Jan-Olof Andersson Riskhantering
Transcript of Jan-Olof Andersson Riskhantering
OH-serie
Informationssäkerhet och riskhantering
ISO 27000 serien och säkerhetsprocessen
OH-serie
Vem är JOA?Titel: Chef för informations-styrningsfunktionen påLäkemedelsverket
– Med uppgift att utveckla, samordna och kontrollera:
• Säkerhet• Informationsstyrning• Riskstyrning
Uppgift: Att bygga upp ett fungerande program för informationssäkerheten och se till att informationssäkerhetsfrågorna tas om hand på ett riktigt sätt i Läkemedelsverkets projekt för att digitalisera all information.Övriga uppdrag: Ordförande i svenska standardiseringskommittén för att ta fram och införa ledningssystem för informationssäkerhet. Tidigare uppdrag: Yrkesofficer, säkerhetshandläggare på Vattenfall, Säkerhetschef på Ericsson Telecom, Säkerhetsexpert på Trygg-Hansa, Risk manager på Bull och Säkerhetschef påRiksbanken.Familj: Fru och två vuxna barn.Intressen: Musik och matlagning.
OH-serie
Tack till våra sponsorer
OH-serie
INTRO SIS
OH-serie2008-12-18 5
SIS, Swedish Standards InstituteVD Lars Flink
Bygg och anläggning
Hälso- och sjukvård
Industriteknik
Informationshantering
Ledningssystem
Materialteknik
Miljö och energi
Tjänster och personlig säkerhet
Utveckling
Standardisering
SIS Forum AB
SIS Förlag AB
Stödjande funktioner
OH-serie2008-12-18 6
SIS Ledningssystem
Kvalitetsledning ISO 9001Miljöledning ISO 14001 Informationssäkerhet ISO/IEC 27001Arbetsmiljö OHSAS 18001Risk Management ISO 31000
OH-serie2008-12-18 7
Standardiseringens organisation
Globalt
IEC ISO ITU
Europeiskt
CENELEC CEN ETSI
Svenskt
SEK SIS ITS
OH-serie2008-12-18 8
ISO - International Organization for standardization
Bildades 1946 C:a 15 000 nu gällande standarder
Huvudkontor i Geneve
151 medlems-länder, varav c:a 90 aktiva
OH-serie2008-12-18 9
Vår vision informationssäkerhet?!
Skapat förutsättningar för rätt säkerhet i samhället genom att standarderna i ISO 27000-serien är det naturliga valet för styrt informationssäkerhetsarbete.
OH-serie2008-12-18 1010
WG1 ISMS Standards
Chair Prof. Ted Humphreys WG4 ISMS Services
Chair Meng-Chow Kang
WG2Security
TechniquesChair Prof. Kenji Namura
WG3Security
EvaluationChair Mats Ohlin
FMV
WG5Privacy,
ID management and Biometrics
Chair Kai Rannenberg
ISO/IEC JTC1 SC27Chair Dr. Walter Fumy
Vice Chair Dr. Marijike de SoeteSecretary Krystyna Passia (DIN)
Källa: Ted Humphreys
OH-serie2008-12-18 11
Deltagarländer i ISO/IEC JTC 1/SC 27
Australien, Belgien, Brasilien, Cypern, Danmark, Finland, Frankrike, Holland, Indien, Italien, Japan, Kanada, Kazakstan, Kenya, Kina, Korea, Luxembourg, Malaysia, Nya Zeeland, Norge, Polen, Ryssland, Singapore, Sydafrika, Spanien, Sri Lanka, Storbritannien, Sverige, Schweiz, Tjeckien, Tyskland, Ukraina, USA, Uruguay, Venezuela, Österrike
(Totalt: 36 länder)
Liaison organization med bl.a. ITU och ISACA.
OH-serie2008-12-18 12
Att vara med i ISO 27000-arbetet Löpande öppet för nya projektdeltagare
Slutanvändare av standarden en viktig grupp
Deltagaren satsar: - Egen kompetens och tid- Delfinansiering av projektet
Deltagaren får: - Möjlighet att påverka ISO 27000-serien- Tillgång till svenskt och internationellt nätverk- Tidig information om standarderna- Tillgång till aktuella standarder- Ny kompetens
OH-serie2008-12-18 13
Som deltagare i TK 318 LISEn fast plats i TK 318 Ledningssystem för informationssäkerhet. C:a fyra möten per år.Vår- och höstmöte i konferensform med utbildnings- och nätverksaktiviteter.Möjlighet för andra personer att delta i alla arbetsgrupper.Friplats för aktiva i TK 318 till årliga öppna seminarier.Möjlighet att delta internationellt i SC 27/WG 1 ISMS Standards.Tillgång till alla arbetsdokument inom ISO 27000-serien och relaterade standarder via dokumentserver på Internet: ”Livelink”.Ett friex. av alla färdiga standarder inom ISO 27000-serien.Kostnadsfritt deltagande i SIS kurser om internationell standardisering.Syns i informationsmaterial och på SIS webb.
OH-serie
INTRO RISKHANTERING
2008-12-18 14
OH-serie
Lagar som styr riskhantering 1 (3)
Förordning (2007:603) om intern styrning och kontroll. 3§ En riskanalys skall göras i syfte att identifiera omständigheter som utgör risk för att de krav som framgår av 3§ myndighetsförordningen inte fullgörs.Denna förordning anger även krav på kontrollåtgärder (skyddsåtgärder), uppföljning och dokumentation.
Förordning (2006:942) om krisberedskap och höjd beredskap.9 § Varje myndighet skall i syfte att stärka sin egen och samhällets krisberedskap årligen analysera om det finns sådan sårbarhet eller sådana hot och risker inom myndighetens ansvarsområde som synnerligen allvarligt kan försämra förmågan till verksamhet inom området.Vid denna analys skall myndigheten särskilt beakta:1. situationer som uppstår hastigt, oväntat och utan förvarning, eller en situation där det finns ett hot eller en risk att ett sådant läge kan komma att uppstå,2. situationer som kräver brådskande beslut och samverkan med andra aktörer,3. att de mest nödvändiga funktionerna kan upprätthållas i samhällsviktig verksamhet, och4. förmågan att hantera mycket allvarliga situationer inom myndighetens ansvarsområde.
OH-serie
Lagar som styr riskhantering 2 (3)Förordning (1995:1300) om statliga myndigheters riskhantering3 § Varje myndighet skall identifiera vilka risker för skador eller förluster som finns i myndighetens verksamhet. Myndigheten skall värdera riskerna och beräkna vilka kostnader som staten har eller kan få med hänsyn till dessa risker. Resultatet skall sammanställas i en riskanalys.Varje myndighet skall vidta lämpliga åtgärder för att begränsa risker och förebygga skador eller förluster.
ISO/IEC 27001 och 27002 Ledningssystem för informationssäkerhet27001 – Organisationen skall göra följande:- Identifiera riskerna.- Identifiera tillgångarna inom LIS:s omfattning och tillgångarnas ägare.- Identifiera hoten mot dessa tillgångar.- Identifiera de sårbarheter som skulle kunna utnyttjas av hoten.- Identifiera de konsekvenser som förlust av sekretess, riktighet och tillgänglighet kan ha för tillgångarna.27002 - 4.1 Bedömning av säkerhetsrisker Riskbedömningar bör identifiera, kvantifiera och prioritera risker mot kriterier för riskacceptans och mål som är relevanta för organisationen.
Riskbedömning bör innefatta ett systematiskt sätt att uppskatta riskernas omfattning (riskanalys) och att jämföra de uppskattade riskerna mot riskkriterier för att avgöra riskens betydelse (riskvärdering).
Riskbedömning bör också utföras periodiskt för att behandla förändringar av säkerhetskraven och riskläget, t.ex. i fråga om tillgångar, hot, sårbarheter, påverkan, riskvärdering och när viktiga förändringar sker. Dessa riskbedömningar bör vidtas på ett metodiskt sätt som förmår ge jämförbara och reproducerbara resultat.
Bedömningen av informationssäkerhetsrisker bör ha en klart definierad omfattning för att bli effektiv och bör innefatta kopplingar till riskbedömning inom andra områden där det är lämpligt.
OH-serie
Lagar som styr riskhantering 3 (3)
Arbetsmiljölagen och arbetsmiljöförordningenArbetsgivaren skall veta vilka risker det finns i verksamheten som kan skada arbetstagarna.
Lag (2003:778) om skydd mot olyckor - Skyldigheter vid farlig verksamhet4 § Vid en anläggning där verksamheten innebär fara för att en olycka skall orsaka allvarliga skador påmänniskor eller miljön, är anläggningens ägare eller den som utövar verksamheten på anläggningen skyldig att i skälig omfattning hålla eller bekosta beredskap med personal och egendom och i övrigt vidta nödvändiga åtgärder för att hindra eller begränsa sådana skador.Den som utövar verksamheten är skyldig att analysera riskerna för sådana olyckor som anges i första stycket.Första och andra stycket gäller även flygplatser som har godkänts enligt 6 kap. 9 § första stycketluftfartslagen (1957:297).
”To be complient or not to be complient – that is the question?”
OH-serie
Hotbilden
OH-serie
Hotutveckling
Source: Cisco
OH-serie
Users instalpatch
Vendor patchesvulnerability
Vulerabilitypopularized
Vulnerabilitydiscovered
Vulnerabilityannounced
Time
Risk
OH-serie
Sårbarheter 2003
Källa: Nätverk&Kommunikation, 10‐2004
OH-serie
Utveckling 2007-2008 (MessageLabs)
OH-serie
Varifrån sker angreppen?
OH-serie
Sätt incidentarbetet i ett större sammanhang
OH-serie
Källa: Leo Berntsson
OH-serie
Riskhantering och riskstyrning
Syfte
Riskhantering Riskstyrning
Identifiera, värdera affärsrisker och besluta om åtgärder.
Utmana och kvalitetssäkra Riskhantering enligt gällande
riktlinjer.
Kunskap och transparens gällande vilka risker LV tar.
Upprätta policys och riktlinjer för verket.
Delegerat till verksamhetsområdets chefer i enlighet med arbetsordningen.
IS-funktionen ansvarig förutveckling, samordning och
kontroll
Nyckelfunktioner
PerspektivVerksamhetsdrivna beslut och
bedömningar.Neutrala och objektiva värderingar.
Genomföra risk analyser förBeslutsfattande.
Genomför åtgärder för att hanterarisker enligt gällande policys.
Uppfylla externa krav på RM så som
från krisberedskap, intern styrning och
kontroll, etc.
Aggregera, sammanställ och kvalitets-
säkra extern och intern risk rapportering.
OH-serie
Enhetlig styrning och hantering av LV:s risker
Styrelse
GD
Vetenskaplig kvalitetsledning
GDssekretariat
Informations‐hantering
Läkemedel 1 Läkemedel 2 Medicinteknik och kosmetika
Kommunikation
Stab Verksamhetsu
tveckling
Strategiska risker
Finansiella risker
Projekt risker
Operativa risker
mm.
OH-serie
Modell - Kontinuitetsskydd
EmergencyNormal operations( incl protection and prevention)
Incidenter
Crisis managementBusiness continuity planning
Assets
Threats
Normaloperations
Recovery
2Definition
1
3
4
5
64
7
8
9
1011
3
Kris
AkutlägeNormal drift
KrishanteringKontinuitetsplanering Tid
Tillgångar
Hot
Normaldrift
Återställning
2
Faser
Definition1
3
4
5
64
7
8
9
1011
3
Note: 10 = Inget systemstöd ; 11 = Krisläge
med införda skyddsåtgärder
OH-serie
När gör man Riskanalyser?
Riskanalyser LV
Under förstudiefasav nya projekt
Innan varje nya "beslutspunkt"
Årligen inom alla projekt
Vid större förändringar inom
projekt
I verksamhets‐planeringsprocessen
Metod xx
Metod xxMetod xxMetod xx
OH-serie
• Riskhantering är grunden i allt!• En incident kan leda till att det inträffar en kris och kontinuitetsplanen använd• En fungerande bra incidenthantering gör ofta att man har en bra förmåga att ta hand
om en kris
Riskhantering
Incidenthantering
Krishantering
Kontinuitetsplan
OH-serie
Riskhanteringsprocess ett exempel Modell 27005
Arbetsmiljö-kontroll
Arbetsmiljö
Internkontroll-metod
Verksamhets-analys
JOA –metodInformations-
analys
SAMRAMVerktyg
Metoder
Modell
OH-serie
Riskanalys – Flödesschema
Identifiera resurserna
Identifiera hot
Bedöm sannolikhet Bedöm konsekvens
Värdera risken
Kan risken accepteras?
JA NEJ
Ingen åtgärd Åtgärder
Avgränsa analysområdet
OH-serie
Förhållandet mellan de olika risk elementen kan beskrivas enligt nedan.
HotUtnyttjar
Sårbarheter/svagheter
Exponering
Risk
Skydd
Tillgångarna
Vilket resulterar i
Vilket ärVilket mildras av
Vilket skyddar
OH-serie
Vad säger standarden 27002?
OH-serie
Riskbedömning och riskhantering
Bedömning av säkerhetsriskerRiskbedömning bör leda till att risker identifieras, kvantifieras och prioriteras mot kriterier för riskacceptans och mål som är relevanta för organisationen.
Riskbedömning bör också utföras periodiskt för att behandla förändringar av säkerhetskraven och riskläget, t.ex. i fråga om tillgångar, hot, sårbarheter, påverkan, riskvärdering och när viktiga förändringar sker.
Bedömningen av risker för informationssäkerhet bör ha en klart definierad omfattning för att bli effektiv och bör innefatta kopplingar till riskbedömning inom andra områden där det är lämpligt.
En riskbedömning kan omfatta hela organisationen, delar av organisationen, ett specifikt informationssystem, enskilda systemdelar eller tjänster där detta är praktiskt, realistiskt och till hjälp.
OH-serie
Hantering av säkerhetsrisker
Innan det bedöms hur en risk skall hanteras, bör organisationen fastställa kriterier för att avgöra om en risk kan godtas eller ej. Risker kan godtas om det t.ex. bedöms att risken är liten eller att kostnaden för att behandla den inte är kostnadseffektiv för organisationen. Sådana beslut bör dokumenteras.
För varje risk som identifieras under riskbedömningen måste ett riskhanteringsbeslut fattas. Möjliga val av riskhantering innefattar:
– att sätta in lämpliga åtgärder för att minska riskerna;– att medvetet och objektivt godta risker, förutsatt att de
tydligt tillgodoser organisationens policy och kriterier för riskacceptans;
– att undvika risker genom att inte tillåta aktiviteter som kan orsaka att riskerna uppkommer;
– att överföra risker till andra parter, t.ex. försäkringsgivare eller leverantörer.
OH-serie
Hantering av säkerhetsrisker forts.
För de risker där riskhanteringsbeslutet har medfört införande av lämpliga åtgärder, bör dessa vara utvalda och införda för att uppfylla de krav som har identifierats genom en riskbedömning. Åtgärder bör säkerställa att risker minskas till en godtagbar nivå med hänsyn till:– krav och restriktioner i nationell och internationell
lagstiftning;– organisationens mål;– verksamhetens krav och begränsningar;– kostnad för införande och drift i förhållande till de
risker som minskas, och så att den står i proportion till organisationens krav och begränsningar;
– behovet av att balansera investeringen i införande och drift av åtgärder mot den skada som kan bli
OH-serie
Demings: Plan-Do-Check-Act-process
OH-serie
27000Overview
& Vocabulary
27001ISMS
Requirements
27003Implementation
Guidance
27004ManagementMeasurement
27005Risk
Management
27006AccreditationRequirements
27002Code ofPractice
Terminology
Requirement
SupportPDCA
ControlImplementation
54
32
18028‐XNetworkSecurity ‐ 1
18044Incident
Management
18043IDS
Management
54
13335‐XICT
Security ‐ 3
15947IDS
Framework
27007ISMS Auditor Guidelines
SectorSpecificGuideline
27011Telecom WLA Automotive Health and care
(27799)
OH-serie