Risk och sårbarhetsanalys vid införande av e-tjänst

Kort beskrivning

Tjänsten syftar till att analysera och verifiera den aktuella e-tjänsten ur ett it och informationssäkerhetsperspektiv i samband med införandet. Analysen tar hänsyn till vilka data som ska hanteras, vem som ska hantera dem och i vilken teknisk omgivning, t.ex. medborgares datorer och externa mobila enheter. Tjänsten skapar också underlag för eventuell senare intrångsanalys.

Funktionell beskrivning

Cybercom arbetar enligt filosofin att säkerhetsarbete inte görs för sin egen skull utan skall skapa verklig verksamhetsnytta.
De riskanalyser vi genomför baseras på resultatet av en inventering av hot, och utgör en avancerad metod att kvalificera hot, identifiera risker, värdera dessa, och slutligen identifiera sårbarheter för beslut om åtgärder, turordningen blir alltså:

  • inventering av hot
  • kvalificering av hot till risker
  • identifiering av sårbarheter, dvs svagheter som kan realisera identifierade hot.
  • värdering av åtgärder

Metoden vi arbetar efter kallas ADS, Affärsdriven Säkerhet.
Riskanalys enligt ADS metoden kan genomföras emot både system och verksamheter.
Riskanalys enligt ADS metoden
Genomförande av riskanalys sker normalt på en övergripande nivå. Detta ger en mycket generell riskbild, utan några egentliga överraskningar eller verkligt värde. För att det resultat som riskanalysen ger skall kunna användas på ett verksamt sätt inom organisationen behöver man kunna tillföra följande egenskaper till resultatet:

  • Analysen fokuserar gentemot det som är det centrala i företaget/systemet.
  • Analysresultatet kan på ett meningsfullt sätt ange riskvärde och skyddsvärde gentemot det som utgör verksamhetens huvudprocesser och mål.

Allt arbete kommer att behöva genomföras som workshop, och det är primärt två olika grupperingar som behövs:
1. Riskanalys, personer med god kunskap om de områden som berörs av riskanalysen.
2. Identifiering av sårbarheter och åtgärder, normalt personer med god kunskap om IT och säkerhet.
Initialt behöver man fastställa vad det är som utgör framgångsfaktorer, eller verksamhetskritiska funktioner för organisationen, eller för det system gentemot vilken analysen görs. Därefter värderas samtliga hot dels utifrån sannolikhet, konsekvens, och dels utifrån den inverkan hotet kan ha gentemot tidigare identifierade framgångsfaktorer/verksamhetskritiska funktioner om det realiseras.
Detta ger sammantaget ett mycket gott underlag för bedömning av hot för att fastställa vilka det är man vill gå vidare med och fastställa sårbarhet samt åtgärda.
De risker man valt ut för vidare arbete genomgår nu en sårbarhetsanalys. Vid denna fastställs vad det är som utgör den bakomliggande svagheten, sårbarheten, dvs. de faktorer som innebär att risken kan realiseras. Dessa utgör sårbarheterna, och är vad säkerhetsskapande åtgärder skall fokusera på. Säkerhetsskapande åtgärder kan nu med hjälp av denna metod värderas direkt gentemot framgångsfaktorer/verksamhetskritiska funktioner. Till detta bedömer man varje åtgärd utifrån hur ”populär” den skulle vara i den egna organisationen och bland kunder och liknande. Detta ger ytterligare indata för beslut om åtgärder.
ADS är en metod med vilken man genomför en risk och sårbarhetsanalys, men med vars hjälp man kan få en mycket klarare bild av hur mycket riskerna verkligen kan påverka den egna organisationen, och hur värdefull en åtgärd egentligen är.
Resultat

  • Risker gentemot framgångsfaktorer och verksamhetskritiska funktioner/processer
  • Riskvärde, – vad innebär risken gentemot verksamhetsmål och möjlighet till kravuppfyllelse.
  • Vilka åtgärder finns för riskreducering, och vilken reell effekt har dessa.

Teknisk beskrivning

Analysen kan hanteras inom ramen för verktyget ADS i tjänsten Compliance Portal, CCE-124, vilket utgör en metodik att hantera resultatet ifrån en hot- och riskanalys gentemot verksamhet och organisationer på ett effektivt och strukturerat sätt. (se Compliance Portalen för beskrivning av ADS).

Säkerhet

Analysen, både gentemot verksamhet som system, utgör en hörnsten i allt säkerhetsarbete och bör ingå som en naturlig del i allt säkerhetsarbete. Den rapport som sammanställs för analysen bör utgöra säkerhetsklassad information.

Prisuppgifter


Införandestödjande tjänster
ID Risk och sårbarhetsanalys vid införande av e-tjänst Antal timmar Nivå 1 Nivå 2 Nivå 3 Nivå 4 Nivå 5
CCE-128 Rad 1 1 – 100 600 1 050 1 400 1 400
CCE-128 Rad 2 101 – 1000 600 990 1 330 1 330
CCE-128 Rad 3 1001 - 600 918 1 224 1 224