Etablere fellessikring

Etablering av fellessikring og synliggjøring av tilleggssikring er aktuelt å gjennomføre ved etablering av styring av informasjonssikkerhet, dersom virksomheten mangler beskrivelse av fellessikring, eller man i liten grad har involvert risikoeiere i utformingen.

    Målgruppe

    De som skal lede eller koordinere arbeidet - som regel fagansvarlig informasjonssikkerhet.

    1. Utgangspunkt og bakgrunn

    1.1 Fellessikring og tilleggssikring

    Fellessikring er et felles grunnleggende sikkerhetsnivå for hele, eller sentrale områder, i virksomheten.

    Fellessikring består av sikkerhetstiltak som bidrar til sikkerheten for alle, eller de fleste, av virksomhetens oppgaver og tjenester. Tilleggssikring er sikkerhetstiltak som gjelder for de med spesielle risikoer og ekstra behov for tiltak.

    Virksomheten bør ha et bevisst forhold til hvilke sikkerhetstiltak de etablerer, og fordelingen mellom fellessikring og tilleggssikring.

    Gjennomføring av aktiviteten bør være initiert av en lederbeslutning på virksomhetsnivå.

    1.2 Grunnleggende sikkerhetsnivå

    Målet med denne delaktiviteten er å etablere et grunnleggende sikkerhetsnivå for sentrale områder i virksomheten, samt å synliggjøre tilleggssikring som kan velges ved behov.

    Den første etableringen av fellessikring gjøres én gang. Arbeidet hører hjemme i planen for etablering av styring og kontroll på informasjonssikkerhetsområdet.

    Denne aktiviteten kan også være aktuell som forbedringstiltak i virksomheter som har mye på plass, men mangler en systematisk etablert fellessikring.

    1.3 En risikobasert tilnærming

    Beslutninger om bruk av ressurser på sikkerhetstiltak skal så langt det er mulig være basert på en vurdering av risiko. Man må likevel være pragmatisk slik at man får en kostnadseffektiv helhet og drift av sikkerhetsarbeidet.

    En virksomhet kan ha mange sikkerhetstiltak, men mangle et bevisst og systematisk forhold til hvilke risikoer tiltakene skal dekke, hvilke tiltak som bør være felles for alle i virksomheten og hvilke som bør gjelde for noen. Tiltakene er da ikke tilpasset risiko, nytte/kost og virksomhetens samlede behov.

    Nytte/kost for virksomhetens oppgaver og tjenester bør avgjøre om tiltak blir fellessikring eller tilleggssikring. Man må da legge til grunn behov for sikkerhetstiltak hos risikoeierne rundt om i virksomheten. Man må samtidig være litt pragmatisk for å få en kostnadseffektiv forvaltning av sikkerhetstiltakene.

    1.4 Negative sideeffekter av sikkerhetstiltak

    Sikkerhetstiltak skal redusere risiko. Tiltak som ikke er tilpasset risikoer og ulike organisatoriske enheters behov, kan gi negative sideeffekter og medføre nye risikoer. Det kan spesielt gå utover effektivitet, men også andre målsetninger. Ressursene i virksomheten blir da ikke brukt riktig.

    Man bør derfor ikke legge for mange sikkerhetstiltak som kan ha negative sideeffekter inn i et sikkerhetsnivå som skal gjelde alle, eller de fleste, deler av virksomheten. Man bør ha ytterligere sikkerhetstiltak som tilgjengelig tilleggssikring for dem som har behov for dem, eller som skreddersøm ved spesielle behov.

    1.5 Ryddejobb

    For å finne den riktige balansen mellom fellessikring og tilleggssikring, må de fleste virksomheter gjennomføre en «ryddejobb» i sikkerhetstiltakene. Den bør gjennomføres som et prosjekt på virksomhetsnivå.

    Resultatet har vesentlig betydning for virksomhetens effektivitet og samlede styring og kontroll. Det gir risikoeiere og systemeiere fellessystem bedre oversikt over virksomhetens fellessikring, samt hvilke muligheter de har til å velge tilleggssikring. Dette øker kvaliteten på vurdering og håndtering av risiko.

    2. Organisering

    Digitaliseringsdirektoratet anbefaler at arbeidet med utredning og etablering av fellessikring gjennomføres i flere faser.

    Det vil være naturlig å ha arbeidsgrupper med forskjellig sammensetning for de forskjellige fasene. For å sikre god forankring i virksomheten bør man opprette en referansegruppe hvor viktige interessenter er representert.

    Arbeidet kan organiseres og koordineres av fagansvarlig informasjonssikkerhet.

    3. Gjennomføring

    Digitaliseringsdirektoratet anbefaler at etablering av fellessikring gjøres i seks faser:

    1. Ta utgangspunkt i kjente behov og god praksis for å komme opp med et minimumsnivå
    2. Gjennomføre risikovurdering og -håndtering av to til fire representative oppgaver eller tjenester
    3. Velge ut hvilke sikkerhetstiltak som skal inngå i fellessikringen
    4. Gjennomføre intern høring for å kvalitetssikre fellessikringen
    5. Ta beslutning om hva som etableres som fellessikring
    6. Iverksette nødvendige aktiviteter for ferdigstillelse av fellessikringen

    3.1 Første fase: Minimumsnivå

    I første fase kommer man frem til en begrenset liste med sikkerhetstiltak som

    • er relevante for virksomheten
    • har lav kostnad
    • ikke har vesentlige negative sideeffekter

    Virksomhetens interne tiltaksleverandører er viktige for arbeidet i første fase. Dette er personer og funksjoner som har ansvar for og fagekspertise om sikkerhetstiltak innenfor ulike områder. Tiltaksleverandører kommer fra forskjellige fagområder og kan ha ansvar for tiltak på flere områder, ikke bare informasjonssikkerhet.

    Tiltaksleverandørene gjennomgår egen praksis og identifiserer hvilke sikkerhetstiltak de allerede har etablert for virksomheten, og foretar en foreløpig gruppering i kategoriene fellessikring og mulig tilleggssikring. Dette gjøres uavhengig av om tiltakene i dag gjelder for sentrale deler av virksomheten eller bare for noen få.

    Tiltak som helt klart har vesentlig betydning for mange oppgaver og tjenester i virksomheten, legges inn som forslag til fellessikring. Tiltak som kan ha vesentlige negative sideeffekter for noen, tas med som mulig tilleggssikring.

    Tiltaksleverandørene bør også gå gjennom anerkjent god praksis på sine områder og identifisere tiltak som kan være egnet som fellessikring eller tilbys som tilleggssikring. Man kan hente støtte i en tiltaksbank med anbefalt god praksis.

    Man bør også gjennomgå råd og veiledning om god praksis fra myndighetsorganer. Hva som er relevant vil være ulikt for forskjellige virksomheter og i forskjellige sektorer.

    Den som leder arbeidet må ha helhetlig oversikt over eksisterende sikkerhetstiltak, kilder til god praksis og anbefalinger fra myndigheter.

    Minimumsnivå

    Det er viktig å huske på at man i første fase er ute etter et fornuftig minimumsnivå. Det bør være en begrenset mengde sikkerhetstiltak, slik at det initielle nivået ikke blir for omfattende. Det kan være fornuftig å prioritere tiltak som det normalt sett uansett er forventet å ha på plass.

    Vær oppmerksom på at brukerkrav – krav til ansatte og andre som behandler informasjon og benytter informasjonssystemer – som regel henger tett sammen med andre tiltak, og er nødvendig for at andre tiltak skal virke etter hensikten. Slike krav samles ofte i en form for instruks, og en slik instruks kan være et eget sikkerhetstiltak i fellessikringen.

    Husk også på at det finnes flere måter å påvirke atferd på – god, tilrettelagt veiledning og opplæring er vel så viktig som instrukser for å få ansatte til å bidra til god sikkerhet.

    Når man foretar en gjennomgang av eksisterende tiltak bør man benytte anledningen til å undersøke om man har overflødige, avleggse eller unødvendig overlappende sikkerhetstiltak. Det kan også hende man finner forslag til mer kostnadseffektive tiltak i god praksis, som kan erstatte de man har fra før.

    All god praksis er ikke nødvendigvis relevant for virksomheten, og en del dokumentert god praksis kan være utdatert praksis. Det er viktig at man i denne fasen bare tar med det absolutt nødvendige. Alle sikkerhetstiltak man er i tvil om kan være mulig tilleggssikring.

    Foreløpig beskrivelse av fellessikring

    Man utarbeider en foreløpig beskrivelse av forslag til innhold i fellessikringen. Arbeidet kan dokumenteres i form av et notat som inneholder

    • forslag til sikkerhetstiltak i fellessikringen i form av liste med minimumstiltak
    • sikkerhetstiltak som kan være egnet som tilleggssikring
    • eventuelle notater og kommentarer til nytte for det videre arbeidet

    Det er viktig å få med tiltakene som kan være mulig tilleggssikring. Det kan hende at vurderinger som gjøres i det videre arbeidet fører til at de tas inn i fellessikringen.

    3.2 Andre fase: Vurdering og håndtering av risiko

    I andre fase benyttes aktivitetene for vurdering og håndtering av risiko til å justere minimumsutkastet fra første fase.

    I første fase har man utarbeidet et utkast til minimumsnivå basert på kjente behov. Nå gjøres en grundigere gjennomgang av virksomhetens grunnleggende sikkerhetsbehov ved å gjennomføre to til fire risikovurderinger og risikohåndteringsaktiviteter. Tiltaksleverandører bør være godt representert som ressurspersoner i arbeidet med disse.

    Man bør velge oppgaver eller tjenester som er representative for bredden i virksomhetens informasjonsbehandling, både med hensyn til kritikalitet og ressursbruk. I tillegg bør man vurdere å ta med fellessystemer som er mye brukt og som understøtter sentrale arbeidsoppgaver.

    Risikovurderingene gjennomføres med førsteutkast til fellessikring i bunnen. Det vil si at listen med sikkerhetstiltak fra første fase legges til grunn som eksisterende fellessikring. Listen med mulig tilleggssikring benyttes som kilde til forslag til sikkerhetstiltak i håndteringen.

    Gjennomføringen bør ellers skje som anbefalt for vurdering og håndtering av risiko i dette veiledningsmateriellet.

    Resultatet av håndtering av risiko i etterkant av de to til fire risikovurderingene vil være forslag til sikkerhetstiltak. Noen av disse vil kunne inngå i fellessikringen, andre vil egne seg som tilleggssikring. Neste fase tar for seg det videre arbeidet med dette.

    Analyse av påkrevde tiltak

    Det finnes tilfeller hvor sikkerhetstiltak er påkrevd i lov og forskrift. Noen av disse kan det være hensiktsmessig å inkludere i fellessikringen, selv om det ikke er lovpålagt for alle deler av virksomheten. Analyse av påkrevde tiltak gjøres som en del av risikovurderingen, men nevnes her slik at dette viktige punktet blir hensyntatt.

    3.3 Tredje fase: Forslag fellessikring

    I tredje fase utarbeider man et nytt og utvidet forslag til fellessikring, basert på resultatet av risikohåndteringen i andre fase.

    Denne fasen kan med fordel gjennomføres koordinert eller samlet for alle de to til fire vurderingene man har gjort.

    Risikoeiere og systemeiere fellessystem må sammen med tiltaksleverandørene vurdere hvilke av tiltakene som egner seg som fellessikring, og hvilke som skal etableres som tilleggssikring for dem som egentlig har behovet.

    Forslaget til fordeling mellom fellessikring og tilleggssikring fra første fase vil justeres, og nye sikkerhetstiltak vil komme til.

    For å sikre god forankring for fellessikringen kan referansegruppen involveres i denne fasen.

    Velge innhold i fellessikring

    Sikkerhetstiltak som er foreslått eller allerede etablert for de to til fire oppgavene/tjenestene analyseres for å velge ut hvilke som skal inngå i fellessikringen, og hvilke som skal være tilleggssikring. Ettersom de områdene som har vært vurdert er representative for informasjonsbehandlingen i virksomheten vil deltakerne i arbeidet ha et godt grunnlag for å vurdere hva som bør inngå i virksomhetens grunnleggende sikkerhetsnivå ­– fellessikringen.

    Element som vil være naturlig å ta med i vurderingene er

    • hvilke tiltak alle informasjonssystemene har behov for
    • lave eller ingen ekstra kostnader for å få bred nytte av et sikkerhetstiltak
    • negative sideeffekter dersom et tiltak legges inn i fellessikringen

    Forslag til fellessikring

    Man utarbeider oversikt over hvem som er ansvarlig for sikkerhetstiltakene, og hvilken status de forskjellige tiltakene har: om de er etablert, om de må endres på eller styrkes, eller om de må etableres fra bunnen av.

    Det vil som regel være slik at tiltaksleverandører har ansvaret for et sett med sikkerhetstiltak innenfor forskjellige områder, men man må regne med at en del tiltak må etableres av risikoeiere eller systemeiere fellessystem i ulike enheter i organisasjonen. Virksomheten bør derfor utarbeide og inkludere sikkerhetstiltak i form av retningslinjer som beskriver disse påkrevde sikkerhetstiltakene og ansvaret for dem.

    En beskrivelse av forslag til fellessikring utarbeides. I tilfeller hvor det er uenighet mellom risikoeiere og tiltaksleverandører om hva som bør inngå i fellessikringen, tas dette med i beskrivelsen.

    3.4 Fjerde fase: Høring

    I fjerde fase gjennomføres en høring internt i virksomheten.

    Beskrivelsen av forslag til fellessikring sendes på høring i virksomheten. Her tar man med både det risikoeiere og tiltaksleverandører er enige og uenige om.

    Det er viktig å få avdekket og synliggjort vesentlige negative sideeffekter som kan angå de i virksomheten som ikke har vært involvert i arbeidet med fellessikringen. Det er også viktig å få frem vesentlige kostnadsforskjeller for tiltaksleverandørene ved å etablere noe som tilleggssikring i stedet for fellessikring.

    3.5 Femte fase: Beslutning

    Femte fase er beslutningsprosessen for å få vedtatt fellessikringen. Beslutningsprosessen kan ta flere former, men bør involvere virksomhetens leder.

    På bakgrunn av tilbakemeldinger i høringen i fjerde fase utarbeides en endelig beskrivelse av fellessikringen. Dette kan gjøres i form av et notat som inneholder:

    • Beskrivelse av sikkerhetstiltak
    • Hvem som er ansvarlig for de forskjellige sikkerhetstiltakene
    • Gap-analyse som viser forskjell fra nåsituasjon
    • Estimat for kostnader for etablering av fellessikringen

    Forslag til fellessikring besluttes i virksomheten. Ettersom det har vesentlig betydning for virksomhetens oppgaver og tjenester, og det kan være omfattende ressurser som behøves for få det på plass, så vil det være naturlig at toppleder er involvert i beslutningen.

    3.6 Sjette fase: Iverksettelse

    Det er som regel ikke slik at alle sikkerhetstiltakene i den besluttede fellessikringen allerede er på plass i virksomheten. Man bør derfor utarbeide og følge opp en plan for ferdigstillelse og tilpasning av fellessikringen til ønsket nivå. Omfang på dette arbeidet vil variere fra virksomhet til virksomhet, og håndteringen av dette bør tilpasses omfanget på arbeidet og virksomhetens egenart. Det vil være naturlig å organisere dette i ett eller flere prosjekter.

    Dersom det anses som hensiktsmessig, kan man opprette skriftlige avtaler mellom risikoeierne og tiltaksleverandørene.

    4. Sikkerhetsnivåer

    Dersom virksomheten har områder med vesentlig forskjellige behov, kan man vurdere å definere flere sikkerhetsnivåer enn fellessikring. Normalt vil det for enkelte oppgaver eller tjenester innføres tilleggssikring, men dersom flere har samsvarende behov, kan man vurdere å definere et eget sikkerhetsnivå for disse. Dette vil kunne gjøre det enklere og mer effektivt å administrere sikkerhetstiltakene i virksomheten.

    5. Dokumentasjon

    Virksomheten bør ha tilstrekkelig dokumentasjon av fellessikringen. Oversikt over fellessikringen er viktig informasjon som vil inngå i alle fremtidige risikovurderinger som gjennomføres. Man har også behov for oversikt over sikkerhetstiltak for å kunne gjennomføre måling og evaluering.

    Dokumentasjon av fellessikring bør minimum inneholde oversikt over sikkerhetstiltak og hvem som er ansvarlig for å forvalte dem. Uavhengig av hvordan det dokumenteres, må tiltaksleverandører ha tilstrekkelig oversikt over sikkerhetstiltakene de er ansvarlige for.

    Vi anbefaler at virksomhetene utarbeider og senere vedlikeholder en overordnet oversikt over sikkerhetstiltak levert av felles tiltaksleverandører. Denne bør inkludere oversikt over hva som er fellessikring, og hva som er tilgjengelig tilleggssikring. Hvem som er ansvarlig for sikkerhetstiltakene, for eksempel hvilke tiltak forskjellige tiltaksleverandører er ansvarlige for, er også naturlig å ta med.

    Detaljerte sikkerhetstiltak, eller detaljer i utformingen av disse, kan vedlikeholdes av dem som er ansvarlige for tiltakene. Den overordnede oversikten viser hvem man kan kontakte for detaljert informasjon når man har behov for det.

    6. Vedlikehold av fellessikringen

    Innholdet i fellessikringen vil endre seg etter hvert som virksomhetens behov endrer seg. Fellessikringen må jevnlig oppdateres, tilpasses og vedlikeholdes.

    Forslag om endringer i fellessikringen kan komme fra både tiltaksleverandører og risikoeiere. Fagansvarlig informasjonssikkerhet kan lede og koordinere arbeid med å avgjøre endringer i fellessikringen. Beslutning bør tas av virksomhetsleder eller den vedkommende har pekt ut.

    Vedlikehold av fellessikringen bør inngå i fremtidige aktiviteter for håndtering av risiko og inngår i beskrivelsen av det i dette veiledningsmateriellet.

    7. Hjelp til gjennomføring

    Til denne aktiviteten kan følgende brukes som støtte i arbeidet:

      Mal Fellessikring Støtteskjema Bokmål
      Mal Fellessikring Støtteskjema Nynorsk

      De som skal lede aktiviteten bør ha god kunnskap om sikkerhetstiltak og organisering av sikkerhetstiltak. Mer informasjon er tilgjengelig her:

      Om sikkerhetstiltak
      Om fellessikring og tilleggsikring
      Om tiltaksbanker