erfarenhet från granskning av tredje parter utifrån fffs 20145
TRANSCRIPT
Erfarenheter från
granskning av tredje
parter utifrån FFFS 2014:5
Daniel Gräntz och Jonas Edberg
GRC 2016, 19 maj
Agenda
• utmaningar
• FFFS 2014:5
• erfarenheter från granskning
av tredje parter
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
016
2
Presentation av oss
Daniel Gräntz
• Tjänsteområdesansvarig IT-revision
• 15 års arbetslivserfarenhet som IT-revisor och
rådgivare
• Delägare Transcendent Group
Jonas Edberg
• Informationssäkerhetsspecialist
• 6 års arbetslivserfarenhet som IT-revisor och
rådgivare
• CISA, CISM, CRISC
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
016
Principerna för informationssäkerhet
• Konfidentialitet: information ska
inte göras tillgänglig eller avslöjas
för obehöriga
• Riktighet: informationen ska inte
förändras av misstag
• Tillgänglighet: information ska
kunna användas i förväntad
utsträckning och inom önskad tid
• Spårbarhet: möjlighet att entydigt
kunna härleda utförda aktiviteter
till personer och/eller
systemfunktioner
Informations-säkerhet
Konfiden-tialitet
Spårbarhet
Riktighet
Tillgäng-lighet
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
016
Utmaningar
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
016
Drivfaktorer kring kravställning
© T
ran
scen
den
t G
rou
p S
veri
ge
AB
2016
Kundspecifika
krav
Risk- och
sårbarhets-
analys
Regulatoriska
krav
Verksamhetens
krav
Leverantör
Informations-
inventering
Betryggande
riskhantering
Aktörer och intressenter
Strategiska
forum
Informations-
säkerhetschef
Avtalsägare
Taktiska
forum
Under-
leverantörer
Extern-
revision
Intern-
revision
Operativa
foum
Tillsyns-
myndighter
Informations-
ägare
Risk
Compliance
Styrelse och
ledning
Certifierings-
organ
Revisions-
utskott
CIO
Kunder
COO
IT-chef
IT-säkerhets-
chef
© T
ran
scen
den
t G
rou
p S
veri
ge
AB
2016
Legal
FFFS 2014:5
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
016
Finansinspektionens föreskrifter
• FFFS 2014:5 specificerar kraven gällande informationssäkerhet,
IT-verksamhet och insättningssystem.
• Kraven bygger till stor del på standarderna ISO27000, ISO31000
och COBIT.
policykapitel 2: informationssäkerhet
riktlinje kapitel 3: IT-verksamhet
instruktion kapitel 4: insättningssystem
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
016
Kapitel 2: informationssäkerhet
Kraven inkluderar:
• ledningssystem för informationssäkerhet (LIS)
• mål och inriktning för arbetet med informations-
säkerhet
• roller och ansvar för informationssäkerhet
• informationsklassificering
• årlig riskanalys kring företagets informationssäkerhet
• interna regler för arbetet med informationssäkerhet: allmänna
råd, behörigheter lyfts fram explicit.
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
016
Kapitel 3, IT-verksamhet
Kraven inkluderar:
• IT-system säkras baserat på informationsklassning
och riskanalys
• dokumenterade mål och strategier för IT-verksamhet
• dokumenterade processer för förvaltning av IT-systemen
• dokumentation över alla IT-system som är av betydelse för
verksamheten
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
016
Erfarenheter från granskning
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
016
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
016
”Beslut om nivån och inriktningen på riskerna är
inte lämpliga att placera på ett annat bolagsorgan
än företagets styrelse”
Finansinspektionen
Erfarenheter från granskning
• Låg mognadsnivå kring informationssäkerhet internt och hos leverantörer
• Bristande utförd due diligence som ej beaktar informations- och IT-säkerhet innan avtal upprättas med tredje part
• Avtal som upprättas med tredje part saknar helt eller delvis tydliga informationssäkerhetskrav
• Avtal med tydliga separata bilagor ger förutsättningar för uppföljning och förbättringsarbete
• Alla leverantörer som tillhandahåller finansiella tjänster har inte en organisation och kompetens för att hantera regulatoriska krav
• Kunder skapar inte förutsättningar för att proaktiva följa upp leverantörens efterlevnad av avtalade krav
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
016
Erfarenheter från granskning
• Uppföljning av krav utöver vad som definierats i SLA utförs på
olika sätt och är i förekommande fall bristfälligt
• Avsaknad av klausul i avtal om revisionsrätt
• Avsaknad av upprättat ramverk för utvärdering av leverantörer
gällande efterlevnad av informationssäkerhetskrav (revisionsplan)
• Säkerställ att det finns en utsedd motpart hos leverantören som
ansvarar för IT- och informationssäkerhet
• Kravställ att leverantör genomför en gap-analys som utreder i
vilken omfattning informationssäkerhetskrav efterlevs
• Definiera rapporter och mätetal som leverantör skall upprätta
och regelbundet leverera återkoppling kring
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
016
Erfarenheter från granskning
• Säkerställ att leverantörens ramverk för informations-
klassificering är i linje med de krav som vi som kund har
• Forum för samverkan mellan CISO, risk, compliance och
internrevision är inte tydligt och effektivt
• Brister i hur kund och leverantör strukturerar arbetet kring
utförande och uppföljning av riskanalyser för
informationssäkerhet
• Leverantörer har informella processer, rutiner och kontroller
kring informationssäkerhet
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
016
Erfarenheter från granskning
• Definiera kriterier för vad som är acceptabelt och icke-
acceptabelt i leverans och uppföljning av leverantörs åtagande
(exempelvis COBIT-skala)
• Säkerställ att det finns etablerade forum och former för
återkoppling och uppföljning av leverantör
• Kravställ och ta del av utförda granskningar och revisioner som
leverantörer utför.
• Ta del av åtgärdsplaner och följ löpande upp status
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
016
www.transcendentgroup.com