KARTLEGGING OG VURDERING AV VERDIER: MENNESKELIGE, TEKNOLOGISKE OG ORGANISATORISKE

Like dokumenter
Objektsikkerhet. Sikkerhetsloven gir krav til beskyttelse av både informasjon( 12) og objekt( 17b).

Krav til utførelse av Sikringsrisikovurdering

OBJEKT DOKUMENTTITTEL

RISIKOVURDERING. Jan Fosse Seksjonssjef Avdeling Sikkerhetsstyring NSM NASJONAL SIKKERHETSMYNDIGHET

VERDIVURDERING OBJEKTSIKKERHET

Felles journal. Fra et samfunnssikkerhets- og beredskapsperspektiv. avdelingsdirektør

FOR ET TRYGGERE NORGE NASJONALT KOMPETANSESENTER FOR SIKRING AV BYGG

HVILKE RISIKOER LØPER VI NÅR ALLE DATAENE VÅRE ER I NETTSKYEN?

Risikovurdering for sikring

NS 5831 SAMFUNNSSIKKERHET BESKYTTELSE MOT TILSIKTEDE UØNSKEDE HANDLINGER KRAV TIL SIKRINGSRISIKOSTYRING

Gjennomføring av sikringsrisikoanalyser og iverksetting av tiltak

Risikovurderinger i regi av Avinor Tarald Johansen, Sikkerhets- og beredskapsdirektør Minoru Stende Jensen, Fagleder 26.

Sikkerhetslov og kommuner

Veileder til forskrift om sikring på jernbane Utvalgte tema, bransjemøte 12. juni Side 1

Sikring av vannforsyning mot tilsiktede uønskede hendelser (security) VA - DAGENE I VRÅDAL

Hva er sikkerhet for deg?

DET DIGITALE TRUSSEL- OG RISIKOBILDET

Sikring mot terror og andre villede handlinger rettet mot de nasjonale transportaktørene (jern- og tunnelbane)

Nasjonalt risikobilde - Sellafield scenariet

Prosjekt Sikkerhet i sykehus

Sikkerhetsmessig verdivurdering

1-2. Virkeområde Forskriften gjelder for jernbanevirksomheter på det nasjonale jernbanenettet og for jernbanevirksomheter som driver tunnelbane.

VEILEDER I TERRORSIKRING

1. Mål og hensikt Konsernprosedyre Sikring er forankret i konsernstandarder for hhv. sikkerhetsstyring og for kvalitetsstyring.

Anbefalinger om åpenhet rundt IKT-hendelser

Kan du holde på en hemmelighet?

Helhetlig Risiko- og sårbarhetsanalyse for Alstahaug kommune

Objektsikkerhet endringer i sikkerhetsloven

Totalleverandør av sikkerhet

Strategi for Informasjonssikkerhet

NASJONAL SIKKERHETSMYNDIGHET

Trusselbildet og krav til sikkerhet mot tilsiktede handlinger

Ny sikkerhetslov og betydningen for sikring i offentlig sektor og det private. Christer Veen Tjessem Seniorrådgiver Oslo, 10.

Tilnærminger til risikovurderinger for tilsiktede uønskede handlinger Monica Endregard og Maren Maal

Veileder i sikkerhetsstyring. Versjon: 1

Informasjonssikkerhet i Norge digitalt Teknologiforum

Sikkerhetsloven. Mobil Agenda Alexander Iversen Sjefingeniør, Sikkerhetsavdelingen

MEDISINSK UTSTYR OG DIGITALE SÅRBARHETER

En veiledning. Sikkerhets- og beredskapstiltak mot terrorhandlinger

VEILEDER I TERRORSIKRING

SPISSKOMPETANSE GIR BEDRE INTERNREVISJON

Nasjonal sikkerhetsmyndighet

Sikring av vannforsyning mot tilsiktede uønskede hendelser

Kapittel 1 Hva er datasikkerhet? Dagens situasjon Datasikkerhet Ledelse... 27

NASJONAL SIKKERHETSMYNDIGHET

1. Generelt om tilsynene

NASJONAL SIKKERHETSMYNDIGHET

Risikoforståelse. Cyberspace en arena for krig og krim. Geir A Samuelsen Direktør - Nasjonal sikkerhetsmyndighet, NSM

Hvordan forberede oss på det uforutsette. ass. direktør

Beredskapsanalyse. Terminologi. Vi viser til omtale av terminologi i notatet om beredskapsplanverket. Side 1 av 5

TERRORSIKRING. En veiledning i sikrings- og beredskapstiltak mot tilsiktede uønskede handlinger (2015)

Retningslinje for risikostyring for informasjonssikkerhet

FYSISK SIKRING HVA ER DET?

Sikkerhet og informasjonssystemer

Hva gjorde vi Bjørn Aspen Arve Edvardsen

NASJONAL SIKKERHETSMYNDIGHET: DO'S AND DON'TS. Gardermoen, 27. september Jørgen Dyrhaug Nasjonal sikkerhetsmyndighet

Ny sikkerhetslov og forskrifter

Utfordringer for samfunnssikkerhetsarbeidet og for den norske modellen. Direktør DSB

Informasjonssikkerhet i kommunene. Gaute Wangen, seniorrådgiver Seksjon for digital sikkerhet, NTNU

Slik stoppes de fleste dataangrepene

Hva gjør vi hvis kommunikasjonen bryter sammen? Cyberangrep på ekom-infrastrukturen konsekvenser og beredskap. Erik Thomassen, DSB

Helhetlig ROS i kommunal beredskapsplikt

Retningslinje for Sikring innen Sikkerhetsstyring

Sikringshåndboka Et praktisk verktøy for objektsikring

CYBERSIKKERHET PÅ STYREROMMET HVILKE LOVVERK MÅ LEDELSEN FORHOLDE SEG TIL?

MENNESKET, TEKNOLOGI OG SIKKERHET

Sikkerhet på akkord med personvernet? NOU 2015: 13

NSMs Risikovurdering 2006

Veileder og mal for utarbeidelse av sårbarhetsvurdering (PFSA) for havneanlegg

NS 5834 PLANLEGGING AV SIKRINGSTILTAK

Lov om forebyggende sikkerhetstjeneste (sikkerhetsloven) Lov av i kraft

Hva kan vi gjøre med det da?

Nasjonalt risikobilde og øvelser

Næringslivets Sikkerhetsråd Mot kriminalitet - for næringsliv og samfunn

Byrådssak 1191 /15. Klassifisering av informasjonssystemer i Bergen kommune ESARK

Nasjonal sikkerhetsmyndighet

Du er blitt innvilget full tilgang til dokumentet 15/ Invitasjon til dialogmøte om risiko- og sårbarhetsvurderinger.

Fagdag sikring Ny sikkerhetslov og arbeidet med nye forskrifter. Svein Anders Eriksson Leder for sikring og standardisering Ptil

Nasjonal sikkerhetsmyndighet

Trusler og sårbarheter Samordnet vurdering fra E-tjenesten, NSM og PST

Risiko i et trygt samfunn

Beredskap og samfunnssikkerhet i 2013 DSBs visjoner og fokusområder

Nasjonalt risikobilde nye utfordringer

Nasjonal strategi for digital sikkerhet

NÆRINGSLIVSKONTAKTEN i Nordland politidistrikt

Norsk Vann - Rapport: Sikring av vannforsyning mot tilsiktede uønskede hendelser (security)

SIKKERHETSKONFERANSEN 2008

For eit tryggare Noreg. Ein del av Forsvarsbygg

Leverandøren en god venn i sikkerhetsnøden?

INTERNKONTROLL INFORMASJONSSIKKERHET, GDPR OG INFORMASJONSFORVALTNING I NVE

Veileder for virksomheters håndtering av uønskede hendelser. Versjon: 1

Nasjonal sikkerhetsmyndighet

Organisering av beredskapen- DSB som samordningsmyndighet. Elisabeth Longva, Avdelingsdirektør DSB 25. April 2017

Etiske dilemmaer og paradokser i sikkerhetsarbeid Hvordan skape både et trygt regjeringskvartal og samtidig et åpent og levende byområde.

NASJONAL SIKKERHETSMYNDIGHET

Fylkesmannssamling i Hordaland 13. april 2016

Transkript:

KARTLEGGING OG VURDERING AV VERDIER: MENNESKELIGE, TEKNOLOGISKE OG ORGANISATORISKE - TRUSSEL- OG SÅRBARHETSVURDERING. OBJEKTSIKKERHET- HVA BETYR DET I PRAKSIS? NBEF Frokostmøte Kristiansand Mandag 13.april 2015 Seniorrådgiver Bjørn Egeland Avdeling for sikkerhetsstyring SLIDE 1

NSMs hovedoppgave er å legge forholdene til rette for god sikring av informasjon og objekter som kan være Spionasjemål Sabotasjemål Terrormål SLIDE 2 2

Objektsikkerhet Sikkerhetsloven gir krav til beskyttelse av både informasjon( 12) og objekt( 17b). Kartlegginger og analyser, som beskrevet kan brukes likeverdig uavhengig av hva som skal beskyttes, da metodene er generelle.

FORMÅL OG AVGRENSNING Frokostmøtet dekker Samfunnssikkerhet i BAE sektoren og med fokus på de nye standardene innen sikring mot tilsiktede handlinger. Dette innlegget dekker kartlegginger og vurderinger for verdier, trusler og sårbarhetsvurderinger. SLIDE 4

NS5832 SLIDE 5

KARTLEGGING AV VERDIER En kartlegging er en systematisk gjennomgang av en virksomhet, eller en del av en. Det er viktig at man arbeider systematisk og dekker det hele. Det å bestemme verdier ut i fra sjekklister for type bygg eller sektor, blir dermed for usikkert! Dette fordi man ikke kartlegger, fordi man risikerer å overse noe, fordi man ikke fanger opp avhengigheter f.eks. SLIDE 6

KARTLEGGING AV VERDIER Det anbefales å gjennomføre kartleggingen etter følgende prinsipper: Gå inn i hver enkelt organisasjonsenhet for å klargjøre hva de gjør, hvilke leveranser skaper de, hvilke avhengigheter har de til andre interne og eksterne. Hvilke forutsetninger og krav arbeider de under? Hvilke arbeidsprosesser har de? Hva er viktig for dem? Når alle organisasjonsenheter og alle arbeidsprosesser er kartlagt og undersøkt, vil man sitte med en liste over verdier, funksjoner, prosesser og objekter som er vurdert til å være aktuelle for beskyttelse. Med dette utgangspunkt kan man sjekke mot sjekklister ikke før! SLIDE 7

VERDIVURDERING - PROSESS Systembeskrivelse (avgrensning) Identifisere verdier Lage konsekvensskjema Rangere verdier Systembeskrivelse (nivå og avgrensning) Beskrivelse av hva som skal risikovurderes (nivået). I) Overordnet risikovurdering: Hele Vestland politidistrikt II) Spesifikk risikovurdering: kryptorom Identifisere verdier (steg 1a) Klassifisere verdier (steg 1c) Leveranser Nøkkelverdi Understøttende verdier Verdidrifter (daglig ansvar for verdien) Beskriv de viktigste underleveransene. Eksempel: Skjermingsverdig informasjon Lokalisering Avhengigheter Klassifisere Begrunnelse Belys usikkerhet, beskriv bakgrunn for rangering SLIDE 8

Samfunnsni vå Virksomhetsnivå VERDIVURDERING - KONSEKVENSSKJEMA Liv og helse Omdømme Konsekvensskjema (steg 1b) Lav Middels Høy Svært høy IR Xx lettere skade på personell Ingen fare for omdømmetap og liten innvirkning på tillit Xx alvorlig skade på personell Omdømme kan skades. Mediedekning begrenset til nasjonal eller regional presse. Kan redusere tillit xx-xx dødsfall og alvorlig skade på personell Overhengende omdømmerisiko. Internasjonal mediedekning i store aviser. Kan alvorlige redusere tillit. Økonomi Over xx kr Over xx kr. Over xx kr. Over xx kr. Mer enn xx-xx dødsfall og alvorlig skade på personell Omdømme vil skades. XX antall internasjonale medieoppslag. Svært alvorlig redusert tillit. Klima og miljø Xx skade på klima og miljø Xx skade på klima og miljø Xx skade på klima og miljø Xx skade på klima og miljø Operativ drift Oppgaver eller mål kan fortsatt oppnås, men det må påregnes forsinkelser eller dårligere kvalitet. Utilfredsstillende kvalitet eller store forsinkelser av leveranser eller kun delvis oppfyllelse av forretningsmål. Delvis manglende evne til å levere oppgaver eller nå mål for kjernevirksomheten. Ikke evne til å levere kritiske oppgaver eller nå mål for kjernevirksomheten. Nasjonal sikkerhet og suverenitet Kan i noen grad medføre skadefølge Kan skade Alvorlig kan skade Helt avgjørende skadefølger Kritisk infrastruktur og kritiske samfunnsfunksjoner Oppgaver eller mål kan fortsatt oppnås, men det må påregnes forsinkelser eller dårligere kvalitet. Utilfredsstillende kvalitet eller store forsinkelser av leveranser eller kun delvis oppfyllelse av forretningsmål. Delvis manglende evne til å levere oppgaver eller nå mål for kjernevirksomheten. Ikke evne til å levere kritiske oppgaver eller nå mål for kjernevirksomheten. SLIDE 9

KARTLEGGING AV TRUSLER - KILDER Ekstern informasjon om trusler: Politiets sikkerhetstjeneste, PST (www.pst.politiet.no) Lokalt politidistrikt (www.politiet.no) Etterretningstjenesten (www.forsvaret.no) Nasjonal sikkerhetsmyndighet, NSM (www.nsm.stat.no) Politidirektoratet (www.politiet.no) Kripos (www.politiet.no/kripos) Statistisk sentralbyrå (www.ssb.no) Europol (www.europol.europa.eu) Interpol (www.interpol.int) Forsvarets sikkerhetsavdeling, FSA Direktoratet for samfunnssikkerhet og beredskap, DSB (www.dsb.no) Norsk senter for informasjonssikring, NorSIS (www.norsis.no) Nasjonalt sikkerhetsråd, NSR SLIDE 10

TRUSSELVURDERING - OVERSIKT Identifisere trusselaktører (steg 3b) Rangere av trusselaktører (steg 3c) Relevante trusselaktør Trusselkategori Intensjon Kapasitet Trusselnivå Begrunnelse Moderat Svært høy Høy Lav Usikkerhet: (kvalitativ beskrivelse) SLIDE 11

UTVIKLING OG UTVELGELSE AV SCENARIER Et scenario = Et mulig hendelsesforløp En sårbarhetsvurdering forutsetter et scenario! Scenariene velges ut i fra en vurdering av både hvilke verdier som skal beskyttes og hvilke typer trusler som anses som relevant. Hvordan kan trusselaktøren ramme verdien(eler grupper av verdier)? Alle fem(5) trusselkategoriene bør vurderes. De er: terror, sabotasje, kriminalitet, spionasje og subversjon. SLIDE 12

SCENARIER 1.1 Scenarioer Lag scenariotittel Beskriv scenarioforløp Lag liste over scenarioer Scenario (steg 4a) Scenario nummer: Berørte verdier: Trusselkategori: Trusselaktør: Scenariotittel: Beskrivelse av scenario: Kort beskrivelse av hendelsesforløpet: Hva inntreffer, når inntreffer det, hvor inntreffer det, hvordan inntreffer det? Kort beskrivelse av trusselaktørens intensjon og kapasitet Beskrivelse av hvordan verdiene rammes (f.eks. bilbombe, avlytting, tyveri, osv.). Hvilke andre verdier rammes direkte (førstehånds) og indirekte (andrehånds), f.eks. liv og helse, miljø, økonomi, omdømme? Kom det en advarsel om hendelsen i forkant (fra f.eks. terrororganisasjon, fra etterretning, fra andre kilder.)? Beskrivelse av tidspunktet når trusselen rammer (f.eks. tidspunkt på dagen, under et arrangement, osv.) Usikkerhet: (kvalitativ beskrivelse) SLIDE 13

SÅRBARHETSVURDERING Er en måling mellom beskyttelsen til en verdi og belastningen fra en trussel. All sårbarhetsvurdering skjer innen ett scenario for unike par av verdi og trussel. Eksempel: Et eksisterende vindu har en klasse BR4 mens analysen som også omfatter et tidsregnskap tilsier at vinduet burde være minst klasse BR? for å gi nok motstandstid for at tidsregnskapet skal gå opp. - Dette avdekker en sårbarhet i barrieren, som gir ramme for et krav til tiktak. SLIDE 14

IKKE BARE KLINGENDE MYNT Risikohåndtering: hvordan? En metode: overføring av risiko [forsikring] De aller fleste virksomheter håndterer risiko slik Men: Drammen 1997 angrepet på Bandidos SLIDE 15

SÅRBARHETSVURDERING Husk helheten!

PRESENTASJON AV RISIKOBILDET Regel nr 1: Presentasjonsmetode avstemmes med virksomhetens leder. Scenarie Lav risiko Moderat risiko Middels risiko Forhøyet risiko Svært høy risiko T-1 X T-2 X E-1 X S-1 X K-1 X SLIDE 17

Seniorrådgiver Bjørn Egeland Epost: bjorn.egeland@nsm.stat.no Mobil: +47 916 60 572 SLIDE 18

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding