Risikovurdering av Public 360

Like dokumenter
Risikovurderinger. Øivind Høiem CISA, CRISK, ISO Lead implementer. Sekretariat for informasjonssikkerhet, UNINETT. SUHS-konferansen 2015

Veileder for sentral risiko- og sa rbarhetsvurdering (ROS) av et felles system i UH-sektoren

Sekretariat for informasjonssikkerhet i UHsektoren. Rolf Sture Normann

Ny styringsmodell for informasjonssikkerhet og personvern

Retningslinje for risikostyring for informasjonssikkerhet

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:

Informasjonssikkerhet

Informasjonssikkerhet i UH-sektoren

Forvaltning av løsning/ avtaler,

Dokumentasjonsforvaltning

Kunnskapsdepartementets styringsmodell for informasjonssikkerhet i høyere utdanning og forskning

Innledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten

UNINETT-konferansen 2017

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001

Kommunens Internkontroll

Oppfølging av informasjonssikkerheten i UH-sektoren

Mandat informasjonssikkerhet. Avdelingsdirektør Arne Lunde Uh-avdelingen KD

Informasjonssikkerhet - Innføring velferdsteknologi Agder. KiNS-konferanse Stavanger juni 2019

GDPR-status fra en kommune

Veileder: Risikovurdering av informasjonssikkerhet

Policy for informasjonssikkerhet ved HSN

Avito Bridging the gap

Kvalitetssikring av arkivene

Retningslinjer for risikostyring ved HiOA Dato siste revisjon:

Strategi for informasjonssikkerhet

Internkontroll og informasjonssikkerhet lover og standarder

Presentasjon sikkerhetsforum Avdelingsdirektør Arne Lunde Uh-avdelingen KD

SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing. Informasjonssikkerhet og personvern Renate Thoreid

Veileder i personvern og informasjonssikkehet for helse- og sosialtjenester i kommuner Hva er det og trenger vi det?

Statlige universiteter og høyskolers ansvar for IKT-sikkerhet og digital hendelseshåndtering

IKT-strategi for UH-sektoren

Informasjonssikkerhet. Øyvind Rekdal, 17. mars 2015

Personvern og studieadministrasjon. Sadia Zaka Juridisk seniorrådgiver Unit

Informasjonssikkerhetsprinsipper

GDPR I DEN NORSKE OPERA & BALLETT. Spekter, 13. desember 2017

Status personvern Hedmark og Oppland fylkeskommuner

Ny organisering av Biblioteksystemkonsortiets virksomhet. Rådgivende gruppe BIBSYS-konferansen 2017

NTNU Retningslinje for fysisk sikring av IKTinfrastruktur

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget /11

Personvernerklæring for Flyt Høgskolen i Molde

UNIVERSITETS- OG HØGSKOLERÅDET ADMINISTRASJONSUTVALGET

DIREKTORATET FOR IKT OG FELLESTJENESTER I HØYERE UTDANNING OG FORSKNING

Om UNINETT FAS F e l l e s A d m i n i s t r a t i v e S y s t e m e r f o r u n i v e r s i t e t e r o g h ø g s k o l e r 1

GDPR ny personvernforordning. Styring via godt arbeid med informasjonssikkerhet

Policy for informasjonssikkerhet og personvern i Sbanken ASA

Forvaltningsrevisjon IKT sikkerhet og drift 2017

Styringssystem for informasjonssikkerhet ved Høgskulen i Volda

Mandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011

Evalueringsskjema. Foretakets nettbankvirksomhet. Foretakets navn : Dato: Underskrift : Dato: Versjon: 1.0

Risiko- og sårbarhetsvurdering av Office365 skyløsning

«ÅRETS ARKIV 2017» Grenlandssamarbeidet

Styresak Orienteringssak - Informasjonssikkerhet

Angrepet mot Helse Sør-Øst. Norsk sykehus- og helsetjenesteforening

Risikovurdering. Utgitt med støtte av: Støttedokument Faktaark nr 7 Versjon: 3.0 Dato:

Bransjenorm et egnet virkemiddel for å håndtere et komplekst trusselbilde

Nettskyen, kontroll med data og ledelsens ansvar

Personvernerklæring. 3) være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for («dataminimering»)

Personvernerklæring for Søknadsweb

Organisering av IKT i UH sektoren. IT-konferansen UIO

Informasjonssikkerhet og anskaffelser. Svanhild Gundersen Seniorrådgiver Seksjon for informasjonssikkerhet

Anbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet

Veiledningsmateriellet Internkontroll i praksis - informasjonssikkerhet. For toppleder Oppdatert:

Frist for innspill: 1. november Mottaker etter liste

Departementenes oppfølging av informasjonssikkerheten i underliggende virksomheter

Norm for Informasjonssikkerhet i Helsesektoren. Tor Ottersen

Krav til informasjonssikkerhet i nytt personvernregelverk

Arkivsystemer med skyløsninger

RETNINGSLINJE for klassifisering av informasjon

VEDLEGG A UTKAST TIL LEVERANSEBESKRIVELSE

Avvikshåndtering og egenkontroll

Personvern i skyen Medlemsmøte i Cloud Security Alliance

Vedrørende behandling av personopplysninger. mellom Norsk Tipping AS (BEHANDLINGSANSVARLIG) xx (DATABEHANDLER)

Databehandleravtale Pilot Digitalt Bortsettingsarkiv

SUHS-konferansen 2013 workshop MVA onsdag 30. oktober

INFORMASJONSSIKKERHET & GDPR. Kundeforum 18.oktober

Revisjon av informasjonssikkerhet

Felles arkitekturprinsipper for helse- og velferdsområdet

Personopplysninger og opplæring i kriminalomsorgen

Byrådssak 1191 /15. Klassifisering av informasjonssystemer i Bergen kommune ESARK

Transkript:

Risikovurdering av Public 360 Øivind Høiem Seniorrådgiver UNINETT AS SUHS-konferansen 2015

Informasjonssikkerhet som muliggjøreren! For at ny teknologi skal bli brukt må brukere ha tillit til den Informasjonssikkerhet er muliggjøreren for å ta i bruk ny teknologi Personopplysninger Pasientopplysninger Banktransaksjoner Forskningsdata og annen konfidensiell informasjon

Hva er risikovurdering? Når vi foretar en risikovurdering vil man: Identifisere uønskede hendelser, det vil si hendelser som kan føre til brudd på informasjonsverdienes konfidensialitet, integritet og tilgjengelighet Vurdere risikoen sannsynlighet kombinert med konsekvens for hver uønskede hendelse Evaluere og håndtere risikoen ved å foreslå beskyttelses- eller kontrolltiltak som begrenser risikoen

Hvorfor skal vi gjennomføre risikovurdering? Opprettholde tillit til et system eller en tjeneste Overholdelse av rettslige plikter Beskytte ansatte, studenter, innbyggere o.a. Opprettholde kvalitet Vedlikeholde oversikt over informasjonseiendeler Læring og spredning av kompetanse blant deltakerne i en ROS

ROS-workshop En ROS gjennomføres vanligvis som en workshop som kan ta noen timer eller opptil en dag Det bør være maksimum åtte deltakere Man bør ha en fasilitator som leder workshopen og en person som noterer ned det man kommer frem til Deltakerne bør ha kjennskap til tjenesten/systemet eller tilhørende infrastruktur, arbeidsprosesser osv. Gruppen kan være satt sammen av risikoeier, tjenesteeier, systemansvarlig, "superbruker" og tilsvarende roller. Man kan også ha med personer med generell kjennskap til for eksempel arkiv, økonomi, personal, IT, informasjonssikkerhet, eiendomsdrift eller studieadministrasjon

Sentrale ROSer av felles systemer i UH-sektoren Universiteter og høyskoler er pålagt gjøre risiko- og sårbarhetsvurderinger av sine systemer/tjenester Mange av systemene er felles systemer for flere institusjoner, med sentral konfigurasjon og drift, og lokal konfigurasjon og opplegg for bruk Det er laget en veileder som inneholder Sekretariat for informasjonssikkerhets anbefaling for risikovurdering av felles systemer Utfordringen er å sørge for at de behandlingsansvarlige er tilstrekkelig involvert, og at risikovurderingen er tilstrekkelig forankret i sektoren, uten at hver institusjon skal måtte gjøre sin egen risikovurdering av det sentrale systemet fra grunnen av

Ansvarsforhold Den enkelte institusjon har, som behandlingsansvarlig, det fulle ansvaret for at det gjøres en risikovurdering av det felles systemet institusjonen benytter. Institusjonen står ansvarlig overfor Datatilsynet, Riksrevisjonen og eieren KD. UNINETT har et ansvar for å forvalte de felles systemene på en slik måte at institusjonene kan oppfylle sine forpliktelser, og bidra til at sikkerheten blir ivaretatt.

Deltakere i felles ROS UNINETT inviterer, i samråd med prioriteringsråd et for systemet, til deltagelse i et behandlingsansvarlig-utvalg for en ROS Det oppgis hvilke roller/funksjoner som bør være representert i et utvalg for systemet. Institusjonene foreslår medlemmer UNINETT setter sammen utvalget Det bør være en viss bredde av institusjoner representert. Det må være en god sammensetning med hensyn på roller i forhold til systemet Utvalget forelegges prioriteringsrådet til uttalelse Utvalget opptrer som de behandlingsansvarliges representanter under ROS

ROS-workshop og -rapport UNINETT fasiliterer ROS-prosessen med bistand fra Sekretariat for informasjonssikkerhet i UH-sektoren UNINETT utarbeider ROS-rapport i samråd med utvalget I rapporten skilles det mellom funn ved det sentrale systemet som krever sentrale tiltak, og faktorer som har med lokal konfigurasjon og bruk å gjøre, som hver institusjon må ta inn i sin internkontroll. UNINETT forelegger ROS-rapporten for prioriteringsrådet og arbeidsutvalget

Tiltakshåndtering Prioriteringsrådet gjør en vurdering av funn og tiltak fra ROS-en. De vedtar hvordan ROS-en skal følges opp UNINETT oversender ROS-rapporten til institusjonene, med prioriteringsrådets vurderinger og vedtak vedlagt UNINETT og systemets arbeidsgruppe er ansvarlige for å gjennomføre de vedtatte tiltakene som gjelder det sentrale systemet Hver enkelt institusjon følger opp funn og tiltak fra ROS-en som angår lokal konfigurasjon og bruk

ROS-prosessen ROS-prosessen kan deles opp i følgende aktiviteter: 1. Kartlegging av informasjonsaktiva med verdivurdering 2. Identifisering av uønskede hendelser (risikoelementer) 3. Identifisering av eksisterende tiltak 4. Vurdering av risikonivå (konsekvens og sannsynlighet) 5. Tiltak i forhold til risikoelementer 6. Kategorisering og prioritering av tiltak 7. Godkjenning av tiltak 8. Iverksetting og oppfølging av tiltak Aktivitet 2 til 5 gjøres i en ROS-workshop

19. desember 2013 13

Risikoområder Virksomhetens eierskap til IKT Overordnet informasjonssikkerhetspolicy og retningslinjer Organisering av informasjonssikkerhet Ressurser Kompetanse og ferdigheter Medarbeidersikkerhet Arkitektur Arbeidsprosesser Etablering og vedlikehold av portefølje Innovasjon Beslutningsprosesser ved IKT-investeringer Anskaffelse, utvikling og vedlikehold av IKT-systemer/tjenester Leverandørrelasjoner Håndtering av informasjonsverdier Tilgang- og adgangsstyring Drift og forvaltning Infrastruktur Programvare Datakommunikasjonssikkerhet Kryptografi Malware og logiske angrep Sosial manipulering Tyveri eller ødeleggelse Utro tjenere Fysiske og miljørelaterte områder Geopolitiske forhold Håndtering av informasjonssikkerhetshendelser Kontinuitetsplaner Etterlevelse av lover, regler og avtaler Kommunikasjon

ROS for Public360 Holdt på Gardermoen 17. og 18. februar 2015 Deltakerne hadde forskjellig kompetanse innen Public360, IT-drift og informasjonssikkerhet ROSen ble fasilitert av UH-sektorens sekretariat for informasjonssikkerhet Første dag hadde fokus på teknologi samt drift og forvaltning av Public360 hos UNINETT, Software Innovation og Basefarm samt deres kommunikasjon mot institusjonene Dag to hadde fokus på risikoelementer ved bruk av Public360 hos institusjonene 19. desember 2013 15

Deltakere fra HiOA - Høgskolen i Oslo og Akershus UiA Universitet i Agder HBV Høgskolen i Buskerud og Vestfold FHI - Folkehelseinstituttet HiT Høgskolen i Telemark HiOf Høgskolen i Østfold Software Innovation Basefarm UNINETT AS 19. desember 2013 16

Risikonivå Det ble i ROSen identifisert 36 risikoelementer. Fordelingen mellom risikonivåene er vist i tabellen under. Risikonivå Høy Medium Lav Dag 1 3 14 2 Dag 2 7 8 0 Total 10 22 2 19. desember 2013 17

19. desember 2013 18

Konfidensialitet, integritet og tilgjengelighet Risikoelementenes konsekvenser ble også vurdert i forhold til de tre hovedparameterne i for informasjonssikkerhet; Konfidensialitet: uvedkommende får tilgang til konfidensiell eller sensitiv informasjon, Integritet: uønsket endring, sletting eller manipulering av informasjon og Tilgjengelighet: brukere får ikke tilgang til informasjon når de har behov for det. 19. desember 2013 19

Konfidensialitet, integritet og tilgjengelighet Informasjonssikkerhets parameter Konfidensialitet Integritet Tilgjengelighet Dag 1 11 8 13 Dag 2 9 3 6 Total 20 11 19 19. desember 2013 20

Risikoområder Risikoelementene som ble identifisert i ROSen berørte følgende risikoområder (i prioritert rekkefølge etter antall treff): Arbeidsprosesser Drift og forvaltning Kompetanse, ferdigheter og sikkerhetskultur Tilgang og adgangsstyring Håndtering av informasjonsverdier Ressurser Leverandørrelasjoner Malware og logiske angrep Overordnet sikkerhetspolicy og retningslinjer Kommunikasjon Kryptografi Etterlevelse av lover, regler og avtaler 19. desember 2013 21

19. desember 2013 22

19. desember 2013 23

19. desember 2013 24

19. desember 2013 25

19. desember 2013 26

19. desember 2013 27

19. desember 2013 28

19. desember 2013 29

19. desember 2013 30

19. desember 2013 31

Hovedfunn Det er identifisert mangler i beskrivelse av, og opplæring i arbeidsprosesser for drift, forvaltning og bruk av Public360. Dette gjelder for leverandørene (UNINETT, Software Innovation og Basefarm) forhold knyttet til blant annet kommunikasjon til institusjonene, testing, oppdateringer og feilretting. Når det gjelder bruk av Public360 hos institusjonene gjelder dette i hovedsak forvaltning av informasjon og rolle- og autorisasjonsstyring. Prioriteringsrådet bør se på behovet for sektorvide retningslinjer for blant annet dokumentfangst, skjerming av informasjon og metadata i Public360. Det anbefales at hovedtiltakene settes inn på disse områdene. 19. desember 2013 32

Andre funn Det er i tillegg bekymringer i forhold til manglende duplisering av kritisk kjernekompetanse i forhold til oppstart, konvertering og brukerimport hos UNINETT. Det anbefales at UNINETTs prosjektledelse for Public360 innføringen sammen med prioriteringsrådet bestemmer hvem som skal ha ansvar for å følge opp gjennomføringen av tiltakene som berører de sentrale partene UNINETT, Software Innovation og Basefarm 19. desember 2013 33

2026 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding