Digitaliseringsstyrelsen Risikovurdering Marts 2018

Transkript

1 Risikovurdering Revision. Skat. Rådgivning.

2 Klaus Ravn Cyber security specialist Baggrund Akkreditering af systemer og apps Risikovurdering af systemer Facilitator af it-beredskabsøvelser 24 år i Forsvaret It ansvarlig Systemejer af klassificeret netværk Uddannelse Datatekniker ISO27001 auditor Sikkerhedskurser Revision. Skat. Rådgivning.

3 Programmet Oplæg Hvad er risikovurdering Identifikation af aktiver Risikoidentifikation (trusler) Case opgave 1 Risikoanalyse (sandsynlighed og konsekvens) Case opgave 2 Risikoevaluering Case opgave 3 Risikohåndtering Risikohåndteringsplan Statement of Applicability Opsummering Revision. Skat. Rådgivning.

4 Oplæg Revision. Skat. Rådgivning.

5 Programmet Oplæg Hvad er risikovurdering Identifikation af aktiver Risikoidentifikation (trusler) Case opgave 1 Risikoanalyse (sandsynlighed og konsekvens) Case opgave 2 Risikoevaluering Case opgave 3 Risikohåndtering Risikohåndteringsplan Statement of Applicability Opsummering Revision. Skat. Rådgivning.

6 Risikokommunikation og -konsultation Risikoovervågning og -review ISO27005 om risikovurdering Etablering af kontekst Risikovurdering Risikoidentifikation Risikoanalyse Risikoevaluering Risiko > effekten af usikkerhed på målsætninger: Dvs. en afvigelse fra det ønskede > positivt og/eller negativ Risikovurdering tilfredsstillende? Ja Nej Risikohåndtering Risikovurdering tilfredsstillende? Nej Ja Risikoaccept 6

7 Basal risikovurdering Sandsynlighed * Konsekvens = Risiko Trussel Hændelse Sårbarhed Konsekvens starter udnytter forårsager = Informations Risiko 7

8 Risiko-vurdering og -håndtering Trusler Sandsynlighed Evalueringskriterie Identificer aktiver Risiko identifikation Risiko analyse Risiko evaluering Risiko håndtering Statement of Applicability Risikohåndteringsplan Sårbarheder Påvirkning Acceptkriterie 8

9 Aktiver Kan være processer eller håndgribelige ting Skal altid beskrives 01 Kommunikation Kommunikation kan foretages både som tekst og voice, og der findes på systemet flere HW/SW som understøtter dette aktiv. 02 Lagring af data Det er muligt at lagre data både lokalt og på de opsatte servere. Dette data kan gemmes i gruppemapper og i brugermappe. 03 Deling af data Det er muligt at dele data ved at placere dette i gruppe mapper, men det er ligeledes også muligt at dele data som vedhæftede filer i mailsystemet. Data kan også deles ved at udprinte fra de opstillede printere og/eller ved at indsætte et flytbar medie. 04 Analyse af data Det er muligt at analysere på lagret data ved hjælp af speciel software, som kan indlæse data og lagre dette i sin egen database. 05 Serverfarm Serverfarm er virtualiseret og holder de lagrede data. Serverfarm er opdelt i 43 virtuelle servere 9

10 Risiko-vurdering og -håndtering Trusler Sandsynlighed Evalueringskriterie Identificer aktiver Risiko identifikation Risiko analyse Risiko evaluering Risiko håndtering Statement of Applicability Risikohåndteringsplan Sårbarheder Påvirkning Acceptkriterie 10

11 Trusler Trusler samles normalt i et trusselskatalog Menneskeskabte trusler Tekniske trusler Miljømæssige trusler Sandsynlighed Trussel Hændelse Sårbarhed starter udnytter 11

12 Trusselkatalog Informationssikkerhedstrusler Menneskelige fejl Ondsindede mennesker Kompromittering af funktioner Tab af kritiske services Naturkatastrofer Fysisk skade Tekniske fejl Hacker It-kriminelle Terrorister Spionage Afskedigede, ondsindede, uærlige mm. medarbejdere Misbrug af rettigheder Benægtelse af handlinger Brugerfejl (mangelfuld træning) Personafhængighed Forsyningssvigt el/ telekommunikation Nedbrud af køling. Klimatiske fænomener Oversvømmelse Brand Vandskade Forurening Ødelæggelse af udstyr Større ulykker Fejl i udstyr Overbelastning Softwarefejl Manglede vedligeholdelse 12

13 CASE GladeBananer A/S sælger frugt & grønt It-system: bruges til håndtering og formidling af informationer Anvendes af alle medarbejdere Indvejning af varer, Arbejdstid, Lønsystem, Kundekartotek Denne case er gældende for hele workshoppen 13

14 Hands-on Praktisk tilgang til risikovurdering Case Del 1 Risikoidentifikation Afkryds de hændelser og trusler som er relevante DOKUMENTER: Case Del 1 TID: 15 minutter 14

15 Risiko-vurdering og -håndtering Trusler Sandsynlighed Evalueringskriterie Identificer aktiver Risiko identifikation Risiko analyse Risiko evaluering Risiko håndtering Statement of Applicability Risikohåndteringsplan Sårbarheder Påvirkning Acceptkriterie 15

16 Sandsynlighed Sandsynlighed Trussel Hændelse Sårbarhed starter udnytter 16

17 Sandsynlighed for at hændelsen sker En fagteknisk vurdering Sandsynlighed Eksempel beskrivelse 1. Usandsynligt Det anses for næsten udelukket, at hændelsen nogensinde kan forekomme Ingen erfaring med hændelsen Kendes kun fra få andre offentlige og private virksomheder, men ikke i Danmark 2. Mindre sandsynligt Hændelsen forventes ikke at komme Ingen erfaring med hændelsen Kendes kun fra få andre offentlige og private virksomheder, men ikke i Danmark 3. Sandsynligt Det er sandsynligt at hændelsen vil forekomme Man har erfaring med hændelsen, men ikke inden for de sidste 12 måneder Kendes fra andre offentlige og private virksomheder i Danmark (omtales årligt i pressen) 4. Forventet Det ventes at hændelsen vil forekomme Man har erfaring med hændelsen inden for de sidste 12 måneder Hænder jævnligt i andre offentlige og private virksomheder (omtales ofte i pressen) 17

18 Konsekvens En ledelsesmæssig vurdering Konsekvens for brud på fortroligheden Konsekvens for brud på integritet Konsekvens for brud på tilgængelighed Konsekvens 1. Lille 2. Medium 3. Stor 4. Meget stor 18

19 Risikoanalyse Sandsynlighed Konsekvens Risiko * = Sandsynlighed 1. Usandsynligt 2. Mindre sandsynligt Konsekvens 1 Lille 2 Mediunm 3 Stor 4 Meget stor 3. Sandsynligt 4. Forventet 19

20 Hands-on Praktisk tilgang til risikovurdering Case Del 2 Risikoanalyse Vurder og nedskriv sandsynlighederne DOKUMENTER: Case Del 2 TID: 30 minutter 20

21 Risiko-vurdering og -håndtering Trusler Sandsynlighed Evalueringskriterie Identificer aktiver Risiko identifikation Risiko analyse Risiko evaluering Risiko håndtering Statement of Applicability Risikohåndteringsplan Sårbarheder Påvirkning Acceptkriterie 21

22 Risikoanalyse Sandsynlighed Konsekvens Risiko * = Sandsynlighed 1. Usandsynligt 2. Mindre sandsynligt Konsekvens 1 Lille 2 Mediunm 3 Stor 4 Meget stor 3. Sandsynligt 4. Forventet 22

23 Konsekvens Risikoevaluering Risikobilledet i forhold til konsekvens og sandsynlighed Prioritet 2 Prioritet 1 Prioritet 4 Prioritet 3 Sandsynlighed 23

24 KONSEKVENS Min foretrukne SANDSYNLIGHED Lille Medium Stor Meget stor Lille Medium Stor Meget stor

25 Hands-on Praktisk tilgang til risikovurdering Case Del 3 Risikoevaluering Multiplicer konsekvens og sandsynlighed DOKUMENTER: Case Del 3 TID: 15 minutter 25

26 Risiko-vurdering og -håndtering Trusler Sandsynlighed Evalueringskriterie Identificer aktiver Risiko identifikation Risiko analyse Risiko evaluering Risiko håndtering Statement of Applicability Risikohåndteringsplan Sårbarheder Påvirkning Acceptkriterie 26

27 Risikohåndtering Hvad gør vi nu? Undgå (risikoundgåelse) Reducer (risikomodificering) Overfør (risikodeling) Accept (risikofastholdelse) Risikoniveau Strategi for håndtering Tidshorisont Lav Mellem Høj 27

28 Risiko-vurdering og -håndtering Trusler Sandsynlighed Evalueringskriterie Identificer aktiver Risiko identifikation Risiko analyse Risiko evaluering Risiko håndtering Statement of Applicability Risikohåndteringsplan Sårbarheder Påvirkning Acceptkriterie 28

29 Statement of Applicability Hvornår gør vi det? Hvorfor gør vi det? Hvad skal der være i den? Hvordan gør vi det? 29

30 Sådan kan vi gøre det A Politikker for informationssikkerhed kontrolbeskrivelse Ledelsen skal fastlægge og godkende et sæt politikker for informationssikkerhed, som skal offentliggøres og kommunikeres til medarbejdere og relevante eksterne parter. Sikkerhedskrav Verifikation af sikkerhedskravsimplementering A a [ Beskriv hvad ] [Beskriv hvordan ] A b [Beskriv hvad ] [Beskriv hvordan ] Dokumentation for implementering/håndtering af krav Implementeret [Beskriv hvordan og evt. med link til dokumentationen ] [Ja/Nej/Delvis ] 30

31 Så ofte kan vi gøre det Eksempel på årshjul for risikovurdering 4. Kvartal Gennemgå Beredskabsplaner & leverandørstyring 1. Kvartal Gennemgå politikker Opdater SoA Udfør risikovurdering 3. Kvartal 2. Kvartal 31

32 Opsummering 32

33 Risiko-vurdering og -håndtering Trusler Sandsynlighed Evalueringskriterie Identificer aktiver Risiko identifikation Risiko analyse Risiko evaluering Risiko håndtering Statement of Applicability Risikohåndteringsplan Sårbarheder Påvirkning Acceptkriterie 33

34 ISO27001 kontroller ISMS 4.4 Politik 5.2 Organisation 5.3 Politikker & organisation A5 & A6 HR & Aktiver A7 & A8 Risikovurderingsproces Kompetencer 7.2 Awareness 7.3 Kontroller Adgang & Kryptering A9 & A10 Risikohåndterings proces S o A Fysisk & Operationel sikkerhed A11 & A12 Kommunikation 7.4 Implementationsplan 6.2 Kommunikation & Udvikling A13 & A14 Dokumenter 7.5 Procedurer Leverandører & Hændelser A15 & A16 Beredskab & Compliance A17 & A18 Planlægning 8.1 Risikovurdering 8.2 Risikohåndtering 8.3 Overvågning 9.1 Intern revision 9.2 Ledelsesgennemgang 9.3 Forbedring 10 34

35 Spørgsmål? Klaus Hansen Ravn Manager - Security & Technology T: E: [email protected] Denne publikation er udarbejdet alene som en generel orientering om forhold, som måtte være af interesse, og gør det ikke ud for professionel rådgivning. Du bør ikke disponere på baggrund af de oplysninger, der er indeholdt i denne publikation, uden at indhente specifik professionel rådgivning. Vi afgiver ingen erklæringer eller garantier (udtrykkeligt eller underforstået) hvad angår nøjagtigheden og fuldstændigheden af de oplysninger, der findes i publikationen, og, i det omfang loven tillader, accepterer eller påtager PricewaterhouseCoopers Statsautoriseret Revisionspartnerselskab, dets aktionærer, medarbejdere og repræsentanter sig ikke nogen forpligtelse, ansvar eller agtpågivenhedspligt for eventuelle konsekvenser, som følger af, at du eller andre handler eller undlader at handle i tillid til de oplysninger, der findes i publikationen, eller for eventuelle beslutninger truffet på baggrund af publikationen PricewaterhouseCoopers Statsautoriseret Revisionspartnerselskab. Alle rettigheder forbeholdes. I dette dokument refererer til PricewaterhouseCoopers Statsautoriseret Revisionspartnerselskab, som er et medlemsfirma af PricewaterhouseCoopers International Limited, hvor hver enkelt virksomhed er en særskilt juridisk enhed.