Foranalyse av eget ansvarsområde
For at en risikoeier skal kunne arbeide effektivt med informasjonssikkerhet på sitt ansvarsområde, må vedkommende ha god oversikt over hvilke oppgaver og tjenester som utføres, og informasjonsbehandlingen i disse.
Ved å gjennomføre en foranalyse får man en slik oversikt, og det vil blant annet gjøre risikoeier i stand til å vurdere behov for grundigere vurdering og håndtering av risiko.
Foranalysen gjør at man kan ha en systematisk og kunnskapsbasert tilnærming når man skal prioritere arbeidet med informasjonssikkerhet. Når alle risikoeiere i virksomheten har god oversikt over sine ansvarsområder, vil arbeidet med styring av informasjonssikkerhet bli mer effektivt og målrettet. Denne oversikten er også viktig for at risikoeier skal kunne vurdere status på eget ansvarsområde.
Om foranalysen
Foranalysen består av følgende deltrinn:
- Identifiser oppgaver og informasjonstyper
- Identifiser hvilke oppgaver og tjenester som utføres innen ansvarsområdet
- Identifiser hvilke informasjonstyper som behandles i de ulike oppgavene
- Finn høyeste konsekvensnivå som brudd på konfidensialitet, integritet og tilgjengelighet kan medføre
- Vurder trusler, farer og sårbarheter
- Vurder trusler: motivasjon, vilje og kapasitet til ulike trusselaktører.
- Vurder sannsynligheten og forventet skadenivå for at en spesifikk fare skal inntreffe.
- Vurder sårbarhetsnivået basert på oppnåelse av overordnede målsetninger for sikkerhetsarbeidet
Trinn 1 og 2 handler om å få oversikt over hvilke oppgaver og tjenester virksomheten utfører, og hvilke informasjonstyper som behandles. I trinn 1 starter man med å identifisere og kartlegge hvilke oppgaver og tjenester som utføres i ulike enheter i virksomheten, hvilke informasjonstyper som behandles og relevante forhold knyttet til dem. I trinn 2 vurderer man hvor store konsekvenser eventuelle brudd på konfidensialitet, integritet og tilgjengelighet kan få for virksomheten. Utgangspunktet for vurderingen er en oppgave eller tjeneste som behandler informasjon (identifisert i Trinn 1), og/eller fellessystemer som benyttes i informasjonsbehandlingen.
Trinn 3 handler om å vurdere mulige trusselaktører og farekilder som retter seg mot virksomheten. Dette gjøres ved å vurdere mulige trusler, farer og sårbarheter virksomheten står ovenfor og hvilket skadenivå man kan forvente dersom en hendelse inntreffer. Hensikten er ikke å gi «helt riktige svar», men å få gjennomført en god refleksjonsprosess som gir støtte i arbeidet med å få oversikt og prioritere før vurdering og håndtering av risiko innen informasjonssikkerhet.
Hvorfor gjennomføre en foranalyse?
Etter å ha gjennomført trinn 1 og trinn 2 av foranalysen vil risikoeier ha et grunnlag for prioritering av det videre arbeidet med vurdering og håndtering av risiko. Det vil også være et viktig grunnlag for vurdering av konsekvens og tilhørende sannsynlighet når grundigere risikovurderinger gjennomføres der risikoeier ser at det er behov for det.
På samme måte vil resultatet av trinn 2 gi systemeier fellessystem en oversikt over både hvilke oppgaver og tjenester systemet benyttes i, og hvor store konsekvenser brudd på informasjonssikkerheten kan få i de oppgavene der det benyttes.
Trinn 3 gir en viktig oversikt som man kan basere seg på i den videre vurderingen av konsekvens og tilhørende sannsynlighet når man vurderer risiko, og kan også være relevant i prosessen med å håndtere risiko.
Resultatet av foranalysen er derfor et viktig grunnlag i det videre arbeidet med vurdering og håndtering av risiko. Arbeidet som gjøres i foranalysen kan også brukes som utgangspunkt for arbeid på andre områder. I trinn 1 vil man identifisere om man behandler personopplysninger, og kan også vurdere mulighet for deling av data, eller behov for at noe må sikres i henhold til sikkerhetsloven. Dette kan være et startpunkt for videre arbeid på disse områdene.
Hvem er ansvarlig?
Alle risikoeiere bør gjennomføre foranalyse av eget ansvarsområde. Den bør omfatte både oppgaver og tjenester som utføres, informasjonen som behandles i oppgavene, IKT-system som benyttes og vesentlige trusler, farer og sårbarheter. Dersom foranalysen gjennomføres i ledergruppen over operativt nivå, kan foranalyser av flere ansvarsområder sees i sammenheng. Dette kan forenkle gjennomføringen.
Systemeiere fellessystem bør gjennomføre en forenklet foranalyse for fellessystemene de har ansvaret for. Disse bør baseres på foranalysene til de risikoeierne som benytter systemet. Risikoeierne bør derfor ha gjennomført sine foranalyser først. Alternativt kan systemeiere fellessystem basere seg på foranalysene til noen, og oppdatere/avstemme etter hvert som flere blir ferdig.
Foranalysene til risikoeierne bør omfatte alle tre deltrinnene. Foranalysene til systemeiere fellessystem bør som minimum omfatte trinn 2 og trinn 3.
Hvordan fortsette å ha oversikt?
En foranalyse er mest ressurskrevende første gang den gjennomføres. Ved senere gjennomganger vil arbeidet i hovedsak bestå i å gå gjennom resultatene fra tidligere foranalyser, og vurdere om de er fortsatt er gode nok. Man bør for eksempel vurdere om det har skjedd vesentlige endringer i oppgaveløsningen, tjenesteutformingen eller informasjonsbehandlingen. På samme måte bør man vurdere utviklingen knyttet til trusler, farer og sårbarheter.
Ved å gå over foranalysen jevnlig, for eksempel en gang i året, vil risikoeier eller systemeier fellessystem ha god oversikt over ansvarsområdet sitt over tid.
Støtte i arbeidet
Digitaliseringsdirektoratet har laget maler og støttemateriell som kan benyttes i gjennomføringen av foranalysen. Vi anbefaler å benytte disse malene, men dersom virksomheten har andre hjelpemidler som er hensiktsmessige kan de gjerne benyttes. Malene bør tilpasses den aktuelle virksomhetens behov.
En samling med eksempler på typiske oppgaver og tilhørende informasjonstyper er også tilgjengelig, og kan brukes som støtte i arbeidet.
Virksomheten kan også ha kartlagt oppgaver og tjenester, og informasjonsbehandlingen i disse i andre sammenhenger. Slike aktiviteter kan for eksempel være gjennomført i forbindelse med arbeid med informasjonsforvaltning, deling av data, arkiv, personvern eller virksomhetsarkitektur. Før man starter arbeidet med en foranalyse bør man kartlegge hva som er gjort tidligere, og basere arbeidet på det som eventuelt allerede finnes.