ROS analyse for samfunnskritiske IKT systemer. Utfordringer og muligheter 24/11-05

Like dokumenter
En praktisk anvendelse av ITIL rammeverket

ISO 41001:2018 «Den nye læreboka for FM» Pro-FM. Norsk tittel: Fasilitetsstyring (FM) - Ledelsessystemer - Krav og brukerveiledning

Sikkerhet, risikoanalyse og testing: Begrepsmessig avklaring

Den europeiske byggenæringen blir digital. hva skjer i Europa? Steen Sunesen Oslo,

Nye standarder for risikoanalyse/-styring Revisjon av Norsok Z-013

Innebygd informasjonssikkerhet hvordan ivareta sikkerhet i prosjekter?

Kontinuitetsplanlegging teori og praksis. Arve Sandve Scandpower AS ESRA,

Capturing the value of new technology How technology Qualification supports innovation

Forslag til. KMB-prosjekt vedr. miljøvennlig nettregulering

please register via stads-self-service within the registration period announced here: Student Hub

Risikostyring i et samfunnssikkerhetsperspektiv. Terje Aven Universitetet i Stavanger

Aldring av konstruksjoner og betydning av robusthet

Når risiko er uviss Nytten av å uttrykke og kommunisere grader av uvisshet i risikoanalyse. Audun Jøsang

FM strategi: Bruk av standarder for sourcing, effektivisering og dialog

Marin Prosjektering. IMT linjevalg 2012

SFI-Norman presents Lean Product Development (LPD) adapted to Norwegian companies in a model consisting of six main components.

Invitation to Tender FSP FLO-IKT /2013/001 MILS OS

ISO-standarderfor informasjonssikkerhet

Tor Haakon Bakken. SINTEF Energi og NTNU

Bruk av ALARP analyse for beslutningstaking på behovet for sikkerhetssystemer / barrierer

PAS 55 kvalitetsstandard for anleggsforvaltning i infrastrukturselskaper. Elsikkerhetskonferansen 2013 NEK

Quality Policy. HSE Policy

Informasjonssikkerhet En tilnærming

Hvordan komme i gang med ArchiMate? Det første modelleringsspråket som gjør TOGAF Praktisk

Endringsdyktige og troverdige systemer

DECRIS. Risk and Decision Systems for Critical Infrastructure (DECRIS. Risk and Decision Systems for Critical Infrastructure

Midler til innovativ utdanning

Tor Solbjørg (diplom. IR, statsautorisert revisor) Revisjonssjef Helse Nord RHF

Modelldrevet risikoanalyse med CORAS

Integrating Evidence into Nursing Practice Using a Standard Nursing Terminology

Cyberspace og implikasjoner for sikkerhet

Oversikt over standarder for. risikoanalyse, risikovurdering og risikostyring

RS402 Revisjon i foretak som benytter serviceorganisasjon

Nye krav i ISO 9001, hvilke er de og hvordan implementere disse i TQM? Ragna Karoline Aasen

A Study of Industrial, Component-Based Development, Ericsson

GIS - BASED STORMWATER MASTER PLANNING: SIMPLIFYING STORMWATER PROGRAM MANAGEMENT. Gregory V. Murphy, PE, ARCSA AP Jonathan A. Villines, EIT, CFM

Fakultet for informasjonsteknologi, Institutt for datateknikk og informasjonsvitenskap AVSLUTTENDE EKSAMEN I. TDT42378 Programvaresikkerhet

FM kompetanseutvikling i Statoil

Standarder for Asset management ISO 55000/55001/55002

Risikofokus - også på de områdene du er ekspert

Hva kreves av en god byggherre? «Store utbyggingsprosjekter», 23. okt 2014

Oversikt over standarder for. risikoanalyse, risikovurdering og risikostyring

Hva slags AAR-krav i framtida? Begrunnelse for Felt/Lab Performance. COIN fagdag 20. mai 2008 Terje F. Rønning, Norcem AS

Søknadsskjema Strategiske Partnerskap. Anne Kloster Holst Seniorrådgiver SIU Oslo

Climate change and adaptation: Linking. stakeholder engagement- a case study from

Erfaringer fra en Prosjektleder som fikk «overflow»

Internasjonal standardisering. Erlend Øverby

NY BESLUTNINGSSTØTTE FOR DE PREHOSPITALE AKUTTMEDISINSKE TJENESTENE FOR DIAGNOSTISERING VED HJELP AV SMART TEKNOLOGI

Helhetlig risikostyring hva er det og hvordan kan det implementeres Hermann Steen Wiencke

Public roadmap for information management, governance and exchange SINTEF

Aldrende innretninger status fra prosjektarbeid

Kurskategori 2: Læring og undervisning i et IKT-miljø. vår

Standarder for risikostyring av informasjonssikkerhet

Virginia Tech. John C. Duke, Jr. Engineering Science & Mechanics. John C. Duke, Jr.

Foredrag for EBL Regional- og sentralnettsdagene Hermann Steen Wiencke

Oppsummering av State-of-theart artikler fra International Conference on Landslide Risk management, Vancouver. Presentert av Unni K.

From Policy to personal Quality

Bruk av risikoverktøy i byggeprosjekter, eksempel Strindheimstunnelen

Welcome to RiskNet open workshop

Følger sikkerhet med i digitaliseringen?

Vedlikeholdsstyring ved aldring og levetidsforlengelse Petroleumtilsynets vedlikeholdsseminar v Livar Haga

EXPERIENCE FROM ADAPTATION TO CLIMATE CHANGE AND. Dag Olav Høgvold Senior adviser

Hvis vi erstatter mennesket med automasjon, vil vi da redusere antall ulykker innen maritim shipping?

Rutiner for samhandling mellom Mattilsynet og VKM vedlegg I sist revidert

ISO 9001:2015 Endringer i ledelsesstandarder

Innovasjonsvennlig anskaffelse

Jeanette Wheeler, C-TAGME University of Missouri-Kansas City Saint Luke s Mid America Heart Institute

PETROMAKS & Integrerte Operasjoner. Rådgiver Tor-Petter Johnsen, PETROMAKS

Hvordan oppnå forbedret risikobasert beslutningsunderlag i prosjekter?

Samfunnssikkerhet - hvordan påvirke internasjonale standarder innenfor samfunnssikkerhet?

SOCIAL SCIENCE AND FOOD SAFETY GOVERNANCE: RISK- ANALYSIS AND DECISION-MAKING FRAMEWORKS. Lampros Lamprinakis

Sluttrapport Deregulering og transportsikkerhet

Kost-nytte innen sikkerhet: Hva er prisen, hva er verdien, og hvordan prioritere blant tiltak?

Masterlinje mineralressurser / økonomisk geologi. Hva lærer du?

Oppdatert NORSOK N-005

Managing Risk in Critical Railway Applications

Miljøpåvirkning og legemiddelgodkjenning Hva sier regelverket? Steinar Madsen Statens legemiddelverk

Neil Blacklock Development Director

Infrastructure (DECRIS)

Risikoanalyse og integrerte operasjoner

Kundetilfredshetsundersøkelse FHI/SMAP

Integritetsstyring Et verktøy for økt ytelse

Hvordan ledere bør tenke når det gjelder risiko, risikoanalyse og risikostyring. Terje Aven Universitetet i Stavanger

Standarder med relevans til skytjenester

FM kompetanseutvikling i Statoil

Security events in Norway

Hvordan jobber reiselivsgründere med sine etableringer? Sølvi Solvoll Klyngesamling, Bodø

Luftfartstilsynets funn under virksomhetstilsyn.

Erfaringer med smidige metoder på store prosjekter i Telenor. Kristoffer Kvam, Strategic Project Manager, Portfolio & Projects, Telenor Norway

New steps in the municipal health and care staircase: Educating for new roles and innovative models for treatment and care of frail elders.

Risk Management and Societal Safety Masterprogrammes at University of Stavanger. Ole Andreas Engen

Itled 4021 IT Governance Governance, COBIT og ITIL

Eksamensoppgave i SFEL Samfunnsfaglige perspektiver på naturressursforvaltning

INF 5120 Obligatorisk oppgave Nr 2

A fool is a man who knows the price of everything, but the value of nothing

Security Risk Assessment in Software Development Projects

Andrew Gendreau, Olga Rosenbaum, Anthony Taylor, Kenneth Wong, Karl Dusen

Implementeringen av ROP retningslinjen; er GAP analyser et

E-navigasjon Juni 2014

Lovlig bruk av Cloud Computing. Helge Veum, avdelingsdirektør Difi, Oslo

Transkript:

ROS analyse for samfunnskritiske IKT systemer Utfordringer og muligheter 24/11-05 Hermann Steen Wiencke Proactima/Universitetet i Stavanger 1

Et samarbeid mellom Universitetet i Stavanger og Rogalandsforskning Ta kontakt med oss på: www.seros.no 2

Presentasjon Bakgrunn for BAS 5 prosjektet Utvikling av ROS metodikk Erfaringer: utfordringer og muligheter 3

BAS 5 prosjektet Formål Redusere sårbarheten av samfunnskritisk IKT, dvs. gjøre IKT systemene mer robuste mot ulike trusler, villede handlinger og ulykker. Finne frem til tiltak som kan redusere sårbarheten av IKT systemene Tekniske tiltak Organisasjon Arbeidsprosesser Regelverk og krav. Prioritere tiltakene, slik at man starter med de viktigste systemene og de mest effektive tiltakene. Påvirke design og utbygging av nye systemer. 4

BAS 5 - Fremgangsmåte Vurdering av etablert praksis/litteraturstudie. Etablert en risiko og sårbarhets analyseprosess som reflekterer helheten i BSA 5 prosjektet Etablere et rammeverk for valg av riktig metode: Vurdering av etablerte metoder og teknikker Gjennomgang av Case med bruk av utvalgte metoder Test av rammeverket klassifisering av problemstilling og valg av metode. (ikke komplette case) Oppdatering/forbedring av metode og rammeverk. 5

Evaluation, follow-up and monitoring of future development Helhetlig fremgangsmåte Identification of functionalities (systems and services) critical for society Identification of ICT systems that support the critical functionalities Risk Management Process Problem definition and information gathering Selection of methods for risk and vulnerability assessment Identification of potential threats/hazards effecting the ICT system. Perform consequence analysis for identified hazards and threats Perform casual analysis and assess uncertainties for identified hazards Establish the overall risk picture Identify, assess and evaluate measures for reducing risk and vulnerability Proposed priority of measures based on a holistic evaluation Management review and decision Identification of critical ICT 1) Establish context 2) Risk and vulnerability assessment 3 Alternative selection 6

Fokus område Basis for BAS 5 er en generell risikostyrings prosess Fokus vil være på de områdene der BAS 5 kan bidra til ny innsikt og kunnskap og forbedre risikostyringsprosessen. To hovedområder: Et rammeverk for valg av metode for risiko og sårbarhetsanalyser En helhetlig tilnærming som omfatter både sikkerhet og security. 7

Evaluation, follow-up and monitoring of future development Security Risk Management Process Problem definition, information gathering and planning Selection of methods for risk and vulnerability assessment Identification of potential threats/hazards effecting the ICT system. Perform consequence analysis for identified hazards and threats Perform casual analysis and assess uncertainties for identified hazards Establish the overall risk picture Identify, assess and evaluate measures for reducing risk and vulnerability Proposed priority of measures based on a holistic evaluation Safety 1) Establish context 2) Risk and vulnerability assessment 3 Alternative selection Management review and decision 8

Etablere Rammeverk Krav til rammeverket: Effektive og målrettet prosess Gir ønskede resultater Fornuftig ressursbruk Enkel å bruke Ikke papir eksersis Utnytter eksisterende kunnskap 9

Klassifisering og valg av metode Problem definition, information gathering and planning Classification of decision problem and selection of type of methodology Checklist/ Standards Coarse Risk and Vulnerability analysis. Model based Risk and Vulnerability analysis. Selection of specific method ISO. BS. ebios NSM. VAM Other.. TeleRisk.. CORAS CRAMM Other.. Perform analysis 10

Prinsipper for valg av metode Customer needs: Problem statement/needs Competencies available Resources available (personnel, money, time) Customer (ICT owner) identify frame conditions Characteristics of methods: Theoretical platform Competencies needed Resources needed Typical results The BAS 5 project describes available methods Selection of method Facilitated by the framework 11

Prinsipper for valg av metode Hva skal vi bruke resultatene til: -Prioritere tiltak -Komme frem til risikotall -Tilfredsstille lover og regler Hva karakteriserer systemet: -Komplekst (teknologi/organisasjon) -Noe nytt/uten erfaringser -Standard system/ har mye erfaring -Oversiktlig -Styrbarhet Hva er sannsyneligheten for at det feiler: - Sannsyneligheten for et angrep - Sårbarheten i forhold til naturhendelser - Sårbarheten i forhold til menneskelige feil Hva er konsekvensen av at det feiler: - Effekt i forhold til HMS - Effekt for velferd - Effekt på produksjon - Effekt på økonomi - Effekt for. Hva har vi av ressurser: -Kompetanse -Penger -Tid Hva forventer vi at tiltak koster: -Enkle tiltak -Store investeringer -.. Ikke en detaljert analyse men en klassifisering av problemstilling for å velge metode. 12

Klassifisering og valg av metode Problem definition, information gathering and planning Classification of decision problem and selection of type of methodology Checklist/ Standards Coarse Risk and Vulnerability analysis. Model based Risk and Vulnerability analysis. Selection of specific method ISO. BS. ebios NSM. VAM Other.. TeleRisk.. CORAS CRAMM Other.. Perform analysis 13

Sammendragstabell- etablerte metoder Framing Planning Identification of hazards Consequence threats analysis Cause analysis and uncertainties METHODS Safety Security Safety Security Establish risk picture Identify measures Evaluate mesures Priority of measures VAM N N N Checklist N N N N Checklist N N N Managerial review and decision C o m m e n t s Recommended Application Detailed tool for identification of vulnerabilities and measures CORAS Checklist Checklist Brain storming Brain storming Model based TeleRisk Questioner Questioner Brain storming Brain storming Expert judgment/ model based CRAMM NSM N N EBIOS Brain storming Brain storming Detailed evaluation form established for each method/tool N=not addressed 14

Risk manageme nt process Main activities Important issues Requirements To be filed in for each method: Method = xxxxx Establish context Problem definition: Description of goals for the assessment The background for the assessment? (poor performance, threats, regulation, ) -Use of results -Decisions supported Process for problem definition and establishing goals Identify relevant concerns, functions, performance measures and possible decision criteria System definition -Relevant concerns (political, ethical, precautionary, use of new technology, etc.) -Functions e.g. delivery of electrical power -Performance measures: damage levels, number of fatalities, quantities related to confidentiality, integrity, etc.) -Safety / security -ALARP processes -Risk acceptance criteria -Other requirements -Process for identifying relevant concerns, functions, performance measures and decision criteria Establish project team and establish project plan -Budget -Schedule -Selection of methodology Competencies -Risk analysis -Business/domain - Tools for facilitation of the planning process - Method for selection of risk assessment methodology Risk and vulnerabilit y analysis Identification of hazards and threats (and opportunities) -Selection of methodology -Covers both safety and security -Stimulate good discussion -Expose unknown hazards Argumentation for selected method Consequence evaluation -Selection of methodology -Barriers, assessments of barriers (functions, systems, influencing factors) -Vulnerability analysis -Consequence characterisation assessment (damage categories, and also aspects such as ubiquity, persistency, and mobilization) - Argumentation for selected methods Tools for facilitation of the assessment process 15

Sikkerhet / Security Risiko og sårbarhetsanalyse som omfatter både villede handlinger og ulykker 16

Sikkerhet / Security Risiko og Sårbarhetsanalyse Identifisere mulig trusler/farer (villede handlinger, ulykkeshendelser) Liste over villede handlinger og ulykkeshendelser Beskrivelse av konsekvens Identifisere krav til ressurser (ressursanalyse) Identifisere årsaker (årsaksanalyse) Identifisere aktører, motiv, kompetanse, $, tilstedeværelse Analysere usikkerhet (sannsynlighet) for om trussel/farer kan oppstå Etablere samlet risikobilde 17

Erfaringer 18

Utfordringer knyttet til IKT Komplekse systemer Vanskelig å få oversikt Mangler systemtegninger Mangler data Villede handlinger 19

Utfordringer knyttet til ROS analyser Hva er vanskelig Risiko; hva er det Klassifisering Etablering av risikomatrisen Beslutningskriterier/akseptkriterier Plassering av hendelser i en risikomatrise Lett å gjøre feil 20

Muligheter Det er gjort mye bra arbeid Det eksisterer mange verktøy Det er mye å lære fra andre bransjer/fagområder men Det er stor utfordring i etablere et system som er praktisk anvendbart og som kan bidra til at virksomheter med begrenset erfaring kan gjennomføre ROS analyser på en god måte 21

En ny tilnærming til risikostyring og samfunnssikkerhet. Ta kontakt med oss på: www.seros.no 22

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding