Informationssikkerhed i Balance

Relaterede dokumenter
Assens Kommune Sikkerhedspolitik for it, data og information

Informationssikkerhedspolitik

It-anvendelsen i Langeland Kommune har til formål at understøtte kommunens overordnede visioner.

Bilag 1.Talepapir ved samråd i KOU den 8. oktober

Informationssikkerhedspolitik. Frederiksberg Kommune

IT-SIKKERHEDSPOLITIK UDKAST

IT-sikkerhedspolitik S i d e 1 9

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015

Informationssikkerhedspolitik For Aalborg Kommune

Informationssikkerhedspolitik. for Aalborg Kommune

Politik <dato> <J.nr.>

Kontorchef Cecile Christensen, Center for sikkerhed og systemforvaltning. 5. november

Faxe Kommune. informationssikkerhedspolitik

Forslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed

PSYKIATRIFONDENS Informationssikkerhedspolitik

Overordnet Informationssikkerhedspolitik

Politik for informationssikkerheddatabeskyttelse

Informationssikkerhedspolitik Frederiksberg Kommune

IT-sikkerhedspolitik for

Hjørring Kommune. Overordnet I-sikkerhedspolitik for Hjørring Kommune

Skanderborg Kommune. ISMS-regler. Informationssikkerhedsregler for hvert krav i ISO. Udkast 27001:2017

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik

Fredericia Kommunes Informationssikkerhedspolitik 1 FREDERICIA KOMMUNE AFDELING TITEL PÅ POWERPOINT

Halsnæs kommune. Informationssikkerhedspolitik Oktober Informationssikkerhedspolitik Halsnæs kommune.

Denne publika ion er udarbejdet af Digitaliseringsstyrelsen Landgreven 4 Postboks København K Telefon digst@digst dk

DI ITEK-gennemgang: National strategi for cyber- og informationssikkerhed

Ballerup Kommune Politik for databeskyttelse

Vejledning i informationssikkerhedspolitik. Februar 2015

INFORMATIONS- SIKKERHEDSPOLITIK

MedComs informationssikkerhedspolitik. Version 2.2

Overordnet It-sikkerhedspolitik

Overordnet it-sikkerhedspolitik for Rødovre Kommune

Fællesregional Informationssikkerhedspolitik

Indholdsfortegnelse Indledning Formål Omfang Holdninger og principper... 4

NORDISK SAMARBEJDE OM INFORMATIONSSIKKERHED I KOMMUNER OG REGIONER

Præsentation af Curanets sikringsmiljø

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik

Rapport. Anbefaling. Sikkerhedstjekket 2016 Rådet for Digital Sikkerhed

Status for ændringer. Informationssikkerhedspolitik for Region Hovedstaden. Version 1.2

Guide til SoA-dokumentet - Statement of Applicability. August 2014

LinkGRC GOD SKIK FOR INFORMATIONSSIKKERHEDSPOLITIK GOD SKIK FOR INFORMATIONSSIKKERHEDSPOLITIK

Programbeskrivelse - øget sikkerhed og implementering af sikkerhedsreglerne i EU's databeskyttelsesforordning

Koncessionskontrakt vedr. ekspeditionen af pas, kørekort og øvrige borgerserviceopgaver. Københavns Kommune Kultur- og Fritidsforvaltningen.

OVERORDNET IT-SIKKERHEDSPOLITIK

IT-sikkerhedspolitik. for Social- og Sundhedsskolen Esbjerg

DUBEX SECURITY & RISK MANAGEMENT SUMMIT Søren Kromann, Forvaltningsdirektør, KOMBIT

Informationssikkerhedspolitik for Horsens Kommune

DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet

Temadag Cybersikkerhedi forsyningssektoren Administrative systemer v/henrik Pors

Informationssikkerhedspolitik for <organisation>

Programbeskrivelse. 7.2 Øget sikkerhed og implementering af EU's databeskyttelsesforordning. 1. Formål og baggrund. August 2016

Ikast-Brande Kommune. Informationssikkerhedspolitik (efterfølgende benævnt I-Sikkerhedspolitik) Maj 2016 Sag nr. 2015/06550

1. Introduktion til SoA Indhold og krav til SoA 4

Vejledning i etablering af forretningsoverblik. Januar 2018

Sikkerhedsvurderinger

1 Informationssikkerhedspolitik Hvorfor vil vi sikre vores informationer? Hvad dækker begrebet "informationer"? 2

Bilag 1 Databehandlerinstruks

Ver. 1.0 GENTOFTE KOMMUNES INFORMATIONSSIKKERHEDSPOLITIK

Resultatet af undersøgelse af status på implementering af ISO27001-principper i staten

Forfatter: Carsten Stenstrøm Mail: Telefon: IT Amerika Plads København Ø

Fællesregional Informationssikkerhedspolitik

Informationssikkerhedspolitik for Region Midtjylland

Vi har etableret et brancheledende informationssikkerhedsprogram. vores kunder den bedste beskyttelse og højeste grad af tillid.

Aabenraa Kommune. Informationspolitik. Udkast. Udkast:

KOMBIT sikkerhedspolitik

Trusselsidentifikation ved risikovurderingen af offentlige it-systemer Kom godt i gang

Kommunens nuværende politik stammer fra 2008 og bygger på en gammel dansk standard, DS484.

IT- og informationssikkerheds- politik (GDPR) For. Kontrapunkt Group

Reducér risikoen for falske mails

Overordnet informationssikkerhedsstrategi

Region Hovedstadens Ramme for Informationssikkerhed

Indholdsfortegnelse. Generelt 3. Formål 3. Omfang 4. Sammenhæng med IT- og forretningsstrategier 4

Vejledning for tilsyn med databehandlere

Vejledning om den praktiske tilrettelæggelse af tilsynet med informationssikkerheden

Overordnet Informationssikkerhedsstrategi. for Odder Kommune

Vejledning i informationssikkerhedsstyring. Februar 2015

It-sikkerhedspolitik for Københavns Kommune

IT-SIKKERHED SET FRA LEVERANDØRENS SIDE

I det følgende vil de væsentligste ændringer, samt hvilke virksomheder loven omfatter, blive gennemgået.

CYBERFORSIKRING OFFENTLIG KONFERENCE

Agenda. Introduktion: Rasmus & CyberPilot. Eksempler fra det virkelig verden. Persondataforordningen & IT-sikkerhed (hint: ISO27001)

Kursus: Ledelse af it- sikkerhed

Risikostyring ifølge ISO27005 v. Klaus Kongsted

FSOR. Årsberetning 2016 FINANSIELT SEKTORFORUM FOR OPERATIONEL ROBUSTHED

Hvis I vil vide mere. Kom godt i gang med standarder. Hvordan arbejder I med et fælles ledelsessystem og skaber synergi?

Bekendtgørelse om ændring af bekendtgørelse om ledelse og styring af pengeinstitutter m.fl.

It-beredskabsstrategi for Horsens Kommune

DS 484:2005. Standard for informationssikkerhed -Korte uddrag fra DS484

Målbillede for risikostyring i signalprogrammet. Juni 2018

Guide til awareness om informationssikkerhed. Marts 2013

Hovedresultater: ISO modenhed i staten. December 2018

Trusselsvurdering Cyberangreb mod leverandører

Assens Kommune Politik for databeskyttelse og informationssikkerhed

Politik for informationssikkerhed 1.2

Torben Waage Partner

Sikkerhedsanbefaling. Forholdsregler ved ophør af serviceopdateringer til Windows XP Embedded

Organisering og styring af informationssikkerhed. I Odder Kommune

It-sikkerhedspolitik for Farsø Varmeværk

Ekstern kvalitetssikring af beslutningsgrundlag på niveau 1

INFORMATIONS- OG INDIVIDSIKKERHED (IOI) VEJLEDNING OM RISIKOHÅNDTERING (SIKKERHEDSKONTROLLER) Version 1.0

Transkript:

Informationssikkerhed i Balance Koncept version 1.0 Oktober 2014 IT-Branchens It-sikkerhedsudvalg

Resumé Der har de sidste år været et intenst fokus på informationssikkerhed i Danmark, primært grundet en række alvorlige databrud, med tab af større mængder personfølsomme data som følge. De mange sager har medvirket til at sætte spørgsmålstegn ved den generelle kvalitet af informationssikkerheden i Danmark, både fra politisk hold, fra pressens side og blandt ledelsen i private virksomheder og offentlige myndigheder. Konceptet bygger på 5 forskellige modenhedsniveauer af informationssikkerhed, baseret på organisationens sikkerhedsmæssige behov, og konceptet skal følges op af konkrete vejledninger og værktøjer, der beskriver præcist, hvad det vil kræve at være placeret i de forskellige niveauer. Konceptet er ment som at være fuldt loyal mod gængse sikkerhedsstandarder såsom ISO27001:2013 og kan derfor bruges i en hver organisation, uafhængig af valgt standard. Begrebet organisationer vil i det følgende blive brugt både om offentlige myndighed og private virksomheder. Vigtigt at bemærke er, at der ingen direkte sammenhæng er mellem en organisations størrelse og dens behov for sikkerhed. Forskellige organisationer kan have forskelligt behov. Store organisationer kan have mindre behov for sikkerhed end små, og samme organisation kan have forskellige sikkerhedsniveauer for forskellige datasæt. Konceptet udgør IT-Branchens bud på, hvordan vi får løftet it-sikkerheden i Danmark generelt, både for offentlige myndigheder og private virksomheder. Hvis konceptet får opbakning politisk og hos områdets interessenter, vil understøttende værktøjer og vejledninger kunne udarbejdes i tæt samarbejde imellem interesseorganisationer og nøgleaktører i Danmark, der hver i sær har deres styrker inden for privat og offentlig informationssikkerhed, såsom IT- Branchens IT-Sikkerhedsudvalg, Rådet for Digital Sikkerhed, Digitaliseringsstyrelsen og Center for Cybersikkerhed. Et fælles sikkerhedskoncept for Danmark Formålet med konceptet Informationssikkerhed i Balance er at komme med en realistisk, løsningsorienteret og målbar formel på, hvordan vi i Danmark kan få en fælles forståelse for informationssikkerhed ved at etablere et vejledende fundament for en fælles tilgang til forbedring af informationssikkerheden de steder, hvor den halter. Konceptet bygger på det faktum, at alle har brug for sikkerhed, men at alle ikke har brug for (eller mulighed for) at have det samme modenhedsniveau, når det kommer til informationssikkerhed. Det overordnede mål med konceptet er: At hjælpe organisationens ledelse med at forstå deres egen organisations individuelle behov for informationssikkerhed og finde et passende sikkerhedsniveau, basseret på organisations risikoprofil og hvordan informationssikkerhed vil tilføre reel værdi. At tilsikre at den individuelle organisations ledelse til en hver tid har et realistisk risikobillede, basseret på reelle trusler, sandsynlighed for sikkerhedsbrud og den relaterede konsekvens for organisationen. At hjælpe organisationen med at få en objektiv vurdering af de nødvendige investeringer i implementering og vedligeholdelse af informationssikkerhed, som hverken ligger for højt eller for lavt i forhold til virksomhedens risikoappetit og type/mængde af de informationer, som organisationen er ansvarlige for. At lette organisationens arbejde med at identificere og implementere de sikkerhedsmæssige kontroller, som er nødvendige for at leve op til anbefalingerne for det valgte sikkerhedsniveau, så der hverken implementeres utilstrækkelige eller unødvendige kontroller.

At hjælpe intern og ekstern revision og andre tilsynsmyndigheder med et fælles fundament for, hvilke kontroller der bør være på plads, baseret på objektive, ensartede og specifikke kriterier. Konceptet Informationssikkerhed i Balance Dette dokument beskriver konceptet bag Informationssikkerhed i Balance. Konceptet skal bakkes op af en række specifikke værktøjer, skabeloner og vejledninger, der kan tilpasses den enkelte organisations operationelle behov. På denne måde bliver informationssikkerhed praktisk, håndgribeligt og nemt at gå til, samtidig med at vi udnytter det omfattende sikkerhedsarbejde, der allerede er udført i en række af de mange professionelle organisationer, som arbejder med koordinering af informationssikkerhedsindsatsen i Danmark. Første skridt for realiseringen af konceptet er at samle opbakning hos områdets interessenter, herunder politikere. Derefter kan værktøjer og vejledninger udarbejdes i samarbejde mellem IT- Branchens IT-Sikkerhedsudvalg og eks. Rådet for Digital Sikkerhed, Digitaliseringsstyrelsen og forsvarets Center for Cybersikkerhed. Øvrige interesserede aktører - erhvervsorganisationer, brancheorganisationer og repræsentanter fra regionalt, kommunalt og statsligt niveau - er velkomne undervejs. Erhvervspolitisk opbakning IT-Branchen opfordrer regering, Folketing, erhvervsorganisationer, myndigheder og it- og sikkerhedsleverandører til at bakke op om sikkerhedsmodellen, og tilkendegive evt. interesse for at indgå i samarbejdet om at udbrede kendskabet hertil og udarbejde vejledningerne i brugen heraf målrettet offentlig og private virksomheder. Kontakt IT-Branchens sikkerhedsudvalg for nærmere information via Bjørn Borre, bjb@itb.dk Principper Behovet: Både offentlige myndigheder og private virksomheder er i stigende grad klar over, at der er brug for at forbedrede modenheden for informationssikkerhed i virksomheden, drevet af faktorer som skærpede regulativer, øget fokus fra hovedinteressenter, samt behovet for en bedre balance imellem forretningsmål og it-investeringer. Tvivl om hvor, hvordan og hvor meget der skal sættes ind, er dog forbundet med væsentlige hindringer for en forbedrende indsats. Realisme: Selv om organisationer skal og bør have fokus på informationssikkerhed, er det højst tænkelige niveau af sikkerhed ikke nødvendigvis ønskeligt eller muligt. Set både fra den økonomiske synsvinkel og ønsket om størst mulig forretningsfleksibilitet. Ikke svært at komme godt i gang: Ny kompleks teknologi og indførelse af komplicerede processer er ikke altid vejen til en forbedret sikkerhed. Ofte giver det langt større værdi at starte med det fundamentale: Fokus fra ledelsens side, styringsprocesserne, vurdering af organisationens aktiver og en konkret risikovurdering i forhold til organisationens forretningsmål. Vejledende ramme: Øget regulering er ikke i sig selv en garanti for bedre sikkerhed. Regulering har tendens til at fokusere på det let-målbare, at være forældet kort efter den er vedtaget og i at skære alle virksomheder over en kam. En vejledende ramme som Sikkerhed i Balance kan derimod løbende opdateres, så den afspejler best practice, nyeste viden og tilgængelig teknologi. Med Informationssikkerhed i Balance leveres denne ramme, som virksomheder kan bruge til at deklarere deres individuelle sikkerhedsniveau, og som

interessenter kan iværksætte kontroller med efterlevelsen af med udgangspunkt i de forskellige modenhedsniveauer. Overblik over modenhedsniveauer Niveau Typisk typer af organisationer Typiske organisationer Niveau 1 Initialt Niveau 2 Formaliseret Niveau 3 Defineret Niveau 4 Styret Niveau 5 Optimeret Organisationer uden væsentlige kritiske aktiver, men som er opmærksomme på at noget må gøres. Ledelsen i organisationer på niveau 1 har en meget høj risikoappetit, da de typisk har en meget begrænset mængde information, der kan betegnes som kritisk og ikke vil blive synderligt påvirket af enten tab eller utilgængelighed af denne information. På niveau 1 drejer det sig primært om at gøre organisationens medarbejdere opmærksomme på ledelsens holdning til informationssikkerhed, udpege en ansvarlig for sikkerhed (ikke fultids), samt have et overordnet overblik over, hvor organisationen evt. kan være sårbar som fundament for eventuelt supplerende investeringer. Investeringerne i tekniske kontroller og opfølgning på dette niveau er meget lave. Men det mest basale skal være på plads. Organisationer med aktiver vurderet til at være kritisk og/eller personfølsomt, men som har en meget begrænset mængde at disse informationer. På niveau 2 etableres et fyldestgørende overblik over, hvor de kritiske informationer opbevares, og organisationens medarbejdere er nøje klar over, hvordan disse informationer skal behandles. Der er udelegeret et ansvar for sikkerhed, og der udføres periodisk kontrol med, at de udstukne retningslinjer overholdes. De basale sikkerhedskontroller er på plads, og det vurdere, om der er enkelte områder så som adgangskontrol, som skal skærpes yderligere. Organisationer der ejer en væsentlig mængde af kritisk data (såsom personfølsomt data), men som kun i begrænset omfang behandler disse data (fx hvor en større del af operationen er outsourcet til tredjepart). Det kan også dreje sig om organisationer (små som store), der er ansvarlig for en større mængde kritisk data, eller hvor informationssikkerhed spiller en væsentlig rolle i organisationens overlevelse/virkemåde. Ud over at der er placeret et de facto og dedikeret sikkerhedsansvar i form af en formel sikkerhedschef, er der yderligere fastsat et officielt sikkerhedsbudget baseret på en grundig risikovurdering og analyse af evt. manglende kontroller. Der ligges vægt på, at organisationen har helt styr på de sikkerhedsmæssige krav til informationssikkerhed, så der aktivt kan måles på fx egen og leverandørers overholdes af disse. Der er skærpet fokus på koordinering og dokumentation af sikkerhedsmæssige regler og processer og løbende opfølgning på effektiviteten af disse. Medarbejderinformation/uddannelse vægter yderligere højt. Organisationer der behandler større mængder af kritisk data, ofte i en kompleks og omfattende it-infrastruktur. Der er her brug for intens fokus på de tekniske kontroller, sikkerhedsarkitektur, såvel som en skarp styring af sikkerhedsmæssige processer. Man er helt klar over, hvordan man forhindrer, detekterer og håndterer evt. brud på informationssikkerheden og har etableret et effektivt beredeskab til krisehåndtering. Sikkerhedskontroller testes løbende og ofte. Organisationer på niveau 4 har en omfattende styring af informationssikkerhed støttet af en række detaljerede politikker, regler og vejledninger for informationssikkerhed. Sikkerhedsorganisationen er understøttet af en række støttefunktioner såsom intern revision, juridisk ekspertise og et tæt samarbejde med eksterne samarbejdspartnere. Måling, opfølgning og rapportering vægter yderligere højt. Organisationer der ligger inde med væsentlige mængder af data, hvis tab af fortrolighed eller tilgængelighed vil have signifikant negativ betydning ikke blot for virksomheden selv, men for Danmark generelt. Dette kan bl.a. være visse dele af afdelinger i politi og forsvar, kritisk forsyning m.m. Dette niveau kræver naturligvis en skarp styring og bærer præg af en høj grad af optimering/automatisering af kritiske processer. Sikkerhedskontrollerne her vil Organisationer der ligger inde med en meget begrænset mængde personfølsomt data eller anden kritisk information såsom håndværkervirksomheder, restaurationer, m.m. Læger, advokatfirmaer, lokale offentlige institutioner, velgørenhedsorganisationer m.m. Kommuner, hospitaler, virksomheder, m.m. som ejer en større mængde af kritiske informationer og informationssystemer, men hvor drift og operation af disse i større grad er outsourcet til tredjepart. It-outsourcing partnere, støtteorganisationer med kompleks egen drevet itinfrastruktur, energiselskaber, banker, forsikringsselskaber, m.m. Forsvaret, nationale forsyningsselskaber, organisationer der behandler information som kan klassificeres som yderst hemmeligt, og hvis

typisk være meget specifikke for organisationen, og generelle anbefalinger kan kun bruges i begrænset grad. læk kan skade både organisationen selv og Danmark generelt. Analyse Balanceret tilgang til informationssikkerhed nødvendig for organisationens succes De fleste organisationer, offentlige såvel som private, kender efterhånden behovet for informationssikkerhed, især set ud fra de mange sager om databrud, der er kommet til offentlighedens kendskab over de sidste år. Det har dog været meget svært at få et konkret overblik over, hvor der præcist bør sættes ind, da anbefalinger til tider har været meget forskellige eller formuleret i tekniske termer, som gør dem svært forstålige for ledelsen hos myndigheder og virksomheder uden særlig viden om hverken it eller it-sikkerhed. Det har yderligere ikke gjort det nemmere, at årsagerne til de mange registrerede databrud har været vidt forskellige: Fra direkte hacking, til misbrug af adgangsrettigheder fra egne betroede medarbejdere, til simpel mangel på kvalitetssikring af data før de offentliggøres. Uden for den brede offentligheds søgelys er der samtidig sket en merkant stigning i mængden af avancerede cyberangreb, primært rettet mod erhvervet i form af industrispionage og relaterede angreb. Fælles for disse angreb har været, at de har været yderst komplicerede, angriberne har brugt store mængder af tid og ressourcer på at få fat i de information, som de er gået efter, samt at de berørte virksomheder ofte har lidt betydelig skade, både direkte økonomisk og langsigtet i form af tab af kritiske forretningshemmeligheder. Databrud har ramt alle brancher over en kam. Organisationer er samtidig ramt af krav om billigere it og reduktion i medarbejderstaben. Manøvrer der kan gå hårdt ud over niveauet af informationssikkerheden, hvis ikke det bliver håndteret effektivt. Et lavere niveau af sikkerhed betyder naturligvis en højere risiko. Men ikke alle organisationer har behov for det samme sikkerhedsniveau og visse typer af organisationer kan sagtens tage endog meget store risici på sikkerhedsområdet, uden at det går grelt ud over organisationens virke og evne til overleve. Det er dog altid afgørende vigtigt, at organisationen er helt klar over, hvilke risici organisationen tager, og hvad dette kan indebære. Et klart overblik over hvor organisationen befinder sig rent sikkerhedsmæssigt, og hvor man gerne vil hen, vil gøre det signifikant lettere at overbevise organisationens ledelse om, at de rette investeringer er nødvendige, fortælle den gode historie til organisationens medarbejdere, og derfor benyttes til retfærdigøre investeringer, overvinde kulturelle udfordringer ( hvorfor nu al den sikkerhed? ) samt bidrage til at øge bevidstheden om sikkerhed blandt organisationens samarbejdspartnere. Én og samme organisation kan have behov for at operere med flere sikkerhedsmodenhedsniveauer for forskellige datasæt/systemer. Med eks. et moderat sikkerhedsniveau for eksempelvis administrative interne data, og et særligt højt sikkerhedsniveau for projekter og personfølsomme data. Indsatsen indtil nu Der er over de sidste år set en række initiativer fra forskellige interessegrupper, både private og offentlige, med forskellige bud på, hvordan informationssikkerhed i Danmark kan forberedes. Der er oprettet en række offentlige sikkerhedscentre og private sikkerhedsråd, samt afholdt en længere række af diverse høringer og konferencer omkring informationssikkerheden. Samtidig har eksperter og sikkerhedsleverandører været ivrige efter at give deres bud på et it-sikkert Danmark. Isoleret set er der kommet mange gode og konstruktive resultater ud af dette, men det er endnu ikke lykkedes for alvor at nå til enighed om et fælles grundlag og forståelsesramme for informationssikkerhed i Danmark. Sidste forsøg på dette var ved udfærdigelsen af standarden DS484

(senest opdateret i 2005). Den reelle sikkerhedsmæssige værdi af denne standard vurderes at være temmelig begrænset, primært grundet DS484s noget bureaukratiske opbygning og rigide tilgang til informationssikkerhed, som har gjort den vanskelig at efterleve i praksis. DS484 er nu blevet efterfulgt af den internationale sikkerhedsstand ISO27001, som nu findes i en version 2013. ISO27001 sætter fokus på effektiv styring af informationssikkerhed, hvor især de sikkerhedsmæssige processer sættes i fokus. Ulig DS484, er ISO27001 ment til at blive skræddersyet til den enkelte organisation og sætter stor fokus på ledelsens opbakning til informationssikkerhed i organisationen. Fra første januar 2014 har statslige institutioner i Danmark skulle efterleve netop ISO27001 2013. Hvor sikkerhedskyndige har omfavnet ISO27001 i sin helhed, kan den dog være svær for mange at efterleve i praksis. For selv om ISO27001 har mange styrker, har den også sine svagheder, primært: Standarden er udpræget ikke-teknisk og ville i sig selv nok ikke have forhindret de større sager om databrud, der har ramt i Danmark over de sidste år. Standarden er et meget omfattende værk, som kan svær at overskue for mange organisationer. Resultatet er, at mange enten ikke får implementeret ISO27001 på en måde, der giver værdi for organisationen, eller bruger alt for meget tid og for mange ressourcer for at få standarden implementeret. Sikkerhedsniveauet i ISO27001 bliver sat af organisationens ledelse. Der er derfor risiko for, at ledelsen, fx af økonomiske hensyn, ikke fastsætter et sikkerhedsniveau, der afspejler den reelle risiko, for eks. danske borgere og samfundet i sin helhed. Ovenstående observation danner bagrunden for Informationssikkerhed i Balance som er ment til at blive et fyldestgørende rammeværk for informationssikkerhed i Danmark, baseret på råd, vejledning og erfaringer fra et bredt udsnit af de bedste sikkerhedskompetencer i Danmark, både fra offentlige myndigheder og private virksomheder i samarbejde. Målbare niveauer Informationssikkerhed i balance er tro mod ISO27001, men søger samtidig at afdække områder som er på et mere teknisk niveau end ISO27001 lægger op til. For at finde organisations nuværende niveau, måles der dimensioner som: Sikkerhedsstrategi organisationens ledelses evne til at sætte klare retningslinjer for informationssikkerhed set ud fra et forretningsmæssigt synspunkt. Sikkerhedsledelse måler hvor dybt sikkerhed er forankret i organisationen, om der er klare mål og retningsliner, samt om der måles på overholdelse af den fastsatte sikkerhedsstrategi. Sikkerhedsledelse indebærer også, at der er styr på, hvor virksomhedens kritiske informationer befinder sig, om man er klar over, hvilke risici der er mod disse informationer, samt om der er planer for at udbedre eventuelle mangler. Organisation og medarbejdere måler om ledere og medarbejdere forstår deres roller for at støtte op omkring informationssikkerheden i organisationen, om roller og ansvar er klart defineret, og om medarbejderne modtager den uddannelse og støtte, der er nødvendig for at kunne arbejde på en sikker måde. Sikkerhedskontroller bredt dækkende over både tekniske kontroller såsom adgangskontrol, brug af kryptografi, fysisk sikring, sikring af ekstern kommunikation og sikkerhed i udviklingsmiljøer.

Fordeling Et klart billede af hvor mange organisationer (myndigheder eller virksomheder), der i dag ligger i de forskellige modenhedsniveauer, og hvor mange der ligger korrekt, kræver et større analysearbejde. For at modellen skal have succes som bidrag til at styrke sikkerheden i Danmark hos myndigheder og virksomheder - kræver det dog, at kun et begrænset antal organisationer udsættes for den mere rigide form for sikkerhed, der kræver store investeringer (niveau 4 og 5). I de lavere niveauer skal man primært koncentrere sig om at have styr på de sikkerhedsmæssige krav, processer og oplysning. Baseret på branchens nuværende overblik og erfaring, vurderes en realistisk fordeling at være følgende (målt i %): Realistisk og balanceret niveaufordeling for offentlige myndigheder og private virksomheder 40 35 30 25 20 15 10 Kilde: IT-Branchens It-sikkerhedsudvalg. Derfor betyder selv en bred implementering af konceptet i Danmark ikke, at alle myndigheder og virksomheder står overfor markante investeringer. Det kræver ikke et stort setup at leve op til niveau 2. Opgaven er først omfattende primært administrativt på niveau 3, og teknisk omfattende når man når niveau 4. Modellen er netop lavet for at organisationer kan investere i sikkerhed på de rigtige niveauer, uden hverken for meget eller for lidt sikkerhed. Mange forventes at kunne bruge konceptet til at få fokuseret organisationens eksisterende indsats og budget i den mest forretningsmæssige værdigivende retning, afstemt med organisationens mål og offentligt givne krav. I forhold til offentlige krav er det vigtigt at være påpasselig med ikke at misbruge konceptet til at opsætte rigide krav på tværs af myndigheder eller brancher, med krav om eks. ét fælles højt sikkerhedsniveau. Det kan virke begrænsende på nye, store som små, internationale eller nationale virksomheders mulighed for at drive virksomhed i Danmark og myndigheders mulighed for at tage eks. nye forretningsmodeller i brug.

Eksempler på etablering af sikkerhedskontroller efter modenhedsniveau Kontrol Niveau 1 Niveau 2 Niveau 3 Niveau 4 Niveau 5 Vejledende Basal Specificeret Kontrolleret Intens Sikkerhedspolitik Ledelsen fastlægger en kort overordnet sikkerhedspolitik, der understreger ledelsens holdning og krav til sikkerhed i organisationen (fx 1 side). + der er specificeret væsentlige områder som medarbejdere skal være opmærksom på. Politikken genbesøges for relevans mindst én gang årligt. + den overordnede sikkerhedspolitik er suppleret af et mindre antal specifikke standarder, vejledninger, m.m. der definerer krav til specifikke områder af særlig relevans for organisationen. + den overordnede sikkerhedspolitik er suppleret af et fyldestgørende sæt af tekniske standarder, vejledninger og procedurer, der tager højde for alle relevante områder i forhold til organisationens aktiver og risikoprofil. + Overholdelse af sikkerhedsprocesser er en altovervejende del af organisationens kultur og alt intern dokumentation, regler og vejledning bærer tydeligt præg af dette. Medarbejdersikkerhed Medarbejdere modtager generel vejledning om informationssikkerhed ved ansættelse. + Genopfriskning foregår mindst årligt. Awareness budskaber (f.eks. ved nye trusler) udsendes efter behov. + specifikke Awareness kampagner udføres mindst hvert halve år. Medarbejdere testes for deres forståelse af sikkerhed mindst årligt. Der tages specifik højde for sikkerhed ved ansættelse, bl.a. ved fremvisning af referencer, straffeattest, ID, m.m. + medarbejdere modtager yderligere målrettet sikkerhedsuddannelse for specifikke medarbejdergrupper, fx medarbejdere der håndterer personfølsomme data, database administratorer, m.m. + medarbejdere modtager intensiv undervisning i informationssikkerhed i detaljeret grad, flere gange årligt. Medarbejdere med adgang til følsomt data gennemgår baggrundscheck på højt niveau, eg. sikkerhedsclearing fra politiet. Håndtering af organisationens aktiver Det er overvejet og dokumenteret hvilke overordnede informationsaktiver virksomheden /myndigheden råder over og hvilke værdi disse har. + Der føres en opdateret protokol over hvilke informationsaktiver, man råder over, og risikovurdering er gennemført på et overordnet niveau. Protokollen vedligeholdes løbende, mindst én gang årligt. + Alle aktiver er klassificeret i forhold til dets værdi. Der er et fuldt overblik over præcis, hvilket informationsaktiver man råder over, og hvor denne information befinder sig. Der er udpeget et specifikt ansvar for, hvem der er ansvarlig for hvilke aktiver og hvad det ansvar indebærer. Aktiver risikovurderes løbende hvis/når risikobilledet ændrer sig, dog mindst én gang årligt. + Aktiver monitoreres løbende vha. overvågningsværktøjer, og der er til hver tid et fuldt overblik over hvor information befinder sig. Der alarmeres og reageres omgående på uregelmæssigheder. + Alle aktiver er tydeligt klassificeret og beskyttet af en rigid grad af både fysisk og logisk sikkerhed. Alle aktiver er registreret og enhver uregelmæssighed opdages omgående.

Supplerende materiale der kan udarbejdes for at støtte op om konceptet: Eksemplificering af virksomheder og myndigheder på de forskellige niveauer, med generisk (leverandør-anonymiseret) overblik over it-sikkerheds-teknisk og organisatorisk setup Vejledning til myndigheder i anvendelse af it-sikkerhedskoncept ved offentlige udbud Specifikke værktøjer der hjælper organisationer med at finde det rette sikkerhedsniveau så som værktøj til risikovurdering, registrering af sikkerhedshændelser, måling af modenhedsniveau, mm. Website med overblik over leverandører, der kan bistå organisationer med at få styr på sikkerheden med løsninger, rådgivning og efteruddannelse fordelt på de forskellige sikkerhedsniveauer Eksempler på sikkerhedspolitik, regler og vejledninger der kan tilpasses den enkelte organisation og som løbende vedligeholdes og opdateres ved ændring af trusselsbilledet, ny teknologi, m.m. Uddannelsesmateriale til medarbejdere der hjælper organisationerne med at skærpe synet på informationssikkerhed. For spørgsmål venligst kontakt IT-Branchens it-sikkerhedsudvalg www.itb.dk eller via udvalgssekretær Bjørn Borre bjb@itb.dk, Tlf. 27522524

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback