Vejledning om risikovurdering - IT- og Telestyrelsen

Vejledning om risikovurdering

Udgivet af:
IT- & Telestyrelsen
IT- & Telestyrelsen
Holsteinsgade 63
2100 København Ø
Telefon: 3545 0000
Fax: 3545 0010
>

Vejledning om risikovurdering
IT- & Telestyrelsen
oktober 2007
>

Indhold >
Risikovurderinger – Hvad og hvorfor 5
Risikovurdering er en del af DS484:2005 6
Udbyttet af en risikovurdering 8
Risikovurdering kræver metode og systematik 9
Ansvar for risikovurdering på forskellige niveauer 12
Det strategiske niveau: Ledelsens overordnede
vurdering 13
Det taktiske niveau: Risikovurdering som et element i
risikostyring 13
Det operationelle niveau 15
Risikovudering med en forenklet OCTAVEmetode
17
Forberedelse 21
Konsekvensvurdering 23
Supplerende dataindsamling 25
Trusselsvurdering 27
Sårbarhedsvurdering 30
Rapport til ledelsen: Beskrivelse af risikobilledet 32
Ledelsen beslutter strategi og handlingsplaner 34

Risikovurderinger – Hvad og hvorfor
I de senere år er risikovurdering blevet en afgørende vigtig del af itsikkerhedsarbejdet
(’best practice’), og der er i dag generel forståelse for at risikovurdering
er nødvendig for at sikre informationsaktiverne.
Formålet med risikovurdering er at kunne styre risici, dvs. holde risici på et niveau,
som er acceptabelt. Vi opnår risikostyring, når vi vedligeholder sikkerhedsforanstaltninger
ved løbende at overvåge, justere efter et fastlagt niveau og
regelmæssigt at gentage risikovurderinger.
Vi skal gennemføre risikovurderinger for at kunne prioritere indsatsen, dér
hvor den gør mest gavn. Derfor tager risikovurderinger almindeligvis udgangspunkt
i organisationens forretningsmæssige forhold, og risikovurderingen omfatter:
• De forretningsmæssige konsekvenser, hvis et uheld skulle ske.
• Potentielle trusler, som kan udløse disse konsekvenser.
• Sårbarheder, som påvirker sandsynligheden for, at hændelsen indtræffer.
Risikovurderinger giver mulighed for at vurdere, hvor organisationen kan sætte
ind, hvad effekten af en sikkerhedsforanstaltning vil være, og hvad det koster at
etablere og vedligeholde den. Risikovurderinger involverer derfor organisationens
ledelse.
Denne vejledning beskriver en metode til systematiske og løbende risikovurderinger
af de driftsmæssige risici ved en organisations brug af informationsaktiver.
Formålene med vejledningen er at:
• give en samlet beskrivelse af risikovurderingens plads og betydning i
forhold til den danske standard for informationssikkerhed, DS484:2005
(afsnit 4.1)
• anvise en metode til systematisk risikovurdering baseret på ‘best practice’
• beskrive selve processen med at gennemføre en risikovurdering ud fra
den anviste metode
• introducere væsentlige begreber og terminologi inden for risikovurdering.
Det er en stor og omfangsrig opgave at gennemføre en fuldt dækkende risikovurdering.
Den skitserede metode anviser, hvordan man kan gribe processen an
og komme i gang med opgaven med en fornuftig indsats. Metoden anviser også,
hvorledes man ved at udbygge de regelmæssige vurderinger gradvist kan
forbedre kvaliteten af risikovurderingerne.
>
5

6
Desuden kan vejledningen bidrage til, at organisationen anvender ensartede
metoder og procedurer for risikovurdering, jf. DS484:2005, afsnit 6.1.2, c.
Risikovurdering er en del af DS484:2005
Risikovurderingens betydning for informationssikkerhed fremgår af
DS484:2005. Standarden er faktisk i sig selv resultatet af en generel risikovurdering.
Opdelingen af kravene i to grupper, de basale og de skærpede krav, er
valgt fordi det ikke kan betale sig at beskytte de normale informationsaktiver
ligeså godt som de særligt kritiske aktiver.
Risikovurderingen er en aktivitet i it-sikkerhedsarbejdet, som organisationen
skal styre efter udmeldte og forankrede retningslinjer – i lighed med alle sine
øvrige aktiviteter. Det vil sige retningslinjer, som de relevante rolleindehavere
kender og efterlever. Risikovurderingen har et selvstændigt afsnit i
DS484:2005 (afsnit 4.1) som fastslår, at en risikovurdering skal identificere og
prioritere risici med udgangspunkt i institutionens forretningsmæssige forhold.
Resultatet skal bidrage til at fastlægge og prioritere de nødvendige ledelsesindgreb
og sikringsforanstaltninger for at imødegå relevante risici.
Det fremhæves desuden at risikovurderinger skal gennemføres regelmæssigt og
ved væsentlige ændringer i risikobilledet, herunder organisatoriske eller teknologiske
ændringer. Endelig fremhæves det i standarden, at risikovurdering skal
gennemføres metodisk og systematisk, så resultaterne er sammenlignelige og
reproducerbare.
Man kan gennemføre en risikovurdering med forskellige mål for øje, på flere
niveauer og med forskellig detaljeringsgrad. I nedenstående tabel omtales risikovurderinger
på det strategiske, taktiske og operationelle niveau, og hvorledes
vurderinger på disse niveauer er beskrevet i DS484:2005.
>

Risikovurdering på Beskrivelse og referencer til DS484:2005
Strategisk niveau
Taktisk niveau
Operationelt niveau
>
Ledelsens overordnede risikovurdering er input til at
udarbejde it-sikkerhedspolitikken, se DS484:2005 afsnit
0.3 og 5.1. Ledelsen gennemfører typisk en kvalitativ
vurdering af det risikobillede, som tegner sig for
organisationen. Risikovurderingen på dette niveau er
endvidere input til it-sikkerhedsstrategien, herunder
overvejelser om styringsprincipper, outsourcing, kompetenceudvikling,
mv.
Den gentagne og metodiske vurdering af sikkerhedsrisici,
som ligger til grund for valg af sikringsforanstaltninger,
se DS484:2005 afsnit 0.4 og 4.1. Vurderingen
omfatter organisationens aktiver, uheldskonsekvenserne
og trusler, sårbarheder og afdækker de enkelte risicis
væsentlighed. Risikovurderinger på det taktiske niveau
udføres i forbindelse med større projekter eller
anskaffelser, udvikling af større systemer mv. Risikovurderinger
på det taktiske niveau udføres endvidere i
forbindelse med den indledningsvise implementering
af it-sikkerhedsstandarder, som input til handlingsplaner
mv.
Risikovurderinger, og på det mere detaljerede niveau;
risikoanalyser, gennemføres i en række sammenhænge
som en naturlig del af det almindelige itsikkerhedsarbejde,
f.eks. i forbindelse med patchtning,
ændringsstyring mv.
Kravene i DS484:2005 er formuleret generelt, og en organisation kan ikke implementere
kravene uden først at have vurderet egne forhold.
Der anvendes i standarden flere steder ord som ”regelmæssig”, ”væsentlige”,
”løbende”. Det kræver en fortolkning, hvor det er det den enkelte organisations
risici, der afgør, om eksempelvis ”regelmæssig” er en gang om måneden eller
en gang om året.
At gennemføre risikovurdering er således en forudsætning for korrekt implementering
af en række krav i DS484:2005. Med andre ord kan en organisation
først foretage den rette udmøntning af en bestemt sikringsforanstaltning, når
den har gennemført en risikovurdering.
Følgende er eksempler fra DS484:2005 på forhold, som kræver, at man gennemfører
en risikovurdering på det operationelle niveau:
7

8
• Eksterne samarbejdspartneres adgang til institutionens informationsbehandlingsfaciliteter
(DS484:2005 afsnit 6.2.1.).
• Sikre områder skal afgrænses og sikres i henhold til en risikovurdering,
(DS484:2005 afsnit 9.1.1.).
• Eventuel stikprøvevis kontrol med uautoriseret fjernelse af aktiver,
(DS484:2005 afsnit 9.2.7.)
• Niveauet for overvågning af systemanvendelsen, (DS484:2005 afsnit
10.10.2.).
• Sikringsbehov ved autentifikation af brugere med ekstern netværksforbindelse,
(DS484:2005 afsnit 11.4.2.).
På samme måde som det er ‘best practice’ – nationalt og internationalt – for itsikkerhedsarbejdet
at indføre f.eks. hændelsesstyring eller beredskabsplanlægning,
gælder det samme i dag også for risikovurdering.
Udbyttet af en risikovurdering
Det primære formål med og udbytte af en risikovurdering er at identificere og
prioritere risici. Resultatet af vurderingen indgår i ledelsens risikostyring, hvor
ledelsen prioriterer og fastlægger nødvendige indgreb og sikringsforanstaltninger
med henblik på at nedbringe risici til et niveau, der er acceptabelt for organisationen.
Ud over dette hovedformål vil en risikovurderingsproces have en række afledte
effekter. Disse effekter understøtter det generelle arbejde med at leve op til de
basale krav i DS484:2005. En række af de afledte effekter er:
• Overblik over informationsaktiver (DS484:2005 afsnit 7.1.1). Overblikket
giver organisationen en chance for at begynde løbende at ajourføre
et register over informationsaktiver.
• Klarhed over placering af ansvar (DS484:2005 afsnit 7.1.2). Organisationen
får udpeget system- og dataejere.
• Dokumentation som ikke allerede er til stede (DS484:2005 afsnit 7.1.1).
F.eks. netværkstegninger, fysiske lokaleplaner, og arkitekturtegninger.
• Overblik over manglende sikringsforanstaltninger i forhold til basale
krav (DS484:2005 afsnit 0.6). En gap-analyse giver direkte input til organisationens
handlingsplan for bedre sikringsforanstaltninger.
• Risikoprofil for hvert it-system (DS484:2005 afsnit 6.1.3). Dette er
brugbart for aktiv-ejere og it-sikkerhedskoordinatorer i deres daglige
arbejde.
• Input til at opbygge et effektivt beredskab (DS484:2005 afsnit 14.1.2)
Identifikation af kritiske aktiver kan ændre fokus i beredskabsarbejdet.
• Awareness-aktiviteter (DS484:2005 afsnit 6.1.1). Interviewmøder og
konsekvensvurderinger, som indgår i risikovurderingsprocessen, gør itsikkerhed
nærværende.
>

• Dialog mellem (forretnings-)ledelse og it-funktion (DS484:2005 afsnit
6.1). Dialogen giver bedre forståelse for budgetbehov og for ”forretningen”.
• Input til it-strategi. F.eks. om outsourcing eller it-arkitektur.
• Besparelser. Forenkling af infrastruktur kan på længere sigt give færre
omkostninger til at behandle hændelser og til drift og vedligehold af infrastrukturen.
Arbejdsindsatsen med at gennemføre risikovurderinger tjener altså ikke kun til
at opnå hovedformålet. Indsatsen befordrer i stort omfang også, at de basale
krav i DS484:2005 bliver implementeret med passende hensyn til relevans og
væsentlighed.
Risikovurdering kræver metode og systematik
Det er afgørende for resultatet af en risikovurdering, hvordan man gennemfører
processen. Derfor stilles der i DS484:2005 krav til, at risikovurderinger skal
gennemføres metodisk og systematisk, så organisationen kan genbruge resultaterne.
En risikovurdering kan udføres på mange forskellige måder og efter mange forskellige
metoder. Der skelnes grundlæggende mellem kvalitative og kvantitative
metoder. De kvantitative metoder har den svaghed, at man skal kvantificere
(i form af talværdier) alt, hvad man lader indgå, for at man kan gennemføre de
nødvendige vurderinger. Dette er et omfangsrigt og tidskrævende arbejde. Dertil
kommer, at det kan være vanskeligt at sætte tal på ikke umiddelbart målelige
konsekvenser, som f.eks. negativ påvirkning af en organisationens image. En
måde at håndtere denne problemstilling er at vende den om og i stedet vurdere,
hvor meget organisationen er villig til at betale for at undgå en bestemt hændelse.
Som regel kan man udregne prisen på en bestemt sikringsforanstaltning
med en vis præcision, mens det ikke altid er tilfældet med de mere uhåndgribelige
konsekvenser.
Ofte anvender man således kvalitative metoder, hvor man definerer skalaer
med et vist antal trin, og herefter rangordner og indplacerer man hændelser inden
for disse trin (såkaldt indeksering). En sådan metode er relativ hurtig at anvende,
om end man altid kan diskutere en konkret indeksering på en skala. En
skala kan f.eks. se således ud:
>
9

10
Eksempel på konsekvensskala med fem trin
Konsekvens
Skala Betegnelse
Beskrivelse
A Graverende/ødelæggende Ministeren må gå af. Organisationen
bliver sat under administration. Tab på
mere end XX. kr. Menneskeliv står på
spil.
B Meget alvorlig Påvirker omdømme – internt tab af troværdighed
– betydelig ressourceindsats
til at afhjælpe. Tab på mellem YY og
XX. kr. Alvorlig personskade.
C Alvorlig Vil kun blive observeret af få – begrænset
ressourceindsats til at afhjælpe. Tab
på mellem ZZ og YY. kr.
D Mindre alvorlig Mindre effekt – faktisk ingen ressourceindsats
til at afhjælpe. Tab på mellem
WW og ZZ. kr.
E Ubetydelig Faktisk ingen konsekvens.
Brug af kvalitative vurderinger til at indplacere hændelser er ikke helt præcist.
Erfaringen viser imidlertid, at denne metode giver et kvalificeret bidrag til at
afdække de nødvendige indsatsområder. I praksis kan man med fordel benytte
en kombination af kvalitative og kvantitative metoder i risikovurderingsprocessen.
Eksempelvis kan man indlede med en kvalitativ vurdering af konsekvenser.
Efterfølgende kan man underbygge kvantitativt for at beslutte om man – i
konkrete tilfælde – skal lave skærpede sikringsforantaltninger.
Metoden, som vi gennemgår i denne vejledning, kan man anvende i kombination
med nogle af de værktøjer, der findes på markedet, eller man kan anvende
skabelonerne i bilag til vejledningen. Metoden kan overordnet karakteriseres
således:
• Metoden er selvdreven. Organisationen står selv for gennemførelsen.
• Metoden lægger vægt på at understøtte forretningen (dette er et krav i
DS484:2005).
• Processen sikrer, at det væsentlige bliver prioriteret højst.
• Metoden understøtter valg af sikkerhedsforanstaltninger.
• Metoden er konsistent i sin måde at håndtere tilgængelighed, integritet
og fortrolighed.
>

Der findes i dag flere bud på metoder, som giver en struktureret proces. Der er
forskel på metodernes omfang, formål og udbytte, og det kan være svært at
gennemskue, hvilken metode der samlet giver det bedste udbytte i forhold til
indsatsen.
Der findes også værktøjer, som kan hjælpe med at holde styr på de informationer,
man indsamler, og som kan udregne risikofaktorer til brug for prioritering.
De modeller, der anvendes i værktøjerne, er dog af svingende kvalitet og kan i
værste fald give et misvisende resultat med forkerte konklusioner til følge.
Et andet forhold er, at uanset hvilket værktøj, man vælger, bliver resultatet ikke
bedre end den proces, man gennemfører for at indsamle informationerne.
Selv om vurdering af risici er helt central for it-sikkerhedsarbejdet, er det vigtigt
at være bevidst om, at risikovurdering, uanset hvilken metode man anvender,
ikke er en eksakt videnskab. Resultatet er ikke en kortlægning af alle relevante,
væsentlige trusler og sårbarheder. Man vil med sikkerhed overse forhold
– uanset hvor grundigt man går til værks. Det viser erfaringen. Alvorlige hændelser
skyldes ofte, at man har overset en trussel eller en sårbarhed, fordi man
netop kun har håndteret de kendte trusler og sårbarheder.
Risikovurderinger er tilmed et øjebliksbillede. Man får et indblik i, hvordan
verden ser ud på det tidspunkt, hvor man gennemfører risikovurderingen. Desværre
er trusselsbilledet meget omskifteligt.
Risikovurderinger kan derfor ikke stå alene som beslutningsgrundlag for valg
af sikkerhedsforanstaltninger. De skal ses som en ‘best practice’, der supplerer
det minimumsberedskab, man får ved at implementere DS484:2005.
>
11

Ansvar for risikovurdering på forskellige niveauer
12
It-sikkerhedskoordinatoren skal ikke lave selve vurderingen af risici, men hjælpe
med råd og vejledning i processen. Risikovurderingen skal udføres af de
personer, som har den nødvendige faglige indsigt. En faglig indsigt der gør, at
de kan vurdere de potentielle forretningsmæssige konsekvenser af de driftsmæssige
risici ved informationsbehandlingen. Nærmere bestemt skal nedenstående
rolleindehavere vurdere risici og udføre eller bestille risikovurderinger.
Dette bør også fremgå af it-sikkerhedspolitikken.
• Linjeledelsen skal sikre, at organisationen gennemfører en sikkerhedsvurdering,
før der bliver installeret nye systemer.
• Systemejerne har ansvaret for at udarbejde en risikovurdering i henhold
til kravene til systemejere.
• Dataejerne har ansvaret for at udarbejde en risikovurdering i henhold til
kravene for systemtilknyttede data. Dette skal ske i samarbejde med
systemejeren.
• Ejere af fysiske aktiver (infrastruktur, komponenter, faciliteter, operativsystemer
og andet basissoftware) har ansvaret for at udarbejde en risikovurdering
i henhold til kravene for de fysiske aktiver.
• It-sikkerhedsudvalget har ansvaret for at beskrive rammerne for arbejdet
med risikovurdering som en del af organisationens it-sikkerhed.
>

Det strategiske niveau: Ledelsens overordnede vurdering
På det strategiske niveau er den øverste ledelse ansvarlig for en overordnet
vurdering af risikobilledet for organisationen. Risikobilledet bruges som en af
de vigtige kilder til at fastlægge organisationens sikkerhedsbehov. Herudover
kan organisationen også anvende vurderingen i organisationens informationssikkerhedsstrategi
(målsætning og politik).
Man kan sige, at regeringsbeslutningen om at indføre en fælles standard for itsikkerhedsprocesser
i staten er foretaget på baggrund af en strategisk og helt
overordnet vurdering af risici ved at udbrede digital forvaltning. Der ligger således
en overordnet risikovurdering til grund for statens målsætning for og politik
på informationssikkerhedsområdet.
På samme måde skal den enkelte organisation gennemføre en overordnet risikovurdering.
Her vil man med fordel kunne anvende principperne fra det taktiske
niveau.
Det taktiske niveau: Risikovurdering som et element i risikostyring
På det taktiske niveau anvender man risikovurdering som et element i risikostyring.
Det vil sige til at vælge og vedligeholde et optimalt og afbalanceret sæt
af sikringsforanstaltninger inden for givne (økonomiske) rammer. Man prioriterer
løbende indsatsen, så organisationen bruger ressourcer på de relevante og
nødvendige sikringsforanstaltninger. Der skal være en balance mellem en risiko
for tab, konsekvenserne heraf og hvad det koster at forebygge risikoen.
Ofte vil implementering af de basalt krævede sikringsforanstaltninger ikke være
nok til at nå et passende sikkerhedsniveau. Det kan skyldes lovgivningskrav
eller aftaler og kontrakter, der stiller særlige krav til sikkerhed. Også særligt
kritiske systemer, hvor konsekvensen af et sikkerhedsbrud er meget stor, kan
nødvendiggøre skærpede sikringsforanstaltninger. Organisationens overordnede
erklæring om det ønskede sikkerhedsniveau, bør fremgå af organisationens
it-sikkerhedspolitik (se eventuelt eksempel på formulering af en itsikkerhedspolitik
på it-sikkerhedsportalen).
Det kan imidlertid være forbundet med betydelige omkostninger at skærpe sikringsforanstaltningerne
over en bred kam. Derfor er det nødvendigt at prioritere
indsatsen, så man undgår fejlinvesteringer.
Figuren herunder viser, at en overinvestering i sikringsforanstaltninger fører til
uhensigtsmæssigt store totalomkostninger (risikoomkostninger) på samme måde
som en underinvestering medfører store skadeomkostninger.
>
13

14
Man får god hjælp til at identificere området med det optimale udbytte ved at
anvende en risikostyringsproces med risikovurdering og ”cost-benefit”betragtninger
på mulige sikringstiltag. På den baggrund kan man få valgt passende
sikringsforanstaltninger som supplement til DS484:2005’s basale krav.
Omkostninger
Skadeomkostninger
omfatter både omkostninger
til at afhjælpe
og kompensere
for indtrufne
skader og eventuel
selvrisiko i forbindelse
med en forsikring
Totale
omkostninger
Skadeomkostninger
Optimalt
udbytte
Sikringsomkostninger
Sikringsniveau
Med
andre ord handler det om at prioritere og vælge sikringsforanstaltninger,
så man nedbringer risici til et niveau, som er acceptabelt for organisationen.
En
risikovurdering er i sagens natur et øjebliksbillede – et ”snapshot” – hvor
man vurderer uheldskonsekvenser på baggrund af organisationens aktuelle ak-
tiver, sårbarheder og det aktuelle trusselsbillede for organisationen.
Man
tegner hermed et aktuelt risikobillede for organisationen. Risikobilledet
vil ændre sig over tid, idet de elementer, som indgår i billedet, erfaringsmæssigt
ændrer sig hurtigere, end man umiddelbart skulle tro.
Organisatoriske
eller opgavemæssige ændringer, ændringer i anvendt teknolo-
gi, introduktion af nye it-systemer eller andre informationsaktiver, nye versioner
eller opdateringer til systemerne og en ændret trusselssituation medvirker
alt sammen til, at en risikovurdering hurtigt kan blive uaktuel.
Man
bør selvfølgelig prøve at forudse kommende ændringer, når man laver en
risikovurdering. I modsat fald er det et krav, at man laver en ny risikovurdering
når der sker ændringer (jf. DS484:2005, afsnit 4.1.).
Der
er på denne baggrund behov for løbende at gentage og vedligeholde risikovurderingen.
Ud fra det ændrede risikobillede beslutter organisationen even-
tuelt nødvendige ændringer til eksisterende sikringsforanstaltninger og afdækker
behov for eventuelt supplerende sikringsforanstaltninger.
>
Sikringsomkostninger består af
såvel omkostninger til sikringsforanstaltninger
der forebygger,
opklarer og begrænser, beredskab
og eventuel forsikringsdækning
som af omkostninger
til administration og drift af
virksomhedens sikringssystem

Når man gentager risikovurderinger og løbende justeringer i sikringsforanstalt-
ningerne,
har man indført risikostyring. Risikostyring kan beskrives som en lø-
bende proces, gennem hvilken man identificerer, analyserer, vurderer, behandler,
overvåger og kommunikerer risici.
Risikostyring har meget til fælles med kvalitetsstyring,
idet begge dele handler
om
at opnå løbende forbedringer ved hjælp af dokumenterede og kontrollerede
processer. Beredskabsstyrelsen har udgivet en bog om risikostyring inden for
det kommunale område (”Risikostyring – en grundbog”, Beredskabsstyrelsen,
2003). Selvom bogen handler om kommunal risikostyring på beredskabsområdet,
og ikke specifikt vedrører informationssikkerhed, er den en god generel introduktion
til principperne bag risikostyring.
Risikostyring, med løbende risikovurdering af de
driftsmæssige risici ved brug
af
informationsaktiver, er et vigtigt element i et styringssystem (ISMS) og et
krav ifølge DS484:2005, afsnit 6.1.2. ISMS-styringssystemets forskellige elementer
er beskrevet nærmere i ”Vejledning om indførelse af statslig standard
for it-sikkerhedsprocesser” (se http://www.oio.dk/itsikkerhed/sisis).
At gennemføre risikovurderinger er en administrativ sikringsforanstaltning
i sig
selv.
Heraf følger, at organisationen skal overvåge, udvikle og vedligeholde ri-
sikovurderinger og risikostyring på linje med alle andre sikringsforanstaltninger.
Det er en del af arbejdet med at vedligeholde styringssystemet for itsikkerhedsarbejdet
(ISMS-systemet).
Det
operationelle niveau
På operationelt niveau gennemfører
organisationen risikovurderinger eller me-
re detaljerede risikoanalyser afgrænset til et specifikt informationssystem, sy-
stemkomponent eller -ydelse. Som allerede nævnt stiller DS484:2005 krav herom
på en række områder.
Man udfører typisk mere detaljerede
og dybtgående analyser på områder, hvor
risikovurderingen
på det taktiske niveau har afdækket et behov herfor.
Detaljerede analyser kan naturligvis drage nytte af resultaterne fra den over
ordnede
risikovurdering. Den metode vi skitserer i denne vejledning kan man –
med tilpasninger – udmærket anvende også til detaljerede analyser.
Man udfører også risikovurderinger på det operationelle niveau på andre
områ-
der
end ved driftsmæssige risici. Som et særlig relevant eksempel, kan man
nævne risikostyring og risikovurdering af it-udviklingsprojekter (se
http://www.e.gov.dk/redskaber_og_vejledninger/projketstyring/risikostyring/in
dex.html).
>
15

16
>

Risikovurdering med en forenklet OCTAVE-metode
OCTAVE SM - metoden er en kvalitativ og systematisk risikovurderingsmetode
udviklet ved CERT Coordination Center (CERT/CC) ved Carnegie Mellon
Universitetet’s Software Engineering Institute (SEI) i Pittsburgh, USA.
OCTAVE er en forkortelse for:
Operationally
Critical
Threat,
Asset, and
Vulnerability
Evaluation
hvilket på dansk kan ”oversættes” til ”vurdering af sårbarheder og trusler ved
kritiske informationsaktiver i organisationens forretningsenheder”. (Mere information
om metoden findes på http://www.cert.org/octave/).
OCTAVE-metoden er valgt, fordi metodens principper internationalt anerkendes
som ”state of the art”, og den lever op til kravene i DS484:2005, herunder
at metoden:
• tager udgangspunkt i konsekvenserne for organisationens forretningsforhold
• giver mulighed for at få et samlet øjebliksbillede af sikkerhedssituationen
• involverer ledelsen i centrale afvejninger og vurderinger
• er metodisk og systematisk
• kan bruges til prioritering (strategi) og efterfølgende som beslutningsgrundlag
for valg af sikringsforanstaltninger inden for de rammer, der
er til rådighed (optimering).
De væsentligste forskelle på OCTAVE og andre metoder kan illustreres ved
følgende skitse:
>
17

18
Vurdering af organisationen Vurdering af systemer
Sikkerhedspraksis
Sikkerhedspraksis
i fokus Teknologi i fokus
Strategiske emner Taktiske emner
Selvstyret
Selvstyret
Ekspertstyret
Ekspertstyret
… dann haben
wir anderen
Methoden
De primære fordele ved at anvende OCTAVE-metoden er at den:
• eksponerer og anvender erfaringer og ekspertise bredt. Metoden
involverer medarbejdere fra alle dele af organisationen, ikke bare itfunktionerne
• kan også inkludere f.eks. leverandører af tjenesteydelser, partnere og
konsulenter
• skaber organisationsbaserede forbedringsplaner
• kommunikerer sikkerhedsspørgsmål effektivt i termer, som ledelsen
kan forstå
• skaber en basislinje for fremtidige forbedringstiltag
• er selvstyrende – resultater og viden forankres i organisationen
• er ikke-kommerciel – information og erfaringer er frit tilgængelige på
nettet.
At gennemføre en systematisk og detaljeret risikovurdering efter OCTAVEmetoden
er et omfattende og tidskrævende arbejde. Der vil ofte være behov for
at gennemføre en risikovurdering inden for en kortere tidsramme, end det fulde
forløb lægger op til. Vi har derfor valgt at beskrive, hvordan en risikovurdering
kan gennemføres efter OCTAVE-metoden, men med et forenklet forløb.
Vi kan forenkle OCTAVE-metodens 10 trin kan ved undervejs at foretage nogle
bevidste fravalg og forenkle vurderingsforløbet, så vi bruger færre ressourcer.
Det er vigtigt, at man er bevidst om, hvilke fravalg man foretager, og hvad
disse indebærer. Dels fordi man naturligvis kan risikere, at komme til at se bort
fra væsentlige aktiver eller væsentlige forhold, som kan være kritiske og true
organisationen. Dels fordi man ved senere vurdering bør medtage nogle af de
elementer, som blev fravalgt i første omgang for at detaljere grundlaget. Ved
gentagne vurderinger vil man således kunne opnå en bedre dækning og større
kvalitet i risikovurderingen.
>

Risikovurderingen med forenklet forløb indeholder samme hovedelementer
som det fulde OCTAVE-forløb:
• Konsekvensvurdering.
• Trusselsvurdering.
• Sårbarhedsvurdering.
• Sammenvejning af risici.
Uanset om man burger den fulde metode eller det forenklede forløb, tjener hele
processen til at sætte organisationens ledelse i stand til at prioritere og beslutte
sikringsforanstaltninger.
I det følgende beskrives kort, hvori det forenklede forløb består.
Konsekvensvurderingen indeholder i den fulde model en struktureret identifikation
af samtlige informationsaktiver – herunder at man analyserer de enkelte
systemer for at identificere databaseindhold, parameterfiler, programelementer,
dokumentation, manualer og andet. Denne analyse sikrer, at man kan tage stilling
til beskyttelsesniveauet for systemernes enkelte dele. Den sikrer endvidere,
at man ikke overser elementer, som kunne være kritiske vurderet på tilgængelighed,
fortrolighed og/eller integritet. I det forenklede forløb vurderer man på
et mere overordnet niveau, typisk på systemniveau for flere eller færre systemer
i stedet for på elementniveau. Man supplerer med udvalgte papirbaserede
informationsaktiver, idet der ofte er oversete problemer her.
Der vil dog være behov for at se mere detaljeret på de systemer, som man under
konsekvensvurderingen klassificerer som kritiske.
Trusselsvurderingen indeholder i den fulde model en struktureret gennemgang
af en ideelt set komplet fortegnelse over samtlige konkrete trusler, som
organisationen potentielt kan blive udsat for. Dette gør man for at øge sandsynligheden
for, at man ikke ubevidst overser trusler, som kan give store konsekvenser.
I det forenklede forløb vælger man trusler, som erfaringsmæssigt har
stor sandsynlighed og stor potentiel skadevirkning. Dette omfatter trusler med
høj grundlæggende sandsynlighed og efter forholdene udvalgte trusler med
mindre grundlæggende sandsynlighed, men med stor konsekvens. Valget indebærer
naturligvis risikoen for, at en trussel, man ikke vælger, heller ikke bliver
håndteret af de sikringsforanstaltninger, man implementerer. Man bør derfor
udbygge med eventuelt udeladte trusler i senere risikovurderinger.
Sårbarhedsvurderingen indeholder i den fulde model en struktureret gennemgang
af de etablerede sikringsforanstaltninger på et meget detaljeret niveau,
evt. med udgangspunkt i de detaljerede krav i DS484:2005. I det forenklede
forløb gennemfører man gennemgangen på hovedoverskriftsniveau efter
hovedområderne i DS484:2005. Vi anbefaler, at man resumerer resultatet af
gennemgangen i et oversigtsskema. Det er væsentligt, at man bevarer struktu-
>
19

20
ren i gennemgangen, idet man herved kan opbygge – mere detaljerede – analyser
efter samme disposition på et senere tidspunkt. Det kan lade sig gøre at afgrænse
vurderingen af sårbarheder til enkelte væsentlige, kritiske systemer. Vi
anbefaler til gengæld, at man ikke afgrænser sig fra bestemte hovedområder af
sikringsforanstaltninger i DS484:2005. I så fald kan man overse behovet for
skærpelser på konkrete områder.
Beskrivelse af risikobillede. I denne fase rapporterer man til ledelsen og fastlægger
strategi. I den forenklede metode koncentrerer man sig om de områder,
hvor man ud fra datagrundlaget umiddelbart kan se uhensigtsmæssigheder.
Herved koncentrerer man sig om de aktiver, hvor brud vil have stor konsekvens
og sandsynlighederne er størst. Faren ved denne fremgangsmåde er naturligvis,
at man risikerer at overse hændelser, og at man implicit definerer indsatsområderne
til det umiddelbare og nærliggende.
Deltagere og fremgangsmåde. Ved den fulde metode bruger man workshopper
og interview i flere runder. Disse involverer, ud over it-funktionen, forretningsansvarlige
fra alle betydende områder i institutionen og den øverste ledelse.
I et forenklet forløb sammensætter man et mindre team, og man gennemfører
så få interviewrunder som muligt. Det er under alle omstændigheder vigtigt,
at teamet består af repræsentanter for it-funktionen og for forretningsområderne.
Vi anbefaler at gennemføre interviewene som uformelle samtaler, hvor teamet,
igennem diskussion med interviewpersonen, får de relevante svar. Samtaleformen
indebærer, at man berører væsentlige problemområder, som ellers kunne
være overset, hvis man udelukkende går frem efter en meget stram spørgeramme.
I det forenklede forløb anbefaler vi at afholde så få interviewrunder
som muligt. I dette koncentrerede interviewforløb skal man indsamle alle nødvendige
data – evt. ved at konsekvensvurdere, indsamle supplerende information
om kritiske aktiver og vurdere trusler i samme interview.
Nedenstående figur illustrerer, at man i et forenklet forløb færdiggør hele risikovurderingscyklusen
for ét aktiv eller system ad gangen (grønne pile). Hvis
man bruger den fulde OCTAVE-model, færdiggør man hver fase i risikovurderingen
for alle informationsaktiver, før man går videre til næste fase (røde pile).
Risikoen ved den forenklede model er, at man mister overblikket og muligheden
for at se sammenhænge på tværs. Det er endvidere en risiko, at man mister
muligheden for på et tidligt tidspunkt at prioritere aktiverne efter hvor kritiske,
de er.
>

Konsekvensvurdering
Trusselsvurdering
Sårbarhedsvurdering
Tegning af risikobillede
Aktiv 1 Aktiv 2 Aktiv 3 Aktiv 4 Aktiv 5
Forberedelse
Inden man går i gang med selve risikovurderingen, er der typisk en række aktiviteter,
som bør være afviklet. Bemærk, at risikovurderingen først er den syvende
aktivitet i den implementeringsmodel som af It- og Telestyrelsen anbefaler
(se bl.a. ”ledelsespjece”). Før man går i gang med risikovurderingen, forudsætter
modellen en række ting: at it-sikkerheden er forankret i topledelsen, at
der er formuleret en it-sikkerhedspolitik samt at der er formuleret basale
DS484:2005-retningslinier og evt. skærpede retningslinier, som er affødt af
lovgivningsmæssige og kontraktlige krav.
Som allerede nævnt er det en god ide at samle et team til at udføre risikovurderingen,
herunder de nødvendige interview. Teamet kan bestå af følgende:
• it-sikkerhedskoordinatoren (bør være projektleder, sikrer fremdrift og
koordinering).
• en ledelsesrepræsentant som gennemgående figur (sikrer forankring).
• evt. en (ekstern) person, som har erfaring i at gennemføre risikovurderinger
(sikrer metodemæssig stringens).
Man kan supplere dette team med en person med lokalekendskab, og som derfor
kan være med til at gennemføre fysisk inspektion af lokalerne.
Forberedelsen omfatter også – så vidt muligt – at skabe overblik over organisationens
informationsaktiver og aktiv-ejerne. I det forenklede forløb tager man
udgangspunkt i et lidt mere overordnet system- og informationskatalog frem
for et detaljeret katalog over enkeltdele. Det er dog væsentligt, at kataloget er
komplet, således at man ikke overser kritiske aktiver, og at det er klart, hvilke
forretningsprocesser de enkelte aktiver understøtter.
>
21

22
En it-sikkerhedskoordinator har sjældent det nødvendige overblik over forretningen
til på egen hånd at udarbejde kataloget. Der er således ofte nødvendigt
at samle information ved at spørge bredt i organisationens forskellige enheder,
hvilke informationsaktiver de benytter og hvilke systemer, der understøtter informationsbehandlingen.
Dette kan man gøre gennem en brainstorm.
På dette tidspunkt skal teamet ikke vurdere væsentlighed af de informationer,
som kommer frem. Yderligere vejledning kan hentes i DS484:2005, afsnit
7.1.1.
Vigtige afhængigheder til infrastruktur bør også så vidt muligt være kortlagt,
idet disse er aktiver i sig selv. Det indebærer at it-driftsafdelingen bør bidrage
til kortlægningen. Det kan være en god ide f.eks. at udarbejde flowdiagrammer
til kortlægningen. De tydeliggør informationsstrømmene, eksternt og internt, til
og fra systemerne, og de viser hvilke informationer, der opbevares/lagres/arkiveres.
Det er en relativt tidskrævende proces, særligt hvis diagrammerne ikke findes i
forvejen. Nogen har gode erfaringer med at anvende en udskrevet maske (et
principielt flowdiagram) til at indtegne informationsstrømmene og brugspraksis
system for system under risikovurderingsinterviewene.
Når teamet vurderer at system- og informationskataloget er komplet, skal teamet
udpege ejere for alle aktiver. Man kan altid udpege en ejer af et aktiv! Som
oftest vil disse være medlemmer af organisationens ledelsesgruppe. Det er vigtigt,
at de udpegede ejere vedkender sig deres rolle, og at de får fyldestgørende
vejledning i, hvilket ansvar der følger med (se DS484:2005, afsnit 7.1.2). Man
skal også udpege en ejer for alle fysiske aktiver De fysiske aktiver omfatter infrastruktur,
komponenter og faciliteter. De omfatter også operativsystemer og
andre basissystemer.
På it-sikkerhedsportalen kan du finde følgende støttemateriale til at gennemføre
risikovurderingen:
- Skema/ark til at katalogisere aktiver, evt. med mulighed for at
angive afhængigheder.
- Skema/ark til at konsekvensvurdere ud fra effektområder, skalaer,
generiske scenarier, beskyttelseskrav, omfang/effekt af brud.
- Generisk katalog over trusler.
- Skema/ark til gap-analyse (der er tale om en tilpasset benchmark
spørgeramme).
- Skema over sikringsforanstaltninger og deres virkninger.
- Skema til at dokumentere hændelser.
Vi anbefaler at understøtte risikovurderingsprocessen med it-baserede værktøjer.
Regneark er et simpelt, men effektivt værktøj – der findes også andre mere
avancerede værktøjer, som er udviklet til formålet.
>

Konsekvensvurdering
Formålet med konsekvensvurderingen er helt overordnet at identificere kritiske
informationsaktiver og kritiske funktioner. Dette gør man ved at evaluere konsekvenserne
ved brud på de tre effektområder: tilgængelighed, fortrolighed og
integritet af alle de informationsaktiver, som organisationen anvender.
Ved at rangordne finder man ud af, hvilke informationsaktiver, der er de mest
kritiske for organisationens fortsatte virke – de kritiske aktiver. De kritiske aktiver
er altså de informationsaktiver, hvor brud på tilgængelighed, fortrolighed
eller integritet hver for sig og individuelt betragtet ikke er acceptabelt for organisationens
forretningsmæssige virke. Man anlægger således en helhedsbetragtning.
Man skal rangordne uden overhovedet at skele til, hvilke sikringsforanstaltninger
organisationen har på plads, eller med hvilken sandsynlighed forskellige
hændelser kan indtræffe. Konsekvenserne ved sikkerhedsbrud kan deles op i
følgende kategorier:
• Driftsmæssige/operationelle konsekvenser, f.eks. forkert indkøb af varer
og tjenester.
• Finansielle tab, f.eks. omsætningstab eller rentetab.
• Uhåndgribelige konsekvenser, f.eks. tab af medarbejderes eller kunders
tillid.
Man konsekvensvurderer i første omgang kvalitativt ved brug en passende skala.
Det er derfor en god ide, hvis risikovurderingsteamet, sammen med ledelsen,
definerer en skala for konsekvensvurderingen på effektområderne (f.eks.
”Ubetydelig – Mindre alvorlig – Alvorlig – Meget alvorlig – Graverende”).
Skalaen bestemmer, om man anser et aktiv for kritisk. Hvor man vælger at
lægge ”snittet”, er organisationens egen beslutning. Man kan i den forbindelse
vælge flere strategier, f.eks. at anse alt hvad der er øverst i skalaen for kritisk.
Derefter laver man en ”cost-benefit”-betragtning (kvantitativ vurdering) for aktiver
på det næsthøjeste trin og foretager valget af kritiske aktiver ud fra denne
betragtning. Hvor finmasket skalaen skal være, vil variere fra organisation til
organisation, og her har ledelsesgruppen en vigtig rolle at spille. Det er vigtigt,
at skalaen giver mening for interviewpersonerne. Man kan f.eks. tage udgangspunkt
i denne skala, som vi også præsenterede i afsnittet ”Risikovurdering kræver
systematik og metode:
>
23

24
Konsekvens Beskrivelse
Skala Betegnelse
A Graverende/ødelæggende Ministeren må gå af. Organisationen
bliver sat under administration. Tab på
mere end XX. kr. Menneskeliv står på
spil.
B Meget alvorlig Påvirker omdømme – internt tab af troværdighed
– betydelig ressourceindsats
til at afhjælpe. Tab på mellem YY og
XX. kr. Alvorlig personskade.
C Alvorlig Vil kun blive observeret af få – begrænset
ressourceindsats til at afhjælpe. Tab
på mellem ZZ og YY. kr.
D Mindre alvorlig Mindre effekt – faktisk ingen ressourceindsats
til at afhjælpe. Tab på mellem
WW og ZZ. kr.
E Ubetydelig Faktisk ingen konsekvens.
Tabel: Eksempel på konsekvensskala med fem trin.
På effektområderne fortrolighed og integritet tager konsekvensvurderingen udgangspunkt
i informationsaktiverne. Teamet kan umiddelbart, med udgangspunkt
i aktiverne, lave scenarier for forskellige sikkerhedsbrud, som er egnede
til at vurdere konsekvensen.
På effektområdet tilgængelighed skal teamet tage udgangspunkt i de funktioner,
som aktiverne understøtter (f.eks. inddrivelse af skat, svar på forespørgsler
fra borgerne, udbetaling af ydelser, rapportering mv.). Konsekvensen af brud
vil være afhængig af det tidsrum, hvor der mangler tilgængelighed, eller hvor
hyppige bruddene er. Hyppige, kortvarige afbrydelser, der skyldes ustabil drift,
kan være problematiske. Det er derfor nødvendigt at teamet definerer en tidsakse,
hvor det angiver kritiske tærskler, der svarer til hvert konsekvensniveau.
På samme måde skal interviewpersonerne forholde sig til, hvor hyppigt en
funktion kan tåle at blive afbrudt – selv kortvarigt – før det bliver kritisk.
Teamet gennemfører typisk konsekvensvurderingen gennem en interviewrunde
med de relevante aktivejere. Vi anbefaler at dele interviewene op, f.eks. således
at man tager én systemejer ad gangen, samt de dataejere som logisk er tilknyttet
denne (f.eks. fordi dataene er knyttet til systemet). Denne personkreds skal
forholde sig til den forretningsmæssige konsekvens ved brud på fortrolighed,
integritet eller tilgængelighed af ”deres” aktiver. En person med erfaring i at
gennemføre risikovurderinger kan, ved at bruge konkrete scenarier, hjælpe interviewpersonerne
til at forstå indholdet af effektbegreberne.
>

Desuden bør teamet sørge for tydeligt at relatere aktiverne til de forretningsmæssige
processer, som de understøtter. Dette kan ske ved brug af en passende
spørgeteknik. Ved at bruge konkrete scenarier kan man også spore interviewpersonen
ind på, hvad beskyttelseskravet er for de enkelte aktiver.
Man kan endvidere klarlægge, om der er noget teamet særligt skal være opmærksomhed
ved de kritiske aktiver, når teamet går i gang med trusselsvurderingen.
Man bør også spørge til tidligere erfaringer med sikkerhedsrelaterede
hændelser i forhold til aktiverne – disse vil være et godt input til den vurdering
af sandsynligheder, som teamet senere skal foretage.
Selv om interviewene finder sted på et uformelt grundlag, er det er vigtigt at
teamet systematisk noterer alle relevante informationer. Brug evt. skemaet på
it-sikkerhedsportalen hertil (www.it-sikkerhedportalen.dk under “Materiale &
værktøjer” -> “Workshop om risikovurdering”). Teamet bør afslutte interviewene
med en systematisk opsummering af konsekvensvurderingens resultat per
effektområde for de behandlede aktiver.
Når de kritiske aktiver er identificeret, må teamet undersøge, om der er kritiske
funktioner tilknyttet disse aktiver. Ved kritiske funktioner forstår vi funktioner,
som er knyttet til bestemte personer, og som kræver en særlig viden eller erfaring
for at blive udført. Kritiske funktioner kan være:
• Brugerfunktioner.
• Udviklere.
• Administratorer.
• Driftspersonel.
• Supportpersonel.
• Sikkerhedsarkitekter.
For de kritiske funktioner er det selvsagt kun konsekvensen af, at funktionerne
ikke er tilgængelige, det er relevant at forholde sig til.
Teamet fokuserer det videre arbejde om de kritiske aktiver – vel vidende at der
herved opstår en risiko for, at teamet overser potentielle problemområder. Statens
krav om et basalt fælles sikkerhedsniveau sikrer dog formodentligt, at organisationen
har de sikringsforanstaltninger, som sikrer informationsaktiverne
med de laveste og midterste konsekvensvurderinger i tilstrækkeligt omfang.
Supplerende dataindsamling
For hvert af de kritiske aktiver skal teamet indsamle supplerende materiale.
Dette er en forudsætning for at gennemføre den efterfølgende trussels- og sårbarhedsvurdering,
idet det er nødvendigt at teamet detaljeret kender mulige angrebspunkter
i disse faser. Aktiver, som ikke er kritiske, forudsætter vi er tilstrækkeligt
sikret af DS484:2005 basale krav. Vi anbefaler at indsamle supplerende
data i tilknytning til konsekvensvurderingen.
>
25

26
Teamet skal indsamle følgende oplysninger om de kritiske aktiver:
• Oplysninger om hvor aktiverne er placeret. Indtegn evt. aktiverne i
plantegninger og arkitekturtegninger.
• Bliver aktiverne flyttet eller transmitteret? (hvorfra, hvortil, hvordan,
hvornår?)
• Hvordan opbevarer organisationen aktiverne?
• Hvad er deres oprindelse? (eksternt/internt)
• Hvad er organisationens procedurer, når aktiver bliver destrueret?
• Hvem administrerer/vedligeholder? Hvordan?
• Andre oplysninger om brugsmønsteret.
For at forberede organisationens beredskabsplan anbefaler vi, at teamet også
indsamler følgende oplysninger:
• RPO (Recovery Point Objective)
• RTO (Recovery Time Objective)
Teamet skal indsamle følgende oplysninger om de kritiske funktioner:
• Dokumentation (procedurer, logs mv.)? Er dokumentationen nødvendig
for at organisationens medarbejdere kan udføre funktionen? Hvor og
hvordan opbevares dokumentationen?
• Er funktionerne afhængige af bestemte informationsaktiver (input)?
Hvad udføres de med (proces) – og hvad resulterer de i (output)?
• Hvem udfører disse funktioner? Hvornår?
• Hvor udføres de fra?
Det overblik, teamet har på nuværende tidspunkt, bør teamet supplere med en
grundig vurdering af ”afledte kritiske forhold”: Et aktiv som ikke er kritisk,
isoleret set, kan blive det, fordi det indgår i kritiske forretningsprocesser, eller
fordi andre kritiske aktiver på anden måde er afhængige af aktivet. Der er således
tale om at ”forfine” de oversigter over aktiver og aktivejere, som teamet
har udarbejdet i den forberedende fase. Teamet bør indsamle følgende information,
eventuelt med støtte i de flowdiagrammer der indgik i forberedelsen:
• Hvilke systemer understøtter de kritiske forretningsprocesser?
• Hvilke informationsaktiver understøtter de kritiske forretningsprocesser?
Et system eller informationsaktiv kan understøtte flere forretningsprocesser/funktioner.
Den mest kritiske proces sætter niveauet for alle de systemer og
informationsaktiver, der understøtter den.
>

Når teamet har gennemført konsekvensvurdering og indsamlet supplerende data,
bør teamet have et fyldestgørende billede af organisationens kritiske aktiver
og funktioner. I det følgende vil hovedfokus være rettet mod disse. Teamet bør
nu have følgende overblik:
• Forretningsprocesser og kritiske aktiver, som understøtter disse. Indbyrdes
rangordning af og brugsmønster for de kritiske aktiver.
• Afledte kritiske forhold.
• Supplerende data, jf. ovenstående.
• Beskyttelseskrav.
• Effektområder, som ud fra en forretningsmæssig vurdering, kræver særlig
opmærksomhed.
Stor konsekvens er dog kun den ene del, vi har brug for at vurdere risikoen. Nu
skal teamet sammenholde konsekvenserne med sandsynligheden for, at effekten
forekommer – dvs. at konsekvensen udløses. Derfor fortsætter vi med at se
på trusler og sandsynligheder for, at hændelser forekommer.
Trusselsvurdering
Formålet med trusselsvurderingen er at kortlægge aktuelle og kommende trusler,
deres angrebsveje og de grundlæggende sandsynligheder for at truslerne
indtræffer. Dernæst skal teamet omsætte truslerne til hændelser, som teamet
kan indplacere i en konsekvensskala. Denne skala fastlægger teamet sammen
med ledelsen (se forslag til skala senere i dette afsnit).
Teamet kan evt. tage udgangspunkt i det generiske trusselskatalog, som findes
på it-sikkerhedsportalen. Ud fra dette katalog og ud fra den viden teamet har
om de kritiske aktiver og evt. svagheder, vælger teamet trusler med middel eller
høj grundlæggende sandsynlighed. Ud fra tidligere erfaringer og evt. viden
om fysiske eller logiske forhold, kan teamet evt. supplere med trusler med
mindre sandsynlighed, men stor effekt.
Teamet skal vurdere truslerne struktureret, så teamet sikrer sig, at det eksplicit
tager stilling til et komplet sæt af trusler inden for følgende kategorier:
• Personrelaterede trusler: eksterne/interne personer; med forsæt/hændeligt;
via netværk/ved fysisk tilstedeværelse.
• Systemmæssige trusler– relateret til hardware, software eller andre systemnedbrud.
• Trusler uden for institutionens kontrol – bl.a. forsyninger og naturgivne
forhold.
Det er vigtigt, at teamet husker alle relevante trusler. Man kan anvende en skala
til at rubricere hyppigheden af forekomsterne.
>
27

28
Man ser indledningsvist på sandsynligheden for hver enkelt trussel, idet man
ser bort fra, hvad man har gjort for at forhindre eller afbøde hændelsen. Disse
sandsynligheder betegnes ”initiale sandsynligheder” – det vil sige sandsynligheder
før man har implementeret sikringsforanstaltninger. Disse er nødvendige
for at kunne danne sig et indtryk af effekten af de sikringsforanstaltninger, som
organisationen allerede har indført.
For hver trussel vurderer teamet herefter, hvor relevant truslen er i forhold til
effektområderne. Dette sker først og fremmest med udgangspunkt i de kritiske
aktiver, og teamet bør være særligt opmærksomhed på aktiver, som skaber
mange afhængigheder (typisk infrastrukturaktiver eller nøglemedarbejdere).
Teamet kan vurdere med udgangspunkt i disse spørgsmål:
• Hvilket effektområde er i spil?
• Hvordan rammer truslen aktivet? Via netværket, fysisk?
• Hvor og hvem kommer truslen fra? Indefra, udefra?
• Hvad har motivet været? Forsæt, uagtsomhed, hændeligt?
Ved at kombinere de elementer, der indgår i spørgsmålene, på forskellige måder
for hver trussel, får teamet yderligere input til at definere konkrete hændelsesforløb.
De konkrete hændelser skal relatere sig til de identificerede kritiske aktiver, og
de skal gerne beskrive effekt og omfang af en hændelse i forhold til organisationens
forretningsmæssige opgaver. Ved at diskutere konkrete hændelsesforløb
bliver det lettere for teamet at vurdere sandsynlighed og konsekvens af hændelserne
– der er f.eks. stor forskel på, om et virusangreb rammer en enkelt arbejdsstation
eller et antal servere i institutionen. Der er også forskel på, hvordan
og af hvem truslen er blevet aktualiseret. Og der er forskel på sandsynligheden
for de forskellige scenarier. Isoleret set, er den trussel, som er i spil, dog
den samme.
Teamet må konkret vurdere, om det har brug for at opridse forskellige hændelsesforløb
med udgangspunkt i den samme trussel. Beskrivelsen af et hændelsesforløb
bør omfatte en beskrivelse af, hvordan det i sidste ende påvirker organisationen,
bl.a. muligheden for at opfylde organisationens forretningsmål.
Teamet skal vælge hændelsesforløb, hvis omfang og effekt ligger over beskyttelseskravet
for aktivet, hvis teamet kender dette.
Hvis interviewene af konsekvenser har afdækket særlige effektområder, som
kræver særlig opmærksomhed, anbefaler vi at teamet starter med trusler, som
påvirker disse effektområder.
>

Et eksempel på et hændelsesforløb kunne f.eks. være: ”En ny destruktiv virus
rammer organisationen via en hjemmearbejdsplads og inficerer alle filservere.
Det resulterer i permanent tab af data”.
Når teamet har udarbejdet et katalog af relevante hændelsesforløb, skal det påføre
hver enkelt hændelse en initial sandsynlighed – altså sandsynligheden for,
at hændelsen indtræffer uafhængigt af de etablerede sikringsforanstaltninger.
Til dette formål kan man f.eks. benytte følgende skala med syv trin:
Sandsynlighed Beskrivelse
Skala Betegnelse
A Ekstrem/sicker Vil sandsynligvis ske flere gange hver
dag.
B Meget høj Vil sandsynligvis ske flere gange hver
måned.
C Høj Vil sandsynligvis ske én gang hver måned
eller sjældnere.
D Medium Vil sandsynligvis ske én gang hvert
halve år eller sjældnere.
E Lav Vil sandsynligvis ske én gang om året
eller sjældnere.
F Meget lav Vil sandsynligvis ske to/tre gange inden
for fem år.
G Usandsynlig Forekommer formodentligt aldrig.
Det er væsentligt, at teamet inddrager de relevante personkredse/nøglepersoner
til at vurdere truslerne (og konsekvenserne ved hændelser). Inddragelse er afgørende
for accepten i organisationen af især de administrative sikringsforanstaltninger.
Gennem inddragelse opnår organisationen en fælles holdning
til/oplevelse af trusselsbilledet.
Den endelige vurdering af sandsynlighed og konsekvens for hændelsen kan
teamet placere i et skema som vist nedenfor. Som eksempel har vi placeret den
fiktive hændelse ” En ny destruktiv virus rammer institutionen via en hjemmearbejdsplads,
og inficerer alle filservere. Det resulterer i permanent tab af data.”
(◙ 36 ). Teamet vurderer konsekvens og sandsynlighed for hvert enkelt effektområde
(fortrolighed, integritet, tilgængelighed), og ender således med tre
skemaer, hvor alle de hændelser, som teamet har vurderet, påvirker de kritiske
aktiver, er plottet ind.
>
29

30
Sandsynlighed
Risikoniveau Konsekvens
Tilgængelighed
UbetydeligMindre BetydeligSkadevoldende Alvorlig Graverende
Usandsynlig - - - - - -
Meget lav - Lav Lav Lav Medium Medium
Lav - Lav Medium Medium Høj Høj
Medium - Lav Medium Høj Høj Kritisk
Høj - MediumHøj Høj Kritisk Ekstrem
Meget høj - MediumHøj Kritisk Ekstrem Ekstrem
Ekstrem/sikker - MediumHøj Kritisk Ekstrem◙ 36 Ekstrem
◙ 36 En ny destruktiv virus rammer institutionen via en hjemmearbejdsplads, og inficerer alle filservere, hvilket resulterer i permanent tab af data.
Trusselsvurderingen er særdeles vigtig: Det er hændelserne som senere gør det
muligt for teamet at tegne et retvisende risikobillede – ikke truslerne isoleret
set. Det er tidskrævende fuldstændigt at afdække alle relevante hændelsesforløb.
Det bør dog være muligt at skære opgaven fornuftigt til ud fra den viden,
teamet har opnået gennem den indledende indsamling af informationer og konsekvensvurderingen.
Desuden er opgaven iterativ: Det er tilladt at vende tilbage,
hvis man opdager væsentlige ”huller” efterfølgende.
Sårbarhedsvurdering
Sårbarhedsvurderingen skal give et overblik over, hvor godt organisationen er
beskyttet over for hændelser gennem de sikringsforanstaltninger, som organisationen
allerede har. Det vil sige sandsynligheden for at en hændelse indtræffer
med de nuværende sikringsforanstaltninger – såkaldte restsandsynligheder.
Disse sandsynligheder vil i langt de fleste tilfælde være reduceret i forhold til
de initiale sandsynligheder, og vurderingen fører da til en nedrykning på skalaen.
Det er oplagt at tage udgangspunkt i de basale krav, som er ridset op i
DS484:2005. Under et forenklet forløb er det en mulighed at gå knap så detaljeret
til værks. Der er dog grænser for, hvor meget man kan ”skære hjørner” i
denne fase – i princippet er alle basale krav relevante i alle organisationer. De
er dog ikke lige vigtige, og hér hjælper risikovurderingen til at lægge et passende
niveau for den konkrete implementering.
Inden teamet kan vurdere restsandsynligheder, er det nødvendigt at se nærmere
på hvilke sikringsforanstaltninger, som aktuelt er på plads i organisationen –
den såkaldte sårbarhedsvurdering.
Teamet gennemfører sårbarhedsvurderingen som en struktureret gennemgang
af de etablerede sikringsforanstaltninger på et ret detaljeret niveau. Sikringsforanstaltningerne
kan opdeles i følgende kategorier:
>

• Forebygger/forhindrer.
• Begrænser/forsinker.
• Opdager
• Afhjælper.
• Organisationens forsikringer.
Det er her nærliggende at tage udgangspunkt i de sikringsforanstaltninger og
den struktur, som er beskrevet i DS484:2005 – dvs. de basale sikrings- og kontrolforanstaltninger.
Teamet bør også inddrage supplerende foranstaltninger,
som allerede er implementeret i vurderingen. Igen anbefaler vi at gå systematisk
frem – brug evt. spørgerammen fra ITST’s benchmark suppleret med oversigten
over typiske sikringsforantaltninger og deres virkningsområde (itsikkerhedsportalen).
Det er vigtigt at understrege, at kun implementerede sikringsforanstaltninger er
relevante. Foranstaltninger, som er på tegnebrættet, giver ikke nogen beskyttelse
(planlagte foranstaltninger er dog relevante, når teamet skal rapportere til ledelsen).
Gennemgangen afdækker en eventuel afstand mellem de basale og erkendte/formulerede
krav til foranstaltninger i DS484:2005, og organisationens aktuelle
sikringsforanstaltninger (gap-analyse). Analysen er nyttig i sig selv, idet
den vil pege på, hvor organisationen umiddelbart skal sætte ind for at leve op
til egne retningslinjer. Endvidere giver analysen grundlag for at vurdere sårbarheden.
For at få et overblik, anbefaler vi, at teamet resumerer resultatet af
den detaljerede gennemgang i et oversigtsskema. Herved tydeliggør teamet også
nytten af allerede eksisterende sikringsforantaltninger.
It-sikkerhedskoordinatoren eller andre i teamet har sjældent det nødvendige
overblik over alle etablerede fysiske, administrative og tekniske sikringsforanstaltninger.
Teamet kan således ikke selv gennemføre gap-analysen. Det kan
derfor være nødvendigt at alliere sig med en person, som har det nødvendige
kendskab til organisationen og dens arbejdsgange. Det kan evt. være en erfaren
leder. It-chefen vil i nogle tilfælde også have den nødvendige viden. Hvis der
ikke findes en sådan person i organisationen, er det nødvendigt at samle informationen
på nogenlunde samme måde som under konsekvensvurderingsfasen –
dvs. gennem interview.
Når teamet har gennemført gap-analysen, skal teamet revurdere hændelseskataloget
på denne baggrund: Teamet påfører restsandsynligheder for alle hændelser
– altså sandsynligheder for at hændelserne indtræffer set i lyset af de etablerede
sikringsforanstaltninger. Dette er (også) en sagkyndig vurdering, hvor teamet
også skal have bistand.
>
31

32
Rapport til ledelsen: Beskrivelse af risikobilledet
Vi er nu nået frem til det, som vi skal bruge alle bestræbelserne til: et samlet risikobillede,
som danner grundlag for rapport til ledelsen.
Beskrivelsen af risikobilledet består i, at man søger at vurdere, hvordan de
etablerede og eventuelt manglende sikringsforanstaltninger påvirker sandsynlighederne
for, at konkrete hændelser/trusler kan udløse en ikke acceptabel
konsekvens.
Sidste fase i risikovurderingen er således at fremstille den ledelsesinformation,
som skal danne grundlag for, at ledelsen kan beslutte strategi og handlingsplaner.
For at kunne rapportere og drøfte risikobilledet med ledelsen er det en god
ide at fremstille resultaterne grafisk. Dette kan gøres på forskellige måder, men
hyppigt anvendes skemaer med farvelagte felter (Se f.eks. DS484:2005 Anneks
B, afsnit B.3).
Som udgangspunkt tager man de kritiske aktiver, som var resultatet af konsekvensvurderingen.
For hvert af disse aktiver vælger man de hændelser, der har
størst initial sandsynlighed, og som vel at mærke har en virkningsgrad på det
pågældende kritiske aktiv (virusangreb har eksempelvis ingen effekt på et papirbaseret
aktiv).
Herefter identificerer man de foranstaltninger, som begrænser en eventuel effekt
af hændelsen. Til sidst estimerer man foranstaltningernes samlede virkning
– det vil sige, hvor meget påvirker de etablerede foranstaltninger sandsynligheden
eller konsekvensen. Dette er ikke en triviel øvelse, idet der vil være synergieffekter
mellem de enkelte sikringsforanstaltninger. Den endelige vurdering
af sandsynlighed for og konsekvens af hændelserne kan man plotte ind i et
skema. Herved synliggør man effekten af sikringsforanstaltningerne.
Sandsynlighed
Risikoniveau Konsekvens
Tilgængelighed
UbetydeligMindre BetydeligSkadevoldende AlvorligGraverende
Usandsynlig - - - - - -
Meget lav - Lav Lav Lav MediumMedium
Lav - Lav Medium Medium Høj Høj
Medium - Lav Medium Høj Høj Kritisk
Høj - MediumHøj Høj Kritisk Ekstrem
Meget høj - MediumHøj Kritisk Ekstrem Ekstrem
Ekstrem/sikker- MediumHøj Kritisk Ekstrem Ekstrem
◙ 36 En ny destruktiv virus rammer institutionen via en hjemmearbejdsplads, og inficerer alle filservere, hvilket resulterer i permanent tab
af data.
>
◙ 36

Man laver ét skema per effektområde. I skemaet indfører man alle identificerede
og relevante hændelser efter sandsynlighed for og konsekvens af, at de indtræffer.
I denne omgang tager med etablerede sikringsforanstaltninger med i
vurderingen, det vil sige, at man vurderer restsandsynligheder og ”restkonsekvenser”.
Hermed får vi en grafisk repræsentation af risikobilledet for hvert effektområde,
hvor de mest kritiske hændelser fremtræder tydeligt i det røde område.
I skemaet herover ser vi, at hændelsen ”en ny destruktiv virus rammer institutionen
via en hjemmearbejdsplads, og inficerer alle filservere, hvilket resulterer
i permanent tab af data” har flyttet sig ud af det røde felt, fordi vi nu
har taget højde for de etablerede sikringsforanstaltningers effekt.
Når man er igennem hele processen for de udvalgte kritiske aktiver, har man
tegnet et aktuelt risikobillede for disse, og organisationens eksponering er blevet
synliggjort. Sidste trin i en risikovurdering efter OCTAVE-metoden er da at
fremlægge og drøfte risikobilledet med organisationens ledelse.
>
33

Ledelsen beslutter strategi og handlingsplaner
34
Sammen med ledelsen drøfter teamet nu, hvilke konsekvenser risikovurderingen
skal have. Ledelsen tager stilling til hvilket risikoniveau, som ud fra en
helhedsbetragtning, er acceptabelt for organisationen, og hvilket indhold en
strategi og handlingsplan skal have for at nedbringe risici til niveau, der er acceptabelt
for organisationen.
Der vil normalt være et antal trusler, hvor teamets vurdering af risikoniveauet
ligger på ”Høj” eller derover. Trusler inden for risikoniveauområderne ”Kritisk”
og ”Ekstrem” vil man typisk skulle gøre noget ved umiddelbart.
Det endelige valg af supplerende sikringsforanstaltninger og eventuelt andre
tiltag er ikke en del af risikovurderingen efter OCTAVE-metoden.
For hver af de kritiske hændelser anbefaler vi at udarbejde en handlingsplan for
at nedbringe de konkrete risici. En handlingsplan bør indeholde:
• Et katalog af sikringsforanstaltninger, som kan minimere sandsynligheden
for, at hændelsen indtræffer eller minimere den konsekvens, den vil
have, hvis den indtræffer.
• Et økonomisk overslag over, hvad de foreslåede foranstaltninger koster.
• En tidsplan/projektplan for at indføre sikringsforanstaltningerne.
Risikovurderingen får betydning for den rækkefølge, man vælger at implementere
de basale krav og for hvilken betydning man tillægger dem. Derudover vil
risikovurderingen pege på hvilke skærpede krav i relation til DS484:2005, der
er nødvendige.
Man kan evt. rangordne sikringsforanstaltningerne efter deres økonomiske
vægt, dele dem op efter type (organisatoriske, fysiske eller tekniske), og/eller
fremhæve sikringsforanstaltninger, som allerede er planlagt.
Man kan nedbringe risici ved at reducere enten konsekvensen af hændelser, eller
sandsynligheden for at de indtræffer. Hvis man ønsker at nedbringe restsandsynligheden,
skal man indføre supplerende sikringsforanstaltninger. Omkostninger
til at etablere og drive oplagte supplerende foranstaltninger, bør
teamet give et overslag over.
En strategi kan indebære, at organisationen helt må opgive planlagte forretningsmæssige
tiltag, eller udskyde dem indtil andre planer eller ændringer er
gennemført i organisationen. For igangværende aktiviteter kan strategien indebære,
at man må disponere om, for at man overhovedet kan nedbringe risici til
et acceptabelt niveau. I processen kan det vise sig uøkonomisk at satse på forebyggende
foranstaltninger for alle processer, og man er så henvist til at anvende
foranstaltninger, der opdager eller afhjælper risici. Hvis man da ikke vælger
at leve med de tilbageværende risici.
>

Det er den forretningsmæssige ledelses ansvar at kende risikobilledet og tage
de nødvendige beslutninger for at nedbringe eller acceptere risiko.
Det er vigtigt at dokumentere den afsluttende ledelsesbehandling af risikovurderingen.
Dokumentationen kan særligt få betydning over for revisionen for at
dokumentere at ledelsen har behandlet risikovurderingen.
>
35

Overskrift
Bagside kursiv tekst
Bagside brødtekst