1 / 22

Informasjonssikkerhet

FUNNKe Risikovurdering informasjonssikkerhet Nettverksmøte Mosjøen 17. juni 2014 Eva Henriksen, eva.henriksen@telemed.no Senior sikkerhetsrådgiver NST. Informasjonssikkerhet. Konfidensialitet at uvedkommende ikke får tilgang til informasjonen (ikke kan se/lese informasjonen) Integritet

jonah
Download Presentation

Informasjonssikkerhet

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. FUNNKe Risikovurderinginformasjonssikkerhet Nettverksmøte Mosjøen 17. juni2014 Eva Henriksen, eva.henriksen@telemed.noSenior sikkerhetsrådgiver NST

  2. Informasjonssikkerhet • Konfidensialitet • at uvedkommende ikke får tilgang til informasjonen (ikke kan se/lese informasjonen) • Integritet • at uvedkommende ikke kan endre informasjonen • at systemfeil ikke skal medføre uautoriserte endringer i informasjon • Tilgjengelighet • at informasjonen er tilgjengelig for de som skal ha tilgang til den når den trengs • Kvalitet • at informasjonen er riktig; ikke er misvisende

  3. Informasjonssikkerhet • Konfidensialitet Eksempel: Melding kommer til feil mottaker • Integritet Eksempel: Feil som gjør at informasjon er endret • Tilgjengelighet Eksempel: De som skal ha meldingen får den ikke, eller får den for seint. • Kvalitet Eksempel: Mottatt melding kan være misvisende pga. dårlig formatering

  4. Risikoanalyse Risikovurdering Sårbarhetsanalyse ROS-analyse

  5. Hvorfor risikovurdering? • Avdekke risikonivå på tjenesten/systemet • Kunne gjøre en begrunnet vurdering av behovet for sikkerhetstiltak • Ha et bevisst forhold til det risikonivået man har • Lovpålagt ved elektronisk behandling av sensitive personopplysninger (POF § 2-4) POF: Personopplysningsforskriften

  6. Prosess for risikostyringISO/IEC 27005 Information technology – Security techniques – Information security risk management

  7. Risikoanalysens fem faser: • Legge rammene for risikoanalysen, identifisere det som skal analyseres – system, tjeneste, bruk/funksjonalitet, brukere, omgivelser, rammebetingelser, definere akseptabelt risikonivå • Trusselidentifisering, kartlegging av trusler, mulige uønskede hendelser • Validering av truslene mhp. konsekvens og sannsynlighet, og anslå risikonivå Risiko = Konsekvens x Sannsynlighet • Analyse av risikonivå (sammenligne avdekket risikonivå med akseptabelt risikonivå) • Foreslå tiltak som reduserer risikonivået

  8. Kvalitativ analyse For hver av de identifiserte truslene, vurdere: • Konsekvens • f.eks.: Liten – Moderat – Alvorlig – Svært alvorlig • Sannsynlighet • f.eks.: Liten – Middels – Stor – Svært stor • Risiko (= Konsekvens x Sannsynlighet) • f.eks.: Lav – Middels – Høy

  9. Risikomatrise

  10. Mulig håndtering av risiko 1. Unngå risiko • Ikke utføre den risikable handlingen (f.eks. ikke utvikle systemet eller ikke sette det i drift) 2. Redusere risiko • Iverksette tiltak for å redusere sannsynlighet og/eller konsekvens 3. Overføre risiko • For eksempel til et forsikringsselskap 4. Beholde risiko • Leve med den risikoen som er der

  11. Husk: Å akseptere en RISIKO er ikke det samme som å akseptere en uønsket hendelse

  12. Fokus og avgrensning- for vår risikovurdering • Kommunesiden, PLO-meldinger (foretakene dekt av risikovurdering for HN IKT i 2012) • Ikke vurdert meldingsutveksling mot eksterne parter som NAV, HELFO, sentrale register. • Ikke vurdert tekniske løsninger, f.eks. oppkopling mot helsenettet, styrke på kryptering, o.l. • Mest info fra stor kommune (Tromsø), med VismaProfil fagsystem

  13. Resultat • 23 (24) trusler • 1 med høy risiko • 13 med middels risiko • 8 med lav risiko • 2 ikke aktuelle for denne risikovurderingen

  14. Resultat

  15. Resultat

  16. Trusler med ”uakseptabel” risiko t5 - dårlig oppfølging i kommunen/PLO av meldinger som sendes ut, ved at man ikke sjekker status og kvitteringer for sendte meldinger. Man sjekker ikke applikasjonskvitteringer og har kanskje mangelfulle rutiner for å håndtere avviste meldinger. Størst sannsynlighet i en oppstartfase før man har fått gode og innarbeidede rutiner. Alvorlig konsekvens hvis det tar lang tid før mottaker får meldingen, mens avsender på sin side tror at meldingen er mottatt og behandlet.

  17. Trusler med ”uakseptabel” risiko k1 - foretaket sender meldingen ”Innlagt pasient” på pasienter som ikke har noen tjeneste og journal i kommunen. – Det innebærer at ansatte i kommunen får helseopplysninger om personer de ikke har behandlingsansvar for. Spesielt problematisk i små kommuner der ”alle kjenner alle” og der for mange har tilgang til meldinger om ukjent bruker/pasient. Det kan være naboer, slektninger eller andre kjente, og ekstra følsomt dersom det gjelder psykiatri.

  18. Trusler med ”uakseptabel” risiko k4a - at systemene kan være satt opp med for vide tilganger slik at for mange leser meldinger de ikke skal lese. Det vil alltid være slik at noen (få) må ha vide tilganger for å kunne håndtere meldinger som ikke automatisk kommer fram til riktig mottaker. Men i noen kommuner har de felles tjenesteadresser slik at ”alle” f.eks. har tilgang til psykiatri og rehab.

  19. Trusler med ”uakseptabel” risiko Truslene t7, t9, t12 – meldinger kommer ikke (raskt nok) fram til riktig mottaker i PLO-sektoren i kommunen, fordi de er adressert feil fra avsender (foretak, fastlege) eller fordi de feilaktig blir håndtert av feil tjeneste i kommunen. Meldinger blir liggende ubehandla i innboksen. Dette kan også skyldes ”ukjent pasient”. En utfordring i disse situasjonene er at avsender får positiv applikasjonskvittering fra kommunen og dermed antar at meldingen er mottatt riktig.

  20. Tiltak • Rutiner i kommunene – med opplæring • f.eks. kontroll/oppfølging av sendte meldinger • ansvarlige • Rutiner i foretakene – med opplæring • Begrensning av tilganger • ta i bruk flere tjenesteadresser • Tilgjengelige ressurser (personell, kompetanse, utstyr, ...)

  21. Bruke risikovurderingen? • Utgangspunkt/grunnlag for den enkelte kommunes egen risikovurdering • noen trusler vil være de samme • truslene vil vurderes forskjellig (annen sannsynlighet  annet risikonivå) • noen vil finne andre trusler • Hver kommune må ha sin egen tiltaksliste, med angivelse av hvem som er ansvarlig

  22. NST-faktaark om risikovurdering: http://www.telemed.no/getfile.php/2325295.357.awdxdbuqcp/NST_Faktaark-Risikovurdering_juni2013_web.pdf

More Related