Risikoanalyse risikovurdering risikostyring beredskabsplan handlingsplan

1 Risikostyring vejledning staten - Download her
2 Vejledning i it risikostyring - Download her
3 Vejledning risikostyring - Download her


Vejledning i it-risikostyring og –vurdering

Indhold
1. Formålet med risikostyring
2. Risikostyringsprocessen
3. Risikovurdering
4. Bilag 1. Eksempel på Excel-ark til registrering af risici
5. Bilag 2. Anvendte begreber i analysen



1. Formålet med risikostyring
I alle statens organisationer er brugen af informationssystemer forbundet med risici i større eller mindre omfang. Alle risici kan ikke fjernes helt, men det er muligt at styre dem ved hjælp af en systematisk tilgang.

Formålet med risikostyring er, at organisationens ledelse kan prioritere ressourcerne effektivt i forhold til, hvor de gør mest gavn. På baggrund af risikovurderingen er ledelsen bekendt med de aktuelle risici, så organisationen ikke udsætter sig for større risici, end hvad der er acceptabelt.

Hvad er risiko?
I ISO27005 betegnes risiko som noget neutralt - effect of uncertainty on objectives. En risiko kan således både være en god eller negativ ting - alt efter, hvad målsætningen er. Den almindelige forståelse af begrebet på dansk er dog, at risiko er negativt ladet, altså at noget uønsket sker.

Risikoen måles ved at bedømme, hvor stor sandsynlighed der er for, at en trussel indtræffer, samt hvor støre konsekvenser det kan have. Konsekvenserne er de forretningsmæssige konsekvenser. Dvs. hvilken betydning det vil have for organisationen og dens målsætninger. Sandsynligheden tager udgangspunkt i de trusler og sårbarheder, som findes.

De fleste organisationer benytter i forvejen risikostyring som et værktøj til at styre organisationen i den rigtige retning. For eksempel vil der typisk være en strategisk risikostyring, hvor de forretningsmæssige strategier tilpasses.

Risici i relation til brud på fortrolighed, integritet og tilgængelighed af data og systemer skal styres som en del af organisationens ledelsessystem for informationssikkerhed (ISMS). Dokumentationen og styringen af dette arbejde klarer nogen organisationer fint i Excel, mens andre har købt målrettede systemer. Det mest hensigtsmæssige vil i mange tilfælde være at integrere informationssikkerhedsstyringen med den øvrige risikostyring. En samlet risikostyringsproces og rapportering vil give et mere overskueligt og fyldestgørende risikobillede.

2. Risikostyringsprocessen
I den internationale standard ISO27005 beskrives forslag til arbejdet med it-risikovurderinger. I standarden tages der udgangspunkt i en generisk tilgang til risikostyring, som bygger på ISO31000. Denne tilgang kan anvendes, uanset hvilken type af risici der er tale om. Processen for risikovurdering, som beskrives i ISO27005, er i overensstemmelse med kravene til risikostyring i ISO27001 og er udgangspunktet for denne vejledning.

Risikostyringsprocessen for informationssikkerhed er illustreret i figuren nedenfor. Den består af seks hovedaktiviteter, hvoraf de tre omhandler risikovurderingen. De seks aktiviteter beskrives kort i det efterfølgende. For en mere detaljeret beskrivelse henvises til ISO27005.

Etablering af kontekst
Her fastsættes rammerne for risikostyringen. Der foretages organisatorisk, fysisk og teknisk afgrænsning af risikostyringens omfang, udpeges roller og ressourcer, defineres kriterier for risikotolerance og beskrives en metode for risikovurderingen.

Risikovurdering
Risikovurderingen er omdrejningspunktet i risikostyringen. Her identificeres, analyseres og evalueres risici med udgangspunkt i den definerede kontekst. Resultatet af risikovurderingen er en liste over risici, som er prioriteret i forhold til de foruddefinerede kriterier. Risikovurderingen er yderligere beskrevet i sidste halvdel af denne vejledning.

Risikohåndtering
Der er fire muligheder for at håndtere risici:
· Accepter (risikoen accepteres, og der foretages ikke yderligere).
· Flyt (risikoen overføres til en 3. part, f.eks. ved hjælp af forsikring, outsourcing eller lignende).
· Undgå (risikoen undgås ved at stoppe eller ændre den aktivitet, som er årsag til risikoen).
· Kontroller (risikoen kontrolleres ved at indføre sikringsforanstaltninger, som fjerner eller reducerer sandsynligheden eller konsekvenserne).

Som en del af risikohåndteringen udarbejdes en plan for, hvordan de identificerede risici skal håndteres. Når der udvælges sikringsforanstaltninger, skal det ske ud fra en cost/benefitvurdering, så sikringsforanstaltningens effekt på risikoen vurderes i forhold til dens omkostninger.

I forlængelse af risikohåndteringsplanen bør organisationen opdatere SoA-dokumentet. SoA-dokumentet skal bl.a. indeholde en beskrivelse af de sikringsforanstaltninger, som organisationen har valgt at implementere. SoA-dokumentet bør derfor altid opdateres, når der er gennemført en risikovurdering og taget beslutning om at ændre på sikringsforanstaltningerne.

I Vejledningen til SoA-dokumentet kan der findes mere information om, hvordan det udarbejdes og vedligeholdes.

Risikoaccept
Risikoaccepten bør altid foretages af organisationens ledelse. Risikohåndteringsplanen kan i praksis benyttes som en anbefaling/indstilling fra informationssikkerhedsudvalget til organisationens ledelse. Her anføres det, hvilke tiltag som bør indføres, og hvilke risici som bør accepteres med udgangspunkt i de fastsatte kriterier for risikotolerance.

Selvom risici kontrolleres ved at indføre yderligere sikringsforanstaltninger, vil der i de fleste tilfælde altid være en tilbageværende/residual risiko. Det er vigtigt, at der i risikohåndterings-planen foretages en vurdering af de valgte sikringsforanstaltningers effekt på risikoen, og at den tilbageværende risiko vurderes og beskrives.

Den tilbageværende restrisiko kan illustreres ved brug af et risikobillede, som vist i figuren nedenfor.



Den mest almindelige fremgangsmåde er at tage udgangspunkt i aktiverne og placere dem i tabellen ud fra den vurderede sandsynlighed og konsekvens. Alternativt kan risikobilledet udarbejdes ved at tage udgangspunkt i f.eks. de forretningsprocesser, som aktiverne understøtter.

Opfølgning på risici
Der bør løbende foretages opfølgning på risici. Dels bør det sikres, at de sikringsforanstaltninger og tiltag, der indføres som en del af risikohåndteringen, rent faktisk også bliver implementeret og fungerer efter hensigten. Dels bør der løbende følges op på de forudsætninger, som ligger til grund for risikovurderingen. Aktiver, trusler, sårbarheder og konsekvenser kan hurtigt ændres - og medfører tilsvarende ændringer i risikobilledet. Organisationens risikostyring bør derfor sikre, at der på en struktureret måde foretages en løbende opfølgning på risici.

Kommunikation om risici
Kommunikation er en central del af risikostyringen. Risikostyring er en tværorganisatorisk proces, og der indgår mange interessenter med forskellige opgaver og ansvarsområder.

Typisk vil det være informationssikkerhedsudvalget og informationssikkerhedskoordinatoren, som har det praktiske ansvar for risikostyringen, mens linjeledelsen har ansvaret for risici inden for eget område. For at sikre en fælles opfattelse og tilgang til risikostyringen, bør kommunikationen planlægges, så der er en ensartet tilgang og fælles forståelse af processen.

Risikostyring er en proces
Styring af risici er en løbende proces. Når der foretages en risikovurdering, er der tale om et øjebliksbillede af situationen på det tidspunkt, hvor vurderingen udarbejdes. Men både organisationen, informationsaktiverne, trusler, sårbarheder mv. ændres konstant.

Hvem har ansvaret for risikostyring?
Organisationens øverste ledelses har ansvar for at være orienteret om risikobilledet og træffe de nødvendige beslutninger for at nedbringe risici til et acceptabelt niveau. Dette ansvar omfatter også de operationelle risici, som opstår ved brug af informationssystemer.

Typisk vil ansvaret blive varetaget af informationssikkerhedsudvalget, som så foretager periodisk rapportering til den øverste ledelse.

Følgende roller har ligeledes opgaver i relation til risikostyringen:
· Systemejer skal sikre styring af risici i relation til det enkelte it-system.
· Dataejer skal sikre styring af risici i relation til data.
· Ejere af fysiske aktiver skal sikre styring af risici relateret til disse.

Der skal derfor gennemføres periodiske risikovurderinger dels for at følge op på risici og de tiltag, som implementeres, og dels for at følge op på selve risikostyringsprocessen og de overordnede rammer og principper, som ligger til grund herfor.

I figuren nedenfor er de forskellige aktiviteter i risikostyringsprocessen illustreret i plan-do-check-act-processen.



3. Risikovurdering
Risikovurderingen er fundamentet for risikostyringsprocessen. Det er her, at risici:

• identificeres og beskrives (risikoidentifikation)
• analyseres og måles (risikoanalyse)
• evalueres i forhold til risikotolerancen (risikoevaluering)

Risikovurdering kræver proces
Risikovurderingen bør altid foretages ud fra en fastlagt proces. De enkelte aktiviteter i risiko-vurderingen er uddybet nedenfor. Hvordan organisationen i praksis udfører dem, bør fremgå af en metodebeskrivelse, så risikovurderingen bliver systematisk og resultaterne sammenlignelige.

Flere af aktiviteterne vil med fordel kunne udføres samtidigt. For eksempel vil mange risici både kunne identificeres og analyseres af de samme personer.

Risikoidentifikation
Identifikationen af risici bør være så omfattende som muligt. Det er bedre at inkludere for meget end at afgrænse sig fra potentielle risici. Desuden bør alle risici inkluderes, uanset om organisationen har indflydelse på dem eller ej.

Der findes flere hjælpeværktøjer, som kan bruges til at lette arbejdet med at registrere og beskrive risici. I bilag 1 er vedlagt et eksempel på, hvordan risici kan registreres systematisk ved brug af et værktøj. I bilag 2 er der udarbejdet et enkelt Excel ark til opsamling af risici og dokumentation af vurderingen af konsekvens og sandsynlighed.

Processer
Når risici skal identificeres, kan der med fordel tages udgangspunkt i organisationens forretningsprocesser.

Ved at gennemgå processerne opnås et overblik over, hvilke aktiver der understøtter processerne og deres betydning herfor. Samtidig er det muligt at identificere sammenhænge og afhængigheder mellem aktiverne, som i sidste ende kan have stor betydning for risikoen. Et aktiv kan f.eks. anvendes af flere forretningsprocesser til forskellige formål og med forskellige konsekvenser, hvis der sker en hændelse.

Overblik og kendskab til processerne er en forudsætning for at vurdere konsekvenserne for organisationen ved potentielle sikkerhedshændelser. I de tilfælde hvor hændelser vil have forskellige konsekvenser for forretningsprocesserne, skal der altid tages udgangspunkt i den mest alvorlige konsekvens.

Aktiver
Risikoidentifikationen bør tage udgangspunkt i de aktiver, som er omfattet af organisationens ISMS. Aktiverne bør identificeres på et passende niveau i forhold til organisationens størrelse og det ønskede detaljeringsniveau af risikovurderingen. I mange tilfælde kan aktiverne grupperes på en måde, hvor antallet begrænses, mens det stadig er muligt at knytte specifikke trusler til dem. For eksempel kan routere, switche, firewalls mv. grupperes som netværksudstyr eller infrastruktur.

Risikovurderingen bør ikke kun omfatte it-systemer, men alle de aktiver som indgår i et informationssystem. Det inkluderer også fysiske aktiver som f.eks. papirarkiver, medarbejdere, immaterielle aktiver mv. Aktiverne kan med fordel grupperes efter deres type for at lette identifikationen, eftersom der ofte vil være en sammenhæng med de relevante trusler.

Trusler
Identifikationen af relevante trusler er afgørende for, at man ikke overser risici. Derfor bør trusselsvurderingen ske på en systematisk måde. Ved at tage udgangspunkt i et katalog over mulige trusler kan organisationen pejle sig ind på de trusler, der er relevante for de enkelte aktiver. Der findes meget omfattende trusselskataloger, som indeholder enhver tænkelig situation, men man kan også anvende mindre og mere generiske kataloger.

I ISO27005 i anneks C beskrives et eksempel på mulige trusler. Der kan også ses på de trusselsvurderinger, som løbende udarbejdes af GovCERT og øvrige myndigheder og organisationer på området.

Sikringsforanstaltninger
De eksisterende sikringsforanstaltninger og kontroller bør gennemgås og vurderes i forhold til deres effektivitet. Dette er nødvendigt for at kunne identificere eventuelle sårbarheder, der skal håndteres. Gennemgangen af sikringsforanstaltningerne er også en forudsætning, hvis man ønsker at dokumentere effekten heraf ved at vurdere risikoen både før og efter en sikringsforanstaltning er implementeret.

Hvis der er udarbejdet et SoA-dokument, som beskriver de indførte sikringsforanstaltninger, kan der med fordel tages udgangspunkt heri.

Sårbarheder
En trussel kræver en sårbarhed for at kunne resultere i en risiko – og omvendt. Sårbarheder kan opstå i mange forskellige sammenhænge. Det kan for eksempel være en procedure eller arbejdsgang, som ikke fungerer efter hensigten eller en teknisk opsætning, som gør it-systemerne åbne for angreb.

En god måde at få afdækket sårbarhederne på er ved at gennemgå de implementerede sikringsforanstaltninger og vurdere deres effektivitet. Her kan igen tages udgangspunkt i et SoA-dokument, hvis et sådan er udarbejdet.

Risikoanalyse
Den sidste del af risikoidentifikationen er en identifikation af de konsekvenser, som et tab af fortrolighed, integritet eller tilgængelighed for aktiverne vil medføre. Det er vigtigt at tage udgangspunkt i de forretningsmæssige konsekvenser, dvs. hvilken betydning det vil have for organisationen som helhed - og ikke kun for et afgrænset område.

Konsekvenserne kan opdeles i forskellige typer. Det kan være direkte økonomiske tab, ressourceforbrug, tid/forsinkelser, tab af omdømme, politiske konsekvenser mv.

I forlængelse af vurderingen af konsekvenserne kan man med fordel samtidig opdatere informationsaktivets klassifikation og kritikalitet. Disse oplysninger anvendes i flere sammenhænge til at bestemme, hvilke sikringsforanstaltninger, beredskabsniveau mv., som aktivet skal have.

Klassifikationen er en vurdering af, hvor følsomme informationerne er, og hvilke krav der er til fortroligheden. Der anvendes ofte 3-5 forskellige niveauer som f.eks. offentligt, internt, fortroligt mv.

Kritikaliteten bruges oftest som betegnelse for, hvor vigtig tilgængeligheden (og eventuelt integriteten) er for aktivet. Hos Statens It anvendes fire niveauer som beskrevet i kassen på forrige side. Som kunde hos Statens It skal organisationen således sikre, at systemerne kategoriseres korrekt i forhold til behovet for tilgængelighed. Formålet med risikoanalysen er at måle størrelsen af de identificerede risici i form af sandsynligheden og konsekvensen. Overordnet set kan dette gøres på to forskellige måder, kvantitativt eller kvalitativt.

Med en kvantitativ fremgangsmåde anvendes numeriske værdier som for eksempel procen-ter eller kroner og øre. Det kan være meget omfattende at udføre en kvantitativ analyse, og det vil ofte være svært at sætte tal på de indirekte konsekvenser, såsom tab af omdømme. En måde at gribe det an på kan være ved at spørge, hvor meget man er villig til at betale for at undgå en bestemt hændelse.

De kvalitative metoder definerer skalaer med et vist antal trin, og herefter rangordner og indplacerer man hændelser inden for disse trin. En sådan metode er relativ hurtig at anvende, om end det vil være svært at placere en konkret indeksering på en skala. Brug af kvalitative vurderinger til at indplacere hændelser er i sagens natur ikke præcise. Erfaringen viser imidlertid, at denne metode ofte giver et kvalificeret bidrag til at afdække de nødvendige indsats-områder. I bilag 3 er vedlagt et begrebsskema med eksempler på, hvordan skalaerne kan beskrives.

I praksis kan organisationen med fordel benytte en kombination af kvalitative og kvantitative metoder i risikovurderingsprocessen. Eksempelvis kan der indledes med en kvalitativ vurdering af konsekvenser. Denne kan efterfølgende underbygges kvantitativt for at beslutte, om der i konkrete tilfælde skal indføres skærpede sikringsforanstaltninger.

Risikoevaluering
Det sidste skridt i risikovurderingen er evalueringen af de fundne risici i forhold til de kriterier, som er fastlagt af ledelsen. Der foretages en prioritering af risici, f.eks. ved indplacering i en skala eller risikobillede, som illustreret på side 3. Et risikobillede er et simpelt og effektivt værktøj til at formidle risici i organisationen.

Ledelsesforankring
Risikovurderingen er den aktivitet, som ved involvering af ledelsen kan skabe grundlaget for ledelsesforankring. Ved debat og vurdering af organisationens risikobillede og -profil vil det samlede sikkerheds-arbejde og indsatserne blive synlige for ledelsen. Herunder prioritering af de nødvendige fremtidige indsatser.

Leverandørstyring
Den gennemførte it-risikovurdering vil give det samlede risikobillede, og der vil være taget stilling til eventuelle handlinger med henblik på at mindske risici gennem implementering af yderligere sikkerhedsforanstaltninger. Anvendes ekstern leverandør til drift af systemer og data, er det vigtigt, at leverandøren informeres om resultatet af risikovurderingen, således at systemer og data beskyttes i overensstemmelse med den accepterede restrisiko.

Informationen kan derfor bestå i følgende oplysninger:
· Samlet oversigt over risikobilledet for systemer driftet hos leverandøren.
· Krav til tilgængelighed for de enkelte systemer, herunder til oppetider og maksimal acceptabel nedetid.
· Krav til fortrolighed – vurdering af korrekt beskyttelse af data både i forhold til fortrolighed generelt og i forhold til karakteren af personoplysninger, som fx adgangsstyring og kryptering.
· Krav i forbindelse med tab af data.
· Krav til særlige sikkerhedsforanstaltninger som fx fysisk sikkerhed, adgangsstyring, driftsprocedurer, udvikling og vedligeholdelse, logning, backup og restore, rapportering.

Kunder hos Statens It sikres gennem kundeaftalen og databehandleraftalen, at krav er dokumenteret og kommunikeret mellem parterne. Særlige sikkerhedskrav, herunder beskyttelse af personoplysninger, indgår ikke i standardaftalen.

4. Bilag 1. Eksempel på Excel-ark til registrering af risici



5. Bilag 2. Anvendte begreber i analysen

Nedenfor er angivet begreberne sandsynlighed, konsekvens samt maksimalt acceptabel nedetid for systemer. Disse termer anvendes til beskrivelse af sandsynlighed og konsekvens for risici samt klassifikation af systemer under interviewet.





Digitaliseringsstyrelsen
Landgreven 4
1017 København K
Tlf. 33 92 52 00
Publikationen kan hentes på Digitaliseringsstyrelsens hjemmeside www.digst.dk.

Foto Jeppe Gudmundsen
Elektronisk publikation
ISBN 978-87-93073-05-0