Presentasjon lastes. Vennligst vent

Presentasjon lastes. Vennligst vent

Dette er materiale som kan benyttes i arbeidet med å etablere fellessikring, eller organisering av sikkerhetstiltak generelt. Kan bl.a. benyttes til opplæring/diskusjon.

PublisertEirik Lauritzen Endret for 6 år siden

Liknende presentasjoner

Presentasjon om: "Dette er materiale som kan benyttes i arbeidet med å etablere fellessikring, eller organisering av sikkerhetstiltak generelt. Kan bl.a. benyttes til opplæring/diskusjon."— Utskrift av presentasjonen:

1 Dette er materiale som kan benyttes i arbeidet med å etablere fellessikring, eller organisering av sikkerhetstiltak generelt. Kan bl.a. benyttes til opplæring/diskusjon om konsepter, begreper, roller og organisering.

2 Fellessikring Tilleggssikring
Internkontroll i praksis - informasjonssikkerhet

3 Arbeidsoppgaver Offentlig forvaltning har mange oppgaver
Arbeidsoppgaver | arbeidsprosesser

4 Informasjonsbehandling
Informasjonsbehandling er sentralt i stort sett alle oppgaver Informasjonsbehandlingen utføres i stor grad vha. IT Informasjon må sikres tilstrekkelig i all informasjonsbehandling

5 Informasjonssikkerhet Informasjonsbehandling Mål og resultater
Være effektive Etterleve lover og regler Informasjonssikkerhet => sikre informasjonsbehandlingen Informasjonssikkerhet understøtter måloppnåelsen i virksomheten

6 Systematiske aktiviteter
Behov for: helhetlig styring og kontroll Et sett av aktiviteter systematisk gjennomført av ulike aktører rundt om i virksomheten

7 Styring og kontroll Styringssystem | Ledelsessystem | Internkontroll
Ulike begrep for det samme Det handler om: systematikk og formalisering for å oppnå tilstrekkelig intern styring og kontroll

8 Risikohåndtering - «Hendene» i internkontrollen
Aktivitet => Risikohåndtering

9 Tiltak

10 Aktiviteter for styring og kontroll
Strategisk risikovurdering Ledelsen iverksetter aktiviteter for styring og kontroll => styringssystem

11 Syv aktiviteter som gjennomføres systematisk rundt omkring i virksomheten

12 Tilleggssikring Fellessikring Instrukser og rutiner Avtaler
Retningslinje for fysisk sikkerhet Tilgangsstyring IT-systemer Sikkerhetskopiering og gjenoppretting Osv osv osv Tilleggssikring Fellessikring De syv systematiske aktivitetene er «over streken» «Streken» er en gråsone med overgang fra se systematiske styringsaktivitetene til spesifikke sikkerhetstiltak Gjennom aktiviteten Risikohåndtering vil det iverksettes sikkerhetstiltak «under streken» (Aktivitetene over streken har mye til felles uavhengig av om man styrer informasjonssikkerhet eller andre områder – sikkerhetstiltakene under streken er mindre preget av overlapp, og er tiltak for å håndtere informasjonssikkerhetsrisiko i oppgaver og systemer.)

13 «Styringstiltak» Tilleggssikring Fellessikring «Sikkerhetsstiltak»

14 «Styringstiltak» «Sikkerhetsstiltak» «Tiltaksbanker» ISO 27001
ISO | Annex A (i ISO 27001) «Sikkerhetsstiltak» «Normen» kap. 5 + faktaark NIST SP SoGP NSM anbefalinger Osv osv osv

15 «Styringstiltak» «Sikkerhetsstiltak» «Tiltaksbanker»
ISO | Annex A (i ISO 27001) «Normen» kap. 5 + faktaark NIST SP SoGP NSM anbefalinger Osv osv osv «Sikkerhetsstiltak»

16 1 2 Analysere status Planlegge etablering/forbedring
Gjennomføre andre etableringsaktiviteter Gjennomføre aktivitetene systematisk 2 Internkontroll- aktiviteter Analysere status => planlegge internkontroll => få på plass de systematiske aktivitetene

17 1 2 3 Tilleggssikring Fellessikring Analysere status
Planlegge etablering/forbedring Gjennomføre andre etableringsaktiviteter Gjennomføre aktivitetene systematisk 2 Internkontroll- aktiviteter En av de sentrale tingene som skjer i iverksettelse og oppfølging av sikkerhetstiltak «under streken» 3 Sikkerhetstiltak: Instrukser og rutiner Avtaler Retningslinje for fysisk sikkerhet Tilgangsstyring IT-systemer Sikkerhetskopiering og gjenoppretting Osv. Tilleggssikring Fellessikring

18 sentrale Roller Viktig: en organisering som fungerer
Ikke nødvendigvis akkurat de samme rollene som beskrives her sentrale Roller

19 Risikoeier Ansvarlig for mål og resultater Oppgaveeier | Prosesseier
Veilederen benytter begrepet «risikoeier» Typisk: linjeleder

20 Tilbyr sikkerhetstiltak
Risikoeier Vurderer risiko Har behov Tiltaksleverandør Har fagekspertise Tilbyr sikkerhetstiltak Arbeidsoppgave A System A

21 Tiltaksleverandører Oppgave-eier IT-drift Fysisk sikring System-eier
Personal-enhet Fysisk sikring IT-drift Oppgave-eier System-eier Virksomheter har i praksis flere «felles tiltaksleverandører» som tilbyr tiltak innen ulike områder for hele eller deler av virksomheten Oppgaveeiere og systemeiere kan også være «tiltaksleverandører» til egne oppgaver og systemer (til seg selv)

22 Risikoeiere Arbeidsoppgave A Tiltaksleverandører System A Arbeidsoppgave B System B Arbeidsoppgave C Fellessystem 1 Fellessystem 2 Systemeiere fellessystem

23 IKT-drift – en sentral tiltaksleverandør
Arbeidsoppgave A Arbeidsoppgave B Sys A Sys B «Grunnleggende infrastruktur» kan være «fellessystem» Sys C IKT-operasjonsmiljø

24 Sikkerhetstiltak? Hva er sikkerhetstiltak?

25 Sikkerhetstiltak Control: a measure that is modifying risk Formål
Forebygge Oppdage Reagere Typer Organisatoriske tiltak Menneskelige tiltak Tekniske tiltak «Control» definisjon hentet fra ISO/IEC 27000 Sikkerhetstiltak kan være hva som helst Hvilke sikkerhetstiltak som er effektive og fornuftige vil variere ettersom årene går

26 Engangstiltak og varige tiltak
Reduserer ofte risikoen på kort sikt, men har mindre verdi på lang sikt Eksempel: Installere sikkerhetspatcher Varige tiltak: Tiltak som iverksettes for å virke over tid Eksempel: Etablere gode prosesser for kontinuerlig oppfølging av kjente sårbarheter. I denne sammenhengen er det stort sett varige tiltak vi mener når vi snakker om sikkerhetstiltak

27 Virkeområde Virksomheten Avdeling Arbeidsoppgave System Lokasjon
Sikkerhetstiltak kan har forskjellige virkeområder – omfang av «området» hvor de håndterer risiko Lokasjon

28 Foto: Fabian Blank unsplash.com
Tiltaksbanker Tips Inspirasjon Kategorisering Sortering Felles referanse Foto: Fabian Blank unsplash.com

29 Tiltaksbanker ISO/IEC 27002:2013 «Normen» NIST SP 800-53 rev4
Kap 5 – Gjennomførende del Faktaark NIST SP rev4 Appendix F – Security Control Catalog Appendix G – Information Security Programs ISF – Standard of Good Practice Control Framework Og andre… 27001 Annex A = 27002 Viktig å gjøre egne vurderinger

30 Administrere sikkerhetstiltak

31 Risiko Tiltak I teorien: direkte sammenheng mellom enhver uakseptabel risiko og alle de tiltak som iverksettes for å håndtere risikoen I praksis: behov for en kostnadseffektiv helhet og drift av det samlede sikkerhetsarbeidet

32 Fellessikring Et sett med sikkerhetstiltak
Gir et felles grunnleggende sikkerhetsnivå for sentrale områder i virksomheten Pragmatisk tilnærming

33 Fordeler Felles forståelse av hvilken grunnleggende sikkerhet som er etablert i virksomheten Trygghet for at informasjonsbehandling har et visst grunnleggende nivå av sikkerhet Effektiv drift av sikkerhetstiltak En grunnmur som ekstra sikkerhetstiltak kan bygges på der det er spesielle behov

34 Tilleggssikring Fellessikring Arbeidsoppgave A System A
Risikoeier med ansvar for en arbeidsoppgave og et system som understøtter denne oppgaven «Får» sikkerhetstiltak via fellessikringen – vurderer behov for ytterligere sikkerhetstiltak for sin oppgave og sitt system => tilleggssikring

35 Etablere fellessikring

36 Systemeiere fellessystem
Risikoeiere Arbeidsoppgave A Tiltaksleverandører System A Arbeidsoppgave B System B Arbeidsoppgave C Viktige interessenter i arbeidet med fellessikring Koordinert av Fagansvarlig informasjonssikkerhet Fellessystem 1 Fellessystem 2 Systemeiere fellessystem

37 1: Minimumsnivå Ta utgangspunkt i
Kjente behov God praksis Gjennomgang av etablerte sikkerhetstiltak Vesentlig betydning for arbeidsoppgaver? Overflødige, utdaterte tiltak som kan fases ut? => Minimumsnivå Begrenset mengde sikkerhetstiltak Lav kostnad Ingen vesentlige negative sideeffekter

38 2: Risikovurderinger 2-4 «pilotområder» i virksomheten
Oppgaver og systemer som er representative for informasjonsbehandlingen i virksomheten Eks: fellessystemer som er mye brukt => Forslag til sikkerhetstiltak

39 3: Fellessikring | Tilleggssikring
Utvide og tilpasse initielt minimumsnivå Basert på risikovurdering + foreslåtte tiltak fra pilotområdene Hvilke tiltak egner seg som fellessikring? Hvilke bør være tilleggssikring? => Forslag til fellessikring Og tilgjengelig tilleggssikring

40 4: Høring Forslag til fellessikring på høring i virksomheten
Negative sideeffekter Kostnader Synspunkter fra de som ikke har vært involvert i arbeidet

41 5: Beslutning Utarbeide endelig forslag til fellessikring
Beslutningsprosess => Besluttet fellessikring

42 6: Iverksettelse Etablering av tiltakene i fellessikringen
Tilpasse eksisterende tiltak Etablere nye tiltak Fjerne gamle tiltak Gjennomføring tilpasses virksomheten Planlegging Finansiering Prosjektstyring Etc

43 Etablere fellessikring
Fase 1 Minimumsnivå: kjente behov + god praksis Fase 2 Risikovurdering + risikohåndtering av 2-4 pilotområder Fase 3 Velge: Fellessikring || Tilleggssikring Fase 4 Høring i virksomheten: sideeffekter - kostnader Fase 5 Beslutning Fase 6 Iverksettelse

44 Dokumentere sikkerhetstiltak

45 Behov? Tilstrekkelig dokumentasjon
For de som har ansvar for sikkerhetstiltakene For de som skal skjønne hva sikkerhetstiltakene gjør og hvordan de påvirker risiko Gruppering, sortering og oversikt

46 Behov? Risikoeier Tiltaksleverandør Oversikt «Overordnede tiltak»
Hva inngår i fellessikringen? Hva er tilgjengelig tilleggssikring? Tiltaksstyrke Tiltaksleverandør Oversikt «Detaljtiltak» Ref. til tiltaksbanker Ref. til detaljer i regelverk Detaljer om implementering Tekniske detaljer

47 Detaljeringsgrad A.12.2.1 Controls against malware
Detection, prevention and recovery controls to protect against malware shall be implemented, combined with appropriate user awareness Overordnet – favner mye ISO Annex A

48 Detaljeringsgrad A.12.4 Logging and monitoring
Objective: To record events and generate evidence Overordnet – favner mye Men dette er det en samlebetegnelse for flere tiltak (Control Objective – mål som flere tiltak jobber mot) ISO Annex A

49 Detaljeringsgrad A.12.4 Logging and monitoring A.12.4.1 Event logging
A Protection of log information A Administrator and operator logs A Clock synchronisation Dette er de mer detaljerte tiltakene ISO Annex A

50 Detaljeringsgrad IA-5 Authenticator management
The organization manages information system authenticators by: a. Verifying, as part of the initial authenticator distribution, the identity of the individual, group, role, or device receiving the authenticator; b. Establishing initial authenticator content for authenticators defined by the organization; c. Ensuring that authenticators have sufficient strength of mechanism for their intended use; d. Establishing and implementing administrative procedures for initial authenticator distribution, for lost/compromised or damaged authenticators, and for revoking authenticators; e. Changing default content of authenticators prior to information system installation; f. Establishing minimum and maximum lifetime restrictions and reuse conditions for authenticators; g. Changing/refreshing authenticators [Assignment: organization-defined time period by authenticator type]; h. Protecting authenticator content from unauthorized disclosure and modification; i. Requiring individuals to take, and having devices implement, specific security safeguards to protect authenticators; and j. Changing authenticators for group/role accounts when membership to those accounts changes. Authenticator: The means used to confirm the identity of a user, processor, or device (e.g., user password or token). NIST SP rev 4 Appendix F

51 Detaljeringsgrad IA-5 Authenticator management – Control enhancements
PASSWORD-BASED AUTHENTICATION PKI-BASED AUTHENTICATION IN-PERSON OR TRUSTED THIRD-PARTY REGISTRATION AUTOMATED SUPPORT FOR PASSWORD STRENGTH DETERMINATION CHANGE AUTHENTICATORS PRIOR TO DELIVERY PROTECTION OF AUTHENTICATORS NO EMBEDDED UNENCRYPTED STATIC AUTHENTICATORS MULTIPLE INFORMATION SYSTEM ACCOUNTS CROSS-ORGANIZATION CREDENTIAL MANAGEMENT DYNAMIC CREDENTIAL ASSOCIATION HARDWARE TOKEN-BASED AUTHENTICATION BIOMETRIC AUTHENTICATION EXPIRATION OF CACHED AUTHENTICATORS MANAGING CONTENT OF PKI TRUST STORES FICAM-APPROVED PRODUCTS AND SERVICES Control Enhancements Veldig detaljert NIST SP rev 4 Appendix F

52 Fysisk inntrengingstesting
Adgangskontroll Låste dører Besøkende følges Alarmsystem Utstyrslogg Fysisk inntrengingstesting Et overordnet tiltak «Adgangskontroll» kan være tilstrekkelig informasjon for de fleste risikoeiere Detaljerte tiltak under samme «paraply» er nødvendig for tiltaksleverandørs oversikt – og for en del vurderinger av risiko Utstyrslogg = All innførsel og utførsel av komponenter og utstyr overvåkes og logges

53 Rutiner Personalforvaltning Ansettelse Endring av stilling
Avslutning av arbeidsforhold Engasjement av konsulenter mv. Disiplinære reaksjoner ? Rutiner ved… Rutiner

54 Vurdere leverandørinfo
Systemintegritet Tekniske sårbarheter Vurdere leverandørinfo Patche Anti-malware White-listing av apps Skann e-post Ledelse + Admins åpner ikke e-post på Windows Detektere kompromittering Eks med tre nivåer av detaljeringsgrad

55 Overordnede tiltak | Detaljtiltak
Overordnet tiltak Detaljtiltak Finne et hensiktsmessig nivå for dokumentasjon og oversikt Dekke risikoeieres behov – dekke tiltaksleverandørers behov

56 Varianter av samme tiltak
Virkeområde Tiltaksstyrke F/T Adgangskontroll Virksomheten L Fellessikring Personalarkiv M Tilleggssikring Datarom SH Man kan ha varianter av samme overordnete tiltak Flere detaljtiltak Styrkede detaljtiltak

57 Brukerkrav er sikkerhetstiltak
Autentisering Adgangskontroll Hendelseshåndtering Brukerkrav er sikkerhetstiltak Ofte nødvendig for at mange andre tiltak skal virke etter hensikten Uttrykkes ofte i en form for instruks Kan også kommuniseres på andre måter: opplæring | veiledning | bevisstgjøring Osv.

58 KORT oppsummert…

59 Begreper Risikoeiere – Tiltaksleverandører
Fellessikring – Tilleggssikring Risikoeiere kan være ansvarlig for egne tiltak (tiltaksleverandør) Felles tiltaksleverandører (primært leverandør av tiltak til risikoeiere)

60 Viktig etableringsaktivitet Etablere fellessikring og synliggjøre tilleggssikring
Et sett med sikkerhetstiltak som gir et grunnleggende sikkerhetsnivå for sentrale områder i virksomheten Tilleggssikring Sikkerhetstiltak som velges «i tillegg» av oppgave- og systemeiere ut fra behov. (Dvs. på basis av risikovurderinger og ledelsens kriterier for å akseptere risiko) Fordelingen mellom fellessikring og tilleggssikring må balanseres for å få en kostnadseffektiv helhet og drift av det samlede sikkerhetsarbeidet unngå at sikkerhetstiltak «for alle» gir store negative sideeffekter for oppgaveutføring, effektivitet og måloppnåelse

61 Behov for dokumentasjon
Tilstrekkelig Risikoeiere  Tiltaksleverandører God kommunikasjon Risikoeiere må kunne forstå tiltak og helheten av tiltak Uten å kjenne alle tekniske detaljer Detaljer tilgjengelig ved behov f.eks. ifbm. vurdering av spesifikke risikoer

62

Laste ned ppt "Dette er materiale som kan benyttes i arbeidet med å etablere fellessikring, eller organisering av sikkerhetstiltak generelt. Kan bl.a. benyttes til opplæring/diskusjon."

Liknende presentasjoner

Internkontroll i kommuner

Internkontroll i kommuner
Sikring av personopplysninger i offentlig forvaltning Prof. Dag Wiese Schartum, AFIN.

Sikring av personopplysninger i offentlig forvaltning Prof. Dag Wiese Schartum, AFIN.
N O R P R O F F Quality Management SAMARBEIDSPARTNER FOR

N O R P R O F F Quality Management SAMARBEIDSPARTNER FOR
FOR 1996-12-06 nr 1127: Forskrift om systematisk helse-, miljø- og sikkerhetsarbeid i virksomheter (Internkontrollforskriften)

FOR nr 1127: Forskrift om systematisk helse-, miljø- og sikkerhetsarbeid i virksomheter (Internkontrollforskriften)
3/29/2015 Et skolebygg å være stolt av!. 2 Nøkkeltall  etablert 1. januar 2002  eier og drifter alle skolebygningene i Oslo  ca. 1,3 millioner kvm,

3/29/2015 Et skolebygg å være stolt av!. 2 Nøkkeltall  etablert 1. januar 2002  eier og drifter alle skolebygningene i Oslo  ca. 1,3 millioner kvm,
Krav til sikring av personopplysninger i hht pol § 13 og pof kap. 2 Prof. Dag Wiese Schartum, AFIN.

Krav til sikring av personopplysninger i hht pol § 13 og pof kap. 2 Prof. Dag Wiese Schartum, AFIN.
INTERNKONTROLL - Medlem av Norges største frittstående elektrikerkjede -

INTERNKONTROLL - Medlem av Norges største frittstående elektrikerkjede -
Introduksjon.  ITIL står for Information Technology Infrastructure Library.  Det er mye snakk om ITIL i næringslivet for tiden, og veldig mange bedrifter.

Introduksjon.  ITIL står for Information Technology Infrastructure Library.  Det er mye snakk om ITIL i næringslivet for tiden, og veldig mange bedrifter.
Unge & Rus IVERKSETTING OG GJENNOMFØRING. Tiltaket Unge & Rus i Oslo – en prosessevaluering En studie av iverksetting og gjennomføring av Unge & Rus i.

Unge & Rus IVERKSETTING OG GJENNOMFØRING. Tiltaket Unge & Rus i Oslo – en prosessevaluering En studie av iverksetting og gjennomføring av Unge & Rus i.
Presentasjon Agresso brukerforum 2012 Arne Lunde, KD.

Presentasjon Agresso brukerforum 2012 Arne Lunde, KD.
Sammen om mestring Veileder i lokalt psykisk helsearbeid og rusarbeid for voksne.

Sammen om mestring Veileder i lokalt psykisk helsearbeid og rusarbeid for voksne.
TOB055 Beskrivelse, kalkulasjon og kontrahering Aktører/roller i byggeprosessen ”Prosjektorganisasjonen”

TOB055 Beskrivelse, kalkulasjon og kontrahering Aktører/roller i byggeprosessen ”Prosjektorganisasjonen”
Et felles løft for alle Gjennomføring av arbeidsmøte.

Et felles løft for alle Gjennomføring av arbeidsmøte.
Arbeidsmiljøkurs 9.mai -2016 1.Arbeidsmiljøloven 2.Arbeidsmiljø – hva er vi snakker om? 3.HMS-aktørene 4.Medarbeiderskap - medvirkning 5.Møteplasser.

Arbeidsmiljøkurs 9.mai Arbeidsmiljøloven 2.Arbeidsmiljø – hva er vi snakker om? 3.HMS-aktørene 4.Medarbeiderskap - medvirkning 5.Møteplasser.
Miljøsertifisering Hvor står NØK NØK produserer og leverer bare miljøvennlig energi! Vi har internt høy fokus på HMS Kraftbransjen var (er) av enkelte.

Miljøsertifisering Hvor står NØK NØK produserer og leverer bare miljøvennlig energi! Vi har internt høy fokus på HMS Kraftbransjen var (er) av enkelte.
Evaluering av Difi Vivi Lassen Leverandørmøte 24.02.14.

Evaluering av Difi Vivi Lassen Leverandørmøte
VURDERING FOR LÆRING Forskrift til Opplæringsloven, § 3 https://lovdata.no/dokument/SF/forskrift/2006-06-23-724/KAPITTEL_4#KAPITTEL_4.

VURDERING FOR LÆRING Forskrift til Opplæringsloven, § 3
Nettverk for virksomhetsstyring Risikostyring v/ Anette P. Simonsen, DFØ v/ Christine Vik, DFØ 17. Februar 2016.

Nettverk for virksomhetsstyring Risikostyring v/ Anette P. Simonsen, DFØ v/ Christine Vik, DFØ 17. Februar 2016.
Utfordringer for kommuner og fylkeskommuner i informasjonssamfunnet

Utfordringer for kommuner og fylkeskommuner i informasjonssamfunnet
Om lysbildeserien Lysbildene er støttemateriell til prosessledere

Om lysbildeserien Lysbildene er støttemateriell til prosessledere

Liknende presentasjoner

Annonser fra Google