Presentasjon lastes. Vennligst vent

Presentasjon lastes. Vennligst vent

31.03.2003HiØ forelesning 131 Forelesning 13 Risikoanalyser.

Liknende presentasjoner


Presentasjon om: "31.03.2003HiØ forelesning 131 Forelesning 13 Risikoanalyser."— Utskrift av presentasjonen:

1 HiØ forelesning 131 Forelesning 13 Risikoanalyser

2 HiØ forelesning 132 Hvorfor risikoanalyser Må kunne ha tillit til at –HMS ivaretas på en tilfredsstillende måte (som medarbeider og omgivelse) –materielle verdier beskyttes (som eier og medarbeider – og kunde –virksomhetens økonomi og omdømme ivaretas (eier og medarbeider – og kunde) Hvordan skal ledelse fortjene tillit? –Ved å ha en formening om hva slags ulykker, uhell, feil, svikt eller kriminelle handlinger som kan medføre skade på mennesker, miljø, materielle verdier, økonomiske tap eller tap av omdømme. –Gjøre bevisste valg av tiltak for å unngå, hindre eller redusere omfanget av slike hendelser. Risikoanalyser er grunnlaget for å kunne gjøre bevisste valg I tillegg stilles det krav fra myndighetene om gjennomføring av risikoanalyser eller risikovurderinger;

3 HiØ forelesning 133 Lover og forskrifter Personopplysningsloven –Datatilsynet kan gi pålegg om sikring av personopplysninger og herunder fastlegge kriterier for akseptabel risiko forbundet med behandlingen av personopplysninger. Personopplysningsforskriften –Forskriften pålegger at det skal gjennomføres risikovurdering(er), og at sikkerhetstiltak skal innføres for å håndtere risiko. Beskyttelsesinstruksen –Tempestrisikovurdering (når påkrevd) Helseregisterloven –krav om å gjennomføre risikovurdering som grunnlag for å avklare behov for tiltak, og videre at det må etableres et styringssystem for informasjonssikkerhetsarbeidet Beredskapsforskriften for kraftforsyningen –Det gis rom for å oppfylle funksjonskravene på måter enhetene selv mener er mest effektivt, basert på gjennomførte sårbarhets- og risikoanalyser. –plikter eieren av anlegget å utføre nødvendige risiko- og sårbarhetsanalyser og gjennomføre aktuelle mottiltak og klargjøre beredskap for å håndtere ekstraordinære situasjoner. Lov om Schengen informasjonssystem (SIS-loven) –krav om å gjennomføre risikovurdering som grunnlag for å avklare behov for tiltak, og videre at det må etableres et styringssystem for informasjonssikkerhetsarbeidet. SIS-forskriften –Forskriften pålegger at det skal gjennomføres risikovurdering(er) og at sikkerhetstiltak skal innføres for å håndtere risiko.

4 HiØ forelesning 134 Risiko og sikkerhet Risiko kan uttrykke –Mulighet for gevinst – på Lotto, børs osv., også kalt spekulativ risiko; –Mulighet for tap (av verdier, helse, liv,..); –Vi skal kun befatte oss med muligheten for tap. En uønsket hendelse er en hendelse eller tilstand som kan medføre skade på mennesker, miljø og materielle verdier. Risikobegrepet uttrykker en antagelse om hvor stor sannsynlighet det er for at en uønsket hendelse skal inntreffe og skadens størrelse eller omfang.

5 HiØ forelesning 135 Risiko = Sannsynlighet * Konsekvens Sannsynlighet eller Mulighet Konsekvens Akseptabel risiko Uakseptabel risiko Akseptkriterium

6 HiØ forelesning 136 Risikoanalyse Systematisk fremgangsmåte for å beskrive og beregne risiko. Hensikt –Gi en oversikt over de farer som eksisterer (trusselidentifikasjon); –Gi retningslinjer for prioritering av risikoreduserende tiltak som å unngå skade (redusere sannsynligheten eller muligheten for); redusere omfanget av en allerede påført skade (konsekvensreduksjon); –Være et verktøy som hjelper en å avgjøre når sikkerheten er ”god nok”;

7 HiØ forelesning 137 Modell OK”Skadet” Under ”angrep” 1 p 1-p 1 Hvordan forlenge tiden i tilstand OK Hvordan øke sannsynligheten for å avvise angrep, eller redusere sannsynligheten for at angrep skal lykkes. Hvordan redusere skadet-tiden og skadeomfanget

8 HiØ forelesning 138 Risikoanalyseprosessen Hva er akseptabel risiko? Foreslå tiltak Andre tiltak ønskelig? Risiko- vurdering Frekvens- analyse Konsekvens- analyse Trussel- identifikasjon Definere mål og omfang Akseptabelt? Nei Ja

9 HiØ forelesning 139 Risikomatrise T1T2T6, T7 T3 T5T4 Vanlig; Hvert år Kan skje; 1 gang per 10 år Lite trolig; Mer enn 10 år mellom hver gang KritiskAlvorligMiddelsUbetydelig 1 MNOK100 MNOK10 MNOK Sannsynlighet; Mulighet Konsekvens Lav Middels Høy

10 HiØ forelesning 1310 Hvordan ? Ad hoc, ryggmargsfølelsen Sjekklister (finnes div. verktøy) Kvalitative analyser Kvantitative analyser

11 HiØ forelesning 1311 Objektbeskrivelse Hva skal analyseres (avgrensning) Div. verktøy (ISAP oa.) –Innbyr til stor detaljgrad –Liten hjelp til analytisk nedbryting ”Analytisk” –Starte analysen på et overordnet og grovt nivå –Benytte standard tegneverktøy –Metode som ved utvikling Inn Ut Av interesse: Informasjonstyper, lokasjoner, systemer, kommunikasjonskanaler

12 HiØ forelesning 1312 Trusselidentifikasjon Sjekklistebasert (når listene blir lange....) Hazid (Hazard Identification), Strukturert idedugnad Våre ledeord: Avsløring Manipulasjon Stanse/Forhindre

13 HiØ forelesning 1313 Hazop-skjema Tilstede: Dato: Objekt: IdLedeord:TrusselÅrsakKonsekvens 1AvsløringAvsløre rot- passord til server Lyttet på LAN-segment fra åpen ftp-server i ”lytte”-modus Tilgang til alle data på server. Kan misbruke alle ressurser.

14 HiØ forelesning 1314 Fordeler ved å starte ”overordnet” Lavere kompleksitet i første analyse, uten at viktige aspekter blir utelatt; Analyse på detaljnivå blir målrettet og mer effektiv; Rask etablering av et ”trusselbilde”; Godt tilpasset utviklingsprosjekter; Hendelseskjedene gir grunnlag for å velge de mest effektive tiltakene.

15 HiØ forelesning 1315 Eksternt Internt Kontekst Hva omfattes av analysen Hva er grensesnittene mot omgivelsene Det som analyseres Leveranser Status/ Alarmer Autentiserings- informasjon Faktura- grunnlag StatistikkStatus/ Alarmer

16 HiØ forelesning 1316 CIA Hazop Bevisst avsløring av tjenesteleveranser, status, autentiseringsinfo, fakturagrunnlag, statistikk Bevisst manipulasjon av tjenesteleveranser, status, autentiseringsinfo, fakturagrunnlag, statistikk Bevisst forhindring av tjenesteleveranser, status, autentiseringsinfo, fakturagrunnlag, statistikk Ved å starte med fokus på sluttkonsekvenser, kan man begrense detaljanalyser til essensielle områder og sikre best det man er mest avhengig av (risikostyring)

17 HiØ forelesning 1317 Sluttkonsekvenser

18 HiØ forelesning 1318 Arkitekturbeskrivelse som grunnlag for årsaksanalyse Domene A Domene B Domene C

19 HiØ forelesning 1319 Årsaksanalyse T1 Avsløring av autentiseringsinfo Og Eller I hjemPå internettI lokalnettPå server Sniffer på PCKikke over skuldra Elektromagnetisk stråling Lagret i PC

20 HiØ forelesning 1320 Årsaksanalyse forts. 1 I aksessnettet på hjem-siden I aksessnett på jobb-siden Hos ISP Tilgang til transm.medium Besitte lytteutstyr Ha nødv. kompetanse

21 HiØ forelesning 1321 Hendelseskjeder Faktura Oppsett av samtale Prosesskontroll Takstinfo Målinger 1. Hvilken skade kan analyseobjektet påføre sine omgivelser? Mulige konsekvenser 2. Hva er de mulige årsakene? Årsaker og ”hendelseskjeder”

22 HiØ forelesning 1322 Risiko Hvor sannsynlig er det at trusselen manifesteres? –Forsikringsselskapene samler statistikk innenfor sine områder. Brukes for å beregne premier. –Dårlig med tilgjengelig og egnet statistikk for datasikkerhetsbrudd Hvor store vil i så fall konsekvensene være? –Tall for gjenanskaffelse av utstyr finnes; –Tap som følge av stans i tjeneste kan anslås; –Tap som følge av omdømmetap vanskelig å beregne; –Tapt tilgjengelighet lettere å beregne enn avsløring og manipulasjon.

23 HiØ forelesning 1323 Risikomatrise – resultat av kvalitativ analyse T1T2T6, T7 T3 T5T4 Vanlig; Hvert år Kan skje; 1 gang per 10 år Lite trolig; Mer enn 10 år mellom hver gang KritiskAlvorligMiddelsUbetydelig 1 MNOK100 MNOK10 MNOK Sannsynlighet; Mulighet Konsekvens Lav Middels Høy

24 HiØ forelesning 1324 Kvalitative analyse Fordeler –Enkle beregninger (om beregninger i det hele tatt) –Ikke påkrevet å fastsette kroneverdier –Ikke påkrevet å kvantifisere trusselfrekvenser –Enkelt å involvere ”ikke-kvalifisert” personale –Gjennomføring og rapportering kan gjøres fleksibelt Ulemper –Den subjektive natur iom. mangel på objektive målinger og redskaper for å utføre slike målinger –Resultatene hviler fullsetndig på kvaliteten i gruppen som gjennomfører analysen –Dårlig grunnlag for kost-/nytteanalyser av tiltak

25 HiØ forelesning 1325 Sjekklister (1) Kan kontrollere tilstedeværelsen av ”noe”. –fysiske enheter, mekanismer, organisasjonselementer, rutiner osv. –Viktighet av det enkelte element kan vektes/gis poeng og sårbarhet kan tolkes ut av høye/lave poengsummer. Manglende hindringer eller barrierer gir høy sårbarhet. Man kan velge å avlede høy sannsynlighet fra høy sårbarhet; Manglende beredskapsplaner/øvelser/avtaler medfører større konsekvenser dersom noe skjer. Sjekklister er best når de er tilpasset den enkelte virksomhet. Til en viss grad må det kunne lages bransjeløsninger og løsninger for områder (enkelte aktiviteter/systemer innenfor bedriften) som er felles for flere.

26 HiØ forelesning 1326 Sjekkliste – et eksempel

27 HiØ forelesning 1327 Sjekkliste - verdiskala

28 HiØ forelesning 1328 Sjekklister (2) Fordeler –Tar relativt kort tid å gjennomføre (er billig); –Kan involvere mange ved f.eks. Spørreskjemaer (papir eller på nett); –Man slipper kompliserte og ”dyre” analyser; –Minimumskrav / sikkerhetsprofil – det er mulig å måle/kontrollere virksomhetens sikringsnivå opp mot egne minimumskrav, bransjekrav, myndighetskrav el. Forskjellige deler av en virksomhet kan sammenliknes; –Kan raskt finne svakheter – og gjøre noe med dem; –Summerer opp erfaringene til flere. Data fra forskjellige deler av egen virksomhet og på tvers av flere virksomheter kan gjøres sammenliknbare; Ulemper –Forutsetter at ”One size fits all” mellom enheter innenfor en virksomhet og mellom virksomheter; –Kan risikere å sette inn beskyttelse på ”feil sted”; –Kan risikere å sette inn for mye eller for lite sikring i forhold til virksomhetens ”egentlige” behov. Sjekklister er i større grad et verktøy for revisjon og oppfølging enn for risikoanalyser Lokale tilpasninger i en sjekkliste/revisjonsverktøy kan med fordel gjøres etter en forutgående risikoanalyse.

29 HiØ forelesning 1329 Kvantitative analyser Fordeler –Baseres på objektive målinger –Kost-/nyttebetraktninger er essensielle –Resultatene kan uttrykkes i et ledelsesspesifikt språk (kroner, prosenter, sannsynligheter) Ulemper –Beregningene kan være komplekse –Betydelig forarbeide med innsamling og validering av ”måledata”

30 HiØ forelesning 1330 Kvantitative analyser - variant Baseres på Bayesisk eller Subjektivistisk statistikk Man blander ny subjektiv informasjon med kjent objektiv informasjon Baserer vurderinger –Mindre på historiske data –Og mer på subjektive vurderinger om fremtidige aktiviteter og hendelser basert på erfaring, innsikt og magefølelse –Benyttet bl.a. ved at man i en analyse av GSM-nettet blandet Objektive data om trafikkmengde gjennom et punkt Med subjektive data om forventet tid til hendelse og antatt reetableringstid.


Laste ned ppt "31.03.2003HiØ forelesning 131 Forelesning 13 Risikoanalyser."

Liknende presentasjoner


Annonser fra Google