Hopp til hovudinnhald

Overvaking og hendingshandtering

Overvaking og hendingshandtering er «vakta» i internkontrollen. Gjennom tekniske og manuelle rutinar må vesentlige feil, avvik og uønskte hendingar avdekkast og følgjast opp.

    Målgruppe

    • Fagansvarleg informasjonssikkerheit
      • heile skildringa
    • Leiarar med ansvar i internkontrollarbeidet
      • enkeltaktivitetar avhengig av leiaren sitt ansvar
    Forklaringsmodell som viser dei sju styringsaktivitetane i internkontrollen: Leiinga si styring og oppfølging, Vurdering av risiko, Handtering av risiko, Overvaking og hendingshandtering, Måling, evaluering og revisjon, Kompetanse- og kulturutvikling og Kommunikasjon. Piler mellom dei ulike aktivitetane viser at kommunikasjonen går på tvers og fra og til leiinga si styring og oppfølging. Overvaking og hendingshandtering er utheva.

    1. Innleiing

    Det er svært viktig å vere i stand til å oppdage og reagere på informasjonssikkerheitshendingar.

    Sjølv med god kompetanse i verksemda, systematiske og godt gjennomførde vurderingar og handtering av risiko, må verksemda førebu seg på at uønskte hendingar, avvik og informasjonssikkerheitsbrot kan førekome.

    Ein identifiserer ikkje alt som kan skje i risikovurderingar, og det er heller ikkje økonomisk eller praktisk mogleg å forhindre alle utløysande hendingar. Som ein del av risikohandteringa blir det derfor etablert tiltak som har som føremål å oppdage informasjonssikkerheitshendingar, handtere dei og redusere konsekvensane ved slike hendingar. Det er nødvendig å systematisk overvake forskjellige område, identifisere, følgje opp og lære av uønskte hendingar.

    1.1 Oppdage hendingar

    Gjennom overvaking kan ein på spesifikke område halde auge med og identifisere uønskte hendingar. Identifiserast hendingane tidleg, kan dei stoppast før dei medfører brot på informasjonssikkerheita. Identifiserast brota raskt etter at dei har skjedd, kan konsekvensane reduserast. Dette vil vere føresett at verksemda i tillegg har gjort andre førebuingar knytt til hendingshandtering.

    1.2 Overvaking er eit sikkerheitstiltak

    Overvaking er eit døme på sikkerheitstiltak som blir identifisert og valt på bakgrunn av vurdering av risiko. Det skjer som ein del av risikohandteringa. Det kan vere overvaking av til dømes fysiske område, tekniske komponentar og loggar, avhengig av korleis risikoen er. Kva som skal overvakast og korleis overvakinga skal skje, er ein del av utforminga av tiltaket. Det same gjeld krav til kva tid og korleis tilsette skal rapportere det dei oppdagar av uønskte hendingar.

    Det er samtidig ikkje mogleg å overvake alt. Verksemdene er avhengige av å stille klare krav til dei tilsette om å rapportere det dei identifiserer av uønskte hendingar som kan ha noko å seie for andre eller verksemda sjølv. Omfanget, krava og korleis informasjonsflyten skal skje, må kome fram av verksemda sine hendings- og avvikshandteringssystem. Vi har omtalt dette i etableringsaktiviteten Etablere system for hendings- og avvikshandtering.

    1.3 Om overvaking av tilsette

    Dersom ein ønskjer å innføre overvaking av tilsette eller andre personar, er det viktig å vere merksam på at slik overvaking vil vere regulert av arbeidsmiljølova, og – i den grad personopplysningar behandlast – av personopplysningslova. Det er viktig at dei det gjeld, og deira representantar, er involverte i prosessen med utvikling og innføring av tiltaka. Arbeidstilsynet og Datatilsynet gir råd i samband med desse problemstillingane.

    1.4 Heilskapleg oppfølging

    Det vil normalt vere ein fordel om rapportering av uønskte hendingar som avdekkast ved ulike overvakingstiltak, integrerast i verksemda sine system for hendings- og avvikshandtering. Ein får då samla informasjon om alle identifiserte hendingar, avvik og informasjonssikkerheitsbrot på ein stad. Dette systemet er også eit viktig kunnskapsgrunnlag for nye risikovurderingar, evaluering, læring og kontinuerleg forbetring.

    1.5 Aktivitetar

    Under følgjer ei skildring av kvar av dei systematiske aktivitetane som inngår i overvakings- og hendingshandtering. Tiltaksleverandørar må systematisk få gjennomført aktiviteten:

    • Overvake i samsvar med avtale

    Alle tilsette må systematisk:

    • Rapportere hendingar, avvik og informasjonssikkerheitsbrot

    Tiltaksleverandørar, systemeigarar fellessystem, risikoeigarar og andre leiarar må systematisk:

    • Følgje opp hendingar, avvik og informasjonssikkerheitsbrot
    Visuelt skille mellom aktivitetene

    2. Overvake i samsvar med avtale

    Ansvarleg for gjennomføring

    • Tiltaksleverandørar og dei i verksemda som er utpeikte til å følgje opp avtalt overvaking.

    2.1 Om aktiviteten

    Kva som skal overvakast, og krav til gjennomføring og tilhøyrande rapportering, bør kome tydeleg fram av skildringa av sikkerheitstiltaket eller tenesta som ytast. Kor omfattande krav som bør stillast er avhengig av kostnadene ved overvakinga, risikoen ved hendingar og avvik, og i kva grad overvakinga er eigna til å redusere risikoen.

    For eksterne tiltaks- eller tenesteleverandørar bør krava vere nedfelte i ein tenestenivåavtale (SLA). For interne tiltaksleverandørar vil det ofte vere nok at krava kjem tydeleg fram i skildringa av tiltaket og kva tiltaksleverandørane skal gjere.

    For å sikre etterleving bør avtalane følgjast opp som ein del av aktivitetane under Måling, evaluering og revisjon. Dette bør skje med klart definerte ansvarlege internt i verksemda.

    Visuelt skille mellom aktivitetene

    3. Rapportere hendigar, avvik og informasjonssikkerheitsbrot

    Ansvarleg for gjennomføring

    • Alle tilsette

    3.1 Om aktiviteten

    Alle tilsette må rapportere i samsvar med klare krav. Det gjeld også tiltaksleverandørar og eksterne som arbeider i eller for verksemda.

    Kva som skal rapporterast, kven som skal rapportere, kva tid og korleis rapporteringa skal skje, bør kome tydeleg fram av inngåtte avtalar og av verksemda sine system for hendings- og avvikshandtering. Etablering av det siste er omtalt under Etableringsaktivitetar.

    3.2 Retningslinjer for rapportering og oppfølging

    Det overordna kravet om å følgje desse rapporteringskrava bør liggje i verksemda sine retningslinjer for roller og ansvar eller tilsvarande.

    For at krava skal bli etterlevde, er det likevel viktig at

    • omfanget er på eit føremålstenleg nivå,
    • at sjølve gjennomføringa er enkel,
    • at det er synleg at rapporteringa blir tatt positivt imot og følgd opp systematisk.

    Elles vil det ofte breie seg ein negativ kultur som hemmar nødvendig rapportering.

    Det bør følgjast opp av nærmaste overordna at dei tilsette i verksemda rapporterer slik dei skal. Dette er ein del av aktivitetane under Måling, evaluering og revisjon. Dersom problemet med manglande rapportering til dømes er hendings- og avvikssystemet eller oppfølginga av dette, må forbetringstiltaka rettast inn der.

    Visuelt skille mellom aktivitetene

    4. Følgje opp hendingar, avvik og informasjonssikkerheitsbrot

    Ansvarleg for gjennomføring

    • Tiltaksleverandørar, systemeigarar for fellessystem og risikoeigarar i samsvar med vedtekne rapporteringsrutinar

    4.1 Om aktiviteten

    Føremålet med hendings- og avvikshandteringa er å handtere uønskte hendingar så effektivt som mogleg, slik at ein lettare kan unngå informasjonssikkerheitsbrot i framtida, redusere konsekvensane når slike brot har skjedd, og lære av tidlegare erfaringar.

    Kven som skal informerast og kven som skal følgje opp ulike typar hendingar, avvik og informasjonssikkerheitsbrot, bør vise seg tydeleg av inngåtte avtalar og av verksemda sine system for hendings- og avvikshandtering. Informasjonsflyten for ulike typar hendingar bør vere klart definert. Det er viktig at dei som har ansvar for oppfølging, gjennomfører sine oppfølgingsoppgåver som føresett, og at dei ved behov har tilstrekkelege vikar- eller reserveløysingar ved fråvær.

    At dei som har oppfølgingsansvaret utfører jobben sin, bør systematisk følgjast opp i aktivitetane under Måling, evaluering og revisjon.

    4.2 Behov for rask reaksjon

    For å handtere alvorlege sikkerheitsbrot er det viktig med ein rask reaksjon. Rapporterings- og oppfølgingsrutinane må sikre dette.

    Verksemda bør på førehand ha vurdert behovet for å planleggje eller øve på handtering av hendingar som er vurderte til å ha høg risiko eller alvorlege konsekvensar. Slik planlegging og øving kan med fordel bli knytt til anna beredskapsplanlegging og øving i verksemda.

    Handtering og oppfølging bør hengje saman med storleiken på risikoen, og eigenarten til hendinga, avviket og informasjonssikkerheitsbrotet. Aktuelle reaksjonar kan vere ein eller fleire av følgjande:

    • Setje i verk krise- og beredskapsplanar
    • Setje i verk andre prosedyrar for konsekvensreduserande tiltak
    • Setje i verk akutte konsekvensreduserande tiltak

    4.3 Lære av hendingar

    Etter at hendingar er handterte, bør dei, saman med andre avvik som er identifiserte, brukast som grunnlag for læring. Døme på slik oppfølging av hendingar kan vere:

    • Rette opp feil i eller forbetre utforminga av avtalte sikkerheitstiltak
    • Styrke kompetanse og kultur hos tilsette
    • Oppdatere risikovurderingar og forslag til handtering av risiko
    • Akseptere risikoen ved at det kan skje igjen

    Oppfølging kan på den måten involvere fleire aktørar og alle hovudaktivitetar i internkontrollen.

    Det er viktig at oppfølginga av hendingar og kunnskapen som ligg i systemet for hendings- og avvikshandtering, blir systematisk kopla til og brukt i det vidare arbeidet med vurdering og handtering av risiko rundt om i verksemda.

    4.4 Krav til varsling i regelverk

    Ver merksam på at ulike regelverk stiller krav til varsling til ulike avgjerdsmakter ved informasjonssikkerheitsbrot. Til dømes blir det i personvernreglementet gitt reglar om varsling av høvesvis tilsynsmakta og den registrerte ved «brot på personopplysningssikkerheita». Sikkerheitslova (§ 4-5) og verksemdsikkerheitsforskrifta (§ 8) har reglar om varsling til tilsynsmakt, sikkerheitsmakt og andre i samband med hendingar, avvik og sikkerheitsbrot.

    Slike krav må ein ta omsyn til når hendingar blir handterte og følgde opp.

    Visuelt skille mellom aktivitetene

    5. Standardar

    Følgjande internasjonale standardar kan vere nyttige i arbeidet med hendingshandtering:

    • ISO/IEC 27035-1:2016 Information security incident management -- Part 1: Principles of incident management
    • ISO/IEC 27035-2:2016 Information security incident management -- Part 2: Guidelines to plan and prepare for incident response