NIFS – 16. desember 2015

Internkontroll i praksis –

fra risikovurdering til risikohåndtering.Hvordan velge de rette sikkerhetstiltakene?

Dagens agendaTid Agendapunkt Ansvarlig

10:00 Velkommen og nytt fra Difi Katrine Aam Svendsen / Caroline Ringstad Schultz / Håkon Styri

10:15 Nytt fra den enkelte virksomhet Alle

10:30 Difis veileder «Internkontroll i praksis – informasjonssikkerhet» Katrine Aam Svendsen

10:50 Hvordan organisere og koordinere sikkerhetstiltak i en virksomhet?

Remi Longva

11:30 Lunsj

12:15 Foranalyse Jan Sørgård

13:30 Kake og kaffe

13:45 Hvordan beskrive risiko? Katrine Aam Svendsen

14:00 Foreslå håndtering av risiko Katrine Aam Svendsen

14:45 Oppsummering og avslutning Katrine Aam Svendsen

15:00 God jul!

16.12.2015

NYTT FRA DIFI

16.12.2015

Nytt fra Difi

Siden sist: Veileder i internkontroll

Veileder for planlegging og gjennomføring av IKT-øvelser

Nye eksempler på opplæringstiltak i delingsoversikten

Lansert dilemmatrening

Under arbeid: Versjon tre av veileder i kompetanse- og kulturutvikling

Sikkerhetsmåned 2016

Øvelse 2016

Planlegger prosjekter for 2016 - sikkerhetsarkitektur og innebygd

informasjonssikkerhet

16.12.2015

Møtedatoer 2016

8. februarTema: Hendelsesbeskrivelser

27. aprilØvelse

7. september

23. november

Kom gjerne med forslag til temaer.

16.12.2015

NIFS Øvelse 2016

Gjennomføres 27. april 2016

Viktig aktivitet første kvartal 2016:

ØvelsesplanleggingVi ønsker en håndfull deltagere i arbeidsgruppe

Vi regner med at det blir tre arbeidsmøter før øvelsen

Vi tar utgangspunkt i øvelsesveilederen

Det blir mulig å delta i planlegging med videokonferanse

Interessert? Meld fra til hakon.styri@difi.no

16.12.2015

INTERNKONTROLL I PRAKSIS

- INFORMASJONSSIKKERHET

Difis veiledningsmateriell

16.12.2015

Difis veiledningsmateriell

Nettbasert

Målsetninger:Tydeliggjøre de sentrale prosessene i

internkontroll/styringssystem

Forklare innhold i prosesser og aktiviteter

Gi råd rundt organisering og gjennomføring

Eksempler og maler

16.12.2015

Difis forklaringsmodellHovedaktiviteter internkontroll informasjonssikkerhet

16.12.2015

Oppbygning av veilederen

16.12.2015

Etableringsaktiviteter Systematiske aktiviteter

Verktøy – Maler – Eksempler

Bakgrunnsstoff – Godt å vite og Nyttig

Utdypninger av enkelte

delaktiviteter

Betaversjon 7.0

Publisert i dagSiste betaversjon før Versjon 1.0

Oppdatert «Gjennomføre risikovurderinger» og

«Overordnede styrende dokumenter»Inkludert eksempler på retningslinjer

Nye verktøy for:Oversikt over tiltak

Foranalyse

16.12.2015

Pragmatisk

Risikohåndtering

16.12.2015

Hvordan organisere og

koordinere sikkerhetstiltak i en

virksomhet?

16.12.2015

Sikkerhetsnivå

Et definert sett av sikkerhetstiltak

Jf. «security control baseline» hos NIST.16.12.2015

Grunnsikring

Et felles grunnleggende sikkerhetsnivå

for sentrale områder i en virksomhet

16.12.2015

Sys A

Virksomhetsprosess A

Virksomhetsprosess B

Virksomhetsprosess C

Sys B

Fellessystem 1

Fellessystem 2

16.12.2015

Sys A

Virksomhetsprosess A

Virksomhetsprosess B

Virksomhetsprosess C

Sys B

Fellessystem 1

Fellessystem 2

Risikoeier

Systemeier

fellessystem

16.12.2015

Sys A

Virksomhetsprosess A

Tiltaksleverandør

• Har fagekspertise

• Tilbyr sikkerhetstiltak

Risikoeier

• Vurderer risiko

• Har behov

16.12.2015

HR Bygg/fysisk

IKT-drift Etc

• I tilfeller hvor sikkerhetstiltakene leveres av eksterne bør det

alltid være en tiltaksansvarlig i virksomheten

16.12.2015

Tiltaksleverandør

Ansvarlig for sikkerhetstiltak

Utformer, iverksetter og vedlikeholder

Tilbyr sikkerhetstiltak som dekker

virksomhetens behov

Rapporterer status på sikkerhetstiltak

Informerer risikoeiere om endringer som

påvirker risiko

Jf. «common control provider» hos NIST.16.12.2015

IKT-operasjonsmiljø

Sys A Sys B Sys C

Virksomhetsprosess A

Virksomhetsprosess B

IKT-drift – en sentral tiltaksleverandør

16.12.2015

Sys A

Virksomhetsprosess A

Tilleggsikring

Grunnsikring

• Tilleggsikring knyttes til arbeidsoppgaver eller

informasjonssystemer

16.12.2015

Fase 1• Minimumsnivå: kjente behov + god praksis

Fase 2• Risikovurdering + risikohåndtering av 2-4 pilotområder

Fase 3• Velge: Grunnsikring || Tilleggssikring

Fase 4• Høring i virksomheten: sideeffekter - kostnader

Fase 5• Beslutning

Fase 6• Iverksettelse

Etablere grunnsikring

16.12.2015

Grunnsikring

Felles forståelse av hvilken grunnleggende

sikkerhet som er etablert i virksomheten

Trygghet for at informasjonsbehandling har et

visst grunnleggende nivå av sikkerhet

Oversikt over sikkerhetstiltak på sentrale

områder

En grunnmur som ekstra sikkerhetstiltak kan

bygges på der det er spesielle behov

16.12.2015

Lav

Høy

Tiltaksstyrke Sårbarhet

Høy

Lav

Tiltaksstyrke

Jf. «control strength» i ISF IRAM2.16.12.2015

16.12.2015

Oversikt

16.12.2015

Oversikt

16.12.2015

Nyttige konsepter

Grunnsikring

Tilleggssikring

Tiltaksleverandør

Tiltaksstyrke

16.12.2015

Summeoppgave – rundt bordet

I deres virksomheter:

Har dere strukturert oversikt over sikkerhetstiltakene?

Hvis ja – kan risikoeierne forstå det og bruke det i sitt

arbeid?

Kan man velge tilleggssikring hos dere?

Hvordan kan Difis tilnærming hjelpe dere videre?

10-15 minutter

16.12.2015

16.12.2015 Bilde: Colourbox

Foranalyse

Delaktivitet under risikovurderingInternkontroll i praksis – informasjonssikkerhet

Jan Sørgård

Noen sammenhenger

Internkontroll informasjonssikkerhetEtableringsaktiviteter

Systematiske aktiviteter Foranalyse

(delaktivitet)

… støtter

16.12.2015

Etableringsaktiviteter

Utforme overordnede styrende dokumenter….

Retningslinje Forståelse, aksept og håndtering av risiko

16.12.2015

Etableringsaktiviteter

Felles identifisering av typiske oppgave- og

informasjonstyper

16.12.2015

Systematiske aktiviteter

Ledelsens styring og oppfølgingDelegere og følge opp gjennom linjen

RisikovurderingForanalyse av ansvarsområde

Taktisk oppdeling og gruppering

Vurdere behov for risikovurderinger

Gjennomføre risikovurdering

16.12.2015

Foranalyse av ansvarsområde

Identifiserehvilke arbeidsoppgaver utføres

hvilke typer informasjon kan gi vesentlige konsekvenser ved

informasjonssikkerhetsbrudd

lover, regler, avtaler mv. med konkrete krav

hvilke informasjonssystem o.l. benyttes i arbeidsoppgavene

Vurdere potensielt konsekvensnivå på informasjonen, oppgaven samlet og systemene

Vurderinger rundt størrelsen på typisketrusselaktører

farekilder

sårbarheter

16.12.2015

Foranalyse av ansvarsområde

Bør gjøres samtidig:Vurdere relaterte behov fra personopplysningsloven

Behandlingsgrunnlag

Melding og konsesjon

Må følges opp gjennom egne rutiner i virksomheten

f.eks. via virksomhetens personvernombud

16.12.2015

Foranalyse - støtteverktøy

Excel-ark med en rekke faner

Skal benyttes av risikoeiere ledere / ledergrupper på de fleste nivå rundt om i virksomheten

de som har fått delegert et mål- og resultatansvar for et område

Kan justeres på virksomhetsnivå før det tas i

bruk

Enkle tilpasningsmuligheter også for risikoeiere

Kan alternativt være inspirasjon til egne lignende

støtteverktøy i den enkelte virksomhet

16.12.2015

16.12.2015

16.12.2015

16.12.2015

16.12.2015

16.12.2015

16.12.2015

16.12.2015

16.12.2015

Start

Deretter

16.12.2015

Oppgave (grp. m. 3 personer)

Prøv ut Difis støtteverktøyDere sitter i ledergruppen til sosialseksjon hos

Fylkesmannen i midtlandet (FMM) og skal bidra i en

foranalyse av to oppgaver (O1 og O2) + system,

trusselaktører, farer, sårbarheter

Seksjonssjef er alt i gang og har fylt ut noe

1) Diskuter gjennom noen av temaene som skjemaene

(fanene) tar opp og fyll inn etter hvert (35 min)

Lat som om dere kjenner FMM

Bruk hjelpefanen helt til venstre ved behov

2) Hvilke tilpasninger / vesentlige endringer ville dere i

virkeligheten vurdert for en versjon hos dere? (10 min)16.12.2015

HVORDAN BESKRIVE RISIKO?

16.12.2015

Utgangspunkt…

For å velge riktige tiltak må risikoen være klart

beskrevet

Hvordan velge tiltak for risikoene«Feil i databasen»

«Brann»

«Virusangrep»

16.12.2015

Risikobeskrivelse

Tre deler:

1. Karakteriser en uønsket hendelse

2. Karakteriser informasjonssikkerhetsbruddet

3. Nevn de mest relevante konsekvenskategoriene

16.12.2015

Eksempel – Risikobeskrivelse

Istedenfor «Brann»:

(1) Brann i serverrommet

(2) Stopper alle IKT-system

(3) Liv og helse, Tjenestenivå

16.12.2015

Risikostørrelse (1)

Estimere konsekvensPå én eller flere konsekvenskategorier

det mest forventede eller vanligste

det vi frykter mest

eventuelt et tredje alternativ som ligger imellom a og b, men som vi

tror kanskje kan gi et høyere risikonivå

Estimere tilhørende sannsynlighetPå den/de valgte konsekvensen(e)

Kombinasjonen av konsekvens og tilhørende

sannsynlighet gir risikonivå

16.12.2015

Risikostørrelse (2)

Risikostørrelsen uttrykkes da gjennom:

(1) konsekvenskategori

(2) konsekvensnivå

(3) sannsynlighetsnivå

(4) risikonivå

16.12.2015

Eksempel – Risikostørrelse

Vi hadde risikoen:

(1) Brann i serverrommet

(2) Stopper alle IKT-system

(3) Liv og helse, Tjenestenivå

16.12.2015

Eksempel – Risikostørrelse (1)

Vi hadde risikoen:

(1) Brann i serverrommet

(2) Stopper alle IKT-system

(3) Liv og helse, Tjenestenivå

Estimerer konsekvensen for denne konsekvenskategorien til «Moderat»

Estimerer sannsynligheten for at Brann i serverrommet fører til at alle IKT-system stopper, som fører til en moderat konsekvens for vårt tjenestenivå til Lav

16.12.2015

Eksempel – Risikostørrelse (2)

Risikostørrelsen blir da:

Konsekvenskategori: Tjenestenivå

Konsekvensnivå: Moderat

Sannsynlighetsnivå: Lav

Risikonivå: Lav

16.12.2015

Uttrykke risiko

16.12.2015

Risikobeskrivelse Risikostørrelse+

Tilpasset område og behov

En risikobeskrivelse kan ha flere risikostørrelser.

Summeoppgave – rundt bordet

Kan dette gjøre det lettere å tydeliggjøre

informasjonssikkerhetsrisikoer?

5 minutter

16.12.2015

FORESLÅ HÅNDTERING AV

RISIKOER

16.12.2015

Foreslå håndtering av risikoer

Forlengelsen av risikovurdering

Mandatet styrer hvilke oppgaver som

gjennomføres

Resultatet av både Risikovurdering og Foreslå

håndtering av risikoer er et beslutningsgrunnlag

for risikoeier

16.12.2015

Difis metode

Basert på anerkjente metoder

Støttespørsmål for å identifisere tiltak

Anbefalt med en prosessleder som kjenner

metoden og kan drive arbeidet

16.12.2015

Metodens åtte steg

1 • Etablere felles referanseramme

2 • Oppdatere analysen

3• Identifisere aktuelle tiltak

4• Vurdere risikoreduserende effekt, kostnad og uheldige sideeffekter

5• Velge håndtering og estimere restrisiko

6• Vurdere midlertidige tiltak

7• Beskrive kvalitet og kunnskapsstyrke

8• Utdype kostnadsestimat

16.12.2015

Risikohåndteringsskjema

16.12.2015

Gruppeoppgave

Vi har risikobeskrivelsen:

(1) Ansatte gjør feil

(2) Sletter info i

tilskuddssystemet

(3) Rettssikkerhet, Vårt

omdømme

Med risikostørrelsen:

Konsekvenskategori: Vårt

omdømme

Konsekvensnivå: Moderat

Sannsynlighetsnivå: Moderat

Risikonivå: Moderat

16.12.2015

I risikohåndteringsskjemaet:

Identifiser aktuelle tiltak, og angi

formålet

Unngå, Dele, Forebygge, Oppdage,

Reagere, Endre sikkerhetstiltak

Vurder risikoreduserende effekt,

kostnad og uheldige sideeffekter

Høy, Middels, Lav

Velg håndtering (og estimer restrisiko)

Ja/Nei, og begrunnelse

OPPSUMMERING

16.12.2015

Internkontroll i praksis -

informasjonssikkerhet

2016: Fokus på formidling og bruk

KursUlike temaer (deler av materialet) og målgrupper

PilotvirksomheterSamlet gruppe for etableringsaktiviteter

Enkeltdeler i ulike virksomheter

Ta kontakt dersom dette høres interessant ut

16.12.2015

Internkontroll i praksis -

informasjonssikkerhetAlt er tilgjengelig på nettsiden:

Internkontroll.infosikkerhet.difi.no

Ta kontakt ved spørsmål og tilbakemeldinger infosikkerhet@difi.no

Katrine.svendsen@difi.no

16.12.2015

GOD JUL!

16.12.2015