Risikovurderinger

Veileder: Risikovurdering av informasjonssikkerhet

Nedenfor følger en veileder når du skal gjennomføre risikovurdering av informasjonssikkerhet i IT-systemer eller prosesser. Veilederen finner du i PDF format HER.

Nederst i denne veilederen finner du også andre ressurser som kan være nyttige.

Informasjonssikkerhet og risikovurderinger

Med informasjonssikkerhet menes evnen til å forebygge, avdekke og håndtere hendelser som kan føre til brudd på konfidensialiteten, integriteten eller tilgjengeligheten til viktige informasjonsverdier.[1] Kravet som ulike regelverk stiller til informasjonssikkerheten i UH-sektoren, er at den skal være tilfredsstillende/forsvarlig.

Risikovurderinger er en sentral del av arbeidet med informasjonssikkerhet, og skal avdekke om informasjonssikkerheten er tilfredsstillende/forsvarlig. Dette er spesielt viktig der hvor det behandles opplysninger om enkeltpersoner (personopplysninger). Det samme gjelder for elektronisk kommunikasjon og saksbehandling, og ved bruk av manuelle (papirbaserte) personregistre. Rutiner og verktøy (maler) for gjennomføring av risikovurderinger skal inngå i UH-sektorens ledelsessystemer for informasjonssikkerhet (se veileder for ledelsessystem i UH-sektoren HER).

Risikovurderinger av informasjonssikkerheten skal gjennomføres før interne eller eksterne IT-løsninger som behandler personopplysninger eller andre viktige informasjonsverdier tas i bruk. Deretter skal det gjennomføres risikovurderinger ved vesentlige endringer i IT-løsningenes funksjonalitet eller dersom den lokale bruken av løsningene endrer seg.

Etter at risikovurderinger er gjennomført vil det ofte være behov for å etablere sikringstiltak som reduserer risikoen for brudd på informasjonssikkerheten. Plikten til etablering av sikringstiltak gjelder dersom risikovurderingene viser at informasjonssikkerheten ikke er tilfredsstillende/forsvarlig. Etablering av sikringstiltak betegnes vanligvis som risikohåndtering.

Veilederens innhold og målgruppe

I denne veilederen gis en oversikt over risikovurderingsprosessen. Veilederen deler prosessen inn i tre hoveddeler:

  1. Planleggingsfasen.
  2. Gjennomføringsfasen.
  3. Etterarbeidet.

I hver hoveddel beskrives kort hvilke oppgaver og aktiviteter som bør utføres for å sikre at prosessen og resultatet blir best mulig.

Veilederen retter seg primært mot to målgrupper. For det første ledere for arbeidet med informasjonssikkerhet og risikovurderinger på institusjonsnivå. For det andre øvrige ansatte som, i henhold til den lokale sikkerhetsorganiseringen, har i oppgave å risikovurdere informasjonssikkerheten i interne eller eksterne IT-løsninger.

Del 1: Planleggingsfasen

Initiativ

Risikovurderinger bestilles vanligvis av oppdragsgivere, typisk systemeiere, tjeneste-eiere eller prosjektledere. Dette er ofte ledere i avdelinger og seksjoner sentralt eller på fakultets- og instituttnivå. Det kan også være prosjektledere i forskning.

Alternativt kan initiativet komme fra ansatte som oppdragsgiveren har delegert ansvaret for det operative arbeidet med risikovurderinger og informasjonssikkerhet til.

Det er uansett viktig at risikovurderinger er forankret hos de som har det formelle ansvaret for at arbeidet blir utført. Dersom dette ikke er tilfelle, er det lite sannsynlig at risikovurderinger fører til forbedringer i informasjonssikkerheten (hvis risikovurderingene skulle avdekke at det er behov for det).  

Avgrensning

Før selve risikovurderingen starter, kan det være viktig å tydeliggjøre hva som omfattes av vurderingen. Dersom informasjonssikkerheten i et IT-system skal risikovurderes, kan det for eksempel være nødvendig å ta stilling til om fokuset er den tekniske installasjonen eller om vurderingen også skal omfatte sluttbrukernes anvendelse av systemet, eller begge deler? Det kan i tillegg være nødvendig å tydeliggjøre grenseoppgangen mot tilstøtende IT-systemer. Skal feil eller mangler i tilstøtende systemer, det vil si forhold som kan påvirke informasjonssikkerheten i det utvalgte IT-systemet, også være en del av risikovurderingen? Eller er dette problemstillinger som skal drøftes i egne risikovurderinger av de tilstøtende systemene?

Det kan være hensiktsmessig å ta stilling til slike spørsmål tidlig. Det vil forhåpentligvis gjøre det lettere å unngå usikkerhet om hva som «egentlig» skal risikovurderes.

Utvelgelse av deltakere

Valg av deltakere – hvilke personer som skal være med på risikovurderingen – er en viktig del av planleggingsfasen. Prinsippet er at risikovurderinger aldri vil bli bedre enn kompetansen til deltakerne. Derfor er det viktig at deltakerne velges med tanke på deres kunnskap om eller erfaring med den IT-løsningen som skal risikovurderes.  

Det kan være en fordel at ulike typer kompetente deltakere inviteres til å være med på risikovurderingen. Dette kan for eksempel være sluttbrukere med lang erfaring i bruken av det aktuelle IT-systemet eller tjenesten, samt IT-personell med særlig innsikt i systemtekniske problemstillinger. Samtidig er det ikke hensiktsmessig at alle som «vet noe» om den aktuelle IT-løsningen deltar i risikovurderingen. Sekretariatets for informasjonssikkerhet i UH-sektoren har erfart at antallet deltakere (i de fleste tilfeller) ikke bør være mer enn 8-10.

Teknisk og brukerorientert risikovurdering 

Utvelgelse av deltakere til risikovurderingen kan være utfordrende fordi relevant kompetanse vanligvis er ulikt fordelt mellom aktuelle deltakere. Det krever for eksempel ulik kompetanse å vurdere risiko knyttet til selve bruken av IT-løsningen sammenliknet med tilsvarende vurderinger av IT-tekniske forhold. Det kan derfor tenkes at det ikke alltid er hensiktsmessig at både sluttbrukere og IT-personell deltar i den samme risikovurderingen selv om begge «kompetanseprofilene» er relevante. Da kan resultatet bli at risikovurderingen ikke går særlig i dybden på verken de brukerorienterte eller de IT-tekniske problemstillingene.

For IT-løsninger hvor det er viktig med spesielt grundige risikovurderinger kan det derfor være en fordel at vurderingene deles i to: en vurdering hvor IT-personell deltar (med fokus på den tekniske delen av løsningen) og en vurdering hvor sluttbrukerne deltar (med fokus på bruken av løsningen).

Forberedende informasjon til deltakerne

De valgte deltakerne bør få tilsendt litt informasjon på forhånd. Dette gjelder spesielt dersom deltakerne ikke har erfaring med risikovurdering av informasjonssikkerhet fra tidligere.

Informasjonen til deltakerne bør si litt om hva risikovurderinger av informasjonssikkerhet handler om, hvilken IT-løsning de inviteres til å risikovurdere (avgrensning) og hva de bør tenke igjennom som forberedelse til risikovurderingen. Forberedelsene kan for eksempel være at deltakerne bes om å notere brudd på informasjonssikkerheten som de selv har opplevd, har hørt om eller mener kan skje (men som enda ikke har skjedd).

Eksempel på forberedende informasjon til deltakerne finner du HER.

Kriterier for akseptabel risiko

I forkant av risikovurderingen er det viktig å sjekke institusjonens kriterier for akseptabel risiko – de lokale akseptkriterier. Akseptkriteriene forteller hvor strenge krav institusjonens toppledelse stiller til informasjonssikkerheten. Hvile kriterier toppledelsen har bestemt skal gjelde fremgår av den styrende delen av ledelsessystemet for informasjonssikkerhet.

Hvor strenge krav som toppledelsen stiller til informasjonssikkerheten vil ha betydning for hvordan deltakerne vurderer risikoen for sikkerhetsbrudd – jo strengere sikkerhetskrav, desto mindre skal til for å anse informasjonssikkerheten i IT-løsningene som utilfredsstillende.

 

Del 2: Gjennomføringsfasen

Uønskede hendelser og risiko

Gjennomføringsfasen består av selve risikovurderingsmøtet. Møtet bør ledes av vedkommende person som har planlagt risikovurderingen.

Agendaen for risikovurderingsmøtet er todelt:

  1. Diskusjon av uønskede hendelser: Deltakerne diskuterer uønskede hendelser, det vil si hendelser som kan føre til at uvedkommende får tilgang til informasjon (brudd på konfidensialiteten), at uvedkommende sletter eller endrer informasjon (brudd på integriteten) eller at informasjonen ikke er tilgjengelig for rettmessige brukere (brudd på tilgjengeligheten). Slike hendelser kan før eksempel være at IT-løsningen utsettes for dataangrep, at uvedkommende får tak i brukernavn/passord eller at uvedkommende utnytter sin tilgang til å endre eller slette registrerte opplysninger. Denne delen av risikovurderingsmøtet tar klart lengst tid.
  2. Vurdering av risiko: Etter at deltakerne har diskutert og identifisert uønskede hendelser, skal de vurdere risikoen for hver enkelt hendelse (sannsynligheten for at hendelsen inntreffer og konsekvensen/skaden av hendelsen dersom den inntreffer). Denne delen av risikovurderingsmøtet tar en god del kortere tid enn diskusjonen av uønskede hendelser.

Møtelederens rolle er å omskape deltakernes diskusjoner i arbeidsmøtet til beskrivelser av mulige uønskede hendelser som deltakerne deretter skal vurdere risikoen for (sannsynlighet og konsekvens/skade). Møtelederen bør på forhånd tenke igjennom hvilke fokusområder som skal drøftes i forbindelse med den aktuelle IT-løsningen. Slike områder kan for eksempel være:

  • Uønskede hendelser knyttet til rutinebrudd.
  • Uønskede hendelser knyttet til pålogging.
  • Uønskede hendelser knyttet til dataangrep.
  • Uønskede hendelser knyttet til dataoverføring.
  • Uønskede hendelser knyttet til utskrift.
  • Uønskede hendelser knyttet til sikkerhetskopiering.
  • Uønskede hendelser knyttet til fysisk tilgangskontroll.
  • Uønskede hendelser knyttet til utstyrskontroll.

Ved at risikovurderingsmøtet inndeles i fokusområder kan diskusjonene bli mer strukturerte og mindre flytende enn hva de ellers trolig ville vært.

Når diskusjonene på møtet begynner å «bite seg selv i halen», det vil si at uønskede hendelser som har vært diskutert tidligere kommer opp på nytt (men kanskje uttrykt på en litt annen måte), er det et tegn på at deltakerne ikke har flere forslag til uønskede hendelser. Da er det på tide å avslutte den første delen av risikovurderingsmøtet.

I den siste delen av risikovurderingsmøtet skal deltakerne vurdere sannsynligheten for og konsekvensen/skaden av hver enkelt uønsket hendelse. Til sammen utgjør sannsynlighet og konsekvens/skade hendelsens risiko.

Sekretariatet for informasjonssikkerhet i UH-sektoren har erfart at den beste fremgangsmåten for å bestemme risiko, er at deltakerne diskuterer seg frem til en felles forståelse av sannsynlighet og konsekvens/skade. Det er imidlertid ikke uvanlig at det er usikkerhet og uenighet knyttet til vurderinger av ulike hendelsers sannsynlighet og konsekvens/skade. Det kan derfor være hensiktsmessig å avsette litt tid til diskusjon av hvor stor/liten deltakerne mener at risikoen er.

Hjelpemidler

Under risikovurderingsmøtet vil det være behov for enkelte hjelpemidler. Sekretariatet for informasjonssikkerhet i UH-sektoren har derfor laget en regneark-mal som kan benyttes til notering av uønskede hendelser som diskuteres på møtet og til vurdering av hendelsenes risiko (sannsynlighet og konsekvens/skade). Malen finner du HER. Malen kan enten fylles ut av møtelederen eller av en deltaker som har påtatt seg oppgaven som referent.

Malen inneholder en del kolonner som det ikke alltid er like lett eller like relevant å fylle ut. Hver institusjon bør derfor ta stilling til hvilke kolonner i regneark-malen de har behov for. Kolonner som det ikke er ønskelig å ha med, bør skjules slik at regnearket blir best mulig tilpasset møteledernes og deltakernes erfaringsbakgrunn og kompetansenivå. Malen bør derfor forenkles etter behov. Det er ingen god ide å ha en mal som er vanskelig å håndtere og som deltakerne ikke forstår.

Forklaring til hver kolonne

Nedenfor følger en kort forklaring til de ulike kolonnene i regneark-malen.

Uønsket hendelse (risikoelement)

Dette er en hendelse som kan føre til brudd på informasjonssikkerheten (konfidensialiteten, integriteten eller tilgjengeligheten til informasjonen).

I denne kolonnen gis en kort beskrivelse av hendelsen. Beskrivelsen kan for eksempel være «brudd på konfidensialiteten til personopplysninger fordi uvedkommende har fått tak i brukers passord».

Årsak

Hva kan årsaken til den uønskede hendelsen være? Hva kan for eksempel føre til at uvedkommende har fått tak i brukers passord?

I denne kolonnen er det viktig å forsøke å gi en god (men ikke lang) beskrivelse av årsaken til hendelsen. Beskrivelsen av årsaken kan for eksempel være at «uvedkommende har fått tak i brukers passord fordi brukerne ikke har fått tydelig informasjon om hvordan passord skal håndteres». Hva årsaken til hendelsen er, vil ha betydning for hvilke sikringstiltak som eventuelt skal iverksettes for å forebygge hendelsen (for eksempel at «det utarbeides tydelige retningslinjer for hvordan passord skal håndteres»).

Sårbarhet

Sårbarhet handler om hvilken svakhet ved IT-løsningen eller bruken av den som utnyttes for å bryte informasjonssikkerheten. Følgende momenter er eksempler på sårbarheter som kan ligge til grunn for brudd på informasjonssikkerheten:

  • Teknisk kompleksitet (vanskelig å få kontroll med informasjonssikkerheten på grunn av mange avhengigheter mellom ulike systemer eller tjenester).
  • Feil i programvaren (enkelt for uvedkommende å få tilgang til informasjonen i systemet eller tjenesten).
  • Organisatorisk kompleksitet (uklarhet om hvem som har ansvaret for ulike sikkerhetsoppgaver – oppgavene blir ikke utført).

Eksisterende beskyttelsestiltak

I denne kolonnen noteres eventuelle sikringstiltak som allerede er innført for å forhindre at den aktuelle hendelsen inntreffer. Slike tiltak kan for eksempel være at «to-faktorautentisering er innført for å redusere risikoen for konfidensialitetsbrudd ved passord på avveie».

Eksisterende kontrolltiltak

I denne kolonnen beskrives hvilke tiltak (om noen) som er innført for å oppdage brudd på informasjonssikkerheten. Dette kan for eksempel handle om at IT-systemet logger brukeraktivitet (hvem som gjør hva) og at det er etablert en rutine for gjennomgang av loggene (som har til hensikt å avdekke om uvedkommende har hatt tilgang til systemet).

Risikonivå - S/K/Risiko

I disse kolonnene noteres tallverdier for sannsynlighet og konsekvens/skade. Dette gjøres for hver enkelt uønsket hendelse som er notert i regnearket. Sannsynligheten varierer fra svært lite sannsynlig (tallverdien 1) til svært sannsynlig (tallverdien 4). Konsekvensen/skaden varierer fra ubetydelig (tallverdien 1) til alvorlig (tallverdien 4).

Ovenfor har vi sett at summen av sannsynlighet og konsekvens/skade (tallverdien for sannsynlighet pluss tallverdien for konsekvens/skade) er den uønskede hendelsens risiko. I regnearket kommer risikoverdien opp automatisk når tallverdiene for sannsynlighet og konsekvens/skade er fylt inn. Hver hendelse vil da få en «risikofarge» – rød, gul eller grønn. «Risikofargen» vil variere avhengig av hvor høy risikoverdien (summen av sannsynlighet og konsekvens/skade) vurderes å være. Fargene skal tolkes på følgende måte:

  • Rød (risikoverdi 6-8)
    • Hendelser med høy risiko. Nye sikringstiltak skal innføres.
  • Gul (risikoverdi 4-5)
    • Hendelser med middels høy risiko. Nye sikringstiltak bør vurderes.
  • Grønn (risikoverdi 2-3)
    • Hendelser med lav risiko. Nye sikringstiltak er ikke nødvendig.

Forslag til beskrivelse av verdiene for sannsynlighet og konsekvens/skade, for eksempel hva som menes med svært høy sannsynlighet (tallverdien 4), finner du HER.

Risikomatrise

De ulike uønskede hendelsene kan avtegnes i en risikomatrise. Dette gir en oversikt over hvor de ulike uønskede hendelsene ligger i forhold til sannsynlighet og konsekvensverdier. En risikomatrise i Word format kan du laste ned HER.

Tiltak

I denne kolonnen beskrives hvilke nye sikringstiltak (beskyttelses- eller kontrolltiltak) som deltakerne eventuelt har foreslått for å unngå brudd på informasjonssikkerheten. Tidligere har vi sett at det er spesielt viktig at deltakerne foreslår nye sikringstiltak for uønskede hendelser med høy risiko («risikofarge» rød).

Det kan også tenkes at det må foreslås nye sikringstiltak for uønskede hendelser med middels høy risiko («risikofarge» gul). Om det er nødvendig eller ikke, vil avhenge av institusjonens kriterier for akseptabel risiko (akseptkriterier). Dersom institusjonen har strenge akseptkriterier, det vil si at toppledelsen stiller særlig strenge krav til informasjonssikkerheten, vil det ofte være nødvendig å foreslå nye sikringstiltak for å unngå slike hendelser. Dersom dette ikke gjøres – og nødvendige sikringstiltak ikke iverksettes – vil ikke institusjonen oppfylle de krav som lovverket stiller om tilfredsstillende/forsvarlig informasjonssikkerhet.   

 

Del 3: Etterarbeidet

Rapport og kvalitetssikring

Når risikovurderingsmøtet er over, og regnearket er ferdig utfylt, starter etterarbeidet. Det er som regel møtelederen som er ansvarlig for etterarbeidet.

Den første delen av etterarbeidet består i å utarbeide en risikovurderingsrapport. Du finner eksempel på en risikovurderingsrapport HER.

Etter at risikovurderingsrapporten er utarbeidet, kan det være hensiktsmessig at den kvalitetssikres. Dette kan gjøres ved at den sendes på høring til deltakerne i risikovurderingen. Eventuelle innspill og korrigeringer vil deretter bli innarbeidet og endelig rapport ferdigstilt.

Oversendelse

Når rapporten er ferdigstilt, skal den oversendes til oppdragsgiveren. Oppdragsgiveren vil, som tidligere nevnt, vanligvis være systemeier, tjeneste-eier eller prosjektleder, det vil si vedkommende som (i henhold til den lokale sikkerhetsorganiseringen) har ansvaret for informasjonssikkerheten i den aktuelle IT-løsningen.

Etter oversendelsen av rapporten, er risikovurderingsprosessen over og prosessen med risikohåndtering starter. Det vil nå være opp til oppdragsgiveren, for eksempel system- eller tjeneste-eier, å bestemme om foreslåtte sikringstiltak skal innføres eller ikke. Prinsippet er imidlertid at oppdragsgiveren lojalt skal følge opp de akseptkriterier som toppledelsen har bestemt skal gjelde. Hovedregelen er derfor at sikringstiltak som deltakerne har foreslått for uønskede hendelser med uakseptabel høy risiko skal innføres.

Uenighet

Oppdragsgiveren kan likevel være uenig i de vurderingene som deltakerne har gjort. Han eller hun kan for eksempel mene at risikoen for enkelte uønskede hendelser er satt for høyt og at nye sikringstiltak derfor ikke er nødvendig.

Slike uenigheter må basere seg på saklige og faglig begrunnede hensyn. Oppdragsgiveren vil ikke være lojal mot toppledelsens akseptkriterier dersom uenigheter baserer seg på makelighet, personlig prestisje, mistillit til deltakerne eller andre utenforliggende hensyn.      

 

Ressurser

Mal for risikovurderinger v7_1.xlsx

Sannsynlighet og konsekvensverdier

Risikovurderingsmatrise

Veileder for risikovurdering av administrative systemer

Veileder for risikovurdering av skytjenester

Veileder for sentrale risiko- og sårbarhetsvurderinger av fellessystemer i UH sektoren v1.0

 

 

[1] Med konfidensialitet menes at uvedkommende ikke får tilgang til informasjonen. Med integritet menes at informasjonen ikke endres eller slettes av uvedkommende, og med tilgjengelighet menes at de som har rettmessige behov for informasjon får tilgang til informasjonen når de trenger den.