En veileder i ledelsessystem for informasjonssikkerhet i UH-sektoren

Basert på ISO/IEC 27001:2013

Versjon 2.0

1

Forord

Universiteter og høyskoler er pålagt å innføre et ledelsessystem for informasjonssikkerhet.

Dette følger både av lovgivningen som gjelder i universitets- og høyskolesektoren og av nye

krav som Kunnskapsdepartementet stiller til institusjonene i tildelingsbrevet.

Ledelsessystemet skal være en del av institusjonenes generelle system for kvalitetsstyring og

internkontroll.

Denne veilederen inneholder forslag til ledelsessystem for informasjonssikkerhet i

universiteter og høyskoler. Ledelsessystemet er utarbeidet av Sekretariatet for

informasjonssikkerhet i universitets- og høyskolesektoren i samarbeid med Senter for

rettsinformatikk, Universitetet i Oslo. Forslaget baserer seg på anerkjente standarder for

statsforvaltningen (ISO/IEC 27001/02: 20131) og ivaretar de kravene som lovverket stiller til

slike ledelsessystemer.2

Formål og målgruppe

Formålet med veilederen er å bidra til at universiteter og høyskoler forvalter sine

informasjonsverdier på en sikker og profesjonell måte. Veilederen retter seg mot ledere og

ansatte med ansvar for informasjonssikkerhet.

Bakgrunn

Utformingen av forslaget til ledelsessystem tar utgangspunkt i en kartlegging av erfaringer

med informasjonssikkerhetsarbeid i universiteter og høyskoler. Kartleggingen ble

gjennomført høsten 2013 og våren 20143. Forslaget er derfor tilpasset de særegne

forholdene som gjør seg gjeldende i sektoren.

Lokaltilpasning

Selv om ledelsessystemet er spesielt tilpasset universiteter og høyskoler, er det viktig at

institusjoner som baserer sitt arbeid med informasjonssikkerhet på forslaget, tilpasser

1 Se Digitaliseringsrundskrivet punkt 1.7, DIFIs referansekatalog https://www.difi.no/artikkel/2015/10/internkontroll-styringssystem-ledelsessystem-informasjonssikkerhet , og handlingsplanen til Nasjonal strategi for informasjonssikkerhet, tiltak 1.1.

2 I vedlegg 1 gis en oversikt over hvilke obligatoriske og anbefalte dokumenter som inngår i ISO/IEC 27001: 2013. 3 https://www.uninett.no/webfm_send/893

2

ledelsessystemet til lokale forhold. Uten lokaltilpasning er det sannsynlig at institusjonene

ikke vil lykkes med å gjøre ledelsessystemet til sitt eget. Dermed kan det også bli vanskelig å

innføre og drifte ledelsessystemet.

Oppbygging

Forslaget til ledelsessystem er inndelt i følgende hoveddeler: en styrende del, en

gjennomførende del og en kontrollerende del. Hoveddelene omhandler de tre

kjerneaktivitetene som et systematisk og planlagt informasjonssikkerhetsarbeid består av.

Hver hoveddel består av (a) kommentarer til de dokumenter og oppgaver som inngår i et

ledelsessystem for informasjonssikkerhet og (b) forslag til utforming av de viktigste

dokumentene og arbeidsredskapene som inngår i ledelsessystemet. Til hvert av forslagene

er det laget maler som institusjonene kan anvende i arbeidet med etableringen av sine egne

ledelsessystemer. Lenker til malene finnes fortløpende i teksten (nederst under hver

deloverskrift).

Videreutvikling

Videreutvikling av ledelsessystem for informasjonssikkerhet vil være en prioritert oppgave

for Sekretariatet for informasjonssikkerhet i universitets- og høyskolesektoren.

Utviklingsarbeidet vil basere seg på praktiske erfaringer med innføring og bruk av

ledelsessystemet i sektoren.

Sekretariatet håper at så mange institusjoner som mulig vil delta i det videre

utviklingsarbeidet. Dels ved å ta ledelsessystemet i bruk og dels ved å dele egne erfaringer

med resten av sektoren. På denne måten kan forslaget til ledelsessystem forbedres av

sektoren i fellesskap. Dette vil være et viktig bidrag til at arbeidet med forvaltning av

samfunnsviktige informasjonsverdier kan styrkes og profesjonaliseres i enda større grad enn

i dag.

Kurs og bistand

Sekretariatet for informasjonssikkerhet vil tilby institusjonene bistand til innføring og

revisjon av ledelsessystemet. Det vil også bli utarbeidet og gjennomført kurs i innføring og

drift av ledelsessystemet. Kurset vil være spesielt tilpasset universiteter og høyskoler.

3

Ta gjerne kontakt med Rolf Sture Normann (rolfnor@uninett.no) eller Tommy Tranvik

(tommy.tranvik@jus.uio.no) dersom du har spørsmål vedrørende prosjektet eller

ledelsessystemet.

4

InnholdForord.....................................................................................................................................................2

Formål og målgruppe.........................................................................................................................2

Bakgrunn............................................................................................................................................2

Lokaltilpasning....................................................................................................................................2

Oppbygging........................................................................................................................................3

Videreutvikling...................................................................................................................................3

Kurs og bistand...................................................................................................................................3

Kommentarer til innledning...................................................................................................................8

Del 1 – styrende dokumenter...............................................................................................................10

Kommentarer til avgrensning av ledelsessystemet..............................................................................11

Kommentarer til sikkerhetsmål og kriterier for akseptabel risiko........................................................12

Kommentarer til sikkerhetsstrategi......................................................................................................13

Kommentarer til sikkerhetsorganisering..............................................................................................14

Del 2 – gjennomførende dokumenter..................................................................................................16

Kommentarer til kartlegging av informasjonsverdier...........................................................................17

Kommentarer til årsplan for CSO/CISO eller informasjonssikkerhetsrådgiver......................................18

Kommentarer til risikovurdering..........................................................................................................19

Forslag til risikovurderingsrapport – oversikt over uønskede hendelser..........................................21

Forslag til risikovurderingsrapport – risikofaktor for hver uønsket hendelse...................................21

Kommentarer til risikohåndteringsplan................................................................................................22

Håndtering av risiko..........................................................................................................................22

Kommentarer til etablering av sikringstiltak........................................................................................24

Del 3 – kontrollerende dokumenter.....................................................................................................26

Kommentarer til avviksmeldinger og avvikshåndtering.......................................................................27

Kommentarer til sikkerhetsrevisjon.....................................................................................................28

Revisjonsrapport..............................................................................................................................29

Kommentarer til ledelsens gjennomgang (LG).....................................................................................30

Referat..........................................................................................................................................31

Vedlegg 1..............................................................................................................................................32

Oversikt over dokumenter i ISO/IEC27001:2013..............................................................................32

Egne notater:........................................................................................................................................36

Lisensiering...........................................................................................................................................37

5

6

Ledelsessystem for informasjonssikkerhet ved

[INSTITUSJON]

Basert på ISO/IEC 270001/02: 2013

7

Kommentarer til innledning Det kan være hensiktsmessig at hver institusjon lager en kort innledning til sitt

ledelsessystem for informasjonssikkerhet. Innledningen bør i første rekke henvende seg til

ledere og ansatte som er lite kjent med arbeidet med informasjonssikkerhet, og den bør

inneholde to hovedpunkter:

1. Definisjon av hva arbeidet informasjonssikkerhet handler om (risikostyring og sikring

av informasjonens konfidensialitet, integritet og tilgjengelighet).

2. Begrunnelse for og forklaring av hvorfor arbeidet med informasjonssikkerhet er viktig

og nødvendig (informasjonsforvaltning, lovpålagte krav og forventninger fra

Kunnskapsdepartementet).

Se eksempel på innledning (LEGG INN URL TIL DOKUMENT HER)

8

Oversikt over ledelsessystem med kommentarer, forslag og link til maler

9

Del 1 – styrende dokumenterLedelsessystemets første hoveddel inneholder styrende dokumenter. De styrende

dokumentene definerer rammene for institusjonens arbeid med informasjonssikkerhet.

Styrende dokumenter omfatter beskrivelser av følgende forhold:

- Avgrensning av ledelsessystemet («scope»)

- Sikkerhetsmål og kriterier for akseptabel risiko

- Sikkerhetsstrategi4

- Sikkerhetsorganisasjon

4 I mange ledelsessystemer benyttes begrepet «informasjonssikkerhetspolicy». Dette begrepet omfatter vanligvis sikkerhetsmål, akseptkriterier og sikkerhetsstrategi.

10

Kommentarer til avgrensning av ledelsessystemetAvgrensning av ledelsessystemet dreier seg om å beskrive hvilke deler av organisasjonen,

tekniske ressurser og informasjonsverdier som inngår i ledelsessystemet. Hensikten med

avgrensningen er ikke bare å definere hva og hvem som omfattes av arbeidet med

informasjonssikkerhet. Avgrensningen kan også tjene en pedagogisk hensikt, det vil si å vise

at informasjonssikkerhet er et bredt arbeidsfelt som krever et visst minimum av ressurser og

fokus.

I lenkene nedenfor skisseres to forslag til avgrensning av ledelsessystemet – det første mer

omfattende enn det andre. Institusjonene må selv velge hvilket forslag de ønsker å basere

seg på. Mindre institusjoner vil trolig kunne basere seg på det enkleste forslaget til

avgrensning.

Uavhengig av hvilket forslag som velges, er det viktig å være oppmerksom på at alle

institusjonene er rettslig pålagt å ha konfigurasjonskart for datanettverk (og IT-ressurser i

nettverket) som behandler personopplysninger.5 Oversikter over de IT-ressursene som

inngår i ledelsessystemet bør derfor ivaretas gjennom et konfigurasjonskart (som viser IT-

systemer og relasjonene mellom dem) supplert med en systemoversikt (som viser hvilke IT-

systemer som driftes av institusjonen, databehandlere eller andre eksterne aktører).

Konfigurasjonskartet skal gi en overordnet informasjon om sikringstiltak i datanettverket, for

eksempel soneinndelinger, plassering av brannmurer, VLAN, DMZ, osv.

Institusjonene bør også lage en oversikt over informasjonsverdier som de er ansvarlige for.

Oversikten bør inneholde en klassifisering av informasjonen som behandles i de ulike IT-

systemene (se også avsnittet «Kartlegging av informasjonsverdier»).

Se forslag til avgrensning av ledelsessystem, forslag 1 og 2 (URL med lenke til dokumenter)

5 Personopplysningsforskriften § 2-7.11

Kommentarer til sikkerhetsmål og kriterier for akseptabel risikoSikkerhetsmål og kriterier for akseptabel risiko skal peke ut hovedretningen for arbeidet med

informasjonssikkerhet. Sikkerhetsmålene skal beskrive hva ledelsen ønsker å oppnå med

informasjonssikkerhetsarbeidet, mens kriterier for akseptabel risiko skal gi en pekepinn på

hvor godt ledelsen ønsker å sikre ulike typer informasjonsverdier mot brudd på

konfidensialiteten, integriteten og tilgjengeligheten.

Når det gjelder elektronisk behandling av personopplysninger og personopplysninger som

inngår i manuelle personregistre, er institusjonene pålagt å sørge for tilfredsstillende

informasjonssikkerhet.6 Kravet om tilfredsstillende informasjonssikkerhet gjelder også for

andre typer informasjonsverdier, for eksempel økonomi- og regnskapsdata. Både

sikkerhetsmål og kriterier for akseptabel risiko må derfor utformes slik at tilfredsstillende

informasjonssikkerhet oppnås.

I tillegg til at sikkerhetsmålene skal tilkjennegi formålet med informasjonssikkerhetsarbeidet,

kan de også fungere som pedagogiske hjelpemidler: sikkerhetsmålene forteller resten av

institusjonen at arbeidet skal prioriteres og hvorfor det er viktig.

Kriterier for akseptabel risiko som skal gjelde for hele institusjonen, vil være overordnede og

uttrykke institusjonens hovedkrav til sikring av informasjonsverdier. Det kan derfor være

behov for at ledelsen ved ulike enheter (fakulteter, forsknings- eller undervisningsavdelinger,

administrative enheter, osv.) konkretiserer hva akseptkriterier innebærer «her hos oss».

Konkretiseringene må være i tråd med de hovedkravene som institusjonens overordnede

akseptkriterier innebærer.

Se forslag til sikkerhetsmål (LEGG INN URL TIL DOKUMENTENE HER)

Se forslag til akseptkriterier (LEGG INN URL TIL DOKUMENTENE HER)

6 Personopplysningsloven § 13.12

Kommentarer til sikkerhetsstrategi Sikkerhetsstrategien skal inneholde en kort oversikt over de grunnleggende prioriteringer

som institusjonens ledelse tar for å følge opp og realisere sikkerhetsmålene. Strategien skal

altså skissere hva ledelsen mener er viktigst å gjøre for at mål og akseptkriterier skal få

praktisk betydning for den daglige håndteringen av institusjonens informasjonsverdier.

Det er viktig å være oppmerksom at sikkerhetsstrategien – og oppfølgingen av denne – vil

innebære at ledelsen forplikter seg til å bruke ressurser på arbeidet med

informasjonssikkerhet. De hovedprioriteringene som strategien uttrykker må derfor avspeile

seg i det øvrige plan- og strategiarbeidet, og i interne budsjettprosesser.

Forslaget til sikkerhetsstrategi som presenteres i lenken nedenfor inneholder enkelte

formuleringer når det gjelder bruk av skytjenester eller andre typer databehandlere. Det kan

tenkes at institusjonene selv ønsker å håndtere disse utfordringene på andre måter enn det

som er skissert i eksempeldokumentet som du finner her.

Se forslag til sikkerhetsstrategi (URL TIL MALDOKUMENT SIKKERHETSSTRATEGI HER).

13

Kommentarer til sikkerhetsorganiseringSikkerhetsorganisasjonen fordeler myndighet, ansvar og oppgaver mellom aktører som skal

jobbe med informasjonssikkerheten ved institusjonen – fra toppledelsen og ut til

sluttbrukerne (ansatte, studenter, gjester, osv.).

Det er viktig at beskrivelsen av sikkerhetsorganisasjonen er tydelig. Dette betyr at

beskrivelsen skal gi klare svar på tre hovedspørsmål:

1. Hvem inngår i sikkerhetsorganisasjonen?

2. Hva har hver enkelt aktør som inngår i sikkerhetsorganisasjonen ansvaret for?

3. Hvilke konkrete oppgaver skal hver enkelt aktør utføre?

Uten at svarene på disse spørsmålene er tydelige og bekjentgjort, er det lite sannsynlig at

sikkerhetsorganisasjonen vil kunne utføre det arbeidet den er satt til å gjøre.

Enkelte institusjoner kan velge å opprette et informasjonssikkerhetsforum som skal

koordinere arbeidet med informasjonssikkerhet. Oppgavene til et slikt forum kan legges til et

allerede eksisterende organ ved institusjonen. Det er altså ikke nødvendig å opprette et eget

organ for å ivareta informasjonssikkerhetsforumets oppgaver. Institusjoner som velger å

oppnevne et eget informasjonssikkerhetsforum kan ta utgangspunkt beskrivelsen av

forumets myndighet, ansvar og oppgaver som beskrives i eksemplet til

sikkerhetsorganisering.

Avdelinger eller enheter kan ha tverrgående ansvar for informasjonssikkerheten på et

bestemt område. Med dette menes for eksempel at avdelinger i sentraladministrasjonen kan

være eiere av IT-systemer eller tjenester som også anvendes i andre avdelinger eller enheter

ved institusjonen (for eksempel administrative fellessystemer). Avdelinger eller enheter med

et slikt ansvar har som oppgave å vurdere behovet for sikringstiltak som omfatter alle som

anvender «deres» systemer eller tjenester.

14

IT-avdelinger (eller tilsvarende) og Eiendomsavdelinger (eller tilsvarende) har et særlig

tverrgående ansvar for informasjonssikkerheten når det gjelder IT-infrastruktur og fysisk

infrastruktur. Myndighet, ansvar og oppgaver til lederne i disse avdelingene vil derfor bli

behandlet særskilt i vårt forslag til sikkerhetsorganisering.

Legg merke til at vårt forslag til sikkerhetsorganisering må tilpasses institusjoner hvor

«særlige organisatoriske forhold» gjør seg gjeldende. Slike tilpasninger kan for eksempel

være aktuelt i institusjoner som baserer seg på en styringsmodell med enhetlig ledelse, i

institusjoner som har Computer Emergency Respons Team (CERT) eller i institusjoner som

både har Chief Security Officer (CSO) og Cheif Information Security Officer (CISO).

Sekretariatet for informasjonssikkerhet i UH-sektoren kan bistå i arbeidet med

lokaltilpasning av sikkerhetsorganiseringen.

Se forslag til sikkerhetsorganisering (SETT INN DOKUMENT SIKKERHETSORGANISERING HER).

15

Del 2 – gjennomførende dokumenterLedelsessystemets andre hoveddel inneholder gjennomførende dokumenter. De

gjennomførende dokumentene beskriver retningslinjer for utførelsen av konkrete

arbeidsoppgaver og rutiner for iverksetting av sikringstiltak.

Gjennomførende dokumenter omfatter:

- Kartlegging av informasjonsverdier

- Årsplan for CSO/CISO eller informasjonssikkerhetsrådgiver

- Risikovurderinger

- Risikohåndteringsplan

- Etablering av sikringstiltak («Statement of Applicability, SOA»)

16

Kommentarer til kartlegging av informasjonsverdierKartlegging av informasjonsverdier tilhører de faste oppgavene til CSO/CISO eller

informasjonssikkerhetsrådgiver. Dette er en viktig oppgave fordi den danner grunnlaget for

alt annet sikkerhetsarbeid. Institusjonen må derfor ha en viss oversikt over hvilke

informasjon den forvalter, hvor kritisk eller sensitiv ulike typer informasjon er, hvor

informasjonen befinner seg og hvem som har ansvaret for den.

Institusjoner med detaljerte arkivplaner kan bruke disse som utgangspunkt for arbeidet med

kartlegging av informasjonsverdier. Systemoversikter som viser hvilke hovedtyper

informasjon de ulike IT-systemene eller tjenestene behandler, vil også være et nyttig

utgangspunkt.

Kartlegging av informasjonsverdier kan være en utfordrende oppgave som kan utføres på

forskjellig detaljeringsnivå. I lenken nedenfor følger et forslag til kartleggingsskjema som er

relativt lite detaljert, men som likevel gir en hensiktsmessig oversikt. Skjemaet er

system-/tjenestebasert, det vil si at det legger opp til kartlegging av informasjon i de ulike IT-

systemene/tjenestene som institusjonen anvender. Ved å bruke skjemaet i

kartleggingsarbeidet får institusjonen svar på følgende spørsmål:

o Hvilke IT-systemer/tjenester anvender institusjonen?

o Hvem eier de ulike systemene/tjenestene?

o Hvilke typer informasjonsverdier behandles i systemene/tjenestene?

o Hvem har driftsansvaret for systemene/tjenestene?

o Hvilke rettslige reguleringer (om noen) gjelder for de informasjonsverdiene som

behandles i systemene/tjenestene?

o Hvordan skal informasjonsverdiene klassifiseres i henhold til institusjonens kriterier

for akseptabel risiko?

Se dokumentet eksempel på kartleggingsskjema (SETT INN URL TIL DOKUMENTET

KARTLEGGING AV INFORMASJONSVERDIER)

17

Kommentarer til årsplan for CSO/CISO eller informasjonssikkerhetsrådgiverÅrsplanen er et verktøy for den som til daglig utøver ledelsens ansvar for

informasjonssikkerhet ved institusjonen. Planen inneholder årsmålsetninger for arbeidet

med informasjonssikkerhet og konkrete arbeidsoppgaver for det kommende året. Både

årsmålsetningene og arbeidsoppgavene utgår fra og skal understøtte institusjonens

overordnede sikkerhetsmål og sikkerhetsstrategi.

I tillegg til institusjonens overordnede sikkerhetsmål og strategi, vil svakheter eller mangler

ved ledelsessystemet avdekket under «Ledelsens gjennomgang» kunne påvirke innholdet i

årsplanen.

Forslaget til årsplan inneholder to momenter. For det første en samlet oversikt over

årsmålsetningene for informasjonssikkerhetsarbeidet og hvordan de skal oppnås. For det

andre særskilte planer for gjennomføring av de faste oppgavene som CSO/CISO eller

informasjonssikkerhetsrådgiver er ansvarlig for: risikovurderinger, opplærings- og

informasjonstiltak, sikkerhetsrevisjoner og ledelsens gjennomgang.

Se forslag til årsplan for CSO/CISO/Informasjonssikkerhetsrådgiver (SETT INN URL TIL

DOKUMENTENE ÅRSPLAN HER)

18

Kommentarer til risikovurdering Risikovurderinger er en viktig del av informasjonssikkerhetsarbeidet. Ved at institusjonen har

kartlagt sine informasjonsverdier (se ovenfor) har den skaffet seg en oversikt over hvilke IT-

systemer/tjenester eller arbeidsprosesser som skal risikovurderes, hvilke

informasjonsverdier de behandler, hvem som har ansvaret for å gjennomføre vurderingene

(system- eller tjenesteeier) og hvilke krav som stilles til sikkerheten i systemene/tjenestene

eller arbeidsprosessene.

Risikovurderinger handler om to ting:

1. Identifisere uønskede hendelser, det vil si hendelser som kan føre til brudd på

informasjonsverdienes konfidensialitet, integritet og tilgjengelighet.

2. Vurdere risikoen – sannsynlighet og konsekvens – for hver uønsket hendelse som er

identifisert.

Dersom risikoen (sannsynlighet og konsekvens) for én eller flere uønskede hendelser er

høyere enn det institusjonen har definert som akseptabelt, må risikoen håndteres, for

eksempel ved at forebyggende tiltak (sikringstiltak) iverksettes. Risikohåndtering er en egen

prosess som behandles senere i veilederen.

Selve risikovurderingsprosessen består av tre hoveddeler. Dette er:

1. Forberedelse

o Bestemme hvilket område som skal risikovurderes (en IT-løsning, en

arbeidsprosess, bygningsmessige forhold, osv.).

o Bestemme hvem og hvor mange som skal delta i risikovurderingen (daglige

brukere, superbrukere, lokalt eller sentralt IT-ansatte, vitenskapelig ansatte,

studenter, osv.),

o Informere deltakerne om hva som skal risikovurderes og hvordan de skal

forberede seg til risikovurderingen.

2. Gjennomføring

o Identifisere og diskutere uønskede hendelser – hva kan føre til brudd på

informasjonsverdienes konfidensialitet, integritet og tilgjengelighet?

19

o Vurdere risikoen for hver enkelt uønsket hendelse – hva er sannsynligheten

for og konsekvensen av at de uønskede hendelsene inntreffer?

3. Etterarbeid

o Lage en risikovurderingsrapport som viser (a) hvilke uønskede hendelser som

ble identifisert, (b) risikoen for hver enkelt uønsket hendelse og (c) fremheve

alle uønskede hendelser med uakseptabel høy risiko.

o Forslag til hvordan uønskede hendelser med uakseptabel høy risiko bør

håndteres.

o Sende rapporten til lederen ved det fakultetet, avdelingen eller enheten hvor

risikovurderingen ble foretatt og som er ansvarlig for at

informasjonssikkerheten er tilfredsstillende.

Nedenfor følger et forslag til gjennomføring av risikovurderinger. Forslaget omfatter

følgende momenter:

o Forberedende informasjon til de som bes om å delta i risikovurderinger.

o Risikomatrisen som brukes av deltakerne ved fastsettelse av uønskede hendelsers

sannsynlighet og konsekvens.

o Risikovurderingsrapport som gir en oversikt over (a) hvilke uønskede hendelser som

ble identifisert og (b) risikofaktoren for hver uønsket hendelse (verdien for

sannsynlighet multiplisert med verdien for konsekvens).

Vi bruker risikovurdering av innloggingstjenesten Feide som eksempel.

Veileder i gjennomføring av risikovurdering (SETT INN URL)

Forslag til regneark for gjennomføring av risikovurdering (SETT INN URL)

Forslag til forberedende informasjon (SETT INN URL)

20

Forslag til risikovurderingsrapport – oversikt over uønskede hendelser

Forslag til risikovurderingsrapport (SETT INN URL)

21

Kommentarer til risikohåndteringsplanEtter at det er gjennomført risikovurderinger, er det avgjørende at risikoen for uønskede

hendelser håndteres. Det innebærer for eksempel at man iverksetter tiltak for hver uønsket

hendelse med en uakseptabel høy risikofaktor (verdien for sannsynlighet multiplisert med

verdien for konsekvens). I denne fasen velger man altså hvilke tiltak som skal iverksette for å

redusere sannsynligheten for eller konsekvensen av uønskede hendelser.

Effekten av iverksatte sikringstiltak – i hvilken grad de har bidratt til å redusere risikoen for

uønskede hendelser til et tilfredsstillende nivå – bør gjennomgås ved neste risikovurdering

av det samme IT-systemet eller tjenesten.

Selv om iverksetting av sikringstiltak er den vanligste måten å håndtere uønskede hendelser

med uakseptabel høy risikofaktor på, finnes det også andre måter å håndtere risiko på.

Tabellen nedenfor gir en oversikt over de ulike måtene som risiko kan håndteres på.

Håndtering av risiko

TEKNIKK BESKRIVELSE

AKSEPTER Her godtar man den aktuelle risikoen. Å akseptere en risiko innebærer at man er klar over at den uønskede hendelsen kan skje, men man vurderer sannsynligheten og konsekvensen som så liten at sikringstiltak ikke iverksettes.

UNNGÅ Her forsøker man å unngå muligheten for at den uønskede hendelsen kan skje. Eksempler på dette er:

1. Stenge tjenesten, avslutte bruken.2. Ikke tillatt bruk av tjenesten.

REDUSERE/KONTROLLERE

Her iverksetter man tiltak som reduserer sannsynligheten for at uønskede hendelser skal skje eller skadevirkningen (konsekvensen) av hendelsen dersom den likevel skulle inntreffe. Dette er den vanligste måten å håndtere risiko.

OVERFØRE Her «kjøper man seg fri» fra risikoen. Et eksempel er å tegne forsikring (redusere konsekvensen av en uønsket hendelse). Man kan også se på outsourcing/fjerndrift som en måte å overføre risiko på.

Dersom risikovurderingen avdekker uønskede hendelser med uakseptabel høy risikofaktor,

bør det settes opp en liten plan for hvordan risikoen skal håndteres.

Se forslag til risikohåndteringsplan (SETT INN URL TIL DOKUMENTET

RISIKOHÅNDTERINGSPLAN)

22

23

Kommentarer til etablering av sikringstiltak Ovenfor har vi sett at en risikohåndteringsplan blant annet bør inneholde en beskrivelse av

uønskede hendelser med uakseptabel høy risikofaktor og hvilke sikringstiltak som skal

iverksettes for å redusere risikoen for at hendelsene inntreffer. Deretter må sikringstiltak

etableres av den eller de som har ansvaret for å håndtere risikoen. Vi har også sett at

formålet med sikringstiltakene er å redusere risikoen for brudd på informasjonsverdienes

konfidensialitet, integritet eller tilgjengelighet til et nivå som er i tråd med institusjonens

kriterier for akseptabel risiko.

Ulike typer sikringstiltak kan være aktuelle. Det er vanlig å dele sikringstiltakene inn i

følgende hovedkategorier:

• Pedagogiske tiltak (for eksempel kompetanseheving,

opplæring/veiledning eller bevisstgjøring).

• Organisatoriske tiltak (for eksempel endringer i

sikkerhetsorganiseringen – fordelingen av ansvar, myndighet og

oppgaver – eller økte bevilgninger/ressurser).

• Administrative tiltak (for eksempel nye rutiner for sikker håndtering av

informasjonsverdier eller endringer i etablerte rutiner).

• Tekniske tiltak (for eksempel soneinndeling av nettverk, kryptering,

tiltak mot ødeleggende programvare, økt lagringskapasitet, nye

autentiseringsmekanismer, osv.).

• Fysiske tiltak (for eksempel sikring av bygninger/rom, brannsikring,

kjøleanlegg, osv.).

Valg av konkrete sikringstiltak kan basere seg på tiltakslisten i ISO/IEC 27001: 2013, vedlegg

A (jf. ISO/IEC 27002: 2013 for mer detaljerte beskrivelser av sikringstiltakene i vedlegg A).

Vedlegg A kan brukes som en sjekkliste for å forsikre seg om at aktuelle tiltak ikke er glemt

eller oversett, og for å kartlegge hvilke sikringstiltak som allerede er etablert.

Dersom ett eller flere av de anbefalte tiltakene i vedlegg A ikke iverksettes, bør dette

begrunnes skriftlig.

24

Vi foreslår at institusjonene benytter ”SOA_TEMPLATE_UNINETT_v10xls” som

arbeidsredskap ved etablering av sikringstiltak («Statement of Applicability»). Dette

verktøyet brukes for å kartlegge hvilke sikringstiltak som er etablert eller som er i ferd med å

bli etablert, og hvilke tiltak som ikke er aktuelle. Verktøyet finner du her (link til

”SOA_TEMPLATE_UNINETT_v10xls”).

25

Del 3 – kontrollerende dokumenterLedelsessystemets tredje hoveddel inneholder kontrollerende dokumenter. De

kontrollerende dokumentene omfatter retningslinjer for oppfølging, endring og forbedring

av arbeidet med informasjonssikkerhet.

Kontrollerende dokumenter inkluderer:

- Avviksmelding og avvikshåndtering

- Sikkerhetsrevisjon

- Årsrapport

- Referat fra ledelsens gjennomgang

26

Kommentarer til avviksmeldinger og avvikshåndteringAvvik er brudd på institusjonens rutiner for håndtering av informasjon, eller hendelser som

har ført til eller kan føre til brudd på informasjonssikkerheten. Alle sluttbrukere (ansatte,

studenter, osv.) skal melde slike avvik når de oppdages.

Grunnen til at melding av avvik er viktig, er både for å kartlegge årsaken til at de skjer og for

eventuelt å iverksette nye sikringstiltak for å unngå liknende avvik i fremtiden.

Avviksmeldinger gjennomgås i forbindelse med «Ledelsens gjennomgang» og kan danne

grunnlaget for endringer i ledelsens krav til arbeidet med informasjonssikkerhet.

Hvem som har ansvaret for håndtering av avvik fremgår av forslaget til

sikkerhetsorganisering beskrevet tidligere. Avvikshåndtering kan for eksempel omfatte

endringer av eller innskjerpinger i bruken av vedtatte rutiner, eller iverksetting av tekniske

sikringstiltak.

Personopplysningsloven med forskrift pålegger institusjonene å etablere et avviksmeldings-

og håndteringssystem når personopplysninger behandles elektronisk eller inngår i manuelle

personregistre, jf. forskriftens § 2-6. Alvorlige brudd på konfidensialiteten til

personopplysninger skal meldes til Datatilsynet. 7

Se forslag til avviksmeldingsskjema (SETT INN URL TIL DOKUMENTET AVVIKSSKJEMA)

(Se forslag til rutine for håndtering av hendelser, Tor sitt dokument)

7 I ISO/IEC 27 001: 2013 (A.16) benyttes begrepet hendelseshåndtering («Incident Management»). Dette er det samme som avviksmelding og håndtering i henhold til bestemmelsene i personopplysningsloven med forskrift.

27

Kommentarer til sikkerhetsrevisjonHensikten med sikkerhetsrevisjon er å kontrollere at det vedtatte ledelsessystemet for

informasjonssikkerhet innføres, driftes og vedlikeholdes i alle deler av institusjonen.

Sikkerhetsrevisjoner skal gjennomføres årlig, og i henhold til revisjonsplanen. Det er ikke

nødvendigvis slik at hele organisasjonen skal gjennomgå revisjon hvert år. I revisjonsplanen

er det naturlig at det fremgår hvilke deler av institusjonen som skal revideres. Ledelsens

gjennomgang kan komme med innspill til hvilke deler og områder som skal revideres.

To hovedtyper revisjoner er aktuelle:

- Etterlevelsesrevisjon, det vil si en revisjon som gjennomføres for å sjekke om

ledelsessystemet for informasjonssikkerhet fungerer etter hensikten.

- Revisjon av konkrete sikringstiltak, for eksempel med utgangspunkt i ISO/IEC 27001:

2013, vedlegg A.

Det er naturlig å opplyse om hvilken type revisjon som er gjennomført i innledningen til

revisjonsrapporten som utarbeides etter at revisjonen er gjennomført.

Revisjonen kan gjennomføres enten ved at enheten svarer på et elektronisk spørreskjema

eller ved at det gjennomføres en stedlig revisjon hos enheten eller begge deler. Det kan

være lurt å variere metodikk for å få en best mulig oversikt over tilstanden på

sikkerhetsområdet.

I lenken nedenfor følger et forslag til etterlevelsesrevisjon. Forslaget baserer seg på

utsendelse av elektronisk spørreskjema til alle fakulteter, institutter, avdelinger og andre

enheter som omfattes av ledelsessystemet for informasjonssikkerhet.

Det elektroniske spørreskjemaet kan også brukes som sjekkliste ved stedlig revisjon hos

utvalgte fakulteter, avdelinger eller andre enheter.

Se forslag til etterlevelsesrevisjon. (SETT INN URL TIL DOKUMENTET REVISJONSSKJEMA).

RevisjonsrapportCSO/CISO eller informasjonssikkerhetsrådgiver oppsummerer hovedfunnene fra revisjonen.

Her kan det legges vekt på tre forhold. For det første hva som virker å fungere som forutsatt. 28

For det andre hvilke avvik/problemer som virker å være gjennomgående. For det tredje

forslag til hvordan eventuelle avvik/problemer skal utbedres.

Revisjonsrapporten sendes til de øverste ansvarlige for informasjonssikkerheten ved de ulike

fakultetene/avdelingene/enhetene som har svart på spørreskjemaet (for eksempel direktør

og dekan). Deretter er det opp til de øverste ansvarlige å avgjøre hvordan forslagene til

utbedringer skal håndteres.

Revisjonsrapporten skal også behandles under ledelsens gjennomgang.

29

Kommentarer til ledelsens gjennomgang (LG)Hensikten med ledelsens gjennomgang er at universitets-/høgskoledirektør (eventuelt

rektor) blir orientert om og får grunnlag for styring av arbeidet med informasjonssikkerhet.

Ledelsens gjennomgang skal føre til at det blir stilt krav til arbeidet med

informasjonssikkerhet i neste periode (år).

Følgende momenter skal gjennomgås:

- Status på tiltak fra foregående ledelsens gjennomgang

o Hva er utført, og hva som eventuelt gjenstår

o Årsaker til avvik mellom årsplan og gjennomførte aktiviteter

- Sikkerhetsmål og strategi

o Vurdere om sikkerhetsmål og sikkerhetsstrategi fungerer som forutsatt.

o Vurdere eventuelle forslag til endringer i sikkerhetsmål og sikkerhetsstrategi.

o Vurdere økonomiske eller andre konsekvenser eventuelle endringer i mål og

strategi kan ha for institusjonen.

- Kriterier for akseptabel risiko

o Vurdere endring av kriterier for akseptabel basert på status på

informasjonssikkerhetsarbeidet og trusselbildet

- Sikkerhetsorganisering

o Vurdering av eksisterende organisering

o Vurdere behov for endringer i organiseringen

- Avviksmeldinger

o Gjennomgå de viktigste avvik i perioden.

o Vurdere behov for sikringstiltak basert på gjentatte eller alvorlige avvik

- Sikkerhetsrevisjon

o Gjennomgå status for arbeidet med informasjonssikkerhet i ulike deler i

institusjonen

- Status på risikovurderinger

o Hvilke risikovurderinger er gjennomført

o Hovedfunn fra risikovurderinger

- Status på håndtering av risiko30

o Gjennomgå status på risikohåndteringen i institusjonen

o Vurdere om risikohåndteringen er tilfredsstillende

- Ressurs- og kompetansebehov

o Vurdere behov for økte ressurser til arbeidet med informasjonssikkerhet

o Vurdere behovet for kompetanseheving (opplæring)

Med utgangspunkt i ledelsens gjennomgang skal universitets-/høgskoledirektør (eventuelt

rektor) orientere styret om status og behov.

Se forslag til årsrapport som utarbeides til og drøftes på ledelsens gjennomgang (SETT INN

URL TIL DOKUMENTET LEDELSENS GJENNOMGANG).

ReferatCISO/CSO eller informasjonssikkerhetsrådgiver skriver referat fra ledelsens gjennomgang.

I referatet skal det tydelig fremgå hvilke avgjørelser og tiltak som er besluttet. Høgskole-

eller universitetsdirektør (eventuelt rektor) skal undertegne referatet fra ledelsens

gjennomgang.

31

Vedlegg 1Oversikt over dokumenter i ISO/IEC27001:2013Nedenfor følger en oversikt over obligatoriske og anbefalte dokumenter i et ledelsessystem

for informasjonssikkerhet, i henhold til ISO/IEC 27001:2013. Til hvert dokument er det en

beskrivelse og en henvisning til de punkter i standarden hvor dokumentene er omtalt.

Forslaget til ledelsessystem for informasjonssikkerhet i UH-sektoren er basert på denne

standarden.

Dokument Henvisning til ISO27001:2013

Beskrivelse

Scope av ISMS 4.3 Et kort dokument som innleder ledelsessystemet og beskriver hva ledelsessystemet omfatter.

Informasjonssikkerhetspolicy (sikkerhetsmål og strategi)

5.2, 6.2 Beskriver hovedformålet med informasjonssikkerhetsarbeidet.

Risikovurdering og risikohåndtering

6.1.2 Beskriver metodeverk og rutiner for gjennomføring av risikovurderinger og håndtering av risiko.

SOA, Statement of Applicability 6.1.3 d Et dokument basert på vedlegg A i standarden. Beskriver hvilke sikringstiltak som er aktuelle og hvilke som ikke er det. Skal inneholde status og implementering for alle sikringstiltak som er aktuelle.

Plan for risikohåndtering 6.1.3 e, 6.2 Beskriver planlagte sikringstiltak på bakgrunn av SOA.

Rapport fra risikovurdering 8.2 Beskriver gjennomføring av og resultater fra risikovurderinger.

Definering av sikkerhetsroller og ansvar

A.7.1.2, A.13.2.4

Beskriver fordeling av ansvar, myndighet og arbeidsoppgaver.

Inventar-/utstyrsoversikt A.8.1.1 Gir en oversikt over inventar og utstyr som omfattes av arbeidet med informasjonssikkerhet.

Akseptabel bruk av inventar/utstyr

A.8.1.3 Beskriver hvilke rutiner og regler som gjelder for bruk av inventar og utstyr. Betegnes ofte som et IT-reglement.

32

Policy for aksesskontroll A.9.1.1 Beskriver institusjonens prosesser for å avgjøre hvem som skal ha tilgang til hvilke systemer.

Drifts- og bruksprosedyrer A.12.1.1 Beskriver hvordan de ulike IT-driftsoppgavene skal utføres slik at informasjonssikkerheten blir ivaretatt.

Etablering av sikkerhetsprinsipper for prosjektering og utvikling

A.14.2.5 Beskriver sikkerhetsprinsipper ved utvikling eller produksjon av informasjonssystemer.

Policy for etablering av databehandleravtaler og leverandørkontrakter/avtaler

A.15.1.1 Beskriver rutiner for avtaleutforming og inngåelse med eksterne eller interne leverandører av IT-tjenester, herunder hvilke sikkerhetskrav som skal stilles.

Håndtering av sikkerhetshendelser

A.16.1.5 Beskriver rutiner for hvordan institusjonen rapporterer og håndterer sikkerhetshendelser (avvik).

Prosedyrer for kontinuitet (reetablering)

A.17.1.2 Beskriver rutiner og tiltak for videreføring av kjerneoppgaver ved hendelser som gjør normal drift umulig (ISO/IEC 22301).

Oversikt over regulatoriske og avtalemessige krav

A.18.1.1 Beskriver institusjonens juridiske forpliktelser på informasjonssikkerhetsområdet.

Nivå 4, registreringer (dokumentasjon) Registreringer av opplæring, sertifiseringer/utdanning, erfaring og kvalifikasjoner

7.2 Beskrivelse av hvilken kompetanse institusjonen besitter på informasjonssikkerhetsområdet.

Monitorering og målingsresultater

9.1 Beskriver rutiner for hvordan institusjonen overvåker og måler tilstanden på informasjonssikkerhet.

Program for internrevisjon 9.2 Beskriver hvor ofte og hvordan institusjonen skal gjennomføre internrevisjon.

Resultater av internrevisjon 9.2 Beskriver hva som ble avdekket under internrevisjon.

33

Resultater av ledelsens gjennomgang

9.3 Beskriver tiltak og beslutninger vedtatt under ledelsens gjennomgang.

Korrigerende tiltak i ledelsessystemet

10.1 Beskriver hvilke endringer som er nødvendige for at ledelsessystemet skal fungere etter sin hensikt.

Logg av bruker- og administratoraktiviteter

A.12.4.1, A.12.4.3

Beskriver rutiner for aktivitetslogger skal håndteres, beskyttes og gjennomgås.

Dokumenter som ikke er obligatoriske. Se ISO/IEC 27001: 2013 for nærmere beskrivelse. Prosedyre for dokumentkontroll

7.5

Håndtering av registreringer 7.5

Policy for BYOD A.6.2.1Policy for mobile enheter og eksterntilgang

A.6.2.1

Policy for klassifisering av informasjon

A.8.2.1-3

Policy for passord A.9.2.1-2, A.9.2.4, A.9.3.1, A.9.4.3

Policy for avhending og destruksjon

A.8.3.2, A.11.2.7

Prosedyre for arbeid i sikre soner/områder

A.11.1.5

"Clean desk" og "clear screen" policy

A.11.2.9

Policy for endringshåndtering A.12.1.2, A.14.2.4

Policy for sikkerhetskopiering A.12.3.1Policy for overføring av informasjon

A.13.2.1-3

BIA, Business Impact Analysis A.17.1.1Plan for trening og testing av kontinuitetsplan

A.17.1.3

Plan for vedlikehold og revisjon av kontinuitetsplan

A.17.1.3

Strategi for kontinuitet i virksomheten

A.17.2.1

34

Egne notater:

35

LisensieringDenne veilederen er lisensiert under en Creative Commons Navngivelse-IkkeKommersiell-DelPåSammeVilkår 3.0 Norsk lisens. CC BY-NC-SA 3.0 NO

Det betyr at du har lov til å:Dele — kopiere, distribuere og spre verket i hvilket som helst medium eller formatBearbeide — remixe, endre, og bygge videre på materialet

På følgende vilkår: Navngivelse — Du må oppgi korrekt kreditering, oppgi en lenke til lisensen, og indikere om

endringer er blitt gjort. Du kan kan gjøre dette på enhver rimelig måte, men uten at det kan forstås slik at lisensgiver bifaller deg eller din bruk av verket.

IkkeKommersiell — Du kan ikke benytte materialet til kommersielle formål. DelPåSammeVilkår — Dersom du remixer, bearbeider eller bygger på materialet, må du

distribuere dine bidrag under samme lisens som originalen. Ingen ytterligere begrensninger — Du kan ikke gjøre bruk av juridiske betingelser eller

teknologiske tiltak som lovmessig hindrer andre i å gjøre noe som lisensen tillater.

36