Trinn 3 handler om å gjøre en overordnet vurdering av de trusler, farer og sårbarheter virksomheten står ovenfor.
Hensikten er i hovedsak å få gjennomført en god refleksjonsprosess som gir støtte i arbeidet med å få oversikt og prioritere det videre arbeidet med informasjonssikkerhet.
Trinn 3 handler om å gjøre en overordnet vurdering av de trusler, farer og sårbarheter virksomheten står ovenfor. Hensikten er i hovedsak å få gjennomført en god refleksjonsprosess som gir støtte i arbeidet med å få oversikt og prioritere det videre arbeidet med informasjonssikkerhet.
Vi anbefaler å benytte «MAL Foranalyse Trinn 3 – Trusler, farer og sårbarheter» i utførelsen av dette trinnet. Malen inneholder en oversikt over mulige trusselaktører, farekilder og sikkerhetsmål som kan tilpasses virksomheten. Rader og tema som etter utfylling er merket spesielt, vil også være viktig støtte i konkrete risikovurderinger senere.
Alle organisatoriske enheter rundt om i virksomheten, det vil si risikoeierne for operative risikoer og de som er systemeiere for fellessystem, bør gjennomføre en slik vurdering. Det vil ofte være naturlig å velge det samme organisatoriske nivå som man valgte for Trinn 1 og 2. Det kan være behov for støtte fra en prosessleder, spesielt ved første gangs bruk av malen.
Vurder trusselaktører og trusselnivå
Identifiser mulige trusselaktører. Malen inneholder en liste man kan ta utgangspunkt i.
Vurder hvor sterk motivasjon, vilje og kapasitet ulike aktører har til å iverksette handlinger som kan få vesentlige negative konsekvenser for virksomheten, innbyggere eller andre virksomheter, og oppsummer hvilket trusselnivå dere mener hver aktør gir.
Dersom det er noen trusselaktører som anses å ha et klart motiv, bør dette noteres, gjerne med informasjon om hva aktøren trolig er ute etter og hva målet trolig er. Hva aktøren er ute etter kan være knyttet til personer, oppgaver og tjenester, informasjonstyper, IKT-system og liknende. Målet kan for eksempel være knyttet til trusselaktørens egen vinning eller skade av virksomheten, andre virksomheter eller personer.
Kunnskapsstyrke
Avslutt vurderingen av hver aktør med skjønnsmessig å angi kunnskapsstyrke, avhengig av hvor sikker dere er på vurderingen. Kunnskapsstyrken kan for eksempel angis som lav, moderat eller høy.
Vurder farekilder
Identifiser mulige farekilder og steder. Malen inneholder en liste man kan ta utgangspunkt i.
Vurder innledende sannsynlighet og forventet skadenivå for at en spesifikk farekilde skal medføre en uønsket hendelse på et gitt sted. Bruk eget skjønn og velg koder som vist i tabellen til vestre.
Med innledende sannsynlighet menes sannsynligheten for at en uønsket hendelse kan skje og gi vesentlig skade.
Med forventet skadenivå menes det mest forventede skadenivået dersom den innledende hendelsen skjer og skade oppstår.
Dersom det finnes spesielle forhold som påvirker sannsynlighet og skadenivå bør det noteres.
Kunnskapsstyrke
Avslutt vurderingen av hver farekilde med skjønnsmessig å angi kunnskapsstyrke, som angir hvor sikker dere er på vurderingen. Kunnskapsstyrken kan for eksempel angis som lav, moderat eller høy.
Vurder sårbarheter
Vi anbefaler å vurdere sårbarheter i virksomheten ved å ta utgangspunkt i overordnede målsetninger for hvordan man bør jobbe med informasjonssikkerhet på ulike områder. Malen inneholder en liste over områder og overordnede målsetninger som kan være relevante å ta utgangspunkt i. Legg eventuelt til andre relevante områder eller målsetninger ved behov.
Hvert område har flere målsetninger. Vurder status på målsetningene innenfor hvert område, og sett sårbarhetsnivået basert på hvor langt unna dere mener dere er fra målet.Dersom dere er langt unna målet, har dere høyt sårbarhetsnivå, og omvendt. Oppsummer ved å anslå et samlet sårbarhetsnivå for området. Bruk eget skjønn og velg nivå ut fra hva dere vet og tror om status under de ulike områdene.
Eventuelle spesielle forhold dere kjenner til som påvirker deres vurdering av status og sårbarhetsnivå bør noteres.
Kunnskapsstyrke
Avslutt vurderingen av hvert område med skjønnsmessig å angi kunnskapsstyrke på områdenivå, avhengig av hvor sikker dere er på vurderingene under det aktuelle området. Kunnskapsstyrken kan for eksempel angis som lav, moderat eller høy.
Det videre arbeidet med å gruppere og prioritere
Når en risikoeier har gjennomført alle tre trinnene i foranalysen, kan vedkommende benytte den oversikten man har fått til å dele opp ansvarsområdet sitt på hensiktsmessige måter, og vurdere hvor det er størst behov for å gjennomføre grundigere vurderinger av risiko. Denne oversikten er også et godt grunnlag for det øvrige arbeidet med styring av informasjonssikkerhet.
