skärpta krav för informationssäkerhet it verksamhet och insättningssystem
TRANSCRIPT
Skärpta krav för
informationssäkerhet,
IT-verksamhet och
insättningssystemJonas Edberg och Johan Elmerhag
20 maj, GRC 2015
Hos Transcendent Group möter du erfarna
konsulter inom governance, risk and compliance. Våra
tjänster skapar trygghet och möjligheter för
myndigheter, företag och andra organisationer
inom en rad olika branscher.
Transcendent Group har fyra år i rad utsetts till en
av Sveriges bästa arbetsplatser.
Om företaget
© T
ran
scen
den
t G
rou
p S
veri
ge
AB
2015
Bakgrund
• FI gör löpande tillsyn och temaundersökningar.
• Under de senaste 5 åren har 12 tillstånd återkallats och 54 sanktioner utdelats.
• Kraven har succesivt förtydligats utifrån FFFS 2005:1 och RGKFS 2011:2.
• Gäller för bankaktiebolag, kreditmarknadsbolag med flera.
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
015
Hur många har ett
insättningssystem inom bolaget?
© T
ran
scen
den
t G
rou
p S
veri
ge
AB
2015
Hur många av er har outsourcat
insättningssystemet?
© T
ran
scen
den
t G
rou
p S
veri
ge
AB
2015
Inget nytt under solen
• FFFS 2014:5 specificerar kraven i FFFS 2005:1 inom
informationssäkerhet, IT-verksamhet och insättningssystem.
• Kraven bygger till stor del på standarderna ISO27000, ISO31000
och COBIT.
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
015
Policy
Riktlinje
Instruktion
Kapitel 2, informationssäkerhet
Kapitel 3, IT-verksamhet
Kapitel 4, insättningssystem
Kapitel 2, informationssäkerhet
Kraven inkluderar:
• ledningssystem för informationssäkerhet (LIS)
• mål och inriktning för arbetet med informationssäkerhet
• roller och ansvar för informationssäkerhet
• informationsklassificering
• årlig riskanalys kring företagets informationssäkerhet
• interna regler för arbetet med informationssäkerhet
– Allmänna råd
– Behörigheter lyfts fram explicit.
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
015
Vanliga fallgropar
• Ledningssystem för informationssäkerhet (LIS) riskerar att bli en
pappersprodukt.
• Avsaknad av förankring hos ledningen riskerar att uppföljning
inte genomförs och att avsteg inte hanteras.
• Avsaknad av informationsklassificering leder till att
organisationer inte vet vad de skall skydda, till vilken nivå och till
vilken kostnad.
• Riskanalys är en förutsättning för att kunna prioritera rätt.
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
015
Kapitel 3, IT-verksamhet
Kraven inkluderar:
• IT-system säkras baserat på informationsklassning och riskanalys
• dokumenterade mål och strategier för IT-verksamhet
• dokumenterade processer för förvaltning av IT-systemen
• dokumentation över alla IT-system som är av betydelse för
verksamheten
• uppdragsavtal regleras i FFFS 2014:1 (kap. 10) och FFFS 2007:16
(kap. 9).
© T
ran
scen
den
t G
rou
p S
veri
ge
AB
2015
Vanliga fallgropar
• Vi ser ofta informella rutiner och arbetssätt utan
dokumentation.
• Avsaknad av dokumentation över IT-systemen, framförallt
egenutvecklade system.
• Begränsat samarbete mellan IT och verksamhet.
• Oregelbunden eller informell uppföljning av utlagda IT-system.
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
015
Kapitel 4, insättningssystem
• Applicerbart för företag som tar emot insättningar som omfattas
av statlig insättningsgaranti.
• Förtaget skall automatiskt kunna sammanställa data om insättare
och deras insättningar i enlighet med RGKFS 2011:2.
• Årlig riskanalys som innefattar insättningssystemet.
• Dokumenterade funktioner och rutiner för att säkerställa
informationssäkerheten relaterat till insättningssystemet.
• Internrevisionen ska årligen granska insättningssystemet
samt de tekniska funktionerna och rutinerna.
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
015
Vanliga fallgropar
• Ej testad rutin för att rapportera till Riksgäldskontoret.
• Riskanalysen inkluderar inte insättningssystemet.
• Kontinuitetsplaner fokuserar på tekniken, inte på
verksamhetsriskerna.
• Internrevisionen saknar ibland resurser för att genomföra den
årliga granskningen av insättningssystemet, vilket är ett absolut
krav.
• Mindre aktörer har ofta utmaningar med resurser medans
större aktörer ofta har en mer komplex systemarkitektur.
© T
ran
scen
den
t G
rou
p S
veri
ge
AB
2015
Hur gör man?
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
015
Första steget är en gap-analys
• Kartlägg vad som finns på
plats utifrån FI:s föreskrifter
och allmänna råd.
• Involvera rätt personer inom
verksamheten och eventuella
systemleverantörer.
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
015
Kap. 2 Informations-
säkerhet
• Förankra arbetet med
informationssäkerhet hos
ledningen.
• Informationsklassningen och
riskanalysen är en förutsättning
för en effektiv och
ändamålsenligt
informationshantering.
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
015
Kap. 3 IT-verksamhet
• Dokumentera ner faktiska rutiner
för att tydliggöra vad som
faktiskt gäller, vilket är ett krav.
• Säkerställ att
systemdokumentation finns och
är uppdaterad.
• Bjud in till aktiv dialog mellan IT
och verksamheten.
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
015
Kap. 4 Insättnings-
system
Insättningssystem
• Företagets funktion för
internrevision ska årligen granska
företagets insättningssystem.
Granskningen ska dokumenteras
och rapporteras till styrelsen.
• Testa kontinuitets- och
katastrofplanerna.
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
015
www.transcendentgroup.com