ROS-analyse - En veileder til bruk for kartlegging av applikasjoner

Analyse av risiko og sårbarhet (ROS-analyse) betyr å kartlegge sannsynlighet og konsekvenser av uønskede hendelser, og planlegge tiltak for å forebygge dem eller redusere konsekvensen av dem dersom de skulle oppstå. Analysen bygger på faglig skjønn og erfaringer, og er et nyttig verktøy for å finne områder for forbedring.

 
Nøkkelbegrep som benyttes i forbindelse med ROS-analyser:
 • Risiko er et uttrykk for den faren som uønskede hendelser representerer for mennesker, miljø og materielle verdier.
  Risiko uttrykkes ved sannsynlighet for uønskede hendelser multiplisert med konsekvensene dersom de skulle inntreffe.

  Risiko = Sannsynlighet x Konsekvens
   
 • Sårbarhet er i denne sammenhengen et uttrykk for et systems evne til å fungere og oppnå sine mål i en situasjon der det utsettes for påkjenninger.
   
 • Konfidensialitet: Å sikre at informasjon og informasjonssystemer bare er tilgjengelig for de som skal ha tilgang.
   
 • Integritet: Å sikre at informasjon og informasjonssystemer er korrekte, gyldige og fullstendige.
   
 • Tilgjengelighet: Å sikre at informasjon og informasjonssystemer er tilgjengelig innenfor de tilgjengelighetskrav som er satt.
   

For å kunne si noen om risiko må man foreta en vurdering i hvert enkelt tilfelle om hva man anser som sannsynlighet for noe skal skje, og dersom det skjer, hvilke konsekvenser får det. I tabellen Sannsynlighet  lese av grad (S1 til S5) ved å vurdere hvor ofte man ser for seg at en hendelse kan skje. Det er ikke noe fastsvar slik at det er greit å drøfte slikt i fellesskap, gjerne en liten workshop.
 

S A N N S Y N L I G H E T
Grad Hvor ofte man ser for seg en hendelse
S1 - Svært lav Sjeldnere enn hvert 5. år
S2 - Lav: Forekommer mellom 1 - 5 år
S3 - Middels: Skjer årlig
S4 - Høy Skjer månedlig
S5 - Svært høy Skjer hver uke

 

På tilsvarende måte som sannsynlighet er det en tabell for konsekvens. Konsekvens er noe mer vanskelig å definere da den har flere elementer som man må ta hensyn til. Dette er spørsmål rundt konsekvensene av intergritet, personlig og organisatorisk.

S4 - Høy Skjer månedlig K4 - Høy Uautorisert innsyn i enkelte sensitive personopplysninger. Uautorisert innsyn i sensitiv informasjon S5 - Svært høy Skjer hver uke K5 - Svært høy Fullt autorisert innsyn i personlige opplysninger, og/eller muligheter til å gjøre uautoriserte endringer. Sensitiv informasjon på avveie. Tap av sensitiv informasjon.

K O N S E K V E N S
  Integritet Personlig Organisatorisk
K1 - Ingen Ingen følger. Ingen følger. Ingen følger.
K2 - Lav   Følsomme opplysninger kan være på avveie. Følsomme oppslyninger kan være spredt internt
K3 - Middels   Uautorisert innsyn i enkelte konfidensielle personopplysninger. Uautorisert innsyn i konfidensiell informasjon.
K4 - Høy  
Uautorisert innsyn i enkelte sensitive personopplysninger.
Uautorisert innsyn i sensitiv informasjon
K5 - Svært høy  
Fullt autorisert innsyn i personlige opplysninger, og/eller muligheter til å gjøre uautoriserte endringer.
Sensitiv informasjon på avveie. Tap av sensitiv informasjon.

 

Når man har kommet frem til hvor i tabellene sannsynlighet og konsvekvens man velger å legge lista, overfører man dette til tabellen for å beregne risiko.

Eksempel: 
Hvis sannsynlighet settes til S2 og konsekvens til K3 vil riskiko beregnes til å være 2 x 3 = 6.
Dvs. innenfor det gule området.


Fargevalgene sier noe om hva man må foreta at tiltak hvis man kommer innenfor de gule og røde feltene. Hvis gult felt er det nødvendig å foreta en vurdering om tiltak er nødvendig. Kommer man innenfor de røde feltene skal tiltak defineres. Kommer man innenfor de grønne feltene trenger man ikke å foreta ytterligere grep.

Tabell for å beregne risiko
  S A N N S Y N L I G H E T
S1 S2 S3 S4 S5

K

O

N

S

E

K

V

E

N

S

K1 1 2 3 4 5
K2 2 4 6 8 10
K3 3 6 9 12 15
K4 4 8 12 16 20
K5 5 10 15 20 25