7.1 Grunnsikring av IT-systemer
Til grunn for sikring av alle IT-systemer i bruk ved UiO ligger grunnsikringen, som s?rger for at alle systemer har en minimumsniv? av felles teknisk sikring. Grunnsikringen bygger p? beste praksis fra leverand?rene, der slike finnes, kombinert med god driftsskikk, og sikring basert p? erfaring og tilpasninger til det til enhver tid gjeldende trusselbilde.
I tillegg til grunnsikring kommer krav gitt av lov, forskrift og andre f?ringer gitt av overordnede myndigheter og organer. Dette kan v?re s?rkrav knyttet til behandling av personopplysninger, ?konomiske data eller andre krav som ikke dekkes direkte av tekniske sikringskrav. Grunnsikringen er beskrevet i kapittel 8.
Eventuell ekstra sikring utover grunnsikringen skal v?re basert p? en risikovurdering.
7.2 Risikovurdering
En risikovurdering er en systematisk gjennomgang av hendelser som kan tenkes ? inntreffe og som kan p?virke et systems evne til ? ivareta konfidensialltet, integritet og tilgjengelighet. Risikovurderinger gir grunnlag for ? prioritere og iverksette tiltak for ? holde risikoniv?et for et system eller en tjeneste p? akseptabelt niv?.
Universitetet er p?lagt ? gjennomf?re risikovurdering av alle viktige systemer minst annenhvert ?r hjemlet i Lov om personopplysninger med forskrifter, e-forvaltningsloven med mer.
7.3 Sannsynlighet og konsekvens.
Risikoelementene vurderes langs to akser, – sannsynlighet og konsekvens.
Sannsynlighet skal si noe om hvor sannsynlig det er at risikoelementet inntreffer. Konsekvens skal si noe om konsekvensen hvis det inntreffer.
I v?re analyser benytter vi en skala fra 1-4:
| Sannsynlighet | |||
|---|---|---|---|
| 1 - Lav | 2 - Moderat | 3 - H?y | 4 - Sv?rt h?y |
| En gang pr. 10 ?r eller sjeldnere | En gang pr. ?r eller sjeldnere | En gang pr. m?ned eller sjeldnere | Skjer ukentlig |
| Konsekvens | |||
|---|---|---|---|
| 1 - Lav | 2 - Moderat | 3 - H?y | 4 - Sv?rt h?y |
| Liten eller ubetydelig konsekvens. Ubetydelig ?konomisk tap, minimal ulempe for de ber?rte. | Noe ?konomisk tap, tap av informasjon eller omd?mme. Vil medf?re kostnader eller merarbeid. Noe tap av persondata. | Alvorlig hendelse. Omd?mmetap, tap av st?rre menger persondata eller tap av sensitive persondata. Betydelige ?konomiske konsekvenser. | Sv?rt alvorlig. Store ?konomiske tap. Tap av store mengder sensitive personopplysninger. Tap av stor ?konomisk verdi eller ?deleggelse av uerstattelige data. |
7.4 Risikoaksept
Hva som er akseptabelt niv? av risiko kan variere fra system til system. Noen risikoer ansees som uakseptable, f. eks. tap av liv eller store materielle eller ?konomiske tap. Andre kan vurderes ut fra en kost/nytte-vurdering. Hvor mye vil det koste ? unng? risikoen opp mot hva det vil koste ? sikre seg mot den?
For UiO f?lger fastsettelse av akseptkriterier den vanlige linja. Eier og ansvarlig for et system skal ogs? fastsette akseptabel risiko for et system. Disse m? v?re innenfor det som er fastsatt av grunnsikring, felles reglement og andre styrende dokumenter.
7.5 Gjennomf?ring
ROS-analyser kan v?re forholdsvis enkle, men ogs? veldig omfattende. De som kjenner systemet best, er best egnet til ? vurdere hvor omfattende analysen skal v?re, basert p? f. eks. omfang, st?rrelse og bruksm?nster.
En mindre risikovurdering kan gj?res av en eller to personer p? en halv time.
En st?rre risikovurdering utf?res normalt som en et arbeidsm?te p? 1-3 timer der en samler et utvalg personer som kan belyse de viktigste sidene av et system og bruken av dette.
Under finner du forslag til egnede maler du kan ta utgangspunkt i.
Mange av risikoanalysene krever ikke tung IT-kompetanse. Ofte er mange risikoelementer mer basert p? bruken av systemet enn p? teknikk. Dersom det trengs, kan USIT bist? i ? tilrettelegge og gjennomf?re st?rre risikovurderinger.
7.6 M?let med vurderingen: tiltaksplan
Etter gjennomf?rt risikovurdering skal systemeier s?rge for at det blir utarbeidet en tiltaksplan for alle risikoelementer som faller utenfor akseptabelt niv?.
En tiltaksplan kan inneholde tiltak som ligger utenfor systemeiers ansvarsomr?de. Systemeier er da ansvarlig for ? overf?re disse tiltakene til rett ansvarlig.
Tiltaksplanen skal inneholde:
- Hva som skal gjennomf?res
- Hvem som er ansvarlig for at det gjennomf?res
- N?r tiltaket skal v?re gjennomf?rt
Systemeier er ansvarlig for at tiltaksplanen gjennomf?res.
Tiltaksplaner og risikovurderinger som inneholder beskrivelser av s?rbarheter som kan lette angrep skal behandles som konfidensielle dokumenter og skjermes for innsyn.
IT-direkt?ren har ansvar for ? kontrollere og f?lge opp at risikovurderinger gjennomf?res og at tiltaksplaner f?lges opp. Dette er en del av internkontrollen.
7.7 Arkivering
Gjennomf?rt risikovurdering og godkjent tiltaksplan skal arkiveres i UiOs arkiv.
7.8 Maler
Hvilken mal skal man velge?
Her finner du to maler. Den ene er til mindre systemer og enklere skytjenester. Den andre er til st?rre og mer komplekse IT-systemer som kj?rer lokalt p? UiO. Begge malene m? tilpasses det systemet du skal vurdere. Du m? selv legge til og fjerne riskoelementer.
Mal for st?rre, lokale systemer.
Mal for mindre, f. eks. eksterne systemer.
7.9 Lenker
Mal for risikovurdering av st?rre, lokale systemer
Mal for risikovurdering av skytjenester
Sjekkliste for vurdering av skytjenester
UNINETT sine dokumenter om risikovurderinger av administrative IT-systemer