Utredning Cybersikkerhet - trusler, trender og tiltak

Størrelse: px
Begynne med side:

Download "Utredning Cybersikkerhet - trusler, trender og tiltak"

Transkript

1 Utredning Cybersikkerhet - trusler, trender og tiltak Vedlegg til Regional plan for samfunnsikkerhet og beredskap

2

3 Cybersikkerhet Oppland fylke Dette dokumentet gir en innføring i trusler, trender og tiltak på cybersikkerhetsområdet. Det er brukt den norske betegnelse cybersikkerhet på det som internasjonalt omtales som Cybersecurity. Videre er det definert hva som legges i cybersikkerhet videre i dokumentet. 1. Innledning Sammendrag cybersikkerhet Avhengigheter Globale og nasjonale trusler Regionale trusler Viktige tiltak Kybertrusler med eksempler på tiltak Avhengigheter Sektorfordeling Kaskadeeffekter Energi og kraftforsyning Telekommunikasjon Leverandører generelt Globale og nasjonale trusler Trusselaktørene Tilsiktede handlinger Utilsiktede handlinger Regionale trusler Utilsiktede hendelser Naturhendelser Tilsiktede hendelser Viktige tiltak Verdivurdering/klassifisering Risikovurdering Vurdering av risiko Tiltak og prioriteringer Gjeldende lover og forskrifter Sikkerhetsgjennomganger/evaluering av tiltak Tiltak som følge av risikovurdering og verdivurdering/klassifisering Tiltak som ivaretar lover og regler Opplæring av ansatte og innbyggere Ledelsens ansvar De ansattes ansvar Bestillerkompetanse... 28

4 4.6 Beredskap Katastrofe-/beredskapsplan Testing og øving Leverandører-/samarbeidspartnere Litteratur og kilder:

5 1. Innledning Cybersikkerhet er et område med stadig sterkere fokus, å ha god cybersikkerhet er en forutsetning for å levere gode og sikre tjenester til befolkningen. Tillitt til at elektroniske tjenester er tilgjengelige, at de ivaretar hemmeligheter og ikke kan manipuleres er nødvendig for å nå målene om digitaliseringen i offentlig sektor 1. Regjeringen har som mål at innbyggeren skal kunne betjene seg selv på nett. Kommuner og fylkeskommuner skal gjennom egne risikovurderinger finne trusler, avdekke sårbarheter og iverksette nødvendige tiltak for å redusere risiko til et akseptabelt nivå. Dette gjelder også området cybersikkerhet. Oppland fylke består av 26 kommuner, 6 regioner, 4 byer og har innbyggere 2. I de forskjellige kommunene er det store forskjeller i forhold til risiko. Dette dokumentet gir en oversikt over mulige sikkerhetshendelser innen kyberdomenet 3. Dokumentet gir en oversikt over trusler og sårbarheter, forslag til tiltak, en oversikt over trusselaktører samt en beskrivelse av den økende avhengigheten mellom infrastruktur, IKTsystemer, funksjoner og tjenester. I dette dokumentet er det de sikkerhetsmessige utfordringer i selve kyberdomenet som er adressert. God informasjonssikkerhet er en forutsetning for å kunne levere stabile og sikre tjenester til sine kunder, enten det er innbyggeren eller offentlig forvaltning. Tillit til og kontinuitet i IKT-systemer er en forutsetning for oppnå gode digitale tjenester. Informasjonssikkerhet er i henhold til de fleste internasjonale standarder 4 alle tiltak som sikrer: Tilgjengelighet, som er å sikre at IKT-systemer og informasjon er tilgengelig ved behov Integritet, som er å sikre at informasjon og IKT-systemer er korrekt og pålitelig Konfidensialitet, som er å sikre at kun de som skal ha tilgang til informasjon og IKTsystemer har det og ingen andre. Cybersikkerhet er i henhold til Koordineringsgruppen for IKT- risikobildet 5 : Tiltak for beskyttelse mot reelle og potensielle trusler som kanaliseres via IKTinfrastruktur. Cybersikkerhet er en underkategori til IKT-sikkerhet. IKT-sikkerhet favner et mer generelt og bredere spekter av farer og trusler, inkludert naturkatastrofer, uhell og fysisk ødeleggelse. Dokumentet understøtter behovet for en systematisk og god oversikt over risiko og sårbarheter og vil utgjøre et felles planleggingsgrunnlag for forebyggende og skadereduserende tiltak innen kyberdomenet. 1 Digital Agenda for Norge Stmeld 23 ( ) 2 3 Kyberdomenet er et globalt domene realisert gjennom fysiske eller logiske sammenkoblinger av informasjonssystemer. Dette inkluderer fysiske og virtuelle nettverksenheter, kommunikasjonsinfrastruktur, media og data. 4 Ref: ISO Koordineringsgruppen for IKT-risikobilde ledet av NSM med E-tjenesten og PST 3

6 I kyberdomenet er det større sannsynlighet for tilsiktede hendelser der aktører med vitende og vilje initierer hendelsene, det er derfor tatt inn eksempler på slike hendelser i dette dokumentet. Aktørene kan være interne eller eksterne. Cybersikkerhet er pr. definisjon en underkategori til IKT-sikkerhet. Imidlertid er det stor grad av gjensidig avhengighet og ofte er tiltakene sammenfallende. Cybersikkerhet dreier seg om sikring av ting som er sårbare via IKT 6. Dokumentet vil derfor i noe grad ta for seg flere aspekter av generell IKT-sikkerhet for å sikre forståelsen av at cybersikkerhet og IKTsikkerhet ikke er to separate tema. Eksempelvis kan fysiske ting som et damanlegg være sårbart via IKT, fordi kontrollsystemet som regulerer vannmengde styres via IKT-systemer. Figur 1 Sammenheng cybersikkerhet, informasjonssikkerhet, IT-sikkerhet 6 6 Blogg Morgen Irgens, Høgskolen i Gjøvik, 4

7 2. Sammendrag cybersikkerhet Cybersikkerhet er et fagområde som berører alle deler av forvaltningen og virksomhetene i Oppland fylke. Cybersikkerhet favner på tvers av sektorer og kommunegrenser. Cybersikkerhet berører alt fra tjenester hos en liten underleverandør til et kritisk IKT-system på et sykehus. 2.1 Avhengigheter En stadig større avhengighet til IKT gjør samfunnet sårbart ved hendelser som berører integriteten, konfidensialiteten eller tilgjengeligheten til IKT-systemene. Konsekvensene ved hendelser vil også bli større på grunn av økt avhengighet. De fleste samfunnsfunksjoner er i dag avhengige av IKTsystemer og digital informasjon, som igjen er avhengig av fungerende telesystemer og strøm. Fysiske ødeleggelser som følge av ekstremvær og naturkatastrofer er ikke et element av cybersikkerhet, men avhengigheter til systemene kan medføre at kybertruslene øker når andre katastrofer inntreffer. Disse avhengighetene blir stadig økende, og det er essensielt for kommunene og virksomhetene som leverer samfunnskritiske funksjoner å avdekke disse, og å sørge for å ha en god beredskap for å kunne levere tjenestene ved eventuelle hendelser. Felles for alle samfunnskritiske funksjoner er deres avhengighet av teleinfrastruktur og kraftforsyning Globale og nasjonale trusler Et stadig større gap mellom trusler og tiltak 8 gjør at det er større sannsynlighet for at en hendelse vil inntreffe og berøre et IKT-system og dets egenskaper. Sårbarheter betyr manglende evne til å motstå en uønsket hendelse, eller å opprette en ny stabil tilstand. Stadig flere målrettede angrep gjennomføres mot nasjonale interesser, særlig gjelder dette innen forsvar, kritisk infrastruktur, olje gass og finans. Klimaendringer med ekstremvær vil også øke sannsynligheten for bortfall av kritiske samfunnsfunksjoner fordi IKT systemer er satt ut av drift. Politiets sikkerhetstjeneste og Nasjonal Et forsvar for vår tid - Prop. 73 S ( ) fremhever angrep i det digitale rom som en av de raskest voksende truslene mot privatpersoner, næringsvirksomhet og offentlige institusjoner. Det dreier seg om angrep som går fort, metoder og virkemidler som endres raskt og vanskelig identifiserbare trusselaktører. Det har vært en endring i angrepsmetoder og hvilke sårbarheter som utnyttes i det digitale rom i løpet av de siste ti årene. Norske selskaper har trolig mistet kontrakter på grunn av kinesisk dataspionasje, hevder Nasjonal Sikkerhetsmyndighet. Forsvarsprodusenten Nammo på Raufoss er et av selskapene som er forsøkt hacket fra Kina. Aktuell sikkerhet sikkerhetsmyndighet vurderer at Norge og norske interesser daglig utsettes for uønsket og ulovlig etterretning fra andre stater. Kriminelle aktører med økonomiske motiver er en økende trussel mot private og offentlige aktører. Utstrakt bruk av sosial manipulering i forbindelse med inntrengning i informasjonssystemer er en vanlig kombinasjon. Flere velger å ta i bruk 7 NSM Rapport om sikkerhetstilstand Møketallsundersøkelsen

8 nettskyløsninger til behandling og lagring av informasjon. I slike løsninger må sikkerhetsaspektet ivaretas i takt med teknologisk utvikling og i henhold til hvilke verdier som behandles i nettskytjenesten. Big Data med sammenstilling av store datamengder gir store utfordringer, det er viktig å ta inn over seg de sikkerhesmessige konsekvenser dette kan gi. En bekymring er at store deler av det digitale universet er ubeskyttet 9. Stadig økende behov for mobilitet gir et økt behov fra de ansatte for å kunne koble seg til virksomheten med forskjellig utstyr med varierende sikkerhet. Bring Your Own Device (BYOD) må adresseres slik at sikkerheten ivaretas. 2.3 Regionale trusler Oppland fylke er ikke forskånet fra cybersikkerhetshendelser. I fylket befinner det seg leverandører til kritisk infrastruktur, virksomheter med verdensledende teknologi på flere områder. Virksomheter med ansvar for liv og helse, samt et mangfold av små og mellomstore virksomheter som alle på en eller annen måte har bedriftshemmeligheter, personopplysninger, eller tjenester og funksjoner som i et større perspektiv sørger for at brukere får tilgang til tjenester og sin informasjon. Sikkerhetshendelser kan medføre store konsekvenser, i verste fall fare for for liv og helse. Angrep over nett vil kunne lamme eller påvirke strømforsyning, industriprosesser og andre kritiske samfunnsfunksjoner. Tilsiktede hendelser som datainnbrudd, tjenestenektangrep, industrispionasje og internettkriminalitet har vi stadig flere konkrete saker på i Oppland fylke. Utilsiktede hendelser som brukerfeil, strømbrudd eller flom og ras er det også stadig flere eksempler på. I begge kategorier har det ført til økonomiske tap, tap av tillit og at kritiske samfunnsfunksjoner har hatt nedetid. 2.4 Viktige tiltak Forebyggende sikkerhetsarbeid med risikoreduserende tiltak vil gjøre oss mindre utsatt om katastrofen skulle inntreffe. Et godt beredskapsarbeid er også en forutsetning for å kunne ivareta liv og helse samt samfunnskritiske funksjoner i en krisesituasjon. Arbeidet med Cybersikkerhet er et kontinuerlig arbeid og må forankres hos ledelsen. Det må avsettes ressurser for å jobbe forebyggende, håndtere hendelser og ha en beredskap slik at konsekvenser ved hendelser minimeres. Risikoerkjennelse og evne til gjennomføring hos ledelsen er en forutsetning for å få gjennomført et godt cybersikkerhetsarbeid. 9 Analyseselskapet IDC 6

9 Samfunnets avhengigheten til IKT er betydelig og bortfall av en en eller flere tjenester kan få store konsekvenser. Risikoreduserende tiltak er nødvendig for å ivareta cybersikkerhet og begrense mulige konsekvenser som følge av avhengigheter mellom IKT systemer. Det listes opp følgende viktige tiltak: Verdivurdering/klassifisering Å kartlegge og verdivurdere (klassifisere) IT-systemer og infrastruktur med kritikalitet, systemeierskap og avhengigheter, slik at man har en oversikt over virksomhetens eiendeler med en forståelse av konsekvensen hvis IT-systemet går ned. Ut fra verdivurderingen kan man vurdere hvordan informasjonen kan og må beskyttes. Alle virksomheter som eier en verdi, vil også eie eventuelle sårbarheter knyttet til denne verdien 10 Risikovurdering Gjennomføre risikovurderinger av elementer som fastsettes som kritisk i verdivurderingen, for å få kunnskap om trusler og sårbarheter, samt bedømme konsekvens ved en hendelse. Ut fra aksptansekriterier vet man hvilke trusler man ikke kan akseptere og derved iverksette nødvendige tiltak. Tiltak i lover Gjennomføring av tiltak pålagt i lover og forskrifter knyttet til informasjonssikkerhet. Sikkerhetsgjennomganger/evaluering av tiltak Jevnlige sikkerhetsgjennomganger/evalueringer for å sikre at alle tekniske sikringstiltak er implementert og følges opp i egen organisasjon eller av tredjepart/ leverandør. Opplæring av ansatte og innbyggere Opplæring og kompetanseheving for å gi ansatte og leder nødvendig forståelse og kompetanse for å kunne detektere, avverge og rapportere sikkerhetshendelser. Beredskap Beredskapsplanlegging med fokus på å ha en oppdatert og funksjonell beredskapsplan, samt ha gjennomført jevnlige øvelser der forskjellige cybersikkerhetsscenarioer er blitt prøvd. Det er sannsynlig at noe usannsynlig vil skje. Aristoteles Mark Twain 10 NSM Rapport om sikkerhetstilstand

10 3. Kybertrusler med eksempler på tiltak En virksomhets verdi i form av eiendeler og/eller informasjon må beskyttes mot trusler. Tjenester som skal leveres må sikres. Befolkningen har grunnleggende behov som skal dekkes og ansvaret for dette ligger hos tjenesteleverandøren. Samfunnssikkerheten i Norge er basert på ansvarsprinsippet; den som har ansvaret for en tjeneste har ansvar også for leveransesikkerhet, beredskap osv 11. En infrastruktur er kritisk hvis dens bortfall truer kritiske samfunnsfunksjoner En samfunnsfunksjon er kritisk hvis dens bortfall truer befolkningens grunnleggende behov Befolkningens grunnleggende behov defineres som vann, varme, mat, trygghet og liknende 12. En trussel defineres som en mulig uønsket handling som kan gi negativ konsekvens for sikkerheten til personer eller virksomheter. 13 Trusselaktøren har intensjon (motivasjon) og kapasitet (vilje) til å utføre en slik handling mot gitte verdier. Sårbarhet defineres som manglende evne til å motstå en uønsket hendelse eller å opprette en ny stabil tilstand dersom en verdi er utsatt for uønsket påvirkning. 14 Virksomheter som har eller er avhengig av en verdi, vil også ha hovedansvar for å håndtere eventuelle sårbarheter knyttet til verdien og dennes funksjoner, i tråd med ansvarsprinsippet. 3.1 Avhengigheter Oppland fylke med tilhørende kommuner er ansvarlig for en rekke tjenester til egen befolkning. Bortfall av kritisk infrastruktur slik som strøm og telekommunikasjon vil raskt kunne få konsekvenser for opprettholdelse av viktige samfunnsfunksjoner og tjenesteleveranser. 11 DSB, Innspill til et overordnet risikostyringssystem for kritisk infrastruktur og kritiske samfunnsfunksjoner, Erik Thomassen NOU 2006:6 13 Jf NS 5830: Ibid. Norsk standard 5830:2012 8

11 Viktige samfunnsfunksjoner, også omtalt som bærebjelkene i samfunnet, kan deles opp i følgende 15 : Energi- og kraftforsyning Informasjons og kommunikasjonsteknologi (IKT) Ledelse og informasjon Tilgang til rent vann og ernæring Helsetjenester Transport I dagens samfunn innebærere disse tjenestene bruk av IKT-systemer. Både til styring og til informasjonsbehandling. IKT-systemene har mange avhengigheter. I det følgende er en kort beskrivelse av noen av avhengighetene nevnt. Truslene og tiltak for disse er beskrevet i andre deler av dokumentet. Utdrag fra NOU 2013:2, Hindre for digital verdiskapning Enhver virksomhet kan bli rammet av en informasjonssikkerhetshendelse. Skulle en slik hendelse inntreffe gjelder det å ha beredskap som sikrer at man kan håndtere den. Rutiner for å håndtere hendelser er kritisk for å kunne stå i mot et målrettet eller tilfeldig angrep. Målrettede angrep mot en eller flere digitale infrastrukturtjenester som helse, kraftsektoren, kommunikasjonsnettene, vann og avløp eller finanssektoren kan sette samfunnet ut av spill 3.2 Sektorfordeling Samfunnssikkerhet med tilhørende beredskapsarbeid er fragmentert på myndighetsnivå i Norge. De enkelte departement er ansvarlige for sine sektorer, og retningslinjene vil kunne variere fra sektor til sektor. Tjenester til befolkningen er basert på teknologiske løsninger som er sektorovergripende. Det er derfor viktig for en tjenestetilbyder å vite hvilke trusler og krav til tiltak som gjelder for de enkelte sektorer. I de fleste sektorer vil samfunnskritiske funksjoner bryte sammen uten tilgang til IKT-tjenester. Utfordringer med denne situasjonen er at norske virksomheter både mangler forståelse for risikobildet og i noe grad mangler intern kompetanse til å løse sikkerhetsutfordringene. Derfor tvinger det seg frem et økt behov for sterkere offentlig innsats og koordinering av de offentlige sikkerhetsaktørene. 3.3 Kaskadeeffekter Ofte vil svikt i en funksjon eller struktur få følger for andre, dvs. det oppstår kaskadeeffekter. Dette kan bety at manglende trøm medfører svikt i datakommunikasjon, som igjen medfører manglende tilgang til data. Manglende tilgang til data kan bety at tjenesten ikke leveres, feilbehandlinge forekommer eller at man ikke får fullført saksbehandling. Det kan være brudd i telekommunikasjonslinjer som medfører at viktige funksjoner som alarmsentraler settes ut av spill, varslingssystemer som sådan ikke fungerer, eller at andre viktige funksjoner ikke kommuniserer med hverandre. Saksbehandlingssystemer som innhenter opplysninger eller kommuniserer med andre systemer får ikke tilgang til informasjon og behandlingen stopper opp. Gjelder dette helseområdet kan det stå om liv og helse. Det samme gjelder f.eks. kommunikasjon til signalsystemer i jernbanen og trafikken. 15 NOU 2006:6 9

12 3.4 Energi og kraftforsyning Energi og kraftleverandører må ha evne til å forsyne virksomheter med kritiske samfunnsfunksjoner med nødvendig kraft for å kunne tilby basisleveranser. Naturhendelser kan påvirke tilgjengeligheten til kritisk infrastruktur. Vind, snø/ising, flom, ras, tordenvær er alle trusler som kan bidra til svikt i strømtilførsel, som igjen fører til kaskadeeffekter. I tillegg til andre tilsiktede og utilsiktede handlinger som omtales i kapittel Telekommunikasjon Viktig for virksomheter å få elektroniske data til/fra egen virksomhet. Det er også viktig at leverandøren kan opprettholde konfidensialitet og integritet ved overføring av data. Mer ekstremvær vil påvirke trusselbildet med tanke på følgeskader av flom, trær som velter, ras ol. Telefonnettet og datakommunikasjon er utsatt for naturskader, det er også IKTsentraler og fysiske komponenter. 3.6 Leverandører generelt De fleste norske virksomheter er små. De vil i all hovedsak være avhengige av leverandører av IKT-tjenester. Virksomhetene har i mange tilfeller lav bestillerkompetanse og krav til informasjonssikkerhet ved innkjøp og løpende drift kan bli nedprioritert. Dersom virksomheten ikke stiller krav til sikring av ikt-systemer fra leverandøren, kan dette bli nedprioritert, og virksomheten kan få store problemer med hendelser. Det er virksomhetens leder som er ansvarlig for informasjonssikkerhet, selv om drift eller andre tjenester er satt ut. Det er også viktig å avtalefeste og kontrollere at leverandører ivaretar lovkrav i henhold til drift, lagring og kommunikasjon. 3.7 Globale og nasjonale trusler De generelle kybertruslene som er beskrevet i dette dokumentet vil ha innvirkning på alle tjenester som leveres hvis en hendelse inntreffer. En Utdrag fra NOU 2013:2, Hindre for digital verdiskapning; Norske virksomheter har ikke en helhetlig trusselvurdering å forholde seg til. Det nasjonale trusselbilde som presenteres er tilpasset sikkerhetslovens virkeområde og lite egnet for vanlige norske virksomheter i både offentlig og privat sektor. utvikling i dagens samfunn er at de utenkelige konsekvensen kommer nærmere, det må derfor tas høyde for hendelser med store konsekvenser der tilgjengeligheten til kritiske IKT-systemer er borte i lengre perioder. Utviklingen i samfunnet viser en større avhengighet mellom systemer, det er derfor også viktig å kartlegge disse avhengighetene slik at sikringstiltak kan iverksettes der det er størst behov. Det er også større gap mellom trusler og tiltak enn tidligere 16. Trusselbildet er i stadig endring og teknologien utvikles raskt. Nordmenn er generelt raske til å ta i bruk ny teknologi, og da er det viktig å ha kompetanse og ressurser til å iverksette nødvendige sikkerhetstiltak slik at man ivaretar sikkerheten på et tilfredsstillende nivå. Målrettede angrep er blitt en del av hverdagen for mange bedrifter og sikkerhetsselskapet Norman ASA går så langt i beskrivelsen at man «må forvente» å bli angrepet, snarere enn «hvis man» blir angrepet. Målgruppene for 16 Mørketallsundersøkelsen

13 kyberangrep vil også variere utfra motivasjon og mulighet hos angriper. Uansett er trenden blitt at ingen må føle at de er forskånet fra kyberangrep. Mannen i gata kan laste ned gratis angrepsverktøy for å hevne en opplevd negativ saksbehandling i kommunen, som et ekspempel. Ny teknologi skaper også sikkerhetsmessige utfordringer. Bring your own device (BYOD). Hva skal den ansatte få lov til å bruke i arbeidssammenheng av mobiltelefoner, nettbrett, minnepinner og PCer. BYOD er en trend som er stadig økende. Har man jobbmobil har man gjerne også privatmailen på denne i tillegg til jobbmail, og vice versa. Hvor setter man grensen, og hva skal man innføre av sikkerhetstiltak. Skytjenester. Hva lagres og kommuniseres i skyen er viktig å ha oversikt over. Hvilke sikkerhetsutfordringer er det man står ovenfor; kontrollspørsmålet må være om det er greit at informasjonen som lagres og/eller kommuniseres kommer på avveier? Hvis ikke, må man vurdere om man kan bruke skytjenester. Big Data. All informasjonen som florerer på internett, kan sammenstilles og brukes enten i forretningsøyemed, eller som informasjon til målrettede angrep. BIG DATA er begrepet på all informasjonen som legges igjen på nettet daglig og sammenstilles i mønstre og resultater av forskjellige slag. Søk på nett, bompassering, bruk av bankkort, alle digitale spor utgjør informasjonen i BIG DATA. Utfordringer knyttet til sammenstilling av informasjon er blant annet ivaretakelse av personvernet til den enkelte. Følgende sikkerhetsutfordringer fremheves og må følges nøye med fremover 17 : Spionasje og kriminalitet gjennom bruk av IKT Nettbankkriminalitet, informasjonstyveri og hærverk på nett Manglende sikkerhetsoppdateringer på systemer Store datamengder og nye lagringsløsninger Økt bruk av private enheter i arbeidssammenheng Industrisikkerhet Psykisk helse, økonomiske forhold og tilknytning til fremmede stater i forbindelse med sikkerhetsklareringer 3.8 Trusselaktørene Trusselaktørene er globale og omtales ofte som; Hactivister - som ønsker å spre et politisk budskap Kriminelle - som har økonomiske motiver Terrorister - som ønsker å spre frykt Fremmede stater - som ønsker tilgang til informasjon, kan ha ønske om å desinformere og manipulere. 17 Kilde: Trusler og sårbarheter Samordnet vurdering fra E-tjenesten, NSM og PST. 11

14 I tillegg er det alltid en risiko for at egne ansatte med forskjellig motivasjon vil være ute etter å skade arbeidsgiver, tilegne seg informasjon eller på annen måte utnytte sin kompetanse på en måte som kan gjøre stor skade for arbeidsgiver. Alle disse truslene er tilsiktede handlinger. Et trusselbilde vil også inneholde fare for utilsiktede hendelser. Dette er hendelser som skader virksomheten, men som ikke er utført ut fra kriminelle eller onde hensikter. De utilsiktede hendelsene må vurderes på lik linje med de tilsiktede truslene. Eksempler på dette er naturkatastrofer, menneskelige feil (ansatte og eksterne), feil i tekniske komponenter eller telekommunikasjonskabler som graves over i forbindelse med bygging, veiutbedring etc. Det kan også være at man begår lovbrudd pga manglende oversikt over hvilke lover som gjelder for egen virksomhet, om hvordan f.eks. behandle informasjon utfra personvernet. Figur 2Trusselbildet 3.9 Tilsiktede handlinger Tilsiktede handlinger er ofte økonomisk motiverte handlinger, men det kan gjerne være på bakgrunn av poltiske eller idealistiske holdninger. Nedenfor følger en oversikt over noen av de aktuelle truslene som kan ramme en virksomhet. Oversikten kan benyttes som en liste ved gjennomgang av virksomhetens trusselbilde. 12

15 Tilsiktede handlinger Logiske trusler Fysiske trusler Hacking Alle er et mål. Flere målrettede angrep enn tidligere. Sosial manipulering er ofte en kombinasjon som brukes sammen med datainntrengning for å nå mål, enten det er virksomhet eller enkeltperson. Spionasje viktig å tenke industrisikkerhet. Norge har mye industri basert på høyteknologiske løsninger Kriminalitet nettbankkriminalitet, stjeling av informasjon på digitale løsninger. Økonomiske motiver. Krigshandlinger/terrorisme nye metoder for krigføringer. Angrep på nett kan også være politisk motiverte handlinger, såkalt hacktivisme. Sabotasje kan være hevnaksjoner mot tidligere arbeidsgiver, tilfeldigheter, eller annen form for uvilje mot enkeltpersoner eller virksomheter som medfører en trang til å ødelegge/endre data eller kommunikasjonen. Hærverk kan gjøres ved å slette/endre filer, fjerne programvare ol. Direkte angrep på datamaskiner, utstyr, kommunikasjons-linjer/kabler, programvare, kontrollmekanismer, telesentraler og strømforsyning/trafostasjoner. Utføres manuelt med eller uten hjelpemidler. EMP-angrep mot datasentraler, kontrollstasjoner. Fysiske angrep på digitale komponenter som lagringsmedier, CD, DVD, mobile enheter som nettbrett, telefon eller minnepinner. Angrep på støttefunksjoner som styringssystemer til ventilasjonsanlegg, strømforsyning, vannkjøling etc. Angrep på mennesker. Nøkkelpersoner settes ut av spill. Tabell 1Tilsiktede handlinger - logiske og fysiske 13

16 Eksempler på tiltak som reduserer risiko for tilsiktede handlinger. Trussel Manglende bruk av unike identer/passord og roller til brukere øker fare for informasjon på avveier. Tiltak Tilgangskontroller; Etabler gode rutiner for passord. Alle brukere skal ha egne identer. Roller i systemene styres av brukernes arbeidsoppgaver; «need to do- need to know»-prinsippet. Fjern brukere som ikke lenger skal ha tilgang til systemer. Manglende installert og oppdatert antivirus medfører risiko for dataangrep og informasjon på avveier. Manglende kontroll på tilgang og informasjonsflyt eksternt kan medføre informasjon på avveier, og at man ikke oppdager uvedkommende i sine systemer. Manglende kontroll over hvor informasjon lagres og hvilken informasjon som lagres, kan medføre brudd på lover og regler og informasjon på avveier. Antivirus; Etabler gode rutiner for oppdatering av antivirus. Brannmur; Ivareta kontroll og gjennomgang av logger over datatrafikk gjennom brannmur. Mobile enheter; Ha kontroll over mobile enheter som smart-telefoner og nettbrett. Lag klare regler for hva de kan brukes til og hva som kan lagres på dem. Etabler rutiner for passord, fjernsletting og sporing. Manglende rutiner for å ivareta hendelser medfører risiko for at de ikke oppdages og/eller rapporteres. Hendelseshåndtering; Etabler godt rutiner for å ivareta hendelser. Gjør de ansatte kjent med hva som er sikkerhetshendelser, hvem de skal rapportere til og hva. Ha også rutiner for evt. lovbrudd og anmeldelse slik at man vet hva slags informasjon man må beholde og hvordan denne skal behandles. Manglende rutiner for bruk av virksomhetens e- post og internett kan føre til privat bruk som ikke er forenelig med virksomhetens regler og instrukser. Manglende innføring i oppførsel og informasjonsdeling på sosiale medier kan medføre at de ansatte deler informasjon som er taushetsbelagt eller innehar feil. E-post, internett og sosiale medier; Etabler retningslinjer for hva og hvordan de ansatte skal bruke virksomhetens e-post, internett og sosiale medier. Iverksett datadisiplinerklæringer som de ansatte må undertegne, gjerne med konsekvenser ved brudd. Tabell 2 Eksempel tiltak - tilsiktede handlinger 14

17 3.10 Utilsiktede handlinger Nedenfor følger en oversikt over enkelte utilsiktede handlinger som kan ramme en virksomhet. Disse handlingene er ikke utført med overlegg, og skyldes ofte mangel på kompetanse eller manglende forståelse for systemene. De fleste av disse truslene er interne, slik at en god oversikt og forståelse over egen virksomhet vil kunne bidra til at man avdekker sårbarhetene og iverksetter tiltak. Oversikten kan benyttes som en liste ved gjennomgang av virksomhetens trusselbilde. Logiske trusler Fysiske trusler Utilsiktede handlinger Menneskelige feil kan medføre; feil data i systemer endring av data får tilgang til informasjon man ikke har tjenstlig behov for Informasjon på avveier. Menneskelig feil kan også være årsak til; systemsvikt manglende oppdatering av programvare overbelastning av nett leverandørsvikt styringssvikt. Komponenter som svikter, har gått ut av produksjon eller supporteres ikke lenger. Manglende kunnskap eller oversikt over lover og regler som gjelder behandling og lagring av informasjon, kan medføre lovbrudd. Svikt i leveranse fra underleverandører, f.eks. manglende tilgang til server. Naturhendelser som flom, ras kan medføre svikt i strømtilførsel og/eller datakommunikasjon. Brann, oversvømmelse av datarom, tekniske komponenter, harddisker. Manglende kunnskap og/eller oversikt over lover og regler som omhandler beskyttelse av utstyr og komponenter, kan medføre lovbrudd. Kabler kan graves over i forbindelse med bygging, veiutbedringer ol. Sprengningsarbeid kan medføre brudd i kabler, fysiske ødeleggelser av komponenter og utstyr. Bortfall av nøkkelpersoner. Sykdom, influensaepidemier og lignende kan medføre høyt sykefravær, som påvirker driftssituasjonen. Svikt i leveranser av tekniske komponenter. Lang leveringstid. Tabell 3 Utilsiktede handlinger - logiske og fysiske 15

18 Eksempler på tiltak som reduserer risiko for utilsiktede handlinger. Trussel Avvikende IT-utstyr og arkitektur i henhold til tjenester som skal leveres Manglende gjennomgang av trusselbildet og de tiltak som allerede finnes i organisasjonen, kan medføre at man ikke har tilstrekkelige tiltak til å ivareta hendelser, eller at et område har for kostbare/ressurskrevende tiltak i forhold til risiko. Manglende ressurser og tildeling av ansvar medfører usikkerhet og sårbarhet i forhold til kontinuitet i drift. Tiltak Etabler og vedlikehold en IT-strategi som ivaretar kobling mellom IKT og forretningsdrift Gjennomfør risikovurdering og analyser hendelser som kan inntreffe. Bruk statistikk og involver alle nivåer i organisasjonen for å gjøre hendelsene mest mulig realistiske. Gjennomfør ny analyse ved endrede forutsetninger eller minimum en gang årlig. Ledelsen bør godkjenne akseptabelt risikonivå. Tenk også det utenkelige! Ha planer for kontinuitet som sikrer stabil drift i forhold til ferieavvikling og sykdom. Fordeling av ansvar gjenspeiles i organisasjonskart og instrukser. Manglende avtaler med leverandørene kan medføre at de ikke leverer ønsket utstyr eller tjeneste, dette gjelder både ved ordinær drift og i en beredskapssituasjon Manglende overordnet policy på sikkerhet kan medføre at sikkerhet i systemer og tjenester ikke blir overholdt i henhold til lover, regler og interne instrukser. Etabler SLA med leverandører. Etabler egne avtaler for beredskap der det er nødvendig. Vedlikehold og ha jevnlig gjennomgang av leverandøravtaler. Ha register som viser når avtaler er inngått hvem som er ansvarlig og hva de gjelder. Etabler en sikkerhetspolicy og gjør denne kjent i organisasjonen. Denne skal ha et overordnet nivå, være retningsgivende for instrukser og produkter/tjenester med hensyn til sikkerhet. Etabler også en håndbok for informasjonssikkerhet som er kjent for alle ansatte. Manglende planverk ved katastrofer og andre uforutsette hendelser bidrar til økt usikkerhet, lenger ute- av drift situasjon og manglende ansvarsforhold. Manglende rutiner og prosedyrer for lagring av informasjon, medfører risiko for at informasjon blir gjort tilgjengelig for uvedkommende, eller at man ikke finner informasjonen når man trenger den. Det kan også være risiko for at man ikke lagrer informasjon i henhold til lovpålagte krav. Manglende informasjon om hvilken informasjon som skal eller bør slettes kan medføre brudd på lover, som f.eks. Personopplysningsloven. Manglende kunnskap om hvilke dokumenter og informasjon som kan kastes i vanlig papiravfall, hva som må makuleres og hva som behandles etter Etabler og iverksett planer for beredskap-/katastrofer. Planverket holdes oppdatert ved endringer i personell, utstyr og lokasjoner. Øvelse gjøres jevnlig og minimum en gang pr. år. Ha kjente og oppdaterte rutiner for lagring av dokumenter. Iverksett og oppdater roller og ansvar i systemene, slik at tilgang styres ut fra tjenstlig behov. Gjennomfør opplæring slik at lagring skjer i henhold til lovpålagte krav og interne instrukser. Innfør instrukser for sletting av dokumenter. Innfør instrukser for makulering og avfallshåndtering. Gjør instruksene kjent i organisasjonen og påse at instruksene er i henhold til gjeldende lovverk og interne retningslinjer. Utnevn ansvarlige slik at ved usikkerhet, vet man hvem man skal kontakte. 16

19 særlige regler kan medføre informasjon på avveier, brudd på lover og regler og uheldig publisitet. Manglende kunnskap om behandling av informasjon kan medføre brudd på lover og at man ikke har tilstrekkelig rutiner for å ivareta visse typer dokumenter. Eller at man bruker for mye ressurser på informasjon som ikke er viktig. Manglende instrukser når det skjer uforutsette hendelser kan bidra til utilgjengelige systemer. Manglende back-up eller back-up som ikke fungerer (restore) kan medføre at informasjon går tapt. Lokasjoner kan blir skadet som følge av naturkatastrofer eller uhell (brann, flom etc). Hardware kan feile eller bli ødelagt som følge av hærverk eller uhell/naturkatastrofer. Bortfall av kommunikasjon medfører at tjenester ikke kan utføres/leveres. Manglende strømtilførsel kan medføre bortfalle av tjenester og manglende tilgang til systemer. Manglende kontroll med strøm, vannskade, brann og temperatur kan medføre bortfall av tjenester. Manglende kontroll med versjoner og lisenser kan medføre brudd på avtaler. Oppdatering av programvare uten at man kjenner konsekvenser og hvilke systemer som snakker sammen kan bidra til unødvendig «nedetid» og feilhåndtering. Etabler prosedyrer for verdivurdering/klassifisering av informasjon. Gjør dette kjent i organisasjonen. Etabler planer som sikrer kontinuitet. Etabler rutiner for lagring av back-up medier på sikkert sted utenfor datarom, og kontroller jevnlig at de fungerer. Vurder om det er nødvendig med avtaler om reserveløsninger med leverandører og om man har behov for reservelokasjoner. Inngå beredskapsplaner med leverandør av kommunikasjonslinjer. Ha god oversikt over hvem som har ansvar for hva, internt i bygge og eksternt mellom lokasjoner/leverandør. Iverksett tiltak som sikrer tilstrekkelig strømtilførsel, f.eks. USP og aggregat. Iverksett planer og oppfølging av fysiske lokasjoner, slik at man reduserer risiko for vannskader, brann og liknende hendelser. Etabler og vedlikehold register for versjoner og lisenser. Oppdatering av versjoner skal skje i henhold interne prosedyrer og leverandørers anbefalinger. Oppdatert programvare reduserer risiko for dataangrep. Programvare som er utdatert øker risiko for dataangrep via sårbarheter. Manglende ivaretakelse av ønskede endringer fra brukere kan medføre feil ressursbruk og økt risiko for svakheter og feil funksjonalitet. Manglende oppdatering av endringer som gjøres i avtaleverk, systemer, programvare og lokasjoner- /kommunikasjon medfører at planer og instrukser ikke gjenspeiler virkeligheten, bidrar til økt risiko for «nedetid». Manglende ressurser eller avhengighet av nøkkelpersoner gjør en virksomhet sårbar. Etabler planer for endringsønsker og hvordan disse ivaretas. Ha instrukser for oppdatering av gjeldende planverk ved gjennomføring av endringer. Ha planer for stedfortredere ved evt. bortfall av nøkkelpersonell. Rutiner for oppdaterte instrukser og planer 17

20 bidrar til at andre kan overta på kort varsel. Manglende kompetanse øker risikoen for at utilsiktede feil gjøres. Iverksett opplæring slik at man sikrer at arbeidsoppgaver gjøres ensartet og at ansatte vet hvordan de skal opptre ved hendelser. Rett person på rett plass. Tabell 4 Eksempler på tiltak - utilsiktede handlinger 3.11 Regionale trusler Det er store forskjeller i hvordan en cybersikkerhetshendelse vil påvirke virksomhetene. Hvilke tiltak som skal iverksettes påvirkes også av hvor utsatt kommunen er for ras, flom og andre naturkatastrofer. Andre forhold som påvirker hvordan kommunen skal jobbe med cybersikkerhet kan være om kommunen huser private eller offentlige virksomheter som er en del av kritisk infrastruktur, eller som har produkter og tjenester som er attraktive for kriminelle eller fremmede nasjoner. Flere kommuner i Oppland har deler eller alle disse nevnte kategorier. For å redusere risiko for at hendelser skal bli katastrofale er det nødvendig å gjennomføre risikovurderinger, slik at man setter inn tiltak der det er nødvendig. Hendelser som kan påvirke digital kritisk infrastruktur og digitale samfunnskritiske funksjoner kan være tilsiktede handlinger eller utilsiktede handlinger, logiske eller fysiske, interne eller eksterne, ref. figur 1. DSB har i sitt risikobilde fra 2012 beskrevet flere tilsiktede og utilsiktede hendelser som omfatter Oppland fylke og som kan påvirke digitale linjer, komponenter og systemer som er virksomhetskritiske når det gjelder kritisk infrastruktur og samfunnskritiske funksjoner; Figur 3 Fra flommen juni 2013 Røyislimoen Utilsiktede hendelser Internt i en virksomhet kan det oppstå hendelser som er forårsaket av menneskelig feil. Det er ikke onde hensikter bak slike handlinger, det kan være mangel på kompetanse og kunnskap om systemer, manglende oppdateringer som gjør systemer sårbare for angrep og lignende. Bevisstgjøring i virksomheten er også viktig, slik at man ikke omgår interne retningslinjer fordi «ingen andre gjør det». Det er ikke onde hensikter bak slike handlinger, men skyldes mangel på opplæring, gode ledere som forbilder og bevisstgjøring om konsekvenser. Fysiske utilsiktede hendelser kan være feilkobling av kabler internt, det kan være naturkatastrofer hvor flom ødelegger datautstyr/datarom eller ødelegger kommunikasjonskabler. Naturhendelser Store nedbørsmengder og flom har blitt vanlig de senere årene, og særlig Gudbrandsdalen har blitt utsatt for dette. I 2011 og i 2013 har flom medført store materielle ødeleggelser i disse områdene. Særlig telekommunikasjon er utsatt for slike naturhendelser. Stormen Dagmar viste at kraftige vindkast kan påvirke IKT da strømførselen ble brutt. Mange trær som veltet over høyspentledninger, og oppryddingsarbeidet tok flere dager. 18

RISIKOVURDERING. Jan Fosse Seksjonssjef Avdeling Sikkerhetsstyring NSM NASJONAL SIKKERHETSMYNDIGHET

RISIKOVURDERING. Jan Fosse Seksjonssjef Avdeling Sikkerhetsstyring NSM NASJONAL SIKKERHETSMYNDIGHET RISIKOVURDERING Jan Fosse Seksjonssjef Avdeling Sikkerhetsstyring NSM SLIDE 2 INNHOLD Risikovurdering og sikkerhetsstyring Verdivurdering Trusselvurdering Valg av scenarier Sårbarhetsvurdering Sammenstilling

Detaljer

Sikkerhet og informasjonssystemer

Sikkerhet og informasjonssystemer Sikkerhet og informasjonssystemer IFEA 19.10.2011 Datasikkerhet i industri og offentlig infrastruktur. Helge Rager Furuseth seniorrådgiver, siv.ing. Avdeling for sikkerhetsforvaltning Nasjonal sikkerhetsmyndighet

Detaljer

Trusler, trender og tiltak 2009

Trusler, trender og tiltak 2009 Trusler, trender og tiltak 2009 Tore L Orderløkken Leder Norsk senter for informasjonssikring Hvordan kan vi være til nytte? Internett har endret oss Trusselaktører / fienden Trusselaktører Mål Evne

Detaljer

Informasjonssikkerhet i Norge digitalt Teknologiforum 07.11.13

Informasjonssikkerhet i Norge digitalt Teknologiforum 07.11.13 Informasjonssikkerhet i Norge digitalt Teknologiforum 07.11.13 Trond Skyseth, sikkerhetsleder, Kartverket Plan for innspill Hensikt Prinsipper for informasjonssikkerhet i ND Hvorfor er sikkerhet viktig

Detaljer

Målet er å bevisstgjøre om viktige prinsipper og tiltak for ledere i «Virksomheten».

Målet er å bevisstgjøre om viktige prinsipper og tiltak for ledere i «Virksomheten». Sikkerhetsledelse Målet er å bevisstgjøre om viktige prinsipper og tiltak for ledere i «Virksomheten». Policy Informasjonssikkerhet på overordnet nivå er beskrevet i «Virksomhetens» informasjonssikkerhetspolicy.

Detaljer

KARTLEGGING OG VURDERING AV VERDIER: MENNESKELIGE, TEKNOLOGISKE OG ORGANISATORISKE

KARTLEGGING OG VURDERING AV VERDIER: MENNESKELIGE, TEKNOLOGISKE OG ORGANISATORISKE KARTLEGGING OG VURDERING AV VERDIER: MENNESKELIGE, TEKNOLOGISKE OG ORGANISATORISKE - TRUSSEL- OG SÅRBARHETSVURDERING. OBJEKTSIKKERHET- HVA BETYR DET I PRAKSIS? NBEF Frokostmøte Kristiansand Mandag 13.april

Detaljer

NASJONAL SIKKERHETSMYNDIGHET

NASJONAL SIKKERHETSMYNDIGHET OPPGAVER, ANSVAR, OG SIKKERHETSTILSTANDEN Nasjonal sikkerhetsmåned 2014 2 oktober 2014 Kommunikasjonsrådgiver Fredrik Johnsen 1 INNHOLD NSMs ansvars- og arbeidsoppgaver NSMs organisasjon Nyheter Sikkerhetstilstanden

Detaljer

Sikkerhetsmessig verdivurdering

Sikkerhetsmessig verdivurdering For DECRIS 12 juni 2008 Sikkerhetsmessig verdivurdering Stein Henriksen Stab Navn Navnesen stein.henriksen@nsm.stat.no Avdeling www.nsm.stat.no navn.navnesen@nsm.stat.no www.nsm.stat.no 1 Nasjonal sikkerhetsmyndighet

Detaljer

SPISSKOMPETANSE GIR BEDRE INTERNREVISJON

SPISSKOMPETANSE GIR BEDRE INTERNREVISJON 30.05.2016 SPISSKOMPETANSE GIR BEDRE INTERNREVISJON Vi er opptatt av å kombinere internrevisjonskompetanse med spisskompetanse på relevante problemstillinger. Unike problemstillinger krever unike team.

Detaljer

Anbefalinger om åpenhet rundt IKT-hendelser

Anbefalinger om åpenhet rundt IKT-hendelser Vår saksbehandler Vår dato Vår referanse 2015-05-18 A03 - S:14/04372-24 Antall vedlegg Side 1 1 av 5 Anbefalinger om åpenhet rundt IKT-hendelser Innledning Norske virksomheter opplever stadig flere dataangrep.

Detaljer

Nasjonalt risikobilde nye utfordringer

Nasjonalt risikobilde nye utfordringer Nasjonalt risikobilde nye utfordringer Avdelingsleder Erik Thomassen ESRA-seminar Endret risikobilde - sårbarhet i transportsektoren Onsdag 8. februar 2012 kl 11:30-15:30 1 Forebygge Redusere sårbarhet

Detaljer

Overordnet IT beredskapsplan

Overordnet IT beredskapsplan Overordnet IT beredskapsplan Side 1 av 7 Overordnet IT beredskapsplan NB! Innholdet i denne malen må tilpasses til egen virksomhet. Det kan medføre utfylling av ytterligere informasjon og/eller sletting

Detaljer

1-2. Virkeområde Forskriften gjelder for jernbanevirksomheter på det nasjonale jernbanenettet og for jernbanevirksomheter som driver tunnelbane.

1-2. Virkeområde Forskriften gjelder for jernbanevirksomheter på det nasjonale jernbanenettet og for jernbanevirksomheter som driver tunnelbane. Forskrift om sikring på jernbane Kapittel 1. Innledende bestemmelser 1-1. Formål Formålet med denne forskriften er at jernbanevirksomheten skal arbeide systematisk og proaktivt for å unngå tilsiktede uønskede

Detaljer

Ifølge Stortingsmelding nr. 17 (2006-2007) «Et informasjonssamfunn for alle» bygger begrepet IKT-sikkerhet på tre basisegenskaper:

Ifølge Stortingsmelding nr. 17 (2006-2007) «Et informasjonssamfunn for alle» bygger begrepet IKT-sikkerhet på tre basisegenskaper: Geir Martin Pilskog og Mona I.A. Engedal 8. Økende bruk av informasjons- og kommunikasjonsteknologi (IKT) medfører flere utfordringer når det gjelder sikkerhet ved bruken av IKT-system, nettverk og tilknyttede

Detaljer

Sikkerhetslov og kommuner

Sikkerhetslov og kommuner Sikkerhetslov og kommuner Krav, problem og mulige løsninger Odd Morten Taagvold 12. Juni 2013 Innhold 1. Trusselbilde sett fra nasjonale myndigheter 2. Hva er «Lov om forebyggende sikkerhet» (sikkerhetsloven)?

Detaljer

NorCERT IKT-risikobildet

NorCERT IKT-risikobildet 5/2/13 NorCERT IKT-risikobildet Aktuelle dataangrep som rammer norske virksomheter Torgeir Vidnes NorCERT, Nasjonal sikkerhetsmyndighet (NSM) Torgeir.Vidnes@nsm.stat.no 1 Faksimile: www.aftenposten.no

Detaljer

NASJONAL SIKKERHETSMYNDIGHET

NASJONAL SIKKERHETSMYNDIGHET 1 NASJONAL SIKKERHETSMYNDIGHET 2 Sammendrag 3 Sammendrag_ Nasjonal sikkerhetsmyndighet Risiko 2015 gir en vurdering av sårbarheter i sam funnet, verdier som er verdt å beskytte og risiko for spionasje,

Detaljer

Kommunens Internkontroll

Kommunens Internkontroll Kommunens Internkontroll Verktøy for rådmenn Et redskap for å kontrollere kommunens etterlevelse av personopplysningsloven 2012 Innhold Til deg som er rådmann... 4 Hvordan dokumentet er bygd opp... 4 Oppfølging

Detaljer

Datasikkerhet Informasjonssikkerhet Passordregler E-post, internett og sosiale medier hvordan sikre oss?

Datasikkerhet Informasjonssikkerhet Passordregler E-post, internett og sosiale medier hvordan sikre oss? Datasikkerhet Informasjonssikkerhet Passordregler E-post, internett og sosiale medier hvordan sikre oss? Christian Meyer Norsk senter for informasjonssikring Bevisstgjør om trusler Opplyser om tiltak Påvirker

Detaljer

TRUSLER, TRENDER OG FAKTISKE HENDELSER

TRUSLER, TRENDER OG FAKTISKE HENDELSER TRUSLER, TRENDER OG FAKTISKE HENDELSER Sikkerhet & Sårbarhet 05.05.2015, Marie Moe (NSM/SINTEF) SLIDE 1 AGENDA Trusler og trender: Hva ser vi? Faktiske hendelser: Hva skjer? Hendelseshåndtering: Hva kan

Detaljer

NSM NorCERT og IKT risikobildet

NSM NorCERT og IKT risikobildet NSM NorCERT og IKT risikobildet NorCERT, Nasjonal sikkerhetsmyndighet (NSM) Nasjonal sikkerhetsmyndighet Sikre samfunnsverdier 1 Agenda! Om NSM og NorCERT! Om samarbeidet mellom EOS-tjenestene! Om IKT-truslene!

Detaljer

NASJONAL SIKKERHETSMYNDIGHET

NASJONAL SIKKERHETSMYNDIGHET 1 NASJONAL SIKKERHETSMYNDIGHET 2 Sammendrag Nasjonal sikkerhetsmyndighet Risiko 2015 gir en vurdering av sårbarheter i sam funnet, verdier som er verdt å beskytte og risiko for spionasje, sabotasje, terror

Detaljer

Anbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet

Anbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet Anbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet Bakgrunn Utredningen av standarder for informasjonssikkerhet har kommet i gang med utgangspunkt i forprosjektet

Detaljer

Kan du holde på en hemmelighet?

Kan du holde på en hemmelighet? Kan du holde på en hemmelighet? Nasjonal sikkerhetsmyndighet Sikre samfunnsverdier Hvis vi ser på Norge som en eiendom passer NSM på gjerdene, E-tjenesten følger med på dem som er utenfor gjerdet, og PST

Detaljer

MØRKETALLSUNDERSØKELSEN 2010

MØRKETALLSUNDERSØKELSEN 2010 MØRKETALLSUNDERSØKELSEN 2010 Mørketallsundersøkelsen 2010 7. undersøkelsen Perduco AS i mai 2010. Tidsrommet for kartleggingen er 2009. Utvalg: Det er trukket ut 6000 virksomheter til undersøkelsen. Av

Detaljer

Avhengighet til ekom-tjenester > ROS-analyser. Egil Arvid Andersen, Fagansvarlig Samfunnssikkerhet Telenor Norge

Avhengighet til ekom-tjenester > ROS-analyser. Egil Arvid Andersen, Fagansvarlig Samfunnssikkerhet Telenor Norge Avhengighet til ekom-tjenester > ROS-analyser Egil Arvid Andersen, Fagansvarlig Samfunnssikkerhet Telenor Norge Krise i telenettet er du forberedt? Er du kritisk avhengig av telekommunikasjon? Har du fordelt

Detaljer

Leverandøren en god venn i sikkerhetsnøden?

Leverandøren en god venn i sikkerhetsnøden? Leverandøren en god venn i sikkerhetsnøden? Tone Hoddø Bakås, M. Sc., CISA, CRISC Seniorrådgiver Norsk senter for informasjonssikring Agenda Litt om NorSIS Noen utfordringer Trusler vi ser Tenk på Fallgruver

Detaljer

Dagens trusselbilde for IT-sikkerhetsbrudd og hvordan hanskes med det?

Dagens trusselbilde for IT-sikkerhetsbrudd og hvordan hanskes med det? Dagens trusselbilde for IT-sikkerhetsbrudd og hvordan hanskes med det? Hvordan finne riktig IT-sikkerhetsnivå for din virksomhet? Arild S. Birkelund Bjørn A. Tveøy Hva skal vi snakke om? IT-sikkerhet et

Detaljer

Hvordan finne og realisere riktig IT-sikkerhetsnivå i din virksomhet? Arild S. Birkelund

Hvordan finne og realisere riktig IT-sikkerhetsnivå i din virksomhet? Arild S. Birkelund Hvordan finne og realisere riktig IT-sikkerhetsnivå i din virksomhet? Arild S. Birkelund Hva skal vi snakke om? IT-sikkerhet et ledelsesansvar Trusler KRAV/BIA Kontinuitet og ROS Håndtering av IT-kriser

Detaljer

Samfunnssikkerhet endrede krav til bransjen?

Samfunnssikkerhet endrede krav til bransjen? Samfunnssikkerhet endrede krav til bransjen? Hvilke praktiske konsekvenser vil eventuelle endrede myndighetskrav som følge av Sårbarhetsutvalgets rapport og St.meld. nr. 22 kunne ha for nettselskapene?

Detaljer

Internkontroll i mindre virksomheter - introduksjon

Internkontroll i mindre virksomheter - introduksjon Internkontroll i mindre virksomheter - introduksjon Veileder 07/02a (del 1 av 2) Publisert 15.02.2007 Datatilsynet Gateadresse: Tollbugata 3, Oslo Postadresse: postboks 8177, dep 0034 Oslo E-post: postkasse@datatilsynet.no

Detaljer

Nasjonal sikkerhetsmyndighet

Nasjonal sikkerhetsmyndighet Nasjonal sikkerhetsmyndighet Veiledning Sist oppdatert: 2002-08-23 Veiledning til 5-25: Utarbeidelse av driftsinstruks Nasjonal sikkerhetsmyndighet Nasjonal sikkerhetsmyndighet er tverrsektoriell fag-

Detaljer

Hvordan styre informasjonssikkerhet i et dynamisk trusselbilde? Tommy Molnes Security Manager Digital Sikkerhet AS

Hvordan styre informasjonssikkerhet i et dynamisk trusselbilde? Tommy Molnes Security Manager Digital Sikkerhet AS Hvordan styre informasjonssikkerhet i et dynamisk trusselbilde? Tommy Molnes Security Manager Digital Sikkerhet AS Agenda Hva skal vi beskytte? Hvilke krav stilles? Forskrift om beredskap i kraftforsyningen

Detaljer

ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen

ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen Informasjonssikkerhet Visjon «Organisasjonen anerkjennes som ledende aktør innen informasjonssikkerhet» Oppdrag «Å designe, implementere,

Detaljer

Seminar om betalingssystemer og IKT i finanssektoren, 03.05.2012

Seminar om betalingssystemer og IKT i finanssektoren, 03.05.2012 Seminar om betalingssystemer og IKT i finanssektoren, 03.05.2012 Risiko- og sårbarhetsanalyse (ROS) Finansforetakenes bruk av IKT og betalingstjenester Seksjonssjef Frank Robert Berg Finanstilsynet Risikobildet

Detaljer

OMRÅDER. ROS analyser sammenhenger

OMRÅDER. ROS analyser sammenhenger OMRÅDER Lov om kommunal beredskapsplikt 25.6.2010 Forskrift til loven datert 22.08.2011 Veileder til forskrift om kommunal beredskapsplikt februar 2012 NOU 2006:6 Plan og bygningsloven 01.07.2010 ROS analyser

Detaljer

Informasjonssikkerhet og digitalisering

Informasjonssikkerhet og digitalisering Informasjonssikkerhet og digitalisering - i nordiske kommuner Peggy S. Heie MBE, CRISC, CISA Norsk senter for informasjonssikring Norsk senter for informasjonssikring En del av den helhetlige nasjonale

Detaljer

ROS-analyse. Rapportering til: Nina. Ved endringer i arbeidsoppgaver for personell blir ikke adgang til adgangskontrollsystemet revidert

ROS-analyse. Rapportering til: Nina. Ved endringer i arbeidsoppgaver for personell blir ikke adgang til adgangskontrollsystemet revidert Side: av 5 ROS-analyse Rapportering til: Nina Risikovurdering av bedriftens adgangskontrollsystem Hovedformål: Adgangskontroll Informasjonstype: Personopplysninger Enhet: Nina Gjennomført i perioden: Fra:

Detaljer

Nasjonal sikkerhetsmyndighet

Nasjonal sikkerhetsmyndighet Nasjonal sikkerhetsmyndighet Veiledning Sist oppdatert: 2006-11-24 Veiledning i Sikkerhetsadministrasjon Grunnlagsdokument for sikkerhet Grunnlagsdokumentet er virksomhetens styringsdokument for den forebyggende

Detaljer

Næringslivets Sikkerhetsråd 2013-2017 Mot kriminalitet - for næringsliv og samfunn

Næringslivets Sikkerhetsråd 2013-2017 Mot kriminalitet - for næringsliv og samfunn VEIEN MOT 2017 Innledning Kursen for de neste årene er satt. Strategien er et verktøy for å kommunisere retning og prioriteringer internt og eksternt. Strategien er et viktig styringsdokument, og skal

Detaljer

Sikkerhet på akkord med personvernet? NOU 2015: 13

Sikkerhet på akkord med personvernet? NOU 2015: 13 Sikkerhet på akkord med personvernet? NOU 2015: 13 Beskytte enkeltmennesker og samfunn i en digitalisert verden ISACA 10.02.2015 Utvalgsmedlemmer Olav Lysne (leder) Janne Hagen Fredrik Manne Sofie Nystrøm

Detaljer

1. Forord. Lykke til videre med beredskapsarbeidet.

1. Forord. Lykke til videre med beredskapsarbeidet. 1. Forord Oppland fylkeskommune ser behovet for en «Veileder i krise- og beredskapsarbeid» til støtte for det arbeidet som skal gjennomføres i alle enheter. Veilederen er et arbeidsgrunnlag og verktøy

Detaljer

NASJONAL SIKKERHETSMYNDIGHET

NASJONAL SIKKERHETSMYNDIGHET SLIDE 1 FORVENTNINGER TIL SIKKERHET I DEN DIGITALE VERDEN Oslo, 27. mai 2015 Jørgen Dyrhaug Nasjonal sikkerhetsmyndighet 2 NSM NØKKELINFORMASJON 3 SIKRE SAMFUNNSVERDIER NSMS SAMFUNNSOPPDRAG Sikre samfunnsverdier

Detaljer

STOPP. TENK. KLIKK. Opplæring i informasjonssikkerhet. Nasjonal sikkerhetsmåned 2013 Universitetet i Stavanger uis.no 20.09.2013

STOPP. TENK. KLIKK. Opplæring i informasjonssikkerhet. Nasjonal sikkerhetsmåned 2013 Universitetet i Stavanger uis.no 20.09.2013 STOPP. TENK. KLIKK. Opplæring i informasjonssikkerhet Nasjonal sikkerhetsmåned 2013 Universitetet i Stavanger uis.no 20.09.2013 4 Nasjonal sikkerhetsmåned 6 tema Generell informasjonssikkerhet Beskytte

Detaljer

Hva sammenlikner vi med? Historien Mulighetene Forventningene

Hva sammenlikner vi med? Historien Mulighetene Forventningene Rikets tilstand Hva Tilstanden er rikets til tilstand? hva? Hva sammenlikner vi med? Historien Mulighetene Forventningene Hva jeg vil si noe om ( på 22 minutter?) Tiden vi lever i Hvor digitalisert er

Detaljer

NSMs Risikovurdering 2006

NSMs Risikovurdering 2006 NSMs Risikovurdering 2006 NSMs risikovurderinger er viktig for å gi overordnede myndigheter et bilde av utfordringer NSM, og virksomheter underlagt sikkerhetsloven, står overfor med tanke på den defensive

Detaljer

Verdivurdering også for næringslivet! NSR Sikkerhetskonferansen 2009 Dagfinn Buset Seksjon for analyse og tilsyn Nasjonal sikkerhetsmyndighet

Verdivurdering også for næringslivet! NSR Sikkerhetskonferansen 2009 Dagfinn Buset Seksjon for analyse og tilsyn Nasjonal sikkerhetsmyndighet Verdivurdering også for næringslivet! NSR Sikkerhetskonferansen 2009 Dagfinn Buset Seksjon for analyse og tilsyn Nasjonal sikkerhetsmyndighet Nasjonal sikkerhetsmyndighet Sikre samfunnsverdier 1 Jeg skal

Detaljer

Definisjon av Samfunnssikkerhet i St.meld. nr. 17 (2001-2002)

Definisjon av Samfunnssikkerhet i St.meld. nr. 17 (2001-2002) Samfunnssikkerhet Definisjon av Samfunnssikkerhet i St.meld. nr. 17 (2001-2002) Evnen samfunnet har til å opprettholde viktige samfunnsfunksjoner og ivareta borgernes liv, helse og grunnleggende behov

Detaljer

Trusselbildet og krav til sikkerhet mot tilsiktede handlinger

Trusselbildet og krav til sikkerhet mot tilsiktede handlinger UGRADERT Trusselbildet og krav til sikkerhet mot tilsiktede handlinger Foredrag for Brannforum 2009 Stavanger, 3 februar 2009 Anders Bjønnes Underdirektør NSM, Stab Strategi og Policy Nasjonal sikkerhetsmyndighet

Detaljer

Agenda. Hva er cybersikkerhet? Hackeren, trusselbilde og sårbarheter Eksempler på angrep: masseproduserte og målrettede.

Agenda. Hva er cybersikkerhet? Hackeren, trusselbilde og sårbarheter Eksempler på angrep: masseproduserte og målrettede. Agenda Hva er cybersikkerhet? Hackeren, trusselbilde og sårbarheter Eksempler på angrep: masseproduserte og målrettede 3 Hva er Cybersikkerhet? Cybersikkerhet er beskyttelse av fysiske enheter eller informasjonsaktiva

Detaljer

Arkivarens rolle i en sikkerhetsorganisasjon. Torill Tørlen Barne-, likestillings- og inkluderingsdepartementet

Arkivarens rolle i en sikkerhetsorganisasjon. Torill Tørlen Barne-, likestillings- og inkluderingsdepartementet Arkivarens rolle i en sikkerhetsorganisasjon Torill Tørlen Barne-, likestillings- og inkluderingsdepartementet Bakgrunn for innlegget 22. juli-kommisjonen peker på at holdninger og kultur mht. sikkerhets-

Detaljer

Tiltaksplan for oppfølging av revisjonsrapport om systemforvaltning i Pasientreiser ANS 29.08.2011

Tiltaksplan for oppfølging av revisjonsrapport om systemforvaltning i Pasientreiser ANS 29.08.2011 Tiltaksplan for oppfølging av revisjonsrapport om systemforvaltning i Pasientreiser ANS 29.08.2011 6.2.11 Gjennomgå avtaleverket for å få på plass databehandleravtaler med driftsleverandørene 6.2.7 Pasientreiser

Detaljer

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11 KOMMUNE - RÅDMANNEN Arkivsak Arkivkode Saksbeh. : 200906584 : E: 210 : W. S. Eris m. fl. Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11 INFORMASJONSSIKKERHET I SANDNES

Detaljer

Sikkerhet innen kraftforsyningen

Sikkerhet innen kraftforsyningen Sikkerhet innen kraftforsyningen Dataforeningen, 12.11.2014 Arthur Gjengstø, NVE Strømmen fram til «stikkontakten» Færrest mulig avbrudd Raskest mulig gjenoppretting Verdien av strøm før og under strømbrudd

Detaljer

NSMs risikovurdering 2005, UGRADERT versjon

NSMs risikovurdering 2005, UGRADERT versjon 1 NSMs risikovurdering 2005, UGRADERT versjon 1 Innledning NSM er pålagt av Forsvarsdepartementet og Justis- og politidepartementet å rapportere om risikobildet og sikkerhetstilstanden. Rapportering skjer

Detaljer

Hver dag jobber vi for å holde HiOA

Hver dag jobber vi for å holde HiOA Hver dag jobber vi for å holde HiOA Sikkerhet er å beskytte verdier vit hva du skal gjøre når noe skjer Page 1 of 16 Mennesker omfatter alle som er tilknyttet HiOA eller oppholder seg på HiOAs område Informasjon

Detaljer

Lokalt beredskapsarbeid fra et nasjonalt perspektiv

Lokalt beredskapsarbeid fra et nasjonalt perspektiv Lokalt beredskapsarbeid fra et nasjonalt perspektiv Kommunens samordningsrolle og kommunal beredskapsplikt Gunnbjørg Kindem 23. oktober 2014 Lokalt beredskapsarbeid - og kommunal beredskapsplikt Skape

Detaljer

RISIKOANALYSE (Grovanalyse)

RISIKOANALYSE (Grovanalyse) RISIKOANALYSE (Grovanalyse) Mars Side 1 av 7 Risikoanalyse(Grovanalyse) Ifølge Norsk Standard (NS 5814) er begrepet risiko definert som: «Uttrykk for den fare som uønskede hendelser representerer for mennesker,

Detaljer

Hvordan beskytte kritisk infrastruktur Yngve Slagnes yngve.slagnes@forsvarsbygg.no 48103052

Hvordan beskytte kritisk infrastruktur Yngve Slagnes yngve.slagnes@forsvarsbygg.no 48103052 FOR ET TRYGGERE NORGE Nasjonalt kompetansesenter for sikring av bygg EN DEL AV FORSVARSBYGG FUTURA Hvordan beskytte kritisk infrastruktur Yngve Slagnes yngve.slagnes@forsvarsbygg.no 48103052 Agenda Hva

Detaljer

Rapportering av sikkerhetstruende hendelser til NSM

Rapportering av sikkerhetstruende hendelser til NSM (NSM) Rundskriv 1/11 Rapportering av sikkerhetstruende hendelser til NSM 1 Bakgrunn og hensikt Dette rundskrivet omhandler sikkerhetstruende hendelser som virksomheter underlagt sikkerhetsloven plikter

Detaljer

Risikoforståelse. Cyberspace en arena for krig og krim. Geir A Samuelsen Direktør - Nasjonal sikkerhetsmyndighet, NSM

Risikoforståelse. Cyberspace en arena for krig og krim. Geir A Samuelsen Direktør - Nasjonal sikkerhetsmyndighet, NSM krig og krim Cyberspace en arena for krig og krim Risikoforståelse Utfordringer knyttet til å etablere god risikoforståelse Dagfinn Buset www.nsm.stat.no Geir A Samuelsen Direktør - Nasjonal sikkerhetsmyndighet,

Detaljer

Overordnet ROS analyse. Risiko og sårbarhetsanalyse for IKT

Overordnet ROS analyse. Risiko og sårbarhetsanalyse for IKT Berlevåg kommune Overordnet ROS analyse Risiko og sårbarhetsanalyse for Beredskapsavdelingen Innhold INNLEDNING... 3 KATEGORISERING AV SANNSYNLIGHET OG KONSEKVENS... 3 STYRENDE DOKUMENTER... 3 VURDERING

Detaljer

Risikoanalysemetodikk

Risikoanalysemetodikk Risikoanalysemetodikk Mars 2012 Eva Henriksen, eva.henriksen@telemed.no Eva Skipenes, eva.skipenes@telemed.no Sikkerhetsrådgivere NST www.telemed.no/sikkerhet Metodikk for Risikoanalyse Risikovurdering

Detaljer

STRATEGI FOR INFORMASJONSSIKKERHET FOR POLITIET 2014-2018

STRATEGI FOR INFORMASJONSSIKKERHET FOR POLITIET 2014-2018 STRATEGI FOR INFORMASJONSSIKKERHET FOR POLITIET 2014-2018 STRATEGI FOR INFORMASJONSSIKKERHET / 3 FORORD Politiet står overfor store utfordringer i tiden som kommer, med et kriminalitetsbilde som er komplisert,

Detaljer

KARTLEGGING AV IKT-SIKKERHET I NORSKE VIRKSOMHETER

KARTLEGGING AV IKT-SIKKERHET I NORSKE VIRKSOMHETER KARTLEGGING AV IKT-SIKKERHET I NORSKE VIRKSOMHETER i SAMMENDRAG Det er gjort få undersøkelser i Norge som viser hva slags sikringstiltak som er gjennomført i norske virksomheter. Internasjonale undersøkelser

Detaljer

Sikkerhetsinstruks bruker

Sikkerhetsinstruks bruker Sikkerhetsinstruks bruker Side 1 av 5 Sikkerhetsinstruks bruker NB! Innholdet i denne malen må tilpasses til egen virksomhet. Det kan medføre utfylling av ytterligere informasjon og/eller sletting av ikke

Detaljer

Risikovurdering. Utgitt med støtte av: Støttedokument Faktaark nr 7 Versjon: 3.0 Dato: 12.2.2015

Risikovurdering. Utgitt med støtte av: Støttedokument Faktaark nr 7 Versjon: 3.0 Dato: 12.2.2015 Utgitt med støtte av: Norm for informasjonssikkerhet www.normen.no Risikovurdering Støttedokument Faktaark nr 7 Versjon: 3.0 Dato: 12.2.2015 Formål Ansvar Gjennomføring Omfang Målgruppe Dette faktaarket

Detaljer

S T Y R E S A K # 22/13 STYREMØTET DEN 23.04.13. Vedrørende: IKT-STRATEGI FOR PERIODEN 2013-2016

S T Y R E S A K # 22/13 STYREMØTET DEN 23.04.13. Vedrørende: IKT-STRATEGI FOR PERIODEN 2013-2016 S T Y R E S A K # 22/13 STYREMØTET DEN 23.04.13 Vedrørende: IKT-STRATEGI FOR PERIODEN 2013-2016 Forslag til vedtak: Styret tar IKT-strategi for perioden 2013 2016 til orientering. Vedlegg: Saksfremlegg

Detaljer

Rapport om sikkerhetstilstanden 2009

Rapport om sikkerhetstilstanden 2009 Nasjonal sikkerhetsmyndighet Rapport om sikkerhetstilstanden 2009 Ugradert versjon I denne rapporten redegjør Nasjonal sikkerhetsmyndighet (NSM) for etterlevelsen av sikkerhetsloven med forskrifter samt

Detaljer

Avvikshåndtering og egenkontroll

Avvikshåndtering og egenkontroll Avvikshåndtering og egenkontroll Side 1 av 5 Avvikshåndtering og egenkontroll NB! Innholdet i denne malen må tilpasses til egen virksomhet. Det kan medføre utfylling av ytterligere informasjon og/eller

Detaljer

Avmystifisere internkontroll/styringssystem - informasjonssikkerhet

Avmystifisere internkontroll/styringssystem - informasjonssikkerhet Avmystifisere internkontroll/styringssystem - informasjonssikkerhet Difis veiledningsmateriell Jan Sørgård, seniorrådgiver Difi Difi Visjon: Vi utvikler offentlig sektor Digitalisering Anskaffelser Organisering

Detaljer

BETALINGSFORMIDLINGSKONFERANSE 2014 TRUSLER OG SIKKERHETSUTFORDRINGER FOR FINANSNÆRINGEN

BETALINGSFORMIDLINGSKONFERANSE 2014 TRUSLER OG SIKKERHETSUTFORDRINGER FOR FINANSNÆRINGEN BETALINGSFORMIDLINGSKONFERANSE 2014 TRUSLER OG SIKKERHETSUTFORDRINGER FOR FINANSNÆRINGEN INNLEDNING Finans Norge utvikler årlig rapport om trusler og sikkerhetsutfordringer som finansnæringen står overfor.

Detaljer

Kompetansemål fra Kunnskapsløftet

Kompetansemål fra Kunnskapsløftet Datasikkerhet 2ISFA Kompetansemål fra Kunnskapsløftet yte service gjennom brukerstøtte og kommunikasjon med brukere yte service gjennom driftsstøtte og kommunikasjon med leverandører og fagpersonell på

Detaljer

Sårbarhet i kraftforsyningen og forbedringsmuligheter

Sårbarhet i kraftforsyningen og forbedringsmuligheter SINTEF seminar 19. april 2012: Uten strøm også etter neste storm? Sårbarhet i kraftforsyningen og forbedringsmuligheter Gerd Kjølle, Seniorforsker, SINTEF Energi gerd.kjolle@sintef.no 1 Oversikt temaer

Detaljer

BYOD SUHS-13. Per Arne Enstad, CISA/CISM/CRISC. Bring Your Own Disaster?

BYOD SUHS-13. Per Arne Enstad, CISA/CISM/CRISC. Bring Your Own Disaster? BYOD Bring Your Own Disaster? SUHS-13 Per Arne Enstad, CISA/CISM/CRISC BYOD eller ikke BYOD? BYOD har en del positive trekk som ikke kan overses: Gartner Group antyder en kostnadsbesparelse på 9-40% hvis

Detaljer

Databehandleravtaler

Databehandleravtaler Databehandleravtaler etter personopplysningsloven og helseregisterloven Veileder 26.05.2009 Innholdsfortegnelse DEL I 5 Veileder - databehandleravtaler...6 Datatilsynet...6 Forutsetninger og avklaringer...7

Detaljer

Kan du legge personopplysninger i skyen?

Kan du legge personopplysninger i skyen? Kan du legge personopplysninger i skyen? 05.05.2015 Datatilsynet Uavhengig forvaltningsorgan Tilsyn og ombud Forvalter personopplysningsloven og forskrifter 40 medarbeidere Faggruppe 1 (justis, bank/finans/forsikring,

Detaljer

Samling for Norges beste beredskapsteam - KBO i Molde 27. 28. mai 2009 -

Samling for Norges beste beredskapsteam - KBO i Molde 27. 28. mai 2009 - Samling for Norges beste beredskapsteam - KBO i Molde 27. 28. mai 2009 - Arthur Gjengstø seksjonssjef, beredskapsseksjonen epost: argj@nve.no; mobil: 48 12 74 98 Velkommen Til Norges beste fylke Til informasjon,

Detaljer

OVERSIKT SIKKERHETSARBEIDET I UDI

OVERSIKT SIKKERHETSARBEIDET I UDI OVERSIKT SIKKERHETSARBEIDET I UDI Toppdokument Felles toppdokument Sikkerhetsloven Grunnlagsdokument for sikkerhet Håndtering av brukerhenvendelser Personopplysningsloven Styringsdokument Policydokument

Detaljer

RISIKOANALYSE (Grovanalyse-Hazid )

RISIKOANALYSE (Grovanalyse-Hazid ) RISIKOANALYSE (Grovanalyse-Hazid ) Mars Side 1 av 7 Risikoanalyse(Grovanalyse) Ifølge Norsk Standard (NS 5814) er begrepet risiko definert som: «Uttrykk for den fare som uønskede hendelser representerer

Detaljer

Mørketallsundersøkelsen 2006

Mørketallsundersøkelsen 2006 Mørketallsundersøkelsen 2006 Øyvind Davidsen Leder av Datakrimutvalget Sikkerhetskonferansen 2006 27-28 September 1 Mørketallsundersøkelsen Dette er den 5. mørketallsrapporten som utarbeides av Datakrimutvalget

Detaljer

Internkontroll og informasjonssikkerhet lover og standarder

Internkontroll og informasjonssikkerhet lover og standarder Internkontroll og informasjonssikkerhet lover og standarder Renate Thoreid, senioringeniør Side 1 Internkontroll og Informasjonssikkerhet Krav i Personopplysningsloven 13 og 14 Krav i Personopplysningsforskriften

Detaljer

IKT-reglement for Norges musikkhøgskole

IKT-reglement for Norges musikkhøgskole IKT-reglement for Norges musikkhøgskole Norges musikkhøgskole (NMH) er forpliktet til å kontrollere risiko og håndtere informasjon og tekniske ressurser på en sikker måte. Når du får tilgang til disse

Detaljer

Hvordan velge en leverandør for cloud backup

Hvordan velge en leverandør for cloud backup Hvordan velge en leverandør for cloud backup WHITEPAPER Hvorfor bør du beskytte dine data? Før eller senere via skade, uhell eller feil er det statistisk sannsynlig at du vil miste verdifull data. Flere

Detaljer

Reglement for bruk av Hedmark fylkeskommunes IT-løsninger (IT-reglement)

Reglement for bruk av Hedmark fylkeskommunes IT-løsninger (IT-reglement) Reglement for bruk av Hedmark fylkeskommunes IT-løsninger (IT-reglement) Fastsatt av Fylkesdirektøren 18.12.13, gjelder fra 1.1.14. Erstatter «IT-instruks for HFK» fra 2008. Protokoll str 14 1. Virkeområde

Detaljer

Kvalitetssikring av arkivene

Kvalitetssikring av arkivene Kvalitetssikring av arkivene Kort om ROS-analysen og erfaringene fra UiT Norges arktiske universitet arkivleder Anita Dahlberg Kort om UiT Norges arktiske universitet Opprettet 1968 (vedtak) Sammenslått

Detaljer

Er Norge forberedt på stort personellfravær ved en pandemi?

Er Norge forberedt på stort personellfravær ved en pandemi? Er Norge forberedt på stort personellfravær ved en pandemi? Underdirektør Carl Gamlem Direktoratet for samfunnssikkerhet og beredskap Et trygt og robust samfunn der alle tar ansvar Hva er en pandemi? En

Detaljer

Nasjonal sikkerhetsmyndighet

Nasjonal sikkerhetsmyndighet 1 Sikkerhetstilstanden 2014 Nasjonal sikkerhetsmyndighet Sikkerhetstilstanden 2014 2 Rapport om sikkerhetstilstanden 2014 Innledning 3 Nasjonal sikkerhetsmyndighet Nasjonal sikkerhetsmyndighet er Norges

Detaljer

Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket.

Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket. CLOUD COMPUTING En veiledning i bruk av skytjenester, 2014 Skytjenester Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket.

Detaljer

Nasjonal sikkerhetsmyndighet

Nasjonal sikkerhetsmyndighet Nasjonal sikkerhetsmyndighet Veiledning Sist oppdatert: 2002-08-23 Veiledning til 5-10: Gjennomføring av konfigurasjonskontroll Nasjonal sikkerhetsmyndighet Nasjonal sikkerhetsmyndighet er tverrsektoriell

Detaljer

Personvern i Dødsårsaksregisteret Lysebu, 7. november 2011

Personvern i Dødsårsaksregisteret Lysebu, 7. november 2011 Personvern i Dødsårsaksregisteret Lysebu, 7. november 2011 Hva betyr egentlig personvern? Enkeltindividets rett til å bestemme over seg selv og sin egen kropp og retten til kontrollere hvem som skal få

Detaljer

DET DIGITALE TRUSSEL- OG RISIKOBILDET

DET DIGITALE TRUSSEL- OG RISIKOBILDET DET DIGITALE TRUSSEL- OG RISIKOBILDET SIKKERHETSKONFERANSEN DIGIN Kristiansand, 22. september 2015 Roar Thon Fagdirektør sikkerhetskultur Nasjonal sikkerhetsmyndighet 1 Illustrasjon: colourbox.com Trussel-

Detaljer

en arena for krig og krim en arena for krig og krim?

en arena for krig og krim en arena for krig og krim? krig og krim Cyberspace Cyberspace en arena for krig og krim en arena for krig og krim? Geir A Samuelsen Direktør - Nasjonal sikkerhetsmyndighet, NSM Geir A Samuelsen Direktør - Nasjonal sikkerhetsmyndighet,

Detaljer

Risikovurdering av AMS

Risikovurdering av AMS Risikovurdering av AMS Frank Skapalen Seksjon for beredskap, energiavdelingen NVEs BfK-seminar 11. januar 2012 Rekkefølge Formål med AMS, funksjoner Hva vi har jobbet med i risikovurderingen Scenarioer

Detaljer

Digitaliseringsstrategi for Buskerud fylkeskommune 2015-2017 Buskerud fylkeskommune Vedtatt av administrasjonsutvalget 14.

Digitaliseringsstrategi for Buskerud fylkeskommune 2015-2017 Buskerud fylkeskommune Vedtatt av administrasjonsutvalget 14. Digitaliseringsstrategi for Buskerud fylkeskommune 2015-2017 Buskerud fylkeskommune Vedtatt av administrasjonsutvalget 14.april 2015 Innhold 1. INNLEDNING... 3 2. GJENNOMFØRING... 4 3. SATSINGSOMRÅDER...

Detaljer

Styresak 69-2015 Orienteringssak - Informasjonssikkerhet

Styresak 69-2015 Orienteringssak - Informasjonssikkerhet Direktøren Styresak 69- Orienteringssak - Informasjonssikkerhet Saksbehandler: Alisa Larsen Saksnr.: /1426 Dato: 05.06. Dokumenter i saken: Trykt vedlegg: Ikke trykt vedlegg: Fremdriftsplan Bakgrunn I

Detaljer

Helhetlig ROS-analyse. Dønna kommune. Vedtatt av kommunestyret 19.06.2012, sak 67/12 W DøNNA KOMMUNE. Sentraladministrasjonen k_snr-= IS! Ho?

Helhetlig ROS-analyse. Dønna kommune. Vedtatt av kommunestyret 19.06.2012, sak 67/12 W DøNNA KOMMUNE. Sentraladministrasjonen k_snr-= IS! Ho? E E Dom: P5004980 (151765-3) n' ANALYSE El. VVVV ÅTT ~ HELHETLIGE ROS» Vedtatt av kommunestyret 19.06.2012, sak 67/12 W DøNNA KOMMUNE Sentraladministrasjonen k_snr-= IS! Ho? ~ '6 Mouélt Helhetlig ROS-analyse

Detaljer

Samfunnssikkerhet. Jon A. Lea direktør DSB

Samfunnssikkerhet. Jon A. Lea direktør DSB Samfunnssikkerhet 2015 Jon A. Lea direktør DSB DSBs visjon Et trygt og robust samfunn der alle tar ansvar Hendelser den siste tiden Ekstremværene «Jorun», «Kyrre», «Lena», «Mons» og «Nina» Oversvømmelser

Detaljer

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale Avtale om leveranse av IKT-tjenester Tjenesteavtale nr.: SUNHF-2011 Del II - Databehandleravtale Versjon: 0.1 Dato oppdatert : 22.03.11 Databehandleravtale mellom Sunnaas Sykehus HF Organisasjonsnr.:

Detaljer