Prosjektveiviser for sikkerhet. Sikkerhet og Sårbarhet 2016/Jens Lien

Like dokumenter
Workshop: Informasjonssikkerhet i digitaliseringsprosjekter. NOKIOS 2015/Jens Lien

Kvalitetssikring av KS digitaliseringsprosjekter Sjekkliste informasjonssikkerhet og personvern

Hvordan håndterer du anskaffelser i IT-prosjekter? Bente Hagelien Mari Vestre Jannicke Klepp Tryggestad Lars Nokken

Hvordan bygge en ny kommune -Erfaringer med å jobbe med kommunesammenslåing som prosjekt i ulike faser

Innebygd personvern og personvern som standard. 27. februar 2019

Tiltaksplan for oppfølging av revisjonsrapport om systemforvaltning i Pasientreiser ANS

PROSJEKTVEIVISEREN LARS NOKKEN ELIN KRISTINE FJØRTOFT DIFI

PROSJEKTVEIVISEREN LARS NOKKEN ELIN KRISTINE FJØRTOFT DIFI

E-handel brukersamling 4. november

SLUTTRAPPORT FOR PILOTPROSJEKT DIGITALT TILSYN - ROOMMATE MIDTÅSENHJEMMET

Hvordan innovative anskaffelser og Prosjektveiviseren går utmerket hånd i hånd

KURS I PROSJEKTRAMMEVERK OG PROSJEKTVEIVISEREN 2.0. Trondheim Jens Nørve og Elin Kristine Fjørtoft

Case: NAVs personvern-prosjekt // Haakon Hertzberg // Partnerforum

MUSIT SAKSFRAMLEGG 2015

Digital strategi for HALD Februar 2019

Prosjektmetodikk i HSØ Prosjektveiviser

Nøkkelen til morgendagens personvern innebygd personvern

Lokal tilpasning og hensiktsmessig bruk av Prosjektveiviseren i den enkelte virksomhet

Personvern. GDPR - Hva er nytt og hva må du gjøre? EPJ og ES i praksis for dummies og viderekomne; leger og medarbeidere

Personvern og informasjonssikkerhet ved anskaffelser

Personvernforordningen, hva har vi gjort av praktiske grep siden sist i Overhalla?

Digitalisering i skolen Hva skal til for å lykkes? Workshop Harald Torbjørnsen 2017

Hvordan få ut gevinstene fra e-forvaltning? Jens Nørve

M1 - Konsept Ide' M2 -Konsept Utrede. M3- Planlegging. M4 -Gjennomføring

INFORMASJONSSIKKERHET & GDPR. Kundeforum 18.oktober

Ansvarlighetsprinsippet og virksomhetens plikter

Internkontroll og informasjonssikkerhet lover og standarder

Jens Nørve 3 september 2015

Undersøkelse om informasjonssikkerhet i Nasjonale felleskomponenter Spørreskjema Vedlegg til Difi-notat 2017:4

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:

Vurdering av personvernkonsekvenser (DPIA) - Vi vet hvorfor og når, men hvordan?

Personvern nytt landskap i #Oppdatert Tromsø 14. september 2017 Senioradvokat Simen Evensen Breen

UiO-admin prosjektrammeverk & opplæring per V Kort oppsummert

2.13 Sikkerhet ved anskaffelse

VEDLEGG A UTKAST TIL LEVERANSEBESKRIVELSE

Personvern - sjekkliste for databehandleravtale

Forvaltningsrevisjon IKT sikkerhet og drift 2017

Styringsdokument Prosjekt Tilgangsstyringsgrupper 29. mai 2018 kun med prosjekteigar

Nye personvernregler

SELVDEKLARERING for IKT-relaterte satsingsforslag

Felles grunnmur for digitale tjenester. Sikkerhetsinfrastruktur Normkonferansen 2017

Milepælsplan Prosjektgjennomføring Hovli Omsorgssenter

Spørreundersøkelse om informasjonssikkerhet

Saksframlegg. Styret Pasientreiser HF 13/09/2017. SAK NR Behandling av personopplysninger - oppfølging av styresak

Gevinstrealisering i program Felles Infrastruktur og Arkitektur (FIA)

IT I PRAKSIS 2013 DIGITALISERING I OFFENTLIG SEKTOR STRATEGI, LEDELSE, TRENDER OG ERFARINGER

INF37000 Informasjonsteknologi og samfunn. Informasjonssikkerhet del 2 Innebygd personvern og sikkerhet

Departementenes oppfølging av informasjonssikkerheten i underliggende virksomheter

Saksnr. som inneholder: Godkjenning av møteprotokoll, administrerende direktørs orientering og orienteringssaker er utelatt.

Om respondenten. U.off jf. offl. 15. Virksomhetens navn: Hvem svarer på undersøkelsen: Virksomhetsleder (direktør) Andre (angi rolle):

Sikkerhet ved outsourcing. Espen Grøndahl IT-sikkerhetssjef UiO

Styret Sykehuspartner HF 2. mai 2018 FULLMAKT TIL ANVENDELSE AV BUDSJETTMIDLER FOR TILTAK INNEN INFORMASJONSSIKKERHET OG PERSONVERN

ekommune 2017 Prosessplan for god praksis om personvern

IN1030 Systemer, krav og konsekvenser. Innebygd informasjonssikkerhet. Audun Jøsang Institutt for Informatikk Universitetet i Oslo 28.

Fagseminar - Samfunnssikkerhet og beredskap i Østfold

Noen aktuelle tema for personvernombud i finans

REGLEMENT FOR KOMMUNALE BYGGEPROSJEKTER

Saksframlegg. Saksgang: Styret tar saken til orientering. Styret Sykehuspartner HF 3. september 2019 SAK NR

Ledersamling Øvre Eiker kommune 20.januar KS KommIT. Oslo

Digitaliseringsstrategi Birkenes kommune Vedtatt av RLG Digitaliseringsstrategi for Birkenes kommune 1

Nye personvernregler Hvordan blir organisasjonen i overensstemmelse med regelverket? Unicornis, 12. desember 2017

GDPR - Ny personopplysningslov - betydning for arkivsektoren? 18.april Seniorrådgiver Linda Svendsrud

Prosjektstyring i DFØ. Arbeidet med å etablere et rammeverk

IT-styring muligheter og utfordringer

Ny personopplysningslov. Per Bruvold Sikkerhetssjef/Personvernombud UNN, KVALUT oktober 2018

Bransjenorm et egnet virkemiddel for å håndtere et komplekst trusselbilde

Arbeid med handlingsplanen konkretisering av prosjekter og porteføljestyring. 28. august 2019 Sigurd Eriksson, ass. dir. Unit

Normens krav og anbefalinger fra kravspek til innføringsprosjekt. 31. oktober 2018

Myk eller sterk IT-styring? I dag og fremover!

muligheter og utfordringer

Case: Behov, risikovurderinger, informasjonssikkerhet

Overordnede risiko- og sårbarhetsvurderinger i helse- og omsorgssektoren

Samordnet regional digitalisering Ny tid : Nye krav : Nye svar

Gevinster av sterkere IKT-styring

Personvern i praksis, GDPR personvernforordningen erfaringer

Helse- og omsorgsdepartementet St.meld. nr Samhandlingsreformen

Presentasjon av veileder for tidligfase BA2015-konferanse

PROFF Gjentagende gode prosjekter

Ny sikkerhetslov og forskrifter

Informasjon interesseorganisasjoner

Personvern og informasjonssikkerhet ved samhandling

3.1. Visjon for digitalisering i Overhalla kommune Vi kan formulere følgende visjon for arbeidet med digitalisering i Overhalla kommune:

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001

IKT-STRATEGI

Kommunale fellesløsninger Fra visjon til virkelighet. Rune Sandland, Sjefsarkitekt

Elektroniske tjenester i offentlig sektor - Difis rolle. Hans Christian Holte

DigiBarnevern. Behovsliste for kommunale barnevernsløsninger. Versjon 0.7

Erfaringer fra tilsyn etter 4 år med. lov om kommunal beredskapsplikt

Rettslige krav til styring av informasjonssikkerhet. Karin Kristiansen og Amund Eriksen

Målbilde for XXX. Januar Versjon ARBEIDS OG VELFERDSETATEN Postadresse: Postboks 5, St. Olavs plass // 0130 OSLO

Risikoledelse i hverdagen mulig eller umulig? Linda Svendsrud Teamleder Rådgivning

IN1030 Systemer, krav og konsekvenser. Innebygd informasjonssikkerhet. Audun Jøsang Institutt for Informatikk Universitetet i Oslo 21.

Digital pasientsikkerhet, Normen og litt velferdsteknologi. Stavanger 4. juni 2019 Aasta Margrethe Hetland

Fremtidens skole Sauherad

Krav til ledelse og kvalitet

Universitetet i Oslo Enhet for lederstøtte

PEPPOL Directory CEF Grants 2018 Aksesspunkt forum EHF-konferansen 26.april. Oslo, 14.mars 2018 Jens Aabol, Seniorrådgiver Difi

Digitaliseringsstrategi

for prosjektet Digital kontaktinformasjon og fullmakter for virksomheter planleggingsfasen

Transkript:

Prosjektveiviser for sikkerhet Sikkerhet og Sårbarhet 2016/Jens Lien

Når man endelig har fått til noe - og lagd noe som er bra, så kommer det ei «knetakling» inn fra sikkerhetshold og ødelegger alt!

3

4 Vi ser alvorlig på de svakhetene som er avdekket. Større forbedringer forutsetter kompetanse og systematisk arbeid, men det er også mulig å oppnå bedre sikkerhet med tiltak som ikke krever store ressurser, sier Foss.

5 Prosjektveiviseren

Prosjektveiviseren Bidrar til bedre planlegging og prosjekteierstyring Felles modell for offentlig sektor: Erfaring og læring på tvers Mer effektiv samarbeid med leverandør/konsulentmiljøer 6

7 Prosjektveiviseren

8 Prosjektveiviseren

- En svakhet ved veiviseren er imidlertid hvordan arbeid med sikkerhet (og personvern) bortimot utelates fra prosjektprosessen.

Prosjektveiviseren og informasjonssikkerhet 10

11 Tillegg og utvidelser

Tillegg og utvidelser - Konsept Fange erfaringer: Etterspørre erfaringer fra sikkerhetsarbeid. Revisjonsrapporter. IT-politiske føringer: Eksisterende digitaliserings- eller sikkerhetsstrategier i organisasjonen? Felles sikkerhetskrav (ikke-funksjonelle krav) Nasjonale felleskomponenter (eks. ID-porten, Feide) Nasjonale anbefalinger/føringer (eks. Normen, veiledere fra datatilsynet) Utarbeide prosjektforslag Identifisere ansvarlig for informasjonssikkerhet 12

Tillegg og utvidelser - Planlegge Beskrive produkt/leveranser Bedømme kritikaliteskategori Tilpasse sikkerhetskrav (ikke-funksjonelle krav) basert på kritikalitetskategori Beskrive kvalitetskontroll/testrutiner mhp. sikkerhet. Krav til kompetanse og ferdigheter innen sikkerhet for utviklere/testere. Teknisk løsningsbeskrivelse Applikasjonsarkitektur med sikkerhetselementer. Egen sikkerhetsarkitektur? Grensesnittspesifikasjoner Bruk av felleskomponenter for sikkerhet Etablere prosjektplan Identifisere nødvendig arbeid for godkjenning av leveransen. Allokere sikkerhetsressurser (internt og hos leverandør) Kompetansetiltak? 13

Tillegg og utvidelser - Planlegge (forts) Beskrive prosjektorganisasjon Identifiser ansvar for informasjonssikkerhet i prosjektet. Utarbeide styringsdokumentasjon RoS-analyser for informasjonselementer, systemet, komponentene (interne og eksterne). Fokus på virksomhetsmessig risiko. Vurdere personvernkonsekvenser (Privacy Impact Assessment, prinsipper for innebygd personvern) Trusselmodellering. Faseplan (første) gjennomføringsfase Utdypende beskrivelse av sikkerhetsarbeid med fokus på samarbeid med leverandør(er). BP3 - Beslutte gjennomføring Er prosjektets kartlegging av risiko og tiltak for informasjonssikkerhet tilfredsstillende? 14

Tillegg og utvidelser - Gjennomføre Utvikle, teste og levere produkter Analyse av sikkerhetsarkitektur Analyse av angrepsflate (inkl fjerntilganger, utvikler-bakdører etc) Kodegjennomgang Etablere sikret testmiljø (både mhp. testdata og tilgangsstyring) Sikkerhetstest både knyttet til konkrete krav rundt f.eks. inputvalidering samt inntrengingstester og analyser av kjente svakheter/angrepsmetoder Gjennomføre anskaffelser og inngå kontrakter Følge opp forhold rundt sikkerhetsoppdateringer, spesielt tredjepartskomponenter Databehandleravtale Overlevere produkt til linjen Nødvendige sikkerhetsrelaterte prosedyrer og miljø er på plass (f.eks. for prosess for sikkerhetsoppdateringer, konfigurasjonskontroll) 15

Tillegg og utvidelser - Avslutte Avslutte og arkivere prosjektdokumentasjon Formell avslutning av kontrakter med fokus på oppfyllelse av sikkerhetskrav. Avslutte prosjektdokumentasjon: oppdatering av sikkerhetsrelevant informasjon. Avsluttende sikkerhetsgjennomgang. Etablere driftsplan for sikkerhet. Evaluere prosjektet og utarbeide sluttrapport Positive og negative erfaringer ifm. sikkerhetsarbeidet dokumentert for erfaringsoverføring. 16

Tillegg og utvidelser - Realisere Evaluering av konseptvalget I hvilken grad har sikkerhetsarbeid påvirket gevinstrealiseringen? 17

Risiko- og Sårbarhetsanalyser Planlegge: Krav og systemskisse RoS Reviderte krav Gjennomføre: Teknisk implementasjon RoS Forbedret løsning Avslutte: Realisert system RoS Herdet drift 18

19

Jens Lien jens.lien@bouvet.no twitter.com/jenslien

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding