Gjennomføre risikovurdering

Om metoden

Denne fremgangsmåten kan benyttes som utgangspunkt og kjerne i de fleste risikovurderinger innen informasjonssikkerhet. Metoden består av 6 trinn:

1. Etablere felles referanseramme og begrepsforståelse
2. Vurdere obs-områder
3. Identifisere risikoer
4. Analysere risikoer
5. Evaluere risikoer
6. Beskrive kvalitet og kunnskapsstyrke

Dersom mandatet for arbeidet også omfatter å foreslå håndtering av risikoer, utvides metoden med aktiviteten Foreslå håndtering av risikoer, beskrevet under hovedaktiviteten Håndtering av risiko. Når de gjennomføres i sekvens, vil de to metodene i praksis fremstå som én. Det siste trinnet i metoden, Beskrive kvalitet og kunnskapsstyrke, utføres da kun helt til slutt.

Det er viktig at prosessleder klarer å tilpasse metoden til det som skal vurderes. Det innebærer blant annet å forenkle der det er hensiktsmessig, og gå i dybden der det er nødvendig.

For enkelte områder eller risikoer med stor kompleksitet kan det være behov for å supplere med støttemetoder. Dette kan være prosesskartlegging, dataflytdiagrammer, angrepstrær, misbrukstilfeller, hendelsestreanalyse, feiltreanalyse og lignende.

Anbefalt dokumentasjon

Under planleggingen bør prosessleder føre dialog med oppdragsgiver for å avgjøre hvordan arbeidet og resultatet skal dokumenteres.

Denne metoden inneholder forslag til dokumentasjon. Forslaget innebærer at det underveis utarbeides et kort risikonotat om arbeidet og resultatet. Notatet bør ikke være omfattende, og utdypninger kan legges i vedlegg. Det gir både oversikt og fleksibilitet med hensyn til å gå i dybden.

Et viktig vedlegg er en risikotabell. Denne skal gi en oversikt over alle risikoene. Det kan i tillegg være hensiktsmessig å presentere risikoene i en risikomatrise for å forenkle kommunikasjon. Ulike verktøy kan brukes under utforming av risikotabellen og risikomatrisen. Digitaliseringsdirektoratet har laget et enkelt støtteverktøy i Excel som kan benyttes.

Hvert trinn i metoden inneholder en kort oppsummering av hva som foreslås dokumentert etter trinnet. Samlet anbefales følgende:

Et risikonotat med kort beskrivelse av:

• formål med risikovurderingen
• omfang og avgrensninger
• deltakere og roller
• relevante styrende dokument, med navn og versjonsnummer
• valgt metode (henvisning eller kort omtale, inkludert vesentlige tilpasninger)
• identifiserte obs-områder (kort liste over hoveddeler i objektet for risikovurderingen, spesielle obs-områder og områder man eventuelt har gitt ingen eller lav prioritet)
• utfordringer under gjennomføringen
• resultatet fra risikovurderingen (kort om det generelle risikonivået og spesielt høye risikoer, samt kort omtale av og henvisning til risikotabellen)
• kvalitet og kunnskapsstyrke (kort omtale)

Vedlegg til risikonotatet:

• en risikotabell (med risikobeskrivelse og risikostørrelse (konsekvensnivå, sannsynlighetsnivå og risikonivå) på hver risiko)
• en risikomatrise
• eventuelt en restliste (risikobeskrivelser som er identifisert, men ikke analysert)

Digitaliseringsdirektoratets støtteverktøy

For gjennomføring av risikovurderinger ved hjelp av Digitaliseringsdirektoratets metode kan dette brukes for å støtte gjennomføringen:

Trinn 1: Etablere felles referanseramme og begrepsforståelse

1.1 Mål for trinnet

Deltakerne i arbeidsgruppen har blitt kjent med hverandre, og har fått en rimelig omforent forståelse for hva som skal gjøres, og rammene for arbeidet. Arbeidsgruppen har også en rimelig omforent forståelse av sentrale begrep i arbeidet med risikovurderinger.

1.2 Forberedelser

Deltakerne bør i forkant av første arbeidsmøte:

• oppdatere seg på virksomhetens policy for informasjonssikkerhet med hovedvekt på målene
• oppdatere seg på virksomhetens føringer for risikoforståelse og risikoaksept
• Sette seg inn i et eget «Kunnskapsark» eller lignende, som beskriver sentrale begrep

1.3 Fremgangsmåte

Korte innlegg fra prosessleder og deltakerne kombineres med diskusjoner der det er nødvendig.

Følgende tema bør være med:

• Presentasjon av deltakerne
• Mandat, formål og avgrensninger
• Felles begrepsforståelse
• Virksomhetens mål for informasjonssikkerhet
• Retningslinjer og føringer rundt risiko
• Metodevalg og tidsbruk

Omfang og tidsbruk må tilpasses erfaringsgrunnlaget til deltakerne. Målet er en rimelig omforent forståelse.

De ulike temaene beskrives under.

Presentasjon av deltakerne

Første møte i arbeidsgruppen bør starte med en kort presentasjon av deltakerne, deres tilknytning til objektet i risikovurderingen og deres rolle i arbeidet som skal gjøres.

Mandat, formål og avgrensninger

Arbeidsgruppen bør deretter foreta en kort gjennomgang av mandatet for arbeidet. Det er viktig å få frem formålet med risikovurderingen. Er det en generell risikovurdering, eller er det spesielle spørsmål som skal avklares og vurderes opp mot hverandre? Det siste kan kreve en egen innretning på arbeidet og en egen form på risikonotatet.

Det er viktig å få avklart om formålet kan gi spesielle utfordringer for gjennomføringen, og hvordan disse eventuelt skal løses.

Det bør videre avklares om arbeidsgruppen har en felles forståelse av omfang og avgrensinger, med utgangspunkt i mandatet. Mener noen at noe vesentlig er utelatt? Det er viktig å foreta eventuelle presiseringer her.

Felles begrepsforståelse

Prosessleder bør gå gjennom sentrale begreper for å sikre at arbeidsgruppen har en felles forståelse av dem.

Som et minimum bør følgende omtales:

• Uønskede hendelser og informasjonssikkerhetsbrudd
• Hva er risiko?
• Hvordan uttrykke risiko?

Virksomhetens mål for informasjonssikkerhet

Virksomhetens mål for informasjonssikkerhet bør gjennomgås for å sikre tydelig forankring. Målene skal være beskrevet i virksomhetens policy for informasjonssikkerhet.

Deltakerne må ha en klar forståelse av hva målene for informasjonssikkerhet betyr for arbeidet med denne risikovurderingen.

Retningslinjer og føringer rundt risiko

Videre bør virksomhetens retningslinjer og føringer knyttet til risikoforståelse, risikohåndtering og risikoaksept gjennomgås. Nøkkelspørsmål er:

• Har gruppen en felles forståelse av de førende beskrivelsene for konsekvensnivå, sannsynlighetsnivå og risikonivå?
• Hva betyr de for arbeidet med denne vurderingen?
• Vet deltakerne hvordan estimeringen skal gjøres?
• Forstår gruppen kriteriene for å akseptere risiko?

Metodevalg og tidsbruk

Gruppen bør til slutt bli avstemt på metodevalg og tidsbruk. Basert på planleggingen som er gjort bør prosessleder skissere hva man skal gjøre, og hvordan man har tenkt å gå frem. Prosessleder bør være åpen for justeringer.

1.4 Anbefalt dokumentasjon

Risikonotat:

• formål med risikovurderingen
• omfang og avgrensninger
• deltakere og roller
• styrende dokumenter (navn og versjonsnummer til de som benyttes direkte)
• valgt metode (henvisning eller kort omtale, inkludert vesentlige tilpasninger)

Trinn 2: Vurdere obs-områder

2.1 Mål for trinnet

Arbeidsgruppen har

• en grunnleggende oversikt over objektet i risikovurderingen
• delt objektet opp på hensiktsmessig måte
• oppdatert seg på, og kan dra nytte av, relatert kunnskap og erfaringer
• merket seg og notert eventuelle obs-områder for arbeidet videre

2.2 Forberedelser

Prosessleder og en eller flere i arbeidsgruppen:

• Gå gjennom relevant bakgrunnsstoff og gjøre vurderinger av
  • hensiktsmessig oppdeling av objektet for risikovurderingen
  • foranalysen for området som risikovurderingen er en del av
  • tidligere risikovurderinger på dette eller sammenlignbare områder
  • virksomhetens interne statusrapport om risikoforhold
  • krav i relevant regelverk
• Lage en eller flere korte oppsummeringer og presentasjoner.

Deltakerne:

• Lese gjennom og reflektere over utsendt oppsummering av stoff som skal være tema.

2.3 Fremgangsmåte

Korte presentasjoner kombineres med korte diskusjonsrunder. Presentasjonene bør dekke relevante aspekter av punktene prosessleder har vurdert som forberedelse. Arbeidsgruppen tar stilling til om utgangspunktet prosessleder har forberedt er hensiktsmessig.

Hvert tema er beskrevet under.

Omfang og tidsbruk på både presentasjon og diskusjon må tilpasses arbeidsgruppens forkunnskap, samt formålet med og objektet for risikovurderingen.

Arbeidsgruppen bør avgrense seg til det som kan ha relevans og nytte i arbeidet videre. Underveis noteres følgende:

• hvilke deler man velger å dele objektet i under denne risikovurderingen
• obs-områder man identifiserer, og som bør vektlegges i risikovurderingen
• områder man mener bør ha ingen eller lav prioritet

Hensiktsmessig oppdeling av objektet for risikovurderingen

En oppdeling av objektet i ulike deler vil ofte gjøre det lettere å konsentrere seg om disse underveis i arbeidet. En oppdeling kan gjøres på mange måter, avhengig av størrelse og innretning på risikovurderingen.

Inndelingen kan for eksempel være varianter av:

• oppgavene/tjenestene som inngår i risikovurderingen
• informasjonssystemene som inngår
• deler av ett eller flere informasjonssystemer

Arbeidsgruppen bør avklare hva den mener er hensiktsmessig oppdeling for denne risikovurderingen. Det bør noteres. Spesielle obs-områder, eller områder som kan gis ingen eller lav prioritet i denne risikovurderingen, bør også noteres.

Foranalysen for ansvarsområdet

En foranalyse har gjerne et bredere omfang enn en risikovurdering. Det er derfor viktig at man i dette trinnet får sett over, diskutert og eventuelt tilpasset inntrykket fra foranalysen. Med objektet for risikovurderingen i sentrum må arbeidsgruppen vurdere relevans og nivå på det foranalysen sier om

• oppgaver og tjenester
• informasjonstyper
• systemer
• trusselaktører
• farer
• sårbarheter

En slik gjennomgang gir en god ramme og et viktig bakteppe for risikovurderingsarbeidet videre. Det vil normalt ikke være nødvendig å gjennomføre en egen full foranalyse tilpasset objektet i hver risikovurdering. Spesielle obs-områder, eller områder som kan gis ingen eller lav prioritet i denne risikovurderingen, bør imidlertid noteres.

Tidligere risikovurderinger

Dersom arbeidsgruppen har tilgang til tidligere risikovurderinger på dette eller sammenlignbare områder, bør oppsummeringer fra disse kort diskuteres. Relevans og eventuelle obs-områder bør stå i sentrum for diskusjonen.

Spesielle obs-områder for den nye risikovurderingen, eller områder som kan gis ingen eller lav prioritet, noteres.

Statusrapporter om risikoforhold

Digitaliseringsdirektoratet anbefaler at virksomheten jevnlig utarbeider statusrapporter som grunnlag for risikovurderinger. Sentrale tema kan være

• oppsummering og kategorisering av tidligere sikkerhetshendelser
• trender i trussel- og risikobildet i virksomheten, i lignende virksomheter, i verden generelt
• oppsummering og trender i interne revisjoner, evalueringer, undersøkelser og målinger
• tiltaksstyrke på relevante tiltaksområder
• oversikt over felles tiltaksleverandører, fellessikring og mulig tilleggssikring

Relevante tema herfra bør diskuteres i arbeidsgruppen og knyttes inn mot objektet for denne risikovurderingen. Spesielle obs-områder bør noteres.

Regelverk og avtaler

Foranalysen av et ansvarsområde skal også gi en oversikt over regelverk og avtaler med krav til informasjonssikkerhet.

Arbeidsgruppen bør avstemme at den kjenner relevant regelverk, og vet hva det innebærer for objektet for risikovurderingen. Det bør også diskuteres om det innebærer spesielle obs-områder.

2.4 Anbefalt dokumentasjon

Risikonotatet bør utvides med

• kort liste over hoveddeler i objektet for risikovurderingen
• spesielle obs-områder
• områder man eventuelt har gitt ingen eller lav prioritet

Trinn 3: Identifisere risikoer

3.1 Mål for trinnet

Arbeidsgruppen har

• identifisert et sett av relevante potensielle risikoer
• formulert dem i helhetlige risikobeskrivelser
• prioritert dem i noen hovedgrupper for arbeidet videre

3.2 Fremgangsmåte

Dette trinnet består av tre deloppgaver:

• Identifiser potensielle hendelser og informasjonssikkerhetsbrudd.
• Sett sammen risikobeskrivelser.
• Prioriter risikoene.

Første deloppgave er å identifisere potensielle uønskede hendelser og informasjonssikkerhetsbrudd basert på arbeidsgruppens kompetanse, erfaringer og kollektive refleksjoner.

Det sentrale fremgangsmåten er idédugnad. Hensikten er å få synliggjort et bredt utvalg av hvilke uønskede hendelser og tilhørende informasjonssikkerhetsbrudd som kan inntreffe.

I andre deloppgave skal det arbeidsgruppen har identifisert i den første deloppgaven, bearbeides og settes sammen i helhetlige risikobeskrivelser. Vi anbefaler den formen som er vist i trinn 1, Etablere felles referanseramme og begrepsforståelse. Risikobeskrivelsene skal da inneholde stikkord om

1. innledende hendelse(r)
2. informasjonssikkerhetsbruddet
3. de uønskede konsekvensene som kan oppstå

I den tredje deloppgaven skal arbeidsgruppen prioritere risikobeskrivelsene før analysen. Vi anbefaler primært en grovsortering i hovedgrupper ut fra antatt risikostørrelse.

De tre deloppgavene er utdypet under. Eventuelle utfordringer man opplever under gjennomføringen, bør kort noteres i et vedlegg til risikonotatet.

Identifiser potensielle hendelser og informasjonssikkerhetsbrudd

Arbeidsgruppen skal først identifisere kombinasjoner av potensielle uønskede hendelser og påfølgende informasjonssikkerhetsbrudd.

Dersom noen finner det naturlig å ta med potensielle konsekvenser eller konsekvenskategorier, bør det kunne gjøres. Dette er imidlertid ikke noe som bør vektlegges i denne delen av trinnet. Det bør heller ikke fokuseres for mye på formen på innspillene. De skal bearbeides i neste deloppgave.

Prosessleder kan velge mellom flere hovedtilnærminger som for eksempel

• idédugnad i en eller flere små runder
• benytte en hendelsesbank
• utføre eller søke støtte i gjennomførte dybdeanalyser (støttemetoder)

Vi anbefaler at arbeidsgruppen starter med idédugnad i flere små runder. Ved behov kan det suppleres med de to andre tilnærmingene.

Idédugnad

Idédugnaden bør understøttes av en «lapper på vegg»-teknikk eller enkle digitale løsninger. Et tomt tekstdokument kan være nok. Det er viktig at prosessleder aktivt legger til rette for god gjennomføring. Brukes tekstdokument eller lignende, bør noen hjelpe prosessleder med å håndtere det.

Små runder med idédugnad foreslås gjennomført for å få innspill på uønskede hendelser eller informasjonssikkerhetsbrudd tilknyttet:

1. objektet for risikovurderingen generelt
2. hver av de ulike delene objektet er delt inn i, jf. trinn 2, Vurdere obs-områder
3. spesielle obs-områder som allerede er identifisert, jf. trinn 2, Vurdere obs-områder
4. sentrale oppgaver og tjenester
5. sentrale informasjonstyper
6. trusselaktører
7. farer
8. sårbarheter

Rundene kan gjennomføres som foreslått, eller i ulike kombinasjoner. Hvilke av rundene arbeidsgruppen gjennomfører og fokuserer på, må tilpasses hvert enkelt tilfelle.

Som hjelp i idédugnaden kan følgende støttespørsmål benyttes:

• Hva er dere mest bekymret for av uønskede hendelser?
• Hva er dere mest bekymret for av sikkerhetsbrudd og påfølgende konsekvenser, og hva kan utløse disse?
• Hva med vesentlig konsekvens har skjedd tidligere hos oss eller andre lignende virksomheter?
• Hva skjer stadig av hendelser og sikkerhetsbrudd?
  • rundt taushetsplikt
  • rundt uautorisert endring av vesentlig informasjon
  • endring av vesentlig informasjon ved uhell
  • trege systemer, manglende tilgjengelighet på systemer eller informasjon?

Støttespørsmålene kan gjerne være hengt opp på veggen eller være delt ut på et ark.

Tidsbruk og omfanget av det som identifiseres, vil naturlig avta desto flere runder som er gjennomført. Til støtte i runde 5–8 kan det være nyttig å vise til deler av foranalysen man vurderte som relevant i trinn 2.

Andre tilnærminger

Etter idedugnaden bør prosessleder, eventuelt i samråd med arbeidsgruppen, vurdere om det er behov for å supplere med andre teknikker, som

• en hendelsesbank
• dybdeanalyser gjennom støttemetoder

Disse gjennomføres ved behov dersom de er tilgjengelige.

Resultat

Arbeidsgruppen bør etter idédugnaden ha en liste med et utvalg av potensielle uønskede hendelser og informasjonssikkerhetsbrudd. Omfanget vil variere avhengig av hva som vurderes.

Formuler risikobeskrivelser

Arbeidsgruppen skal nå ta fatt i det som er identifisert, og gjennom en gruppediskusjon

• klargjøre meningen med innholdet der det er nødvendig
• gruppere og reformulere der det er naturlig
• utforme risikobeskrivelser

Prosessleder leder arbeidet. Start gjerne med de beskrivelsene som synes å være lettest å forstå.

Anbefalt innhold i risikobeskrivelser

Som vist i trinn 1, Etablere felles referanseramme og begrepsforståelse, anbefaler vi å benytte tredelte risikobeskrivelser. Det vil si at hver risikobeskrivelse inkluderer stikkord om

1. innledende hendelse(r)
2. informasjonssikkerhetsbruddet
3. de uønskede konsekvensene som kan oppstå

Hvilken del stikkordene tilhører, bør settes i parentes for å sikre at man får med alle elementene.

Dersom føringene fra virksomhetsledelsen inneholder konsekvenskategorier, anbefaler vi at man som en del av identifiseringen også nevner hvilke av disse som i vesentlig grad blir berørt. Det kommer til nytte både i trinnet analysere og i risikohåndteringen senere.

Stryke innspill med lav relevans

Dersom arbeidsgruppen underveis innser at enkelte innspill klart ikke er relevante, bør disse strykes da de er unødvendig å bruke tid på. Refleksjon over det som eventuelt er nedprioritert tidligere vil være nyttig.

Tekstbehandlingsprogram som støtte

Risikobeskrivelsene som utarbeides bør noteres, for eksempel i et tekstdokument som hele gruppen kan se. Dette kan gjerne være en bearbeiding av dokumentet arbeidsgruppen eventuelt benyttet under idedugnaden.

Prioriter risikoene

Dersom det er identifisert mange potensielle risikoer, bør arbeidsgruppen til slutt i dette trinnet prioritere disse. Det vil gi en bedre tidsbruk i analysen i neste trinn, og sikre at det blir best kvalitet på det viktigste.

Vi anbefaler å sette opp prioriteringsgrupper basert på hvor viktig det er å få hendelsen analysert videre, for eksempel:

• A – høy
• B – moderat
• C – lav
• D – ikke viktig

Hendelsene bør grupperes ut fra antatt risikostørrelse. Risikobeskrivelser som åpenbart at har høy konsekvens og høy sannsynlighet, indikerer gruppe A – høy. Tilsvarende vil moderat konsekvens og sannsynlighet indikere gruppe B – moderat, og så videre. Mer blandede kombinasjoner må fordeles skjønnsmessig. Siste kategori er primært for risikobeskrivelser som tydelig representerer ubetydelige eller svært lave risikoer.

Prioriteringen er en grovsortering, og tidsbruken må tilpasses det.

3.3 Anbefalt dokumentasjon

Risikonotatet bør utvides med

• utfordringer under gjennomføringen, i den grad det er relevant

Trinn 4: Analysere risikoer

4.1 Mål for trinnet

Arbeidsgruppen har

• analysert risikobeskrivelsene identifisert i forrige trinn
• estimert nivået på konsekvens og sannsynlighet på relevante utfall for hver risikobeskrivelse
• funnet den risikostørrelsen som uttrykker den største risikoen ved hver risikobeskrivelse

4.2 Fremgangsmåte

Arbeidsgruppen skal nå ta for seg hver av risikobeskrivelsene fra forrige trinn. De tas én for én i prioritert rekkefølge.

For hver risikobeskrivelse skal prosessleder lede arbeidsgruppen gjennom deloppgavene:

1. Forstå risikobeskrivelsen
2. Estimere konsekvens
3. Estimere tilhørende sannsynlighet
4. Fastsette risikonivå

Behovet for å gå i dybden vil variere mellom de ulike risikoene. Gode refleksjoner og diskusjoner vil ofte være både nyttige og viktige. Man bør likevel ikke gå mer i dybden eller bli mer omfattende enn det som er nødvendig. Målet er å få nok forståelse til å estimere rimelig riktig nivå.

For potensielt høye risikoer med stor kompleksitet bør prosessleder vurdere om arbeidsgruppen skal gå dypere inn i det med ulike støttemetoder. Dette kan kreve bistand fra andre med spesialkompetanse.

I dette trinnet brukes en risikotabell som støtte i og dokumentasjon av arbeidet. Digitaliseringsdirektoratets støtteverktøy kan benyttes. Risikotabellen fylles ut underveis i arbeidet for én og én risikobeskrivelse.

Noen ganger vil det være behov for å vurdere flere alternative konsekvenser for en og samme risikobeskrivelse.

De fire deloppgavene er utdypet under. Ved behov kan man gå litt frem og tilbake mellom deloppgavene. Eventuelle utfordringer under gjennomføringen bør kort noteres i et vedlegg til risikonotatet.

Forstå risikobeskrivelsen

Første deloppgave er å avstemme at risikobeskrivelsen er rimelig klar, og at alle i arbeidsgruppen forstår hva den innebærer. Ofte vil dette bare være en oppdatering fra forrige trinn.

Man ser på og avstemmer beskrivelsene av

1. innledende hendelse(r)
2. informasjonssikkerhetsbruddet
3. de uønskede konsekvensene som kan oppstå

Arbeidsgruppen bør spesielt etablere en forståelse av hva informasjonssikkerhetsbruddet (2) betyr i praksis. Følgende støttespørsmål kan være nyttige:

• Hvilke oppgaver og tjenester, systemer og informasjon blir berørt og hvordan?
• Hvilke konsekvenser kan oppstå?
  • andre enn de som nå ligger i beskrivelsens del 3?
  • kan noen komme til som følgekonsekvenser?

Man kan endre på risikobeskrivelsen dersom det er behov for det. Man bør imidlertid ikke bruke tid på å utdype detaljer. Refleksjonen er det viktigste.

Dersom de ulike konsekvensene som kan oppstå berører mer enn én av de konsekvenskategoriene som er beskrevet i virksomhetens føringer, bør disse håndteres som ulike risikobeskrivelser. Dette gjør det lettere å estimere konsekvens og tilhørende sannsynlighet, i tillegg det senere arbeidet med å forslå hvordan risikoen skal håndteres.

Estimere konsekvens

I andre deloppgave skal arbeidsgruppen estimere konsekvens.

Konsekvensen uttrykkes ved bruk av et konsekvensnivå knyttet til en konsekvenskategori. Referansen som skal brukes, er virksomhetens førende beskrivelser for hva disse betyr.

Det er viktig å huske at et informasjonssikkerhetsbrudd (2) forårsaket av en uønsket hendelse (1) kan få mange forskjellige utfall, resultater eller konsekvenser (3), av ulik alvorlighetsgrad. Hver av disse vil kunne ha forskjellig sannsynlighet.

Vi forenkler gjerne ved å uttrykke risikoen kun som én kombinasjon av konsekvens og sannsynlighet.

Refleksjon for å vurdere konsekvensnivå

Størrelsen på konsekvens estimeres oftest ved å velge det mest forventede konsekvensnivået. Det kan også være hensiktsmessig å vurdere hva som er det mest fryktede konsekvensnivået, og om man antar at dette, sammen med tilhørende sannsynlighet, vil resultere i en større risiko. Da kan det være mer nyttig å jobbe videre med det konsekvensnivået, eventuelt arbeide videre med begge som separate risikoer.

Høyeste konsekvensnivå skal også være vurdert i foranalysen av ansvarsområdet man er innenfor, så denne kan gjerne hentes frem som støtte ved behov.

Arbeidsgruppen må vurdere hva som skjer, kan skje, hindres og så videre. Man tilpasser tidsbruken til risikoens kompleksitet.

Eksempler til støtte i arbeidet

Eksempel på normerende beskrivelser av konsekvensnivå finnes i vedlegg D i [EKSEMPEL] Retningslinje: Forstå, vurdere og håndtere risiko (docx):

Estimere tilhørende sannsynlighet

I tredje deloppgave skal arbeidsgruppen estimere tilhørende sannsynlighet til det eller de konsekvensnivåene de er kommet frem til.

Sannsynligheten uttrykkes gjennom et sannsynlighetsnivå. Referansen som skal brukes, er virksomhetens førende beskrivelser for hva disse betyr.

Sannsynlighet kan angis for ulike deler av hendelsesforløpet, for eksempel:

1. sannsynligheten for at informasjonssikkerhetsbruddet skal skje som følge av den innledende hendelsen
2. sannsynligheten for at konsekvensnivået/-nivåene vi valgte foran vil oppstå

Sannsynligheten i punkt 2 er alltid på samme eller lavere nivå enn sannsynligheten i punkt 1. Sannsynligheten i punkt 2 vil blant annet kunne bli lavere enn i punkt 1 avhengig av hvilke tiltak som er iverksatt.

Det er viktig å huske at vi i denne sammenhengen er ute etter estimat av sannsynlighet som dekker hele hendelsesforløpet, inklusiv at den aktuelle konsekvensen faktisk blir utfallet av hendelsen. Det er sannsynligheten i pkt. 2 vi er ute etter når størrelsen på risikoene skal beskrives.

Refleksjon for å vurdere tilhørende sannsynlighetsnivå

For å estimere sannsynlighetsnivå bør man vurdere

• historisk hyppighet, eller det man vet om hyppighet, på både informasjonssikkerhetsbruddet og de aktuelle konsekvensnivåene
• relevante trusselaktørers intensjon (motivasjon og vilje) og kapasitet, dersom en trusselaktør er involvert i risikobeskrivelsen
• styrken på relevante sikkerhetstiltak som er etablert, eller generelt om sårbarhetsnivå

Det er viktig at de tre faktorene ikke brukes individuelt og isolert ved estimatet av sannsynlighet, men ses i sammenheng.

I foranalysen er det også gjort en overordnet vurdering av trusler, farer og sårbarheter, som gjerne kan hentes frem som støtte ved behov.

Arbeidsgruppen fortsetter refleksjonen og diskusjonen fra estimeringen av konsekvensnivå, og kan bruke følgende fremgangsmåte for estimeringen:

Benytt så det sannsynlighetsnivå du er kommet frem til.

Eksempler til støtte i arbeidet

Eksempel på normerende beskrivelser av sannsynlighetsnivå, og støtte ved estimat av sannsynlighetsnivå finnes i henholdsvis vedlegg E og H i [EKSEMPEL] Retningslinje: Forstå, vurdere og håndtere risiko (docx):

Fastsette risikonivå

I den fjerde deloppgaven skal arbeidsgruppen finne siste del av risikostørrelsen, risikonivået.

Referansen for risikonivået er virksomhetens førende beskrivelser for hvilke kombinasjoner av konsekvens og sannsynlighet som gir hvilke risikonivå. Disse er oftest fremstilt i en matrise.

Å finne risikonivået innebærer å bruke estimatene av konsekvens og sannsynlighet og slå opp i den normerende matrisen.

Man har nå uttrykt hele risikostørrelsen bestående av

1. konsekvensnivå
2. sannsynlighetsnivå
3. risikonivå

Eksempler til støtte i arbeidet

Eksempel på normerende beskrivelser av risikonivå finnes i vedlegg C i [EKSEMPEL] Retningslinje: Forstå, vurdere og håndtere risiko (docx):

4.3 Anbefalt dokumentasjon

Risikonotatet bør utvides med

• utfordringer under gjennomføringen, dersom det er relevant for videre arbeid eller for oppdragsgiver

Vedlegg til risikonotatet:

• En risikotabell, som viser risikobeskrivelse og risikostørrelse (konsekvensnivå, sannsynlighetsnivå og risikonivå)
• en restliste (eventuelle risikobeskrivelser man har identifisert, men ikke fått analysert)

Trinn 5: Evaluere risikoer

5.1 Mål for trinnet

Arbeidsgruppen har

• evaluert risikoene fra forrige trinn opp mot virksomhetens kriterier for å akseptere risiko
• synliggjort hvilke risikoer som kan aksepteres slik de er, og hvilke som må håndteres

5.2 Fremgangsmåte

Arbeidsgruppen skal nå gå gjennom én og én av risikoene fra forrige trinn. Status rundt hver enkelt av dem skal vurderes opp mot virksomhetens kriterier for å akseptere risiko.

Gjennomgangen kan tas sortert på risikostørrelse eller i grupper som naturlig hører sammen.

Referansen under gjennomgangen er virksomhetens kriterier for å akseptere risiko. De vil normalt fremgå av en retningslinje eller lignende fra ledelsen.

For hver risiko vurderes status opp mot virksomhetens egne kriterier. Eksempler på tema som kan være omtalt og dermed kreve vurdering, er:

• hvor systematisk og grundig arbeid er gjennomført tidligere for å identifisere relevante risikoreduserende tiltak inn mot denne eller tilsvarende risikoer?
• hvor viktig er arbeidsoppgaven/tjenesten som utføres for virksomhetens primære mål?
• i hvilken grad er alternative fremgangsmåter for arbeidet/tjenesten vurdert?

Resultatet av evalueringen av hver risiko skal noteres i risikotabellen. Vi anbefaler at man skriver «Kan aksepteres» eller «Ikke akseptabel» i en hensiktsmessig kolonne.

Eksempler til støtte i arbeidet

Eksempel på kriterier for å akseptere risiko finnes i vedlegg B i [EKSEMPEL] Retningslinje: Forstå, vurdere og håndtere risiko (docx):

5.3 Anbefalt dokumentasjon

Risikonotatet utvides med

• Resultatet fra risikovurderingen:
  • kort om det generelle risikonivået
  • informasjon om spesielt høye risikoer
  • kort omtale av og henvisning til risikotabellen
• Utfordringer under gjennomføringen, i den grad det er relevant

Vedlegg til risikonotatet:

• Risikotabellen suppleres med resultatet av evalueringen
• Eventuelt en risikomatrise

Trinn 6: Beskrive kvalitet og kunnskapsstyrke

6.1 Mål for trinnet

Arbeidsgruppen har informert beslutningstaker om kvaliteten på arbeidet og kunnskapsstyrken bak de nye estimatene på restrisiko.

6.2 Fremgangsmåte

Når alle risikoer er evaluert, skal arbeidsgruppen til slutt si noe overordnet om kvaliteten på arbeidet og kunnskapsstyrken bak estimatene rundt risikostørrelse.

Kvalitet

Kvaliteten kan beskrives ved å kort henvise til hvilke metoder arbeidsgruppen har anvendt og hvilke eventuelle tilpasninger som er gjort, gjøre rede for tidsbruk, samt en skjønnsmessig vurdering av hva som var bra med gjennomføringen, og hva som kunne vært gjort bedre eller grundigere.

Elementer i kunnskapsstyrken

Kunnskapsstyrke er et uttrykk for hvor god bakgrunnskunnskap man har når en risiko skal vurderes, estimere konsekvens og tilhørende sannsynlighet.

Sentrale elementer i kunnskapsstyrken er

• deltakernes kompetanse
• grundigheten i analysene som er gjort

Delområdet kompetanse omfatter blant annet deltakernes samlede

• kjennskap til objektet som vurderingen gjelder
• fagkompetanse om håndtering av de typer uønskede hendelser som inngår i risikoen
• analysekompetanse
• forståelse for estimering av konsekvens og tilhørende sannsynlighet

Uttrykke kunnskapsstyrke

Det kan være hensiktsmessig å gradere og uttrykke kunnskapsstyrken i kategoriene svak, middels og sterk. Nivået man setter på kunnskapsstyrken bør samsvare med den usikkerhet man har rundt sannsynlighetsestimatet.

Det vil i mange sammenhenger være hensiktsmessig å først estimere kunnskapsstyrken felles for alle eller de fleste risikoene.

I tillegg bør det alltid vurderes om kunnskapsstyrken bak enkelte risikoer skal estimeres og kommuniseres spesielt. Dette vil være aktuelt dersom de avviker vesentlig fra den generelle kunnskapsstyrken.

6.3 Anbefalt dokumentasjon

Risikonotatet kan utvides med

• Kvalitet og kunnskapsstyrke (kort omtale)