonssystemene som behandler
informasjon
• inkludert
• IKT-systemer
• IKT-tjenester
• IKT-komponenter
Informasjonssikkerhet
Informasjonssystem
Prosesser TeknologiMennesker
IKT
Potensielle konsekvenser?
Vår egen jobb
• feil beslutninger
• brudd på rettssikkerhet
• feil i øk. transaksjoner
• ikke korrekt og forsvarlig saksbehandling
• økonomiske tap
• ineffektivt arbeid
• tapt arbeidstid
Personer og virksomheter
• tap av anseelse, integritet og rettigheter
• økonomiske tap
• ødelagte muligheter, arbeidsforhold, livssituasjon og eksistensgrunnlag
• forretningshemmeligheter
• nasjonale sikkerhetsinteresser
• liv og helse
• ikke korrekt og forsvarlig saksbehandling
Info-system
IT-komponent
Oppgaver og funksjoner
Brukere • Kunder • SamfunnBrukere • Kunder • Samfunn
Tredjeparter
Mål og resultater
Sikkerhetsbrudd
Uaktsomhet
Tjenestenivå
Personvern
HMS (liv og helse)
Vår økonomi
Kilder Konsekvenskategorier
Offentlig
Privat
S-lovenSektor-
regelverk
Kilde: tilsiktede handlinger
Konsekvenser for
Nasjonale sikkerhetsinteresser (NSI)Styring og kontroll
eForv §15
Pol + Pvf
Informasjonstype:
sektorspesifikk
Informasjonstype: personopplysninger
Konsekvenser for fysiske personers
rettigheter og friheter
«Styringstiltak»
«Sikkerhetsstiltak»
• Vurdering av risiko
• Håndtering av risiko
«Styringstiltak»
«Sikkerhetsstiltak»
▪ ISO/IEC 27001 (kap. 4 til 10)
▪ ISO/IEC 27002 = 27001 Annex A
Tiltaksbanker
▪ NIST SP 800-53
▪ NSMs grunnprinsipper for IKT-
sikkerhet
▪ Normen kap. 5
Internkontroll i praksis -
informasjonssikkerhet
NSMs grunnprinsipper
for IKT-sikkerhet
▪ Tilgangskontroll
▪ Retningslinje for fysisk sikkerhet
▪ Sikkerhetskopiering og gjenoppretting
▪ Instrukser og rutiner for ansatte
▪ Avtaler med leverandører
▪ Overvåking av nettverk
Sikkerhetstiltak
1
3
2
Systematiske aktiviteter
• Analysere status
• Planlegge etablering/forbedring
• Gjennomføre andre etableringsaktiviteter
Eks:
Internkontrollområder (eksempler)
Helhetlig internkontroll
Felleselementer Omfang av integrering må
tilpasses virksomheten
Sikkerhetsloven
Sikkerhetsbrudd
Uaktsomhet
Tjenestenivå
Personvern
HMS (liv og helse)
Vår økonomi
GNF NSI
Kilder Konsekvenskategorier
Sikkerhetsbrudd
Uaktsomhet
Tjenestenivå
Personvern
HMS (liv og helse)
Vår økonomi
GNF NSI
Kilder Konsekvenskategorier
Obs: konseptuell forståelse. Det er f.eks. krav om å sikre at informasjonssystem fungerer slik de skal i sl § 6-2 a.
Hva skal sikres?
• Skjermingsverdig informasjon (§ 5-1)
• dersom brudd på K-I-T kan skade NSI
• sikkerhetsgradert informasjon (§ 5-3) ➔ dersom brudd på K kan skade NSI
• Skjermingsverdige informasjonssystemer (§ 6-1)
• dersom systemet behandler skjermingsverdig informasjon
• dersom systemet har avgjørende betydning for GNF
• Skjermingsverdige objekter og infrastruktur (§ 7-1)
• dersom det kan skade GNF om de får redusert funksjonalitet eller blir utsatt for skadeverk, ødeleggelse eller rettsstridig overtakelse
Virksomhetskontinuitet
Funksjon
Påkjenning
Skade
Funksjoner er avhengige av informasjonsbehandling og bruk av IKT
Vurdering av
behov
Forsvarlig
sikkerhetsnivå
Styring og kontroll
Minimumskrav til sikkerhetstiltak
Virksomhetsikkerhetsforskriften
Generelle krav og prinsipper
Informasjonsbehandling
S-loven
Systematiske aktiviteter for
styring og kontroll
Sikkerhetstiltak iht. behov
De samme aktivitetene for god
styring og kontroll
Pluss:
• Ivareta særkrav i regelverket
• Sikkerhetstiltak iht. forskrift
• Ytterligere sikkerhetstiltak for
å oppnå forsvarlig
sikkerhetsnivå
Alt henger sammen med alt
Difis veiledning
om styring og kontroll
Hvordan arbeide med informasjonssikkerhet?
• En god toppleder styrer gjennom et
system
• Difis veiledning for styring og
kontroll med informasjonssikkerhet
Hvorfor bruke Difis veiledning?
• Formålseffektivt
• Kostnadseffektivt
• Systematisk tilnærming
Internkontroll i praksis - informasjonssikkerhet
sl § 4-1
vsf § 3
sl § 4-2
vsf § 12 sl § 4-3
vsf § 13
vsf § 14
vsf § 15
vsf § 22
vsf § 49
sl § 4-4
vsf § 11
sl § 4-5
sl § 6-4
vsf § 8
vsf § 4
vsf § 6
vsf § 9.3
vsf § 10
vsf § 7
vsf § 6.3
vsf § 9.1
Ting å se på
• Ledelsens styring og oppfølging
• Særskilt oppmerksomhet om sikkerhetslovens område i virksomhetsledelsens gjennomgang
• Risikovurdering
• Grundigere kartlegging av arbeidsoppgaver, informasjonstyper og IKT-systemer hvor sikkerhetsloven er relevant
• Valg av metoder eller støttemetoder for vurdering av risiko
• Risikohåndtering
• Definere et eget sett med sikkerhetstiltak (sikkerhetsnivå) for enkelte oppgaver og IKT-systemer
Ting å se på
• Overvåking og hendelseshåndtering
• Evne til å oppdage sikkerhetstruende virksomhet og sikkerhetsbrudd tilknyttet skjermingsverdige verdier
• Hurtig reaksjon og iverksetting av beredskapstiltak
• Varsling til sikkerhetsmyndigheten o.a.
• Måling, evaluering og revisjon
• Påse at evaluering gjennomføres iht. kravene
• Legge til rette for tilsyn og sørge for oppfølging av tilsyn
Ting å se på
• Kompetanse- og kulturutvikling
• Enkelte roller vil ha behov for spesiell kompetanse
• Kommunikasjon
• Dokumentere etterlevelse av sikkerhetsloven m/forskrifter
• Rutiner for ekstern kommunikasjon må ivareta regelverkets krav til bl.a. rapportering av avhengigheter og hendelser
Difis veileder er oppdatert
• Ny versjon 1.4 lansert 11. februar
• Alle henvisninger til sikkerhetsloven oppdatert
• https://www.difi.no/nyhet/2019/02/ny-versjon-av-
veileder-med-tilpasninger-til-ny-sikkerhetslov
Lykke til
internkontroll-infosikkerhet.difi.no
infosikkerhet.difi.no
