En gjennomgang av grunnleggende begreper innen verdivurdering og ROS for IKT-løsninger Seksjon for Arkitektur og sikkerhet v / Espen Vaager Verdivurdering og ROS hva er det? illustrert med trafikkskilt … og basert på IKT-sine veiledere: %C3%B8ttefunksjoner/IT/Sikkerhet/ Verdi-+og+risikovurderinger

Hva er verdivurdering? Overordnet om verdivurdering og ROS ● En verdivurdering av data inneholder:  Relevante lover og regler for dataene  Mulige sikkerhetsbrudd for dataene  Konsekvenser av sikkerhetsbruddene  Alvorlighetsgrad for konsekvensene  Klassifisering av løsning (kritikalitet) ● Definisjoner: – Nasjonal sikkerhetsmyndighet (NSM): «En analyse som har til hensikt å identifisere hvilke objekter og hvilken type informasjon som er så viktige av hensyn til rikets sikkerhet og vitale nasjonale sikkerhetsinteresser at de må skjermes.» – IKT-avdelingen i Statens vegvesen: «En vurdering som har til hensikt å identifisere verdien av objekter og informasjonssystemer. En verdivurdering kan danne basis for blant annet kravspesifikasjoner i forbindelse med innkjøp, gjennomføring av risikovurderinger eller implementasjon av sikkerhet i IKT-systemer»

Hva er ROS? Overordnet om verdivurdering og ROS ● En ROS-vurdering av en eller flere IKT-løsninger inneholder:  Uønskede hendelser  Årsaker til hendelsene  Sannsynligheten for hendelsene  Konsekvenser av hendelsene  Alvorlighetsgrad for konsekvensene  Tiltak for å:  hindre at hendelsene skjer  gjøre noe med konsekvensene ● Definisjoner: – IKT-avdelingen i Statens vegvesen: «Risiko- og sårbarhetsvurdering er en metodikk for å kunne identifisere de uønskede hendelser hvor det kan være nødvendig å gjennomføre risikoreduserende tiltak.»

Sammenhengen mellom verdivurdering og ROS Overordnet om verdivurdering og ROS ● En verdivurdering inneholder:  Relevante lover og regler for dataene  Mulige sikkerhetsbrudd for dataene  Konsekvenser av sikkerhetsbruddene  Alvorlighetsgrad for konsekvensene  Klassifisering av løsning (kritikalitet) ● En ROS-vurdering inneholder:  Uønskede hendelser  Årsaker til hendelsene  Sannsynligheten for hendelsene  Konsekvenser av hendelsene  Alvorlighetsgrad for konsekvensene  Tiltak  hindre at hendelsene skjer  gjøre noe med konsekvensene

Relevante lover og regler Verdivurdering ● Det finnes mange og de er vanskelig å få oversikt over og forstå. ● Her er noen få eksempler : – Offentleglova – Personopplysningsloven – Forvaltningsloven – eForvaltningsforskriften – Arkivloven – Bokføringsloven – Sikkerhetsloven (ikke relevant i Statens vegvesen sine ordinære IKT-løsninger – vår IKT-infrastruktur støtter ikke de sikkerhetsnivåene) – Beskyttelsesinstruksen – …

Ulike aspekter av sikkerhet: «K», «I», «T» Verdivurdering ● Konfidensialitet: – «At informasjonen ikke er tilgjengelig for uvedkommende» ● Integritet – «At informasjonen ikke kan endres/slettes av uvedkommende og at den har god kvalitet» ● Tilgjengelighet: – «At informasjonen er tilgjengelig for vedkommende når de trenger den»

Sikkerhetsbrudd og konsekvenser Verdivurdering ● Gitt et sikkerhetsbrudd (K, I eller T) for et gitt dataelement, hva er konsekvensene? ● Eksempel fra verdivurdering av CMDB – Dataelement: «Nettverk med printere og lagring» – Type brudd: «Integritet» – Konsekvens: «Kan foreta endringer basert på feil informasjon, som kan føre til en skade. For eksempel å ødelegge tilgjengeligheten til et system eller utilsiktet gi tilgang til konfidensiell informasjon.»

Alvorlighetsgrad for konsekvenser av sikkerhetsbrudd (1:2) Verdivurdering ● Gitt et sikkerhetsbrudd (K, I eller T) for et gitt dataelement og noen konsekvenser, hvor alvorlige er de? ● Statens vegvesen har følgende skala: 1.Normal/åpen 2.Viktig 3.Meget viktig 4.Kritisk

Alvorlighetsgrad for konsekvenser av sikkerhetsbrudd (2:3) Verdivurdering KonfidensialitetIntegritetTilgjengelighet 4. Kritisk Brudd på konfidensialiteten vil få alvorlige konsekvenser for samfunnet/nasjonale interesser Brudd på integriteten vil få alvorlige konsekvenser for samfunnet/nasjonale interesser Brudd på tilgjengeligheten vil få alvorlige konsekvenser for samfunnet/nasjonale interesser 3. Meget viktig Brudd på konfidensialiteten vil få alvorlige konsekvenser for virksomhetens interesser Brudd på integriteten vil få alvorlige konsekvenser for virksomhetens interesser Brudd på tilgjengeligheten vil få alvorlige konsekvenser for virksomhetens interesser 2. Viktig Brudd på konfidensialiteten vil få alvorlige konsekvenser for fagområdets interesser Brudd på integriteten vil få alvorlige konsekvenser for fagområdets interesser Brudd på tilgjengeligheten vil få alvorlige konsekvenser for fagområdets interesser 1. Normal/åpen Brudd på konfidensialiteten vil få kun mindre konsekvenser Brudd på integriteten vil få kun mindre konsekvenser Brudd på tilgjengeligheten vil få kun mindre konsekvenser

Alvorlighetsgrad for konsekvenser av sikkerhetsbrudd (3:3) Verdivurdering ● Eksempel fra verdivurdering av CMDB – Dataelement: «Nettverk med printere og lagring» – Type brudd: «Integritet» – Konsekvens: «Kan foreta endringer basert på feil informasjon, … » – Alvorlighetsgrad: «2: Viktig»

Prioritet eller kritikalitet for IKT-løsninger Verdivurdering ● Prioritet / kritikalitet I Statens vegvesen sin veileder for verdivurdering finnes det en samlet vurdering av en IKT-løsning for dens prioritet eller kritikalitet. ● Skalaen er som følger: A.Samfunnskritisk B.Virksomhetskritisk C.Viktig D.Normal

Organisering: premisser Verdivurdering ● Hva må være kjent: – Hvilke data som skal verdivurderes – Hvilke prosesser dataene brukes i internt og eksternt ● Trenger ikke å vite noe om IKT- løsningene der dataene lagres eller IKT-løsningene der de brukes. ● Vurderingene skal ikke påvirkes av: – tilstanden til IKT-løsninger eller IKT-infrastruktur – konsekvenser av tiltak for å oppnå tilstrekkelig sikkerhet, f.eks. økonomi eller begrensninger i IKT-løsninger

Organisering: deltagere Verdivurdering ● Fasilitator en som bidrar med gjennomføringen og stiller de relevante spørsmålene ● Prosesseierne til de prosessene som produserer eller bruker dataene, typisk representert ved prosessansvarlige og noen fra deres team -> de er premissgiverne! ● Ellers kan følgende være med: – Systemeier og systemforvalter for å bidra med kjennskap til hvilke data det er snakk om samt for å lære – Virksomhetsarkitekt for å bidra med kjennskap til de aktuelle data og prosesser samt for å lære

Hendelser og årsaker ROS ● Hendelse – En uønsket hendelse er et scenario man ønsker vurdert i en ROS-vurdering ● Årsak – Det er flere underliggende årsaker som kan medføre samme uønskede hendelse. ● Eksempel fra ROS av ADDM og CMDB – Hendelse med årsak «Konfidensialitetsbrudd eller tilgjengelighetsbrudd i annen IKT- løsning på grunn av feil eller mangler i CDMB som skyldes brukerfeil»

Sannsynlighet og gradering av sannsynlighet ROS ● Sannsynlighet – Sannsynlighet for at en hendelse skjer – samlet sannsynlighet for at en av årsakene skjer ● I Statens vegvesen er skalaen for sannsynlighet: 1.Lite sannsynlig – sjeldnerer enn en gang pr. 10 år 2.Mindre sannsynlig – 1 gang pr. 10 år eller oftere 3.Sannsynlig - 1gang pr. 5 år eller oftere 4.Meget sannsynlig - 1 gang per år eller oftere 5.Svært sannsynlig - 10 ganger pr. år eller oftere

Konsekvenser og alvorlighetsgrad ROS ● Konsekvenser – Konsekvens benyttes som en beskrivelse av hva en hendelse kan resultere i ● Alvorlighetsgrad – Gradering for å måle alvorligheten av konsekvensene til en hendelse ● Statens vegvesen sin skala for alvorlighetsgrad: 1.Ubetydelig skade 2.Liten skade 3.Betydelig skade 4.Svært alvorlig skade 5.Katastrofalt utfall ● Personlig erfaring: – Statens vegvesen sin matrise med ulike dimensjoner av alvorlighet (se neste side) er vanskelig å bruke - lettere å forholde seg til alvorlighetsgradene i verdivurderingen

Ulike dimensjoner av alvorlighetsgrad for konsekvenser ROS

Risiko, risikoaksept og risikomatrise ROS ● Risiko – er kombinasjonen av sannsynlighet for uønskede hendelser og alvorlighetsgraden av konsekvensene – regner på risiko knyttet til en hendelse: risiko = sannsynlighet * konsekvens ● Risikoaksept – Den risiko en virksomhet er villig til å leve med. ● Risikomatrise – Visuell framstilling av risiko knyttet til hendelser. – Visuell framstilling av risikoaksept

Tiltak ROS ● Forebyggende tiltak – hindre at hendelsene skjer – eksempel: hendelse: «integritetsbrudd på grunn av mangel på oppdatering av data» tiltak «fylle inn egne attributter for datakvalitet, f.eks sist kvalitetssikret dato og av hvem» ● Kompenserende tiltak – gjøre noe med konsekvensene

Organisering: premisser ROS ● Hva må være kjent: – Verdivurdering – IKT-løsningen(e) – IKT-infrastrukturen – Eventuell tidligere ROS-vurdering – Eventuell hendelseshistorikk ● ROS-vurderinger skal legges inn i VegCIM – Etatens beredskaps- og krisestøtteverktøy – Verktøyet har en ROS-modul og kan generere rapporter fra ROS-vurderinger

Organisering: deltagere ROS ● Fasilitator en som bidrar med gjennomføringen og stiller de relevante spørsmålene ● Prosesseierne til de prosessene som produserer eller bruker dataene samt bruker de aktuelle IKT-løsninger, typisk representert ved prosessansvarlige og noen fra deres team ● Systemeier og systemforvalter for å bidra med kjennskap til hvilke data det er snakk om og egenskaper ved IKT-løsningen(e) og dens IKT-infrastruktur ● Eventuelt ekstra IKT-kompetanse – Løsningsarkitekt (løsningsdesigner) – Infrastrukturarkitekt – Driftsressurs – BSS-ressurs – Superbruker

Forvaltning og ROS-arbeid ROS ● Forvaltningsarbeid og ROS-arbeid må samkjøres. ● Identifiserte tiltak må gjennomføres dersom ROS-vurderinger skal ha en verdi. ● Hendelser må rapporteres og dokumenteres ● ROS-vurderinger må gjentas med jevne mellomrom. ● ROS-arbeid er en viktig del av god forvaltning av IKT-løsninger!

Oppsummering verdivurdering CMDB Verdivurderingseksempel DataelementerVerdivurdering Nettverk med printere og lagringK: 3 (Konfidensialitet: Meget viktig) I: 2 (Integritet: Viktig) T: 2 (Tilgjengelighet: Viktig) Servere med operativsystemK: 3 (Konfidensialitet: Meget viktig) I: 2 (Integritet: Viktig) T: 2 (Tilgjengelighet: Viktig) Programvare K: 2 (Konfidensialitet: Viktig) I: 3 (Integritet: Meget viktig) T: 2 (Tilgjengelighet: Viktig) IKT-løsningK:2 (Konfidensialitet: Viktig) I: 3 (Integritet: Meget viktig) T: 2 (Tilgjengelighet: Viktig) Plassering av programvare på servere, inkludert informasjon om både server og programvare K: 3 (Konfidensialitet: Meget viktig) I: 3 (Integritet: Meget viktig) T: 2 (Tilgjengelighet: Viktig) Avhengighet mellom programvare K: 3 (Konfidensialitet: Meget viktig) I: 3 (Integritet: Meget viktig) T: 2 (Tilgjengelighet: Viktig) Avhengighetsforhold mellom IKT-løsning og programvare K: 2 (Konfidensialitet: Viktig) I: 3 (Integritet: Meget viktig) T: 2 (Tilgjengelighet: Viktig)

Vurdering av hendelse – generert fra VegCIM (1:2) ROS-vurderingseksempel

Vurdering av hendelse – generert fra VegCIM (2:2) ROS-vurderingseksempel

Installasjonsdiagrammer Oppgave verdivurdering ● Konfidensialitetsbrudd, konsekvenser og alvorlighetsgrad ● Integritetsbrudd, konsekvenser og alvorlighetsgrad ● Tilgjengelighetsbrudd, konsekvenser og alvorlighetsgrad

Installasjonsdiagrammer i Enterprise Architect ++ Oppgave ROS-vurdering ● Hendelser og årsaker ● Sannsynlighet ● Konsekvenser ● Tiltak