Digitaliseringsdirektoratet
Internkontroll/styringssystem (Versjon 1.4)
Internkontroll/styringssystem (Versjon 1.4)
Dette er bakgrunnsstoff («Godt å vite») til hovedaktiviteten Risikovurdering. Målgruppen er de fagansvarlige informasjonssikkerhet som ønsker å sette seg litt grundigere inn i enkelte tema og dermed øke sin bakgrunnskunnskap.
Det finnes mange metoder man kan støtte seg på i gjennomføringen av risikovurderinger innen informasjonssikkerhet. Vårt inntrykk er at norsk forvaltning i hovedsak bruker metoden beskrevet i Datatilsynets veileder, ev. med tilpasninger. Denne kalles gjerne «grovanalyse» på andre risikovurderingsområder. Det er tilsvarende helhetlige metode Difi legger til grunn i våre anbefalinger i dette veiledningsmateriellet.
Når forvaltningen benytter andre metoder, er det gjerne knyttet til at den har hentet inn ekstern bistand, og følger metodeverket som benyttes av bistandsyteren. Metodene kan eksempelvis være varianter av ISO/IOC 27005, NIST 800-30, Octave eller ISFs IRAM.
Vi redegjør nedenfor for noen kjente helhetlige metoder. Helhetlige metoder tar mål av seg å dekke hele risikovurderingsprosessen.
Eksempler på metoder som kan gi utfyllende støtte, og som kan inngå på ulike steder i en del helhetlige metoder, er kort beskrevet i venstremeny «Støttemetoder».
Begrepet grovanalyse brukes ofte om kvalitative metoder som kan gjennomføres med relativt beskjeden ressursinnsats. Hovedtrekkene er godt kjent fra andre fagområder, f.eks. HMS. Grovanalysen benytter normalt risikomatriser for å kommunisere konsekvens-, sannsynlighets- og risikonivå. En risikotabell er ofte sentral i dokumentasjonen.
Grovanalysen følger de tre hoveddelene i en risikovurdering, dvs. risikoidentifikasjon, risikoanalyse og risikoevaluering. Ofte blir identifisering av risikoreduserende tiltak i den påfølgende risikohåndteringen inkludert i en grovanalyse.
En grovanalyse er ikke absolutt i sin form, men fleksibel mht. siktemål og tilnærming. Ulike formelle og uformelle støttemetoder kan benyttes ved behov. Det gjør det enkelt å tilpasse en grovanalyse til informasjonssikkerhet.
Det opprettes til vanlig en arbeidsgruppe som har god kjennskap til det som er gjenstand for vurderingen. På en systematisk måte identifiserer og gjennomgår gruppen hendelser, konsekvenser, sannsynlighet og risiko. Omkringliggende forhold analyseres etter behov.
Som navnet indikerer, vil ikke grovanalysen dekke alle detaljer. Den vil imidlertid normalt dekke de mest alvorlige, de mest kjente og de mest fryktede hendelsene og risikoene. Gruppedeltakernes kjennskap til det som skal risikovurderes, er en nøkkelfaktor for at grovanalysen skal bli en god risikovurdering.
Det er ikke nødvendig med metodisk spisskompetanse for å gjennomføre en grovanalyse.
ISO 27005 er en standard for risikostyring av informasjonssikkerhet. Standarden bygger på – og er i samsvar med – den overordnede risikostyringsstandarden NS-ISO 31000:2009. Den beskriver således også hvordan kontekst skal etableres og risiko håndteres, som er andre deler av risikostyringsprosessen enn risikovurderingen.
ISO 27005 stiller krav til hva som skal gjøres, men er åpen for ulike måter å gjennomføre oppgavene på. Virksomheten må selv velge fremgangsmåte, eksempelvis pekes det på at risikovurderingen kan gjøres i flere runder (iterativt), hvor første runde er en høynivågjennomgang med søkelys på mulige høyrisikoområder, mens senere runder gir mer detaljerte analyser.
Risikoidentifiseringen skal baseres på en tilstrekkelig kartlegging av verdier og verdieiere, trusler, sikringstiltak, sårbarheter og konsekvenser.
Etter risikoidentifisering skal konsekvenser og tilhørende sannsynligheter estimeres, kvantitativt eller kvalitativt. Til slutt skal risikoene prioriteres, basert på risikoevalueringskriteriene som er fastsatt innledningsvis i risikostyringsprosessen. Det skal også tas hensyn til regulatoriske og kontraktuelle forhold.
Standarden har flere vedlegg hvor blant annet ulike typer aktiva og uønskede hendelser er listet opp. Vår erfaring er at strukturen og eksemplene i Octave og NIST 800-30 er bedre.
Ved bruk er det greit å være klar over at 27005:2011 er eldre enn 27001:2013, og at den på noen punkt er mer rigid enn nåværende 27001. Eksempelvis baserer 27005 seg fortsatt på risikostyringshjulet «plan, do, check, act», og at identifisering av informasjonsverdier og -eiere er obligatorisk, mens 27001:2013 kun stiller krav til identifisering av risikoeier.
National Institute of Standards and Technology har gitt ut en veiledning i risikovurdering som skal støtte USAs forvaltning i å etterleve krav til informasjonssikkerhet. Metoden skal støtte opp om prosessene i risikostyringsrammeverket som er beskrevet i NIST 800-39, og det legges vekt på at virksomheten skal kunne tilpasse metoden til virksomhetens særtrekk.
Metodebeskrivelsen (dokumentets kapittel tre) er relativt kortfattet, men støtter seg tungt på tabeller i åtte vedlegg. De har blant annet trinnvise oppgavelister til støtte for gjennomføringen.
Metoden beskriver en relativt kompleks risikovurderingsprosess, hvor blant annet trusselaktørers evne, motivasjon og målrettethet skal anslås kvalitativt eller semikvantitativt. Det anbefales også at risikovurderingen gjøres med flere perspektiver, dvs. at hvis risikovurderingen baseres på en verdikartlegging, så bør den suppleres med risikoer som identifiseres ved et trussel- og/eller sårbarhetsorientert perspektiv.
Vi antar vedleggene kan være til nytte ved mer omfattende risikovurderinger: Dels som kunnskapskilde og inspirasjon til identifikasjon av trusselaktører (vedlegg D) og uønskede hendelser (vedlegg E). Dels som beskrivelse av hvordan risiko kan estimeres basert på et stort antall variabler (vedlegg I). Metoden åpner for separate vurderinger av om uønskede hendelser inntreffer, og om de medfører skade.
For norske lesere kan koblingen til det føderale risikostyringsrammeverket være uvant. Rammeverket baserer seg på at risikovurderinger kan gjøres på tre nivå (lag/«tiers»):
I vårt veiledningsmateriell korresponderer prosessene for å etablere og vedlikeholde internkontrollen med risikovurdering på organisasjonsnivået, og risikovurdering av felles informasjonssystemer korresponderer med informasjonssystemnivået. Risikovurdering av arbeidsoppgaver med tilhørende informasjonssystem korresponderer med både prosessnivået og informasjonssystemnivået.
Octave-metoden ble tidlig på 2000-tallet utviklet av Carnegie Mellon University som risikovurderingsstøtte for større virksomheter (>300 ansatte). Den siste versjonen, Octave Allegro S fra 2007, er gjort enklere og skal også kunne brukes i mindre virksomheter.
Octave står for «Operationally Critical Threat, Asset, and Vulnerability Evaluations», og det understrekes i metodeverket at man skal konsentrere seg om de kritiske informasjonsverdier og de områder av virksomheten som den anser å ha størst risiko.
Metoden baserer seg på at det gjennomføres åtte steg i risikovurderingen gjennom arbeidsmøter i organisasjonen.
Kritisk informasjon skal identifiseres, sammen med hvor den behandles. Det siste kalles «containers» og omfatter både personer og utstyr. Videre skal en identifisere trusselscenarier på de områder virksomheten ser grunn til bekymring.
På bakgrunn av dette skal risikoer identifiseres og analyseres. Strategier for å håndtere risikoen velges avslutningsvis, basert på virksomhetens risikokriterier.
Det tilbys flere maler til støtte for hvert steg. Dette malverket kan være til nytte også ved risikovurdering etter andre metoder. Metoden beskriver eksempelvis generiske trusseltrær basert på aktør, motiv og resultat.
Dokumentasjonen kan lastes ned fritt fra Carnegie Mellon University, og metoden kan brukes vederlagsfritt. Allegro S beskrives på 30 sider, med ca. 60 sider malverk.
Det er verdt å være oppmerksom på at metoden baserer seg på en enkel vurdering av sannsynlighet for uønskede hendelser (frivillig, kvalitativ vurdering i tre nivåer). Dette kan vanskeliggjøre prioriteringen av risikoer. Det kan også vanskeliggjøre vurderingen av hvordan risikoen bør håndteres, eksempelvis i valget mellom forebyggende og reparerende tiltak.
────────────────────────────────────────────────────────────────────
────────────────────────────────────────────────────────────────────
