Forskrift om bruk av informasjons- og kommunikasjonsteknologi (IKT) §03.Risikoanalyse

From Mr. Bitcoin
Jump to: navigation, search
Back.png

Forskrift lyder som følgene:

§ 3.Risikoanalyse
Foretaket skal fastsette kriterier for akseptabel risiko forbundet med bruk av IKT-systemene.
Foretaket skal ha en dokumentert prosess for gjennomføring av risikoanalyser av IKT-virksomheten. Prosessen skal blant annet definere klare ansvarsforhold og omfatte oppfølging av tiltak som iverksettes som et resultat av den gjennomførte risikoanalysen.
Foretaket skal minst en gang årlig, eller ved endringer som har betydning for IKT-sikkerheten, gjennomføre risikoanalyser for å påse at risiko styres innenfor akseptable grenser i forhold til foretakets virksomhet. Resultatet av risikoanalysen skal dokumenteres.
 
 

"Banken" bekrefter som følgene:

Risikoanalyse
Nr. Kategori Ansvarlig rolle Risiko Scenario Sannsynlighet Konsekvens Risk-faktor Forberedende tiltak Tilfelle tiltak
01. IKT CTO Stjålet eller hærverk på data utstyr fra kontoret, hjemmekontor eller reisevei Middels Lav 5 PC-ene til "Banken" skal være beskyttet med passord, midlertidig låne utstyr er alltid tilegnelig på kontoret. Øvrig utstyr som nettverks utstyr vil forårsake noe nedetid (se 26. Risiko Scenario for Nedetid) men utstyret kan enkelt erstattes med nytt utstyr og back-up. IKT er dekket under forsikringsavtale nr: ###### hos Forsikring AS. Ring leverandør og forsikringsselskapet, meld fra om hendelsen. Forsikringsselskapet vi da be en om å politianmelde hendelsen beroende på hva hendelsen angår. Bestill opp nytt utstyr fra leverandør.
02. IKT CTO Korrupt data Lav Middels 5 Software programmer skal alltid avsluttes på anbefalt måte, som regel er dette via [File]--> [Exit] eller [File]--> [Close] fra øverst til venstre i program vinduet. Det hender at programmet bruker noe tid til å avslutte på korrekt måte. Bare la systemet gjøre jobben sin. Dersom du tror systemet "Henger" venter en ytterligere 2 minutter før en tar kontakt med kollegaer eller leverandør. Dersom en opplever korrupt data skal leverandøren kontaktes for "restore" fra Back-up eller reinstallasjon av korrupt programvare.
03. IKT CTO Back-up av nettverks utstyr er korrupt Lav Middels 5 Back-up av nettverks utstyr skal gjennomføres etter hver endring av utstyret og ved års skifte samt dokumenteres. Back-up og dokumentasjon skal hver for seg lagres på trygge "cold storage" / Offline lagrings medium f.eks. USB harddisk elle minne pinne. Dersom dette lagrings mediet blir skadet skal utstyret på nytt tas back-up av på nytt lagrings medium. Lagrings mediumet skal oppbevares på en trygg passs som f.eks. i en safe på kontoret. Ved behov for back-up skal "restore" først forsøkes. Om denne er korrupt skal utstyret gjenopprettes fra dokumentasjon.
04. IKT CTO Back-up av fil områder, software og lisenser er korrupt Lav Høy 4 Back-up av fil områder, Software og lisenser skal gjennomføres "on the fly" (etter hver endring) i tillegg til hver natt til annet offline medium. Ved behov for back-up skal skal "restore" fra "on the fly" først forsøkes før en ringer leverandør for mer krevende "restore" forsøkes.
05. IKT CTO Back-up av kjerne bank system er korrupt Lav Høy 4 Back-up av banksystem skal gjennomføres "on the fly" (etter hver endring) i tillegg til hver natt til annet offline medium. Ved behov for "restore" fra back-up skal bank system ansvarlig ringer leverandør.
06. IKT CTO Mangel på dokumentasjon Høy Lav 4 En skal være flink til å følge rutiner og dokumentere systemene godt. Lagring av dokumentasjon er viktig for at "Banken" skal fungere optimalt. Kontakte leverandør for systemet hvor dokumentasjon mangler og be om ny dokumentasjon, eventuelt gjenskap dokumentasjon dersom det er basert på intern systemer. Sørg for at dokumentasjonen blir lagret etter gjellende rutiner.
07. IKT CTO Feil ved oppgradering av kritiske systemer Middels Høy 3 Før kritiske systemer skal oppgraderes skal back-up kontrolleres. Det skal gjennomføres tre Back-up jobber, slik at det finnes tre eksemplarer av fullstendig back-up. Ved større oppgraderinger, som f.eks. ny versjon, skal "restore" gjennomføres på offline system før eventuell oppgradering påbegynnes. Dersom feil oppstår ved oppgradering skal det kritiske systemet kjøre en "roll back" til før oppgraderings punktet, gjerne ved bruk av back-up. Dersom første og andre back-up feiler skal spesialister kalles inn før noen ytterligere steg blir tatt.
08. IKT CTO System begrensning nådd (lagring/prosseserings kapasitet) Lav Høy 4 Til en hver tid er det viktig at hver, ansatt i bedriften, rydder sin e-post og filområde. Alle unødige e-post, "spam", skal kastes ikke spares. Det kan være lurt å avslutte abonnent e-post som ikke er relevant for arbeids oppgavene. F.eks. dersom du har handlet hos klesbutikk eller sportsforretning og nå får daglige tilbud, avslutt abonnent på disse tilbuds e-postene. I tillegg må filområder struktureres og renses på en hensiktsmessig måte for å spare plass. Dokumenter bør aldri sendes per e-post om en kan sende link til der filen befinner seg og mottaker har tilgang til dette fil område.

Leverandørens skal også ha løpende oversikt over kapasiteten til systemene og skal oppgradere systemet etter behov.

Dersom systemet-ene går tom for kapasitet må oppgradering skje uten ugrunnet opphold for å begrense nedetid (se 26. Risiko Scenario for Nedetid).
09. IKT CTO Hacker-angrep / Cyber-angrep Lav Høy 4 Antivirus Software må alltid være oppdatert og aktive på PC-en som er koblet til bakens interne nettverk. En må aldri dele passord med andre, til og med nærmeste kollega, eller familiemedlemmer. En må heller aldri åpne e-post som som kan se suspekt ut (f.eks. Nigeriansk Prins). Dersom en er usikker ta en kontakt med sikkerhets ansvarlig i "Banken" eller hos leverandør for å avklare e-posten. Om en opplever uregelmessig aktivitet på PC-en og mistenker et hacker-angrep må all form for nettverk stenges på PC-en umiddelbart. I tillegg til å koble ut eventuell nettverks kabel må en også stenge for trådløstnett som vanligvis er en kombinasjon på tastaturet som [Fn][F8] eller [F7] for å komme i flymodus uten nettverk. Dersom en er usikker stenger en ned PC-en på vanlig måte. Leverandøren av "Bankens" systemer skal også ha aktive "IDS Intrusion Detection system" for å hindre at hackere kommer seg vider inn i nettverket. Ved bekreftet eller sterk mistanke til Hacker-angrep / Cyber-angrep mot "Banken" skal Økokrim involveres uten ugrunnet opphold.
10. IKT CTO Virus-angrep Middels Høy 3 System oppdateringer for programvare som kjøres på PC-en, som f.eks. Windows update, er ofte for å dekke til sikkerhets hull som er oppdaget. Denne typen av oppdateringer er viktig å kjøre ved førte ledige anledning. I tillegg skal alltid Antivirus Software være aktive og oppdatert på PC-en som er koblet til bakens interne nettverk. Virus-angrep som ikke kan hindres skal betraktes på samme måte som Hacker-angrep / Cyber-angrep, "Banken" skal involvere Økokrim uten ugrunnet opphold.
11. IKT HMS Ansvarlig Fysisk sikkerhet som brann, naturkatastrofe på hjemmekontor Lav Middels 5 Forhindring av katastrofer på hjemmekontor er opp til den enkelte men "Banken" anbefaler å følge rådene til Direktoratet for samfunnssikkerhet og beredskap. Det er viktig at "Banken" får beskjed ved føreste anledning for å avklare tap av resurser og "Bankens" eiendeler.
12. IKT HMS Ansvarlig Fysisk sikkerhet som brann, naturkatastrofe på kontoret Lav Middels 5 Normal brann og naturkatastrofe sikring av bankens lokaler skal være opprett holdt av "sikkerhetsansvarlig i Banken". Det skal finnes brannvarslere og tydelig markerte skilt til nødutganger, brannslukningsapearter, brannteppe og førstehjelpsskrin. Årlig skal det foretas brannøvelse i "Bakens" lokaler og gjennomgang av nødutstyr. Dersom en befinner seg i kontorets lokaler ved brann alarm og/eller katastrofe tidspunkt inntreffer, skal påbegynt arbeid lagres og PC-en låses [ctrl][alt][delete] + [enter] (vist mulig). Arbeid skal avsluttes. Personal og eventuelle gjester skal finne nærmeste nødutgang og komme seg ut på gateplan til avtalt møte plass. Redningstjeneste (Branntjenesten, Polititjenesten og/eller annen autoritet under forholdene) vil informere videre om hva som er neste steg. Dersom alt er under kontroll fra Redningstjenesten og de mener kontorets lokaler er trygg kan personale og eventuelle gjester returnere til arbeid. Dersom utstyr har fått skade ringer en forsikringsselskapet og meld fra om hendelsen. Så bestill opp nytt utstyr fra leverandør. Mere opplysninger rundt dette finner en i Personalhåndboken og HMS-Håndboken
13. IKT CTO Fysisk sikkerhet som brann, naturkatastrofe hos IT leverandør Lav Høy 4 IT leverandøren er sertifisert ISO 9001:2015 / ISO 27001:2017 og har derfor flere sikkerhetskrav som de må etterleve i forbindelse med brann og naturkatastrofe. IT Leverandøren vil kontakte "Banken" for å informere om konsekvens vis noe. se også Nedetid (26. Risiko Scenario Nedetid)
14. IKT CTO Sensitiv eller gradert informasjon kommer på avveie Høy Høy 2 En må alltid sikkerstille at "Bankes" data ikke kommer på avveie foruten om tidlige Risiko Scenario om Hacker- Cyber- og Virus-angrep må en også tenke etter rundt fysisk data sikkerhet. F.eks. ved reise på tog eller på flyplasser at sidepersonen eller personer rett bak en kan lese fra PC skjermen. Skjermfilter for bærbar datamaskin er å anbefale personell som ofte arbeider i offentligheten. Dette gjelder også telefon samtaler eller samtaler mellom kollegaer utenfor kontorlokalene. Ved sterk mistanke på at sensitive informasjon har kommet på avveie skal det rådføres eventuelt anmeldes til Økokrim.
15. IKT CTO Manglende tilbud internt om opplæring i informasjonssikkerhet og IT-sikkerhet Høy Høy 2 Kvartalsvis skal det holdes informasjonsmøte hvor enhver ansatt vil bli informert om gjeldene retningslinjer innen informasjonssikkerhet og IT-sikkerhet. Ansatte skal være pålagt å delta minimum to ganger årlig og følges opp av nærmeste leder. I tillegg skal det tas en informasjonssikkerhet og IT-sikkerhet test hvor den ansatte må ha en godkjent score på ##%. testen kan tas så mange gager som skal til for at den ansatte oppnår det satte krave scoren. Uten tilbud til intern opplæring vil mange av Risiko Scenario i denne Risikoanalysen være nært forestående.
16. IKT CTO Ikke tilstrekkelig segmentering av data slik at dataen er tilgjengelig for brukere som ikke skulle ha tilgang Høy Høy 2 "Banken" har per dags dato ikke innført dokument håndterings system som SharePoint og har derfor ingen tilgang styring annet enn rettigheter på fil strukturen og delte fil områder. "Banken" bruker Group policy i Active Directory for å styre tilgangen. Derfor vil det internt være mulig å få tilgang til fil områder hvor ikke bør ha tilgang, men på grund av Citrix løsningen er dette sterkt begrenset. Ekstern fra er tilgang meget godt begrenset da det styres av IT leverandørens sikkerhets systemer som brannvegg og "IDS Intrusion detection System". Ved oppdaget at interne brukere har tilgang til informasjon skal rettigheten til fil området og brukeren gjennoms og justeres riktig. Ved oppdaget at eksterne brukere har tilgang til informasjon skal dette dokumenteres grundig før eventuelle sikkerhets hull dekkes samt eventuell rådføring med Økokrim og Finanstilsynet.
17. IKT CEO Ikke tilstrekelig sikring av data mot uatorisert tilgang, og media skriver om saken Middels Høy 3 (Se 16. Risiko Scenario ikke tilstrekkelig segmentering av data slik at dataen er tilgjengelig for brukere som ikke skulle ha tilgang.) "Banken" har en media/presse kommunikasjons policy som de følger ved kontakt med presse og media. I utgangs punget om "negative presse omtale", vil innsamling av informasjon om de faktiske forholdene bli en prioritet. Dersom kritikken er av den grad som er beskrevet i denne risikoen, vil advokat bli kontaktet for rådføring før det genereres et tilsvar til publikum.
18. IKT CTO Manglende beredskapsplan på hvordan alvorlige IT-sikkerhetshendelser skal håndteres Høy Høy 2 Etter en hver IT-sikkerhetshendelser skal det avholdes en "Debrifing" møte mellom de involverte partene for å få full forståelse av årsak og tiltak. Dette møte skal dokumenteres og legges inn i Fellesområde\Avvik. Det skal settes av tid til gjennomgang av IT-sikkerhetshendelser minst en gang årlig.
19. IKT CTO Fraværende dokumentasjon om tidligere sikkerhetshendelser Høy Høy 2 Etter en hver IT-sikkerhetshendelser skal det avholdes en "Debrifing" møte mellom de involverte partene for å få full forståelse av årsak og tiltak. Dette møte skal dokumenteres og legges inn i O:\Fellesområde\Hendelsesrapportering. Det skal settes av tid til gjennomgang av IT-sikkerhetshendelser minst en gang årlig. Dersom fil område er utilgjengelig skal "Bankens" IKT drift partnet kontaktes for eventuelt "restore" fra back-up
20. IKT CTO Fraværende årlig gjennomgang av status på selskapets informasjonssikkerhet Høy Høy 2 Etter en hver IT-sikkerhetshendelser skal det avholdes en "Debrifing" møte mellom de involverte partene for å få full forståelse av årsak og tiltak. Dette møte skal dokumenteres og legges inn i O:\Fellesområde\Hendelsesrapportering. Det skal settes av tid til gjennomgang av IT-sikkerhetshendelser minst en gang årlig. CTO er ansvarlig for å kalle inn til årlig gjennomgang av status på selskapets informasjonssikkerhet
21. IKT CTO Nettverksbrudd på hjemmekontor Lav Lav 6 Alle ansatte skal ha egnene rutiner for internett tilgang på hjemmekontor. Alle ansatte skal, per dags dato, ha smarttelefoner (Android eller iOS). Dersom internett brudd på fastlinje hjemmekontor blir brutt kan den ansatte benytte seg av smarttelefonens WWAN som 4G, 4G+ (LTE) og 5G. Se Smarttelefonens manual for deling av internett.
22. IKT CTO Nettverksbrudd på kontoret Lav Middels 5 I kontorlokalene skal det være fiber linje til NIX (Norwegian Internet Exchange). Dersom linjen ikke fungerer kan hver enkelt ansatt på kontoret benytte seg av internett deling via smarttelefon imens ansvarlige IT person utreder feilen på hovedlinjen med leverandør.
23. IKT CTO Nettverksbrudd in til IT leverandør Lav Høy 4 IT leverandøren er sertifisert ISO 9001:2015 / ISO 27001:2017 og er derfor godt forbrett og har redundante løsninger for å hindre nettverksbrudd Da Citrix løsningen er nede vil det kun være mulig å jobbe med lokale resurser lokalt på PC-en. Kunder, av "Banken" skal informeres via nettsiden som i dag hostes av HubSpot. Slack og andre systemer som ikke er berørt skal være fult mulig å fortsatt benytte seg av.
24. IKT CTO GDPR; personopplysninger kommer på avveier nasjonalt Middels Høy 3 "Banken" skal ha kontroll på all person opplysninger være seg ansatte, potensielle ansatte (f.eks. CV-er), innleide eller kunder. Disse opplesingene skal til en hver tid være under begrenset tilgang for behørig personell. "Banken" skal ha årlig kurs til de ansatte om GDPR Ved svært alvorlig eller kritisk, men kan også omfatte andre avvik skal "Banken" rapporteres til Finanstilsynet og berørte individer.
25. IKT CTO GDPR; personopplysninger kommer på avveier internasjonalt Lav Høy 4 "Banken" skal ha kontroll på all person opplysninger være seg ansatte, potensielle ansatte (f.eks. CV-er), innleide eller kunder. Disse opplesingene skal til en hver tid være under begrenset tilgang for behørig personell. "Banken" skal ha årlig kurs til de ansatte om GDPR Ved svært alvorlig eller kritisk, men kan også omfatte andre avvik skal "Banken" rapporteres til Finanstilsynet og berørte individer.
26. IKT CTO Nedetid for systemet over en kortere periode (Estimert varighet under 24 timer) Lav Høy 4 "Bakens" IKT systemer er segmentert og kritiske IKT systemer er redundante for å minimere risiko for nedetid. Ansatte skal ha tilgang til kortvarige alternative løsninger til den grad dette er mulig. Få oversikt over hendelse forløpet, finn alternativer kortvarige løsninger, når IKT systemene er operative igjen skal det kalles inn til et "Debrifing" møte hvor det skal dokumenteres hva som forårsaket feilen og hva den midlertidige løsningen var, samt hva som skulle til for at driften kunne gjenopptas. Det SKAL skrives møte referat og dette slak legges i en datert mappe under Fellesområde\Avvik med annen relevant dokumentasjon.
27. IKT CTO Nedetid for systemet over en lengre periode (Estimert varighet over 24 timer) Lav Middels 5 "Bakens" IKT systemer er segmentert og kritiske IKT systemer er redundante for å minimere risiko for nedetid. Ansatte skal ha tilgang til alternative løsninger til den grad dette er mulig. Få oversikt over hendelse forløpet, finn alternativer løsninger, kall inn spesialister dersom det er hensiktsmessig for å få på plass løsninger for "Banken" å gjenoppta delvis drift og jobb kontinuerlig for å opprettholde full drift. Når IKT systemene er operative igjen skal det kalles inn til et "Debrifing" møte hvor det skal dokumenteres hva som forårsaket feilen og hva den midlertidige løsningen var, samt hva som skulle til for at driften kinne gjenopptas. Det SKAL skrives møte referat og dette slak legges i en datert mappe under Fellesområde\Avvik med annen relevant dokumentasjon.


 
 


Back.png
Denne siden er opprettet av Bjørn Bjercke

ekstern konsulent for Banken © 2021