KARTLEGGING OG VURDERING AV VERDIER
KARTLEGGING OG VURDERING AV VERDIER: MENNESKELIGE, TEKNOLOGISKE OG ORGANISATORISKE - TRUSSEL- OG SÅRBARHETSVURDERING. OBJEKTSIKKERHET- HVA BETYR DET I PRAKSIS? NBEF Frokostmøte Kristiansand Mandag 13.april 2015 Seniorrådgiver Bjørn Egeland Avdeling for sikkerhetsstyring SLIDE 1 NASJONAL SIKKERHETSMYNDIGHET NASJONAL SIKKERHETSMYNDIGHET NSMs hovedoppgave er å legge forholdene til rette for god sikring av informasjon og objekter som kan være Spionasjemål Sabotasjemål Terrormål 2 SLIDE 2 Objektsikkerhet Sikkerhetsloven gir krav til beskyttelse av både informasjon(§12) og objekt(§17b). Kartlegginger og analyser, som beskrevet kan brukes likeverdig – uavhengig av hva som skal beskyttes, da metodene er generelle. NASJONAL SIKKERHETSMYNDIGHET FORMÅL OG AVGRENSNING Frokostmøtet dekker Samfunnssikkerhet i BAE sektoren og med fokus på de nye standardene innen sikring mot tilsiktede handlinger. Dette innlegget dekker kartlegginger og vurderinger for verdier, trusler og sårbarhetsvurderinger. SLIDE 4 NASJONAL SIKKERHETSMYNDIGHET NS5832 SLIDE 5 NASJONAL SIKKERHETSMYNDIGHET KARTLEGGING AV VERDIER En kartlegging er en systematisk gjennomgang av en virksomhet, eller en del av en. Det er viktig at man arbeider systematisk og dekker det hele. Det å bestemme verdier ut i fra sjekklister for type bygg eller sektor, blir dermed for usikkert! Dette fordi man ikke kartlegger, fordi man risikerer å overse noe, fordi man ikke fanger opp avhengigheter f.eks. SLIDE 6 NASJONAL SIKKERHETSMYNDIGHET KARTLEGGING AV VERDIER Det anbefales å gjennomføre kartleggingen etter følgende prinsipper: • Gå inn i hver enkelt organisasjonsenhet for å klargjøre hva de gjør, hvilke leveranser skaper de, hvilke avhengigheter har de til andre interne og eksterne. • Hvilke forutsetninger og krav arbeider de under? • Hvilke arbeidsprosesser har de? • Hva er viktig for dem? • Når alle organisasjonsenheter og alle arbeidsprosesser er kartlagt og undersøkt, vil man sitte med en liste over verdier, funksjoner, prosesser og objekter som er vurdert til å være aktuelle for beskyttelse. Med dette utgangspunkt kan man sjekke mot sjekklister – ikke før! SLIDE 7 NASJONAL SIKKERHETSMYNDIGHET VERDIVURDERING - PROSESS Systembeskrivelse (avgrensning) Identifisere verdier Lage konsekvensskjema Rangere verdier Systembeskrivelse (nivå og avgrensning) Beskrivelse av hva som skal risikovurderes (nivået). I) Overordnet risikovurdering: “Hele Vestland politidistrikt” II) Spesifikk risikovurdering: “kryptorom” Identifisere verdier (steg 1a) Leveranser SLIDE 8 Nøkkelverdi Understøttende verdier Beskriv de viktigste underleveransene. Eksempel: Skjermingsverdig informasjon Verdidrifter (daglig ansvar for verdien) Lokalisering Klassifisere verdier (steg 1c) Avhengigheter Klassifisere Begrunnelse Belys usikkerhet, beskriv bakgrunn for rangering… NASJONAL SIKKERHETSMYNDIGHET Samfunnsni vå Virksomhetsnivå VERDIVURDERING - KONSEKVENSSKJEMA SLIDE 9 Lav Konsekvensskjema (steg 1b) Middels Høy Svært høy Liv og helse Xx lettere skade på personell Xx alvorlig skade på personell xx-xx dødsfall og alvorlig skade på personell Mer enn xx-xx dødsfall og alvorlig skade på personell Omdømme Ingen fare for omdømmetap og liten innvirkning på tillit Omdømme kan skades. Mediedekning begrenset til nasjonal eller regional presse. Kan redusere tillit Overhengende omdømmerisiko. Internasjonal mediedekning i store aviser. Kan alvorlige redusere tillit. Omdømme vil skades. XX antall internasjonale medieoppslag. Svært alvorlig redusert tillit. Økonomi Over xx kr Over xx kr. Over xx kr. Over xx kr. Klima og miljø Xx skade på klima og miljø Xx skade på klima og miljø Xx skade på klima og miljø Xx skade på klima og miljø Operativ drift Oppgaver eller mål kan fortsatt oppnås, men det må påregnes forsinkelser eller dårligere kvalitet. Utilfredsstillende kvalitet eller store forsinkelser av leveranser eller kun delvis oppfyllelse av forretningsmål. Delvis manglende evne til å levere oppgaver eller nå mål for kjernevirksomheten. Ikke evne til å levere kritiske oppgaver eller nå mål for kjernevirksomheten. Nasjonal sikkerhet og suverenitet Kritisk infrastruktur og kritiske samfunnsfunksjoner Kan i noen grad medføre skadefølge Oppgaver eller mål kan fortsatt oppnås, men det må påregnes forsinkelser eller dårligere kvalitet. Kan skade Alvorlig kan skade Utilfredsstillende kvalitet eller store forsinkelser av leveranser eller kun delvis oppfyllelse av forretningsmål. Delvis manglende evne til å levere oppgaver eller nå mål for kjernevirksomheten. Helt avgjørende skadefølger Ikke evne til å levere kritiske oppgaver eller nå mål for kjernevirksomheten. IR NASJONAL SIKKERHETSMYNDIGHET KARTLEGGING AV TRUSLER - KILDER Ekstern informasjon om trusler: SLIDE 10 Politiets sikkerhetstjeneste, PST (www.pst.politiet.no) Lokalt politidistrikt (www.politiet.no) Etterretningstjenesten (www.forsvaret.no) Nasjonal sikkerhetsmyndighet, NSM (www.nsm.stat.no) Politidirektoratet (www.politiet.no) Kripos (www.politiet.no/kripos) Statistisk sentralbyrå (www.ssb.no) Europol (www.europol.europa.eu) Interpol (www.interpol.int) Forsvarets sikkerhetsavdeling, FSA Direktoratet for samfunnssikkerhet og beredskap, DSB (www.dsb.no) Norsk senter for informasjonssikring, NorSIS (www.norsis.no) Nasjonalt sikkerhetsråd, NSR NASJONAL SIKKERHETSMYNDIGHET TRUSSELVURDERING - OVERSIKT Identifisere trusselaktører (steg 3b) Relevante trusselaktør Trusselkategori Intensjon Rangere av trusselaktører (steg 3c) Kapasitet Trusselnivå Begrunnelse Moderat Svært høy Høy Lav Usikkerhet: SLIDE 11 (kvalitativ beskrivelse) NASJONAL SIKKERHETSMYNDIGHET UTVIKLING OG UTVELGELSE AV SCENARIER Et scenario = Et mulig hendelsesforløp En sårbarhetsvurdering forutsetter et scenario! Scenariene velges ut i fra en vurdering av både hvilke verdier som skal beskyttes og hvilke typer trusler som anses som relevant. Hvordan kan trusselaktøren ramme verdien(eler grupper av verdier)? Alle fem(5) trusselkategoriene bør vurderes. De er: terror, sabotasje, kriminalitet, spionasje og subversjon. SLIDE 12 NASJONAL SIKKERHETSMYNDIGHET SCENARIER 1.1 Scenarioer Lag scenariotittel Beskriv scenarioforløp Lag liste over scenarioer Scenario (steg 4a) Scenario nummer: Berørte verdier: Trusselkategori: Trusselaktør: Scenariotittel: Beskrivelse av scenario: Kort beskrivelse av hendelsesforløpet: Hva inntreffer, når inntreffer det, hvor inntreffer det, hvordan inntreffer det? •Kort beskrivelse av trusselaktørens intensjon og kapasitet • Beskrivelse av hvordan verdiene rammes (f.eks. bilbombe, avlytting, tyveri, osv.). • Hvilke andre verdier rammes direkte (førstehånds) og indirekte (andrehånds), f.eks. liv og helse, miljø, økonomi, omdømme? • Kom det en advarsel om hendelsen i forkant (fra f.eks. terrororganisasjon, fra etterretning, fra andre kilder.)? • Beskrivelse av tidspunktet når trusselen rammer (f.eks. tidspunkt på dagen, under et arrangement, osv.) Usikkerhet: SLIDE 13 (kvalitativ beskrivelse) NASJONAL SIKKERHETSMYNDIGHET SÅRBARHETSVURDERING Er en måling mellom beskyttelsen til en verdi og belastningen fra en trussel. All sårbarhetsvurdering skjer innen ett scenario for unike par av verdi og trussel. Eksempel: • Et eksisterende vindu har en klasse BR4 mens analysen som også omfatter et tidsregnskap tilsier at vinduet burde være minst klasse BR? for å gi nok motstandstid for at tidsregnskapet skal gå opp. - Dette avdekker en sårbarhet i barrieren, som gir ramme for et krav til tiktak. SLIDE 14 NASJONAL SIKKERHETSMYNDIGHET IKKE BARE KLINGENDE MYNT Risikohåndtering: hvordan? En metode: overføring av risiko [forsikring] De aller fleste virksomheter håndterer risiko slik Men: Drammen 1997 – angrepet på Bandidos SLIDE 15 NASJONAL SIKKERHETSMYNDIGHET SÅRBARHETSVURDERING Husk helheten! PRESENTASJON AV RISIKOBILDET Regel nr 1: Presentasjonsmetode avstemmes med virksomhetens leder. Scenarie T-1 T-2 E-1 S-1 K-1 … SLIDE 17 Lav risiko Moderat risiko Middels risiko Forhøyet risiko Svært høy risiko X X X X X NASJONAL SIKKERHETSMYNDIGHET Seniorrådgiver Bjørn Egeland Epost: bjorn.egeland@nsm.stat.no Mobil: +47 916 60 572 SLIDE 18 NASJONAL SIKKERHETSMYNDIGHET
© Copyright 2024