E N D
1. 31.03.2003 Hi forelesning 13 1 Forelesning 13 Risikoanalyser
2. 31.03.2003 Hi forelesning 13 2
3. 31.03.2003 Hi forelesning 13 3 Lover og forskrifter Personopplysningsloven
Datatilsynet kan gi plegg om sikring av personopplysninger og herunder fastlegge kriterier for akseptabel risiko forbundet med behandlingen av personopplysninger.
Personopplysningsforskriften
Forskriften plegger at det skal gjennomfres risikovurdering(er), og at sikkerhetstiltak skal innfres for hndtere risiko.
Beskyttelsesinstruksen
Tempestrisikovurdering (nr pkrevd)
Helseregisterloven
krav om gjennomfre risikovurdering som grunnlag for avklare behov for tiltak, og videre at det m etableres et styringssystem for informasjonssikkerhetsarbeidet
Beredskapsforskriften for kraftforsyningen
Det gis rom for oppfylle funksjonskravene p mter enhetene selv mener er mest effektivt, basert p gjennomfrte srbarhets- og risikoanalyser.
plikter eieren av anlegget utfre ndvendige risiko- og srbarhetsanalyser og gjennomfre aktuelle mottiltak og klargjre beredskap for hndtere ekstraordinre situasjoner.
Lov om Schengen informasjonssystem (SIS-loven)
krav om gjennomfre risikovurdering som grunnlag for avklare behov for tiltak, og videre at det m etableres et styringssystem for informasjonssikkerhetsarbeidet.
SIS-forskriften
Forskriften plegger at det skal gjennomfres risikovurdering(er) og at sikkerhetstiltak skal innfres for hndtere risiko.
Det er mange lover og forskrifter som krever at det utarbeides risikoanalyse i HMS sammenheng, men i forbindelse med security er det Datatilsynets forskrift til personopplysningsloven som kan ha relevans for de fleste. I spesielle tilfeller, for virksomheter som har leveranser til offentlige virksomheter, kan sikkerhetsloven med forskrifter vre aktuell.
I lover og forskrifter i security sammenheng ser det ut til at risikovurdering benyttes i stedet for risikoanalyse. Datatilsynet skriver i forskriften: Begrepet risikovurdering er valgt i stedet for den mer formelle betegnelsen risikoanalyse. Dette for signalisere at arbeidet med avdekke risiko ikke br vre mer omfattende eller formalisert enn strengt tatt ndvendig. Begrepet risikovurdering er ogs valgt i stedet for srbarhetsanalyse som normalt benyttes kun til beskrive vurdering av motstandsdyktighet mot unskede hendelser.
Det er mange lover og forskrifter som krever at det utarbeides risikoanalyse i HMS sammenheng, men i forbindelse med security er det Datatilsynets forskrift til personopplysningsloven som kan ha relevans for de fleste. I spesielle tilfeller, for virksomheter som har leveranser til offentlige virksomheter, kan sikkerhetsloven med forskrifter vre aktuell.
I lover og forskrifter i security sammenheng ser det ut til at risikovurdering benyttes i stedet for risikoanalyse. Datatilsynet skriver i forskriften: Begrepet risikovurdering er valgt i stedet for den mer formelle betegnelsen risikoanalyse. Dette for signalisere at arbeidet med avdekke risiko ikke br vre mer omfattende eller formalisert enn strengt tatt ndvendig. Begrepet risikovurdering er ogs valgt i stedet for srbarhetsanalyse som normalt benyttes kun til beskrive vurdering av motstandsdyktighet mot unskede hendelser.
4. 31.03.2003 Hi forelesning 13 4 Risiko og sikkerhet Risiko kan uttrykke
Mulighet for gevinst p Lotto, brs osv., ogs kalt spekulativ risiko;
Mulighet for tap (av verdier, helse, liv, ..);
Vi skal kun befatte oss med muligheten for tap.
En unsket hendelse er en hendelse eller tilstand som kan medfre skade p mennesker, milj og materielle verdier.
Risikobegrepet uttrykker en antagelse om hvor stor sannsynlighet det er for at en unsket hendelse skal inntreffe og skadens strrelse eller omfang.
5. 31.03.2003 Hi forelesning 13 5 Risiko = Sannsynlighet * Konsekvens
6. 31.03.2003 Hi forelesning 13 6 Risikoanalyse Systematisk fremgangsmte for beskrive og beregne risiko.
Hensikt
Gi en oversikt over de farer som eksisterer (trusselidentifikasjon);
Gi retningslinjer for prioritering av risikoreduserende tiltak som
unng skade (redusere sannsynligheten eller muligheten for);
redusere omfanget av en allerede pfrt skade (konsekvensreduksjon);
Vre et verkty som hjelper en avgjre nr sikkerheten er god nok;
7. 31.03.2003 Hi forelesning 13 7 Modell
8. 31.03.2003 Hi forelesning 13 8 Risikoanalyseprosessen Risikoanalysen kan omfatte:
* Identifikasjon/avgrensning av det som skal analyseres;
* Fastleggelse av trusler, risikoer, bekymringer man har i forhold til det som skal analyseres;
* Analyse av eksisterende sikringstiltak;
* Prioritering av risikoer eller fastleggelse av srbarhet for de trusler man kan utsettes for;
* Forslag til iverksettelse av tiltak for redusere risiko, ke motstandsdyktighet eller evt. akseptere risiko;
* Forslag til metoder for overvke og ansl kontrollmekanismenes effektivitet.
Risikoanalysen kan omfatte:
* Identifikasjon/avgrensning av det som skal analyseres;
* Fastleggelse av trusler, risikoer, bekymringer man har i forhold til det som skal analyseres;
* Analyse av eksisterende sikringstiltak;
* Prioritering av risikoer eller fastleggelse av srbarhet for de trusler man kan utsettes for;
* Forslag til iverksettelse av tiltak for redusere risiko, ke motstandsdyktighet eller evt. akseptere risiko;
* Forslag til metoder for overvke og ansl kontrollmekanismenes effektivitet.
9. 31.03.2003 Hi forelesning 13 9 Risikomatrise
10. 31.03.2003 Hi forelesning 13 10 Hvordan ? Ad hoc, ryggmargsflelsen
Sjekklister (finnes div. verkty)
Kvalitative analyser
Kvantitative analyser
11. 31.03.2003 Hi forelesning 13 11 ObjektbeskrivelseHva skal analyseres (avgrensning) Div. verkty (ISAP oa.)
Innbyr til stor detaljgrad
Liten hjelp til analytisk nedbryting Analytisk
Starte analysen p et overordnet og grovt niv
Benytte standard tegneverkty
Metode som ved utvikling
12. 31.03.2003 Hi forelesning 13 12 Trusselidentifikasjon Sjekklistebasert (nr listene blir lange....)
Hazid (Hazard Identification), Strukturert idedugnad
13. 31.03.2003 Hi forelesning 13 13 Hazop-skjema
14. 31.03.2003 Hi forelesning 13 14 Fordeler ved starte overordnet Lavere kompleksitet i frste analyse, uten at viktige aspekter blir utelatt;
Analyse p detaljniv blir mlrettet og mer effektiv;
Rask etablering av et trusselbilde;
Godt tilpasset utviklingsprosjekter;
Hendelseskjedene gir grunnlag for velge de mest effektive tiltakene.
15. 31.03.2003 Hi forelesning 13 15 KontekstHva omfattes av analysenHva er grensesnittene mot omgivelsene
16. 31.03.2003 Hi forelesning 13 16 CIA Hazop Bevisst avslring av tjenesteleveranser, status, autentiseringsinfo, fakturagrunnlag, statistikk
Bevisst manipulasjon av tjenesteleveranser, status, autentiseringsinfo, fakturagrunnlag, statistikk
Bevisst forhindring av tjenesteleveranser, status, autentiseringsinfo, fakturagrunnlag, statistikk
Ved starte med fokus p sluttkonsekvenser, kan man begrense detaljanalyser til essensielle omrder og sikre best det man er mest avhengig av (risikostyring)
17. 31.03.2003 Hi forelesning 13 17 Sluttkonsekvenser
18. 31.03.2003 Hi forelesning 13 18 Arkitekturbeskrivelse som grunnlag for rsaksanalyse
19. 31.03.2003 Hi forelesning 13 19 rsaksanalyse
20. 31.03.2003 Hi forelesning 13 20 rsaksanalyse forts.
21. 31.03.2003 Hi forelesning 13 21 Hendelseskjeder
22. 31.03.2003 Hi forelesning 13 22 Risiko Hvor sannsynlig er det at trusselen manifesteres?
Forsikringsselskapene samler statistikk innenfor sine omrder. Brukes for beregne premier.
Drlig med tilgjengelig og egnet statistikk for datasikkerhetsbrudd
Hvor store vil i s fall konsekvensene vre?
Tall for gjenanskaffelse av utstyr finnes;
Tap som flge av stans i tjeneste kan ansls;
Tap som flge av omdmmetap vanskelig beregne;
Tapt tilgjengelighet lettere beregne enn avslring og manipulasjon.
23. 31.03.2003 Hi forelesning 13 23 Risikomatrise resultat av kvalitativ analyse
24. 31.03.2003 Hi forelesning 13 24 Kvalitative analyse Fordeler
Enkle beregninger (om beregninger i det hele tatt)
Ikke pkrevet fastsette kroneverdier
Ikke pkrevet kvantifisere trusselfrekvenser
Enkelt involvere ikke-kvalifisert personale
Gjennomfring og rapportering kan gjres fleksibelt
Ulemper
Den subjektive natur iom. mangel p objektive mlinger og redskaper for utfre slike mlinger
Resultatene hviler fullsetndig p kvaliteten i gruppen som gjennomfrer analysen
Drlig grunnlag for kost-/nytteanalyser av tiltak
25. 31.03.2003 Hi forelesning 13 25 Sjekklister (1) Kan kontrollere tilstedevrelsen av noe.
fysiske enheter, mekanismer, organisasjonselementer, rutiner osv.
Viktighet av det enkelte element kan vektes/gis poeng og srbarhet kan tolkes ut av hye/lave poengsummer.
Manglende hindringer eller barrierer gir hy srbarhet. Man kan velge avlede hy sannsynlighet fra hy srbarhet;
Manglende beredskapsplaner/velser/avtaler medfrer strre konsekvenser dersom noe skjer.
Sjekklister er best nr de er tilpasset den enkelte virksomhet. Til en viss grad m det kunne lages bransjelsninger og lsninger for omrder (enkelte aktiviteter/systemer innenfor bedriften) som er felles for flere.
26. 31.03.2003 Hi forelesning 13 26 Sjekkliste et eksempel
27. 31.03.2003 Hi forelesning 13 27 Sjekkliste - verdiskala
28. 31.03.2003 Hi forelesning 13 28 Sjekklister (2) Fordeler
Tar relativt kort tid gjennomfre (er billig);
Kan involvere mange ved f.eks. Sprreskjemaer (papir eller p nett);
Man slipper kompliserte og dyre analyser;
Minimumskrav / sikkerhetsprofil det er mulig mle/kontrollere virksomhetens sikringsniv opp mot egne minimumskrav, bransjekrav, myndighetskrav el. Forskjellige deler av en virksomhet kan sammenliknes;
Kan raskt finne svakheter og gjre noe med dem;
Summerer opp erfaringene til flere. Data fra forskjellige deler av egen virksomhet og p tvers av flere virksomheter kan gjres sammenliknbare;
Ulemper
Forutsetter at One size fits all mellom enheter innenfor en virksomhet og mellom virksomheter;
Kan risikere sette inn beskyttelse p feil sted;
Kan risikere sette inn for mye eller for lite sikring i forhold til virksomhetens egentlige behov.
Sjekklister er i strre grad et verkty for revisjon og oppflging enn for risikoanalyser
Lokale tilpasninger i en sjekkliste/revisjonsverkty kan med fordel gjres etter en forutgende risikoanalyse.
29. 31.03.2003 Hi forelesning 13 29 Kvantitative analyser Fordeler
Baseres p objektive mlinger
Kost-/nyttebetraktninger er essensielle
Resultatene kan uttrykkes i et ledelsesspesifikt sprk (kroner, prosenter, sannsynligheter)
Ulemper
Beregningene kan vre komplekse
Betydelig forarbeide med innsamling og validering av mledata
30. 31.03.2003 Hi forelesning 13 30 Kvantitative analyser - variant Baseres p Bayesisk eller Subjektivistisk statistikk
Man blander ny subjektiv informasjon med kjent objektiv informasjon
Baserer vurderinger
Mindre p historiske data
Og mer p subjektive vurderinger om fremtidige aktiviteter og hendelser basert p erfaring, innsikt og mageflelse
Benyttet bl.a. ved at man i en analyse av GSM-nettet blandet
Objektive data om trafikkmengde gjennom et punkt
Med subjektive data om forventet tid til hendelse og antatt reetableringstid.