Hopp til hovedinnhold

Gjennomføre risikovurdering

Vurdering av risiko er viktig i arbeidet med informasjonssikkerhet. Dette må organiseres på en god måte, for å gi et godt grunnlag for håndtering av risiko. Her beskriver vi en metode som kan brukes som utgangspunkt når risikovurderinger innen informasjonssikkerhet skal gjennomføres.

    Målgruppe

    • Prosessledere - de som har fått i oppdrag av en risikoeier eller systemeier fellessystem, å lede arbeidet med en risikovurdering.

    Om metoden

    Denne fremgangsmåten kan benyttes som utgangspunkt og kjerne i de fleste risikovurderinger innen informasjonssikkerhet. Metoden består av 6 trinn:

    1. Etablere felles referanseramme og begrepsforståelse
    2. Vurdere obs-områder
    3. Identifisere risikoer
    4. Analysere risikoer
    5. Evaluere risikoer
    6. Beskrive kvalitet og kunnskapsstyrke
    Illustrasjon av prosessen for å gjennomføre risikovurdering - seks bokser lagt over en pil som viser fremdriften.

    Dersom mandatet for arbeidet også omfatter å foreslå håndtering av risikoer, utvides metoden med aktiviteten Foreslå håndtering av risikoer, beskrevet under hovedaktiviteten Håndtering av risiko. Når de gjennomføres i sekvens, vil de to metodene i praksis fremstå som én. Det siste trinnet i metoden, Beskrive kvalitet og kunnskapsstyrke, utføres da kun helt til slutt.

    Det er viktig at prosessleder klarer å tilpasse metoden til det som skal vurderes. Det innebærer blant annet å forenkle der det er hensiktsmessig, og gå i dybden der det er nødvendig.

    For enkelte områder eller risikoer med stor kompleksitet kan det være behov for å supplere med støttemetoder. Dette kan være prosesskartlegging, dataflytdiagrammer, angrepstrær, misbrukstilfeller, hendelsestreanalyse, feiltreanalyse og lignende.

    Anbefalt dokumentasjon

    Under planleggingen bør prosessleder føre dialog med oppdragsgiver for å avgjøre hvordan arbeidet og resultatet skal dokumenteres.

    Denne metoden inneholder forslag til dokumentasjon. Forslaget innebærer at det underveis utarbeides et kort risikonotat om arbeidet og resultatet. Notatet bør ikke være omfattende, og utdypninger kan legges i vedlegg. Det gir både oversikt og fleksibilitet med hensyn til å gå i dybden.

    Et viktig vedlegg er en risikotabell. Denne skal gi en oversikt over alle risikoene. Det kan i tillegg være hensiktsmessig å presentere risikoene i en risikomatrise for å forenkle kommunikasjon. Ulike verktøy kan brukes under utforming av risikotabellen og risikomatrisen. Digitaliseringsdirektoratet har laget et enkelt støtteverktøy i Excel som kan benyttes.

    Hvert trinn i metoden inneholder en kort oppsummering av hva som foreslås dokumentert etter trinnet. Samlet anbefales følgende:

    Et risikonotat med kort beskrivelse av:

    • formål med risikovurderingen
    • omfang og avgrensninger
    • deltakere og roller
    • relevante styrende dokument, med navn og versjonsnummer
    • valgt metode (henvisning eller kort omtale, inkludert vesentlige tilpasninger)
    • identifiserte obs-områder (kort liste over hoveddeler i objektet for risikovurderingen, spesielle obs-områder og områder man eventuelt har gitt ingen eller lav prioritet)
    • utfordringer under gjennomføringen
    • resultatet fra risikovurderingen (kort om det generelle risikonivået og spesielt høye risikoer, samt kort omtale av og henvisning til risikotabellen)
    • kvalitet og kunnskapsstyrke (kort omtale)

    Vedlegg til risikonotatet:

    • en risikotabell (med risikobeskrivelse og risikostørrelse (konsekvensnivå, sannsynlighetsnivå og risikonivå) på hver risiko)
    • en risikomatrise
    • eventuelt en restliste (risikobeskrivelser som er identifisert, men ikke analysert)

    Digitaliseringsdirektoratets støtteverktøy

    For gjennomføring av risikovurderinger ved hjelp av Digitaliseringsdirektoratets metode kan dette brukes for å støtte gjennomføringen:

    Visuelt skille mellom delaktiviteter

    Trinn 1: Etablere felles referanseramme og begrepsforståelse

    Illustrasjon av prosessen for å gjennomføre risikovurdering med første boks markert.

      1.1 Mål for trinnet

      Deltakerne i arbeidsgruppen har blitt kjent med hverandre, og har fått en rimelig omforent forståelse for hva som skal gjøres, og rammene for arbeidet. Arbeidsgruppen har også en rimelig omforent forståelse av sentrale begrep i arbeidet med risikovurderinger.

      1.2 Forberedelser

      Deltakerne bør i forkant av første arbeidsmøte:

      • oppdatere seg på virksomhetens policy for informasjonssikkerhet med hovedvekt på målene
      • oppdatere seg på virksomhetens føringer for risikoforståelse og risikoaksept
      • Sette seg inn i et eget «Kunnskapsark» eller lignende, som beskriver sentrale begrep

      1.3 Fremgangsmåte

      Korte innlegg fra prosessleder og deltakerne kombineres med diskusjoner der det er nødvendig.

      Følgende tema bør være med:

      • Presentasjon av deltakerne
      • Mandat, formål og avgrensninger
      • Felles begrepsforståelse
      • Virksomhetens mål for informasjonssikkerhet
      • Retningslinjer og føringer rundt risiko
      • Metodevalg og tidsbruk

      Omfang og tidsbruk må tilpasses erfaringsgrunnlaget til deltakerne. Målet er en rimelig omforent forståelse.

      De ulike temaene beskrives under.

      Presentasjon av deltakerne

      Første møte i arbeidsgruppen bør starte med en kort presentasjon av deltakerne, deres tilknytning til objektet i risikovurderingen og deres rolle i arbeidet som skal gjøres.

      Mandat, formål og avgrensninger

      Arbeidsgruppen bør deretter foreta en kort gjennomgang av mandatet for arbeidet. Det er viktig å få frem formålet med risikovurderingen. Er det en generell risikovurdering, eller er det spesielle spørsmål som skal avklares og vurderes opp mot hverandre? Det siste kan kreve en egen innretning på arbeidet og en egen form på risikonotatet.

      Det er viktig å få avklart om formålet kan gi spesielle utfordringer for gjennomføringen, og hvordan disse eventuelt skal løses.

      Det bør videre avklares om arbeidsgruppen har en felles forståelse av omfang og avgrensinger, med utgangspunkt i mandatet. Mener noen at noe vesentlig er utelatt? Det er viktig å foreta eventuelle presiseringer her.

      Felles begrepsforståelse

      Prosessleder bør gå gjennom sentrale begreper for å sikre at arbeidsgruppen har en felles forståelse av dem.

      Som et minimum bør følgende omtales:

      • Uønskede hendelser og informasjonssikkerhetsbrudd
      • Hva er risiko?
      • Hvordan uttrykke risiko?

      Arbeidsgruppen bør først avklare om den har tilstrekkelig felles forståelse av begrepene uønskede hendelser og informasjonssikkerhetsbrudd. Det bør også tas hensyn til at uønskede hendelser kan beskrives både overordnet og detaljert, og at de kan utvikle seg i ulike retninger.

      Det er mulige informasjonssikkerhetsbrudd som danner utgangspunktet for beskrivelse av risikoer innen informasjonssikkerhet. Uønskede hendelser fører eller kan føre til informasjonssikkerhetsbrudd, og deretter til ingen, én eller flere konsekvenser. Det er disse potensielle konsekvensene, med ulik sannsynlighet, som inngår i risikobeskrivelsene.

      Vi anbefaler at man bruker denne forståelsen av uønskede hendelser og informasjonssikkerhetsbrudd som grunnlag for å få en felles forståelse av begrepet risiko. Det er viktig å forstå at risiko uttrykkes gjennom kombinasjonen av konsekvens og tilhørende sannsynlighet. Videre at sannsynligheten er knyttet til hele hendelsesforløpet, inklusiv at den aktuelle konsekvensen faktisk blir utfallet av hendelsen. Det siste er avgjørende for at hendelse, konsekvens og sannsynlighet skal bli et riktig uttrykk for risiko.

      Det bør også klargjøres hvordan risiko uttrykkes. Vi anbefaler at dette gjøres gjennom kombinasjonen av en risikobeskrivelse og en risikostørrelse.

      Risikobeskrivelse

      Anbefalingen vår er at risikobeskrivelsen bør bestå av stikkord om

      1. innledende hendelse(r)
      2. informasjonssikkerhetsbruddet
      3. de uønskede konsekvensene som kan oppstå

      Man får da en risikobeskrivelse som gir en overordnet oversikt over et hendelsesforløp, uten at man må bli svært detaljert. Beskrivelsen gir et godt grunnlag for å anslå risikostørrelsen.

      Risikostørrelse

      Risikostørrelsen bør uttrykkes gjennom

      1. konsekvensnivå
      2. tilhørende sannsynlighetsnivå
      3. risikonivå

      I tillegg til risikonivået, tar vi med de to sentrale elementene som danner grunnlaget for nivået. På denne måten gir risikobeskrivelsen og risikostørrelsen til sammen et godt helhetsbilde av risikoen. Det er nyttig i kommunikasjon med beslutningstakere og andre.

      Virksomhetens mål for informasjonssikkerhet

      Virksomhetens mål for informasjonssikkerhet bør gjennomgås for å sikre tydelig forankring. Målene skal være beskrevet i virksomhetens policy for informasjonssikkerhet.

      Deltakerne må ha en klar forståelse av hva målene for informasjonssikkerhet betyr for arbeidet med denne risikovurderingen.

      Retningslinjer og føringer rundt risiko

      Videre bør virksomhetens retningslinjer og føringer knyttet til risikoforståelse, risikohåndtering og risikoaksept gjennomgås. Nøkkelspørsmål er:

      • Har gruppen en felles forståelse av de førende beskrivelsene for konsekvensnivå, sannsynlighetsnivå og risikonivå?
      • Hva betyr de for arbeidet med denne vurderingen?
      • Vet deltakerne hvordan estimeringen skal gjøres?
      • Forstår gruppen kriteriene for å akseptere risiko?

      Metodevalg og tidsbruk

      Gruppen bør til slutt bli avstemt på metodevalg og tidsbruk. Basert på planleggingen som er gjort bør prosessleder skissere hva man skal gjøre, og hvordan man har tenkt å gå frem. Prosessleder bør være åpen for justeringer.

      1.4 Anbefalt dokumentasjon

      Risikonotat:

      • formål med risikovurderingen
      • omfang og avgrensninger
      • deltakere og roller
      • styrende dokumenter (navn og versjonsnummer til de som benyttes direkte)
      • valgt metode (henvisning eller kort omtale, inkludert vesentlige tilpasninger)
      Visuelt skille mellom delaktiviteter

      Trinn 2: Vurdere obs-områder

      Illustrasjon av prosessen for å gjennomføre risikovurdering med andre boks markert.

      2.1 Mål for trinnet

      Arbeidsgruppen har

      • en grunnleggende oversikt over objektet i risikovurderingen
      • delt objektet opp på hensiktsmessig måte
      • oppdatert seg på, og kan dra nytte av, relatert kunnskap og erfaringer
      • merket seg og notert eventuelle obs-områder for arbeidet videre

      2.2 Forberedelser

      Prosessleder og en eller flere i arbeidsgruppen:

      • Gå gjennom relevant bakgrunnsstoff og gjøre vurderinger av
        • hensiktsmessig oppdeling av objektet for risikovurderingen
        • foranalysen for området som risikovurderingen er en del av
        • tidligere risikovurderinger på dette eller sammenlignbare områder
        • virksomhetens interne statusrapport om risikoforhold
        • krav i relevant regelverk
      • Lage en eller flere korte oppsummeringer og presentasjoner.

      Deltakerne:

      • Lese gjennom og reflektere over utsendt oppsummering av stoff som skal være tema.

      2.3 Fremgangsmåte

      Korte presentasjoner kombineres med korte diskusjonsrunder. Presentasjonene bør dekke relevante aspekter av punktene prosessleder har vurdert som forberedelse. Arbeidsgruppen tar stilling til om utgangspunktet prosessleder har forberedt er hensiktsmessig.

      Hvert tema er beskrevet under.

      Omfang og tidsbruk på både presentasjon og diskusjon må tilpasses arbeidsgruppens forkunnskap, samt formålet med og objektet for risikovurderingen.

      Arbeidsgruppen bør avgrense seg til det som kan ha relevans og nytte i arbeidet videre. Underveis noteres følgende:

      • hvilke deler man velger å dele objektet i under denne risikovurderingen
      • obs-områder man identifiserer, og som bør vektlegges i risikovurderingen
      • områder man mener bør ha ingen eller lav prioritet

      Hensiktsmessig oppdeling av objektet for risikovurderingen

      En oppdeling av objektet i ulike deler vil ofte gjøre det lettere å konsentrere seg om disse underveis i arbeidet. En oppdeling kan gjøres på mange måter, avhengig av størrelse og innretning på risikovurderingen.

      Inndelingen kan for eksempel være varianter av:

      • oppgavene/tjenestene som inngår i risikovurderingen
      • informasjonssystemene som inngår
      • deler av ett eller flere informasjonssystemer

      Arbeidsgruppen bør avklare hva den mener er hensiktsmessig oppdeling for denne risikovurderingen. Det bør noteres. Spesielle obs-områder, eller områder som kan gis ingen eller lav prioritet i denne risikovurderingen, bør også noteres.

      Foranalysen for ansvarsområdet

      En foranalyse har gjerne et bredere omfang enn en risikovurdering. Det er derfor viktig at man i dette trinnet får sett over, diskutert og eventuelt tilpasset inntrykket fra foranalysen. Med objektet for risikovurderingen i sentrum må arbeidsgruppen vurdere relevans og nivå på det foranalysen sier om

      • oppgaver og tjenester
      • informasjonstyper
      • systemer
      • trusselaktører
      • farer
      • sårbarheter

      En slik gjennomgang gir en god ramme og et viktig bakteppe for risikovurderingsarbeidet videre. Det vil normalt ikke være nødvendig å gjennomføre en egen full foranalyse tilpasset objektet i hver risikovurdering. Spesielle obs-områder, eller områder som kan gis ingen eller lav prioritet i denne risikovurderingen, bør imidlertid noteres.

      Tidligere risikovurderinger

      Dersom arbeidsgruppen har tilgang til tidligere risikovurderinger på dette eller sammenlignbare områder, bør oppsummeringer fra disse kort diskuteres. Relevans og eventuelle obs-områder bør stå i sentrum for diskusjonen.

      Spesielle obs-områder for den nye risikovurderingen, eller områder som kan gis ingen eller lav prioritet, noteres.

      Statusrapporter om risikoforhold

      Digitaliseringsdirektoratet anbefaler at virksomheten jevnlig utarbeider statusrapporter som grunnlag for risikovurderinger. Sentrale tema kan være

      • oppsummering og kategorisering av tidligere sikkerhetshendelser
      • trender i trussel- og risikobildet i virksomheten, i lignende virksomheter, i verden generelt
      • oppsummering og trender i interne revisjoner, evalueringer, undersøkelser og målinger
      • tiltaksstyrke på relevante tiltaksområder
      • oversikt over felles tiltaksleverandører, fellessikring og mulig tilleggssikring

      Relevante tema herfra bør diskuteres i arbeidsgruppen og knyttes inn mot objektet for denne risikovurderingen. Spesielle obs-områder bør noteres.

      Regelverk og avtaler

      Foranalysen av et ansvarsområde skal også gi en oversikt over regelverk og avtaler med krav til informasjonssikkerhet.

      Arbeidsgruppen bør avstemme at den kjenner relevant regelverk, og vet hva det innebærer for objektet for risikovurderingen. Det bør også diskuteres om det innebærer spesielle obs-områder.

      2.4 Anbefalt dokumentasjon

      Risikonotatet bør utvides med

      • kort liste over hoveddeler i objektet for risikovurderingen
      • spesielle obs-områder
      • områder man eventuelt har gitt ingen eller lav prioritet
      Visuelt skille mellom delaktiviteter

      Trinn 3: Identifisere risikoer

      Illustrasjon av prosessen for å gjennomføre risikovurdering med tredje boks markert.

        3.1 Mål for trinnet

        Arbeidsgruppen har

        • identifisert et sett av relevante potensielle risikoer
        • formulert dem i helhetlige risikobeskrivelser
        • prioritert dem i noen hovedgrupper for arbeidet videre

        3.2 Fremgangsmåte

        Dette trinnet består av tre deloppgaver:

        • Identifiser potensielle hendelser og informasjonssikkerhetsbrudd.
        • Sett sammen risikobeskrivelser.
        • Prioriter risikoene.

        Første deloppgave er å identifisere potensielle uønskede hendelser og informasjonssikkerhetsbrudd basert på arbeidsgruppens kompetanse, erfaringer og kollektive refleksjoner.

        Det sentrale fremgangsmåten er idédugnad. Hensikten er å få synliggjort et bredt utvalg av hvilke uønskede hendelser og tilhørende informasjonssikkerhetsbrudd som kan inntreffe.

        I andre deloppgave skal det arbeidsgruppen har identifisert i den første deloppgaven, bearbeides og settes sammen i helhetlige risikobeskrivelser. Vi anbefaler den formen som er vist i trinn 1, Etablere felles referanseramme og begrepsforståelse. Risikobeskrivelsene skal da inneholde stikkord om

        1. innledende hendelse(r)
        2. informasjonssikkerhetsbruddet
        3. de uønskede konsekvensene som kan oppstå

        I den tredje deloppgaven skal arbeidsgruppen prioritere risikobeskrivelsene før analysen. Vi anbefaler primært en grovsortering i hovedgrupper ut fra antatt risikostørrelse.

        De tre deloppgavene er utdypet under. Eventuelle utfordringer man opplever under gjennomføringen, bør kort noteres i et vedlegg til risikonotatet.

        Identifiser potensielle hendelser og informasjonssikkerhetsbrudd

        Arbeidsgruppen skal først identifisere kombinasjoner av potensielle uønskede hendelser og påfølgende informasjonssikkerhetsbrudd.

        Dersom noen finner det naturlig å ta med potensielle konsekvenser eller konsekvenskategorier, bør det kunne gjøres. Dette er imidlertid ikke noe som bør vektlegges i denne delen av trinnet. Det bør heller ikke fokuseres for mye på formen på innspillene. De skal bearbeides i neste deloppgave.

        Prosessleder kan velge mellom flere hovedtilnærminger som for eksempel

        • idédugnad i en eller flere små runder
        • benytte en hendelsesbank
        • utføre eller søke støtte i gjennomførte dybdeanalyser (støttemetoder)

        Vi anbefaler at arbeidsgruppen starter med idédugnad i flere små runder. Ved behov kan det suppleres med de to andre tilnærmingene.

        Idédugnad

        Idédugnaden bør understøttes av en «lapper på vegg»-teknikk eller enkle digitale løsninger. Et tomt tekstdokument kan være nok. Det er viktig at prosessleder aktivt legger til rette for god gjennomføring. Brukes tekstdokument eller lignende, bør noen hjelpe prosessleder med å håndtere det.

        Små runder med idédugnad foreslås gjennomført for å få innspill på uønskede hendelser eller informasjonssikkerhetsbrudd tilknyttet:

        1. objektet for risikovurderingen generelt
        2. hver av de ulike delene objektet er delt inn i, jf. trinn 2, Vurdere obs-områder
        3. spesielle obs-områder som allerede er identifisert, jf. trinn 2, Vurdere obs-områder
        4. sentrale oppgaver og tjenester
        5. sentrale informasjonstyper
        6. trusselaktører
        7. farer
        8. sårbarheter

        Rundene kan gjennomføres som foreslått, eller i ulike kombinasjoner. Hvilke av rundene arbeidsgruppen gjennomfører og fokuserer på, må tilpasses hvert enkelt tilfelle.

        Som hjelp i idédugnaden kan følgende støttespørsmål benyttes:

        • Hva er dere mest bekymret for av uønskede hendelser?
        • Hva er dere mest bekymret for av sikkerhetsbrudd og påfølgende konsekvenser, og hva kan utløse disse?
        • Hva med vesentlig konsekvens har skjedd tidligere hos oss eller andre lignende virksomheter?
        • Hva skjer stadig av hendelser og sikkerhetsbrudd?
          • rundt taushetsplikt
          • rundt uautorisert endring av vesentlig informasjon
          • endring av vesentlig informasjon ved uhell
          • trege systemer, manglende tilgjengelighet på systemer eller informasjon?

        Støttespørsmålene kan gjerne være hengt opp på veggen eller være delt ut på et ark.

        Tidsbruk og omfanget av det som identifiseres, vil naturlig avta desto flere runder som er gjennomført. Til støtte i runde 5–8 kan det være nyttig å vise til deler av foranalysen man vurderte som relevant i trinn 2.

        Andre tilnærminger

        Etter idedugnaden bør prosessleder, eventuelt i samråd med arbeidsgruppen, vurdere om det er behov for å supplere med andre teknikker, som

        • en hendelsesbank
        • dybdeanalyser gjennom støttemetoder

        Disse gjennomføres ved behov dersom de er tilgjengelige.

        Resultat

        Arbeidsgruppen bør etter idédugnaden ha en liste med et utvalg av potensielle uønskede hendelser og informasjonssikkerhetsbrudd. Omfanget vil variere avhengig av hva som vurderes.

        Formuler risikobeskrivelser

        Arbeidsgruppen skal nå ta fatt i det som er identifisert, og gjennom en gruppediskusjon

        • klargjøre meningen med innholdet der det er nødvendig
        • gruppere og reformulere der det er naturlig
        • utforme risikobeskrivelser

        Prosessleder leder arbeidet. Start gjerne med de beskrivelsene som synes å være lettest å forstå.

        Anbefalt innhold i risikobeskrivelser

        Som vist i trinn 1, Etablere felles referanseramme og begrepsforståelse, anbefaler vi å benytte tredelte risikobeskrivelser. Det vil si at hver risikobeskrivelse inkluderer stikkord om

        1. innledende hendelse(r)
        2. informasjonssikkerhetsbruddet
        3. de uønskede konsekvensene som kan oppstå

        Hvilken del stikkordene tilhører, bør settes i parentes for å sikre at man får med alle elementene.

        • (1) Ansatte prater om sosialsaker i kantinen, naboer til klienter overhører; (2) Brudd på taushetsplikt; (3) Naboer snakker om ting de ikke skulle vite, klienter opplever ubehag, barn utestenges
        • (1) Organiserte kriminelle, sosial manipulering av ansatte via ekstern IKT-tilgang; (2) Kriminelle endrer beløp og utbetalingskonto i økonomisystem; (3) Feil i utbetalinger, virksomheten taper penger, andre får ikke det de har krav på
        • (1) Brann i serverrom; (2) Alle system detter ned; (3) All aktivitet i virksomheten ute av drift.

        Dersom føringene fra virksomhetsledelsen inneholder konsekvenskategorier, anbefaler vi at man som en del av identifiseringen også nevner hvilke av disse som i vesentlig grad blir berørt. Det kommer til nytte både i trinnet analysere og i risikohåndteringen senere.

        Stryke innspill med lav relevans

        Dersom arbeidsgruppen underveis innser at enkelte innspill klart ikke er relevante, bør disse strykes da de er unødvendig å bruke tid på. Refleksjon over det som eventuelt er nedprioritert tidligere vil være nyttig.

        Tekstbehandlingsprogram som støtte

        Risikobeskrivelsene som utarbeides bør noteres, for eksempel i et tekstdokument som hele gruppen kan se. Dette kan gjerne være en bearbeiding av dokumentet arbeidsgruppen eventuelt benyttet under idedugnaden.

        Prioriter risikoene

        Dersom det er identifisert mange potensielle risikoer, bør arbeidsgruppen til slutt i dette trinnet prioritere disse. Det vil gi en bedre tidsbruk i analysen i neste trinn, og sikre at det blir best kvalitet på det viktigste.

        Vi anbefaler å sette opp prioriteringsgrupper basert på hvor viktig det er å få hendelsen analysert videre, for eksempel:

        • A – høy
        • B – moderat
        • C – lav
        • D – ikke viktig

        Hendelsene bør grupperes ut fra antatt risikostørrelse. Risikobeskrivelser som åpenbart at har høy konsekvens og høy sannsynlighet, indikerer gruppe A – høy. Tilsvarende vil moderat konsekvens og sannsynlighet indikere gruppe B – moderat, og så videre. Mer blandede kombinasjoner må fordeles skjønnsmessig. Siste kategori er primært for risikobeskrivelser som tydelig representerer ubetydelige eller svært lave risikoer.

        Prioriteringen er en grovsortering, og tidsbruken må tilpasses det.

        3.3 Anbefalt dokumentasjon

        Risikonotatet bør utvides med

        • utfordringer under gjennomføringen, i den grad det er relevant
        Visuelt skille mellom delaktiviteter

        Trinn 4: Analysere risikoer

        Internkontroll i praksis-informasjonssikkerhet: Gjennomføre risikovurdering trinn 4 av 6

          4.1 Mål for trinnet

          Arbeidsgruppen har

          • analysert risikobeskrivelsene identifisert i forrige trinn
          • estimert nivået på konsekvens og sannsynlighet på relevante utfall for hver risikobeskrivelse
          • funnet den risikostørrelsen som uttrykker den største risikoen ved hver risikobeskrivelse

          4.2 Fremgangsmåte

          Arbeidsgruppen skal nå ta for seg hver av risikobeskrivelsene fra forrige trinn. De tas én for én i prioritert rekkefølge.

          For hver risikobeskrivelse skal prosessleder lede arbeidsgruppen gjennom deloppgavene:

          1. Forstå risikobeskrivelsen
          2. Estimere konsekvens
          3. Estimere tilhørende sannsynlighet
          4. Fastsette risikonivå

          Behovet for å gå i dybden vil variere mellom de ulike risikoene. Gode refleksjoner og diskusjoner vil ofte være både nyttige og viktige. Man bør likevel ikke gå mer i dybden eller bli mer omfattende enn det som er nødvendig. Målet er å få nok forståelse til å estimere rimelig riktig nivå.

          For potensielt høye risikoer med stor kompleksitet bør prosessleder vurdere om arbeidsgruppen skal gå dypere inn i det med ulike støttemetoder. Dette kan kreve bistand fra andre med spesialkompetanse.

          I dette trinnet brukes en risikotabell som støtte i og dokumentasjon av arbeidet. Digitaliseringsdirektoratets støtteverktøy kan benyttes. Risikotabellen fylles ut underveis i arbeidet for én og én risikobeskrivelse.

          Noen ganger vil det være behov for å vurdere flere alternative konsekvenser for en og samme risikobeskrivelse.

          De fire deloppgavene er utdypet under. Ved behov kan man gå litt frem og tilbake mellom deloppgavene. Eventuelle utfordringer under gjennomføringen bør kort noteres i et vedlegg til risikonotatet.

          Forstå risikobeskrivelsen

          Første deloppgave er å avstemme at risikobeskrivelsen er rimelig klar, og at alle i arbeidsgruppen forstår hva den innebærer. Ofte vil dette bare være en oppdatering fra forrige trinn.

          Man ser på og avstemmer beskrivelsene av

          1. innledende hendelse(r)
          2. informasjonssikkerhetsbruddet
          3. de uønskede konsekvensene som kan oppstå

          Arbeidsgruppen bør spesielt etablere en forståelse av hva informasjonssikkerhetsbruddet (2) betyr i praksis. Følgende støttespørsmål kan være nyttige:

          • Hvilke oppgaver og tjenester, systemer og informasjon blir berørt og hvordan?
          • Hvilke konsekvenser kan oppstå?
            • andre enn de som nå ligger i beskrivelsens del 3?
            • kan noen komme til som følgekonsekvenser?

          Man kan endre på risikobeskrivelsen dersom det er behov for det. Man bør imidlertid ikke bruke tid på å utdype detaljer. Refleksjonen er det viktigste.

          Dersom de ulike konsekvensene som kan oppstå berører mer enn én av de konsekvenskategoriene som er beskrevet i virksomhetens føringer, bør disse håndteres som ulike risikobeskrivelser. Dette gjør det lettere å estimere konsekvens og tilhørende sannsynlighet, i tillegg det senere arbeidet med å forslå hvordan risikoen skal håndteres.

          Estimere konsekvens

          I andre deloppgave skal arbeidsgruppen estimere konsekvens.

          Konsekvensen uttrykkes ved bruk av et konsekvensnivå knyttet til en konsekvenskategori. Referansen som skal brukes, er virksomhetens førende beskrivelser for hva disse betyr.

          Det er viktig å huske at et informasjonssikkerhetsbrudd (2) forårsaket av en uønsket hendelse (1) kan få mange forskjellige utfall, resultater eller konsekvenser (3), av ulik alvorlighetsgrad. Hver av disse vil kunne ha forskjellig sannsynlighet.

          Vi forenkler gjerne ved å uttrykke risikoen kun som én kombinasjon av konsekvens og sannsynlighet.

          Refleksjon for å vurdere konsekvensnivå

          Størrelsen på konsekvens estimeres oftest ved å velge det mest forventede konsekvensnivået. Det kan også være hensiktsmessig å vurdere hva som er det mest fryktede konsekvensnivået, og om man antar at dette, sammen med tilhørende sannsynlighet, vil resultere i en større risiko. Da kan det være mer nyttig å jobbe videre med det konsekvensnivået, eventuelt arbeide videre med begge som separate risikoer.

          Høyeste konsekvensnivå skal også være vurdert i foranalysen av ansvarsområdet man er innenfor, så denne kan gjerne hentes frem som støtte ved behov.

          Arbeidsgruppen må vurdere hva som skjer, kan skje, hindres og så videre. Man tilpasser tidsbruken til risikoens kompleksitet.

          1. Er det tilsiktede handlinger som ligger bak hendelsen (1)?
            • hvordan og til hva kan og vil slike trusselaktører prøve å utnytte informasjonssikkerhetsbruddet (2)?
          2. Er det uhell eller uaktsomhet som ligger bak hendelsen (1)?
            • hvordan kan informasjonssikkerhetsbruddet (2) utvikle seg til konsekvenser (3) av ulik type og størrelse?
          3. Hva kan hindre at informasjonssikkerhetsbruddet (2) blir omfattende?
          4. Hva kan hindre at konsekvensene (3) blir store?

          Spørsmålene 3 og 4 kan suppleres med:

          • Hva er styrken på relevante sikkerhetstiltak som er etablert?
          • Har vi beredskapsplaner for å håndtere slike hendelser/informasjonssikkerhetsbrudd?
          • Hva er nivået på kompetanse og kultur hos relevante aktører (i egen enhet, i egen IKT-driftsenhet, hos eventuell tjenesteleverandør og lignende)
          Eksempler til støtte i arbeidet

          Eksempel på normerende beskrivelser av konsekvensnivå finnes i vedlegg D i [EKSEMPEL] Retningslinje: Forstå, vurdere og håndtere risiko (docx):

          Estimere tilhørende sannsynlighet

          I tredje deloppgave skal arbeidsgruppen estimere tilhørende sannsynlighet til det eller de konsekvensnivåene de er kommet frem til.

          Sannsynligheten uttrykkes gjennom et sannsynlighetsnivå. Referansen som skal brukes, er virksomhetens førende beskrivelser for hva disse betyr.

          Sannsynlighet kan angis for ulike deler av hendelsesforløpet, for eksempel:

          1. sannsynligheten for at informasjonssikkerhetsbruddet skal skje som følge av den innledende hendelsen
          2. sannsynligheten for at konsekvensnivået/-nivåene vi valgte foran vil oppstå

          Sannsynligheten i punkt 2 er alltid på samme eller lavere nivå enn sannsynligheten i punkt 1. Sannsynligheten i punkt 2 vil blant annet kunne bli lavere enn i punkt 1 avhengig av hvilke tiltak som er iverksatt.

          Det er viktig å huske at vi i denne sammenhengen er ute etter estimat av sannsynlighet som dekker hele hendelsesforløpet, inklusiv at den aktuelle konsekvensen faktisk blir utfallet av hendelsen. Det er sannsynligheten i pkt. 2 vi er ute etter når størrelsen på risikoene skal beskrives.

          Refleksjon for å vurdere tilhørende sannsynlighetsnivå

          For å estimere sannsynlighetsnivå bør man vurdere

          • historisk hyppighet, eller det man vet om hyppighet, på både informasjonssikkerhetsbruddet og de aktuelle konsekvensnivåene
          • relevante trusselaktørers intensjon (motivasjon og vilje) og kapasitet, dersom en trusselaktør er involvert i risikobeskrivelsen
          • styrken på relevante sikkerhetstiltak som er etablert, eller generelt om sårbarhetsnivå

          Det er viktig at de tre faktorene ikke brukes individuelt og isolert ved estimatet av sannsynlighet, men ses i sammenheng.

          I foranalysen er det også gjort en overordnet vurdering av trusler, farer og sårbarheter, som gjerne kan hentes frem som støtte ved behov.

          Arbeidsgruppen fortsetter refleksjonen og diskusjonen fra estimeringen av konsekvensnivå, og kan bruke følgende fremgangsmåte for estimeringen:

          • Anslå hyppighetsnivå – Hvor ofte vet vi eller tror vi med rimelig sikkerhet, hos oss eller direkte sammenlignbare virksomheter at:
            • hendelsen (1) har skjedd?
            • sikkerhetsbruddet (2) har inntruffet som følge av hendelsen (1)
            • vi som følge av hendelsen (1) og/eller sikkerhetsbruddet (2) har fått det konsekvensnivå som vi over har estimert som
              • mest forventet?
              • mest fryktet?
              • noe imellom?
          • Identifiser hvilket sannsynlighetsnivå dette gir på virksomhetens skalaer

          • Vurder nivået på aktørens intensjon (som kombinasjon av motivasjon og vilje)
          • Vurder nivået på aktørens kapasitet
          • Juster skjønnsmessig sannsynlighetsnivået fra forrige trinn ut fra disse vurderingene

          • Vurder styrken på relevante sikkerhetstiltak som er etablert – hva kan hindre at hendelsen (1) og/eller informasjonssikkerhetsbruddet (2) skjer?
          • Vurder hvor lett etablerte sikkerhetstiltak kan omgås
          • Vurder hvor lett uhell eller uaktsomhet kan skje
          • Juster skjønnsmessig sannsynlighetsnivået fra forrige trinn ut fra disse vurderingene

          Benytt så det sannsynlighetsnivå du er kommet frem til.

          Eksempler til støtte i arbeidet

          Eksempel på normerende beskrivelser av sannsynlighetsnivå, og støtte ved estimat av sannsynlighetsnivå finnes i henholdsvis vedlegg E og H i [EKSEMPEL] Retningslinje: Forstå, vurdere og håndtere risiko (docx):

          Fastsette risikonivå

          I den fjerde deloppgaven skal arbeidsgruppen finne siste del av risikostørrelsen, risikonivået.

          Referansen for risikonivået er virksomhetens førende beskrivelser for hvilke kombinasjoner av konsekvens og sannsynlighet som gir hvilke risikonivå. Disse er oftest fremstilt i en matrise.

          Å finne risikonivået innebærer å bruke estimatene av konsekvens og sannsynlighet og slå opp i den normerende matrisen.

          Man har nå uttrykt hele risikostørrelsen bestående av

          1. konsekvensnivå
          2. sannsynlighetsnivå
          3. risikonivå

          Det er viktig å huske at vi har gjort noen valg og forenklinger i løpet av analysen.

          Etter deloppgave 1, Forstå risikobeskrivelsen, valgte man én konsekvenskategori man gikk videre med. Dersom det var flere relevante konsekvenskategorier, må deloppgave 2-4 gjennomføres også for de øvrige konsekvenskategoriene. Dette vil bli ulike risikoer i risikotabellen.

          Når man estimerte etter konsekvens, valgte man også ett konsekvensnivå - som oftest det mest forventede.

          Til slutt bør man vurdere om det er andre kombinasjoner av konsekvensnivå og tilhørende sannsynlighetsnivå som vil gi et høyere risikonivå enn det man har arbeidet med. Vær spesielt oppmerksom på muligheten for dette når foreløpig risikostørrelse er på laveste nivå, samtidig som det finnes mulige konsekvenser med høyere konsekvensnivå.

          Dersom man mener andre kombinasjoner gir et høyere risikonivå, bør man velge det aktuelle konsekvensnivået og estimere tilhørende sannsynlighet og risikonivå på nytt.

          Eksempler til støtte i arbeidet

          Eksempel på normerende beskrivelser av risikonivå finnes i vedlegg C i [EKSEMPEL] Retningslinje: Forstå, vurdere og håndtere risiko (docx):

          4.3 Anbefalt dokumentasjon

          Risikonotatet bør utvides med

          • utfordringer under gjennomføringen, dersom det er relevant for videre arbeid eller for oppdragsgiver

          Vedlegg til risikonotatet:

          • En risikotabell, som viser risikobeskrivelse og risikostørrelse (konsekvensnivå, sannsynlighetsnivå og risikonivå)
          • en restliste (eventuelle risikobeskrivelser man har identifisert, men ikke fått analysert)
          Visuelt skille mellom delaktiviteter

          Trinn 5: Evaluere risikoer

          Illustrasjon av prosessen for å gjennomføre risikovurdering med femte boks markert.

          5.1 Mål for trinnet

          Arbeidsgruppen har

          5.2 Fremgangsmåte

          Arbeidsgruppen skal nå gå gjennom én og én av risikoene fra forrige trinn. Status rundt hver enkelt av dem skal vurderes opp mot virksomhetens kriterier for å akseptere risiko.

          Gjennomgangen kan tas sortert på risikostørrelse eller i grupper som naturlig hører sammen.

          Referansen under gjennomgangen er virksomhetens kriterier for å akseptere risiko. De vil normalt fremgå av en retningslinje eller lignende fra ledelsen.

          For hver risiko vurderes status opp mot virksomhetens egne kriterier. Eksempler på tema som kan være omtalt og dermed kreve vurdering, er:

          • hvor systematisk og grundig arbeid er gjennomført tidligere for å identifisere relevante risikoreduserende tiltak inn mot denne eller tilsvarende risikoer?
          • hvor viktig er arbeidsoppgaven/tjenesten som utføres for virksomhetens primære mål?
          • i hvilken grad er alternative fremgangsmåter for arbeidet/tjenesten vurdert?

          Resultatet av evalueringen av hver risiko skal noteres i risikotabellen. Vi anbefaler at man skriver «Kan aksepteres» eller «Ikke akseptabel» i en hensiktsmessig kolonne.

          Eksempler til støtte i arbeidet

          Eksempel på kriterier for å akseptere risiko finnes i vedlegg B i [EKSEMPEL] Retningslinje: Forstå, vurdere og håndtere risiko (docx):

            5.3 Anbefalt dokumentasjon

            Risikonotatet utvides med

            • Resultatet fra risikovurderingen:
              • kort om det generelle risikonivået
              • informasjon om spesielt høye risikoer
              • kort omtale av og henvisning til risikotabellen
            • Utfordringer under gjennomføringen, i den grad det er relevant

            Vedlegg til risikonotatet:

            • Risikotabellen suppleres med resultatet av evalueringen
            • Eventuelt en risikomatrise
            Visuelt skille mellom delaktiviteter

            Trinn 6: Beskrive kvalitet og kunnskapsstyrke

            Illustrasjon av prosessen for å gjennomføre risikovurdering med sjette boks markert.

            6.1 Mål for trinnet

            Arbeidsgruppen har informert beslutningstaker om kvaliteten på arbeidet og kunnskapsstyrken bak de nye estimatene på restrisiko.

            6.2 Fremgangsmåte

            Når alle risikoer er evaluert, skal arbeidsgruppen til slutt si noe overordnet om kvaliteten på arbeidet og kunnskapsstyrken bak estimatene rundt risikostørrelse.

            Kvalitet

            Kvaliteten kan beskrives ved å kort henvise til hvilke metoder arbeidsgruppen har anvendt og hvilke eventuelle tilpasninger som er gjort, gjøre rede for tidsbruk, samt en skjønnsmessig vurdering av hva som var bra med gjennomføringen, og hva som kunne vært gjort bedre eller grundigere.

            Elementer i kunnskapsstyrken

            Kunnskapsstyrke er et uttrykk for hvor god bakgrunnskunnskap man har når en risiko skal vurderes, estimere konsekvens og tilhørende sannsynlighet.

            Sentrale elementer i kunnskapsstyrken er

            • deltakernes kompetanse
            • grundigheten i analysene som er gjort

            Delområdet kompetanse omfatter blant annet deltakernes samlede

            • kjennskap til objektet som vurderingen gjelder
            • fagkompetanse om håndtering av de typer uønskede hendelser som inngår i risikoen
            • analysekompetanse
            • forståelse for estimering av konsekvens og tilhørende sannsynlighet

            Uttrykke kunnskapsstyrke

            Det kan være hensiktsmessig å gradere og uttrykke kunnskapsstyrken i kategoriene svak, middels og sterk. Nivået man setter på kunnskapsstyrken bør samsvare med den usikkerhet man har rundt sannsynlighetsestimatet.

            Det vil i mange sammenhenger være hensiktsmessig å først estimere kunnskapsstyrken felles for alle eller de fleste risikoene.

            I tillegg bør det alltid vurderes om kunnskapsstyrken bak enkelte risikoer skal estimeres og kommuniseres spesielt. Dette vil være aktuelt dersom de avviker vesentlig fra den generelle kunnskapsstyrken.

            6.3 Anbefalt dokumentasjon

            Risikonotatet kan utvides med

            • Kvalitet og kunnskapsstyrke (kort omtale)