Dette er trinn 5 i metoden for å gjennomføre risikovurderinger.

Målgruppe

• Prosessledere

Innhold

• Mål for trinnet
• Fremgangsmåte
  
  • Forstå risikobeskrivelsen
  • Estimere konsekvens
  • Estimere tilhørende sannsynlighet
  • Fastsette risikonivå
• Anbefalt dokumentasjon

1 Mål for trinnet

Arbeidsgruppen har

• analysert risikobeskrivelsene identifisert i forrige trinn
• estimert nivået på konsekvens og sannsynlighet på relevante utfall for hver risikobeskrivelse
• funnet den risikostørrelsen som uttrykker den største risikoen ved hver risikobeskrivelse

2 Fremgangsmåte

Arbeidsgruppen skal nå ta for seg hver av risikobeskrivelsene fra forrige trinn. De tas én for én i prioritert rekkefølge.

For hver risikobeskrivelse skal man gå igjennom deloppgavene:

Prosessleder leder arbeidsgruppen gjennom deloppgavene.

Behovet for å gå i dybden vil variere mellom de ulike risikoene. Gode refleksjoner og diskusjoner vil ofte være både nyttige og viktige. Man bør likevel ikke gå mer i dybden eller bli mer omfattende enn det som er nødvendig. Målet er å få nok forståelse til å estimere rimelig riktig nivå.

For potensielt høye risikoer med stor kompleksitet bør prosessleder vurdere om arbeidsgruppen trenger hjelp fra formelle støttemetoder. Dette kan kreve bistand fra interne eller eksterne metodeeksperter.

I dette trinnet brukes en risikotabell som støtte i og dokumentasjon av arbeidet. Digitaliseringsdirektoratets støtteverktøy kan benyttes. Risikotabellen fylles ut underveis i arbeidet for én og én risikobeskrivelse.

Noen ganger vil man ha behov for å vurdere flere alternative konsekvenser for en og samme risikobeskrivelse.

De fire deloppgavene er utdypet under. Ved behov kan man gå litt frem og tilbake mellom deloppgavene. Eventuelle utfordringer under gjennomføringen bør kort noteres i et vedlegg til risikonotatet.

3 Forstå risikobeskrivelsen

Første deloppgave er å avstemme at risikobeskrivelsen er rimelig klar, og at alle i arbeidsgruppen forstår hva den innebærer. Ofte vil dette bare være en oppdatering fra forrige metodetrinn.

Man ser på og avstemmer beskrivelsene av

• (1) innledende hendelse(r)
• (2) informasjonssikkerhetsbruddet
• (3) de uønskede konsekvensene som kan oppstå

Arbeidsgruppen bør spesielt etablere en forståelse av hva informasjonssikkerhetsbruddet (2) betyr i praksis. Følgende støttespørsmål kan være nyttige:

• Hvilke arbeidsoppgaver, systemer og informasjon blir berørt og hvordan?
• Hvilke konsekvenser kan oppstå? 
  • andre enn de som nå ligger i beskrivelsens del 3?
  • kan noen komme til som følgekonsekvenser?

Man kan endre på risikobeskrivelsen dersom det er behov for det. Man bør imidlertid ikke bruke tid på å utdype detaljer. Refleksjonen er det viktigste.

Dersom de ulike konsekvensene som kan oppstå berører mer enn én av de konsekvenskategoriene som er beskrevet i virksomhetens føringer, bør man håndtere disse som ulike risikobeskrivelser. Dette gjør det lettere å estimere konsekvens og tilhørende sannsynlighet, og også forslag til hvordan risikoen skal håndteres senere i arbeidet.

4 Estimere konsekvens

I andre deloppgave skal arbeidsgruppen estimere konsekvens.

Konsekvensen uttrykkes ved bruk av et konsekvensnivå knyttet til en konsekvenskategori. Referansen som skal brukes, er virksomhetens førende beskrivelser for hva disse betyr.

Det er viktig å huske at et informasjonssikkerhetsbrudd (2) forårsaket av en uønsket hendelse (1) kan få mange forskjellige utfall, resultater eller konsekvenser (3), av ulik alvorlighetsgrad. Hver av disse vil kunne ha forskjellig sannsynlighet.  

Vi forenkler gjerne ved å uttrykke risikoen kun som én kombinasjon av konsekvens og sannsynlighet.

4.1 Refleksjon for å vurdere konsekvensnivå

Størrelsen på konsekvens estimeres oftest ved å velge det mest forventede konsekvensnivået som følge av den aktuelle risikobeskrivelsen. Det kan også være hensiktsmessig å vurdere hva som er det mest fryktede konsekvensnivået, og om man antar at dette, sammen med tilhørende sannsynlighet, vil resultere i en større risiko. Da kan det være mer nyttig å jobbe videre med det konsekvensnivået, eventuelt arbeide videre med begge som separate risikoer.

Arbeidsgruppen må vurdere hva som skjer, kan skje, hindres osv. Man tilpasser tidsbruken til risikoens kompleksitet.

Følgende støttespørsmål kan være til hjelp i diskusjonen:

1. Er det tilsiktede handlinger som ligger bak hendelsen (1)?
   • hvordan og til hva kan og vil slike trusselaktører prøve å utnytte informasjonssikkerhetsbruddet (2)?
2. Er det uhell eller uaktsomhet som ligger bak hendelsen (1)?
   • hvordan kan informasjonssikkerhetsbruddet (2) utvikle seg til konsekvenser (3) av ulik type og størrelse?
3. Hva kan hindre at informasjonssikkerhetsbruddet (2) blir omfattende?
4. Hva kan hindre at konsekvensene (3) blir store?

Spørsmålene 3 og 4 kan suppleres med:

• Hva er styrken på relevante sikkerhetstiltak som er etablert?
• Har vi beredskapsplaner for å håndtere slike hendelser/informasjonssikkerhetsbrudd?
• Hva er nivået på kompetanse og kultur hos relevante aktører (i egen enhet, i egen IKT-driftsenhet, hos eventuell tjenesteleverandør mv)

Temaene skal også være vurdert i foranalysen av ansvarsområdet man er innenfor, så denne kan gjerne hentes frem som støtte ved behov.

Maler, eksempler og støtteverktøy

• Eksempel på normerende beskrivelser av konsekvensnivå finnes i vedlegg D i [EKSEMPEL] Retningslinje: Forstå, vurdere og håndtere operativ risiko (docx)

5 Estimere tilhørende sannsynlighet

I tredje deloppgave skal arbeidsgruppen estimere tilhørende sannsynlighet til det eller de konsekvensnivåene de er kommet frem til.

Sannsynligheten uttrykkes gjennom et sannsynlighetsnivå. Referansen som skal brukes, er virksomhetens førende beskrivelser for hva disse betyr.

Sannsynlighet kan angis for ulike deler av hendelsesforløpet, for eksempel:

1. sannsynligheten for at informasjonssikkerhetsbruddet skal skje som følge av den innledende hendelsen
2. sannsynligheten for at konsekvensnivået/-nivåene vi valgte foran vil oppstå

Sannsynligheten i punkt 2 er alltid på samme eller lavere nivå enn sannsynligheten i punkt 1. Sannsynligheten i punkt 2 vil bl.a. kunne bli lavere enn i punkt 1 avhengig av hvilke konsekvensreduserende tiltak som er iverksatt.

Det er viktig å huske at vi i denne sammenhengen er ute etter estimat av sannsynlighet som dekker hele hendelsesforløpet, inklusiv at den aktuelle konsekvensen faktisk blir utfallet av hendelsen. Det er altså sannsynligheten som nevnt i punkt 2 vi er ute etter. Det er da størrelsen på risikoen blir uttrykt riktig.

5.1 Refleksjon for å vurdere tilhørende sannsynlighetsnivå

For å estimere sannsynlighetsnivå bør man vurdere

• historisk hyppighet, eller det man vet om hyppighet, på både informasjonssikkerhetsbruddet og de aktuelle konsekvensnivåene
• relevante trusselaktørers intensjon (motivasjon og vilje) og kapasitet, dersom en trusselaktør er involvert i risikobeskrivelsen
• styrken på relevante sikkerhetstiltak som er etablert, eller generelt om sårbarhetsnivå

Det er viktig at de tre faktorene ikke brukes individuelt og isolert ved estimatet av sannsynlighet, men ses i sammenheng.

Arbeidsgruppen fortsetter refleksjonen og diskusjonen fra estimeringen av konsekvensnivå, og kan bruke følgende fremgangsmåte for estimeringen:

1. Ta utgangspunkt i historisk hyppighet
   • Anslå hyppighetsnivå – Hvor ofte vet vi eller tror vi med rimelig sikkerhet, hos oss eller direkte sammenlignbare virksomheter at:
     • hendelsen (1) har skjedd?
     • sikkerhetsbruddet (2) har inntruffet som følge av hendelsen (1)
     • vi som følge av hendelsen (1) og/eller sikkerhetsbruddet (2) har fått det konsekvensnivå som vi over har estimert som
       • mest forventet?
       • mest fryktet?
       • noe imellom?
   • Identifiser hvilket sannsynlighetsnivå dette gir på virksomhetens skalaer
2. Dersom en trusselaktør er involvert i risikobeskrivelsen:
   • Vurder nivået på aktørens intensjon (som kombinasjon av motivasjon og vilje)
   • Vurder nivået på aktørens kapasitet
   • Juster skjønnsmessig sannsynlighetsnivået fra forrige trinn ut fra disse vurderingene
3. Vurder sårbarhetsnivå
   • Vurder styrken på relevante sikkerhetstiltak som er etablert – hva kan hindre at hendelsen (1) og/eller informasjonssikkerhetsbruddet (2) skjer?
   • Vurder hvor lett etablerte sikkerhetstiltak kan omgås
   • Vurder hvor lett uhell eller uaktsomhet kan skje
   • Juster skjønnsmessig sannsynlighetsnivået fra forrige trinn ut fra disse vurderingene
4. Benytt det sannsynlighetsnivå du nå er kommet frem til

Maler, eksempler og støtteverktøy

• Eksempel på normerende beskrivelser av sannsynlighetsnivå, og støtte ved estimat av sannsynlighetsnivå finnes i henholdsvis vedlegg E og H i [EKSEMPEL] Retningslinje: Forstå, vurdere og håndtere operativ risiko (docx)

6 Fastsette risikonivå

I den fjerde deloppgaven skal arbeidsgruppen finne siste del av risikostørrelsen, risikonivået.

Referansen for risikonivået er virksomhetens førende beskrivelser for hvilke kombinasjoner av konsekvens og sannsynlighet som gir hvilke risikonivå. Disse er oftest fremstilt i en matrise

Å finne risikonivået innebærer å bruke estimatene av konsekvens og sannsynlighet og slå opp i den normerende matrisen.

Man har nå uttrykt hele risikostørrelsen bestående av

• (1) konsekvensnivå
• (2) sannsynlighetsnivå
• (3) risikonivå

6.1 Husk at hendelser fortsatt kan få ulike konsekvenser

Det er viktig å huske at vi har gjort noen valg og forenklinger i løpet av analysen.

Etter deloppgave 1, Forstå risikobeskrivelsen, valgte man én konsekvenskategori man gikk videre med. Dersom det var flere relevante konsekvenskategorier, må deloppgave 2 – 4 gjennomføres også for de øvrige konsekvenskategoriene. Dette vil bli ulike risikoer i risikotabellen.

Når man estimerte konsekvens, valgte man også ett konsekvensnivå – som oftest det mest forventede.

Til slutt bør man vurdere om det er andre kombinasjoner av konsekvensnivå og tilhørende sannsynlighetsnivå som vil gi et høyere risikonivå enn det man har arbeidet med. Vær spesielt oppmerksom på muligheten for dette når foreløpig risikostørrelse er på laveste nivå, samtidig som det finnes mulige konsekvenser med høyere konsekvensnivå.

Dersom man mener andre kombinasjoner gir et høyere risikonivå, bør man velge det aktuelle konsekvensnivået og estimere tilhørende sannsynlighet og risikonivå på nytt.

Maler, eksempler og støtteverktøy

• Eksempel på normerende beskrivelser av risikonivå finnes i vedlegg C i [EKSEMPEL] Retningslinje: Forstå, vurdere og håndtere operativ risiko (docx)

7 Anbefalt dokumentasjon

Risikonotatet bør utvides med

• utfordringer under gjennomføringen, dersom det er relevant for videre arbeid eller for oppdragsgiver

Vedlegg til risikonotatet:

• En risikotabell, som viser risikobeskrivelse og risikostørrelse (konsekvensnivå, sannsynlighetsnivå og risikonivå)
• en restliste (eventuelle risikobeskrivelser man har identifisert, men ikke fått analysert)

─────────────────────────────────────────────────────

• Neste trinn i metoden
• Forrige trinn i metoden
• Hovedsiden til metoden
• Til toppen av siden

────────────────────────────────────────────────────