Kapittel 7: Risiko- og sårbarhetsanalyser

Til grunn for IT-sikkerhetsarbeidet skal det ligge en vurdering av trusselbildet for UiO og hvilke sikkerhetstiltak dette krever. For viktige systemer og tjenester skal en spesifikk risikovurdering legges til grunn for sikringstiltak utover grunnsikringen.

7.1 Grunnsikring av IT-systemer

Til grunn for sikring av alle IT-systemer i bruk ved UiO ligger grunnsikringen, som sørger for at alle systemer har en minimumsnivå av felles teknisk sikring. Grunnsikringen bygger på beste praksis fra leverandørene, der slike finnes, kombinert med god driftsskikk, og sikring basert på erfaring og tilpasninger til det til enhver tid gjeldende trusselbilde.

I tillegg til grunnsikring kommer krav gitt av lov, forskrift og andre føringer gitt av overordnede myndigheter og organer. Dette kan være særkrav knyttet til behandling av personopplysninger, økonomiske data eller andre krav som ikke dekkes direkte av tekniske sikringskrav. Grunnsikringen er beskrevet i kapittel 8.

Eventuell ekstra sikring utover grunnsikringen skal være basert på en risikovurdering. 

7.2 Risikovurdering

En risikovurdering er en systematisk gjennomgang av hendelser som kan tenkes å inntreffe og som kan påvirke et systems evne til å ivareta konfidensialltet, integritet og tilgjengelighet. Risikovurderinger gir grunnlag for å prioritere og iverksette tiltak for å holde risikonivået for et system eller en tjeneste på akseptabelt nivå. 

Universitetet er pålagt å gjennomføre risikovurdering av alle viktige systemer minst annenhvert år hjemlet i Lov om personopplysninger med forskrifter, e-forvaltningsloven med mer.

7.3 Sannsynlighet og konsekvens.

Risikoelementene vurderes langs to akser, – sannsynlighet og konsekvens.

Sannsynlighet skal si noe om hvor sannsynlig det er at risikoelementet inntreffer. Konsekvens skal si noe om konsekvensen hvis det inntreffer.

I våre analyser benytter vi en skala fra 1-4:

Sannsynlighet
1 - Lav 2 - Moderat 3 - Høy 4 - Svært høy
En gang pr. 10 år eller sjeldnere En gang pr. år eller sjeldnere En gang pr. måned eller sjeldnere Skjer ukentlig

 

Konsekvens
1 - Lav 2 - Moderat 3 - Høy 4 - Svært høy
Liten eller ubetydelig konsekvens. Ubetydelig økonomisk tap, minimal ulempe for de berørte. Noe økonomisk tap, tap av informasjon eller omdømme. Vil medføre kostnader eller merarbeid. Noe tap av persondata. Alvorlig hendelse. Omdømmetap, tap av større menger persondata eller tap av sensitive persondata. Betydelige økonomiske konsekvenser. Svært alvorlig. Store økonomiske tap. Tap av store mengder sensitive personopplysninger. Tap av stor økonomisk verdi eller ødeleggelse av uerstattelige data.


 

Risikomatrise

 

 

 

7.4 Risikoaksept

Hva som er akseptabelt nivå av risiko kan variere fra system til system. Noen risikoer ansees som uakseptable, f. eks. tap av liv eller store materielle eller økonomiske tap. Andre kan vurderes ut fra en kost/nytte-vurdering. Hvor mye vil det koste å unngå risikoen opp mot hva det vil koste å sikre seg mot den?

For UiO følger fastsettelse av akseptkriterier den vanlige linja. Eier og ansvarlig for et system skal også fastsette akseptabel risiko for et system. Disse må være innenfor det som er fastsatt av grunnsikring, felles reglement og andre styrende dokumenter.

7.5 Gjennomføring

ROS-analyser kan være forholdsvis enkle, men også veldig omfattende. De som kjenner systemet best, er best egnet til å vurdere hvor omfattende analysen skal være, basert på f. eks. omfang, størrelse og bruksmønster.

En mindre risikovurdering kan gjøres av en eller to personer på en halv time.

En større risikovurdering utføres normalt som en et arbeidsmøte på 1-3 timer der en samler et utvalg personer som kan belyse de viktigste sidene av et system og bruken av dette.

Under finner du forslag til egnede maler du kan ta utgangspunkt i.

Mange av risikoanalysene krever ikke tung IT-kompetanse. Ofte er mange risikoelementer mer basert på bruken av systemet enn på teknikk. Dersom det trengs, kan USIT bistå i å tilrettelegge og gjennomføre større risikovurderinger.

7.6 Målet med vurderingen: tiltaksplan

Etter gjennomført risikovurdering skal systemeier sørge for at det blir utarbeidet en tiltaksplan for alle risikoelementer som faller utenfor akseptabelt nivå.

En tiltaksplan kan inneholde tiltak som ligger utenfor systemeiers ansvarsområde. Systemeier er da ansvarlig for å overføre disse tiltakene til rett ansvarlig.

Tiltaksplanen skal inneholde:

  1. Hva som skal gjennomføres
  2. Hvem som er ansvarlig for at det gjennomføres
  3. Når tiltaket skal være gjennomført

Systemeier er ansvarlig for at tiltaksplanen gjennomføres. 

Tiltaksplaner og risikovurderinger som inneholder beskrivelser av sårbarheter som kan lette angrep skal behandles som konfidensielle dokumenter og skjermes for innsyn.

IT-direktøren har ansvar for å kontrollere og følge opp at risikovurderinger gjennomføres og at tiltaksplaner følges opp. Dette er en del av internkontrollen.

7.7 Arkivering

Gjennomført risikovurdering og godkjent tiltaksplan skal arkiveres i UiOs arkiv.

7.8 Maler

Hvilken mal skal man velge?

Her finner du to maler. Den ene er til mindre systemer og enklere skytjenester. Den andre er til større og mer komplekse IT-systemer som kjører lokalt på UiO. Begge malene må tilpasses det systemet du skal vurdere. Du må selv legge til og fjerne riskoelementer.

Mal for større, lokale systemer.

Mal for mindre, f. eks. eksterne systemer.

7.9 Lenker

Mal for risikovurdering av større, lokale systemer

Mal for risikovurdering av skytjenester

Sjekkliste for vurdering av skytjenester

UNINETT sine dokumenter om risikovurderinger av administrative IT-systemer

Nasjonal Sikkerhetsmyndighet (NSM) sin håndbok: Risikovurdering for sikring

Emneord: ROS, risikovurdering, risikoanalyse
Publisert 28. feb. 2017 13:17 - Sist endret 1. apr. 2020 10:14