7.1 Grunnsikring av IT-systemer
Til grunn for sikring av alle IT-systemer i bruk ved UiO ligger grunnsikringen, som sørger for at alle systemer har en minimumsnivå av felles teknisk sikring. Grunnsikringen bygger på beste praksis fra leverandørene, der slike finnes, kombinert med god driftsskikk, og sikring basert på erfaring og tilpasninger til det til enhver tid gjeldende trusselbilde.
I tillegg til grunnsikring kommer krav gitt av lov, forskrift og andre føringer gitt av overordnede myndigheter og organer. Dette kan være særkrav knyttet til behandling av personopplysninger, økonomiske data eller andre krav som ikke dekkes direkte av tekniske sikringskrav. Grunnsikringen er beskrevet i kapittel 8.
Eventuell ekstra sikring utover grunnsikringen skal være basert på en risikovurdering.
7.2 Risikovurdering
En risikovurdering er en systematisk gjennomgang av hendelser som kan tenkes å inntreffe og som kan påvirke et systems evne til å ivareta konfidensialltet, integritet og tilgjengelighet. Risikovurderinger gir grunnlag for å prioritere og iverksette tiltak for å holde risikonivået for et system eller en tjeneste på akseptabelt nivå.
Universitetet er pålagt å gjennomføre risikovurdering av alle viktige systemer minst annenhvert år hjemlet i Lov om personopplysninger med forskrifter, e-forvaltningsloven med mer.
7.3 Sannsynlighet og konsekvens.
Risikoelementene vurderes langs to akser, – sannsynlighet og konsekvens.
Sannsynlighet skal si noe om hvor sannsynlig det er at risikoelementet inntreffer. Konsekvens skal si noe om konsekvensen hvis det inntreffer.
I våre analyser benytter vi en skala fra 1-4:
| Sannsynlighet | |||
|---|---|---|---|
| 1 - Lav | 2 - Moderat | 3 - Høy | 4 - Svært høy |
| En gang pr. 10 år eller sjeldnere | En gang pr. år eller sjeldnere | En gang pr. måned eller sjeldnere | Skjer ukentlig |
| Konsekvens | |||
|---|---|---|---|
| 1 - Lav | 2 - Moderat | 3 - Høy | 4 - Svært høy |
| Liten eller ubetydelig konsekvens. Ubetydelig økonomisk tap, minimal ulempe for de berørte. | Noe økonomisk tap, tap av informasjon eller omdømme. Vil medføre kostnader eller merarbeid. Noe tap av persondata. | Alvorlig hendelse. Omdømmetap, tap av større menger persondata eller tap av sensitive persondata. Betydelige økonomiske konsekvenser. | Svært alvorlig. Store økonomiske tap. Tap av store mengder sensitive personopplysninger. Tap av stor økonomisk verdi eller ødeleggelse av uerstattelige data. |
7.4 Risikoaksept
Hva som er akseptabelt nivå av risiko kan variere fra system til system. Noen risikoer ansees som uakseptable, f. eks. tap av liv eller store materielle eller økonomiske tap. Andre kan vurderes ut fra en kost/nytte-vurdering. Hvor mye vil det koste å unngå risikoen opp mot hva det vil koste å sikre seg mot den?
For UiO følger fastsettelse av akseptkriterier den vanlige linja. Eier og ansvarlig for et system skal også fastsette akseptabel risiko for et system. Disse må være innenfor det som er fastsatt av grunnsikring, felles reglement og andre styrende dokumenter.
7.5&²Ô²ú²õ±è;³ÒÂá±ð²Ô²Ô´Ç³¾´Úø°ù¾±²Ô²µ
ROS-analyser kan være forholdsvis enkle, men også veldig omfattende. De som kjenner systemet best, er best egnet til å vurdere hvor omfattende analysen skal være, basert på f. eks. omfang, størrelse og bruksmønster.
En mindre risikovurdering kan gjøres av en eller to personer på en halv time.
En større risikovurdering utføres normalt som en et arbeidsmøte på 1-3 timer der en samler et utvalg personer som kan belyse de viktigste sidene av et system og bruken av dette.
Under finner du forslag til egnede maler du kan ta utgangspunkt i.
Mange av risikoanalysene krever ikke tung IT-kompetanse. Ofte er mange risikoelementer mer basert på bruken av systemet enn på teknikk. Dersom det trengs, kan IT-avdelingen bistå i å tilrettelegge og gjennomføre større risikovurderinger.
7.6 MÃ¥let med vurderingen: tiltaksplan
Etter gjennomført risikovurdering skal systemeier sørge for at det blir utarbeidet en tiltaksplan for alle risikoelementer som faller utenfor akseptabelt nivå.
En tiltaksplan kan inneholde tiltak som ligger utenfor systemeiers ansvarsområde. Systemeier er da ansvarlig for å overføre disse tiltakene til rett ansvarlig.
Tiltaksplanen skal inneholde:
- Hva som skal gjennomføres
- Hvem som er ansvarlig for at det gjennomføres
- Når tiltaket skal være gjennomført
Systemeier er ansvarlig for at tiltaksplanen gjennomføres.
Tiltaksplaner og risikovurderinger som inneholder beskrivelser av sårbarheter som kan lette angrep skal behandles som konfidensielle dokumenter og skjermes for innsyn.
IT-direktøren har ansvar for å kontrollere og følge opp at risikovurderinger gjennomføres og at tiltaksplaner følges opp. Dette er en del av internkontrollen.
7.7 Arkivering
Gjennomført risikovurdering og godkjent tiltaksplan skal arkiveres i UiOs arkiv.
7.8 Maler
Hvilken mal skal man velge?
Her finner du to maler. Den ene er til mindre systemer og enklere skytjenester. Den andre er til større og mer komplekse IT-systemer som kjører lokalt på UiO. Begge malene må tilpasses det systemet du skal vurdere. Du må selv legge til og fjerne riskoelementer.
Mal for større, lokale systemer.
Mal for mindre, f. eks. eksterne systemer.