Præsentation er lastning. Vent venligst

Præsentation er lastning. Vent venligst

v. Anders Linde, chefkonsulent, Dansk Standard

Offentliggjort afSilje Lauridsen Redigeret for ca. et år siden

Lignende præsentationer

Præsentationer af emnet: "v. Anders Linde, chefkonsulent, Dansk Standard"— Præsentationens transcript:

1 v. Anders Linde, chefkonsulent, Dansk Standard
Privacy og cyber-robusthed – værktøjskassen af internationale standarder v. Anders Linde, chefkonsulent, Dansk Standard

2 Kravene til butikken FORRETNING LOVGIVNING TRUSLER INSIGHTS
Realisering af mål, mission, visioner LOVGIVNING Overholdelse af GDPR Steen reference TRUSLER Håndtering af cyberspace INSIGHTS To build on knowledge

3 Standarder Metode Ledelses-systemer Ydeevne Symbol Konstruk-tion
Hvad mener vi med standarder? Dokument til fælles og gentagen anvendelse, der giver regler, retningslinjer eller karakteristiske træk ved aktiviteter eller ved resultaterne af disse. Dokumentet er fastlagt ved konsensus og vedtaget af et anerkendt organ. Hensigten er at opnå optimal orden i en given sammenhæng. Kryptografi + biometri. Best practice is a feature of accredited management standards  Ledelsessystemer – kvalitet, miljø, informationssikkerhed. System til etablering af politikker og målsætninger for at nå disse målsætninger Metode – laboratorieanalyser Konstruktions – papirformater og dataformater Symbol – piktogrammer og knapper på maskiner Ydeevne/Deskriptive – beskrivelse af produkters performance/ydeevne  FÆLLES SPILLEREGLER. CBS: årligt vækstbidrag på 1,2 mia kr. åbning af markeder, øget samhandel, innovation og vidensdeling  JOBSKABELSE og VÆKST Ydeevne Symbol

4 Dansk Standards rolle ISO/IEC JTC 1/SC 27: IT Security techniques
2. CEN-CENELEC: Cyber Security and Data Protection Vi er Danmarks standardiseringsorganisation som varetager national og international standardisering, jf. EU-forordning 1025/2012. Derudover tilbyder vi rådgivning og uddannelse med udgangspunkt i standarder og best practice. Der findes i øjeblikket gældende standarder i Danmark. Heraf er 98 procent internationale standarder, og altså kun 2 procent er nationale danske standarder. Vil man deltage, få viden og gøre sin indflydelse gældende i dette internationale arbejde, er vi indgangen. Ønsker man alene at købe produktet, er det også her. CEN: European Standards Coordinating Committee CENELEC Comité Européen de Normalisation Electronique (pendant til International Electrotechnical Commission) ETSI - European Telecommunications Standards Institute ISO har 164 medlemslande som medlem ud af 194 lande i verden. Mere end deltagere i mere end arbejdsgrupper.

5 Informationssikkerhed
Risikostyring Standarderne ISO/IEC 33000 EN ISO/IEC 27001 Informationssikkerhed EN ISO/IEC 27002 ISO/IEC 29134 ISO/IEC 27005 Cyber-sikkerhed Privacy ISO/IEC 29151 ISO/IEC 27552 ISO/IEC 27032 Udgangspunktet for at varetage såvel forretning, lovkrav og sikkerhedstrusler kræver at vi kan prioritere det vigtigste  risikostyring: Informationsikkerhed og privacy er indbyrdes forbundet med hinanden, idet sikkerhed er en proces, mens privacy er en konsekvens. Det kan billledlig talt beskrives på den måde, at sikkerhed er den forseglede konvolut, mens privacy er en vellykket levering af konvoluttens indhold. Business Continuity ISO/IEC TR 27XXX ISO 22301

6 Risikostyring: ISO/IEC 33000-serien
KOMMUNIKATION OG RÅDGIVNING ETABLERING AF KONTEKST OVERVÅGNING OG GENNEMGANG RISIKOVURDERING RISIKOIDENTIFIKATION RISIKOANALYSE Steen og Nis har ved hver deres indgang berørt dette: Vi behøver styring af risici. (jf. ISO 33000) Tegn S x K = R – og det vi har gjort nu er faktisk at etablere konteksten til risikostyring. Vi mangler småting. Oversigt over den generiske risikostyringsproces beskrevet i ISO27005 (hentet fra ISO31000). Kigger vi nærmere ses en iterativ proces med 5 aktiviteter - forbered, undersøg, forstå, beslut, ret - hvoraf 3 tilhører selve risikovurderingen: Identifikation, analyse og evaluering. Det er disse tre samt den efterfølgende risikohåndtering, som vi nu stiller skarpt på. Dvs.: Identifikation (hvilke risici findes ift. fortrolighed, integritet og tilgængelighed) Analyse (find sandsynligheder og konsekvenser) Evaluering (sammenlign resultatet med organisationens risikoaccept) Etablering af kontekst er det vi gjorde før frokost, hvis vi lige tilføjer vores ønskede metode for risikostyring. RISIKOEVALUERING RISIKOHÅNDTERING

7 ISO/IEC 27001: Et ledelsessystem for informationssikkerhed
En struktureret tilgang til organisationens informationssikkerhed for at nå forretningsmålene. Baseret på risikovurdering og organisationens risikoaccept til effektiv styring af risici. Identifikation af krav til beskyttelse af informationsaktiver. Anvendelse af egnede foranstaltninger til sikring af informationsaktiver. Flyt til før ISO/IEC ISO / IEC giver en ramme til vurdering og behandling af risici, uanset om cyber-orienterede eller på anden måde, der kan skade erhvervslivet, regeringer, og selv den struktur i et lands nationale infrastruktur. Hvad er et ledelsessystem for en størrelse? SVAR: Nogle mål og politikker/procedurer til efterlevelse af målene. Inden vi tager fat på selve anvendelsen af standarden, så skal vi lige have et vigtigt begreb på plads – som jeg har nævnt et par gange. Et ledelsessystem for informationssikkerhed (ISMS). Når man adopterer en standard, så er det ikke et softwareprogram man ligger ind, men: En systematisk tilgang til etablering, implementering, drift, overvågning, evaluering, vedligeholdelse og forbedring af en organisations informationssikkerhed for at nå forretningsmålene. PDCA – vi bliver aldrig færdige. ISMS er baseret på en risikovurdering og organisationens niveau for risikoaccept, indrettet til effektivt at håndtere og styre risici. Vi skal have styr på risikovurdering og håndtering. Vi foretager en analyse af krav til beskyttelse af informationsaktiver og anvendelse egnede kontroller til at sikre disse informationsaktiver, som påkrævet, bidrager til den succesfulde implementering af et ISMS beskyttelse. Vi skal kende vores værdifulde informationer, som søges beskyttet. NOTE: Ledelse: Koordinerede aktiviteter til ledelse og styring af en organisation (ISO9000, 3.2.6) System: Sæt af forbundne og samspillende elementer (ISO9000, 3.2.1) Ledelsessystem: System til etablering af politikker og målsætninger for at nå disse målsætninger (ISO9000, 3.2.2)

8 Den løbende forbedrings- cyklus
Planlægning + support Drift Præstations-evaluering Forbedring Organisationen, rammer og vilkår Den løbende forbedrings- cyklus Etablere og opretholde en relevant fortrolighed, integritet og tilgængelighed af informationer PLAN Kundekrav ACT Relevante interessenters behov og forventninger Lederskab Kundetilfredshed Fjern parenteser. Etablering, forbedring, ændring og afvikling = Plan for hvordan jeg når mine mål og hvordan jeg vurderer, om de er nået. PDCA-Plan, Do, Check, Act - eller Please don’nt check anything Indførelsen af et ledelsessystem for informationssikkerhed er en strategisk beslutning for en organisationen. Understreget i den nyeste version Det påvirkes af mål, lovgivning, forretningsrisici, omgivelsernes forventninger, organisationens opgaver og arbejdsprocesser, ressourcer samt størrelse og struktur. Det skal derfor løbende revurderes og tilpasses, så det til stadighed sikrer den relevante informationssikkerhed på en effektiv måde. Det er et levende system, som kræver løbende aktiviteter og bevis herfor. Det er en del af organisationens eksisterende processer og overordnede ledelsesstruktur, og der skal tages højde for informationssikkerheden i planlægningen af processer, informationssystemer og kontroller. Dets formål er at opretholde en relevant fortrolighed, integritet og tilgængelighed af informationer med udgangspunkt i en risikovurdering- og styringsproces, således at organisationens interessenter kan have tillid til, at risici håndteres på en ledelsesmæssig forsvarlig måde. Forbedringer opnås bedst gennem planlægning. Fiasko repræsenterer altid erfaring og tit brugbar viden. Fjern fejl ved kernen og ikke med lapper. Fordi det virkede sidste år, er det ikke sikkert det virker i år. Fordi det ikke virkede sidste år, er det ikke sikkert det ikke virker i år. Nu har vi gjort det, virker det så også? Hvorfor virker det ikke? CHECK DO Produkter og ydelser

9 Risikostyring ift. informationssikkerhed: ISO/IEC 27005
Trusler + sårbar-heder Sandsynlighed Konsekvens Risiko Hvor sandsynligt er det, at en hændelse indtræffer? Hopper lidt i mine slides. For det næste skridt er jo så at vurdere risici og konsekvenser for vores udpegede informationsaktiver. Første iteration blot informationer – næste koblingen til de understøttende aktiver: it, medarbejdere og de fysiske rammer. Fortrolighed Integritet Tilgænge-lighed Hvilken konsekvens har det for vores informationsaktiver?

10 Guidelines for cybersecurity: ISO/IEC 27032
Aktiver i cyberspace Trusler Interessenters rolle Sikkerhedskontroller

11 Cyberrobusthed: ISO/IEC TR 27XXX
U Need to Use: NIST Framework for Improving Critical Infrastructure Cybersecurity; Annex A Ret højre graf. Cyber insurance (draft): ISO trækker på NIST Kilde:

12 Business Continuity: ISO 22301
14:23 jf. Anneks A, 17. Overblik over de vigtigste aktiviteter Business Impact-analyser Robusthed Hvad lever når det hele brænder

13 Privacy-serien under opbygning
Krav ISO/IEC 27001: Krav til et ledelsessystem for informations-sikkerhed ISO/IEC 27552: Privacy-udbygning Risikostyring ISO/IEC 27005: Risikostyring for informations-sikkerhed ISO/IEC 29134: Privacy Impact Assessment Kontroller ISO/IEC 27002: Kontroller til informationssikkerhed ISO/IEC 29151: Privacy-kontroller Udvalg. Ledelse efter ISO/IEC 27001 Strategi Risikostyring Organisering Prioritering Evaluering ISO/IEC TR — Information security management guidelines for financial services Information technology — Security techniques — Enhancement to ISO/IEC for privacy management – Requirements” – har fået tildelt referencen (nummeret) ISO/IEC Konsekvensanalyse vedr. databeskyttelse (ISO/IEC – Høringsdokument er frigivet – endelig standard forventes færdig i maj 2017) Kontroller i – forventes færdig i juni 2017. -

14 ISO/IEC 29134: Privacy Impact Assessment (PIA)
Hvilke persondata har virksomheden? Hvilke ressourcer behøves til PIA? Hvor befinder persondata sig? Hvilke konsekvenser kan virksomhedens behandling af persondata få? Hvilke krav skal vi efterleve? Hvilke persondatarisici skal vi håndtere? “An assessment of the impact of the envisaged processing operations on the protection of personal data” GDPR, Artikel 35. 1. Dataansvarlig eller databehandler? 4. Foregår virksomhedens behandling af PII i overensstemmelse med loven? 5. Efterleve loven og dokumentere efterlevelse PII = PERSONDATA. En PIA er en vurdering af risici og mulig påvirkning, set fra et individs synspunkt, ved at en aktør behandler individets personoplysninger. GDPR an assessment of the impact of the envisaged processing operations on the protection of personal data. This step aims to identify risks occurring to the PII principal by executing the business process under scope Fordi privacy ikke er et absolut begreb vil privacy i praksis især i forbindelse med den digitale behandling af oplysninger være et spørgsmål for den dataansvarlige om at identificere, vurdere, begrænse samt håndtere konkrete risici med det formål at sikre den teknologiske beskyttelse af privacy i videst muligt omfang og ikke alene forholde sig til persondatabeskyttelse i lovens forstand (den juridiske beskyttelse). En privacy risikohåndtering (risk management) vil derfor være et væsentligt element i en privacy konsekvensanalyse (privacy impact assessment). I forhold til digitaliseringen af samfundet må det imidlertid nøgternt erkendes, at der ikke indtil videre findes en teknologisk mirakelkur, der kan sikre og opretholde en 100 % databeskyttelse eller privacy. HVAD OG HVORFOR: An assessment of the impact of the envisaged processing operations on the protection of personal data. (GDPR) A data protection impact assessment (DPIA) is a risk analysis instrument Helps to identify privacy risks (in a project) Helps to foresee and avoid problems and bring forward solutions to reduce privacy risks. Preventing costly changes to processes, redesign of systems or termination of projects. Reduce the consequences supervision and enforcement Improve the quality of data Improve service provision Improve decision making Increase privacy awareness in an organization Improve project feasibility Strengthen confidence of customers or citizens in the way personal data is processed and privacy is respected Improve communication with regard to privacy and personal data protection.

15 Valg af Privacy-kontroller: ISO/IEC 29151
Har vi husket alle relevante kontroller (cloud behandler: ISO27018) Udvælg de relevant kontroller. SoA-dokumentet er ikke Anneks A men struktureres ud fra det, jf. DIGST. Hvad tilføjer vi – jo som sagt. : Anneks A – til- og fravalg Risikohåndtering Lovkrav Aftalekrav

16 Informationssikkerhed
Risikostyring Opsummering ISO/IEC 33000 EN ISO/IEC 27001 Informationssikkerhed EN ISO/IEC 27002 ISO/IEC 29134 ISO/IEC 27005 Cyber-sikkerhed Privacy ISO/IEC 29151 ISO/IEC 27552 ISO/IEC 27032 Udgangspunktet for at varetage såvel forretning, lovkrav og sikkerhedstrusler kræver at vi kan prioritere det vigtigste  risikostyring: Informationsikkerhed og privacy er indbyrdes forbundet med hinanden, idet sikkerhed er en proces, mens privacy er en konsekvens. Det kan billledlig talt beskrives på den måde, at sikkerhed er den forseglede konvolut, mens privacy er en vellykket levering af konvoluttens indhold. Business Continuity ISO/IEC TR 27XXX ISO 22301

17 Udvalg for Informationssikkerhed (S-441)
Adgang til dansk medlemsnetværk INDSIGT INDFLYDELSE MARKEDSPOSITION Adgang til internationalt netværk af eksperter Gratis personlig adgang til udgivne standarder Udvalg for inf. Sikkerhed. Udkast til S slide Følg med i internationale standarder inden for ISO/IEC serien, Cloud/SLA og Biometrics Ny komite på EU-niveau: Cybersecurity and data protection

Download ppt "v. Anders Linde, chefkonsulent, Dansk Standard"

Lignende præsentationer

Katalog over nationale standarder på sundhedsområdet.

Katalog over nationale standarder på sundhedsområdet.
Bekendtgørelse om samarbejde om sikkerhed og sundhed

Bekendtgørelse om samarbejde om sikkerhed og sundhed
Teststrategi Engrosmodellen

Teststrategi Engrosmodellen
På vej mod en innovativ offentlig sektor

På vej mod en innovativ offentlig sektor
Evaluering af kommunalreformen og den nye nationale koordinationsstruktur Oplæg ved Torben Buse, Vicedirektør, Socialstyrelsen 8. Maj 2014.

Evaluering af kommunalreformen og den nye nationale koordinationsstruktur Oplæg ved Torben Buse, Vicedirektør, Socialstyrelsen 8. Maj 2014.
Introduktion til kriterium 4 Partnerskab og ressourcer Excellence netværk 2004 Jørgen Kjærgaard.

Introduktion til kriterium 4 Partnerskab og ressourcer Excellence netværk 2004 Jørgen Kjærgaard.
Hvad er lean Konstant fokus på spild i alle processer. Nedbringe lagre, gennemløbstider og mindske omkostninger. Sikre en høj kvalitet af produkter og.

Hvad er lean Konstant fokus på spild i alle processer. Nedbringe lagre, gennemløbstider og mindske omkostninger. Sikre en høj kvalitet af produkter og.
Arbejdsmiljøcertificering

Arbejdsmiljøcertificering
Energiledelse Energiledelse betyder, at virksomheden gennemfører en systematisk, løbende indsats for at bruge energien bedre og derigennem øge virksomhedens.

Energiledelse Energiledelse betyder, at virksomheden gennemfører en systematisk, løbende indsats for at bruge energien bedre og derigennem øge virksomhedens.
Virksomheders Risk Management i juridisk kontekst

Virksomheders Risk Management i juridisk kontekst
Erhvervscase Erhvervscasen kan f.eks. indeholde:

Erhvervscase Erhvervscasen kan f.eks. indeholde:
1 “The Advocacy Triangle” – an approach to empowerment and social change Morten Bisgaard IBIS.

1 “The Advocacy Triangle” – an approach to empowerment and social change Morten Bisgaard IBIS.
Teststrategi Engrosmodellen

Teststrategi Engrosmodellen
FN’s standardregler Modul 1 Historie •Verdenshandlingsprogrammet 1982 •FN’s handicap-tiår 1983-1992 •Midtvejsmøde i Stockholm 1987 •Forslag til konvention.

FN’s standardregler Modul 1 Historie •Verdenshandlingsprogrammet 1982 •FN’s handicap-tiår •Midtvejsmøde i Stockholm 1987 •Forslag til konvention.
TAG EJERSKAB  FJERN BARRIERER  BESLUT PÅ STEDET

TAG EJERSKAB  FJERN BARRIERER  BESLUT PÅ STEDET
DDB Hindsgavl den 26. maj 2011 René Birkemark Olesen

DDB Hindsgavl den 26. maj 2011 René Birkemark Olesen
Bedste praksis i vandplanarbejdet Irene Wiborg Projektchef Det siger EU – Guideline nr. 8 om involvering.

Bedste praksis i vandplanarbejdet Irene Wiborg Projektchef Det siger EU – Guideline nr. 8 om involvering.
It-ledelse for ikke-it-chefer

It-ledelse for ikke-it-chefer
Kvalitetsstyring som ledelsesværktøj.

Kvalitetsstyring som ledelsesværktøj.
Input FMEA Output Shit in = Shit out FMEA

Input FMEA Output Shit in = Shit out FMEA

Lignende præsentationer

Annoncer fra Google