Oppsummering fra NIFS-møte 8.februar 2016

NIFS-spøkelset

Seksjon for informasjonssikkerhet arrangerte NIFS-møte den 8.februar. Tema for møtet var Hendelser – beskrivelser og rapportering.

Publisert: 18. feb 2016, Sist endret: 28. mar 2017

Hendelser vi alltid oppstå, derfor er det viktig å vite hvordan de skal beskrives og rapporteres, og hvordan man skal lære av erfaringene fra hendelsene.

Innledningsvis ga fungerende seksjonssjef Caroline Ringstad Schultz informasjon om hvilke aktiviteter seksjon for Informasjonssikkerhet jobber med for tiden: Vi har lansert nye hjelpemidler til dilemmatrening, et nytt prosjekt «Innebygd informasjonssikkerhet i digitaliseringsprosjekter» er under oppstart, veilederen «internkontroll i praksis – informasjonssikkerhet» er over i utbredelsesfasen og vi er i gang med planleggingen av sikkerhetsmåneden 2016. Hun minte om at Difis digitaliseringskonferanse går av stabelen 9-10 juni.

Katrine Aam Svendsen holdt deretter et innlegg om hva veilederen «internkontroll i praksis – informasjonssikkerhet» sier om hendelsesbeskrivelser og rapportering. Det er viktig å karakterisere hendelsen, hva slags informasjonssikkerhetsbrudd hendelsen fører til og hvilken konsekvens bruddet gir.

Åshild Johnsen fra Finanstilsynet fortalte om hvordan de jobber med tilsyn av IT og betalingstjenester. IKT-forskriften sier at alvorlige og kritiske hendelser skal rapporteres til Finanstilsynet. Dette gjelder ikke bare tilsiktede hendelser, men også operasjonelle. Det er viktig at det ikke er tungvint å rapportere, det viktigste er å rapportere når det er nødvendig. Finanstilsynet følger opp ved store enkelthendelser, utarbeider en årlig risiko- og sårbarhetsanalyse (ROS-analyse) av finanssektorens bruk av IKT og betalingstjenester og arrangerer et årlig seminar for de som rapporterer.

Rune Sydskjør fra UNINETT CERT orienterte om hvilke oppgaver de utfører innen monitorering, varsling og håndtering av hendelser samt forebyggende arbeid. Det er viktig å samarbeide med andre sektorer og organisasjoner.

John Arild A. Johansen og Trond Bechmann og fra det nye Direktoratet for e-helse fortalte om hvordan de identifiserer trusselaktører og utføre risikovurderinger. De presenterte også virksomhetens rutiner for registrering av hendelser. Etterarbeidet fokuserer på hvilket område (KIT) sikkerhetsavviket er på og hvordan man skal lære. De la vekt på at det må være enkelt å melde hendelser og det skal være god aksept for å gjøre det.

En runde blant deltakerne viste at flere er opptatt av innføring av styringssystemer. I tillegg er det mange som er opptatt av opplæring og kulturutvikling. Verdivurderinger oppfattes som vanskelig og som et område hvor det er lett å kjøre seg fast. Difi jobber med veiledningsmateriell på dette området.

Håkon Styri orienterte om øvelser og beredskap. Det er viktig å ha kompetanse, rutiner og bemanning på plass før det brenner.  Han minnet oss på hvorfor vi øver, at det er viktig å avgrense hva vi øver på, og presenterte faser i en hendelse og når man bør eskalere.

Britt Eva Bjerkvik Haaland fortalte om Difis arbeid med planlegging av sikkerhetsmåneden. Et referansegruppemøte har vist at ansatte er opptatt av «å få jobben gjort» og oppfylle virksomhetens mål, forstå risikovurderinger, bruk av «dingser», bruk av skyløsninger og passord.

Neste NIFS-møte 27.april er i sin helhet viet til en beredskapsøvelse.

Dato for høstens møter er publisert på Difis nettsider. Forslag til temaer kan sendes til infosikkerhet@difi.no

Deldette

Kontakt