Trinn 3 - Vurder trusler, farer og sårbarheter

Trinn 3 handler om å gjøre en overordnet vurdering av de trusler, farer og sårbarheter virksomheten står ovenfor.

Hensikten er i hovedsak å få gjennomført en god refleksjonsprosess som gir støtte i arbeidet med å få oversikt og prioritere det videre arbeidet med informasjonssikkerhet.

Illustrasjon av foranalyse trinn 3 som siste av tre trinn i foranalysen

Trinn 3 handler om å gjøre en overordnet vurdering av de trusler, farer og sårbarheter virksomheten står ovenfor. Hensikten er i hovedsak å få gjennomført en god refleksjonsprosess som gir støtte i arbeidet med å få oversikt og prioritere det videre arbeidet med informasjonssikkerhet.

Vi anbefaler å benytte «MAL Foranalyse Trinn 3 – Trusler, farer og sårbarheter» i utførelsen av dette trinnet. Malen inneholder en oversikt over mulige trusselaktører, farekilder og sikkerhetsmål som kan tilpasses virksomheten. Rader og tema som etter utfylling er merket spesielt, vil også være viktig støtte i konkrete risikovurderinger senere.

Innhold

    Hvordan organisere arbeidet i Trinn 3

    Alle organisatoriske enheter rundt om i virksomheten, dvs. risikoeierne for operative risikoer og de som er systemeiere for fellessystem, bør gjennomføre en slik vurdering. Det vil ofte være naturlig å velge det samme organisatoriske nivå som man valgte for Trinn 1 og 2. Det kan være behov for støtte fra en prosessleder, spesielt ved første gangs bruk av malen.

    Vurder trusselaktører og trusselnivå

    Identifiser mulige trusselaktører. Malen inneholder en liste man kan ta utgangspunkt i.

    Vurder hvor sterk motivasjon, vilje og kapasitet ulike aktører har til å iverksette handlinger som kan få vesentlige negative konsekvenser for virksomheten, innbyggere eller andre virksomheter, og oppsummer hvilket trusselnivå dere mener hver aktør gir.

    Dersom det er noen trusselaktører som anses å ha et klart motiv, bør dette noteres, gjerne med informasjon om hva aktøren trolig er ute etter og hva målet trolig er. Hva aktøren er ute etter kan være knyttet til personer, oppgaver og tjenester, informasjons­typer, IKT-system og liknende. Målet kan for eksempel være knyttet til trusselaktørens egen vinning eller skade av virksomheten, andre virksomheter eller personer.

    Kunnskapsstyrke

    Avslutt vurderingen av hver aktør med skjønnsmessig å angi kunnskapsstyrke, avhengig av hvor sikker dere er på vurderingen. Kunnskapsstyrken kan for eksempel angis som lav, moderat eller høy.

    Vurder farekilder

    Identifiser mulige farekilder og steder. Malen inneholder en liste man kan ta utgangspunkt i.

    Vurder innledende sannsynlighet og forventet skadenivå for at en spesifikk farekilde skal medføre en uønsket hendelse på et gitt sted. Bruk eget skjønn og velg koder som vist i tabellen til vestre.

    • Med innledende sannsynlighet menes sannsynligheten for at en uønsket hendelse kan skje og gi vesentlig skade.
    • Med forventet skadenivå menes det mest forventede skadenivået dersom den innledende hendelsen skjer og skade oppstår.

    Dersom det finnes spesielle forhold som påvirker sannsynlighet og skadenivå bør det noteres.

    Kunnskapsstyrke

    Avslutt vurderingen av hver farekilde med skjønnsmessig å angi kunnskapsstyrke, som angir hvor sikker dere er på vurderingen. Kunnskapsstyrken kan for eksempel angis som lav, moderat eller høy.

    Vurder sårbarheter

    Vi anbefaler å vurdere sårbarheter i virksomheten ved å ta utgangspunkt i overordnede målsetninger for hvordan man bør jobbe med informasjonssikkerhet på ulike områder. Malen inneholder en liste over områder og overordnede målsetninger som kan være relevante å ta utgangspunkt i. Legg eventuelt til andre relevante områder eller målsetninger ved behov.

    Hvert område har flere målsetninger. Vurderes status på målsetningene innenfor hvert område, og sett sårbarhetsnivået basert på hvor langt unna dere mener dere er fra målet. Dersom dere er langt unna målet, har dere høyt sårbarhetsnivå, og omvendt. Oppsummer ved å anslå et samlet sårbarhetsnivå for området. Bruk eget skjønn og velg nivå ut fra hva dere vet og tror om status under de ulike områdene.

    Eventuelle spesielle forhold dere kjenner til som påvirker deres vurdering av status og sårbarhetsnivå bør noteres.

    Kunnskapsstyrke

    Avslutt vurderingen av hvert område med skjønnsmessig å angi kunnskapsstyrke på områdenivå, avhengig av hvor sikker dere er på vurderingene under det aktuelle området. Kunnskapsstyrken kan for eksempel angis som lav, moderat eller høy.

    Det videre arbeidet med å gruppere og prioritere

    Når en risikoeier har gjennomført alle tre trinnene i foranalysen, kan vedkommende benytte den oversikten man har fått til å dele opp ansvarsområdet sitt på hensiktsmessige måter, og vurdere hvor det er størst behov for å gjennomføre grundigere vurderinger av risiko. Denne oversikten er også et godt grunnlag for det øvrige arbeidet med styring av informasjonssikkerhet.

    Har du kommentarer eller spørsmål? Ta kontakt!