standarder for risikostyring av informasjonssikkerhet · 2018-10-29 · risikostyring og...
Post on 05-Jan-2020
5 Views
Preview:
TRANSCRIPT
Standarder for risikostyring av
informasjonssikkerhet
Standardiseringsrådsmøte
13.mars 2012 Beslutningssak
Mehran Raja
Direktoratet for forvaltning og IKT
Bakgrunn for utredningen
Difi har ferdigstilt 2 rapporter som anbefaler å se
nærmere på standardisering innenfor risikoområdet
Forprosjekt «Kartlegging av aktuelle anvendelsesområder og
relevante sikkerhetsstandarder»
Utredningen «Standarder for styring av informasjonssikkerhet»
Viktigheten av risikovurderinger gjenspeiles i flere
regelverk, spesielt i forbindelse med krav til styring av
informasjonssikkerhet
Risikostyring vs. risikovurderinger
Dato Direktoratet for forvaltning og IKT
Definere mål, omfang og
avgrensning
Gjennomføre Risikovurdering
Håndtere risikoer og
implementere tiltak
Overvåke og gjennomgå
risikoer Identifisering av risiko
Analyse av risiko
Evaluering av risiko
Risikostyring
Offentlig sektors behov for
risikostyring Offentlige virksomheter benytter forskjellige metoder for å styre risiko
Gjør det vanskelig å forstå hverandres risikogradering
Fører til at arbeid med risikostyring og styringssystemet for informasjonssikkerhet
blir lite helhetlig og kostnadsdrivende
Det viser seg at antallet ulike metodeverk gjør det vanskelig å vite
hvilken som er best egnet for den enkelte virksomhet
Standarder for risikostyring vil bidra til å gjøre det enklere for
virksomhetene å etterleve kravene i regelverk
Direktoratet for forvaltning og IKT
Kartlegging av standarder for
risikostyring
Kartleggingen viser følgende rammeverk som
beskriver fullstendig prosess for risikostyring i
forhold til informasjonssikkerhet:
ISO/IEC 27005:2011
NIST Special Publication 800-39
ISACA The RiskIT Framework
Dato Direktoratet for forvaltning og IKT
Vurderinger av standarder for
risikostyring Rapporten har identifisert at felles bruk av en, eller et bestemt sett av
standarder, vil gi en mer enhetlig gjennomføring av risikoarbeid
Alle 3 standardene for risikostyring har hver for seg vist å ha store
nyttevirkninger
Tilnærmingen er i generelle termer, noe som kan åpne opp for en
rekke utfordringer i forhold til praktisk gjennomføring av de ulike
aktivitetene.
For å skille mellom hvem som er best egnet, har det spesielt blitt lagt
vekt på hvilke standarder for styring av informasjonssikkerhet disse
baserer på.
Dato Direktoratet for forvaltning og IKT
Risikostyring og styringssystem for
informasjonssikkerhet
ISO/IEC 27005
Tett kobling til ISO 27001 når det gjelder begrepsbruk, modeller og prosesser osv.
Special Publication 800-39, NIST
SP 800-39 er sterkt knyttet til SP 800-53, som er et rammeverk for styring av
informasjonssikkerhet.
The RiskIT Framework, ISACA
Spesielt egnet for virksomheter som vil bruke COBIT som styringssystem for
informasjonssikkerhet
Dato Direktoratet for forvaltning og IKT
Kartlegging av metoder for
risikovurdering
Følgende metodeverk er kartlagt i forbindelse med
risikovurdering:
TV-506:2002 (Datatilsynet)
Risikovurdering – en veiledning til Rammeverk for autentisering og
uavviselighet i elektronisk kommunikasjon med og i offentlig forvaltning
(Difi)
NS 5814:2008 (Norsk Standard)
Risikovurdering (Helsedirektoratet)
Veiledning i Risiko- og sårbarhetsanalyse (NSM)
OCTAVE (CERT)
FAIR (Risk Management Insight)
Dato Direktoratet for forvaltning og IKT
Metoder for risikovurdering
TV-506_02, Datatilsynet
Veilederen er laget for å hjelpe virksomheter i prosessen med å
gjennomføre risikovurderinger i samsvar med personopplysningsloven
og forskrift til denne
Forankring i overordnede rammer for risikostyring er ikke spesifisert
Risikovurdering – en veiledning til Rammeverk for autentisering
og uavviselighet i elektronisk kommunikasjon med og i offentlig
sektor, Difi
Metoden som presenteres i veilederen er forenlig med prosess for
risikostyring fra ISO/IEC 31000, som i sin tur er utgangspunkt for
ISO/IEC 27005 og begrepstolkninger fra NS-ISO/IEC 73:2006
Oppsett og vurderinger er i stor grad sammenfallende med Datatilsynets
veileder
Dato Direktoratet for forvaltning og IKT
Metoder for risikovurdering
NS 5814:2008, Standard Norge
Standarden er generell og kan anvendes på alle typer
risikovurderinger, unntatt vurdering av økonomisk risiko som følge
av forretningsmessige disposisjoner.
Utformingen er med dette ikke spesielt tilpasset relevante
utfordringer for informasjonssikkerhet.
Prosessen for risikovurdering etter NS5814:2008 er planlegging,
risikoanalyse og risikoevaluering
Etterarbeidet, prosess for kontinuerlig oppfølging og overvåking
av risikoer som en del av en virksomhets komplette risikostyring
er ikke inkludert i standarden
Dato Direktoratet for forvaltning og IKT
Metoder for risikovurdering
Norm for informasjonssikkerhet, Helsedirektoratet
Med hjemmel i personopplysningsforskriften har Helsedirektoratet
utarbeidet et støttedokument om risikovurderinger til Norm om
informasjonssikkerhet.
Hensikten med dokumentet er å hjelpe virksomheter i helsesektoren med
å dokumentere tiltak og vise at deres behandling av informasjon utføres
innenfor nivå for akseptabel risiko
Dokumentet er på fem sider og adresserer både forarbeid,
gjennomføring og etterarbeid som er relevant i forhold til arbeid med
risikovurderinger
Dato Direktoratet for forvaltning og IKT
Metoder for risikovurdering
ROS 2004 Veiledning, Nasjonal Sikkerhetsmyndighet
Utviklet i samarbeid med NTNU
kan benyttes frittstående for gjennomføring av ROS-analyser
kan også inngå som metodeverk for å gi en praktisk tilnærming til
andre rammeverk for risikostyring
Begrepsbruken i veilederen er noe avvikene i forhold til ISO/IEC
27005
Dato Direktoratet for forvaltning og IKT
Metoder for risikovurdering
OCTAVE (Operationally Critical Threat, Asset and Vulnerability
Evaluation), CERT
Metoden definerer strategi for vurdering og planlegging av
sikkerhet med risiko som utgangspunkt.
Stor utbredelse blant offentlige virksomheter internasjonalt
Mye benyttet for å støtte opp under rammeverket til ISO/IEC
27005
Dato Direktoratet for forvaltning og IKT
Metoder for risikovurdering
Factor Analysis of Information Risk (FAIR), Risk Management
Insight
Metodeverket FAIR kan benyttes frittstående, men er ment å styrke
eller understøtte rammeverk for risikostyring av
informasjonssikkerhet
Flere kommersielle virksomheter benytter metoden for å understøtte
rammeverk som ISO/IEC 27005, RiskIT, SP 800-39 osv.
Dato Direktoratet for forvaltning og IKT
Dato Direktoratet for forvaltning og IKT
Konklusjon – standarder for
risikostyring
Av de evaluerte standardene for risikostyring av
informasjonssikkerhet har det vist seg at ISO/IEC 27005
ved sin nære relasjon til ISO/IEC 27001 og ISO/27002 vil
gi mest nyttevirkninger.
ISO/IEC 27005 er dermed den eneste standarden som
anbefales som forvaltningsstandard for risikostyring av
informasjonssikkerhet
Dato Direktoratet for forvaltning og IKT
Konklusjon – Metoder for
risikovurdering Av de evaluerte metodene for risikovurdering anbefaler rapporten at
«Risikovurdering – en veiledning til Rammeverk for
autentisering og uavviselighet i elektronisk kommunikasjon
med og i offentlig forvaltning» bør benyttes som en «anbefalt
forvaltningsstandard» i offentlig sektor
Denne anbefalingen gjøres under forutsetning av at Difi inkluderer
standarden i et formelt og åpent forvaltningsregime, gjerne i
samarbeid med andre forvaltningsorganer eller andre virksomheter.
Det anbefales også at Difi gjør en vurdering av muligheten for å
inngå et samarbeid med NSM og Datatilsynet, for å lage et felles
veiledningsregime for risikostyring av gradert og ugradert
informasjon
Dato Direktoratet for forvaltning og IKT
Konklusjon – Metoder for
risikovurdering
For gjennomføring av risikovurderinger i samsvar med
personopplysningsloven anbefales Helsedirektoratets
«Risikovurdering til Norm for informasjonssikkerhet»
som en «anbefalt forvaltningsstandard» i offentlig sektor
Dato Direktoratet for forvaltning og IKT
Dato Direktoratet for forvaltning og IKT
Høringsuttalelser
Vi har mottatt kommentarer fra NSM, Finanstilsynet, Difi,
Helsedirektoratet og en privat person
Konklusjonen i uttalelsene er ganske sammenfallende:
ISO/IEC 27005:2011 Standard for risikostyring støttes
Anbefalingen på støttedokumenter støttes ikke
Dato Direktoratet for forvaltning og IKT
Høringsuttalelser
NSM har kommentert at veiledningen ikke er tilstrekkelig etter
sikkerhetslovens krav. NSM er imidlertid positive til å delta i et arbeid
sammen med Difi og andre aktuelle forvaltningsorganer for å utvikle en felles
veiledningsregime på dette området.
Difi: Selv om Difis veileder er bygget på diverse velkjente standarder og
metoder, så bør det nok gjøres omfattende omskriving før den kan brukes
som en generell metode for risikovurdering av informasjonssikkerhet.
Det er ikke alltid sterk sammenheng mellom ISO 27005 og veiledningen når
det gjelder begrepsbruk, struktur, og prosessoppbygging.
Både NSM, Difi og Seip i Finanstilsynet understreker i uttalelsene sine
behovet for at metodikker og støttedokumenter for risikovurderinger må
tilpasses den enkelte virksomhet.
Dato Direktoratet for forvaltning og IKT
Anbefalinger til
Standardiseringsrådet ISO/IEC 27005:2011 gjøres anbefalt for forvaltningen. Den vurderingen som
er gjort i utredningen har fått ensidig positiv støtte og bør derfor
opprettholdes.
Difi sin veileder «Risikovurdering – en veiledning til Rammeverk for
autentisering og uavviselighet i elektronisk kommunikasjon med og i offentlig
forvaltning» og Helsedirektoratets veileder til risikovurdering gjøres anbefalt
for informasjon som ikke er underlagt sikkerhetslovens bestemmelser.
Det har kommet noen kritiske bemerkninger til standardene og usikkerheten
rundt fremtidig forvaltningsregime. Dette taler for å avvente med å anbefale
disse standardene. Det er derimot viktig å få på plass noen standarder raskt,
slik at offentlige virksomheter får felles metoder de kan benytte.
Det anbefales derfor på tross av de kritiske spørsmålene og anbefale
standardene, med forbehold om at Difi velger å prioritere arbeidet med å
forvalte sin standard i tiden som kommer.
Dato Direktoratet for forvaltning og IKT
top related