Het proces risicobeoordeling kan geïllustreerd worden door middel van volgende figuur.
Een risicobeoordeling houdt in dat men bekijkt welke dreigingen er zijn voor de aanwezige informatieassets in het domein van de beoordeling. Dreigingen treden op met een bepaalde waarschijnlijkheid of frequentie en hebben een impact op de informatieassets, zodat men voor elke dreiging een inherent risico kan berekenen. De aanwezige implementatiemaatregelen kunnen al dan niet naarmate ze effectief zijn dat risico verminderen, zodat - tegelijkertijd rekening houdende met gekende kwetsbaarheden, kan komen tot de restrisico’s voor de informatieassets in het domein van de beoordeling.
Het proces risicobeoordeling wordt verder beschreven in de volgende paragrafen.
Na een risicobeoordeling volgt een risicobehandeling, waarbij men aangeeft welke acties moeten worden ondernomen worden in functie van de geïdentificeerde restrisico’s.
Starten van de risicobeoordeling
Starten door de informatieasset-eigenaar
Voor elk informatieasset met een Informatieklasse (IK) hoger dan 2, wordt een risicobeoordeling uitgevoerd door de informatieasset-eigenaar of asset owner (AO). Een risicobeoordeling voor een informatieasset wordt geïnitieerd nadat de informatieklasse (IK) voor het informatieasset werd bepaald in het proces informatieklassebepaling, zie Proces - Informatieklassebepaling, en nadat de toetsing technische maatregelen (TTM) bevraging werd uitgevoerd, zie proces Proces - Toetsing van maatregelen.
In het geval de AO een bestaande IKB herziet ten gevolge van de jaarlijkse herziening, dient ook de bestaande risicobeoordeling te worden herzien. Alle risicobeoordelingen worden minimaal één keer per jaar herzien, en/of bij grote functionele of technische aanpassingen, als gevolg van de informatieasset-dashboard herziening zoals beschreven in Proces - Informatieklassebepaling.
De geldigheid van de risicobeoordeling vervalt na één jaar geteld vanaf de laatste herziening. AO’s dragen de verantwoordelijkheid om zelf zicht te houden op de risico’s van hun informatieassets en de correctheid van de informatieklasse, en actie te ondernemen wanneer nodig. De AO kan beroep doen op een Information Security Officer (ISO) van Team Informatieveiligheid (TIV) om de risicobeoordeling te faciliteren, maar blijft aansprakelijk voor de uitvoering.
Starten door informatieveiligheid
Risicobeoordelingen kunnen ook worden opgestart door een ISO los van de opstart door een AO. Dit zal gebeuren bij nieuwe of veranderende dreigingen, of bij het ontdekken van ernstige kwetsbaarheden in de beheersmaatregelen (bijv. niet gerepareerde security issues met software). Uitzonderlijk kan het ook zijn dat de ISO de volledige risicobeoordeling uitvoert, wanneer een risicobeoordeling wordt uitgevoerd niet op het niveau van een informatieasset, maar op een niveau dat informatieasset-overstijgend is (bijv. een nieuwe datacenter, een nieuw gebouw, of het migreren van on-prem servers naar de cloud), of wanneer de risicobeoordeling wordt uitgevoerd ten gevolge van een specifiek incident. In dat geval, zal niet het volledige proces doorlopen worden zoals hier beschreven, maar wordt ingezoemd op de specifieke omstandigheden van het incident, en worden dreigingen, maatregelen en risico’s beschreven in een formeel verslag door de ISO.
Deelprocessen van de risicobeoordeling
Men kan een risicobeoordeling opsplitsen in de volgende deelprocessen:
Risico-identificatie
Risicoanalyse,
Risico-evaluatie
Dit kan schematisch worden weergegeven op de volgende figuur.
Elke risicobeoordeling wordt gedocumenteerd door middel van het DV risicobeoordelingssjabloon, zie Sjablonen risicobeoordeling.
Risico-identificatie
Bepalen van het domein
Als eerste stap bij het uitvoeren van een risicobeoordeling wordt het juiste domein bepaald. Bij ad hoc gevraagde beoordelingen is het belangrijk dat de aanleiding om de analyse uit te voeren goed bekend is. Met de informatie uit deze stap kan de doelstelling van de risicobeoordeling worden vastgesteld en kunnen de juiste keuzes worden gemaakt met betrekking tot de bepaling van de context.
Wanneer de AO een risicobeoordeling opstart, wordt de ISO gecontacteerd om de risicobeoordeling uit te voeren voor een gepast domein, eventueel door het groeperen van risicobeoordeling voor verschillende informatieasseten. De ISO bepaalt het gepaste domein van de risicobeoordeling, en dus welke informatieasseten moeten beoordeeld worden. Vervolgens wordt de informatieklasse (IK) opgezocht voor elk informatieasset in het domein van de risicobeoordeling. De IK kan worden opgehaald uit het informatieasset-dashboard. Indien het IK nog niet beschikbaar is, dient een IK-bepaling te gebeuren zoals beschreven in het proces Proces - Informatieklassebepaling. De IK zal later dienen als basis voor het berekenen van de impact van de geïdentificeerde dreigingen.
De risicobeoordeling wordt gedocumenteerd door middel van het DV risicobeoordelingssjabloon, zie Sjablonen risicobeoordeling.
Indien de risicobeoordeling wordt uitgevoerd voor meerdere informatieassets moet steeds in onderstaande tekst de indicatie AO gelezen worden als alle AO's voor de informatieassets in het domein.
Indien de risicobeoordeling wordt uitgevoerd door een ISO op niveau dat informatieasset-overstijgend is zoals voor een bepaald project, dan moet in onderstaande tekst de indicatie AO gelezen worden als de verantwoordelijke voor het domein van de risicobeoordeling.
Identificeren van dreigingen
Een risico wordt gedefinieerd als volgt: ‘De waarschijnlijkheid op het optreden van een dreiging met een gevolg op het behalen van de doelstellingen van een organisatie’.
Na het bepalen van het domein, worden door de ISO alle potentiële dreigingen geïdentificeerd, vertrekkende vanuit de dreigingscataloog voor DV. Dit is een lijst van alle mogelijke dreigingen die van toepassing kunnen zijn op alle mogelijke informatieassets van DV. Het opstellen en onderhouden van de dreigingscataloog wordt beschreven in het beleid Kwetsbaarhedenbeheer. De dreigingscataloog is een onderdeel van het DV risicobeoordelingssjabloon, zie Sjablonen risicobeoordeling.
Vanuit de dreigingscataloog worden door de ISO de generieke dreigingen bepaald die van toepassing zijn op het domein van de risicobeoordeling. Deze generieke dreigingen worden vertaald naar specifieke dreigingen voor het domein van de risicobeoordeling. Dit wordt gedocumenteerd door middel van het DV risicobeoordelingssjabloon, zie Sjablonen risicobeoordeling.
Elk specifieke dreiging wordt door de ISO beschreven als: ‘Er bestaat een waarschijnlijkheid dat <beschrijft gebeurtenis> wordt veroorzaakt door <beschrijft oorzaak>'. Het gevolg van de dreiging op de organisatie wordt uitgedrukt door aan te duiden of de dreiging een impact heeft op de beschikbaarheid, integriteit en/of vertrouwelijkheid van informatie m.b.t. het domein van de risicobeoordeling.
Risico-analyse
Het in kaart brengen van de specifieke dreigingen voor het domein dat wordt beoordeeld, maakt het mogelijk om deze te analyseren door het inschatten van de waarschijnlijkheid dat een dreiging optreedt, en de impact dat de dreiging kan hebben op de organisatie.
De analyse van de waarschijnlijkheid en de impact van elk geïdentificeerde dreiging gebeurt aan de hand van gedefinieerde schalen (1 t/m 5). Om de subjectiviteit van de inschatting van een dreiging te beperken is afstemming binnen de organisatie en overleg met de AO noodzakelijk.
Waarschijnlijkheid
De volgende tabel wordt gehanteerd bij het bepalen van de waarschijnlijkheid dat de dreiging optreedt. Deze inschatting moet worden uitgevoerd door de AO, maar kan worden gefaciliteerd door de ISO, en wordt gedocumenteerd door middel van het DV risicobeoordelingssjabloon, zie Sjablonen risicobeoordeling.
Impact
De impact dat een dreiging heeft op een , wordt afgeleid van de IK van de informatieassets in het domein van de risicobeoordeling, zoals weergegeven in de volgende tabel. Deze berekening wordt door de AO uitgevoerd en is geautomatiseerd en gedocumenteerd door middel van het DV risicobeoordelingssjabloon, zie Sjablonen risicobeoordeling.
De scores voor beschikbaarheid, integriteit en vertrouwelijkheid voor de risicobeoordeling worden bepaald als het maximum van de scores voor elk van de informatieassets in het domein van de risicobeoordeling. De score voor impact van de specifieke dreiging wordt dan berekend als het gemiddelde van de scores voor beschikbaarheid, integriteit en vertrouwelijkheid indien het domein geen persoonsgegevens bevat. Indien het domein van de risicobeoordeling wél persoonsgegevens bevat, wordt de score bepaald door het maximum te nemen van de score voor vertrouwelijkheid, en het gemiddelde van de score voor beschikbaarheid en integriteit.
Indien nog geen IK werd bepaald, dan moet dit gebeuren vooraleer de risicobeoordeling kan worden verdergezet.
Risico Prioriteit Nummer (RPN)
Met behulp van het RPN kunnen dreigingen gerangschikt worden van groot naar klein. Het RPN wordt bepaald door waarschijnlijkheid en impact van een dreiging in bovenstaande schalen te vermenigvuldigen. Dus, RPN = waarschijnlijkheid x impact. Hierdoor krijgt men een inschatting van het inherent risico van een bedreiging, d.w.z. zonder rekening te houden met de beheersmaatregelen die van toepassing zijn en de effectiviteit hiervan. Deze berekening wordt door de AO uitgevoerd en is geautomatiseerd via het gebruik van het risicobeoordelingssjabloon.
Het inherent risico wordt afgeleid uit het RPN, en aangeven aan de hand van een gedefinieerde schaal (1 t/m 4) in de volgende tabel. Deze berekening wordt door de AO uitgevoerd en is geautomatiseerd en gedocumenteerd door middel van het DV risicobeoordelingssjabloon, zie Sjablonen risicobeoordeling.
Dit berekening kan worden afgebeeld in de volgende tabel.
Risico-evaluatie
Identificatie van implementatiemaatregelen
Uiteindelijk gaat risicobeheer over het effectief beheersen van dreigingen. Als organisatie moet je kunnen aantonen hoe je de belangrijkste dreigingen beheerst. In deze stap van de risicobeoordeling wordt gekeken welke implementatiemaatregelen er zijn en welke maturiteit deze hebben.
Het identificeren van implementatiemaatregelen en hun maturiteit wordt per specifieke dreiging besproken door de ISO met de AO, en gebeurd op basis van de TTM vragenlijst die door de AO werd ingevuld. Indien geen TTM werd uitgevoerd, dient dit eerst te gebeuren, zie proces Proces - Toetsing van maatregelen.
De maturiteit van de implementatiemaatregelen wordt bepaald door de AO, aan de hand van een gedefinieerde schaal (1 t/m 5) zoals aangegeven in de volgende tabel. De inschatting van de maturiteit moet worden uitgevoerd door de AO, maar kan worden gefaciliteerd door de ISO. Dit wordt gedocumenteerd door middel van het DV risicobeoordelingssjabloon, zie Sjablonen risicobeoordeling.
Bepalen van kwetsbaarheden en het restrisico
Het aanwezig zijn van een specifieke dreiging die kan optreden met een bepaalde waarschijnlijkheid, en de maturiteit van de beheersmaatregelen, resulteert zo in een kwetsbaarheid voor de organisatie en de informatieassets in het domein van de risicobeoordeling. Hierbij moeten ook andere reeds bekende kwetsbaarheden in aanmerking genomen worden (bv. verouderde infrastructuur, kwetsbaarheden die voortkomen uit PEN-testen, etc.).
De ISO beschrijft de kwetsbaarheden in het DV risicobeoordelingssjabloon, zie Sjablonen risicobeoordeling.
Elke kwetsbaarheid is geassocieerd met een restrisico, nl. het risico dat overblijft nadat de maturiteit van de beheersmaatregelen geëvalueerd werd en rekening gehouden werd met bekende kwetsbaarheden. Dit is het risico dat moet worden beheerd op basis van het risico-appetijt van de directie.
Het restrisico wordt beschreven aan de hand van een gedefinieerde schaal (1 t/m 4) en berekend door de ISO zoals aangegeven in de volgende tabel. Deze berekening wordt geautomatiseerd en gedocumenteerd via het gebruik van het DV risicobeoordelingssjabloon, zie Sjablonen risicobeoordeling door de ISO.
Het restrisico en de behandelingsprioriteit wordt uitgedrukt als:
Een risico dat in het groene of gele gebied zit vormt geen direct gevaar voor organisatie en hoeft niet noodzakelijk verder behandeld te worden. De behandeling van dit soort restrisico’s krijgt een lagere prioriteit. Een risico dat een score heeft die in het oranje gebied zit, vraagt om meer aandacht. Een risico in het rode gebied, vereist directe aandacht om te voorkomen dat de kwetsbaarheid wordt uitgebuit.
Risicostrategie
Om een risico te behandelen kunnen acties worden gedefinieerd die één van de 4 mogelijke risicostrategieën implementeren, met name:
Mitigeren: het nemen van acties om het restrisico te verhinderen, te verminderen, af te zwakken of te matigen,
Overdragen: het overdragen van het risico op een andere organisatie, bv. door het inschakelen van een ICT-dienstverlener en door het afsluiten van diverse raamcontracten,
Vermijden: het risico elimineren van een risico door het stopzetten van de activiteiten die verband houden met het risico,
Accepteren: een aantal specifieke risico’s waarbij de beheersmaatregelen veel meer inzet en tijd vergen dan het effect van het risico worden geaccepteerd.
De AO moet ervoor zorgen dat elk risico verder wordt behandeld, dit wordt verder beschreven in het proces risicobehandeling, zie Proces - Risicobehandeling.
De ISO noteert in het informatieasset-dashboard dat een risicobeoordeling werd uitgevoerd en stuurt de de risicobeoordeling naar de AO ter herziening.
De risicobeoordeling wordt herzien door de AO en nadien gevalideerd door het afdelingshoofd en/of de team coach van de AO.
Voor kwetsbaarheden met een risico van 4-hoog of 5-kritisch (overeenkomend met een RPN hoger dan 10) moet de AO in het risicobeoordelingssjabloon een referentie opgeven naar een item in het risicobeoordelingsplan dat wordt opgesteld, het proces risicobehandeling, zie Proces - Risicobehandeling.