Standarder for risikostyring av informasjonssikkerhet

Like dokumenter
Avmystifisere internkontroll/styringssystem - informasjonssikkerhet

Rettslige krav til styring av informasjonssikkerhet. Karin Kristiansen og Amund Eriksen

Presentasjon sikkerhetsforum Avdelingsdirektør Arne Lunde Uh-avdelingen KD

Anbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet

Internkontroll i praksis (styringssystem/isms)

ISO Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen

Sekretariat for informasjonssikkerhet i UHsektoren. Rolf Sture Normann

Difis veiledningsmateriell, ISO og Normen

Aggregering av risiko - behov og utfordringer i risikostyringen

Utredning av standarder for styring av informasjonssikkerhet

Difis veiledningsmateriell for offentlig sektor internkontroll.infosikkerhet.difi.no

Revisjon av anbefalte standarder for styringssystem for informasjonssikkerhet

Veiledningsmateriellet Internkontroll i praksis - informasjonssikkerhet. For toppleder Oppdatert:

Revisjonsnotat høsten 2014

Sikkerhetsforum Styring og kontroll av informasjonssikkerhet. 19. desember 2013

Erfaringer med innføring av styringssystemer

Forvaltningsrevisjon IKT sikkerhet og drift 2017

Standardiseringsrådsmøte #4 i November 2015

Retningslinje for risikostyring for informasjonssikkerhet

«Standard for begrepsbeskrivelser»

Helhetlig risikostyring og informasjonssikkerhet. Knut Håkon T. Mørch PricewaterhouseCoopers Tlf.

Internkontroll og informasjonssikkerhet lover og standarder

Revisjon av informasjonssikkerhet

Berit Sørset, Norsk Industri Guri Kjørven, Standard Norge NS-ISO LEDELSESSYSTEMER FOR ARBEIDSMILJØ KRAV OG VEILEDNING OM BRUK

Hva er et styringssystem?

Sammenligning av ledelsesstandarder for risiko

Prioritering møte i Standardiseringsrådet Beslutningssak

Internkontroll/styringssystem i praksis informasjonssikkerhet. Andreas Grefsrud, seniorrådgiver seksjon for informasjonssikkerhet

Standardisering av krypto i offentlig sektor. Standardiseringsrådsmøte (beslutningssak)

Kvalitetssikring av KS digitaliseringsprosjekter Sjekkliste informasjonssikkerhet og personvern

Måling av informasjonssikkerhet ISO/IEC 27004:2016. Håkon Styri Seniorrådgiver Oslo,

Styringssystem i et rettslig perspektiv

Sikkert nok - Informasjonssikkerhet som strategi

Fylkesberedskapsrådet i Hordaland Styring og kontroll - informasjonssikkerhet. Øyvind Grinde Seksjonssjef for informasjonssikkerhet 18.

Grunnleggende datakommunikasjon sikker datakommunikasjon fra offentlige nettsteder

Metode for identifikasjon av dokumentasjon. Presentasjon i Skate

Standarder for sikker bruk av VPN med og i offentlig sektor

Risiko- og sårbarhetsanalyser: vær og veg. Arne Gussiås, Region midt

«Standard for begrepsbeskrivelser»

SUHS konferansen Infomasjonssikkerhetsspor (CSO)

Revisjon av IT-sikkerhetshåndboka

Kvalitetssikring av arkivene

Styringssystem for informasjonssikkerhet et topplederansvar

Risiko og sårbarhet knyttet til internkontroll. Charlotte Stokstad seniorrådgiver i Statens helsetilsyn 11. februar 2014

Metode for identifikasjon av dokumentasjon. 8 Norske Arkivmøte,

Guri Kjørven, Standard Norge NS-ISO LEDELSESSYSTEMER FOR ARBEIDSMILJØ KRAV OG VEILEDNING OM BRUK

Helhetlig arbeid med informasjonssikkerhet. Remi Longva

Informasjonssikkerhet i Norge digitalt Teknologiforum

Sikkerhetsforum 2018

Undersøkelse om informasjonssikkerhet i Nasjonale felleskomponenter Spørreskjema Vedlegg til Difi-notat 2017:4

NTNU Retningslinje for arbeid med sikkerhetskultur og opplæring innen informasjonssikkerhet

Revisjon av ISO 14001

Velkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) Susanne Helland Flatøy Markedssjef Digital Kvalitet

Informasjonssikkerhet. Øyvind Rekdal, 17. mars 2015

Høringssvar - Forslag til ny pasientjournallov og ny helseregisterlov

Direktoratet for forvaltning og ikt Besøksadresse Oslo: Besøksadresse Leikanger: Postboks 1382 Vika Oslo

Erfaringer med innføring av styringssystemer

Risikoanalysemetodikk

Hvordan styre informasjonssikkerhet i et dynamisk trusselbilde? Tommy Molnes Security Manager Digital Sikkerhet AS

Oppfølging etter Deepwater Horizon - Status og veien videre

Retningslinjer for risikostyring ved HiOA Dato siste revisjon:

Sikkerhetstiltak utforming av internkontrolltiltak på informasjonssikkerhetsområdet

Veileder for sentral risiko- og sa rbarhetsvurdering (ROS) av et felles system i UH-sektoren

Følger sikkerhet med i digitaliseringen?

Tiltaksliste Informasjonsforvaltning og -utveksling

Digital kommunikasjon som hovedregel endringer i eforvaltningsforskriften

Standardiseringsarbeidet

Norm for Informasjonssikkerhet - Tor Ottersen

SIKKER SKY. Skyseminar Difi Lars Strand Dag Sandham NSM

Forebygging av misligheter og korrupsjon

Måling av informasjonssikkerhet i norske virksomheter

Hvordan sikre seg at man gjør det man skal?

Barrierestyring. Hermann Steen Wiencke PREPARED.

Sentrale krav til IKT-anskaffelser. Gardermoen, 16. januar 2014 Kristian Bergem, Difi

Måling av informasjonssikkerhet. Håkon Styri Seniorrådgiver Oslo,

Ny styringsmodell for informasjonssikkerhet og personvern

Oppfølging av informasjonssikkerheten i UH-sektoren

Styringssystem for informasjonssikkerhet

Styret Helsetjenestens driftsorganisasjon for nødnett HF 10.juni BESØKSADRESSE: POSTADRESSE: Tlf: Org.nr.

Sikkerhet, risikoanalyse og testing: Begrepsmessig avklaring

NS-EN Ledelsessystemer for kvalitet - NS-EN ISO 9001 for helseog omsorgstjenester

Kriterier for Difis anbefalinger til KMD om prioritering av tverrgående digitaliseringstiltak

Styringssystem basert på ISO 27001

Bedre personvern i skole og barnehage

VEILEDER OM KRAVET TIL SKOLEEIERS "FORSVARLIGE SYSTEM"

Departementenes oppfølging av informasjonssikkerheten i underliggende virksomheter

Digital pasientsikkerhet, Normen og litt velferdsteknologi. Stavanger 4. juni 2019 Aasta Margrethe Hetland

HVEM ER JEG OG HVOR «BOR» JEG?

Informasjonssikkerhet i kommunene. Gaute Wangen, seniorrådgiver Seksjon for digital sikkerhet, NTNU

KONTROLLSTRATEGI REISER UTEN REKVISISJON

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:

Hva gjør så KiNS og KS med GDPR?

Arbeidsgruppens behandling av rapporten Forberedende vurderinger av standarder d for. Møte i Standardiseringsrådet 16. mars 2010

Jorunn Bødtker Norsk Arkivråds seminar 20. mars 2018

Norsox. Dokumentets to deler

NS-ISO 38500:2008 Virksomhetens styring og kontroll av IT. IKT seminar August Nilssen Prosjektleder IKT Standard Norge

Rammeverk for risikostyring i Helse Midt-Norge

Etableringsplan. Internkontroll for informasjonssikkerhet og personvern

Seksjon for informasjonssikkerhet

Cyberspace og implikasjoner for sikkerhet

Transkript:

Standarder for risikostyring av informasjonssikkerhet Standardiseringsrådsmøte 13.mars 2012 Beslutningssak Mehran Raja

Bakgrunn for utredningen Difi har ferdigstilt 2 rapporter som anbefaler å se nærmere på standardisering innenfor risikoområdet Forprosjekt «Kartlegging av aktuelle anvendelsesområder og relevante sikkerhetsstandarder» Utredningen «Standarder for styring av informasjonssikkerhet» Viktigheten av risikovurderinger gjenspeiles i flere regelverk, spesielt i forbindelse med krav til styring av informasjonssikkerhet

Risikostyring vs. risikovurderinger Risikostyring Definere mål, omfang og avgrensning Gjennomføre Risikovurdering Identifisering av risiko Håndtere risikoer og implementere tiltak Overvåke og gjennomgå risikoer Analyse av risiko Evaluering av risiko

Offentlig sektors behov for risikostyring Offentlige virksomheter benytter forskjellige metoder for å styre risiko Gjør det vanskelig å forstå hverandres risikogradering Fører til at arbeid med risikostyring og styringssystemet for informasjonssikkerhet blir lite helhetlig og kostnadsdrivende Det viser seg at antallet ulike metodeverk gjør det vanskelig å vite hvilken som er best egnet for den enkelte virksomhet Standarder for risikostyring vil bidra til å gjøre det enklere for virksomhetene å etterleve kravene i regelverk

Kartlegging av standarder for risikostyring Kartleggingen viser følgende rammeverk som beskriver fullstendig prosess for risikostyring i forhold til informasjonssikkerhet: ISO/IEC 27005:2011 NIST Special Publication 800-39 ISACA The RiskIT Framework

Vurderinger av standarder for risikostyring Rapporten har identifisert at felles bruk av en, eller et bestemt sett av standarder, vil gi en mer enhetlig gjennomføring av risikoarbeid Alle 3 standardene for risikostyring har hver for seg vist å ha store nyttevirkninger Tilnærmingen er i generelle termer, noe som kan åpne opp for en rekke utfordringer i forhold til praktisk gjennomføring av de ulike aktivitetene. For å skille mellom hvem som er best egnet, har det spesielt blitt lagt vekt på hvilke standarder for styring av informasjonssikkerhet disse baserer på.

Risikostyring og styringssystem for informasjonssikkerhet ISO/IEC 27005 Tett kobling til ISO 27001 når det gjelder begrepsbruk, modeller og prosesser osv. Special Publication 800-39, NIST SP 800-39 er sterkt knyttet til SP 800-53, som er et rammeverk for styring av informasjonssikkerhet. The RiskIT Framework, ISACA Spesielt egnet for virksomheter som vil bruke COBIT som styringssystem for informasjonssikkerhet

Kartlegging av metoder for risikovurdering Følgende metodeverk er kartlagt i forbindelse med risikovurdering: TV-506:2002 (Datatilsynet) Risikovurdering en veiledning til Rammeverk for autentisering og uavviselighet i elektronisk kommunikasjon med og i offentlig forvaltning (Difi) NS 5814:2008 (Norsk Standard) Risikovurdering (Helsedirektoratet) Veiledning i Risiko- og sårbarhetsanalyse (NSM) OCTAVE (CERT) FAIR (Risk Management Insight)

Metoder for risikovurdering TV-506_02, Datatilsynet Veilederen er laget for å hjelpe virksomheter i prosessen med å gjennomføre risikovurderinger i samsvar med personopplysningsloven og forskrift til denne Forankring i overordnede rammer for risikostyring er ikke spesifisert Risikovurdering en veiledning til Rammeverk for autentisering og uavviselighet i elektronisk kommunikasjon med og i offentlig sektor, Difi Metoden som presenteres i veilederen er forenlig med prosess for risikostyring fra ISO/IEC 31000, som i sin tur er utgangspunkt for ISO/IEC 27005 og begrepstolkninger fra NS-ISO/IEC 73:2006 Oppsett og vurderinger er i stor grad sammenfallende med Datatilsynets veileder

Metoder for risikovurdering NS 5814:2008, Standard Norge Standarden er generell og kan anvendes på alle typer risikovurderinger, unntatt vurdering av økonomisk risiko som følge av forretningsmessige disposisjoner. Utformingen er med dette ikke spesielt tilpasset relevante utfordringer for informasjonssikkerhet. Prosessen for risikovurdering etter NS5814:2008 er planlegging, risikoanalyse og risikoevaluering Etterarbeidet, prosess for kontinuerlig oppfølging og overvåking av risikoer som en del av en virksomhets komplette risikostyring er ikke inkludert i standarden

Metoder for risikovurdering Norm for informasjonssikkerhet, Helsedirektoratet Med hjemmel i personopplysningsforskriften har Helsedirektoratet utarbeidet et støttedokument om risikovurderinger til Norm om informasjonssikkerhet. Hensikten med dokumentet er å hjelpe virksomheter i helsesektoren med å dokumentere tiltak og vise at deres behandling av informasjon utføres innenfor nivå for akseptabel risiko Dokumentet er på fem sider og adresserer både forarbeid, gjennomføring og etterarbeid som er relevant i forhold til arbeid med risikovurderinger

Metoder for risikovurdering ROS 2004 Veiledning, Nasjonal Sikkerhetsmyndighet Utviklet i samarbeid med NTNU kan benyttes frittstående for gjennomføring av ROS-analyser kan også inngå som metodeverk for å gi en praktisk tilnærming til andre rammeverk for risikostyring Begrepsbruken i veilederen er noe avvikene i forhold til ISO/IEC 27005

Metoder for risikovurdering OCTAVE (Operationally Critical Threat, Asset and Vulnerability Evaluation), CERT Metoden definerer strategi for vurdering og planlegging av sikkerhet med risiko som utgangspunkt. Stor utbredelse blant offentlige virksomheter internasjonalt Mye benyttet for å støtte opp under rammeverket til ISO/IEC 27005

Metoder for risikovurdering Factor Analysis of Information Risk (FAIR), Risk Management Insight Metodeverket FAIR kan benyttes frittstående, men er ment å styrke eller understøtte rammeverk for risikostyring av informasjonssikkerhet Flere kommersielle virksomheter benytter metoden for å understøtte rammeverk som ISO/IEC 27005, RiskIT, SP 800-39 osv.

Konklusjon standarder for risikostyring Av de evaluerte standardene for risikostyring av informasjonssikkerhet har det vist seg at ISO/IEC 27005 ved sin nære relasjon til ISO/IEC 27001 og ISO/27002 vil gi mest nyttevirkninger. ISO/IEC 27005 er dermed den eneste standarden som anbefales som forvaltningsstandard for risikostyring av informasjonssikkerhet

Konklusjon Metoder for risikovurdering Av de evaluerte metodene for risikovurdering anbefaler rapporten at «Risikovurdering en veiledning til Rammeverk for autentisering og uavviselighet i elektronisk kommunikasjon med og i offentlig forvaltning» bør benyttes som en «anbefalt forvaltningsstandard» i offentlig sektor Denne anbefalingen gjøres under forutsetning av at Difi inkluderer standarden i et formelt og åpent forvaltningsregime, gjerne i samarbeid med andre forvaltningsorganer eller andre virksomheter. Det anbefales også at Difi gjør en vurdering av muligheten for å inngå et samarbeid med NSM og Datatilsynet, for å lage et felles veiledningsregime for risikostyring av gradert og ugradert informasjon

Konklusjon Metoder for risikovurdering For gjennomføring av risikovurderinger i samsvar med personopplysningsloven anbefales Helsedirektoratets «Risikovurdering til Norm for informasjonssikkerhet» som en «anbefalt forvaltningsstandard» i offentlig sektor

Høringsuttalelser Vi har mottatt kommentarer fra NSM, Finanstilsynet, Difi, Helsedirektoratet og en privat person Konklusjonen i uttalelsene er ganske sammenfallende: ISO/IEC 27005:2011 Standard for risikostyring støttes Anbefalingen på støttedokumenter støttes ikke

Høringsuttalelser NSM har kommentert at veiledningen ikke er tilstrekkelig etter sikkerhetslovens krav. NSM er imidlertid positive til å delta i et arbeid sammen med Difi og andre aktuelle forvaltningsorganer for å utvikle en felles veiledningsregime på dette området. Difi: Selv om Difis veileder er bygget på diverse velkjente standarder og metoder, så bør det nok gjøres omfattende omskriving før den kan brukes som en generell metode for risikovurdering av informasjonssikkerhet. Det er ikke alltid sterk sammenheng mellom ISO 27005 og veiledningen når det gjelder begrepsbruk, struktur, og prosessoppbygging. Både NSM, Difi og Seip i Finanstilsynet understreker i uttalelsene sine behovet for at metodikker og støttedokumenter for risikovurderinger må tilpasses den enkelte virksomhet.

Anbefalinger til Standardiseringsrådet ISO/IEC 27005:2011 gjøres anbefalt for forvaltningen. Den vurderingen som er gjort i utredningen har fått ensidig positiv støtte og bør derfor opprettholdes. Difi sin veileder «Risikovurdering en veiledning til Rammeverk for autentisering og uavviselighet i elektronisk kommunikasjon med og i offentlig forvaltning» og Helsedirektoratets veileder til risikovurdering gjøres anbefalt for informasjon som ikke er underlagt sikkerhetslovens bestemmelser. Det har kommet noen kritiske bemerkninger til standardene og usikkerheten rundt fremtidig forvaltningsregime. Dette taler for å avvente med å anbefale disse standardene. Det er derimot viktig å få på plass noen standarder raskt, slik at offentlige virksomheter får felles metoder de kan benytte. Det anbefales derfor på tross av de kritiske spørsmålene og anbefale standardene, med forbehold om at Difi velger å prioritere arbeidet med å forvalte sin standard i tiden som kommer.

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding