www.iktsenteret.no www.iktsenteret.no Tommy Tranvik Harald Torbjørnsen 04.11.2015 Kurs i risikovurdering av informasjonssikkerhet
PowerPoint-presentasjon
www.iktsenteret.no
Tommy TranvikHarald Torbjrnsen04.11.2015Kurs i risikovurdering av informasjonssikkerhet
www.iktsenteret.noGenerelt om risikovurdering Rettslige krav til sikring av informasjonsverdier, spesielt personopplysninger
En form for utredningsplikt
Risikovurderingene blir ikke bedre enn deltakerne
utvelgelseinformasjonhndtering
www.iktsenteret.noInnholdet i utredningspliktenIdentifisere og vurdere unskede hendelser
Unskede hendelser
uautorisert tilgang eller eksponering (konfidensialitetsbrudd)uautorisert endring, sletting eller skade (integritetsbrudd)manglende tilgjengelighet (tilgjengelighetsbrudd)
Vurdering
sannsynlighetkonsekvens (skadeomfanget)
www.iktsenteret.noMuliggjrerenInformasjonssikkerhet og risikovurderinger er ment vre muliggjreren for bruk av IKT
Skape tillit til den elektroniske informasjonsforvaltningen
viktige informasjonsverdier (personopplysninger) blir ivaretatt p tilfredsstillende vis
www.iktsenteret.noSvakheterRisikovurdering = egenkontroll
Egenkontrollen kan pvirkes av utenforliggende forhold, for eksempel
bundet mandatkonomimakelighetprestisjepersonlige preferanserinkompetanse
Ikke brukes til fordeling av skyld og ansvar
www.iktsenteret.noRettslige reguleringer i offentlig sektor
www.iktsenteret.noDe viktigste rettslige reguleringeneRegelverk med eksplisitte krav til risikovurdering
personopplysningsloven med forskrifte-forvaltningsforskriften
Regelverk med betydning for informasjonssikkerheten
forvaltningslovenoffentlighetslovenarkivloven
Enkelte bestemmelser i srlovgivningen
www.iktsenteret.noPersonopplysningsloven med forskriftGjelder
all elektronisk behandling av personopplysning som helt eller delvis skjer ved bruk av elektroniske hjelpemidlerenhver opplysning eller vurdering som kan knyttes til en bestemt enkeltpersonpersonopplysninger som inngr i interne og eksterne IT-lsninger
Forml
ivareta grunnleggende personvernhensyn
Rettslig standard
tilfredsstillende sikring av konfidensialitet, integritet og tilgjengelighet
www.iktsenteret.noKrav til risikovurderingerSkal skje
fr behandlingen av personopplysninger starterved endringer i interne eller eksterne IT-lsninger som har betydning for informasjonssikkerheten
Krav til selve risikovurderingene
ikke mer omfattende eller formaliserte enn ndvendigskal basere seg p akseptkriterier vedtatt av toppledelsen ingen nrmere krav til gjennomfring og metodikk
www.iktsenteret.noE-forvaltningsforskriftenHjemlet i forvaltningsloven 15a
Gjelder
elektronisk kommunikasjon med forvaltningen og elektronisk saksbehandling og kommunikasjon i forvaltningen
Forml
sikker og effektiv elektronisk kommunikasjon med og i forvaltningenlegge til rette for at enhver kan utve sine rettigheter og oppfylle sine plikter overfor det offentlige
Rettslig standard
tilfredsstillende sikring av konfidensialitet, integritet, autentisering og ikke-benekting
Regler om sikkerhetstjenester og produkter, for eksempel elektronisk signatur, kryptering og sertifikater
www.iktsenteret.noKrav til risikovurderingerRisikoen for uberettiget tilgang ved kommunikasjon til forvaltningen
opplysninger som er underlagt taushetspliktpersonopplysninger informasjonsplikt om eventuelle risikoer
Risiko for uberettiget tilgang ved kommunikasjon fra forvaltningen
enkeltvedtak
Risikoen for uberettiget partsinnsyn i opplysninger og dokumenter hos forvaltningen
Ikke spesifikke krav til organisering, gjennomfring og metodikk
www.iktsenteret.noRegler med betydning for informasjonssikkerhetenForvaltningsloven, for eksempel
taushetsplikt (noens personlige forhold; tekniske innretninger og fremgangsmter)partsinnsyn
Offentlighetsloven, for eksempel
dokumenter/opplysninger som er unntatt eller kan unntas offentlighettaushetsplikt, organinternt, tilsetting, lnn, osv.svar til eksamen, karakterer/vitenml, forskningsideer/-prosjekter
Arkivloven med forskrifter, for eksempel
sikkerhetskopieringfysisk sikring (skadeverk, innbrudd) milj (vann, fukt, temperatur, forurensning, osv.)brann og skadelig varme
Ingen krav til risikovurderinger
www.iktsenteret.noRisikovurderinger begreper
www.iktsenteret.noAkseptkriterierToppledelsens krav til informasjonssikkerheten
Risikovurderinger oppfylles ledelsens krav?
Eksempler p akseptkriterier
pen informasjon integritet og tilgjengeligheten skal prioriteres. Integritet viktigere enn tilgjengelighet
Konfidensiell informasjon konfidensialiteten og integriteten skal prioriteres hyt. Kortere avbrudd i tilgjengeligheten aksepteres
Sensitiv informasjon konfidensialiteten og integriteten skal prioriteres srlig hyt. Kortere avbrudd i tilgjengeligheten aksepteres
www.iktsenteret.noAndre viktige begreperUnsket hendelse (risikoelement)en handling eller hendelse som kan pvirke informasjonssikkerheten negativt
Srbarheten svakhet som kan utnyttes til bryte informasjonssikkerheten
Sannsynlighetvanligvis hvor ofte en unsket hendelse forventes inntreffe
Konsekvens/skadeomfangkonomi, omdmme, personvern, kritiske funksjoner, rettslig ptale, o.l.
Risikofaktorproduktet av sannsynlighet og konsekvens
www.iktsenteret.noRisikovurderingens 3 hovedfaserForberedelse
Gjennomfring
Oppsummering og etterarbeid16
www.iktsenteret.noDel 1: Forberedelse
Utarbeide prosjektbeskrivelse/notatHensiktOmfang i timerRessursbehovPeriode
Forankre prosjektetAvgjrende for resultatet!Viktig med involvering av alle ledd i organisasjonenMedspillere framfor motstandereLokale retningslinjer17
www.iktsenteret.noDel 1: ForberedelseDeltakereRepresentativ gruppe5-7 stk
Beskriv omrdet/eneForberedelsesnotat til deltakerneUtgangspunkt for arbeidsmte
www.iktsenteret.noEksempel p beskrivelse/notat
www.iktsenteret.noEksempel p beskrivelse/notat
www.iktsenteret.noEksempel p beskrivelse/notat
www.iktsenteret.noEksempel p innledning
www.iktsenteret.noEksempel p innledning
www.iktsenteret.noDel 2: GjennomfringRisikovurderingsmter kan deles i 6 faser:
Innledning beskrivelse av hva risikovurdering er (ca.15 min.) Deltakerne presenterer seg anledning til stille sprsml (ca. 15 min.)Gjennomgang av risikoomrdet og eksempelhendelsene i dokumentet (ca. 30 min.)Deltakerne skriver ned unskede hendelser de har erfart, hrt om eller tenkt p (ca. 20 min.) Diskutere, identifisere og notere unskede hendelser (ca. 75 min.) Risikovurderingen: deltakerne angir sannsynlighets- og konsekvensverdi for hver unsket hendelse (ca. 15 min.)
24
www.iktsenteret.noEksempel p hendelser
www.iktsenteret.noEksempel p sannsynlighetsverdierLite sannsynligHendelsen inntreffer hvert femte skolerModerat sannsynligHendelsen kan opptre hvert tredje skoler.SannsynligHendelsen kan opptre hvert skoler.Svrt sannsynligHendelsen opptrer flere ganger i lpet av skoleret.
www.iktsenteret.noEksempel p konsekvensverdierUfarligHendelsen vil ikke p noen mte kunne skade elever eller andre ansatte ved skolen annet enn ubetydeligUheldigHendelsen kan f konsekvenser av mindre omfang for elever, lrere eller andre ansatte. Eksempelvis mindre komisk tap, tap av brukernavn passord, publisering av bilder p lringsplattform uten samtykke etc.AlvorligHendelsen kan f betydelige konsekvenser for elever, foreldre, lrere eller andre ansatte. Eksempelvis uautorisert bruk av en elevens/lrerens brukernavn/passord, utilsiktet tilgang til og eller endring av karakterer/fravr. Etc.KritiskHendelsen kan fre til skade p liv og helse, alvorlig integritetskrenkelse og tap av omdmme. Eksempelvis utlevering av sensitive personopplysninger, publisering av kontaktinformasjon for elever/foreldre som lever p skjermet adresse, vedvarende digital mobbing osv.
www.iktsenteret.noRisikomatrise
www.iktsenteret.no
www.iktsenteret.noEksempel p referat
www.iktsenteret.noDel 3: Oppsummering og etterarbeid
Formidle konklusjoner og anbefalingerFinn din lsningViktig at rektor, skoleeier/oppdragsgiver fr rapporten
Skoleeier prioriterer tiltak.Rutiner endresDokumentasjon forbedresLsninger forbedres31
www.iktsenteret.noEksempel p rapport
www.iktsenteret.noRisikorapportenHvem har deltatt?
Beskrivelse av hva har blitt risikovurdert?
Risikomatrise som ble benyttet
Forklar unskede hendelser
Regn ut risikofaktorenDet avgjrende er vite hvilke hendelser med uakseptabel hy risiko og hvilke som ikke har det
OppsummeringForslag p tiltak
www.iktsenteret.noKvalitetssikring og formidlingDeltakerne godkjenner rapport
Rapport videreformidles til beslutningsniv
Beslutningsniv prioriterer tiltak
www.iktsenteret.noWorkshop2 grupperGruppe 1 SAS (-Tommy)Berit Soly, Christian Albertsen ,Csilla Timea Kacso, Elisabeth Hartvig, Frode Vik, Geir Kristiansen, Hilde Laderud, Ingrid Evju, Ingrid Kringlebotn, Jo Inge Fjellstad. Gruppe 2 LMS (-Harald)Kristin Harvey, Ole Skurdal, Pl Digernes, Sigmund Brenna, Terje Johansen, Tor Espen Hansen, Tore Lien, Grete Anette Nordengen, Helge Rabbas UtstyrHefte for aktuelt systemSkjema for vurderingNotatverkty
www.iktsenteret.noOppgave og rammerGjennomfr et risikovurderings arbeidsmte.InnledningDeltakerne presenterer seg Gjennomgang av risikoomrdet og eksempelhendelsene i vedlagt hefteDeltakerne skriver ned unskede hendelser de har erfart, hrt om eller tenkt p. Diskutere, identifisere og notere unskede hendelserRisikovurderingen: deltakerne angir sannsynlighets- og konsekvensverdi for hver unsket hendelsePunkt 6 gjennomfres senest kl 14:00!!!Oppsummering i plenum etter pausen.
www.iktsenteret.noOppsummeringSummering av vurdering
Markering av kritiske hendelser
Vurdering av tiltak
www.iktsenteret.noHva s da???Viktig med rutiner for risikovurderingRisikovurderinger m gjentas jevnligRisikovurderinger m vre en del av internkontrollenAnsvar spesifisert p personniv og rolleGjennomgang av tidligere identifiserte hendelserEventuelt fjerne dem fra listeneIdentifisere nye hendelser og vurdere demTidligere sikringstiltak gjennomgs for vurdere effekten
Kontinuerlig forbedringsprosess!
www.iktsenteret.no
Feide-forvaltning, risikovurderinger, rutiner og dokumentasjon
Gjr skolen bedre rustet til utnytte IKT i hverdagen!
Er svrt viktig for kvaliteten p utbytte av IKT i skolen.
www.iktsenteret.no