Sikkerhet i smb Case Åstvedt Industrier Pharos AS - Peter Bonne
Informasjonssikkerhetsutfordringer Åstvedt Industrier AS Bedriften Åstvedt Industrier as ble etablert i 1966 Bedriften har ca 350 personer i aktivitet til enhver tid, og er Hordalands største Arbeidsmarkeds- og Attføringsbedriftbedrift 600 medarbeidere pr år og 200 kursdeltakere Informasjonssikkerhetsutfordringer Alle de vanlige Personopplysninger: Arbeidsmarkeds- og Attføringsbedriftbedrift Bredt spekter av aktiviteter med bruk av IT Kursvirksomhet
Åstvedt Industrier, organisasjon STYRE ADM. DIREKTØR Sigurd E. Gjertsen FORRETNINGSUTVIKLER EQRM, HMS, prosjekter PERSONAL Personal Bedriftshelsetjeneste ADMINISTRASJON Regnskap, lønn, kantine, renhold, sentralbord KVALITETSLEDER Kvalitet, IT sikkerhet, prosjekter ÅSTVEDT MEKANISK Maskinering, Plate/sveis, Montering, Gravering ÅSTVEDT ELEKTRONIKK Utvikling, Kortmontering Trafoproduksjon, Tavlebygging ÅSTVEDT ATTFØRING Avklaring, kvalifisering, formidling. AMB, APS, AB, AMO kurs, IA ÅSTVEDT PROFILERING Skilt - dekor Skiltmontering ÅSTVEDT IT Kursvirksomhet Web & Grafisk IT Drift ÅSTVEDT KJENNEMERKE Kjøretøyskilt ÅSTVEDT LOGISTIKK Lager Transport ÅSTVEDT HELSE & OMSORG Barnehage
Informasjonssikkerhet Sikkerhets- policy Trusler/Sårbarhet Risiko Virksomhetsmål og strategier Love/regler/Etikk standarder (ISO 17799) Implementeres ved hjelp av IT-Strategi Metoder/tekniker -Kryptering, Autentisering -Signering -innbruddsdetektering -mm Utstyr/programvare -Brannmure, viruskontroll Prosedyrer -Backup -sikkerhetsrevisjon Organisering/infrastruktur/ kompetanse Internt og eksternt miljø og brukere og ”brukere” Applikasjoner/ Tjenester Operativsystemer/basis programvare Utstyr/nettverk
Risikoanalyse 1.Oversikt over og beskrivelse av systemer og komponenter som skal inkluderes 2.Identifikasjon av mulige trusler 3.Identifikasjon av sårbarhet 4.Analyse av eksisterende og planlagte sikkerhetsforholdsregler 5.Vurdering av sannsynlighet for angrep 6.Vurdering av mulige skadevirkning 7.Bestemmelse av risiko 8.Valg/anbefaling av tiltak for å redusere risiko 9. Dokumentasjon av resultatet Verdien av skadevirkning dersom nødvendig nivå på konfidensialitet, integritet, og tilgjengelighet ikke opprettholdes bestemmer hvor sensitive dataene/systemene er med hensyn på disse områdene. Sensiviteten kan være forskjellig på de tre områder for en datamengde eller et system. Sensiviteten vil i høy grad bestemme hvilke nettverks- og utstyrskonfigurasjoner som må velges samt hvilke tiltak og metoder som skal brukes for å sikre at riktig nivå opprettholdes.
Risikoanalyse og sikkerhets tiltak ”etter boka”
Viktig for Åstvedt Industrier - og andre smb Prosessen for å komme frem til en sikkerhetspolicy og tiltak må være overkommelig Informasjonssikkerhet må kunne håndteres sammen med annet kvalitetsarbeid, Åstvedt Industrier jobber bl a med: ISO 9000, kvalitetsstyring i forretningsdriften EQRM - European Quality in Rehabilitation Mark Informasjonssikkerhet er det tredje viktige område/dimensjon som er en forutsetning for effektivisering og kvalitetsforbedring basert på overgang til håndtering av informasjon på digital form
Den enkleste form for risikostyring ”vær forsiktig”? Alt du kan si er ”vær forsiktig”?
Risiko, trusler, sårbarheter, tiltak
Trusler og sårbarhet
Finnes det noe hjelp eller må man gjennom full risikoanalyse? Generelle trusler og sårbarheter finnes dokumentert Sårbarhetslister som NIST I-CAT sårbarhetsdatabase (http://icat.nist.gov) SANS institute, i samarbeid med FBI, utgir med jevne mellomrom oversikt over de 20 mest kritiske Internett sikkerhetssårbarheter, "The SANS Top 20 Internett Securities Vulnerabilities". Senter for Informasjonssikring, SIS' varslingsliste: http://www.norsis.no/details.php?type=omsis&id=297 Informasjonssikkerhets standarder kan brukes for å lage sikkerhetspolicy ISO/IEC 17799 m fl
Kilder for trusler og sårbarhet, SANS Stormsenter
Standarder for informasjonssikkerhet
Administrasjon av informasjonssikkerhet ISO/IEC 17799 ISO/IEC 17799 omfatter følgende områder: Sikkerhetsarbeid i organisasjonen Klassifisering og sikring av aktiva Personellsikkerhet Fysisk og miljømessig sikkerhet Kommunikasjons- og driftsadministrasjon Tilgangskontroll Systemutvikling og vedlikehold Kontinuitetsplanlegging Overensstemmelse
Standarder, hjelpemidler BS ISO/IEC 17799 -Bearbeiding -Deling i to nivåer -Konkretisering Strukturering av ca 1600 detaljpolicies/ tiltak iht ISO 17799 Oversettelse Information Security Policies made easy NS-ISO/IEC 17799 DS 484-1 - Basale krav - Udvidede krav Åstvedt Industrier - Overordnet policy for alle 9 områder i ISO 17799 - Policy/tiltak for 6 av områdene
Håndtering av spesielt viktige systemer og informasjon Identifisering av systemer og informasjon Trussel og sårbarhetsvurdering risikovurdering og valg av tiltak For Åstvedt Industrier er personopplysninger definert som spesielt viktig (ÅI er atføringsbedrift) Det er identifisert 5 systemer med personopplysninger
Oppsummering, resultat Sikkerhetspolicy og tiltak definert ut fra: Kilder for generelle trusler, sårbarheter og anbefalte tiltak Standarder for informasjonssikkerhet Risikovurdering og valg av tiltak for spesielt viktige systemer og informasjon Deretter kommer implementering - mye er implementert i utgangspunktet