nifs – 16. desember 2015 · nifs – 16. desember 2015 author: svendsen, katrine created date:...
TRANSCRIPT
NIFS – 16. desember 2015
Internkontroll i praksis –
fra risikovurdering til risikohåndtering.Hvordan velge de rette sikkerhetstiltakene?
Dagens agendaTid Agendapunkt Ansvarlig
10:00 Velkommen og nytt fra Difi Katrine Aam Svendsen / Caroline Ringstad Schultz / Håkon Styri
10:15 Nytt fra den enkelte virksomhet Alle
10:30 Difis veileder «Internkontroll i praksis – informasjonssikkerhet» Katrine Aam Svendsen
10:50 Hvordan organisere og koordinere sikkerhetstiltak i en virksomhet?
Remi Longva
11:30 Lunsj
12:15 Foranalyse Jan Sørgård
13:30 Kake og kaffe
13:45 Hvordan beskrive risiko? Katrine Aam Svendsen
14:00 Foreslå håndtering av risiko Katrine Aam Svendsen
14:45 Oppsummering og avslutning Katrine Aam Svendsen
15:00 God jul!
16.12.2015
NYTT FRA DIFI
16.12.2015
Nytt fra Difi
Siden sist: Veileder i internkontroll
Veileder for planlegging og gjennomføring av IKT-øvelser
Nye eksempler på opplæringstiltak i delingsoversikten
Lansert dilemmatrening
Under arbeid: Versjon tre av veileder i kompetanse- og kulturutvikling
Sikkerhetsmåned 2016
Øvelse 2016
Planlegger prosjekter for 2016 - sikkerhetsarkitektur og innebygd
informasjonssikkerhet
16.12.2015
Møtedatoer 2016
8. februarTema: Hendelsesbeskrivelser
27. aprilØvelse
7. september
23. november
Kom gjerne med forslag til temaer.
16.12.2015
NIFS Øvelse 2016
Gjennomføres 27. april 2016
Viktig aktivitet første kvartal 2016:
ØvelsesplanleggingVi ønsker en håndfull deltagere i arbeidsgruppe
Vi regner med at det blir tre arbeidsmøter før øvelsen
Vi tar utgangspunkt i øvelsesveilederen
Det blir mulig å delta i planlegging med videokonferanse
Interessert? Meld fra til [email protected]
16.12.2015
INTERNKONTROLL I PRAKSIS
- INFORMASJONSSIKKERHET
Difis veiledningsmateriell
16.12.2015
Difis veiledningsmateriell
Nettbasert
Målsetninger:Tydeliggjøre de sentrale prosessene i
internkontroll/styringssystem
Forklare innhold i prosesser og aktiviteter
Gi råd rundt organisering og gjennomføring
Eksempler og maler
16.12.2015
Difis forklaringsmodellHovedaktiviteter internkontroll informasjonssikkerhet
16.12.2015
Oppbygning av veilederen
16.12.2015
Etableringsaktiviteter Systematiske aktiviteter
Verktøy – Maler – Eksempler
Bakgrunnsstoff – Godt å vite og Nyttig
Utdypninger av enkelte
delaktiviteter
Betaversjon 7.0
Publisert i dagSiste betaversjon før Versjon 1.0
Oppdatert «Gjennomføre risikovurderinger» og
«Overordnede styrende dokumenter»Inkludert eksempler på retningslinjer
Nye verktøy for:Oversikt over tiltak
Foranalyse
16.12.2015
Pragmatisk
Risikohåndtering
16.12.2015
Hvordan organisere og
koordinere sikkerhetstiltak i en
virksomhet?
16.12.2015
Sikkerhetsnivå
Et definert sett av sikkerhetstiltak
Jf. «security control baseline» hos NIST.16.12.2015
Grunnsikring
Et felles grunnleggende sikkerhetsnivå
for sentrale områder i en virksomhet
16.12.2015
Sys A
Virksomhetsprosess A
Virksomhetsprosess B
Virksomhetsprosess C
Sys B
Fellessystem 1
Fellessystem 2
16.12.2015
Sys A
Virksomhetsprosess A
Virksomhetsprosess B
Virksomhetsprosess C
Sys B
Fellessystem 1
Fellessystem 2
Risikoeier
Systemeier
fellessystem
16.12.2015
Sys A
Virksomhetsprosess A
Tiltaksleverandør
• Har fagekspertise
• Tilbyr sikkerhetstiltak
Risikoeier
• Vurderer risiko
• Har behov
16.12.2015
HR Bygg/fysisk
IKT-drift Etc
• I tilfeller hvor sikkerhetstiltakene leveres av eksterne bør det
alltid være en tiltaksansvarlig i virksomheten
16.12.2015
Tiltaksleverandør
Ansvarlig for sikkerhetstiltak
Utformer, iverksetter og vedlikeholder
Tilbyr sikkerhetstiltak som dekker
virksomhetens behov
Rapporterer status på sikkerhetstiltak
Informerer risikoeiere om endringer som
påvirker risiko
Jf. «common control provider» hos NIST.16.12.2015
IKT-operasjonsmiljø
Sys A Sys B Sys C
Virksomhetsprosess A
Virksomhetsprosess B
IKT-drift – en sentral tiltaksleverandør
16.12.2015
Sys A
Virksomhetsprosess A
Tilleggsikring
Grunnsikring
• Tilleggsikring knyttes til arbeidsoppgaver eller
informasjonssystemer
16.12.2015
Fase 1• Minimumsnivå: kjente behov + god praksis
Fase 2• Risikovurdering + risikohåndtering av 2-4 pilotområder
Fase 3• Velge: Grunnsikring || Tilleggssikring
Fase 4• Høring i virksomheten: sideeffekter - kostnader
Fase 5• Beslutning
Fase 6• Iverksettelse
Etablere grunnsikring
16.12.2015
Grunnsikring
Felles forståelse av hvilken grunnleggende
sikkerhet som er etablert i virksomheten
Trygghet for at informasjonsbehandling har et
visst grunnleggende nivå av sikkerhet
Oversikt over sikkerhetstiltak på sentrale
områder
En grunnmur som ekstra sikkerhetstiltak kan
bygges på der det er spesielle behov
16.12.2015
Lav
Høy
Tiltaksstyrke Sårbarhet
Høy
Lav
Tiltaksstyrke
Jf. «control strength» i ISF IRAM2.16.12.2015
16.12.2015
Oversikt
16.12.2015
Oversikt
16.12.2015
Nyttige konsepter
Grunnsikring
Tilleggssikring
Tiltaksleverandør
Tiltaksstyrke
16.12.2015
Summeoppgave – rundt bordet
I deres virksomheter:
Har dere strukturert oversikt over sikkerhetstiltakene?
Hvis ja – kan risikoeierne forstå det og bruke det i sitt
arbeid?
Kan man velge tilleggssikring hos dere?
Hvordan kan Difis tilnærming hjelpe dere videre?
10-15 minutter
16.12.2015
16.12.2015 Bilde: Colourbox
Foranalyse
Delaktivitet under risikovurderingInternkontroll i praksis – informasjonssikkerhet
Jan Sørgård
Noen sammenhenger
Internkontroll informasjonssikkerhetEtableringsaktiviteter
Systematiske aktiviteter Foranalyse
(delaktivitet)
… støtter
16.12.2015
Etableringsaktiviteter
Utforme overordnede styrende dokumenter….
Retningslinje Forståelse, aksept og håndtering av risiko
16.12.2015
Etableringsaktiviteter
Felles identifisering av typiske oppgave- og
informasjonstyper
16.12.2015
Systematiske aktiviteter
Ledelsens styring og oppfølgingDelegere og følge opp gjennom linjen
RisikovurderingForanalyse av ansvarsområde
Taktisk oppdeling og gruppering
Vurdere behov for risikovurderinger
Gjennomføre risikovurdering
16.12.2015
Foranalyse av ansvarsområde
Identifiserehvilke arbeidsoppgaver utføres
hvilke typer informasjon kan gi vesentlige konsekvenser ved
informasjonssikkerhetsbrudd
lover, regler, avtaler mv. med konkrete krav
hvilke informasjonssystem o.l. benyttes i arbeidsoppgavene
Vurdere potensielt konsekvensnivå på informasjonen, oppgaven samlet og systemene
Vurderinger rundt størrelsen på typisketrusselaktører
farekilder
sårbarheter
16.12.2015
Foranalyse av ansvarsområde
Bør gjøres samtidig:Vurdere relaterte behov fra personopplysningsloven
Behandlingsgrunnlag
Melding og konsesjon
Må følges opp gjennom egne rutiner i virksomheten
f.eks. via virksomhetens personvernombud
16.12.2015
Foranalyse - støtteverktøy
Excel-ark med en rekke faner
Skal benyttes av risikoeiere ledere / ledergrupper på de fleste nivå rundt om i virksomheten
de som har fått delegert et mål- og resultatansvar for et område
Kan justeres på virksomhetsnivå før det tas i
bruk
Enkle tilpasningsmuligheter også for risikoeiere
Kan alternativt være inspirasjon til egne lignende
støtteverktøy i den enkelte virksomhet
16.12.2015
16.12.2015
16.12.2015
16.12.2015
16.12.2015
16.12.2015
16.12.2015
16.12.2015
16.12.2015
Start
Deretter
16.12.2015
Oppgave (grp. m. 3 personer)
Prøv ut Difis støtteverktøyDere sitter i ledergruppen til sosialseksjon hos
Fylkesmannen i midtlandet (FMM) og skal bidra i en
foranalyse av to oppgaver (O1 og O2) + system,
trusselaktører, farer, sårbarheter
Seksjonssjef er alt i gang og har fylt ut noe
1) Diskuter gjennom noen av temaene som skjemaene
(fanene) tar opp og fyll inn etter hvert (35 min)
Lat som om dere kjenner FMM
Bruk hjelpefanen helt til venstre ved behov
2) Hvilke tilpasninger / vesentlige endringer ville dere i
virkeligheten vurdert for en versjon hos dere? (10 min)16.12.2015
HVORDAN BESKRIVE RISIKO?
16.12.2015
Utgangspunkt…
For å velge riktige tiltak må risikoen være klart
beskrevet
Hvordan velge tiltak for risikoene«Feil i databasen»
«Brann»
«Virusangrep»
16.12.2015
Risikobeskrivelse
Tre deler:
1. Karakteriser en uønsket hendelse
2. Karakteriser informasjonssikkerhetsbruddet
3. Nevn de mest relevante konsekvenskategoriene
16.12.2015
Eksempel – Risikobeskrivelse
Istedenfor «Brann»:
(1) Brann i serverrommet
(2) Stopper alle IKT-system
(3) Liv og helse, Tjenestenivå
16.12.2015
Risikostørrelse (1)
Estimere konsekvensPå én eller flere konsekvenskategorier
det mest forventede eller vanligste
det vi frykter mest
eventuelt et tredje alternativ som ligger imellom a og b, men som vi
tror kanskje kan gi et høyere risikonivå
Estimere tilhørende sannsynlighetPå den/de valgte konsekvensen(e)
Kombinasjonen av konsekvens og tilhørende
sannsynlighet gir risikonivå
16.12.2015
Risikostørrelse (2)
Risikostørrelsen uttrykkes da gjennom:
(1) konsekvenskategori
(2) konsekvensnivå
(3) sannsynlighetsnivå
(4) risikonivå
16.12.2015
Eksempel – Risikostørrelse
Vi hadde risikoen:
(1) Brann i serverrommet
(2) Stopper alle IKT-system
(3) Liv og helse, Tjenestenivå
16.12.2015
Eksempel – Risikostørrelse (1)
Vi hadde risikoen:
(1) Brann i serverrommet
(2) Stopper alle IKT-system
(3) Liv og helse, Tjenestenivå
Estimerer konsekvensen for denne konsekvenskategorien til «Moderat»
Estimerer sannsynligheten for at Brann i serverrommet fører til at alle IKT-system stopper, som fører til en moderat konsekvens for vårt tjenestenivå til Lav
16.12.2015
Eksempel – Risikostørrelse (2)
Risikostørrelsen blir da:
Konsekvenskategori: Tjenestenivå
Konsekvensnivå: Moderat
Sannsynlighetsnivå: Lav
Risikonivå: Lav
16.12.2015
Uttrykke risiko
16.12.2015
Risikobeskrivelse Risikostørrelse+
Tilpasset område og behov
En risikobeskrivelse kan ha flere risikostørrelser.
Summeoppgave – rundt bordet
Kan dette gjøre det lettere å tydeliggjøre
informasjonssikkerhetsrisikoer?
5 minutter
16.12.2015
FORESLÅ HÅNDTERING AV
RISIKOER
16.12.2015
Foreslå håndtering av risikoer
Forlengelsen av risikovurdering
Mandatet styrer hvilke oppgaver som
gjennomføres
Resultatet av både Risikovurdering og Foreslå
håndtering av risikoer er et beslutningsgrunnlag
for risikoeier
16.12.2015
Difis metode
Basert på anerkjente metoder
Støttespørsmål for å identifisere tiltak
Anbefalt med en prosessleder som kjenner
metoden og kan drive arbeidet
16.12.2015
Metodens åtte steg
1 • Etablere felles referanseramme
2 • Oppdatere analysen
3• Identifisere aktuelle tiltak
4• Vurdere risikoreduserende effekt, kostnad og uheldige sideeffekter
5• Velge håndtering og estimere restrisiko
6• Vurdere midlertidige tiltak
7• Beskrive kvalitet og kunnskapsstyrke
8• Utdype kostnadsestimat
16.12.2015
Risikohåndteringsskjema
16.12.2015
Gruppeoppgave
Vi har risikobeskrivelsen:
(1) Ansatte gjør feil
(2) Sletter info i
tilskuddssystemet
(3) Rettssikkerhet, Vårt
omdømme
Med risikostørrelsen:
Konsekvenskategori: Vårt
omdømme
Konsekvensnivå: Moderat
Sannsynlighetsnivå: Moderat
Risikonivå: Moderat
16.12.2015
I risikohåndteringsskjemaet:
Identifiser aktuelle tiltak, og angi
formålet
Unngå, Dele, Forebygge, Oppdage,
Reagere, Endre sikkerhetstiltak
Vurder risikoreduserende effekt,
kostnad og uheldige sideeffekter
Høy, Middels, Lav
Velg håndtering (og estimer restrisiko)
Ja/Nei, og begrunnelse
OPPSUMMERING
16.12.2015
Internkontroll i praksis -
informasjonssikkerhet
2016: Fokus på formidling og bruk
KursUlike temaer (deler av materialet) og målgrupper
PilotvirksomheterSamlet gruppe for etableringsaktiviteter
Enkeltdeler i ulike virksomheter
Ta kontakt dersom dette høres interessant ut
16.12.2015
Internkontroll i praksis -
informasjonssikkerhetAlt er tilgjengelig på nettsiden:
Internkontroll.infosikkerhet.difi.no
Ta kontakt ved spørsmål og tilbakemeldinger [email protected]
16.12.2015
GOD JUL!
16.12.2015