SVENSK STANDARD SS-ISO/IEC 27005:2013

Transkript

1 SVENSK STANDARD SS-ISO/IEC 27005:2013 Fastställd/Approved: Publicerad/Published: Utgåva/Edition: 2 Språk/Language: svenska/swedish; engelska/english ICS: ; ; ; ; ; ; ; Informationsteknik Säkerhetstekniker Riskhantering för informationssäkerhet (ISO/IEC 27005:2011, IDT) Information technology Security techniques Information security risk management (ISO/IEC 27005:2011, IDT)

2 Standarder får världen att fungera SIS (Swedish Standards Institute) är en fristående ideell förening med medlemmar från både privat och offentlig sektor. Vi är en del av det europeiska och globala nätverk som utarbetar internationella standarder. Standarder är dokumenterad kunskap utvecklad av framstående aktörer inom industri, näringsliv och samhälle och befrämjar handel över gränser, bidrar till att processer och produkter blir säkrare samt effektiviserar din verksamhet. Delta och påverka Som medlem i SIS har du möjlighet att påverka framtida standarder inom ditt område på nationell, europeisk och global nivå. Du får samtidigt tillgång till tidig information om utvecklingen inom din bransch. Ta del av det färdiga arbetet Vi erbjuder våra kunder allt som rör standarder och deras tillämpning. Hos oss kan du köpa alla publikationer du behöver allt från enskilda standarder, tekniska rapporter och standardpaket till handböcker och onlinetjänster. Genom vår webbtjänst e-nav får du tillgång till ett lättnavigerat bibliotek där alla standarder som är aktuella för ditt företag finns tillgängliga. Standarder och handböcker är källor till kunskap. Vi säljer dem. Utveckla din kompetens och lyckas bättre i ditt arbete Hos SIS kan du gå öppna eller företagsinterna utbildningar kring innehåll och tillämpning av standarder. Genom vår närhet till den internationella utvecklingen och ISO får du rätt kunskap i rätt tid, direkt från källan. Med vår kunskap om standarders möjligheter hjälper vi våra kunder att skapa verklig nytta och lönsamhet i sina verksamheter. Vill du veta mer om SIS eller hur standarder kan effektivisera din verksamhet är du välkommen in på eller ta kontakt med oss på tel Standards make the world go round SIS (Swedish Standards Institute) is an independent non-profit organisation with members from both the private and public sectors. We are part of the European and global network that draws up international standards. Standards consist of documented knowledge developed by prominent actors within the industry, business world and society. They promote cross-border trade, they help to make processes and products safer and they streamline your organisation. Take part and have influence As a member of SIS you will have the possibility to participate in standardization activities on national, European and global level. The membership in SIS will give you the opportunity to influence future standards and gain access to early stage information about developments within your field. Get to know the finished work We offer our customers everything in connection with standards and their application. You can purchase all the publications you need from us - everything from individual standards, technical reports and standard packages through to manuals and online services. Our web service e-nav gives you access to an easy-to-navigate library where all standards that are relevant to your company are available. Standards and manuals are sources of knowledge. We sell them. Increase understanding and improve perception With SIS you can undergo either shared or in-house training in the content and application of standards. Thanks to our proximity to international development and ISO you receive the right knowledge at the right time, direct from the source. With our knowledge about the potential of standards, we assist our customers in creating tangible benefit and profitability in their organisations. If you want to know more about SIS, or how standards can streamline your organisation, please visit or contact us on phone +46 (0)

3 Den internationella standarden ISO/IEC 27005:2011 gäller som svensk standard. Detta dokument innehåller den officiella svenska/engelska versionen av ISO/IEC 27005:2011. Denna standard ersätter SS-ISO/IEC 27005:2008, utgåva 1. The International Standard ISO/IEC 27005:2011 has the status of a Swedish Standard. This document contains the official Swedish/English version of ISO/IEC 27005:2011. This standard supersedes the Swedish Standard SS-ISO/IEC 27005:2008, edition 1. Copyright/Upphovsrätten till denna produkt tillhör SIS, Swedish Standards Institute, Stockholm, Sverige. Användningen av denna produkt regleras av slutanvändarlicensen som återfinns i denna produkt, se standardens sista sidor. Copyright SIS, Swedish Standards Institute, Stockholm, Sweden. All rights reserved. The use of this product is governed by the end-user licence for this product. You will find the licence in the end of this document. Upplysningar om sakinnehållet i standarden lämnas av SIS, Swedish Standards Institute, telefon Standarder kan beställas hos SIS Förlag AB som även lämnar allmänna upplysningar om svensk och utländsk standard. Information about the content of the standard is available from the Swedish Standards Institute (SIS), telephone Standards may be ordered from SIS Förlag AB, who can also provide general information about Swedish and foreign standards. Standarden är framtagen av kommittén för Informationssäkerhet, SIS/TK 318. Har du synpunkter på innehållet i den här standarden, vill du delta i ett kommande revideringsarbete eller vara med och ta fram andra standarder inom området? Gå in på - där hittar du mer information.

4 Innehåll Förord... iv Orientering... v 1 Omfattning Normativa hänvisningar Termer och definitioner Standardens struktur Bakgrund Översikt över riskhanteringsprocessen för informationssäkerhet Fastställa kontext Allmänna överväganden Grundläggande kriterier Angreppssätt för riskhantering Kriterier för riskvärdering Kriterier för påverkan Kriterier för riskacceptans Omfattning och begränsningar Organisation för hantering av informationssäkerhetsrisker Riskbedömning för informationssäkerhet Allmän beskrivning av riskbedömning för informationssäkerhet Riskidentifiering Introduktion till riskidentifiering Identifiering av tillgångar Identifiering av hot Identifiering av befintliga säkerhetsåtgärder Identifiering av sårbarheter Identifiering av konsekvenser Riskanalys Metoder för riskanalys Uppskattning av konsekvenser Bedömning av sannolikheten för en incident Fastställande av risknivå Riskvärdering Riskbehandling för informationssäkerhet Allmän beskrivning av riskbehandling Riskreducering Bibehållen risk Undvikande av risk Delning av risktagande Riskacceptans för informationssäkerhet Kommunikation och konsultation för informationssäkerhetsrisker Övervakning och granskning av informationssäkerhetsrisker Övervakning och granskning av riskfaktorer Övervakning, granskning och förbättring av riskhantering Bilaga A (informativ) Att definiera omfattning och avgränsningar avseende riskhanteringsprocessen för informationssäkerhet A.1 Verksamhetsanalys A.2 Lista med begränsningar som påverkar organisationen A.3 Förteckning över hänvisningar till lagstiftning och föreskrifter som är tillämpliga på organisationen A.4 Förteckning över begränsningar som påverkar omfattningen Bilaga B (normativ) Identifiering och värdering av tillgångar samt bedömning av påverkan B.1 Exempel på identifiering av tillgångar Sida ii

5 B.1.1 Identifiering av primära tillgångar B.1.2 Förteckning över och beskrivning av understödjande tillgångar B.2 Värdering av tillgångar B.3 Bedömning av påverkan Bilaga C (informativ) Exempel på typiska hot Bilaga D (informativ) Sårbarheter och metoder för bedömning av sårbarhet D.1 Exempel på sårbarheter D.2 Metoder för bedömning av tekniska sårbarheter Bilaga E (informativ) Förhållningssätt till riskbedömning för informationssäkerhet E.1 Övergripande riskbedömning för informationssäkerhet E.2 Detaljerad riskbedömning för informationssäkerhet E.2.1 Exempel 1 Matris med fördefinierade värden E.2.2 Exempel 2 Rangordning av hot genom riskmätningar E.2.3 Exempel 3 Fastställa ett värde för sannolikheten och de möjliga konsekvenserna av risker Bilaga F (informativ) Begränsningar för riskreducering Bilaga G (informativ) Litteraturförteckning iii

6 Förord ISO (International Organization for Standardization) och IEC (International Electrotechnical Commission) utgör det specialiserade systemet för internationell standardisering. Nationella organ som är medlemmar i ISO eller IEC deltar i utvecklingen av internationella standarder genom medverkan i tekniska kommittéer inom respektive organisation med uppgift att behandla avgränsade tekniska områden. De tekniska kommittéerna inom ISO och IEC samarbetar inom områden av gemensamt intresse. Andra internationella organisationer, statliga eller privata, som samarbetar med ISO och IEC, deltar också i arbetet. Inom området informationsteknik har ISO och IEC bildat en gemensam teknisk kommitté, ISO/IEC JTC 1. Internationella standarder utformas i enlighet med de regler som anges i ISO/IEC Directives, Part 2. Den gemensamma tekniska kommitténs främsta uppgift är att utarbeta internationella standarder. Förslag till internationell standard som antagits av den gemensamma tekniska kommittén sänds till medlemmarna för omröstning. Publicering som internationell standard kräver godkännande av minst 75 % av de röstande medlemmarna. Det bör framhållas att vissa delar av detta dokument kan omfattas av patenträtter. ISO och IEC frånsäger sig ansvaret för att identifiera några eller alla sådana patenträtter. SS-ISO/IEC utformades av Joint Technical Committee ISO/IEC JTC 1, Information Technology, Sub-Committee SC 27, IT Security techniques. Denna andra utgåva av SS-ISO/IEC upphäver och ersätter ISO/IEC 27005:2008 som den utgör en teknisk revidering av. Vid oklarheter i den svenska översättningen hänvisas till engelska originaltexten. iv

7 Orientering Denna internationella standard innehåller riktlinjer för hanteringen av informationssäkerhetsrisker i en organisation, och ger särskilt stöd inom detta område för ett ledningssystem för informationssäkerhet (LIS) i enlighet med SS-ISO/IEC Denna standard tillhandahåller emellertid inte någon specifik metod för hanteringen av informationssäkerhetsrisker. Det åligger varje organisation att definiera sitt förhållningssätt till riskhantering beroende på till exempel LIS omfattning, riskhanteringens kontext eller bransch. Ett antal befintliga metoder kan användas, i överensstämmelse med det ramverk som beskrivs i denna internationella standard, för att införa kraven i ett LIS. Denna internationella standard är relevant för chefer och personal som berörs av hanteringen av informationssäkerhetsrisker inom en organisation och, i förekommande fall, externa parter som stödjer sådana aktiviteter. Svensk ANM. I förekommande fall har de engelska begreppen avseende typer av hot och sårbarheter behållits i den svenska översättningen då de är etablerade som svenska facktermer. v

8

9 Informationsteknik Säkerhetstekniker Riskhantering för informationssäkerhet 1 Omfattning Denna internationella standard innehåller riktlinjer för hantering av informationssäkerhetsrisker. Denna internationella standard stödjer de allmänna koncept som specificeras i SS-ISO/IEC och den är utformad för att stödja ett lyckat införande av informationssäkerhet med utgångspunkt från riskhantering. Kunskap om de koncept, modeller, processer och den terminologi som beskrivs i SS-ISO/IEC och SS-ISO/IEC är av betydelse för en fullständig förståelse av denna internationella standard. Denna internationella standard är tillämplig för alla typer av organisationer (t.ex. kommersiella företag, statliga myndigheter, ideella organisationer) vilka avser att hantera risker som skulle kunna äventyra organisationens informationssäkerhet. 2 Normativa hänvisningar Följande dokument som det hänvisas till är nödvändiga för tillämpningen av detta dokument. För daterade hänvisningar gäller endast den utgåva som citerats. För odaterade hänvisningar gäller den senaste utgåvan av de dokument som hänvisas till (inklusive eventuella ändringar). SS-ISO/IEC 27000:2009, Informationsteknik Säkerhetstekniker Ledningssystem för informationssäkerhet Översikt och terminologi SS-ISO/IEC 27001:2006, Informationsteknik Säkerhetstekniker Ledningssystem för informationssäkerhet Krav 3 Termer och definitioner För tillämpning av detta dokument gäller de termer och definitioner som anges i SS-ISO/IEC och de som följer nedan. ANM. Skillnader mellan definitioner i den tidigare versionen, SS-ISO/IEC 27005:2008, och SS-ISO/IEC 27005:2012 redovisas i Bilaga G. Svensk ANM. Den engelska termen risk assessment översätts i SS-ISO/IEC till riskbedömning och används med samma betydelse i denna standard. Risk assessment översätts i vissa sammanhang och modeller till riskvärdering. 3.1 konsekvens utfall från en händelse (3.3) som påverkar målen ANM. 1 ANM. 2 ANM. 3 ANM. 4 En händelse kan leda till en rad konsekvenser. En konsekvens kan vara viss eller oviss och är inom informationssäkerhetsområdet vanligtvis negativ. Konsekvenser kan beskrivas kvalitativt eller kvantitativt. Initiala konsekvenser kan eskalera genom att effekter tillkommer efterhand. 1

10 3.2 kontroll alternativ säkerhetsåtgärd för att förändra risker (3.9) ANM. 1 Kontroller för informationssäkerhet omfattar alla processer, policys, rutiner, riktlinjer förhållningssätt, organisatoriska strukturer, vilka kan vara administrativ, teknisk, och av lednings- eller legal karaktär som förändrar risken. ANM. 2 Kontroller ger inte alltid till den avsedda eller förväntade förändrande effekten. ANM. 3 Kontroll används också som en synonym för skyddsåtgärd eller motåtgärd. Svensk ANM. I den svenska översättningen av denna standard används termen säkerhetsåtgärd. 3.3 händelse förekomst eller förändring av särskilda omständigheter ANM. 1 ANM. 2 ANM. 3 En händelse kan ha en eller flera förekomster och kan ha flera orsaker. En händelse kan bestå i att inget inträffar. En händelse kan ibland refereras till som en "incident" eller "olycka". 3.4 extern kontext extern miljö i vilken organisationen försöker uppnå sina mål ANM. Extern miljö kan omfatta: kulturell, social, politisk, legal, reglerande, finansiell, teknisk, ekonomisk, naturlig och konkurerande omgivning, både internationell och nationell, regional eller lokal, viktiga drivkrafter och trender som påverkar organisationens mål, relationer med, och uppfattningar och värderingar hos, externa intressenter. 3.5 intern kontext intern miljö i vilken organisationen försöker uppnå sina mål ANM. Intern miljö kan omfatta: styrning, organisatorisk struktur, roller och ansvarsfördelning, policyer, mål och befintliga strategier för att uppnå dem, förmågor, i termer av resurser och kunskap (d v s kapital, tid, personal, processer, system och tekniker), informationssystem, informationsflöden och beslutsprocesser (både formella och informella), relationer med, och uppfattningar och värderingar hos, interna intressenter, organisationens kultur, standarder, riktlinjer och modeller antagna av organisationen, utformning och omfattning av avtalsbundna relationer. 2

11 3.6 risknivå storlek på en risk (3.9) eller kombination av risker, uttryckt i termer av en kombination av konsekvenser (3.1) och deras sannolikhet (3.7) 3.7 sannolikhet chans att något inträffar ANM. 1 I riskhanteringsterminologi används ordet sannolikhet för att benämna chansen att något inträffar, oavsett om det definieras, mäts eller avgörs objektivt eller subjektivt, kvalitativt eller kvantitativt och beskrivs i generella termer eller matematiska (såsom en sannolikhet eller frekvens över en given tidsperiod). ANM. 2 Den engelska termen likelihood har i vissa språk ingen direkt motsvarighet, istället används då vanligen motsvarigheten till termen probability. I engelskan tolkas dock probability som en matematisk term. Därför används termen likelihood inom riskhanteringsterminologin med den vidare tolkning som probability har i många språk utöver engelskan. 3.8 kvarstående risk risk (3.9) som kvarstår efter riskbehandling (3.17) ANM. 1 ANM. 2 Kvarstående risk kan inkludera oidentifierad risk. Kvarstående risk benämns också ibland bibehållen risk. 3.9 risk osäkerhetens effekt på mål ANM. 1 En effekt är en avvikelse från det förväntade positiv och/eller negativ. ANM. 2 Mål kan ha olika aspekter (såsom ekonomi, hälsa och säkerhet eller miljömål) och kan gälla på olika nivåer (såsom strategisk-, organisatorisk-, projekt-, produkt- eller processnivå). ANM. 3 Risker karaktäriseras ofta genom hänvisning till potentiella händelser (3.3) och konsekvenser (3.1), eller genom en kombination av dessa. ANM. 4 Risker uttrycks ofta i termer av en kombination av en händelses konsekvenser (inklusive ändrade omständigheter) och därtill relaterad sannolikhet (3.7) för förekomst. ANM. 5 Osäkerhet är det tillstånd, även partiellt, av bristande information som relaterar till förståelse för eller kunskap om en händelse, dess konsekvenser eller sannolikhet. ANM. 6 Informationssäkerhetsrisk innebär möjligheten att ett givet hot utnyttjar sårbarheten hos en informationstillgång eller en grupp av informationstillgångar och därigenom orsakar organisationen skada riskanalys process för att förstå riskens natur och för att avgöra risknivån (3.6) 3

12 ANM. 1 ANM. 2 Riskanalys utgör grunden för riskutvärdering och för beslut om riskbehandling. Riskanalys inkluderar riskuppskattning riskbedömning övergripande process för riskidentifiering (3.15), riskanalys (3.10) och riskutvärdering (3.14) 3.12 riskkommunikation och konsultation kontinuerliga och iterativa processer som en organisation genomför för att tillhandahålla, dela eller inhämta information och för att föra en dialog med intressenter (3.18) med avseende på hantering av risker (3.16) ANM. 1 Informationen kan relatera till förekomst, karaktär, typ, sannolikhet (3.7), betydelse, utvärdering, acceptans och behandling av risker. ANM. 2 Konsultation är en tvåvägsprocess för välgrundat informationsutbyte mellan organisationen och dess intressenter i en fråga, innan beslut fattas eller inriktning avgörs i den frågan. Konsultation är: en process som inverkar på ett beslut genom inflytande snarare än genom makt, ett underlag för beslutsfattande, inte gemensamt beslutsfattande riskkriteria referensförhållanden mot vilka betydelsen av en risk (3.9) utvärderas ANM. 1 ANM. 2 Riskkriterier baseras på organisationens mål samt dess externa och interna kontext. Riskkriterier kan härledas från standarder, lagar, policyer och andra krav riskutvärdering process för att jämföra resultaten från riskanalysen (3.10) med riskkriterierna (3.13) för att avgöra om risken och/eller dess storlek är acceptabel eller godtagbar ANM. Riskutvärdering underlättar vid beslut om riskbehandling riskidentifiering process för att upptäcka, kartlägga/känna igen och beskriva risker ANM. 1 Riskidentifiering omfattar identifiering av riskkällor och händelser samt orsaker och potentiella konsekvenser av desamma. ANM. 2 Riskidentifiering kan omfatta historiska data, teoretiska analyser, synpunkter, expertutlåtanden och intressenters behov. 4

13 3.16 riskhantering samordnade aktiviteter för att styra och leda en organisation med avseende på risk ANM. I sammanhanget för denna internationella standard används termen "process" för att övergripande beskriva riskhantering. Processelementen inom riskhanteringsprocessen benämns aktiviteter riskbehandling process för att förändra risker ANM. 1 Riskbehandling kan omfatta att: undvika risken genom beslut om att inte inleda eller fortsätta med den aktivitet som ger upphov till risken, ta eller öka risken för att kunna tillvarata en möjlighet, eliminera riskkällan, förändra sannolikheten, förändra konsekvenserna, dela risktagandet med annan part eller parter (inklusive avtal och riskfinansiering), behålla risker genom välgrundade beslut. ANM. 2 Riskbehandling som behandlar negativa konsekvenser benämns ibland riskminskning, riskeliminering, riskförebyggande och riskreducering. ANM. 3 Riskbehandling kan skapa nya risker eller förändra befintliga risker intressent person eller organisation som kan påverka, påverkas av eller anse sig bli påverkad av ett beslut eller en aktivitet ANM. En beslutsfattare kan vara en intressent. 4 Standardens struktur Denna internationella standard innehåller en beskrivning av processen för riskhantering för informationssäkerhet och de aktiviteter som den omfattar. Bakgrundsinformationen redovisas i avsnitt 5. En allmän översikt av processen för riskhantering för informationssäkerhet redovisas i avsnitt 6. Alla aktiviteter för riskhantering för informationssäkerhet som översiktligt presenteras i avsnitt 6 beskrivs sedan var för sig i följande avsnitt: Fastställande av kontext i avsnitt 7, Riskbedömning i avsnitt 8, Riskbehandling i avsnitt 9, 5

14 Riskacceptans i avsnitt 10, Riskkommunikation i avsnitt 11, Övervakning och granskning av risker i avsnitt 12. Ytterligare information om aktiviteter för hantering av informationssäkerhetsrisker presenteras i bilagorna. Fastställandet av kontext stöds av bilaga A (Definiera omfattning och avgränsningar avseende riskhanteringsprocessen för informationssäkerhet). Identifiering och värdering av tillgångar samt bedömning av påverkan diskuteras i bilaga B (Exempel på identifiering av tillgångar), bilaga C (Exempel på typiska hot) och bilaga D (Sårbarheter och metoder för bedömning av sårbarhet). Exempel på förhållningssätt för bedömning av informationssäkerhetsrisker presenteras i bilaga E. Begränsningar för reducering av risk presenteras i bilaga F. Skillnader i definitioner mellan SS-ISO/IEC 27005:27008 och SS-ISO/IEC 27005:2012 redovisas i Annex G. Alla aktiviteter för riskbedömning som presenteras i avsnitt 7 till 12 struktureras enligt följande: Insats: Identifierar nödvändig information för att utföra aktiviteten. Aktivitet: Beskriver aktiviteten. Vägledning för införande: Innehåller vägledning om hur åtgärden utförs. En del av denna vägledning kanske inte alltid är lämplig och detta innebär att andra sätt att utföra åtgärden kan vara lämpligare. Utfall: Redovisar den information som erhålls från genomförande av aktiviteten. 5 Bakgrund Ett systematiskt angreppssätt rörande riskhantering för informationssäkerhet är nödvändigt för att identifiera organisationens behov beträffande informationssäkerhetskrav, samt för att skapa ett verkningsfullt ledningssystem för informationssäkerhet (LIS). Angreppssättet bör vara väl avvägt för den aktuella organisationens specifika förutsättningar och bör i synnerhet anpassas till organisationens övergripande riskhantering. Säkerhetsarbetet syftar till att hantera risker på ett verkningsfullt sätt och vid lämplig tidpunkt när behoven finns. Riskhantering för informationssäkerhet bör vara en integrerad del av alla aktiviteter inom informationssäkerhetsområdet och bör tillämpas under införandet av, samt förvaltningen, av ett LIS. Riskhanteringen för informationssäkerhet bör vara en kontinuerlig process. Processen bör fastställa intern och extern kontext, bedöma riskerna och behandla riskerna i enlighet med en plan för riskbehandling, för att införa rekommenderade åtgärder och beslut. Riskhanteringsprocessen analyserar vad som kan hända, och vilka de möjliga konsekvenserna kan vara, innan beslut fattas om vad som bör göras, och när, för att reducera risken till en acceptabel nivå. Hanteringen av informationssäkerhetsrisker bör ge följande resultat: att risker identifieras, att risker bedöms efter vilka konsekvenser de har för verksamheten och sannolikheten för att de uppträder, att sannolikheten och konsekvenserna för dessa risker kommuniceras och förstås, att en prioritetsordning för riskbehandling fastställs, att prioriterade åtgärder för hantering av risker fastställs, att intressenter involveras när beslut om hantering av risker fattas och hålls informerade om status för riskhanteringen, övervakning av riskbehandlingens verkan, 6

15 att risker och riskhanteringsprocessen övervakas och granskas regelbundet, att information samlas in för att förbättra metoden för riskhantering, att chefer och personal utbildas om riskerna och de åtgärder som vidtas för att hantera dem. Riskhanteringsprocessen kan tillämpas på en organisation i sin helhet, en separat del av organisationen (t.ex. en avdelning, en fysisk plats, en tjänst), ett informationssystem, befintliga eller planerade respektive särskilda aspekter av styrning (t.ex. verksamhetens kontinuitetsplanering). 6 Översikt över riskhanteringsprocessen för informationssäkerhet En översikt över processen för riskhantering i stort, inkluderande informationssäkerhet, definieras i SS-ISO och illustreras i figur 1. Figur 1 Riskhanteringsprocessen 7

16 Figur 2 illustrerar hur denna internationella standard tillämpar denna riskhanteringsprocess. Processen för riskhantering för informationssäkerhet omfattar fastställande av kontext (avsnitt 7), riskbedömning (avsnitt 8), riskbehandling (avsnitt 9), riskacceptans (avsnitt 10), riskkommunikation (avsnitt 11) och övervakning och granskning av risk (avsnitt 12).. SLUT PÅ FÖRSTA ELLER EFTERFÖLJANDE ITERATIONEN Figur 2 Riskhanteringsprocess för informationssäkerhet Som figur 2 illustrerar kan riskhanteringsprocessen för informationssäkerhet innebära upprepningar av aktiviteter för riskbedömning och/eller aktiviteter för riskbehandling. En sådan iterativ metod för att genomföra bedömning av risker kan öka bedömningens djup och detaljrikedom vid varje iteration. Den upprepande eller iterativa metoden ger en god balans mellan att minimera den tid och kraft som används för att identifiera säkerhetsåtgärder samtidigt som den fortfarande säkerställer att allvarliga risker bedöms på ett korrekt sätt. Kontexten fastställs först. Därefter utförs en riskbedömning. Om riskbedömningen ger tillräckligt bra underlag för att verkningsfullt kunna fastställa aktiviteter för att kunna förändra riskerna till en acceptabel nivå är uppgiften slutförd och riskbehandling följer. Om informationen är otillräcklig utförs en ny riskbedömning med 8

17 reviderad kontext (t.ex. kriterier för utvärdering av risker, kriterier för riskacceptans eller kriterier för påverkan) eventuellt på begränsade delar av den totala omfattningen (se figur 2, beslutspunkt 1 för risker). Verkningsgraden vid riskbehandlingen beror på resultatet av bedömningen. Notera att riskbehandling är en cyklisk process som inbegriper: bedömning av riskbehandling, beslut om kvarstående risknivåer är acceptabla, genomförande av ny riskbehandling om risknivåer är oacceptabla, bedömning av huruvida genomförd behandling är effektiv. Det är möjligt att riskbehandlingen inte omedelbart leder till en acceptabel nivå för kvarstående risker. I denna situation kan det vid behov krävas ytterligare upprepningar av riskbedömningen med ändrad kontext (t.ex. riskbedömning, accepterande av risker eller kriterier för påverkan) följt av ytterligare riskbehandling (se figur 2, beslutspunkt 2 för risker). Aktiviteten för riskacceptans måste säkerställa att de kvarstående riskerna uttryckligen accepteras av verksamhetsansvariga inom organisationen. Detta är särskilt viktigt i en situation där införandet av säkerhetsåtgärder utelämnas eller skjuts upp, t.ex. på grund av kostnader. Under hela processen för riskhantering för informationssäkerhet är det viktigt att riskerna och behandlingen av dem kommuniceras till rätt chefer och till den operativa personalen. Även före riskbehandlingen kan information om identifierade risker vara väldigt värdefull för att hantera incidenter och hjälpa till att reducera den potentiella skadan. Medvetenhet hos chefer och personal om riskerna, beskaffenheten hos de säkerhetsåtgärder som finns för att minska riskerna och områden av intresse för organisationen bidrar till att kunna hantera incidenter och oväntade händelser på ett så effektivt sätt som möjligt. De detaljerade resultaten för varje aktivitet i riskhanteringsprocessen för informationssäkerhet, och från de två beslutspunkterna i riskhanteringsprocessen bör dokumenteras. SS-ISO/IEC specificerar att säkerhetsåtgärder som införs inom ramarna för ett LIS omfattning, begränsningar och sammanhang ska vara riskbaserade. Tillämpningen av en riskhanteringsprocess för informationssäkerhet kan uppfylla detta krav. Det finns många angreppssätt som kan användas för ett lyckat införande av processen i en organisation. Organisationen bör använda det angreppssätt som passar bäst till de specifika omständigheterna för varje tillämpning av processen. I ett LIS är fastställande av kontext, riskbedömning, utveckling av en plan för riskbehandling och riskacceptans delar av planeringsfasen. I fasen genomföra i LIS införs de åtgärder och säkerhetsåtgärder som krävs för att reducera risken till en acceptabel nivå i enlighet med riskbehandlingsplanen. I fasen "följa upp" i LIS bedömer chefer behovet av revideringar av riskbedömningen och riskbehandlingen med incidenter och förändrade omständigheter. I fasen "förbättra" utförs de åtgärder som krävs, inklusive ytterligare tillämpning av riskhanteringsprocessen för informationssäkerhet. I följande tabell summeras aktiviteter för riskhantering för informationssäkerhet som är relevanta för de fyra faserna i LIS-processen: Tabell 1 Anpassning av LIS och riskhanteringsprocess för informationssäkerhet LIS-process Planera Genomföra Följa upp Förbättra Riskhanteringsprocess för informationssäkerhet Fastställa kontext Riskbedömning Ta fram riskbehandlingsplan Riskacceptans Införa riskbehandlingsplan Kontinuerlig övervakning och granskning av risker Underhåll och förbättra riskhanteringsprocessen för informationssäkerhet 9

18 7 Fastställa kontext 7.1 Allmänna överväganden Insats: All information om organisationen som är relevant för att fastställa kontexten för riskhantering för informationssäkerhet. Aktivitet: Den interna och externa kontexten för hantering av informationssäkerhetsrisker bör fastställas. Detta omfattar att fastställa de nödvändiga grundläggande kriterier som krävs för hanteringen av informationssäkerhetsrisker (7.2), definiera omfattning och begränsningar (7.3) samt att etablera en lämplig operativ organisation för riskhantering för informationssäkerhet (7.4). Vägledning för införande: Det är mycket viktigt att bestämma syftet med hanteringen av informationssäkerhetsrisker eftersom detta påverkar den övergripande processen och i synnerhet fastställandet av kontext. Detta syfte kan vara: stöd för ett LIS, efterlevnad av lagstiftning och bevis på erforderlig aktsamhet, utarbetande av en kontinuitetsplan för verksamheten, utarbetande av en plan för incidenthantering, beskrivning av informationssäkerhetskraven för en produkt, tjänst eller en mekanism. Vägledning för införande av delar för fastställande av kontext som krävs för stöd av ett LIS diskuteras ytterligare i avsnitt 7.2, 7.3 och 7.4 nedan. ANM. SS-ISO/IEC använder inte termen "kontext". Hela avsnitt 7 relaterar dock till kraven "definiera omfattning och begränsningar för LIS" [4.2.1 a)], "definiera en LIS-policy" [4.2.1 b)] och "definiera metod för bedömning av risk" [4.2.1 c)] som specificeras i SS-ISO/IEC Utfall: Specifikationen av grundläggande kriterier, omfattningen och begränsningarna samt organisationen till stöd för riskhanteringsprocessen för informationssäkerhet. 7.2 Grundläggande kriterier Angreppssätt för riskhantering Beroende på riskhanteringens omfattning och mål kan olika metoder tillämpas. Metoden kan också vara olika för varje upprepning. En lämplig metod för riskhantering bör väljas eller utvecklas som tillgodoser grundläggande kriterier såsom kriterier för utvärdering av risker, kriterier för påverkan, kriterier för riskacceptans. Dessutom bör organisationen bedöma om nödvändiga resurser är tillgängliga för att: utföra riskbedömning och fastställa en riskbehandlingsplan, definiera och implementera policyer och rutiner, inklusive införande av de valda säkerhetsåtgärderna, övervaka säkerhetsåtgärder, övervaka processen för riskhantering för informationssäkerhet. ANM. Se även SS-ISO/IEC (avsnitt 5.2.1) när det gäller tillhandahållande av resurser för införande och driften av ett LIS Kriterier för riskvärdering Kriterier för riskvärdering bör utvecklas för utvärdering av organisationens informationssäkerhetsrisker när det gäller följande: det strategiska värdet av informationsprocessen i verksamheten, hur kritiska de aktuella informationstillgångarna är, krav enligt lagstiftning och föreskrifter samt avtalsenliga förpliktelser, 10

19 vikten av tillgänglighet, konfidentialitet och riktighet för bedrivande av verksamheten, intressenters förväntningar och uppfattningar samt negativa konsekvenser för goodwill och renommé. Dessutom kan kriterier för riskvärdering användas för att specificera prioriteringar för riskbehandling Kriterier för påverkan Kriterier för påverkan bör utvecklas och specificeras när det gäller graden av skador eller kostnader för organisationen som orsakas av en informationssäkerhetshändelse under beaktande av följande: värdering och informationsklassning av berörd eller påverkad informationstillgång, bristande informationssäkerhet (t.ex. förlust av konfidentialitet, riktighet och tillgänglighet), försämrad verksamhet (internt eller tredje part), förlust av affärer och ekonomiska värden, inverkan på planer och deadlines, skadat renommé, bristande efterlevnad av krav från lagstiftning, föreskrifter eller i avtalsvillkor. ANM. Se även SS-ISO/IEC [avsnitt d) 4] när det gäller identifiering av kriterier för påverkan för förlust av konfidentialitet, riktighet och tillgänglighet Kriterier för riskacceptans Kriterier för riskacceptans bör utvecklas och specificeras. Kriterier för riskacceptans beror ofta på organisationens policyer, mål, målsättningar och intressenternas intresse. En organisation bör definiera sina egna skalor för nivåer av riskacceptans. Följande bör beaktas under utvecklingen: kriterier för riskacceptans kan omfatta flera nivåer med en önskad målnivå för risk men villkoras av att högre chefer godtar risker över målnivån under definierade förutsättningar, kriterier för riskacceptans kan uttryckas som förhållandet mellan uppskattad vinst (eller annan verksamhetsfördel) jämfört med den uppskattade risken, olika kriterier för riskacceptans kan gälla för olika riskklasser, t.ex. risker som kan leda till att lagar och föreskrifter inte efterlevs accepteras inte medan acceptans för höga risker kan tillåtas om detta specificeras som ett krav i ingånget avtal, kriterier för riskacceptans kan omfatta krav på framtida ytterligare behandling, t.ex. kan risken accepteras om det finns godkännande och engagemang för att vidta åtgärder för att reducera den till en godtagbar nivå inom en definierad tidsperiod. Kriterier för riskacceptans kan variera beroende på hur länge risken förväntas finnas, t.ex. kan risken associeras med en temporär eller kortvarig aktivitet. Kriterier för riskacceptans bör ställas upp under beaktande av följande: verksamhetskriterier, aspekter avseende lagar och föreskrifter, drift, teknik, ekonomi, sociala och humanitära faktorer. ANM. Kriterier för riskacceptans motsvarar "kriterier för riskacceptens och identifiera acceptabla risknivåer" specificerade i SS-ISO/IEC avsnitt c) 2). Mer information finns i bilaga A. 11