Forelesning 13 Risikoanalyser 31.03.2003 HiØ forelesning 13.

Slides:



Advertisements
Liknende presentasjoner
Ørnulf Wiig Installasjon AS
Advertisements

Risiko Sannsynlighetsgradering:1 = Lite sannsynlig (kan inntreffe mindre enn én gang hvert 100. år) 2 = Mindre sannsynlig (kan inntreffe mellom én gang.
Etablering av effektiv produksjon på tvers av landegrenser
Systematisk HMS arbeid
“UNDER THE KNIFE” Et planleggingssystem for operasjonsavdelingen Fylkessykehuset i Molde Prototype for planlegging, logistikk, og kostnads estimering.
Risikostyring i staten
Risikovurdering Systematisk HMS – arbeid dreier seg om mestring av risiko, for å unngå skader og sykdom Mestring av risiko- redusere eller fjerne.
Kan det lages et felles internkontrollsystem i kommunen. Åre
NLF Motorflyseksjonen Fagseminar 9-10 nov 2013 Risikoanalyse
Revisjon ved Rikshospitalet den 11. – 18. desember 2007.
Internkontroll i kommuner
HTV- konferanse 5. – 6. desember 2011
Levende HMS-system – hva betyr det i praksis?
Konsekvenser ved samlokalisering av IKT-systemer
Er farlig avfallsbransjen kvalitetsbevisst nok
Prof. Dag Wiese Schartum, AFIN
Sikring av personopplysninger i offentlig forvaltning Prof. Dag Wiese Schartum, AFIN.
Risiko Sannsynlighetsgradering:1 = Lite sannsynlig (kan inntreffe mindre enn én gang hvert 100. år) 2 = Mindre sannsynlig (kan inntreffe mellom én gang.
FUNNKe Risikovurdering informasjonssikkerhet Nettverksmøte Tromsø 10. okt Eva Henriksen, Eva Skipenes,
Oppgave gjennomgang Kap. 3 og 4.
Grunnkurs Arbeidsmiljø Våren 2014
Jakten på kvaliteten.
IKP – basert på risiko- og sårbarhetsvurderinger i egen virksomhet
IKP basert på risiko- og sårbarhetsanalyser i egen virksomhet
Konsekvenser av beredskapsveileder sett fra et fjernvarmeselskap Kjartan Aarbø25/
Konstruksjoners sikkerhet
KOMMUNEPLANENS SAMFUNNSDEL
Anne Marie Dalen Øverhaug Kvalitetsregisterkonferansen
Human Factors (HF) i kontrollrom - En revisjonsmetode 2003
Lederen som coach Jeg kan ikke lære noen noe,
Teknikker for å bedre design- prosessen -Design by contract -Prototyping design -Fault-tree analyses.
Alle ansatte må involveres Hvordan tilrettelegge HMS-arbeidet i mindre energibedrifter? Rica Nidelven Hotel Trondheim, 26. – 27.januar 2011 Eirik.
HMS i de lokale og regionale energibedriftene Hvordan ivaretar bedriftene helse, miljø og sikkerhet? KS Bedriftenes Møteplass 2011, 17.februar.
Kvalitetssikring av byggeprosjekt – del 4
Likelønn - Systematisk likestillingsarbeid. 2 Hvorfor systematisk likestillingsarbeid? Nødvendig for å sikre at like kvalifikasjoner virkelig betyr i.
Risikostyringsprosessen
Internkontroll i norske kommuner
Brann og branntilsyn Hva er et brannforebyggende tilsyn?
Er farlig avfallsbransjen kvalitetsbevisst nok? Forstår vi risikoen vi har tatt? Nordisk Bedriftsutvikling AS Interesserte partnereØnske og forventninger.
Kvalitative og kvantitative metoder
…når resultater betyr noe
FUNNKe Risikovurdering informasjonssikkerhet Nettverksmøte Mosjøen 17
Sikkerhet, helse og arbeidsmiljø BIR Nett
Page 1 WE MOVE THE INDUSTRY THAT MOVES THE WORLD RISK MANAGEMENT Fra operatørenes ståsted Solakonferansen 2014 Øivind Solberg, PhD.
BUCS Utfordringer og valg av fokus Tor Stålhane. Rammebetingelser Første spørreundersøkelse viser at det vi gjør må kunne: Brukes sammen med UML Passe.
CAKE session no. 9 SAFEtalk Vårt nye sikkerhetsverktøy.
Planlegge og prioritere tiltak
3/29/2015 Et skolebygg å være stolt av!. 2 Nøkkeltall  etablert 1. januar 2002  eier og drifter alle skolebygningene i Oslo  ca. 1,3 millioner kvm,
Innledning til: Tilsyn, hva finner vi av avvik og hvordan lukke disse avvikene? Regelverk og veileder; § 3a og rapport fra ROS.
Beredskap Risikohåndtering, kontinuitets- og katastrofeplaner.
1 Utvikling av kritiske systemer Kort sammendrag Kap. 1 og 2.
Definisjon av ulike HMS-begreper
Kvalitetssikring. er alle tiltak som er nødvendig for å sikre at et produkt vil tilfredsstille angitte krav til kvalitet og trygghet Kvalitetsarbeid krever.
ROS-analyse.
Krav til sikring av personopplysninger Prof. Dag Wiese Schartum, AFIN.
Krav til sikring av personopplysninger i hht pol § 13 og pof kap. 2 Prof. Dag Wiese Schartum, AFIN.
INTERNKONTROLL - Medlem av Norges største frittstående elektrikerkjede -
Hva er risiko ? Med ” risiko” menes sannsynligheten for og konsekvensene av at noe uønsket skal hende eller utvikle seg.
Databehandleravtaler ifm. HMN LØ RBU HMN LØ 1.
Informasjon Velkommen til en kort presentasjon av Risikoanalyse-programmet “RiskAssess Express 2007” RiskAssess - et verktøy for analyse og vurdering av.
Kommunikasjon og Omstilling AS Minsaas, Haugan, Welde, Farstad & Dahl Du dømmes ofte ut fra hvordan du håndterer en krise – og ikke etter krisens årsak.
Kvalitet, risiko og avvik
ROS-analyse.
Krav til sikring av personopplysninger
RIS-metoden for prosessforbedring
Krav til sikring av personopplysninger i hht pol § 13 og pof kap. 2
Arbeidstilsynet syn på verneombudenes plass og rolle i virksomheten
Risiko- og sårbarhetsanalyse (ROS)
03 Introduksjon til ROS-analyse 08 PowerPoint-mal for ROS-analyse
Oslo Havn Risikokartlegging Ytre Miljø
Utskrift av presentasjonen:

Forelesning 13 Risikoanalyser 31.03.2003 HiØ forelesning 13

Hvorfor risikoanalyser HiØ 31.03.2003 Hvorfor risikoanalyser Må kunne ha tillit til at HMS ivaretas på en tilfredsstillende måte (som medarbeider og omgivelse) materielle verdier beskyttes (som eier og medarbeider – og kunde virksomhetens økonomi og omdømme ivaretas (eier og medarbeider – og kunde) Hvordan skal ledelse fortjene tillit? Ved å ha en formening om hva slags ulykker, uhell, feil, svikt eller kriminelle handlinger som kan medføre skade på mennesker, miljø, materielle verdier, økonomiske tap eller tap av omdømme. Gjøre bevisste valg av tiltak for å unngå, hindre eller redusere omfanget av slike hendelser. Risikoanalyser er grunnlaget for å kunne gjøre bevisste valg I tillegg stilles det krav fra myndighetene om gjennomføring av risikoanalyser eller risikovurderinger; 31.03.2003 HiØ forelesning 13

Lover og forskrifter Personopplysningsloven HiØ 31.03.2003 Lover og forskrifter Personopplysningsloven Datatilsynet kan gi pålegg om sikring av personopplysninger og herunder fastlegge kriterier for akseptabel risiko forbundet med behandlingen av personopplysninger. Personopplysningsforskriften Forskriften pålegger at det skal gjennomføres risikovurdering(er), og at sikkerhetstiltak skal innføres for å håndtere risiko. Beskyttelsesinstruksen Tempestrisikovurdering (når påkrevd) Helseregisterloven krav om å gjennomføre risikovurdering som grunnlag for å avklare behov for tiltak, og videre at det må etableres et styringssystem for informasjonssikkerhetsarbeidet Beredskapsforskriften for kraftforsyningen Det gis rom for å oppfylle funksjonskravene på måter enhetene selv mener er mest effektivt, basert på gjennomførte sårbarhets- og risikoanalyser. plikter eieren av anlegget å utføre nødvendige risiko- og sårbarhetsanalyser og gjennomføre aktuelle mottiltak og klargjøre beredskap for å håndtere ekstraordinære situasjoner. Lov om Schengen informasjonssystem (SIS-loven) krav om å gjennomføre risikovurdering som grunnlag for å avklare behov for tiltak, og videre at det må etableres et styringssystem for informasjonssikkerhetsarbeidet. SIS-forskriften Forskriften pålegger at det skal gjennomføres risikovurdering(er) og at sikkerhetstiltak skal innføres for å håndtere risiko. Det er mange lover og forskrifter som krever at det utarbeides risikoanalyse i HMS sammenheng, men i forbindelse med ”security” er det Datatilsynets forskrift til personopplysningsloven som kan ha relevans for de fleste. I spesielle tilfeller, for virksomheter som har leveranser til offentlige virksomheter, kan sikkerhetsloven med forskrifter være aktuell. I lover og forskrifter i ”security” sammenheng ser det ut til at ”risikovurdering” benyttes i stedet for ”risikoanalyse”. Datatilsynet skriver i forskriften: Begrepet ”risikovurdering” er valgt i stedet for den mer formelle betegnelsen ”risikoanalyse”. Dette for å signalisere at arbeidet med å avdekke risiko ikke bør være mer omfattende eller formalisert enn strengt tatt nødvendig. Begrepet ”risikovurdering” er også valgt i stedet for ”sårbarhetsanalyse” som normalt benyttes kun til å beskrive vurdering av motstandsdyktighet mot uønskede hendelser. 31.03.2003 HiØ forelesning 13

Risiko og sikkerhet Risiko kan uttrykke Mulighet for gevinst – på Lotto, børs osv., også kalt spekulativ risiko; Mulighet for tap (av verdier, helse, liv, ..); Vi skal kun befatte oss med muligheten for tap. En uønsket hendelse er en hendelse eller tilstand som kan medføre skade på mennesker, miljø og materielle verdier. Risikobegrepet uttrykker en antagelse om hvor stor sannsynlighet det er for at en uønsket hendelse skal inntreffe og skadens størrelse eller omfang. 31.03.2003 HiØ forelesning 13

Risiko = Sannsynlighet * Konsekvens eller Mulighet Uakseptabel risiko Akseptkriterium Akseptabel risiko Konsekvens 31.03.2003 HiØ forelesning 13

Systematisk fremgangsmåte for å beskrive og beregne risiko. Hensikt Risikoanalyse Systematisk fremgangsmåte for å beskrive og beregne risiko. Hensikt Gi en oversikt over de farer som eksisterer (trusselidentifikasjon); Gi retningslinjer for prioritering av risikoreduserende tiltak som å unngå skade (redusere sannsynligheten eller muligheten for); redusere omfanget av en allerede påført skade (konsekvensreduksjon); Være et verktøy som hjelper en å avgjøre når sikkerheten er ”god nok”; 31.03.2003 HiØ forelesning 13

Modell OK ”Skadet” Under ”angrep” 1 p 1-p Hvordan forlenge tiden i tilstand OK Hvordan øke sannsynligheten for å avvise angrep, eller redusere sannsynligheten for at angrep skal lykkes. Hvordan redusere skadet-tiden og skadeomfanget 31.03.2003 HiØ forelesning 13

Risikoanalyseprosessen HiØ 31.03.2003 Risikoanalyseprosessen Definere mål og omfang Trussel- identifikasjon Frekvens- analyse Konsekvens- analyse Hva er akseptabel risiko? Risiko- vurdering Foreslå tiltak Akseptabelt? Nei Risikoanalysen kan omfatte: * Identifikasjon/avgrensning av ”det” som skal analyseres; * Fastleggelse av trusler, risikoer, bekymringer man har i forhold til det som skal analyseres; * Analyse av eksisterende sikringstiltak; * Prioritering av risikoer eller fastleggelse av sårbarhet for de trusler man kan utsettes for; * Forslag til iverksettelse av tiltak for å redusere risiko, øke motstandsdyktighet eller evt. akseptere risiko; * Forslag til metoder for å overvåke og anslå kontrollmekanismenes effektivitet. Ja Andre tiltak ønskelig? 31.03.2003 HiØ forelesning 13

Risikomatrise T1 T2 T6, T7 T3 T5 T4 Sannsynlighet; Mulighet Vanlig; Hvert år Høy Kan skje; 1 gang per 10 år Middels Lite trolig; Mer enn 10 år mellom hver gang Lav Konsekvens 1 MNOK 10 MNOK 100 MNOK Ubetydelig Middels Alvorlig Kritisk 31.03.2003 HiØ forelesning 13

Hvordan ? Ad hoc, ryggmargsfølelsen Sjekklister (finnes div. verktøy) Kvalitative analyser Kvantitative analyser 31.03.2003 HiØ forelesning 13

Objektbeskrivelse Hva skal analyseres (avgrensning) Div. verktøy (ISAP oa.) Innbyr til stor detaljgrad Liten hjelp til analytisk nedbryting ”Analytisk” Starte analysen på et overordnet og grovt nivå Benytte standard tegneverktøy Metode som ved utvikling Ut Inn 31.03.2003 HiØ forelesning 13 Av interesse: Informasjonstyper, lokasjoner, systemer, kommunikasjonskanaler

Trusselidentifikasjon Sjekklistebasert (når listene blir lange....) Hazid (Hazard Identification), Strukturert idedugnad Våre ledeord: Avsløring Manipulasjon Stanse/Forhindre 31.03.2003 HiØ forelesning 13

Hazop-skjema Tilstede: Dato: Objekt: Id Ledeord: Trussel Årsak Konsekvens 1 Avsløring Avsløre rot-passord til server Lyttet på LAN-segment fra åpen ftp-server i ”lytte”-modus Tilgang til alle data på server. Kan misbruke alle ressurser. 31.03.2003 HiØ forelesning 13

Fordeler ved å starte ”overordnet” HiØ 31.03.2003 Fordeler ved å starte ”overordnet” Lavere kompleksitet i første analyse, uten at viktige aspekter blir utelatt; Analyse på detaljnivå blir målrettet og mer effektiv; Rask etablering av et ”trusselbilde”; Godt tilpasset utviklingsprosjekter; Hendelseskjedene gir grunnlag for å velge de mest effektive tiltakene. 31.03.2003 HiØ forelesning 13

Kontekst Hva omfattes av analysen Hva er grensesnittene mot omgivelsene Internt Statistikk Status/ Alarmer Faktura- grunnlag Det som analyseres Autentiserings- informasjon Leveranser Status/ Alarmer Eksternt 31.03.2003 HiØ forelesning 13

CIA Hazop Bevisst avsløring av tjenesteleveranser, status, autentiseringsinfo, fakturagrunnlag, statistikk Bevisst manipulasjon av tjenesteleveranser, status, autentiseringsinfo, fakturagrunnlag, statistikk Bevisst forhindring av tjenesteleveranser, status, autentiseringsinfo, fakturagrunnlag, statistikk Ved å starte med fokus på sluttkonsekvenser, kan man begrense detaljanalyser til essensielle områder og sikre best det man er mest avhengig av (risikostyring) 31.03.2003 HiØ forelesning 13

Sluttkonsekvenser 31.03.2003 HiØ forelesning 13

Arkitekturbeskrivelse som grunnlag for årsaksanalyse Domene B Domene A Domene C 31.03.2003 HiØ forelesning 13

Avsløring av autentiseringsinfo Årsaksanalyse Og Eller T1 Avsløring av autentiseringsinfo I hjem På internett I lokalnett På server 1 2 3 Lagret i PC Sniffer på PC Kikke over skuldra Elektromagnetisk stråling 4 5 6 7 31.03.2003 HiØ forelesning 13

Årsaksanalyse forts. 1 9 10 8 I aksessnettet på hjem-siden på jobb-siden Hos ISP ..... 9 10 8 Tilgang til transm.medium Besitte lytteutstyr Ha nødv. kompetanse 31.03.2003 HiØ forelesning 13

Hendelseskjeder Faktura Takstinfo Oppsett av samtale Målinger Prosesskontroll Takstinfo Målinger 2. Hva er de mulige årsakene? 1. Hvilken skade kan analyseobjektet påføre sine omgivelser? Mulige konsekvenser Årsaker og ”hendelseskjeder” 31.03.2003 HiØ forelesning 13

Risiko Hvor sannsynlig er det at trusselen manifesteres? Forsikringsselskapene samler statistikk innenfor sine områder. Brukes for å beregne premier. Dårlig med tilgjengelig og egnet statistikk for datasikkerhetsbrudd Hvor store vil i så fall konsekvensene være? Tall for gjenanskaffelse av utstyr finnes; Tap som følge av stans i tjeneste kan anslås; Tap som følge av omdømmetap vanskelig å beregne; Tapt tilgjengelighet lettere å beregne enn avsløring og manipulasjon. 31.03.2003 HiØ forelesning 13

Risikomatrise – resultat av kvalitativ analyse Sannsynlighet; Mulighet T1 T2 T6, T7 T3 T5 T4 Vanlig; Hvert år Høy Kan skje; 1 gang per 10 år Middels Lite trolig; Mer enn 10 år mellom hver gang Lav Konsekvens 1 MNOK 10 MNOK 100 MNOK Ubetydelig Middels Alvorlig Kritisk 31.03.2003 HiØ forelesning 13

Kvalitative analyse Fordeler Ulemper Enkle beregninger (om beregninger i det hele tatt) Ikke påkrevet å fastsette kroneverdier Ikke påkrevet å kvantifisere trusselfrekvenser Enkelt å involvere ”ikke-kvalifisert” personale Gjennomføring og rapportering kan gjøres fleksibelt Ulemper Den subjektive natur iom. mangel på objektive målinger og redskaper for å utføre slike målinger Resultatene hviler fullsetndig på kvaliteten i gruppen som gjennomfører analysen Dårlig grunnlag for kost-/nytteanalyser av tiltak 31.03.2003 HiØ forelesning 13

Sjekklister (1) Kan kontrollere tilstedeværelsen av ”noe”. fysiske enheter, mekanismer, organisasjonselementer, rutiner osv. Viktighet av det enkelte element kan vektes/gis poeng og sårbarhet kan tolkes ut av høye/lave poengsummer. Manglende hindringer eller barrierer gir høy sårbarhet. Man kan velge å avlede høy sannsynlighet fra høy sårbarhet; Manglende beredskapsplaner/øvelser/avtaler medfører større konsekvenser dersom noe skjer. Sjekklister er best når de er tilpasset den enkelte virksomhet. Til en viss grad må det kunne lages bransjeløsninger og løsninger for områder (enkelte aktiviteter/systemer innenfor bedriften) som er felles for flere. 31.03.2003 HiØ forelesning 13

Sjekkliste – et eksempel 31.03.2003 HiØ forelesning 13

Sjekkliste - verdiskala 31.03.2003 HiØ forelesning 13

Sjekklister (2) Fordeler Ulemper HiØ 31.03.2003 Sjekklister (2) Fordeler Tar relativt kort tid å gjennomføre (er billig); Kan involvere mange ved f.eks. Spørreskjemaer (papir eller på nett); Man slipper kompliserte og ”dyre” analyser; Minimumskrav / sikkerhetsprofil – det er mulig å måle/kontrollere virksomhetens sikringsnivå opp mot egne minimumskrav, bransjekrav, myndighetskrav el. Forskjellige deler av en virksomhet kan sammenliknes; Kan raskt finne svakheter – og gjøre noe med dem; Summerer opp erfaringene til flere. Data fra forskjellige deler av egen virksomhet og på tvers av flere virksomheter kan gjøres sammenliknbare; Ulemper Forutsetter at ”One size fits all” mellom enheter innenfor en virksomhet og mellom virksomheter; Kan risikere å sette inn beskyttelse på ”feil sted”; Kan risikere å sette inn for mye eller for lite sikring i forhold til virksomhetens ”egentlige” behov. Sjekklister er i større grad et verktøy for revisjon og oppfølging enn for risikoanalyser Lokale tilpasninger i en sjekkliste/revisjonsverktøy kan med fordel gjøres etter en forutgående risikoanalyse. 31.03.2003 HiØ forelesning 13

Kvantitative analyser Fordeler Baseres på objektive målinger Kost-/nyttebetraktninger er essensielle Resultatene kan uttrykkes i et ledelsesspesifikt språk (kroner, prosenter, sannsynligheter) Ulemper Beregningene kan være komplekse Betydelig forarbeide med innsamling og validering av ”måledata” 31.03.2003 HiØ forelesning 13

Kvantitative analyser - variant Baseres på Bayesisk eller Subjektivistisk statistikk Man blander ny subjektiv informasjon med kjent objektiv informasjon Baserer vurderinger Mindre på historiske data Og mer på subjektive vurderinger om fremtidige aktiviteter og hendelser basert på erfaring, innsikt og magefølelse Benyttet bl.a. ved at man i en analyse av GSM-nettet blandet Objektive data om trafikkmengde gjennom et punkt Med subjektive data om forventet tid til hendelse og antatt reetableringstid. 31.03.2003 HiØ forelesning 13

Tilbakemelding: Konfidensialitetspolitikk Tilbakemelding
Om prosjektet: SlidePlayer Bruksavtale

© 2024 SlidePlayer.no Inc. All rights reserved.