Om fellessikring og tilleggssikring
Fellessikring er et felles grunnleggende sikkerhetsnivå for oppgaver og tjenester på tvers av hele virksomheten.
1. Innledning
Fellessikring er et felles grunnleggende sikkerhetsnivå for hele, eller sentrale områder, i virksomheten. Fellessikring består av sikkerhetstiltak som bidrar til sikkerheten for alle, eller de fleste, av virksomhetens oppgaver og tjenester. Tilleggssikring er sikkerhetstiltak som gjelder for de med spesielle risikoer og ekstra behov for tiltak.
I teorien skal det være en sammenheng mellom alle risikoer som behandles og de tiltak som etableres for å håndtere dem. I praksis vil det imidlertid bli for mye administrasjon og for kostbart for en virksomhet å skulle holde oversikt over alle slike sammenhenger. Det vil også bli for kostbart å skulle tilpasse alle tiltak individuelt til hver enkelt risiko.
Bruk av fellessikring og tilleggssikring er en pragmatisk måte å håndtere dette på. Det medfører noen kompromiss. Nytte, negative sideeffekter og direkte kostnader blir kanskje ikke ideell for hver enkelt risiko, men virksomheten får en mer kostnadseffektiv helhet og forvaltning av sikkerhetstiltakene.
Det er viktig at man ikke legger for mange sikkerhetstiltak som kan ha negative sideeffekter inn i et sikkerhetsnivå som skal gjelde alle, eller de fleste, deler av virksomheten. Slike sikkerhetstiltak bør være tilgjengelig tilleggssikring for dem som har behov for dem, eller som skreddersøm ved spesielle behov.
Sikkerhetsnivå
Et sikkerhetsnivå kan være et definert sett av sikkerhetstiltak.
Sikkerhetstiltakene kan grupperes og kategoriseres på forskjellige måter, for eksempel etter tiltaksområder som ulike tiltaksleverandører er ansvarlige for.
Dokumentasjon av et sikkerhetsnivå gir oversikt over grunnleggende sikkerhetstiltak som er etablert der sikkerhetsnivået beskyttes.
2. Fellessikring
En virksomhet kan ha et felles grunnleggende sikkerhetsnivå for hele, eller sentrale områder i, virksomheten. Vi kaller det virksomhetens fellessikring.
Man oppnår en rekke fordeler med å etablere et slikt felles grunnleggende nivå av sikkerhet:
- felles forståelse av hvilke grunnleggende sikkerhetstiltak som er etablert i virksomheten
- trygghet for at informasjonsbehandling har et visst grunnleggende sikkerhetsnivå
- bedre oversikt over etablerte sikkerhetstiltak
- en grunnmur som ekstra sikkerhetstiltak kan legges til der det er spesielle behov
Det er viktig at risikoeiere er involvert i arbeidet med etablering og vedlikehold av fellessikring, for å påse at tiltakene dekker de grunnleggende behovene, og at risikoeiere skjønner hva de får via fellessikringen.
Innholdet i fellessikringen bør basere seg på vurdering og håndtering av risiko for representative oppgaver eller tjenester som virksomheten har ansvar for, og analyse av krav til spesifikke sikkerhetstiltak som følger av regelverk eller avtaler. Den bør ikke være mer omfattende enn nødvendig. Svært kostbare sikkerhetstiltak, eller tiltak med vesentlige negative sideeffekter, som det ikke er behov for på tvers av virksomhetens oppgaver og tjenester, bør ikke inngå i fellessikringen.
Mer om fellessikring
Man kan oppnå mer effektiv og helhetlig forvaltning av sikkerhetstiltakene ved at de utformes, dokumenteres, vedlikeholdes og følges opp av felles tiltaksleverandører. Bedre oversikt og mer konsistent etablering av sikkerhetstiltak gir bedre sikkerhet. I tillegg kan det gi lavere kostnader og bedre oversikt og kontroll med kostnadene.
God forvaltning av fellessikring bidrar til å forenkle aktivitetene for vurdering og håndtering av risiko. Risikoeiere kan i større grad konsentrere seg om risiko som er spesifikk for sine oppgaver, tjenester og informasjonssystemer, og behov utover det som allerede er etablert i fellessikringen.
Dersom en risikoeier ikke behøver å velge et tiltak i risikohåndteringen sin, eller etablere et tiltak selv, fordi tiltaket er etablert i virksomheten og følges opp av noen andre, er dette en god indikasjon på at man har å gjøre med et tiltak som inngår i fellessikringen.
Risikoeiere er som regel ansvarlig for tilpasninger som må gjøres for at sikkerhetstiltak fra fellessikringen skal fungere etter hensikten for sine oppgaver, tjenester eller systemer. En del sikkerhetstiltak, spesielt tekniske tiltak, krever komponenter, produkter eller konfigurasjon på hvert enkelt IKT-system for at det skal få nytte av fellessikringstiltaket. Eksempler på dette kan være klientprogramvare for å knytte seg til tjeneste for sikkerhetskopiering eller konfigurasjon for å sende loggdata til logghåndteringstjeneste.
De som er ansvarlige for sikkerhetstiltak i fellessikringen bør opprettholde informasjon om status på sikkerhetstiltakene sine, ettersom disse tiltakene som regel er viktige for sikkerheten i store deler av virksomheten.
De som er ansvarlige for slike sikkerhetstiltak bør også ha mulighet til å kommunisere hurtig og effektivt om endringer som kan påvirke sikkerheten negativt, for eksempel ved at en undersøkelse avdekker at et tiltak har svikt og mangler, eller at et tiltak ikke gir den tiltenkte sikkerheten på grunn av nye trusler eller angrepsmetoder.
I tilfeller hvor tiltak i fellessikringen leveres av eksterne, for eksempel en tjenesteleverandør, må man påse at man har lagt til rette for å få informasjon om status og effektivitet på sikkerhetstiltakene som den eksterne parten har ansvaret for. Slike sikkerhetstiltak bør også inngå i virksomhetens helhetlige dokumentasjon av sikkerhetstiltak.
Selv om det å forvalte sikkerhetstiltak i fellessikring og tilleggssikring er et enkelt konsept, vil det kreve en del planlegging og koordinering å få det til å fungere godt i praksis. Fagansvarlig informasjonssikkerhet spiller ofte en viktig rolle for å få dette til på en god måte.
3. Tilleggssikring
Sikkerhetsbehov vil kunne variere internt i en virksomhet, og det vil ofte være behov for tilpasninger eller ekstra sikkerhetstiltak for enkelte oppgaver, tjenester eller informasjonssystemer. Basert på vurdering av risiko vil risikoeier kunne beslutte å etablere sikkerhetstiltak for sine oppgaver og informasjonssystemer som ikke inngår i virksomhetens fellessikring. Sikkerhetstiltak som legges på toppen av fellessikringen kaller vi tilleggssikring.
De samlede sikkerhetstiltak for en oppgave, tjeneste eller et informasjonssystem kan altså bestå av fellessikring pluss tilleggssikring.
En virksomhet kan gjerne definere og beskrive tilgjengelig tilleggssikring, som risikoeiere kan velge fra ved behov.
Ved behov for et stort omfang av likeartet tilleggssikring flere steder i virksomheten bør man vurdere om noe av dette bør legges til fellessikringen. Ettersom slike valg kan få negative sideeffekter for andre i virksomheten, bør en slik vurdering alltid skje i dialog med dem som eier oppgavene, tjenestene og informasjonssystemene. Beslutning bør tas på et høyt nivå i organisasjonen.
4. Flere sikkerhetsnivåer
Virksomheter med komplekse behov kan velge å definere flere sikkerhetsnivåer enn bare fellessikring.
For eksempel vil en virksomhet som har arbeidsoppgaver og systemer som sorteres i to grupper – de ordinære og de kritiske, hvor de kritiske har sammenfallende behov – kunne ha nytte av å definere to sikkerhetsnivå: fellessikring og sikkerhetsnivå for kritiske systemer.
Uansett hvilket sikkerhetsnivå som ligger i bunn, kan enkelte systemer ha tilleggssikring – sikkerhetstiltak som kommer i tillegg til det som inngår i det valgte sikkerhetsnivået.