Stiki veitir ráðgjöf við gerð áhættumats. Áhættumat er mat á ógnum sem steðja að upplýsingum og upplýsingavinnslu, áhrifum þeirra og viðkvæmni fyrir þeim og líkum á að þær gerist. Metin er hættan á því að óviðkomandi fái aðgang að upplýsingum, geti breytt upplýsingum eða skert öryggi þeirra að öðru leyti.

Áhættumat tekur einnig til athugunar umfang og afleiðingar hættunnar m.t.t. eðlis þeirra upplýsinga sem unnið er með. Markmið áhættumats er að skapa forsendur fyrir vali á öryggisráðstöfunum. Áhættumat skal endurskoða reglulega.

Í áhættumati er leitast við að draga fram öll þau atriði er hafa áhrif á öryggi þeirra kerfa sem áhættumatið nær til:

• Upplýsingaeign: Allar eignir eða hópar eigna, bæði áþreifanlegar og óáþreifanlegar sem teljast til þess rekstrar sem áhættumatið skal ná yfir.
• Öryggisáhætta: Öryggisáhætta er fundin út frá virði eigna, alvarleika ógna sem að eignum steðja, líkum á að ógn verði að veruleika og veikleikum eigna gagnvart ógnum. Öryggisáhættu má lækka með því að innleiða ráðstafanir sem minnka veikleika gagnvart ógnum og/eða líkur á að þær verði að veruleika.
• Áhættuviðmið: Viðmið sem stjórnendur sætta sig við sem ásættanlega áhættu í rekstri.
• Afgangsáhætta: Sú áhætta sem ekki er mætt með innleiddum ráðstöfunum samkvæmt formlegu samþykki stjórnenda.

RM Studio

Stiki gerir áhættumat með hugbúnaðinum RM Studio sem er þróaður hefur verið hjá Stika til að framkvæma áhættumat í samræmi við kröfur ISO/IEC 27001:2005. Þessi hugbúnaður gefur möguleika á að framkvæma áhættumatið á íslensku og birta síðan niðurstöður þess ýmist á íslensku eða ensku eftir hentugleikum.

Áhættumat er unnið undir stjórn starfsmanns Stika á vinnufundum þar sem verkefnisstjóri kallar til starfsmenn viðskiptavinar eftir þörfum.

Afurðir áhættumats

Umfang þess rekstrar sem áhættumatið nær yfir: Umfang áhættumatsins nær yfir eftirfarandi, þ.e:

• Hvaða upplýsingaeigna (búnaðar, þekkingar, gagna og ímyndar) taka þarf tillit til.
• Hvaða öryggiskrafna sem koma fram í ákvæðum laga, reglugerða, alþjóðasamninga og tilskipana taka þarf tillit til.
• Hvaða öryggiskrafna þarf að taka tillit til sem gerðar eru í verkferlum, stöðlum og öryggisstefnu.
• Hvaða öryggiskrafna þarf að taka tillit til vegna tæknilegrar útfærslu á upplýsinga- og fjarskiptakerfum.

Fylgni við lög og reglugerðir

Lög og reglugerðir sem ramma inn umfang þess rekstrar sem áhættumatið nær yfir.

Listi yfir upplýsingaeignir

ISO/IEC 27002:2005 gerir ráð fyrir að allar upplýsingaeignir séu skráðar, verðmæti þeirra metið og að upplýsingaeignir eigi sér ábyrgðarmann.

Listi yfir ógnir

Ógnir sem steðja að upplýsingaeignum ber að skrá og meta með tilliti til alvarleika ógnar, veikleika eignar gagnvart ógn og líkum á að ógn verði að veruleika.

Listi yfir innleiddar ráðstafanir úr ISO/IEC 27002

ISO/IEC 27002:2005 tilgreinir ráðstafanir til varnar ógnum. Við framkvæmd áhættumats ber að skrá hverjar þessara ráðstafana hafa verið innleiddar.

Listi yfir framtíðarráðstafanir úr ISO/IEC 27002

Þegar búið er skrá innleiddar ráðstafanir úr ISO/IEC 27002:2005 geta stjórnendur metið hvort öryggisáhætta sé innan ásættanlegra marka. Ef bæta þarf öryggið eru valdar framtíðarráðstafanir, einnig í RM Studio. Þegar ákvörðun er tekin um framtíðarráðstöfun skal meta hvaða áhrif hún mun hafa á heildaröryggi og bera það saman við kostnað við innleiðingu. Tímasetja skal hvenær innleiðingu framtíðarráðstafana skal lokið.

Yfirlýsing um nothæfi skv. ISO/IEC 27001

Við framkvæmd áhættumats með Stiki RM Studio er á öllum stigum hægt að mynda skýrslu sem lýsir áhættumati miðað við innslegin gögn. Við lok áhættumats og einnig eftir að framtíðarráðstafanir hafa verið ákveðnar nýtist þessi skýrsla sem greinargerð um ástand upplýsingaöryggis, þ.e. yfirlýsing um nothæfi.
Yfirlýsing um nothæfi er yfirlýsing stjórnenda um stöðu upplýsingaöryggismála.

Skýrslur

Ýmsar skýrslur fást með notkun RM Studio, m.a. skýrslur til að auðvelda ákvörðunartöku og forgangsröðun verkefna vegna innleiðingar ráðstafana til að minnka öryggisáhættu.