NIFS Nettverk for Informasjonssikkerhet Tema: Øvelse Barbro Lugnfors Seksjon for informasjonssikkerhet 18.04.2018
Agenda 18. april Kl. 10:00 Velkommen! v/difi Foredrag v/pst Presentasjon av øvelse v/difi Kl. 11:30 Kl. 12:00 Kl. 14:45 Lunsj Diskusjonsøvelse (kaffeservering) Oppsummering og vel hjem!!
Aktiviteter våren 2018 Kunnskapsgrunnlag for evaluering av arbeidet med informasjonssikkerhet i statsforvaltningen ble levert til KMD før påske. NYPE Roadtrip kurs i KINS-regi med Datatilsynet, Undervisningsdirektoratet og Direktoratet for e-helse Handlingsplan del 2 til ny nasjonal strategi for IKTsikkerhet samarbeid med NSM Gir innspill til forskrift til ny sikkerhetslov Foredrag for toppledergrupper og andre
Fokus våren 2018 Styring og kontroll internkontroll Arbeide med funnene i evalueringen av arbeidet med informasjonssikkerhet i statsforvaltningen Forventede leveranser: Utredning og valg av virkemidler Kurs Oppdatert veiledningsmateriell Samordning med andre aktører som veileder på området
Hvorfor øver vi? Gi kunnskap og erfaring Bedre risikoforståelse og sikkerhetskultur Læring bør vektlegges i alle øvelser Forbedring av beredskapsplaner, sikkerhetstiltak og risikovurderinger
Krisekommunikasjon Kommunikasjonsberedskap Forberedelser til hvordan man skal håndtere kommunikasjonsbehovet som oppstår i en krisesituasjon. (Håndbok i informasjonsberedskap. Kjell Løvik) Hva er en krise? En krise er en hendelse som har et potensial til å true viktige verdier og svekke en virksomhets evne til å utføre sine samfunnsfunksjoner. (St.meld. nr. 17 (2001-2002) Samfunnssikkerhet) Hva er risiko? Risiko handler om hva som kan skje i fremtiden og er derfor forbundet med usikkerhet. Usikkerheten knytter seg til om en bestemt uønsket hendelse vil inntreffe og hva konsekvensene av denne hendelsen vil bli. (Nasjonalt Risikobilde 2013. DSB)
Fire grunnleggende prinsipper for arbeidet med samfunnssikkerhet og beredskap 1. Ansvarsprinsippet 2. Likhetsprinsippet 3. Nærhetsprinsippet 4. Samvirkeprinsippet
NIFS- møte 18. april: Øvelse Kristine Håland
ØVELSE-ØVELSE-ØVELSE Velkommen til øvelse! Presentasjon av metodikk og øvelsesform Presentasjon av direktiv Presentasjon av scenario Presentasjon av bakteppe Praktisk gjennomføring av øvelsen
ØVELSE-ØVELSE-ØVELSE Diskusjonsøvelse En diskusjonsøvelse er en øvingsform der alle deltakerne samles i ett felles rom, og all kommunikasjon skjer i dette rommet. Innspillene blir gitt muntlig eller på papir/skjerm/lerret. Ingen tiltak skal iverksettes fysisk og ingen kontakt skal tas utenfor rommet. Deltagerne skal altså ikke spille/simulere for eksempel et møte i kriseledelsen, men diskutere seg gjennom både spesifikke og generiske problemstillinger relatert til det scenarioet de får presentert av en diskusjonsleder. (Metodehefte: Diskusjonsøvelse/DSB veileder)
ØVELSE-ØVELSE-ØVELSE Diskusjonsøvelse Øke kunnskapen om planverk Identifisere eventuell ulik forståelse og bruk av planverk Identifisere ansvars- og rolleforståelse Forberede kommende øvelser Resonere rundt spesielle moment/spørsmål Diskutere risiko -og sårbarhetsanalyse og mulige hendelser som kan ramme organisasjonen.
ØVELSE-ØVELSE-ØVELSE Direktiv Om øvelsen: Diskusjonsøvelse Deltakere: Nifs medlemmer på møtet 18. april Hensikt og mål: Diskutere mulige problemstillinger knyttet til håndtering av hendelser. Fokus på informasjonsflyt ved hendelser Gjennomføring av øvelsen: mellom kl.12:00-14:45 Oppsummering
ØVELSE-ØVELSE-ØVELSE Valgdirektoratets oppdrag Mål 1: Korrekt og sikker valggjennomføring med tillit i befolkningen Mål 2: Velgerne har nødvendig informasjon om valg Mål 3: God tilgjengelighet ved valg Dette innebærer blant annet å: følge opp evalueringene av valggjennomføringen i 2017 identifisere risikoelementer knyttet til valggjennomføringene i 2019 og 2021 utrede alternativer til utsendelse av valgkort per post, og lage en plan for et mulig forsøk ved valget i 2019 i samarbeid med KMD, involvere ulike brukergrupper for å se nærmere på hvordan tilgjengeligheten ved valg kan bedres for grupper med spesielle behov
ØVELSE-ØVELSE-ØVELSE Scenario Virksomhet: Valgdirektoratet Tid : Rett før kommune- og fylkestingsvalg 2019 Hendelser: Indikasjon på at aktør/aktører kan ha tilgang til lokale nettverk i virksomheter forbundet med gjennomføring av valg. Informasjon spredes på sosiale medier at valgsystemet ikke er sikkert.
Russian ads, now publicly released, show sophistication of influence campaign
Diskusjonsgrupper Organisering av bord, spørsmålene diskuteres fra ulike perspektiv: Ledelsesnivåer Kommunikasjonsavdeling Fagmiljø
Spørsmål til diskusjon Hvordan vurderes hendelsen? Har virksomheten kriterier for å kategorisere hendelser? Eksempel: Rammeverk for handtering av IKTsikkerhetshendelser, NSM etc. Må hendelsen varsles/rapporteres, eventuelt til hvem? Internt Eksternt (samarbeidsparter, leverandører, sikkerhetsmyndighet, media, departementet, befolkningen etc.) Hva trenger vi for å understøtte god informasjonsflyt i virksomheten, internt/eksternt? «Verktøykasse»: Roller, ansvar, rutiner, instruks, prosedyre, maler for pressemelding, verktøystøtte etc.
Spørsmål til diskusjon Hva hindrer god informasjonsflyt?
Øvelser -Nifs 17. april 2017 Tema øvelse. Presentasjoner fra dette møtet ligger på. https://www.difi.no/artikkel/2017/05/oppsummeringfra-nifs-mote-19april-2017
NIFS Praksisnettverk med møter fem ganger i året. For fagansvarlege informasjonssikkerhet og andre avhengig av tema. Kontakt: Infosikkerhet@difi.no Møteplan for 2018 21. februar - Hvordan kommuniserer vi med ledelsen om Informasjonssikkerhet? 18. april - Øvelse 30. mai - Forberedelser til sikkerhetsmåneden 12. september - Ikke fastsatt tema 28. november - ikke fastsatt tema