Vejledning om risikovurdering - IT- og Telestyrelsen
Vejledning om risikovurdering - IT- og Telestyrelsen
Vejledning om risikovurdering - IT- og Telestyrelsen
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
<strong>Vejledning</strong> <strong>om</strong> <strong>risikovurdering</strong>
Udgivet af:<br />
<strong>IT</strong>- & <strong>Telestyrelsen</strong><br />
<strong>IT</strong>- & <strong>Telestyrelsen</strong><br />
Holsteinsgade 63<br />
2100 København Ø<br />
Telefon: 3545 0000<br />
Fax: 3545 0010<br />
>
<strong>Vejledning</strong> <strong>om</strong> <strong>risikovurdering</strong><br />
<strong>IT</strong>- & <strong>Telestyrelsen</strong><br />
oktober 2007<br />
>
Indhold ><br />
Risikovurderinger – Hvad <strong>og</strong> hvorfor 5<br />
Risikovurdering er en del af DS484:2005 6<br />
Udbyttet af en <strong>risikovurdering</strong> 8<br />
Risikovurdering kræver metode <strong>og</strong> systematik 9<br />
Ansvar for <strong>risikovurdering</strong> på forskellige niveauer 12<br />
Det strategiske niveau: Ledelsens overordnede<br />
vurdering 13<br />
Det taktiske niveau: Risikovurdering s<strong>om</strong> et element i<br />
risikostyring 13<br />
Det operationelle niveau 15<br />
Risikovudering med en forenklet OCTAVEmetode<br />
17<br />
Forberedelse 21<br />
Konsekvensvurdering 23<br />
Supplerende dataindsamling 25<br />
Trusselsvurdering 27<br />
Sårbarhedsvurdering 30<br />
Rapport til ledelsen: Beskrivelse af risikobilledet 32<br />
Ledelsen beslutter strategi <strong>og</strong> handlingsplaner 34
Risikovurderinger – Hvad <strong>og</strong> hvorfor<br />
I de senere år er <strong>risikovurdering</strong> blevet en afgørende vigtig del af itsikkerhedsarbejdet<br />
(’best practice’), <strong>og</strong> der er i dag generel forståelse for at <strong>risikovurdering</strong><br />
er nødvendig for at sikre informationsaktiverne.<br />
Formålet med <strong>risikovurdering</strong> er at kunne styre risici, dvs. holde risici på et niveau,<br />
s<strong>om</strong> er acceptabelt. Vi opnår risikostyring, når vi vedligeholder sikkerhedsforanstaltninger<br />
ved løbende at overvåge, justere efter et fastlagt niveau <strong>og</strong><br />
regelmæssigt at gentage <strong>risikovurdering</strong>er.<br />
Vi skal gennemføre <strong>risikovurdering</strong>er for at kunne prioritere indsatsen, dér<br />
hvor den gør mest gavn. Derfor tager <strong>risikovurdering</strong>er almindeligvis udgangspunkt<br />
i organisationens forretningsmæssige forhold, <strong>og</strong> <strong>risikovurdering</strong>en <strong>om</strong>fatter:<br />
• De forretningsmæssige konsekvenser, hvis et uheld skulle ske.<br />
• Potentielle trusler, s<strong>om</strong> kan udløse disse konsekvenser.<br />
• Sårbarheder, s<strong>om</strong> påvirker sandsynligheden for, at hændelsen indtræffer.<br />
Risikovurderinger giver mulighed for at vurdere, hvor organisationen kan sætte<br />
ind, hvad effekten af en sikkerhedsforanstaltning vil være, <strong>og</strong> hvad det koster at<br />
etablere <strong>og</strong> vedligeholde den. Risikovurderinger involverer derfor organisationens<br />
ledelse.<br />
Denne vejledning beskriver en metode til systematiske <strong>og</strong> løbende <strong>risikovurdering</strong>er<br />
af de driftsmæssige risici ved en organisations brug af informationsaktiver.<br />
Formålene med vejledningen er at:<br />
• give en samlet beskrivelse af <strong>risikovurdering</strong>ens plads <strong>og</strong> betydning i<br />
forhold til den danske standard for informationssikkerhed, DS484:2005<br />
(afsnit 4.1)<br />
• anvise en metode til systematisk <strong>risikovurdering</strong> baseret på ‘best practice’<br />
• beskrive selve processen med at gennemføre en <strong>risikovurdering</strong> ud fra<br />
den anviste metode<br />
• introducere væsentlige begreber <strong>og</strong> terminol<strong>og</strong>i inden for <strong>risikovurdering</strong>.<br />
Det er en stor <strong>og</strong> <strong>om</strong>fangsrig opgave at gennemføre en fuldt dækkende <strong>risikovurdering</strong>.<br />
Den skitserede metode anviser, hvordan man kan gribe processen an<br />
<strong>og</strong> k<strong>om</strong>me i gang med opgaven med en fornuftig indsats. Metoden anviser <strong>og</strong>så,<br />
hvorledes man ved at udbygge de regelmæssige vurderinger gradvist kan<br />
forbedre kvaliteten af <strong>risikovurdering</strong>erne.<br />
><br />
5
6<br />
Desuden kan vejledningen bidrage til, at organisationen anvender ensartede<br />
metoder <strong>og</strong> procedurer for <strong>risikovurdering</strong>, jf. DS484:2005, afsnit 6.1.2, c.<br />
Risikovurdering er en del af DS484:2005<br />
Risikovurderingens betydning for informationssikkerhed fremgår af<br />
DS484:2005. Standarden er faktisk i sig selv resultatet af en generel <strong>risikovurdering</strong>.<br />
Opdelingen af kravene i to grupper, de basale <strong>og</strong> de skærpede krav, er<br />
valgt fordi det ikke kan betale sig at beskytte de normale informationsaktiver<br />
ligeså godt s<strong>om</strong> de særligt kritiske aktiver.<br />
Risikovurderingen er en aktivitet i it-sikkerhedsarbejdet, s<strong>om</strong> organisationen<br />
skal styre efter udmeldte <strong>og</strong> forankrede retningslinjer – i lighed med alle sine<br />
øvrige aktiviteter. Det vil sige retningslinjer, s<strong>om</strong> de relevante rolleindehavere<br />
kender <strong>og</strong> efterlever. Risikovurderingen har et selvstændigt afsnit i<br />
DS484:2005 (afsnit 4.1) s<strong>om</strong> fastslår, at en <strong>risikovurdering</strong> skal identificere <strong>og</strong><br />
prioritere risici med udgangspunkt i institutionens forretningsmæssige forhold.<br />
Resultatet skal bidrage til at fastlægge <strong>og</strong> prioritere de nødvendige ledelsesindgreb<br />
<strong>og</strong> sikringsforanstaltninger for at imødegå relevante risici.<br />
Det fremhæves desuden at <strong>risikovurdering</strong>er skal gennemføres regelmæssigt <strong>og</strong><br />
ved væsentlige ændringer i risikobilledet, herunder organisatoriske eller teknol<strong>og</strong>iske<br />
ændringer. Endelig fremhæves det i standarden, at <strong>risikovurdering</strong> skal<br />
gennemføres metodisk <strong>og</strong> systematisk, så resultaterne er sammenlignelige <strong>og</strong><br />
reproducerbare.<br />
Man kan gennemføre en <strong>risikovurdering</strong> med forskellige mål for øje, på flere<br />
niveauer <strong>og</strong> med forskellig detaljeringsgrad. I nedenstående tabel <strong>om</strong>tales <strong>risikovurdering</strong>er<br />
på det strategiske, taktiske <strong>og</strong> operationelle niveau, <strong>og</strong> hvorledes<br />
vurderinger på disse niveauer er beskrevet i DS484:2005.<br />
>
Risikovurdering på Beskrivelse <strong>og</strong> referencer til DS484:2005<br />
Strategisk niveau<br />
Taktisk niveau<br />
Operationelt niveau<br />
><br />
Ledelsens overordnede <strong>risikovurdering</strong> er input til at<br />
udarbejde it-sikkerhedspolitikken, se DS484:2005 afsnit<br />
0.3 <strong>og</strong> 5.1. Ledelsen gennemfører typisk en kvalitativ<br />
vurdering af det risikobillede, s<strong>om</strong> tegner sig for<br />
organisationen. Risikovurderingen på dette niveau er<br />
endvidere input til it-sikkerhedsstrategien, herunder<br />
overvejelser <strong>om</strong> styringsprincipper, outsourcing, k<strong>om</strong>petenceudvikling,<br />
mv.<br />
Den gentagne <strong>og</strong> metodiske vurdering af sikkerhedsrisici,<br />
s<strong>om</strong> ligger til grund for valg af sikringsforanstaltninger,<br />
se DS484:2005 afsnit 0.4 <strong>og</strong> 4.1. Vurderingen<br />
<strong>om</strong>fatter organisationens aktiver, uheldskonsekvenserne<br />
<strong>og</strong> trusler, sårbarheder <strong>og</strong> afdækker de enkelte risicis<br />
væsentlighed. Risikovurderinger på det taktiske niveau<br />
udføres i forbindelse med større projekter eller<br />
anskaffelser, udvikling af større systemer mv. Risikovurderinger<br />
på det taktiske niveau udføres endvidere i<br />
forbindelse med den indledningsvise implementering<br />
af it-sikkerhedsstandarder, s<strong>om</strong> input til handlingsplaner<br />
mv.<br />
Risikovurderinger, <strong>og</strong> på det mere detaljerede niveau;<br />
risikoanalyser, gennemføres i en række sammenhænge<br />
s<strong>om</strong> en naturlig del af det almindelige itsikkerhedsarbejde,<br />
f.eks. i forbindelse med patchtning,<br />
ændringsstyring mv.<br />
Kravene i DS484:2005 er formuleret generelt, <strong>og</strong> en organisation kan ikke implementere<br />
kravene uden først at have vurderet egne forhold.<br />
Der anvendes i standarden flere steder ord s<strong>om</strong> ”regelmæssig”, ”væsentlige”,<br />
”løbende”. Det kræver en fortolkning, hvor det er det den enkelte organisations<br />
risici, der afgør, <strong>om</strong> eksempelvis ”regelmæssig” er en gang <strong>om</strong> måneden eller<br />
en gang <strong>om</strong> året.<br />
At gennemføre <strong>risikovurdering</strong> er således en forudsætning for korrekt implementering<br />
af en række krav i DS484:2005. Med andre ord kan en organisation<br />
først foretage den rette udmøntning af en bestemt sikringsforanstaltning, når<br />
den har gennemført en <strong>risikovurdering</strong>.<br />
Følgende er eksempler fra DS484:2005 på forhold, s<strong>om</strong> kræver, at man gennemfører<br />
en <strong>risikovurdering</strong> på det operationelle niveau:<br />
7
8<br />
• Eksterne samarbejdspartneres adgang til institutionens informationsbehandlingsfaciliteter<br />
(DS484:2005 afsnit 6.2.1.).<br />
• Sikre <strong>om</strong>råder skal afgrænses <strong>og</strong> sikres i henhold til en <strong>risikovurdering</strong>,<br />
(DS484:2005 afsnit 9.1.1.).<br />
• Eventuel stikprøvevis kontrol med uautoriseret fjernelse af aktiver,<br />
(DS484:2005 afsnit 9.2.7.)<br />
• Niveauet for overvågning af systemanvendelsen, (DS484:2005 afsnit<br />
10.10.2.).<br />
• Sikringsbehov ved autentifikation af brugere med ekstern netværksforbindelse,<br />
(DS484:2005 afsnit 11.4.2.).<br />
På samme måde s<strong>om</strong> det er ‘best practice’ – nationalt <strong>og</strong> internationalt – for itsikkerhedsarbejdet<br />
at indføre f.eks. hændelsesstyring eller beredskabsplanlægning,<br />
gælder det samme i dag <strong>og</strong>så for <strong>risikovurdering</strong>.<br />
Udbyttet af en <strong>risikovurdering</strong><br />
Det primære formål med <strong>og</strong> udbytte af en <strong>risikovurdering</strong> er at identificere <strong>og</strong><br />
prioritere risici. Resultatet af vurderingen indgår i ledelsens risikostyring, hvor<br />
ledelsen prioriterer <strong>og</strong> fastlægger nødvendige indgreb <strong>og</strong> sikringsforanstaltninger<br />
med henblik på at nedbringe risici til et niveau, der er acceptabelt for organisationen.<br />
Ud over dette hovedformål vil en <strong>risikovurdering</strong>sproces have en række afledte<br />
effekter. Disse effekter understøtter det generelle arbejde med at leve op til de<br />
basale krav i DS484:2005. En række af de afledte effekter er:<br />
• Overblik over informationsaktiver (DS484:2005 afsnit 7.1.1). Overblikket<br />
giver organisationen en chance for at begynde løbende at ajourføre<br />
et register over informationsaktiver.<br />
• Klarhed over placering af ansvar (DS484:2005 afsnit 7.1.2). Organisationen<br />
får udpeget system- <strong>og</strong> dataejere.<br />
• Dokumentation s<strong>om</strong> ikke allerede er til stede (DS484:2005 afsnit 7.1.1).<br />
F.eks. netværkstegninger, fysiske lokaleplaner, <strong>og</strong> arkitekturtegninger.<br />
• Overblik over manglende sikringsforanstaltninger i forhold til basale<br />
krav (DS484:2005 afsnit 0.6). En gap-analyse giver direkte input til organisationens<br />
handlingsplan for bedre sikringsforanstaltninger.<br />
• Risikoprofil for hvert it-system (DS484:2005 afsnit 6.1.3). Dette er<br />
brugbart for aktiv-ejere <strong>og</strong> it-sikkerhedskoordinatorer i deres daglige<br />
arbejde.<br />
• Input til at opbygge et effektivt beredskab (DS484:2005 afsnit 14.1.2)<br />
Identifikation af kritiske aktiver kan ændre fokus i beredskabsarbejdet.<br />
• Awareness-aktiviteter (DS484:2005 afsnit 6.1.1). Interviewmøder <strong>og</strong><br />
konsekvensvurderinger, s<strong>om</strong> indgår i <strong>risikovurdering</strong>sprocessen, gør itsikkerhed<br />
nærværende.<br />
>
• Dial<strong>og</strong> mellem (forretnings-)ledelse <strong>og</strong> it-funktion (DS484:2005 afsnit<br />
6.1). Dial<strong>og</strong>en giver bedre forståelse for budgetbehov <strong>og</strong> for ”forretningen”.<br />
• Input til it-strategi. F.eks. <strong>om</strong> outsourcing eller it-arkitektur.<br />
• Besparelser. Forenkling af infrastruktur kan på længere sigt give færre<br />
<strong>om</strong>kostninger til at behandle hændelser <strong>og</strong> til drift <strong>og</strong> vedligehold af infrastrukturen.<br />
Arbejdsindsatsen med at gennemføre <strong>risikovurdering</strong>er tjener altså ikke kun til<br />
at opnå hovedformålet. Indsatsen befordrer i stort <strong>om</strong>fang <strong>og</strong>så, at de basale<br />
krav i DS484:2005 bliver implementeret med passende hensyn til relevans <strong>og</strong><br />
væsentlighed.<br />
Risikovurdering kræver metode <strong>og</strong> systematik<br />
Det er afgørende for resultatet af en <strong>risikovurdering</strong>, hvordan man gennemfører<br />
processen. Derfor stilles der i DS484:2005 krav til, at <strong>risikovurdering</strong>er skal<br />
gennemføres metodisk <strong>og</strong> systematisk, så organisationen kan genbruge resultaterne.<br />
En <strong>risikovurdering</strong> kan udføres på mange forskellige måder <strong>og</strong> efter mange forskellige<br />
metoder. Der skelnes grundlæggende mellem kvalitative <strong>og</strong> kvantitative<br />
metoder. De kvantitative metoder har den svaghed, at man skal kvantificere<br />
(i form af talværdier) alt, hvad man lader indgå, for at man kan gennemføre de<br />
nødvendige vurderinger. Dette er et <strong>om</strong>fangsrigt <strong>og</strong> tidskrævende arbejde. Dertil<br />
k<strong>om</strong>mer, at det kan være vanskeligt at sætte tal på ikke umiddelbart målelige<br />
konsekvenser, s<strong>om</strong> f.eks. negativ påvirkning af en organisationens image. En<br />
måde at håndtere denne problemstilling er at vende den <strong>om</strong> <strong>og</strong> i stedet vurdere,<br />
hvor meget organisationen er villig til at betale for at undgå en bestemt hændelse.<br />
S<strong>om</strong> regel kan man udregne prisen på en bestemt sikringsforanstaltning<br />
med en vis præcision, mens det ikke altid er tilfældet med de mere uhåndgribelige<br />
konsekvenser.<br />
Ofte anvender man således kvalitative metoder, hvor man definerer skalaer<br />
med et vist antal trin, <strong>og</strong> herefter rangordner <strong>og</strong> indplacerer man hændelser inden<br />
for disse trin (såkaldt indeksering). En sådan metode er relativ hurtig at anvende,<br />
<strong>om</strong> end man altid kan diskutere en konkret indeksering på en skala. En<br />
skala kan f.eks. se således ud:<br />
><br />
9
10<br />
Eksempel på konsekvensskala med fem trin<br />
Konsekvens<br />
Skala Betegnelse<br />
Beskrivelse<br />
A Graverende/ødelæggende Ministeren må gå af. Organisationen<br />
bliver sat under administration. Tab på<br />
mere end XX. kr. Menneskeliv står på<br />
spil.<br />
B Meget alvorlig Påvirker <strong>om</strong>dømme – internt tab af troværdighed<br />
– betydelig ressourceindsats<br />
til at afhjælpe. Tab på mellem YY <strong>og</strong><br />
XX. kr. Alvorlig personskade.<br />
C Alvorlig Vil kun blive observeret af få – begrænset<br />
ressourceindsats til at afhjælpe. Tab<br />
på mellem ZZ <strong>og</strong> YY. kr.<br />
D Mindre alvorlig Mindre effekt – faktisk ingen ressourceindsats<br />
til at afhjælpe. Tab på mellem<br />
WW <strong>og</strong> ZZ. kr.<br />
E Ubetydelig Faktisk ingen konsekvens.<br />
Brug af kvalitative vurderinger til at indplacere hændelser er ikke helt præcist.<br />
Erfaringen viser imidlertid, at denne metode giver et kvalificeret bidrag til at<br />
afdække de nødvendige indsats<strong>om</strong>råder. I praksis kan man med fordel benytte<br />
en k<strong>om</strong>bination af kvalitative <strong>og</strong> kvantitative metoder i <strong>risikovurdering</strong>sprocessen.<br />
Eksempelvis kan man indlede med en kvalitativ vurdering af konsekvenser.<br />
Efterfølgende kan man underbygge kvantitativt for at beslutte <strong>om</strong> man – i<br />
konkrete tilfælde – skal lave skærpede sikringsforantaltninger.<br />
Metoden, s<strong>om</strong> vi gennemgår i denne vejledning, kan man anvende i k<strong>om</strong>bination<br />
med n<strong>og</strong>le af de værktøjer, der findes på markedet, eller man kan anvende<br />
skabelonerne i bilag til vejledningen. Metoden kan overordnet karakteriseres<br />
således:<br />
• Metoden er selvdreven. Organisationen står selv for gennemførelsen.<br />
• Metoden lægger vægt på at understøtte forretningen (dette er et krav i<br />
DS484:2005).<br />
• Processen sikrer, at det væsentlige bliver prioriteret højst.<br />
• Metoden understøtter valg af sikkerhedsforanstaltninger.<br />
• Metoden er konsistent i sin måde at håndtere tilgængelighed, integritet<br />
<strong>og</strong> fortrolighed.<br />
>
Der findes i dag flere bud på metoder, s<strong>om</strong> giver en struktureret proces. Der er<br />
forskel på metodernes <strong>om</strong>fang, formål <strong>og</strong> udbytte, <strong>og</strong> det kan være svært at<br />
gennemskue, hvilken metode der samlet giver det bedste udbytte i forhold til<br />
indsatsen.<br />
Der findes <strong>og</strong>så værktøjer, s<strong>om</strong> kan hjælpe med at holde styr på de informationer,<br />
man indsamler, <strong>og</strong> s<strong>om</strong> kan udregne risikofaktorer til brug for prioritering.<br />
De modeller, der anvendes i værktøjerne, er d<strong>og</strong> af svingende kvalitet <strong>og</strong> kan i<br />
værste fald give et misvisende resultat med forkerte konklusioner til følge.<br />
Et andet forhold er, at uanset hvilket værktøj, man vælger, bliver resultatet ikke<br />
bedre end den proces, man gennemfører for at indsamle informationerne.<br />
Selv <strong>om</strong> vurdering af risici er helt central for it-sikkerhedsarbejdet, er det vigtigt<br />
at være bevidst <strong>om</strong>, at <strong>risikovurdering</strong>, uanset hvilken metode man anvender,<br />
ikke er en eksakt videnskab. Resultatet er ikke en kortlægning af alle relevante,<br />
væsentlige trusler <strong>og</strong> sårbarheder. Man vil med sikkerhed overse forhold<br />
– uanset hvor grundigt man går til værks. Det viser erfaringen. Alvorlige hændelser<br />
skyldes ofte, at man har overset en trussel eller en sårbarhed, fordi man<br />
netop kun har håndteret de kendte trusler <strong>og</strong> sårbarheder.<br />
Risikovurderinger er tilmed et øjebliksbillede. Man får et indblik i, hvordan<br />
verden ser ud på det tidspunkt, hvor man gennemfører <strong>risikovurdering</strong>en. Desværre<br />
er trusselsbilledet meget <strong>om</strong>skifteligt.<br />
Risikovurderinger kan derfor ikke stå alene s<strong>om</strong> beslutningsgrundlag for valg<br />
af sikkerhedsforanstaltninger. De skal ses s<strong>om</strong> en ‘best practice’, der supplerer<br />
det minimumsberedskab, man får ved at implementere DS484:2005.<br />
><br />
11
Ansvar for <strong>risikovurdering</strong> på forskellige niveauer<br />
12<br />
It-sikkerhedskoordinatoren skal ikke lave selve vurderingen af risici, men hjælpe<br />
med råd <strong>og</strong> vejledning i processen. Risikovurderingen skal udføres af de<br />
personer, s<strong>om</strong> har den nødvendige faglige indsigt. En faglig indsigt der gør, at<br />
de kan vurdere de potentielle forretningsmæssige konsekvenser af de driftsmæssige<br />
risici ved informationsbehandlingen. Nærmere bestemt skal nedenstående<br />
rolleindehavere vurdere risici <strong>og</strong> udføre eller bestille <strong>risikovurdering</strong>er.<br />
Dette bør <strong>og</strong>så fremgå af it-sikkerhedspolitikken.<br />
• Linjeledelsen skal sikre, at organisationen gennemfører en sikkerhedsvurdering,<br />
før der bliver installeret nye systemer.<br />
• Systemejerne har ansvaret for at udarbejde en <strong>risikovurdering</strong> i henhold<br />
til kravene til systemejere.<br />
• Dataejerne har ansvaret for at udarbejde en <strong>risikovurdering</strong> i henhold til<br />
kravene for systemtilknyttede data. Dette skal ske i samarbejde med<br />
systemejeren.<br />
• Ejere af fysiske aktiver (infrastruktur, k<strong>om</strong>ponenter, faciliteter, operativsystemer<br />
<strong>og</strong> andet basissoftware) har ansvaret for at udarbejde en <strong>risikovurdering</strong><br />
i henhold til kravene for de fysiske aktiver.<br />
• It-sikkerhedsudvalget har ansvaret for at beskrive rammerne for arbejdet<br />
med <strong>risikovurdering</strong> s<strong>om</strong> en del af organisationens it-sikkerhed.<br />
>
Det strategiske niveau: Ledelsens overordnede vurdering<br />
På det strategiske niveau er den øverste ledelse ansvarlig for en overordnet<br />
vurdering af risikobilledet for organisationen. Risikobilledet bruges s<strong>om</strong> en af<br />
de vigtige kilder til at fastlægge organisationens sikkerhedsbehov. Herudover<br />
kan organisationen <strong>og</strong>så anvende vurderingen i organisationens informationssikkerhedsstrategi<br />
(målsætning <strong>og</strong> politik).<br />
Man kan sige, at regeringsbeslutningen <strong>om</strong> at indføre en fælles standard for itsikkerhedsprocesser<br />
i staten er foretaget på baggrund af en strategisk <strong>og</strong> helt<br />
overordnet vurdering af risici ved at udbrede digital forvaltning. Der ligger således<br />
en overordnet <strong>risikovurdering</strong> til grund for statens målsætning for <strong>og</strong> politik<br />
på informationssikkerheds<strong>om</strong>rådet.<br />
På samme måde skal den enkelte organisation gennemføre en overordnet <strong>risikovurdering</strong>.<br />
Her vil man med fordel kunne anvende principperne fra det taktiske<br />
niveau.<br />
Det taktiske niveau: Risikovurdering s<strong>om</strong> et element i risikostyring<br />
På det taktiske niveau anvender man <strong>risikovurdering</strong> s<strong>om</strong> et element i risikostyring.<br />
Det vil sige til at vælge <strong>og</strong> vedligeholde et optimalt <strong>og</strong> afbalanceret sæt<br />
af sikringsforanstaltninger inden for givne (økon<strong>om</strong>iske) rammer. Man prioriterer<br />
løbende indsatsen, så organisationen bruger ressourcer på de relevante <strong>og</strong><br />
nødvendige sikringsforanstaltninger. Der skal være en balance mellem en risiko<br />
for tab, konsekvenserne heraf <strong>og</strong> hvad det koster at forebygge risikoen.<br />
Ofte vil implementering af de basalt krævede sikringsforanstaltninger ikke være<br />
nok til at nå et passende sikkerhedsniveau. Det kan skyldes lovgivningskrav<br />
eller aftaler <strong>og</strong> kontrakter, der stiller særlige krav til sikkerhed. Også særligt<br />
kritiske systemer, hvor konsekvensen af et sikkerhedsbrud er meget stor, kan<br />
nødvendiggøre skærpede sikringsforanstaltninger. Organisationens overordnede<br />
erklæring <strong>om</strong> det ønskede sikkerhedsniveau, bør fremgå af organisationens<br />
it-sikkerhedspolitik (se eventuelt eksempel på formulering af en itsikkerhedspolitik<br />
på it-sikkerhedsportalen).<br />
Det kan imidlertid være forbundet med betydelige <strong>om</strong>kostninger at skærpe sikringsforanstaltningerne<br />
over en bred kam. Derfor er det nødvendigt at prioritere<br />
indsatsen, så man undgår fejlinvesteringer.<br />
Figuren herunder viser, at en overinvestering i sikringsforanstaltninger fører til<br />
uhensigtsmæssigt store total<strong>om</strong>kostninger (risiko<strong>om</strong>kostninger) på samme måde<br />
s<strong>om</strong> en underinvestering medfører store skade<strong>om</strong>kostninger.<br />
><br />
13
14<br />
Man får god hjælp til at identificere <strong>om</strong>rådet med det optimale udbytte ved at<br />
anvende en risikostyringsproces med <strong>risikovurdering</strong> <strong>og</strong> ”cost-benefit”betragtninger<br />
på mulige sikringstiltag. På den baggrund kan man få valgt passende<br />
sikringsforanstaltninger s<strong>om</strong> supplement til DS484:2005’s basale krav.<br />
Omkostninger<br />
Skade<strong>om</strong>kostninger<br />
<strong>om</strong>fatter både <strong>om</strong>kostninger<br />
til at afhjælpe<br />
<strong>og</strong> k<strong>om</strong>pensere<br />
for indtrufne<br />
skader <strong>og</strong> eventuel<br />
selvrisiko i forbindelse<br />
med en forsikring<br />
Totale<br />
<strong>om</strong>kostninger<br />
Skade<strong>om</strong>kostninger<br />
Optimalt<br />
udbytte<br />
Sikrings<strong>om</strong>kostninger<br />
Sikringsniveau<br />
Med<br />
andre ord handler det <strong>om</strong> at prioritere <strong>og</strong> vælge sikringsforanstaltninger,<br />
så man nedbringer risici til et niveau, s<strong>om</strong> er acceptabelt for organisationen.<br />
En<br />
<strong>risikovurdering</strong> er i sagens natur et øjebliksbillede – et ”snapshot” – hvor<br />
man vurderer uheldskonsekvenser på baggrund af organisationens aktuelle ak-<br />
tiver, sårbarheder <strong>og</strong> det aktuelle trusselsbillede for organisationen.<br />
Man<br />
tegner hermed et aktuelt risikobillede for organisationen. Risikobilledet<br />
vil ændre sig over tid, idet de elementer, s<strong>om</strong> indgår i billedet, erfaringsmæssigt<br />
ændrer sig hurtigere, end man umiddelbart skulle tro.<br />
Organisatoriske<br />
eller opgavemæssige ændringer, ændringer i anvendt teknolo-<br />
gi, introduktion af nye it-systemer eller andre informationsaktiver, nye versioner<br />
eller opdateringer til systemerne <strong>og</strong> en ændret trusselssituation medvirker<br />
alt sammen til, at en <strong>risikovurdering</strong> hurtigt kan blive uaktuel.<br />
Man<br />
bør selvfølgelig prøve at forudse k<strong>om</strong>mende ændringer, når man laver en<br />
<strong>risikovurdering</strong>. I modsat fald er det et krav, at man laver en ny <strong>risikovurdering</strong><br />
når der sker ændringer (jf. DS484:2005, afsnit 4.1.).<br />
Der<br />
er på denne baggrund behov for løbende at gentage <strong>og</strong> vedligeholde <strong>risikovurdering</strong>en.<br />
Ud fra det ændrede risikobillede beslutter organisationen even-<br />
tuelt nødvendige ændringer til eksisterende sikringsforanstaltninger <strong>og</strong> afdækker<br />
behov for eventuelt supplerende sikringsforanstaltninger.<br />
><br />
Sikrings<strong>om</strong>kostninger består af<br />
såvel <strong>om</strong>kostninger til sikringsforanstaltninger<br />
der forebygger,<br />
opklarer <strong>og</strong> begrænser, beredskab<br />
<strong>og</strong> eventuel forsikringsdækning<br />
s<strong>om</strong> af <strong>om</strong>kostninger<br />
til administration <strong>og</strong> drift af<br />
virks<strong>om</strong>hedens sikringssystem
Når man gentager <strong>risikovurdering</strong>er <strong>og</strong> løbende justeringer i sikringsforanstalt-<br />
ningerne,<br />
har man indført risikostyring. Risikostyring kan beskrives s<strong>om</strong> en lø-<br />
bende proces, gennem hvilken man identificerer, analyserer, vurderer, behandler,<br />
overvåger <strong>og</strong> k<strong>om</strong>munikerer risici.<br />
Risikostyring har meget til fælles med kvalitetsstyring,<br />
idet begge dele handler<br />
<strong>om</strong><br />
at opnå løbende forbedringer ved hjælp af dokumenterede <strong>og</strong> kontrollerede<br />
processer. Beredskabsstyrelsen har udgivet en b<strong>og</strong> <strong>om</strong> risikostyring inden for<br />
det k<strong>om</strong>munale <strong>om</strong>råde (”Risikostyring – en grundb<strong>og</strong>”, Beredskabsstyrelsen,<br />
2003). Selv<strong>om</strong> b<strong>og</strong>en handler <strong>om</strong> k<strong>om</strong>munal risikostyring på beredskabs<strong>om</strong>rådet,<br />
<strong>og</strong> ikke specifikt vedrører informationssikkerhed, er den en god generel introduktion<br />
til principperne bag risikostyring.<br />
Risikostyring, med løbende <strong>risikovurdering</strong> af de<br />
driftsmæssige risici ved brug<br />
af<br />
informationsaktiver, er et vigtigt element i et styringssystem (ISMS) <strong>og</strong> et<br />
krav ifølge DS484:2005, afsnit 6.1.2. ISMS-styringssystemets forskellige elementer<br />
er beskrevet nærmere i ”<strong>Vejledning</strong> <strong>om</strong> indførelse af statslig standard<br />
for it-sikkerhedsprocesser” (se http://www.oio.dk/itsikkerhed/sisis).<br />
At gennemføre <strong>risikovurdering</strong>er er en administrativ sikringsforanstaltning<br />
i sig<br />
selv.<br />
Heraf følger, at organisationen skal overvåge, udvikle <strong>og</strong> vedligeholde ri-<br />
sikovurderinger <strong>og</strong> risikostyring på linje med alle andre sikringsforanstaltninger.<br />
Det er en del af arbejdet med at vedligeholde styringssystemet for itsikkerhedsarbejdet<br />
(ISMS-systemet).<br />
Det<br />
operationelle niveau<br />
På operationelt niveau gennemfører<br />
organisationen <strong>risikovurdering</strong>er eller me-<br />
re detaljerede risikoanalyser afgrænset til et specifikt informationssystem, sy-<br />
stemk<strong>om</strong>ponent eller -ydelse. S<strong>om</strong> allerede nævnt stiller DS484:2005 krav her<strong>om</strong><br />
på en række <strong>om</strong>råder.<br />
Man udfører typisk mere detaljerede<br />
<strong>og</strong> dybtgående analyser på <strong>om</strong>råder, hvor<br />
<strong>risikovurdering</strong>en<br />
på det taktiske niveau har afdækket et behov herfor.<br />
Detaljerede analyser kan naturligvis drage nytte af resultaterne fra den over<br />
ordnede<br />
<strong>risikovurdering</strong>. Den metode vi skitserer i denne vejledning kan man –<br />
med tilpasninger – udmærket anvende <strong>og</strong>så til detaljerede analyser.<br />
Man udfører <strong>og</strong>så <strong>risikovurdering</strong>er på det operationelle niveau på andre<br />
<strong>om</strong>rå-<br />
der<br />
end ved driftsmæssige risici. S<strong>om</strong> et særlig relevant eksempel, kan man<br />
nævne risikostyring <strong>og</strong> <strong>risikovurdering</strong> af it-udviklingsprojekter (se<br />
http://www.e.gov.dk/redskaber_<strong>og</strong>_vejledninger/projketstyring/risikostyring/in<br />
dex.html).<br />
><br />
15
16<br />
>
Risikovurdering med en forenklet OCTAVE-metode<br />
OCTAVE SM - metoden er en kvalitativ <strong>og</strong> systematisk <strong>risikovurdering</strong>smetode<br />
udviklet ved CERT Coordination Center (CERT/CC) ved Carnegie Mellon<br />
Universitetet’s Software Engineering Institute (SEI) i Pittsburgh, USA.<br />
OCTAVE er en forkortelse for:<br />
Operationally<br />
Critical<br />
Threat,<br />
Asset, and<br />
Vulnerability<br />
Evaluation<br />
hvilket på dansk kan ”oversættes” til ”vurdering af sårbarheder <strong>og</strong> trusler ved<br />
kritiske informationsaktiver i organisationens forretningsenheder”. (Mere information<br />
<strong>om</strong> metoden findes på http://www.cert.org/octave/).<br />
OCTAVE-metoden er valgt, fordi metodens principper internationalt anerkendes<br />
s<strong>om</strong> ”state of the art”, <strong>og</strong> den lever op til kravene i DS484:2005, herunder<br />
at metoden:<br />
• tager udgangspunkt i konsekvenserne for organisationens forretningsforhold<br />
• giver mulighed for at få et samlet øjebliksbillede af sikkerhedssituationen<br />
• involverer ledelsen i centrale afvejninger <strong>og</strong> vurderinger<br />
• er metodisk <strong>og</strong> systematisk<br />
• kan bruges til prioritering (strategi) <strong>og</strong> efterfølgende s<strong>om</strong> beslutningsgrundlag<br />
for valg af sikringsforanstaltninger inden for de rammer, der<br />
er til rådighed (optimering).<br />
De væsentligste forskelle på OCTAVE <strong>og</strong> andre metoder kan illustreres ved<br />
følgende skitse:<br />
><br />
17
18<br />
Vurdering af organisationen Vurdering af systemer<br />
Sikkerhedspraksis<br />
Sikkerhedspraksis<br />
i fokus Teknol<strong>og</strong>i i fokus<br />
Strategiske emner Taktiske emner<br />
Selvstyret<br />
Selvstyret<br />
Ekspertstyret<br />
Ekspertstyret<br />
… dann haben<br />
wir anderen<br />
Methoden<br />
De primære fordele ved at anvende OCTAVE-metoden er at den:<br />
• eksponerer <strong>og</strong> anvender erfaringer <strong>og</strong> ekspertise bredt. Metoden<br />
involverer medarbejdere fra alle dele af organisationen, ikke bare itfunktionerne<br />
• kan <strong>og</strong>så inkludere f.eks. leverandører af tjenesteydelser, partnere <strong>og</strong><br />
konsulenter<br />
• skaber organisationsbaserede forbedringsplaner<br />
• k<strong>om</strong>munikerer sikkerhedsspørgsmål effektivt i termer, s<strong>om</strong> ledelsen<br />
kan forstå<br />
• skaber en basislinje for fremtidige forbedringstiltag<br />
• er selvstyrende – resultater <strong>og</strong> viden forankres i organisationen<br />
• er ikke-k<strong>om</strong>merciel – information <strong>og</strong> erfaringer er frit tilgængelige på<br />
nettet.<br />
At gennemføre en systematisk <strong>og</strong> detaljeret <strong>risikovurdering</strong> efter OCTAVEmetoden<br />
er et <strong>om</strong>fattende <strong>og</strong> tidskrævende arbejde. Der vil ofte være behov for<br />
at gennemføre en <strong>risikovurdering</strong> inden for en kortere tidsramme, end det fulde<br />
forløb lægger op til. Vi har derfor valgt at beskrive, hvordan en <strong>risikovurdering</strong><br />
kan gennemføres efter OCTAVE-metoden, men med et forenklet forløb.<br />
Vi kan forenkle OCTAVE-metodens 10 trin kan ved undervejs at foretage n<strong>og</strong>le<br />
bevidste fravalg <strong>og</strong> forenkle vurderingsforløbet, så vi bruger færre ressourcer.<br />
Det er vigtigt, at man er bevidst <strong>om</strong>, hvilke fravalg man foretager, <strong>og</strong> hvad<br />
disse indebærer. Dels fordi man naturligvis kan risikere, at k<strong>om</strong>me til at se bort<br />
fra væsentlige aktiver eller væsentlige forhold, s<strong>om</strong> kan være kritiske <strong>og</strong> true<br />
organisationen. Dels fordi man ved senere vurdering bør medtage n<strong>og</strong>le af de<br />
elementer, s<strong>om</strong> blev fravalgt i første <strong>om</strong>gang for at detaljere grundlaget. Ved<br />
gentagne vurderinger vil man således kunne opnå en bedre dækning <strong>og</strong> større<br />
kvalitet i <strong>risikovurdering</strong>en.<br />
>
Risikovurderingen med forenklet forløb indeholder samme hovedelementer<br />
s<strong>om</strong> det fulde OCTAVE-forløb:<br />
• Konsekvensvurdering.<br />
• Trusselsvurdering.<br />
• Sårbarhedsvurdering.<br />
• Sammenvejning af risici.<br />
Uanset <strong>om</strong> man burger den fulde metode eller det forenklede forløb, tjener hele<br />
processen til at sætte organisationens ledelse i stand til at prioritere <strong>og</strong> beslutte<br />
sikringsforanstaltninger.<br />
I det følgende beskrives kort, hvori det forenklede forløb består.<br />
Konsekvensvurderingen indeholder i den fulde model en struktureret identifikation<br />
af samtlige informationsaktiver – herunder at man analyserer de enkelte<br />
systemer for at identificere databaseindhold, parameterfiler, pr<strong>og</strong>ramelementer,<br />
dokumentation, manualer <strong>og</strong> andet. Denne analyse sikrer, at man kan tage stilling<br />
til beskyttelsesniveauet for systemernes enkelte dele. Den sikrer endvidere,<br />
at man ikke overser elementer, s<strong>om</strong> kunne være kritiske vurderet på tilgængelighed,<br />
fortrolighed <strong>og</strong>/eller integritet. I det forenklede forløb vurderer man på<br />
et mere overordnet niveau, typisk på systemniveau for flere eller færre systemer<br />
i stedet for på elementniveau. Man supplerer med udvalgte papirbaserede<br />
informationsaktiver, idet der ofte er oversete problemer her.<br />
Der vil d<strong>og</strong> være behov for at se mere detaljeret på de systemer, s<strong>om</strong> man under<br />
konsekvensvurderingen klassificerer s<strong>om</strong> kritiske.<br />
Trusselsvurderingen indeholder i den fulde model en struktureret gennemgang<br />
af en ideelt set k<strong>om</strong>plet fortegnelse over samtlige konkrete trusler, s<strong>om</strong><br />
organisationen potentielt kan blive udsat for. Dette gør man for at øge sandsynligheden<br />
for, at man ikke ubevidst overser trusler, s<strong>om</strong> kan give store konsekvenser.<br />
I det forenklede forløb vælger man trusler, s<strong>om</strong> erfaringsmæssigt har<br />
stor sandsynlighed <strong>og</strong> stor potentiel skadevirkning. Dette <strong>om</strong>fatter trusler med<br />
høj grundlæggende sandsynlighed <strong>og</strong> efter forholdene udvalgte trusler med<br />
mindre grundlæggende sandsynlighed, men med stor konsekvens. Valget indebærer<br />
naturligvis risikoen for, at en trussel, man ikke vælger, heller ikke bliver<br />
håndteret af de sikringsforanstaltninger, man implementerer. Man bør derfor<br />
udbygge med eventuelt udeladte trusler i senere <strong>risikovurdering</strong>er.<br />
Sårbarhedsvurderingen indeholder i den fulde model en struktureret gennemgang<br />
af de etablerede sikringsforanstaltninger på et meget detaljeret niveau,<br />
evt. med udgangspunkt i de detaljerede krav i DS484:2005. I det forenklede<br />
forløb gennemfører man gennemgangen på hovedoverskriftsniveau efter<br />
hoved<strong>om</strong>råderne i DS484:2005. Vi anbefaler, at man resumerer resultatet af<br />
gennemgangen i et oversigtsskema. Det er væsentligt, at man bevarer struktu-<br />
><br />
19
20<br />
ren i gennemgangen, idet man herved kan opbygge – mere detaljerede – analyser<br />
efter samme disposition på et senere tidspunkt. Det kan lade sig gøre at afgrænse<br />
vurderingen af sårbarheder til enkelte væsentlige, kritiske systemer. Vi<br />
anbefaler til gengæld, at man ikke afgrænser sig fra bestemte hoved<strong>om</strong>råder af<br />
sikringsforanstaltninger i DS484:2005. I så fald kan man overse behovet for<br />
skærpelser på konkrete <strong>om</strong>råder.<br />
Beskrivelse af risikobillede. I denne fase rapporterer man til ledelsen <strong>og</strong> fastlægger<br />
strategi. I den forenklede metode koncentrerer man sig <strong>om</strong> de <strong>om</strong>råder,<br />
hvor man ud fra datagrundlaget umiddelbart kan se uhensigtsmæssigheder.<br />
Herved koncentrerer man sig <strong>om</strong> de aktiver, hvor brud vil have stor konsekvens<br />
<strong>og</strong> sandsynlighederne er størst. Faren ved denne fremgangsmåde er naturligvis,<br />
at man risikerer at overse hændelser, <strong>og</strong> at man implicit definerer indsats<strong>om</strong>råderne<br />
til det umiddelbare <strong>og</strong> nærliggende.<br />
Deltagere <strong>og</strong> fremgangsmåde. Ved den fulde metode bruger man workshopper<br />
<strong>og</strong> interview i flere runder. Disse involverer, ud over it-funktionen, forretningsansvarlige<br />
fra alle betydende <strong>om</strong>råder i institutionen <strong>og</strong> den øverste ledelse.<br />
I et forenklet forløb sammensætter man et mindre team, <strong>og</strong> man gennemfører<br />
så få interviewrunder s<strong>om</strong> muligt. Det er under alle <strong>om</strong>stændigheder vigtigt,<br />
at teamet består af repræsentanter for it-funktionen <strong>og</strong> for forretnings<strong>om</strong>råderne.<br />
Vi anbefaler at gennemføre interviewene s<strong>om</strong> uformelle samtaler, hvor teamet,<br />
igennem diskussion med interviewpersonen, får de relevante svar. Samtaleformen<br />
indebærer, at man berører væsentlige problem<strong>om</strong>råder, s<strong>om</strong> ellers kunne<br />
være overset, hvis man udelukkende går frem efter en meget stram spørgeramme.<br />
I det forenklede forløb anbefaler vi at afholde så få interviewrunder<br />
s<strong>om</strong> muligt. I dette koncentrerede interviewforløb skal man indsamle alle nødvendige<br />
data – evt. ved at konsekvensvurdere, indsamle supplerende information<br />
<strong>om</strong> kritiske aktiver <strong>og</strong> vurdere trusler i samme interview.<br />
Nedenstående figur illustrerer, at man i et forenklet forløb færdiggør hele <strong>risikovurdering</strong>scyklusen<br />
for ét aktiv eller system ad gangen (grønne pile). Hvis<br />
man bruger den fulde OCTAVE-model, færdiggør man hver fase i <strong>risikovurdering</strong>en<br />
for alle informationsaktiver, før man går videre til næste fase (røde pile).<br />
Risikoen ved den forenklede model er, at man mister overblikket <strong>og</strong> muligheden<br />
for at se sammenhænge på tværs. Det er endvidere en risiko, at man mister<br />
muligheden for på et tidligt tidspunkt at prioritere aktiverne efter hvor kritiske,<br />
de er.<br />
>
Konsekvensvurdering<br />
Trusselsvurdering<br />
Sårbarhedsvurdering<br />
Tegning af risikobillede<br />
Aktiv 1 Aktiv 2 Aktiv 3 Aktiv 4 Aktiv 5<br />
Forberedelse<br />
Inden man går i gang med selve <strong>risikovurdering</strong>en, er der typisk en række aktiviteter,<br />
s<strong>om</strong> bør være afviklet. Bemærk, at <strong>risikovurdering</strong>en først er den syvende<br />
aktivitet i den implementeringsmodel s<strong>om</strong> af It- <strong>og</strong> <strong>Telestyrelsen</strong> anbefaler<br />
(se bl.a. ”ledelsespjece”). Før man går i gang med <strong>risikovurdering</strong>en, forudsætter<br />
modellen en række ting: at it-sikkerheden er forankret i topledelsen, at<br />
der er formuleret en it-sikkerhedspolitik samt at der er formuleret basale<br />
DS484:2005-retningslinier <strong>og</strong> evt. skærpede retningslinier, s<strong>om</strong> er affødt af<br />
lovgivningsmæssige <strong>og</strong> kontraktlige krav.<br />
S<strong>om</strong> allerede nævnt er det en god ide at samle et team til at udføre <strong>risikovurdering</strong>en,<br />
herunder de nødvendige interview. Teamet kan bestå af følgende:<br />
• it-sikkerhedskoordinatoren (bør være projektleder, sikrer fremdrift <strong>og</strong><br />
koordinering).<br />
• en ledelsesrepræsentant s<strong>om</strong> gennemgående figur (sikrer forankring).<br />
• evt. en (ekstern) person, s<strong>om</strong> har erfaring i at gennemføre <strong>risikovurdering</strong>er<br />
(sikrer metodemæssig stringens).<br />
Man kan supplere dette team med en person med lokalekendskab, <strong>og</strong> s<strong>om</strong> derfor<br />
kan være med til at gennemføre fysisk inspektion af lokalerne.<br />
Forberedelsen <strong>om</strong>fatter <strong>og</strong>så – så vidt muligt – at skabe overblik over organisationens<br />
informationsaktiver <strong>og</strong> aktiv-ejerne. I det forenklede forløb tager man<br />
udgangspunkt i et lidt mere overordnet system- <strong>og</strong> informationskatal<strong>og</strong> frem<br />
for et detaljeret katal<strong>og</strong> over enkeltdele. Det er d<strong>og</strong> væsentligt, at katal<strong>og</strong>et er<br />
k<strong>om</strong>plet, således at man ikke overser kritiske aktiver, <strong>og</strong> at det er klart, hvilke<br />
forretningsprocesser de enkelte aktiver understøtter.<br />
><br />
21
22<br />
En it-sikkerhedskoordinator har sjældent det nødvendige overblik over forretningen<br />
til på egen hånd at udarbejde katal<strong>og</strong>et. Der er således ofte nødvendigt<br />
at samle information ved at spørge bredt i organisationens forskellige enheder,<br />
hvilke informationsaktiver de benytter <strong>og</strong> hvilke systemer, der understøtter informationsbehandlingen.<br />
Dette kan man gøre gennem en brainstorm.<br />
På dette tidspunkt skal teamet ikke vurdere væsentlighed af de informationer,<br />
s<strong>om</strong> k<strong>om</strong>mer frem. Yderligere vejledning kan hentes i DS484:2005, afsnit<br />
7.1.1.<br />
Vigtige afhængigheder til infrastruktur bør <strong>og</strong>så så vidt muligt være kortlagt,<br />
idet disse er aktiver i sig selv. Det indebærer at it-driftsafdelingen bør bidrage<br />
til kortlægningen. Det kan være en god ide f.eks. at udarbejde flowdiagrammer<br />
til kortlægningen. De tydeliggør informationsstrømmene, eksternt <strong>og</strong> internt, til<br />
<strong>og</strong> fra systemerne, <strong>og</strong> de viser hvilke informationer, der opbevares/lagres/arkiveres.<br />
Det er en relativt tidskrævende proces, særligt hvis diagrammerne ikke findes i<br />
forvejen. N<strong>og</strong>en har gode erfaringer med at anvende en udskrevet maske (et<br />
principielt flowdiagram) til at indtegne informationsstrømmene <strong>og</strong> brugspraksis<br />
system for system under <strong>risikovurdering</strong>sinterviewene.<br />
Når teamet vurderer at system- <strong>og</strong> informationskatal<strong>og</strong>et er k<strong>om</strong>plet, skal teamet<br />
udpege ejere for alle aktiver. Man kan altid udpege en ejer af et aktiv! S<strong>om</strong><br />
oftest vil disse være medlemmer af organisationens ledelsesgruppe. Det er vigtigt,<br />
at de udpegede ejere vedkender sig deres rolle, <strong>og</strong> at de får fyldestgørende<br />
vejledning i, hvilket ansvar der følger med (se DS484:2005, afsnit 7.1.2). Man<br />
skal <strong>og</strong>så udpege en ejer for alle fysiske aktiver De fysiske aktiver <strong>om</strong>fatter infrastruktur,<br />
k<strong>om</strong>ponenter <strong>og</strong> faciliteter. De <strong>om</strong>fatter <strong>og</strong>så operativsystemer <strong>og</strong><br />
andre basissystemer.<br />
På it-sikkerhedsportalen kan du finde følgende støttemateriale til at gennemføre<br />
<strong>risikovurdering</strong>en:<br />
- Skema/ark til at katal<strong>og</strong>isere aktiver, evt. med mulighed for at<br />
angive afhængigheder.<br />
- Skema/ark til at konsekvensvurdere ud fra effekt<strong>om</strong>råder, skalaer,<br />
generiske scenarier, beskyttelseskrav, <strong>om</strong>fang/effekt af brud.<br />
- Generisk katal<strong>og</strong> over trusler.<br />
- Skema/ark til gap-analyse (der er tale <strong>om</strong> en tilpasset benchmark<br />
spørgeramme).<br />
- Skema over sikringsforanstaltninger <strong>og</strong> deres virkninger.<br />
- Skema til at dokumentere hændelser.<br />
Vi anbefaler at understøtte <strong>risikovurdering</strong>sprocessen med it-baserede værktøjer.<br />
Regneark er et simpelt, men effektivt værktøj – der findes <strong>og</strong>så andre mere<br />
avancerede værktøjer, s<strong>om</strong> er udviklet til formålet.<br />
>
Konsekvensvurdering<br />
Formålet med konsekvensvurderingen er helt overordnet at identificere kritiske<br />
informationsaktiver <strong>og</strong> kritiske funktioner. Dette gør man ved at evaluere konsekvenserne<br />
ved brud på de tre effekt<strong>om</strong>råder: tilgængelighed, fortrolighed <strong>og</strong><br />
integritet af alle de informationsaktiver, s<strong>om</strong> organisationen anvender.<br />
Ved at rangordne finder man ud af, hvilke informationsaktiver, der er de mest<br />
kritiske for organisationens fortsatte virke – de kritiske aktiver. De kritiske aktiver<br />
er altså de informationsaktiver, hvor brud på tilgængelighed, fortrolighed<br />
eller integritet hver for sig <strong>og</strong> individuelt betragtet ikke er acceptabelt for organisationens<br />
forretningsmæssige virke. Man anlægger således en helhedsbetragtning.<br />
Man skal rangordne uden overhovedet at skele til, hvilke sikringsforanstaltninger<br />
organisationen har på plads, eller med hvilken sandsynlighed forskellige<br />
hændelser kan indtræffe. Konsekvenserne ved sikkerhedsbrud kan deles op i<br />
følgende kategorier:<br />
• Driftsmæssige/operationelle konsekvenser, f.eks. forkert indkøb af varer<br />
<strong>og</strong> tjenester.<br />
• Finansielle tab, f.eks. <strong>om</strong>sætningstab eller rentetab.<br />
• Uhåndgribelige konsekvenser, f.eks. tab af medarbejderes eller kunders<br />
tillid.<br />
Man konsekvensvurderer i første <strong>om</strong>gang kvalitativt ved brug en passende skala.<br />
Det er derfor en god ide, hvis <strong>risikovurdering</strong>steamet, sammen med ledelsen,<br />
definerer en skala for konsekvensvurderingen på effekt<strong>om</strong>råderne (f.eks.<br />
”Ubetydelig – Mindre alvorlig – Alvorlig – Meget alvorlig – Graverende”).<br />
Skalaen bestemmer, <strong>om</strong> man anser et aktiv for kritisk. Hvor man vælger at<br />
lægge ”snittet”, er organisationens egen beslutning. Man kan i den forbindelse<br />
vælge flere strategier, f.eks. at anse alt hvad der er øverst i skalaen for kritisk.<br />
Derefter laver man en ”cost-benefit”-betragtning (kvantitativ vurdering) for aktiver<br />
på det næsthøjeste trin <strong>og</strong> foretager valget af kritiske aktiver ud fra denne<br />
betragtning. Hvor finmasket skalaen skal være, vil variere fra organisation til<br />
organisation, <strong>og</strong> her har ledelsesgruppen en vigtig rolle at spille. Det er vigtigt,<br />
at skalaen giver mening for interviewpersonerne. Man kan f.eks. tage udgangspunkt<br />
i denne skala, s<strong>om</strong> vi <strong>og</strong>så præsenterede i afsnittet ”Risikovurdering kræver<br />
systematik <strong>og</strong> metode:<br />
><br />
23
24<br />
Konsekvens Beskrivelse<br />
Skala Betegnelse<br />
A Graverende/ødelæggende Ministeren må gå af. Organisationen<br />
bliver sat under administration. Tab på<br />
mere end XX. kr. Menneskeliv står på<br />
spil.<br />
B Meget alvorlig Påvirker <strong>om</strong>dømme – internt tab af troværdighed<br />
– betydelig ressourceindsats<br />
til at afhjælpe. Tab på mellem YY <strong>og</strong><br />
XX. kr. Alvorlig personskade.<br />
C Alvorlig Vil kun blive observeret af få – begrænset<br />
ressourceindsats til at afhjælpe. Tab<br />
på mellem ZZ <strong>og</strong> YY. kr.<br />
D Mindre alvorlig Mindre effekt – faktisk ingen ressourceindsats<br />
til at afhjælpe. Tab på mellem<br />
WW <strong>og</strong> ZZ. kr.<br />
E Ubetydelig Faktisk ingen konsekvens.<br />
Tabel: Eksempel på konsekvensskala med fem trin.<br />
På effekt<strong>om</strong>råderne fortrolighed <strong>og</strong> integritet tager konsekvensvurderingen udgangspunkt<br />
i informationsaktiverne. Teamet kan umiddelbart, med udgangspunkt<br />
i aktiverne, lave scenarier for forskellige sikkerhedsbrud, s<strong>om</strong> er egnede<br />
til at vurdere konsekvensen.<br />
På effekt<strong>om</strong>rådet tilgængelighed skal teamet tage udgangspunkt i de funktioner,<br />
s<strong>om</strong> aktiverne understøtter (f.eks. inddrivelse af skat, svar på forespørgsler<br />
fra borgerne, udbetaling af ydelser, rapportering mv.). Konsekvensen af brud<br />
vil være afhængig af det tidsrum, hvor der mangler tilgængelighed, eller hvor<br />
hyppige bruddene er. Hyppige, kortvarige afbrydelser, der skyldes ustabil drift,<br />
kan være problematiske. Det er derfor nødvendigt at teamet definerer en tidsakse,<br />
hvor det angiver kritiske tærskler, der svarer til hvert konsekvensniveau.<br />
På samme måde skal interviewpersonerne forholde sig til, hvor hyppigt en<br />
funktion kan tåle at blive afbrudt – selv kortvarigt – før det bliver kritisk.<br />
Teamet gennemfører typisk konsekvensvurderingen gennem en interviewrunde<br />
med de relevante aktivejere. Vi anbefaler at dele interviewene op, f.eks. således<br />
at man tager én systemejer ad gangen, samt de dataejere s<strong>om</strong> l<strong>og</strong>isk er tilknyttet<br />
denne (f.eks. fordi dataene er knyttet til systemet). Denne personkreds skal<br />
forholde sig til den forretningsmæssige konsekvens ved brud på fortrolighed,<br />
integritet eller tilgængelighed af ”deres” aktiver. En person med erfaring i at<br />
gennemføre <strong>risikovurdering</strong>er kan, ved at bruge konkrete scenarier, hjælpe interviewpersonerne<br />
til at forstå indholdet af effektbegreberne.<br />
>
Desuden bør teamet sørge for tydeligt at relatere aktiverne til de forretningsmæssige<br />
processer, s<strong>om</strong> de understøtter. Dette kan ske ved brug af en passende<br />
spørgeteknik. Ved at bruge konkrete scenarier kan man <strong>og</strong>så spore interviewpersonen<br />
ind på, hvad beskyttelseskravet er for de enkelte aktiver.<br />
Man kan endvidere klarlægge, <strong>om</strong> der er n<strong>og</strong>et teamet særligt skal være opmærks<strong>om</strong>hed<br />
ved de kritiske aktiver, når teamet går i gang med trusselsvurderingen.<br />
Man bør <strong>og</strong>så spørge til tidligere erfaringer med sikkerhedsrelaterede<br />
hændelser i forhold til aktiverne – disse vil være et godt input til den vurdering<br />
af sandsynligheder, s<strong>om</strong> teamet senere skal foretage.<br />
Selv <strong>om</strong> interviewene finder sted på et uformelt grundlag, er det er vigtigt at<br />
teamet systematisk noterer alle relevante informationer. Brug evt. skemaet på<br />
it-sikkerhedsportalen hertil (www.it-sikkerhedportalen.dk under “Materiale &<br />
værktøjer” -> “Workshop <strong>om</strong> <strong>risikovurdering</strong>”). Teamet bør afslutte interviewene<br />
med en systematisk opsummering af konsekvensvurderingens resultat per<br />
effekt<strong>om</strong>råde for de behandlede aktiver.<br />
Når de kritiske aktiver er identificeret, må teamet undersøge, <strong>om</strong> der er kritiske<br />
funktioner tilknyttet disse aktiver. Ved kritiske funktioner forstår vi funktioner,<br />
s<strong>om</strong> er knyttet til bestemte personer, <strong>og</strong> s<strong>om</strong> kræver en særlig viden eller erfaring<br />
for at blive udført. Kritiske funktioner kan være:<br />
• Brugerfunktioner.<br />
• Udviklere.<br />
• Administratorer.<br />
• Driftspersonel.<br />
• Supportpersonel.<br />
• Sikkerhedsarkitekter.<br />
For de kritiske funktioner er det selvsagt kun konsekvensen af, at funktionerne<br />
ikke er tilgængelige, det er relevant at forholde sig til.<br />
Teamet fokuserer det videre arbejde <strong>om</strong> de kritiske aktiver – vel vidende at der<br />
herved opstår en risiko for, at teamet overser potentielle problem<strong>om</strong>råder. Statens<br />
krav <strong>om</strong> et basalt fælles sikkerhedsniveau sikrer d<strong>og</strong> formodentligt, at organisationen<br />
har de sikringsforanstaltninger, s<strong>om</strong> sikrer informationsaktiverne<br />
med de laveste <strong>og</strong> midterste konsekvensvurderinger i tilstrækkeligt <strong>om</strong>fang.<br />
Supplerende dataindsamling<br />
For hvert af de kritiske aktiver skal teamet indsamle supplerende materiale.<br />
Dette er en forudsætning for at gennemføre den efterfølgende trussels- <strong>og</strong> sårbarhedsvurdering,<br />
idet det er nødvendigt at teamet detaljeret kender mulige angrebspunkter<br />
i disse faser. Aktiver, s<strong>om</strong> ikke er kritiske, forudsætter vi er tilstrækkeligt<br />
sikret af DS484:2005 basale krav. Vi anbefaler at indsamle supplerende<br />
data i tilknytning til konsekvensvurderingen.<br />
><br />
25
26<br />
Teamet skal indsamle følgende oplysninger <strong>om</strong> de kritiske aktiver:<br />
• Oplysninger <strong>om</strong> hvor aktiverne er placeret. Indtegn evt. aktiverne i<br />
plantegninger <strong>og</strong> arkitekturtegninger.<br />
• Bliver aktiverne flyttet eller transmitteret? (hvorfra, hvortil, hvordan,<br />
hvornår?)<br />
• Hvordan opbevarer organisationen aktiverne?<br />
• Hvad er deres oprindelse? (eksternt/internt)<br />
• Hvad er organisationens procedurer, når aktiver bliver destrueret?<br />
• Hvem administrerer/vedligeholder? Hvordan?<br />
• Andre oplysninger <strong>om</strong> brugsmønsteret.<br />
For at forberede organisationens beredskabsplan anbefaler vi, at teamet <strong>og</strong>så<br />
indsamler følgende oplysninger:<br />
• RPO (Recovery Point Objective)<br />
• RTO (Recovery Time Objective)<br />
Teamet skal indsamle følgende oplysninger <strong>om</strong> de kritiske funktioner:<br />
• Dokumentation (procedurer, l<strong>og</strong>s mv.)? Er dokumentationen nødvendig<br />
for at organisationens medarbejdere kan udføre funktionen? Hvor <strong>og</strong><br />
hvordan opbevares dokumentationen?<br />
• Er funktionerne afhængige af bestemte informationsaktiver (input)?<br />
Hvad udføres de med (proces) – <strong>og</strong> hvad resulterer de i (output)?<br />
• Hvem udfører disse funktioner? Hvornår?<br />
• Hvor udføres de fra?<br />
Det overblik, teamet har på nuværende tidspunkt, bør teamet supplere med en<br />
grundig vurdering af ”afledte kritiske forhold”: Et aktiv s<strong>om</strong> ikke er kritisk,<br />
isoleret set, kan blive det, fordi det indgår i kritiske forretningsprocesser, eller<br />
fordi andre kritiske aktiver på anden måde er afhængige af aktivet. Der er således<br />
tale <strong>om</strong> at ”forfine” de oversigter over aktiver <strong>og</strong> aktivejere, s<strong>om</strong> teamet<br />
har udarbejdet i den forberedende fase. Teamet bør indsamle følgende information,<br />
eventuelt med støtte i de flowdiagrammer der indgik i forberedelsen:<br />
• Hvilke systemer understøtter de kritiske forretningsprocesser?<br />
• Hvilke informationsaktiver understøtter de kritiske forretningsprocesser?<br />
Et system eller informationsaktiv kan understøtte flere forretningsprocesser/funktioner.<br />
Den mest kritiske proces sætter niveauet for alle de systemer <strong>og</strong><br />
informationsaktiver, der understøtter den.<br />
>
Når teamet har gennemført konsekvensvurdering <strong>og</strong> indsamlet supplerende data,<br />
bør teamet have et fyldestgørende billede af organisationens kritiske aktiver<br />
<strong>og</strong> funktioner. I det følgende vil hovedfokus være rettet mod disse. Teamet bør<br />
nu have følgende overblik:<br />
• Forretningsprocesser <strong>og</strong> kritiske aktiver, s<strong>om</strong> understøtter disse. Indbyrdes<br />
rangordning af <strong>og</strong> brugsmønster for de kritiske aktiver.<br />
• Afledte kritiske forhold.<br />
• Supplerende data, jf. ovenstående.<br />
• Beskyttelseskrav.<br />
• Effekt<strong>om</strong>råder, s<strong>om</strong> ud fra en forretningsmæssig vurdering, kræver særlig<br />
opmærks<strong>om</strong>hed.<br />
Stor konsekvens er d<strong>og</strong> kun den ene del, vi har brug for at vurdere risikoen. Nu<br />
skal teamet sammenholde konsekvenserne med sandsynligheden for, at effekten<br />
forek<strong>om</strong>mer – dvs. at konsekvensen udløses. Derfor fortsætter vi med at se<br />
på trusler <strong>og</strong> sandsynligheder for, at hændelser forek<strong>om</strong>mer.<br />
Trusselsvurdering<br />
Formålet med trusselsvurderingen er at kortlægge aktuelle <strong>og</strong> k<strong>om</strong>mende trusler,<br />
deres angrebsveje <strong>og</strong> de grundlæggende sandsynligheder for at truslerne<br />
indtræffer. Dernæst skal teamet <strong>om</strong>sætte truslerne til hændelser, s<strong>om</strong> teamet<br />
kan indplacere i en konsekvensskala. Denne skala fastlægger teamet sammen<br />
med ledelsen (se forslag til skala senere i dette afsnit).<br />
Teamet kan evt. tage udgangspunkt i det generiske trusselskatal<strong>og</strong>, s<strong>om</strong> findes<br />
på it-sikkerhedsportalen. Ud fra dette katal<strong>og</strong> <strong>og</strong> ud fra den viden teamet har<br />
<strong>om</strong> de kritiske aktiver <strong>og</strong> evt. svagheder, vælger teamet trusler med middel eller<br />
høj grundlæggende sandsynlighed. Ud fra tidligere erfaringer <strong>og</strong> evt. viden<br />
<strong>om</strong> fysiske eller l<strong>og</strong>iske forhold, kan teamet evt. supplere med trusler med<br />
mindre sandsynlighed, men stor effekt.<br />
Teamet skal vurdere truslerne struktureret, så teamet sikrer sig, at det eksplicit<br />
tager stilling til et k<strong>om</strong>plet sæt af trusler inden for følgende kategorier:<br />
• Personrelaterede trusler: eksterne/interne personer; med forsæt/hændeligt;<br />
via netværk/ved fysisk tilstedeværelse.<br />
• Systemmæssige trusler– relateret til hardware, software eller andre systemnedbrud.<br />
• Trusler uden for institutionens kontrol – bl.a. forsyninger <strong>og</strong> naturgivne<br />
forhold.<br />
Det er vigtigt, at teamet husker alle relevante trusler. Man kan anvende en skala<br />
til at rubricere hyppigheden af forek<strong>om</strong>sterne.<br />
><br />
27
28<br />
Man ser indledningsvist på sandsynligheden for hver enkelt trussel, idet man<br />
ser bort fra, hvad man har gjort for at forhindre eller afbøde hændelsen. Disse<br />
sandsynligheder betegnes ”initiale sandsynligheder” – det vil sige sandsynligheder<br />
før man har implementeret sikringsforanstaltninger. Disse er nødvendige<br />
for at kunne danne sig et indtryk af effekten af de sikringsforanstaltninger, s<strong>om</strong><br />
organisationen allerede har indført.<br />
For hver trussel vurderer teamet herefter, hvor relevant truslen er i forhold til<br />
effekt<strong>om</strong>råderne. Dette sker først <strong>og</strong> fremmest med udgangspunkt i de kritiske<br />
aktiver, <strong>og</strong> teamet bør være særligt opmærks<strong>om</strong>hed på aktiver, s<strong>om</strong> skaber<br />
mange afhængigheder (typisk infrastrukturaktiver eller nøglemedarbejdere).<br />
Teamet kan vurdere med udgangspunkt i disse spørgsmål:<br />
• Hvilket effekt<strong>om</strong>råde er i spil?<br />
• Hvordan rammer truslen aktivet? Via netværket, fysisk?<br />
• Hvor <strong>og</strong> hvem k<strong>om</strong>mer truslen fra? Indefra, udefra?<br />
• Hvad har motivet været? Forsæt, uagts<strong>om</strong>hed, hændeligt?<br />
Ved at k<strong>om</strong>binere de elementer, der indgår i spørgsmålene, på forskellige måder<br />
for hver trussel, får teamet yderligere input til at definere konkrete hændelsesforløb.<br />
De konkrete hændelser skal relatere sig til de identificerede kritiske aktiver, <strong>og</strong><br />
de skal gerne beskrive effekt <strong>og</strong> <strong>om</strong>fang af en hændelse i forhold til organisationens<br />
forretningsmæssige opgaver. Ved at diskutere konkrete hændelsesforløb<br />
bliver det lettere for teamet at vurdere sandsynlighed <strong>og</strong> konsekvens af hændelserne<br />
– der er f.eks. stor forskel på, <strong>om</strong> et virusangreb rammer en enkelt arbejdsstation<br />
eller et antal servere i institutionen. Der er <strong>og</strong>så forskel på, hvordan<br />
<strong>og</strong> af hvem truslen er blevet aktualiseret. Og der er forskel på sandsynligheden<br />
for de forskellige scenarier. Isoleret set, er den trussel, s<strong>om</strong> er i spil, d<strong>og</strong><br />
den samme.<br />
Teamet må konkret vurdere, <strong>om</strong> det har brug for at opridse forskellige hændelsesforløb<br />
med udgangspunkt i den samme trussel. Beskrivelsen af et hændelsesforløb<br />
bør <strong>om</strong>fatte en beskrivelse af, hvordan det i sidste ende påvirker organisationen,<br />
bl.a. muligheden for at opfylde organisationens forretningsmål.<br />
Teamet skal vælge hændelsesforløb, hvis <strong>om</strong>fang <strong>og</strong> effekt ligger over beskyttelseskravet<br />
for aktivet, hvis teamet kender dette.<br />
Hvis interviewene af konsekvenser har afdækket særlige effekt<strong>om</strong>råder, s<strong>om</strong><br />
kræver særlig opmærks<strong>om</strong>hed, anbefaler vi at teamet starter med trusler, s<strong>om</strong><br />
påvirker disse effekt<strong>om</strong>råder.<br />
>
Et eksempel på et hændelsesforløb kunne f.eks. være: ”En ny destruktiv virus<br />
rammer organisationen via en hjemmearbejdsplads <strong>og</strong> inficerer alle filservere.<br />
Det resulterer i permanent tab af data”.<br />
Når teamet har udarbejdet et katal<strong>og</strong> af relevante hændelsesforløb, skal det påføre<br />
hver enkelt hændelse en initial sandsynlighed – altså sandsynligheden for,<br />
at hændelsen indtræffer uafhængigt af de etablerede sikringsforanstaltninger.<br />
Til dette formål kan man f.eks. benytte følgende skala med syv trin:<br />
Sandsynlighed Beskrivelse<br />
Skala Betegnelse<br />
A Ekstrem/sicker Vil sandsynligvis ske flere gange hver<br />
dag.<br />
B Meget høj Vil sandsynligvis ske flere gange hver<br />
måned.<br />
C Høj Vil sandsynligvis ske én gang hver måned<br />
eller sjældnere.<br />
D Medium Vil sandsynligvis ske én gang hvert<br />
halve år eller sjældnere.<br />
E Lav Vil sandsynligvis ske én gang <strong>om</strong> året<br />
eller sjældnere.<br />
F Meget lav Vil sandsynligvis ske to/tre gange inden<br />
for fem år.<br />
G Usandsynlig Forek<strong>om</strong>mer formodentligt aldrig.<br />
Det er væsentligt, at teamet inddrager de relevante personkredse/nøglepersoner<br />
til at vurdere truslerne (<strong>og</strong> konsekvenserne ved hændelser). Inddragelse er afgørende<br />
for accepten i organisationen af især de administrative sikringsforanstaltninger.<br />
Gennem inddragelse opnår organisationen en fælles holdning<br />
til/oplevelse af trusselsbilledet.<br />
Den endelige vurdering af sandsynlighed <strong>og</strong> konsekvens for hændelsen kan<br />
teamet placere i et skema s<strong>om</strong> vist nedenfor. S<strong>om</strong> eksempel har vi placeret den<br />
fiktive hændelse ” En ny destruktiv virus rammer institutionen via en hjemmearbejdsplads,<br />
<strong>og</strong> inficerer alle filservere. Det resulterer i permanent tab af data.”<br />
(◙ 36 ). Teamet vurderer konsekvens <strong>og</strong> sandsynlighed for hvert enkelt effekt<strong>om</strong>råde<br />
(fortrolighed, integritet, tilgængelighed), <strong>og</strong> ender således med tre<br />
skemaer, hvor alle de hændelser, s<strong>om</strong> teamet har vurderet, påvirker de kritiske<br />
aktiver, er plottet ind.<br />
><br />
29
30<br />
Sandsynlighed<br />
Risikoniveau Konsekvens<br />
Tilgængelighed<br />
UbetydeligMindre BetydeligSkadevoldende Alvorlig Graverende<br />
Usandsynlig - - - - - -<br />
Meget lav - Lav Lav Lav Medium Medium<br />
Lav - Lav Medium Medium Høj Høj<br />
Medium - Lav Medium Høj Høj Kritisk<br />
Høj - MediumHøj Høj Kritisk Ekstrem<br />
Meget høj - MediumHøj Kritisk Ekstrem Ekstrem<br />
Ekstrem/sikker - MediumHøj Kritisk Ekstrem◙ 36 Ekstrem<br />
◙ 36 En ny destruktiv virus rammer institutionen via en hjemmearbejdsplads, <strong>og</strong> inficerer alle filservere, hvilket resulterer i permanent tab af data.<br />
Trusselsvurderingen er særdeles vigtig: Det er hændelserne s<strong>om</strong> senere gør det<br />
muligt for teamet at tegne et retvisende risikobillede – ikke truslerne isoleret<br />
set. Det er tidskrævende fuldstændigt at afdække alle relevante hændelsesforløb.<br />
Det bør d<strong>og</strong> være muligt at skære opgaven fornuftigt til ud fra den viden,<br />
teamet har opnået gennem den indledende indsamling af informationer <strong>og</strong> konsekvensvurderingen.<br />
Desuden er opgaven iterativ: Det er tilladt at vende tilbage,<br />
hvis man opdager væsentlige ”huller” efterfølgende.<br />
Sårbarhedsvurdering<br />
Sårbarhedsvurderingen skal give et overblik over, hvor godt organisationen er<br />
beskyttet over for hændelser gennem de sikringsforanstaltninger, s<strong>om</strong> organisationen<br />
allerede har. Det vil sige sandsynligheden for at en hændelse indtræffer<br />
med de nuværende sikringsforanstaltninger – såkaldte restsandsynligheder.<br />
Disse sandsynligheder vil i langt de fleste tilfælde være reduceret i forhold til<br />
de initiale sandsynligheder, <strong>og</strong> vurderingen fører da til en nedrykning på skalaen.<br />
Det er oplagt at tage udgangspunkt i de basale krav, s<strong>om</strong> er ridset op i<br />
DS484:2005. Under et forenklet forløb er det en mulighed at gå knap så detaljeret<br />
til værks. Der er d<strong>og</strong> grænser for, hvor meget man kan ”skære hjørner” i<br />
denne fase – i princippet er alle basale krav relevante i alle organisationer. De<br />
er d<strong>og</strong> ikke lige vigtige, <strong>og</strong> hér hjælper <strong>risikovurdering</strong>en til at lægge et passende<br />
niveau for den konkrete implementering.<br />
Inden teamet kan vurdere restsandsynligheder, er det nødvendigt at se nærmere<br />
på hvilke sikringsforanstaltninger, s<strong>om</strong> aktuelt er på plads i organisationen –<br />
den såkaldte sårbarhedsvurdering.<br />
Teamet gennemfører sårbarhedsvurderingen s<strong>om</strong> en struktureret gennemgang<br />
af de etablerede sikringsforanstaltninger på et ret detaljeret niveau. Sikringsforanstaltningerne<br />
kan opdeles i følgende kategorier:<br />
>
• Forebygger/forhindrer.<br />
• Begrænser/forsinker.<br />
• Opdager<br />
• Afhjælper.<br />
• Organisationens forsikringer.<br />
Det er her nærliggende at tage udgangspunkt i de sikringsforanstaltninger <strong>og</strong><br />
den struktur, s<strong>om</strong> er beskrevet i DS484:2005 – dvs. de basale sikrings- <strong>og</strong> kontrolforanstaltninger.<br />
Teamet bør <strong>og</strong>så inddrage supplerende foranstaltninger,<br />
s<strong>om</strong> allerede er implementeret i vurderingen. Igen anbefaler vi at gå systematisk<br />
frem – brug evt. spørgerammen fra <strong>IT</strong>ST’s benchmark suppleret med oversigten<br />
over typiske sikringsforantaltninger <strong>og</strong> deres virknings<strong>om</strong>råde (itsikkerhedsportalen).<br />
Det er vigtigt at understrege, at kun implementerede sikringsforanstaltninger er<br />
relevante. Foranstaltninger, s<strong>om</strong> er på tegnebrættet, giver ikke n<strong>og</strong>en beskyttelse<br />
(planlagte foranstaltninger er d<strong>og</strong> relevante, når teamet skal rapportere til ledelsen).<br />
Gennemgangen afdækker en eventuel afstand mellem de basale <strong>og</strong> erkendte/formulerede<br />
krav til foranstaltninger i DS484:2005, <strong>og</strong> organisationens aktuelle<br />
sikringsforanstaltninger (gap-analyse). Analysen er nyttig i sig selv, idet<br />
den vil pege på, hvor organisationen umiddelbart skal sætte ind for at leve op<br />
til egne retningslinjer. Endvidere giver analysen grundlag for at vurdere sårbarheden.<br />
For at få et overblik, anbefaler vi, at teamet resumerer resultatet af<br />
den detaljerede gennemgang i et oversigtsskema. Herved tydeliggør teamet <strong>og</strong>så<br />
nytten af allerede eksisterende sikringsforantaltninger.<br />
It-sikkerhedskoordinatoren eller andre i teamet har sjældent det nødvendige<br />
overblik over alle etablerede fysiske, administrative <strong>og</strong> tekniske sikringsforanstaltninger.<br />
Teamet kan således ikke selv gennemføre gap-analysen. Det kan<br />
derfor være nødvendigt at alliere sig med en person, s<strong>om</strong> har det nødvendige<br />
kendskab til organisationen <strong>og</strong> dens arbejdsgange. Det kan evt. være en erfaren<br />
leder. It-chefen vil i n<strong>og</strong>le tilfælde <strong>og</strong>så have den nødvendige viden. Hvis der<br />
ikke findes en sådan person i organisationen, er det nødvendigt at samle informationen<br />
på n<strong>og</strong>enlunde samme måde s<strong>om</strong> under konsekvensvurderingsfasen –<br />
dvs. gennem interview.<br />
Når teamet har gennemført gap-analysen, skal teamet revurdere hændelseskatal<strong>og</strong>et<br />
på denne baggrund: Teamet påfører restsandsynligheder for alle hændelser<br />
– altså sandsynligheder for at hændelserne indtræffer set i lyset af de etablerede<br />
sikringsforanstaltninger. Dette er (<strong>og</strong>så) en sagkyndig vurdering, hvor teamet<br />
<strong>og</strong>så skal have bistand.<br />
><br />
31
32<br />
Rapport til ledelsen: Beskrivelse af risikobilledet<br />
Vi er nu nået frem til det, s<strong>om</strong> vi skal bruge alle bestræbelserne til: et samlet risikobillede,<br />
s<strong>om</strong> danner grundlag for rapport til ledelsen.<br />
Beskrivelsen af risikobilledet består i, at man søger at vurdere, hvordan de<br />
etablerede <strong>og</strong> eventuelt manglende sikringsforanstaltninger påvirker sandsynlighederne<br />
for, at konkrete hændelser/trusler kan udløse en ikke acceptabel<br />
konsekvens.<br />
Sidste fase i <strong>risikovurdering</strong>en er således at fremstille den ledelsesinformation,<br />
s<strong>om</strong> skal danne grundlag for, at ledelsen kan beslutte strategi <strong>og</strong> handlingsplaner.<br />
For at kunne rapportere <strong>og</strong> drøfte risikobilledet med ledelsen er det en god<br />
ide at fremstille resultaterne grafisk. Dette kan gøres på forskellige måder, men<br />
hyppigt anvendes skemaer med farvelagte felter (Se f.eks. DS484:2005 Anneks<br />
B, afsnit B.3).<br />
S<strong>om</strong> udgangspunkt tager man de kritiske aktiver, s<strong>om</strong> var resultatet af konsekvensvurderingen.<br />
For hvert af disse aktiver vælger man de hændelser, der har<br />
størst initial sandsynlighed, <strong>og</strong> s<strong>om</strong> vel at mærke har en virkningsgrad på det<br />
pågældende kritiske aktiv (virusangreb har eksempelvis ingen effekt på et papirbaseret<br />
aktiv).<br />
Herefter identificerer man de foranstaltninger, s<strong>om</strong> begrænser en eventuel effekt<br />
af hændelsen. Til sidst estimerer man foranstaltningernes samlede virkning<br />
– det vil sige, hvor meget påvirker de etablerede foranstaltninger sandsynligheden<br />
eller konsekvensen. Dette er ikke en triviel øvelse, idet der vil være synergieffekter<br />
mellem de enkelte sikringsforanstaltninger. Den endelige vurdering<br />
af sandsynlighed for <strong>og</strong> konsekvens af hændelserne kan man plotte ind i et<br />
skema. Herved synliggør man effekten af sikringsforanstaltningerne.<br />
Sandsynlighed<br />
Risikoniveau Konsekvens<br />
Tilgængelighed<br />
UbetydeligMindre BetydeligSkadevoldende AlvorligGraverende<br />
Usandsynlig - - - - - -<br />
Meget lav - Lav Lav Lav MediumMedium<br />
Lav - Lav Medium Medium Høj Høj<br />
Medium - Lav Medium Høj Høj Kritisk<br />
Høj - MediumHøj Høj Kritisk Ekstrem<br />
Meget høj - MediumHøj Kritisk Ekstrem Ekstrem<br />
Ekstrem/sikker- MediumHøj Kritisk Ekstrem Ekstrem<br />
◙ 36 En ny destruktiv virus rammer institutionen via en hjemmearbejdsplads, <strong>og</strong> inficerer alle filservere, hvilket resulterer i permanent tab<br />
af data.<br />
><br />
◙ 36
Man laver ét skema per effekt<strong>om</strong>råde. I skemaet indfører man alle identificerede<br />
<strong>og</strong> relevante hændelser efter sandsynlighed for <strong>og</strong> konsekvens af, at de indtræffer.<br />
I denne <strong>om</strong>gang tager med etablerede sikringsforanstaltninger med i<br />
vurderingen, det vil sige, at man vurderer restsandsynligheder <strong>og</strong> ”restkonsekvenser”.<br />
Hermed får vi en grafisk repræsentation af risikobilledet for hvert effekt<strong>om</strong>råde,<br />
hvor de mest kritiske hændelser fremtræder tydeligt i det røde <strong>om</strong>råde.<br />
I skemaet herover ser vi, at hændelsen ”en ny destruktiv virus rammer institutionen<br />
via en hjemmearbejdsplads, <strong>og</strong> inficerer alle filservere, hvilket resulterer<br />
i permanent tab af data” har flyttet sig ud af det røde felt, fordi vi nu<br />
har taget højde for de etablerede sikringsforanstaltningers effekt.<br />
Når man er igennem hele processen for de udvalgte kritiske aktiver, har man<br />
tegnet et aktuelt risikobillede for disse, <strong>og</strong> organisationens eksponering er blevet<br />
synliggjort. Sidste trin i en <strong>risikovurdering</strong> efter OCTAVE-metoden er da at<br />
fremlægge <strong>og</strong> drøfte risikobilledet med organisationens ledelse.<br />
><br />
33
Ledelsen beslutter strategi <strong>og</strong> handlingsplaner<br />
34<br />
Sammen med ledelsen drøfter teamet nu, hvilke konsekvenser <strong>risikovurdering</strong>en<br />
skal have. Ledelsen tager stilling til hvilket risikoniveau, s<strong>om</strong> ud fra en<br />
helhedsbetragtning, er acceptabelt for organisationen, <strong>og</strong> hvilket indhold en<br />
strategi <strong>og</strong> handlingsplan skal have for at nedbringe risici til niveau, der er acceptabelt<br />
for organisationen.<br />
Der vil normalt være et antal trusler, hvor teamets vurdering af risikoniveauet<br />
ligger på ”Høj” eller derover. Trusler inden for risikoniveau<strong>om</strong>råderne ”Kritisk”<br />
<strong>og</strong> ”Ekstrem” vil man typisk skulle gøre n<strong>og</strong>et ved umiddelbart.<br />
Det endelige valg af supplerende sikringsforanstaltninger <strong>og</strong> eventuelt andre<br />
tiltag er ikke en del af <strong>risikovurdering</strong>en efter OCTAVE-metoden.<br />
For hver af de kritiske hændelser anbefaler vi at udarbejde en handlingsplan for<br />
at nedbringe de konkrete risici. En handlingsplan bør indeholde:<br />
• Et katal<strong>og</strong> af sikringsforanstaltninger, s<strong>om</strong> kan minimere sandsynligheden<br />
for, at hændelsen indtræffer eller minimere den konsekvens, den vil<br />
have, hvis den indtræffer.<br />
• Et økon<strong>om</strong>isk overslag over, hvad de foreslåede foranstaltninger koster.<br />
• En tidsplan/projektplan for at indføre sikringsforanstaltningerne.<br />
Risikovurderingen får betydning for den rækkefølge, man vælger at implementere<br />
de basale krav <strong>og</strong> for hvilken betydning man tillægger dem. Derudover vil<br />
<strong>risikovurdering</strong>en pege på hvilke skærpede krav i relation til DS484:2005, der<br />
er nødvendige.<br />
Man kan evt. rangordne sikringsforanstaltningerne efter deres økon<strong>om</strong>iske<br />
vægt, dele dem op efter type (organisatoriske, fysiske eller tekniske), <strong>og</strong>/eller<br />
fremhæve sikringsforanstaltninger, s<strong>om</strong> allerede er planlagt.<br />
Man kan nedbringe risici ved at reducere enten konsekvensen af hændelser, eller<br />
sandsynligheden for at de indtræffer. Hvis man ønsker at nedbringe restsandsynligheden,<br />
skal man indføre supplerende sikringsforanstaltninger. Omkostninger<br />
til at etablere <strong>og</strong> drive oplagte supplerende foranstaltninger, bør<br />
teamet give et overslag over.<br />
En strategi kan indebære, at organisationen helt må opgive planlagte forretningsmæssige<br />
tiltag, eller udskyde dem indtil andre planer eller ændringer er<br />
gennemført i organisationen. For igangværende aktiviteter kan strategien indebære,<br />
at man må disponere <strong>om</strong>, for at man overhovedet kan nedbringe risici til<br />
et acceptabelt niveau. I processen kan det vise sig uøkon<strong>om</strong>isk at satse på forebyggende<br />
foranstaltninger for alle processer, <strong>og</strong> man er så henvist til at anvende<br />
foranstaltninger, der opdager eller afhjælper risici. Hvis man da ikke vælger<br />
at leve med de tilbageværende risici.<br />
>
Det er den forretningsmæssige ledelses ansvar at kende risikobilledet <strong>og</strong> tage<br />
de nødvendige beslutninger for at nedbringe eller acceptere risiko.<br />
Det er vigtigt at dokumentere den afsluttende ledelsesbehandling af <strong>risikovurdering</strong>en.<br />
Dokumentationen kan særligt få betydning over for revisionen for at<br />
dokumentere at ledelsen har behandlet <strong>risikovurdering</strong>en.<br />
><br />
35
Overskrift<br />
Bagside kursiv tekst<br />
Bagside brødtekst<br />