Skärpta krav för informationssäkerhet, IT-verksamhet och insättningssystem. Jonas Edberg och Johan Elmerhag 20 maj, GRC 2015

Transkript

1 Skärpta krav för informationssäkerhet, IT-verksamhet och insättningssystem Jonas Edberg och Johan Elmerhag 20 maj, GRC 2015

2 Om företaget Hos Transcendent Group möter du erfarna konsulter inom governance, risk and compliance. Våra tjänster skapar trygghet och möjligheter för myndigheter, företag och andra organisationer inom en rad olika branscher. Transcendent Group har fyra år i rad utsetts till en av Sveriges bästa arbetsplatser.

3 Bakgrund FI gör löpande tillsyn och temaundersökningar. Under de senaste 5 åren har 12 tillstånd återkallats och 54 sanktioner utdelats. Kraven har succesivt förtydligats utifrån FFFS 2005:1 och RGKFS 2011:2. Gäller för bankaktiebolag, kreditmarknadsbolag med flera.

4 Hur många har ett insättningssystem inom bolaget?

5 Hur många av er har outsourcat insättningssystemet?

6 Inget nytt under solen FFFS 2014:5 specificerar kraven i FFFS 2005:1 inom informationssäkerhet, IT-verksamhet och insättningssystem. Kraven bygger till stor del på standarderna ISO27000, ISO31000 och COBIT. Policy Riktlinje Kapitel 2, informationssäkerhet Kapitel 3, IT-verksamhet Instruktion Kapitel 4, insättningssystem

7 Kapitel 2, informationssäkerhet Kraven inkluderar: ledningssystem för informationssäkerhet (LIS) mål och inriktning för arbetet med informationssäkerhet roller och ansvar för informationssäkerhet informationsklassificering årlig riskanalys kring företagets informationssäkerhet interna regler för arbetet med informationssäkerhet Allmänna råd Behörigheter lyfts fram explicit.

8 Vanliga fallgropar Ledningssystem för informationssäkerhet (LIS) riskerar att bli en pappersprodukt. Avsaknad av förankring hos ledningen riskerar att uppföljning inte genomförs och att avsteg inte hanteras. Avsaknad av informationsklassificering leder till att organisationer inte vet vad de skall skydda, till vilken nivå och till vilken kostnad. Riskanalys är en förutsättning för att kunna prioritera rätt.

9 Kapitel 3, IT-verksamhet Kraven inkluderar: IT-system säkras baserat på informationsklassning och riskanalys dokumenterade mål och strategier för IT-verksamhet dokumenterade processer för förvaltning av IT-systemen dokumentation över alla IT-system som är av betydelse för verksamheten uppdragsavtal regleras i FFFS 2014:1 (kap. 10) och FFFS 2007:16 (kap. 9).

10 Vanliga fallgropar Vi ser ofta informella rutiner och arbetssätt utan dokumentation. Avsaknad av dokumentation över IT-systemen, framförallt egenutvecklade system. Begränsat samarbete mellan IT och verksamhet. Oregelbunden eller informell uppföljning av utlagda IT-system.

11 Kapitel 4, insättningssystem Applicerbart för företag som tar emot insättningar som omfattas av statlig insättningsgaranti. Förtaget skall automatiskt kunna sammanställa data om insättare och deras insättningar i enlighet med RGKFS 2011:2. Årlig riskanalys som innefattar insättningssystemet. Dokumenterade funktioner och rutiner för att säkerställa informationssäkerheten relaterat till insättningssystemet. Internrevisionen ska årligen granska insättningssystemet samt de tekniska funktionerna och rutinerna.

12 Vanliga fallgropar Ej testad rutin för att rapportera till Riksgäldskontoret. Riskanalysen inkluderar inte insättningssystemet. Kontinuitetsplaner fokuserar på tekniken, inte på verksamhetsriskerna. Internrevisionen saknar ibland resurser för att genomföra den årliga granskningen av insättningssystemet, vilket är ett absolut krav. Mindre aktörer har ofta utmaningar med resurser medans större aktörer ofta har en mer komplex systemarkitektur.

13 Hur gör man? Transcendent Group Sverige AB 2015

14 Första steget är en gap-analys Kartlägg vad som finns på plats utifrån FI:s föreskrifter och allmänna råd. Involvera rätt personer inom verksamheten och eventuella systemleverantörer.

15 Kap. 2 Informationssäkerhet Förankra arbetet med informationssäkerhet hos ledningen. Informationsklassningen och riskanalysen är en förutsättning för en effektiv och ändamålsenligt informationshantering.

16 Kap. 3 IT-verksamhet Dokumentera ner faktiska rutiner för att tydliggöra vad som faktiskt gäller, vilket är ett krav. Säkerställ att systemdokumentation finns och är uppdaterad. Bjud in till aktiv dialog mellan IT och verksamheten.

17 Kap. 4 Insättningssystem Insättningssystem Företagets funktion för internrevision ska årligen granska företagets insättningssystem. Granskningen ska dokumenteras och rapporteras till styrelsen. Testa kontinuitets- och katastrofplanerna.

18