Att införa LIS. Förberedelser inför anpassning till ISO/IEC 17799

Transkript

1 Energibranschens IT-säkerhet 1 (13) Att införa LIS Förberedelser inför anpassning till ISO/IEC Vad är informationssäkerhet? Information är en tillgång som, liksom andra viktiga tillgångar i en organisation, har ett värde och följaktligen måste få ett adekvat skydd. Informationssäkerhet syftar till att skydda information mot förekommande hot, förhindra avbrott i verksamheten och minska skador och bidrar därigenom till att maximera värdet av organisationens verksamhet. Information förekommer i många former. Den kan exempelvis vara tryckt eller skriven, elektroniskt lagrad, skickad med post eller e-post, visad på film eller talad. Oavsett vilken form informationen har, eller det sätt på vilket den överförs eller lagras, måste den alltid få ett godtagbart skydd. Informationssäkerhet karaktäriseras som bevarandet av: sekretess - säkerställande av att information är tillgänglig endast för dem som har behörighet för åtkomst riktighet/tillförlitlighet - skydd av information och behandlingsmetoder så att de förblir korrekta och fullständiga tillgänglighet - säkerställande av att behöriga användare vid behov har tillgång till information och tillhörande tillgångar Informationssäkerhet uppnås genom att lämpliga styrmedel införs. Dessa kan vara t.ex. riktlinjer, rutiner, organisation och programfunktioner. Därigenom säkerställs att organisationens specifika säkerhetsmål uppnås.

2 Energibranschens IT-säkerhet 2 (13) Kloka och tänkvärda ord Det spelar ingen roll i vilken riktning du går, om du inte vet vart du ska! För att lyckas med informationssäkerhetsarbetet så måste företagets ledning ha en uttalad strategi när det gäller informationssäkerhet och vara engagerad i arbetet. Att inte skydda företagets viktiga information är en affärsrisk, och måste alltså behandlas och beaktas på ledningsnivå. Traditionellt har man satt likhetstecken mellan Informationssäkerhet och IT-säkerhet vilket har fått till följd att man delegerat ansvaret för att upprätthålla säkerheten på IT-avdelningen. Resultatet kan ses i dagsläget när företag har lagt stora resurser på tekniska säkerhetslösningar utan förankring i verksamhetens krav och behov.

3 Energibranschens IT-säkerhet 3 (13) Informationssäkerhet, en investering Informationssäkerhet är en investering i organisationens och företagets framtid Informationssäkerhet är ingen kostnad utan en förutsättning för framtida överlevnad

4 Energibranschens IT-säkerhet 4 (13) Optimal säkerhetsnivå Hög Kostnader för skyddsåtgärder Kostnader Kostnader för händelse Låg Låg Hög Grad av skyddsåtgärder All informationssäkerhet handlar om att hitta den optimala säkerhetsnivån för företaget. Om säkerhetsnivån sätts på känn eller utefter tekniska önskemål och framsteg riskerar företaget att satsa pengar på säkerhetslösningar som inte står i relation till kostnaderna för händelsen om den skulle inträffa. Det här handlar om att göra traditionella riskbedömningar, och det som ska bedömas och skyddas är företagets viktiga information, inte tekniken. Vad är företagets viktigaste information? Var finns den? Vad händer om någon obehörig använder, förfalskar eller tar bort informationen? Vad kostar det företaget i pengar och förlorad Goodwill? Hur ofta har något liknande hänt fram till dagsläget? Hur ofta beräknar vi att det skulle kunna hända i framtiden? Hur handskas vi med risken? Ska vi minimera, försäkra bort eller acceptera risken?

5 Energibranschens IT-säkerhet 5 (13) Olika säkerhetsstandarder ITSEC (ISO/IEC 15408) ISO-standard för IT-säkerhet vid framtagning av datorprogram CC (Common Criteria) Sammanslagning av ITSEC, amerikansk och kanadensisk programutvecklingsstandard ISO/IEC Informationssäkerhetsstandard oberoende av media Det finns olika ISO-standarden som handlar om IT-säkerhet, men det finns bara en som handlar om Informationssäkerhet. ISO/IEC är en informationssäkerhetsstandard som hanterar all information oavsett media. Det innebär att det är samma krav och regler för information som kommuniceras via tal, telefon eller datanät, skickas via fax, brev eller mail, lagras i kassaskåp, arkiv, servrar eller på band. Det är alltså informationens klassning som styr hur den ska skyddas, oavsett om informationen finns i pappersform eller digitalt i IT-servrar etc.

6 Energibranschens IT-säkerhet 6 (13) BS SS ISO/IEC BS 7799 är en brittisk standard för informationssäkerhet som översattes till svenska och fick beteckningen SS Det är en direkt översättning med undantag av avsnitt som handlar om insamling av bevis. Detta avsnitt ansågs inte tillämpligt i Sverige och har därför utelämnats. I början av 2000 blev BS 7799 en internationell ISO-standard ISO/IEC Den brittiska standarden BS 7799 blev en defacto-standard i nästan hela världen, dock inte i USA. De flesta europeiska länderna översatte standarden till sitt språk, så gjorde även vi i Sverige, och vi kallade den SS I början av år 2000 blev det en ISO-standard gemensam för hela världen inklusive USA. ISO-standarden bygger på BS 7799, det skiljer inte ett kommatecken dem emellan. LIS står för Ledningssystem för InformationsSäkerhet, och det är ledningssystemet du inför när du säger att du anpassar din verksamhet till standarden.

7 Energibranschens IT-säkerhet 7 (13) Vad ska vi med en standard till? Möjliggör säkerhetscertifiering, motsvarande ISO 9000, av oberoende instans som SWEDAC accrediterar Garanti för att nödvändiga säkerhetsåtgärder vidtagits i företaget/organisationen Standarden riktar sig till ledningsnivån inom företag och organisationer Mätstock för säkerhetsnivån i en organisation Internationella krav på säkerheten Vad skiljer Informationssäkerhetsstandarden från Kvalitets- och Miljöstandarderna? När du certifierar dig på ISO 9000 och ISO är det ditt lands lagar och regler samt dina rutiner och löften att hålla dessa du blir certifierad på. Det innebär att ett företag i landet X kan ha ett miljöcertifikat fast att de inte uppfyller andra länders krav. Man kan inte jämföra olika företag och det innebär att vi inte kan dra slutsatsen att man har en hög kvalitet eller högt miljömedvetande bara för att man har ett certifikat. Så är inte fallet med Informationssäkerhetsstandarden. Det är den första standarden med mycket specifika och uttalade skallkrav. Nu kan vi för första gången använda certifieringen för att mäta nivån på informationssäkerheten i olika företag. Nivån blir en uppfyllnadsgrad gentemot standarden, exempelvis företag X uppfyller standarden till 86 %, företag Y till 78 %. Uppfyller du samtliga skallkrav har du 100 % uppfyllnadsgrad eller nivå. För att ens börja fundera på att bli certifierad bör man minst ha 75 % uppfyllnadsgrad. SWEDAC är den svenska instans som accrediterar certifieringsinstanser såsom t.ex.veritas. Enligt SWEDAC kommer ISO/IEC att bli den i särklass största standarden som företag certifierar sig på.

8 Energibranschens IT-säkerhet 8 (13) Vad är informationssäkerhet? Informationssäkerhet karaktäriseras som bevarandet av: Sekretess - säkerställande av att information är tillgänglig endast för dem som har behörighet för åtkomst Riktighet - skydd av information och behandlingsmetoder så att de förblir korrekta och fullständiga Tillgänglighet - säkerställande av att behöriga användare vid behov har tillgång till information och tillhörande tillgångar Sekretess, riktighet och tillgänglighet är standardens stöttepelare, men först måste du säkerhetsklassa din information. Det handlar inte om att skydda all information på samma vis, utan att skydda den information som ledningen uttalat är viktig för företaget. Förslagsvis använder man sig av fyra säkerhetsklasser: 1. Öppen 2. Intern 3. Företagshemlig 4. Kvalificerat företagshemligt

9 Energibranschens IT-säkerhet 9 (13) Trappstegen ❸ Certifiering ❶ Basnivå ❷ Ledningssystem Nivå 3 Certifieringssteg. Karakteriseras av ny GAP-analys. Nivå 2 Implementerande steg. Karakteriseras av genomförande av åtgärdsplanerna. Nivå 1 Förberedande steg, inventering och nuläge. Karakteriseras av systeminventering, informationsklassning, riskanalyser, GAP-analys, avgränsningar och åtgärdsplaner. Att införa LIS är som att be medarbetarna att äta en elefant! För att detta ska fungera måste vi göra införandet i rätt ordning. Ingen kan äta en elefant om du serverar den på en gång, men om man först serverar ett öra och därefter en svanssoppa, så har man ett-tu-tre ätit elefanten. Glöm inte att göra avgränsningar, vad ska LIS inte omfatta, det gör att du kan minska elefanten i storlek. Se till att du har tillräckligt god tid på dig för införandet. Att införa LIS är en lärande process i företaget som fortgår år efter år. Börja försiktigt på en rimlig nivå och låt så många som möjligt vara engagerade i förloppet. Egentligen är själva resan målet och certifieringen bara ett kvitto på att ni har ökat er medvetenhet och kunskap om informationssäkerhet inom företaget. Den största effekten fås när medarbetarnas säkerhetsmedvetande ökar i takt med att de deltar i informationssäkerhetsarbetet. Om ett fåtal personer inom företaget inför LIS, så blir det ännu en papperstiger med policies och regler som få känner till, förstår eller efterlever. Då har man missat själva poängen, att öka informationssäkerheten i företaget.

10 Energibranschens IT-säkerhet 10 (13) Vad måste göras först? Basnivå 1. VD-beslut och förankring 2. Nulägesanalys 3. Genomföra riskanalyser 4. Definiera vad ledningssystemet ska omfatta 5. Definiera en informationssäkerhetspolicy 1. VD-beslut och förankring Beslut om anpassning till ISO/IEC måste tas av företagets ledning Om det är en koncern måste beslutet förankras hos samtliga dotterbolags VD Varje VD är ansvarig för att informera sin organisation och avsätta resurser för genomförandet 2. Nulägesanalys Varför börjar vi med en nulägesanalys? För att ta fram en ändamålsenlig åtgärdsplan för anpassning till ISO/IEC startar vi med en genomgång av nuläget. Resultatet mäts mot standarden som då visar bolagets uppfyllnadsgrad. Vi får en för bolaget anpassad åtgärdsplan att följa. I nulägesanalysen dokumenteras och uppskattas även risker och hot, dock ej i samma omfattning som en riskanalys. I en nulägesanalys ingå följande : Systeminventering (se dokument Nulägesanalys Systeminventering) - Systembeskrivning - Fysisk placering - Beroendeförhållande - Systemägare - Informationsklassning - Kostnad för avbrott - Avbrotts- och felfrekvens

11 Energibranschens IT-säkerhet 11 (13) Enkätfrågor (GAP-analys) inom följande områden: - Säkerhetspolicy - Säkerhetsorganisation - Klassificering och kontroll av tillgångar - Personal och säkerhet - Fysiska och miljörelaterad säkerhet - Styrning av kommunikation och drift - Styrning av åtkomst - Systemutveckling och systemunderhåll - Kontinuitetsplanering - Efterlevnad 3. Genomföra riskanalyser Gör riskanalyser för de system som ni tidigare klassat att de hanterar känslig information, men gör även riskanalys för bolaget som helhet. Förslagsvis görs tre scenarier per system som är relaterade till: - sekretess, obehörig får tillgång till känslig information - riktighet, obehörig förändring av information - tillgänglighet, hindrad åtkomst till känslig information samt tre scenario per företag/företagsdel som är relaterade till: - natur, typ brand, översvämning etc - teknik, typ avbrott, fel i system/applikationer - människor, typ nyckelpersonsberoende, kunskap etc Bedöm riskerna - Varje del inom företaget tar fram sin specifika risk- och hotbild för sina klassade system. - Riskbilden är sannolikheten för att händelsen ska inträffa gånger konsekvensen av händelsen. Bestäm hur riskerna ska hanteras - Identifierade risker måste hanteras på ett kostnadseffektivt sätt - Varje risk ska reduceras, elimineras, undvikas, överföras eller godtas Välj kontroller och säkerhetsåtgärder - Välj kontroller och åtgärder från ISO-standarden, ISO/IEC 17799:2 för att hantera riskerna Dokumentera - Dokumentera de valda kontrollerna och åtgärderna - Sammanställ i det standarden kallar uttalande om tillämpning 4. Definiera vad ledningssystemet ska omfatta Ledningssystemet måste vara tydligt och väl avgränsat Företaget hanterar gemensamma resurser/system Eventuella dotterbolag/avdelningar hanterar egna resurser/system Omfattningen ska definieras och dokumenteras i organisationsschema, flödesschema över ingående system, applikationer, utrustning och datanätverk.

12 Energibranschens IT-säkerhet 12 (13) 5. Definiera en informationssäkerhetspolicy Nödvändigt för ett framgångsrikt säkerhetsarbete och utgör grunden för säkerhetsarbetet och införandet av LIS. Övergripande Informationssäkerhetspolicy skrivs för en koncern Varje dotterbolag kan komplettera, dock icke exkludera, innehåll i koncernens Informationssäkerhetspolicy. VD är ansvarig för att ange de mål i Informationssäkerhetspolicyn som ska uppnås.

13 Energibranschens IT-säkerhet 13 (13) Nu först kan vi börja införa LIS! Nu vet vi Vilken nivå varje avdelning och företaget som helhet ligger på Vilka risker vi har och tar samt hur vi ska åtgärda dem Vilka system som ska ingå i LIS Vilka mål som ska uppnås Nu har vi klarat av första trappsteget (Basnivån). Trappsteg nummer två kommer att behandlas i separat dokument.