Metodar for vurdering av risiko
Sjølve gjennomføringa av risikovurderingar kan skje ved hjelp av ulike metodar. Her skildrar vi eit utval heilskaplege metodar og støttemetodar som kan nyttast i arbeidet med å vurdere risiko på informasjonssikkerheitsområdet.
1. Innleiing
Heilskaplege metodar dekkjer alle stega i risikovurderinga. Støttemetodar kan nyttast innanfor eitt eller fleire av dei enkelte stega i risikovurderinga.
Mange heilskaplege metodar inkluderer også første del av risikohandteringa. Mange av støttemetodane kan også nyttast både i risikovurderinga og den påfølgjande handteringa av risiko.
Digitaliseringsdirektoratet si skildring av korleis ein kan gjennomføre ei risikovurdering innan informasjonssikkerheit, er ei skildring av ein heilskapleg metode basert på den grunnleggjande «grovanalysemetoden».
Digitaliseringsdirektoratet si skildring av vurdering av behov for risikovurderingar, og gruppere eller dele opp før risikovurderingar, er i praksis støttemetodar. Desse er skildra som eigne delaktivitetar under hovudaktiviteten Vurdering av risiko.
2. Heilskaplege metodar
2.1 Grovanalyse
Omgrepet grovanalyse brukar vi ofte om kvalitative metodar som kan gjennomførast med relativt beskjeden ressursinnsats. Hovudtrekka er godt kjende frå andre fagområde, til dømes HMS. Grovanalysen nyttar normalt risikomatriser for å kommunisere konsekvens-, sannsyns- og risikonivå. Ein risikotabell er ofte sentral i dokumentasjonen.
Grovanalysen følgjer dei tre hovuddelane i ei risikovurdering, det vil seie risikoidentifikasjon, risikoanalyse og risikoevaluering. Ofte blir identifisering av risikoreduserande tiltak i den påfølgjande risikohandteringa inkludert i ein grovanalyse.
Ein grovanalyse er ikkje absolutt i forma si, men fleksibel med tanke på føremål og tilnærming. Ulike formelle og uformelle støttemetodar kan nyttast ved behov. Det gjer det enkelt å tilpasse ein grovanalyse til informasjonssikkerheit.
Det blir til vanleg oppretta ei arbeidsgruppe som har god kjennskap til det som er gjenstand for vurderinga. På ein systematisk måte identifiserer og gjennomgår gruppa hendingar, konsekvensar, sannsyn og risiko. Omkringliggjande tilhøve analyserast etter behov.
Som namnet indikerer, vil ikkje grovanalysen dekkje alle detaljar. Han vil likevel normalt dekkje dei mest alvorlege, dei mest kjende og dei mest frykta hendingane og risikoane. Kjennskapen gruppedeltakarane har til objektet for risikovurderinga, er ein nøkkelfaktor for at grovanalysen skal bli ei god risikovurdering.
Det er ikkje naudsynt med metodisk spisskompetanse for å gjennomføre ein grovanalyse.
2.2 NS-ISO/IEC 27005:2018
ISO 27005 er ein standard for risikostyring av informasjonssikkerheit. Standarden byggjer på – og er i samsvar med – den overordna risikostyringsstandarden NS-ISO 31000:2018. Han skildrar difor også korleis ein skal kartleggje kontekst og handtere risiko, som er andre delar av risikostyringsprosessen enn sjølve risikovurderinga.
ISO 27005 stiller krav til kva som skal gjerast, men er open for ulike måtar å gjennomføre oppgåvene på. Verksemda må sjølv velje framgangsmåte, eksempelvis blir det peika på at risikovurderinga kan gjerast i fleire rundar (iterativt), der første runde er ein høgnivågjennomgang med søkelys på moglege høgrisikoområde, medan seinare rundar gjev meir detaljerte analysar.
2.3 NIST 800-30
National Institute of Standards and Technology har gjeve ut ei rettleiing i risikovurdering som skal støtte USA si forvaltning i å etterleve krav til informasjonssikkerheit. Metoden skal stø opp om prosessane i risikostyringsrammeverket som er skildra i NIST 800-39, og det blir lagt vekt på at verksemda skal kunne tilpasse metoden til særtrekka i verksemda.
For norske lesarar kan koplinga til det føderale risikostyringsrammeverket vere uvant. Rammeverket baserer seg på at ein kan gjere risikovurderingar på tre nivå (lag/«tiers»):
- organisasjonsnivå
- prosessnivå
- informasjonssystemnivå
I rettleiingsmateriellet vårt korresponderer prosessane for å etablere og vedlikehalde internkontrollen med vurdering av risiko på organisasjonsnivået, og vurdering av risiko for felles informasjonssystem korresponderer med informasjonssystemnivået. Vurdering av risiko for oppgåver og tenester med tilhøyrande informasjonssystem korresponderer med både prosessnivået og informasjonssystemnivået.
Risikoidentifiseringa skal baserast på ei tilstrekkeleg kartlegging av verdiar og verdieigarar, trugsmål, tryggingstiltak, sårbare sider og konsekvensar.
Etter risikoidentifisering skal konsekvensar og tilhøyrande sannsyn estimerast, kvantitativt eller kvalitativt. Til slutt skal risikoane prioriterast, baserte på risikoevalueringskriteria som er fastsette innleiingsvis i risikostyringsprosessen. Det skal også takast omsyn til regulatoriske og kontraktuelle tilhøve.
Standarden har fleire vedlegg der mellom anna ulike typar aktiva og uønskte hendingar er lista opp.
2.4 Octave
Octave-metoden vart tidleg på 2000-talet utvikla av Carnegie Mellon University som risikovurderingsstøtte for større verksemder (>300 tilsette). Octave Allegro S er frå 2007, og er enklare og skal kunne brukast i mindre verksemder.
Octave står for «Operationally Critical Threat, Asset, and Vulnerability Evaluations», og det blir i metodeverket understreka at ein skal konsentrere seg om kritiske informasjonsverdiar og dei områda av verksemda som ein reknar at har størst risiko.
Metoden baserer seg på at det blir gjennomført åtte steg i risikovurderinga gjennom arbeidsmøte i organisasjonen.
Kritisk informasjon skal identifiserast, saman med kvar han blir behandla. Det siste kallast «containers» og omfattar både personar og utstyr. Vidare skal ein identifisere trugsmålscenario på dei områda der verksemda ser grunn til uroing.
På bakgrunn av dette skal ein identifisere og analysere risikoar. Strategiar for å handtere risikoen vel ein til slutt, basert på risikokriteria til verksemda.
Det er tilbod om fleire malar til støtte for kvart steg. Dette malverket kan vere til nytte også ved risikovurdering etter andre metodar. Metoden skildrar til dømes generiske trugsmålstre baserte på aktør, motiv og resultat.
Dokumentasjonen kan du laste fritt ned frå Carnegie Mellon University, og metoden kan brukast vederlagsfritt. Allegro S skildrast på 30 sider, med ca. 60 sider malverk.
Det er verdt å vere merksam på at metoden baserer seg på ei enkel vurdering av sannsynet for uønskte hendingar (frivillig, kvalitativ vurdering i tre nivå). Dette kan gjere prioriteringa av risikoar vanskeleg. Det kan også gjere vurderinga av korleis risikoen bør handterast vanskeleg, til dømes i valet mellom førebyggjande og reparerande tiltak.
3. Støttemetodar
NS-ISO/IEC 31010 gjev ei oversikt over eit trettital metodar som kan stø opp under delar av risikostyringsprosessen. Slike støttemetodar kan ved behov inngå i heilskaplege metodar.
Vi har under gjeve ei kort skildring av nokre av desse støttemetodane. Vi har gjort eit utval som vi går ut frå forvaltninga kan ha spesiell nytte av. Vi har i overskrifta tatt med tilvisinga til kvar i 31010 metoden er omtala. For utdjupingar og andre metodar viser vi til NS-ISO/IEC 31010.
Merk at dei enkeltståande metodane sjeldan er strengt definerte. Dei blir ofte brukte i variantar som låner element frå andre metodar. Fleire av metodane gjev grafiske teknikkar for å strukturere og illustrere årsak–verknadskjeder.
3.1 Idédugnad (B.1.2)
Idédugnader, der grupper diskuterer relativt fritt, er ein metode som kan nyttast i alle fasar av risikovurderinga, til dømes for å identifisere trugsmålsaktørar, informasjonsverdiar, uønskte hendingar, konsekvensar av hendingar og så vidare. Metoden gjev god grunnforståing hos deltakarane og legg til rette for kreative innspel. Samstundes er det i utgangspunktet lite systematikk og analyse bak identifiseringa.
3.2 Strukturert kva-om (SWIFT) (B.2.6)
Metoden er ein strukturert idédugnad, som er eigna for bruk i alle steg av risikovurderingsprosessen. Møteleiar strukturerer diskusjonen gjennom leietekstar og utforsking av hendingsscenario baserte på innspel og førebudde spørsmål frå gruppa («kva blir konsekvensen om, kva vil angripar gjere om ...»).
3.5 Sløyfeanalyse (Bow-tie) (B.4.2)
Sløyfeanalysar kan vi sjå på som ein kombinasjon av hendingstreanalysar og feiltreanalysar. Ei utløysande hending blir plassert i midten av diagrammet, medan moglege årsaker blir plasserte til venstre og moglege verknader til høgre. Dette gjev eit godt utgangspunkt for å plassere ev. førebyggjande og reparerande tryggingstiltak.
Namnet «sløyfeanalyse» kjem av at illustrasjonen ser ut som ei sløyfe.
3.4 Hendingstreanalyse (B.5.6)
Metoden blir brukt for å analysere konsekvensane av ei hending. Ved at ein tar omsyn til tryggingstiltak, kan han også gje eit uttrykk for effekten av desse. Det blir teke utgangspunkt i ei innleiande hending og deretter kva konsekvensar hendinga kan gje.
3.3 Feiltreanalyse (B.5.7)
Metoden blir brukt for å identifisere, illustrere og analysere moglege årsaker til ei uønskt hending (feilen). Den uønskte hendinga (topphendinga) blir skildra med moglege årsaker, og for kvar årsak ser vi etter årsakskjeder heilt ned til at basishendingar/rotårsaker er identifiserte. Analysen kan brukast både som grunnlag for å estimere sannsynet for den uønskte hendinga, og til å vurdere korleis riskoen skal handterast, under dette identifisere aktuelle tryggleikstiltak.
Ein variant av feiltreanalysen er angrepstre, som kan nyttast til trugsmålsmodellering. Det blir då teke utgangspunkt i kva ein angripar vil oppnå (ein feil/ei uønskt hending sett frå risikoeigar sitt synspunkt). Deretter blir det undersøkt korleis angripar kan nå målet sitt, og kva føresetnader som må vere til stades. Eit slikt angrepstre vil kunne identifisere svake punkt i informasjonssystemet og kan danne utgangspunkt for ei risikobasert tryggleikstesting av eit system.
3.6 Monte Carlo-simulering (B.5.10)
For å estimere sannsyn for uønskte hendingar kan ein nytte Monte Carlo-simulering. Systemet må skildrast i ein modell. Gjennom eit stort antal simuleringar kan ein sjå korleis utfallet vil bli når inngangsverdiane har ei fastsett fordeling. Metoden blir også brukt i usikkerheitsanalysar i kvalitetssikringsregimet (KS2) til Finansdepartementet.
3.7 Konsekvens- og sannsynsmatrise (risikomatrise) (B.10.3)
Konsekvens- og sannsynsmatrise er eit verktøy som kombinerer kvalitative eller semikvantitative rangeringar av konsekvens og sannsyn for å gje eit risikonivå eller ei risikorangering. Dei blir også ofte berre kalla for risikomatriser.
Matrisene blir brukte for å avgjere om ein gjeven risiko stort sett er akseptabel eller ikkje, i høve til matriseruta han er plassert i. Vidare brukast dei vanlegvis som eit filtreringsverktøy for å klargjere kva risikoar som må handterast først.
Grunnlaget for bruk er tilpassa skalaar for konsekvens og sannsyn og ei matrise som kombinerer desse to.
Digitaliseringsdirektoratet tilrår i dette rettleiingsmateriellet bruk av kvalitative risikomatriser (konsekvens- og sannsynsmatriser) for å styre, rekne ut, uttrykkje og rangere risikoar.