Eksempel på risikoanalyse for kommune


Hjemstedet er en ganske gjennomsnittlig norsk kommune. Informasjonssikkerhet har ikke spe­sielt fokus i det daglige, men IT-avdelingen til kommunen har snakket en stund om at man burde gjøre en risikovurdering i tråd med kravet i internkontrollforskriften. Rådmannen er ansvarlig for informasjons­sikkerhet i kommunen, og er den som skal ta avgjø­relser når det gjelder hvor mye risiko man skal akseptere, og hvilke sikker­hetstiltak man skal prioritere, det vil si risikostyringen. Leder for IT-avdelingen tar imidlertid jobben med å starte arbeidet med risikovurderingen. Ansatte i administrasjonen og fag­syste­mene blir involvert sporadisk i arbeidet.

Trusler

Flere trusler som kan ødelegge kommunens verdier kan identifiseres, som for eksempel:

  • Uvedkommende får tilgang til sensitive opplysninger, for eksempel personopplysninger
  • Nettsiden til kommunen blir angrepet og blir utilgjengelig i lengre tid.
  • Ustyr blir stjålet, og noe informasjon går tapt.
  • Flere PC-er blir angrepet av virus, og flere ansatte blir dermed hindret i arbeidet.
  • De ansatte har ikke tilstrekkelig kompetanse om klassifisering av informasjon, og lagrer informasjon på feil sted.

En vurdering av trusselen Uvedkommende får tilgang til sensitive opplysninger er påbegynt

Akseptabel risiko

Hjemstedet har ikke gjort dette tidligere og starter med tre nivåer. IT-avdelingen har vurdert hva de mener er akseptabel risiko, noe som ikke er tatt opp med rådmannen.

  • Med stor risiko menes hendelser som skjer mer en to ganger i uken eller som gir betydelig tap av renommé. Rød farge er brukt, og det vurderes som ikke akseptabelt.
  • Med moderat risiko menes hendelser som skjer mer en to ganger i måneden eller tap av renommé. Oransje farge brukes, og kommunen må ha oppmerksomhet på dette.
  • Med lav risiko menes hendelser som skjer mer en to ganger i halvåret eller ubetydelig tap av renommé. Grønn farge benyttes, og risikoen aksepteres.

Se egen veiledning om risikostyring.

 Sannsynlighet

Sjelden

Kan skje

Svært vanlig

Konsekvens

Liten

Lav

Lav

Moderat

Middels

Lav

Moderat

Stor

Stor

Moderat

Stor

Stor

Konsekvenser

IT-avdelingen har vurdert hva de mener er mulige konsekvenser av trusselen «Uvedkommende får tilgang til sensitive opplysninger». Noen mulige konsekvenser er:

  • Dårlig publisitet, som igjen kan føre til dårlig tillit til kommunen. Dette kan gjøre det vanskeligere å samarbeide med andre.
  • Noen i staben må gå.
  • Brukere av kommunens tjenester kan være krenket, ved at sensitiv informasjon er kommet på avveier.
  • Kommunen må bruke ekstra penger på å beklage og å rydde opp.
  • Dersom det var anbudsinformasjon som ble oppdaget kan det føre til et mindre fordelaktig tilbud enn man ellers ville fått, eller hele prosessen må kjøres på nytt.
  • Kommunen kan bli saksøkt.
  • Datatilsynet kan komme og kreve dyre oppgraderinger.

Risikovurdering

Hjemstedet har startet med å vurdere risiko for virksomheten og tabellen nedenfor viser aktuelle risikoer. Gjennomgangen er ikke ferdigstilt.

Trussel: Uvedkommende får tilgang til sensitive opplysninger

 #

Årsaker

Risikovurdering

   Mulige tiltak

Konsekvens

Sansynlighet

Risikonivå

1

På grunn av den åpne holdningen i kommunen reagerer ikke ansatte på at uved­kommende går rundt på arbeidsplassen deres. Dette er vanlig, fordi besøkende ofte må lete seg frem selv.

Stor

 Svært vanlig

Stor

Opplæring av ansatte. Vurdere låste dører på enkelte avdelinger eller kontorer

2

Ansatte kan bli lurt dersom noen ringer og sier at de jobber i en annen enhet og trenger opplysninger om en person. En kan også bli lurt ved at noen utga seg for å være fra IT-avdelingen, og ba om å brukernavn og passord.

Stor

Sjelden

Moderat

Opplæring av ansatte

3

Egne ansatte kan ønske å spre sensitive opplysninger for egen vinnings skyld

Stor

Sjelden

Moderat

Opplæring av ansatte

4

Uvedkommende kan bryte seg inn i datasystemet utenfra, enten på grunn av mang­lende sikring av nettverket, eller på grunn av sikkerhetshull i programmer kommunen bruker eller programmer ansatte har lastet ned på eget initiativ.

Stor

Kan skje

Stor

Beskyttelsen av selve nettverket skal bli bedre og mer helhetlig.Systemer med sensitiv informasjon beskyttes bedre.Gjennomgang av tilganger til systemer

5

Kommunen kan bli offer for generelle angrep (virus/ormer/ trojanere, jakt etter ressurser osv.) der sensitive data tilfeldigvis blir oppdaget og hentet ut.

Stor

Kan skje

Stor

Installering av sikkerhetsopp­dateringer skal bli fast rutine

6

Sensitiv informasjon er lagret på “åpen sone” og kan leses av alle ansatte

Stor

Kan skje

Stor

Opplæring av alle ansatte i hvordan klassifisere/verdivurdere/gradere informasjon i henhold til lagring og offentliggjøring i samsvar med gjeldende lovverk

 

Foreningen KInS, kommunal informasjonssikkerhet jobber også med dette arbeidet.

Var dette nyttig for deg?

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *