Livet med sikkerhed. Bent Poulsen

Relaterede dokumenter
IT risici og compliance. Hvad driver mig? Det gode råd med på vejen?

Bekendtgørelse om ændring af bekendtgørelse om ledelse og styring af pengeinstitutter m.fl.

Jyske Bank Politik for It sikkerhed

Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed

Security & Risk Management Summit

Sikkerhed og Revision ISAE 3402 og samarbejdet mellem intern systemrevision og ekstern systemrevisor i datacentraler

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik

Front-data Danmark A/S

Præsentation af Curanets sikringsmiljø

Vi har etableret et brancheledende informationssikkerhedsprogram. vores kunder den bedste beskyttelse og højeste grad af tillid.

IT-sikkerhedspolitik for

Security as a Service hvorfor, hvornår og hvordan. Gorm Mandsberg, gma@dubex.dk Aarhus,

Front-safe A/S. Revisionserklæring (RS3411, type B) vedrørende generelle it-kontroller i tilknytning til driften af Remote Backup.

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik

Bilag 1 Databehandlerinstruks

It-sikkerhedspolitik for Farsø Varmeværk

frcewtfrhousf(wpers ml

Tabulex ApS. Februar erklæringsår. R, s

Eksempel på KOMBITs instruks til ISAE 3000 revisionserklæring

GDPR Leverandørstyring og revisionserklæringer EU-persondatakonferencen 2017

Ledelsen har sikret, at der er etableret en hensigtsmæssig itsikkerhedsorganisation

RÅDET FOR DIGITAL SIKKERHED

Tabulex ApS. Februar erklæringsår. R, s

EU GDPR Endnu en Guide

SOPHIAGÅRD ELMEHØJEN

Overordnet organisering af personoplysninger

Bilag 6.2 IT-Revision

Sikkerhed og Revision 2015

Databeskyttelsespolitik for DSI Midgård

Faxe Kommune. informationssikkerhedspolitik

Hvor meget fylder IT i danske bestyrelser. 7. september 2012 Torben Nielsen

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015

PERSONDATAFORORDNINGEN - TOPDANMARKS ARBEJDE MED AT SKABE COMPLIANCE. DI ITEK 14. juni 2016 Koncern IT-sikkerhedschef Brian Lind

Sikkerhed og Revision 2013 Finansiel revisors ønsker til it-revisor. 5. september 2013

IT-sikkerhedspolitik S i d e 1 9

Procedure for tilsyn af databehandleraftale

Informationssikkerhedspolitik

IT- og informationssikkerheds- politik (GDPR) For. Kontrapunkt Group

IT-sikkerhedspolitik. for Social- og Sundhedsskolen Esbjerg

Standardiseret tilgang til Software Asset Management. ISACA Medlemsmøde 2013 Jan Øberg ØBERG Partners

SURFTOWNS SIKRINGSMILJØ. Databehandleraftalen - Bilag 1

2. marts Langeland Kommune Revision af generelle it-kontroller hos Langeland Kommune for regnskabsåret

Informationssikkerhedspolitik for Horsens Kommune

Leverandørstyring: Stil krav du kan måle på

Nyt om ISO-standarder ISO 14001:2015 ISO 9001:2015 ISO 45001:2016. Jan Støttrup Andersen. Lidt om mig:

ISAE 3000 DK ERKLÆRING MARTS RSM plus P/S statsautoriserede revisorer

Overordnet organisering af personoplysninger

Rigsrevisionen, digitalisering og dokumentation Statens Arkiver den 5. november 2014 v/rigsrevisor Lone Strøm

Lovtidende A. Bekendtgørelse om systemrevisionens gennemførelse i fælles datacentraler

Systemforvaltning for SDN Temadag om SDN og VDX den 9. november Peder Illum, konsulent,

Modenhed og sikkerhed hos databehandlere Charlotte Pedersen

Forslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed

Databeskyttelsespolitik for Netværket Smedegade, en social institution, der primært hoster data og programmer hos databehandlere

Workshop 2. Hvilke processer skal sikre os en god databeskyttelse? Hvordan uddanner vi medarbejdere i det offentlige til at håndtere data forsvarligt?

Indholdsfortegnelse. Generelt 3. Formål 3. Omfang 4. Sammenhæng med IT- og forretningsstrategier 4

IT sikkerhedspolitik for Business Institute A/S

It-sikkerhedspolitik for Københavns Kommune

Databeskyttelse: Afrunding. Jacob Herbst, CTO, Dubex A/S Dubex A/S, den 11. juni 2015

DATABESKYTTELSESPOLITIK

Hvordan sikres personfølsomme data - og adgangen til disse så persondataloven overholdes. Klaus Kongsted, CRO, Dubex A/S Dubex A/S, den 5.

Kontraktbilag 8. It-sikkerhed og compliance

IT-sikkerhedspolitik. for. Gladsaxe Kommune

Indholdsfortegnelse Indledning Formål Omfang Holdninger og principper... 4

Databeskyttelsespolitik

Fredericia Kommunes Informationssikkerhedspolitik 1 FREDERICIA KOMMUNE AFDELING TITEL PÅ POWERPOINT

Revision af risikorapportering V. Claus Sonne Linnedal og Steen Jensen. Sikkerhed & Revision 2015

OVERORDNET IT-SIKKERHEDSPOLITIK

Styring af leverandøradgange. Bent Poulsen Chief Auditor

Bilag til management letter om it-revision af Sundhedsdatanettet (SDN) hos MedCom 2018 J.nr juni 2018

Informationssikkerhed Version

Hovmosegaard - Skovmosen

Koncessionskontrakt vedr. ekspeditionen af pas, kørekort og øvrige borgerserviceopgaver. Københavns Kommune Kultur- og Fritidsforvaltningen.

It-sikkerhedsstrategi i kommuner hvad giver mening at varetage internt og hvad kan outsources?

Version: 1.0 Maj Informationssikkerhedspolitik for Struer Statsgymnasium

It-anvendelsen i Langeland Kommune har til formål at understøtte kommunens overordnede visioner.

Bekendtgørelse om ledelse og styring af Lønmodtagernes Dyrtidsfond

GDPR - Bryder verden sammen efter den 25. maj?

MedCom. Marts Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr Weidekampsgade 6 Postboks København C

Hjørring Kommune. Overordnet I-sikkerhedspolitik for Hjørring Kommune

Introduktion Cybersikkerhed - en fremtidstrussel allerede i dag

Bekendtgørelse om ledelse og styring af Lønmodtagernes Dyrtidsfond

Velkommen. Program: Oplæg om emnet baseret på Best Practice (ITIL) Refleksion

Version: 1.2 Side 1 af 5

MedCom. Året Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr Weidekampsgade 6 Postboks København C

INFORMATIONS- SIKKERHEDSPOLITIK

page 1 SSE/XXXXX/YYY/ZZZZ $Revision: xx.xx $ Cybersecurity COMMERCIAL IN CONFIDENCE

Hillerød Kommune. It-sikkerhedspolitik Bilag 10. Beredskabsplanlægning

Det er en balancegang at have en effektiv it-drift og samtidig skulle sikre en høj it-sikkerhed og overholde lovgivningen. Men den hjælper vi vores

Overordnet it-sikkerhedspolitik for Rødovre Kommune

Informationssikkerhedspolitik. Frederiksberg Kommune

Digitaliseringsstyrelsens konference 1. marts 2018

It-revision af Sundhedsdatanettet januar 2016

Cloud og it-sikkerhedsudfordringerne: Dansk Automationsselskab

Sikkerhed & Revision 2013

LinkGRC GOD SKIK FOR INFORMATIONSSIKKERHEDSPOLITIK GOD SKIK FOR INFORMATIONSSIKKERHEDSPOLITIK

Vejledning til brug af Bank RA Revisionsinstruks

Politik for Datasikkerhed

Ikast-Brande Kommune. Informationssikkerhedspolitik (efterfølgende benævnt I-Sikkerhedspolitik) Maj 2016 Sag nr. 2015/06550

Kursus: Ledelse af it- sikkerhed

DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet

Transkript:

Livet med sikkerhed Bent Poulsen

Tilbageblik Mainframe Central datalagring og -administration Central sikkerhedsadministration Central netværksadministration Terminaladgang Decentral/distribueret edb-anvendelse + decentral lagring, datatransmission Modem er bliver hver mands eje + bagdøre, uautoriseret anvendelse Internet => +++ Outsourcing => +++ Cloud => +++ Håndholdte enheder / BYOD => +++ Uanset platform Krav om sikkerhed er ledelsens ansvar Politikker Bestemmelser Forretningsgange Risici >< kontroller Dokumentation Rapportering Opfølgning

Den spæde start for sikkerheden Edb-afdelingen havde teten Brugerne levede på edbafdelingens nåde Edb-afdelingen ejede systemerne Sikkerhed var alene relateret til driftssikkerhed Fysiske dokumenter var alligevel de vigtigste i edb-alderens begyndelse Det blev revisorerne, der udfordrede de autonome edbafdelinger Revisionsvejledninger Revisionsstandarder Revisionsrapporter og protokoller Ledelsen indså behovet for at ændre situationen og blive proaktive, så det ikke længere var revisorerne (alene), der satte dagsordenen.

Generelle edb-kontroller FSRs Revisionsvejledning nr. 14 Revisors praktiske anvendelse af FSRs Revisionsvejledning nr. 14 EDB-revision (Heilbuth & Tjagvad) Bogføringslov m.v.

Generelle edb-kontroller V14 Edb-politik/-strategi Organisatoriske forhold Systemudvikling/-vedligeholdelse Driftsafvikling (+ adgang til systemer og data) Dokumentation af systemer, metoder og procedurer Fysisk sikkerhed Sikkerhedskopiering og nødplaner

System-, data- og driftssikkerhed Systemsikkerhed Resultatet af de foranstaltninger, der sikrer pålidelige systemer systemer og edb-udstyr er dokumenteret, godkendt, aftestet og sikret mod ødelæggelse Datasikkerhed Resultat af de foranstaltninger, der sikrer pålidelig registrering, opbevaring og brug af data ændring, sletning eller brug af data er godkendt og dokumenteret Driftssikkerhed resultatet af de foranstaltninger, der sikrer rettidig og pålidelig gennemførelse af databehandlingen håndtering af fejl og mangler kontinuerlig databehandling

Generelt om trusler/scenarier Hændelse Utilstrækkeligt personale Manuelle fejl Systemer og data Datalækage Systemnedbrud Hardware nedbrud Tab af data Eksterne angreb IT angreb Terror Domicil Ubrugeligt Ikke adgang Strømsvigt Nye produkter og services Netværk m.v. Web-adgang ikke tilgængelig Netværk ikke tilgængeligt Brutto risiko Rest risiko

Lidt om udviklingen i Danmark CISA-certificering Blev første uddannelse på området omkring informationssikkerhed God edb-skik FSR EDPAA (nu ISACA) IIA God edb-skik og revisor (som ovenfor) ESL-uddannelsen Institut for Datasikkerhed Længere kursusforløb Flere eksaminer + hovedopgave (multiple choice eksamen blev senere erstattet af CISM) Rådgivende uddannelsesudvalg Varetages nu af ESL-foreningen og Ezenta

IT-sikkerhed udfordringens karakter Globalisering Krav om åbenhed, samarbejde og alliancer Øget regulering lovgivning, standarder, kunde- og ejerkrav. Medierne bevågenhed tilgængelighed og privacy Krav om effektivitet Digital økonomi og øget anvendelse af Internet/netværks-teknologi Alle har adgang til alt. og til alle Elektronisk, anonymt og 24x7 Øget kompleksitet og udviklingstakt

Sikkerheds målsætning Ledelsen BØR benytte de nødvendige kontroller, mekanismer, værktøjer og overvågning der sikre at virksomheden kan : Autentificere identiteten af alle brugere af applikationer eller kommunikations forbindelser; Beskytte trafikken imod modifikation, destruktion, opsamling; Beskytte trafikken imod upassende eller unødvendig afsløring; Sikre at virksomheden kan fortsætte driften på trods af teknologi fejl; Kunne demonstrere for en uvildig part, at virksomheden kan gøre rede for alle forretningstransaktioner i detaljer; Opdage afvigelser fra den forventede anvendelse, drift eller system opførsel og betids foretage effektive og korrigerende handlinger

Tillid eller ej Tillid Jeg stoler slet ikke på dig Jeg tror kun du vil udføre harmløse aktiviteter Jeg ville stole på dig, hvis jeg kendte dig Jeg ville stole på dig, hvis jeg kendte dig og din information kan verificeres Jeg stoler på dig fordi jeg kender dig Jeg stoler på dig, fordi du har en bestemt status i systemet Jeg stoler på dig, fordi du har betalt for at blive stolt på Jeg stoler på dig, fordi jeg er en tillidsfuld (naiv) person, eller der ikke er nogen risiko Reaktion Al adgang nægtes Kun adgang til offentligt tilgængelige informationer Skaf identificerende information, derefter adgang til funktioner, som er tilgængelige for kendte personer Skaf information check off-line. Indtil bekræftet kun adgang som en af de ovenstående kategorier. Skaf identificerende information og sammenlign med lagret information Skaf information og sammenlign med lagret information om personen og om privilegeret adgang Skaf information og sammenlign med lagret information om personen og betalingsstatus Lad alle gøre alting

Security recommendations for e-business Internet Security Task Force (ISTF): Focus on authentication privacy of information detection of security events defence of the corporate perimeter intrusion detection malicious content access control administration incident response Kilde: http://www.cai.com/press/2000/03/ebiz_taskforce.htm

2005 Information Systems Audit and Control Association. This document is reprinted with the permission of the Information Systems Audit and Control Association."

Hjælp fra myndighederne ex 1

Hjælp fra myndighederne ex 2

Hjælp fra myndighederne ex 3 (FT-afgørelse) Kontrolfunktioner kan kun i begrænset omfang outsources Ansvaret for kontrollernes gennemførelse kan ikke outsources Isolerede ledelseserklæringer til kontrol af leverandørens overholdelse af outsourcede virksomheders itsikkerhedspolitik kan ikke erstatte deres egen kontrol Systemrevisionens erklæring vedrører den samlede data-, system- og driftssikkerhed Erklæringen vedrører datacentralens generelle it-sikkerhedsmæssige forhold, som ikke direkte kan kontrolleres ude fra de tilsluttede virksomheder Erklæringen kan ikke omfatte samtlige kontroller af overholdelsen af de tilsluttede PI ers it-sikkerhedspolitik

Økonomisk Ugebrev nr. 27 2003 Man kan frygte, at mange af de penge, der bliver brugt på f.eks. ISO 9000 bliver smidt ud af vinduet Professor Bøje Larsen, Handelshøjskolen 2. september 2016 17

Security compliance - overblik Ekstern revision Intern revision Revision Sikkerhedspolitik Sikkerhedsbestemmelser Forretningsgange Kontroller (ydelser, adfærd) (manuelt, automatisk) (personer, systemer) Virksomhed Bestyrelse Kontroller udføres af Ansvarlige funktioner Rapporteringspligt Kontrakt inkl. Sikk. Pol. SLA Driftshåndbog Outsourcing service Intern forretningsgange Specifik revisionserklæring Underleverandør Intern revision Revisionsret Ekstern revision

Risiko-kontrol matrix Risici Oplistning af relevante risici Afstemning med ejer Kontroller Udpegning af egnede kontroller Gennemgang af dokumentation og beskrivelser mv. Afstemning med ejer Samlet overblik Udækkede risici Residuale risici Overflødige kontroller / kompenserende kontroller 19

Risici versus kontroller Risici Kontroller R1 R2 R3 R4 R5 R6 R7 K1 1 1 1 K2 2 2 K3 K4 3 3 K5 2 2 2 K6 1 1 1 Manglende kontrol Nøglekontrol 20

ISA 315 Intern Control Internal control components The control environment The entity s risk assessment process The information system, including related business processes Control activities Monitoring controls

ISA 315 General IT Controls Policies and procedures that support the effective functioning of application controls, and include To deal with IT risks Data centre and network operations System software acquisition, change and maintenance Access security Application system acquisition, development and maintenance Reliance on inaccurate processing Unauthorised access to data IT personnel gaining inappropriate privileges Unauthorised changes Failure to make necessary changes Inappropriate manual intervention Potential loss of data Inability to access data

ISA 315 Application Controls Manual or automated procedures Ensure that transactions are Authorised Completely and accurately recorded and processed Typically operating at the business process level Relate to procedures used to initiate, record, process and report transactions etc.

Ledelsesbekendtgørelsen Bestyrelsens opgaver og ansvar IT-sikkerhedspolitik Organisering af it-arbejdet, herunder funktionsadskillelse Regelmæssig risikovurdering Beskyttelse af systemer, data, maskinel og kommunikationsveje Systemudvikling og vedligeholdelse af systemer Driftsafvikling Backup og sikkerhedskopiering Beredskabsplaner, der indeholder målsætning og planer for genetablering af normal drift Kvalitetssikring Principper for implementering af politikken i uddybende retningslinjer Forholdsregler i tilfælde af brud på it-sikkerhedspolitik og sikkerhedsregler Overholdelse af relevant lovgivning Rapportering, kontrol og opfølgning Eventuelle dispensationer fra it-sikkerhedspolitikken

Ledelsesbekendtgørelsen (2) Direktionens opgaver og ansvar Sikre, at it-sikkerhedspolitikken efterleves Ansvarsplacering og ejerskab Overvågning af funktionsadskillelsen Kontrol med opretholdelse af ønsket it-sikkerhedsniveau Klassificering og prioritering af systemer og data Systemer dokumenteres Sikkerhedskopiering af systemer og data, herunder opbevaring af sikkerhedskopierne. Tilstrækkelige it-ressourcer Systemudvikling og afprøvning af nye og ændrede systemer sker betryggende Test og anden kvalitetssikring Ændringshåndtering og problemstyring Adgangskontrol til systemer og data Tilstrækkelig fysisk sikkerhed, herunder fysisk adgangskontrol Beredskabsplan vedligeholdelse og test

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback