Att göra riskbedömningar kring it-system

Skrivet av Guest User

Grunden för ett säkert it-system är att systemet och informationstillgångarna är skyddade med ändamålsenliga säkerhetsåtgärder.

För att uppnå ett sådant skydd måste man först göra en bedömning av de risker informationen kan vara utsatt för. Man måste identifiera, analysera och värdera riskerna.

En riskbedömning är ett systematiskt tillvägagångssätt för att identifiera hot som sedan graderas utifrån sannolikheten att de ska inträffa och vilka konsekvenserna blir om de inträffar.

Syftet med riskbedömningarna är att undersöka vilka säkerhetsåtgärder som behöver införas.

En organisations hotbild utgörs till stora delar av samhällets generella hotbild och de hot som är gemensamma i den bransch som organisationen tillhör. Man måste också identifiera hot som är unika för den egna organisationen. Underlag för riskbedömningen kommer bland annat från omvärldsbevakningen.

Riskbedömningen ska göras för enskilda informationssystem och även den totala informationsmiljön i sin helhet, som även kan omfatta till exempel utvecklingsmiljö, testmiljö och utbildningsmiljö.

Åtgärder

Det som framkommer i riskbedömningen måste dokumenteras i form av en lista över identifierade risker med tillhörande riskbedömning. Säkerhetsåtgärderna bör införas enligt en arbetsplan som beskriver bland annat vem som ska utföra respektive säkerhetsåtgärder, när den senast ska vara införd och hur kontroll av de införda åtgärderna ska ske.

Ansvaret för riskbedömningen ligger i första hand hos den som är ansvarig för respektive informationsområde, det vill säga informationsägaren. Systemägaren som är huvudansvarig för informationssystemen ska se till att de identifierade riskerna åtgärdas genom att införa lämpliga säkerhetsåtgärder.

Systemägarens utgångspunkt är behovet av säkerhetsskydd utifrån informationsägarens informationsklassning och riskbedömning. Systemägaren måste också beakta hur och till vad respektive

informationssystem används. Vidare vilka hårdvaror och mjukvaror som ingår i systemen. Denne måste också beakta vilka regler och stöd som finns för säker drift och förvaltning, vilka beroenden som finns av leverantörer och tjänster och vilka resurser organisationen har till exempel i form av tillgång till personal med rätt kompetens.

Dialog

Säkerhetsåtgärder som måste införas tas fram i dialog mellan informationsägare och systemägare.

Val och utformning av säkerhetsåtgärder behöver baseras på den informationsklassning och riskbedömning som informationsägaren gjort utifrån sin verksamhet, men också av de riskbedömningar systemägaren gjort utifrån sin kunskap om it-miljön i sin helhet.

Sannolikhet och konsekvens

Riskbedömning handlar ju om att identifiera hot som sedan graderas utifrån sannolikheten att de ska inträffa och vilka konsekvenserna blir om de inträffar.

Sannolikhet handlar om hur troligt eller hur ofta en incident kan tänkas inträffa. Eftersom vi inte kan ha någon exakt information om sannolikheten, måste vi utgå från antaganden baserade på bästa möjliga kunskap och erfarenhet från andra. Vad säger statistiken till exempel och vad säger omvärldsanalysen om vad som händer och sker kring nya eller förändrade hot och risker och deras sannolikheter.

Sannolikhetsnivåer kan graderas i hur troligt eller ofta en incident kan komma att ske, exempelvis:

  • Mycket sällan

  • Sällan

  • Regelbundet

  • Ofta

Konsekvens är den skada ett hot skulle kunna ha på verksamheten om det inträffar. Konsekvenserna kan till exempel vara ekonomiska förluster i verksamheten och kostnader för återställning av det skadade systemet. Skadat förtroende för organisationen kan vara kostsamt i längden bland annat genom att man kan förlora affärsmöjligheter. Skadad goodwill kan vara ödesdigert för ett företag eller en organisation. 

Konsekvensnivåer kan graderas i vilken skada en incident skulle kunna orsaka, exempelvis:

  • Försumbar

  • Måttlig

  • Allvarlig

  • Katastrofal

I en riskbedömning kan man för varje information i systemet, definiera vilken sannolikhetsnivå och konsekvensnivå risken för den bedömda informationen beräknas ha. Varje bedömd risk tilldelas alltså en sannolikhet och en konsekvens.

Utifrån denna klassning kan man sedan göra prioriteringar för införande av säkerhetsåtgärder. En risk med hög sannolikhet att inträffa och stor konsekvens måste åtgärdas så snabbt som möjligt. En risk som väntas uppstå mycket sällan och med försumbara konsekvenser behöver man kanske inte åtgärda alls. Det är viktigt att resurserna fördelas på ett effektivt sätt när man gör ett åtgärdsförslag.

Guest User
Föregående

Högsta förvaltningsdomstolen klargör att IMY-beslut om att inte vidta åtgärder efter klagomål kan överklagas
Nästa

Omvärldsanalys viktigt för it-säkerheten