Skyreisen

Anskaffe skytjenester

Gjennomføre risikovurdering - skytjeneste

Se hvordan du gjør en foranalyse, identifiserer, analyserer og håndterer risikoer. Les hvorfor det er viktig å vurdere sikkerhet.

Digitaliseringsdirektoratet (Digdir) tilbyr veiledning om hvordan man etablerer en risikovurdering som en del av virksomhetens systematiske arbeid med informasjonssikkerhet. Digidirs veiledning er derfor mer generell og overordnet.

Veiledningen på Markedsplassen bygger på Digdirs veiledning og malverk, men det er gjort forenklinger og tilpasninger for å gjøre veiledningen mer egnet til å vurdere risiko som grunnlag for å stille krav i forbindelse med en skyanskaffelse.

Resultatet av risikovurderingen kan legge begrensninger på hva slags skytjenester det er mulig å anskaffe uten å komme i konflikt med kravene til personvern og informasjonssikkerhet. Det er derfor viktig å gjøre risikovurderingen tidlig i prosessen slik resultatet tas hensyn til i anskaffelsesstrategien.

Fremgangsmåte

Ved gjennomføring av risikovurderinger i forbindelse med anskaffelser anbefaler vi framgangsmåten vist i figuren nedenfor. Først gjøres en «foranalyse» for å få oversikt over verdier, trusler og sårbarheter.

Denne innsikten kan utnyttes til å identifisere relevante risikoer. Deretter estimeres størrelsen på konsekvens og sannsynlighet, for å sette et risikonivå. Vurderinger av konsekvens og sannsynlighet kan baseres på informasjon om verdier, trusler og sårbarheter.

Til slutt håndteres risiko ved å evaluere om risikoene er akseptable, eller om det er behov for tiltak (f.eks. stille ytterligere krav til tjenesten eller leverandøren). Avhengig av situasjonen kan det være hensiktsmessig å implementere tiltak, selv om risikoene er akseptable uten tiltak.).

Prosess risiko
Foranalyse

I foranalysen skal man i hovedsak gjøre tre ting: vurdere verdier, vurdere trusler og vurdere sårbarheter. Vi har laget en mal for foranalyse som tar utgangspunkt i Digdirs veiledning.

Nedenfor følger en kort beskrivelse av disse aktivitetene.

Digdir sin veiledning for foranalyse

Digdir har veiledning for hvordan gjennomføre foranalyse. Når Digdir snakker om foranalyse så er dette ment som en overordnet aktivitet for å skape oversikt over oppgaver, tjenester og informasjonsbehandling - slik at man kan prioritere hvor det trengs grundigere vurdering og håndtering av risiko.

Har virksomheten etablert foranalyse etter Digdirs veiledning, og denne gir tilstrekkelig oversikt over tjenesten som skal anskaffes, er det ikke nødvendig å gjøre en ny foranalyse. Da er det tilstrekkelig å hente ut relevante informasjonen og bruke denne i risikovurderingen.

Foranalysen på Markedsplassen tar utgangspunkt i Digdirs veiledning, men er tilpasset slik at den egner seg til å gjøre en konkret risikovurdering for skytjenester. I tillegg er malene til Digdir forenklet og justert for å lettere kunne vurdere risiko ved en anskaffelse.

Vurdere verdier

Virksomheten kan bruke malen for foranalyse til å gjennomføre verdivurderingen.

  • kartlegge hvilke informasjonsverdier som behandles av tjenesten
  • vurdere hvilken konsekvens tap av konfidensialitet, integritet og tilgjengelighet har for virksomheten . Dette gjøres ut i fra en konsekvenstabell, se eksempel

Når virksomheten skal vurdere nivået, skal den ikke vurdere det ut ifra tjenesten som skal anskaffes. Innta heller et fugleperspektiv for å vurdere konsekvensene for virksomheten . Still spørsmålet: På hvilket nivå vil brudd på informasjonssikkerhet påvirke virksomheten ?

Vurdere trusler

Virksomheten kan bruke malen for foranalyse til å gjennomføre trusselvurderingen:

  • Trusselaktør. Identifisere relevante trusselaktører og farer. Når virksomheten anskaffer en skytjeneste er det viktig å tenke på de ansatte hos skyleverandører som en potensiell trusselaktør blant andre. Denne trusselaktøren kan forårsake både utilsiktede og tilsiktede uønskede hendelser.
  • Nivået på trusselen. Avgjøre trusselnivået som hver trussel utgjør ved å vurdere ulike parametere som f.eks. kapasitet, vilje, historikk, utbredelse osv.

Vurdere sårbarheter

Virksomheten kan bruke malen for foranalyse til å kartlegge sårbarheter

I foranalysen skal virksomheten også kartlegge sårbarheter. Ved en anskaffelse er det vanlig å risikovurdere et tenkt fremtidig informasjonssystem eller arbeidsprosess. Ettersom man ikke har noe konkret å forholde seg til kan det være utfordrende å gjøre en sårbarhetsvurdering. Det kan være vanskeligere å identifisere potensielle sårbarheter, enn faktiske sårbarheter som finnes.

Det er viktig å tenke bredt på sårbarheter ettersom de kan finnes i tjenesten, hos kunden eller hos leverandøren blant andre. Sårbarheter kan også være menneskelige, organisatoriske eller tekniske.

Sårbarheter kan kartlegges på mange måter, f. eks. ved idédugnad, sjekklister, eller ved systematisk gjennomgang av et rammeverk/standard med informasjonssikkerhetskontroller. Identifiserte sårbarheter kan rangeres ved å spesifisere hvor alvorlige de er. Skyleverandører publiserer også informasjon om sine prosesser og rutiner for hvordan de oppdager og håndterer sårbarheter i sine systemer. Innhenting og evaluering av denne informasjonen er viktig i foranalysen.

Identifisere risikoer

For å identifisere risikoer kan virksomheten:

  • utnytte innsikt fra foranalysen
  • gjennomføre en idédugnad om hva som kan skje av uønskede hendelser
  • bruke risikobanken som utgangspunkt. Risikobanken er blant annet en oversikt over typiske risikoer å tenke på ved anskaffelse av skytjenester. Last ned risikobanken
  • ta hensyn til ulike leveransemodeller (public cloud, private cloud, community cloud eller hybrid cloud) og tjenestemodeller (Saas, PaaS eller IaaS)

Deretter er det viktig at risikoene beskrives på en god måte. Beskriv risiko enkelt og tydelig slik at personer med ulik bakgrunn forstår risikoen. Vi har laget en mal for dokumentering av risikovurderingen der du kan beskrive risikoen, tiltakene og risikoer etter tiltak:

Mal_risikovurdering_V1.0
docx 120.25 KB

Personopplysninger

Dersom tjenesten du skal anskaffe krever behandling av personopplysninger, så må man ta hensyn til kravene til personopplysningssikkerhet i den aktuelle behandlingen.

Dersom det er sannsynlig at behandlingen av personopplysninger vil medføre høy risiko for fysiske personers rettigheter og friheter, bør det i tillegg gjennomføres en vurdering av personvernkonsekvenser (DPIA). Datatilsynet forklarer dette i detalj på sine nettsider. Se også Markedsplassens veiledning om bruk av skytjenester etter Schrems II.

Les mer om hvordan du kan identifisere risikoer i Veiledningen til Digdir.

Analysere risiko

Etter at relevante risikoer er identifisert, er det klart for å analysere dem. Da kartlegger du konsekvenser (alvorlighet) dersom risikoer oppstår, og sannsynlighet for at de oppstår.

Virksomheten kan vurdere konsekvens ved å:

  • se på hvilke informasjonsverdier risikoen omhandler
  • bruke konsekvensvurderinger fra foranalysen
    • se blant annet på hvilke informasjonsverdier fra foranalysen som påvirkes av risikoen

Sannsynlighet kan vurderes ved å se på trusselbildet og sårbarhetsnivået.

Last ned eksempler på skalaer og nivåer for vurdering av sannsynlighet og konsekvens. Disse må tilpasses den enkelte virksomhet. Vi har laget en mal for dokumentering av risikovurderingen.

Mal_risikovurdering_V1.0
docx 120.25 KB

Les mer om hvordan virksomheten kan analysere risiko i Veiledningen til Digdir.

Håndtere risiko

Vurdere risiko dreier seg om å evaluerer om risikoene kan aksepteres som de er, eller om du må iverksette tiltak for å redusere risikonivået til et akseptabelt nivå. Ved anskaffelse av skytjenester vil det å stille krav til sikkerhet være en viktig måte å håndtere risiko på.

Sikkerhetskravene formuleres og følges opp gjennom anskaffelsesprosessen på samme måte som andre typer krav.

Virksomheten kan bruke risikobanken som utgangspunkt når den skal håndtere risiko. Risikobanken inneholder krav til sikkerhet for å håndtere typiske risikoer ved anskaffelse av skytjenester. Last ned risikobanken:

Risiko_og_kravbank_1.0
xlsx 31.34 KB

Du kan aldri fjerne all risiko. Det er fire måter å håndtere risiko på; unngå, dele, redusere eller akseptere.

Risikohåndtering handler om å fjerne risiko det er hensiktsmessig eller mulig å fjerne. Dette baseres på vurdering av sannsynlighet, konsekvens og kostnad. Så skal du vurdere om restrisikoen som gjenstår kan aksepteres og håndteres.

Ved å utarbeide akseptansekriterier for risikoer kan du forenkle og systematisere risikohåndteringen. Last ned et eksempel på akseptansekriterier, og tilpass den til virksomheten din:

Eksempel på akseptansekriterier
docx 25.59 KB

Les mer om hvordan du kan håndtere risiko i Veiledningen til Digdir.

Oppdatert: 20. november 2023

Kontakt

Gi oss tilbakemelding!

Markedsplassen er under utvikling. Har du spørsmål eller tilbakemeldinger? Ta kontakt med oss!

E-post: markedsplassen [at] dfo.no (markedsplassen[at]dfo[dot]no)

Fant du det du lette etter?

Nei

Det beklager vi!

Tilbakemeldingen din er anonym og vil ikke bli besvart. Vi bruker den til å forbedre nettsidene. Hvis du vil ha svar fra oss, ta kontakt på telefon, e-post eller kundesenter på nett.