Måling av informasjonssikkerhet. Håkon Styri Seniorrådgiver Oslo,

Like dokumenter
Måling av informasjonssikkerhet ISO/IEC 27004:2016. Håkon Styri Seniorrådgiver Oslo,

Forelesning 5: Ledelse av informasjonssikkerhet, Menneskelige faktorer for info-sikkerhet

Følger sikkerhet med i digitaliseringen?

Erfaringer med innføring av styringssystemer

Sikkerhet, risikoanalyse og testing: Begrepsmessig avklaring

Måling av informasjonssikkerhet i norske virksomheter

Oversikt over standarder for. risikoanalyse, risikovurdering og risikostyring

Nye krav i ISO 9001, hvilke er de og hvordan implementere disse i TQM? Ragna Karoline Aasen

Oversikt over standarder for. risikoanalyse, risikovurdering og risikostyring

ISO-standarderfor informasjonssikkerhet

Oversikt over standarder for. Kvalitetsstyring

Internkontroll i praksis (styringssystem/isms)

Planlegging av øvelser

ISO 41001:2018 «Den nye læreboka for FM» Pro-FM. Norsk tittel: Fasilitetsstyring (FM) - Ledelsessystemer - Krav og brukerveiledning

Standarder for risikostyring av informasjonssikkerhet

Oversikt over standarder for. Kvalitetsstyring

RISIKOVILLIG, ELLER? mnemonic Risk Services Frokostseminar,

KJAPPE, BILLIGE SKYTJENESTER MEN HAR DU KONTROLL?

Oversikt over standarder for. Kvalitetsstyring

Spørreundersøkelse om informasjonssikkerhet

Fellestrekk og forskjeller i de ulike akkrediteringsstandardene

Guri Kjørven, Standard Norge NS-ISO LEDELSESSYSTEMER FOR ARBEIDSMILJØ KRAV OG VEILEDNING OM BRUK

Fylkesberedskapsrådet i Hordaland Styring og kontroll - informasjonssikkerhet. Øyvind Grinde Seksjonssjef for informasjonssikkerhet 18.

Erfaringer med innføring av styringssystemer

ISO Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen

Internkontroll og informasjonssikkerhet lover og standarder

Oversikt over standarder for. Kvalitetsstyring

Om respondenten. U.off jf. offl. 15. Virksomhetens navn: Hvem svarer på undersøkelsen: Virksomhetsleder (direktør) Andre (angi rolle):

Gjermund Vidhammer Avdelingsleder Governance, risk & compliance

SIKKERHET OG TILLIT FRA ET TVERRFAGLIG PERSPEKTIV

DE VIKTIGSTE ENDRINGENE I NYE ISO 9001:2015 OG ISO 14001:2015

Undersøkelse om informasjonssikkerhet i Nasjonale felleskomponenter Spørreskjema Vedlegg til Difi-notat 2017:4

November Internkontroll og styringssystem i praksis - Aleksander Hausmann

Sikkerhetsledelse et løpende og langsiktig arbeid. - Som ikke alltid gir raske resultater

Risikovurdering av cybersystemer

Risikoanalysemetodikk

UTFORDRINGER INTERNKONTROLL INTERNKONTROLL SOM SVAR KONTROLLKOMPONENTER KONTROLLMÅLSETTING. INTERNKONTROLL- FORSKRIFTEN (Helse og sosial)

Ny ISO 9001:2015. Disclaimer:

Security events in Norway

Retningslinje for risikostyring for informasjonssikkerhet

Neste generasjon ISO standarder ISO 9001

Bedre personvern i skole og barnehage

Hvordan styre informasjonssikkerhet i et dynamisk trusselbilde? Tommy Molnes Security Manager Digital Sikkerhet AS

Styremøte Helse Midt-Norge Presentasjon rapport evaluering internrevisjonen

Fremtidens trusler hva gjør vi? PwC sine fokusområder innen CyberSikkerhet og hvordan vi jobber inn mot internasjonale standarder

Internkontroll/styringssystem i praksis informasjonssikkerhet. Andreas Grefsrud, seniorrådgiver seksjon for informasjonssikkerhet

Hva er et styringssystem?

ISO/DIS 45001, INNHOLD OG STRUKTUR. Berit Sørset, komiteleder, Norsk Industri

Styringssystem basert på ISO 27001

SAK 10/17 - MØTE 01/17 SATSINGSOMRÅDE: ØKT BRUKERMEDVIRKNING

Common Safety Methods

Sekretariat for informasjonssikkerhet i UHsektoren. Rolf Sture Normann

Aggregering av risiko - behov og utfordringer i risikostyringen

Helhetlig arbeid med informasjonssikkerhet. Remi Longva

De tre sikkerhetsfaktorene. IT-sikkerhetsledelse og -krav. Hva er informasjonssikkerhet? Geir Ove Rosvold AITeL/HiST

En introduksjon til kontinuerlig leveranse. > Harald Schult Ulriksen

Helhetlig risikostyring og informasjonssikkerhet. Knut Håkon T. Mørch PricewaterhouseCoopers Tlf.

Internkontroll i praksis Informasjonssikkerhet: Måling, evaluering og revisjon. Workshop Måling av informasjonssikkerhet

Mål-, resultat- og risikostyring (MRR) i Forsvaret - Erfaringer i fra implementering. Oberstløytnant Marius L Johannessen Teamleder MRR-metodeteam

EDB Business Partner. Sikkerhetskontroller / -revisjoner

NS-EN ISO 9001:2015 ( basert på ISO/DIS 9001_2014)

Egenevaluering av internkontrollen

Difis veiledningsmateriell, ISO og Normen

ISOs styringssystemstandarder et verktøy for forenkling

En praktisk anvendelse av ITIL rammeverket

Den europeiske byggenæringen blir digital. hva skjer i Europa? Steen Sunesen Oslo,

Veiledningsmateriellet Internkontroll i praksis - informasjonssikkerhet. For toppleder Oppdatert:

Styret ved Vestre Viken HF 015/

HMS-forum Tirsdag 12 mars Risikovurdering som verktøy i daglige beslutninger

Krav til sikkerhet og personvern hos tjenestesteder som skal koble seg opp til en felles elektronisk pasientjournal

Sikkerhetsstyring for mindre virksomheter. Morgenmøte 24. november 2011

ISO 22301:2012 en introduksjon Årsmøte og seminar 12 Jun 2012 Arnfinn Roland

Styringssystem for informasjonssikkerhet et topplederansvar

Risikofokus - også på de områdene du er ekspert

Endringer i revidert ISO 50001

Veiledning- policy for internkontroll

April Kampen mot korrupsjon og misligheter Granskning og Forensic Services

Company name: Åkrehamn Trålbøteri AS

Hacking av MU - hva kan Normen bidra med?

Sikkert nok - Informasjonssikkerhet som strategi

Standarder for - styringssystemer - arbeidsmiljø Prosjektleder Guri Kjørven Standard Norge

Styringssystem i et rettslig perspektiv

Bedre prosjektvirksomhet med gode veiledere for prosjektledelse

NIFS 16. desember 2015

Informasjonssikkerhet i kommunene. Gaute Wangen, seniorrådgiver Seksjon for digital sikkerhet, NTNU

Innebygd personvern og personvern som standard. 27. februar 2019

Neste generasjon ISO standarder ISO 9001 og ISO Hva betyr det for din bedrift? DNV GL Business Assurance Norway AS SAFER, SMARTER, GREENER

NTNU Retningslinje for arbeid med sikkerhetskultur og opplæring innen informasjonssikkerhet

Analyse og valg av prestasjonsstyringssystemer for bedrifter og verdikjeder

Forventninger til HMS-system og etterlevelse

Berit Sørset, Norsk Industri Guri Kjørven, Standard Norge NS-ISO LEDELSESSYSTEMER FOR ARBEIDSMILJØ KRAV OG VEILEDNING OM BRUK

Krav til ledelse og kvalitet

Informasjonssikkerhet En tilnærming

Rettslige krav til styring av informasjonssikkerhet. Karin Kristiansen og Amund Eriksen

Øyvind Grinde, seksjonssjef

Risiko og sårbarhetsanalyser

ISO27001 som del av forvaltningen

Oppdatert NORSOK N-005

Avmystifisere internkontroll/styringssystem - informasjonssikkerhet

Om kartlegging av digital sikkerhetskultur

Transkript:

Måling av informasjonssikkerhet Håkon Styri Seniorrådgiver Oslo, 2017-10-30

Disposisjon Hvorfor måler vi, og hva måler vi? Måling av styringssystemet Hvordan beskrive en måling? Måling av informasjonssikkerhet generelt Måling av sikkerhetskultur i en virksomhet

Workshop i måling av informasjonssikkerhet Program 10:00 Introduksjon 10:15 Dilemmatrening - måling 10:40 Måling for internkontrollsystemet 11:30 Gruppearbeid 12:00 Lunsj 12:30 Plenumsdiskusjon måling for internkontrollsystemet 12:45 Informasjonssikkerhetskultur og måling av sikkerhetsklima 13:15 Gruppearbeid 13:45 Plenumsdiskusjon måling av sikkerhetskultur 14:00 Takk og vel hjem!

«Inspection does not improve the quality, nor guarantee quality. Inspection is too late. The quality, good or bad, is already in the product.» (W. Edwards Deming) «You can not inspect quality into a product.»

Hvorfor måler vi? Vi måler for å redusere usikkerhet. Hva måler vi? Arbeidet med å iverksette et sikkerhetstiltak. Kostnad for å opprettholde sikkerhetstiltaket over tid. Formålseffektivitet. Hvor stort bidrag gir sikkerhetstiltaket for reduksjon av total risiko?

Tips fra prosjektarbeidets verden En målsetning bør være SMART Spesifikk (konkret) Målbar Akseptert Realistisk Tidsbestemt

ISO/IEC 27004:2016 - innledning Standarden tar utgangspunkt i ISO/IEC 27001:2013 clause 9.1 «Monitoring, measurement, analysis and evaluation». 9.1 a) What to monitor and measure 9.1 c) When to monitor and measure 9.1 e) When the results should be analysed and evaluated 9.1 d) Who shall monitor and measure 9.1 f) Who shall analyse and evaluate the results 9.1 b) Monitoring, measurement, analysis and evaluation methods

ISO/27004:2016 hva kan overvåkes? Implementering av ISMSprosesser Hendelseshåndtering Sårbarhetsstyring Konfigurasjonsstyring Sikkerhetsforståelse og opplæring Logging av tilgangskontroll og andre avvik/hendelser Revisjonsaktiviteter Risikovurdering Risikohåndtering Risikostyring hos tredjepart Virksomhetskontinuitetsstyring Styring av fysisk sikkerhet Systemovervåking

Eksempler på attributter som kan måles I hvor stor grad reduserer et sikkerhetstiltak sannsynligheten for en hendelse I hvor stor grad reduserer et sikkerhetstiltak konsekvensen av en hendelse Hvor høy frekvens av hendelser kan et sikkerhetstiltak klare før effekten blir dårligere eller tiltaket slutter å virke? Hvor lang tid tar det fra en hendelse inntreffer til et sikkerhetstiltak detekterer hendelsen?

Måleprosessen overordnet beskrivelse Identifiser hvilken informasjon vi ønsker å få frem Beskriv måleaktiviteter som er nødvendig for å fremskaffe denne informasjonen Etabler prosedyrer Overvåk og utfør målinger Analyser resultater (målinger -> informasjon) Evaluer informasjonen (opp mot målsetninger)

Eksempel på beskrivelse Identifikasjon av måle-informasjon (Measure-ID) Beskrivelse av behov: hva er det informasjonen bidrar med (hvorfor måler vi dette)? Hva slags måling er dette? (Utsagn som angir f.eks. prosentandel, frekvens, gjennomsnittsverdi, tallverdi) Formel eller utregningsmetode. Målsetning eller forventet resultat. Hvor ofte skal målingen gjennomføres? Hvem skal utføre måling, analyse og vurdering? Hvem eier informasjonen? Hvilke datakilder skal eller kan benyttes? På hvilket format skal resultatet rapporteres?

Måling av sikkerhetskultur Sikkerhetskultur er noe som gjerne kan overvåkes. Det er et godt eksempel på utfordringen med å beskrive informasjonen man ønsker å bruke til styring og som beslutningsgrunnlag. Det er også et godt eksempel på utfordringen med å beskrive hvilke attributter som skal måles og en god beskrivelse av «formel» eller beregning som skal brukes i analysen.

Sikkerhetskultur - indikatorer Det følgende er et forslag til indikatorer som kan brukes i en enkel analyse. Fordelen med å gjøre målingen så enkel som mulig er at den kan utføres regelmessig, f.eks. en gang i året. Forståelse for informasjonssikkerhet Regeletterlevelse Tillit Medvirkning

Indikator - Forståelse Hvor godt mener medarbeidere de forstår begrepet informasjonssikkerhet? Har vi forståelse for relevante sårbarheter og trusler? Opplever medarbeidere at rutiner og verktøy er tilrettelagt arbeidsoppgaver og virksomhetens egenart?

Indikator - Regeletterlevelse Følger medarbeiderne regler / instruks i virksomheten? Har virksomheten er forståelig og hensiktsmessig instruks? (regel-legitimitet)

Indikator - Tillit Har vi tillit til at virksomheten er i stand til å opprettholde tilstrekkelig informasjonssikkerhet og evne til å håndtere uønskede hendelser? Opplever medarbeidere at ledelsen har prioritert informasjonssikkerhet? Har vi tillit til at våre kolleger medvirker til god informasjonssikkerhet?

Indikator - Medvirkning Rapporterer medarbeidere om avvik og sikkerhetsbrudd? Sier medarbeidere fra om sikkerhetstiltak som ikke virker etter hensikten? Deltar medarbeiderne i utforming av informasjonssikkerhetsregler / -instruks? Følger virksomhetens ledelse opp rapporter og gir tilbakemelding? Hvordan opplever medarbeidere responsen på eventuell rapportering?

Referanser til nyttige standarder / bøker ISO/IEC 27004:2016 Information Security Management Monitoring, measurement, analysis and evaluation ISO/TR 10017:2003 Guidance on statistical techniques for ISO 9001:2000 ISO/IEC 15939:2017 Systems and software engineering Measurement process NIST Special Publication 800-55, Revision 1 Performance Measurement Guide for Information Security, July 2008. Aligning Organizations Through Measurement: The GQM+Strategies Approach. Springer 2014.

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding