Presentasjon lastes. Vennligst vent

Presentasjon lastes. Vennligst vent

FUNNKe Risikovurdering informasjonssikkerhet Nettverksmøte Mosjøen 17. juni 2014 Eva Henriksen, Senior sikkerhetsrådgiver

Liknende presentasjoner


Presentasjon om: "FUNNKe Risikovurdering informasjonssikkerhet Nettverksmøte Mosjøen 17. juni 2014 Eva Henriksen, Senior sikkerhetsrådgiver"— Utskrift av presentasjonen:

1 FUNNKe Risikovurdering informasjonssikkerhet Nettverksmøte Mosjøen 17. juni 2014 Eva Henriksen, Senior sikkerhetsrådgiver

2 Informasjonssikkerhet Konfidensialitet –at uvedkommende ikke får tilgang til informasjonen (ikke kan se/lese informasjonen) Integritet –at uvedkommende ikke kan endre informasjonen –at systemfeil ikke skal medføre uautoriserte endringer i informasjon Tilgjengelighet –at informasjonen er tilgjengelig for de som skal ha tilgang til den når den trengs Kvalitet –at informasjonen er riktig; ikke er misvisende

3 Informasjonssikkerhet Konfidensialitet Eksempel: Melding kommer til feil mottaker Integritet Eksempel: Feil som gjør at informasjon er endret Tilgjengelighet Eksempel: De som skal ha meldingen får den ikke, eller får den for seint. Kvalitet Eksempel: Mottatt melding kan være misvisende pga. dårlig formatering

4 Risikoanalyse Risikovurdering Sårbarhetsanalyse ROS-analyse

5 Hvorfor risikovurdering? Avdekke risikonivå på tjenesten/systemet Kunne gjøre en begrunnet vurdering av behovet for sikkerhetstiltak Ha et bevisst forhold til det risikonivået man har Lovpålagt ved elektronisk behandling av sensitive personopplysninger (POF § 2-4) POF: Personopplysningsforskriften

6 Prosess for risikostyring ISO/IEC Information technology – Security techniques – Information security risk management

7 Risikoanalysens fem faser: 1.Legge rammene for risikoanalysen, identifisere det som skal analyseres – system, tjeneste, bruk/funksjonalitet, brukere, omgivelser, rammebetingelser, definere akseptabelt risikonivå 2.Trusselidentifisering, kartlegging av trusler, mulige uønskede hendelser 3.Validering av truslene mhp. konsekvens og sannsynlighet, og anslå risikonivå Risiko = Konsekvens x Sannsynlighet 4.Analyse av risikonivå (sammenligne avdekket risikonivå med akseptabelt risikonivå) 5.Foreslå tiltak som reduserer risikonivået

8 Kvalitativ analyse For hver av de identifiserte truslene, vurdere: Konsekvens –f.eks.: Liten – Moderat – Alvorlig – Svært alvorlig Sannsynlighet –f.eks.: Liten – Middels – Stor – Svært stor Risiko (= Konsekvens x Sannsynlighet) –f.eks.: Lav – Middels – Høy

9 Risikomatrise

10 Mulig håndtering av risiko 1. Unngå risiko –Ikke utføre den risikable handlingen (f.eks. ikke utvikle systemet eller ikke sette det i drift) 2. Redusere risiko –Iverksette tiltak for å redusere sannsynlighet og/eller konsekvens 3. Overføre risiko –For eksempel til et forsikringsselskap 4. Beholde risiko –Leve med den risikoen som er der

11 Husk: Å akseptere en RISIKO er ikke det samme som å akseptere en uønsket hendelse

12 Fokus og avgrensning - for vår risikovurdering Kommunesiden, PLO-meldinger (foretakene dekt av risikovurdering for HN IKT i 2012) Ikke vurdert meldingsutveksling mot eksterne parter som NAV, HELFO, sentrale register. Ikke vurdert tekniske løsninger, f.eks. oppkopling mot helsenettet, styrke på kryptering, o.l. Mest info fra stor kommune (Tromsø), med Visma Profil fagsystem

13 Resultat 23 (24) trusler –1 med høy risiko –13 med middels risiko –8 med lav risiko –2 ikke aktuelle for denne risikovurderingen

14 Resultat

15

16 Trusler med ”uakseptabel” risiko t5 - dårlig oppfølging i kommunen/PLO av meldinger som sendes ut, ved at man ikke sjekker status og kvitteringer for sendte meldinger. Man sjekker ikke applikasjonskvitteringer og har kanskje mangelfulle rutiner for å håndtere avviste meldinger. Størst sannsynlighet i en oppstartfase før man har fått gode og innarbeidede rutiner. Alvorlig konsekvens hvis det tar lang tid før mottaker får meldingen, mens avsender på sin side tror at meldingen er mottatt og behandlet.

17 Trusler med ”uakseptabel” risiko k1 - foretaket sender meldingen ”Innlagt pasient” på pasienter som ikke har noen tjeneste og journal i kommunen. – Det innebærer at ansatte i kommunen får helseopplysninger om personer de ikke har behandlingsansvar for. Spesielt problematisk i små kommuner der ”alle kjenner alle” og der for mange har tilgang til meldinger om ukjent bruker/pasient. Det kan være naboer, slektninger eller andre kjente, og ekstra følsomt dersom det gjelder psykiatri.

18 Trusler med ”uakseptabel” risiko k4a - at systemene kan være satt opp med for vide tilganger slik at for mange leser meldinger de ikke skal lese. Det vil alltid være slik at noen (få) må ha vide tilganger for å kunne håndtere meldinger som ikke automatisk kommer fram til riktig mottaker. Men i noen kommuner har de felles tjenesteadresser slik at ”alle” f.eks. har tilgang til psykiatri og rehab.

19 Trusler med ”uakseptabel” risiko Truslene t7, t9, t12 – meldinger kommer ikke (raskt nok) fram til riktig mottaker i PLO-sektoren i kommunen, fordi de er adressert feil fra avsender (foretak, fastlege) eller fordi de feilaktig blir håndtert av feil tjeneste i kommunen. Meldinger blir liggende ubehandla i innboksen. Dette kan også skyldes ”ukjent pasient”. En utfordring i disse situasjonene er at avsender får positiv applikasjonskvittering fra kommunen og dermed antar at meldingen er mottatt riktig.

20 Tiltak Rutiner i kommunene – med opplæring –f.eks. kontroll/oppfølging av sendte meldinger –ansvarlige Rutiner i foretakene – med opplæring Begrensning av tilganger –ta i bruk flere tjenesteadresser Tilgjengelige ressurser (personell, kompetanse, utstyr,...)

21 Bruke risikovurderingen? Utgangspunkt/grunnlag for den enkelte kommunes egen risikovurdering –noen trusler vil være de samme –truslene vil vurderes forskjellig (annen sannsynlighet  annet risikonivå) –noen vil finne andre trusler Hver kommune må ha sin egen tiltaksliste, med angivelse av hvem som er ansvarlig

22 NST-faktaark om risikovurdering: awdxdbuqcp/NST_Faktaark- Risikovurdering_juni2013_web.pdf


Laste ned ppt "FUNNKe Risikovurdering informasjonssikkerhet Nettverksmøte Mosjøen 17. juni 2014 Eva Henriksen, Senior sikkerhetsrådgiver"

Liknende presentasjoner


Annonser fra Google