Digitaliseringsdirektoratet
Internkontroll/styringssystem (Versjon 1.4)
Internkontroll/styringssystem (Versjon 1.4)
Dette er bakgrunnsstoff («Godt å vite») til hovedaktiviteten Risikovurdering. Målgruppen er de fagansvarlige informasjonssikkerhet som ønsker å sette seg litt grundigere inn i enkelte tema og dermed øke sin bakgrunnskunnskap.
Risikovurdering er et begrep i risikostyringen som dekker de tre stegene risikoidentifisering, risikoanalyse og risikoevaluering. Dette er en begrepsbruk som er forankret i den internasjonale standarden ISO 31000 «Risikostyring». ISO/IEC 27001, som dette veiledningsmateriellet baserer seg på, bygger på og refererer til denne overordnede risikostyringsstandarden.
Under følger en generell beskrivelse av hovedinnholdet i de tre stegene i en risikovurdering. Vi har i tillegg tatt med en omtale av «Overgangen til risikohåndtering», «Ulike metoder» og «Alternativ begrepsbruk».
Det første steget i risikovurderinger kalles risikoidentifisering. Formålet er å lage en omfattende liste over potensielle hendelser som kan utløse konsekvenser som ikke er i samsvar med våre mål eller ønsker.
Som en innledende del av risikoidentifiseringen ser en gjerne også på mulige risikokilder, områder som berøres, mv. Innenfor informasjonssikkerhet er det i større eller i noen grad vanlig å inkludere identifisering og vurdering av informasjonsverdier, trusler og sårbarheter som en innledende del. Lignende skjer også på andre fagområder.
I enkelte tilfeller kan det også være hensiktsmessig allerede her å vurdere både mulige årsaker og helhetlige scenarier som kan vise hvilke konsekvenser som kan forekomme. Ikke for å gjøre en grundig analyse, men som støtte for å identifisere relevante hendelser med relevante konsekvenser.
Det bør ikke brukes mye tid her på å gå grundig inn på årsaker og konsekvenser. Dette er noe som skal gjøres i neste steg. Det viktige er å få en tilstrekkelig dekkende liste med potensielle hendelser. Hendelser som ikke identifiseres i dette steget, vil normalt ikke bli inkludert i den videre analysen.
Det andre steget i risikovurderingen er risikoanalyse. Risikoanalyse handler om å utvikle en forståelse av risikoene. Formålet er å kunne fastslå mulig konsekvens og tilhørende sannsynlighet på hendelser identifisert i forrige steg. Det er dette som er den egentlige risikoen.
Risikoanalysen omfatter en vurdering av både årsakene og kildene til hendelsene, hvilke konsekvenser de kan få, samt sannsynligheten for at disse konsekvensene skal forekomme.
Risikoanalysen kan utføres med varierende detaljeringsnivå, avhengig av risikoen, formålet med analysen og hvilken informasjon, grunnlagsdata og ressurser som er tilgjengelig. Analysen kan være kvalitativ, semikvalitativ, kvantitativ eller en kombinasjon av disse.
I praksis vil en uønsket hendelse kunne ha mange forløp og kunne få mange ulike konsekvenser med hver sine sannsynligheter. Dette er illustrert ved hjelp av den blå streken i figuren under. Den er ofte en bue. Hvor den blå streken faktisk går, er avhengig av hvor stramt eller løst konsekvensene er spesifisert i risikobeskrivelsen. Den blå streken vil dermed ha ulik utforming i ulike risikobeskrivelser. Den vil også ofte ha ulik utforming i ulike konsekvenskategorier for en og samme risikobeskrivelse.
Å velge ett konsekvensnivå i en risikomatrise er derfor en forenkling. Det er også en forenkling å primært velge det mest forventede konsekvensnivået. Tilnærmingen som i dette veiledningsmateriellet er beskrevet i trinnet analysere, er imidlertid akseptabel siden formålet i denne sammenheng er å finne det høyeste risikonivået. Det er det vi trenger for å evaluere risikoer i neste trinn i risikovurderingen.
Det er imidlertid viktig at man er bevisst de egentlige sammenhengene og at man forenkler. Man bør være tydelig på det i kommunikasjonen med risikoeier, systemeier fellessystem og andre, slik at de også vet det. Det kan ha betydning for deres beslutninger. Å være klar over det er også viktig under risikohåndteringen.
Det tredje steget i risikovurderingen er risikoevaluering. Formålet med risikoevalueringen er å gi støtte til kommende beslutninger om hvilke risikoer som må håndteres, og hvilken prioritet håndteringen av dem bør gis.
Risikoevalueringen består i å sammenligne risikonivået som ble avdekket i risikoanalysen i steget foran, med risikokriterier som ble bestemt før risikovurderingen startet. I en internkontrollsammenheng som vår vil dette være de kriterier ledelsen har besluttet i den overordnede styringen av informasjonssikkerhet.
I enkelte tilfeller kan risikoevalueringen medføre en beslutning om å gjennomføre en videre analyse. Risikoevalueringen kan også ende i en anbefaling om å ikke håndtere risikoene på en annen måte enn ved å fortsette med eksisterende tiltak.
Risikohåndtering omfatter å velge ett eller flere alternativ for å håndtere for høye risikoer, og deretter iverksette disse alternativene og tilhørende tiltakene.
Risikohåndtering er et hovedsteg i risikostyringen på linje med risikovurdering. I praksis er det imidlertid ikke alltid et like klart skille mellom risikovurdering og første del av risikohåndteringen, dvs. å lage forslag til alternativ eller tiltak i risikohåndteringen.
I mange praktiske sammenhenger og veiledninger blir denne første delen av risikohåndteringen inkludert i det som kalles risikovurdering. Grunnen er nok at oppdraget med å gjennomføre risikovurderinger ofte også inkluderer et tilleggsoppdrag om å foreslå relevante risikoreduserende tiltak.
I praksis vil en også identifisere eller «komme på» aktuelle tiltak mens en holder på med stegene risikoidentifisering eller risikoanalyse i risikovurderingen. Det en da bør gjøre, er å notere disse på en «huskeliste» for så å komme tilbake til dem når første del av risikohåndteringen skal starte. Det sikrer en systematisk prosess uten for store avsporinger, samtidig som en tar med seg det som kan være nyttige ideer til senere steg.
I noen fagmiljø og sammenhenger brukes begrepet «risikoanalyse» på hele risikovurderingsprosessen og ikke bare på det midterste av de tre stegene i risikovurderingen, slik ISO-standardene og vi bruker begrepet.
En slik alternativ eller utvidet bruk av begrepet «risikoanalyse» er spesielt vanlig når noen snakker om enkeltstående risikovurderinger som ikke inngår i en helhetlig risikostyringsprosess, slik vårt veiledningsmateriell her gjør innen informasjonssikkerhet.
Innholdsmessig er det ingen vesentlig forskjell i arbeidet som skal gjøres om en kaller hele prosessen risikovurdering eller risikoanalyse. I begge tilfeller velges og brukes enkle eller avansert metoder avhengig av problemstillingen som skal vurderes og analyseres. Og i begge tilfeller blir risikoer identifisert, analysert og evaluert.
Noen fagmiljø bruker som et tredje alternativ begrepet «risiko- og sårbarhetsanalyse (ROS)» på hele risikovurderingsprosessen, gjerne inkludert første del av risikohåndteringen.
Sårbarheter er imidlertid en faktor som påvirker all risiko, og som derfor alltid, i større eller mindre grad, bør være en del av analysen i en risikovurdering.
I dag brukes ofte begrepet «risiko- og sårbarhetsanalyse (ROS)» mest som et likeverdig alternativ til begrepene «risikoanalyse» i utvidet forståelse (jf. over) og til «Risikovurdering» slik ISO-standardene benytter det.
Selve gjennomføringen av risikovurderinger kan skje ved hjelp av forskjellige metoder som i ulik grad er detaljerte «oppskrifter» eller mer rammer for arbeidet. Dette kan være metoder som kan benyttes innenfor ett eller flere av de enkelte stegene i risikovurderingen. Det kan også være ulike helhetlige metoder som dekker alle stegene i risikovurderingen.
Mange helhetlige metoder inkluderer også første del av risikohåndteringen, slik vi var inne på i forrige punkt. Mange av støttemetodene kan også benyttes både i risikovurderingen og den påfølgende risikohåndteringen.
Vi har utdypet litt om ulike metoder under venstremeny «Godt å vite/Helhetlige metoder» og «Godt å vite/Støttemetoder».
Difis forslag til vurdering av behov for risikovurderinger og gruppere og dele opp før risikovurderinger er i praksis nye støttemetoder. Disse er beskrevet som egne delaktiviteter under Risikovurdering.
Difis råd om hvordan man kan gjennomføre en risikovurdering innen informasjonssikkerhet, er i praksis en utdypende beskrivelse av en ny helhetlig metode basert på den grunnleggende grovanalysemetoden. Denne metoden er utdypet i underpunktet «Gjennomføre» under Risikovurdering.
────────────────────────────────────────────────────────────────────
────────────────────────────────────────────────────────────────────
