Hopp til innhold

Difi - Direktoratet for forvaltning og IKT

Digitaliseringsdirektoratet

Internkontroll/styringssystem (Versjon 1.5)

Søkeskjema

Tekststørrelse A+ A a For å endre tekststørrelsen, hold Ctrl-tasten nede og trykk på + for å forstørre eller - for å forminske.
  • Hjelp
  • Kontakt oss
  • Om veilederen
Meny
Hjem » Godt å vite » Risikohåndtering » Sikkerhetstiltak
  • Hjem
  • Sammendrag
  • Systematiske aktiviteter
  • Etableringsaktiviteter
  • Utdypninger
  • Godt å vite
    • Ledelsens styring og oppfølging
    • Risikovurdering
    • Risikohåndtering
      • Hva er risikohåndtering?
      • Sikkerhetstiltak
      • Fellessikring og tilleggssikring
      • Tiltaksbanker
      • Krav i regelverk

Sikkerhetstiltak

Sikkerhetstiltak er sentralt innen informasjonssikkerhet. Denne artikkelen inneholder grunnleggende fagkunnskap om sikkerhetstiltak. Dette er bakgrunnsstoff («Godt å vite») til hovedaktiviteten Risikohåndtering.

Innhold

  • Tiltak i risikostyring og internkontroll
  • Sikkerhetstiltak
  • Engangstiltak og varige tiltak
  • Virkeområde
  • Begrepet «tiltak» på norsk
  • Sikkerhetstiltak i standarder for informasjonssikkerhet
  • Gruppering og oversikt
  • Dokumentasjon av sikkerhetstiltak

1 Tiltak i risikostyring og internkontroll

Et tiltak er noe som iverksettes for å oppnå noe – nå et mål eller oppfylle et krav. Innen informasjonssikkerhet og annen risikostyring iverksetter vi tiltak for å unngå, dele eller redusere risiko.

Noen tiltak er engangstiltak og andre er varige tiltak. Varige tiltak som etableres for å endre eller redusere risiko, kan vi kalle risikomodifiserende eller risikoreduserende tiltak. Ofte benytter vi bare kortformen tiltak her også.

På engelsk er det vanlig å bruke begrepet control for slike varige tiltak for å redusere risiko. Begrepet blir også ofte brukt mer spesifikt som security control og information security control. Dette tilsvarer de norske begrepene sikkerhetstiltak og informasjonssikkerhetstiltak.

Begrepene control og tiltak benyttes på tvers av disipliner for internkontroll og håndtering av risiko. Det er for eksempel vanlig å benytte privacy control for personverntiltak. Man kan også kalle mesteparten av innholdet i ISO/IEC 27001 bortsett fra Annex A for management controls – tiltak for effektiv risikostyring. Et eksempel er risikostyringsprosessene som benyttes i virksomheten. Dette kan kalles ledelsestiltak, systemrettede tiltak eller styringstiltak på norsk.

Tiltak innenfor forskjellige deler av en virksomhets helhetlige internkontroll kan overlappe og virke sammen på forskjellig vis. Brannsikring som HMS-tiltak som skal sikre liv og helse, kan være sammenfallende med sikkerhetstiltak som skal sikre informasjonssystemer mot brann.

Noen tiltak er veldig spesifikke og påvirker en risiko direkte. Andre påvirker flere risikoer indirekte eller i mindre grad. Dette omtales som control precision på engelsk.

2 Sikkerhetstiltak

Informasjonssikkerhetstiltak er tiltak som etableres for å håndtere risiko knyttet til konfidensialitet, integritet og tilgjengelighet i informasjonsbehandling.

I denne veiledningen benytter vi begrepet sikkerhetstiltak. Man kan argumentere for at informasjonssikkerhetstiltak ville være et mer presist og korrekt begrep, men kortformen er godt innarbeidet og forståelig for de fleste.

Begrepet sikringstiltak benyttes i mange sammenhenger synonymt med sikkerhetstiltak.

Et sikkerhetstiltak er noe som etableres for å virke over tid. Det er relatert til sikkerhet og etablert for å redusere eller på annen måte modifisere risiko. Det kan dokumenteres og stå på en liste eller inngå i en oversikt over en virksomhets etablerte sikkerhetstiltak, og man bør kunne peke på en navngitt person eller funksjon som har ansvaret for å forvalte og forbedre tiltaket.

3 Engangstiltak og varige tiltak

En del av de tiltakene som iverksettes for å håndtere risiko, bærer preg av å være engangstiltak. Man utfører noe, og så er man ferdig. Dersom man velger å unngå risiko ved å slutte å utføre oppgaven som var opphavet til risikoen, så vil man kunne kalle beslutningen om å slutte med oppgaven for et engangstiltak. Vi kan også ha engangstiltak når vi snakker om å redusere risiko. Her er et eksempel:

Risikovurdering av et informasjonssystem viser høy risiko for flere uønskede hendelser på grunn av høy sårbarhet fordi et stort antall kjente sårbarheter varslet av programvareleverandører ikke er patchet. Tiltak: installere sikkerhetspatcher på systemet.

Dette er et engangstiltak. I dette eksempelet vil tiltaket redusere risiko på kort sikt, mens det på lengre sikt må antas å ha liten verdi, etter som nye tekniske sårbarheter blir avdekket og gjort kjent.

Det vil være mer hensiktsmessig å få på plass gode prosesser for kontinuerlig oppfølging av kjente tekniske sårbarheter i programvare og utstyr som virksomheten benytter. Det er da også et slikt varig tiltak du finner i referansekatalogen i ISO/IEC 27001 Annex A.

I vårt enkle eksempel vil umiddelbar patching også være aktuelt – som strakstiltak for å redusere sårbarheten og i påvente av andre varige tiltak.

Når det er snakk om å redusere risiko ved innføring av sikkerhetstiltak er det som regel slike varige tiltak som benyttes. Stort sett alle sikkerhetstiltak i anerkjente tiltaksbanker er av denne typen.

4 Virkeområde

Sikkerhetstiltak har forskjellige virkeområder – området hvor tiltaket har effekt.

Noen tiltak inngår i sentrale prosesser som gjelder for hele virksomheten, andre tiltak etableres for ett bestemt informasjonssystem. Tiltak kan etableres for en bestemt arbeidsoppgave, for en organisatorisk enhet, eller for å sikre en bestemt fysisk lokasjon.

Virkeområde

Det er viktig at man er bevisst hvilket virkeområde et tiltak har. Det kan være uheldig om man tror et tiltak har effekt et sted dersom det ikke har det, og det vil være fornuftig å bruke ressurser på tiltak bare der det er behov for dem.

5 Begrepet «tiltak» på norsk

Det er ikke alltid enkelt å kommunisere rundt begrepene tiltak og control. Det oppstår forvirring ettersom noen bruker en direkte fornorskning av control til kontroll – andre finner det mer naturlig med oversetting til tiltak. Begrepet kontroll benyttes i blant om en spesifikk type tiltak – kontrolltiltak – og ikke som et generelt varig tiltak for å redusere risiko, som begrepet control i denne sammenhengen egentlig betyr.

En annen årsak til forvirring er at vi på norsk ofte benytter ordet tiltak i en bredere sammenheng enn control. Vi bruker begrepet tiltak for

  • ulike engangstiltak for å unngå eller dele risiko
  • aktivitetene som gjennomføres for å etablere et varig sikkerhetstiltak
  • aktiviteter for å utbedre forholdene når man har oppdaget feil, avvik eller mangler i de systematiske aktivitetene for styring og kontroll eller i etablerte sikkerhetstiltak. I ISO/IEC 27001 kalles dette corrective action.

I tillegg bruker vi begrepet tiltak om større sammensatte prosjekt, for eksempel for å forbedre en rekke av våre eksisterende sikkerhetstiltak. Slike forbedringstiltak, eller forbedringsprosjekter, kan både bestå av etablering av nye sikkerhetstiltak og utbedring av eksisterende sikkerhetstiltak – eller avvikling av sikkerhetstiltak.

Vi anbefaler at man er bevisst denne varierende bruken av begrepet tiltak på norsk, og at man spesielt er tydelig i kommunikasjonen rundt valg og etablering av varige sikkerhetstiltak.

6 Sikkerhetstiltak i standarder for informasjonssikkerhet

Flere anerkjente standarder for styring og kontroll med informasjonssikkerhet benytter sammenfallende definisjoner av security control. Vi ser her kort på to av disse, slik at de kan ses i sammenheng med vår bruk av begrepet sikkerhetstiltak.

ISO/IEC 27001 beskriver bruk av security controls for behandling av informasjonssikkerhetsrisiko. Security control er en godt innarbeidet faguttrykk på engelsk, og benyttes i samme betydning i de fleste anerkjente standarder og rammeverk på informasjonssikkerhetsområdet.

ISO/IEC 27000:

control: measure that is modifying risk

Note 1 to entry: Controls include any process, policy, device, practice, or other actions which modify risk.
Note 2 to entry: It is possible that controls not always exert the intended or assumed modifying effect.

 

Legg merke til at ISOs definisjon i utgangspunktet kan leses slik at den inkluderer engangstiltak, mens referansekatalogen med sikkerhetstiltak i Annex A peker på varige tiltak.

ISO benytter begrepet control for behandling av risiko i alle sine risikostyringsstandarder, på tvers av disipliner. Security control betegner de tiltakene som behandler informasjonssikkerhetsrisiko. I 27000-serien benytter ISO i noen tilfeller information security control.

(National Institute of Standards and Technology) NIST SP 800-53 rev 4 Appendix B:

Security control: A safeguard or countermeasure prescribed for an information system or an organization designed to protect the confidentiality, integrity, and availability of its information and to meet a set of defined security requirements.

 

Det som tydeliggjøres av NISTs definisjon, er at en virksomhet etablerer sikkerhetstiltak både for å behandle risiko etter egne vurderinger, og for å imøtekomme pålagte krav. Det finnes tilfeller hvor lovverk og avtalemessige forhold stiller spesifikke krav til sikkerhetstiltak — tiltak som skal etableres uavhengig av virksomhetens egen vurdering av risiko.

7 Gruppering og oversikt

Det finnes flere måter å gruppere eller kategorisere sikkerhetstiltak på – i forskjellige dimensjoner. Dette kan være nyttig i flere sammenhenger – spesielt når man i risikohåndteringen skal vurdere hvilke tiltak som vil være mest hensiktsmessige og kostnadseffektive for å modifisere en konkret risiko.

7.1 Formål med sikkerhetstiltak

En kan skille mellom tiltak som har som formål å forebygge uønskede hendelser, tiltak som skal oppdage og avdekke hendelser, og tiltak som skal benyttes i respons på hendelser som er under utvikling eller har funnet sted.

Et eksempel på slik gruppering er:

  • forebygge
  • oppdage
  • reagere

Dette er en grovsortering, og det er ikke uvanlig at ett tiltak bidrar på tvers av disse kategoriene.

Virksomheter bør regne med at de kommer til å få hendelser som kan påvirke informasjonssikkerheten. Mange regner også med at de allerede er utsatt for sikkerhetshendelser som de ennå ikke har oppdaget, for eksempel ved at angripere har tilgang til nettverk og systemer. Det kan være nyttig å se på hvordan man bruker ressursene sine. Brukes de primært til å forsøke å forebygge hendelser? Eller er man også i stand til å oppdage og håndtere hendelsene på en god måte? Det siste kan i mange tilfeller være mer kostnadseffektivt enn å ha ambisjon om å hindre alt, og styre det meste av ressurser inn på det. Dette er viktige aspekter å ha med seg når man i risikohåndteringen vurderer hvor hensiktsmessige forskjellige sikkerhetstiltak er.

7.2 Type sikkerhetstiltak

Det er også mulig å gruppere tiltak etter type. For eksempel slik:

  • organisatoriske tiltak (roller og ansvar, retningslinjer, prosedyrer og rutiner, mv.)
  • menneskelige tiltak (kompetanse og kultur)
  • tekniske tiltak (IKT-løsninger, skap, dører, rom, bygninger mv.)

Disse tiltakstypene over er generelle, og ikke spesielle for informasjonssikkerhet. De er relevante for alle områder man ønsker at virksomhetens samlede internkontroll skal dekke. Ett tiltak kan virke inn på flere internkontrollområder.

I risikohåndteringen er det å tenke på tiltakstyper nyttig i forbindelse med den innledende refleksjonen over hvilke typer tiltak som er hensiktsmessig å velge, før man går ned på detaljerte tiltak.

7.3 Tiltaksområder

En tredje nyttig gruppering kan være tiltaksområde. Dette er "familier" av sikkerhetstiltak som henger sammen, ofte knyttet til en felles tiltaksleverandørs ansvarsområde.

Inndelingen kan gjøres på forskjellige måter. På overordnet nivå kan én slik inndeling være:

  • føringer fra ledelsen (policy og retningslinjer)
  • arbeidsrutiner hos dem som utfører oppgavene
  • kompetanse og kultur hos dem som utfører oppgavene
  • personaladministrasjon
  • tilgangsstyring
  • driften av IKT-løsningene
  • fysiske forhold der arbeidsoppgavene utføres
  • fysiske forhold der IKT-infrastruktur er plassert
  • anskaffelser og oppfølging av leverandører
  • beredskapsplaner og -rutiner

Mange virksomheter vil ha ansvarlige for sikkerhetstiltak innenfor en rekke av disse områdene. Vi kaller dem tiltaksleverandører. De kan være interne eller eksterne. Dersom de er eksterne, vil en virksomhet normalt ha en person eller organisatorisk enhet internt som fungerer som et bindeledd mot de eksterne. Dette er spesielt vanlig ved utkontraktering av områder som IKT-drift og bygningsdrift.

I tillegg vil de som eier arbeidsoppgaven eller informasjonssystemet, selv kunne være ansvarlig for sikkerhetstiltak på flere av tiltaksområdene.

7.4 Sikkerhetsmål

En annen måte å gruppere sikkerhetstiltak på er etter sikkerhetsmål.

Bruk av sikkerhetsmål kan lette kommunikasjonen mellom risikoeiere og tiltaksleverandører. Risikoeiere kan i sin håndtering av risiko utforme behov eller krav på et overordnet nivå. Behovene blir utformet som sikkerhetsmål for tiltaksområder. Tiltaksleverandører foreslår og tilbyr konkrete sikkerhetstiltak for å understøtte sikkerhetsmålene.

Ved slik bruk av sikkerhetsmål bør man merke seg forskjellen på virksomhetens overordnede mål for informasjonssikkerhet og de sikkerhetsmål som etableres for ulike tiltaksområder. De førstnevnte bør være nedfelt i virksomhetens policy for informasjonssikkerhet, og gir sammen med kriterier for å akseptere risiko en retning for alt informasjonssikkerhetsarbeidet. Sikkerhetsmål for ulike tiltaksområder kan benyttes som et redskap på veien mellom risikovurderinger og detaljerte sikkerhetstiltak.

Sikkerhetsmål kan defineres for bestemte funksjoner og nivå i en virksomhet. Jf. ISO/IEC 27001:2013 6.2.

7.5 Tiltaksbanker

Tiltaksbanker grupperer tiltak på forskjellige måter – tiltaksområder, sikkerhetsmål og forskjellige andre strukturer benyttes. Dersom en virksomhet gjennomførende benytter en bestemt tiltaksbank, kan det være hensiktsmessig å sortere virksomhetens tiltak på samme måte som i tiltaksbanken.

8 Dokumentasjon av sikkerhetstiltak

En virksomhet bør ha tilstrekkelig dokumentasjon av sikkerhetstiltak. Hva som er tilstrekkelig dokumentasjon, vil variere. Organisasjoner av forskjellig størrelse og kompleksitet på virksomhetsprosesser og IKT-systemer vil ha forskjellige behov.

Element som kan inngå i slik dokumentasjon, er f.eks.:

  • beskrivelse av sikkerhetstiltaket
  • virkeområde
  • hvem som er ansvarlig for tiltaket (tiltaksleverandør)
  • status (f.eks. planlagt/etablert/utfasing)
  • referanse til hvorfor tiltaket er etablert (risiko/krav)

8.1 Referanse til tiltaksbank

Dersom tiltaket er hentet fra en ekstern tiltaksbank, kan det være fornuftig å dokumentere en referanse til denne. Det kan være nyttig når man følger med på oppdateringer av tiltaksbanken. Det kan også være nyttig for å ha et felles referansepunkt i kommunikasjon med andre.

8.2 Detaljeringsgrad

Sikkerhetstiltak kan være snevre og detaljerte, eller mer overordnet.

Se f.eks. tiltakene i Annex A i ISO/IEC 27001 – de varierer i detaljeringsgrad. A.12.2.1 Controls against malware kan anses for å være på tilsvarende nivå som A.12.4 Logging and monitoring. Men sistnevnte er en samlebetegnelse for fire understøttende sikkerhetstiltak, hvorav A.12.4.4 Clock synchronisation kan sies å være ganske detaljert.

Det er i det hele tatt mange måter å beskrive sikkerhetstiltak på – både i måten man deler opp i forskjellige sikkerhetstiltak, og detaljeringsgraden man legger opp til.

8.3 Risikoeiere og tiltaksleverandører

Risikoeiere og tiltaksleverandører vil ha forskjellige behov for dokumentasjon av sikkerhetstiltak. Disse behovene kan skisseres slik:

Risikoeier

  • Oversikt
  • Hva inngår i fellessikringen?
  • Hva er tilgjengelig tilleggssikring?
  • Tiltaksstyrke

Tiltaksleverandør

  • Oversikt
  • Detaljer om implementering
  • Tekniske detaljer
  • Referanse til tiltaksbanker
  • Referanse til detaljer i regelverk

God kommunikasjon om risiko og sikkerhetstiltak mellom risikoeiere og tiltaksleverandører er viktig for å få velfungerende forvaltning av sikkerhetstiltakene. Man bør gjøre en vurdering av hvilke behov man har i virksomheten, og sørge for at en har tilstrekkelig og hensiktsmessig dokumentasjon av sikkerhetstiltak. Legg spesiell vekt på å få på plass beskrivelser som kommuniserer godt til risikoeiere som skal ta beslutninger om håndtering av risiko.

8.4 Overordnede tiltak og detaljtiltak

En måte å håndtere de forskjellige behovene for dokumentasjon og kommunikasjon kan være å dokumentere sikkerhetstiltakene i form av overordnede tiltak og detaljtiltak.

  • Overordnede tiltak: overordnet beskrivelse av sikkerhetstiltak som er egnet til å gi risikoeiere god oversikt
  • Detaljtiltak: detaljerte sikkerhetstiltak som er egnet til å støtte tiltaksleverandørers oppfølging og spesielle behov i forbindelse med vurdering av spesifikke risikoer

Et veldig enkelt eksempel som kan illustrere en slik inndeling er det overordnede tiltaket Adgangskontroll, med en del detaljtiltak under:

Adgangskontroll

Ved å gjøre en slik inndeling kan en ha ulike varianter av samme overordnede tiltak, med ulik tiltaksstyrke, hvor forskjellen er detaljtiltakene som inngår i det overordnede tiltaket.

Et eksempel på dette kan illustreres slik:

Overordnede tiltak og detaljtiltak

Beskrivelsen i dette eksempelet kan være tilstrekkelig for å dekke behovet til de fleste risikoeierne i en virksomhet. Når det er behov for å gå ned i detaljene – for eksempel i forbindelse med analyse av spesifikke risikoer – kan tiltaksleverandøren bidra med nødvendige detaljer og ekspertise.

────────────────────────────────────────────────────────────────────

Til toppen av siden

────────────────────────────────────────────────────────────────────

 

Nyttig

  • Maler og eksempler
  • Begrepsliste
  • Regelverkskrav
  • Hva sier ISO/IEC 27001?
  • Virksomhetskontekst
  • Hva sier andre?
  • Endringslogg
  • Kilder
  • Kontakt: redaksjonen@digdir.no
  • Telefon: +47 22 45 10 00
  • E-post: postmottak@digdir.no
  • Org.nr: 991 825 827