1

BS 7799 – etablering av Information Security Management Systems (ISMS)

Gir standarder for etablering av ISMS i en bedrift Fastsetter omfanget av arbeidet med inf.sikkerhet Risikoanalyse Risikostyring – behandle risiko Velge og iverksette kontrolltiltak Utarbeide anvendelseserklæring

2

Termer og definisjoner

Trussel: kilde eller situasjon som potensielt kan påføre organisasjonens eiendeler skade

Risiko: Sjansen for at noe skjer som kan ha påvirkning på ulike objekter, målt i sannsynlighet og konsekvens

Akseptabel risiko: Risiko redusert til et nivå som kan aksepteres av organisasjonen

3

Informasjonsinnsamling

Informasjonsinnsamlingen er et forarbeid som utføres for å mer effektivt jobbe videre med sikkerhetsplaner. Mer konkret bør følgende informasjon samles inn:

eksisterende retningslinjer, policyer, tiltaksplaner systemarkitektur og sikkerhetskomponenter som

brannmurer, TTP-tjenester (vil si en uavhengig part som holder styr på en avansert adresse-katalog som sender og mottar digitale sertifikater) og dessuten informasjon om fysisk sikring (bygninger, dører, låser, kabling, osv.)

4

Informasjonsinnsamling (forts)

loggførte sikkerhetshendelser, notater som beskriver mistanker og alt av sikkerhetsrelevant informasjon

rammepolicyer som er pålegg utenfra inklusive lover, styrevedtak, konsesjoner, etc.

hvis det finnes store sikkerhetshull: korte intervjuer, spørrerunder om sikkerhet og tiltak hos ansatte, IT-sjefer og ledelse

5

Sikkerhetsdomene

Et sikkerhetsdomene definerer grensene for virksomhetens sikkerhet.

D.v.s. at all informasjon, ressurser, utstyr og aktører innenfor sikkerhetsdomenet er underlagt virksomhetens entydige myndighet, kontroll og policy.

Dette vil også ha den konsekvens at før informasjon har ankommet og når informasjon forlater sikkerhetsdomenet har man ingen eller liten kontroll med den.

Videre vil man ha mindre kontroll med aktører som fysisk befinner

seg på utsiden av sikkerhetsdomenet.

6

Domener

En virksomhet må definere sine domener En aktør er en aktiv person hvis handlinger vil kunne ha

konsekvenser for informasjonen og tilstanden i virksomheten. Bak en aktør skal det følge ansvar, dvs. det må være et rettssubjekt

(person eller virksomhet) som kan forfølges rettslig dersom nødvendig.

En maskin er således ikke en aktør, men det er derimot de som står bak og er ansvarlig for maskinenes handlinger.

Alle aktører i systemet bør listes opp med tittel – ikke navn

7

Domener forts

Aktører grupperes etter om de er innsidere eller utsidere. Innsidere har virksomheten bedre kontroll på. Typiske slike roller er ansatte, ledelse, adm. dir., kunder,

kundegruppe A, kredittilsyn, publikum, presse, sikkerhetssjef, IT-sjef

8

Risikoanalyse

Risikoanalyse er hovedverktøyet som skal føre frem til sikkerhetspolicy og tiltaksplaner.

Informasjon og ressurser er kjernen i sikkerhetsarbeidet. Det er dette som skal beskyttes, og det er deres sårbarhet man er redd for.

Første steget her er å lage en komplett oversikt over samtlige ressurser som er innenfor sikkerhetsdomenet.

Komplettheten er viktig på dette stadiet. Struktur kan man vente med.

Deretter må man strukturere og kategorisere informasjonstypene og ressurstypene slik at alle ressurser innenfor en og samme kategori har omtrent samme beskyttelsesbehov

9

Risikoanalyse (forts)

For hver ressurskategori må det avgjøres hvilken sikkerhetsmessig verdi ressursene har og hva et angrep mot den kan medføre. Med sikkerhetsmessig verdi mener vi for eksempel en av følgende:

Konfidensialitet: Det er viktig at informasjonen holdes hemmelig, og en avsløring vil medføre skade.

Integritet: Det er viktig at informasjonen ikke blir endret på en

autorisert måte.

10

Risikoanalyse - forts

Tilgjengelighet: Det er viktig at informasjonen ikke blir ødelagt og/eller at den er tilgjengelig for de autoriserte ved behov.

Tyveribeskyttet: Det er viktig at data/program/tjeneste ikke blir benyttet/kopiert/e.t.c. uten at det betales for det og at tjenester som ikke er ment for det blir benyttet av uautoriserte.

Sporbarhet: Det er viktig å kunne identifisere hvem som har utført sentrale handlinger i sikkerhetsdomenet.

Personvern: Ressursene inkluderer personopplysninger som har

behov for konfidensialitet, integritet og/eller tilgjengelighet.

11

Risikoanalyse - forts

For hvert par av ressurskategori/sikkerhetsegenskap (se neste ark) skal man også beskrive hvilke konsekvenser et sikkerhetsbrudd vil kunne få.

Konsekvensene bør graderes etter et eget valgt system, f.eks. kvantitativt i kroner og ører, eller etter et enkelt kvalitativt som liten, moderat, stor og katastrofal.

Til slutt beskriver man alle årsakskjeder som kan lede til de ulike sikkerhetsbruddene, og dessuten en angivelse av sannsynligheten for at dette kan inntreffe, enten i tallverdi, eller en enklere gradering som sjelden, vanlig og ofte.

Ulike årsakskjeder kan lede til ulike grader av sikkerhetsbrudd. Det hele leder ut i en tabell hvor alle disse sammenhengene blir

presentert:

12

Risikoanalyse - forts

Ressurs-kategori

Sikkerhet Årsaks-kjede

Sannsyn-lighet

Konse-kvens

Gradering

Kategori 1 Konfidens-ialitet

Noen ganger skjer …

Ofte Innsyn i … Moderat

… …

… …

13

Risikoanalyse

Mulige risiki Sannsynlighet 0 - 1

Konsekvens 0 - 10

Rangering Tiltak

Tap av data 0,4 10 4 Backup

Angrep utenfra

0,15 10 1,5 Firewall

Ikke tilgang til Internett

0,2 2 0,4 Flere tilganger

Sykdom 0,7 2 1,4 Lik kompetanse hos alle

14

Risikoanalyse forts

Mulige risiki Sannsynlighet 0 - 1

Konsekvens 0 - 10

Rangering Tiltak

Sykdom

Langtids sykdom

Angrep innenfra

Mangel på kompetanse

15

Risikoanalyse forts

Mulige risiki Sannsynlighet 0 - 1

Konsekvens 0 - 10

Rangering Tiltak

Feil på hardware

Noen slutter

Ikke tilgang til lokalet

Interne problemer

16

Risikoanalyse forts

Mulige risiki Sannsynlighet 0 - 1

Konsekvens 0 - 10

Rangering Tiltak

Dårlig organisering

Dårlig ledelse

Støy i lokalet

Annet - angi

17

Sikkerhetspolicy

Hensikt og resultat: Hensikten med denne prosessen er å få etablert en sikkerhetspolicy for virksomheten.

Resultatet skal være et dokument inneholdende sikkerhetspolicyen for virksomheten, og som er godkjent av ledelsen.

Definisjon: En sikkerhetspolicy definerer sikkerheten i en virksomhet.

Alle generelle overordnede regler for håndtering av informasjon (o.l.) skal nedfestes i et policydokument.

Sikkerhetspolicyen må være forankret og sanksjonert av virksomhetens ledelse.

Den skal på dette nivået være så frakoblet tiltak, løsninger og arkitektur som mulig.

18

Sikkerhetspolicy - forts

En policy definerer hva slags sikkerhet man ønsker, ikke hvordan denne skal oppnås. (F.eks. bør man skrive "Brukere må identifisere og autentifisere seg før felles ressurser benyttes." og ikke "Brukere må oppgi et passord som skal være på 8 tegn og inneholde 3 spesialtegn ved innlogging.")

Redusere risiko: En sikkerhetspolicy har flere sider. For det første skal den redusere den uakseptable risikoen som var identifisert under risikoanalysen, gitt de akseptkriterier som ble besluttet.

Det kan gjøres på to måter, enten ved å redusere sannsynligheten for at en uønsket hendelse skal inntreffe (f.eks. ved å redusere adgangen til konfidensiell informasjon)

eller ved å redusere konsekvensene ved et eventuelt sikkerhetsbrudd (f.eks. ved å ta backup av viktig tilgjengelighetsdata).

19

Sikkerhetspolicy - forts

Aksesspolicy: Den andre oppgaven til sikkerhetspolicyen er å sørge for at virksomheten og dens ansatte får arbeide og bruke virksomhetens ressurser på en mest mulig effektiv måte.

Derfor bør policyen spesifikt ta stilling til hvilke aktører som skal ha adgang til å aksessere hvilke informasjonskategorier, under hvilke betingelser.

Denne delen av sikkerhetspolicyen kalles aksesskontrollpolicy.

20

Sikkerhetspolicy - forts

Konfidensiell informasjon skal bare bli lest av færrest mulige personer. En mulig avsløring av konfidensiell informasjon kan gjøre stor skade

Derfor bør man i aksesskontrollpolicyen gi regler for hvilke aktører som skal lese hvilken informasjon. F.eks. kan informasjon graderes og noen kan gis tilstrekkelig klarering. Eller noen kan oppføres som eier og skal selv bestemme hvilke andre som skal ha adgang til å lese dette.

Lignende betraktninger må gjøres over informasjon med behov for integritet og tilgjengelighet. Mulighetene er mange, noen av de mest elementære aksesspolicyene er beskrevet i under:

21

Sikkerhetspolicy - eksempel

Generelt må man beskrive bakgrunn, motiv og målsetting med sikkerhetsarbeidet. Det må defineres sikkerhetsdomene(r), aktører, informasjonskategorier og andre sentrale begreper.

Sporbarhet beskriver hvilke krav man stiller til at aktørene identifiserer og autentiserer seg.

Man kan stille ulike krav til ulike typer aktiviteter. Videre stilles krav til logging, alarmering og katastrofeplanlegging. Krav til overvåking kan også være negativ, dvs. at man av

anonymitetshensyn legger begrensninger på driftspersonalets muligheter til dette.

Aksesspolicy beskriver alle regler for hvem som skal ha adgang til å aksessere hvilke informasjons- og ressurskategorier, og på hvilken måte.

22

Sikkerhetspolicy - forts

Organisasjon fordeler sikkerhetsansvar utover i virksomheten. Ansvar beskriver det personlige ansvar og hvilke konsekvenser

brudd på sikkerhetspolicyen vil kunne medføre. Referanser lister opp de dokumenter som ligger til grunn for

sikkerhetsarbeidet, så som rammepolicyer og risikoanalyser. Dessuten kan den gi mer spesifikke referanser til hvilke trusler som søkes redusert ved hvilke policyutsagn.

Sanksjonering betyr en dato og underskrift om at ledelsen går god for dokumentet.

23

Sikkerhetspolicy - forts

Ikke prøv å lage vanntette perfekte sikkerhetsopplegg.

Med i sikkerheten ligger kalkulerte risikoer og godtakelse av at verden ikke er perfekt.

Resultatet skal være et dokument som inneholder hele policyen, samt pekere til begrunnelse for de valg som er gjort

24

Matrise for trusselvurdering

Frekvens/

KonsekvensLav Middels Høy

Lav

Middels

Høy

25

Matrise for risikovurdering

Kontroll/Trusselnivå

Høy Middels Lav

Lav

Middels

Høy