Slaget om informationssäkerheten kommer inte att vinnas på brandväggen utan i styrelserummet! Jan-Olof Andersson, Sveriges riksbank

Transkript

1 Slaget om informationssäkerheten kommer inte att vinnas på brandväggen utan i styrelserummet! Jan-Olof Andersson, Sveriges riksbank

2 Sponsorer Partners: Krisberedskapsmyndigheten, Datainspektionen, Verva, Försvarets Materielverk, Post- och Telestyrelsen, Commissum, ISACA Sweden Chapter, Svenskt Näringsliv/NSD, ISG, SIS Forum och SIS Förlag.

3

4 Ett informationsregelverk!! ISO serien för att du ska få rätt informationssäkerhet i din verksamhet. Presentation av LIS kommitténs arbete, vision och innehållet i ISO serien.

5 Vem är jag? Jan-Olof Andersson Arbetat över 20 år med säkerhet på: - Vattenfall - Ericsson - Trygg-Hansa -Bull Arbetar idag som säkerhetschef på Sveriges riksbank. Ordförande i SIS kommitté för LIS och ISO serien

6 Principer för standardisering Öppenhet Konsensus Standardisering Frivillighet Intressentstyrt

7 Hur är arbetet organiserat? IEC ISO ISO/IEC JTC 1 IT SIS SC 27 Security Techniques WG 1 ISMS SIS TK 318 LIS

8 TK 318s organisation TK 318 Jan-Olof Andersson AG 1 Marknad Bengt Rydstedt AG 2 Strategi Jan-Olof Andersson AG 4 Tolkning AG 3 Mätning Lars Gunnerholm AG 5 Regelverk Anders Carlstedt AG 6 Handbok Gunnar Lindström AG 7 Grund- Standard Lars Söderlund AG 8 Riskhantering Anders Carlstedt AG 10 Införande Dan Larsson

9 Att vara med i ISO arbetet Löpande öppet för nya projektdeltagare Mer bredd bland projektdeltagarna Användare behövs Deltagaren satsar: - Egen kompetens och tid - Delfinansiering av projektet Deltagaren får: - Möjlighet att påverka ISO serien - Tillgång till alla standarder i ISO serien och relaterande standardiseringsområden - Tillgång till svenskt och internationellt nätverk - Tidig information om de nya standarderna - Ny kompetens Intresseanmälan finns i SIS monter!

10 Vår vision informationssäkerhet?! Skapat förutsättningar för rätt säkerhet i samhället genom att standarderna i ISO serien är det naturliga valet för styrt informationssäkerhetsarbete. Hemlig info. enl. rikets säkerhet Hemlig info enl. sekretesslagen/lag om företagshemligheter All myndighetens information/företags information

11 Strategiska målområden, 3-5 år Kommittén arbetar med nedanstående målområden där arbetsgrupperna tar fram detaljerade mål: Kunskap Produkter/verktyg Forum, nätverk och mötesplatser Bredare medvetenhet, verksamhetsnytta Opinionsbildare Strategiska samverkansparter

12 Detaljerade mål, 1-3 år, exempel Kunskap Förstå riskbilden och genom standarderna och övriga verktyg få kunskaper om lämpliga skyddsåtgärder. Produkter/verktyg ISO serien komplett ISO kopplat till ITIL Tillämpningsdokument för branscher. Proaktivt delta i det internationella standardiseringsarbetet. Hålla handböcker uppdaterade i paritet med internationella och nationella förändringar. Skapa kopplingar till andra standarder, verktyg och metoder som t.ex. BITS. Forum, nätverk och mötesplatser Skapa och stärk nätverk genom årliga möten, seminarier och webbplats. Stärk kontakterna med gymnasie- och högskoleutbildningar Bredare medvetenhet, verksamhetsnytta Ökad förståelse hos en bredare målgrupp för att skapa nytta. Opinionsbildare Genom att synas där informationssäkerhet diskuteras. Strategiska samverkansparter Genom samverkan med strategiska parter som har likartade mål.

13 Få ledningen att förstå!

14 Ständig förbättring Affärsmål Legala krav/avtal Kontrollsystem Kontinuitetsskydd Kontrollera/ verifiera Övervakning/ test IT-mål Etik/moral Utvärdera Analys: Riskanalys Affärsberoende Säkerhetsanalys Skyddsåtgärder Planera Verifiera Teknisk realisering av kraven Införande av lösningar: Fysiska Logiska Organisatoriska/adm. Styr nivån på skyddet Policy/ riktlinjer/ anvisningar/ Instruktioner Org./kompetens Genomföra VAD HUR Säkerhetsprocess: I projekt Under utveckling Vid köp av standard system I verksamheten Fortlöpande dialog med ledningen och val av metoder och tekniker

15 Har myndigheter ett fungerande system för informationssäkerhet? JA och Nej Brister: funktioner som skapar överblick rapportering riskanalys utbildning uppföljning och förvaltning av styrningen

16 Presentation av LIS Ledningssystem för Informationssäkerhet

17 Informationssäkerhetsarkitektur Governance principles för information security OECD Information security objectives Technical information security principles Information security services Identity Mgmt Access Mgmt Config. Mgmt Access control services Border Detection protection monitoring services services Content control services

18 OECD principer 1) Medvetenhet Deltagarna bör göras medvetna om behovet av säkerhet i informationssystem och nät och om vad de kan göra för att förbättra säkerheten. 2) Ansvar Alla deltagare är ansvariga för säkerheten i system och nät. 3) Reaktion Deltagarna bör agera snabbt och samarbeta för att förhindra, upptäcka och reagera på säkerhetsincidenter. 4) Etiska aspekter Deltagarna bör respektera andra deltagares rättmätiga intressen. 5) Demokrati Säkerhet i informationssystem och nät bör vara förenlig med de grundläggande värderingarna i ett demokratiskt samhälle. 6) Riskbedömning Deltagarna bör genomföra riskbedömningar. 7) Utformning och genomförande av säkerhetsåtgärder Deltagarna bör införliva säkerheten som ett centralt inslag i informationssystem och nät. 8) Säkerhetshantering Deltagarna bör ha ett helhetsgrepp om säkerhetsarbetet. 9) Omprövning Deltagarna bör se över och ompröva säkerheten i informationssystem och nät och vidta nödvändiga förändringar i fråga om regler, förfaranden, åtgärder och rutiner på säkerhetsområdet.

19 Technical information security principles A - Security by Design B - Managed Risk C - Usability and Manageability D - Defense in Depth E - Simplicity F - Resilience G - Integrity H - Enforced Policy Source:NAC - Enterprise Security Architecture A Framework and Template for Policy- Driven Security

20 Terminology Overview & Vocabulary Requirement ISMS Requirements Accreditation Requirements Support PDCA Code of Practice Implementation Guidance Management Measurement Risk Management ISMS Auditor Guidelines Guideline Sector Specific Telecom WLA Automotive Health and care (27799) Control Implementation X ICT Security IDS Framework X Network Security IDS Management Incident Management

21 WG1 ISMS Standards Chair Prof. Ted Humphreys WG4 ISMS Services Chair Meng-Chow Kang ISO/IEC JTC1 SC27 Chair Dr. Walter Fumy Vice Chair Dr. Marijike de Soete Secretary Krystyna Passia (DIN) WG5 Privacy, ID management and Biometrics Chair Kai Rannenberg WG2 Security Techniques Chair Prof. Kenji Namura WG3 Security Evaluation Chair Mats Ohlin Källa: Ted Humphreys 21

22 Design the ISMS (risk assessment, risk treatment, selection of controls ) Update & Improve the ISMS (improve or implement new controls, policies, procedures, procedures ) Monitor & Review the ISMS (incident, changes, reassess of the risks, scorecards, audits ) Implement & Utilization of the ISMS (implement and test the controls, policies, procedures, process ) Källa: Ted Humphreys 22

23 Motiv till serien Relevant nivå på säkerheten till rimlig kostnad Olika myndigheter och organisationer har olika behov och hotbilder. Standarden ger en basstruktur inom vilken varje organisation kan anpassa nivån till sin verkliga och dagsaktuella situation. Enhetligt ramverk ger fokus på konkret förbättrad säkerhet Genom att tillämpa ramverket i standarden får ledningen kontroll över informationssäkerheten. Världen har valt ISO/IEC som sin informationssäkerhetsstandard ISO/IEC antogs som global ISO-standard 2000 och är den gällande informationssäkerhetsstandarden världen över.

24 Varför standarden? Den är själv självgenererande: Alla säger att de följer standarden! Andra standarder anpassas för att kunna kommunicera enligt ISO Kunder börjar kräva ISO certifiering i upphandlingar Internationellt kompletterande standarder klustras och ensas med ISO för att underlätta användning (ISO serien) ISO på väg att erhålla ett marknadsvärde, en bred acceptans och status som naturlig referenspunkt

25 LIS-certifikat i världen (BS 7799 och ISO 27001) Antal År Japan (1910) och England (326) i topp.

26 Certifiering Geografisk fördelning 2% 20% 75% 1% 1% 1%

27 Gemensamt språk och verktyg Ledning Verksamhet ISO Säkerhetschef (samordnare) IT-avdelning

28 Centrala delar i ISO : Målbeskrivning, krav och beskrivning av skyddsåtgärder Riskanalys basen för val av skyddsåtgärder Informationssäkerhet, inte bara IT Flexibel anpassas efter verksamhetens behov av skydd - baselinekatalog Ger ett ledningssystem för styrning

29 ISO 27002s uppdelning 1.a nivån Huvudområden 2:a nivån Målområden 3:e nivån Skyddsåtgärder 4:e nivån Vägledning för förinförande

30 Säkerhetspolicy Organisation av informationssäkerheten Hantering av tillgångar Personalresurser och säkerhet Fysisk och miljörelaterad säkerhet Styrning av kommunikation och drift Styrning av åtkomst Anskaffning, utveckling och uh. av info.system Hantering av säkerhetsincidenter Kontinuitetsplanering i verksamheten Efterlevnad

31 10.10 Övervakning 10.9 Elektronisk handel Mål områden 10.8 Utbyte av information 10.1 Driftrutiner och driftansvar 10: Styrning av kommunikation och drift 10.2 Kontroll av utomstående tjänsteleverantöre 10.3 Systemplanering och systemgodkännade 10.7 Hantering av media 10.6 Hantering av säkerhet I nätverk 10.5 Säkerhetskopiering 10.4 Skydd mot skadlig och mobil kod.

32 Uppdelning av utvecklings- test- och driftresurser. Åtgärder Dokumenterade drifrutiner 10.1: Driftrutiner Och driftansvar Ändringshantering Uppdelning av arbetsuppgifter

33 10.1 Driftrutiner och driftansvar Example: Control Mål: Att säkerställa korrekt och säker drift av informationsbehandlingsutrustning. Ansvar och rutiner för ledning och drift av all informationsbehandlingsutrustning bör fastställas. Detta omfattar utveckling Objectives/Security av lämpliga driftrutiner. Control Uppdelning av arbetsuppgifter bör i förekommande fall tillämpas för att minska risken för försummelse eller avsiktligt missbruk av system Dokumenterade driftrutiner Åtgärd Driftrutiner bör dokumenteras, underhållas och göras tillgängliga för alla användare som behöver dom. Vägledning för införande Dokumenterade rutiner bör tas fram för systemaktiviteter kopplade till informations- och kommunikationstill-gångar såsom start- och avstängningsrutiner för datorer, säkerhetskopiering, underhåll av utrustning, mediahantering, datorrums- och posthantering och säkerhet. Driftrutinerna bör omfatta detaljerade instruktionerna för att utföra varje arbetsuppgift inklusive: a) bearbetning och hantering av information; b) säkerhetskopiering (se 10.5); c) krav på tidsplanering, innefattande beroenden av andra system; tidigaste start- och senaste färdigställningstider för arbetsuppgifter; d) instruktioner för hantering av fel och andra exceptionella förhållanden som kan uppstå under arbetets gång, inklusive restriktioner i användningen av hjälpprogram (se ); e) lista över kontaktpersoner vid oväntade drift- eller tekniska problem; f) särskilda instruktioner för hantering av utdata och media som t.ex. användning av särskilda blanketter eller hanteringsregler för sekretessbelagda utdata, inklusive rutiner för att på ett säkert sätt ta hand om utdata från misslyckade körningar (se och ) g) återstart- och återställningsrutiner att användas vid eventuellt systemfel; h) hantering av revisionsspår och systemens logg-information (se 10.10). Driftrutiner och dokumenterade rutiner för systemaktiviteter bör behandlas som formella dokument där änd-ringar bör godkännas av ledningen. Där det är tekniskt lämpligt bör informationssystem hanteras konsekvent med användning av samma rutiner, verktyg och hjälpprogram.

34 Måste man använda en standard? Nej, men Färdigt ramverk Best practice Jämförbart Tillgång till kompetens Långsiktigt hållbara system och processer Internationellt accepterad

35 Drivkrafter enligt användare Skydda kunders och andra intressenters intressen Stärker organisationens varumärke Skapar gemensamma värderingar om säkerhet Skyddar alla informationstillgångar på bästa möjliga sätt Stärker säkerhetsmedvetandet hos alla anställda Förbättrar strukturen på informationshantering Reducerar kostnader för olika skyddsåtgärder Skapar bättre möjligheter för att leda säkerhetsarbetet

36 Statligt stöd och bruk Exponentiell tillväxt i antalet registreringar Näringslivet måste ha marknadsincitament Erfarenheten visar att statligt stöd är av stor vikt vid introduktionen av en standard som ISO Storbritannien Krav i central förvaltning, rekommendation/krav för lokal förvaltning Holland Statlig subvention av kostnader

37 Ät elefanten i bitar Analys av förutsättningar Basnivå Ordning ISO ISO-nivå ISO Certifierings-nivå Implementering Analysdel Genomförande

38 Frågor! Sveriges gemensamma säkerhetsregelverk!

39 Lycka till!!!!

40 Gå till för mer information!

41 Länkar / kontaktpunkter svensk ackreditering Swedish standards institute

42 Sponsorer Partners: Krisberedskapsmyndigheten, Datainspektionen, Verva, Försvarets Materielverk, Post- och Telestyrelsen, Commissum, ISACA Sweden Chapter, Svenskt Näringsliv/NSD, ISG, SIS Forum och SIS Förlag.

43