|
Risikostyring betyr å prioritere en innsats med begrensede ressurser slik at den kan rettes mot de områder den får størst virkning. Dette er en kort innføring i risikostyring innenfor området informasjonssikkerhet.
Hovedformålet med risikostyring er å sikre at en virksomhet driver innenfor et akseptert trusselnivå.
En risikoanalyse starter alltid med en situasjonsbeskrivelse. På overordnet nivå bør den i grove trekk beskrive hele virksomheten. For informasjonssikkerhet bør den detaljerte delen dekke alle former for informasjon, både datalagret og andre former, og kommunikasjon.
Det første som må skaffes til veie er en detaljert oversikt over hvilken informasjon virksomheten samler inn, behandler og lagrer. I forbindelse med personopplysningsloven er det viktig at dette arbeidet gjøres så detaljert at det er mulig å identifisere hva slags informasjon som er personopplysninger og sensitive personopplysninger.
I tillegg til å beskrive de enkelte data bør oversikten også vise hva informasjonen brukes til, og hvem som har ansvaret for registeret.
Oversikten bør ikke begrense seg til selve nytteinformasjonen, men bør også omfatte rutiner og algoritmer, programvare og maskinvare (utstyr).
Når denne oversikten er laget bør man avgjøre om man bare skal arbeide videre med personopplysninger, eller om man ønsker å ta med en mer omfattende del av informasjonen. Målet med denne fasen er å være i stand til å avgjøre hvilken informasjon som er kritisk eller beskyttelsesverdig,
Når informasjonen er beskrevet er det nødvendig å sette en verdi på informasjonen. Dette skal brukes for å tallfeste konsekvensen av brudd på sikkerheten eller en feil som f.eks. fører til driftsavbrudd..
Det kan ofte være vanskelig å estimere verdien av informasjon, og det er nødvendig å dele opp verdien i flere komponenter som kan estimeres hver for seg.
Med direkte verdi menes den verdien informasjonen har for virksomheten selv. Den kan deles opp i de følgende komponenter:
Ikke alle disse komponentene er like lette å tallfeste, men ved å dele det opp på denne måten er det lettere å vise hvilke deler av et estimat som har størst usikkerhet.
Med indirekte verdi menes den kostnad som påføres tredjepart. I forbindelse med personopplysninger kan denne skaden være betydelig. Ettersom virksomheten kan få et erstatningsansvar er det viktig å estimere indirekte verdi for å sikre at den direkte verdien er satt til riktig nivå.
Det kan være vanskelig å estimere verdien av informasjonen har for andre. Igjen kan verdien brytes ned i flere komponenter:
Vær oppmerksom på at en av truslene mot personopplysninger er identitetstyveri hvor situasjonen ofte er at det samles inn personopplysninger fra flere kilder. Selv om et enkelt informasjonssystem kun bidrar med en del av den samlede informasjonen kan den samlede skaden være meget omfattende og alvorlig.
Når informasjonen er kartlagt kommer turen til å kartlegge trusler. Dette består kort sagt i å beskrive hvert enkelt tenkelig sikkerhetsbrudd, hvilken informasjon hvert brudd rammer, og sannsynligheten for at det enkelte brudd kan skje.
Trusler kan deles inn i to hovedkategorier: Angrep, som er bevisste handlinger fra interne eller eksterne personer, og tilfeldige feil eller hendelser. For begge typer trusler krever kartleggingen en god teknisk innsikt i de systemene som er i bruk. I tillegg krever kartlegging av angrep innsikt i fagfeltet datakriminalitet.
Det er viktig at trusseloversikten blir så fullstendig som mulig. Alle tenkelige trusler må med i oversikten. Det er et delmål i denne aktiviteten å redusere sannsynligheten for at det «utenkelige» kan skje.
Med angrep mener vi en forsettelig handling for urettmessig innsyn i informasjon eller adgang til å endre denne, eller for å ødelegge informasjon eller gjøre den midlertidig utilgjengelig.
Truslene i denne kategorien kan komme fra hackere, egne ansatte, kunder, leverandører eller konkurrenter. I tillegg til å beskrive hvor truslene kan komme fra bør kartleggingen også vise hva slags motivasjon som kan ligge til grunn for handlingene.
Tilfeldige feil eller hendelser omfatter både utilsiktede handlinger som kompromitterer eller endrer informasjon, gjør den midlertidig utilgjengelig eller ødelegger den. I tillegg kommer forhold som at utstyr blir installert eller konfigurert feil, og hendelser som strømbrudd, kommunikasjonsbrudd, brann, vannskader eller lignende.
I tillegg kommer handlinger som er rettet mot andre, eller umotiverte handlinger som rammer virksomheten. Dette kan f.eks. være at virksomhetens datasystemer rammes av datavirus.
Feilanalyse er en formell metodikk som kan brukes til å analysere hver enkelt trussel. I tillegg til å se på hva som kan gå galt, dvs. feiltilstandene som vi kaller trusler, så ønsker vi også å analysere årsakene, dvs. hvorfor det går galt. Feilanalysen skal vise hvilke forutsetninger som må være til stede for at det går galt.
Feilanalysen skal synliggjøre tre viktige forhold:
På kort sikt gir feilanalysen en oversikt over trusler mot en tjeneste, et system eller en virksomhet. På lang sikt kan grunnleggende svakheter avdekkes og det blir mulig å redusere sannsynligheten for at hendelsen inntreffer og de konsekvensene hendelsen kan få.
For risikostyring er hovedformålet å få listen over trusler så fullstendig som mulig og sikre en god kvalitet på sannsynlighetsbetraktingene som gjøres for den enkelte trussel.
Risikoeksponering er et uttrykk for hvor alvorlig en trussel er og utrykkes matematisk som produktet av sannsynligheten for at noe skal skje, og verdien av skaden som er konsekvensen av hendelsen.
Når vi med begrensede ressurser skal forholde oss til trusler bruker vi risikoeksponeringen for å prioritere innsatsen. Et hovedmål med risikostyring er å dokumentere at virksomheten driver innenfor et akseptert trusselnivå. Enkelt forklart betyr dette at det settes en grense for hva som er akseptabel risikoeksponering.
Generelt må den enkelte virksomhet selv vurdere hva som er akseptert trusselnivå. Kravet til dokumentasjon i personopplysningsloven gir myndighetene mulighet til å kontrollere at vurderingen som gjelder personopplysninger er gjort på et realistisk grunnlag og kan overprøve virksomhetens vurderinger av hva som er akseptert trusselnivå med hensyn til personvernet.
En effektiv estimering og beskrivelse av risikoeksponering krever en forenkling ved å dele inn sannsynlighet for sikkerhetsbrudd og konsekvenser av sikkerhetsbrudd i noen få kategorier. 4-5 kategorier er et praktisk antall, og hver kategori bør få et forståelig og nøytralt navn.
Sannsynligheten kan vi f.eks. dele inn med følgende kategorier:
For en gitt virksomhet er det nødvendig å beskrive hva som menes med ord som sjelden og ofte. Konsekvensene av sikkerhetsbrudd kan deles inn på følgende måte:
Et uttrykk for trusselnivået får vi ved å plassere hver enkelt trussel som er kartlagt i den følgende tabellen. Dersom en trussel havner i det et rødt felt er risikoeksponeringen for høy. Vi har oppnådd et akseptabelt trusselnivå når ingen trusler er i røde felt.
| Svært ofte |  |
|
|
|
|---|---|---|---|---|
| Ofte |  |
|
|
|
| Sjelden | |
|
|
|
| Svært sjelden | |
|
|
|
| Liten | Moderat | Stor | Katastrofal |
Målet er å holde truslene i nedre venstre hjørne av denne tabellen.
Dersom en trussel har for høy risikoeksponering må vi finne tiltak som vil redusere sannsynligheten for dette sikkerhetsbruddet, eller reduserer konsekvensen av sikkerhetsbruddet.
For å finne tiltak som reduserer sannsynligheten for et sikkerhetsbrudd brukes årsaksanalysen fra punkt 2.3 over. Et foreslått tiltak bør alltid følges av et kostnadsestimat og gjennomføringsplan.
Til Digmes tjenestetilbud på området informasjonssikkeret.
Oppdatert 2003-03-07, © Digme
Meld gjerne fra om feil eller mangler.