risikovurdering - sett fra iso og...
TRANSCRIPT
Risikovurdering
- sett fra ISO og
informasjonssikkerhet
DFØs samarbeidsforum 21.06.2016 Jan Sørgård, Seniorrådgiver Difi
BAKGRUNN
«god praksis»
Veiledninger
(konkretiseringer): ++ Normen
Rammeverk
og standarder: Internkontroll
generelt og
ERM Mange områder
HMS
++
31000 27001 9001 m.m.
Internkontroll og risikostyring
Difis rolle og mandat innen
informasjonssikkerhet
Arbeide for en styrket og mer helhetlig tilnærming
til informasjonssikkerhet i statsforvaltningen
Være en pådriver på etater/staten når det gjelder å
bedre informasjonssikkerheten
Gi anbefalinger og veiledning til forvaltningsorgan
om internkontroll på
informasjonssikkerhetsområdet
jf. eForvaltningsforskriften §15
Hva er informasjonssikkerhet?
Sikring av
konfidensialitet
integritet
tilgjengelighet
på informasjon som behandles
i tilknytning til våre arbeidsoppgaver
Hva er informasjonssikkerhet?
konfidensialitet informasjon blir ikke kjent for uvedkommende
integritet informasjon blir ikke endret utilsiktet eller av uvedkommende
tilgjengelighet informasjon er tilgjengelig ved behov
Potensielle konsekvenser ved
brudd på informasjonssikkerheten Vår egen jobb
feil beslutninger
brudd på rettssikkerhet
feil i øk. transaksjoner
ikke korrekt og forsvarlig
saksbehandling
økonomiske tap
ineffektivt arbeid
tapt arbeidstid
…
Personer og virksomheter
tap av anseelse, integritet
og rettigheter
økonomiske tap
ødelagte muligheter,
arbeidsforhold,
livssituasjon og
eksistensgrunnlag
bedriftshemmeligheter
rikets sikkerhet
liv og helse
ikke korrekt og forsvarlig
saksbehandling …
Kilder til risikoer
uhell
uaktsomhet
tilsiktede handlinger fra eksterne
fra interne (utro tjenere eller pga. uhensiktsmessige arbeidsforhold)
ulykker som skjer rundt oss
De skaper risikoer - Kan gi uønskede konsekvenser
- Vi når ikke målene våre
Målene våre
nå mål og resultatkrav
effektiv ressursbruk
etterleve lover og regler
pålitelig rapportering
Det er disse,
på overordnet eller mer detaljert nivå,
som kan påvirkes av risikoer
RISIKOVURDERING
Hva er dette?
ISO 31000 Risikostyring Prinsipper og retningslinjer
Deltrinnene under
Risikovurdering i ISO 31000
Identifisere Identifisere risikokilder, områder som berøres,
hendelser samt deres årsaker og potensielle
konsekvenser
Analysere Forstå risikoene
Estimere konsekvenser og tilhørende sannsynligheter
Evaluere Opp mot kriterier for å akseptere risikoer
Kan risikoene aksepteres?
Ved NEI gjennomfør risikohåndtering
Kan gjøres
på ulikt
detaljerings-
nivå og med
bruk av ulike
metoder,
teknikker,
verktøy
ISO 31010 Metoder og verktøy i risikovurderinger
31 metoder/verktøy nevnt Er likevel ikke en komplett liste
Kan kombineres til sammensatte og helhetlige metoder
Gir ulik støtte under identifisere
analysere
evaluere
Mange er også relevant under håndtere risiko
i kommunikasjon
ISO 31010 Metoder og teknikker i risikovurderinger
osv.
Valg av metode / verktøy
Bør være tilpasset målet med risikovurderingen
behovene til beslutningstaker
typen og omfanget av risikoer som analyseres
(jf. ISO 31010 kap. 6)
Kan kombineres i sammensatte metoder tilpasset det som skal risikovurderes
Trent prosessleder er ofte viktig for å lykkes
Husk at risikovurderinger er beslutningsgrunnlag Notat og hensiktsmessige vedlegg bør i tilstrekkelig grad gi
utfyllende dokumentasjon
En eller flere metoder og
verktøy?
ULIKE TILNÆRMINGER
Risikovurdering
Risikovurderinger kan skje på
flere nivå Strategisk
Taktisk
Operasjonelt
*****
Innen informasjonssikkerhet:
Fokus på operasjonelle risikoer – det som kan skje
i tilknytning til utføring av arbeidsoppgavene våre
Mål eller konsekvenskategorier?
Utgangspunkt i mål
Mål 1
Risiko 1
Risiko 2
Risiko 3
…
Mål 2
Risiko 1
Risiko 3
Risiko 5
…
Utgangspunkt i ansvarsområder/
arbeidsoppgaver Risiko 1
kan påvirke mål / målområde 1
kan påvirke mål / målområde 2
Risiko 2
kan påvirke mål / målområde 2
kan påvirke mål / målområde 3
…
NB! målene/målområdene blir her
ofte kalt konsekvenskategorier e.l.
Operasjonelle risikoer og mål/konsekvenskategorier
har ofte et mange til mange forhold
RISIKOFORSTÅELSE
Sklir på isen
Liv og
helse Øko-
nomi Tjeneste-
nivå
? ?
utløsende hendelse, følgehendelse, følgehendelse, …. konsekvens ….. …….
Risikobeskrivelse (scenario / hendelse)
Sklir på isen
Liv og
helse Øko-
nomi Tjeneste-
nivå
? ?
Hva er risikoen?
Hvilken konsekvens?
Sannsynlighet for hva?
Hva er hendelsen?
Sannsynlighetsfordeling på ulike
konsekvensnivå Refleksjonsgrunnlag (eksempler):
Skade-start
Konsekvenser Årsaker
utløsende hendelse, følgehendelse, følgehendelse, …. konsekvens ….. …….
RISIKOBESKRIVELSE (SCENARIO / HENDELSE )
Skade-start
Konsekvenser Årsaker
utløsende hendelse, følgehendelse, følgehendelse, …. konsekvens ….. …….
«Skadestart» – dvs
• Infosikkerhetsbrudd
• Kvalitetsbrudd
• Skadestart «ting»
• Skadestart helse
• ….
Skade-start
Konsekvenser Årsaker
utløsende hendelse, følgehendelse, følgehendelse, …. konsekvens ….. …….
Informasjons-sikkerhetsbrudd
Brudd på konfidensialitet, integritet, tilgjengelighet
Konsekvenser Årsaker
Konsekvenskategori • Tjenestenivå • Vår økonomi • HMS • Personvern • Regelverk • ….
Kilder • Uhell • Uaktsomhet • Tilsiktede handlinger • Ulykker
utløsende hendelse, følgehendelse, følgehendelse, …. konsekvens ….. …….
Skade-start
Informasjons-sikkerhetsbrudd
Konsekvenser Årsaker
Konsekvenskategori • Tjenestenivå • Vår økonomi • HMS • Personvern • Regelverk • ….
Informasjons-sikkerhetsbrudd
(1) (2)
RISIKOBESKRIVELSER (SCENARIO / HENDELSER ) Hensiktsmessige stikkord om (1) årsaksdelen (2) informasjonssikkerhetsbruddet (3) konsekvensdelen
Kilder • Uhell • Uaktsomhet • Tilsiktede handlinger • Ulykker
Konsekvenser Årsaker
Konsekvenskategori • Tjenestenivå • Vår økonomi • HMS • Personvern • Regelverk • ….
utløsende hendelse, følgehendelse, følgehendelse, …. konsekvens ….. …….
Skade-start
Informasjons-sikkerhetsbrudd
Risikoreduserende tiltak
Kilder • Uhell • Uaktsomhet • Tilsiktede handlinger • Ulykker
Uttrykke risiko
Risikobeskrivelse Risikostørrelse +
Hensiktsmessige stikkord om (1) årsaksdelen (2) informasjonssikkerhetsbruddet (3) konsekvensdelen
Anslått nivå på (a) konsekvens (b) tilhørende sannsynlighet (c) risiko (Minimum for en konsekvenskategori / ett målområde. Minimum for største risiko.)
Potensiell nyttig tilleggsinfo/ utdypninger kan leggges i • risikonotatet • risikotabellen • andre vedlegg til risikonotatet
Analysere
risiko
Eksempelvis: • Nåværende tiltaksbeskrivelser / sårbarhetsnivå • Sannsynlighet årsaksdel, info.sikkerhetsbrudd • Berørte konsekvenskategorier • Dypere analysebeskrivelser/-teknikker
Analysere
risiko
FRA DIFIS VEILEDNING FOR INFORMASJONSSIKKERHET
Sentrale aktører i risikovurderinger Risikoeiere (mål- og resultatansvarlige / linjeledere)
Bør også være systemeiere for egne (fag)system
Risikoeiers ansatte
De som kjenner oppgavene og de potensielle konsekvensene
Systemeiere fellessystem Må involvere risikoeierne i risikovurderinger
Prosessledere Leder praktisk gjennomføring av risikovurderinger
Bør ha personlige egenskaper og få litt trening
Kan ha behov for eksperter ved spesielle metoder/teknikker
Tiltaksleverandører Mulige bidragsytere avhengig av innretning på risikovurderingen
Eks: IT, bygningsansvarlig, personalenhet
Delaktiviteter under
Risikovurdering
Få oversikten og prioritere Foranalyse av ansvarsområde
Taktisk oppdeling og gruppering
Vurdere behov for risikovurderinger
Planlegge og gjennomføre operasjonelle
risikovurderinger
Gjennomføre risikovurdering
Etablere felles
referanse-ramme
Etablere felles
begreps-forståelse
Vurdere obs-
områder
Identifisere risikoer
Analysere risikoer
Evaluere risikoer
Beskrive kvalitet og kunnskaps
-styrke
Trinn 4
Identifisere risikoer
Mål for trinnet: Identifisere et sett av relevante risikoer
Formulere dem i helhetlige risikobeskrivelser
Prioritere dem i noen hovedgrupper for arbeidet videre
Idédugnad og gruppediskusjon
Trinn 4
Identifisere risikoer Støttespørsmål
Hva er dere mest bekymret for av uønskede hendelser?
Hva er dere mest bekymret for av sikkerhetsbrudd og
påfølgende konsekvenser, og hva kan utløse disse?
Hva med vesentlig konsekvens har skjedd tidligere hos
oss eller andre lignende virksomheter?
Hva skjer stadig av hendelser og sikkerhetsbrudd? rundt taushetsplikt?
rundt uautorisert endring av vesentlig informasjon
endring av vesentlig informasjon ved uhell
trege systemer, manglende tilgjengelighet på systemer eller informasjon?
Trinn 4
Identifisere risikoer Idedugnad i små runder
Eksempelvis:
1. objektet for risikovurderingen generelt
2. spesielle obs-områder / hoveddeler
3. sentrale arbeidsoppgaver
4. sentrale informasjonstyper
5. trusselaktører
6. farer
7. sårbarheter
Konsekvenser Årsaker
Konsekvenskategori • Tjenestenivå • Vår økonomi • HMS • Personvern • Regelverk • ….
Informasjons-sikkerhetsbrudd
(1) (2)
RISIKOBESKRIVELSER Hensiktsmessige stikkord om (1) årsaksdelen (2) informasjonssikkerhetsbruddet (3) konsekvensdelen
Formuler helhetlige risikobeskrivelser
Visuell støtte i sløyfediagrammet
Kilder • Uhell • Uaktsomhet • Tilsiktede handlinger • Ulykker
Eksempel på risikobeskrivelser ----------- Risikobeskrivelse / Scenario -----------
ID Årsak (1) Informasjonssikkerhets-
brudd (skadestart) (2) Konskevensbeskrivelse (3)
1
(1) Ansatte prater om
sosialsaker i kantina,
naboer til klienter
overhører
(2) Brudd på
taushetsplikt
(3) Naboer snakker om ting
de ikke skulle vite, klienter
opplever ubehag, barn
utestenges
2
(1) Ansatte legger
hemmelige adresser på
internett
(2) Hemmelige adresser
kommer på avveie
(3) Voldspersoner får fatt i
personer med hemmelig
adresse, gir personskade
3
(1) Organiserte kriminelle,
sosial manipulering av
ansatte via ekstern IKT-
tilgang
(2) Kriminelle endrer
beløp og utbetalings-
konto i økonomisystem
(3) Feil utbetalinger, vi taper
penger, andre får ikke det de
har krav på
4 (1) Ansatte gjør feil (2) Sletter info i
tilskuddssystem (3) Feil beslutninger og
utbetalinger
5 (1) Brann i serverrom (2) Alle system detter
ned (3) All aktivitet ute av drift
Beskrivelsene kan ha ulikt detaljeringsnivå på alle tre delene
avhengig av hva som anses hensiktsmessig
Trinn 5
Analysere risikoer
Mål for trinnet: For hver risikobeskrivelse:
Forstå årsakssammenhenger
Forstå konsekvenssammenhenger
Estimere nivå på konsekvens og tilhørende sannsynlighet på
sentrale utfall
Finn den risikostørrelsen som uttrykker den største risikoen
Strukturert gruppediskusjon
+ andre støttemetoder ved behov
Merk: En dypere analyse av årsaker og konsekvenser kan være
aktuell senere under eventuell risikohåndtering
Trinn 5
Analysere risikoer
Støttespørsmål i diskusjon rundt hver av risikobeskrivelsene:
Er det tilsiktede handlinger i årsaksdelen (1)?
Hvem er trusselaktørene og hvor stor er motivasjon, vilje og kapasitet?
Hva er fremgangsmåten i årsaksdelen?
Hvordan kan de prøve å utnytte info.sikkerhetsbruddet (2)?
Er det ulykker, uhell eller uaktsomhet i årsaksdelen (1)?
Hva skjer?
Hvordan kan informasjonssikkerhetsbruddet (2) utvikle seg til
konsekvenser (3) av ulik type og størrelse?
Hva kan hindre at
informasjonssikkerhetsbruddet (2) skjer?
informasjonssikkerhetsbruddet (2) blir omfattende?
konsekvensene (3) blir store?
Velg konsekvenskategori (målområde) og
nivå på konsekvens, sannsynlighet og risiko
for største risiko
Refleksjonsgrunnlag (eksempler):
Sannsynlighetsestimat
Ta utgangspunkt i historisk hyppighet Anslå sannsynlighetsnivå
Juster dersom en trusselaktør er involvert i
risikobeskrivelsen: Ut fra aktørens intensjon og kapasitet
Juster ut fra sårbarhetsnivå status i tiltaksetableringen
hvor lett etablerte tiltak kan omgås
hvor lett uhell eller uaktsomhet kan skje
Sannsynlighetsestimat
Kan være nyttig med refleksjon i flere trinn: sannsynlighet for
1. at beskrivelsen i årsaksdelen inntreffer
2. at informasjonssikkerhetsbruddet (skadestart) inntreffer
3. mest forventet konsekvensnivå
4. konsekvensnivå for største risiko
Informer beslutningstaker i risikonotat e.l.
om at det vi presenterer et ett risikopunkt i en sannsynlighetsfordeling
Flere konsekvenser av ulik størrelse og kategori kan inntreffe
NB! Formålet i risikovurderingen er oftest å
identifisere hvilke risikoer som må håndteres
kommunisere meningsfullt om risikoen
Kontakt oss
http://infosikkerhet.difi.no
Veiledningsmateriellet:
Internkontroll.infosikkerhet.difi.no