Tjekliste: Sådan laver du en it-risikovurdering i TRIN. Sikker it-drift. Leveret af specialister.

Transkript

1 Tjekliste: Sådan laver du en it-risikovurdering i TRIN Sikker it-drift. Leveret af specialister.

2 Hvordan foretager man en itrisikovurdering af et system? Hvilke punkter skal man igennem? Hvad kan outputtet anvendes til? Denne tjekliste er et add-on til vores GDPR-guide, som du kan anvende i arbejdet med at blive klar til Persondataforordningen. Målet med den er at give et indblik i, hvordan en risikovurdering udføres, og hvad du kan anvende resultatet til. Tjeklisten er naturligvis udformet således, at fokus er på risikoen i forhold til persondataforordningen.

3 1. Få overblikket over dine data og dine systemer Som beskrevet i denne guide, starter arbejdet med en klassifikation af dine data. Du skal identificere, hvor i virksomheden I har persondata, og hvilke systemer disse persondata kommer i berøring med. I forbindelse med det arbejde er det vigtigt, at alle data og systemer vurderes i forhold til typen af persondata. Hvis I behandler personfølsomme data som eksempelvis religion, oplysninger om politisk tilhørsforhold m.m. er det vigtigt, at I også udarbejder en såkaldt PIA Privacy Impact Assessment i arbejdet. Mere om det i punkt 5 på denne tjekliste. Et andet kriterie kan være systemets art. Et system, hvor persondata tilføjes og slettes ofte, og hvor datas anvendelse ikke er underkastet procedurer, bør prioriteres højt. Et eksempel kunne være et CRM-system. Disse kriterier bør prioriteres, så I har dokumentation for, hvorfor I har prioriteret et system højere end et andet.

4 2. Vurder konsekvensen ved hændelser for hvert enkelt system Næste opgave er at vurdere konsekvensen ved hændelser for hvert enkelt system. Igen bør man basere sin vurdering på de tre parametre fortrolighed, tilgængelighed og integritet. Denne vurdering bør udføres af en person med forretningsmæssigt ansvar for de pågældende data. Det er denne person, der bedst kan vurdere konsekvensen af en uønsket hændelse. Konsekvensen vurderes på en skala fra 1-4 efter følgende model: 1: Ubetydelig 2: Generende 3: Alvorlig 4: Uacceptabel Hvis vi tager udgangspunkt i eksemplet fra før, var scenariet, at persondata i det pågældende system ikke var tilgængelige som følge af et DDoS-angreb. Den eller de personer, der har ansvar for disse data vurderer nu, hvor stor konsekvensen er ved dette. Er den ubetydelig? Er den generende? Er den alvorlig? Eller er den uacceptabel?

5 3. Vurder sandsynligheden for uønskede hændelser Typisk vil dette arbejde blive udført af folk med forstand på ITsikkerhed, og disse personer vil efter al sandsynlighed allerede vide, hvordan det arbejde skal udføres. Hvis I ikke har personer internt i virksomheden med de kompetencer følger her en kort gennemgang af, hvordan vurderingen kan udføres. En trusselsvurdering for den trussel, der hedder DDoS (Distributed Denial of Service) kan se således ud: Sandsynligheden for, at der sker en uønsket hændelse relateret til IT-sikkerhed, kan baseres på to ting: 1) En konkret vurdering af trusler 2) Tiltag, der allerede er implementeret for det givne system Trusselsvurderingen bør baseres på de tre parametre fortrolighed, integritet og tilgængelighed for persondata. Altså, kan den pågældende trussel medføre, at data ikke længere vil være fortrolige, ikke er tilgængelige, eller at datas integritet sættes på spil. Se Excel-arket Trusselsvurderinger Udførelse af "denial of service" -angreb Der udføres DOS-angreb mod Kundens systemer, som medfører manglende tilgængelighed af systemerne Her har man korrekt vurderet, at et DDoSangreb kan medføre, at data ikke er tilgængelige, imens angrebet foregår, og at den pågældende branche jævnligt er udsat for denne type angreb. Virksomheden har desuden tidligere været udsat for DDoS-angreb, og der er muligvis særlige forhold, der øger sårbarheden for det pågældende system. Samlet set er der altså høj sandsynlighed for, at persondata i det pågældende system vil være utilgængelige på et tidspunkt.

6 4. Beregn resultatet Nu har du de data, du skal bruge, for at kunne lave selve risikovurderingen. Indsæt sandsynligheds- og konsekvensvurderingerne i et skema som her og husk at gøre dette for hvert enkelt af de systemer, I har identificeret som relevante i forhold til persondata. 3 Har været nede ifm. en underleverandørs nedbrud 2 Systemet er et addon til system Y og dermed ikke så væsentligt RPO og RTO er to vigtige vurderinger at have med. RPO definerer Recovery Point Objective, dvs. hvor lang tid tilbage kan vi acceptere at miste data, eller sagt med andre ord: Hvor ofte skal der foretages backup? I kolonnen Kontroller længst til højre kan man notere eller henvise til, hvilke relevante kontroller fra eks. ISO standarden, man har implementeret for det pågældende system. RTO Recovery Time Objective - er den maksimale tid, man kan undvære det pågældende system som følge af en alvorlig hændelse, uden risiko for alvorlige tab for virksomheden. Se Excel-arket Risikovurderinger

7 5. Udarbejd eventuelt en Privacy Impact Assessment Hvis din virksomhed beskæftiger sig med følsomme persondata bør du også foretage en Privacy Impact Assessment en PIA eller DPIA. En PIA siger noget om konsekvensen for de personer, hvis data er registrerede. Her taler vi således ikke om konsekvensen for virksomheden ved tab af datafortrolighed eller integritet. Her taler vi om konsekvensen for de personer, hvis data der rettelig er tale om. En PIA bør vurdere jeres systemer og data i forhold til blandt andet følgende parametre: Jeres efterfølgende prioritering af arbejdet med compliance bliver derefter en afvejning mellem konsekvenserne for virksomheden og konsekvenserne for de registrerede. 1: Kan en hændelse medføre, at den registrerede lider økonomiske tab? 2: Kan en hændelse medføre, at den registreredes omdømme tager skade? 3: Kan en hændelse medføre tyveri af den registreredes identitet?

8 6. Husk at Arbejdet med risikovurderinger er ikke noget, man udfører og afslutter, for aldrig at vende tilbage til det. Hver gang der sker ændringer i systemer og hver gang nye systemer tages i brug, bør I igen lave risikovurderinger. Derfor er der en række centrale spørgsmål, I bør stille jer selv, når I ændrer systemer eller implementerer nye, blandt andet: Vil Vil projektet projektet indebære indebære indsamling indsamling af af nye nye oplysninger oplysninger om om enkeltpersoner? enkeltpersoner? Vil oplysninger om enkeltpersoner blive videregivet til organisationer eller personer, der ikke tidligere har haft adgang til oplysningerne? Vil Vil projektet projektet tvinge tvinge enkeltpersoner enkeltpersoner til til at at afgive afgive oplysninger oplysninger om om sig sig selv? selv? God fornøjelse med jeres arbejde med GDPR!

9 Netic A/S Sikker it-drift. Leveret af specialister. Hos Netic er vi specialister i at udvikle sikker it-drift, der skaber målbare resultater med et klart forretningsmæssigt fokus. Vi sikrer størst værdi, når vi som strategisk rådgiver, analytiker og driftsansvarlig kan tage ansvar, agere og optimere, ikke bare agilt og hurtigt, men også med det rette forretningsmæssige formål. Få mere viden om sikker it-drift, der skaber målbar værdi. Ring på (+45) eller skriv til salg@netic.dk Netic A/S Alfred Nobels Vej 27 DK-9220 Aalborg Ø netic.dk