Introduktion till OCTAVE

Transkript

1 Introduktion till OCTAVE

2 Kritiska framgångsfaktorer för en riskvärderingsmetod Erfarenheter och expertis Helhetsperpektiv Öppen kommunikation Självstyrning

3 Erfarenheter och expertis Identifiering och hantering av frågor inom området informationssäkerhet fordrar att organisationen tillvaratar erfarenheter och expertis ifrån: användare av information som förstår hur information används för att bedriva organisationens kärnverksamhet, förvaltare av infrastrukturen som förstår hur IT-systemen är konfigurerade för att stödja kärnverksamheten, beslutsfattare som balanserar kärnverksamhetens behov och säkerhetskrav i beslutsfattandet, kanske även tjänsteleverantörer, konsulter etc?

4 Helhetsperspektiv Individuella perspektiv på informationssäkerhetsrisker inhämtas och konsolideras. Dessa perspektiv skapar ett helhetsbild av informationssäkerhetsrisker som en organisation behöver hantera. En helhetsperspektiv kräver en förståelse för informationssäkerhetsriskerna i ett större sammanhang av lagstiftning, affärsmodell, myndighetsinstruktion och andra verksamhetsmål.

5 Öppen kommunikation Informationssäkerhetsrisker kan inte hanteras om de inte delges och förstås av organisationens beslutsfattare Öppen kommunikation kräver: utvärderingsaktiviteter som bygger på samarbete och samverkan, exempelvis workshops, befrämjande av utbytet av säkerhets- och riskinformation över alla nivåer i en organisation, användande av konsensusbaserade processer som tillvaratar individuella åsikter.

6 Självstyrning Ansvarstagande för informationssäkerheten genom att styra riskvärderingar och hantera riskvärderingsprocessen (ansvarsprincipen). Slutgiltigt beslutsfattande om organisationens säkerhetsambition, inkluderande vilka förbättringar och åtgärder som ska vidtas.

7 Varför OCTAVE? Operationally Critical Threat, Asset and Vulnerability Evaluation. En riskbaserad, strategisk, värderings- och planeringsteknik för informationssäkerhet. Tillvaratar medarbetares kunskaper om deras organisations säkerhetsrelaterade rutiner och processer i syfte att fånga upp organisationens säkerhetsstatus. Identifierar verksamhetskritiska tillgångars risker för att prioritera förbättringsområden och för att ta fram säkerhetsstrategier för organisationen.

8 Fördelar med OCTAVE Tar till vara erfarenheter och expertis: involverar medarbetare från alla delar av organisationen, inte bara IT-stödsnivån. kan också inkludera tjänsteleverantörer, partners, konsulter / entreprenörer etc. Skapar verksamhetsbaserade förbättringsplaner. Kommunicerar effektivt säkerhetsfrågor i termer som ledningsgruppen förstår. Skapar en grund för framtida förbättringsåtgärder. Självstyrande kräver inte externa experter eller resurser. Icke-kommersiell!

9 Riskhanteringscykeln Kontroll Identifiering Observation Risk utredning Analys Implementation Planering

10 OCTAVE - Fas 1 Den inledande fasen i riskutredningen syftar till att skapa en organisatorisk bild av organisationens säkerhetsläge genom att: etablera vad som är viktigt för organisationens verksamhet, ta reda på hur organisationen för närvarande arbetar med säkerhet, sätta ramar för riskvärderingens omfattning genom att identifiera och välja ut verksamhetskritiska tillgångar, beskriva vad som är viktigt för varje verksamhetskritisk tillgång, ta reda på hur hotbilder mot dessa tillgångar ser ut. Katalog av säkerhetskrav: BITS, OffLIS, Basel II, FM

11 OCTAVE - Fas 2 Den andra fasen i riskutredningen syftar till att skapa en teknisk bild av organisationens säkerhetsläge genom att: identifiera och kartlägga organisationens IT-infrastruktur, utvärdera sårbarheter i denna infrastruktur. Kan bygga på tidigare säkerhetsrevisioner som har gjorts vid organisationen eller kan genomföras av konsulter eller när tillämpligt Försvarets Radioanstalt.

12 OCTAVE - Fas 3 Riskanalys Skyddsstrategier Handlingsplan (svara mot valda säkerhetskrav) Avhjälpningslista Åtgärdslista

13 Skräddarsömnad OCTAVE kan skräddarsys för att möta variationer av: kataloger eller standarder, batterier av hotprofiler, organiationers avdelningar med dess olika storlekar och strukturer, tidsscheman och resursknappheter. OCTAVE-resultat kan integreras till: organisationsvida och sektorsvida utredningar med innehåll för sektoriella strategier och policies, standardiserade metoder för att identifiera verksamhetskritiska tillgångar och värdera hotbilder, Gemensam grund för att hantera risker för tillgångar som delas av multipla organisationer.

14 Kursupplägg OCTAVE är utformad i ett hålla handen -format Varje process presenteras varefter en genomgång av arbetsblad, enkäter och arbetsbok följer. Varje process inleds och avslutas med ingångs- och utgångskriterier En tidplan är framtagen för varje process Aktiviteterna beskrivs i detalj i utdelade arbetsblad