BS 7799 – etablering av Information Security Management Systems (ISMS) Gir standarder for etablering av ISMS i en bedrift Fastsetter omfanget av arbeidet med inf.sikkerhet Risikoanalyse Risikostyring – behandle risiko Velge og iverksette kontrolltiltak Utarbeide anvendelseserklæring

Termer og definisjoner Trussel: kilde eller situasjon som potensielt kan påføre organisasjonens eiendeler skade Risiko: Sjansen for at noe skjer som kan ha påvirkning på ulike objekter, målt i sannsynlighet og konsekvens Akseptabel risiko: Risiko redusert til et nivå som kan aksepteres av organisasjonen

Informasjonsinnsamling Informasjonsinnsamlingen er et forarbeid som utføres for å mer effektivt jobbe videre med sikkerhetsplaner. Mer konkret bør følgende informasjon samles inn: eksisterende retningslinjer, policyer, tiltaksplaner systemarkitektur og sikkerhetskomponenter som brannmurer, TTP-tjenester (vil si en uavhengig part som holder styr på en avansert adresse-katalog som sender og mottar digitale sertifikater) og dessuten informasjon om fysisk sikring (bygninger, dører, låser, kabling, osv.)

Informasjonsinnsamling (forts) loggførte sikkerhetshendelser, notater som beskriver mistanker og alt av sikkerhetsrelevant informasjon rammepolicyer som er pålegg utenfra inklusive lover, styrevedtak, konsesjoner, etc. hvis det finnes store sikkerhetshull: korte intervjuer, spørrerunder om sikkerhet og tiltak hos ansatte, IT-sjefer og ledelse

Sikkerhetsdomene Et sikkerhetsdomene definerer grensene for virksomhetens sikkerhet. D.v.s. at all informasjon, ressurser, utstyr og aktører innenfor sikkerhetsdomenet er underlagt virksomhetens entydige myndighet, kontroll og policy. Dette vil også ha den konsekvens at før informasjon har ankommet og når informasjon forlater sikkerhetsdomenet har man ingen eller liten kontroll med den. Videre vil man ha mindre kontroll med aktører som fysisk befinner seg på utsiden av sikkerhetsdomenet.

Domener En virksomhet må definere sine domener En aktør er en aktiv person hvis handlinger vil kunne ha konsekvenser for informasjonen og tilstanden i virksomheten. Bak en aktør skal det følge ansvar, dvs. det må være et rettssubjekt (person eller virksomhet) som kan forfølges rettslig dersom nødvendig. En maskin er således ikke en aktør, men det er derimot de som står bak og er ansvarlig for maskinenes handlinger. Alle aktører i systemet bør listes opp med tittel – ikke navn

Domener forts Aktører grupperes etter om de er innsidere eller utsidere. Innsidere har virksomheten bedre kontroll på. Typiske slike roller er ansatte, ledelse, adm. dir., kunder, kundegruppe A, kredittilsyn, publikum, presse, sikkerhetssjef, IT-sjef

Risikoanalyse Risikoanalyse er hovedverktøyet som skal føre frem til sikkerhetspolicy og tiltaksplaner. Informasjon og ressurser er kjernen i sikkerhetsarbeidet. Det er dette som skal beskyttes, og det er deres sårbarhet man er redd for. Første steget her er å lage en komplett oversikt over samtlige ressurser som er innenfor sikkerhetsdomenet. Komplettheten er viktig på dette stadiet. Struktur kan man vente med. Deretter må man strukturere og kategorisere informasjonstypene og ressurstypene slik at alle ressurser innenfor en og samme kategori har omtrent samme beskyttelsesbehov

Risikoanalyse (forts) For hver ressurskategori må det avgjøres hvilken sikkerhetsmessig verdi ressursene har og hva et angrep mot den kan medføre. Med sikkerhetsmessig verdi mener vi for eksempel en av følgende: Konfidensialitet: Det er viktig at informasjonen holdes hemmelig, og en avsløring vil medføre skade. Integritet: Det er viktig at informasjonen ikke blir endret på en autorisert måte.

Risikoanalyse - forts Tilgjengelighet: Det er viktig at informasjonen ikke blir ødelagt og/eller at den er tilgjengelig for de autoriserte ved behov. Tyveribeskyttet: Det er viktig at data/program/tjeneste ikke blir benyttet/kopiert/e.t.c. uten at det betales for det og at tjenester som ikke er ment for det blir benyttet av uautoriserte. Sporbarhet: Det er viktig å kunne identifisere hvem som har utført sentrale handlinger i sikkerhetsdomenet. Personvern: Ressursene inkluderer personopplysninger som har behov for konfidensialitet, integritet og/eller tilgjengelighet.

Risikoanalyse - forts For hvert par av ressurskategori/sikkerhetsegenskap (se neste ark) skal man også beskrive hvilke konsekvenser et sikkerhetsbrudd vil kunne få. Konsekvensene bør graderes etter et eget valgt system, f.eks. kvantitativt i kroner og ører, eller etter et enkelt kvalitativt som liten, moderat, stor og katastrofal. Til slutt beskriver man alle årsakskjeder som kan lede til de ulike sikkerhetsbruddene, og dessuten en angivelse av sannsynligheten for at dette kan inntreffe, enten i tallverdi, eller en enklere gradering som sjelden, vanlig og ofte. Ulike årsakskjeder kan lede til ulike grader av sikkerhetsbrudd. Det hele leder ut i en tabell hvor alle disse sammenhengene blir presentert:

Risikoanalyse - forts Ressurs-kategori Sikkerhet Årsaks-kjede Sannsyn-lighet Konse-kvens Gradering Kategori 1 Konfidens-ialitet Noen ganger skjer … Ofte Innsyn i … Moderat …

Risikoanalyse Mulige risiki Sannsynlighet 0 - 1 Konsekvens 0 - 10 Rangering Tiltak Tap av data 0,4 10 4 Backup Angrep utenfra 0,15 1,5 Firewall Ikke tilgang til Internett 0,2 2 Flere tilganger Sykdom 0,7 1,4 Lik kompetanse hos alle

Risikoanalyse forts Mulige risiki Sannsynlighet 0 - 1 Konsekvens 0 - 10 Rangering Tiltak Sykdom Langtids sykdom Angrep innenfra Mangel på kompetanse

Risikoanalyse forts Mulige risiki Sannsynlighet 0 - 1 Konsekvens 0 - 10 Rangering Tiltak Feil på hardware Noen slutter Ikke tilgang til lokalet Interne problemer

Risikoanalyse forts Mulige risiki Sannsynlighet 0 - 1 Konsekvens 0 - 10 Rangering Tiltak Dårlig organisering Dårlig ledelse Støy i lokalet Annet - angi

Sikkerhetspolicy Hensikt og resultat: Hensikten med denne prosessen er å få etablert en sikkerhetspolicy for virksomheten. Resultatet skal være et dokument inneholdende sikkerhetspolicyen for virksomheten, og som er godkjent av ledelsen. Definisjon: En sikkerhetspolicy definerer sikkerheten i en virksomhet. Alle generelle overordnede regler for håndtering av informasjon (o.l.) skal nedfestes i et policydokument. Sikkerhetspolicyen må være forankret og sanksjonert av virksomhetens ledelse. Den skal på dette nivået være så frakoblet tiltak, løsninger og arkitektur som mulig.

Sikkerhetspolicy - forts En policy definerer hva slags sikkerhet man ønsker, ikke hvordan denne skal oppnås. (F.eks. bør man skrive "Brukere må identifisere og autentifisere seg før felles ressurser benyttes." og ikke "Brukere må oppgi et passord som skal være på 8 tegn og inneholde 3 spesialtegn ved innlogging.") Redusere risiko: En sikkerhetspolicy har flere sider. For det første skal den redusere den uakseptable risikoen som var identifisert under risikoanalysen, gitt de akseptkriterier som ble besluttet. Det kan gjøres på to måter, enten ved å redusere sannsynligheten for at en uønsket hendelse skal inntreffe (f.eks. ved å redusere adgangen til konfidensiell informasjon) eller ved å redusere konsekvensene ved et eventuelt sikkerhetsbrudd (f.eks. ved å ta backup av viktig tilgjengelighetsdata).

Sikkerhetspolicy - forts Aksesspolicy: Den andre oppgaven til sikkerhetspolicyen er å sørge for at virksomheten og dens ansatte får arbeide og bruke virksomhetens ressurser på en mest mulig effektiv måte. Derfor bør policyen spesifikt ta stilling til hvilke aktører som skal ha adgang til å aksessere hvilke informasjonskategorier, under hvilke betingelser. Denne delen av sikkerhetspolicyen kalles aksesskontrollpolicy.

Sikkerhetspolicy - forts Konfidensiell informasjon skal bare bli lest av færrest mulige personer. En mulig avsløring av konfidensiell informasjon kan gjøre stor skade Derfor bør man i aksesskontrollpolicyen gi regler for hvilke aktører som skal lese hvilken informasjon. F.eks. kan informasjon graderes og noen kan gis tilstrekkelig klarering. Eller noen kan oppføres som eier og skal selv bestemme hvilke andre som skal ha adgang til å lese dette. Lignende betraktninger må gjøres over informasjon med behov for integritet og tilgjengelighet. Mulighetene er mange, noen av de mest elementære aksesspolicyene er beskrevet i under:

Sikkerhetspolicy - eksempel Generelt må man beskrive bakgrunn, motiv og målsetting med sikkerhetsarbeidet. Det må defineres sikkerhetsdomene(r), aktører, informasjonskategorier og andre sentrale begreper. Sporbarhet beskriver hvilke krav man stiller til at aktørene identifiserer og autentiserer seg. Man kan stille ulike krav til ulike typer aktiviteter. Videre stilles krav til logging, alarmering og katastrofeplanlegging. Krav til overvåking kan også være negativ, dvs. at man av anonymitetshensyn legger begrensninger på driftspersonalets muligheter til dette. Aksesspolicy beskriver alle regler for hvem som skal ha adgang til å aksessere hvilke informasjons- og ressurskategorier, og på hvilken måte.

Sikkerhetspolicy - forts Organisasjon fordeler sikkerhetsansvar utover i virksomheten. Ansvar beskriver det personlige ansvar og hvilke konsekvenser brudd på sikkerhetspolicyen vil kunne medføre. Referanser lister opp de dokumenter som ligger til grunn for sikkerhetsarbeidet, så som rammepolicyer og risikoanalyser. Dessuten kan den gi mer spesifikke referanser til hvilke trusler som søkes redusert ved hvilke policyutsagn. Sanksjonering betyr en dato og underskrift om at ledelsen går god for dokumentet.

Sikkerhetspolicy - forts Ikke prøv å lage vanntette perfekte sikkerhetsopplegg. Med i sikkerheten ligger kalkulerte risikoer og godtakelse av at verden ikke er perfekt. Resultatet skal være et dokument som inneholder hele policyen, samt pekere til begrunnelse for de valg som er gjort

Matrise for trusselvurdering Frekvens/ Konsekvens Lav Middels Høy

Matrise for risikovurdering Kontroll/ Trusselnivå Høy Middels Lav