Iverksette styringssystem for informasjonssikkerhet
Informasjonssikkerhet dreier seg om å håndtere risiko relatert til virksomhetens informasjonsverdier og behandling av personopplysninger. Personopplysninger kommer i mange former. De kan trykkes eller skrives på papir, lagres elektronisk, overføres via post eller elektroniske media, eller formidles muntlig. Uansett hvordan informasjonen formidles og lagres, skal den alltid beskyttes på en tilfredsstillende måte.
Informasjonssikkerhet omfatter:
- Konfidensialitet – at informasjonen ikke blir kjent for uvedkommende
- Integritet – at informasjonen ikke blir endret utilsiktet eller av uvedkommende
- Tilgjengelighet – at informasjonen er tilgjengelig for autoriserte ved behov
- Robusthet – at organisasjonen og systemene er motstandsdyktige, og evner å gjenopprette normaltilstand ved hendelser
Organisasjoner og deres informasjonssystemer står overfor en stadig lengre rekke av sikkerhetstrusler, for eksempel datasvindel, spionasje, sabotasje og hærverk. Trusselaktører tar kontinuerlig i bruk nye verktøy og metoder som krever at alle virksomheter jevnlig holder seg oppdatert, kjenner til nye trusler og sårbarheter, og vurderer om man har etablert tilstrekkelig sikring.
I personvernregelverket understrekes det at arbeidet med informasjonssikkerhet er en kontinuerlig prosess. Det stilles blant annet krav til å sikre vedvarende robusthet i tillegg til konfidensialitet, integritet og tilgjengelighet. Det betyr blant annet at virksomheten har plikt til å ta hensyn til den tekniske utviklingen, altså hvilken teknologi som er tilgjengelig på markedet til enhver tid. Den teknologien som var akseptabel for å sikre virksomhetens behandlinger i fjor, er ikke nødvendigvis akseptabel i år.
For å sørge for tilstrekkelig sikkerhet står det i artikkel 32 at virksomheten må ta hensyn til behandlingens art, formål, omfang og sammenheng, hva som finnes av tilgjengelig teknologi, kostnader ved gjennomføring, og hva sannsynligheten og konsekvensen er for at uønskede eller ulovlige hendelser skal inntreffe. Informasjonssikkerhet oppnås ved hjelp av tekniske og organisatoriske tiltak. Sikkerhetstiltakene og informasjonssystemet skal dokumenteres og inngå som en del av internkontrollen i virksomheten.
Ved innføring av internkontroll må virksomheten først identifisere hvilke personopplysninger som behandles. Deretter må det utarbeides en risikovurdering.
Dokumentasjon og oppbygging av styringssystem for informasjonssikkerhet
Personvernforordningen stiller krav til tilstrekkelig informasjonssikkerhet ved innføring av egnede tekniske og organisatoriske tiltak. Vi anbefaler at man følger anerkjente standarder som beskriver styringssystem for informasjonssikkerhet, for eksempel "ISO/IEC 27001– Ledelsessystem for informasjonssikkerhet". Man kan også bruke rammeverk og veiledere som er utviklet av andre organisasjoner, slik som Digitaliseringsdirektoratet og Nasjonal sikkerhetsmyndighet (NSM).
Nedenfor går vi gjennom noen viktige elementer som bør være med i et styringssystem for informasjonssikkerhet.
Sikkerhetsmål
Sikkerhetsmålene omfatter ledelsens beslutninger om hva IKT skal brukes til i virksomheten og hvordan den skal benyttes for å nå virksomhetens øvrige mål. Konkrete sikkerhetsmål vil slik utgjøre en del av virksomhetens beskrivelse av sin totale målsetning. Sikkerhetsmålene bør i størst mulig grad være målbare, men dette er ikke alltid enkelt. Uansett skal de være retningsgivende for strategien.
Sikkerhetsstrategi
Sikkerhetsstrategien skal omfatte grunnleggende beslutninger om organisering og gjennomføring av sikkerhetsarbeidet. Dette går på fordeling av arbeidsoppgaver mellom ledelse og driftspersonell, og beslutning om eventuelt å ta i bruk eksterne leverandører i sikkerhetsarbeidet. Forholdet mellom ledelse, driftspersonell, sikkerhetspersonell og den enkelte bruker må avklares her. Sikkerhetsstrategien skal gjøre rede for organisatoriske og tekniske strategiske valg, og må være utformet på en måte som gjør at de ansatte forstår hva ledelsen har bestemt. Strategien beskriver hvilke virkemidler virksomheten velger å bruke for å nå målene. Det kan velges ulike strategier for å tilfredsstille samme mål.
Ledelsens gjennomgang
Ledelsen skal årlig gjennomgå sikkerhetsmål, sikkerhetsstrategi og organisering av informasjonssystemene. Ledelsen skal kontrollere at disse er i samsvar med virksomhetens behov og eventuelt oppdatere mål, strategi og organisering. Gjennomgangen utføres etter rutine beskrevet i ledelsens gjennomgang.
I ledelsens gjennomgang av informasjonssystemet kan blant annet følgende vurderes:
- Resultater fra sikkerhetsrevisjoner og kontroller utført av offentlig myndighet
- Endringer med betydning for drift av informasjonssystemet eller for informasjonssikkerheten, herunder endringer i offentlige sikkerhetskrav, endringer i personopplysninger som virksomheten skal behandle, endringer i trusselbildet som blant annet beskrevet i rapport fra utførte risikovurderinger
- Om informasjonssystemet bør endres, eksempelvis som følge av ønske om ny funksjonalitet
- Overordnet behandling av alvorlige avvik og hendelser
Organisering
Det må klargjøres roller og ansvar knyttet til personvern og sikkerhet internt i virksomheten. Det inkluderer for eksempel hva som ligger i linjeansvar og hva som ligger i nøkkelroller som personvernombud, personvernrådgiver, sikkerhetsleder, IKT-ansvarlig, HR-ansvarlig, prosjektledere, produkteiere, systemeiere, systemforvaltere mv. Klare ansvars- og myndighetsforhold etableres med utgangspunkt i beslutninger tatt av virksomhetens ledelse. Rolle- og ansvarsfordeling skal være dokumentert.
I mindre organisasjoner kan det være samme person som ivaretar ulike oppgaver. For større organisasjoner lages et organisasjonskart som viser de nevnte funksjonene og deres plassering i forhold til ledelsen og virksomheten for øvrig.
Akseptabelt risikonivå / toleransenivå for sikkerhet
Risikovurdering handler om å identifisere konsekvenser ved ulike hendelser eller scenarier, og å vurdere hvor sannsynlig eller lett en uønsket hendelse kan inntreffe. Det er virksomhetens ledelse som avgjør hvor stor risiko (risikoappetitt) virksomheten skal ta ved ulike scenarier. Dette kalles toleransenivå for sikkerhet. Toleransenivå gir føringer for hvilke tiltak og ressurser som må settes inn for at behandlingen ikke skal overskride det definerte toleransenivået.
Beslutning om akseptabelt risikonivå skal blant annet uttrykkes i virksomhetens sikkerhetsmål. Sikkerhetsmålet skal, på et overordnet nivå, beskrive formålet med bruken av IKT og angi sikkerhetsbehov med hensyn til konfidensialitet, integritet, tilgjengelighet og robusthet. Det er også nødvendig med en detaljert beskrivelse av akseptabelt risikonivå. Denne beskrivelsen bør angi hvilke personopplysninger og behandlinger som berøres, hendelser med betydning for personvernet og akseptable nivåer for sannsynlighet og konsekvens. Beskrivelsen må angi prioritering mellom forskjellige sikkerhetsbehov og, på overordnet nivå, beskrive risikoreduserende tiltak.
Noen scenarier vil ha nulltoleranse for risiko, mens for andre kan virksomheten bestemme seg for å ta en viss risiko. Detaljert beskrivelse av akseptabelt risikonivå skal inngå i underlag for gjennomføring av risikovurdering.
Risikovurderinger og sikkerhetstiltak
Risikovurderinger og etablering av tekniske og organisatoriske tiltak for å oppnå et tilfredsstillende sikkerhetsnivå er grunnleggende krav til virksomhetens informasjonssikkerhet. Risikovurderingen må ta høyde for hvilke risikoer som er forbundet med behandlingen, særlig som følge av utilsiktet eller ulovlig tilintetgjøring, tap, endring eller uautorisert utlevering av eller tilgang til personopplysninger som er overført, lagret eller på annen måte behandlet.
En risikovurdering begynner med en kartlegging av verdier som bør sikres. Personvernregelverket definerer personopplysninger som en verdi. Det bør gjøres en trusselvurdering av hvilke aktører som kan være interessert i verdiene og hvilke angrepsvektorer de ulike trusselaktørene benytter. Deretter gjøres en vurdering av om verdiene er sårbare for de gitte truslene. Standarder for informasjonssikkerhet kan bidra til å avdekke sårbarheter og dermed også krav som må stilles til sikkerhet.
Resultatet av risikovurderingen vurderes opp mot toleransenivå for sikkerhet. Dersom risikonivået er høyere enn fastlagt nivå for akseptabel risiko, skal det iverksettes tiltak for å redusere risikoen. Det må også fastsettes hvem som er ansvarlig for tiltaket og settes en frist for implementering. I artikkel 32 i personvernforordningen nevnes noen tiltak:
- Pseudonymisering og kryptering av personopplysninger
- Evne til å sikre vedvarende konfidensialitet, integritet, tilgjengelighet og robusthet i system og tjenester som behandler personopplysninger
- Evne til å gjenopprette tilgjengelighet og tilgang til personopplysninger i rett tid dersom det oppstår en fysisk eller teknisk hendelse
- En prosess for regelmessig testing, analysering og vurdering av hvor effektive de tekniske og organisatoriske sikkerhetstiltakene er.
Både den behandlingsansvarlige og databehandleren skal treffe tiltak for å sikre at de som behandler personopplysninger i, eller på vegne av, virksomheten, kun behandler personopplysninger på instruks fra den behandlingsansvarlige. Dette innebærer blant annet at man sørger for å ha tilgangsstyring basert på tjenstlig behov, taushetserklæringer, sikkerhetsinstrukser, opplæring i rutiner og bruk, og databehandleravtaler. Dette er for å sikre at den behandlingsansvarlige har kontroll over behandlingen og dermed kan forsikre seg om at virksomheten etterlever personvernregelverket.
Rutiner for informasjonssikkerhet
Virksomheten skal konfigurere informasjonssystemet (infrastruktur, nettverk, servere, programvare mv.) slik at tilfredsstillende informasjonssikkerhet oppnås etter risikovurdering og beslutninger om sikkerhetstiltak. Lag en beskrivelse av informasjonssystemet.
Det er i tillegg viktig at man tar hensyn til brukersikkerhet, lager instrukser for ulike typer roller og gir opplæring i disse. Instruksene dokumenteres og kan deles opp i sikkerhetsinstrukser for bruker, leder og sikkerhetsansvarlig.
For å sørge for sporbarhet er det viktig å logge autorisert bruk og forsøk på uautorisert bruk. Det er imidlertid viktig å være klar over at personopplysninger som fremkommer som følge av logging for drifts- og sikkerhetsformål ikke senere kan benyttes for å overvåke eller kontrollere enkeltpersoner. Hensikten med logging av autorisert bruk er å i ettertid kunne spore hvem som gjorde hva med hvilke personopplysninger, og på hvilket tidspunkt. Rutine for logging beskrives i driftsrutiner. Loggfiler og formater beskrives i dokumentasjonen av informasjonssystemet.
Organisatoriske tiltak vil kunne beskrives i ulike dokumenter, slik som rutiner for informasjonshåndtering, sjekkliste nyansatt / ansatte som slutter, og taushetserklæring. Tekniske tiltak vil kunne skildres i dokumentasjon av informasjonssystemet, driftsrutiner, beredskapsplan og fysisk sikkerhet.
Våre nettsider inneholder noe informasjon om sikring av personopplysninger, slik som kryptering, bruk av sterk autentisering og anonymisering.
Vi vil i tillegg anbefale et par eksterne sider for god veiledning om sikring av henholdsvis IKT-systemer og personopplysninger:
- Nasjonal sikkerhetsmyndighets (NSM) grunnprinsipper for IKT-sikkerhet. Disse grunnprinsippene definerer hvordan IKT-systemer bør sikres for å beskytte verdier og leveranser. Grunnprinsippene beskriver hva en virksomhet bør gjøre for å sikre et IKT-system. De beskriver også hvorfor det bør gjøres, men ikke hvordan.
- Den franske datatilsynsmyndigheten (CNIL) sin veileder «Security of Personal Data».