Standarder for risikostyring av informasjonssikkerhet · 2018-10-29 · Risikostyring og styringssystem for informasjonssikkerhet ISO/IEC 27005 Tett kobling til ISO 27001 når det

Standarder for risikostyring av

informasjonssikkerhet

Standardiseringsrådsmøte

13.mars 2012 Beslutningssak

Mehran Raja

Direktoratet for forvaltning og IKT

Bakgrunn for utredningen

Difi har ferdigstilt 2 rapporter som anbefaler å se

nærmere på standardisering innenfor risikoområdet

Forprosjekt «Kartlegging av aktuelle anvendelsesområder og

relevante sikkerhetsstandarder»

Utredningen «Standarder for styring av informasjonssikkerhet»

Viktigheten av risikovurderinger gjenspeiles i flere

regelverk, spesielt i forbindelse med krav til styring av


Risikostyring vs. risikovurderinger

Dato Direktoratet for forvaltning og IKT

Definere mål, omfang og

avgrensning

Gjennomføre Risikovurdering

Håndtere risikoer og

implementere tiltak

Overvåke og gjennomgå

risikoer Identifisering av risiko

Analyse av risiko

Evaluering av risiko

Risikostyring

Offentlig sektors behov for

risikostyring Offentlige virksomheter benytter forskjellige metoder for å styre risiko

Gjør det vanskelig å forstå hverandres risikogradering

Fører til at arbeid med risikostyring og styringssystemet for informasjonssikkerhet

blir lite helhetlig og kostnadsdrivende

Det viser seg at antallet ulike metodeverk gjør det vanskelig å vite

hvilken som er best egnet for den enkelte virksomhet

Standarder for risikostyring vil bidra til å gjøre det enklere for

virksomhetene å etterleve kravene i regelverk

Direktoratet for forvaltning og IKT

Kartlegging av standarder for

risikostyring

Kartleggingen viser følgende rammeverk som

beskriver fullstendig prosess for risikostyring i

forhold til informasjonssikkerhet:

ISO/IEC 27005:2011

NIST Special Publication 800-39

ISACA The RiskIT Framework


Vurderinger av standarder for

risikostyring Rapporten har identifisert at felles bruk av en, eller et bestemt sett av

standarder, vil gi en mer enhetlig gjennomføring av risikoarbeid

Alle 3 standardene for risikostyring har hver for seg vist å ha store

nyttevirkninger

Tilnærmingen er i generelle termer, noe som kan åpne opp for en

rekke utfordringer i forhold til praktisk gjennomføring av de ulike

aktivitetene.

For å skille mellom hvem som er best egnet, har det spesielt blitt lagt

vekt på hvilke standarder for styring av informasjonssikkerhet disse

baserer på.


Risikostyring og styringssystem for


ISO/IEC 27005

Tett kobling til ISO 27001 når det gjelder begrepsbruk, modeller og prosesser osv.

Special Publication 800-39, NIST

SP 800-39 er sterkt knyttet til SP 800-53, som er et rammeverk for styring av

informasjonssikkerhet.

The RiskIT Framework, ISACA

Spesielt egnet for virksomheter som vil bruke COBIT som styringssystem for



Kartlegging av metoder for

risikovurdering

Følgende metodeverk er kartlagt i forbindelse med

risikovurdering:

TV-506:2002 (Datatilsynet)

Risikovurdering – en veiledning til Rammeverk for autentisering og

uavviselighet i elektronisk kommunikasjon med og i offentlig forvaltning

(Difi)

NS 5814:2008 (Norsk Standard)

Risikovurdering (Helsedirektoratet)

Veiledning i Risiko- og sårbarhetsanalyse (NSM)

OCTAVE (CERT)

FAIR (Risk Management Insight)


Metoder for risikovurdering

TV-506_02, Datatilsynet

Veilederen er laget for å hjelpe virksomheter i prosessen med å

gjennomføre risikovurderinger i samsvar med personopplysningsloven

og forskrift til denne

Forankring i overordnede rammer for risikostyring er ikke spesifisert

Risikovurdering – en veiledning til Rammeverk for autentisering

og uavviselighet i elektronisk kommunikasjon med og i offentlig

sektor, Difi

Metoden som presenteres i veilederen er forenlig med prosess for

risikostyring fra ISO/IEC 31000, som i sin tur er utgangspunkt for

ISO/IEC 27005 og begrepstolkninger fra NS-ISO/IEC 73:2006

Oppsett og vurderinger er i stor grad sammenfallende med Datatilsynets

veileder



NS 5814:2008, Standard Norge

Standarden er generell og kan anvendes på alle typer

risikovurderinger, unntatt vurdering av økonomisk risiko som følge

av forretningsmessige disposisjoner.

Utformingen er med dette ikke spesielt tilpasset relevante

utfordringer for informasjonssikkerhet.

Prosessen for risikovurdering etter NS5814:2008 er planlegging,

risikoanalyse og risikoevaluering

Etterarbeidet, prosess for kontinuerlig oppfølging og overvåking

av risikoer som en del av en virksomhets komplette risikostyring

er ikke inkludert i standarden



Norm for informasjonssikkerhet, Helsedirektoratet

Med hjemmel i personopplysningsforskriften har Helsedirektoratet

utarbeidet et støttedokument om risikovurderinger til Norm om

informasjonssikkerhet.

Hensikten med dokumentet er å hjelpe virksomheter i helsesektoren med

å dokumentere tiltak og vise at deres behandling av informasjon utføres

innenfor nivå for akseptabel risiko

Dokumentet er på fem sider og adresserer både forarbeid,

gjennomføring og etterarbeid som er relevant i forhold til arbeid med

risikovurderinger



ROS 2004 Veiledning, Nasjonal Sikkerhetsmyndighet

Utviklet i samarbeid med NTNU

kan benyttes frittstående for gjennomføring av ROS-analyser

kan også inngå som metodeverk for å gi en praktisk tilnærming til

andre rammeverk for risikostyring

Begrepsbruken i veilederen er noe avvikene i forhold til ISO/IEC

27005



OCTAVE (Operationally Critical Threat, Asset and Vulnerability

Evaluation), CERT

Metoden definerer strategi for vurdering og planlegging av

sikkerhet med risiko som utgangspunkt.

Stor utbredelse blant offentlige virksomheter internasjonalt

Mye benyttet for å støtte opp under rammeverket til ISO/IEC

27005



Factor Analysis of Information Risk (FAIR), Risk Management

Insight

Metodeverket FAIR kan benyttes frittstående, men er ment å styrke

eller understøtte rammeverk for risikostyring av


Flere kommersielle virksomheter benytter metoden for å understøtte

rammeverk som ISO/IEC 27005, RiskIT, SP 800-39 osv.



Konklusjon – standarder for

risikostyring

Av de evaluerte standardene for risikostyring av

informasjonssikkerhet har det vist seg at ISO/IEC 27005

ved sin nære relasjon til ISO/IEC 27001 og ISO/27002 vil

gi mest nyttevirkninger.

ISO/IEC 27005 er dermed den eneste standarden som

anbefales som forvaltningsstandard for risikostyring av



Konklusjon – Metoder for

risikovurdering Av de evaluerte metodene for risikovurdering anbefaler rapporten at

«Risikovurdering – en veiledning til Rammeverk for

autentisering og uavviselighet i elektronisk kommunikasjon

med og i offentlig forvaltning» bør benyttes som en «anbefalt

forvaltningsstandard» i offentlig sektor

Denne anbefalingen gjøres under forutsetning av at Difi inkluderer

standarden i et formelt og åpent forvaltningsregime, gjerne i

samarbeid med andre forvaltningsorganer eller andre virksomheter.

Det anbefales også at Difi gjør en vurdering av muligheten for å

inngå et samarbeid med NSM og Datatilsynet, for å lage et felles

veiledningsregime for risikostyring av gradert og ugradert

informasjon


Konklusjon – Metoder for

risikovurdering

For gjennomføring av risikovurderinger i samsvar med

personopplysningsloven anbefales Helsedirektoratets

«Risikovurdering til Norm for informasjonssikkerhet»

som en «anbefalt forvaltningsstandard» i offentlig sektor



Høringsuttalelser

Vi har mottatt kommentarer fra NSM, Finanstilsynet, Difi,

Helsedirektoratet og en privat person

Konklusjonen i uttalelsene er ganske sammenfallende:

ISO/IEC 27005:2011 Standard for risikostyring støttes

Anbefalingen på støttedokumenter støttes ikke


Høringsuttalelser

NSM har kommentert at veiledningen ikke er tilstrekkelig etter

sikkerhetslovens krav. NSM er imidlertid positive til å delta i et arbeid

sammen med Difi og andre aktuelle forvaltningsorganer for å utvikle en felles

veiledningsregime på dette området.

Difi: Selv om Difis veileder er bygget på diverse velkjente standarder og

metoder, så bør det nok gjøres omfattende omskriving før den kan brukes

som en generell metode for risikovurdering av informasjonssikkerhet.

Det er ikke alltid sterk sammenheng mellom ISO 27005 og veiledningen når

det gjelder begrepsbruk, struktur, og prosessoppbygging.

Både NSM, Difi og Seip i Finanstilsynet understreker i uttalelsene sine

behovet for at metodikker og støttedokumenter for risikovurderinger må

tilpasses den enkelte virksomhet.


Anbefalinger til

Standardiseringsrådet ISO/IEC 27005:2011 gjøres anbefalt for forvaltningen. Den vurderingen som

er gjort i utredningen har fått ensidig positiv støtte og bør derfor

opprettholdes.

Difi sin veileder «Risikovurdering – en veiledning til Rammeverk for

autentisering og uavviselighet i elektronisk kommunikasjon med og i offentlig

forvaltning» og Helsedirektoratets veileder til risikovurdering gjøres anbefalt

for informasjon som ikke er underlagt sikkerhetslovens bestemmelser.

Det har kommet noen kritiske bemerkninger til standardene og usikkerheten

rundt fremtidig forvaltningsregime. Dette taler for å avvente med å anbefale

disse standardene. Det er derimot viktig å få på plass noen standarder raskt,

slik at offentlige virksomheter får felles metoder de kan benytte.

Det anbefales derfor på tross av de kritiske spørsmålene og anbefale

standardene, med forbehold om at Difi velger å prioritere arbeidet med å

forvalte sin standard i tiden som kommer.


Documents

Standarder for risikostyring av informasjonssikkerhet · 2018-10-29 · Risikostyring og styringssystem for informasjonssikkerhet ISO/IEC 27005 Tett kobling til ISO 27001 når det