Presentasjon om behovet for rutiner og dokumentasjon av drift og bruk av IKT i skolen. Med spesielt fokus på risikovurdering som det fremste virkemiddel i den sammenhengen
Presentasjon om behovet for rutiner og dokumentasjon av drift og bruk av IKT i skolen. Med spesielt fokus på risikovurdering som det fremste virkemiddel i den sammenhengen
Implementering av velferdsteknologi i kommunane i Sogn og Fjordane
Ein konferanse om erfaringar med planlegging og implementering
av velferdsteknologi i kommunane i Sogn og Fjordane
Skei Hotell, 11. februar 2016
kl. 10.00 – 16.00
Legal risk management: Hvordan styre risiko i kontrakterKjell Steffner
Legal risk management: Et raskt blikk på enhetlig risikostyring av kontrakter fra behovsverifikasjon til kravspesifikasjon, tilbud, gjennomgøring, driftsetting og terminering.
Oppfølging av prosjektet med regionale, nasjonale og internasjonale midlar og miljø. Ivar Petter Grøtte, IT-forum/Vestlandsforsking. Velferdsteknologi for kommunane i Sogn og Fjordane
SKEI HOTELL, 10. desember 2014 kl. 10.00 – 16.10
Eit seminar om status for velferdsteknologi nasjonalt og i Sogn og Fjordane, og om framtidig satsing og samarbeid i fylket
2. www.iktsenteret.no
Generelt om risikovurdering
• Rettslige krav til sikring av informasjonsverdier,
spesielt personopplysninger
• En form for utredningsplikt
• Risikovurderingene blir ikke bedre enn deltakerne
– utvelgelse
– informasjon
– håndtering
3. www.iktsenteret.no
Innholdet i utredningsplikten
• Identifisere og vurdere uønskede hendelser
• Uønskede hendelser
– uautorisert tilgang eller eksponering (konfidensialitetsbrudd)
– uautorisert endring, sletting eller skade (integritetsbrudd)
– manglende tilgjengelighet (tilgjengelighetsbrudd)
• Vurdering
– sannsynlighet
– konsekvens (skadeomfanget)
4. www.iktsenteret.no
Muliggjøreren
• Informasjonssikkerhet og risikovurderinger er
ment å være muliggjøreren for bruk av IKT
• Skape tillit til den elektroniske
informasjonsforvaltningen
– viktige informasjonsverdier (personopplysninger)
blir ivaretatt på tilfredsstillende vis
5. www.iktsenteret.no
Svakheter
• Risikovurdering = egenkontroll
• Egenkontrollen kan påvirkes av «utenforliggende
forhold», for eksempel
– bundet mandat
– økonomi
– makelighet
– prestisje
– personlige preferanser
– inkompetanse
• Ikke brukes til fordeling av skyld og ansvar
7. www.iktsenteret.no
De viktigste rettslige reguleringene
• Regelverk med eksplisitte krav til risikovurdering
– personopplysningsloven med forskrift
– e-forvaltningsforskriften
• Regelverk med betydning for informasjonssikkerheten
– forvaltningsloven
– offentlighetsloven
– arkivloven
• Enkelte bestemmelser i særlovgivningen
8. www.iktsenteret.no
Personopplysningsloven med
forskrift
• Gjelder
– all elektronisk behandling av personopplysning som helt eller delvis
skjer ved bruk av elektroniske hjelpemidler
– enhver opplysning eller vurdering som kan knyttes til en bestemt
enkeltperson
– personopplysninger som inngår i interne og eksterne IT-løsninger
• Formål
– ivareta grunnleggende personvernhensyn
• Rettslig standard
– «tilfredsstillende» sikring av konfidensialitet, integritet og tilgjengelighet
9. www.iktsenteret.no
Krav til risikovurderinger
• Skal skje
– før behandlingen av personopplysninger starter
– ved endringer i interne eller eksterne IT-løsninger som har
betydning for informasjonssikkerheten
• Krav til selve risikovurderingene
– ikke mer omfattende eller formaliserte enn nødvendig
– skal basere seg på akseptkriterier vedtatt av toppledelsen
– ingen nærmere krav til gjennomføring og metodikk
10. www.iktsenteret.no
E-forvaltningsforskriften
• Hjemlet i forvaltningsloven § 15a
• Gjelder
– elektronisk kommunikasjon med forvaltningen og elektronisk saksbehandling og kommunikasjon i
forvaltningen
• Formål
– sikker og effektiv elektronisk kommunikasjon med og i forvaltningen
– legge til rette for at enhver kan utøve sine rettigheter og oppfylle sine plikter overfor det offentlige
• Rettslig standard
– «tilfredsstillende» sikring av konfidensialitet, integritet, autentisering og ikke-benekting
• Regler om sikkerhetstjenester og –produkter, for eksempel elektronisk signatur, kryptering og
sertifikater
11. www.iktsenteret.no
Krav til risikovurderinger
• Risikoen for uberettiget tilgang ved kommunikasjon til forvaltningen
– opplysninger som er underlagt taushetsplikt
– personopplysninger
– informasjonsplikt om eventuelle risikoer
• Risiko for uberettiget tilgang ved kommunikasjon fra forvaltningen
– enkeltvedtak
• Risikoen for uberettiget partsinnsyn i opplysninger og dokumenter hos
forvaltningen
• Ikke spesifikke krav til organisering, gjennomføring og metodikk
12. www.iktsenteret.no
Regler med betydning for
informasjonssikkerheten
• Forvaltningsloven, for eksempel
– taushetsplikt (noens personlige forhold; tekniske innretninger og fremgangsmåter)
– partsinnsyn
• Offentlighetsloven, for eksempel
– dokumenter/opplysninger som er unntatt eller kan unntas offentlighet
• taushetsplikt, organinternt, tilsetting, lønn, osv.
• svar til eksamen, karakterer/vitenmål, forskningsideer/-prosjekter
• Arkivloven med forskrifter, for eksempel
– sikkerhetskopiering
– fysisk sikring (skadeverk, innbrudd)
– miljø (vann, fukt, temperatur, forurensning, osv.)
– brann og skadelig varme
• Ingen krav til risikovurderinger
14. www.iktsenteret.no
Akseptkriterier
• Toppledelsens krav til informasjonssikkerheten
• Risikovurderinger – oppfylles ledelsens krav?
• Eksempler på akseptkriterier
• Åpen informasjon
– integritet og tilgjengeligheten skal prioriteres. Integritet viktigere enn tilgjengelighet
• Konfidensiell informasjon
– konfidensialiteten og integriteten skal prioriteres høyt. Kortere avbrudd i
tilgjengeligheten aksepteres
• Sensitiv informasjon
– konfidensialiteten og integriteten skal prioriteres særlig høyt. Kortere avbrudd i
tilgjengeligheten aksepteres
15. www.iktsenteret.no
Andre viktige begreper
• Uønsket hendelse (risikoelement)
– en handling eller hendelse som kan påvirke informasjonssikkerheten
negativt
• Sårbarhet
– en svakhet som kan utnyttes til å bryte informasjonssikkerheten
• Sannsynlighet
– vanligvis hvor ofte en uønsket hendelse forventes å inntreffe
• Konsekvens/skadeomfang
– økonomi, omdømme, personvern, kritiske funksjoner, rettslig påtale, o.l.
• Risikofaktor
– produktet av sannsynlighet og konsekvens
17. www.iktsenteret.no
Del 1: Forberedelse
• Utarbeide prosjektbeskrivelse/notat
– Hensikt
– Omfang i timer
– Ressursbehov
– Periode
• Forankre prosjektet
– Avgjørende for resultatet!
– Viktig med involvering av alle ledd i organisasjonen
– Medspillere framfor motstandere
– Lokale retningslinjer
1
7
18. www.iktsenteret.no
Del 1: Forberedelse
• Deltakere
– Representativ gruppe
– 5-7 stk
• Beskriv området/ene
– Forberedelsesnotat til
deltakerne
– Utgangspunkt for
arbeidsmøte
24. www.iktsenteret.no
Del 2: Gjennomføring
• Risikovurderingsmøter kan deles i 6 faser:
1. Innledning – beskrivelse av hva risikovurdering er (ca.15
min.)
2. Deltakerne presenterer seg – anledning til å stille
spørsmål (ca. 15 min.)
3. Gjennomgang av risikoområdet og eksempelhendelsene
i dokumentet (ca. 30 min.)
4. Deltakerne skriver ned uønskede hendelser de har
erfart, hørt om eller tenkt på (ca. 20 min.)
5. Diskutere, identifisere og notere uønskede hendelser
(ca. 75 min.)
6. Risikovurderingen: deltakerne angir sannsynlighets- og
konsekvensverdi for hver uønsket hendelse (ca. 15 min.)
2
4
26. www.iktsenteret.no
Eksempel på sannsynlighetsverdier
Lite sannsynlig Hendelsen inntreffer hvert femte skoleår
Moderat sannsynlig Hendelsen kan opptre hvert tredje skoleår.
Sannsynlig Hendelsen kan opptre hvert skoleår.
Svært sannsynlig Hendelsen opptrer flere ganger i løpet av skoleåret.
27. www.iktsenteret.no
Eksempel på
konsekvensverdier
Ufarlig Hendelsen vil ikke på noen måte kunne skade elever eller andre ansatte ved skolen
annet enn ubetydelig
Uheldig Hendelsen kan få konsekvenser av mindre omfang for elever, lærere eller andre
ansatte. Eksempelvis mindre økomisk tap, tap av brukernavn passord, publisering
av bilder på læringsplattform uten samtykke etc.
Alvorlig Hendelsen kan få betydelige konsekvenser for elever, foreldre, lærere eller andre
ansatte. Eksempelvis uautorisert bruk av en elevens/lærerens brukernavn/passord,
utilsiktet tilgang til og eller endring av karakterer/fravær. Etc.
Kritisk Hendelsen kan føre til skade på liv og helse, alvorlig integritetskrenkelse og tap av
omdømme. Eksempelvis utlevering av sensitive personopplysninger, publisering av
kontaktinformasjon for elever/foreldre som lever på skjermet adresse, vedvarende
digital mobbing osv.
31. www.iktsenteret.no
Del 3: Oppsummering og
etterarbeid
• Formidle konklusjoner og anbefalinger
– Finn din løsning
– Viktig at rektor, skoleeier/oppdragsgiver får rapporten
• Skoleeier prioriterer tiltak.
– Rutiner endres
– Dokumentasjon forbedres
– Løsninger forbedres
3
1
33. www.iktsenteret.no
Risikorapporten
• Hvem har deltatt?
• Beskrivelse av hva har blitt risikovurdert?
• Risikomatrise som ble benyttet
• Forklar uønskede hendelser
• Regn ut risikofaktoren
– Det avgjørende er å vite hvilke hendelser med uakseptabel høy risiko
og hvilke som ikke har det
• Oppsummering
– Forslag på tiltak
35. www.iktsenteret.no
Workshop
• 2 grupper
– Gruppe 1 – SAS (-Tommy)
– Berit Soløy, Christian Albertsen ,Csilla Timea Kacso,
Elisabeth Hartvig, Frode Vik, Geir Kristiansen, Hilde
Laderud, Ingrid Evju, Ingrid Kringlebotn, Jo Inge Fjellstad.
– Gruppe 2 – LMS (-Harald)
– Kristin Harvey, Ole Skurdal, Pål Digernes, Sigmund Brenna,
Terje Johansen, Tor Espen Hansen, Tore Lien, Grete Anette
Nordengen, Helge Rabbas
– Utstyr
– Hefte for aktuelt system
– Skjema for vurdering
– Notatverktøy
36. www.iktsenteret.no
Oppgave og rammer
• Gjennomfør et risikovurderings arbeidsmøte.
1. Innledning
2. Deltakerne presenterer seg
3. Gjennomgang av risikoområdet og eksempelhendelsene i
vedlagt hefte
4. Deltakerne skriver ned uønskede hendelser de har erfart,
hørt om eller tenkt på.
5. Diskutere, identifisere og notere uønskede hendelser
6. Risikovurderingen: deltakerne angir sannsynlighets- og
konsekvensverdi for hver uønsket hendelse
– Punkt 6 gjennomføres senest kl 14:00!!!
– Oppsummering i plenum etter pausen.
38. www.iktsenteret.no
Hva så da???
• Viktig med rutiner for risikovurdering
• Risikovurderinger må gjentas jevnlig
• Risikovurderinger må være en del av
internkontrollen
• Ansvar spesifisert på personnivå og rolle
• Gjennomgang av tidligere identifiserte hendelser
• Eventuelt fjerne dem fra listene
• Identifisere nye hendelser og vurdere dem
• Tidligere sikringstiltak gjennomgås for å vurdere
effekten
• Kontinuerlig forbedringsprosess!