Innehåll. Introduktion Kringmiljö Yttre miljö Inre miljö

Transkript

1 Innehåll Introduktion Säkerhetsledning och organisation Ledning Organisation Ansvar Utbildning/medvetenhet Central BKS-administration Ekonomiskt skydd Legala krav Interna regler och avtal Hantering av utrustning Incidenthantering Projektering/anskaffning Kontroll Hantering av tekniska sårbarheter Identifiering av risker med utomstående parter Hantering av säkerhet vid kundkontakter Hantering av säkerhet i tredje partsavtal Förteckning över tillgångar Ägarskap för tillgångar Godtagbar användning av tillgångar Personal Inför anställning Under anställning Ansvar vid upphörande eller ändring av anställning Nyckelbefattningar/personer Behörighet Kompetens Utnyttjande av konsulter mm Tillgänglighet/tillförlitlighet Driftstörningar Svarstider Belastning Planering för löpande produktion Kommande produktion Användning av system Underhåll Säkerhetsåtgärder mot skadlig kod Validering av indata Styrning av intern bearbetning Meddelandeintegritet Validering av utdata Tjänsteleverans Övervakning och granskning av tjänster från tredje part Ändringshantering av tjänster från tredje part Kringmiljö Yttre miljö Inre miljö Tillträde Mekaniska och teletekniska tillträdesmekanismer Behörighet till lokaler Säkerhetsanpassning Försörjning Klimat Kraftförsörjning El-miljö Service och underhåll av fysiska komponenter Brandskydd Planering Brandsektionering Utformning Brandbelastning Brandlarm Brandsläckningsutrustning Skydd mot vattenskador Utformning Larm Systemsäkerhet Behörighetskontroll Införande Behörighetskontroll Organisation Behörighetskontroll Uppdatering Behörighetskontroll Styråtgärder Behörighetskontroll Uppföljning Behörighetskontroll Identifiering Behörighetskontroll Åtkomstkontroll Behörighetskontroll Rapportering/Analys Behörighetskontroll Krypteringspolicy Behörighetskontroll Nyckelhantering Operativsystem Införande Operativsystem Åtkomst Operativsystem Förändring Operativsystem Virus/skadliga program Operativsystem Användandet av system/ program Operativsystem Applikationer Operativsystem Databaser Loggfunktion Loggning Underhåll Service

2 10 Nätverk/telekommunikation Nätadministration Felhantering Nätadministration Dokumentation Nätadministration Avbrottsplanering och redundans Behörighet Identifiering Behörighet Åtkomst Skydd vid överföring Fysiskt skydd Skydd vid överföring Skydd mot obehörig uppkoppling Skydd vi överföring Skydd mot avlyssning och förändring Koppling till Internet Brandvägg (Firewall) Användning av e-tjänster Säkerhet Systemutveckling/Systemändringar Projektering/anskaffning Programmering Utvecklingsmiljö Test Dokumentation Säkerhetsaspekter Driftsättning Change management/ändringsrutiner Persondatorer/arbetsstationer Ansvar Behörighet Funktion Säkerhetskopiering Virus/skadliga program Säkerhetsskydd för utrustning utanför verksamheten Distansarbete Kontinuitetsskydd Planering Förvaltning Affärsberoendesanalys (Business Impact Assessment BIA) Reservlösningar Krisledning och krishantering Plan för återställande Planering för återgång till normal drift Underhåll och distribution av planen Utbildning Övning och test Uppföljning/kontroll Underlag inför en analys Underlag som sänds ut före en Gap-analys Underlag inför en Gap-analys enkäten Underlag efter en analys Underlag som sänds ut efter en Gap-analys Underlag efter en analys slutrapport med åtgärdsplan Underlag som sänds ut när rapporten är klar Gap-analys Bakgrund Resultat från Gap-analysen Säkerhetskopiering/arkivering IT-produktions kopiering av aktivt data Informationsbehandling Arkivering av filer Verksamhetsenheter Magnetiska media Verksamheten Pappersdokument Förvaring Transport Hantering

3 6 Inför en Gap-analys i detalj I god tid före en Gap-analys ska ett schema göras för analysdagarna samt frågeformuläret skickas till kontaktmannen för Gap-analysen (IT chef eller liknande för den organisation/företag där Gapanalys ska utföras). Kontaktmannen ska återsända dessa dokument senast en vecka före Gapanalysen. Detta för att ge den som ska genomföra analysen tillräckligt med tid till förberedelser. Schemat är ett resultat av den erfarenhet som gjorts under ett stort antal Gap-analyser och rekommendationen är att det följs med så små ändringar som möjligt. Detta schema ska kontaktmannen återsända med namnen ifyllda på de personer som ska besvara frågorna för varje delområde. Dessa namn ska utgöra de personer inom organisationen/företaget som kontaktmannen anser bäst skickade att besvara frågorna för varje delområde. Det är kontaktmannens uppgift att tillse att dessa personer är bokade och att ett rum där intervjun kan hållas finns till förfogande under analysdagarna. Frågeformuläret (kapitel 15) utgör underlaget för Gap-analysen och består i huvudsak av två delar: Organisationens beroende av datorsystemen. Beskrivning av de mest prioriterade systemen. (Detta underlag ska tillsändas den som ska genomföra analysen i ett exemplar per prioriterade system). Inledningsvis i frågeformuläret nämns ett stort antal dokument som kontaktmannen uppmanas att skicka till analysledare. När den som ska genomföra analysen får schemat och frågeformuläret returnerat samt de dokument som efterfrågats påbörjas förberedelserna. Ur frågeformuläret kan utläsas hur organisationens ITsystem ser ut och vilka hård- och mjukvarukomponenter som ingår. Den som ska genomföra analysen bör studera detta och läsa på vilka säkerhetsaspekter som finns på uppdragsgivarens IT system (omfattande material i ämnet kan hittas vid sökningar på Internet). Det går vidare att utläsa ur materialet hur man själv ser på sin IT-verksamhet. Vilka system man anser är de mest kritiska för organisationen/företaget och vilka prioriteringar och ansvarsfördelningar man har. Man kan ur materialet få en bild av huruvida man inom organisationen/företaget har tillräcklig kunskap om sitt IT-beroende och om man har försökt att utröna vad störningar i olika system skulle få för effekt för verksamheten. Det är inte troligt att analysledaren får sig tillsänt samtliga de dokument som efterfrågas. Detta beror dels på att de i många fall att dokumenten inte existerar och dels på att man klassificerar att materialet är av så pass känslig natur att man inte vill sända det utanför sin kontroll. Samtliga dokument kommer ej att behövas av analysledaren utan är mer en kontroll av om de överhuvudtaget existerar i organisationen/företaget och om de är kompletta. Vad analysledaren främst behöver inför sin Gap-analys är systemförteckningen, årsredovisning eller verksamhetsberättelse samt ritningar över de lokaler som ska besiktigas. Om uppdragsgivaren låter meddela att man av sekretesskäl ej vill skicka vissa dokument, men att de finns inom organisationen kan det vara ett tecken på ett högt säkerhetsmedvetande inom organisationen. Dock bör man på plats för Gap-analysen be uppdragsgivaren att presentera dokumentet för att säkerställa att det existerar. 12 Mät din informationssäkerhet Gap-analys

4 7 Gap-analys metodik i detalj Exempel på schema för Gap-analysen, med ungerfärliga tidsangivelser: För en oerfaren analysledare kan det vara lämpligt att lägga på en halvtimma på alla kapitel. eller att utöka analysen med en dag och lägga lite mer tid för varje del. Dag 1 Tid Aktivitet Anteckning 07:45 Egen kontroll av kringmiljön och lokaler 09:30 10:20 Presentation av verksamheten och IT-miljön 10:30 11:20 Rundvandring i datorlokalerna 11: Kringmiljön, kap. 4 - Tillträde, kap. 5 - Försörjning, kap. 6 11:45 12:15 LUNCH 12:15 13:15 - Brandskydd, kap. 7 - Skydd mot vattenskador, kap. 8 13:30 14:00 Säkerhetsorganisation, kap. 1 14:00 14:20 Personal, kap. 2 14:30 15:00 Systemtillgänglighet/tillförlitlighet, kap. 3 15:15 16:15 Systemsäkerhet, kap. 9 16: Analysledarens enskilda uppsummering av dagen 16:30 16:45 Komplettering av analys underlag Dag 2 Tid Aktivitet Anteckning 08:30 09:00 Presentation av synpunkter från gårdagen 09:00 10:00 Nätverk och telekommunikation, kap :15 10:45 Systemutveckling, kap :00 11:30 Persondatorer, kap :30 12:00 Säkerhetskopior/arkivering, kap : LUNCH 12:30 13:15 Kontinuitesskydd, kap :15 14:00 Reservtid 14:00 15:00 Analysledarens enskilda uppsummering 15:00 16:00 Presentation av synpunkter 16:00 SLUT Mät din informationssäkerhet Gap-analys 13

5 På plats dag 1 Analysledaren bör vara på plats vid analysobjektet i god tid innan 09:30 då Gap-analysen enligt schemat ska påbörjas. Detta för att i lugn och ro kunna vandra runt i lokalen/lokalerna och undersöka kringmiljön. Vägar och järnvägar som löper i anläggningens omedelbara närhet bör noteras. Vilka grannar man har och om dessa skulle kunna tänkas förvara farligt gods inom sitt område bör också undersökas. Hur ser tillträdesskyddet ut? Finns det uppenbara hål osv. Allt detta återkommer sedan under kapitel 4 (Kringmiljö) och kapitel 5 (Tillträde) men denna yttre Gap-analys ger analysledaren en möjlighet att ställa sina egna observationer mot de svar som ges under intervjuerna. 09:30 10:20 Presentation av organisationens verksamhet och IT miljö. Denna presentation görs av uppdragsgivaren eller någon utsedd av denne. Analysledaren har här möjlighet att få klarhet i hur man inom organisationen/företaget ser sin verksamhet och hur man upplever att IT miljön ser ut samt vilka krav på IT miljön man anser sig ha. 10:30 11:20 En Rundvandring i Datorlokalerna utförs. Dessa 50 minuter bör utnyttjas så effektivt som möjligt. Utgå ifrån systembeskrivningen och be den ansvarige ifrån organisationen/företaget att peka ut samtliga de komponenter som där finns angivna. Lägg noga på minnet vilka komponenter som inte pekats ut och utred vad de är. Rita in dessa på systembeskrivningen med relevanta kopplingar. När analysledaren känner sig klar över vad som finns i datorhallen undersöks det fysiska skyddet, Kontrollera tillträdesskyddet. Finns inbrottslarm? Finns galler för fönster? Är dörrar och väggar svårforcerade? Kontrollera brandsektioneringen runt datorhallen och undersök om dörrar och väggar är brandklassade (på dörrar står som regel brandklass på dörrens inre kortsida). Är ytskiktet på dörrar och väggar i ett brandfarligt material? Vidare kontrolleras att kabel och rörgenomföringar är brandtätade. Kontrollera släckningsutrustningen. Det bör finnas både skum och kolsyresläckare i omedelbar anslutning till datorhall. Lyft plattorna till undergolvet och undertak där sådant finns och kontrollera utrymmet. Titta efter genomföringar och om de är brandtätade, slarvigt dragna kablar eller om det finns avloppsrör eller vattenrör som ej ingår i den fasta brandsläckningsutrustningen. Kontrollera klimatanläggningen. Är den dubblerad? Är även försörjningen av den dubblerad (kyla, vatten). Kontrollera var värmeavgivare är placerad (finns ofta på väggen utanför och är sällan skyddad). 14 Mät din informationssäkerhet Gap-analys

6 Hur ser strömförsörjningen ut? Är den dubblerad? Använder man femledarkabel? Hur ansluts strömmen till maskinerna? Finns UPS, och i sådana fall var står den? Var finns huvudströmbrytare? (Bör finnas vid dörren till datorhallen.) Notera även det allmänna intrycket av lokalen. Verkar där vara god ordning? Finns tecken på att personal röker i lokalen? Hur är brandbelastningen? (Mängden brännbart material.) Be även att få se korskopplingsrum, switchar, någon del av kabeldragningen i huset. Efter denna rundvandring vidtar arbetet med frågepaketet. Se alltid till att den eller de personer som intervjuas har tillgång till frågematerialet under utfrågningen. En pärm där samtliga frågor finns på papper är bra. Läs alltid huvudfrågan först för varje delområde och be den intervjuade att ha denna fråga i åtanke när de övriga frågorna besvaras. Det kommer att visa sig att vissa frågor inte är relevanta för den organisation/företag som Gap-analysen avser varvid de kan strykas. 11:20 11:45 Genomgång av: Kringmiljön (kap 4), Tillträde till datordriftstället (kap 5) och Försörjning (kap 6). Kringmiljö. Under denna rubrik behandlas den yttre och inre kringmiljön. Man undersöker huruvida man ifrån organisationen/företaget i tillräcklig mån har beaktat de eventuella risker för IT-verksamheten som kan finnas i kringmiljön. Tillträde till datordriftstället. I detta avsnitt undersöks vilka hänsyn som tagits för att få kontroll över vilka personer som har eller som kan få fysiskt tillträde till själva datorhallen. Försörjning. Hur ser datorhallens försörjning av elström och kyla ut? Under denna rubrik behandlas klimatanläggning, strömförsörjningens utformning samt underhållet av dessa. 11:45 12:15 Lunch 12:15 13:15 Genomgång av: Brandskydd (kap 7), Skydd mot vattenskador (kap 8) Brandskyddets kvalitet och lämplighet. Vilket brandlarm är installerat och vilken typ av släckutrustning finns det? Har man beaktat risken för vattenskador och hur har man bemött det? 13:30 14:00 Säkerhetsorganisation (kap 1). Under denna rubrik behandlas både säkerhetsorganisationen för normal säkerhet men även organisation för informationssäkerhet. När benämningen säkerhetsorganisation används hänförs därför det ordet till traditionell säkerhet. I denna Gapanalys avses framförallt struktur och organisation runt IT-verksamheten. Mät din informationssäkerhet Gap-analys 15

7 14:00 14:20 Personal (kap 2). Detta avsnitt undersöker om man inom organisationen/företaget kan anses ha tillräcklig kontroll över vilka personer som tas in i organisationen/företaget och som därigenom direkt eller indirekt får tillgång till verksamhetens IT-system. Vidare om man har klargjort vilket beroende man har av interna och eventuellt externa nyckelpersoner. 14:30 15:00 Systemtillgänglighet/tillförlitlighet (kap 3). Avsnittet behandlar faktorer som kan påverka systemens tillgänglighet och undersöker i vilken utsträckning man inom organisationen/företaget har tagit hänsyn till dessa vid anskaffning och drift av systemen. 15:15 16:15 Systemsäkerhet (kap 9). Detta avsnitt har fyra underrubriker: Behörighetskontrollsystem: Finns ett sådant och används det på ett riktigt sätt? Har man en organisation för att hantera behörighet? Operativsystem: Vet man att det är korrekt installerat och vilka har åtkomst till operatörskommandon? Används säkerhetsfunktioner i operativsystemet? Loggfunktioner: Vad loggas och hur arkiveras det? Underhåll: Finns underhålls- och serviceavtal? 16:15 16:30 Analysledarens enskilda uppsummering av dagen. Analysledaren har en kort dragning för uppdragsgivaren där man mycket övergripande redovisar de intryck som man fått under dagen. Både positiva och negativa åsikter ska nämnas. Denna uppsummering bör förberedas under lunchen med utrymme given för de tillägg som behövs för kapitlet systemsäkerhet. 16:30 16:45 Komplettering av analysunderlag. Personer som intervjuats kan ibland hänvisa till andra personer i organisationen/företaget som kan vara bättre lämpade att besvara vissa specifika frågor. Analysledaren bör söka få kontakt med dessa innan denne lämnar anläggningen för dagen. 16 Mät din informationssäkerhet Gap-analys

8 Dag 2 08:30 09:00 Presentation av synpunkter från gårdagen. Denna genomgång bör vara lite mer fyllig än den som avslutar dag 1 och bör främst behandla de brister som framkommit. 09:00 10:00 Nätverk/Telekommunikation (kap 10). Detta avsnitt är uppdelat i 6 delfrågor. Dessa rör: Nätadministration. Angående driftsättning, felhantering, dokumentation, tillgänglighet, avbrottshantering och redundans. Behörighet. Frågor runt identifiering och åtkomst. Skydd vid överföring. Behandlar nätets fysiska skydd, skyddet mot obehörig uppkoppling samt skydd mot avlyssning och förändring. Koppling till Internet. Finns det en brandvägg och hur är den då konfigurerad? Användning av elektronisk post. Kommer e-post fram utan att ha förändrats eller ha blivit läst av obehörig? Växeln. Behandlar behörighet, driftstörningar, svarstider, belastning, inre miljö, kraftförsörjning, BKS och personal. 10:15 10:45 Systemutveckling (kap 11). Frågorna rör den egna systemutvecklingen i de fall detta bedrivs i egen regi. Finns det klara regler för hur detta ska göras och tar man i dessa hänsyn till säkerhetsaspekter? Hur testas nya system och vilken dokumentation kräver man? Finns det regler för hur nya system driftsätts? 11:00 11:30 Persondatorer (kap 12). Under denna rubrik undersöks hur man inom organisationen/företaget ser på säkerhetsaspekterna runt PC, framför allt bärbara. Är frågorna om ansvar och behörighet lösta? Säkerhetskopieras hårddiskarna och har man fullgott virusskydd? Hur löser man de problem som uppstår när utrustningen används utanför organisationen? 11:30 12:00 Säkerhetskopior/Arkivering (kap 13). Tar man säkerhets- och reservkopior tillräckligt ofta, vet man att de är funktionsdugliga och hur förvaras de? 12:00 12:00 Lunch Mät din informationssäkerhet Gap-analys 17

9 12:30 13:15 Kontinuitetsplanläggning (kap 14). Finns det en kontinuitetsplan, testas den och övar man personal efter den? 13:15 14:00 Reservtid 14:00 15:00 Analysledarens enskilda uppsummering. Under denna tid förbereds uppsummeringen. Använd gärna Power Point presentation för att tydligare åskådliggöra hur det gått och vad ni kommit fram till. 15:00 16:00 Presentation av synpunkter. Analysledaren bör kunna ge den grafiska nivån på denna presentation. Underlag för att göra detta finner du i kapitel 16 Underlag efter en analys. 16:00 Slut 18 Mät din informationssäkerhet Gap-analys

10 8 Rapportskrivning Svaren som erhållits under dagarna ska nu analyseras. Analysledaren analyserar materialet och anger vilka Gap-analys nivåer som de olika delfrågorna bör få. Detta täcks av kapitel 16 och 17 i denna metod. Nivåskalan är: Risk nivå 3 2,5 2 1,5 1 0,5 0 Risk värde 0= Oacceptabelt 0,5 1= Risk 1,5 2= Liten risk 2,5 3= Mycket liten risk Vad som avgör vilken nivå en huvudfråga får baseras på en sammantagen bedömning utifrån frågesvaren för huvudfrågan, egna observationer på plats samt analysledarens egen erfarenhet. Min erfarenhet säger att det är mycket sällan som fristående bedömningar av olika analysledare gjorda på samma material skiljer sig mer än 0,5 poäng per fråga. Skriv en bristlista och sänd den rekommenderat till uppdragsgivaren. Denne ska med hjälp av de personer som intervjuades kontrollera och intyga att de brister som anges på listan är korrekta. I de fall det finns relevanta invändningar mot angivna brister så ska dessa kompletteras/ändras av analysledaren. Även den åtgärden som korrelerar mot bristen kan i detta läge behöva kontrolleras och korrigeras. När bristlistan har godkänts påbörjas rapportskrivningen. Ett stöd för denna är den rapportmall som finns i slutet av handboken. Som bilaga till rapporten skickas den åtgärdslista som analysledaren upprättar. Sänd alltid rapporten rekommenderat (e-posta den aldrig om du inte har fullgott krypteringsskydd). Mät din informationssäkerhet Gap-analys 19

11 9 Intervjuteknik Eftersom detta är en subjektiv och kvalitativ metod är det viktigt att man får en god kontakt med de som man intervjuar. Det är lämpligt att skapa en bra rum att vara i och låta de som ska intervjuas komma till analysledaren. Ett annat tips är att alla som intervjuas ska ha sin kopia av frågebatteriet att titta i. Analysledaren ställer frågor och de intervjuade svarar ja eller nej med kommentarer. Om det är ett område som analysledaren inte kan i detalj kan man ställa frågan och låta de intervjuade tolka och analysera den. Be alla som intervjuas vara ärliga då detta är hjälp till självhjälp. 10 Bifogad cd På bifogad cd finner du wordmallar för program, enkät och rapporter. Själva frågebetteriet är bifogat i pdf. 20 Mät din informationssäkerhet Gap-analys