Kl Indledning v. Lone Strøm, Rigsrevisor

Relaterede dokumenter
Rigsrevisionens notat om beretning om styring af it-sikkerhed hos it-leverandører

/2016. November Rigsrevisionens beretning om styring af it-sikkerhed hos it-leverandører

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015

Rigsrevisionen, digitalisering og dokumentation Statens Arkiver den 5. november 2014 v/rigsrevisor Lone Strøm

It-revision af Sundhedsdatanettet januar 2016

Kontorchef Cecile Christensen, Center for sikkerhed og systemforvaltning. 5. november

Leverandørstyring: Stil krav du kan måle på

Digitaliseringsstyrelsens konference 1. marts 2018

Bekendtgørelse om ændring af bekendtgørelse om ledelse og styring af pengeinstitutter m.fl.

Procedure for tilsyn af databehandleraftale

Notat til Statsrevisorerne om beretning om statens anvendelse af private konsulenter. Januar 2011

Vejledning i informationssikkerhedspolitik. Februar 2015

Systemforvaltning for SDN Temadag om SDN og VDX den 9. november Peder Illum, konsulent,

Rigsrevisionens notat om beretning om SKATs systemmodernisering

Beretninger om behandling af fortrolige oplysninger og forebyggelse af hackerangreb

Sikkerhed i en digitaliseret sundhedssektor. Sikkerhed og Revision 8. September 2017

Vejledning om den praktiske tilrettelæggelse af tilsynet med informationssikkerheden

Notat til Statsrevisorerne om beretning om brugerinddragelse og brugervenlighed i offentlige digitale løsninger. Februar 2014

Eksempel på KOMBITs instruks til ISAE 3000 revisionserklæring

LANGELAND KOMMUNE INTRODUKTION TIL INFORMATIONSSIKKERHED

Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed

Punkter som ikke synes relevante for det givne projekt besvares med: ikke relevant

Rigsrevisionens notat om beretning om politiets henlæggelse af straffesager

Hovedresultater: ISO modenhed i staten. December 2018

Nationale cybersikkerhedsinitiativer. Peter Munch Jensen, sektionsleder

DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet

MÅLING AF INFORMATIONSSIKKERHED

Forslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed

Bilag 1 Databehandlerinstruks

Statsrevisorernes Sekretariat Folketinget Christiansborg 1240 København K FORSVARSMINISTEREN. 2. september 2014

brug af ny anlægsbudgettering

Notat til Statsrevisorerne om beretning om indsatsen mod momskarruselsvindel. Juni 2013

Bekendtgørelse om informationssikkerhed og beredskab i net og tjenester 1)

December Notat til Statsrevisorerne om beretning om bilsyn efter liberaliseringen i 2005

Rigsrevisionens notat om tilrettelæggelsen af en større undersøgelse af statens udbud af drift og vedligeholdelse af større it-systemer

GDPR Leverandørstyring og revisionserklæringer EU-persondatakonferencen 2017

NemHandel i cloud - sikkerhedsmæssige overvejelser. Helle Schade-Sørensen IT og Telestyrelsen

Forfatter: Carsten Stenstrøm Mail: Telefon: IT Amerika Plads København Ø

Retsudvalget REU Alm.del Bilag 353 Offentligt. Anbefalinger til styrkelse af sikkerheden i statens outsourcede it-drift

Sikkerhed i cloud computing

Sikkerhedsanbefaling. Styrkelse af informationssikkerheden i mainframeinstallationer

Modenhed og sikkerhed hos databehandlere Charlotte Pedersen

Kulturministeriets vejledning til retningslinjer for køb af konsulenter September 2015 KØB AF KONSULENTOPGAVER I KULTURMINISTIET 1

Trusselsidentifikation ved risikovurderingen af offentlige it-systemer Kom godt i gang

Transkript:

Kl. 13.00-13.10 Indledning v. Lone Strøm, Rigsrevisor Kl. 13.10-13.40 Hvad viser Rigsrevisionens beretning? Hvad viser beretningen om styring af it-sikkerhed hos it-leverandører? v. Claus Bobjerg Juul, it-revisor og Michael Kubel, kontorchef i Rigsrevisionen Kl. 13.40-14:10 Status på cybersikkerheden Hvordan ser det ud med cybersikkerheden primo 2017? v. Thomas Lund-Sørensen, chef for Center for Cybersikkerhed Kl. 14.10-14.30 Kaffepause Kl. 14.30-15.00 Rigspolitiets arbejde og erfaringer med styring af it-sikkerhed Hvordan arbejder Rigspolitiet med styring af it-sikkerheden hos deres it-leverandør og hvilke erfaringer har de gjort sig? v. Lars Borgeskov, sektionsleder - sikkerhed, Koncern IT Rigspolitiet Kl. 15.00-15.15 Spørgsmål og afrunding på dagen v. Mads Nyholm Jacobsen, kontorchef i Rigsrevisionen

Beretning om styring af it-sikkerhed hos it-leverandører, nov. 2016 Ved kontorchef Michael Kubel og it-revisor Claus Bobjerg Juul 2

Agenda Beretningen og dens fokus. (MK) It-sikkerhed ved it-outsourcing og hvor kan staten gøre det bedre? (MK) Leverandørstyring. (CJU) Systemet og it-infrastrukturen Adgangsstyring og logning i lagene Revisorerklæringer og kontrol af it-sikkerhed To eksempler Risikovurderinger Bilag : Hjemmelsgrundlag vedr. risikovurdering af it-infrastruktur. 3

Beretning om styring af it-sikkerhed hos it-leverandører, november 2016 Formål: Vi undersøgte, om myndighederne har styret it-sikkerheden ved outsourcing til eksterne leverandører. 5 it-revisioner hos myndigheder, der har outsourcet it-drift (Rigspolitiet, SKAT, Styrelsen for Arbejdsmarked og Rekruttering (STAR), Digitaliseringsstyrelsen og Søfartsstyrelsen). 6 it-systemer der er outsourcet. (Pasregistret, Tast Selv Borger, Nyt TastSelv Erhverv, Det fælles datagrundlag (DFDG), NemID og Skibsregistret). OBS! Beretningen handler ikke om it-leverandørernes it-sikkerhed i praksis. 4

Beretning om styring af it-sikkerhed hos it-leverandører, november 2016 Vi undersøgte: Myndighedernes risikovurderinger som grundlag for it-styringen hos itleverandøren (it-infrastrukturen), herunder om myndigheden fx har stillet.. krav om revisorerklæring fra it-driftsleverandøren og mulighed for kontrol af it-sikkerheden krav til adgangsstyring og har fulgt op herpå krav til logning og har fulgt op herpå. Vi gennemgår ikke resultaterne yderligere da disse fremgår af beretningen. Henvisning til beretning: www.rigsrevisionen.dk/publikationer/2016/52016 med Statsrevisorernes bemærkning og ministrenes svar til beretningen. 5

It-sikkerhed ved it-outsourcing udfordringer Statslige myndigheder outsourcer it-drift i vidt omfang: Fordi det giver fordele i forhold til, fx: Økonomi, kvalitet, tekniske løsninger og organisering men Myndigheden har stadig ansvaret It-infrastrukturen kobles til leverandørens netværk Nye risici fx via delte services el. pga. svage kontroller Væsentlig reduceret kontrol med it-funktionerne Styring og kontrol sker typisk via kontrakt, serviceaftale, el. revisorerklæring Kontraktændringer bekostelige - Nye krav om it-kontroller skal forhandles. 6

It-sikkerhed ved it-outsourcing hvor kan staten gøre det bedre? Myndighedens grundlag for at stille krav til leverandøren, fx Opdatere trusselsvurdering/kendskab til egne sårbarheder = opdateret risikovurdering. Indgående kendskab til det miljø / de processer, der outsources. Risikovurdering af leverandørens itinfrastruktur (i samarbejde m. leverandøren). Stille krav til nødvendige it-kontroller. Præcisere krav til it-leverandøren: Logiske / tekniske tiltag, fx Adgangskontroller. Password (stærke). Logning generelt / specifikt. Opbevare logdata hvor længe? Backup restore beredskab. Platforme, server, netværk mv. Opdateringer af infrastruktur. Konsulenter er dyre dette er gratis: Vejledninger fra Digitaliseringsstyrelsen /Center for Cybersikkerhed. Rigsrevisionens beretninger. Sikre tilstrækkelige kompetencer. 7

Systemet og it-infrastrukturen Bruger interaktion Forretningslogik Data opbevaring System understøttende platform Platform til optimering af udnyttelsesgrad Selve maskinen Netværk til kommunikation Datacenter/serverrum 8

Adgangsstyring og logning i lagene 9

Revisorerklæringer og kontrol af it-sikkerhed Generel Systemspecifik 10

Eksempel 1: Krav om og opfølgning på adgangsstyring Krav om, at leverandøren begrænser sine medarbejderes adgang ud fra et arbejdsbetinget behov. Tolket som at det ikke omfattede den fysiske lokation. Opfølgning via generel revisorerklæring. 11

Eksempel 2: Krav om og opfølgning på logning Generelt krav om at handlinger i databasen logges. Tolket som at det ikke omfattede leverandørens medarbejdere. Ingen opfølgning. 12

Risikovurderinger Der er sammenhæng mellem risici og foranstaltninger og vice versa. For hver foranstaltning er der mindst én risiko, der reduceres. De(n) risici skal fremgå af risikovurderingen. 13

14

Hjemmelsgrundlag for risikovurdering herunder it-infrastruktur. Forskellige henvisninger: Dansk IT Sikkerhed ved it-outsourcing (quickguide), 2012. Digitaliseringsstyrelsen og Center for Cybersikkerhed - Anbefalinger til styrkelse af sikkerheden i statens outsourcede it-drift, 2014. Digitaliseringsstyrelsen - Guide til implementering af ISO27001 (Professionel styring af informationssikkerhed), 2015 Digitaliseringsstyrelsen - Vejledning i it-risikostyring og -vurdering, 2015 15

2026 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback