Sikkerhed og Revision 2015

Relaterede dokumenter
Bekendtgørelse om ændring af bekendtgørelse om ledelse og styring af pengeinstitutter m.fl.

Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed

FSOR. Årsberetning 2016 FINANSIELT SEKTORFORUM FOR OPERATIONEL ROBUSTHED

Informationssikkerhedspolitik

IT risici og compliance. Hvad driver mig? Det gode råd med på vejen?

Høring over bekendtgørelse om ledelse og styring af pengeinstitutter m.fl.

Risikostyring ifølge ISO27005 v. Klaus Kongsted

Hvor meget fylder IT i danske bestyrelser. 7. september 2012 Torben Nielsen

RISIKOVURDERING I PRAKSIS

Faxe Kommune. informationssikkerhedspolitik

Jyske Bank Politik for It sikkerhed

IT- og informationssikkerheds- politik (GDPR) For. Kontrapunkt Group

LinkGRC GOD SKIK FOR INFORMATIONSSIKKERHEDSPOLITIK GOD SKIK FOR INFORMATIONSSIKKERHEDSPOLITIK

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik

It-anvendelsen i Langeland Kommune har til formål at understøtte kommunens overordnede visioner.

Kontorchef Cecile Christensen, Center for sikkerhed og systemforvaltning. 5. november

Informationssikkerhedspolitik. Frederiksberg Kommune

Sikkerhed og Revision ISAE 3402 og samarbejdet mellem intern systemrevision og ekstern systemrevisor i datacentraler

IT-SIKKERHEDSPOLITIK UDKAST

IT-sikkerhedspolitik for

Ledelsesbekendtgørelsen

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015

Årshjul for persondata. v/henrik Pors

Agenda. Introduktion: Rasmus & CyberPilot. Eksempler fra det virkelig verden. Persondataforordningen & IT-sikkerhed (hint: ISO27001)

DANMARKS NATIONALBANK CYBERROBUSTHED I DEN FINANSIELLE SEKTOR

page 1 SSE/XXXXX/YYY/ZZZZ $Revision: xx.xx $ Cybersecurity COMMERCIAL IN CONFIDENCE

Vejledning om funktionsbeskrivelse for intern revision

Sikkerhedsvurderinger

Skanderborg Kommune. ISMS-regler. Informationssikkerhedsregler for hvert krav i ISO. Udkast 27001:2017

It-sikkerhedspolitik for Københavns Kommune

Vejledning til evaluering af bestyrelsens viden og erfaring i kreditinstitutter

FSOR. Cybersikkerhed i den finansielle sektor VISION 2020 FINANSIELT SEKTORFORUM FOR OPERATIONEL ROBUSTHED

Forventninger til Cybercrime forsikringer med en risikobaseret tilgang TINE OLSEN, WILLIS JESPER B. HANSEN, SISCON

ISO Ledelsesværktøj til digital risikostyring

Assens Kommune Sikkerhedspolitik for it, data og information

Struktureret compliance. 9 måneder med GDPR-compliance krav hvordan er det gået?

Systemforvaltning for SDN Temadag om SDN og VDX den 9. november Peder Illum, konsulent,

HVORDAN KAN CONTROLMANAGER UNDERSTØTTE LEDELSESRAPPORTERING

Vejledning i informationssikkerhedsstyring. Februar 2015

CYBERFORSIKRING OFFENTLIG KONFERENCE

Aarhus Kommune. IT-sikkerhedspolitik. Politik

SPAREKASSEN DEN LILLE BIKUBE

Virksomheden bør udvikle, implementere og konstant forbedre de rammer, der sikrer integration af processen til at håndtere risici i virksomhedens:

ERFA-MØDE 8. & 15. dec. 2016

Forslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed

Kursus: Ledelse af it- sikkerhed

Informationssikkerhedspolitik for Region Midtjylland

Informationssikkerhedspolitik for <organisation>

God it-sikkerhed i kommuner

CYBER RISIKOAFDÆKNING

Leverandørstyring: Stil krav du kan måle på

Vejledning i it-risikostyring og -vurdering. Februar 2015

GDPR og ISO To sider af samme sag Offentlig Digitalisering 2018

Digitaliseringsstyrelsen Risikovurdering Marts 2018

Tilsyn med Databehandlere

Persondataforordningen...den nye erklæringsstandard

Overordnet it-sikkerhedspolitik for Rødovre Kommune

ITA-konferencen Projektchef: Martin Pedersen. Sikkerhed fra vugge til grav

It-revision af Sundhedsdatanettet januar 2016

Lovtidende A. Bekendtgørelse om systemrevisionens gennemførelse i fælles datacentraler

Små og mellemstore pengeinstitutter hvidvaskområdet

Den risikoansvarlige har udarbejdet denne rapport til bestyrelsen om Fælleskassens risikobehæftede aktiviteter.

- for forretningens skyld

Sparekassen Thy. CVR-Nr

Trusselsidentifikation ved risikovurderingen af offentlige it-systemer Kom godt i gang

Politik <dato> <J.nr.>

ISO som ledelsesværktøj til risikostyring i den digitaliserede virksomhed. Lars Boye, lab@dubex.dk Dubex A/S, 11. juni 2015

Transkript:

Sikkerhed og Revision 2015 Erfaringer fra It-tilsynet med virksomhedernes brug af risikovurderinger REAL kontoret 3. sep. 2015

Velkommen til Århusgade!

Fra Finanstilsynets hjemmeside

Agenda Hjemmel It-tilsynets forventninger it-risikovurderingsproces på den nemme måde Når hændelser indtræffer Hvor ser it-tilsynet udfordringerne??

It-tilsynet Ca. 8 it-inspektioner om året It-tilsynet har 3 FTE Ansvar for inspektion af de største institutter (SIFI) samt de fællesejede datacentraler Risiko og væsentlighedsbaseret tilgang

Elektron Datacentraler i Danmark JN Data Gensam Data BEC NETS SDC FDC Bankdata It-sikkerhed i den finansielle sektor er et samarbejde

Hjemmel FIL 71, stk. 1, nr. 8 om effektive former for virksomhedsstyring, herunder betryggende kontrol- og sikringsforanstaltninger på it-området. Bekendtgørelse nr. 297 af 27. marts 2014 om ledelse og styring af pengeinstitutter m.fl., herunder i bilag 5 om itsikkerhed Konsekvensen af den bredde hjemmel er, at vi ofte giver påbud som tilsynsreaktion.

Hjemmel - fortsat Bilag 5 (vedlagt) Betsyrelsens opgaver og ansvar 3) Hvad der er væsentligt afhænger af bl.a. af virksomhedens størrelse samt omfanget og kompleksiteten af virksomhedens it-anvendelse (proportionalitet). b) regelmæssig risikovurdering h) kvalitetssikring l) rapportering, kontrol og opfølgning

Hjemmel - fortsat Bilag 5 4) Bestyrelsen skal regelmæssigt og mindst en gang årligt vurdere it-sikkerhedspolitikken, herunder hvorvidt itsikkerhedspolitikken er tilstrækkelig til at sikre, at de risici, som anvendelsen medfører og forventes at medføre, fremover er på et for virksomheden acceptabelt niveau.

It-tilsynets forventninger til it-risikostyring Finanstilsynet anlægger en helhedsbetragtning af, i hvilket omfang arbejdet med at identificere og imødegå it-risici er tilstrækkeligt detaljeret, og at metoden er dokumenteret og synliggjort, således at de enkelte vurderinger efterfølgende kan kvalitetssikres og efterprøves på en tilfredsstillende måde. Finanstilsynets vurdering lægger vægt på følgende

It-tilsynets forventninger til it-risikostyring - fortsat At metoden for udarbejdelsen af it-risikoanalyser og vurderinger er dokumenteret, således at de endelige vurderinger kan kvalitetssikres. At eksterne og interne interessenter bliver inddraget i tilstrækkelig omfang, herunder sparring med itsikkerhedseksperter, forretningens funktioner mv. At relevante it-risici er identificeret bl.a. med udgangspunkt i tilgængelig, fortrolighed og integritet. Dette under hensynstagen til væsentlighed set i forhold til virksomhedens systemiske vigtighed samt kompleksiteten i virksomhedens it-anvendelse.

It-tilsynets forventninger til it-risikostyring - fortsat At der er foretaget en vurdering af de enkelte it-risici i henhold til sandsynligheden for, at en given hændelse indtræffer, samt den afledte konsekvens for virksomheden såfremt hændelsen indtræffer. At der er foretaget en vurdering af, hvorvidt virksomhedens politikker, forretningsgange, samt kontrol- og sikringsforanstaltninger i tilstrækkelig grad imødegår de identificerede it-risici, således at der kan foretages en retvisende vurdering af restrisiko og virksomhedens samlede risikoprofil

Erfaringer fra it-tilsynet Indledende overvejelser Klassifikation af data (virksomhedens kronjuveler) Kritiske processer Væsentlighed Sandsynlighed Konsekvens Kontrolmiljø Rest risiko

Erfaringer fra it-tilsynet En iterativ proces Historik af hændelser Organisatorisk forankring Inddrag eksterne Alle veje fører til Rom Metodefrihed Værktøj til understøttelse Internationale standarder

Risikostyring - vejledning fra Digitaliseringsstyrelsen

Risikostyring - vejledning fra Digitaliseringsstyrelsen

Grundlaget for Finanstilsynets vurdering Af eksempler på ofte anvendte standarder/best practices/ kontrolrammeværker på it-sikkerhedsområdet kan bl.a. nævnes ISO 27001, ISF - Standard of Good Practice for Information Security, COBIT mv. Finanstilsynet foretager i alle tilfælde en vurdering af, om virksomheden påtager sig højere it-risici end acceptabelt, og der foretages en sammenligning med andre tilsvarende virksomheders praksis på området. 17

Hvilke udfordringer ser vi? Rapportering til ledelsen: It-sikkerhedsrisici og it-risici forsvinder, når de aggregeres ind i operationel risiko. Manglende dokumenteret sammenhæng mellem risiko og kontrol Generiske risici, som ikke er tilpasset virksomheden Høj tillid til interne medarbejdere Statiske risikolandskaber Manglende inddragelse af andre

Cyber Security Cyber Security Cyber Security tager afsæt i at beskytte den viden og data, som er vurderet kritisk for en virksomhed. Værdimål: fortrolighed, integritet og tilgængelighed Sikring eller forsikring et ledelsesvalg Fokusområder: Netværkssikkerhed og infrastruktur Kryptering Udveksling af sensitive data Procedurer til håndtering af forskellige typer af angreb Awareness i organisationen Opdateret viden - netværk og eksterne konsulenthuse

Når hændelsen indtræffer

Når hændelsen indtræffer

It-hændelser Vejledning for orientering af Finanstilsynet ved IT-hændelser Hændelsen har potentiale til at udvikle sig til en katastrofesituation, der involverer gældende kriseberedskab. Hændelsen påvirker/kan påvirke den kritiske danske betalingsinfrastruktur eller komponenter heraf. Hændelsen kan give anledning til politianmeldelse. Virksomheden nedsætter en særlig task force for at behandle hændelsen.

It-hændelser Vejledning for orientering af Finanstilsynet ved IT-hændelser Mistanke om at tredjemand har haft adgang til fortrolig data. Hændelsen kan give anledning til kundeklager af principiel karakter. Alvorlige hændelser der kan påvirke fortroligheden, dataintegritet og tilgængeligheden på kritiske systemer samt længerevarende IT-hændelser, der påvirker virksomhedens generelle IT-drift og serviceleverancer. Hændelsen omtales i pressen

Generelle erfaringer Mulige reaktioner på følgende områder: Rettighedsstyring Hvem skal have adgang til hvad? Fortrolighed klassificering af data Brede adgange til kundedata Processen omkring It-risikovurdering It-compliance-rapportering Aktiv stillingtagen til revisionsbemærkninger også det aggregerede billede

SIFI institutter To skærpede krav til it-sikkerhed 1. Varm to-center drift incl. backup. Årlig test at systemerne kan overgå fra et center til det andet. 2. It-risikoanalysen skal suppleres med en trussels- og sårbarhedsanalyse

Sikkerhed på den nemme måde Konklusion fra it-tilsynet Go all in Brug en fast metode, revurder ofte

Spørgsmål?

Tak for opmærksomheden se mere på www.finanstilsynet.dk og se os på Linked In

2026 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback