Kurs i risikovurdering

PowerPoint-presentasjon

www.iktsenteret.no

Tommy TranvikHarald Torbjrnsen04.11.2015Kurs i risikovurdering av informasjonssikkerhet

www.iktsenteret.noGenerelt om risikovurdering Rettslige krav til sikring av informasjonsverdier, spesielt personopplysninger

En form for utredningsplikt

Risikovurderingene blir ikke bedre enn deltakerne

utvelgelseinformasjonhndtering

www.iktsenteret.noInnholdet i utredningspliktenIdentifisere og vurdere unskede hendelser

Unskede hendelser

uautorisert tilgang eller eksponering (konfidensialitetsbrudd)uautorisert endring, sletting eller skade (integritetsbrudd)manglende tilgjengelighet (tilgjengelighetsbrudd)

Vurdering

sannsynlighetkonsekvens (skadeomfanget)

www.iktsenteret.noMuliggjrerenInformasjonssikkerhet og risikovurderinger er ment vre muliggjreren for bruk av IKT

Skape tillit til den elektroniske informasjonsforvaltningen

viktige informasjonsverdier (personopplysninger) blir ivaretatt p tilfredsstillende vis

www.iktsenteret.noSvakheterRisikovurdering = egenkontroll

Egenkontrollen kan pvirkes av utenforliggende forhold, for eksempel

bundet mandatkonomimakelighetprestisjepersonlige preferanserinkompetanse

Ikke brukes til fordeling av skyld og ansvar

www.iktsenteret.noRettslige reguleringer i offentlig sektor

www.iktsenteret.noDe viktigste rettslige reguleringeneRegelverk med eksplisitte krav til risikovurdering

personopplysningsloven med forskrifte-forvaltningsforskriften

Regelverk med betydning for informasjonssikkerheten

forvaltningslovenoffentlighetslovenarkivloven

Enkelte bestemmelser i srlovgivningen

www.iktsenteret.noPersonopplysningsloven med forskriftGjelder

all elektronisk behandling av personopplysning som helt eller delvis skjer ved bruk av elektroniske hjelpemidlerenhver opplysning eller vurdering som kan knyttes til en bestemt enkeltpersonpersonopplysninger som inngr i interne og eksterne IT-lsninger

Forml

ivareta grunnleggende personvernhensyn

Rettslig standard

tilfredsstillende sikring av konfidensialitet, integritet og tilgjengelighet

www.iktsenteret.noKrav til risikovurderingerSkal skje

fr behandlingen av personopplysninger starterved endringer i interne eller eksterne IT-lsninger som har betydning for informasjonssikkerheten

Krav til selve risikovurderingene

ikke mer omfattende eller formaliserte enn ndvendigskal basere seg p akseptkriterier vedtatt av toppledelsen ingen nrmere krav til gjennomfring og metodikk

www.iktsenteret.noE-forvaltningsforskriftenHjemlet i forvaltningsloven 15a

Gjelder

elektronisk kommunikasjon med forvaltningen og elektronisk saksbehandling og kommunikasjon i forvaltningen

Forml

sikker og effektiv elektronisk kommunikasjon med og i forvaltningenlegge til rette for at enhver kan utve sine rettigheter og oppfylle sine plikter overfor det offentlige

Rettslig standard

tilfredsstillende sikring av konfidensialitet, integritet, autentisering og ikke-benekting

Regler om sikkerhetstjenester og produkter, for eksempel elektronisk signatur, kryptering og sertifikater

www.iktsenteret.noKrav til risikovurderingerRisikoen for uberettiget tilgang ved kommunikasjon til forvaltningen

opplysninger som er underlagt taushetspliktpersonopplysninger informasjonsplikt om eventuelle risikoer

Risiko for uberettiget tilgang ved kommunikasjon fra forvaltningen

enkeltvedtak

Risikoen for uberettiget partsinnsyn i opplysninger og dokumenter hos forvaltningen

Ikke spesifikke krav til organisering, gjennomfring og metodikk

www.iktsenteret.noRegler med betydning for informasjonssikkerhetenForvaltningsloven, for eksempel

taushetsplikt (noens personlige forhold; tekniske innretninger og fremgangsmter)partsinnsyn

Offentlighetsloven, for eksempel

dokumenter/opplysninger som er unntatt eller kan unntas offentlighettaushetsplikt, organinternt, tilsetting, lnn, osv.svar til eksamen, karakterer/vitenml, forskningsideer/-prosjekter

Arkivloven med forskrifter, for eksempel

sikkerhetskopieringfysisk sikring (skadeverk, innbrudd) milj (vann, fukt, temperatur, forurensning, osv.)brann og skadelig varme

Ingen krav til risikovurderinger

www.iktsenteret.noRisikovurderinger begreper

www.iktsenteret.noAkseptkriterierToppledelsens krav til informasjonssikkerheten

Risikovurderinger oppfylles ledelsens krav?

Eksempler p akseptkriterier

pen informasjon integritet og tilgjengeligheten skal prioriteres. Integritet viktigere enn tilgjengelighet

Konfidensiell informasjon konfidensialiteten og integriteten skal prioriteres hyt. Kortere avbrudd i tilgjengeligheten aksepteres

Sensitiv informasjon konfidensialiteten og integriteten skal prioriteres srlig hyt. Kortere avbrudd i tilgjengeligheten aksepteres

www.iktsenteret.noAndre viktige begreperUnsket hendelse (risikoelement)en handling eller hendelse som kan pvirke informasjonssikkerheten negativt

Srbarheten svakhet som kan utnyttes til bryte informasjonssikkerheten

Sannsynlighetvanligvis hvor ofte en unsket hendelse forventes inntreffe

Konsekvens/skadeomfangkonomi, omdmme, personvern, kritiske funksjoner, rettslig ptale, o.l.

Risikofaktorproduktet av sannsynlighet og konsekvens

www.iktsenteret.noRisikovurderingens 3 hovedfaserForberedelse

Gjennomfring

Oppsummering og etterarbeid16

www.iktsenteret.noDel 1: Forberedelse

Utarbeide prosjektbeskrivelse/notatHensiktOmfang i timerRessursbehovPeriode

Forankre prosjektetAvgjrende for resultatet!Viktig med involvering av alle ledd i organisasjonenMedspillere framfor motstandereLokale retningslinjer17

www.iktsenteret.noDel 1: ForberedelseDeltakereRepresentativ gruppe5-7 stk

Beskriv omrdet/eneForberedelsesnotat til deltakerneUtgangspunkt for arbeidsmte

www.iktsenteret.noEksempel p beskrivelse/notat

www.iktsenteret.noEksempel p beskrivelse/notat

www.iktsenteret.noEksempel p beskrivelse/notat

www.iktsenteret.noEksempel p innledning

www.iktsenteret.noEksempel p innledning

www.iktsenteret.noDel 2: GjennomfringRisikovurderingsmter kan deles i 6 faser:

Innledning beskrivelse av hva risikovurdering er (ca.15 min.) Deltakerne presenterer seg anledning til stille sprsml (ca. 15 min.)Gjennomgang av risikoomrdet og eksempelhendelsene i dokumentet (ca. 30 min.)Deltakerne skriver ned unskede hendelser de har erfart, hrt om eller tenkt p (ca. 20 min.) Diskutere, identifisere og notere unskede hendelser (ca. 75 min.) Risikovurderingen: deltakerne angir sannsynlighets- og konsekvensverdi for hver unsket hendelse (ca. 15 min.)

24

www.iktsenteret.noEksempel p hendelser

www.iktsenteret.noEksempel p sannsynlighetsverdierLite sannsynligHendelsen inntreffer hvert femte skolerModerat sannsynligHendelsen kan opptre hvert tredje skoler.SannsynligHendelsen kan opptre hvert skoler.Svrt sannsynligHendelsen opptrer flere ganger i lpet av skoleret.

www.iktsenteret.noEksempel p konsekvensverdierUfarligHendelsen vil ikke p noen mte kunne skade elever eller andre ansatte ved skolen annet enn ubetydeligUheldigHendelsen kan f konsekvenser av mindre omfang for elever, lrere eller andre ansatte. Eksempelvis mindre komisk tap, tap av brukernavn passord, publisering av bilder p lringsplattform uten samtykke etc.AlvorligHendelsen kan f betydelige konsekvenser for elever, foreldre, lrere eller andre ansatte. Eksempelvis uautorisert bruk av en elevens/lrerens brukernavn/passord, utilsiktet tilgang til og eller endring av karakterer/fravr. Etc.KritiskHendelsen kan fre til skade p liv og helse, alvorlig integritetskrenkelse og tap av omdmme. Eksempelvis utlevering av sensitive personopplysninger, publisering av kontaktinformasjon for elever/foreldre som lever p skjermet adresse, vedvarende digital mobbing osv.

www.iktsenteret.noRisikomatrise

www.iktsenteret.no

www.iktsenteret.noEksempel p referat

www.iktsenteret.noDel 3: Oppsummering og etterarbeid

Formidle konklusjoner og anbefalingerFinn din lsningViktig at rektor, skoleeier/oppdragsgiver fr rapporten

Skoleeier prioriterer tiltak.Rutiner endresDokumentasjon forbedresLsninger forbedres31

www.iktsenteret.noEksempel p rapport

www.iktsenteret.noRisikorapportenHvem har deltatt?

Beskrivelse av hva har blitt risikovurdert?

Risikomatrise som ble benyttet

Forklar unskede hendelser

Regn ut risikofaktorenDet avgjrende er vite hvilke hendelser med uakseptabel hy risiko og hvilke som ikke har det

OppsummeringForslag p tiltak

www.iktsenteret.noKvalitetssikring og formidlingDeltakerne godkjenner rapport

Rapport videreformidles til beslutningsniv

Beslutningsniv prioriterer tiltak

www.iktsenteret.noWorkshop2 grupperGruppe 1 SAS (-Tommy)Berit Soly, Christian Albertsen ,Csilla Timea Kacso, Elisabeth Hartvig, Frode Vik, Geir Kristiansen, Hilde Laderud, Ingrid Evju, Ingrid Kringlebotn, Jo Inge Fjellstad. Gruppe 2 LMS (-Harald)Kristin Harvey, Ole Skurdal, Pl Digernes, Sigmund Brenna, Terje Johansen, Tor Espen Hansen, Tore Lien, Grete Anette Nordengen, Helge Rabbas UtstyrHefte for aktuelt systemSkjema for vurderingNotatverkty

www.iktsenteret.noOppgave og rammerGjennomfr et risikovurderings arbeidsmte.InnledningDeltakerne presenterer seg Gjennomgang av risikoomrdet og eksempelhendelsene i vedlagt hefteDeltakerne skriver ned unskede hendelser de har erfart, hrt om eller tenkt p. Diskutere, identifisere og notere unskede hendelserRisikovurderingen: deltakerne angir sannsynlighets- og konsekvensverdi for hver unsket hendelsePunkt 6 gjennomfres senest kl 14:00!!!Oppsummering i plenum etter pausen.

www.iktsenteret.noOppsummeringSummering av vurdering

Markering av kritiske hendelser

Vurdering av tiltak

www.iktsenteret.noHva s da???Viktig med rutiner for risikovurderingRisikovurderinger m gjentas jevnligRisikovurderinger m vre en del av internkontrollenAnsvar spesifisert p personniv og rolleGjennomgang av tidligere identifiserte hendelserEventuelt fjerne dem fra listeneIdentifisere nye hendelser og vurdere demTidligere sikringstiltak gjennomgs for vurdere effekten

Kontinuerlig forbedringsprosess!

www.iktsenteret.no

Feide-forvaltning, risikovurderinger, rutiner og dokumentasjon

Gjr skolen bedre rustet til utnytte IKT i hverdagen!

Er svrt viktig for kvaliteten p utbytte av IKT i skolen.

www.iktsenteret.no