Risiko og Sårbarhetsanalyse på NTNU. Presentasjons av prosess

Like dokumenter
NTNU Retningslinje for klassifisering av informasjon

Retningslinje for risikostyring for informasjonssikkerhet

Risikoanalysemetodikk

Risikovurdering for folk og ledere Normkonferansen 2018

Risikovurdering. Utgitt med støtte av: Støttedokument Faktaark nr 7 Versjon: 3.0 Dato:

Risikovurderinger. Øivind Høiem CISA, CRISK, ISO Lead implementer. Sekretariat for informasjonssikkerhet, UNINETT. SUHS-konferansen 2015

Informasjonssikkerhet

Personopplysninger og opplæring i kriminalomsorgen

Strategi for informasjonssikkerhet

Krav til utførelse av Sikringsrisikovurdering

Innhold 1. Sammendrag Risikoanalyse Begreper... 3

RISIKOANALYSE (Grovanalyse)

Behandling av personopplysninger. DIGITAL ARENA BARNEHAGE 2018 Tone Tenold

Tilnærminger til risikovurderinger for tilsiktede uønskede handlinger Monica Endregard og Maren Maal

RETNINGSLINJE for klassifisering av informasjon

RISIKOVILLIG, ELLER? mnemonic Risk Services Frokostseminar,

Gjennomføring av sikringsrisikoanalyser og iverksetting av tiltak

Kontroll med risiko gir gevinst

Kontroll med risiko gir gevinst

RISIKOANALYSE (Grovanalyse)

Gjelder fra: Godkjent av: Fylkesrådet

Angrepet mot Helse Sør-Øst. Norsk sykehus- og helsetjenesteforening

ISO Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen

November Internkontroll og styringssystem i praksis - Aleksander Hausmann

Beredskap og Kontinuitetsstyring

Cyberspace og implikasjoner for sikkerhet

Overordnet ROS analyse. Risiko og sårbarhetsanalyse for IKT

NTNU Retningslinje for fysisk sikring av IKTinfrastruktur

Risiko- og sårbarhetsanalyse i forbindelse med bruker med begrenset tilgang for inn- og utregistrering

Utgitt: Januar /2017. Kontroll med risiko gir gevinst

Risikovurdering av politiets bruk av sosiale medier. Politidirektoratet. Versjon 0.2. Godkjent: Sted, dato Rolle Navn Signatur. Politidirektoratet

Eksempel på risikovurdering

Rapport: Risikovurdering komplett

Et spørsmål om tid! Lars Hopland Nestås Software Security Architect

Strategi for Informasjonssikkerhet

Kvalitetssikring av arkivene

Styringssystem for informasjonssikkerhet i Arbeidstilsynet

RISIKOVURDERING. Jan Fosse Seksjonssjef Avdeling Sikkerhetsstyring NSM NASJONAL SIKKERHETSMYNDIGHET

Risikoanalyse: Mottak og håndtering av farlig avfall

Mal til Risiko og sårbarhetsanalyse Helse, miljø og sikkerhet

HVILKE RISIKOER LØPER VI NÅR ALLE DATAENE VÅRE ER I NETTSKYEN?

Etatene/sentrene står fritt til å bruke egne kontroll-/konsekvensområder i tillegg.

R102 Retningslinjer for gjennomføring av risikovurderinger

Risiko- og sårbarhetsvurdering

RISIKOANALYSE (Grovanalyse-Hazid )

Konseptrapport 28. mars 2014

«Føre var» Risiko og beredskap

1. Kort forklaring av felles risikovurderingsmetodikk Oppsummering av risikovurderingene... 2

Av Inger Anne Tøndel, Maria B. Line, Gorm Johansen og Martin G. Jaatun, SINTEF IKT

Spørreundersøkelse om informasjonssikkerhet

Aggregering av risiko - behov og utfordringer i risikostyringen

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001

HMS-forum Tirsdag 12 mars Risikovurdering som verktøy i daglige beslutninger

Sikkerhet, risikoanalyse og testing: Begrepsmessig avklaring

NOTAT SAMMENDRAG. Høringsuttalelse om nye forskrifter til ny sikkerhetslov. Nye forskrifter til lov om nasjonal sikkerhet (sikkerhetsloven) Åpen

RISIKOVURDERING Enhet Avdeling/Seksjon. Risikovurdering av * Sammendrag

Kort om meg. Master i informasjonssikkerhet (HiG) Pågående Master of Management ved BI - Risikostyring - Finansiell strategi - Strategisk ledelse

Risikovurdering av cxstafettloggen

Risikovurdering for Frischsenterets informasjonssystem

Rune Hagen, BSK. CORAS risikoanalyse Utført for BankID Samarbeidet

Informasjonssikkerhet i kommunene. Gaute Wangen, seniorrådgiver Seksjon for digital sikkerhet, NTNU

Følger sikkerhet med i digitaliseringen?

KARTLEGGING OG VURDERING AV VERDIER: MENNESKELIGE, TEKNOLOGISKE OG ORGANISATORISKE

ROS - forskningsprosjekter

Byrådssak 1191 /15. Klassifisering av informasjonssystemer i Bergen kommune ESARK

Felles datanett for kommunene Inderøy, Verran og Steinkjer

Hvilke faktorer påvirker virksomhetenes tilnærming til risiko

Omsorg for informasjonssikkerheten

Informasjonsaktiva. - en (forsøksvis) praktisk tilnærming til kategorisering av data. Harald Rishovd. Oslo kommune, Vann- og avløpsetaten

OBJEKT DOKUMENTTITTEL

Risikovurdering av lærerarbeidsplasser i Akershus Fylkeskommune. Skole:. Dato:..

Veileder til forskrift om sikring på jernbane Utvalgte tema, bransjemøte 12. juni Side 1

Informasjonssikkerhet i Nord-Trøndelag fylkeskommune

Risikovurdering av Public 360

Veileder for virksomheters håndtering av uønskede hendelser. Versjon: 1

Risiko- og sårbarhetsanalyse Kommunedelplan for Vassfjellet Tanem-Tulluan

Helhetlig arbeid med informasjonssikkerhet. Remi Longva

Hvordan visualisere og redusere usikkerhet av cyberrisiko

Helseforskningsrett med fokus på personvern

Retningslinjer for risikostyring ved HiOA Dato siste revisjon:

CSM i NSB. En orientering om implementeringen av Forskrift om felles sikkerhetsmetode for risikovurderinger i NSB.

Introduksjon til risikovurdering

Kontinuitet for IKT systemer

Hva er risikovurdering?

Informasjonssikkerhet En tilnærming

Risikovurdering av informasjonssystem

RISIKOSTYRING SETT FRA NFKR s SYNSVINKEL

Hvordan sikre seg at man gjør det man skal?

Brukerutvalget IK-bygg

Har du kontroll på verdiene dine

Dimensjon Rådgivning AS v/arne Buchholdt Espedal

Risikoakseptkriterier og farelogg

Stilling/navn Seksjonsleder sikkerhet/geir Hovind Fagansvarlig strategisk sikkerhet/christian Jacobsen

miljømessige og menneskelige systemer/forhold som omfattes av risikoanalysen.

Risiko og sårbarhetsvurdering

3.1 Prosedyremal. Omfang

Risikoanalyser innen safety og security på samfunnsnivå. - hva er likt og hva er ulikt?

Transkript:

Risiko og Sårbarhetsanalyse på NTNU Presentasjons av prosess

2 (Info)Sikkerhetsrisiko formål Utfører risikovurderinger for å: Redusere usikkerhet og kompleksitet for systemet Kartlegge uakseptabel risiko Foreslå risikoreduserende tiltak Legge til rette for styring og oversikt Veie positive og negative aspekter mot hverandre Innrette sikkerhet for å oppnå best mulig resultater Ta bedre sikkerhetsbeslutninger!!! 2

3 Hva er Informasjonssikkerhetsrisiko? The potential that a given threat will exploit vulnerabilities of an asset or group of assets and thereby cause harm to the organization. - ISO/IEC 27005:2008 Verdi x Sårbarhet x Trussel -> Utfall (negativt) Vurdere brudd på Konfidensialitet, Tilgjengelighet, og Integritet 3

4 Nivå 0

5 Risikostyringsprosessen, Nivå 1 1. Definer kontekst og omfang 2. Identifiser uønskede utfall 3. Estimer konsekvenser og tilhørende sannsynligheter 4. Veie risiko vs gevinst og risikoappetitt 5. Beslutt om risikoen er akseptabel 6. Foreslå og Implementer tiltak (Kostnytte analyse) 7. Evaluer om tiltak fungerer og om nåværende risikonivå er akseptabelt 5

6 Risikostyringsprosessen, Nivå 1 6 ISO/IEC 27005:2011

Forventet produkt 1 Produktet av risikoidentifiseringen er: Oversikt med verdier og kritikalitet som systemet håndterer/lagrer Oversikt over mest sannsynlige trusler mot systemet Oversikt over sårbarheter samt vurdering av alvorlighet Oversikt over eksisterende kontroller i systemet Risikoscenarier med negativt utfall utledet av punktene over 7

Verdivurdering Klasse Konfidensialitet Integritet Tilgjengelighet Nivå 1 Nivå 2 Nivå 3 Åpen informasjon som er tilgjengelig for alle uten særskilte tilgangsrettigheter. Informasjon som ikke kan skade noe eller noen, og alle kan få se. Intern benyttes om informasjon som er begrenset til å være tilgjengelig for medarbeidere for å gjennomføre pålagte oppgaver. Informasjonen kan være tilgjengelig for eksterne med kontrollerte tilgangsrettigheter. Informasjon på avveie kan gi moderate økonomiske skader og/eller svekket omdømme for NTNU, enkeltindivider eller samarbeidspartnere. Fortrolig benyttes dersom det vil kunne skade offentlige interesser, NTNU, enkeltindivider eller samarbeidspartnere at dokumentets innhold blir kjent for uvedkommende. Informasjon skal kun være tilgjengelig for medarbeidere med kontrollerte rettigheter og med behov for denne informasjonen. Arbeidsdokumenter, notater og tilsvarende informasjon hvor feil i informasjonen ikke får negativ konsekvens i beslutningsprosesser hos den/de som benytter informasjonen. Den som benytter informasjonen forventer at den er autentisk og gyldig. Feil i informasjonen kan gi moderate økonomiske skader og/eller svekket omdømme for NTNU, enkeltindivider eller samarbeidspartnere. Den som benytter informasjonen er avhengig av at den er autentisk og gyldig. Utilsiktet eller tilsiktet feilinformasjon vil kunne føre til feilvurderinger eller beslutninger slik at det kan medføre betydelig økonomisk tap, omdømmetap eller annen skade for NTNU, enkeltindivider eller samarbeidspartnere. Nedsatt ytelse eller utilgjengelighet til informasjon eller tjeneste har liten eller ingen betydning for produksjon eller omdømme ved NTNU. Begrenset tilgang kan oppleves som kritisk for enkeltperson(er), men har liten betydning for NTNUs totale produksjon eller omdømme. Feilretting skjer kun innenfor normal arbeidstid. Nedsatt ytelse eller utilgjengelighet kan føre til noe etterslep i produksjon og redusert servicenivå for store deler av NTNU. Systemet og dataene kan være utilgjengelig i 2 virkedager uten at det medfører vesentlig fare for økonomisk- eller omdømmetap for NTNU. Feilretting skjer kun innenfor normal arbeidstid. Benyttes der nedsatt ytelse eller utilgjengelighet kan føre til store etterslep eller stans i vesentlige tjenesteleveranser. Systemet kan maksimalt være utilgjengelig i 4 timer uten at det medfører vesentlig fare for økonomisk- eller omdømmetap for NTNU. Feilretting starter umiddelbart og fortsetter inntil feilen er løst. Informasjon på avveie som kan medføre alvorlig skade for NTNUs formål, samarbeidspartnere, enkeltpersoner og/eller samfunnet om den kommer uautoriserte i hende. Grunndata, forskningsdata og publikasjoner hvor autentisitet er svært viktig Nivå 4 STRENGT FORTROLIG benyttes dersom det vil kunne forårsake betydelig skade for offentlige interesser, NTNU, enkeltindivider eller samarbeidspartnere at informasjonen blir kjent for uvedkommende. Informasjon skal kun være tilgjengelig for medarbeidere med strengt kontrollerte rettigheter og som har behov for denne informasjonen for å utføre en pålagt oppgave. I spesielle tilfeller kan strengt fortrolig informasjon også gjøres tilgjengelig for eksterne under samme strengt kontrollerte tilgangsrettigheter. Det er av kritisk betydning at det avleveres autentisk og gyldig informasjon. Utilsiktet eller tilsiktet feilinformasjon vil kunne føre til feilvurderinger eller beslutninger med fatale konsekvenser. Brudd kan medføre tap av liv for eksempel ved feilbehandling av pasienter, eller feilkonstruksjoner i bygg. Benyttes der nedsatt ytelse eller utilgjengelig kan være katastrofalt. Dvs. selv korte avbrudd vil føre til kritiske situasjoner. Systemet er virksomhetskritisk og vil ved utilgjengelighet umiddelbart medføre vesentlig fare for økonomisk- eller omdømmetap for NTNU. Systemet har høyeste prioritet, feilretting starter umiddelbart og fortsetter inntil feilen er løst. 8 Brudd kan medføre katastrofal skade på NTNUs interesser, samarbeidspartnere, enkeltpersoner og samfunnet om den kommer uautoriserte i hende. Brudd kan medføre korrupte data i sentrale systemer som fører til omfattende følgefeil og påfølgende stort tap av produsert materiale ved NTNU.

Utsiling og seleksjon av risiko For hver kritiske verdi Er verdien sårbar? JA Finnes det motiverte trusselaktører? NEI NEI JA Finnes det fungerende sikkerhetsmekanismer? JA NEI Er avanserte trusselaktører interesserte i verdien? Er verdien sårbar for vilkårlige angrep eller feil? NEI JA NEI JA Dokumenter verdien (Lav prioritering) Medium prioritering Høy prioritering 9

Risikoestimering Identifiserte scenarioer estimeres med sannsynlighet og konsekvens. 10

Forventet produkt 2 Produktet av risikoestimeringen Risikoanalyse basert på sannsynlighet og konsekvens for risikoscenariene Prioritert liste med risikoer Tiltaksplan Forslag til tiltak basert på Kost/nytte analyse Prioriterte tiltak Eier av risiko og tiltak Tidsfrist for implementasjon (opp til beslutningstager) 11

Enkel risikomodell Angrepsmetode Preventive (forhindre) kontroller Uønsket hendelse Reaktive (oppdagende) kontroller Uønsket utfall Example Incident Analysis Phishing for brukerkonti Spamfilters Awareness training End Point Security Brukerkonti brukt til Innbrudd i systemet Trafikkmonitorering Henter ut data Industrispion 12 Fra venstre er trusselaktøren som har intensjon om å bryte seg inn i systemet Aktøren velger angrepsmetode Mellom aktøren og den den uønskede hendelsen er det preventive sikkerhetsmekanismer (kontroller) som er på plass for å redusere sannsynligheten for at angrepet lykkes Hvis angriperen kommer seg forbi de preventive mekanismene, så har vi reaktive (oppdagende eller gjenopprettende) sikkerhetsmekanismer som er på plass for å redusere konsekvensen av et vellykket angrep. Hvis alle mekanismer feiler så vil angriperen lykkes og vi vil ha et uønsket utfall (eller en incident) Da må vi estimere konsekvenser og sannsynligheter

Konsekvenstabeller for estimering KONSEKVENS Konsekvens Minimum Maximum Økonomi Personsikkerhet Omdømme Personvern Straffereaksjoner fra offentlig myndighet Tap av forskningsprosjekter Alvorlig tap av anseelse Tap av eller uopprettelig skade og/eller eller integritet som Ett eller flere på store forskningsdata. oppdragsforskning. påvirker liv, helse eller 4 dødsfall. Flere Alvorlige bøter og/eller Negativ omtale i økonomi (kompromittering KRITISK personskader med sanksjoner fra offentlige riksdekkende media, av opplysninger av varige men. myndigheter. sosiale media og/eller registrerte som kritisk fagmiljøer krenkende). Fare for stort frafall søkere på ett eller flere studie 3 ALVORLIG Tap av eller uopprettelig skade på betydelig forskningsdata. Moderate bøter og/eller sanksjoner fra offentlige myndigheter. Alvorlig personskade på en eller flere personer. Mén eller fare for varig mén. Personskade med fravær over 16 dg. Tap av forskningsprosjekter og/eller oppdragsforskning. Negativ omtale i sosiale media og fagmiljøer Tap av anseelse eller integritet (eksempelvis kompromittering av opplysninger den registrerte oppfatter som krenkende, eller som andre kan gjøre nytte av) 2 LITEN Tap av eller uopprettelig skade på forskningsdata tilknyttet en enkeltforsker Få/små personskader. Fravær opp til 16 dager. Flere misfornøyde studenter/ansatte Negativ omtale i interne kanaler Tap av anseelse eller integritet (eksempelvis kompromittering av opplysninger den registrerte oppfatter som følsomme) 1 UBETYDELIG *Fylles ut av linjeleder *Fylles ut av linjeleder Kostnader/tap opptil XXX* Ikke tap av eller uopprettelig skade på forskningsdata Personskade uten fravær Ingen negative skadevirkninger Ingen tap av anseelse eller integritet (eksempelvis kompromittering av opplysninger som den enkelte ikke oppfatter som følsomme). 13

Sannsynlighetsvurdering for estimering SANNSYNLIGHET Grad av sannsynlighet Skriftlig beskrivelse Beskrivelse sannsynlighet Frekvens intervall (P) 4 Oftere enn en gang i måneden P>13/365 SVÆRT SANNSYNLIG 3 SANNSYNLIG En til tolv ganger i året 1/365 til 12/365 2 MINDRE SANNSYNLIG En gang annenhvert år 0,9/365 til 0,5/365 1 USANNSYNLIG Sjeldnere enn annenhvert år P<0,5/365 14

Dagens oppgaver: ROS Nivå 2 ROS for NTNU 1. Dokumentere Systemet 2.Tilpasse risikokriterier 3.Gjennomgang av kjente hendelser/ risiko 4. Verdivurdering og fastsette sikkerhetsnivå 5. Gjennomgang av Trusler 6. Gjennomgang av Scenarier og konsekvensbeskrivelse 7. Estimere konsekvenser og sannsynligheter 8. Utarbeide tiltaksplan 15

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding