Sikkerhet i smb Case Åstvedt Industrier

1. Sikkerhet i smbCase Åstvedt Industrier Pharos AS - Peter Bonne

2. Åstvedt Industrier AS Bedriften • Åstvedt Industrier as ble etablert i 1966 • Bedriften har ca 350 personer i aktivitet til enhver tid, og er Hordalands største Arbeidsmarkeds- og Attføringsbedriftbedrift • 600 medarbeidere pr år og 200 kursdeltakere Informasjonssikkerhetsutfordringer • Alle de vanlige • Personopplysninger: Arbeidsmarkeds- og Attføringsbedriftbedrift • Bredt spekter av aktiviteter med bruk av IT • Kursvirksomhet

3. Åstvedt Industrier, organisasjon STYRE ADM. DIREKTØR Sigurd E. Gjertsen FORRETNINGSUTVIKLER EQRM, HMS, prosjekter PERSONALPersonalBedriftshelsetjeneste ADMINISTRASJONRegnskap, lønn, kantine, renhold, sentralbord KVALITETSLEDER Kvalitet, IT sikkerhet, prosjekter ÅSTVEDT MEKANISK Maskinering, Plate/sveis, Montering, Gravering ÅSTVEDT ELEKTRONIKK Utvikling, Kortmontering Trafoproduksjon, Tavlebygging ÅSTVEDT ATTFØRING Avklaring,kvalifisering, formidling. AMB, APS, AB, AMO kurs, IA ÅSTVEDT PROFILERING Skilt - dekor Skiltmontering ÅSTVEDT IT Kursvirksomhet Web & Grafisk IT Drift ÅSTVEDT LOGISTIKK Lager Transport ÅSTVEDT HELSE & OMSORG Barnehage ÅSTVEDT KJENNEMERKE Kjøretøyskilt

4. Informasjonssikkerhet Trusler/SårbarhetRisiko Sikkerhets-policy Virksomhetsmål og strategier Love/regler/Etikk standarder (ISO 17799) Implementeres ved hjelp av IT-Strategi Metoder/tekniker-Kryptering, Autentisering -Signering -innbruddsdetektering -mm Utstyr/programvare -Brannmure, viruskontroll -mm Prosedyrer -Backup -sikkerhetsrevisjon -mm Organisering/infrastruktur/ kompetanse Internt og eksternt miljø og brukere og ”brukere” Applikasjoner/ Tjenester Operativsystemer/basis programvare Utstyr/nettverk

5. Risikoanalyse 1.Oversikt over og beskrivelse av systemer og komponenter som skal inkluderes 2.Identifikasjon av mulige trusler 3.Identifikasjon av sårbarhet 4.Analyse av eksisterende og planlagte sikkerhetsforholdsregler 5.Vurdering av sannsynlighet for angrep 6.Vurdering av mulige skadevirkning 7.Bestemmelse av risiko 8.Valg/anbefaling av tiltak for å redusere risiko 9. Dokumentasjon av resultatet • Verdien av skadevirkning dersom nødvendig nivå på konfidensialitet, integritet, og tilgjengelighet ikke opprettholdes bestemmer hvor sensitive dataene/systemene er med hensyn på disse områdene. Sensiviteten kan være forskjellig på de tre områder for en datamengde eller et system. Sensiviteten vil i høy grad bestemme hvilke nettverks- og utstyrskonfigurasjoner som må velges samt hvilke tiltak og metoder som skal brukes for å sikre at riktig nivå opprettholdes.

6. Risikoanalyse og sikkerhets tiltak ”etter boka”

7. Viktig for Åstvedt Industrier - og andre smb • Prosessen for å komme frem til en sikkerhetspolicy og tiltak må være overkommelig • Informasjonssikkerhet må kunne håndteres sammen med annet kvalitetsarbeid, Åstvedt Industrier jobber bl a med: • ISO 9000, kvalitetsstyring i forretningsdriften • EQRM - European Quality in Rehabilitation Mark • Informasjonssikkerhet er det tredje viktige område/dimensjon som er en forutsetning for effektivisering og kvalitetsforbedring basert på overgang til håndtering av informasjon på digital form

8. Den enkleste form for risikostyring ”vær forsiktig”? Alt du kan si er ”vær forsiktig”?

9. Risiko, trusler, sårbarheter, tiltak

10. Trusler og sårbarhet

11. Finnes det noe hjelp eller må man gjennom full risikoanalyse? • Generelle trusler og sårbarheter finnes dokumentert • Sårbarhetslister som NIST I-CAT sårbarhetsdatabase (http://icat.nist.gov) • SANS institute, i samarbeid med FBI, utgir med jevne mellomrom oversikt over de 20 mest kritiske Internett sikkerhetssårbarheter, "The SANS Top 20 Internett Securities Vulnerabilities". • Senter for Informasjonssikring, SIS' varslingsliste:http://www.norsis.no/details.php?type=omsis&id=297 • Informasjonssikkerhets standarder kan brukes for å lage sikkerhetspolicy • ISO/IEC 17799 m fl

12. Kilder for trusler og sårbarhet, SANS Stormsenter

13. Standarder for informasjonssikkerhet

14. Administrasjon av informasjonssikkerhet ISO/IEC 17799 ISO/IEC 17799 omfatter følgende områder: • Sikkerhetsarbeid i organisasjonen • Klassifisering og sikring av aktiva • Personellsikkerhet • Fysisk og miljømessig sikkerhet • Kommunikasjons- og driftsadministrasjon • Tilgangskontroll • Systemutvikling og vedlikehold • Kontinuitetsplanlegging • Overensstemmelse

15. Standarder, hjelpemidler BS ISO/IEC 17799 Strukturering av ca 1600 detaljpolicies/ tiltak iht ISO 17799 -Bearbeiding -Deling i to nivåer -Konkretisering Oversettelse Information Security Policies made easy DS 484-1 - Basale krav - Udvidede krav NS-ISO/IEC 17799 Åstvedt Industrier - Overordnet policy for alle 9 områder i ISO 17799 - Policy/tiltak for 6 av områdene

16. Håndtering av spesielt viktige systemer og informasjon • Identifisering av systemer og informasjon • Trussel og sårbarhetsvurdering • risikovurdering og valg av tiltak • For Åstvedt Industrier er personopplysninger definert som spesielt viktig (ÅI er atføringsbedrift) • Det er identifisert 5 systemer med personopplysninger

17. Oppsummering, resultat Sikkerhetspolicy og tiltak definert ut fra: • Kilder for generelle trusler, sårbarheter og anbefalte tiltak • Standarder for informasjonssikkerhet • Risikovurdering og valg av tiltak for spesielt viktige systemer og informasjon • Deretter kommer implementering - mye er implementert i utgangspunktet