Risikostyring Rune Ask Risk & Compliance Manager Det Norske Veritas Rune Ask Risk & Compliance Manager i DNV tidligere Chief Specialist Tidligere daglig leder (software-firma), IT-sjef (shipping), sikkerhetskonsulent (revisjons- og konsulentselskaper) og mye mer Sertifiseringer - CISA Certified Information Systems Auditor fra 1995 - CISM Certified Information Security Manager fra 2003 - ITIL Certified Foundation in IT-Service Management fra 2004 - ISSPCS Certified Practitioner fra 2005 Standarder - ISACA Information Systems Audit & Control Association - GITS-2 Tilgangskontroll - GITS-5 Bruk av Internett - ISO International Standards Organization - ISO/IEC 27001 - ISO/IEC 27002 - ISO/IEC 27004 - ISO/IEC 27005 Leder av Standard Norges arbeidsgruppe for informasjonssikkerhet (K171) - Norges Head of Delegation til ISO SC27 Tidligere nestleder i IT-SikkerhetsForum i seks år og deltaker i det offentlige Forum for IT-sikkerhet 1
Det Norske Veritas - DNV Uavhengig stiftelse etablert i1864 selveid 300 kontorer i 100 land ~9000 ansatte fra 98 nasjoner Head office Local offices Det Norske Veritas - DNV Formål Å arbeide for sikring av liv, verdier og miljø Vår r visjon Global påvirkning p for en trygg og bærekraftig b framtid Maritime Renewable energy Food and beverage Aviation Oil and gas Managing risk ICT Process Automotive Rail General 2
Maritime, Energy & Business Assurance DNV is a world leading classification society - 15.4% of the world fleet to class - 19% of ships ordered in 2007-70% of maritime fuel testing market - Authorised by 130 national maritime authorities - Continuous high performance in Port State Control worldwide Broad experience in the energy industry - Cross-disciplinary competence within risk, management, technology and operational expertise - Our services and solutions are built on leading edge technology - Offshore pipeline technology leader - DNV Offshore Rules for pipelines recognised as world class - Deep water technology - Providing reliable verification and qualification of unproven technology - Broad experience with LNG / Natural Gas Services to industries - Product certification - Management system certification - More than 80 national accreditations and 70 000 certificates issued worldwide - Corporate Responsibility - Governance responsibility assessment - Supply chain management - Verification of sustainability reporting - IT risk management services - Business consulting services and solutions - Enterprise risk management - Safety, Health and Environmental (SHE) risk management - Change management - Software products and services - Training http://www.dnv.com IS0/IEC 27001 BS 7799-2 ISMS Information Security Management System Planlegg Plan Etablere ISMS-et Interessenter Utfør Do Iverksette og forvalte ISMS-et Kretsløp for utvikling, vedlikehold og forbedring Vedlikeholde og forbedre ISMS-et Forbedre Act Interessenter Overvåke og revidere ISMS-et Krav og forventninger til informasjonssikkerhet Kontroller Check Styrt informasjonssikkerhet 3
IS0/IEC 27001 BS 7799-2 Planlegg Plan Utfør Do Forbedre Act Kontroller Check Definere ISMS mål Definere ISMS policy Velge metode for risikohåndtering Kartlegge risiko Velge tiltak for å håndtere risikoene Utarbeide anvendelighetserklæring SoA Statement of Applicability Hva er risikostyring? ISO/IEC Guide 73 Risk management Vocabulary Guidelines for use in standards Risiko: Trussel Sårbarhet Konsekvens Sannsynlighet 4
Hva er risikostyring? Prosessen for risikostyring Definere omfang Registrere aktiva Definere akseptabelt risikonivå Identifisere trusler Avdekke sårbarheter Utføre risikovurdering Iverksette sikringstiltak Informere interessenter Gjenta ad infinitum ISO/IEC 27005 5
Definere omfang Organisasjon - Hele - Deler - Enkelte avdelinger Fysisk lokalisering - Kontorer - Lokasjoner - Installasjoner - Enheter IT-infrastruktur - Alt - Deler Informasjonsaktiva Produkt Tjeneste Registrere aktiva Informasjonsaktiva Programvare IT-utstyr 1. 1. Market Sectors 2. 2. Service Areas 12. Organising 14. Managing Tjenester 3. 3. Marketing and 6. 6. After sales 4. 4. Sales 5. 5. Production profiling services xxx Menneskelige ressurser xxx customer customer xxxx xxxx 9. 9. Information 7. 7. Research and 8. 8. Human 13. Management handling and development - Ansatte resources support distribution 10. Asset management and financing 11. Purchasing and sub-contracting - Kunnskap Fysiske enheter Kartlegge virksomhetsprosessene - Bygninger - Maskiner Identifisere hvor informasjonsaktiva - Transportmidler - Behandles Immaterielle aktiva - Lagres - Kommuniseres - Omdømme - Image Fokusere på viktige IA 6
Registrere aktiva Hvilke aktiva skal registreres? - Av stor verdi - Virksomhetskritisk/viktig - Understøtter lovpålagt aktiviteter - Kontraktuelle forpliktelser - Synliggjør virksomheten Gruppér aktivaene - Understøtter samme virksomhetsprosess - Utsatt for samme trusler - Kan sikres med samme tiltak - «Eies» av samme systemeier Dokumenter aktivaene - Hvilke momenter er lagt til grunn for grupperingen Definere akseptabelt risikonivå Gjøres i forhold til alle aktiva i risikovurderingen Basere seg som et minimum på: - Konfidensialitet - Integritet - Tilgjengelighet Andre aspekter kan være nødvendige å vurdere: - Autentisering - Ansvarlighet - Autorisasjon - Pålitelighet - Sporbarhet - Ekthet - Ikke-benektelse - Tidsriktighet - Identifisering - Personvern 7
Definere akseptabelt risikonivå Utføres av ledelsen Nivå Krav til sikkerhet Integritet Konfidensialitet Tilgjengelighet Tap 5. Meget høye Strengt hemmelige Feil må ikke forekomme 30 min. > 5 mill 4. Høye Hemmelige Feil bør unngås 2 timer 1 5 mill 3. Middels Fortrolige Noen få feil kan aksepteres 1 dag 100 1 mill 2. Lave Forretningsmessige En del feil kan aksepteres 3 dager 20 100 1. Ingen Fritt tilgjengelige Feil er uten betydning 1 uke < 20.000 Identifisere og vurdere trusler Interne trusler Eksterne trusler Teknologiske trusler Juridiske og finansielle trusler Ansatte bevisste & ubevisste aktiviteter Trusler mot data/informasjon Trusler mot informasjonsteknologien Miljømessige trusler Har noen mulighet til å utnytte trusselen? Hvilke evner har trusselkilden til å gjennomføre trusselen? Hvilken motivasjonen har trusselkilden til å utføre trusselen? Hvilke sikringstiltak er allerede iverksatt? Hvor stor er sannsynligheten for at trusselen kan bli realisert? Hvor ofte kan det skje? Gruppér truslene 8
Eksempler på trusler Uautoriserte endringer av informasjon blir ikke oppdaget Datakriminelle får tilgang til IT-systemer ved å gjette passord En autorisert bruker benytter privilegier til å utføre uautoriserte aktiviteter i virksomhetens produksjonssystemer En ansatt benytter virksomhetens IT-systemer til å utføre datakriminelle aktiviteter mot andre virksomheter Lekkasjer av kjemiske væsker, giftige gasser eller skadelig industriavfall påvirker arbeidsomgivelsene Feil i program blir ikke oppdaget før programmet settes i produksjon Kraftig regn, hagl, is eller snøstorm ødelegger deler av IT-infrastruktur Feil i maskin- og programvare medfører nedetid i produksjonsutstyr Bærbar pc med sensitiv informasjon blir stjålet Datavirus, ormer og annen destruktiv programvare infiserer nettverket Kablene for virksomhetens eksterne nettforbindelser blir gravd over Avdekke sårbarheter Tekniske: Leverandørenes hjemmesider Nettsteder med sikkerhetsinformasjon Gjennomføre sikkerhetsrevisjoner Gjennomgå sikkerhetslogger Installere sikkerhetsprogramvare Utføre sikkerhetsskanning Utføre penetrasjonstester Delta i sikkerhetsfora Organisatoriske: Sikkerhetsmiljø - Bevissthet - Sikkerhetsdokumentasjon - Kontroller og revisjoner IT-miljø - Homogent vs. Heterogent - Sentralisert vs. Desentralisert Driftsmodell - Intern IT-avdeling - Driftsutsetting hele eller deler 9
Alternativ metode Slå sammen trusler og sårbarheter og mulig konsekvens Uønsket hendelse Fordeler - Enklere å forholde seg til - Tidsbesparende Eksempler på uønskede hendelser: - Brev med sensitive persondata blir liggende uavhentet på skriver Uautoriserte får tilgang på konfidensiell informasjon - Ukryptert informasjon om tilbud under utarbeidelse feilsendes via e-post Konfidensiell informasjon blir offentliggjort overfor konkurrenter - Bærbar pc uten krypteringsprogramvare stjeles Uautoriserte får tilgang til konfidensiell informasjon - Kommunikasjonskabler graves over Distriktskontorer mister forbindelse til sentrale servere og tjenester Gjennomføre risikovurdering Gruppearbeid med relevant personell - Toppledelse (fortrinnvis med beslutningsmyndighet) - Fagpersonell (både IT og informasjonssikkerhet) - Representanter fra sentrale brukergrupper 1-2 dager Definere risikonivåer og -matrise Velge verktøy Dokumentere og registrere risikoer Planlegge iverksettelse av risikoreduserende tiltak Akseptere restrisiko 10
Definere risikonivåer og -matrise Sannsynlighet vs. Konsekvens Hvor sannsynlig det er at en hendelse skal inntreffe Sannsynlighetsfaktor Konsekvensfaktor Hva blir konsekvensen dersom trusselen inntreffer 1 2 3 4 Ubetydelig skjer antakelig ikke innen 20 år Liten kan skje i løpet av neste 20 år Middels skjer antakelig innen 5 år Skjer antakelig innen 1 år 1 2 3 4 Ubetydelige økonomiske tap Økonomiske tap Lite markedsmessig betydning Betydelige økonomiske tap og markedsmessige konsekvenser Svært alvorlig tap med varige følger 5 Overhengende fare 5 Truer virksomhetens eksistens Definere risikonivåer og -matrise Eksempel 1: Eksempel 2: Eksempel 3: Sannsynlighet Konsekvens Risikonivåer Kritisk Betydelig Ikke vesentlig 11
Registrere risikoer Iversette sikringstiltak Forebyggende Prevention Avskrekkende Deterrence Oppdagende Detection Begrensende Limitation Korrigerende Correction Gjenopprettende Recovery Overvåkende Monitoring Bevisstgjørende Awareness Overførende Transfer Basere på tiltak fra ISO/IEC 27002 eller andre standarder - Organisatoriske - Tekniske Kost/nytte Lover og regler Avtale-/kontraktsfestet 12
Informere interessenter Kommunisere risikobildet - Eiere - Ansatte - Innleid personell - Kunder - Leverandører - Samarbeidspartnere - Offentlige instanser - Andre brukere Informere om iverksatte tiltak Repetere ad infinitum Ved endringer i trusselbildet Ved endringer i IT-infrastrukturen - Omkonfigureringer - Nyinstallasjoner - Oppgraderinger Ved organisatoriske endringer - Bemanning - Driftsutsetting Ved endringer i krav - Lover - Avtaler - Kontrakter Årlig 13
Sertifiseringsprosessen (kjørt etter boka) Trusler Sannsynlighet Konsekvenser Velge metodikk Krav til sikring Sårbarheter IS 27001: 133 tiltak Ytterligere tiltak Definere sikkerhetspolicyen Definere omfang for ISMS Gjennomføre risikovurdering Håndtere risikoene Velge mål og tiltak Utarbeide anvendelighetserklæring SoA Godkjennes av ledelsen Godkjennes av ledelsen Akseptabel risiko Godkjennes av ledelsen Planer Budsjetter Retningslinjer Prosedyrer Rutiner Til sertifisering En bedre prosess K a r t l e g g e Aktiva Krav Trusler Sannsynlighet Konsekvenser Sårbarheter Definere sikkerhetspolicyen Definere omfang for ISMS Iverksette strakstiltak Utarbeide sikkerhetshåndbok Iverksette tiltak Gjennomføre risikovurdering Velge mål Avstemme iverksatte tiltak med avdekkede risikoer M a r k e d s f ø r e i n t e r n t Opplæring Bevisstgjøring Kompetansebygging Utarbeide anvendelighetserklæring SoA Sertifisere 14
Suksessfaktorer (Forutsetninger) Sterk forankring hos ledelsen ISMS-prosess på plass Organisasjon - Risikoforum - Risikoansvarlige - Risikoeiere Verktøy Kompetanse Budsjett Ressurser God kommunikasjon Endringsvilje Takk for oppmerksomheten! Spørsmål??? 994 96 322 Rune.Ask@dnv.com http://www.dnv.no 15