Kapittel 7: Risiko- og s?rbarhetsanalyser

Til grunn for IT-sikkerhetsarbeidet skal det ligge en vurdering av trusselbildet for UiO og hvilke sikkerhetstiltak dette krever. For viktige systemer og tjenester skal en spesifikk risikovurdering legges til grunn for sikringstiltak utover grunnsikringen.

7.1 Grunnsikring av IT-systemer

Til grunn for sikring av alle IT-systemer i bruk ved UiO ligger grunnsikringen, som s?rger for at alle systemer har en minimumsniv? av felles teknisk sikring. Grunnsikringen bygger p? beste praksis fra leverand?rene, der slike finnes, kombinert med god driftsskikk, og sikring basert p? erfaring og tilpasninger til det til enhver tid gjeldende trusselbilde.

I tillegg til grunnsikring kommer krav gitt av lov, forskrift og andre f?ringer gitt av overordnede myndigheter og organer. Dette kan v?re s?rkrav knyttet til behandling av personopplysninger, ?konomiske data eller andre krav som ikke dekkes direkte av tekniske sikringskrav. Grunnsikringen er beskrevet i kapittel 8.

Eventuell ekstra sikring utover grunnsikringen skal v?re basert p? en risikovurdering. 

7.2 Risikovurdering

En risikovurdering er en systematisk gjennomgang av hendelser som kan tenkes ? inntreffe og som kan p?virke et systems evne til ? ivareta konfidensialltet, integritet og tilgjengelighet. Risikovurderinger gir grunnlag for ? prioritere og iverksette tiltak for ? holde risikoniv?et for et system eller en tjeneste p? akseptabelt niv?. 

Universitetet er p?lagt ? gjennomf?re risikovurdering av alle viktige systemer minst annenhvert ?r hjemlet i Lov om personopplysninger med forskrifter, e-forvaltningsloven med mer.

7.3 Sannsynlighet og konsekvens.

Risikoelementene vurderes langs to akser, – sannsynlighet og konsekvens.

Sannsynlighet skal si noe om hvor sannsynlig det er at risikoelementet inntreffer. Konsekvens skal si noe om konsekvensen hvis det inntreffer.

I v?re analyser benytter vi en skala fra 1-4:

Sannsynlighet
1 - Lav 2 - Moderat 3 - H?y 4 - Sv?rt h?y
En gang pr. 10 ?r eller sjeldnere En gang pr. ?r eller sjeldnere En gang pr. m?ned eller sjeldnere Skjer ukentlig

 

Konsekvens
1 - Lav 2 - Moderat 3 - H?y 4 - Sv?rt h?y
Liten eller ubetydelig konsekvens. Ubetydelig ?konomisk tap, minimal ulempe for de ber?rte. Noe ?konomisk tap, tap av informasjon eller omd?mme. Vil medf?re kostnader eller merarbeid. Noe tap av persondata. Alvorlig hendelse. Omd?mmetap, tap av st?rre menger persondata eller tap av sensitive persondata. Betydelige ?konomiske konsekvenser. Sv?rt alvorlig. Store ?konomiske tap. Tap av store mengder sensitive personopplysninger. Tap av stor ?konomisk verdi eller ?deleggelse av uerstattelige data.


 

Risikomatrise

 

 

 

7.4 Risikoaksept