Standarder for risikostyring av informasjonssikkerhet Standardiseringsrådsmøte 13.mars 2012 Beslutningssak Mehran Raja
Bakgrunn for utredningen Difi har ferdigstilt 2 rapporter som anbefaler å se nærmere på standardisering innenfor risikoområdet Forprosjekt «Kartlegging av aktuelle anvendelsesområder og relevante sikkerhetsstandarder» Utredningen «Standarder for styring av informasjonssikkerhet» Viktigheten av risikovurderinger gjenspeiles i flere regelverk, spesielt i forbindelse med krav til styring av informasjonssikkerhet
Risikostyring vs. risikovurderinger Risikostyring Definere mål, omfang og avgrensning Gjennomføre Risikovurdering Identifisering av risiko Håndtere risikoer og implementere tiltak Overvåke og gjennomgå risikoer Analyse av risiko Evaluering av risiko
Offentlig sektors behov for risikostyring Offentlige virksomheter benytter forskjellige metoder for å styre risiko Gjør det vanskelig å forstå hverandres risikogradering Fører til at arbeid med risikostyring og styringssystemet for informasjonssikkerhet blir lite helhetlig og kostnadsdrivende Det viser seg at antallet ulike metodeverk gjør det vanskelig å vite hvilken som er best egnet for den enkelte virksomhet Standarder for risikostyring vil bidra til å gjøre det enklere for virksomhetene å etterleve kravene i regelverk
Kartlegging av standarder for risikostyring Kartleggingen viser følgende rammeverk som beskriver fullstendig prosess for risikostyring i forhold til informasjonssikkerhet: ISO/IEC 27005:2011 NIST Special Publication 800-39 ISACA The RiskIT Framework
Vurderinger av standarder for risikostyring Rapporten har identifisert at felles bruk av en, eller et bestemt sett av standarder, vil gi en mer enhetlig gjennomføring av risikoarbeid Alle 3 standardene for risikostyring har hver for seg vist å ha store nyttevirkninger Tilnærmingen er i generelle termer, noe som kan åpne opp for en rekke utfordringer i forhold til praktisk gjennomføring av de ulike aktivitetene. For å skille mellom hvem som er best egnet, har det spesielt blitt lagt vekt på hvilke standarder for styring av informasjonssikkerhet disse baserer på.
Risikostyring og styringssystem for informasjonssikkerhet ISO/IEC 27005 Tett kobling til ISO 27001 når det gjelder begrepsbruk, modeller og prosesser osv. Special Publication 800-39, NIST SP 800-39 er sterkt knyttet til SP 800-53, som er et rammeverk for styring av informasjonssikkerhet. The RiskIT Framework, ISACA Spesielt egnet for virksomheter som vil bruke COBIT som styringssystem for informasjonssikkerhet
Kartlegging av metoder for risikovurdering Følgende metodeverk er kartlagt i forbindelse med risikovurdering: TV-506:2002 (Datatilsynet) Risikovurdering en veiledning til Rammeverk for autentisering og uavviselighet i elektronisk kommunikasjon med og i offentlig forvaltning (Difi) NS 5814:2008 (Norsk Standard) Risikovurdering (Helsedirektoratet) Veiledning i Risiko- og sårbarhetsanalyse (NSM) OCTAVE (CERT) FAIR (Risk Management Insight)
Metoder for risikovurdering TV-506_02, Datatilsynet Veilederen er laget for å hjelpe virksomheter i prosessen med å gjennomføre risikovurderinger i samsvar med personopplysningsloven og forskrift til denne Forankring i overordnede rammer for risikostyring er ikke spesifisert Risikovurdering en veiledning til Rammeverk for autentisering og uavviselighet i elektronisk kommunikasjon med og i offentlig sektor, Difi Metoden som presenteres i veilederen er forenlig med prosess for risikostyring fra ISO/IEC 31000, som i sin tur er utgangspunkt for ISO/IEC 27005 og begrepstolkninger fra NS-ISO/IEC 73:2006 Oppsett og vurderinger er i stor grad sammenfallende med Datatilsynets veileder
Metoder for risikovurdering NS 5814:2008, Standard Norge Standarden er generell og kan anvendes på alle typer risikovurderinger, unntatt vurdering av økonomisk risiko som følge av forretningsmessige disposisjoner. Utformingen er med dette ikke spesielt tilpasset relevante utfordringer for informasjonssikkerhet. Prosessen for risikovurdering etter NS5814:2008 er planlegging, risikoanalyse og risikoevaluering Etterarbeidet, prosess for kontinuerlig oppfølging og overvåking av risikoer som en del av en virksomhets komplette risikostyring er ikke inkludert i standarden
Metoder for risikovurdering Norm for informasjonssikkerhet, Helsedirektoratet Med hjemmel i personopplysningsforskriften har Helsedirektoratet utarbeidet et støttedokument om risikovurderinger til Norm om informasjonssikkerhet. Hensikten med dokumentet er å hjelpe virksomheter i helsesektoren med å dokumentere tiltak og vise at deres behandling av informasjon utføres innenfor nivå for akseptabel risiko Dokumentet er på fem sider og adresserer både forarbeid, gjennomføring og etterarbeid som er relevant i forhold til arbeid med risikovurderinger
Metoder for risikovurdering ROS 2004 Veiledning, Nasjonal Sikkerhetsmyndighet Utviklet i samarbeid med NTNU kan benyttes frittstående for gjennomføring av ROS-analyser kan også inngå som metodeverk for å gi en praktisk tilnærming til andre rammeverk for risikostyring Begrepsbruken i veilederen er noe avvikene i forhold til ISO/IEC 27005
Metoder for risikovurdering OCTAVE (Operationally Critical Threat, Asset and Vulnerability Evaluation), CERT Metoden definerer strategi for vurdering og planlegging av sikkerhet med risiko som utgangspunkt. Stor utbredelse blant offentlige virksomheter internasjonalt Mye benyttet for å støtte opp under rammeverket til ISO/IEC 27005
Metoder for risikovurdering Factor Analysis of Information Risk (FAIR), Risk Management Insight Metodeverket FAIR kan benyttes frittstående, men er ment å styrke eller understøtte rammeverk for risikostyring av informasjonssikkerhet Flere kommersielle virksomheter benytter metoden for å understøtte rammeverk som ISO/IEC 27005, RiskIT, SP 800-39 osv.
Konklusjon standarder for risikostyring Av de evaluerte standardene for risikostyring av informasjonssikkerhet har det vist seg at ISO/IEC 27005 ved sin nære relasjon til ISO/IEC 27001 og ISO/27002 vil gi mest nyttevirkninger. ISO/IEC 27005 er dermed den eneste standarden som anbefales som forvaltningsstandard for risikostyring av informasjonssikkerhet
Konklusjon Metoder for risikovurdering Av de evaluerte metodene for risikovurdering anbefaler rapporten at «Risikovurdering en veiledning til Rammeverk for autentisering og uavviselighet i elektronisk kommunikasjon med og i offentlig forvaltning» bør benyttes som en «anbefalt forvaltningsstandard» i offentlig sektor Denne anbefalingen gjøres under forutsetning av at Difi inkluderer standarden i et formelt og åpent forvaltningsregime, gjerne i samarbeid med andre forvaltningsorganer eller andre virksomheter. Det anbefales også at Difi gjør en vurdering av muligheten for å inngå et samarbeid med NSM og Datatilsynet, for å lage et felles veiledningsregime for risikostyring av gradert og ugradert informasjon
Konklusjon Metoder for risikovurdering For gjennomføring av risikovurderinger i samsvar med personopplysningsloven anbefales Helsedirektoratets «Risikovurdering til Norm for informasjonssikkerhet» som en «anbefalt forvaltningsstandard» i offentlig sektor
Høringsuttalelser Vi har mottatt kommentarer fra NSM, Finanstilsynet, Difi, Helsedirektoratet og en privat person Konklusjonen i uttalelsene er ganske sammenfallende: ISO/IEC 27005:2011 Standard for risikostyring støttes Anbefalingen på støttedokumenter støttes ikke
Høringsuttalelser NSM har kommentert at veiledningen ikke er tilstrekkelig etter sikkerhetslovens krav. NSM er imidlertid positive til å delta i et arbeid sammen med Difi og andre aktuelle forvaltningsorganer for å utvikle en felles veiledningsregime på dette området. Difi: Selv om Difis veileder er bygget på diverse velkjente standarder og metoder, så bør det nok gjøres omfattende omskriving før den kan brukes som en generell metode for risikovurdering av informasjonssikkerhet. Det er ikke alltid sterk sammenheng mellom ISO 27005 og veiledningen når det gjelder begrepsbruk, struktur, og prosessoppbygging. Både NSM, Difi og Seip i Finanstilsynet understreker i uttalelsene sine behovet for at metodikker og støttedokumenter for risikovurderinger må tilpasses den enkelte virksomhet.
Anbefalinger til Standardiseringsrådet ISO/IEC 27005:2011 gjøres anbefalt for forvaltningen. Den vurderingen som er gjort i utredningen har fått ensidig positiv støtte og bør derfor opprettholdes. Difi sin veileder «Risikovurdering en veiledning til Rammeverk for autentisering og uavviselighet i elektronisk kommunikasjon med og i offentlig forvaltning» og Helsedirektoratets veileder til risikovurdering gjøres anbefalt for informasjon som ikke er underlagt sikkerhetslovens bestemmelser. Det har kommet noen kritiske bemerkninger til standardene og usikkerheten rundt fremtidig forvaltningsregime. Dette taler for å avvente med å anbefale disse standardene. Det er derimot viktig å få på plass noen standarder raskt, slik at offentlige virksomheter får felles metoder de kan benytte. Det anbefales derfor på tross av de kritiske spørsmålene og anbefale standardene, med forbehold om at Difi velger å prioritere arbeidet med å forvalte sin standard i tiden som kommer.