Sikkerhet, risikoanalyse og testing: Begrepsmessig avklaring



Like dokumenter
Komposisjon av risikomodeller:

Cyberspace og implikasjoner for sikkerhet

Hvordan teste en risikomodell

Oversikt over standarder for. risikoanalyse, risikovurdering og risikostyring

ISO-standarderfor informasjonssikkerhet

Modelldrevet risikoanalyse med CORAS

ROS analyse for samfunnskritiske IKT systemer. Utfordringer og muligheter 24/11-05

Kontinuitetsplanlegging teori og praksis. Arve Sandve Scandpower AS ESRA,

Oversikt over standarder for. risikoanalyse, risikovurdering og risikostyring

Hva er cyberrisiko? Bjørnar Solhaug. Seminar om cyberrisk, SINTEF, Technology for a better society 1

Informasjonssikkerhet En tilnærming

Bruk av risikoverktøy i byggeprosjekter, eksempel Strindheimstunnelen

Nye krav i ISO 9001, hvilke er de og hvordan implementere disse i TQM? Ragna Karoline Aasen

ISO 41001:2018 «Den nye læreboka for FM» Pro-FM. Norsk tittel: Fasilitetsstyring (FM) - Ledelsessystemer - Krav og brukerveiledning

Risikoanalysemetodikk

SIKKERHET OG TILLIT FRA ET TVERRFAGLIG PERSPEKTIV

Måling av informasjonssikkerhet. Håkon Styri Seniorrådgiver Oslo,

Måling av informasjonssikkerhet ISO/IEC 27004:2016. Håkon Styri Seniorrådgiver Oslo,

IEC Hovedprinsipper og veiledning

Erfaringer fra en Prosjektleder som fikk «overflow»

Den europeiske byggenæringen blir digital. hva skjer i Europa? Steen Sunesen Oslo,

Det 7. norske arkivmøtet Informasjonssikkerhet i endringsprosesser. 6. April 2016

Med kvalitet menes: WIKIPEDIA. STORE NORSKE LEKSIKON

Hvilken standard angår oss i arkivdanningen?

Helhetlig risikostyring og informasjonssikkerhet. Knut Håkon T. Mørch PricewaterhouseCoopers Tlf.

ISO/DIS 45001, INNHOLD OG STRUKTUR. Berit Sørset, komiteleder, Norsk Industri

PAS 55 kvalitetsstandard for anleggsforvaltning i infrastrukturselskaper. Elsikkerhetskonferansen 2013 NEK

ISO serien Asset management

RS402 Revisjon i foretak som benytter serviceorganisasjon

Risikostyring og systemsikkerhet i bygninger teori og praksis

Når risiko er uviss Nytten av å uttrykke og kommunisere grader av uvisshet i risikoanalyse. Audun Jøsang

Følger sikkerhet med i digitaliseringen?

Trondheim, SEMINAR: TA GREP OM ENERGIEN MED NS-EN ISO 50001:2018

Nye standarder for risikoanalyse/-styring Revisjon av Norsok Z-013

Marin Prosjektering. IMT linjevalg 2012

Rettslige krav til styring av informasjonssikkerhet. Karin Kristiansen og Amund Eriksen

Måling av informasjonssikkerhet i norske virksomheter

BUSINESS SERVICE MANAGEMENT

Standarder for Asset management ISO 55000/55001/55002

Common Safety Methods

ISO Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen

DE VIKTIGSTE ENDRINGENE I NYE ISO 9001:2015 OG ISO 14001:2015

Når bør cyberrisiko forsikres?

ISO 9001:2015 Endringer i ledelsesstandarder

En praktisk anvendelse av ITIL rammeverket

Standarder for risikostyring av informasjonssikkerhet

Veileder for virksomheter som skal gå fra ISO/IEC 27001:2005 til ISO/IEC 27001:2013

Styrende dokumenter og informasjonssikkerhet - erfaringer fra Hydro

Bedre prosjektvirksomhet med gode veiledere for prosjektledelse

Kort om meg. Master i informasjonssikkerhet (HiG) Pågående Master of Management ved BI - Risikostyring - Finansiell strategi - Strategisk ledelse

Når beste praksis rammeverk bidrar til bedre governance. Ingar Brauti, RC Fornebu Consulting AS

Forelesning 5: Ledelse av informasjonssikkerhet, Menneskelige faktorer for info-sikkerhet

Procedure / Procedure 00 Håndbok for Kvalitet, Miljø og HMS / Manual for Quality, Environment and Safety

Retningslinje for risikostyring for informasjonssikkerhet

Cyber-forsikring til hvilken pris?

ISOs styringssystemstandarder et verktøy for forenkling

Internasjonal standardisering. Erlend Øverby

ISMS for Offentlig sektor Dataforum

Det handler om å vite Christopher Kiønig KAM (ISO27001 LI)

Oppdatert NORSOK N-005

Vedlikeholdsstyring ved aldring og levetidsforlengelse Petroleumtilsynets vedlikeholdsseminar v Livar Haga

Oversikt over standarder for. Kvalitetsstyring

INFORMASJONSSIKKERHET

Oversikt over standarder for. Kvalitetsstyring

Guri Kjørven, ISO/CD :2015 LEDELSESSYSTEMER FOR ARBEIDSMILJØ

Nyttestyring og viktigheten av den gode kunde

Hva er et styringssystem?

Nyttestyring og viktigheten av den gode kunde. Magne Jørgensen

RISIKOVILLIG, ELLER? mnemonic Risk Services Frokostseminar,

Oversikt over standarder for. Kvalitetsstyring

SIKRING i et helhetsperspektiv

Asset Management. Compliance og Operasjonell Risiko. Asle Bistrup Eide. Presentasjon i VFF den 28. november 2012

Strategi med kunden i fokus

Hvordan oppnå forbedret risikobasert beslutningsunderlag i prosjekter?

Tingenes tilstand: Programvaresikkerhet i offentlig sektor

ISO standard for vurderingssprosesser

Innebygd informasjonssikkerhet hvordan ivareta sikkerhet i prosjekter?

Cybersikkerhet for vannbransjen Fra Jon Bing til Jon Gelius?

Kost-nytte innen sikkerhet: Hva er prisen, hva er verdien, og hvordan prioritere blant tiltak?

Hvordan håndheve sikkerhet med hensyn til endring

Risikofokus - også på de områdene du er ekspert

Kvalitetssikringssystemer i IKT Agder

Oversikt over metodar og teknikkar for å beskrive truslar. Mass Soldal Lund SINTEF IKT

Status for IMOs e-navigasjon prosess. John Erik Hagen, Regiondirektør Kystverket

Velkommen til RiskNets åpne arbeidsmøte om VoIP

Av Hanne Vefsnmo og Gerd Kjølle, SINTEF Energi AS

Transkript:

Sikkerhet, risikoanalyse og testing: Begrepsmessig avklaring Seminar om risikoanalyse og testing innen sikkerhet Bjørnar Solhaug SINTEF, 11. juni, 2013 Technology for a better society 1

Oversikt Risikoanalyse Testing Sikkerhet som kriterium for risikoanalyse og testing Sikkerhet vs. Safety & Security Risikoanalyse og testing mht. sikkerhet Kombinasjon av risikoanalyse og testing Test-drevet risikoanalyse Risiko-drevet testing Oppsummering Videre lesning Technology for a better society 2

Risikoanalyse Prosess Establishing the context Communication and consultation Risk assessment Risk identification Risk analysis Risk evaluation Risk treatment Monitoring and review ISO 31000:2009 Technology for a better society 3

Risikoanalyse Begreper Vulnerability Party Threat Asset Treatment Unwanted incident Likelihood Consequence Risk Technology for a better society 4

Testing Prosess Testing innebærer å kjøre et system (exercising a system) for å verifisere at den oppfyller gitte krav, og for å avdekke feil Systemet er ofte referert til som "system under test" (SUT) Test Planning Test Design & Implementation Test Environment Set-up & Maintenance Test Execution Test Incident Reporting Basert på ISO 29119 (Draft) Technology for a better society 5

Testing - Begreper Test planning Planlegge hva det skal testes for (e.g. funksjonalitet, sikkerhet, ytelse) og hvilke deler av systemet som skal testes Test design & implementation Utvikle test-caser og test-prosedyrer Test environment set-up and maintenance Etablere og vedlikeholde oppsett og omgivelse for testingen Test execution Gjennomføre test-caser og prosedyrer i den etablerte omgivelsen Test incident reporting Rapportering av identifiserte feil eller hendelser Technology for a better society 6

Sikkerhet som kvalitetskriterium Både risikoanalyse og testing kan utføres for ulike formål Hva ønsker vi å avdekke? Hva ønsker vi å oppnå? Hva ønsker vi å forstå bedre? Hva er våre kvalitetskriterier? Sikkerhets-risikoanalyse og sikkerhets-testing Spesialiseringer rettet mot å forstå og forbedre sikkerheten til systemer Spesialiseringen av formålet Risikoanalyse: Hva er våre aktiva og risiko-kriterier? Testing: Hva er vår målsetting (test objectives)? Formålet bestemmes av kvalitetskriteriene Technology for a better society 7

Hva betyr "sikkerhet"? Informasjonssikkerhet Safety Fysisk sikkerhet Technology for a better society 8

Sikkerhet vs. Safety & Security "Sikkerhet" brukes gjerne i betydningen til både "safety" og "security" Safety: Beskytte systemets omgivelser mot fare (hazard) for liv, helse, eiendom eller miljø Security: Beskytte systemet mot skade påført av trusler gjennom utnyttelse av sårbarheter Information security: Beskyttelse av konfidensialitet, integritet og tilgjengelighet av informasjon På norsk opererer man gjerne tilsvarende begrepsskille mellom sikkerhet og trygghet Sikkerhet = Security Trygghet = Safety For mange systemer (f. eks. kritiske infrastrukturer) er kriterier mht. både sikkerhet og trygghet viktig, i tillegg til flere andre kvalitetskriterier Technology for a better society 9

Risikoanalyse og testing mht. sikkerhet Risikoanalyse Testing Risiko-kriterier Test objectives Kvalitetskriterier Sikkerhet Trygghet Cybersikkerhet Informasjonssikkerhet Fysisk sikkerhet Helse Miljø Eiendom Konfidensialitet Integritet Tilgjengelighet Technology for a better society 10

Kombinasjon av risikoanalyse og testing Risikoanalyse og testing kan kombineres for gjensidig støtte Testdrevet risikoanalyse Systematisk bruk av testing som en del av risikoanalysen Testingen styres av aktiva og kriterier fra risikoanalysen Risikodrevet testing: Systematisk bruk av risikoanalyse som en del av testingen Risikoanalysen styres av test objectives Technology for a better society 11

Testdrevet risikoanalyse Risk analysis Testing Bruk av testing for å støtte risikoidentifikasjon Sårbarheter, trusler, scenarier og uønskede hendelser, Establishing the context Risk identification Testing process Bruk av testing for å validere/korrigere analysen Sårbarheter, sannsynligheter, konsekvenser, Risk estimation Risk evaluation Risk treatment Testing process Technology for a better society 12

Risikodrevet testing Testing Test Planning Risk analysis Risikoanalyse for å identifisere hvilke deler av systemet som bør testes Prioriterte risikoer for å optimalisere testdesign Identifisere test-caser Test Design & Implementation Test Environment Set-up & Maintenance Risk analysis Risk analysis Risikoanalyse for å prioritere testcaser Test Execution Test Incident Reporting Technology for a better society 13

Oppsummering Aktiva og risikokriterier Establishing the context Kvalitetskriterier Test Test Planning objectives Communication and consultation Risk assessment Risk identification Risk estimation Risk evaluation Risikoer og Risk treatment behandlinger Monitoring and review Responstid Sikkerhet Trygghet Informasjonssikkerhet Tillit Fysisk sikkerhet Konfidensialitet Ytelse Pålitelighet Test Design & Implementation Test Environment Set-up & Maintenance Test Execution Rapportering av feil/hendelser Test Incident Reporting Technology for a better society 14

Videre lesning Gencer Erdogan, Yan Li, Ragnhild Kobro Runde, Fredrik Seehusen, Ketil Stølen: Conceptual framework for the DIAMONDS project. Technical report, SINTEF A22798, SINTEF ICT, 2012 International Organization for Standardization: ISO 31000 Risk management Principles and guidelines, 2009 International Organization for Standardization / International Electrotechnical Commission: ISO/IEC 27001 Information technology Security techniques Information security management systems, 2005 International Organization for Standardization / International Electrotechnical Commission: ISO/IEC 27005 Information technology Security techniques Information security risk management, 2011 International Organization for Standardization / International Electrotechnical Commission: ISO/IEC 9126 Software engineering Product quality Part 1-4, 2001-2004. International Organization for Standardization / International Electrotechnical Commission / Institute of Electrical and Electronics Engineers: ISO/IEC/IEEE 29119 Software and systems engineering Software testing (under development) Technology for a better society 15

Relaterte prosjekter www.rasen-project.eu www.itea2-diamonds.org www.nessos-project.eu Technology for a better society 16