NIFS 16. desember 2015

Like dokumenter
Fylkesberedskapsrådet i Hordaland Styring og kontroll - informasjonssikkerhet. Øyvind Grinde Seksjonssjef for informasjonssikkerhet 18.

Øyvind Grinde, seksjonssjef

Sikkerhetstiltak utforming av internkontrolltiltak på informasjonssikkerhetsområdet

Risikovurdering - sett fra ISO og informasjonssikkerhet

Aggregering av risiko - behov og utfordringer i risikostyringen

Anbefalte delaktiviteter og dokumentasjon Støttedokument

Anbefalte delaktiviteter og dokumentasjon

Grunnleggende begreper Målgruppe: Fagansvarlig informasjonssikkerhet og virksomhetsledelsen

Etableringsplan. Internkontroll for informasjonssikkerhet og personvern

Veiledningsmateriellet Internkontroll i praksis - informasjonssikkerhet. For toppleder Oppdatert:

Oversikt. Remi Longva

Få oversikt og prioritere - et felles grunnlag for flere fagområder. Øyvind Grinde Seksjonssjef informasjonssikkerhet og datadeling

Spørreundersøkelse om informasjonssikkerhet

Internkontroll i praksis (styringssystem/isms)

Helhetlig arbeid med informasjonssikkerhet. Remi Longva

Internkontroll i praksis Informasjonssikkerhet: Måling, evaluering og revisjon. Workshop Måling av informasjonssikkerhet

Internkontroll/styringssystem i praksis informasjonssikkerhet. Andreas Grefsrud, seniorrådgiver seksjon for informasjonssikkerhet

Sikkert nok - Informasjonssikkerhet som strategi

Kommunikasjon med ledelsen hva kan Difi bidra med?

Avmystifisere internkontroll/styringssystem - informasjonssikkerhet

Grunnleggende innføring Målgruppe: Fagansvarlig informasjonssikkerhet og virksomhetsledelsen

Difis veiledningsmateriell for offentlig sektor internkontroll.infosikkerhet.difi.no

Orientering om plan for internkontroll for informasjonssikkerhet

Raskere digitalisering med god sikkerhet. Evry

Retningslinje for risikostyring for informasjonssikkerhet

Retningslinjer for risikostyring ved HiOA Dato siste revisjon:

Difis veiledningsmateriell, ISO og Normen

NIFS Nettverk for Informasjonssikkerhet Tema: Forberedelser til sikkerhetsmåneden. Barbro Lugnfors Seksjon for informasjonssikkerhet 22.mai.

Om respondenten. U.off jf. offl. 15. Virksomhetens navn: Hvem svarer på undersøkelsen: Virksomhetsleder (direktør) Andre (angi rolle):

Risikobasert arbeid med personvern

1. Kort forklaring av felles risikovurderingsmetodikk Oppsummering av risikovurderingene... 2

NIFS 9.september 2015

Informasjonssikkerhet og anskaffelser. Svanhild Gundersen Seniorrådgiver Seksjon for informasjonssikkerhet

Brudd på personopplysningssikkerheten

Risikobasert etterlevelse av pvf

Planlegging av øvelser

INTERNKONTROLL INFORMASJONSSIKKERHET, GDPR OG INFORMASJONSFORVALTNING I NVE

Undersøkelse om informasjonssikkerhet i Nasjonale felleskomponenter Spørreskjema Vedlegg til Difi-notat 2017:4

Internkontroll og informasjonssikkerhet lover og standarder

Møte i nettverk for informasjonssikkerhet - NIFS

Vedlegg B: Behandling i Standardiseringsrådet, DANE

Høring - Anbefalt standard for transportsikring av epost

Måling av informasjonssikkerhet. Håkon Styri Seniorrådgiver Oslo,

Veiledning- policy for internkontroll

Politikk for informasjonssikkerhet

Personopplysninger og opplæring i kriminalomsorgen

Etableringsprosjekt Sykehusinnkjøp HF. Status og risiko pr. 15.august 2016

Styresak Vedlegg 5. Prosessbeskrivelse risikostyring

Orden i eget hus, dokumentasjonsplikter og dokumentasjonsstrategi er vi allerede på vei? Kjetil Korslien, Hege Tafjord Difi 15.

Rettslige krav til styring av informasjonssikkerhet. Karin Kristiansen og Amund Eriksen

Forvaltningsrevisjon IKT sikkerhet og drift 2017

Kvalitetssikring av KS digitaliseringsprosjekter Sjekkliste informasjonssikkerhet og personvern

Koordinatorskolen. Risiko og risikoforståelse

Styringssystem for informasjonssikkerhet et topplederansvar

NIFS Nettverk for Informasjonssikkerhet Tema: Øvelse. Barbro Lugnfors Seksjon for informasjonssikkerhet

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget /11

Metode for identifikasjon av dokumentasjon. 8 Norske Arkivmøte,

Fagkurs for kommuner Arbeid med informasjonssikkerhet i egen virksomhet (45 minutter)

Presentasjon sikkerhetsforum Avdelingsdirektør Arne Lunde Uh-avdelingen KD

Stilling/navn Seksjonsleder sikkerhet/geir Hovind Fagansvarlig strategisk sikkerhet/christian Jacobsen

Nytt veiledningsmateriell om internkontroll - lanseringsseminar 23. mai Direktoratet for økonomistyring

Opprettet Opprettet av Petter Gjøstøl Vurdering startet Tiltak besluttet Avsluttet

Styringssystem for informasjonssikkerhet

Hva er et styringssystem?

Informasjonssikkerhet er et lederansvar. Topplederen er øverste ansvarlig for at virksomheten har et velfungerende system for

HMS-forum Tirsdag 12 mars Risikovurdering som verktøy i daglige beslutninger

Seksjon for informasjonssikkerhet

Hvordan ha orden på internkontrollen?

Høringssvar - Forslag til ny pasientjournallov og ny helseregisterlov

NASJONAL SIKKERHETSMYNDIGHET

Saksgang: Styret Helseforetakenes senter for pasientreiser ANS 31/10/2016

Rammeverk for risikostyring i Helse Midt-Norge

Velkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) Susanne Helland Flatøy Markedssjef Digital Kvalitet

Mandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011

Riksrevisjonens erfaringer fra sikkerhetsrevisjoner

Risikovurdering av cxstafettloggen

Styret Helsetjenestens driftsorganisasjon for nødnett HF 10.juni BESØKSADRESSE: POSTADRESSE: Tlf: Org.nr.

Styret Helse Sør-Øst RHF 14. desember 2017

Veileder: Risikovurdering av informasjonssikkerhet

Ny sikkerhetslov og forskrifter

Kartlegging av data i store virksomheter erfaringer fra Statens vegvesen

Planlegging av sikkerhetsmåneden i SSB. Tore Eig, sikkerhetsrådgiver

Informasjonsmøte Samarbeidsforum internkontroll

Samordning og prosess

Veileder i kompetanse- og kulturutvikling innen informasjonssikkerhet

Tidstyvinnsatsen hva nå?

Veileder i kompetanse- og kulturutvikling innen informasjonssikkerhet

Metode for identifikasjon av dokumentasjon. Presentasjon i Skate

Krav til utførelse av Sikringsrisikovurdering

Risiko og risikoforståelse

Policy for Antihvitvask

Risikovurdering av elektriske anlegg

RISIKOANALYSE (Grovanalyse)

Styringsdokument for personvern, informasjonssikkerhet og beredskap

Forslag til tiltak basert på lærdommer fra prosjektet

ISO Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen

FELLES KOMPETANSELØFT I STATEN

Aktivitet Forberedelse, gjennomføring, rapportering og oppfølging av Risikoanalyse.

Tilsiktede uønskede handlinger

Transkript:

NIFS 16. desember 2015 Internkontroll i praksis fra risikovurdering til risikohåndtering. Hvordan velge de rette sikkerhetstiltakene?

Dagens agenda Tid Agendapunkt Ansvarlig 10:00 Velkommen og nytt fra Difi Katrine Aam Svendsen / Caroline Ringstad Schultz / Håkon Styri 10:15 Nytt fra den enkelte virksomhet Alle 10:30 Difis veileder «Internkontroll i praksis informasjonssikkerhet» Katrine Aam Svendsen 10:50 Hvordan organisere og koordinere sikkerhetstiltak i en virksomhet? 11:30 Lunsj Remi Longva 12:15 Foranalyse Jan Sørgård 13:30 Kake og kaffe 13:45 Hvordan beskrive risiko? Katrine Aam Svendsen 14:00 Foreslå håndtering av risiko Katrine Aam Svendsen 14:45 Oppsummering og avslutning Katrine Aam Svendsen 15:00 God jul!

NYTT FRA DIFI

Nytt fra Difi Siden sist: Veileder i internkontroll Veileder for planlegging og gjennomføring av IKT-øvelser Nye eksempler på opplæringstiltak i delingsoversikten Lansert dilemmatrening Under arbeid: Versjon tre av veileder i kompetanse- og kulturutvikling Sikkerhetsmåned 2016 Øvelse 2016 Planlegger prosjekter for 2016 - sikkerhetsarkitektur og innebygd informasjonssikkerhet

Møtedatoer 2016 8. februar Tema: Hendelsesbeskrivelser 27. april Øvelse 7. september 23. november Kom gjerne med forslag til temaer.

NIFS Øvelse 2016 Gjennomføres 27. april 2016 Viktig aktivitet første kvartal 2016: Øvelsesplanlegging Vi ønsker en håndfull deltagere i arbeidsgruppe Vi regner med at det blir tre arbeidsmøter før øvelsen Vi tar utgangspunkt i øvelsesveilederen Det blir mulig å delta i planlegging med videokonferanse Interessert? Meld fra til hakon.styri@difi.no

Difis veiledningsmateriell INTERNKONTROLL I PRAKSIS - INFORMASJONSSIKKERHET

Difis veiledningsmateriell Nettbasert Målsetninger: Tydeliggjøre de sentrale prosessene i internkontroll/styringssystem Forklare innhold i prosesser og aktiviteter Gi råd rundt organisering og gjennomføring Eksempler og maler

Difis forklaringsmodell Hovedaktiviteter internkontroll informasjonssikkerhet

Oppbygning av veilederen Etableringsaktiviteter Systematiske aktiviteter Utdypninger av enkelte delaktiviteter Verktøy Maler Eksempler Bakgrunnsstoff Godt å vite og Nyttig

Betaversjon 7.0 Publisert i dag Siste betaversjon før Versjon 1.0 Oppdatert «Gjennomføre risikovurderinger» og «Overordnede styrende dokumenter» Inkludert eksempler på retningslinjer Nye verktøy for: Oversikt over tiltak Foranalyse

Pragmatisk Risikohåndtering

Hvordan organisere og koordinere sikkerhetstiltak i en virksomhet?

Sikkerhetsnivå Et definert sett av sikkerhetstiltak Jf. «security control baseline» hos NIST.

Grunnsikring Et felles grunnleggende sikkerhetsnivå for sentrale områder i en virksomhet

Virksomhetsprosess A Sys A Virksomhetsprosess B Sys B Virksomhetsprosess C Fellessystem 1 Fellessystem 2

Virksomhetsprosess A Sys A Risikoeier Virksomhetsprosess B Sys B Virksomhetsprosess C Fellessystem 1 Systemeier fellessystem Fellessystem 2

Risikoeier Vurderer risiko Har behov Tiltaksleverandør Har fagekspertise Tilbyr sikkerhetstiltak Virksomhetsprosess A Sys A

HR Bygg/fysisk IKT-drift Etc I tilfeller hvor sikkerhetstiltakene leveres av eksterne bør det alltid være en tiltaksansvarlig i virksomheten

Tiltaksleverandør Ansvarlig for sikkerhetstiltak Utformer, iverksetter og vedlikeholder Tilbyr sikkerhetstiltak som dekker virksomhetens behov Rapporterer status på sikkerhetstiltak Informerer risikoeiere om endringer som påvirker risiko Jf. «common control provider» hos NIST.

IKT-drift en sentral tiltaksleverandør Virksomhetsprosess A Virksomhetsprosess B Sys A Sys B Sys C IKT-operasjonsmiljø

Tilleggsikring Virksomhetsprosess A Sys A Grunnsikring Tilleggsikring knyttes til arbeidsoppgaver eller informasjonssystemer

Etablere grunnsikring Fase 1 Fase 2 Fase 3 Fase 4 Fase 5 Fase 6 Minimumsnivå: kjente behov + god praksis Risikovurdering + risikohåndtering av 2-4 pilotområder Velge: Grunnsikring Tilleggssikring Høring i virksomheten: sideeffekter - kostnader Beslutning Iverksettelse

Grunnsikring Felles forståelse av hvilken grunnleggende sikkerhet som er etablert i virksomheten Trygghet for at informasjonsbehandling har et visst grunnleggende nivå av sikkerhet Oversikt over sikkerhetstiltak på sentrale områder En grunnmur som ekstra sikkerhetstiltak kan bygges på der det er spesielle behov

Tiltaksstyrke Høy Lav Tiltaksstyrke Sårbarhet Lav Høy Jf. «control strength» i ISF IRAM2.

Oversikt

Oversikt

Nyttige konsepter Grunnsikring Tilleggssikring Tiltaksleverandør Tiltaksstyrke

Summeoppgave rundt bordet I deres virksomheter: Har dere strukturert oversikt over sikkerhetstiltakene? Hvis ja kan risikoeierne forstå det og bruke det i sitt arbeid? Kan man velge tilleggssikring hos dere? Hvordan kan Difis tilnærming hjelpe dere videre? 10-15 minutter

Bilde: Colourbox

Foranalyse Delaktivitet under risikovurdering Internkontroll i praksis informasjonssikkerhet Jan Sørgård

Noen sammenhenger Internkontroll informasjonssikkerhet Etableringsaktiviteter støtter Systematiske aktiviteter Foranalyse (delaktivitet)

Etableringsaktiviteter Utforme overordnede styrende dokumenter. Retningslinje Forståelse, aksept og håndtering av risiko

Etableringsaktiviteter Felles identifisering av typiske oppgave- og informasjonstyper

Systematiske aktiviteter Ledelsens styring og oppfølging Delegere og følge opp gjennom linjen Risikovurdering Foranalyse av ansvarsområde Taktisk oppdeling og gruppering Vurdere behov for risikovurderinger Gjennomføre risikovurdering

Foranalyse av ansvarsområde Identifisere hvilke arbeidsoppgaver utføres hvilke typer informasjon kan gi vesentlige konsekvenser ved informasjonssikkerhetsbrudd lover, regler, avtaler mv. med konkrete krav hvilke informasjonssystem o.l. benyttes i arbeidsoppgavene Vurdere potensielt konsekvensnivå på informasjonen, oppgaven samlet og systemene Vurderinger rundt størrelsen på typiske trusselaktører farekilder sårbarheter

Foranalyse av ansvarsområde Bør gjøres samtidig: Vurdere relaterte behov fra personopplysningsloven Behandlingsgrunnlag Melding og konsesjon Må følges opp gjennom egne rutiner i virksomheten f.eks. via virksomhetens personvernombud

Foranalyse - støtteverktøy Excel-ark med en rekke faner Skal benyttes av risikoeiere ledere / ledergrupper på de fleste nivå rundt om i virksomheten de som har fått delegert et mål- og resultatansvar for et område Kan justeres på virksomhetsnivå før det tas i bruk Enkle tilpasningsmuligheter også for risikoeiere Kan alternativt være inspirasjon til egne lignende støtteverktøy i den enkelte virksomhet

Start Deretter

Oppgave (grp. m. 3 personer) Prøv ut Difis støtteverktøy Dere sitter i ledergruppen til sosialseksjon hos Fylkesmannen i midtlandet (FMM) og skal bidra i en foranalyse av to oppgaver (O1 og O2) + system, trusselaktører, farer, sårbarheter Seksjonssjef er alt i gang og har fylt ut noe 1) Diskuter gjennom noen av temaene som skjemaene (fanene) tar opp og fyll inn etter hvert (35 min) Lat som om dere kjenner FMM Bruk hjelpefanen helt til venstre ved behov 2) Hvilke tilpasninger / vesentlige endringer ville dere i virkeligheten vurdert for en versjon hos dere? (10 min)

HVORDAN BESKRIVE RISIKO?

Utgangspunkt For å velge riktige tiltak må risikoen være klart beskrevet Hvordan velge tiltak for risikoene «Feil i databasen» «Brann» «Virusangrep»

Risikobeskrivelse Tre deler: 1. Karakteriser en uønsket hendelse 2. Karakteriser informasjonssikkerhetsbruddet 3. Nevn de mest relevante konsekvenskategoriene

Eksempel Risikobeskrivelse Istedenfor «Brann»: (1) Brann i serverrommet (2) Stopper alle IKT-system (3) Liv og helse, Tjenestenivå

Risikostørrelse (1) Estimere konsekvens På én eller flere konsekvenskategorier det mest forventede eller vanligste det vi frykter mest eventuelt et tredje alternativ som ligger imellom a og b, men som vi tror kanskje kan gi et høyere risikonivå Estimere tilhørende sannsynlighet På den/de valgte konsekvensen(e) Kombinasjonen av konsekvens og tilhørende sannsynlighet gir risikonivå

Risikostørrelse (2) Risikostørrelsen uttrykkes da gjennom: (1) konsekvenskategori (2) konsekvensnivå (3) sannsynlighetsnivå (4) risikonivå

Eksempel Risikostørrelse Vi hadde risikoen: (1) Brann i serverrommet (2) Stopper alle IKT-system (3) Liv og helse, Tjenestenivå

Eksempel Risikostørrelse (1) Vi hadde risikoen: (1) Brann i serverrommet (2) Stopper alle IKT-system (3) Liv og helse, Tjenestenivå Estimerer konsekvensen for denne konsekvenskategorien til «Moderat» Estimerer sannsynligheten for at Brann i serverrommet fører til at alle IKT-system stopper, som fører til en moderat konsekvens for vårt tjenestenivå til Lav

Eksempel Risikostørrelse (2) Risikostørrelsen blir da: Konsekvenskategori: Tjenestenivå Konsekvensnivå: Moderat Sannsynlighetsnivå: Lav Risikonivå: Lav

Uttrykke risiko Risikobeskrivelse + Risikostørrelse Tilpasset område og behov En risikobeskrivelse kan ha flere risikostørrelser.

Summeoppgave rundt bordet Kan dette gjøre det lettere å tydeliggjøre informasjonssikkerhetsrisikoer? 5 minutter

FORESLÅ HÅNDTERING AV RISIKOER

Foreslå håndtering av risikoer Forlengelsen av risikovurdering Mandatet styrer hvilke oppgaver som gjennomføres Resultatet av både Risikovurdering og Foreslå håndtering av risikoer er et beslutningsgrunnlag for risikoeier

Difis metode Basert på anerkjente metoder Støttespørsmål for å identifisere tiltak Anbefalt med en prosessleder som kjenner metoden og kan drive arbeidet

Metodens åtte steg Etablere felles referanseramme 1 Oppdatere analysen 2 Identifisere aktuelle tiltak 3 Vurdere risikoreduserende effekt, kostnad og uheldige sideeffekter 4 Velge håndtering og estimere restrisiko 5 Vurdere midlertidige tiltak 6 Beskrive kvalitet og kunnskapsstyrke 7 Utdype kostnadsestimat 8

Risikohåndteringsskjema

Gruppeoppgave Vi har risikobeskrivelsen: (1) Ansatte gjør feil (2) Sletter info i tilskuddssystemet (3) Rettssikkerhet, Vårt omdømme Med risikostørrelsen: Konsekvenskategori: Vårt omdømme Konsekvensnivå: Moderat Sannsynlighetsnivå: Moderat Risikonivå: Moderat I risikohåndteringsskjemaet: Identifiser aktuelle tiltak, og angi formålet Unngå, Dele, Forebygge, Oppdage, Reagere, Endre sikkerhetstiltak Vurder risikoreduserende effekt, kostnad og uheldige sideeffekter Høy, Middels, Lav Velg håndtering (og estimer restrisiko) Ja/Nei, og begrunnelse

OPPSUMMERING

Internkontroll i praksis - informasjonssikkerhet 2016: Fokus på formidling og bruk Kurs Ulike temaer (deler av materialet) og målgrupper Pilotvirksomheter Samlet gruppe for etableringsaktiviteter Enkeltdeler i ulike virksomheter Ta kontakt dersom dette høres interessant ut

Internkontroll i praksis - informasjonssikkerhet Alt er tilgjengelig på nettsiden: Internkontroll.infosikkerhet.difi.no Ta kontakt ved spørsmål og tilbakemeldinger infosikkerhet@difi.no Katrine.svendsen@difi.no

GOD JUL!

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding