Kontinuitet for IKT systemer

Like dokumenter
ISO Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen

UTS Operativ Sikkerhet - felles løft

Ny styringsmodell for informasjonssikkerhet og personvern

Dagens trusselbilde for IT-sikkerhetsbrudd og hvordan hanskes med det?

ISO 22301:2012 en introduksjon Årsmøte og seminar 12 Jun 2012 Arnfinn Roland

Sekretariat for informasjonssikkerhet i UHsektoren. Rolf Sture Normann

Internkontroll i praksis (styringssystem/isms)

Hvordan finne og realisere riktig IT-sikkerhetsnivå i din virksomhet? Arild S. Birkelund

Sikkerhetsforum Styring og kontroll av informasjonssikkerhet. 19. desember 2013

SUHS konferansen Infomasjonssikkerhetsspor (CSO)

Katastrofeløsninger Hva er sikkert nok og hva skal jeg velge? Steinar Aalvik, Atea

RISIKOVURDERING. Jan Fosse Seksjonssjef Avdeling Sikkerhetsstyring NSM NASJONAL SIKKERHETSMYNDIGHET

Sikkerhetsforum 2018

Avmystifisere internkontroll/styringssystem - informasjonssikkerhet

Revisjonen er gjennomført, hva nå? IT direktør Marina Daidian

November Internkontroll og styringssystem i praksis - Aleksander Hausmann

Kapittel 1 Forankring av IT-ansvar Kapittel 2 Oppgaver og ansvar i foretakets ledelseshierarki

Cyberspace og implikasjoner for sikkerhet

Revisjon av IT-sikkerhetshåndboka

SUHS konferansen 2012 CSO forum for sikkerhetsansvarlige. Rolf Sture Normann CSO, UNINETT

Atea Unified Storage. Hvilke byggeklosser består dette av og hvordan innføre det i din virksomhet? Arild S. Birkelund arild.birkelund@atea.

Regional IKT beredskapsplan

Informasjonssikkerhet En tilnærming

Følger sikkerhet med i digitaliseringen?

Informasjonssikkerhet i UH-sektoren

Regional IKT-beredskapsplan

Spørreundersøkelse om informasjonssikkerhet

Krav til utførelse av Sikringsrisikovurdering

Nasjonalt risikobilde nye utfordringer

DIREKTORATET FOR IKT OG FELLESTJENESTER I HØYERE UTDANNING OG FORSKNING

Risiko og Sårbarhetsanalyse på NTNU. Presentasjons av prosess

Standarder for risikostyring av informasjonssikkerhet

Sikkerhetsledelse fra en toppleders ståsted - Erfaringer fra DSS

Risikovurdering av Public 360

NTNU Retningslinje for fysisk sikring av IKTinfrastruktur

Sikkerhetsforum i UH sektoren

Veileder for sentral risiko- og sa rbarhetsvurdering (ROS) av et felles system i UH-sektoren

Design, gjennomføring og viderebruk av risikoanalyser. Per Myrseth 7. november 2013

Retningslinje for risikostyring for informasjonssikkerhet

RISIKOVILLIG, ELLER? mnemonic Risk Services Frokostseminar,

HELSETJENESTEN UNDER ANGREP AV E I V I N D H A N S E N, ADM D I R H A U K E L A N D U N I V E R S I T E T S S J U K E H U S

Kontinuitetsplanlegging teori og praksis. Arve Sandve Scandpower AS ESRA,

Integrering av IT i virksomhetens helhetlige risikostyring

Nytt fra sekretariatet


Erfaringer med innføring av styringssystemer

Områdereguleringsplan for Nordre del av Gardermoen næringspark I

Tredjepartsverifikasjon IKT

Erfaringer, tiltak og beredskapsplaner. Seksjonsleder Overvåking og kontroll Skh Sykehuspartner

Forelesning 5: Ledelse av informasjonssikkerhet, Menneskelige faktorer for info-sikkerhet

EGA Svar på spørsmål, oppdatert pr

Informasjonssikkerhetsprinsipper

Aggregering av risiko - behov og utfordringer i risikostyringen

Veileder til forskrift om sikring på jernbane Utvalgte tema, bransjemøte 12. juni Side 1

Seminar om betalingssystemer og IKT i finanssektoren,

Styringssystem for informasjonssikkerhet et topplederansvar

Fra sikkerhetsledelse til handling ambisjoner og forventninger

Det 7. norske arkivmøtet Informasjonssikkerhet i endringsprosesser. 6. April 2016

Risikovurdering for folk og ledere Normkonferansen 2018

Sikring av kritiske samfunnsfunksjoner Erfaringer fra Norge

Samfunnssikerhets- og beredskapsarbeid i Bærum kommune. Kommunestyremøte Presentasjon av rådmann Erik Kjeldstadli

Objektsikkerhet. Sikkerhetsloven gir krav til beskyttelse av både informasjon( 12) og objekt( 17b).

Introduksjon til risikovurdering

Saksframlegg. Saksgang: Styret Sykehuspartner HF 12. desember 2018 SAK NR UTDYPING AV VIRKSOMHETSRAPPORT SEPTEMBER Forslag til vedtak

Overordnet ROS analyse. Risiko og sårbarhetsanalyse for IKT

Metode for prosessforbedring

ROS- ANALYSE. For plan 2576P Detaljregulering for Atlantic hotel, Eiganes og Våland bydel Datert

PROSJEKTMANDAT PROSJEKTBESKRIVELSE. * Prosjektnavn Prosjektnummer. * Tilknytning til andre prosjekt og/eller program

Forvaltningsrevisjon IKT sikkerhet og drift 2017

Erfaringer fra revisjon av informasjonssikkerhet i statsforvaltningen

Hjelp til selvhjelp hvordan måle god arkivdanning? Marianne Høiklev Tengs Norsk Arkivråd 21.oktober 2015

Etablering av et ISMS Vi er i gang i SPK. Gunilla Fagerberg Grimsgaard

Brann i hurtigruteskipet Nordlys Ålesund Foto: Aftenposten

KARTLEGGING OG VURDERING AV VERDIER: MENNESKELIGE, TEKNOLOGISKE OG ORGANISATORISKE

Datasenterstrategi i SpareBank 1 Hvilke valg finnes mellom skyen og egen kjeller?

HELSE MIDT-NORGE RHELSEFORETAK STYRET

Sårbarhet i kraftforsyningen og forbedringsmuligheter

Mandat informasjonssikkerhet. Avdelingsdirektør Arne Lunde Uh-avdelingen KD

Egenevalueringsskjema

Overordnet risiko og sårbarhetsanalyse (ROS-analyse) Øvre Eiker kommune

Økonomidirektør og sjefssamling 2015

Håkon Olsen Overingeniør Lloyd s Register Consulting

Hvordan skal DFØ bidra til at statlige virksomheter forbedrer sin internkontroll

En bedre løsning for globalisering av SharePoint

Erfaringer med innføring av styringssystemer

Måling av informasjonssikkerhet. Håkon Styri Seniorrådgiver Oslo,

Modenhet rundt risikostyring i Energibransjen

Overordnet IT beredskapsplan

Revisjon av informasjonssikkerhet

Egenevalueringsskjema

Det enkle er ofte det beste. Arne Sødal Fagansvarlig - arne.sodal@matiq.no

05/ / /MB Erik Hansen,

Risiko- og sårbarhetsvurdering

UNINETT-konferansen 2017

Informasjonssikkerhet og internkontroll. DRI1010 forelesning Jon Berge Holden

Beredskap og Kontinuitetsstyring

Styret Helsetjenestens driftsorganisasjon for nødnett HF 15.mars BESØKSADRESSE: POSTADRESSE: Tlf: Org.nr.

Organisering av beredskapen- DSB som samordningsmyndighet. Elisabeth Longva, Avdelingsdirektør DSB 25. April 2017

IKT-sårbarhet i norsk kraftforsyning. Janne Hagen Forsker (PhD) og medlem av Lysne-utvalget

Transkript:

Kontinuitet for IKT systemer Innledning til kontinuitetsplanlegging for IKT Rolf Sture Normann, CSO UNINETT AS

Introduksjon IKT og andre automatiserte systemer er sentrale i de fleste organisasjoner i dag Det er avgjørende for en organisasjon å etablere prosesser som sikrer at disse systemene er operative uten kritisk lange avbrudd Kontinuitetsplanlegging bidrar til å etablere grundige planer og prosedyrer som kan bidra til at systemene på en effektiv måte kan reetableres etter et avbrudd som kan komme til å vedvare.

Inneholder IKT Kontinuitetsplanlegging består av planer, prosedyrer og tekniske beskrivelser som muliggjør en reetablering av kritiske IT systemer, operasjoner og data etter et avbrudd, enten dette skyldes katastrofe eller andre hendelser. Generelt inneholder kontinuitetsplanlegging en eller flere av følgende: Reetablere IKT operasjoner på en alternativ lokalisering Reetablere IKT operasjoner ved hjelp av alternativt IT utstyr Reetablere ved å benytte manuelle operasjoner for å gjøre virksomhetsprosesser (typisk bare for korte avbrudd).

Formål Bidra til at institusjonene utvikler og opprettholder en effektiv IKT kontinuitetsplan (ISCP) Bidra til å øke forståelsen av systemer og prosesser slik at man kan evaluere IKT systemene og hvilke prosesser de understøtter. Dermed gjøre riktige valg med tanke på hvor kritiske systemene er og gjøre riktige prioriteringer dersom en hendelse skulle oppstå Bidra til at man kan etablere reetableringsprosedyrer (recovery procedures).

Risikovurdering Alle IKT systemer er sårbare for forstyrrelser eller nedetid, enten dette er korte, mindre alvorlige eller lange, mer katastrofelignende hendelser Kontinuitetsplanlegging skal bidra til å redusere risikoen for at systemene uteblir ved å ha et spesielt fokus på kontinuitet av tjenester eller systemer. (SDLC) Risikostyring skal beskytte IT systemer fra 3 klassifiserte trusler: Natur (Storm, tornado, flom, brann etc..) Menneskelig (Brukerfeil, sabotasje, ødeleggende programvare, terror, hærverk etc) Miljø (Utstyrsfeil, programvarefeil, kommunikasjonsfeil, nettverk, strøm etc..) Risikostyringen skal avdekke trusler og sårbarheter slik at man kan etablere risikoreduserende tiltak. Det vil allikevel være en restrisiko. Det er her kontinuitetsplanlegging kommer inn i bildet. Risikostyring er viktig for kontinuitetsplanen!

Mange planer Kilde: NIST Special Publication 800-34

Ulike planers relasjoner Kilde: NIST Special Publication 800-34

Oppgaver IT Kontinuitetsplan (ISCP) Utarbeide kontinuitetsplan policy dokument Gjennomføre business impact analysis (BIA) Identifisere preventive tiltak som allerede er etablert Utvikle en kontinuitets-strategi Utvikle selve kontinuitetsplanen Planlegge testing av kontinuitetsplan og opplæring av denne Planlegge vedlikehold av planen

Kontinuitetsplanleggingen Kilde: NIST Special Publication 800-34

Utvikle Business Impact Analysis (BIA) Dette er en nøkkel aktivitet i ISCP Formål: Finne kritiske virksomhetsprosesser Linke kritiske virksomhetsprosesser til IKT systemer. På bakgrunn av dette komme frem til prioriteringer i reetableringen

BIA ny versjon Kilde: NIST Special Publication 800-34

BIAs 3 steg Bestemme virksomhetskritiske prosesser og tjenester Finne hvilke kritiske virksomhetsprosesser de ulike systemene betjener og vurdere konsekvensen ved bortfall. Vurdere maksimalt tillatt nedetid Identifisere krav til ressurser for reetablering Bestemme prioritet for reetablering (recovery) av systemer/ressurser Systemer linkes enda tettere til kritiske virksomhetsprosesser, og ved å vurdere kritikalitet og behov for ressurser kan man bestemme en prioritering av reetableringen Gjøres sammen med relevant representant fra ledelsen Systemeier/tjenesteeier

Identifisere konsekvens av nedetid og bestemme akseptable rammer for nedetid Nedetid og konsekvens av nedetid MTD: Maksimalt Tillatt Nedetid RTO: Recovery Time Objective RPO: Recovery Point Objective RTO og MTD henger sammen. RTO kan ikke være større enn MTD

ISCP Information Systems Contingency Plan Planen skal være: -Formet for å kunne leses raskt -Tydelig -Konsis -Enkel å implementere -Bruk sjekklister -Step by step prosedyrer Kilde: NIST Special Publication 800-34

Erfaringer Gjør problemstillingen så enkel å forstå som mulig Toppledelse må enes om hvilke tjenester som må være på plass Skjemavelde og for avanserte modeller kan være en felle Hvem skal aktivere planen? Det bli væl likar i mårrå?? Røyk ut egentlig MTD Be tjenesteeiere om en vurdering, presenter deretter regninga ;-) Prosedyrer for reetablering er mye arbeid

Prosjekt sammen HiOA Startfasen Komme frem til riktig nivå på skjematikk Høste erfaringer og utvikle beste praksis i UH Erfaringer skal deles

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding