Description of Image.



Vores blog

Tag på tur med Thomas Tog
Ny 2017 udgave af DS/ISO/IEC 27001
Typiske trusler mod informationssikkerheden

Krav til informationssikkerhed

Der findes forskellige slags krav

Man plejer at dele krav op i flere forskellige slags - typisk 6 forskellige slags:

Nr. Kategori Relation til informationssikkerhed
1 Kunde- eller kontraktkrav Interessenterne kan være mangeartede, og nogle gange er man måske ikke lige opmærksom på alle typer af interessenter. Derfor er det ved etablering af et ledelsessystem i relation til informationssikkerhed efter ISO/IEC 27001 et specifikt krav i 4.2, at man må lave en interessentundersøgelse. Typiske interessenter kan være betalende kunder, brugere, informationssøgende, pårørende, medarbejdere, partnere, leverandører, ejere, stakeholders, høringsparter, myndighederne, offentligheden m.fl.
Og det er ikke sikkert, at ethvert interessentkrav er nedskrevet i eller specificeret i en kontrakt eller tilsvarende.
Den professionelle udbyder af en ydelse skal skaffe sig overblik over alle interessenters behov og forventninger - også dem, der er underforståede, uudtalte eller uspecificerede, fx fordi den uskolede bruger (eller forbruger) ikke altid har viden og indsigt nok til selv at være præcis nok i hverken skriftlighed eller udtalelser.
Det bør dog også understreges, at det er organisationens ledelse, der ud fra forståelsen af rammer og vilkår afgør, hvilke interessentkrav der er relevante og legitime. Og ledelsen har suveræn ret til at "rydde op i" - dvs. fravælge - irrelevante, modstridende eller illegitime krav, medmindre evnen til at opfylde lovmæssige krav tilsidesættes derved.
2 Lov- og myndighedskrav EU's persondataforordning, som træder i kraft den 25. maj 2018 har direkte retsvirkning over for alle EU-borgere og -virksomheder.
Og her til lands gælder persondataloven fortfarende.
Søger man på persondataloven på retsinformation.dk, kommer der følgende frem:
LOV nr 429 af 31/05/2000 - Gældende
Lov om behandling af personoplysninger
(Persondataloven)
Justitsministeriet
SKR nr 9254 af 23/03/2009 - Gældende
Skrivelse om Anmeldelser – den anmeldtes ret til indsigt mv. efter persondataloven - styresignal
Skatteministeriet
SKR nr 9197 af 23/03/2009 - Gældende
Skrivelse om Anmeldelser – den anmeldtes ret til indsigt mv. efter persondataloven - styresignal
Skatteministeriet

Søger man på informationssikkerhed, kommer der følgende frem:
LOV nr 1567 af 15/12/2015 - Gældende
Lov om net- og informationssikkerhed
(Net- og informationssikkerhedsloven)
Forsvarsministeriet
BEK nr 567 af 01/06/2016 - Gældende
Bekendtgørelse om informationssikkerhed og beredskab i net og tjenester
Forsvarsministeriet
BEK nr 566 af 01/06/2016 - Gældende
Bekendtgørelse om oplysnings- og underretningspligter vedrørende net- og informationssikkerhed
Forsvarsministeriet

Søger man tilsvarende på ord som data, journalføring, patientsikkerhed, patientjournal, samtykke, forbrugerbeskyttelse, CPR-nummer, fremkommer der lange lister over lovmæssige krav, så området er ikke så nemt at få det totale overblik over. Derfor må hver virksomhed ud fra sit formål, ansvar og behov, herunder interessentanalysen, udrede nærmere, hvilke foreskrevne regler den er underlagt.
3 Andre bindende krav Flere andre former for bindende krav, som en virksomhed mere eller mindre frivilligt kan være underlagt: produktstandarder, normative krav, branchefastsatte forretningsbestemmelser, licensbestemmelser, copyrightregler, charters o.l., som også kan stille krav til fortrolighed, integritet og tilgængelighed af de data, der forvaltes og håndteres i virksomheden.
4 Systemkrav Systemkravene til et informationssikkerhedsledelsessystem er angivet i DS/EN ISO/IEC 27001:2017 og der er god hjælp og uddybning at få i ISO/IEC 27000-seriens øvrige standarder, som er listet og omtalt i 27001universitetet.dk
5 Vejledninger og god praksis Good governance-regler, god selskabsskik, etiske regler og kutymer samt hardware- og softwareleverandørers manualer og vejledninger kan også i relation til informationssikkerhed og persondatabeskyttelse omfatte og anbefalinger, råd og anvisninger, som en virksomhed - ved fastsættelsen af sin informationspolitik - må tage stilling til, om virksomheden vil følge eller ej.
6 Egne krav Egne krav er det, som man, for at være morsom, somme tider kalder selvskabte plager. Altså noget, som bestyrelse, direktion, afdelingsledelser, it-afdeling, HR-afdeling eller økonomiafdeling selv fastsætter af regler og procedurer, fordi de mange eksternt foreskrevne krav ikke er nok til at levere den fornødne informationssikkerhed. Eksempelvis er ledelsens formuleringer af politikker og mål udtryk for egne krav.
Egne krav kommer i høj grad ved, at organisationen med udgangspunkt i fortegnelsen over aktiver må igennem en risikovurdering for at kunne tage stilling til, hvilke krav og afledte politikker og driftsprocedurer der er brug for ("Statement of Applicability" giver noget af svaret). En proces, der er foreskrevet i ISO/IEC 27001, så man kan måske diskutere, hvor frivillige og selvskabte egne krav i grunden er, når det kommer til stykket.

Betydningen af et ledelsessystem i relation til opfyldelse af krav

Troværdighed er synonym med evnen til at opfylde relevante krav

Hvis en organisation skal fremstå troværdig i markedet eller i omverdenen som en god aftalepartner, som man kan stole på og være tjent med at handle hos eller gøre forretning med, skal organisationen være i stand til at levere produkter og ydelser af kvalitet - dvs. produkter og ydelser, der ikke afviger fra interessenternes krav (= behov og forventninger). Det betyder bl.a., at organisationen, dens produkter, dens ydelser og dens processer skal være lovlige, tilstrækkeligt ensartede og opfylde alle krav, jf. ovennævnte 6-punktsmodel. Ikke bare engang imellem, men hver eneste gang.
Med andre ord: Risikoen for ikke-opfyldelse af krav skal være nedbragt til en acceptabel restrisiko, hvis yderligere nedbringelse ikke vil stå mål med ressourcemæssig indsats og økonomisk-prismæssigt potentiale. Og omvendt bør alle indlysende gode muligheder for ekstra sikker kravopfyldelse være udnyttet i overensstemmelse med, hvad der er teknisk, økonomisk og investeringsmæssigt realiserbart. Dette gælder ikke blot produkternes, ydelsernes og processernes fysiske egenskaber, men også de tilknyttede immaterielle egenskaber, såsom de informationsmæssige værdier samt beskyttelsen heraf med sikring af nødvendig fortrolighed, integritet og tilgængelighed.

Kun en styret organisation kan opfylde komplekse krav

Sikker opfyldelse af alle relevante interessenters totale mængde af komplekse krav samt overbevisende risikoreduktion og mulighedsudnyttelse med henblik på realisation af politikker og opnåelse af mål kan i en blot lidt større organisation - hvor der således er mange ting at holde rede på og tage vare på - kun lade sig gøre, hvis der er tale en styret organisation. Dvs., at man har et ledelsessystem til sin rådighed. At man har sat lederskabet i system.

Hvad er et ledelsessystem?

Et ledelsessystem er et sæt af indbyrdes forbundne eller samspillende elementer i en organisation, der anvendes til at fastlægge politikker og mål og processer for at opfylde disse mål (kilde: DS/EN ISO 9000:2015, 3.5.3).
Mål i forbindelse med informationssikkerhedsledelse kan eksempelvis dreje sig om at nedbringe risikoen (= sandsynligheden for forekomst x konsekvenserne) til acceptabelt restrisikoniveau (= baseline level) ved forskellige for cyberangreb, herunder spredning af ransomware, der foretager uønsket kryptering eller fjernelse af data (phishing) med afledt risiko for lækager, nedbrud, driftsstop o.l.

De færreste er perfekte fra starten

I virkelighedens verden er den totale mængde af krav så kompleks og så omfattende, at man ikke bare uden videre kan opfylde alt - bl.a. fordi ressourcerne er knappe og ikke mindst tiden er knap ressource. Der vil i en hvilken som helst organisation forekomme afvigelser eller forbedringsområder eller upåagtede risici eller uudnyttede muligheder. Derfor er det dynamikken i ledelsessystemet, der er det vigtige. Forstået således, at ledelsessystemet er er et redskab til at opnå løbende forbedring og systematisk læring af sine egne observationer. Løbende forbedring er en tilbagevendende aktivitet for at forbedre præstation, dvs. resultater der måles og opgøres i værdi.

Ledelsessystemet skal jagte bedre kravopfyldelse

Det kræver lederskab at opnå løbende forbedring mod stadig bedre præstation med voksende grad af kravopfyldelse (herunder politik- og målopfyldelse). Mekanismen i Plan-Do-Check-Act-cyklussen, som er beskrevet andet steds her i 27001universitetet.dk. Den gode og styrede organisation er i stand til at trække sig selv op ved håret, successivt - pø om pø - at blive bedre dag for dag.

ISO/IEC 27000-serien

DS/EN ISO/IEC 27000:2017 Informationsteknologi – Sikkerhedsteknikker – Ledelsessystemer for informationssikkerhed – Oversigt og ordliste Standarden giver overblik over fundamentale begreber inden for informationssikkerhedsledelse og giver oversigt over de termer og definitioner, der anvendes i ISMS-familiens standarder. Gældende for alle organisationer uanset type størrelse og art.
DS/EN ISO/IEC 27001:2017 Informationsteknologi – Sikkerhedsteknikker – Ledelsessystemer for informationssikkerhed – Krav Standarden specificerer kravene til etablering, implementering, vedligeholdelse og løbende forbedring af et informationssikkerhedsstyringssystem (ISMS) inden for organisationens rammer og vilkår. Standarden indeholder også krav til vurdering og adressering af informationssikkerhedsrisici på måder, som passer til organisationens behov. Kravene i denne internationale standard er generiske og er beregnet til at gælde for alle organisationer, uanset type, størrelse og art. At undlade at opfylde kravene i punkt 4 til 10 er ikke acceptabelt, hvis en organisation påberåber sig at være i overensstemmelse med denne internationale standard.
DS/EN ISO/IEC 27002:2017 Informationsteknologi – Sikkerhedsteknikker – Regelsæt for styring af informationssikkerhed Standarden beskriver it-kontroller og god praksis inden for informationssikkerhedsledelse, herunder udvælgelse, implementering og anvendelse af it-kontroller under hensyntagen til organisationens risikovurdering inden for området. Standarden kan med fordel bruges af organisationer, der gerne vil opnå dybere forståelse af it-kontrollerne i ISO/IEC 27001 med henblik på at udvikle egne politikker og driftsprocedurer inden for emnet.
DS/ISO/IEC 27003:2017 Informationsteknologi – Sikkerhedsteknikker – Ledelsessystemer for informationssikkerhed – Vejledning Standarden giver forklaring og vejledning til DS/ISO/IEC 27001:2013 (den tidligere udgave af standarden - se et blogindlæg her på siden om beskrivelse af forskellene på gammel og ny udgave).
DS/ISO/IEC 27004:2016 Informationsteknologi – Sikkerhedsteknikker – Informationssikkerhedsledelse – Monitorering, måling, analyse og evaluering ISO/IEC 27004:2016 indeholder retningslinjer, der skal hjælpe organisationer med at evaluere effektiviteten af et informationssikkerhedsledelsessystem og dets præstation (evnen til at nå et målbart resultat), jf. kravene i ISO/IEC 27001:2013, 9.1. Der beskrives overvågnings-, måle-, analyse- og evalueringsmetoder, som er anvendelige i denne sammenhæng - også for så vidt angår effektiviteten af systemets processer og it-kontroller.
DS/ISO/IEC 27005:2011 Informationsteknologi - Sikkerhedsteknikker - Informationssikkerhed - Risikoledelse Standarden giver vejledning i risikoledelse for informationssikkerhed.
Den bygger på de generelle begreber, som er angivet i ISO/IEC 27001, og er udarbejdet på en måde, så den understøtter en tilfredsstillende implementering af informationssikkerhed baseret på risikoledelse.
Det er vigtigt at have kendskab til begreber, modeller, processer og terminologi som beskrevet i ISO/IEC 27001 og ISO/IEC 27002 for fuld forståelse af DS/ISO/IEC 27005:2011.
DS/ISO/IEC 27005:2011 kan anvendes i alle typer organisationer (fx erhvervsdrivende virksomheder, offentlige instanser, non-profit organisationer) som har til hensigt at styre de risici, som kan kompromittere organisationens informationssikkerhed.
DS/ISO/IEC 27006:2015 Informationsteknologi - Sikkerhedsteknikker - Krav til organer, der foretager audit og certificering af ledelsessystemer for informationssikkerhed ISO/IEC 27006:2015 specificerer krav og giver vejledning til organer, der leverer ekstern audit og certificering af et informationssikkerhedsledelsessystem (ISMS), udover kravene i ISO/IEC 17021-1 og ISO/IEC 27001. Dokumentet er primært beregnet at understøtte akkreditering af certificeringsorganer, der leverer ISMS-certificering.
Kravene i standarden med hensyn til kompetence og pålidelighed skal efterleves af ethvert organ, der leverer ISMS-certificering, og vejledningen i denne internationale standard giver yderligere fortolkning af disse krav.
NOTE - Standarden kan bruges som et kriteriedokument til akkreditering, peer assessment eller andre revisionsprocesser.
DS/ISO/IEC 27007:2011 Informationsteknologi - Sikkerhedsteknikker - Vejledning vedrørende auditering af ledelsessystemer for informationssikkerhed (ISMS) Standarden giver supplerende vejledning til ISO 19011 i auditering af ledelsessystemer for informationssikkerhed (ISMS). De anbefalede kompetencer hos ISMS-auditorer beskrives.
DS/ISO/IEC TR 27008:2011 Informationsteknologi - Sikkerhedsteknikker - Vejledning i auditering af it-kontroller Den tekniske rapport er en vejledning i auditering af it-kontrollers implementering og anvendelse, inklusive auditering af teknisk overensstemmelse med it-kontrollerne i henhold til det af organisationen fastsatte (organisationens SoA - Statement of Applicability - Erklæring om it-kontrollers anvendelighed).
Rapporten kan anvendes af alle organisationer uanset størrelse, type og art, men udgør ikke et fuldgyldigt grundlag for audit af ledelsessystemer.