· web viewnedenfor følger en oversikt over obligatoriske og anbefalte dokumenter i et...
TRANSCRIPT
En veileder i ledelsessystem for informasjonssikkerhet i UH-sektoren
Basert på ISO/IEC 27001:2013
Versjon 2.0
1
Forord
Universiteter og høyskoler er pålagt å innføre et ledelsessystem for informasjonssikkerhet.
Dette følger både av lovgivningen som gjelder i universitets- og høyskolesektoren og av nye
krav som Kunnskapsdepartementet stiller til institusjonene i tildelingsbrevet.
Ledelsessystemet skal være en del av institusjonenes generelle system for kvalitetsstyring og
internkontroll.
Denne veilederen inneholder forslag til ledelsessystem for informasjonssikkerhet i
universiteter og høyskoler. Ledelsessystemet er utarbeidet av Sekretariatet for
informasjonssikkerhet i universitets- og høyskolesektoren i samarbeid med Senter for
rettsinformatikk, Universitetet i Oslo. Forslaget baserer seg på anerkjente standarder for
statsforvaltningen (ISO/IEC 27001/02: 20131) og ivaretar de kravene som lovverket stiller til
slike ledelsessystemer.2
Formål og målgruppe
Formålet med veilederen er å bidra til at universiteter og høyskoler forvalter sine
informasjonsverdier på en sikker og profesjonell måte. Veilederen retter seg mot ledere og
ansatte med ansvar for informasjonssikkerhet.
Bakgrunn
Utformingen av forslaget til ledelsessystem tar utgangspunkt i en kartlegging av erfaringer
med informasjonssikkerhetsarbeid i universiteter og høyskoler. Kartleggingen ble
gjennomført høsten 2013 og våren 20143. Forslaget er derfor tilpasset de særegne
forholdene som gjør seg gjeldende i sektoren.
Lokaltilpasning
Selv om ledelsessystemet er spesielt tilpasset universiteter og høyskoler, er det viktig at
institusjoner som baserer sitt arbeid med informasjonssikkerhet på forslaget, tilpasser
1 Se Digitaliseringsrundskrivet punkt 1.7, DIFIs referansekatalog https://www.difi.no/artikkel/2015/10/internkontroll-styringssystem-ledelsessystem-informasjonssikkerhet , og handlingsplanen til Nasjonal strategi for informasjonssikkerhet, tiltak 1.1.
2 I vedlegg 1 gis en oversikt over hvilke obligatoriske og anbefalte dokumenter som inngår i ISO/IEC 27001: 2013. 3 https://www.uninett.no/webfm_send/893
2
ledelsessystemet til lokale forhold. Uten lokaltilpasning er det sannsynlig at institusjonene
ikke vil lykkes med å gjøre ledelsessystemet til sitt eget. Dermed kan det også bli vanskelig å
innføre og drifte ledelsessystemet.
Oppbygging
Forslaget til ledelsessystem er inndelt i følgende hoveddeler: en styrende del, en
gjennomførende del og en kontrollerende del. Hoveddelene omhandler de tre
kjerneaktivitetene som et systematisk og planlagt informasjonssikkerhetsarbeid består av.
Hver hoveddel består av (a) kommentarer til de dokumenter og oppgaver som inngår i et
ledelsessystem for informasjonssikkerhet og (b) forslag til utforming av de viktigste
dokumentene og arbeidsredskapene som inngår i ledelsessystemet. Til hvert av forslagene
er det laget maler som institusjonene kan anvende i arbeidet med etableringen av sine egne
ledelsessystemer. Lenker til malene finnes fortløpende i teksten (nederst under hver
deloverskrift).
Videreutvikling
Videreutvikling av ledelsessystem for informasjonssikkerhet vil være en prioritert oppgave
for Sekretariatet for informasjonssikkerhet i universitets- og høyskolesektoren.
Utviklingsarbeidet vil basere seg på praktiske erfaringer med innføring og bruk av
ledelsessystemet i sektoren.
Sekretariatet håper at så mange institusjoner som mulig vil delta i det videre
utviklingsarbeidet. Dels ved å ta ledelsessystemet i bruk og dels ved å dele egne erfaringer
med resten av sektoren. På denne måten kan forslaget til ledelsessystem forbedres av
sektoren i fellesskap. Dette vil være et viktig bidrag til at arbeidet med forvaltning av
samfunnsviktige informasjonsverdier kan styrkes og profesjonaliseres i enda større grad enn
i dag.
Kurs og bistand
Sekretariatet for informasjonssikkerhet vil tilby institusjonene bistand til innføring og
revisjon av ledelsessystemet. Det vil også bli utarbeidet og gjennomført kurs i innføring og
drift av ledelsessystemet. Kurset vil være spesielt tilpasset universiteter og høyskoler.
3
Ta gjerne kontakt med Rolf Sture Normann ([email protected]) eller Tommy Tranvik
([email protected]) dersom du har spørsmål vedrørende prosjektet eller
ledelsessystemet.
4
InnholdForord.....................................................................................................................................................2
Formål og målgruppe.........................................................................................................................2
Bakgrunn............................................................................................................................................2
Lokaltilpasning....................................................................................................................................2
Oppbygging........................................................................................................................................3
Videreutvikling...................................................................................................................................3
Kurs og bistand...................................................................................................................................3
Kommentarer til innledning...................................................................................................................8
Del 1 – styrende dokumenter...............................................................................................................10
Kommentarer til avgrensning av ledelsessystemet..............................................................................11
Kommentarer til sikkerhetsmål og kriterier for akseptabel risiko........................................................12
Kommentarer til sikkerhetsstrategi......................................................................................................13
Kommentarer til sikkerhetsorganisering..............................................................................................14
Del 2 – gjennomførende dokumenter..................................................................................................16
Kommentarer til kartlegging av informasjonsverdier...........................................................................17
Kommentarer til årsplan for CSO/CISO eller informasjonssikkerhetsrådgiver......................................18
Kommentarer til risikovurdering..........................................................................................................19
Forslag til risikovurderingsrapport – oversikt over uønskede hendelser..........................................21
Forslag til risikovurderingsrapport – risikofaktor for hver uønsket hendelse...................................21
Kommentarer til risikohåndteringsplan................................................................................................22
Håndtering av risiko..........................................................................................................................22
Kommentarer til etablering av sikringstiltak........................................................................................24
Del 3 – kontrollerende dokumenter.....................................................................................................26
Kommentarer til avviksmeldinger og avvikshåndtering.......................................................................27
Kommentarer til sikkerhetsrevisjon.....................................................................................................28
Revisjonsrapport..............................................................................................................................29
Kommentarer til ledelsens gjennomgang (LG).....................................................................................30
Referat..........................................................................................................................................31
Vedlegg 1..............................................................................................................................................32
Oversikt over dokumenter i ISO/IEC27001:2013..............................................................................32
Egne notater:........................................................................................................................................36
Lisensiering...........................................................................................................................................37
5
6
Ledelsessystem for informasjonssikkerhet ved
[INSTITUSJON]
Basert på ISO/IEC 270001/02: 2013
7
Kommentarer til innledning Det kan være hensiktsmessig at hver institusjon lager en kort innledning til sitt
ledelsessystem for informasjonssikkerhet. Innledningen bør i første rekke henvende seg til
ledere og ansatte som er lite kjent med arbeidet med informasjonssikkerhet, og den bør
inneholde to hovedpunkter:
1. Definisjon av hva arbeidet informasjonssikkerhet handler om (risikostyring og sikring
av informasjonens konfidensialitet, integritet og tilgjengelighet).
2. Begrunnelse for og forklaring av hvorfor arbeidet med informasjonssikkerhet er viktig
og nødvendig (informasjonsforvaltning, lovpålagte krav og forventninger fra
Kunnskapsdepartementet).
Se eksempel på innledning (LEGG INN URL TIL DOKUMENT HER)
8
Oversikt over ledelsessystem med kommentarer, forslag og link til maler
9
Del 1 – styrende dokumenterLedelsessystemets første hoveddel inneholder styrende dokumenter. De styrende
dokumentene definerer rammene for institusjonens arbeid med informasjonssikkerhet.
Styrende dokumenter omfatter beskrivelser av følgende forhold:
- Avgrensning av ledelsessystemet («scope»)
- Sikkerhetsmål og kriterier for akseptabel risiko
- Sikkerhetsstrategi4
- Sikkerhetsorganisasjon
4 I mange ledelsessystemer benyttes begrepet «informasjonssikkerhetspolicy». Dette begrepet omfatter vanligvis sikkerhetsmål, akseptkriterier og sikkerhetsstrategi.
10
Kommentarer til avgrensning av ledelsessystemetAvgrensning av ledelsessystemet dreier seg om å beskrive hvilke deler av organisasjonen,
tekniske ressurser og informasjonsverdier som inngår i ledelsessystemet. Hensikten med
avgrensningen er ikke bare å definere hva og hvem som omfattes av arbeidet med
informasjonssikkerhet. Avgrensningen kan også tjene en pedagogisk hensikt, det vil si å vise
at informasjonssikkerhet er et bredt arbeidsfelt som krever et visst minimum av ressurser og
fokus.
I lenkene nedenfor skisseres to forslag til avgrensning av ledelsessystemet – det første mer
omfattende enn det andre. Institusjonene må selv velge hvilket forslag de ønsker å basere
seg på. Mindre institusjoner vil trolig kunne basere seg på det enkleste forslaget til
avgrensning.
Uavhengig av hvilket forslag som velges, er det viktig å være oppmerksom på at alle
institusjonene er rettslig pålagt å ha konfigurasjonskart for datanettverk (og IT-ressurser i
nettverket) som behandler personopplysninger.5 Oversikter over de IT-ressursene som
inngår i ledelsessystemet bør derfor ivaretas gjennom et konfigurasjonskart (som viser IT-
systemer og relasjonene mellom dem) supplert med en systemoversikt (som viser hvilke IT-
systemer som driftes av institusjonen, databehandlere eller andre eksterne aktører).
Konfigurasjonskartet skal gi en overordnet informasjon om sikringstiltak i datanettverket, for
eksempel soneinndelinger, plassering av brannmurer, VLAN, DMZ, osv.
Institusjonene bør også lage en oversikt over informasjonsverdier som de er ansvarlige for.
Oversikten bør inneholde en klassifisering av informasjonen som behandles i de ulike IT-
systemene (se også avsnittet «Kartlegging av informasjonsverdier»).
Se forslag til avgrensning av ledelsessystem, forslag 1 og 2 (URL med lenke til dokumenter)
5 Personopplysningsforskriften § 2-7.11
Kommentarer til sikkerhetsmål og kriterier for akseptabel risikoSikkerhetsmål og kriterier for akseptabel risiko skal peke ut hovedretningen for arbeidet med
informasjonssikkerhet. Sikkerhetsmålene skal beskrive hva ledelsen ønsker å oppnå med
informasjonssikkerhetsarbeidet, mens kriterier for akseptabel risiko skal gi en pekepinn på
hvor godt ledelsen ønsker å sikre ulike typer informasjonsverdier mot brudd på
konfidensialiteten, integriteten og tilgjengeligheten.
Når det gjelder elektronisk behandling av personopplysninger og personopplysninger som
inngår i manuelle personregistre, er institusjonene pålagt å sørge for tilfredsstillende
informasjonssikkerhet.6 Kravet om tilfredsstillende informasjonssikkerhet gjelder også for
andre typer informasjonsverdier, for eksempel økonomi- og regnskapsdata. Både
sikkerhetsmål og kriterier for akseptabel risiko må derfor utformes slik at tilfredsstillende
informasjonssikkerhet oppnås.
I tillegg til at sikkerhetsmålene skal tilkjennegi formålet med informasjonssikkerhetsarbeidet,
kan de også fungere som pedagogiske hjelpemidler: sikkerhetsmålene forteller resten av
institusjonen at arbeidet skal prioriteres og hvorfor det er viktig.
Kriterier for akseptabel risiko som skal gjelde for hele institusjonen, vil være overordnede og
uttrykke institusjonens hovedkrav til sikring av informasjonsverdier. Det kan derfor være
behov for at ledelsen ved ulike enheter (fakulteter, forsknings- eller undervisningsavdelinger,
administrative enheter, osv.) konkretiserer hva akseptkriterier innebærer «her hos oss».
Konkretiseringene må være i tråd med de hovedkravene som institusjonens overordnede
akseptkriterier innebærer.
Se forslag til sikkerhetsmål (LEGG INN URL TIL DOKUMENTENE HER)
Se forslag til akseptkriterier (LEGG INN URL TIL DOKUMENTENE HER)
6 Personopplysningsloven § 13.12
Kommentarer til sikkerhetsstrategi Sikkerhetsstrategien skal inneholde en kort oversikt over de grunnleggende prioriteringer
som institusjonens ledelse tar for å følge opp og realisere sikkerhetsmålene. Strategien skal
altså skissere hva ledelsen mener er viktigst å gjøre for at mål og akseptkriterier skal få
praktisk betydning for den daglige håndteringen av institusjonens informasjonsverdier.
Det er viktig å være oppmerksom at sikkerhetsstrategien – og oppfølgingen av denne – vil
innebære at ledelsen forplikter seg til å bruke ressurser på arbeidet med
informasjonssikkerhet. De hovedprioriteringene som strategien uttrykker må derfor avspeile
seg i det øvrige plan- og strategiarbeidet, og i interne budsjettprosesser.
Forslaget til sikkerhetsstrategi som presenteres i lenken nedenfor inneholder enkelte
formuleringer når det gjelder bruk av skytjenester eller andre typer databehandlere. Det kan
tenkes at institusjonene selv ønsker å håndtere disse utfordringene på andre måter enn det
som er skissert i eksempeldokumentet som du finner her.
Se forslag til sikkerhetsstrategi (URL TIL MALDOKUMENT SIKKERHETSSTRATEGI HER).
13
Kommentarer til sikkerhetsorganiseringSikkerhetsorganisasjonen fordeler myndighet, ansvar og oppgaver mellom aktører som skal
jobbe med informasjonssikkerheten ved institusjonen – fra toppledelsen og ut til
sluttbrukerne (ansatte, studenter, gjester, osv.).
Det er viktig at beskrivelsen av sikkerhetsorganisasjonen er tydelig. Dette betyr at
beskrivelsen skal gi klare svar på tre hovedspørsmål:
1. Hvem inngår i sikkerhetsorganisasjonen?
2. Hva har hver enkelt aktør som inngår i sikkerhetsorganisasjonen ansvaret for?
3. Hvilke konkrete oppgaver skal hver enkelt aktør utføre?
Uten at svarene på disse spørsmålene er tydelige og bekjentgjort, er det lite sannsynlig at
sikkerhetsorganisasjonen vil kunne utføre det arbeidet den er satt til å gjøre.
Enkelte institusjoner kan velge å opprette et informasjonssikkerhetsforum som skal
koordinere arbeidet med informasjonssikkerhet. Oppgavene til et slikt forum kan legges til et
allerede eksisterende organ ved institusjonen. Det er altså ikke nødvendig å opprette et eget
organ for å ivareta informasjonssikkerhetsforumets oppgaver. Institusjoner som velger å
oppnevne et eget informasjonssikkerhetsforum kan ta utgangspunkt beskrivelsen av
forumets myndighet, ansvar og oppgaver som beskrives i eksemplet til
sikkerhetsorganisering.
Avdelinger eller enheter kan ha tverrgående ansvar for informasjonssikkerheten på et
bestemt område. Med dette menes for eksempel at avdelinger i sentraladministrasjonen kan
være eiere av IT-systemer eller tjenester som også anvendes i andre avdelinger eller enheter
ved institusjonen (for eksempel administrative fellessystemer). Avdelinger eller enheter med
et slikt ansvar har som oppgave å vurdere behovet for sikringstiltak som omfatter alle som
anvender «deres» systemer eller tjenester.
14
IT-avdelinger (eller tilsvarende) og Eiendomsavdelinger (eller tilsvarende) har et særlig
tverrgående ansvar for informasjonssikkerheten når det gjelder IT-infrastruktur og fysisk
infrastruktur. Myndighet, ansvar og oppgaver til lederne i disse avdelingene vil derfor bli
behandlet særskilt i vårt forslag til sikkerhetsorganisering.
Legg merke til at vårt forslag til sikkerhetsorganisering må tilpasses institusjoner hvor
«særlige organisatoriske forhold» gjør seg gjeldende. Slike tilpasninger kan for eksempel
være aktuelt i institusjoner som baserer seg på en styringsmodell med enhetlig ledelse, i
institusjoner som har Computer Emergency Respons Team (CERT) eller i institusjoner som
både har Chief Security Officer (CSO) og Cheif Information Security Officer (CISO).
Sekretariatet for informasjonssikkerhet i UH-sektoren kan bistå i arbeidet med
lokaltilpasning av sikkerhetsorganiseringen.
Se forslag til sikkerhetsorganisering (SETT INN DOKUMENT SIKKERHETSORGANISERING HER).
15
Del 2 – gjennomførende dokumenterLedelsessystemets andre hoveddel inneholder gjennomførende dokumenter. De
gjennomførende dokumentene beskriver retningslinjer for utførelsen av konkrete
arbeidsoppgaver og rutiner for iverksetting av sikringstiltak.
Gjennomførende dokumenter omfatter:
- Kartlegging av informasjonsverdier
- Årsplan for CSO/CISO eller informasjonssikkerhetsrådgiver
- Risikovurderinger
- Risikohåndteringsplan
- Etablering av sikringstiltak («Statement of Applicability, SOA»)
16
Kommentarer til kartlegging av informasjonsverdierKartlegging av informasjonsverdier tilhører de faste oppgavene til CSO/CISO eller
informasjonssikkerhetsrådgiver. Dette er en viktig oppgave fordi den danner grunnlaget for
alt annet sikkerhetsarbeid. Institusjonen må derfor ha en viss oversikt over hvilke
informasjon den forvalter, hvor kritisk eller sensitiv ulike typer informasjon er, hvor
informasjonen befinner seg og hvem som har ansvaret for den.
Institusjoner med detaljerte arkivplaner kan bruke disse som utgangspunkt for arbeidet med
kartlegging av informasjonsverdier. Systemoversikter som viser hvilke hovedtyper
informasjon de ulike IT-systemene eller tjenestene behandler, vil også være et nyttig
utgangspunkt.
Kartlegging av informasjonsverdier kan være en utfordrende oppgave som kan utføres på
forskjellig detaljeringsnivå. I lenken nedenfor følger et forslag til kartleggingsskjema som er
relativt lite detaljert, men som likevel gir en hensiktsmessig oversikt. Skjemaet er
system-/tjenestebasert, det vil si at det legger opp til kartlegging av informasjon i de ulike IT-
systemene/tjenestene som institusjonen anvender. Ved å bruke skjemaet i
kartleggingsarbeidet får institusjonen svar på følgende spørsmål:
o Hvilke IT-systemer/tjenester anvender institusjonen?
o Hvem eier de ulike systemene/tjenestene?
o Hvilke typer informasjonsverdier behandles i systemene/tjenestene?
o Hvem har driftsansvaret for systemene/tjenestene?
o Hvilke rettslige reguleringer (om noen) gjelder for de informasjonsverdiene som
behandles i systemene/tjenestene?
o Hvordan skal informasjonsverdiene klassifiseres i henhold til institusjonens kriterier
for akseptabel risiko?
Se dokumentet eksempel på kartleggingsskjema (SETT INN URL TIL DOKUMENTET
KARTLEGGING AV INFORMASJONSVERDIER)
17
Kommentarer til årsplan for CSO/CISO eller informasjonssikkerhetsrådgiverÅrsplanen er et verktøy for den som til daglig utøver ledelsens ansvar for
informasjonssikkerhet ved institusjonen. Planen inneholder årsmålsetninger for arbeidet
med informasjonssikkerhet og konkrete arbeidsoppgaver for det kommende året. Både
årsmålsetningene og arbeidsoppgavene utgår fra og skal understøtte institusjonens
overordnede sikkerhetsmål og sikkerhetsstrategi.
I tillegg til institusjonens overordnede sikkerhetsmål og strategi, vil svakheter eller mangler
ved ledelsessystemet avdekket under «Ledelsens gjennomgang» kunne påvirke innholdet i
årsplanen.
Forslaget til årsplan inneholder to momenter. For det første en samlet oversikt over
årsmålsetningene for informasjonssikkerhetsarbeidet og hvordan de skal oppnås. For det
andre særskilte planer for gjennomføring av de faste oppgavene som CSO/CISO eller
informasjonssikkerhetsrådgiver er ansvarlig for: risikovurderinger, opplærings- og
informasjonstiltak, sikkerhetsrevisjoner og ledelsens gjennomgang.
Se forslag til årsplan for CSO/CISO/Informasjonssikkerhetsrådgiver (SETT INN URL TIL
DOKUMENTENE ÅRSPLAN HER)
18
Kommentarer til risikovurdering Risikovurderinger er en viktig del av informasjonssikkerhetsarbeidet. Ved at institusjonen har
kartlagt sine informasjonsverdier (se ovenfor) har den skaffet seg en oversikt over hvilke IT-
systemer/tjenester eller arbeidsprosesser som skal risikovurderes, hvilke
informasjonsverdier de behandler, hvem som har ansvaret for å gjennomføre vurderingene
(system- eller tjenesteeier) og hvilke krav som stilles til sikkerheten i systemene/tjenestene
eller arbeidsprosessene.
Risikovurderinger handler om to ting:
1. Identifisere uønskede hendelser, det vil si hendelser som kan føre til brudd på
informasjonsverdienes konfidensialitet, integritet og tilgjengelighet.
2. Vurdere risikoen – sannsynlighet og konsekvens – for hver uønsket hendelse som er
identifisert.
Dersom risikoen (sannsynlighet og konsekvens) for én eller flere uønskede hendelser er
høyere enn det institusjonen har definert som akseptabelt, må risikoen håndteres, for
eksempel ved at forebyggende tiltak (sikringstiltak) iverksettes. Risikohåndtering er en egen
prosess som behandles senere i veilederen.
Selve risikovurderingsprosessen består av tre hoveddeler. Dette er:
1. Forberedelse
o Bestemme hvilket område som skal risikovurderes (en IT-løsning, en
arbeidsprosess, bygningsmessige forhold, osv.).
o Bestemme hvem og hvor mange som skal delta i risikovurderingen (daglige
brukere, superbrukere, lokalt eller sentralt IT-ansatte, vitenskapelig ansatte,
studenter, osv.),
o Informere deltakerne om hva som skal risikovurderes og hvordan de skal
forberede seg til risikovurderingen.
2. Gjennomføring
o Identifisere og diskutere uønskede hendelser – hva kan føre til brudd på
informasjonsverdienes konfidensialitet, integritet og tilgjengelighet?
19
o Vurdere risikoen for hver enkelt uønsket hendelse – hva er sannsynligheten
for og konsekvensen av at de uønskede hendelsene inntreffer?
3. Etterarbeid
o Lage en risikovurderingsrapport som viser (a) hvilke uønskede hendelser som
ble identifisert, (b) risikoen for hver enkelt uønsket hendelse og (c) fremheve
alle uønskede hendelser med uakseptabel høy risiko.
o Forslag til hvordan uønskede hendelser med uakseptabel høy risiko bør
håndteres.
o Sende rapporten til lederen ved det fakultetet, avdelingen eller enheten hvor
risikovurderingen ble foretatt og som er ansvarlig for at
informasjonssikkerheten er tilfredsstillende.
Nedenfor følger et forslag til gjennomføring av risikovurderinger. Forslaget omfatter
følgende momenter:
o Forberedende informasjon til de som bes om å delta i risikovurderinger.
o Risikomatrisen som brukes av deltakerne ved fastsettelse av uønskede hendelsers
sannsynlighet og konsekvens.
o Risikovurderingsrapport som gir en oversikt over (a) hvilke uønskede hendelser som
ble identifisert og (b) risikofaktoren for hver uønsket hendelse (verdien for
sannsynlighet multiplisert med verdien for konsekvens).
Vi bruker risikovurdering av innloggingstjenesten Feide som eksempel.
Veileder i gjennomføring av risikovurdering (SETT INN URL)
Forslag til regneark for gjennomføring av risikovurdering (SETT INN URL)
Forslag til forberedende informasjon (SETT INN URL)
20
Forslag til risikovurderingsrapport – oversikt over uønskede hendelser
Forslag til risikovurderingsrapport (SETT INN URL)
21
Kommentarer til risikohåndteringsplanEtter at det er gjennomført risikovurderinger, er det avgjørende at risikoen for uønskede
hendelser håndteres. Det innebærer for eksempel at man iverksetter tiltak for hver uønsket
hendelse med en uakseptabel høy risikofaktor (verdien for sannsynlighet multiplisert med
verdien for konsekvens). I denne fasen velger man altså hvilke tiltak som skal iverksette for å
redusere sannsynligheten for eller konsekvensen av uønskede hendelser.
Effekten av iverksatte sikringstiltak – i hvilken grad de har bidratt til å redusere risikoen for
uønskede hendelser til et tilfredsstillende nivå – bør gjennomgås ved neste risikovurdering
av det samme IT-systemet eller tjenesten.
Selv om iverksetting av sikringstiltak er den vanligste måten å håndtere uønskede hendelser
med uakseptabel høy risikofaktor på, finnes det også andre måter å håndtere risiko på.
Tabellen nedenfor gir en oversikt over de ulike måtene som risiko kan håndteres på.
Håndtering av risiko
TEKNIKK BESKRIVELSE
AKSEPTER Her godtar man den aktuelle risikoen. Å akseptere en risiko innebærer at man er klar over at den uønskede hendelsen kan skje, men man vurderer sannsynligheten og konsekvensen som så liten at sikringstiltak ikke iverksettes.
UNNGÅ Her forsøker man å unngå muligheten for at den uønskede hendelsen kan skje. Eksempler på dette er:
1. Stenge tjenesten, avslutte bruken.2. Ikke tillatt bruk av tjenesten.
REDUSERE/KONTROLLERE
Her iverksetter man tiltak som reduserer sannsynligheten for at uønskede hendelser skal skje eller skadevirkningen (konsekvensen) av hendelsen dersom den likevel skulle inntreffe. Dette er den vanligste måten å håndtere risiko.
OVERFØRE Her «kjøper man seg fri» fra risikoen. Et eksempel er å tegne forsikring (redusere konsekvensen av en uønsket hendelse). Man kan også se på outsourcing/fjerndrift som en måte å overføre risiko på.
Dersom risikovurderingen avdekker uønskede hendelser med uakseptabel høy risikofaktor,
bør det settes opp en liten plan for hvordan risikoen skal håndteres.
Se forslag til risikohåndteringsplan (SETT INN URL TIL DOKUMENTET
RISIKOHÅNDTERINGSPLAN)
22
23
Kommentarer til etablering av sikringstiltak Ovenfor har vi sett at en risikohåndteringsplan blant annet bør inneholde en beskrivelse av
uønskede hendelser med uakseptabel høy risikofaktor og hvilke sikringstiltak som skal
iverksettes for å redusere risikoen for at hendelsene inntreffer. Deretter må sikringstiltak
etableres av den eller de som har ansvaret for å håndtere risikoen. Vi har også sett at
formålet med sikringstiltakene er å redusere risikoen for brudd på informasjonsverdienes
konfidensialitet, integritet eller tilgjengelighet til et nivå som er i tråd med institusjonens
kriterier for akseptabel risiko.
Ulike typer sikringstiltak kan være aktuelle. Det er vanlig å dele sikringstiltakene inn i
følgende hovedkategorier:
• Pedagogiske tiltak (for eksempel kompetanseheving,
opplæring/veiledning eller bevisstgjøring).
• Organisatoriske tiltak (for eksempel endringer i
sikkerhetsorganiseringen – fordelingen av ansvar, myndighet og
oppgaver – eller økte bevilgninger/ressurser).
• Administrative tiltak (for eksempel nye rutiner for sikker håndtering av
informasjonsverdier eller endringer i etablerte rutiner).
• Tekniske tiltak (for eksempel soneinndeling av nettverk, kryptering,
tiltak mot ødeleggende programvare, økt lagringskapasitet, nye
autentiseringsmekanismer, osv.).
• Fysiske tiltak (for eksempel sikring av bygninger/rom, brannsikring,
kjøleanlegg, osv.).
Valg av konkrete sikringstiltak kan basere seg på tiltakslisten i ISO/IEC 27001: 2013, vedlegg
A (jf. ISO/IEC 27002: 2013 for mer detaljerte beskrivelser av sikringstiltakene i vedlegg A).
Vedlegg A kan brukes som en sjekkliste for å forsikre seg om at aktuelle tiltak ikke er glemt
eller oversett, og for å kartlegge hvilke sikringstiltak som allerede er etablert.
Dersom ett eller flere av de anbefalte tiltakene i vedlegg A ikke iverksettes, bør dette
begrunnes skriftlig.
24
Vi foreslår at institusjonene benytter ”SOA_TEMPLATE_UNINETT_v10xls” som
arbeidsredskap ved etablering av sikringstiltak («Statement of Applicability»). Dette
verktøyet brukes for å kartlegge hvilke sikringstiltak som er etablert eller som er i ferd med å
bli etablert, og hvilke tiltak som ikke er aktuelle. Verktøyet finner du her (link til
”SOA_TEMPLATE_UNINETT_v10xls”).
25
Del 3 – kontrollerende dokumenterLedelsessystemets tredje hoveddel inneholder kontrollerende dokumenter. De
kontrollerende dokumentene omfatter retningslinjer for oppfølging, endring og forbedring
av arbeidet med informasjonssikkerhet.
Kontrollerende dokumenter inkluderer:
- Avviksmelding og avvikshåndtering
- Sikkerhetsrevisjon
- Årsrapport
- Referat fra ledelsens gjennomgang
26
Kommentarer til avviksmeldinger og avvikshåndteringAvvik er brudd på institusjonens rutiner for håndtering av informasjon, eller hendelser som
har ført til eller kan føre til brudd på informasjonssikkerheten. Alle sluttbrukere (ansatte,
studenter, osv.) skal melde slike avvik når de oppdages.
Grunnen til at melding av avvik er viktig, er både for å kartlegge årsaken til at de skjer og for
eventuelt å iverksette nye sikringstiltak for å unngå liknende avvik i fremtiden.
Avviksmeldinger gjennomgås i forbindelse med «Ledelsens gjennomgang» og kan danne
grunnlaget for endringer i ledelsens krav til arbeidet med informasjonssikkerhet.
Hvem som har ansvaret for håndtering av avvik fremgår av forslaget til
sikkerhetsorganisering beskrevet tidligere. Avvikshåndtering kan for eksempel omfatte
endringer av eller innskjerpinger i bruken av vedtatte rutiner, eller iverksetting av tekniske
sikringstiltak.
Personopplysningsloven med forskrift pålegger institusjonene å etablere et avviksmeldings-
og håndteringssystem når personopplysninger behandles elektronisk eller inngår i manuelle
personregistre, jf. forskriftens § 2-6. Alvorlige brudd på konfidensialiteten til
personopplysninger skal meldes til Datatilsynet. 7
Se forslag til avviksmeldingsskjema (SETT INN URL TIL DOKUMENTET AVVIKSSKJEMA)
(Se forslag til rutine for håndtering av hendelser, Tor sitt dokument)
7 I ISO/IEC 27 001: 2013 (A.16) benyttes begrepet hendelseshåndtering («Incident Management»). Dette er det samme som avviksmelding og håndtering i henhold til bestemmelsene i personopplysningsloven med forskrift.
27
Kommentarer til sikkerhetsrevisjonHensikten med sikkerhetsrevisjon er å kontrollere at det vedtatte ledelsessystemet for
informasjonssikkerhet innføres, driftes og vedlikeholdes i alle deler av institusjonen.
Sikkerhetsrevisjoner skal gjennomføres årlig, og i henhold til revisjonsplanen. Det er ikke
nødvendigvis slik at hele organisasjonen skal gjennomgå revisjon hvert år. I revisjonsplanen
er det naturlig at det fremgår hvilke deler av institusjonen som skal revideres. Ledelsens
gjennomgang kan komme med innspill til hvilke deler og områder som skal revideres.
To hovedtyper revisjoner er aktuelle:
- Etterlevelsesrevisjon, det vil si en revisjon som gjennomføres for å sjekke om
ledelsessystemet for informasjonssikkerhet fungerer etter hensikten.
- Revisjon av konkrete sikringstiltak, for eksempel med utgangspunkt i ISO/IEC 27001:
2013, vedlegg A.
Det er naturlig å opplyse om hvilken type revisjon som er gjennomført i innledningen til
revisjonsrapporten som utarbeides etter at revisjonen er gjennomført.
Revisjonen kan gjennomføres enten ved at enheten svarer på et elektronisk spørreskjema
eller ved at det gjennomføres en stedlig revisjon hos enheten eller begge deler. Det kan
være lurt å variere metodikk for å få en best mulig oversikt over tilstanden på
sikkerhetsområdet.
I lenken nedenfor følger et forslag til etterlevelsesrevisjon. Forslaget baserer seg på
utsendelse av elektronisk spørreskjema til alle fakulteter, institutter, avdelinger og andre
enheter som omfattes av ledelsessystemet for informasjonssikkerhet.
Det elektroniske spørreskjemaet kan også brukes som sjekkliste ved stedlig revisjon hos
utvalgte fakulteter, avdelinger eller andre enheter.
Se forslag til etterlevelsesrevisjon. (SETT INN URL TIL DOKUMENTET REVISJONSSKJEMA).
RevisjonsrapportCSO/CISO eller informasjonssikkerhetsrådgiver oppsummerer hovedfunnene fra revisjonen.
Her kan det legges vekt på tre forhold. For det første hva som virker å fungere som forutsatt. 28
For det andre hvilke avvik/problemer som virker å være gjennomgående. For det tredje
forslag til hvordan eventuelle avvik/problemer skal utbedres.
Revisjonsrapporten sendes til de øverste ansvarlige for informasjonssikkerheten ved de ulike
fakultetene/avdelingene/enhetene som har svart på spørreskjemaet (for eksempel direktør
og dekan). Deretter er det opp til de øverste ansvarlige å avgjøre hvordan forslagene til
utbedringer skal håndteres.
Revisjonsrapporten skal også behandles under ledelsens gjennomgang.
29
Kommentarer til ledelsens gjennomgang (LG)Hensikten med ledelsens gjennomgang er at universitets-/høgskoledirektør (eventuelt
rektor) blir orientert om og får grunnlag for styring av arbeidet med informasjonssikkerhet.
Ledelsens gjennomgang skal føre til at det blir stilt krav til arbeidet med
informasjonssikkerhet i neste periode (år).
Følgende momenter skal gjennomgås:
- Status på tiltak fra foregående ledelsens gjennomgang
o Hva er utført, og hva som eventuelt gjenstår
o Årsaker til avvik mellom årsplan og gjennomførte aktiviteter
- Sikkerhetsmål og strategi
o Vurdere om sikkerhetsmål og sikkerhetsstrategi fungerer som forutsatt.
o Vurdere eventuelle forslag til endringer i sikkerhetsmål og sikkerhetsstrategi.
o Vurdere økonomiske eller andre konsekvenser eventuelle endringer i mål og
strategi kan ha for institusjonen.
- Kriterier for akseptabel risiko
o Vurdere endring av kriterier for akseptabel basert på status på
informasjonssikkerhetsarbeidet og trusselbildet
- Sikkerhetsorganisering
o Vurdering av eksisterende organisering
o Vurdere behov for endringer i organiseringen
- Avviksmeldinger
o Gjennomgå de viktigste avvik i perioden.
o Vurdere behov for sikringstiltak basert på gjentatte eller alvorlige avvik
- Sikkerhetsrevisjon
o Gjennomgå status for arbeidet med informasjonssikkerhet i ulike deler i
institusjonen
- Status på risikovurderinger
o Hvilke risikovurderinger er gjennomført
o Hovedfunn fra risikovurderinger
- Status på håndtering av risiko30
o Gjennomgå status på risikohåndteringen i institusjonen
o Vurdere om risikohåndteringen er tilfredsstillende
- Ressurs- og kompetansebehov
o Vurdere behov for økte ressurser til arbeidet med informasjonssikkerhet
o Vurdere behovet for kompetanseheving (opplæring)
Med utgangspunkt i ledelsens gjennomgang skal universitets-/høgskoledirektør (eventuelt
rektor) orientere styret om status og behov.
Se forslag til årsrapport som utarbeides til og drøftes på ledelsens gjennomgang (SETT INN
URL TIL DOKUMENTET LEDELSENS GJENNOMGANG).
ReferatCISO/CSO eller informasjonssikkerhetsrådgiver skriver referat fra ledelsens gjennomgang.
I referatet skal det tydelig fremgå hvilke avgjørelser og tiltak som er besluttet. Høgskole-
eller universitetsdirektør (eventuelt rektor) skal undertegne referatet fra ledelsens
gjennomgang.
31
Vedlegg 1Oversikt over dokumenter i ISO/IEC27001:2013Nedenfor følger en oversikt over obligatoriske og anbefalte dokumenter i et ledelsessystem
for informasjonssikkerhet, i henhold til ISO/IEC 27001:2013. Til hvert dokument er det en
beskrivelse og en henvisning til de punkter i standarden hvor dokumentene er omtalt.
Forslaget til ledelsessystem for informasjonssikkerhet i UH-sektoren er basert på denne
standarden.
Dokument Henvisning til ISO27001:2013
Beskrivelse
Scope av ISMS 4.3 Et kort dokument som innleder ledelsessystemet og beskriver hva ledelsessystemet omfatter.
Informasjonssikkerhetspolicy (sikkerhetsmål og strategi)
5.2, 6.2 Beskriver hovedformålet med informasjonssikkerhetsarbeidet.
Risikovurdering og risikohåndtering
6.1.2 Beskriver metodeverk og rutiner for gjennomføring av risikovurderinger og håndtering av risiko.
SOA, Statement of Applicability 6.1.3 d Et dokument basert på vedlegg A i standarden. Beskriver hvilke sikringstiltak som er aktuelle og hvilke som ikke er det. Skal inneholde status og implementering for alle sikringstiltak som er aktuelle.
Plan for risikohåndtering 6.1.3 e, 6.2 Beskriver planlagte sikringstiltak på bakgrunn av SOA.
Rapport fra risikovurdering 8.2 Beskriver gjennomføring av og resultater fra risikovurderinger.
Definering av sikkerhetsroller og ansvar
A.7.1.2, A.13.2.4
Beskriver fordeling av ansvar, myndighet og arbeidsoppgaver.
Inventar-/utstyrsoversikt A.8.1.1 Gir en oversikt over inventar og utstyr som omfattes av arbeidet med informasjonssikkerhet.
Akseptabel bruk av inventar/utstyr
A.8.1.3 Beskriver hvilke rutiner og regler som gjelder for bruk av inventar og utstyr. Betegnes ofte som et IT-reglement.
32
Policy for aksesskontroll A.9.1.1 Beskriver institusjonens prosesser for å avgjøre hvem som skal ha tilgang til hvilke systemer.
Drifts- og bruksprosedyrer A.12.1.1 Beskriver hvordan de ulike IT-driftsoppgavene skal utføres slik at informasjonssikkerheten blir ivaretatt.
Etablering av sikkerhetsprinsipper for prosjektering og utvikling
A.14.2.5 Beskriver sikkerhetsprinsipper ved utvikling eller produksjon av informasjonssystemer.
Policy for etablering av databehandleravtaler og leverandørkontrakter/avtaler
A.15.1.1 Beskriver rutiner for avtaleutforming og inngåelse med eksterne eller interne leverandører av IT-tjenester, herunder hvilke sikkerhetskrav som skal stilles.
Håndtering av sikkerhetshendelser
A.16.1.5 Beskriver rutiner for hvordan institusjonen rapporterer og håndterer sikkerhetshendelser (avvik).
Prosedyrer for kontinuitet (reetablering)
A.17.1.2 Beskriver rutiner og tiltak for videreføring av kjerneoppgaver ved hendelser som gjør normal drift umulig (ISO/IEC 22301).
Oversikt over regulatoriske og avtalemessige krav
A.18.1.1 Beskriver institusjonens juridiske forpliktelser på informasjonssikkerhetsområdet.
Nivå 4, registreringer (dokumentasjon) Registreringer av opplæring, sertifiseringer/utdanning, erfaring og kvalifikasjoner
7.2 Beskrivelse av hvilken kompetanse institusjonen besitter på informasjonssikkerhetsområdet.
Monitorering og målingsresultater
9.1 Beskriver rutiner for hvordan institusjonen overvåker og måler tilstanden på informasjonssikkerhet.
Program for internrevisjon 9.2 Beskriver hvor ofte og hvordan institusjonen skal gjennomføre internrevisjon.
Resultater av internrevisjon 9.2 Beskriver hva som ble avdekket under internrevisjon.
33
Resultater av ledelsens gjennomgang
9.3 Beskriver tiltak og beslutninger vedtatt under ledelsens gjennomgang.
Korrigerende tiltak i ledelsessystemet
10.1 Beskriver hvilke endringer som er nødvendige for at ledelsessystemet skal fungere etter sin hensikt.
Logg av bruker- og administratoraktiviteter
A.12.4.1, A.12.4.3
Beskriver rutiner for aktivitetslogger skal håndteres, beskyttes og gjennomgås.
Dokumenter som ikke er obligatoriske. Se ISO/IEC 27001: 2013 for nærmere beskrivelse. Prosedyre for dokumentkontroll
7.5
Håndtering av registreringer 7.5
Policy for BYOD A.6.2.1Policy for mobile enheter og eksterntilgang
A.6.2.1
Policy for klassifisering av informasjon
A.8.2.1-3
Policy for passord A.9.2.1-2, A.9.2.4, A.9.3.1, A.9.4.3
Policy for avhending og destruksjon
A.8.3.2, A.11.2.7
Prosedyre for arbeid i sikre soner/områder
A.11.1.5
"Clean desk" og "clear screen" policy
A.11.2.9
Policy for endringshåndtering A.12.1.2, A.14.2.4
Policy for sikkerhetskopiering A.12.3.1Policy for overføring av informasjon
A.13.2.1-3
BIA, Business Impact Analysis A.17.1.1Plan for trening og testing av kontinuitetsplan
A.17.1.3
Plan for vedlikehold og revisjon av kontinuitetsplan
A.17.1.3
Strategi for kontinuitet i virksomheten
A.17.2.1
34
Egne notater:
35
LisensieringDenne veilederen er lisensiert under en Creative Commons Navngivelse-IkkeKommersiell-DelPåSammeVilkår 3.0 Norsk lisens. CC BY-NC-SA 3.0 NO
Det betyr at du har lov til å:Dele — kopiere, distribuere og spre verket i hvilket som helst medium eller formatBearbeide — remixe, endre, og bygge videre på materialet
På følgende vilkår: Navngivelse — Du må oppgi korrekt kreditering, oppgi en lenke til lisensen, og indikere om
endringer er blitt gjort. Du kan kan gjøre dette på enhver rimelig måte, men uten at det kan forstås slik at lisensgiver bifaller deg eller din bruk av verket.
IkkeKommersiell — Du kan ikke benytte materialet til kommersielle formål. DelPåSammeVilkår — Dersom du remixer, bearbeider eller bygger på materialet, må du
distribuere dine bidrag under samme lisens som originalen. Ingen ytterligere begrensninger — Du kan ikke gjøre bruk av juridiske betingelser eller
teknologiske tiltak som lovmessig hindrer andre i å gjøre noe som lisensen tillater.
36