NIFS 16. desember 2015 Internkontroll i praksis fra risikovurdering til risikohåndtering. Hvordan velge de rette sikkerhetstiltakene?
Dagens agenda Tid Agendapunkt Ansvarlig 10:00 Velkommen og nytt fra Difi Katrine Aam Svendsen / Caroline Ringstad Schultz / Håkon Styri 10:15 Nytt fra den enkelte virksomhet Alle 10:30 Difis veileder «Internkontroll i praksis informasjonssikkerhet» Katrine Aam Svendsen 10:50 Hvordan organisere og koordinere sikkerhetstiltak i en virksomhet? 11:30 Lunsj Remi Longva 12:15 Foranalyse Jan Sørgård 13:30 Kake og kaffe 13:45 Hvordan beskrive risiko? Katrine Aam Svendsen 14:00 Foreslå håndtering av risiko Katrine Aam Svendsen 14:45 Oppsummering og avslutning Katrine Aam Svendsen 15:00 God jul!
NYTT FRA DIFI
Nytt fra Difi Siden sist: Veileder i internkontroll Veileder for planlegging og gjennomføring av IKT-øvelser Nye eksempler på opplæringstiltak i delingsoversikten Lansert dilemmatrening Under arbeid: Versjon tre av veileder i kompetanse- og kulturutvikling Sikkerhetsmåned 2016 Øvelse 2016 Planlegger prosjekter for 2016 - sikkerhetsarkitektur og innebygd informasjonssikkerhet
Møtedatoer 2016 8. februar Tema: Hendelsesbeskrivelser 27. april Øvelse 7. september 23. november Kom gjerne med forslag til temaer.
NIFS Øvelse 2016 Gjennomføres 27. april 2016 Viktig aktivitet første kvartal 2016: Øvelsesplanlegging Vi ønsker en håndfull deltagere i arbeidsgruppe Vi regner med at det blir tre arbeidsmøter før øvelsen Vi tar utgangspunkt i øvelsesveilederen Det blir mulig å delta i planlegging med videokonferanse Interessert? Meld fra til hakon.styri@difi.no
Difis veiledningsmateriell INTERNKONTROLL I PRAKSIS - INFORMASJONSSIKKERHET
Difis veiledningsmateriell Nettbasert Målsetninger: Tydeliggjøre de sentrale prosessene i internkontroll/styringssystem Forklare innhold i prosesser og aktiviteter Gi råd rundt organisering og gjennomføring Eksempler og maler
Difis forklaringsmodell Hovedaktiviteter internkontroll informasjonssikkerhet
Oppbygning av veilederen Etableringsaktiviteter Systematiske aktiviteter Utdypninger av enkelte delaktiviteter Verktøy Maler Eksempler Bakgrunnsstoff Godt å vite og Nyttig
Betaversjon 7.0 Publisert i dag Siste betaversjon før Versjon 1.0 Oppdatert «Gjennomføre risikovurderinger» og «Overordnede styrende dokumenter» Inkludert eksempler på retningslinjer Nye verktøy for: Oversikt over tiltak Foranalyse
Pragmatisk Risikohåndtering
Hvordan organisere og koordinere sikkerhetstiltak i en virksomhet?
Sikkerhetsnivå Et definert sett av sikkerhetstiltak Jf. «security control baseline» hos NIST.
Grunnsikring Et felles grunnleggende sikkerhetsnivå for sentrale områder i en virksomhet
Virksomhetsprosess A Sys A Virksomhetsprosess B Sys B Virksomhetsprosess C Fellessystem 1 Fellessystem 2
Virksomhetsprosess A Sys A Risikoeier Virksomhetsprosess B Sys B Virksomhetsprosess C Fellessystem 1 Systemeier fellessystem Fellessystem 2
Risikoeier Vurderer risiko Har behov Tiltaksleverandør Har fagekspertise Tilbyr sikkerhetstiltak Virksomhetsprosess A Sys A
HR Bygg/fysisk IKT-drift Etc I tilfeller hvor sikkerhetstiltakene leveres av eksterne bør det alltid være en tiltaksansvarlig i virksomheten
Tiltaksleverandør Ansvarlig for sikkerhetstiltak Utformer, iverksetter og vedlikeholder Tilbyr sikkerhetstiltak som dekker virksomhetens behov Rapporterer status på sikkerhetstiltak Informerer risikoeiere om endringer som påvirker risiko Jf. «common control provider» hos NIST.
IKT-drift en sentral tiltaksleverandør Virksomhetsprosess A Virksomhetsprosess B Sys A Sys B Sys C IKT-operasjonsmiljø
Tilleggsikring Virksomhetsprosess A Sys A Grunnsikring Tilleggsikring knyttes til arbeidsoppgaver eller informasjonssystemer
Etablere grunnsikring Fase 1 Fase 2 Fase 3 Fase 4 Fase 5 Fase 6 Minimumsnivå: kjente behov + god praksis Risikovurdering + risikohåndtering av 2-4 pilotområder Velge: Grunnsikring Tilleggssikring Høring i virksomheten: sideeffekter - kostnader Beslutning Iverksettelse
Grunnsikring Felles forståelse av hvilken grunnleggende sikkerhet som er etablert i virksomheten Trygghet for at informasjonsbehandling har et visst grunnleggende nivå av sikkerhet Oversikt over sikkerhetstiltak på sentrale områder En grunnmur som ekstra sikkerhetstiltak kan bygges på der det er spesielle behov
Tiltaksstyrke Høy Lav Tiltaksstyrke Sårbarhet Lav Høy Jf. «control strength» i ISF IRAM2.
Oversikt
Oversikt
Nyttige konsepter Grunnsikring Tilleggssikring Tiltaksleverandør Tiltaksstyrke
Summeoppgave rundt bordet I deres virksomheter: Har dere strukturert oversikt over sikkerhetstiltakene? Hvis ja kan risikoeierne forstå det og bruke det i sitt arbeid? Kan man velge tilleggssikring hos dere? Hvordan kan Difis tilnærming hjelpe dere videre? 10-15 minutter
Bilde: Colourbox
Foranalyse Delaktivitet under risikovurdering Internkontroll i praksis informasjonssikkerhet Jan Sørgård
Noen sammenhenger Internkontroll informasjonssikkerhet Etableringsaktiviteter støtter Systematiske aktiviteter Foranalyse (delaktivitet)
Etableringsaktiviteter Utforme overordnede styrende dokumenter. Retningslinje Forståelse, aksept og håndtering av risiko
Etableringsaktiviteter Felles identifisering av typiske oppgave- og informasjonstyper
Systematiske aktiviteter Ledelsens styring og oppfølging Delegere og følge opp gjennom linjen Risikovurdering Foranalyse av ansvarsområde Taktisk oppdeling og gruppering Vurdere behov for risikovurderinger Gjennomføre risikovurdering
Foranalyse av ansvarsområde Identifisere hvilke arbeidsoppgaver utføres hvilke typer informasjon kan gi vesentlige konsekvenser ved informasjonssikkerhetsbrudd lover, regler, avtaler mv. med konkrete krav hvilke informasjonssystem o.l. benyttes i arbeidsoppgavene Vurdere potensielt konsekvensnivå på informasjonen, oppgaven samlet og systemene Vurderinger rundt størrelsen på typiske trusselaktører farekilder sårbarheter
Foranalyse av ansvarsområde Bør gjøres samtidig: Vurdere relaterte behov fra personopplysningsloven Behandlingsgrunnlag Melding og konsesjon Må følges opp gjennom egne rutiner i virksomheten f.eks. via virksomhetens personvernombud
Foranalyse - støtteverktøy Excel-ark med en rekke faner Skal benyttes av risikoeiere ledere / ledergrupper på de fleste nivå rundt om i virksomheten de som har fått delegert et mål- og resultatansvar for et område Kan justeres på virksomhetsnivå før det tas i bruk Enkle tilpasningsmuligheter også for risikoeiere Kan alternativt være inspirasjon til egne lignende støtteverktøy i den enkelte virksomhet
Start Deretter
Oppgave (grp. m. 3 personer) Prøv ut Difis støtteverktøy Dere sitter i ledergruppen til sosialseksjon hos Fylkesmannen i midtlandet (FMM) og skal bidra i en foranalyse av to oppgaver (O1 og O2) + system, trusselaktører, farer, sårbarheter Seksjonssjef er alt i gang og har fylt ut noe 1) Diskuter gjennom noen av temaene som skjemaene (fanene) tar opp og fyll inn etter hvert (35 min) Lat som om dere kjenner FMM Bruk hjelpefanen helt til venstre ved behov 2) Hvilke tilpasninger / vesentlige endringer ville dere i virkeligheten vurdert for en versjon hos dere? (10 min)
HVORDAN BESKRIVE RISIKO?
Utgangspunkt For å velge riktige tiltak må risikoen være klart beskrevet Hvordan velge tiltak for risikoene «Feil i databasen» «Brann» «Virusangrep»
Risikobeskrivelse Tre deler: 1. Karakteriser en uønsket hendelse 2. Karakteriser informasjonssikkerhetsbruddet 3. Nevn de mest relevante konsekvenskategoriene
Eksempel Risikobeskrivelse Istedenfor «Brann»: (1) Brann i serverrommet (2) Stopper alle IKT-system (3) Liv og helse, Tjenestenivå
Risikostørrelse (1) Estimere konsekvens På én eller flere konsekvenskategorier det mest forventede eller vanligste det vi frykter mest eventuelt et tredje alternativ som ligger imellom a og b, men som vi tror kanskje kan gi et høyere risikonivå Estimere tilhørende sannsynlighet På den/de valgte konsekvensen(e) Kombinasjonen av konsekvens og tilhørende sannsynlighet gir risikonivå
Risikostørrelse (2) Risikostørrelsen uttrykkes da gjennom: (1) konsekvenskategori (2) konsekvensnivå (3) sannsynlighetsnivå (4) risikonivå
Eksempel Risikostørrelse Vi hadde risikoen: (1) Brann i serverrommet (2) Stopper alle IKT-system (3) Liv og helse, Tjenestenivå
Eksempel Risikostørrelse (1) Vi hadde risikoen: (1) Brann i serverrommet (2) Stopper alle IKT-system (3) Liv og helse, Tjenestenivå Estimerer konsekvensen for denne konsekvenskategorien til «Moderat» Estimerer sannsynligheten for at Brann i serverrommet fører til at alle IKT-system stopper, som fører til en moderat konsekvens for vårt tjenestenivå til Lav
Eksempel Risikostørrelse (2) Risikostørrelsen blir da: Konsekvenskategori: Tjenestenivå Konsekvensnivå: Moderat Sannsynlighetsnivå: Lav Risikonivå: Lav
Uttrykke risiko Risikobeskrivelse + Risikostørrelse Tilpasset område og behov En risikobeskrivelse kan ha flere risikostørrelser.
Summeoppgave rundt bordet Kan dette gjøre det lettere å tydeliggjøre informasjonssikkerhetsrisikoer? 5 minutter
FORESLÅ HÅNDTERING AV RISIKOER
Foreslå håndtering av risikoer Forlengelsen av risikovurdering Mandatet styrer hvilke oppgaver som gjennomføres Resultatet av både Risikovurdering og Foreslå håndtering av risikoer er et beslutningsgrunnlag for risikoeier
Difis metode Basert på anerkjente metoder Støttespørsmål for å identifisere tiltak Anbefalt med en prosessleder som kjenner metoden og kan drive arbeidet
Metodens åtte steg Etablere felles referanseramme 1 Oppdatere analysen 2 Identifisere aktuelle tiltak 3 Vurdere risikoreduserende effekt, kostnad og uheldige sideeffekter 4 Velge håndtering og estimere restrisiko 5 Vurdere midlertidige tiltak 6 Beskrive kvalitet og kunnskapsstyrke 7 Utdype kostnadsestimat 8
Risikohåndteringsskjema
Gruppeoppgave Vi har risikobeskrivelsen: (1) Ansatte gjør feil (2) Sletter info i tilskuddssystemet (3) Rettssikkerhet, Vårt omdømme Med risikostørrelsen: Konsekvenskategori: Vårt omdømme Konsekvensnivå: Moderat Sannsynlighetsnivå: Moderat Risikonivå: Moderat I risikohåndteringsskjemaet: Identifiser aktuelle tiltak, og angi formålet Unngå, Dele, Forebygge, Oppdage, Reagere, Endre sikkerhetstiltak Vurder risikoreduserende effekt, kostnad og uheldige sideeffekter Høy, Middels, Lav Velg håndtering (og estimer restrisiko) Ja/Nei, og begrunnelse
OPPSUMMERING
Internkontroll i praksis - informasjonssikkerhet 2016: Fokus på formidling og bruk Kurs Ulike temaer (deler av materialet) og målgrupper Pilotvirksomheter Samlet gruppe for etableringsaktiviteter Enkeltdeler i ulike virksomheter Ta kontakt dersom dette høres interessant ut
Internkontroll i praksis - informasjonssikkerhet Alt er tilgjengelig på nettsiden: Internkontroll.infosikkerhet.difi.no Ta kontakt ved spørsmål og tilbakemeldinger infosikkerhet@difi.no Katrine.svendsen@difi.no
GOD JUL!