UTS Operativ Sikkerhet - felles løft
|
|
- Ada Arntsen
- 7 år siden
- Visninger:
Transkript
1 UTS Operativ Sikkerhet - felles løft Olaf.Schjelderup@uninett.no 15 november 2016
2 Velkommen! 2
3 UNINETT Teknisk Samling høst 2016 Mandag Tirsdag Trådløst Mellomvare Operativ sikkerhet UH-Sky Leverandørenes time > UTS middag i toppetasjen + faggruppemøter sky på onsdag
4 Toveis dialog : Online og offline Viktig: Gi oss tilbakemelding på hva dere ønsker. Send epost med ideer og bestillinger mot slutten av dagen: 4
5 Agenda : Velkommen! Praktisk detaljer, osv. Felles løft i sikkerhetsarbeidet v/uninett Modningav incident response, igjenogigjen v/margrete Raaum/FIRST/KraftCERT Hvorfor trenger vi informasjonssikkerhet? Sånn egentlig... v/christoffer Hallstensen, NTNU : PAUSE 11:00-11:40: UNINETT CERT Nyheter, sikringsmetoder, og nye ambisjoner/tjenester 11:40-12:00: PAUSE 12:00-13:00: UNINETT CERT Nyheter, sikringsmetoder, og nye ambisjoner/tjenester (forts.) 13:00-14:00 - LUNSJ 14:00-14:40: Sikkerhetsverktøy hos UiO CERT v/espen Grøndahl, UiO 14:40-15:00 - PAUSE :30: Erfaringer fra sikkerhetsanalyse, hvordankomme i gang v/uninett 15:30-17:00 Workshop sikkerhetsanalyse. Oppsett og tuning. Veiledning rundt bordet, spørsmål og svar. Vi har anledning til å trekke programmet lenger ut i tid ved behov. 5
6 UNINETTs nye sikkerhetsgruppe CSO og leder av sikkerhetsgruppen Olaf Schjelderup UH-sektorens sekretariat for informasjonssikkerhet Rolf Sture Normann (Leder) Øivind Høiem Tommy Tranvik CERT og Operativ sikkerhet Rune Sydskjør (Leder) Per Arne Enstad Øyvind Eilertsen Tor Gjerde Arne Øslebø Morten Knutsen SLIDE 6
7 Informasjonssikkerhetsturne 2016 målgruppe UH-ledelsen... med oppfølging på video 7
8 Mediebildet... 8
9 9
10 10
11
12
13
14
15 Det store spørsmålet: Hvordan griper vi dette an? Når vi mislykkes skylder vi på ledelsen, de har jo ansvaret? Men et bedre svar er: Vi må hjelpe ledelsen i å fatte riktige beslutninger! 15
16 Ledelsens problem og dilemma Toppledelsen har det formelle ansvar for informasjonssikkerheten Ansvar kan ikke settes ut, men myndighet og utøvelse kan delegeres Det er ledelsen som oftest blir stilt til veggs etter uønskede hendelser Informasjonssikkerhet handler om tiltak på mange nivå; arkitektur, systemutforming, kompliserte tekniske detaljer, organisering, ressurser, kompetanse, brukeratferd, beredskap m.m. Utøvelsen av et slikt ansvar i en ledergruppe er nærmest umulig uten en klar metodikk Et ledelsessystem for informasjonssikkerhet er et rammeverk utformet for å hjelpe ledelsen SLIDE 16
17 Sikkerhet har vi alle jobbet med lenge En referansemodell (de tre R-ene): V E R D I O V E R S I K T Robusthet Risiko Respons A V V I K S L U K K I N G Fra god oversikt til lukking av alle avvik 17
18 Robusthet og hendelsesrespons fordrer: Arkitektur Teknisk kvalitet Kompetanse Organisering Verktøy, verktøy og verktøy! Automatisering, automatisering og automatisering! 18
19 Risikobasert styring Etablering av ledelsessystem for informasjonssikkerhet, 3 deler: 19
20 Ledelsessystem for informasjonssikkerhet Styrende del: Klassifisering av informasjon (sensitiv, intern, åpen) Sikkerhetsmål (krav til konfidensialitet, integritet og tilgjengelighet) Ansvarsforhold (Toppleder, CSO, avdelings/fakultetsle dere, tjenesteeiere, operativt ansvarlig osv) Gjennomførende del: Alt starter med oversikt over informasjonsverdier Oversikten gir grunnlag for planlagte risikovurderinger (ROS) Lukke avvik; ansvarlig og tidsfrist Opplærings- og informasjonstiltak ROS er sølv, lukking av avvik er gull! Kontrollerende del: Ledelsens gjennomgang Revisjoner Oppfølging av avvik 20
21 Hva vi bør ha oversikt over pr. tjeneste: Hva gjør tjenesten Hvem er målgruppen Hvem er tjenesteeier Hvem er tjenesteansvarlig Medfører tjenesten lagring eller overføring av sensitive data, eventuelt interne data? Er det utført en risikovurdering for tjenesten, i så fall når, og gjelder den fremdeles (ingen endringer)? Hvilke lovkrav eller andre reguleringer legger føringer for tjenesten? Hvilke kontrakter eller avtaler legger føringer for tjenesten? Finnes det databehandleravtaler for tjenesten? Hva er tålegrensen for tilgjengelighetsbrudd? Finnes det eksplisitte krav til datakvalitet? Hvilke sjekklister for å sikre robusthet er utfylt for tjenesten? Hvilket tilgangsregime er det til informasjonen som forvaltes av tjenesten? Finnes det logger fra utøvelsen av tjenesten? Overvåkes tjenestens tilstand aktivt? Hva er den fysiske, topologiske og organisatoriske lokaliseringen av benyttet utstyr? Hvilke nøkkelpersoner og kompetanse må være tilgjengelig for fortsatt drift av tjenesten? Hvilke andre tjenester avhenger denne tjenesten av? Hvilke andre tjenester avhenger av denne tjenesten? Kan misbruk av tjenesten skade andre tjenester? BIA-score - eventuelt en tentativ plassering på en skala. (BIA = Business Impact Analysis) 21
22 Verdier utover tjenestene: Kontrakter/avtaler/forvaltning? Vår organisering/virksomhet? Vår kunnskap og våre ferdigheter? Prosesser og rutiner? Vår beredskap? Kultur og holdninger?
23 Eksterne trusselaktører Sporadiske hackere Aktivister (hacktivisme) Vinningskriminelle (økonomisk, utpressing) Virksomheter (konkurrenter) Nasjonalstater SLIDE 23
24 Interne trusler og sårbarheter (eksempler) Manglende ledelsesforankring Uklare ansvarsforhold Ressurs- og kompetansemangel, enkeltpersonrisiko Manglende oversikt over informasjonsverdier Uhensiktsmessig arkitektur og systemimplementasjon Manglende robusthet Manglende kvalitetskontroll Manglende dokumentasjon Mangelfull brukeropplæring Manglende testing av backup og reetablering For svak oppfølging av kjente sårbarheter Manglende monitorering av systemer og datakvalitet Manglende kriseplaner og øvelser Mangelfulle driftsrutiner SLIDE 24
25 KDs IKT-strategi om informasjonssikkerhet... arbeid som pågår nå, og som peker på: KDs og institusjonenes ansvar Institusjonenes ledelsessystem for informasjonssikkerhet Viktigheten av et SektorCERT Viktigheten av lokale responsmiljø Lokale operative oppgaver Nasjonal enhet må bistå sektoren med: Ledelsessystem Hendelseshåndtering SOC (Security Operation Center) / Analyser Bindeledd mot andre nasjonale og internasjonale aktører 25
26 Hva vi ønsker oss mer av: Monitorering, analyse, handlekraft ved funn Forebyggende drift (praksisnorm; patch innen 48 timer) Feilsøkbare løsninger, nyttige logger Sikker kommunikasjonsplattform i sektoren Oppvakte og bevisste brukere Responsfunksjon på samtlige institusjoner Se dagens agenda! 26
27 Tilbakemelding ønskes: Hva ønsker dere av tjenester sentralt fra? Hvilken samhandling ønsker dere? 27
28 Takk! 28
Sekretariat for informasjonssikkerhet i UHsektoren. Rolf Sture Normann
Sekretariat for informasjonssikkerhet i UHsektoren Rolf Sture Normann UH-sektorens sekretariat for informasjonssikkerhet Opprettet på oppdrag av KD i 2012/2013 Bakgrunnen er Riksrevisjonens kritikk av
DetaljerBehovet for formalisering/etablering av institusjonsvise responsteam (IRT) i sektoren
Behovet for formalisering/etablering av institusjonsvise responsteam (IRT) i sektoren Introduksjonsforedrag Olaf.Schjelderup@uninett.no 2 mai 2017 Velkommen Alle 21 statlige UH-institusjoner er her J!
DetaljerUH-sektorens utfordringer
UH-sektorens utfordringer Sikkerhetsforum 4.5.2017 Øivind Høiem, CISA CRISC ISO27001 Lead implementer UH-sektorens sekretariat for informasjonssikkerhet Åpenhet Beskyttelse Er vi enhetlige? Kultur og
DetaljerSikkerhetsforum 2018
Sikkerhetsforum 2018 Kunnskapsdepartementets tjenesteorgan Sekretariat for informasjonssikkerhet I UH-sektoren Rolf Sture Normann Litt status fra 2017 GDPR Veileder om krav til informasjonssikkerhet I
DetaljerDIREKTORATET FOR IKT OG FELLESTJENESTER I HØYERE UTDANNING OG FORSKNING
DIREKTORATET FOR IKT OG FELLESTJENESTER I HØYERE UTDANNING OG FORSKNING Fagutvalg for informasjonssikkerhet Møte 5 2019-05-15 Agenda SAK 1 HANDLINGSPLAN FOR DIGITALISERING: VEIEN VIDERE Handlingsplan
DetaljerUNINETT-konferansen 2017
UNINETT-konferansen 2017 Erfaringer fra Sekretariatet for informasjonssikkerhet: landet rundt med ledelsessystem Rolf Sture Normann, leder Sekretariat for informasjonssikkerhet i UH -sektoren Startet i
DetaljerVelkommen til fagsamling
Velkommen til fagsamling 20. November 2017 IRT: Nettverkssamling for formaliserte hendelsesresponsteam i UH-sektoren UNINETT konferansen 2017 Rune Sydskjør, leder UNINETT CERT Agenda Status på team i sektoren
DetaljerSUHS konferansen 2012 CSO forum for sikkerhetsansvarlige. Rolf Sture Normann CSO, UNINETT
SUHS konferansen 2012 CSO forum for sikkerhetsansvarlige Rolf Sture Normann CSO, UNINETT 07.-08. november 2012 Om UNINETT Det norske forskningsnettet Eid av Kunnskapsdepartementet Ca 100 ansatte, 200 mill
DetaljerLagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:
Lagring av personopplysninger Øyvind Eilertsen UNINETT CERT SUHS-konferansen 2011 Dagens tekst Informasjonssikkerhet Behandling av personopplysninger: Organisatoriske krav Tekniske krav Informasjonssikkerhetsarbeidet
DetaljerKontinuitet for IKT systemer
Kontinuitet for IKT systemer Innledning til kontinuitetsplanlegging for IKT Rolf Sture Normann, CSO UNINETT AS Introduksjon IKT og andre automatiserte systemer er sentrale i de fleste organisasjoner i
DetaljerNytt fra sekretariatet
Nytt fra sekretariatet Sikkerhetsforum 2013 Øivind Høiem, CISA CRISC Seniorrådgiver Trusselbilder fra PST «Offentlig og privat ansatte med tilgang til sensitiv informasjon smigres, bestikkes og presses
DetaljerErfaringer fra etableringen av institusjonsvise sikkerhetsteam
Erfaringer fra etableringen av institusjonsvise sikkerhetsteam 22. November 2017 UNINETT konferanse 2017 Rune Sydskjør, leder UNINETT CERT Agenda Status i sektoren Erfaringer fra hendelser og øvelser Veien
DetaljerFra sikkerhetsledelse til handling ambisjoner og forventninger
Fra sikkerhetsledelse til handling ambisjoner og forventninger Gustav Birkeland, seniorrådgiver UNINET-konferansen, 22.11.2017, sesjon 4 Forventninger Statlige universiteter og høyskoler skal etterleve
DetaljerNy styringsmodell for informasjonssikkerhet og personvern
Ny styringsmodell for informasjonssikkerhet og personvern Direktoratet for IKT og fellestjenester i høyere utdanning og forskning Rolf Sture Normann CISA, CRISC, ISO27001LI Fagleder informasjonssikkerhet
DetaljerLeverandøren en god venn i sikkerhetsnøden?
Leverandøren en god venn i sikkerhetsnøden? Tone Hoddø Bakås, M. Sc., CISA, CRISC Seniorrådgiver Norsk senter for informasjonssikring Agenda Litt om NorSIS Noen utfordringer Trusler vi ser Tenk på Fallgruver
DetaljerSUHS konferansen 2013. Infomasjonssikkerhetsspor (CSO)
SUHS konferansen 2013 Infomasjonssikkerhetsspor (CSO) Velkommen til SUHS 2013 Gevinstrealisering Hvordan få til gevinstrealisering i arbeidet med informasjonssikkerhet? Er det lett å selge at forhindre
DetaljerInformasjonssikkerhet i UH-sektoren
Informasjonssikkerhet i UH-sektoren Per Arne Enstad CSO Forum, 13-14 juni 2012 Dagens tekst Bakgrunn Gjennomføring Hvorfor sikkerhetspolicy? Erfaringer så langt Veien videre 2 Bakgrunn Tradisjonelt: Sikkerhet
DetaljerStatlige universiteter og høyskolers ansvar for IKT-sikkerhet og digital hendelseshåndtering
Statlige universiteter og høyskolers ansvar for IKT-sikkerhet og digital hendelseshåndtering Gustav Birkeland, seniorrådgiver IRT: Nettverkssamling for hendelsesresponsteam i UH-sektoren, UNINETT fagsamling
DetaljerInformasjonssikkerhet. Miniseminar om datakriminalitet 29. aug Rolf Sture Normann og Øivind Høiem
Informasjonssikkerhet Miniseminar om datakriminalitet 29. aug. 2013 Rolf Sture Normann og Øivind Høiem Om UNINETT samfunnsansvar åpenhet teknologientusiasme Det norske forskningsnettet Eid av Kunnskapsdepartementet
DetaljerPresentasjon sikkerhetsforum Avdelingsdirektør Arne Lunde Uh-avdelingen KD
Presentasjon sikkerhetsforum 2014 Avdelingsdirektør Arne Lunde Uh-avdelingen KD Agenda Regjeringens politikk Regulatoriske krav til etablering av tiltak for å sikre informasjonssikkerheten Risk management
DetaljerStatlige universiteter og høyskolers ansvar for IKT-sikkerhet og digital hendelseshåndtering
Statlige universiteter og høyskolers ansvar for IKT-sikkerhet og digital hendelseshåndtering Reidulf Fonn, seniorrådgiver Incident Response Team (IRT) heldagskurs, UNINETT fagdager 2017, 2. mai Departementets
DetaljerStyringssystem. Gjennomførende dokumenter. Rolf Sture Normann
Styringssystem Gjennomførende dokumenter Rolf Sture Normann Gjennomførende dokumenter Årsplan for CISO, Informasjonssikkerhetsrådgiver/leder, CSO Risikovurderinger Risikohåndteringsplan Etablering av sikringstiltak
DetaljerRisikovurderinger. Øivind Høiem CISA, CRISK, ISO Lead implementer. Sekretariat for informasjonssikkerhet, UNINETT. SUHS-konferansen 2015
Risikovurderinger Øivind Høiem CISA, CRISK, ISO 27001 Lead implementer Sekretariat for informasjonssikkerhet, UNINETT SUHS-konferansen 2015 Informasjonssikkerhet som muliggjøreren! For at ny teknologi
DetaljerVeileder for sentral risiko- og sa rbarhetsvurdering (ROS) av et felles system i UH-sektoren
Veileder for sentral risiko- og sa rbarhetsvurdering (ROS) av et felles system i UH-sektoren Delområde av styringssystem for informasjonssikkerhet i UH -sektoren Versjon 1.0 1 Innholdsfortegnelse Forord...
DetaljerOppfølging av informasjonssikkerheten i UH-sektoren
Oppfølging av informasjonssikkerheten i UH-sektoren Gustav Birkeland SUHS-konferansen 4. november 2015 Mål s overordnede mål for arbeidet med samfunnssikkerhet og beredskap i kunnskapssektoren er å forebygge
DetaljerSikkerhetsforum i UH sektoren
Sikkerhetsforum i UH sektoren Rolf Sture Normann CSO, UNINETT 13.-14. juni 2012 Om UNINETT Det norske forskningsnettet Eid av Kunnskapsdepartementet Ca 100 ansatte, 200 mill omsetning Gir nett og tjenester
DetaljerBransjenorm et egnet virkemiddel for å håndtere et komplekst trusselbilde
Bransjenorm et egnet virkemiddel for å håndtere et komplekst trusselbilde UNINETT-konferansen 2017 24.10.17 Jan Gunnar Broch Direktoratet for e-helse, sekretariatet for Normen Side 1 Myndighet Sørge for
DetaljerOverordnet IT beredskapsplan
Overordnet IT beredskapsplan Side 1 av 7 Overordnet IT beredskapsplan NB! Innholdet i denne malen må tilpasses til egen virksomhet. Det kan medføre utfylling av ytterligere informasjon og/eller sletting
DetaljerAngrepet mot Helse Sør-Øst. Norsk sykehus- og helsetjenesteforening
Angrepet mot Helse Sør-Øst Norsk sykehus- og helsetjenesteforening 2019-06-06 Om Helse Sør-Øst Helse Sør-Øst består av elleve helseforetak, hvorav ni leverer pasientbehandling Helseregionen leverer spesialisthelsetjenester
DetaljerMandat informasjonssikkerhet. Avdelingsdirektør Arne Lunde Uh-avdelingen KD
Mandat informasjonssikkerhet Avdelingsdirektør Arne Lunde Uh-avdelingen KD Definisjoner Informasjonssikkerhet handler om hvordan informasjonens konfidensialitet, integritet og tilgjengelighet blir ivaretatt.
DetaljerFOREBYGGENDE SIKKERHET OG BEREDSKAP I DET DIGITALE KRAFTSYSTEMET. Eldri Naadland Holo Seksjonssjef beredskap, NVE
FOREBYGGENDE SIKKERHET OG BEREDSKAP I DET DIGITALE KRAFTSYSTEMET Eldri Naadland Holo Seksjonssjef beredskap, NVE Forsyningssikkerhet Kraftsystemets evne til kontinuerlig å levere strøm av en gitt kvalitet
DetaljerStatus fellesanskaffelse sentralbordstøttesystem
Status fellesanskaffelse sentralbordstøttesystem Uninett workshops 2019 14. januar 2019 Frode Indseth Hvem jeg er Frode Indseth Seniorrådgiver på Uninett Tjenesteansvarlig for: Samordnet kommunikasjon
DetaljerNy EU-forordning: informasjonssikkerhet. Tommy Tranvik
Ny EU-forordning: informasjonssikkerhet Tommy Tranvik Utgangspunkt Europa-parlamentets og Rådets forordning (EU) 2016/679 av 27. april 2016 om beskyttelse av fysiske personer i forbindelse med behandling
DetaljerForvaltningsrevisjon IKT sikkerhet og drift 2017
Forvaltningsrevisjon IKT sikkerhet og drift 2017 Fremdrift i arbeidet med anbefalinger og tiltak April 2018 Sak 17/01908 og melding om vedtak i kommunestyret 12/3-2018, arkivsak-dok 17/010908-8 INNHOLD
DetaljerHendelseshåndtering - organisering, infrastruktur og rammeverk
Hendelseshåndtering - organisering, infrastruktur og rammeverk Per Arne Enstad, UNINETT CERT 02. Mai 2017 Startpunkt for etablering av et IRT 2 Organisering Sørg for forankring i ledelsen! Ledelsessystem
DetaljerRisikovurdering av Public 360
Risikovurdering av Public 360 Øivind Høiem Seniorrådgiver UNINETT AS SUHS-konferansen 2015 Informasjonssikkerhet som muliggjøreren! For at ny teknologi skal bli brukt må brukere ha tillit til den Informasjonssikkerhet
DetaljerSikkerhet og personvern i skole og klasserom
Sikkerhet og personvern i skole og klasserom NKUL 2017 Tommy Tranvik Harald Torbjørnsen Vi skal: Øke kvaliteten i det pedagogiske arbeidet med digitale ferdigheter hos barn og unge Øke den digitale kompetansen
DetaljerInformasjonssikkerhet i Norge digitalt Teknologiforum 07.11.13
Informasjonssikkerhet i Norge digitalt Teknologiforum 07.11.13 Trond Skyseth, sikkerhetsleder, Kartverket Plan for innspill Hensikt Prinsipper for informasjonssikkerhet i ND Hvorfor er sikkerhet viktig
DetaljerOm respondenten. U.off jf. offl. 15. Virksomhetens navn: Hvem svarer på undersøkelsen: Virksomhetsleder (direktør) Andre (angi rolle):
Spørreskjema om informasjonssikkerhet Vi gjennomfører en evaluering av arbeidet med informasjonssikkerhet i statsforvaltningen og trenger svar fra deg som er leder av virksomheten. Om respondenten Virksomhetens
DetaljerMetode for identifikasjon av dokumentasjon. 8 Norske Arkivmøte,
Metode for identifikasjon av dokumentasjon 8 Norske Arkivmøte, 09.04.2019. Agenda Bakgrunn Resultat - metoden Tilbakemeldinger Veien videre Hvordan lykkes med dette i praksis? Bakgrunn Samfunn i endring
DetaljerOppdragsgiver Prosjekteier Prosjektleder. UH-sky styringsgruppe Kristin Selvaag Odd A. Halseth
Utarbeidet av: Odd A. Halseth Sist oppdatert: 19.09.16 Godkjent av: Styringsgruppa for UH-sky Dato for godkjenning: 9. september 2016 PROSJEKTINFORMASJON Prosjektnavn Startpakke skytjenester Prosjektnummer
Detaljer3.1 Prosedyremal. Omfang
3.1 Prosedyremal Formål Hensikten med denne planen er å planlegge hvordan Midt-Telemarkkommunene skal forebygge og håndtere uønskede hendelser, samt å beskytte kritiske tjenester og systemer mot negative
DetaljerNovember Internkontroll og styringssystem i praksis - Aleksander Hausmann
November 2018 Internkontroll og styringssystem i praksis - Aleksander Hausmann Artikkel 24 - Den behandlingsansvarliges ansvar Idet det tas hensyn til behandlingens art, omfang, formål og sammenhengen
DetaljerHva kan vi gjøre med det da?
TLP:AMBER Hackere og andre digitale trusler Hva kan vi gjøre med det da? Årskonferansen 2018 KS Bedrift Arthur Gjengstø Direktør BDO Sikkerhet og beredskap BDO Analyse og utredning Mobil 481 27 498, mail
DetaljerBox: erfaringer med UNINETTs første internasjonale skytjeneste. Jan Meijer, UNINETT
Box: erfaringer med UNINETTs første internasjonale skytjeneste Jan Meijer, UNINETT UNINETT Norges forskningsnett KDs verktøy for felles IKT infrastruktur i norsk UH 85 årsverk omsetning 180 millioner ca.
DetaljerHÅNDTERING AV NETTANGREP I FINANS
HÅNDTERING AV NETTANGREP I FINANS Sikkerhetssymposiet 31. oktober 2013 Morten Tandle Agenda Om FinansCERT Bakgrunn Status «Værmelding» / Trusselbilde Om hendelseshåndtering Hvorfor? Små og store hendelser
DetaljerBedre personvern i skole og barnehage
Bedre personvern i skole og barnehage NOKIOS, 28. oktober 2014 Eirin Oda Lauvset, seniorrådgiver i Datatilsynet Martha Eike, senioringeniør i Datatilsynet Datatilsynet Uavhengig forvaltningsorgan Tilsyn
DetaljerHva er sikkerhet for deg?
Sikkerhet Hva er sikkerhet for deg? Foto: Rune Kilden Foto: Øystein Grue Bane NORs sikkerhetspolitikk Bane NOR arbeider systematisk for kontinuerlig forbedring av sikkerheten, for å unngå skade på menneske,
DetaljerKommunikasjon med ledelsen hva kan Difi bidra med?
Kommunikasjon med ledelsen hva kan Difi bidra med? Katrine Aam Svendsen Seniorrådgiver NIFS 21.02.2018 Innhold Hvem er «ledelsen»? Innhold i Difis veiledningsmateriell «Internkontroll i praksis informasjonssikkerhet»
DetaljerAggregering av risiko - behov og utfordringer i risikostyringen
Aggregering av risiko - behov og utfordringer i risikostyringen SINTEF-seminar 4.4.2017 Jan Sørgård, Seniorrådgiver i Difi Seksjon for informasjonssikkerhet og datadeling Avdeling for digital forvaltning
DetaljerVeileder: Risikovurdering av informasjonssikkerhet
Veileder: Risikovurdering av informasjonssikkerhet Informasjonssikkerhet og risikovurderinger Med informasjonssikkerhet menes evnen til å forebygge, avdekke og håndtere hendelser som kan føre til brudd
DetaljerFå oversikt og prioritere - et felles grunnlag for flere fagområder. Øyvind Grinde Seksjonssjef informasjonssikkerhet og datadeling
Få oversikt og prioritere - et felles grunnlag for flere fagområder Øyvind Grinde Seksjonssjef informasjonssikkerhet og datadeling Internkontroll Intern styring og kontroll internkontroll er aktiviteter
DetaljerNoen aktuelle tema for personvernombud i finans
Noen aktuelle tema for personvernombud i finans 31.01.2019 HVEM I ALLE DAGER SKAL (VIL?) VÆRE PERSONVERNOMBUD? Uavhengig rolle Kompetent på juss it - sektor Ikke den som bestemmer eller gir råd om prioriteringer
DetaljerNTNU Retningslinje for arbeid med sikkerhetskultur og opplæring innen informasjonssikkerhet
Retningslinje for arbeid med sikkerhetskultur og opplæring innen informasjonssikkerhet Type dokument Retningslinje Forvaltes av Leder av HR- og HMS-avdelingen Godkjent av Organisasjonsdirektør Klassifisering
DetaljerInformasjonssikkerhet i kommunene. Gaute Wangen, seniorrådgiver Seksjon for digital sikkerhet, NTNU
Informasjonssikkerhet i kommunene Gaute Wangen, seniorrådgiver Seksjon for digital sikkerhet, NTNU Innhold 1. Hvorfor informasjonssikkerhet? 2. Grunnleggende informasjonssikkerhet 1. Pilarene in informasjonssikkerhet
DetaljerRetningslinjer for databehandleravtaler
Retningslinjer for databehandleravtaler Operativ sikkerhetsdokumentasjon INNHOLDSFORTEGNELSE 1. HENSIKT... 2 2. BEHANDLINGSANSVAR OG DATABEHANDLERAVTALER... 2 2.1 SENTRALE BEGREPER... 2 2.2 HVORFOR ER
DetaljerStyrende dokumenter og informasjonssikkerhet - erfaringer fra Hydro
Styrende dokumenter og informasjonssikkerhet - erfaringer fra Hydro Sintef-seminar 22.november 2006 Hege Jacobsen Hydro IS Partner, Norsk Hydro 2006-11-20 Innhold Hydros organisasjon Målene for informasjonssikkerhet
DetaljerFylkesberedskapsrådet i Hordaland Styring og kontroll - informasjonssikkerhet. Øyvind Grinde Seksjonssjef for informasjonssikkerhet 18.
Fylkesberedskapsrådet i Hordaland Styring og kontroll - informasjonssikkerhet Øyvind Grinde Seksjonssjef for informasjonssikkerhet 18. januar 2018 JMFoto.no HVA ER INFORMASJONSSIKKERHET? Hva er informasjon?
DetaljerStrategi for Informasjonssikkerhet
Strategi for Informasjonssikkerhet Vedtatt 2015 Informasjonssikkerhet og personvern en naturlig del av Bergen kommune Side 1 av 8 Innholdsfortegnelse Sammendrag 3 Visjon 3 Innledning 4 Begreper 5 Nasjonalt
DetaljerTilsiktede uønskede handlinger
Tilsiktede uønskede handlinger Innledning til øvelse NIFS 2016 Hva skal jeg snakke om? Hendelsesforløp Sett fra virksomheten Sett fra trusselaktøren ISO/IEC 27035 Beredskapsplaner Beredskapsorganisasjon
DetaljerInternkontroll og informasjonssikkerhet lover og standarder
Internkontroll og informasjonssikkerhet lover og standarder Renate Thoreid, senioringeniør Side 1 Internkontroll og Informasjonssikkerhet Krav i Personopplysningsloven 13 og 14 Krav i Personopplysningsforskriften
DetaljerSikkerhetskultur og informasjonssikkerhet
Sikkerhetskultur og informasjonssikkerhet i UH-sektoren Sikkerhet & Sårbarhet 2013 Øivind Høiem, CISA CRISC Seniorrådgiver Om Øivind Seniorrådgiver ved UHsektorens sekretariat for informasjonssikkerhet
DetaljerRetningslinje for risikostyring for informasjonssikkerhet
Retningslinje for risikostyring for informasjonssikkerhet Type dokument Retningslinje Forvaltes av Avdelingsleder virksomhetsstyring Godkjent av Organisasjonsdirektøren Klassifisering Intern Gjelder fra
DetaljerMetoder og verktøy i operativt sikkerhetsarbeid
Metoder og verktøy i operativt sikkerhetsarbeid IRT-kurs UNINETT CERT Tradisjonelt trusselbilde Moderne trusselbilde Eksempel fra USA 12 May 2017 SLIDE 4 Mandiant M-trends rapport l l I snitt tar det 99
DetaljerVelkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) - 6.12.2012. Susanne Helland Flatøy Markedssjef Digital Kvalitet
Velkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) - 6.12.2012 Susanne Helland Flatøy Markedssjef Digital Kvalitet Agenda En prosessbasert tilnærming: Planlegge sikringstiltak Utføre
DetaljerNASJONAL SIKKERHETSMYNDIGHET
OPPGAVER, ANSVAR, OG SIKKERHETSTILSTANDEN Nasjonal sikkerhetsmåned 2014 2 oktober 2014 Kommunikasjonsrådgiver Fredrik Johnsen 1 INNHOLD NSMs ansvars- og arbeidsoppgaver NSMs organisasjon Nyheter Sikkerhetstilstanden
DetaljerKapittel 1 Hva er datasikkerhet? Dagens situasjon Datasikkerhet Ledelse... 27
Forord Eldar Lorentzen Lillevik... 13 Forord... 15 Kapittel 1 Hva er datasikkerhet?... 17 1.1 Dagens situasjon... 18 1.2 Datasikkerhet... 25 1.3 Ledelse... 27 Kapittel 2 Trusler på internett... 31 2.1
DetaljerTiltaksplan for oppfølging av revisjonsrapport om systemforvaltning i Pasientreiser ANS 29.08.2011
Tiltaksplan for oppfølging av revisjonsrapport om systemforvaltning i Pasientreiser ANS 29.08.2011 6.2.11 Gjennomgå avtaleverket for å få på plass databehandleravtaler med driftsleverandørene 6.2.7 Pasientreiser
DetaljerNOTAT SAMMENDRAG. Høringsuttalelse om nye forskrifter til ny sikkerhetslov. Nye forskrifter til lov om nasjonal sikkerhet (sikkerhetsloven) Åpen
NOTAT OPPDRAG ) DOKUMENTKODE 900108-SL-NOT- Høringsuttalelse om nye forskrifter til ny sikkerhetslov EMNE Nye forskrifter til lov om nasjonal sikkerhet (sikkerhetsloven) TILGJENGELIGHET OPPDRAGSGIVER Multiconsult
DetaljerStyringssystem for informasjonssikkerhet et topplederansvar
Styringssystem for informasjonssikkerhet et topplederansvar Jan Sørgård Seniorrådgiver Difi Visjon «Vi utvikler offentlig sektor» Områder Digital forvaltning Offentlige anskaffelser Ledelse og organisering
DetaljerDigitaliseringsstrategi Birkenes kommune Vedtatt av RLG Digitaliseringsstrategi for Birkenes kommune 1
Digitaliseringsstrategi Birkenes kommune 2021 Vedtatt av RLG 15.05.17 Digitaliseringsstrategi for Birkenes kommune 1 Innholdsfortegnelse 1.0 Digitaliseringsstrategi for Birkenes kommune... 3 1.1 Visjon
DetaljerDet digitale trusselbildet Sårbarheter og tiltak
H a f s l u n d M u l i g h e t s W o r k s h o p TORE LARSEN ORDERLØKKEN Det digitale trusselbildet Sårbarheter og tiltak Agenda Sikkerhetsparadokset Trusler og trender Tall og hendelser Hvordan sikrer
DetaljerPROSJEKTPLAN. Godkjent av: Kristin Selvaag Dato for godkjenning:
Utarbeidet av: Hildegunn Vada Sist oppdatert: 05.12.2016 Godkjent av: Kristin Selvaag Dato for godkjenning: 05.12.2016 PROSJEKTINFORMASJON * Prosjektnavn * Prosjektnummer Klargjøring av IaaS-tjenester
DetaljerNy organisering av Unit fra
Ny organisering av Unit fra 1.1.2019 Fra Units vedtekter - 1 Formål Virksomheten har ansvaret for nasjonal samordning og har et overordnet forvaltningsansvar på IKT-området. Virksomheten har myndighet
DetaljerAllmøtet USIT. Dagsorden. 5. desember Lederutvikling USIT 3.0
Allmøtet USIT 5. desember 2013 Dagsorden Lederutvikling USIT 3.0 Claus Jebsen IML Lederadferd Årsplanarbeid Budsjett 2014 Organisering og standardisering av IT ved UiO Status FS/SO sammenslåing Sikker
DetaljerSpørreundersøkelse om informasjonssikkerhet
Spørreundersøkelse om informasjonssikkerhet Vi gjennomfører en evaluering av arbeidet med informasjonssikkerhet i statsforvaltningen og trenger svar fra deg som er fagperson for informasjonssikkerhet i
DetaljerGDPR - Ny personopplysningslov - betydning for arkivsektoren? 18.april Seniorrådgiver Linda Svendsrud
GDPR - Ny personopplysningslov - betydning for arkivsektoren? 18.april 2018 Seniorrådgiver Linda Svendsrud Presentasjon av KS-Konsulent as Visjon Kompetente kommuner lokale løsninger Verdier Utfordrende
DetaljerHVILKE RISIKOER LØPER VI NÅR ALLE DATAENE VÅRE ER I NETTSKYEN?
HVILKE RISIKOER LØPER VI NÅR ALLE DATAENE VÅRE ER I NETTSKYEN? Bente Hoff Seksjonssjef Strategisk IKT-sikkerhet NSM SLIDE 1 Nasjonal sikkerhetsmyndighet (NSM) er Norges ekspertorgan for informasjons- og
DetaljerLitt om operativ sikkerhet i skysammenheng
Litt om operativ sikkerhet i skysammenheng UNINETT fagdager, Olaf.Schjelderup@uninett.no 4. mai 2017 Operativ sikkerhet i skyen - Hva vet vi egentlig om det? Dessverre vet vi i realiteten nokså lite...
DetaljerStrategi for informasjonssikkerhet i helse- og omsorgssektoren
Strategi for informasjonssikkerhet i helse- og omsorgssektoren Sikkerhet og sårbarhet 7. mai 2013 Jan Gunnar Broch Helsedirektoratet Strategi for informasjonssikkerhet i helse- og omsorgssektoren 06.05.2013
DetaljerIKT-strategi for UH-sektoren
IKT-strategi for UH-sektoren Gustav Birkeland, seniorrådgiver, universitets- og høyskoleavdelingen Økonomidirektørsamling ved UiT 26. april 2017 Bakgrunn Arbeidsgruppe opprettet høsten 2015 som oppfølging
DetaljerFølger sikkerhet med i digitaliseringen?
Følger sikkerhet med i digitaliseringen? RUNE MYHRE JONASSEN 1 EVRY PUBLIC Rune Myhre Jonassen EVRY Business Consulting Konsulent og rådgiver Risk Management Information Security Bakgrunn Ingeniør Over
DetaljerPRAKTISK ARBEID MED RUTINER. Normkonferansen Scandic Ørnen, 15. oktober 2015
PRAKTISK ARBEID MED RUTINER Normkonferansen Scandic Ørnen, 15. oktober 2015 RÅDMANNSMØTET 09.10.2013 ER DERE KLAR FOR EN HEMMELIGHET? Arbeidsseminar Internkontrollsystem for informasjonssikkerhet MANDAG
DetaljerHandlingsplan UH-Sky
Handlingsplan 2016 2018 UH-Sky Vedtatt?????? Versjon.: 0.1 Utarbeidet av: Kristin Selvaag 1 Innholdsfortegnelse Visjon... 3 Langsiktige mål og strategier... 3 Handlingsmål... 5 Resultat- og aktivitetsmål...
DetaljerHvordan styre informasjonssikkerhet i et dynamisk trusselbilde? Tommy Molnes Security Manager Digital Sikkerhet AS
Hvordan styre informasjonssikkerhet i et dynamisk trusselbilde? Tommy Molnes Security Manager Digital Sikkerhet AS Agenda Hva skal vi beskytte? Hvilke krav stilles? Forskrift om beredskap i kraftforsyningen
DetaljerNy EU-forordning: informasjonssikkerhet. Tommy Tranvik
Ny EU-forordning: informasjonssikkerhet Tommy Tranvik Utgangspunkt Hovedkonklusjon informasjonssikkerhet tillegges større vekt enn tidligere, både kvalitativt og kvantitativt Agenda gjennomgå hovedreglene
DetaljerKan du legge personopplysninger i skyen?
Kan du legge personopplysninger i skyen? 05.05.2015 Datatilsynet Uavhengig forvaltningsorgan Tilsyn og ombud Forvalter personopplysningsloven og forskrifter 40 medarbeidere Faggruppe 1 (justis, bank/finans/forsikring,
DetaljerFelles IAM i UH-sektoren
Felles IAM i UH-sektoren IMD Fagutvalg Gardermoen 9. januar 2019 Leveranser fase 1 Et beslutningsunderlag til Digitaliseringsstyrets møte 28.januar 2019 der Digitaliseringsstyret skal ta en beslutning
DetaljerDigital samhandling i praksis med. Kort om DSS. Departementenes bruk av felles samhandlingsrom og skytjenester
Kort om DSS Departementenes bruk av felles samhandlingsrom og skytjenester Randi Thomsen og Fabian Forster 27. oktober 2016 Ordinært forvaltningsorgan underlagt Kommunal- og moderniseringsdepartementet
DetaljerAVTALE OM BEHANDLING AV PERSONOPPLYSNINGER (DATABEHANDLERAVTALE)
AVTALE OM BEHANDLING AV PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) I henhold til gjeldende norsk personopplysningslovgivning og forordning (EU) 2016/679 av 27. april 2016, Artikkel 28 og 29, jf. Artikkel
DetaljerCYBERSIKKERHET PÅ STYREROMMET HVILKE LOVVERK MÅ LEDELSEN FORHOLDE SEG TIL?
CYBERSIKKERHET PÅ STYREROMMET HVILKE LOVVERK MÅ LEDELSEN FORHOLDE SEG TIL? Annette Tjaberg Assisterende direktør Nasjonal sikkerhetsmyndighet Oslo 14. november 2017 SLIDE 1 IKT-RISIKOBILDET SLIDE 2 DET
DetaljerLedelsesforankring rettskrav, muligheter og utfordringer. Tommy Tranvik, Senter for rettsinformatikk. Sikkerhetsforum for UH-sektoren, 14. juni 2012.
Ledelsesforankring rettskrav, muligheter og utfordringer Tommy Tranvik, Senter for rettsinformatikk. Sikkerhetsforum for UH-sektoren, 14. juni 2012. Agenda Reglene om informasjonssikkerhet i personopplysningsloven
DetaljerVI BYGGER NORGE MED IT.
VI BYGGER NORGE MED IT. DEN NYE WIFI-LØSNINGEN HAR GITT STAVANGER FORUM ET LØFT SOM GIR OSS MULIGHET TIL Å TILBY UNIKE LØSNINGER FOR KUNDENE VÅRE Stavanger Forum Lokal tilstedeværelse og global leveransekapasitet
DetaljerNettskyen, kontroll med data og ledelsens ansvar
Nettskyen, kontroll med data og ledelsens ansvar SUHS-konferansen 2011 Per Arne Enstad, CISA,CISM 2 Hva kjennetegner en nettsky? Behovsbasert selvbetjening Høy konnektivitet Deling av ressurser Kapasitet
DetaljerEtableringsplan. Internkontroll for informasjonssikkerhet og personvern
Etableringsplan Internkontroll for informasjonssikkerhet og personvern Innholdsfortegnelse 1 Innledning... 2 2 Formål... 2 3 Informasjonssikkerhet og personvern... 2 4 Etableringsaktiviteter... 3 5 Lenker...
DetaljerIT-sikkerhet ved outsourcing. 27. mars 2007 Tor Erik Masserud IT-Sikkerhetssjef
IT-sikkerhet ved outsourcing 27. mars 2007 Tor Erik Masserud IT-Sikkerhetssjef Risiko Før: Nå: Av forvaltningskapitalen er: 0,5% kontanter 99,5% representert som tall i datamaskinene 2 Sammenheng sikkerhet,
DetaljerPersonvern og informasjonssikkerhet ved anskaffelser
Personvern og informasjonssikkerhet ved anskaffelser Innledning 2 Datatilsynet Uavhengig forvaltningsorgan Tilsyn og ombud Forvalter personopplysningsloven og forskrifter 40 medarbeidere Faggruppe 1 (justis,
DetaljerInternkontroll i praksis Informasjonssikkerhet: Måling, evaluering og revisjon. Workshop Måling av informasjonssikkerhet
Internkontroll i praksis Informasjonssikkerhet: Måling, evaluering og revisjon Workshop Måling av informasjonssikkerhet 30.10.2017 Internkontroll i praksis - informasjonssikkerhet Instrukser og rutiner
DetaljerNytt fra sekretariatet
Nytt fra sekretariatet Øivind Høiem CISA CRISC Seniorrådgiver UNINETT AS Om Øivind Seniorrådgiver ved UH-sektorens sekretariat for informasjonssikkerhet hos UNINETT Har jobbet i over 20 år med informasjonssikkerhet,
Detaljer