Ulike perspektiver gir ulikt fokus

«Helheten» er ikke den samme fra en virksomhet til en annen. Ulike målsetninger og forpliktelser vil påvirke hva man anser som viktigst. For å arbeide godt helhetlig må man forstå hvordan dette påvirker de vurderingene man gjør.

Informasjonssikkerhet er viktig for en virksomhets informasjonsbehandling og måloppnåelse, og derfor gir mange regelverk føringer for arbeidet med informasjonssikkerhet. Ulike myndighetsorganer og veiledningsaktører gir råd, veiledning, anbefalinger og føringer med utgangspunkt i sine ansvarsområder og ulike regelverk. Regelverkene har forskjellig formål og innretning, noe som påvirker hva virksomheten retter oppmerksomheten mot. Dette påvirker også den veiledningen som gis.

    Ulik forståelse av risiko

    Årsaker til og konsekvenser av hendelser

    Et informasjonssikkerhetsbrudd er når en hendelse resulterer i et brudd på konfidensialitet, integritet og/eller tilgjengelighet til informasjon eller informasjonsbehandlingen. Det kan være ulike årsaker til slike hendelser, for eksempel tilsiktede handlinger, uaktsomhet, uhell og ulykker eller naturhendelser. Disse hendelsene kan igjen føre til konsekvenser på ulike områder, det være seg virksomhetens leveranser, virksomhetens økonomi, personvern, liv og helse eller nasjonal sikkerhet.

    Sløyfediagram som viser årsaker til sikkerhetsbrudd på venstre side, sikkerhetsbrudd i midten, og mulige konsekvenskategorier på høyre side.

    Når en virksomhet arbeider helhetlig med informasjonssikkerhet, bør alle årsaker til hendelser og alle konsekvenskategorier vurderes. Dette kan imidlertid bli omfangsrikt, og det kan være nødvendig å prioritere og gjøre avveininger av hva som er viktigst å fokusere på for den enkelte virksomhet. Dette vil være avhengig av hva slags arbeidsoppgaver som utføres, hvilke typer informasjon som behandles, og hvilken betydning informasjonsbehandlingen har for virksomhetens oppgaver.

    Hvem får et sikkerhetsbrudd konsekvenser for?

    Et informasjonssikkerhetsbrudd kan få ulike konsekvenser på ulike nivåer. For eksempel vil en hendelse som påvirker mennesker, en IT-komponent eller et IKT-system kunne gi konsekvenser for informasjonssystemet disse er en del av. Svikt i informasjonssystemer kan få konsekvenser for virksomhetens evne til å gjennomføre arbeidsoppgaver og levere tjenester, som selvfølgelig kan få direkte følger for virksomhetens måloppnåelse. Slik svikt i informasjonsbehandlingen i en virksomhet kan få konsekvenser utenfor virksomheten – enten for innbyggere, andre virksomheter, samfunnet eller nasjonale sikkerhetsinteresser.

    Som på andre områder i virksomhetens risikostyring, er det viktig at det er slik ledelsen forstår risiko knyttet til informasjonssikkerhet – hva kan få konsekvenser for oppgaver og tjenester, måloppnåelse og videre utenfor virksomheten. Ledelsen må både ivareta virksomhetens egne interesser, og oppfylle lovpålagte plikter for å ivareta andres interesser.

    Fremstilling av hvordan hendelser kan få konsekvenser på ulike nivåer, fra informasjonssystem på nederste nivå, via oppgaver og tjenester og måloppnåelse til innbyggere, virksomheter og samfunnet på øverste nivå.

    Behandling av ulike informasjonstyper

    Et annet element som påvirker hvordan man arbeider med informasjonssikkerhet, er hva slags informasjon – eller hvilke informasjonstyper – som behandles.

    I en virksomhets ulike oppgaver vil man behandle forskjellig informasjon. Noen oppgaver vil innebære behandling av personopplysninger, kanskje også særlige kategorier av personopplysninger, andre vil behandle virksomhetskritisk informasjon, og andre igjen skjermingsverdig informasjon.

    Konseptuell visualisering av forholdet mellom informasjonssikkerhet og personvern, der det er en overlapp der konfidensialitet, integritet, tilgjengelighet og robusthet av personopplysninger skal sikres

    Hvilke informasjonstyper som behandles vil påvirke hvordan man må arbeide for å sikre informasjonsbehandlingen, og hvilke regelverk som skal etterleves.

    Arbeidet med informasjonssikkerhet og personvern overlapper når man skal sikre konfidensialitet, integritet og tilgjengelighet av personopplysninger virksomheten behandler.

    Konseptuell visualisering av forholdet mellom informasjonssikkerhet og sikkerhetsstyring, der sikkerhetsstyring etter sikkerhetsloven delvis overlapper med arbeid med informasjonssikkerhet. Tekstbokser beskriver at arbeidet med informasjonssikkerhet består av aktiviteter for styring og kontroll, og sikkerhetstiltak etter behov, og at det for sikkerhetsstyring i tillegg trengs å ivareta særkrav i lovverket, og ha sikkerhetstiltak iht forskrift.

    På samme måte overlapper arbeidet med informasjonssikkerhet og sikkerhetsstyring etter sikkerhetsloven når man har informasjon eller informasjonssystemer som er skjermingsverdige og derfor skal sikres.

    Perspektiver på informasjonssikkerhet

    Virksomhetsstyring
    Generelt arbeid med informasjonssikkerhet
    Skjermingsverdige verdier etter sikkerhetsloven
    Behandling av personopplysninger

    Informasjonssikkerhetsområdet er stort, og det er mange ulike roller og mange ulike typer kompetanse som er involvert. Å ivareta informasjonssikkerhet i styringen av en virksomhet krever et annet perspektiv og annen kompetanse enn å beskytte nettverksteknologi mot menneskestyrte angrep. Kostnadseffektiv forvaltning av sikkerhetstiltak på tvers av alle oppgaver og tjenester krever et annet perspektiv og annen kompetanse enn å ha ansvaret for gjennomføring av identitetskontroll og bakgrunnssjekk ved ansettelser. Det er noen som skal styre risiko for de oppgavene og tjenestene de har ansvaret for (inkludert informasjonssikkerhet), andre som har ansvaret for å støtte dem i dette arbeidet, og atter andre som skal etablere og forvalte spesifikke sikkerhetstiltak (f.eks. innen adgangskontroll eller tekniske tiltak innen IT). Den sistnevnte gruppen er i dag i økende grad utenfor virksomhetens egen organisasjon, og har ansvaret for sikkerhetstiltak som en del av tjenesteleveranser til virksomheten.