På egen hånd
I Veileder til internkontroll for informasjonssikkerhet er det beskrevet hvordan virksomheten etablerer og drifter et internkontrollsystem. Sikkerhetsvurderinger er en del av dette arbeidet. Siden AMS er definert som et kritisk system i lovverket, skal det gjennomføres risikovurderinger.
Anbefalt rekkefølge for virksomheter som starter fra null:
- Start med bryterfunksjonen. Gjennomfør risikovurdering for brytefunksjonaliteten først – dette har høyest konsekvens ved kompromittering.
- Vurder avregningssystemet. Gjennomfør risikovurdering for å sikre korrekt måling og fakturering.
- Etabler årlig gjennomgang. Sett opp rutine for å gjennomgå risikovurderingene minimum én gang i året. Se «Oversikt og planlegging» for forslag til årsplan.
- Vurder behov for testing. Basert på risikobildet, vurder om det er behov for teknisk testing (sårbarhetsscanning, penetrasjonstesting).
Alternativt kan aktivitet 1 og 2 gjennomføres parallelt.
Hva kan gjøres internt, og når trengs ekstern bistand?
Tabellen nedenfor gir en oversikt som vi har erfart kan være relevant for mange nettselskaper. Evnen til å håndtere aktivitetene må vurderes konkret av hvert enkelt nettselskap, basert på selskapets ressurser, kompetanse og modenhet.
| Aktivitet | Kan i mange tilfeller gjøres internt | Krever normalt ekstern bistand |
| Risikovurdering | Ja, med veiledning fra denne veilederen | Ved behov for fasilitering eller spisskompetanse |
| Enkel sårbarhetsscanning | Ja, med verktøy nevnt i denne veilederen | Ved omfattende eller kontinuerlig scanning |
| Enkle tilgangstester | Ja, se eksempler i denne veilederen | - |
| Penetrasjonstesting | Enkle tester, se eksempler | Grundig testing av protokoller og maskinvare |
| Kodegjennomgang | Kontrollsumverifisering | Full gjennomgang av kildekode |
|
Sikkerhetsrevisjon |
Ja, med dokumentgjennomgang og verifisering (f.eks. loggkontroll, stikkprøver på tilganger) | Ved behov for uavhengig vurdering |
Se kapitlene «Gjennomføring av sikkerhetsvurderinger» og «Følg opp og test» for detaljer og eksempler.