risikovurdering - sett fra iso og...

Risikovurdering

- sett fra ISO og

informasjonssikkerhet

DFØs samarbeidsforum 21.06.2016 Jan Sørgård, Seniorrådgiver Difi

BAKGRUNN

«god praksis»

Veiledninger

(konkretiseringer): ++ Normen

Rammeverk

og standarder: Internkontroll

generelt og

ERM Mange områder

HMS

++

31000 27001 9001 m.m.

Internkontroll og risikostyring

Difis rolle og mandat innen

informasjonssikkerhet

Arbeide for en styrket og mer helhetlig tilnærming

til informasjonssikkerhet i statsforvaltningen

Være en pådriver på etater/staten når det gjelder å

bedre informasjonssikkerheten

Gi anbefalinger og veiledning til forvaltningsorgan

om internkontroll på

informasjonssikkerhetsområdet

jf. eForvaltningsforskriften §15

Hva er informasjonssikkerhet?

Sikring av

konfidensialitet

integritet

tilgjengelighet

på informasjon som behandles

i tilknytning til våre arbeidsoppgaver

Hva er informasjonssikkerhet?

konfidensialitet informasjon blir ikke kjent for uvedkommende

integritet informasjon blir ikke endret utilsiktet eller av uvedkommende

tilgjengelighet informasjon er tilgjengelig ved behov

Potensielle konsekvenser ved

brudd på informasjonssikkerheten Vår egen jobb

feil beslutninger

brudd på rettssikkerhet

feil i øk. transaksjoner

ikke korrekt og forsvarlig

saksbehandling

økonomiske tap

ineffektivt arbeid

tapt arbeidstid

…

Personer og virksomheter

tap av anseelse, integritet

og rettigheter

økonomiske tap

ødelagte muligheter,

arbeidsforhold,

livssituasjon og

eksistensgrunnlag

bedriftshemmeligheter

rikets sikkerhet

liv og helse

ikke korrekt og forsvarlig

saksbehandling …

Kilder til risikoer

uhell

uaktsomhet

tilsiktede handlinger fra eksterne

fra interne (utro tjenere eller pga. uhensiktsmessige arbeidsforhold)

ulykker som skjer rundt oss

De skaper risikoer - Kan gi uønskede konsekvenser

- Vi når ikke målene våre

Målene våre

nå mål og resultatkrav

effektiv ressursbruk

etterleve lover og regler

pålitelig rapportering

Det er disse,

på overordnet eller mer detaljert nivå,

som kan påvirkes av risikoer

RISIKOVURDERING

Hva er dette?

ISO 31000 Risikostyring Prinsipper og retningslinjer

Deltrinnene under

Risikovurdering i ISO 31000

Identifisere Identifisere risikokilder, områder som berøres,

hendelser samt deres årsaker og potensielle

konsekvenser

Analysere Forstå risikoene

Estimere konsekvenser og tilhørende sannsynligheter

Evaluere Opp mot kriterier for å akseptere risikoer

Kan risikoene aksepteres?

Ved NEI gjennomfør risikohåndtering

Kan gjøres

på ulikt

detaljerings-

nivå og med

bruk av ulike

metoder,

teknikker,

verktøy

ISO 31010 Metoder og verktøy i risikovurderinger

31 metoder/verktøy nevnt Er likevel ikke en komplett liste

Kan kombineres til sammensatte og helhetlige metoder

Gir ulik støtte under identifisere

analysere

evaluere

Mange er også relevant under håndtere risiko

i kommunikasjon

ISO 31010 Metoder og teknikker i risikovurderinger

osv.

Valg av metode / verktøy

Bør være tilpasset målet med risikovurderingen

behovene til beslutningstaker

typen og omfanget av risikoer som analyseres

(jf. ISO 31010 kap. 6)

Kan kombineres i sammensatte metoder tilpasset det som skal risikovurderes

Trent prosessleder er ofte viktig for å lykkes

Husk at risikovurderinger er beslutningsgrunnlag Notat og hensiktsmessige vedlegg bør i tilstrekkelig grad gi

utfyllende dokumentasjon

En eller flere metoder og

verktøy?

ULIKE TILNÆRMINGER

Risikovurdering

Risikovurderinger kan skje på

flere nivå Strategisk

Taktisk

Operasjonelt

*****

Innen informasjonssikkerhet:

Fokus på operasjonelle risikoer – det som kan skje

i tilknytning til utføring av arbeidsoppgavene våre

Mål eller konsekvenskategorier?

Utgangspunkt i mål

Mål 1

Risiko 1

Risiko 2

Risiko 3

…

Mål 2

Risiko 1

Risiko 3

Risiko 5

…

Utgangspunkt i ansvarsområder/

arbeidsoppgaver Risiko 1

kan påvirke mål / målområde 1


Risiko 2



…

NB! målene/målområdene blir her

ofte kalt konsekvenskategorier e.l.

Operasjonelle risikoer og mål/konsekvenskategorier

har ofte et mange til mange forhold

RISIKOFORSTÅELSE

Sklir på isen

Liv og

helse Øko-

nomi Tjeneste-

nivå

? ?

utløsende hendelse, følgehendelse, følgehendelse, …. konsekvens ….. …….

Risikobeskrivelse (scenario / hendelse)

Sklir på isen

Liv og

helse Øko-

nomi Tjeneste-

nivå

? ?

Hva er risikoen?

Hvilken konsekvens?

Sannsynlighet for hva?

Hva er hendelsen?

Sannsynlighetsfordeling på ulike

konsekvensnivå Refleksjonsgrunnlag (eksempler):

Skade-start

Konsekvenser Årsaker


RISIKOBESKRIVELSE (SCENARIO / HENDELSE )

Skade-start



«Skadestart» – dvs

• Infosikkerhetsbrudd

• Kvalitetsbrudd

• Skadestart «ting»

• Skadestart helse

• ….

Skade-start



Informasjons-sikkerhetsbrudd

Brudd på konfidensialitet, integritet, tilgjengelighet


Konsekvenskategori • Tjenestenivå • Vår økonomi • HMS • Personvern • Regelverk • ….

Kilder • Uhell • Uaktsomhet • Tilsiktede handlinger • Ulykker


Skade-start





(1) (2)

RISIKOBESKRIVELSER (SCENARIO / HENDELSER ) Hensiktsmessige stikkord om (1) årsaksdelen (2) informasjonssikkerhetsbruddet (3) konsekvensdelen





Skade-start


Risikoreduserende tiltak


Uttrykke risiko

Risikobeskrivelse Risikostørrelse +

Hensiktsmessige stikkord om (1) årsaksdelen (2) informasjonssikkerhetsbruddet (3) konsekvensdelen

Anslått nivå på (a) konsekvens (b) tilhørende sannsynlighet (c) risiko (Minimum for en konsekvenskategori / ett målområde. Minimum for største risiko.)

Potensiell nyttig tilleggsinfo/ utdypninger kan leggges i • risikonotatet • risikotabellen • andre vedlegg til risikonotatet

Analysere

risiko

Eksempelvis: • Nåværende tiltaksbeskrivelser / sårbarhetsnivå • Sannsynlighet årsaksdel, info.sikkerhetsbrudd • Berørte konsekvenskategorier • Dypere analysebeskrivelser/-teknikker

Analysere

risiko

FRA DIFIS VEILEDNING FOR INFORMASJONSSIKKERHET

Sentrale aktører i risikovurderinger Risikoeiere (mål- og resultatansvarlige / linjeledere)

Bør også være systemeiere for egne (fag)system

Risikoeiers ansatte

De som kjenner oppgavene og de potensielle konsekvensene

Systemeiere fellessystem Må involvere risikoeierne i risikovurderinger

Prosessledere Leder praktisk gjennomføring av risikovurderinger

Bør ha personlige egenskaper og få litt trening

Kan ha behov for eksperter ved spesielle metoder/teknikker

Tiltaksleverandører Mulige bidragsytere avhengig av innretning på risikovurderingen

Eks: IT, bygningsansvarlig, personalenhet

Delaktiviteter under

Risikovurdering

Få oversikten og prioritere Foranalyse av ansvarsområde

Taktisk oppdeling og gruppering

Vurdere behov for risikovurderinger

Planlegge og gjennomføre operasjonelle

risikovurderinger

Gjennomføre risikovurdering

Etablere felles

referanse-ramme

Etablere felles

begreps-forståelse

Vurdere obs-

områder

Identifisere risikoer

Analysere risikoer

Evaluere risikoer

Beskrive kvalitet og kunnskaps

-styrke

Trinn 4

Identifisere risikoer

Mål for trinnet: Identifisere et sett av relevante risikoer

Formulere dem i helhetlige risikobeskrivelser

Prioritere dem i noen hovedgrupper for arbeidet videre

Idédugnad og gruppediskusjon

Trinn 4

Identifisere risikoer Støttespørsmål

Hva er dere mest bekymret for av uønskede hendelser?

Hva er dere mest bekymret for av sikkerhetsbrudd og

påfølgende konsekvenser, og hva kan utløse disse?

Hva med vesentlig konsekvens har skjedd tidligere hos

oss eller andre lignende virksomheter?

Hva skjer stadig av hendelser og sikkerhetsbrudd? rundt taushetsplikt?

rundt uautorisert endring av vesentlig informasjon

endring av vesentlig informasjon ved uhell

trege systemer, manglende tilgjengelighet på systemer eller informasjon?

Trinn 4

Identifisere risikoer Idedugnad i små runder

Eksempelvis:

1. objektet for risikovurderingen generelt

2. spesielle obs-områder / hoveddeler

3. sentrale arbeidsoppgaver

4. sentrale informasjonstyper

5. trusselaktører

6. farer

7. sårbarheter




(1) (2)

RISIKOBESKRIVELSER Hensiktsmessige stikkord om (1) årsaksdelen (2) informasjonssikkerhetsbruddet (3) konsekvensdelen

Formuler helhetlige risikobeskrivelser

Visuell støtte i sløyfediagrammet


Eksempel på risikobeskrivelser ----------- Risikobeskrivelse / Scenario -----------

ID Årsak (1) Informasjonssikkerhets-

brudd (skadestart) (2) Konskevensbeskrivelse (3)

1

(1) Ansatte prater om

sosialsaker i kantina,

naboer til klienter

overhører

(2) Brudd på

taushetsplikt

(3) Naboer snakker om ting

de ikke skulle vite, klienter

opplever ubehag, barn

utestenges

2

(1) Ansatte legger

hemmelige adresser på

internett

(2) Hemmelige adresser

kommer på avveie

(3) Voldspersoner får fatt i

personer med hemmelig

adresse, gir personskade

3

(1) Organiserte kriminelle,

sosial manipulering av

ansatte via ekstern IKT-

tilgang

(2) Kriminelle endrer

beløp og utbetalings-

konto i økonomisystem

(3) Feil utbetalinger, vi taper

penger, andre får ikke det de

har krav på

4 (1) Ansatte gjør feil (2) Sletter info i

tilskuddssystem (3) Feil beslutninger og

utbetalinger

5 (1) Brann i serverrom (2) Alle system detter

ned (3) All aktivitet ute av drift

Beskrivelsene kan ha ulikt detaljeringsnivå på alle tre delene

avhengig av hva som anses hensiktsmessig

Trinn 5

Analysere risikoer

Mål for trinnet: For hver risikobeskrivelse:

Forstå årsakssammenhenger

Forstå konsekvenssammenhenger

Estimere nivå på konsekvens og tilhørende sannsynlighet på

sentrale utfall

Finn den risikostørrelsen som uttrykker den største risikoen

Strukturert gruppediskusjon

+ andre støttemetoder ved behov

Merk: En dypere analyse av årsaker og konsekvenser kan være

aktuell senere under eventuell risikohåndtering

Trinn 5

Analysere risikoer

Støttespørsmål i diskusjon rundt hver av risikobeskrivelsene:

Er det tilsiktede handlinger i årsaksdelen (1)?

Hvem er trusselaktørene og hvor stor er motivasjon, vilje og kapasitet?

Hva er fremgangsmåten i årsaksdelen?

Hvordan kan de prøve å utnytte info.sikkerhetsbruddet (2)?

Er det ulykker, uhell eller uaktsomhet i årsaksdelen (1)?

Hva skjer?

Hvordan kan informasjonssikkerhetsbruddet (2) utvikle seg til

konsekvenser (3) av ulik type og størrelse?

Hva kan hindre at

informasjonssikkerhetsbruddet (2) skjer?

informasjonssikkerhetsbruddet (2) blir omfattende?

konsekvensene (3) blir store?

Velg konsekvenskategori (målområde) og

nivå på konsekvens, sannsynlighet og risiko

for største risiko

Refleksjonsgrunnlag (eksempler):

Sannsynlighetsestimat

Ta utgangspunkt i historisk hyppighet Anslå sannsynlighetsnivå

Juster dersom en trusselaktør er involvert i

risikobeskrivelsen: Ut fra aktørens intensjon og kapasitet

Juster ut fra sårbarhetsnivå status i tiltaksetableringen

hvor lett etablerte tiltak kan omgås

hvor lett uhell eller uaktsomhet kan skje

Sannsynlighetsestimat

Kan være nyttig med refleksjon i flere trinn: sannsynlighet for

1. at beskrivelsen i årsaksdelen inntreffer

2. at informasjonssikkerhetsbruddet (skadestart) inntreffer

3. mest forventet konsekvensnivå

4. konsekvensnivå for største risiko

Informer beslutningstaker i risikonotat e.l.

om at det vi presenterer et ett risikopunkt i en sannsynlighetsfordeling

Flere konsekvenser av ulik størrelse og kategori kan inntreffe

NB! Formålet i risikovurderingen er oftest å

identifisere hvilke risikoer som må håndteres

kommunisere meningsfullt om risikoen

Kontakt oss

http://infosikkerhet.difi.no

[email protected]

Veiledningsmateriellet:

Internkontroll.infosikkerhet.difi.no

http://infosikkerhet.difi.no/

http://infosikkerhet.difi.no/

http://internkontroll.infosikkerhet.difi.no/

risikovurdering - sett fra iso og...

Documents