Kapittel 7: Risiko- og s?rbarhetsanalyser

Til grunn for IT-sikkerhetsarbeidet skal det ligge en vurdering av trusselbildet for UiO og hvilke sikkerhetstiltak dette krever. For viktige systemer og tjenester skal en spesifikk risikovurdering legges til grunn for sikringstiltak utover grunnsikringen.

7.1 Grunnsikring av IT-systemer

Til grunn for sikring av alle IT-systemer i bruk ved UiO ligger grunnsikringen, som s?rger for at alle systemer har en minimumsniv? av felles teknisk sikring. Grunnsikringen bygger p? beste praksis fra leverand?rene, der slike finnes, kombinert med god driftsskikk, og sikring basert p? erfaring og tilpasninger til det til enhver tid gjeldende trusselbilde.

I tillegg til grunnsikring kommer krav gitt av lov, forskrift og andre f?ringer gitt av overordnede myndigheter og organer. Dette kan v?re s?rkrav knyttet til behandling av personopplysninger, ?konomiske data eller andre krav som ikke dekkes direkte av tekniske sikringskrav. Grunnsikringen er beskrevet i kapittel 8.

Eventuell ekstra sikring utover grunnsikringen skal v?re basert p? en risikovurdering. 

7.2 Risikovurdering

En risikovurdering er en systematisk gjennomgang av hendelser som kan tenkes ? inntreffe og som kan p?virke et systems evne til ? ivareta konfidensialltet, integritet og tilgjengelighet. Risikovurderinger gir grunnlag for ? prioritere og iverksette tiltak for ? holde risikoniv?et for et system eller en tjeneste p? akseptabelt niv?. 

Universitetet er p?lagt ? gjennomf?re risikovurdering av alle viktige systemer minst annenhvert ?r hjemlet i Lov om personopplysninger med forskrifter, e-forvaltningsloven med mer.

7.3 Sannsynlighet og konsekvens.

Risikoelementene vurderes langs to akser, – sannsynlighet og konsekvens.

Sannsynlighet skal si noe om hvor sannsynlig det er at risikoelementet inntreffer. Konsekvens skal si noe om konsekvensen hvis det inntreffer.

I v?re analyser benytter vi en skala fra 1-4:

Sannsynlighet
1 - Lav 2 - Moderat 3 - H?y 4 - Sv?rt h?y
En gang pr. 10 ?r eller sjeldnere En gang pr. ?r eller sjeldnere En gang pr. m?ned eller sjeldnere Skjer ukentlig

 

Konsekvens
1 - Lav 2 - Moderat 3 - H?y 4 - Sv?rt h?y
Liten eller ubetydelig konsekvens. Ubetydelig ?konomisk tap, minimal ulempe for de ber?rte. Noe ?konomisk tap, tap av informasjon eller omd?mme. Vil medf?re kostnader eller merarbeid. Noe tap av persondata. Alvorlig hendelse. Omd?mmetap, tap av st?rre menger persondata eller tap av sensitive persondata. Betydelige ?konomiske konsekvenser. Sv?rt alvorlig. Store ?konomiske tap. Tap av store mengder sensitive personopplysninger. Tap av stor ?konomisk verdi eller ?deleggelse av uerstattelige data.


 

Risikomatrise

 

 

 

7.4 Risikoaksept

Hva som er akseptabelt niv? av risiko kan variere fra system til system. Noen risikoer ansees som uakseptable, f. eks. tap av liv eller store materielle eller ?konomiske tap. Andre kan vurderes ut fra en kost/nytte-vurdering. Hvor mye vil det koste ? unng? risikoen opp mot hva det vil koste ? sikre seg mot den?

For UiO f?lger fastsettelse av akseptkriterier den vanlige linja. Eier og ansvarlig for et system skal ogs? fastsette akseptabel risiko for et system. Disse m? v?re innenfor det som er fastsatt av grunnsikring, felles reglement og andre styrende dokumenter.

7.5 Gjennomf?ring

ROS-analyser kan v?re forholdsvis enkle, men ogs? veldig omfattende. De som kjenner systemet best, er best egnet til ? vurdere hvor omfattende analysen skal v?re, basert p? f. eks. omfang, st?rrelse og bruksm?nster.

En mindre risikovurdering kan gj?res av en eller to personer p? en halv time.

En st?rre risikovurdering utf?res normalt som en et arbeidsm?te p? 1-3 timer der en samler et utvalg personer som kan belyse de viktigste sidene av et system og bruken av dette.

Under finner du forslag til egnede maler du kan ta utgangspunkt i.

Mange av risikoanalysene krever ikke tung IT-kompetanse. Ofte er mange risikoelementer mer basert p? bruken av systemet enn p? teknikk. Dersom det trengs, kan IT-avdelingen bist? i ? tilrettelegge og gjennomf?re st?rre risikovurderinger.

7.6 M?let med vurderingen: tiltaksplan

Etter gjennomf?rt risikovurdering skal systemeier s?rge for at det blir utarbeidet en tiltaksplan for alle risikoelementer som faller utenfor akseptabelt niv?.

En tiltaksplan kan inneholde tiltak som ligger utenfor systemeiers ansvarsomr?de. Systemeier er da ansvarlig for ? overf?re disse tiltakene til rett ansvarlig.

Tiltaksplanen skal inneholde:

  1. Hva som skal gjennomf?res
  2. Hvem som er ansvarlig for at det gjennomf?res
  3. N?r tiltaket skal v?re gjennomf?rt

Systemeier er ansvarlig for at tiltaksplanen gjennomf?res. 

Tiltaksplaner og risikovurderinger som inneholder beskrivelser av s?rbarheter som kan lette angrep skal behandles som konfidensielle dokumenter og skjermes for innsyn.

IT-direkt?ren har ansvar for ? kontrollere og f?lge opp at risikovurderinger gjennomf?res og at tiltaksplaner f?lges opp. Dette er en del av internkontrollen.

7.7 Arkivering

Gjennomf?rt risikovurdering og godkjent tiltaksplan skal arkiveres i UiOs arkiv.

7.8 Maler

Hvilken mal skal man velge?

Her finner du to maler. Den ene er til mindre systemer og enklere skytjenester. Den andre er til st?rre og mer komplekse IT-systemer som kj?rer lokalt p? UiO. Begge malene m? tilpasses det systemet du skal vurdere. Du m? selv legge til og fjerne riskoelementer.

Mal for st?rre, lokale systemer.

Mal for mindre, f. eks. eksterne systemer.

7.9 Lenker

Mal for risikovurdering av st?rre, lokale systemer

Mal for risikovurdering av skytjenester

Sjekkliste for vurdering av skytjenester

SIKT sine dokumenter om risikovurderinger av administrative IT-systemer

Emneord: ROS, risikovurdering, risikoanalyse
Publisert 28. feb. 2017 13:17 - Sist endret 10. okt. 2024 10:14