Finansudvalget 2016-17
SB 25 24
Offentligt
1710904_0001.png
Statsrevisorernes
Sekretariat
Folketinget
Christiansborg
1240København
K
ERHVERVSM INISTEREN
Ministerens supplerende redegørelsetil Statsrevisorerne vedrørende
beretning nr. 25/2015om revisionen af statsregnskabetfor 2015
Statsrevisorerne anmodetom min supplerende
har
redegørelse de for-
for
anstaltninger overvejelser
og
vedrørende -sikkerhed,som afsnit 3.2. Sta-
it
tus for logning og overvågningaf dataaktiviteti beretningnr. 25/2015om
revisionenaf statsregnskabet 2015har givet anledningtil.
for
Rigsrevisionenvurderer i sin beretning,at de undersøgte
virksomheder,
herunder
Finanstilsynet, dereslogning og overvågning mangler.
i
har
Logning og overvågning dataaktivitetog trafik er vigtige elementer en
af
i
tidssvarende -sikkerhedshåndtering.
it
Finanstilsynethar bl.a. derfor gen-
nem flere år anvendtet internationaltanerkendt -sikkerhedsrådgivnings
it
-
firma til løbendeat få en vurderingaf, hvilke it -sikkerhedsmæssige
tiltag,
der skulle iværksættes at imødekomme gældende
for
det
trusselsniveau.
Det har bl.a. betydet,at udvikling af sikkerhedsmæssige
specifikke krav
til eksterneleverandører,
interne sårbarhedsscanninger,
Network Access
Control (automatisering
således ”fremmede” enheder
at
ikke kan komme
på Finanstilsynetsnetværk) samt reel Application Whitelistning (aktiv
styring af, hvilke programmersom må køre på en mask
ine), har været
højereprioriteret end tiltag for at øgeovervågning dataaktivitet.
af
I 2015 forud for Rigsrevisionens
,
undersøgelse Finanstilsyneti den
, tog
prioriterede sikkerhedsindsats
beslutning om at investerei et egentligt
overvågningsog logningssystemet såkaldtSIEM-system
-
,
.
Efter implementering af syste
en
met lagres alle logs nu centralt i logma-
nagement
-systemet.Systemetgiver endvideremulighed for alarmer og
løbenderapportering,hvorfor der fremadrettet væreen løbendeproces
vil
medat optimereovervågningen logs.
af
Finanstilsynethar i 2016 arbejdet med tilsynets driftsleverandørom at
begrænse
antalletaf administratorer
mestmuligt, underhensyntagen en
til
fortsatstabil drift. Det har betydetimplementering en såkaldtrollebas
af
e-
ret rettighedsmodel hele Finanstilsynets -miljø. Endvidereindebærer
i
it
ERHVERVSM INISTERIET
Slotsholmsgade 10-12
1216 København K
Tlf.
Fax.
33 92 33 50
33 12 37 78
CVR-nr. 10092485
EAN nr. 5798000026001
[email protected]
www.evm.dk
 Statsrevisorerne beretning SB25/2015 - Bilag 24: Erhvervsministerens supplerende redegørelse af 9. januar 2017
1710904_0002.png
2/2
føromtalte centrale logmanagement-system, at medarbejdere i Finanstil-
synet og hos tilsynets driftsleverandør ikke længere har mulighed for at
fjerne eller ændre i logdata.
Fra og med 2016 lever Finanstilsynet op til ISO 27001-standarden. Det
indebærer blandt andet, at ledelsen tager stilling til de overordnede prin-
cipper for it-sikkerhed, herunder for logning af data. Ledelsen deltager
også i udarbejdelsen af den årlige risikovurdering på it-området med ud-
gangspunkt i det aktuelle trusselsbillede og forretningens aktuelle behov.
Det er derfor min vurdering, at Finanstilsynet med de igangsatte og alle-
rede gennemførte initiativer imødegår de påpegede mangler vedrørende
logning og overvågning.
Jeg skal bemærke, at ministeriet har sendt eksemplar af ovenstående til
rigsrevisor på
[email protected].
Med venlig hilsen
Brian Mikkelsen