VEILEDNING TIL RISIKOVU FORHOLD OG KRAV: TRUSSELBESKRIVELSE: SANNSYNLIGHETSGRADERING (S): KONSEKVENSGRADERING (K): TILTAK: FORVENTET EFFEKT AV TILTAK: OPPLEVD EFFEKT AV TILTAK:
URDERING Først vurderes og settes inn viktige krav og forhold som er kritiske i forhold til informasjonssikkerheten. D være lover, forskrifter, prosesser, rutiner/prosedyrer, system, arkiv, lokaler, osv. Feks Lovkrav om taushe Kort beskrive "trusselbilde", "hva kan skje", dvs. uønskede mulige situasjon(er), hendelse(r) eller handling kan oppstå og som kan representere en fare for informasjonssikkerheten. Kort beskrive mulige konsekve brukere, økonomi, ansatte, omdømme, osv. Kan uttrykkes som beskrivende tekst, eller i kroner. Feks Ma bevissthet og/eller opplæring kan føre til at taushetsbelagte opplysninger kommer på avveie. 1 = Lite sannsynlig 2 = Mindre sannsynlig 3 = Sannsynlig 4 = Meget sannsynlig 5 = Svært sannsynlig Hvor stor sannsynlighet er det for at trusselen inntreffer? 1 = Liten konsekvens (Dette lever vi godt med) 2 = Mindre konsekvens 3 = Middels konsekvens (Kan være uheldig) 4 = Stor konsekvens 5 = Svært stor konsekvens (Katastrofalt) Hvor alvorlige vil konsekvensene/skaden kunne være? Et tips til graderingen, er å tenke på hva som skal rette opp skaden igjen. Konsekvensgradering av at lover og forskrifter ikke blir oppfylt, settes alltid til 5. Om risikoen (sannsynlighet multiplisert med konsekvens) er > 10, må det iverksettes risikoreduserende t kan være forbyggende tiltak (redusere sannsynlighet for uønsket hendelse) eller skadebegrensende tiltak negative konsekvenser av uønsket hendelse). Vurder alltid tiltakets kostnad opp mot nytte. Tiltak for å ko redusere eller eliminere risiko bør holdes innenfor en "fornuftig kostnadsramme" og stå i forhold til effekte tiltaket. Før opp når tiltaket skal være gjennomført og hvem som er ansvarlig. Feks Opplæring i taushetsp nyansatte og årlig oppdateringskurs for alle. Innen 01.07/Ansvar: Fagkonsulenten Hvis ikke gjennomført, som avvik. Sett inn forventet ny risiko når planlagt tiltak er gjennomført. F.eks Utgangspunkt risko 16, når tiltak er gjennomført forventes risiko å gå ned til 8 (sett da 8 her). Sett inn opplevd ny risiko etter at planlagt tiltak er gjennomført. F.eks Utgangspunkt risko 16, etter at tiltak er gjennomført vurderes risikoen å ha gått ned til 8 (sett da 8 h Hvis tiltaket ikke har hatt den ønskede effekten, må nytt tiltak vurdreres iverksatt.
Dette kan etsplikt. g(er) som enser for anglende l til for å tiltak. Dette k (redusere ontrollere, en av plikten for registrer her).
S*K =Risiko (R) at trussel inntreffer at trussel inntreffer RISIKOVURDERING IKT-SYSTEM Sted: Dato: Ansvarlig: Gradering 1 FORHOLD OG KRAV Hva må vurderes? Nettsider med uønsket innhold som f.eks. - Porno - Gambling og uønskede spill - Vold, krig, terror TRUSSELBESKRIVELSE Hva kan skje, hva kan gå galt? Beskrivelse av trussel, årsak og virkning. Barn kan få uønskede og skadelige inntrykk uten voksnes nærvær. S = Sannsynlighet for K = Konsekvens av at 5 4 20 Å kunne opprette personlige kontoer på nettjenester med sin Google konto eller epostkonto Elev oppretter konto i sosiale medier og kommer i uønsket kontakt med tredjeperson utenfor skolens/foresattes kontroll. 5 5 25 Profilering av elever Elevene blir profilert via Cookies til eksempelvis reklameformål 4 2 8
Elever laster ned skadelig programvare En hacker kommer seg inn på en elev sin CB for å unstallere uønsket programvare for å hente ut data eller få tilgang til ressurser. 3 3 9 0
Opplevd effekt av gjennomført tiltak (faktisk ny R) Forventet effekt av gjennomført tiltak (forventet ny R) Elevers bruk av Internett Asker Feb 2019 Kai Erik Lund mal 02.01.2014 MÅL/TILTAK Risiko > 10: Forebyggende / skadebegrensende Beskrivelse av mål, tiltak og ansvarlig/frist: - Alle lærere har gjennomført opplæring fra UDIR i digital dømmekraft. Det jobbes kontinuerlig med opplæring av ansatte, foreldre og elever i nettvett. - har et såkalt nettfilter som sperrer for en del skadelig innhold. - er satt opp med reklameblokkering for å skjerme elevene mot reklame. - er sperret for såkalt inkognitomodus der elevene kan opptre skjult på nett. - er sperret for innlogging til noen av Google sine tjenester. Dette vil si at de kan se innholdet, men ikke publisere/delta. Tjenestene det per i dag er sperret for er Youtube, Google Plus og Blogger. I chatte- og videotjenesten Hangouts kan elevene kun kontakte andre i askerskolen - har Safe Browsing og Malicious Sites -funksjonalitet aktivert. Dette gjør at elevene får varsling med spørsmål om å fortsette før de aksesserer sider som kan inneholde malware og phishing innhold - Safe Search i Google er aktivert Alle lærere har gjennomført opplæring fra UDIR i digital dømmekraft. Det jobbes kontinuerlig med opplæring av ansatte, foreldre og elever i nettvett. OVERFØRT Løpenr. i Asker- Dialogen: 8 8 5 5 - Elevene får ikke personlig IP-adresse som er synlig utenfor Asker kommune. - Cookies kan ikke brukes til å knytte data opp mot personopplysninger så lenge eleven ikke dientifiserer seg. Det blir ikke gjort noen identifisering gjennom G Suite-konto. - Kommunens retningslinje er at CB kun skal brukes til skolearbeid hjemme der coockies kan knyttes til IPadresse - Google samler ikke data i G Suite for educationløsningen for reklameformål. 6 6 Det kjøres opplæring i nettvett til ansatte og elever. Alle har gjennomført UDIR sin opplæring i digital
- har Safe Browsing og Malicious Sites funksjonalitet aktivert. Dette gjør at elevene får varsling med spørsmål om å fortsette før de aksesserer sider som kan inneholde malware og phishing innhold - elevene er på eget nettverk som har tilpassede rettigheter - elever får kun tilgjengeliggjort godkjente apper og extensions som kan installeres 3 3
Risikofaktor RISIKOBILDE Klikk her for å gå tilbake til skjemaet Elevers bruk av Internet Sted: Asker Dato: Feb 2019 Ansvarlig: Kai Erik Lund 30 25 20 15 10 5 0 Nettsider med Å kunne opprette uønsket innhold som personlige kontoer f.eks. på nettjenester med - Porno sin Google konto - Gambling og eller epostkonto uønskede spill - Vold, krig, terror Profilering av elever Aspekt Elever laster ned skadelig programvare
tt Serie1 Serie2