En veileder i ledelsessystem for informasjonssikkerhet i UH-sektoren

Basert på ISO/IEC 27001:2013

Versjon 2.2

Forord

Universiteter og høyskoler er pålagt å innføre et ledelsessystem for informasjonssikkerhet. Dette følger både av lovgivningen som gjelder i universitets- og høyskolesektoren og av nye krav som Kunnskapsdepartementet stiller til institusjonene i tildelingsbrevet. Ledelsessystemet skal være en del av institusjonenes generelle system for kvalitetsstyring og internkontroll.

Denne veilederen inneholder forslag til ledelsessystem for informasjonssikkerhet i universiteter og høyskoler. Ledelsessystemet er utarbeidet av Sekretariatet for informasjonssikkerhet i universitets- og høyskolesektoren i samarbeid med Senter for rettsinformatikk, Universitetet i Oslo. Forslaget baserer seg på anerkjente standarder for statsforvaltningen (ISO/IEC 27001/02: 2013) og ivaretar de kravene som lovverket stiller til slike ledelsessystemer.[footnoteRef:1] [1: I vedlegg 1 gis en oversikt over hvilke obligatoriske og anbefalte dokumenter som inngår i ISO/IEC 27001: 2013. ]

Formål og målgruppe

Formålet med veilederen er å bidra til at universiteter og høyskoler forvalter sine informasjonsverdier på en sikker og profesjonell måte. Veilederen retter seg mot ledere og ansatte med ansvar for informasjonssikkerhet.

Bakgrunn

Utformingen av forslaget til ledelsessystem tar utgangspunkt i en kartlegging av erfaringer med informasjonssikkerhetsarbeid i universiteter og høyskoler. Kartleggingen ble gjennomført høsten 2013 og våren 2014[footnoteRef:2]. Forslaget er derfor tilpasset de særegne forholdene som gjør seg gjeldende i sektoren. [2: https://www.uninett.no/webfm_send/893 ]

Lokaltilpasning

Selv om ledelsessystemet er spesielt tilpasset universiteter og høyskoler, er det viktig at institusjoner som baserer sitt arbeid med informasjonssikkerhet på forslaget, tilpasser ledelsessystemet til lokale forhold. Uten lokaltilpasning er det sannsynlig at institusjonene ikke vil lykkes med å gjøre ledelsessystemet til sitt eget. Dermed kan det også bli vanskelig å innføre og drifte ledelsessystemet.

Oppbygging

Forslaget til ledelsessystem er inndelt i følgende hoveddeler: en styrende del, en gjennomførende del og en kontrollerende del. Hoveddelene omhandler de tre kjerneaktivitetene som et systematisk og planlagt informasjonssikkerhetsarbeid består av. Hver hoveddel består av (a) kommentarer til de dokumenter og oppgaver som inngår i et ledelsessystem for informasjonssikkerhet og (b) forslag til utforming av de viktigste dokumentene og arbeidsredskapene som inngår i ledelsessystemet. Til hvert av forslagene er det laget maler som institusjonene kan anvende i arbeidet med etableringen av sine egne ledelsessystemer. Lenker til malene finnes fortløpende i teksten (nederst under hver deloverskrift).

Videreutvikling

Videreutvikling av ledelsessystem for informasjonssikkerhet vil være en prioritert oppgave for Sekretariatet for informasjonssikkerhet i universitets- og høyskolesektoren. Veilederen vil bli oppdatert ved relevante endringer i lov- og regelverk.

Kurs og bistand

Sekretariatet for informasjonssikkerhet vil tilby institusjonene bistand til innføring og revisjon av ledelsessystemet. Det vil også bli utarbeidet og gjennomført kurs i innføring og drift av ledelsessystemet. Kurset vil være spesielt tilpasset universiteter og høyskoler.

Ta gjerne kontakt med Rolf Sture Normann (rolfnor@uninett.no) eller Tommy Tranvik (tommy.tranvik@jus.uio.no) dersom du har spørsmål vedrørende prosjektet eller ledelsessystemet.

InnholdForord2Formål og målgruppe2Bakgrunn2Lokaltilpasning2Oppbygging3Videreutvikling3Kurs og bistand3Kommentarer til innledning6Del 1 – styrende dokumenter8Kommentarer til avgrensning av ledelsessystemet9Kommentarer til sikkerhetsmål og kriterier for akseptabel risiko10Kommentarer til sikkerhetsstrategi11Kommentarer til sikkerhetsorganisering12Del 2 – gjennomførende dokumenter14Kommentarer til kartlegging av informasjonsverdier15Kommentarer til årsplan for CSO/CISO eller informasjonssikkerhetsrådgiver16Innebygd informasjonssikkerhet ved utvikling og anskaffelser av IT-løsninger17Kommentarer til risikovurdering18Kommentarer til risikohåndteringsplan20Håndtering av risiko20Kommentarer til etablering av sikringstiltak22Del 3 – kontrollerende dokumenter24Kommentarer til avviksmeldinger og avvikshåndtering25Kommentarer til sikkerhetsrevisjon26Revisjonsrapport27Kommentarer til ledelsens gjennomgang (LG)28Referat29Vedlegg 130Oversikt over dokumenter i ISO/IEC27001:201330Egne notater:34Lisensiering35

Ledelsessystem for informasjonssikkerhet ved

[INSTITUSJON]

Basert på ISO/IEC 270001/02: 2013

Kommentarer til innledning

Det kan være hensiktsmessig at hver institusjon lager en kort innledning til sitt ledelsessystem for informasjonssikkerhet. Innledningen bør i første rekke henvende seg til ledere og ansatte som er lite kjent med arbeidet med informasjonssikkerhet, og den bør inneholde to hovedpunkter:

1. Definisjon av hva arbeidet informasjonssikkerhet handler om (risikostyring og sikring av informasjonens konfidensialitet, integritet og tilgjengelighet).

2. Begrunnelse for og forklaring av hvorfor arbeidet med informasjonssikkerhet er viktig og nødvendig (informasjonsforvaltning, lovpålagte krav og forventninger fra Kunnskapsdepartementet).

Se eksempel på innledning:

https://www.uninett.no/sites/default/files/imce/mal_styrende_innledning.doc

Oversikt over ledelsessystem med kommentarer, forslag og link til maler

Del 1 – styrende dokumenter

Ledelsessystemets første hoveddel inneholder styrende dokumenter. De styrende dokumentene definerer rammene for institusjonens arbeid med informasjonssikkerhet. Styrende dokumenter omfatter beskrivelser av følgende forhold:

· Avgrensning av ledelsessystemet («scope»)

· Sikkerhetsmål og kriterier for akseptabel risiko

· Sikkerhetsstrategi[footnoteRef:3] [3: I mange ledelsessystemer benyttes begrepet «informasjonssikkerhetspolicy». Dette begrepet omfatter vanligvis sikkerhetsmål, akseptkriterier og sikkerhetsstrategi.]

· Sikkerhetsorganisasjon

Kommentarer til avgrensning av ledelsessystemet

Avgrensning av ledelsessystemet dreier seg om å beskrive hvilke deler av organisasjonen, tekniske ressurser og informasjonsverdier som inngår i ledelsessystemet. Hensikten med avgrensningen er ikke bare å definere hva og hvem som omfattes av arbeidet med informasjonssikkerhet. Avgrensningen kan også tjene en pedagogisk hensikt, det vil si å vise at informasjonssikkerhet er et bredt arbeidsfelt som krever et visst minimum av ressurser og fokus.

I lenkene nedenfor skisseres to forslag til avgrensning av ledelsessystemet – det første mer omfattende enn det andre. Institusjonene må selv velge hvilket forslag de ønsker å basere seg på. Mindre institusjoner vil trolig kunne basere seg på det enkleste forslaget til avgrensning.

Uavhengig av hvilket forslag som velges, er det viktig å være oppmerksom på at alle institusjonene skal ha konfigurasjonskart for datanettverk (og IT-ressurser i nettverket) som behandler personopplysninger. Oversikter over de IT-ressursene som inngår i ledelsessystemet bør derfor ivaretas gjennom et konfigurasjonskart (som viser IT-systemer og relasjonene mellom dem) supplert med en systemoversikt (som viser hvilke IT-systemer som driftes av institusjonen, databehandlere eller andre eksterne aktører).

Konfigurasjonskartet skal gi en overordnet informasjon om sikringstiltak i datanettverket, for eksempel soneinndelinger, plassering av brannmurer, VLAN, DMZ, osv.

Institusjonene bør også lage en oversikt over informasjonsverdier som de er ansvarlige for. Oversikten bør inneholde en klassifisering av informasjonen som behandles i de ulike IT-systemene (se også avsnittet «Kartlegging av informasjonsverdier»).

Se forslag til avgrensning av ledelsessystem, forslag 1 og 2:

https://www.uninett.no/sites/default/files/imce/mal_styrende_avgrensning.doc

https://www.uninett.no/sites/default/files/imce/mal_styrende_avgrensning_kort.doc

Kommentarer til sikkerhetsmål og kriterier for akseptabel risiko

Sikkerhetsmål og kriterier for akseptabel risiko skal peke ut hovedretningen for arbeidet med informasjonssikkerhet. Sikkerhetsmålene skal beskrive hva ledelsen ønsker å oppnå med informasjonssikkerhetsarbeidet, mens kriterier for akseptabel risiko skal gi en pekepinn på hvor godt ledelsen ønsker å sikre ulike typer informasjonsverdier mot brudd på konfidensialiteten, integriteten og tilgjengeligheten.

Når det gjelder elektronisk behandling av personopplysninger og personopplysninger som inngår i manuelle personregistre, er institusjonene pålagt å sørge for tilfredsstillende informasjonssikkerhet.[footnoteRef:4] Kravet om tilfredsstillende informasjonssikkerhet gjelder også for andre typer informasjonsverdier, for eksempel økonomi- og regnskapsdata. Både sikkerhetsmål og kriterier for akseptabel risiko må derfor utformes slik at tilfredsstillende informasjonssikkerhet oppnås. [4: Jf. spesielt artikkel 5 og 32 i personvernforordningen.]

I tillegg til at sikkerhetsmålene skal tilkjennegi formålet med informasjonssikkerhetsarbeidet, kan de også fungere som pedagogiske hjelpemidler: sikkerhetsmålene forteller resten av institusjonen at arbeidet skal prioriteres og hvorfor det er viktig.

Kriterier for akseptabel risiko som skal gjelde for hele institusjonen, vil være overordnede og uttrykke institusjonens hovedkrav til sikring av informasjonsverdier. Det kan derfor være behov for at ledelsen ved ulike enheter (fakulteter, forsknings- eller undervisningsavdelinger, administrative enheter, osv.) konkretiserer hva akseptkriterier innebærer «her hos oss». Konkretiseringene må være i tråd med de hovedkravene som institusjonens overordnede akseptkriterier innebærer.

Se forslag til sikkerhetsmål:

https://www.uninett.no/sites/default/files/imce/mal_styrende_sikkerhetsmal.doc

Se forslag til akseptkriterier:

https://www.uninett.no/sites/default/files/imce/mal_styrende_akseptkriterier.doc

Kommentarer til sikkerhetsstrategi

Sikkerhetsstrategien skal inneholde en kort oversikt over de grunnleggende prioriteringer som institusjonens ledelse tar for å følge opp og realisere sikkerhetsmålene. Strategien skal altså skissere hva ledelsen mener er viktigst å gjøre for at mål og akseptkriterier skal få praktisk betydning for den daglige håndteringen av institusjonens informasjonsverdier.

Det er viktig å være oppmerksom at sikkerhetsstrategien – og oppfølgingen av denne – vil innebære at ledelsen forplikter seg til å bruke ressurser på arbeidet med informasjonssikkerhet. De hovedprioriteringene som strategien uttrykker må derfor avspeile seg i det øvrige plan- og strategiarbeidet, og i interne budsjettprosesser.

Forslaget til sikkerhetsstrategi som presenteres i lenken nedenfor inneholder enkelte formuleringer når det gjelder bruk av skytjenester eller andre typer databehandlere. Det kan tenkes at institusjonene selv ønsker å håndtere disse utfordringene på andre måter enn det som er skissert i eksempeldokumentet som du finner her.

Se forslag til sikkerhetsstrategi:

https://www.uninett.no/sites/default/files/imce/mal_styrende_sikkerhetsstrategi.doc

Kommentarer til sikkerhetsorganisering

Sikkerhetsorganisasjonen fordeler myndighet, ansvar og oppgaver mellom aktører som skal jobbe med informasjonssikkerheten ved institusjonen – fra toppledelsen og ut til sluttbrukerne (ansatte, studenter, gjester, osv.).

Det er viktig at beskrivelsen av sikkerhetsorganisasjonen er tydelig. Dette betyr at beskrivelsen skal gi klare svar på tre hovedspørsmål:

1. Hvem inngår i sikkerhetsorganisasjonen?

2. Hva har hver enkelt aktør som inngår i sikkerhetsorganisasjonen ansvaret for?

3. Hvilke konkrete oppgaver skal hver enkelt aktør utføre?

Uten at svarene på disse spørsmålene er tydelige og bekjentgjort, er det lite sannsynlig at sikkerhetsorganisasjonen vil kunne utføre det arbeidet den er satt til å gjøre.

Enkelte institusjoner kan velge å opprette et informasjonssikkerhetsforum som skal koordinere arbeidet med informasjonssikkerhet. Oppgavene til et slikt forum kan legges til et allerede eksisterende organ ved institusjonen. Det er altså ikke nødvendig å opprette et eget organ for å ivareta informasjonssikkerhetsforumets oppgaver. Institusjoner som velger å oppnevne et eget informasjonssikkerhetsforum kan ta utgangspunkt beskrivelsen av forumets myndighet, ansvar og oppgaver som beskrives i eksemplet til sikkerhetsorganisering.

Mange universiteter og høgskoler har opprettet et hendelseshåndteringsteam (IRT). Hovedoppgavene til IRT er å avdekke, håndtere og forebygge tekniske sikkerhetsbrudd. Disse oppgavene er beskrevet i vårt forslag til sikkerhetsorganisering og IRT jobber på eget mandat fra toppledelsen.

Avdelinger eller enheter kan ha tverrgående ansvar for informasjonssikkerheten på et bestemt område. Med dette menes for eksempel at avdelinger i sentraladministrasjonen kan være eiere av IT-systemer eller tjenester som også anvendes i andre avdelinger eller enheter ved institusjonen (for eksempel administrative fellessystemer). Avdelinger eller enheter med et slikt ansvar har som oppgave å vurdere behovet for sikringstiltak som omfatter alle som anvender «deres» systemer eller tjenester.

IT-avdelinger (eller tilsvarende) og Eiendomsavdelinger (eller tilsvarende) har et særlig tverrgående ansvar for informasjonssikkerheten når det gjelder IT-infrastruktur og fysisk infrastruktur. Myndighet, ansvar og oppgaver til lederne i disse avdelingene vil derfor bli behandlet særskilt i vårt forslag til sikkerhetsorganisering.

Legg merke til at vårt forslag til sikkerhetsorganisering må tilpasses institusjoner hvor «særlige organisatoriske forhold» gjør seg gjeldende. Slike tilpasninger kan for eksempel være aktuelt i institusjoner som baserer seg på en styringsmodell med enhetlig ledelse, i institusjoner som har Computer Emergency Respons Team (CERT) eller i institusjoner som både har Chief Security Officer (CSO) og Cheif Information Security Officer (CISO). Sekretariatet for informasjonssikkerhet i UH-sektoren kan bistå i arbeidet med lokaltilpasning av sikkerhetsorganiseringen.

Se forslag til sikkerhetsorganisering:

https://www.uninett.no/sites/default/files/imce/mal_styrende_sikkerhetsorganisasjon.doc

Del 2 – gjennomførende dokumenter

Ledelsessystemets andre hoveddel inneholder gjennomførende dokumenter. De gjennomførende dokumentene beskriver retningslinjer for utførelsen av konkrete arbeidsoppgaver og rutiner for iverksetting av sikringstiltak.

Gjennomførende dokumenter omfatter:

· Kartlegging av informasjonsverdier

· Årsplan for CSO/CISO eller informasjonssikkerhetsrådgiver

· Risikovurderinger

· Risikohåndteringsplan

· Etablering av sikringstiltak («Statement of Applicability, SOA»)

Kommentarer til kartlegging av informasjonsverdier

Kartlegging av informasjonsverdier tilhører de faste oppgavene til CSO/CISO eller informasjonssikkerhetsrådgiver. Dette er en viktig oppgave fordi den danner grunnlaget for alt annet sikkerhetsarbeid. Institusjonen må derfor ha en viss oversikt over hvilke informasjon den forvalter, hvor kritisk eller sensitiv ulike typer informasjon er, hvor informasjonen befinner seg og hvem som har ansvaret for den.

Institusjoner med detaljerte arkivplaner kan bruke disse som utgangspunkt for arbeidet med kartlegging av informasjonsverdier. Systemoversikter som viser hvilke hovedtyper informasjon de ulike IT-systemene eller tjenestene behandler, vil også være et nyttig utgangspunkt.

Kartlegging av informasjonsverdier kan være en utfordrende oppgave som kan utføres på forskjellig detaljeringsnivå. I lenken nedenfor følger et forslag til kartleggingsskjema som er relativt lite detaljert, men som likevel gir en hensiktsmessig oversikt. Skjemaet er system-/tjenestebasert, det vil si at det legger opp til kartlegging av informasjon i de ulike IT-systemene/tjenestene som institusjonen anvender. Ved å bruke skjemaet i kartleggingsarbeidet får institusjonen svar på følgende spørsmål:

· Hvilke IT-systemer/tjenester anvender institusjonen?

· Hvem eier de ulike systemene/tjenestene?

· Hvilke typer informasjonsverdier behandles i systemene/tjenestene?

· Hvem har driftsansvaret for systemene/tjenestene?

· Hvilke rettslige reguleringer (om noen) gjelder for de informasjonsverdiene som behandles i systemene/tjenestene?

· Hvordan skal informasjonsverdiene klassifiseres i henhold til institusjonens kriterier for akseptabel risiko?

Se eksempel på kartleggingsskjema:

https://www.uninett.no/sites/default/files/imce/mal_gjennomforende_kartlegging_av_informasjonsverdier.doc

Kommentarer til årsplan for CSO/CISO eller informasjonssikkerhetsrådgiver

Årsplanen er et verktøy for den som til daglig utøver ledelsens ansvar for informasjonssikkerhet ved institusjonen. Planen inneholder årsmålsetninger for arbeidet med informasjonssikkerhet og konkrete arbeidsoppgaver for det kommende året. Både årsmålsetningene og arbeidsoppgavene utgår fra og skal understøtte institusjonens overordnede sikkerhetsmål og sikkerhetsstrategi.

I tillegg til institusjonens overordnede sikkerhetsmål og strategi, vil svakheter eller mangler ved ledelsessystemet avdekket under «Ledelsens gjennomgang» kunne påvirke innholdet i årsplanen.

Forslaget til årsplan inneholder to momenter. For det første en samlet oversikt over årsmålsetningene for informasjonssikkerhetsarbeidet og hvordan de skal oppnås. For det andre særskilte planer for gjennomføring av de faste oppgavene som CSO/CISO eller informasjonssikkerhetsrådgiver er ansvarlig for: risikovurderinger, opplærings- og informasjonstiltak, sikkerhetsrevisjoner og ledelsens gjennomgang.

Se forslag til årsplan for CSO/CISO/Informasjonssikkerhetsrådgiver:

https://www.uninett.no/sites/default/files/imce/mal_gjennomforende_aarsplan.doc

I tillegg til utarbeidelse og gjennomføring av årsplan for sikkerhetsarbeidet, bør CSO/CISO/Informasjonssikkerhetsrådgiver vedlikeholde en overordnet oversikt over hvilke sikringstiltak som er etablert hos institusjonen. Oversikten bør basere seg på anbefalte sikringstiltak i ISO/IEC 27001: 2013, vedlegg A.

Oversikten over sikringstiltak hos institusjonen vedlikeholdes ved at systemeiere/tjenesteeier rapporterer etablerte sikringstiltak for sine systemer/tjenester til CSO/CISO/informasjonssikkerhetsrådgiver. Rapporteringen kan skje ved at systemeiere/tjenesteeier oversender plan for risikohåndtering (tiltaksplan) til CSO/CISO/informasjonssikkerhetsrådgiver etter at risikovurderinger av systemer/tjenester er gjennomført.

Innebygd informasjonssikkerhet ved utvikling og anskaffelser av IT-løsninger

I personvernlovgivingen stilles det krav om innebygd personvern. Dette inkluderer også krav om at tiltak for informasjonssikkerheten skal være innebygd i IT-løsningene. Kravet om innebygd informasjonssikkerhet gjelder både ved egenutvikling av IT-løsninger og ved anskaffelser av IT-løsninger. [INSTITUSJONEN] må derfor stille krav til at informasjonssikkerheten er ivaretatt ved utvikling eller anskaffelser.

Krav om innebygd informasjonssikkerhet kan for eksempel omfatte følgende:

· Kryptering ved lagring eller dataoverføring.

· Rollebasert tilgangsstyring.

· Sikkerhetskopiering.

· «Min side» funksjonalitet.

· Tidsbegrenset lagring.

· Logging av tilganger eller forsøk på tilganger.

· Pseudonymisering.

[INSTITUSJONEN] bør rådføre seg med sin personvernrådgiver ved egenutvikling eller anskaffelser av IT-løsninger for å sikre innebygd informasjonssikkerhet.

·

Kommentarer til risikovurdering

Risikovurderinger er en viktig del av informasjonssikkerhetsarbeidet. Ved at institusjonen har kartlagt sine informasjonsverdier (se ovenfor) har den skaffet seg en oversikt over hvilke IT-systemer/tjenester eller arbeidsprosesser som skal risikovurderes, hvilke informasjonsverdier de behandler, hvem som har ansvaret for å gjennomføre vurderingene (system- eller tjenesteeier) og hvilke krav som stilles til sikkerheten i systemene/tjenestene eller arbeidsprosessene.

Risikovurderinger handler om to ting:

1. Identifisere uønskede hendelser, det vil si hendelser som kan føre til brudd på informasjonsverdienes konfidensialitet, integritet og tilgjengelighet.

2. Vurdere risikoen – sannsynlighet og konsekvens – for hver uønsket hendelse som er identifisert.

Dersom risikoen (sannsynlighet og konsekvens) for én eller flere uønskede hendelser er høyere enn det institusjonen har definert som akseptabelt, må risikoen håndteres, for eksempel ved at forebyggende tiltak (sikringstiltak) iverksettes. Risikohåndtering er en egen prosess som behandles senere i veilederen.

Selve risikovurderingsprosessen består av tre hoveddeler. Dette er:

1. Forberedelse

· Bestemme hvilket område som skal risikovurderes (en IT-løsning, en arbeidsprosess, bygningsmessige forhold, osv.).

· Bestemme hvem og hvor mange som skal delta i risikovurderingen (daglige brukere, superbrukere, lokalt eller sentralt IT-ansatte, vitenskapelig ansatte, studenter, osv.),

· Informere deltakerne om hva som skal risikovurderes og hvordan de skal forberede seg til risikovurderingen.

2. Gjennomføring

· Identifisere og diskutere uønskede hendelser – hva kan føre til brudd på informasjonsverdienes konfidensialitet, integritet og tilgjengelighet?

· Vurdere risikoen for hver enkelt uønsket hendelse – hva er sannsynligheten for og konsekvensen av at de uønskede hendelsene inntreffer?

3. Etterarbeid

· Lage en risikovurderingsrapport som viser (a) hvilke uønskede hendelser som ble identifisert, (b) risikoen for hver enkelt uønsket hendelse og (c) fremheve alle uønskede hendelser med uakseptabel høy risiko.

· Forslag til hvordan uønskede hendelser med uakseptabel høy risiko bør håndteres.

· Sende rapporten til lederen ved det fakultetet, avdelingen eller enheten hvor risikovurderingen ble foretatt og som er ansvarlig for at informasjonssikkerheten er tilfredsstillende.

Nedenfor følger et forslag til gjennomføring av risikovurderinger. Forslaget omfatter følgende momenter:

· Forberedende informasjon til de som bes om å delta i risikovurderinger.

· Mal for gjennomføring av risikovurderinger (Excel).

· Risikovurderingsrapport som gir en oversikt over (a) hvilke uønskede hendelser som ble identifisert og (b) risikofaktoren for hver uønsket hendelse (verdien for sannsynlighet multiplisert med verdien for konsekvens).

Forslag til forberedende informasjon:

https://www.uninett.no/sites/default/files/imce/mal_gjennomforende_forberedende_informasjon.doc

Forslag til mal (Excel) for gjennomføring av risikovurdering:

https://www.uninett.no/sites/default/files/imce/mal_for_risikovurderinger_v7.xlsx

Forslag til risikovurderingsrapport:

https://www.uninett.no/sites/default/files/imce/generalisert.samlerapport.office365.docx

Kommentarer til risikohåndteringsplan

Etter at det er gjennomført risikovurderinger, er det avgjørende at risikoen for uønskede hendelser håndteres. Det innebærer for eksempel at man iverksetter tiltak for hver uønsket hendelse med en uakseptabel høy risikofaktor (verdien for sannsynlighet multiplisert med verdien for konsekvens). I denne fasen velger man altså hvilke tiltak som skal iverksette for å redusere sannsynligheten for eller konsekvensen av uønskede hendelser.

Effekten av iverksatte sikringstiltak – i hvilken grad de har bidratt til å redusere risikoen for uønskede hendelser til et tilfredsstillende nivå – bør gjennomgås ved neste risikovurdering av det samme IT-systemet eller tjenesten.

Selv om iverksetting av sikringstiltak er den vanligste måten å håndtere uønskede hendelser med uakseptabel høy risikofaktor på, finnes det også andre måter å håndtere risiko på. Tabellen nedenfor gir en oversikt over de ulike måtene som risiko kan håndteres på.

Håndtering av risiko

Teknikk

Beskrivelse

Aksepter

Her godtar man den aktuelle risikoen. Å akseptere en risiko innebærer at man er klar over at den uønskede hendelsen kan skje, men man vurderer sannsynligheten og konsekvensen som så liten at sikringstiltak ikke iverksettes.

Unngå

Her forsøker man å unngå muligheten for at den uønskede hendelsen kan skje. Eksempler på dette er:

1. Stenge tjenesten, avslutte bruken.

2. Ikke tillatt bruk av tjenesten.

Redusere/kontrollere

Her iverksetter man tiltak som reduserer sannsynligheten for at uønskede hendelser skal skje eller skadevirkningen (konsekvensen) av hendelsen dersom den likevel skulle inntreffe. Dette er den vanligste måten å håndtere risiko.

Overføre

Her «kjøper man seg fri» fra risikoen. Et eksempel er å tegne forsikring (redusere konsekvensen av en uønsket hendelse). Man kan også se på outsourcing/fjerndrift som en måte å overføre risiko på.

Dersom risikovurderingen avdekker uønskede hendelser med uakseptabel høy risikofaktor, bør det settes opp en liten plan for hvordan risikoen skal håndteres.

Se forslag til risikohåndteringsplan:

https://www.uninett.no/sites/default/files/imce/mal_gjennomforende_risikohandteringsplan_0.doc

Kommentarer til etablering av sikringstiltak

Ovenfor har vi sett at en risikohåndteringsplan blant annet bør inneholde en beskrivelse av uønskede hendelser med uakseptabel høy risikofaktor og hvilke sikringstiltak som skal iverksettes for å redusere risikoen for at hendelsene inntreffer. Deretter må sikringstiltak etableres av den eller de som har ansvaret for å håndtere risikoen. Vi har også sett at formålet med sikringstiltakene er å redusere risikoen for brudd på informasjonsverdienes konfidensialitet, integritet eller tilgjengelighet til et nivå som er i tråd med institusjonens kriterier for akseptabel risiko.

Ulike typer sikringstiltak kan være aktuelle. Det er vanlig å dele sikringstiltakene inn i følgende hovedkategorier:

· Pedagogiske tiltak (for eksempel kompetanseheving, opplæring/veiledning eller bevisstgjøring).

· Organisatoriske tiltak (for eksempel endringer i sikkerhetsorganiseringen – fordelingen av ansvar, myndighet og oppgaver – eller økte bevilgninger/ressurser).

· Administrative tiltak (for eksempel nye rutiner for sikker håndtering av informasjonsverdier eller endringer i etablerte rutiner).

· Tekniske tiltak (for eksempel soneinndeling av nettverk, kryptering, tiltak mot ødeleggende programvare, økt lagringskapasitet, nye autentiseringsmekanismer, osv.).

· Fysiske tiltak (for eksempel sikring av bygninger/rom, brannsikring, kjøleanlegg, osv.).

Valg av konkrete sikringstiltak kan basere seg på tiltakslisten i ISO/IEC 27001: 2013, vedlegg A (jf. ISO/IEC 27002: 2013 for mer detaljerte beskrivelser av sikringstiltakene i vedlegg A). Vedlegg A kan brukes som en sjekkliste for å forsikre seg om at aktuelle tiltak ikke er glemt eller oversett, og for å kartlegge hvilke sikringstiltak som allerede er etablert.

Dersom ett eller flere av de anbefalte tiltakene i vedlegg A ikke iverksettes, bør dette begrunnes skriftlig.

Vi foreslår at institusjonene benytter UNINETTs mal for gjennomgang av sikringstiltak som arbeidsredskap ved etablering av nødvendige tiltak («SOA - Statement of Applicability»). Dette verktøyet brukes for å kartlegge hvilke sikringstiltak som er etablert eller som er i ferd med å bli etablert, og hvilke tiltak som ikke er aktuelle.

Verktøyet finner du her:

https://www.uninett.no/sites/default/files/imce/soa_template_uninett_v10_norsk.xlsx

Del 3 – kontrollerende dokumenter

Ledelsessystemets tredje hoveddel inneholder kontrollerende dokumenter. De kontrollerende dokumentene omfatter retningslinjer for oppfølging, endring og forbedring av arbeidet med informasjonssikkerhet.

Kontrollerende dokumenter inkluderer:

· Avviksmelding og avvikshåndtering

· Sikkerhetsrevisjon

· Årsrapport

· Referat fra ledelsens gjennomgang

Kommentarer til avviksmeldinger og avvikshåndtering

Avvik er brudd på institusjonens rutiner for håndtering av informasjon, eller hendelser som har ført til eller kan føre til brudd på informasjonssikkerheten. Alle sluttbrukere (ansatte, studenter, osv.) skal melde slike avvik når de oppdages. Institusjonens hendelseshåndteringsteam (IRT) kan også oppdage sikkerhetsbrudd som skal meldes som avvik.

Grunnen til at melding av avvik er viktig, er både for å kartlegge årsaken til at de skjer og for eventuelt å iverksette nye sikringstiltak for å unngå liknende avvik i fremtiden. Avviksmeldinger gjennomgås i forbindelse med «Ledelsens gjennomgang» og kan danne grunnlaget for endringer i ledelsens krav til arbeidet med informasjonssikkerhet.

Hvem som har ansvaret for håndtering av avvik fremgår av forslaget til sikkerhetsorganisering beskrevet tidligere. Avvikshåndtering kan for eksempel omfatte endringer av eller innskjerpinger i bruken av vedtatte rutiner, eller iverksetting av tekniske sikringstiltak.

Personopplysningslovgivingen pålegger institusjonene å etablere et system for melding av avvik og sikkerhetsbrudd når personopplysninger behandles elektronisk eller inngår i manuelle personregistre. Ved brudd på sikkerheten til personopplysninger kan institusjonen ha plikt til å varsle både Datatilsynet og de enkeltpersoner som berøres av sikkerhetsbruddet (de registrerte).

Se forslag til avviksmeldingsskjema:

https://www.uninett.no/sites/default/files/imce/mal_kontrollerende_avviksskjema_0.doc

Se forslag til rutine for varsling av sikkerhetsbrudd til Datatilsynet:

https://www.uninett.no/sites/default/files/imce/mal_varsling_til_datatilsynet_rutine_v1.doc

Se forslag til rutine for varsling av sikkerhetsbrudd til de registrerte:

https://www.uninett.no/sites/default/files/imce/mal_varsling_til_den_registrerte_rutine_v1.doc

Kommentarer til sikkerhetsrevisjon

Hensikten med sikkerhetsrevisjon er å kontrollere at det vedtatte ledelsessystemet for informasjonssikkerhet innføres, driftes og vedlikeholdes i alle deler av institusjonen.

Sikkerhetsrevisjoner skal gjennomføres årlig, og i henhold til revisjonsplanen. Det er ikke nødvendigvis slik at hele organisasjonen skal gjennomgå revisjon hvert år. I revisjonsplanen er det naturlig at det fremgår hvilke deler av institusjonen som skal revideres. Ledelsens gjennomgang kan komme med innspill til hvilke deler og områder som skal revideres.

To hovedtyper revisjoner er aktuelle:

· Etterlevelsesrevisjon, det vil si en revisjon som gjennomføres for å sjekke om ledelsessystemet for informasjonssikkerhet fungerer etter hensikten.

· Revisjon av konkrete sikringstiltak, for eksempel med utgangspunkt i ISO/IEC 27001: 2013, vedlegg A.

Det er naturlig å opplyse om hvilken type revisjon som er gjennomført i innledningen til revisjonsrapporten som utarbeides etter at revisjonen er gjennomført.

Revisjonen kan gjennomføres enten ved at enheten svarer på et elektronisk spørreskjema eller ved at det gjennomføres en stedlig revisjon hos enheten eller begge deler. Det kan være lurt å variere metodikk for å få en best mulig oversikt over tilstanden på sikkerhetsområdet.

I lenken nedenfor følger et forslag til etterlevelsesrevisjon. Forslaget baserer seg på utsendelse av elektronisk spørreskjema til alle fakulteter, institutter, avdelinger og andre enheter som omfattes av ledelsessystemet for informasjonssikkerhet.

Det elektroniske spørreskjemaet kan også brukes som sjekkliste ved stedlig revisjon hos utvalgte fakulteter, avdelinger eller andre enheter.

Se forslag til etterlevelsesrevisjon:

https://www.uninett.no/sites/default/files/imce/mal_kontrollerende_revisjonsskjema_0.doc

Revisjonsrapport

CSO/CISO eller informasjonssikkerhetsrådgiver oppsummerer hovedfunnene fra revisjonen. Her kan det legges vekt på tre forhold. For det første hva som virker å fungere som forutsatt. For det andre hvilke avvik/problemer som virker å være gjennomgående. For det tredje forslag til hvordan eventuelle avvik/problemer skal utbedres.

Revisjonsrapporten sendes til de øverste ansvarlige for informasjonssikkerheten ved de ulike fakultetene/avdelingene/enhetene som har svart på spørreskjemaet (for eksempel direktør og dekan). Deretter er det opp til de øverste ansvarlige å avgjøre hvordan forslagene til utbedringer skal håndteres.

Revisjonsrapporten skal også behandles under ledelsens gjennomgang.

Kommentarer til ledelsens gjennomgang (LG)

Hensikten med ledelsens gjennomgang er at universitets-/høgskoledirektør (eventuelt rektor) blir orientert om og får grunnlag for styring av arbeidet med informasjonssikkerhet. Ledelsens gjennomgang skal føre til at det blir stilt krav til arbeidet med informasjonssikkerhet i neste periode (år).

Følgende momenter skal gjennomgås:

· Status på tiltak fra foregående ledelsens gjennomgang

· Hva er utført, og hva som eventuelt gjenstår

· Årsaker til avvik mellom årsplan og gjennomførte aktiviteter

· Sikkerhetsmål og strategi

· Vurdere om sikkerhetsmål og sikkerhetsstrategi fungerer som forutsatt.

· Vurdere eventuelle forslag til endringer i sikkerhetsmål og sikkerhetsstrategi.

· Vurdere økonomiske eller andre konsekvenser eventuelle endringer i mål og strategi kan ha for institusjonen.

· Kriterier for akseptabel risiko

· Vurdere endring av kriterier for akseptabel basert på status på informasjonssikkerhetsarbeidet og trusselbildet

· Sikkerhetsorganisering

· Vurdering av eksisterende organisering

· Vurdere behov for endringer i organiseringen

· Avviksmeldinger

· Gjennomgå de viktigste avvik i perioden.

· Vurdere behov for sikringstiltak basert på gjentatte eller alvorlige avvik

· Sikkerhetsrevisjon

· Gjennomgå status for arbeidet med informasjonssikkerhet i ulike deler i institusjonen

· Status på risikovurderinger

· Hvilke risikovurderinger er gjennomført

· Hovedfunn fra risikovurderinger

· Status på håndtering av risiko

· Gjennomgå status på risikohåndteringen i institusjonen

· Vurdere om risikohåndteringen er tilfredsstillende

· Ressurs- og kompetansebehov

· Vurdere behov for økte ressurser til arbeidet med informasjonssikkerhet

· Vurdere behovet for kompetanseheving (opplæring)

Med utgangspunkt i ledelsens gjennomgang skal universitets-/høgskoledirektør (eventuelt rektor) orientere styret om status og behov.

Se forslag til årsrapport som utarbeides til og drøftes på ledelsens gjennomgang:

https://www.uninett.no/sites/default/files/imce/mal_kontrollerende_rapport_ledelsens_gjennomgang.doc

Referat

CISO/CSO eller informasjonssikkerhetsrådgiver skriver referat fra ledelsens gjennomgang.

I referatet skal det tydelig fremgå hvilke avgjørelser og tiltak som er besluttet. Høgskole- eller universitetsdirektør (eventuelt rektor) skal undertegne referatet fra ledelsens gjennomgang.

Vedlegg 1Oversikt over dokumenter i ISO/IEC27001:2013

Nedenfor følger en oversikt over obligatoriske og anbefalte dokumenter i et ledelsessystem for informasjonssikkerhet, i henhold til ISO/IEC 27001:2013. Til hvert dokument er det en beskrivelse og en henvisning til de punkter i standarden hvor dokumentene er omtalt.

Forslaget til ledelsessystem for informasjonssikkerhet i UH-sektoren er basert på denne standarden.

Dokument

Henvisning til ISO27001:2013

Beskrivelse

Scope av ISMS

4.3

Et kort dokument som innleder ledelsessystemet og beskriver hva ledelsessystemet omfatter.

Informasjonssikkerhetspolicy (sikkerhetsmål og strategi)

5.2, 6.2

Beskriver hovedformålet med informasjonssikkerhetsarbeidet.

Risikovurdering og risikohåndtering

6.1.2

Beskriver metodeverk og rutiner for gjennomføring av risikovurderinger og håndtering av risiko.

SOA, Statement of Applicability

6.1.3 d

Et dokument basert på vedlegg A i standarden. Beskriver hvilke sikringstiltak som er aktuelle og hvilke som ikke er det. Skal inneholde status og implementering for alle sikringstiltak som er aktuelle.

Plan for risikohåndtering

6.1.3 e, 6.2

Beskriver planlagte sikringstiltak på bakgrunn av SOA.

Rapport fra risikovurdering

8.2

Beskriver gjennomføring av og resultater fra risikovurderinger.

Definering av sikkerhetsroller og ansvar

A.7.1.2, A.13.2.4

Beskriver fordeling av ansvar, myndighet og arbeidsoppgaver.

Inventar-/utstyrsoversikt

A.8.1.1

Gir en oversikt over inventar og utstyr som omfattes av arbeidet med informasjonssikkerhet.

Akseptabel bruk av inventar/utstyr

A.8.1.3

Beskriver hvilke rutiner og regler som gjelder for bruk av inventar og utstyr. Betegnes ofte som et IT-reglement.

Policy for aksesskontroll

A.9.1.1

Beskriver institusjonens prosesser for å avgjøre hvem som skal ha tilgang til hvilke systemer.

Drifts- og bruksprosedyrer

A.12.1.1

Beskriver hvordan de ulike IT-driftsoppgavene skal utføres slik at informasjonssikkerheten blir ivaretatt.

Etablering av sikkerhetsprinsipper for prosjektering og utvikling

A.14.2.5

Beskriver sikkerhetsprinsipper ved utvikling eller produksjon av informasjonssystemer.

Policy for etablering av databehandleravtaler og leverandørkontrakter/avtaler

A.15.1.1

Beskriver rutiner for avtaleutforming og inngåelse med eksterne eller interne leverandører av IT-tjenester, herunder hvilke sikkerhetskrav som skal stilles.

Håndtering av sikkerhetshendelser

A.16.1.5

Beskriver rutiner for hvordan institusjonen rapporterer og håndterer sikkerhetshendelser (avvik).

Prosedyrer for kontinuitet (reetablering)

A.17.1.2

Beskriver rutiner og tiltak for videreføring av kjerneoppgaver ved hendelser som gjør normal drift umulig (ISO/IEC 22301).

Oversikt over regulatoriske og avtalemessige krav

A.18.1.1

Beskriver institusjonens juridiske forpliktelser på informasjonssikkerhetsområdet.

Nivå 4, registreringer (dokumentasjon)

 

 

Registreringer av opplæring, sertifiseringer/utdanning, erfaring og kvalifikasjoner

7.2

Beskrivelse av hvilken kompetanse institusjonen besitter på informasjonssikkerhetsområdet.

Monitorering og målingsresultater

9.1

Beskriver rutiner for hvordan institusjonen overvåker og måler tilstanden på informasjonssikkerhet.

Program for internrevisjon

9.2

Beskriver hvor ofte og hvordan institusjonen skal gjennomføre internrevisjon.

Resultater av internrevisjon

9.2

Beskriver hva som ble avdekket under internrevisjon.

Resultater av ledelsens gjennomgang

9.3

Beskriver tiltak og beslutninger vedtatt under ledelsens gjennomgang.

Korrigerende tiltak i ledelsessystemet

10.1

Beskriver hvilke endringer som er nødvendige for at ledelsessystemet skal fungere etter sin hensikt.

Logg av bruker- og administratoraktiviteter

A.12.4.1, A.12.4.3

Beskriver rutiner for aktivitetslogger skal håndteres, beskyttes og gjennomgås.

Dokumenter som ikke er obligatoriske.

 Se ISO/IEC 27001: 2013 for nærmere beskrivelse.

 

Prosedyre for dokumentkontroll

7.5

Håndtering av registreringer

7.5

Policy for BYOD

A.6.2.1

Policy for mobile enheter og eksterntilgang

A.6.2.1

Policy for klassifisering av informasjon

A.8.2.1-3

Policy for passord

A.9.2.1-2, A.9.2.4, A.9.3.1, A.9.4.3

Policy for avhending og destruksjon

A.8.3.2, A.11.2.7

Prosedyre for arbeid i sikre soner/områder

A.11.1.5

"Clean desk" og "clear screen" policy

A.11.2.9

Policy for endringshåndtering

A.12.1.2, A.14.2.4

Policy for sikkerhetskopiering

A.12.3.1

Policy for overføring av informasjon

A.13.2.1-3

BIA, Business Impact Analysis

A.17.1.1

Plan for trening og testing av kontinuitetsplan

A.17.1.3

Plan for vedlikehold og revisjon av kontinuitetsplan

A.17.1.3

Strategi for kontinuitet i virksomheten

A.17.2.1

Egne notater:

Lisensiering

Denne veilederen er lisensiert under en Creative Commons Navngivelse-IkkeKommersiell-DelPåSammeVilkår 3.0 Norsk lisens. CC BY-NC-SA 3.0 NO

Det betyr at du har lov til å:

Dele — kopiere, distribuere og spre verket i hvilket som helst medium eller format

Bearbeide — remixe, endre, og bygge videre på materialet

På følgende vilkår:

· Navngivelse — Du må oppgi korrekt kreditering, oppgi en lenke til lisensen, og indikere om endringer er blitt gjort. Du kan kan gjøre dette på enhver rimelig måte, men uten at det kan forstås slik at lisensgiver bifaller deg eller din bruk av verket.

· IkkeKommersiell — Du kan ikke benytte materialet til kommersielle formål.

· DelPåSammeVilkår — Dersom du remixer, bearbeider eller bygger på materialet, må du distribuere dine bidrag under samme lisens som originalen.

· Ingen ytterligere begrensninger — Du kan ikke gjøre bruk av juridiske betingelser eller teknologiske tiltak som lovmessig hindrer andre i å gjøre noe som lisensen tillater.

4