KARTLEGGING OG VURDERING AV VERDIER: MENNESKELIGE, TEKNOLOGISKE OG ORGANISATORISKE - TRUSSEL- OG SÅRBARHETSVURDERING. OBJEKTSIKKERHET- HVA BETYR DET I PRAKSIS? NBEF Frokostmøte Kristiansand Mandag 13.april 2015 Seniorrådgiver Bjørn Egeland Avdeling for sikkerhetsstyring SLIDE 1
NSMs hovedoppgave er å legge forholdene til rette for god sikring av informasjon og objekter som kan være Spionasjemål Sabotasjemål Terrormål SLIDE 2 2
Objektsikkerhet Sikkerhetsloven gir krav til beskyttelse av både informasjon( 12) og objekt( 17b). Kartlegginger og analyser, som beskrevet kan brukes likeverdig uavhengig av hva som skal beskyttes, da metodene er generelle.
FORMÅL OG AVGRENSNING Frokostmøtet dekker Samfunnssikkerhet i BAE sektoren og med fokus på de nye standardene innen sikring mot tilsiktede handlinger. Dette innlegget dekker kartlegginger og vurderinger for verdier, trusler og sårbarhetsvurderinger. SLIDE 4
NS5832 SLIDE 5
KARTLEGGING AV VERDIER En kartlegging er en systematisk gjennomgang av en virksomhet, eller en del av en. Det er viktig at man arbeider systematisk og dekker det hele. Det å bestemme verdier ut i fra sjekklister for type bygg eller sektor, blir dermed for usikkert! Dette fordi man ikke kartlegger, fordi man risikerer å overse noe, fordi man ikke fanger opp avhengigheter f.eks. SLIDE 6
KARTLEGGING AV VERDIER Det anbefales å gjennomføre kartleggingen etter følgende prinsipper: Gå inn i hver enkelt organisasjonsenhet for å klargjøre hva de gjør, hvilke leveranser skaper de, hvilke avhengigheter har de til andre interne og eksterne. Hvilke forutsetninger og krav arbeider de under? Hvilke arbeidsprosesser har de? Hva er viktig for dem? Når alle organisasjonsenheter og alle arbeidsprosesser er kartlagt og undersøkt, vil man sitte med en liste over verdier, funksjoner, prosesser og objekter som er vurdert til å være aktuelle for beskyttelse. Med dette utgangspunkt kan man sjekke mot sjekklister ikke før! SLIDE 7
VERDIVURDERING - PROSESS Systembeskrivelse (avgrensning) Identifisere verdier Lage konsekvensskjema Rangere verdier Systembeskrivelse (nivå og avgrensning) Beskrivelse av hva som skal risikovurderes (nivået). I) Overordnet risikovurdering: Hele Vestland politidistrikt II) Spesifikk risikovurdering: kryptorom Identifisere verdier (steg 1a) Klassifisere verdier (steg 1c) Leveranser Nøkkelverdi Understøttende verdier Verdidrifter (daglig ansvar for verdien) Beskriv de viktigste underleveransene. Eksempel: Skjermingsverdig informasjon Lokalisering Avhengigheter Klassifisere Begrunnelse Belys usikkerhet, beskriv bakgrunn for rangering SLIDE 8
Samfunnsni vå Virksomhetsnivå VERDIVURDERING - KONSEKVENSSKJEMA Liv og helse Omdømme Konsekvensskjema (steg 1b) Lav Middels Høy Svært høy IR Xx lettere skade på personell Ingen fare for omdømmetap og liten innvirkning på tillit Xx alvorlig skade på personell Omdømme kan skades. Mediedekning begrenset til nasjonal eller regional presse. Kan redusere tillit xx-xx dødsfall og alvorlig skade på personell Overhengende omdømmerisiko. Internasjonal mediedekning i store aviser. Kan alvorlige redusere tillit. Økonomi Over xx kr Over xx kr. Over xx kr. Over xx kr. Mer enn xx-xx dødsfall og alvorlig skade på personell Omdømme vil skades. XX antall internasjonale medieoppslag. Svært alvorlig redusert tillit. Klima og miljø Xx skade på klima og miljø Xx skade på klima og miljø Xx skade på klima og miljø Xx skade på klima og miljø Operativ drift Oppgaver eller mål kan fortsatt oppnås, men det må påregnes forsinkelser eller dårligere kvalitet. Utilfredsstillende kvalitet eller store forsinkelser av leveranser eller kun delvis oppfyllelse av forretningsmål. Delvis manglende evne til å levere oppgaver eller nå mål for kjernevirksomheten. Ikke evne til å levere kritiske oppgaver eller nå mål for kjernevirksomheten. Nasjonal sikkerhet og suverenitet Kan i noen grad medføre skadefølge Kan skade Alvorlig kan skade Helt avgjørende skadefølger Kritisk infrastruktur og kritiske samfunnsfunksjoner Oppgaver eller mål kan fortsatt oppnås, men det må påregnes forsinkelser eller dårligere kvalitet. Utilfredsstillende kvalitet eller store forsinkelser av leveranser eller kun delvis oppfyllelse av forretningsmål. Delvis manglende evne til å levere oppgaver eller nå mål for kjernevirksomheten. Ikke evne til å levere kritiske oppgaver eller nå mål for kjernevirksomheten. SLIDE 9
KARTLEGGING AV TRUSLER - KILDER Ekstern informasjon om trusler: Politiets sikkerhetstjeneste, PST (www.pst.politiet.no) Lokalt politidistrikt (www.politiet.no) Etterretningstjenesten (www.forsvaret.no) Nasjonal sikkerhetsmyndighet, NSM (www.nsm.stat.no) Politidirektoratet (www.politiet.no) Kripos (www.politiet.no/kripos) Statistisk sentralbyrå (www.ssb.no) Europol (www.europol.europa.eu) Interpol (www.interpol.int) Forsvarets sikkerhetsavdeling, FSA Direktoratet for samfunnssikkerhet og beredskap, DSB (www.dsb.no) Norsk senter for informasjonssikring, NorSIS (www.norsis.no) Nasjonalt sikkerhetsråd, NSR SLIDE 10
TRUSSELVURDERING - OVERSIKT Identifisere trusselaktører (steg 3b) Rangere av trusselaktører (steg 3c) Relevante trusselaktør Trusselkategori Intensjon Kapasitet Trusselnivå Begrunnelse Moderat Svært høy Høy Lav Usikkerhet: (kvalitativ beskrivelse) SLIDE 11
UTVIKLING OG UTVELGELSE AV SCENARIER Et scenario = Et mulig hendelsesforløp En sårbarhetsvurdering forutsetter et scenario! Scenariene velges ut i fra en vurdering av både hvilke verdier som skal beskyttes og hvilke typer trusler som anses som relevant. Hvordan kan trusselaktøren ramme verdien(eler grupper av verdier)? Alle fem(5) trusselkategoriene bør vurderes. De er: terror, sabotasje, kriminalitet, spionasje og subversjon. SLIDE 12
SCENARIER 1.1 Scenarioer Lag scenariotittel Beskriv scenarioforløp Lag liste over scenarioer Scenario (steg 4a) Scenario nummer: Berørte verdier: Trusselkategori: Trusselaktør: Scenariotittel: Beskrivelse av scenario: Kort beskrivelse av hendelsesforløpet: Hva inntreffer, når inntreffer det, hvor inntreffer det, hvordan inntreffer det? Kort beskrivelse av trusselaktørens intensjon og kapasitet Beskrivelse av hvordan verdiene rammes (f.eks. bilbombe, avlytting, tyveri, osv.). Hvilke andre verdier rammes direkte (førstehånds) og indirekte (andrehånds), f.eks. liv og helse, miljø, økonomi, omdømme? Kom det en advarsel om hendelsen i forkant (fra f.eks. terrororganisasjon, fra etterretning, fra andre kilder.)? Beskrivelse av tidspunktet når trusselen rammer (f.eks. tidspunkt på dagen, under et arrangement, osv.) Usikkerhet: (kvalitativ beskrivelse) SLIDE 13
SÅRBARHETSVURDERING Er en måling mellom beskyttelsen til en verdi og belastningen fra en trussel. All sårbarhetsvurdering skjer innen ett scenario for unike par av verdi og trussel. Eksempel: Et eksisterende vindu har en klasse BR4 mens analysen som også omfatter et tidsregnskap tilsier at vinduet burde være minst klasse BR? for å gi nok motstandstid for at tidsregnskapet skal gå opp. - Dette avdekker en sårbarhet i barrieren, som gir ramme for et krav til tiktak. SLIDE 14
IKKE BARE KLINGENDE MYNT Risikohåndtering: hvordan? En metode: overføring av risiko [forsikring] De aller fleste virksomheter håndterer risiko slik Men: Drammen 1997 angrepet på Bandidos SLIDE 15
SÅRBARHETSVURDERING Husk helheten!
PRESENTASJON AV RISIKOBILDET Regel nr 1: Presentasjonsmetode avstemmes med virksomhetens leder. Scenarie Lav risiko Moderat risiko Middels risiko Forhøyet risiko Svært høy risiko T-1 X T-2 X E-1 X S-1 X K-1 X SLIDE 17
Seniorrådgiver Bjørn Egeland Epost: bjorn.egeland@nsm.stat.no Mobil: +47 916 60 572 SLIDE 18