1 / 29

forelesning 13

31.03.2003. Hi

Sophia
Download Presentation

forelesning 13

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

    1. 31.03.2003 HiØ forelesning 13 1 Forelesning 13 Risikoanalyser

    2. 31.03.2003 HiØ forelesning 13 2

    3. 31.03.2003 HiØ forelesning 13 3 Lover og forskrifter Personopplysningsloven Datatilsynet kan gi pålegg om sikring av personopplysninger og herunder fastlegge kriterier for akseptabel risiko forbundet med behandlingen av personopplysninger. Personopplysningsforskriften Forskriften pålegger at det skal gjennomføres risikovurdering(er), og at sikkerhetstiltak skal innføres for å håndtere risiko. Beskyttelsesinstruksen Tempestrisikovurdering (når påkrevd) Helseregisterloven krav om å gjennomføre risikovurdering som grunnlag for å avklare behov for tiltak, og videre at det må etableres et styringssystem for informasjonssikkerhetsarbeidet Beredskapsforskriften for kraftforsyningen Det gis rom for å oppfylle funksjonskravene på måter enhetene selv mener er mest effektivt, basert på gjennomførte sårbarhets- og risikoanalyser. plikter eieren av anlegget å utføre nødvendige risiko- og sårbarhetsanalyser og gjennomføre aktuelle mottiltak og klargjøre beredskap for å håndtere ekstraordinære situasjoner. Lov om Schengen informasjonssystem (SIS-loven) krav om å gjennomføre risikovurdering som grunnlag for å avklare behov for tiltak, og videre at det må etableres et styringssystem for informasjonssikkerhetsarbeidet. SIS-forskriften Forskriften pålegger at det skal gjennomføres risikovurdering(er) og at sikkerhetstiltak skal innføres for å håndtere risiko. Det er mange lover og forskrifter som krever at det utarbeides risikoanalyse i HMS sammenheng, men i forbindelse med ”security” er det Datatilsynets forskrift til personopplysningsloven som kan ha relevans for de fleste. I spesielle tilfeller, for virksomheter som har leveranser til offentlige virksomheter, kan sikkerhetsloven med forskrifter være aktuell. I lover og forskrifter i ”security” sammenheng ser det ut til at ”risikovurdering” benyttes i stedet for ”risikoanalyse”. Datatilsynet skriver i forskriften: Begrepet ”risikovurdering” er valgt i stedet for den mer formelle betegnelsen ”risikoanalyse”. Dette for å signalisere at arbeidet med å avdekke risiko ikke bør være mer omfattende eller formalisert enn strengt tatt nødvendig. Begrepet ”risikovurdering” er også valgt i stedet for ”sårbarhetsanalyse” som normalt benyttes kun til å beskrive vurdering av motstandsdyktighet mot uønskede hendelser. Det er mange lover og forskrifter som krever at det utarbeides risikoanalyse i HMS sammenheng, men i forbindelse med ”security” er det Datatilsynets forskrift til personopplysningsloven som kan ha relevans for de fleste. I spesielle tilfeller, for virksomheter som har leveranser til offentlige virksomheter, kan sikkerhetsloven med forskrifter være aktuell. I lover og forskrifter i ”security” sammenheng ser det ut til at ”risikovurdering” benyttes i stedet for ”risikoanalyse”. Datatilsynet skriver i forskriften: Begrepet ”risikovurdering” er valgt i stedet for den mer formelle betegnelsen ”risikoanalyse”. Dette for å signalisere at arbeidet med å avdekke risiko ikke bør være mer omfattende eller formalisert enn strengt tatt nødvendig. Begrepet ”risikovurdering” er også valgt i stedet for ”sårbarhetsanalyse” som normalt benyttes kun til å beskrive vurdering av motstandsdyktighet mot uønskede hendelser.

    4. 31.03.2003 HiØ forelesning 13 4 Risiko og sikkerhet Risiko kan uttrykke Mulighet for gevinst – på Lotto, børs osv., også kalt spekulativ risiko; Mulighet for tap (av verdier, helse, liv, ..); Vi skal kun befatte oss med muligheten for tap. En uønsket hendelse er en hendelse eller tilstand som kan medføre skade på mennesker, miljø og materielle verdier. Risikobegrepet uttrykker en antagelse om hvor stor sannsynlighet det er for at en uønsket hendelse skal inntreffe og skadens størrelse eller omfang.

    5. 31.03.2003 HiØ forelesning 13 5 Risiko = Sannsynlighet * Konsekvens

    6. 31.03.2003 HiØ forelesning 13 6 Risikoanalyse Systematisk fremgangsmåte for å beskrive og beregne risiko. Hensikt Gi en oversikt over de farer som eksisterer (trusselidentifikasjon); Gi retningslinjer for prioritering av risikoreduserende tiltak som å unngå skade (redusere sannsynligheten eller muligheten for); redusere omfanget av en allerede påført skade (konsekvensreduksjon); Være et verktøy som hjelper en å avgjøre når sikkerheten er ”god nok”;

    7. 31.03.2003 HiØ forelesning 13 7 Modell

    8. 31.03.2003 HiØ forelesning 13 8 Risikoanalyseprosessen Risikoanalysen kan omfatte: * Identifikasjon/avgrensning av ”det” som skal analyseres; * Fastleggelse av trusler, risikoer, bekymringer man har i forhold til det som skal analyseres; * Analyse av eksisterende sikringstiltak; * Prioritering av risikoer eller fastleggelse av sårbarhet for de trusler man kan utsettes for; * Forslag til iverksettelse av tiltak for å redusere risiko, øke motstandsdyktighet eller evt. akseptere risiko; * Forslag til metoder for å overvåke og anslå kontrollmekanismenes effektivitet. Risikoanalysen kan omfatte: * Identifikasjon/avgrensning av ”det” som skal analyseres; * Fastleggelse av trusler, risikoer, bekymringer man har i forhold til det som skal analyseres; * Analyse av eksisterende sikringstiltak; * Prioritering av risikoer eller fastleggelse av sårbarhet for de trusler man kan utsettes for; * Forslag til iverksettelse av tiltak for å redusere risiko, øke motstandsdyktighet eller evt. akseptere risiko; * Forslag til metoder for å overvåke og anslå kontrollmekanismenes effektivitet.

    9. 31.03.2003 HiØ forelesning 13 9 Risikomatrise

    10. 31.03.2003 HiØ forelesning 13 10 Hvordan ? Ad hoc, ryggmargsfølelsen Sjekklister (finnes div. verktøy) Kvalitative analyser Kvantitative analyser

    11. 31.03.2003 HiØ forelesning 13 11 ObjektbeskrivelseHva skal analyseres (avgrensning) Div. verktøy (ISAP oa.) Innbyr til stor detaljgrad Liten hjelp til analytisk nedbryting ”Analytisk” Starte analysen på et overordnet og grovt nivå Benytte standard tegneverktøy Metode som ved utvikling

    12. 31.03.2003 HiØ forelesning 13 12 Trusselidentifikasjon Sjekklistebasert (når listene blir lange....) Hazid (Hazard Identification), Strukturert idedugnad

    13. 31.03.2003 HiØ forelesning 13 13 Hazop-skjema

    14. 31.03.2003 HiØ forelesning 13 14 Fordeler ved å starte ”overordnet” Lavere kompleksitet i første analyse, uten at viktige aspekter blir utelatt; Analyse på detaljnivå blir målrettet og mer effektiv; Rask etablering av et ”trusselbilde”; Godt tilpasset utviklingsprosjekter; Hendelseskjedene gir grunnlag for å velge de mest effektive tiltakene.

    15. 31.03.2003 HiØ forelesning 13 15 KontekstHva omfattes av analysenHva er grensesnittene mot omgivelsene

    16. 31.03.2003 HiØ forelesning 13 16 CIA Hazop Bevisst avsløring av tjenesteleveranser, status, autentiseringsinfo, fakturagrunnlag, statistikk Bevisst manipulasjon av tjenesteleveranser, status, autentiseringsinfo, fakturagrunnlag, statistikk Bevisst forhindring av tjenesteleveranser, status, autentiseringsinfo, fakturagrunnlag, statistikk Ved å starte med fokus på sluttkonsekvenser, kan man begrense detaljanalyser til essensielle områder og sikre best det man er mest avhengig av (risikostyring)

    17. 31.03.2003 HiØ forelesning 13 17 Sluttkonsekvenser

    18. 31.03.2003 HiØ forelesning 13 18 Arkitekturbeskrivelse som grunnlag for årsaksanalyse

    19. 31.03.2003 HiØ forelesning 13 19 Årsaksanalyse

    20. 31.03.2003 HiØ forelesning 13 20 Årsaksanalyse forts.

    21. 31.03.2003 HiØ forelesning 13 21 Hendelseskjeder

    22. 31.03.2003 HiØ forelesning 13 22 Risiko Hvor sannsynlig er det at trusselen manifesteres? Forsikringsselskapene samler statistikk innenfor sine områder. Brukes for å beregne premier. Dårlig med tilgjengelig og egnet statistikk for datasikkerhetsbrudd Hvor store vil i så fall konsekvensene være? Tall for gjenanskaffelse av utstyr finnes; Tap som følge av stans i tjeneste kan anslås; Tap som følge av omdømmetap vanskelig å beregne; Tapt tilgjengelighet lettere å beregne enn avsløring og manipulasjon.

    23. 31.03.2003 HiØ forelesning 13 23 Risikomatrise – resultat av kvalitativ analyse

    24. 31.03.2003 HiØ forelesning 13 24 Kvalitative analyse Fordeler Enkle beregninger (om beregninger i det hele tatt) Ikke påkrevet å fastsette kroneverdier Ikke påkrevet å kvantifisere trusselfrekvenser Enkelt å involvere ”ikke-kvalifisert” personale Gjennomføring og rapportering kan gjøres fleksibelt Ulemper Den subjektive natur iom. mangel på objektive målinger og redskaper for å utføre slike målinger Resultatene hviler fullsetndig på kvaliteten i gruppen som gjennomfører analysen Dårlig grunnlag for kost-/nytteanalyser av tiltak

    25. 31.03.2003 HiØ forelesning 13 25 Sjekklister (1) Kan kontrollere tilstedeværelsen av ”noe”. fysiske enheter, mekanismer, organisasjonselementer, rutiner osv. Viktighet av det enkelte element kan vektes/gis poeng og sårbarhet kan tolkes ut av høye/lave poengsummer. Manglende hindringer eller barrierer gir høy sårbarhet. Man kan velge å avlede høy sannsynlighet fra høy sårbarhet; Manglende beredskapsplaner/øvelser/avtaler medfører større konsekvenser dersom noe skjer. Sjekklister er best når de er tilpasset den enkelte virksomhet. Til en viss grad må det kunne lages bransjeløsninger og løsninger for områder (enkelte aktiviteter/systemer innenfor bedriften) som er felles for flere.

    26. 31.03.2003 HiØ forelesning 13 26 Sjekkliste – et eksempel

    27. 31.03.2003 HiØ forelesning 13 27 Sjekkliste - verdiskala

    28. 31.03.2003 HiØ forelesning 13 28 Sjekklister (2) Fordeler Tar relativt kort tid å gjennomføre (er billig); Kan involvere mange ved f.eks. Spørreskjemaer (papir eller på nett); Man slipper kompliserte og ”dyre” analyser; Minimumskrav / sikkerhetsprofil – det er mulig å måle/kontrollere virksomhetens sikringsnivå opp mot egne minimumskrav, bransjekrav, myndighetskrav el. Forskjellige deler av en virksomhet kan sammenliknes; Kan raskt finne svakheter – og gjøre noe med dem; Summerer opp erfaringene til flere. Data fra forskjellige deler av egen virksomhet og på tvers av flere virksomheter kan gjøres sammenliknbare; Ulemper Forutsetter at ”One size fits all” mellom enheter innenfor en virksomhet og mellom virksomheter; Kan risikere å sette inn beskyttelse på ”feil sted”; Kan risikere å sette inn for mye eller for lite sikring i forhold til virksomhetens ”egentlige” behov. Sjekklister er i større grad et verktøy for revisjon og oppfølging enn for risikoanalyser Lokale tilpasninger i en sjekkliste/revisjonsverktøy kan med fordel gjøres etter en forutgående risikoanalyse.

    29. 31.03.2003 HiØ forelesning 13 29 Kvantitative analyser Fordeler Baseres på objektive målinger Kost-/nyttebetraktninger er essensielle Resultatene kan uttrykkes i et ledelsesspesifikt språk (kroner, prosenter, sannsynligheter) Ulemper Beregningene kan være komplekse Betydelig forarbeide med innsamling og validering av ”måledata”

    30. 31.03.2003 HiØ forelesning 13 30 Kvantitative analyser - variant Baseres på Bayesisk eller Subjektivistisk statistikk Man blander ny subjektiv informasjon med kjent objektiv informasjon Baserer vurderinger Mindre på historiske data Og mer på subjektive vurderinger om fremtidige aktiviteter og hendelser basert på erfaring, innsikt og magefølelse Benyttet bl.a. ved at man i en analyse av GSM-nettet blandet Objektive data om trafikkmengde gjennom et punkt Med subjektive data om forventet tid til hendelse og antatt reetableringstid.

More Related