Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed

Transkript

1 Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed Den finansielle sektor er i dag 100% afhængig af, at it-løsninger er kørende og herudover er sikret i tilfælde af, at noget går galt. Ledelsesbekendtgørelsens bilag 5 omkring it-sikkerhed kræver, at det er direktionen, der er ansvarlig for og skal påse at bekendtgørelsen efterleves. Denne vejledning gennemgår, hvordan dette kan gøres i praksis Neupart 1

2 Kan du sætte flueben ved følgende: 1. Vores it-sikkerhedspolitik bliver efterlevet 2. Der er sammenhæng mellem de forskellige elementer i informationssikkerheden 3. Der er tilstrækkelig funktionsadskillelse 4. Driften, herunder outsourcing, er tilstrækkeligt sikret og overvåget 5. Der foretages jævnlige risikovurderinger 6. Beredskabsplanerne er ajourførte og afprøvede 7. Den almene it-viden er på det rigtige niveau og vedligeholdes løbende Disse udsagn er alle elementer i en it-organisations opgaver og samtidig en del af den bekendtgørelse, som Finanstilsynet håndhæver. Vi vil i det efterfølgende tage udgangspunkt i ovenstående udsagn da det er her, man skal være ekstra opmærksom. Vejledningen refererer til Finanstilsynets ledelses- og outsourcingbekendtgørelser og bringer også uddrag i de blå bokse. Du finder sidst i dokumentet under referencer en beskrivelse af, hvor du finder bekendtgørelserne i deres fulde længde Neupart 2

3 1. Vores it-sikkerhedspolitik bliver efterlevet Finanstilsynets bekendtgørelse bilag 5 punkt 6 omkring direktionens ansvar, foreskriver: Direktionen skal sikre, at virksomhedens it-sikkerhedspolitik efterleves Punkt 3, der omhandler bestyrelsens opgaver, fortæller os at det skal gøres gennem : I) Rapportering, kontrol og opfølgning Derfor bør man sørge for: 1. at hændelser løbende logges, og vurderes og at der, med udgangspunkt i dette, gøres tiltag til forbedring af informationssikkerheden. 2. at rapportering af ovenstående sker jævnligt og med faste intervaller på alle niveauer. 3. at der, som udgangspunkt, ikke står noget i it-sikkerhedspolitikken, som ikke kan efterleves eller bliver efterlevet. 4. at der, i undtagelsestilfælde er taget stilling til, hvorfor en given regel ikke efterleves eller udføres på den beskrevne måde. 5. at der tages hånd om en risikooplysning i en inspektion fra Finanstilsynet, da denne ved næste inspektion, kan blive til et påbud. Definition af påbud og risikooplysning: Afgørelser er typisk påtaler og påbud til virksomhederne. Afgørelser er underlagt forvaltningsloven, som indeholder en række regler om, hvilke pligter offentlige myndigheder har i forhold til borgerne, f.eks. i forbindelse med sagsbehandlingen. Beslutninger er blandt andet risikooplysninger til virksomhederne. Risikooplysninger er ikke afgørende i forvaltningslovens forstand. Kilde: Neupart 3

4 2. Der er sammenhæng mellem de forskellige elementer i informationssikkerheden 1. Der skal være en sammenhæng fra procedurerne over reglerne og op til itsikkerhedspolitikken. 2. Der er hermed en rød tråd fra det bestyrelsen beslutter og det, der bliver krævet af den enkelte medarbejder. 3. Af bestyrelses- og direktionsreferater skal det fremgå, at informationssikkerheden behandles aktivt. 3. Der er tilstrækkelig funktionsadskillelse Finanstilsynets bekendtgørelse beskriver følgende omkring funktionsadskillelse: Pkt. 3 a) Organisering af it-arbejdet, herunder funktionsadskillelse mellem systemudvikling/vedligeholdelse it-drift og virksomhedens forretningsførelse. Pkt. 6 b) funktionsadskillelsen bliver overvåget Her er det altså vigtigt: 1. at det fastlægges hvori funktionsadskillelsen består. Dette skal gøres med udgangspunkt i virksomhedens størrelse og organisation. Organisationsdiagrammer og funktionsbeskrivelser kan her være på sin plads. 2. at beskrive hvordan den håndhæves i det daglige. 3. at beskrive, hvordan der udføres kontrol. Hvis adskillelsen består i rettighedsstyring, er det fx vigtigt at beskrive, hvordan man overvåger adgangsrettigheder Neupart 4

5 4. Driften, herunder outsourcing, er tilstrækkelig sikret og overvåges Pkt. 3 d) Systemudvikling og vedligeholdelse af systemer e) Driftsafvikling f) Backup og sikkerhedskopiering h) Kvalitetssikring Pkt. 6 c) der er kontrol med opretholdelse af det ønskede it-sikkerhedsniveau samt håndtering af eventuelle svagheder, e) systemer og konfiguration samt ændringer hertil dokumenteres, f) der er sikkerhedskopiering af systemer og data, herunder opbevaring af sikkerhedskopierne, h) systemudvikling, konfigurering og vedligeholdelse samt afprøvning af nye og ændrede systemer sker betryggende, i) der foretages tests og anden kvalitetssikring, j) der foretages ændringshåndtering og problemstyring, Der er, som det ses af ovenstående, en del krav til formalia i forbindelse med drift. Dette er jo langt hen ad vejen almindelig sund fornuft, når vi taler om informationssikkerhed. Det specielle ved den finansielle sektor er, at mange har outsourcet hele eller dele af itdriften, og at reglerne for sådanne aftaler er forankret i Finanstilsynets outsourcingbekendtgørelse. Hovedkravene til outsourcingaftalerne er godt beskrevet i denne bekendtgørelse og følgende er vigtigt: 1. At få klart afgrænset de opgaver, som outsourcingen omfatter 2. At der er etableret overvågning, opfølgning og rapportering på de outsourcede opgaver 3. Vær opmærksom på at bekendtgørelsen kun omfatter såkaldt Væsentlig outsourcing (i driftsmæssig forstand) Neupart 5

6 5. Der foretages jævnlige risikovurderinger Pkt. 3 b) regelmæssig risikovurdering Pkt. 4 Bestyrelsen skal regelmæssigt og mindst en gang årligt vurdere itsikkerhedspolitikken, herunder hvorvidt it-sikkerhedspolitikken er tilstrækkelig til at sikre, at de risici, som it-anvendelsen medfører og forventes at medføre, fremover er på et for virksomheden acceptabelt niveau. Selve risikostyringen bør foretages af direktionen, men risikovurderingerne som ligger til grund for dette, leveres af den it-sikkerhedsansvarlige. Risikovurderingen kan tage udgangspunkt i it-sikkerhedspolitikkens overskrifter, da det jo er den virksomheden skal leve op til. Det kræver selvfølgelig at it-sikkerhedspolitikken har et vist omfang, alternativt at tage udgangspunkt i det regelsæt som anvendes. Følgende hovedpunkter bør gennemgås: It-sikkerhedspolitikken Sammenhængen og afhængigheder mellem forretningskritiske it-aktiver Det aktuelle trusselsbillede Sårbarhedsvurdering af driften Konsekvensvurdering af forretningskritiske it-services eller processer 2015 Neupart 6

7 6. Beredskabsplanerne er ajourførte og afprøvede Hvis I ikke allerede har en it-beredskabsplan for jeres kritiske systemer, - så skal der etableres en. Pkt. 3 g) Målsætning for beredskabsplaner Pkt. 7 Direktionen skal sikre, at der udarbejdes en it-beredskabsplan, der indeholder målsætning for genetablering af normal drift..herunder, a) En beskrivelse af, hvorledes der etableres en beredskabsorganisation, samt b) Aktivitetsplaner i tilfælde af alvorlige systemnedbrud, fejl og forstyrrelser i it-anvendelsen Pkt. 8 Beredskabsplanen skal afprøves regelmæssigt og den finansielle virksomhed skal have regler om rapportering af resultatet af en afprøvning af beredskabsplanen. Udover dette er det vigtigt, at I viser at beredskabsplanen er implementeret ved at: teste beredskabsplanen. rapportere på testen - hvad gik godt? Hvad gik mindre godt? sørge for, at afprøvningen foregår efter en fastlagt plan. 7. Den generelle viden om informationssikkerhed er på det rigtige niveau og vedligeholdes Da den finansielle sektor bygger på fortrolighed, er det vigtigt at få lagt nogle overordnede rammer for 1. hvordan informationssikkerhed formidles 2. hvordan niveauet kontrolleres og vedligeholdes hos medarbejderne 2015 Neupart 7

8 Sådan kan SecureAware ISMS fra Neupart hjælpe med at sætte fluebenene SecureAware hjælper jer med at samle alle informationer om jeres it-sikkerhed sådan, at I altid har styr på alle disse oplysninger og får effektivitet ind i jeres it-sikkerhedsledelse. I reducerer jeres forberedelsestid til it-revision, og I kommer bedre igennem forløbet fordi I altid er velforberedte. Hurtigere og nemmere dokumentation af it-sikkerhedsledelse. Skabeloner, der kommer hele vejen rundt om sikkerhedsarbejdet, herunder drift og funktionsadskillelse. Kortere og nemmere inspektionsbesøg da dokumentationsstrukturen er "revisorvenlig og følger anerkendte standarder. Gap-analyse mod Finanstilsynets ledelses- og outsourcingbekendtgørelser samt andre krav og standarder. Gennemarbejdet og altid opdateret beredskabsplan. Risikostyring med en lang række tidsbesparende funktioner som fx. Trusselskatalog, aktiv-database, konsekvensvurdering med hjælpespørgsmål (BIA). Awareness-funktionalitet, der holder styr på, hvilke medarbejdere, der har læst jeres regler og politikker Overblik og nemmere opfølgning på sikkerhedsopgaver med opgavemodulet. Kort sagt så samler SecureAware alle informationer omkring it-sikkerhed og holder styr på opgaver og projekter i forbindelse hermed. Find mere information om SecureAware ISMS og download en gratis prøveversion her: Neupart 8

9 Referencer: Bekendtgørelse om ledelse og styring af pengeinstitutter m.fl. Bilag 5 It-sikkerhed Klik på link her ovenfor og vælg under Pengeinstitutområdet afsnit om Banker og sparekasser. Under Bekendtgørelser m.v. vælges 1289 af 09/12/2014 Bekendtgørelse om ledelse og styring af pengeinstitutter m.fl. Gå til Bilag 5 It-sikkerhed næsten nederst på siden. Bekendtgørelse om outsourcing af væsentlige aktivitetsområder Klik på link her ovenfor og vælg under Pengeinstitutområdet afsnit om Banker og sparekasser. Under Bekendtgørelser m.v. vælges 1304 af 25/11/2010 Bekendtgørelse om outsourcing af væsentlige aktivitetsområder. Øvrigt materiale: Find mere viden om risikostyring og efterlevelse af krav på Neuparts blog her: Eksempler: De tre beredskabsdyder Sådan vælger I de rette scenarier til jeres beredskabsplaner Vejledning til Statement of Applicability Derfor skal ledere interessere sig for informationssikkerhed Neupart 9

10 Om Neupart Neupart hjælper virksomheder med it-risikostyring og med at leve op til sikkerhedskrav. Neupart er forskellig fra de traditionelle konsulenthuse, fordi vores egenudviklede Information Security Management System, SecureAware, sparer virksomheders tid og kræver færre konsulenttimer. SecureAware leveres som en cloud service eller som "onpremise" software. Medarbejderne hos Neupart er specialister i ISO 2700x, ISO 22301, persondatakrav, cloudsikkerhed, Finanstilsynets it-sikkerhedskrav og PCI DSS. Med mere end 200 private og offentlige virksomheder som kunder er Neupart den førende leverandør af it-sikkerhedsledelse. Neupart A/S er ISO certificeret og har datterselskaber i Norge og Tyskland samt forhandlere i en række andre lande. Neupart A/S Hollandsvej Lyngby Telefon Neupart 10