1 / 25

BS 7799 – etablering av Information Security Management Systems (ISMS)

BS 7799 – etablering av Information Security Management Systems (ISMS). Gir standarder for etablering av ISMS i en bedrift Fastsetter omfanget av arbeidet med inf.sikkerhet Risikoanalyse Risikostyring – behandle risiko Velge og iverksette kontrolltiltak Utarbeide anvendelseserklæring.

havily
Download Presentation

BS 7799 – etablering av Information Security Management Systems (ISMS)

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. BS 7799 – etablering av Information Security Management Systems (ISMS) • Gir standarder for etablering av ISMS i en bedrift • Fastsetter omfanget av arbeidet med inf.sikkerhet • Risikoanalyse • Risikostyring – behandle risiko • Velge og iverksette kontrolltiltak • Utarbeide anvendelseserklæring

  2. Termer og definisjoner • Trussel: kilde eller situasjon som potensielt kan påføre organisasjonens eiendeler skade • Risiko: Sjansen for at noe skjer som kan ha påvirkning på ulike objekter, målt i sannsynlighet og konsekvens • Akseptabel risiko: Risiko redusert til et nivå som kan aksepteres av organisasjonen

  3. Informasjonsinnsamling • Informasjonsinnsamlingen er et forarbeid som utføres for å mer effektivt jobbe videre med sikkerhetsplaner. Mer konkret bør følgende informasjon samles inn: • eksisterende retningslinjer, policyer, tiltaksplaner • systemarkitektur og sikkerhetskomponenter som brannmurer, TTP-tjenester (vil si en uavhengig part som holder styr på en avansert adresse-katalog som sender og mottar digitale sertifikater) og dessuten informasjon om fysisk sikring (bygninger, dører, låser, kabling, osv.)

  4. Informasjonsinnsamling (forts) • loggførte sikkerhetshendelser, notater som beskriver mistanker og alt av sikkerhetsrelevant informasjon • rammepolicyer som er pålegg utenfra inklusive lover, styrevedtak, konsesjoner, etc. • hvis det finnes store sikkerhetshull: korte intervjuer, spørrerunder om sikkerhet og tiltak hos ansatte, IT-sjefer og ledelse

  5. Sikkerhetsdomene • Et sikkerhetsdomene definerer grensene for virksomhetens sikkerhet. • D.v.s. at all informasjon, ressurser, utstyr og aktører innenfor sikkerhetsdomenet er underlagt virksomhetens entydige myndighet, kontroll og policy. • Dette vil også ha den konsekvens at før informasjon har ankommet og når informasjon forlater sikkerhetsdomenet har man ingen eller liten kontroll med den. • Videre vil man ha mindre kontroll med aktører som fysisk befinner seg på utsiden av sikkerhetsdomenet.

  6. Domener • En virksomhet må definere sine domener • En aktør er en aktiv person hvis handlinger vil kunne ha konsekvenser for informasjonen og tilstanden i virksomheten. • Bak en aktør skal det følge ansvar, dvs. det må være et rettssubjekt (person eller virksomhet) som kan forfølges rettslig dersom nødvendig. • En maskin er således ikke en aktør, men det er derimot de som står bak og er ansvarlig for maskinenes handlinger. • Alle aktører i systemet bør listes opp med tittel – ikke navn

  7. Domener forts • Aktører grupperes etter om de er innsidere eller utsidere. • Innsidere har virksomheten bedre kontroll på. • Typiske slike roller er ansatte, ledelse, adm. dir., kunder, kundegruppe A, kredittilsyn, publikum, presse, sikkerhetssjef, IT-sjef

  8. Risikoanalyse • Risikoanalyse er hovedverktøyet som skal føre frem til sikkerhetspolicy og tiltaksplaner. • Informasjon og ressurser er kjernen i sikkerhetsarbeidet. Det er dette som skal beskyttes, og det er deres sårbarhet man er redd for. • Første steget her er å lage en komplett oversikt over samtlige ressurser som er innenfor sikkerhetsdomenet. • Komplettheten er viktig på dette stadiet. Struktur kan man vente med. • Deretter må man strukturere og kategorisere informasjonstypene og ressurstypene slik at alle ressurser innenfor en og samme kategori har omtrent samme beskyttelsesbehov

  9. Risikoanalyse (forts) • For hver ressurskategori må det avgjøres hvilken sikkerhetsmessig verdi ressursene har og hva et angrep mot den kan medføre. Med sikkerhetsmessig verdi mener vi for eksempel en av følgende: • Konfidensialitet: Det er viktig at informasjonen holdes hemmelig, og en avsløring vil medføre skade. • Integritet: Det er viktig at informasjonen ikke blir endret på en autorisert måte.

  10. Risikoanalyse - forts • Tilgjengelighet: Det er viktig at informasjonen ikke blir ødelagt og/eller at den er tilgjengelig for de autoriserte ved behov. • Tyveribeskyttet: Det er viktig at data/program/tjeneste ikke blir benyttet/kopiert/e.t.c. uten at det betales for det og at tjenester som ikke er ment for det blir benyttet av uautoriserte. • Sporbarhet: Det er viktig å kunne identifisere hvem som har utført sentrale handlinger i sikkerhetsdomenet. • Personvern: Ressursene inkluderer personopplysninger som har behov for konfidensialitet, integritet og/eller tilgjengelighet.

  11. Risikoanalyse - forts • For hvert par av ressurskategori/sikkerhetsegenskap (se neste ark) skal man også beskrive hvilke konsekvenser et sikkerhetsbrudd vil kunne få. • Konsekvensene bør graderes etter et eget valgt system, f.eks. kvantitativt i kroner og ører, eller etter et enkelt kvalitativt som liten, moderat, stor og katastrofal. • Til slutt beskriver man alle årsakskjeder som kan lede til de ulike sikkerhetsbruddene, og dessuten en angivelse av sannsynligheten for at dette kan inntreffe, enten i tallverdi, eller en enklere gradering som sjelden, vanlig og ofte. • Ulike årsakskjeder kan lede til ulike grader av sikkerhetsbrudd. • Det hele leder ut i en tabell hvor alle disse sammenhengene blir presentert:

  12. Risikoanalyse - forts

  13. Risikoanalyse

  14. Risikoanalyse forts

  15. Risikoanalyse forts

  16. Risikoanalyse forts

  17. Sikkerhetspolicy • Hensikt og resultat:Hensikten med denne prosessen er å få etablert en sikkerhetspolicy for virksomheten. • Resultatet skal være et dokument inneholdende sikkerhetspolicyen for virksomheten, og som er godkjent av ledelsen. • Definisjon: En sikkerhetspolicy definerer sikkerheten i en virksomhet. • Alle generelle overordnede regler for håndtering av informasjon (o.l.) skal nedfestes i et policydokument. • Sikkerhetspolicyen må være forankret og sanksjonert av virksomhetens ledelse. • Den skal på dette nivået være så frakoblet tiltak, løsninger og arkitektur som mulig.

  18. Sikkerhetspolicy - forts • En policy definerer hva slags sikkerhet man ønsker, ikke hvordan denne skal oppnås. (F.eks. bør man skrive "Brukere må identifisere og autentifisere seg før felles ressurser benyttes." og ikke "Brukere må oppgi et passord som skal være på 8 tegn og inneholde 3 spesialtegn ved innlogging.") • Redusere risiko: En sikkerhetspolicy har flere sider. For det første skal den redusere den uakseptable risikoen som var identifisert under risikoanalysen, gitt de akseptkriterier som ble besluttet. • Det kan gjøres på to måter, enten ved å redusere sannsynligheten for at en uønsket hendelse skal inntreffe (f.eks. ved å redusere adgangen til konfidensiell informasjon) • eller ved å redusere konsekvensene ved et eventuelt sikkerhetsbrudd (f.eks. ved å ta backup av viktig tilgjengelighetsdata).

  19. Sikkerhetspolicy - forts • Aksesspolicy:Den andre oppgaven til sikkerhetspolicyen er å sørge for at virksomheten og dens ansatte får arbeide og bruke virksomhetens ressurser på en mest mulig effektiv måte. • Derfor bør policyen spesifikt ta stilling til hvilke aktører som skal ha adgang til å aksessere hvilke informasjonskategorier, under hvilke betingelser. • Denne delen av sikkerhetspolicyen kalles aksesskontrollpolicy.

  20. Sikkerhetspolicy - forts • Konfidensiell informasjon skal bare bli lest av færrest mulige personer. En mulig avsløring av konfidensiell informasjon kan gjøre stor skade • Derfor bør man i aksesskontrollpolicyen gi regler for hvilke aktører som skal lese hvilken informasjon. F.eks. kan informasjon graderes og noen kan gis tilstrekkelig klarering. Eller noen kan oppføres som eier og skal selv bestemme hvilke andre som skal ha adgang til å lese dette. • Lignende betraktninger må gjøres over informasjon med behov for integritet og tilgjengelighet. Mulighetene er mange, noen av de mest elementære aksesspolicyene er beskrevet i under:

  21. Sikkerhetspolicy - eksempel • Generelt må man beskrive bakgrunn, motiv og målsetting med sikkerhetsarbeidet. Det må defineres sikkerhetsdomene(r), aktører, informasjonskategorier og andre sentrale begreper. • Sporbarhet beskriver hvilke krav man stiller til at aktørene identifiserer og autentiserer seg. • Man kan stille ulike krav til ulike typer aktiviteter. • Videre stilles krav til logging, alarmering og katastrofeplanlegging. • Krav til overvåking kan også være negativ, dvs. at man av anonymitetshensyn legger begrensninger på driftspersonalets muligheter til dette. • Aksesspolicy beskriver alle regler for hvem som skal ha adgang til å aksessere hvilke informasjons- og ressurskategorier, og på hvilken måte.

  22. Sikkerhetspolicy - forts • Organisasjon fordeler sikkerhetsansvar utover i virksomheten. • Ansvar beskriver det personlige ansvar og hvilke konsekvenser brudd på sikkerhetspolicyen vil kunne medføre. • Referanser lister opp de dokumenter som ligger til grunn for sikkerhetsarbeidet, så som rammepolicyer og risikoanalyser. Dessuten kan den gi mer spesifikke referanser til hvilke trusler som søkes redusert ved hvilke policyutsagn. • Sanksjonering betyr en dato og underskrift om at ledelsen går god for dokumentet.

  23. Sikkerhetspolicy - forts • Ikke prøv å lage vanntette perfekte sikkerhetsopplegg. • Med i sikkerheten ligger kalkulerte risikoer og godtakelse av at verden ikke er perfekt. • Resultatet skal være et dokument som inneholder hele policyen, samt pekere til begrunnelse for de valg som er gjort

  24. Matrise for trusselvurdering

  25. Matrise for risikovurdering

More Related