Fagseminar 30.03.16 om risikovurdering og databehandleravtaler

1. www.iktsenteret.nowww.iktsenteret.no
Tommy Tranvik
Harald Torbjørnsen
Kurs i risikovurdering av
informasjonssikkerhet

2. www.iktsenteret.no
Generelt om risikovurdering
• Rettslige krav til sikring av informasjonsverdier,
spesielt personopplysninger
• En form for utredningsplikt
• Risikovurderingene blir ikke bedre enn deltakerne
– utvelgelse
– informasjon
– håndtering

3. www.iktsenteret.no
Innholdet i utredningsplikten
• Identifisere og vurdere uønskede hendelser
• Uønskede hendelser
– uautorisert tilgang eller eksponering (konfidensialitetsbrudd)
– uautorisert endring, sletting eller skade (integritetsbrudd)
– manglende tilgjengelighet (tilgjengelighetsbrudd)
• Vurdering
– sannsynlighet
– konsekvens (skadeomfanget)

4. www.iktsenteret.no
Muliggjøreren
• Informasjonssikkerhet og risikovurderinger er
ment å være muliggjøreren for bruk av IKT
• Skape tillit til den elektroniske
informasjonsforvaltningen
– viktige informasjonsverdier (personopplysninger)
blir ivaretatt på tilfredsstillende vis

5. www.iktsenteret.no
Svakheter
• Risikovurdering = egenkontroll
• Egenkontrollen kan påvirkes av «utenforliggende
forhold», for eksempel
– bundet mandat
– økonomi
– makelighet
– prestisje
– personlige preferanser
– inkompetanse
• Ikke brukes til fordeling av skyld og ansvar

6. www.iktsenteret.no
RETTSLIGE REGULERINGER I
OFFENTLIG SEKTOR

7. www.iktsenteret.no
De viktigste rettslige reguleringene
• Regelverk med eksplisitte krav til risikovurdering
– personopplysningsloven med forskrift
– e-forvaltningsforskriften
• Regelverk med betydning for informasjonssikkerheten
– forvaltningsloven
– offentlighetsloven
– arkivloven
• Enkelte bestemmelser i særlovgivningen

8. www.iktsenteret.no
Personopplysningsloven med
forskrift
• Gjelder
– all elektronisk behandling av personopplysning som helt eller delvis
skjer ved bruk av elektroniske hjelpemidler
– enhver opplysning eller vurdering som kan knyttes til en bestemt
enkeltperson
– personopplysninger som inngår i interne og eksterne IT-løsninger
• Formål
– ivareta grunnleggende personvernhensyn
• Rettslig standard
– «tilfredsstillende» sikring av konfidensialitet, integritet og tilgjengelighet

9. www.iktsenteret.no
Krav til risikovurderinger
• Skal skje
– før behandlingen av personopplysninger starter
– ved endringer i interne eller eksterne IT-løsninger som har
betydning for informasjonssikkerheten
• Krav til selve risikovurderingene
– ikke mer omfattende eller formaliserte enn nødvendig
– skal basere seg på akseptkriterier vedtatt av toppledelsen
– ingen nærmere krav til gjennomføring og metodikk

10. www.iktsenteret.no
E-forvaltningsforskriften
• Hjemlet i forvaltningsloven § 15a
• Gjelder
– elektronisk kommunikasjon med forvaltningen og elektronisk saksbehandling og kommunikasjon i
forvaltningen
• Formål
– sikker og effektiv elektronisk kommunikasjon med og i forvaltningen
– legge til rette for at enhver kan utøve sine rettigheter og oppfylle sine plikter overfor det offentlige
• Rettslig standard
– «tilfredsstillende» sikring av konfidensialitet, integritet, autentisering og ikke-benekting
• Regler om sikkerhetstjenester og –produkter, for eksempel elektronisk signatur, kryptering og
sertifikater

11. www.iktsenteret.no
Krav til risikovurderinger
• Risikoen for uberettiget tilgang ved kommunikasjon til forvaltningen
– opplysninger som er underlagt taushetsplikt
– personopplysninger
– informasjonsplikt om eventuelle risikoer
• Risiko for uberettiget tilgang ved kommunikasjon fra forvaltningen
– enkeltvedtak
• Risikoen for uberettiget partsinnsyn i opplysninger og dokumenter hos
forvaltningen
• Ikke spesifikke krav til organisering, gjennomføring og metodikk

12. www.iktsenteret.no
Regler med betydning for
informasjonssikkerheten
• Forvaltningsloven, for eksempel
– taushetsplikt (noens personlige forhold; tekniske innretninger og fremgangsmåter)
– partsinnsyn
• Offentlighetsloven, for eksempel
– dokumenter/opplysninger som er unntatt eller kan unntas offentlighet
• taushetsplikt, organinternt, tilsetting, lønn, osv.
• svar til eksamen, karakterer/vitenmål, forskningsideer/-prosjekter
• Arkivloven med forskrifter, for eksempel
– sikkerhetskopiering
– fysisk sikring (skadeverk, innbrudd)
– miljø (vann, fukt, temperatur, forurensning, osv.)
– brann og skadelig varme
• Ingen krav til risikovurderinger

13. www.iktsenteret.no
RISIKOVURDERINGER –
BEGREPER

14. www.iktsenteret.no
Akseptkriterier
• Toppledelsens krav til informasjonssikkerheten
• Risikovurderinger – oppfylles ledelsens krav?
• Eksempler på akseptkriterier
• Åpen informasjon
– integritet og tilgjengeligheten skal prioriteres. Integritet viktigere enn tilgjengelighet
• Konfidensiell informasjon
– konfidensialiteten og integriteten skal prioriteres høyt. Kortere avbrudd i
tilgjengeligheten aksepteres
• Sensitiv informasjon
– konfidensialiteten og integriteten skal prioriteres særlig høyt. Kortere avbrudd i
tilgjengeligheten aksepteres

15. www.iktsenteret.no
Andre viktige begreper
• Uønsket hendelse (risikoelement)
– en handling eller hendelse som kan påvirke informasjonssikkerheten
negativt
• Sårbarhet
– en svakhet som kan utnyttes til å bryte informasjonssikkerheten
• Sannsynlighet
– vanligvis hvor ofte en uønsket hendelse forventes å inntreffe
• Konsekvens/skadeomfang
– økonomi, omdømme, personvern, kritiske funksjoner, rettslig påtale, o.l.
• Risikofaktor
– produktet av sannsynlighet og konsekvens

16. www.iktsenteret.no
Risikovurderingens 3 hovedfaser
• Forberedelse
• Gjennomføring
• Oppsummering og
etterarbeid
1
6

17. www.iktsenteret.no
Del 1: Forberedelse
• Utarbeide prosjektbeskrivelse/notat
– Hensikt
– Omfang i timer
– Ressursbehov
– Periode
• Forankre prosjektet
– Avgjørende for resultatet!
– Viktig med involvering av alle ledd i organisasjonen
– Medspillere framfor motstandere
– Lokale retningslinjer
1
7

18. www.iktsenteret.no
Del 1: Forberedelse
• Deltakere
– Representativ gruppe
– 5-7 stk
• Beskriv området/ene
– Forberedelsesnotat til
deltakerne
– Utgangspunkt for
arbeidsmøte

19. www.iktsenteret.no
Eksempel på beskrivelse/notat

20. www.iktsenteret.no
Eksempel på beskrivelse/notat

21. www.iktsenteret.no
Eksempel på beskrivelse/notat

22. www.iktsenteret.no
Eksempel på innledning

23. www.iktsenteret.no
Eksempel på innledning

24. www.iktsenteret.no
Del 2: Gjennomføring
• Risikovurderingsmøter kan deles i 6 faser:
1. Innledning – beskrivelse av hva risikovurdering er (ca.15
min.)
2. Deltakerne presenterer seg – anledning til å stille
spørsmål (ca. 15 min.)
3. Gjennomgang av risikoområdet og eksempelhendelsene
i dokumentet (ca. 30 min.)
4. Deltakerne skriver ned uønskede hendelser de har
erfart, hørt om eller tenkt på (ca. 20 min.)
5. Diskutere, identifisere og notere uønskede hendelser
(ca. 75 min.)
6. Risikovurderingen: deltakerne angir sannsynlighets- og
konsekvensverdi for hver uønsket hendelse (ca. 15 min.)
2
4

25. www.iktsenteret.no
Eksempel på hendelser

26. www.iktsenteret.no
Eksempel på sannsynlighetsverdier
Lite sannsynlig Hendelsen inntreffer hvert femte skoleår
Moderat sannsynlig Hendelsen kan opptre hvert tredje skoleår.
Sannsynlig Hendelsen kan opptre hvert skoleår.
Svært sannsynlig Hendelsen opptrer flere ganger i løpet av skoleåret.

27. www.iktsenteret.no
Eksempel på
konsekvensverdier
Ufarlig Hendelsen vil ikke på noen måte kunne skade elever eller andre ansatte ved skolen
annet enn ubetydelig
Uheldig Hendelsen kan få konsekvenser av mindre omfang for elever, lærere eller andre
ansatte. Eksempelvis mindre økonomisk tap, tap av brukernavn passord, publisering
av bilder på læringsplattform uten samtykke etc.
Alvorlig Hendelsen kan få betydelige konsekvenser for elever, foreldre, lærere eller andre
ansatte. Eksempelvis uautorisert bruk av en elevens/lærerens brukernavn/passord,
utilsiktet tilgang til og eller endring av karakterer/fravær. Etc.
Kritisk Hendelsen kan føre til skade på liv og helse, alvorlig integritetskrenkelse og tap av
omdømme. Eksempelvis utlevering av sensitive personopplysninger, publisering av
kontaktinformasjon for elever/foreldre som lever på skjermet adresse, vedvarende
digital mobbing osv.

28. www.iktsenteret.no
Risikomatrise

29. www.iktsenteret.no

30. www.iktsenteret.no
Eksempel på referat

31. www.iktsenteret.no
Del 3: Oppsummering og
etterarbeid
• Formidle konklusjoner og anbefalinger
– Finn din løsning
– Viktig at rektor, skoleeier/oppdragsgiver får rapporten
• Skoleeier prioriterer tiltak.
– Rutiner endres
– Dokumentasjon forbedres
– Løsninger forbedres
3
1

32. www.iktsenteret.no
Eksempel på rapport

33. www.iktsenteret.no
Risikorapporten
• Hvem har deltatt?
• Beskrivelse av hva har blitt risikovurdert?
• Risikomatrise som ble benyttet
• Forklar uønskede hendelser
• Regn ut risikofaktoren
– Det avgjørende er å vite hvilke hendelser med uakseptabel høy risiko
og hvilke som ikke har det
• Oppsummering
– Forslag på tiltak

34. www.iktsenteret.no
Kvalitetssikring og formidling
• Deltakerne godkjenner rapport
• Rapport videreformidles til beslutningsnivå
• Beslutningsnivå prioriterer tiltak

35. www.iktsenteret.no
Workshop
• 2 grupper
– Gruppe 1 – SAS (-Tommy)
–
– Gruppe 2 – LMS (-Harald)
– Utstyr
– Hefte for aktuelt system
– Skjema for vurdering
– Notatverktøy

36. www.iktsenteret.no
Oppgave og rammer
• Gjennomfør et risikovurderings arbeidsmøte.
1. Innledning
2. Deltakerne presenterer seg
3. Gjennomgang av risikoområdet og eksempelhendelsene i
vedlagt hefte
4. Deltakerne skriver ned uønskede hendelser de har erfart,
hørt om eller tenkt på.
5. Diskutere, identifisere og notere uønskede hendelser
6. Risikovurderingen: deltakerne angir sannsynlighets- og
konsekvensverdi for hver uønsket hendelse
– Punkt 6 gjennomføres senest kl 13:00!!!
– Oppsummering i plenum etter pausen.

37. www.iktsenteret.no
Oppsummering
• Summering av vurdering
• Markering av kritiske hendelser
• Vurdering av tiltak

38. www.iktsenteret.no
Hva så da???
• Viktig med rutiner for risikovurdering
• Risikovurderinger må gjentas jevnlig
• Risikovurderinger må være en del av
internkontrollen
• Ansvar spesifisert på personnivå og rolle
• Gjennomgang av tidligere identifiserte hendelser
• Eventuelt fjerne dem fra listene
• Identifisere nye hendelser og vurdere dem
• Tidligere sikringstiltak gjennomgås for å vurdere
effekten
• Kontinuerlig forbedringsprosess!

39. www.iktsenteret.no
Feide-forvaltning, risikovurderinger,
rutiner og dokumentasjon
• Gjør skolen bedre rustet til å
utnytte IKT i hverdagen!
• Er svært viktig for kvaliteten
på utbytte av IKT i skolen.