Kapittel 7: Risiko- og sårbarhetsanalyser

Til grunn for IT-sikkerhetsarbeidet skal det ligge en vurdering av trusselbildet for UiO og hvilke sikkerhetstiltak dette krever. For viktige systemer og tjenester skal en spesifikk risikovurdering legges til grunn for sikringstiltak utover grunnsikringen.

7.1 Grunnsikring

Til grunn for sikring av alle IT-systemer i bruk ved UiO ligger grunnsikringen, som sørger for at alle systemer har en minimumsnivå av felles teknisk sikring. Grunnsikringen bygger på beste praksis fra leverandørene, der slike finnes, kombinert med god driftsskikk, og sikring basert på erfaring og tilpasninger til det til enhver tid gjeldende trusselbilde.

I tillegg til grunnsikring kommer krav gitt av lov, forskrift og andre føringer gitt av overordnede myndigheter og organer. Dette kan være særkrav knyttet til behandling av personopplysninger, økonomiske data eller andre krav som ikke dekkes direkte av tekniske sikringskrav. Grunnsikringen er beskrevet i kapittel 8.

Eventuell ekstra sikring utover grunnsikringen skal være basert på en risikovurdering. 

7.2 Risikovurdering

En risikovurdering er en systematisk gjennomgang av hendelser som kan tenkes å inntreffe og som kan påvirke et systems evne til å ivareta konfidensialltet, integritet og tilgjengelighet. Risikovurderinger gir grunnlag for å prioritere og iverksette tiltak for å holde risikonivået for et system eller en tjeneste på akseptabelt nivå. 

Universitetet er pålagt å gjennomføre risikovurdering av alle viktige systemer minst annenhvert år hjemlet i Lov om personopplysninger med forskrifter, e-forvaltningsloven med mer. For flere detaljer se UNINETT sin nettside om risikovurderinger.

7.3 Sannsynlighet og konsekvens.

Risikoelementene vurderes langs to akser, – sannsynlighet og konsekvens.

Sannsynlighet skal si noe om hvor sannsynlig det er at risikoelementet inntreffer. Konsekvens skal si noe om konsekvensen hvis det inntreffer.

I våre analyser benytter vi en skala fra 1-4:

Sannsynlighet
1 - Lav 2 - Moderat 3 - Høy 4 - Svært høy
En gang pr. 10 år eller sjeldnere En gang pr. år eller sjeldnere En gang pr. måned eller sjeldnere Skjer ukentlig

 

Konsekvens
1 - Lav 2 - Moderat 3 - Høy 4 - Svært høy
Liten eller ubetydelig konsekvens. Ubetydelig økonomisk tap, minimal ulempe for de berørte. Noe økonomisk tap, tap av informasjon eller omdømme. Vil medføre kostnader eller merarbeid. Noe tap av persondata. Alvorlig hendelse. Omdømmetap, tap av større menger persondata eller tap av sensitive persondata. Betydelige økonomiske konsekvenser. Svært alvorlig. Store økonomiske tap. Tap av store mengder sensitive personopplysninger. Tap av stor økonomisk verdi eller ødeleggelse av uerstattelige data.


 

Risikomatrise

 

 

 

7.4 Risikoaksept

Hva som er akseptabelt nivå av risiko kan variere fra system til system. Noen risikoer ansees som uakseptable, f. eks. tap av liv eller store materielle eller økonomiske tap. Andre kan vurderes ut fra en kost/nytte-vurdering. Hvor mye vil det koste å unngå risikoen opp mot hva det vil koste å sikre seg mot den?

For UiO følger fastsettelse av akseptkriterier den vanlige linja. Eier og ansvarlig for et system skal også fastsette akseptabel risiko for et system. Disse må være innenfor det som er fastsatt av grunnsikring, felles reglement og andre styrende dokumenter.

7.5 Gjennomføring

En risikovurdering utføres normalt som en et arbeidsmøte på 1-3 timer der en samler et utvalg personer som kan belyse de viktigste sidene av et system og bruken av dette.

For risikovurderinger av UiOs systemer skal UiOs mal for risikovurdering benyttes.

USIT kan bistå i å tilrettelegge og gjennomføre risikovurderinger.

7.6 Tiltaksplan

Etter gjennomført risikovurdering skal systemeier sørge for at det blir utarbeidet en tiltaksplan for alle risikoelementer som faller utenfor akseptabelt nivå.

En tiltaksplan kan inneholde tiltak som ligger utenfor systemeiers ansvarsområde. Systemeier er da ansvarlig for å overføre disse tiltakene til rett ansvarlig.

Tiltaksplanen skal inneholde:

  1. Hva som skal gjennomføres
  2. Hvem som er ansvarlig for at det gjennomføres
  3. Når tiltaket skal være gjennomført

Systemeier er ansvarlig for at tiltaksplanen gjennomføres. 

Tiltaksplaner og risikovurderinger som inneholder beskrivelser av sårbarheter som kan lette angrep skal behandles som konfidensielle dokumenter og skjermes for innsyn.

IT-direktøren har ansvar for å kontrollere og følge opp at risikovurderinger gjennomføres og at tiltaksplaner følges opp.

7.7 Arkivering

Gjennomført risikovurdering og godkjent tiltaksplan skal arkiveres i UiOs arkiv.

7.8 Maler

For risikovurdering av IT-systemer og IT-tjenester ved universitetet skal universitetets mal for risikovurdering benyttes. Denne inneholder en del ferdigutfylte risikoelementer. Disse kan slettes/endres om de ikke er relevante.

7.9 Lenker

UiOs egen mal for risikovurderinger

UNINETT sine dokumenter om risikovurderinger

UNINETT sine dokumenter om risikovurderinger av administrative IT-systemer

Nasjonal Sikkerhetsmyndighet (NSM) sin håndbok: Risikovurdering for sikring

Publisert 28. feb. 2017 13:17 - Sist endret 20. mars 2018 10:04