Internkontroll – informasjonssikkerhet
Internkontroll/styringssystem (Versjon 1.4)
Internkontroll/styringssystem (Versjon 1.4)
Dette er bakgrunnsstoff («Godt å vite») til hovedaktiviteten Risikohåndtering. Målgruppen er de fagansvarlige informasjonssikkerhet som ønsker å sette seg litt grundigere inn i enkelte tema og dermed øke sin bakgrunnskunnskap.
I teorien skal det være en sammenheng mellom alle risikoer som behandles og de tiltak som iverksettes for å håndtere dem. I praksis vil det imidlertid bli for mye administrasjon og for kostbart for en virksomhet å skulle holde oversikt over alle slike sammenhenger innen informasjonssikkerhet. Det vil også blir for kostbart driftsmessig å skulle tilpasse alle tiltak individuelt til hver enkelt risiko.
Bruk av fellessikring og tilleggssikring er en pragmatisk måte å håndtere dette på. Det medfører noen kompromiss. Nytte, negative sideeffekter og kostnader blir kanskje ikke ideell for hver enkelt risiko, men virksomheten får en mer kostnadseffektiv helhet og drift av sikkerhetsarbeidet.
Det er viktig at man ikke legger for mange sikkerhetstiltak som kan ha negative sideeffekter inn i et sikkerhetsnivå som skal gjelde alle eller mange. Slike sikkerhetstiltak bør vurderes som standardisert tilleggssikring for dem som har behov for dem, eller som skreddersøm ved spesielle behov.
Et sikkerhetsnivå er en definert samling av sikkerhetstiltak.
Sikkerhetstiltakene for et sikkerhetsnivå kan grupperes og kategoriseres på forskjellige måter, f.eks. etter tiltaksområder som forskjellige tiltaksleverandører har ansvaret for.
Dokumentasjon av et sikkerhetsnivå gir oversikt over alle sikkerhetstiltak som er etablert der sikkerhetsnivået benyttes.
En virksomhet kan ha et felles grunnleggende sikkerhetsnivå for sentrale områder i virksomheten. Et felles grunnleggende sikkerhetsnivå i en virksomhet kaller vi virksomhetens fellessikring.
Fellessikring består av sikkerhetstiltak som bidrar til sikkerheten for mange systemer og arbeidsoppgaver. Det er tiltak som er felles for mange, eller alle, arbeidsoppgaver og systemer i virksomheten.
Man oppnår en rekke fordeler med å etablere et slikt felles grunnleggende nivå av sikkerhet:
Det er virksomheten selv som bestemmer innholdet i fellessikringen. Det er viktig at risikoeiere er involvert i arbeidet med etablering og vedlikehold av fellessikring, for å påse at tiltakene gir tilstrekkelig sikkerhet, og at risikoeiere skjønner hva de får via fellessikringen.
Fellessikringen skal være risikobasert der det ikke foreligger lovkrav eller avtaler om spesifikke tiltak. Den bør ikke være mer omfattende enn nødvendig. Kostbare sikkerhetstiltak, eller tiltak med vesentlige negative sideeffekter, som det ikke er behov for på tvers av virksomheten, bør ikke inngå i fellessikringen.
Sikkerhetsbehov vil kunne variere internt i en virksomhet, og det vil ofte være behov for tilpasninger eller ekstra sikkerhetstiltak for enkelte arbeidsoppgaver eller informasjonssystemer. Basert på vurdering av risiko vil risikoeier kunne beslutte å iverksette sikkerhetstiltak for sine oppgaver og informasjonssystemer som ikke inngår i virksomhetens fellessikring. Slike tiltak som legges på toppen av fellessikringen, kaller vi tilleggssikring.
De samlede sikkerhetstiltak for en arbeidsoppgave eller et informasjonssystem kan altså bestå av fellessikring pluss tilleggssikring.
En virksomhet kan med fordel ha forhåndsdefinert tilleggssikring, som risikoeiere kan velge fra.
Ved behov for et stort omfang av likeartet tilleggssikring flere steder i virksomheten bør man vurdere om noe av dette bør legges til fellessikringen. Ettersom slike valg kan få negative sideeffekter for mange i virksomheten, bør en slik vurdering alltid skje i dialog med dem som eier arbeidsoppgavene og informasjonssystemene. Beslutning bør tas på et høyt organisatorisk nivå.
Ved at sikkerhetstiltak utvikles, dokumenteres, vedlikeholdes og følges opp av felles tiltaksleverandører kan man oppnå mer effektiv og helhetlig drift av tiltakene. Bedre oversikt og mer konsistent iverksettelse av sikkerhetstiltak gir bedre sikkerhet. I tillegg kan det gi lavere kostnader og bedre oversikt og kontroll med kostnadene.
God administrasjon av fellessikring bidrar til å forenkle risikovurdering- og håndteringsaktivitetene i virksomheten. Risikoeiere kan i større grad konsentrere seg om risiko som er spesifikk for sine arbeidsoppgaver og systemer.
Dersom en risikoeier ikke behøver å velge et tiltak i risikohåndteringen sin, eller implementere et tiltak selv, fordi tiltaket er etablert i virksomheten og følges opp av noen andre, er dette en god indikasjon på at man har å gjøre med et tiltak som inngår i fellessikringen.
Risikoeiere er som regel ansvarlig for eventuelle spesifikke tilpasninger som må til for at sikkerhetstiltak fra fellessikringen skal fungere etter hensikten for sine arbeidsoppgaver og systemer. En del sikkerhetstiltak, spesielt tekniske tiltak, krever komponenter, produkter eller konfigurasjon på hvert enkelt system for at det skal få nytte av fellessikringstiltaket. (Eks: klientprogramvare for å knytte seg til tjeneste for sikkerhetskopiering eller konfigurasjon for å sende loggdata til logghåndteringstjeneste.)
Man bør påse at de som er ansvarlige for tiltak i fellessikringen opprettholder informasjon om status på tiltakene sine, ettersom disse tiltakene som regel er viktige for sikkerheten i store deler av virksomheten.
De som er ansvarlige for fellessikringstiltak bør også ha mulighet til å kommunisere hurtig og effektivt om endringer i status som kan påvirke sikkerheten negativt, f.eks. ved at en undersøkelse avdekker at et tiltak har svikt og mangler, eller at et tiltak ikke gir den tiltenkte sikkerheten på grunn av nye trusler eller angrepsmetoder.
I tilfeller hvor tiltak i fellessikringen leveres av eksterne, f.eks. en tjenesteleverandør, må man påse at man har lagt til rette for å få informasjon om status og effektivitet på tiltakene som leveres. Slike tiltak bør også inngå i virksomhetens dokumentasjon av sikkerhetstiltak.
Selv om det å administrere sikkerhetstiltak i fellessikring og tilleggssikring er et enkelt konsept, vil det kreve en del planlegging og koordinering å få det til å fungere godt i praksis.
Virksomheter med komplekse behov kan velge å definere flere sikkerhetsnivå enn bare fellessikring.
For eksempel vil en virksomhet som har arbeidsoppgaver og systemer som sorteres i to grupper – de ordinære og de kritiske, hvor de kritiske har sammenfallende behov – kunne ha nytte av å definere to sikkerhetsnivå: fellessikring og sikkerhetsnivå for kritiske systemer.
Uansett hvilket sikkerhetsnivå som legges til grunn, kan enkelte systemer ha tilleggssikring – sikkerhetstiltak som kommer i tillegg til det som inngår i det valgte sikkerhetsnivået.
────────────────────────────────────────────────────────────────────
────────────────────────────────────────────────────────────────────
