Risikostyring. Rune Ask Risk & Compliance Manager Det Norske Veritas. Rune Ask



Like dokumenter
Standarder for informasjonssikkerhet Rune Ask

ISO Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen

Hva er et styringssystem?

Velkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) Susanne Helland Flatøy Markedssjef Digital Kvalitet

ISO-standarderfor informasjonssikkerhet

Helhetlig risikostyring og informasjonssikkerhet. Knut Håkon T. Mørch PricewaterhouseCoopers Tlf.

Nye krav i ISO 9001, hvilke er de og hvordan implementere disse i TQM? Ragna Karoline Aasen

Rune Ask. og er i dag en av de ledende innen organisatorisk sikkerhet.

November Internkontroll og styringssystem i praksis - Aleksander Hausmann

Informasjonssikkerhet En tilnærming

Rettslige krav til styring av informasjonssikkerhet. Karin Kristiansen og Amund Eriksen

Endringer i ISO-standarder

ISOs styringssystemstandarder et verktøy for forenkling

KJAPPE, BILLIGE SKYTJENESTER MEN HAR DU KONTROLL?

Internkontroll og informasjonssikkerhet lover og standarder

DE VIKTIGSTE ENDRINGENE I NYE ISO 9001:2015 OG ISO 14001:2015

Erfaringer med innføring av styringssystemer

Strategi med kunden i fokus

PAS 55 kvalitetsstandard for anleggsforvaltning i infrastrukturselskaper. Elsikkerhetskonferansen 2013 NEK

ISO serien Asset management

Asset Management. Compliance og Operasjonell Risiko. Asle Bistrup Eide. Presentasjon i VFF den 28. november 2012

EDB Business Partner. Sikkerhetskontroller / -revisjoner

VI BYGGER NORGE MED IT.

Risikoanalysemetodikk

Det 7. norske arkivmøtet Informasjonssikkerhet i endringsprosesser. 6. April 2016

Etablering av et ISMS Vi er i gang i SPK. Gunilla Fagerberg Grimsgaard

Risikovurdering. Utgitt med støtte av: Støttedokument Faktaark nr 7 Versjon: 3.0 Dato:

ISO 22301:2012 en introduksjon Årsmøte og seminar 12 Jun 2012 Arnfinn Roland

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001

Integrering av IT i virksomhetens helhetlige risikostyring

Kontinuitetsplanlegging teori og praksis. Arve Sandve Scandpower AS ESRA,

Retningslinje for risikostyring for informasjonssikkerhet

Sikkerhet, risikoanalyse og testing: Begrepsmessig avklaring

HMS og IKT-sikkerhet i integrerte operasjoner

Hvordan styre informasjonssikkerhet i et dynamisk trusselbilde? Tommy Molnes Security Manager Digital Sikkerhet AS

Følger sikkerhet med i digitaliseringen?

Erfaringer fra en Prosjektleder som fikk «overflow»

E-navigasjon Juni 2014

SØNDRE INNHERRED REVISJONSDISTRIKT IT-REVISJON LEVANGER KOMMUNE RAPPORT NR. 1.1/2003 FORVALTNINGSREVISJON

Norsk Bryggerlaug Prinsipper og krav i standarder for Trygg mat sertifisering. ISO BRC.

ISO/DIS 45001, INNHOLD OG STRUKTUR. Berit Sørset, komiteleder, Norsk Industri

Safe, efficient and profitable operations

Informasjonssikkerhet

RISIKOVURDERING. Jan Fosse Seksjonssjef Avdeling Sikkerhetsstyring NSM NASJONAL SIKKERHETSMYNDIGHET

Sterk global konkurranse, raske teknologiskift og det grønne skiftet utfordrer dagens løsninger og produksjonsmetoder.

Informasjonssikkerhet i kommunene. Gaute Wangen, seniorrådgiver Seksjon for digital sikkerhet, NTNU

Gjermund Vidhammer Avdelingsleder Governance, risk & compliance

HVILKE RISIKOER LØPER VI NÅR ALLE DATAENE VÅRE ER I NETTSKYEN?

License Management Morten A. Steien EDB Business Partner Industri

Hva kjennetegner god Risikostyring?

Guri Kjørven, Standard Norge NS-ISO LEDELSESSYSTEMER FOR ARBEIDSMILJØ KRAV OG VEILEDNING OM BRUK

MARITIME SIMULATORER. AV Ove A Bentsen TRANSAS NORGE AS

Aibel Vår tilnærming til GDPR. Elin H Madell HR System Owner

1. Kort forklaring av felles risikovurderingsmetodikk Oppsummering av risikovurderingene... 2

Security events in Norway

Måling av informasjonssikkerhet. Håkon Styri Seniorrådgiver Oslo,

IKT-revisjon som del av internrevisjonen

Kort om IPnett. Henrik Jørgensen Solution Architect Tel Mob

Avmystifisere internkontroll/styringssystem - informasjonssikkerhet

NIRF Finansnettverk. Trond Erik Bergersen

Oversikt over standarder for. Kvalitetsstyring

Vedlegg V MILJØTILTAK VED VRAKET AV U-864 Mulighetsstudier av alternative metoder for heving av last DNV GL AS

Internkontroll i praksis (styringssystem/isms)

Tiltaksplan for oppfølging av revisjonsrapport om systemforvaltning i Pasientreiser ANS

Guri Kjørven, ISO/CD :2015 LEDELSESSYSTEMER FOR ARBEIDSMILJØ

Standarder med relevans til skytjenester

WORLD CLASS INTEGRITY SOLUTIONS. Børge Gjeldvik Axess


C L O U D S E C U R I T Y A L L I A N C E

Målet er å bevisstgjøre om viktige prinsipper og tiltak for ledere i «Virksomheten».

Oversikt over standarder for. Kvalitetsstyring

Bruk av ucmdb til SLM og Change Management EDB Business Partner Industri

Oversikt over standarder for. Kvalitetsstyring

Secode sikkerhetsklarering

En praktisk anvendelse av ITIL rammeverket

Oversikt over standarder for. risikoanalyse, risikovurdering og risikostyring

Styringssystem for informasjonssikkerhet i Arbeidstilsynet

NS-EN Ledelsessystemer for kvalitet - NS-EN ISO 9001 for helseog omsorgstjenester

*Sikkerhetsbehov: K: Konfidensialitet, T: Tilgjengelighet, I: Integritet **Tiltak kan være både organisatoriske og tekniske.

Styringssystem basert på ISO 27001

Sekretariat for informasjonssikkerhet i UHsektoren. Rolf Sture Normann

Cyber Risk Mapping Kartlegging av cyberrisiko

Berit Sørset, Norsk Industri Guri Kjørven, Standard Norge NS-ISO LEDELSESSYSTEMER FOR ARBEIDSMILJØ KRAV OG VEILEDNING OM BRUK

Konfidensiell - Navn på presentasjon.ppt

Ricoh Norge. Rådsmøte 5 juni Petter Lien Salgsdirektør MA Gøran Alstedt National Account Manager Tor-Einar Fremstad Contract Manager

Veien til ISO sertifisering

Mål med prosjektet. proactima.com. Utvikle, markedsføre og selge den beste løsningen for Risikostyring og HMS ledelse for det globale markedet

Erfaringer med internasjonalisering fra Kongsberg industrien. Hva vil studentene møte? / 1 / Min bakgrunn

Digital Grid: Powering the future of utilities

Horisont 2020 EUs forsknings- og innovasjonsprogram. Brussel, 6. oktober 2014 Yngve Foss, leder, Forskningsrådets Brusselkontor

Hvordan finne og realisere riktig IT-sikkerhetsnivå i din virksomhet? Arild S. Birkelund

ISO 41001:2018 «Den nye læreboka for FM» Pro-FM. Norsk tittel: Fasilitetsstyring (FM) - Ledelsessystemer - Krav og brukerveiledning

ISO Sammen skal vi gå gjennom. 12 October en gjennomgang av innholdet

Norsox. Dokumentets to deler

Gjennomføring av sikringsrisikoanalyser og iverksetting av tiltak

Det handler om å vite Christopher Kiønig KAM (ISO27001 LI)

Neste generasjon ISO standarder ISO 9001

NS-EN ISO/IEC

Forelesning 5: Ledelse av informasjonssikkerhet, Menneskelige faktorer for info-sikkerhet

Transkript:

Risikostyring Rune Ask Risk & Compliance Manager Det Norske Veritas Rune Ask Risk & Compliance Manager i DNV tidligere Chief Specialist Tidligere daglig leder (software-firma), IT-sjef (shipping), sikkerhetskonsulent (revisjons- og konsulentselskaper) og mye mer Sertifiseringer - CISA Certified Information Systems Auditor fra 1995 - CISM Certified Information Security Manager fra 2003 - ITIL Certified Foundation in IT-Service Management fra 2004 - ISSPCS Certified Practitioner fra 2005 Standarder - ISACA Information Systems Audit & Control Association - GITS-2 Tilgangskontroll - GITS-5 Bruk av Internett - ISO International Standards Organization - ISO/IEC 27001 - ISO/IEC 27002 - ISO/IEC 27004 - ISO/IEC 27005 Leder av Standard Norges arbeidsgruppe for informasjonssikkerhet (K171) - Norges Head of Delegation til ISO SC27 Tidligere nestleder i IT-SikkerhetsForum i seks år og deltaker i det offentlige Forum for IT-sikkerhet 1

Det Norske Veritas - DNV Uavhengig stiftelse etablert i1864 selveid 300 kontorer i 100 land ~9000 ansatte fra 98 nasjoner Head office Local offices Det Norske Veritas - DNV Formål Å arbeide for sikring av liv, verdier og miljø Vår r visjon Global påvirkning p for en trygg og bærekraftig b framtid Maritime Renewable energy Food and beverage Aviation Oil and gas Managing risk ICT Process Automotive Rail General 2

Maritime, Energy & Business Assurance DNV is a world leading classification society - 15.4% of the world fleet to class - 19% of ships ordered in 2007-70% of maritime fuel testing market - Authorised by 130 national maritime authorities - Continuous high performance in Port State Control worldwide Broad experience in the energy industry - Cross-disciplinary competence within risk, management, technology and operational expertise - Our services and solutions are built on leading edge technology - Offshore pipeline technology leader - DNV Offshore Rules for pipelines recognised as world class - Deep water technology - Providing reliable verification and qualification of unproven technology - Broad experience with LNG / Natural Gas Services to industries - Product certification - Management system certification - More than 80 national accreditations and 70 000 certificates issued worldwide - Corporate Responsibility - Governance responsibility assessment - Supply chain management - Verification of sustainability reporting - IT risk management services - Business consulting services and solutions - Enterprise risk management - Safety, Health and Environmental (SHE) risk management - Change management - Software products and services - Training http://www.dnv.com IS0/IEC 27001 BS 7799-2 ISMS Information Security Management System Planlegg Plan Etablere ISMS-et Interessenter Utfør Do Iverksette og forvalte ISMS-et Kretsløp for utvikling, vedlikehold og forbedring Vedlikeholde og forbedre ISMS-et Forbedre Act Interessenter Overvåke og revidere ISMS-et Krav og forventninger til informasjonssikkerhet Kontroller Check Styrt informasjonssikkerhet 3

IS0/IEC 27001 BS 7799-2 Planlegg Plan Utfør Do Forbedre Act Kontroller Check Definere ISMS mål Definere ISMS policy Velge metode for risikohåndtering Kartlegge risiko Velge tiltak for å håndtere risikoene Utarbeide anvendelighetserklæring SoA Statement of Applicability Hva er risikostyring? ISO/IEC Guide 73 Risk management Vocabulary Guidelines for use in standards Risiko: Trussel Sårbarhet Konsekvens Sannsynlighet 4

Hva er risikostyring? Prosessen for risikostyring Definere omfang Registrere aktiva Definere akseptabelt risikonivå Identifisere trusler Avdekke sårbarheter Utføre risikovurdering Iverksette sikringstiltak Informere interessenter Gjenta ad infinitum ISO/IEC 27005 5

Definere omfang Organisasjon - Hele - Deler - Enkelte avdelinger Fysisk lokalisering - Kontorer - Lokasjoner - Installasjoner - Enheter IT-infrastruktur - Alt - Deler Informasjonsaktiva Produkt Tjeneste Registrere aktiva Informasjonsaktiva Programvare IT-utstyr 1. 1. Market Sectors 2. 2. Service Areas 12. Organising 14. Managing Tjenester 3. 3. Marketing and 6. 6. After sales 4. 4. Sales 5. 5. Production profiling services xxx Menneskelige ressurser xxx customer customer xxxx xxxx 9. 9. Information 7. 7. Research and 8. 8. Human 13. Management handling and development - Ansatte resources support distribution 10. Asset management and financing 11. Purchasing and sub-contracting - Kunnskap Fysiske enheter Kartlegge virksomhetsprosessene - Bygninger - Maskiner Identifisere hvor informasjonsaktiva - Transportmidler - Behandles Immaterielle aktiva - Lagres - Kommuniseres - Omdømme - Image Fokusere på viktige IA 6

Registrere aktiva Hvilke aktiva skal registreres? - Av stor verdi - Virksomhetskritisk/viktig - Understøtter lovpålagt aktiviteter - Kontraktuelle forpliktelser - Synliggjør virksomheten Gruppér aktivaene - Understøtter samme virksomhetsprosess - Utsatt for samme trusler - Kan sikres med samme tiltak - «Eies» av samme systemeier Dokumenter aktivaene - Hvilke momenter er lagt til grunn for grupperingen Definere akseptabelt risikonivå Gjøres i forhold til alle aktiva i risikovurderingen Basere seg som et minimum på: - Konfidensialitet - Integritet - Tilgjengelighet Andre aspekter kan være nødvendige å vurdere: - Autentisering - Ansvarlighet - Autorisasjon - Pålitelighet - Sporbarhet - Ekthet - Ikke-benektelse - Tidsriktighet - Identifisering - Personvern 7

Definere akseptabelt risikonivå Utføres av ledelsen Nivå Krav til sikkerhet Integritet Konfidensialitet Tilgjengelighet Tap 5. Meget høye Strengt hemmelige Feil må ikke forekomme 30 min. > 5 mill 4. Høye Hemmelige Feil bør unngås 2 timer 1 5 mill 3. Middels Fortrolige Noen få feil kan aksepteres 1 dag 100 1 mill 2. Lave Forretningsmessige En del feil kan aksepteres 3 dager 20 100 1. Ingen Fritt tilgjengelige Feil er uten betydning 1 uke < 20.000 Identifisere og vurdere trusler Interne trusler Eksterne trusler Teknologiske trusler Juridiske og finansielle trusler Ansatte bevisste & ubevisste aktiviteter Trusler mot data/informasjon Trusler mot informasjonsteknologien Miljømessige trusler Har noen mulighet til å utnytte trusselen? Hvilke evner har trusselkilden til å gjennomføre trusselen? Hvilken motivasjonen har trusselkilden til å utføre trusselen? Hvilke sikringstiltak er allerede iverksatt? Hvor stor er sannsynligheten for at trusselen kan bli realisert? Hvor ofte kan det skje? Gruppér truslene 8

Eksempler på trusler Uautoriserte endringer av informasjon blir ikke oppdaget Datakriminelle får tilgang til IT-systemer ved å gjette passord En autorisert bruker benytter privilegier til å utføre uautoriserte aktiviteter i virksomhetens produksjonssystemer En ansatt benytter virksomhetens IT-systemer til å utføre datakriminelle aktiviteter mot andre virksomheter Lekkasjer av kjemiske væsker, giftige gasser eller skadelig industriavfall påvirker arbeidsomgivelsene Feil i program blir ikke oppdaget før programmet settes i produksjon Kraftig regn, hagl, is eller snøstorm ødelegger deler av IT-infrastruktur Feil i maskin- og programvare medfører nedetid i produksjonsutstyr Bærbar pc med sensitiv informasjon blir stjålet Datavirus, ormer og annen destruktiv programvare infiserer nettverket Kablene for virksomhetens eksterne nettforbindelser blir gravd over Avdekke sårbarheter Tekniske: Leverandørenes hjemmesider Nettsteder med sikkerhetsinformasjon Gjennomføre sikkerhetsrevisjoner Gjennomgå sikkerhetslogger Installere sikkerhetsprogramvare Utføre sikkerhetsskanning Utføre penetrasjonstester Delta i sikkerhetsfora Organisatoriske: Sikkerhetsmiljø - Bevissthet - Sikkerhetsdokumentasjon - Kontroller og revisjoner IT-miljø - Homogent vs. Heterogent - Sentralisert vs. Desentralisert Driftsmodell - Intern IT-avdeling - Driftsutsetting hele eller deler 9

Alternativ metode Slå sammen trusler og sårbarheter og mulig konsekvens Uønsket hendelse Fordeler - Enklere å forholde seg til - Tidsbesparende Eksempler på uønskede hendelser: - Brev med sensitive persondata blir liggende uavhentet på skriver Uautoriserte får tilgang på konfidensiell informasjon - Ukryptert informasjon om tilbud under utarbeidelse feilsendes via e-post Konfidensiell informasjon blir offentliggjort overfor konkurrenter - Bærbar pc uten krypteringsprogramvare stjeles Uautoriserte får tilgang til konfidensiell informasjon - Kommunikasjonskabler graves over Distriktskontorer mister forbindelse til sentrale servere og tjenester Gjennomføre risikovurdering Gruppearbeid med relevant personell - Toppledelse (fortrinnvis med beslutningsmyndighet) - Fagpersonell (både IT og informasjonssikkerhet) - Representanter fra sentrale brukergrupper 1-2 dager Definere risikonivåer og -matrise Velge verktøy Dokumentere og registrere risikoer Planlegge iverksettelse av risikoreduserende tiltak Akseptere restrisiko 10

Definere risikonivåer og -matrise Sannsynlighet vs. Konsekvens Hvor sannsynlig det er at en hendelse skal inntreffe Sannsynlighetsfaktor Konsekvensfaktor Hva blir konsekvensen dersom trusselen inntreffer 1 2 3 4 Ubetydelig skjer antakelig ikke innen 20 år Liten kan skje i løpet av neste 20 år Middels skjer antakelig innen 5 år Skjer antakelig innen 1 år 1 2 3 4 Ubetydelige økonomiske tap Økonomiske tap Lite markedsmessig betydning Betydelige økonomiske tap og markedsmessige konsekvenser Svært alvorlig tap med varige følger 5 Overhengende fare 5 Truer virksomhetens eksistens Definere risikonivåer og -matrise Eksempel 1: Eksempel 2: Eksempel 3: Sannsynlighet Konsekvens Risikonivåer Kritisk Betydelig Ikke vesentlig 11

Registrere risikoer Iversette sikringstiltak Forebyggende Prevention Avskrekkende Deterrence Oppdagende Detection Begrensende Limitation Korrigerende Correction Gjenopprettende Recovery Overvåkende Monitoring Bevisstgjørende Awareness Overførende Transfer Basere på tiltak fra ISO/IEC 27002 eller andre standarder - Organisatoriske - Tekniske Kost/nytte Lover og regler Avtale-/kontraktsfestet 12

Informere interessenter Kommunisere risikobildet - Eiere - Ansatte - Innleid personell - Kunder - Leverandører - Samarbeidspartnere - Offentlige instanser - Andre brukere Informere om iverksatte tiltak Repetere ad infinitum Ved endringer i trusselbildet Ved endringer i IT-infrastrukturen - Omkonfigureringer - Nyinstallasjoner - Oppgraderinger Ved organisatoriske endringer - Bemanning - Driftsutsetting Ved endringer i krav - Lover - Avtaler - Kontrakter Årlig 13

Sertifiseringsprosessen (kjørt etter boka) Trusler Sannsynlighet Konsekvenser Velge metodikk Krav til sikring Sårbarheter IS 27001: 133 tiltak Ytterligere tiltak Definere sikkerhetspolicyen Definere omfang for ISMS Gjennomføre risikovurdering Håndtere risikoene Velge mål og tiltak Utarbeide anvendelighetserklæring SoA Godkjennes av ledelsen Godkjennes av ledelsen Akseptabel risiko Godkjennes av ledelsen Planer Budsjetter Retningslinjer Prosedyrer Rutiner Til sertifisering En bedre prosess K a r t l e g g e Aktiva Krav Trusler Sannsynlighet Konsekvenser Sårbarheter Definere sikkerhetspolicyen Definere omfang for ISMS Iverksette strakstiltak Utarbeide sikkerhetshåndbok Iverksette tiltak Gjennomføre risikovurdering Velge mål Avstemme iverksatte tiltak med avdekkede risikoer M a r k e d s f ø r e i n t e r n t Opplæring Bevisstgjøring Kompetansebygging Utarbeide anvendelighetserklæring SoA Sertifisere 14

Suksessfaktorer (Forutsetninger) Sterk forankring hos ledelsen ISMS-prosess på plass Organisasjon - Risikoforum - Risikoansvarlige - Risikoeiere Verktøy Kompetanse Budsjett Ressurser God kommunikasjon Endringsvilje Takk for oppmerksomheten! Spørsmål??? 994 96 322 Rune.Ask@dnv.com http://www.dnv.no 15

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding