Gjennomføre risikovurdering - skytjeneste
Se hvordan du gjør en foranalyse, identifiserer, analyserer og håndterer risikoer. Les hvorfor det er viktig å vurdere sikkerhet.
Digitaliseringsdirektoratet (Digdir) tilbyr veiledning om hvordan man etablerer en risikovurdering som en del av virksomhetens systematiske arbeid med informasjonssikkerhet. Digidirs veiledning er derfor mer generell og overordnet.
Veiledningen på Markedsplassen bygger på Digdirs veiledning og malverk, men det er gjort forenklinger og tilpasninger for å gjøre veiledningen mer egnet til å vurdere risiko som grunnlag for å stille krav i forbindelse med en enkelt skyanskaffelse.
Resultatet av risikovurderingen kan legge begrensninger på hva slags skytjenester det er mulig å anskaffe uten å komme i konflikt med kravene til personvern og informasjonssikkerhet. Det er derfor viktig å gjøre risikovurderingen tidlig i prosessen slik resultatet tas hensyn til i anskaffelsesstrategien.
Fremgangsmåte
Ved gjennomføring av risikovurderinger i forbindelse med anskaffelser anbefaler vi framgangsmåten vist i figuren nedenfor. Først gjøres en «foranalyse» for å få oversikt over verdier, trusler og sårbarheter. Denne innsikten kan utnyttes til å identifisere relevante risikoer. Deretter estimeres størrelsen på konsekvens og sannsynlighet, for å sette et risikonivå. Vurderinger av konsekvens og sannsynlighet kan baseres på informasjon om verdier, trusler og sårbarheter. Til slutt håndteres risiko ved å evaluere om risikoene er akseptable, eller om det er behov for tiltak (f.eks. stille ytterligere krav til tjenesten eller leverandøren). Avhengig av situasjonen kan det være hensiktsmessig å implementere tiltak, selv om risikoene er akseptable uten tiltak.).
Foranalyse
I foranalysen skal man i hovedsak gjøre tre ting: vurdere verdier, vurdere trusler og vurdere sårbarheter. Vi har laget en mal for utarbeidelse av foranalyse. Nedenfor følger en kort beskrivelse av disse aktivitetene. Mal foranalyse
Digdir har veiledning for hvordan gjennomføre foranalyse. Når Digdir snakker om foranalyse så er dette ment som en overordnet aktivitet for å skape oversikt over oppgaver, tjenester og informasjonsbehandling - slik at man kan prioritere hvor det trengs grundigere vurdering og håndtering av risiko. Dersom man har etablert dette som en aktivitet i egen virksomhet og den gir tilstrekkelig oversikt over tjenesten som skal anskaffes, er det ikke nødvendig å gjøre en ny foranalyse, men hente ut den relevante informasjonen til bruk i risikovurderingen.
Foranalysen på Markedsplassen tar utgangspunkt i Digdirs veiledning, men er tilpasset slik at den egner seg til å gjøre en konkret risikovurdering for sky. I tillegg er malene til Digdir forenklet og justert for å lettere kunne vurdere risiko ved en anskaffelse.
Verdivurdering
I verdivurderingen skal virksomheten:
- kartlegge hvilke informasjonsverdier som behandles av tjenesten som skal anskaffes.
- vurdere hvilken konsekvens tap av konfidensialitet, integritet og tilgjengelighet har for virksomheten . Dette gjøres ut i fra en konsekvenstabell. Her er et eksempel på en konsekvenstabell. Virksomheten kan bruke malen for foranalyse til å gjennomføre verdivurderingen.
Tap av konfidensialitet, integritet og tilgjengelighet kan ha flere ulike konsekvenser. Virksomheten må derfor:
- vurdere konsekvens innenfor ulike kategorier (f.eks. økonomiske tap og omdømmetap).
- velge om den synliggjør den mest trolige konsekvensen, den potensielt verste konsekvens, eller en kombinasjon av disse.
Når virksomheten skal vurdere nivået, skal den ikke vurdere det ut ifra tjenesten som skal anskaffes. Innta heller et fugleperspektiv for å vurdere konsekvensene for virksomheten . Still spørsmålet: På hvilket nivå vil brudd på informasjonssikkerhet påvirke virksomheten ?
Trusselvurdering
I trusselvurderingen skal virksomheten:
- identifisere relevante trusselaktører og farer. Når virksomheten anskaffer en skytjeneste er det viktig å tenke på de ansatte hos skyleverandører som en potensiell trusselaktør blant andre. Denne trusselaktøren kan forårsake både utilsiktede og tilsiktede uønskede hendelser.
- avgjøre trusselnivået som hver trussel utgjør ved å:
- vurdere ulike parametere som f.eks. kapasitet, vilje, historikk, utbredelse osv. Malen for utarbeidelse av foranalyse tar utgangspunkt i parametere som er definert av Digdir, men det finnes en rekke standarder og rammeverk (f.eks. ISO/IEC 27005 eller lignende) som forteller hvordan vurdere trusselnivå.
Sårbarhetsvurdering
I foranalysen skal virksomheten også kartlegge sårbarheter. Ved en anskaffelse er det vanlig å risikovurdere et tenkt fremtidig informasjonssystem eller arbeidsprosess. Ettersom man ikke har noe konkret å forholde seg til kan det være utfordrende å gjøre en sårbarhetsvurdering. Det kan være vanskeligere å identifisere potensielle sårbarheter, enn faktiske sårbarheter som finnes.
Det er viktig å tenke bredt på sårbarheter ettersom de kan finnes i tjenesten, hos kunden eller hos leverandøren blant andre. Sårbarheter kan også være menneskelige, organisatoriske eller tekniske.
Sårbarheter kan kartlegges på mange måter, f. eks. ved idédugnad, sjekklister, eller ved systematisk gjennomgang av et rammeverk/standard med informasjonssikkerhetskontroller. Identifiserte sårbarheter kan rangeres ved å spesifisere hvor alvorlige de er. Skyleverandører publiserer også informasjon om sine prosesser og rutiner for hvordan de oppdager og håndterer sårbarheter i sine systemer. Innhenting og evaluering av denne informasjonen er viktig i foranalysen.
Identifisere risikoer
For å identifisere risikoer kan virksomheten:
- utnytte innsikt fra foranalysen
- gjennomføre en idédugnad om hva som kan skje av uønskede hendelser
- bruke risikobanken som utgangspunkt. Risikobanken er blant annet en oversikt over typiske risikoer å tenke på ved anskaffelse av skytjenester. Last ned risikobanken
- ta hensyn til ulike leveransemodeller (public cloud, private cloud, community cloud eller hybrid cloud) og tjenestemodeller (Saas, PaaS eller IaaS)
Deretter er det viktig at risikoene beskrives på en god måte. Beskriv risiko enkelt og tydelig slik at personer med ulik bakgrunn forstår risikoen. Vi har laget en mal for dokumentering av risikovurderingen:
Dersom tjenesten du skal anskaffe krever behandling av personopplysninger, så må man ta hensyn til kravene til personopplysningssikkerhet i den aktuelle behandlingen. Dersom det er sannsynlig at behandlingen av personopplysninger vil medføre høy risiko for fysiske personers rettigheter og friheter, bør det i tillegg gjennomføres en vurdering av personvernkonsekvenser (DPIA). Datatilsynet forklarer dette i detalj på sine nettsider.
Les mer om hvordan du kan identifisere risikoer i Veiledningen til Digdir.
Analysere risiko
Etter at relevante risikoer er identifisert, er det klart for å analysere dem. Da kartlegger du konsekvenser (alvorlighet) dersom risikoer oppstår, og sannsynlighet for at de oppstår.
Virksomheten kan vurdere konsekvens ved å:
- se på hvilke informasjonsverdier risikoen omhandler
- bruke konsekvensvurderinger fra foranalysen
- se blant annet på hvilke informasjonsverdier fra foranalysen som påvirkes av risikoen
Sannsynlighet kan vurderes ved å se på trusselbildet og sårbarhetsnivået.
Last ned eksempler på skalaer og nivåer for vurdering av sannsynlighet og konsekvens. Disse må tilpasses den enkelte virksomhet. Vi har laget en mal for dokumentering av risikovurderingen.
Les mer om hvordan virksomheten kan analysere risiko i Veiledningen til Digdir.
Håndtere risiko
Avslutningsvis må risiko håndteres. Da evaluerer virksomheten om risikoene kan aksepteres som de er, eller om man må iverksette tiltak for å redusere risikonivået til et akseptabelt nivå. Ved anskaffelse av skytjenester vil det å stille sikkerhetskrav være en viktig måte å håndtere risiko på.
Sikkerhetskravene formuleres og følges opp gjennom anskaffelsesprosessen på samme måte som andre typer krav.
Virksomheten kan bruke risikobanken som utgangspunkt når den skal håndtere risiko. Risikobanken inneholder krav til sikkerhet for å håndtere typiske risikoer ved anskaffelse av skytjenester. Last ned risikobanken:
Det er fire måter å håndtere risiko på:
- unngå
- dele
- redusere
- akseptere
Man vil aldri kunne fjerne all risiko. Risikohåndtering handler om å fjerne risiko det er hensiktsmessig eller mulig å fjerne (basert på vurdering av sannsynlighet, konsekvens og kostnad), og så vurdere om den restrisikoen som gjenstår kan aksepteres og håndteres.
Ved å utarbeide akseptansekriterier for risikoer kan du forenkle og systematisere risikohåndtering. Last ned et eksempel på akseptansekriterier:
Les mer om hvordan du kan håndtere risiko i Veiledningen til Digdir.