Rätt säkerhet 2009-05-25 Kris Ingen katastrof med en etablerad incidenthantering Krister Gillén Combitech AB Kjell Wilhelmsson fd CISO, Saab AB 1
Det här skall vi prata om Vad vi upptäckte att vi behövde Hur vi gjorde Vad vi uppnådde och sen svarar vi på frågor
Hur kan det gå till?
Utgångsläge Driftmiljöer lokala men hopkopplade Flera driftorganisationer och partners Samma affärsenhet på minst tre kontinenter Lokal tid
Kjell.
Vad vi upptäckte att vi behövde Koordinering av aktiviteter över rum och tid Gemensam information över världen Koppling till Krishanteringen på enhets och koncernnivå Stödprocess till IT-Driften Språkregler Omvärldsbevakning Färdiga kanaler till Polis, Cert, Myndigheter, ISP, etc. Identifiering av kompetens, även forensic
Inte ett teknikprojekt Människor Strategier Styrning Processer Teknik Vi vände oss till Combitech för att genomföra grundarbetet
Mål med projektet Organisation Process Regelverk Kompetens och kontaktförteckning SPOC för rapportering Incidenthandbok Omvärldsbevakning
Utgångspunkter ISO 27001 Ledningsystem för informationssäkerhet CERT / CC Good Practice från Computer Emergency Respons Team, Coordination Center, CERT/CC ITIL IT Infrastructure Library SIS-ISO/PAS 22399:2008 Guideline for Incident preparedness and operational continuity management Samlade erfarenheter inom Combitech
Problemområden Informationssäkerhetsincidenter T. ex Intrång, Obehörig access till information Förlust av information, Felaktigt nyttjande av resurser skadlig kod / virus, etc Som i sin tur kan orsaka bortfall av tjänst, utrustning eller andra resurser eller att sekretessklassad information kommer obehöriga till del. IT-incident -problem i databas -nätverkskort ur funktion -driftincidenter -Applikationsproblem -glömda lösenord Ärenden / Förfrågan -etc -Toner slut i printer -Bildskärm sönder -etc.. Säkerhetsincidenter -olåsta dörrar -inbrott -skadegörelse -Brand -vattenskador -Elförsörjningen havererar -Klimatanläggningar stannar Arbetsmiljörelaterade incidenter
Omvärldsbevakning Koncernsäkerhet Affärshot, förändringar i omvärlden Driftleverantörer Produkt och sårbarhetsbevakning ICT-organisationen Teknikbevakning
Frågeställningar Hur registreras och kategoriseras IT-incidenter / ärenden? Hur rapporteras de vidare i IT-organisationen och i verksamheten Vilka kriterier styr om det ska kategoriseras som en Informations / IT-säkerhetsincident? Vilka kriterier styr graden av allvarlighet? Vilka roller och funktioner i verksamheten blir inblandade? Hur följs händelser och incidenter upp etc
Incident Management Process Funktionen är IT-driftleverantörerna
Process för hantering av Informationssäkerhetsincidenter Samverkan internt Affärsenhetsledningar, AE SäkerhetsChefer, CIO, KoncernSäkChef, Beslutsgrupp, Global incidentgrupp, Samverkan externt IT-Driftleverantörer, Polismyndigheten, FMV, FM, andra aktörer Eventuella förändringar i IT-infrastruktur eller organisation Stöddokumentation och rutiner Tillgång till aktuell information om nuläget i verksamheten
Koncernledning Corp CMT BESLUTSGRUPP Representant koncernledning IT-Chef Koncernsäkerhetschef Koncern- Informationssäkerhetschef GLOBAL INCIDENTGRUPP Samverkan Intern Expert kompetens Övrig kompetens AE Incident Response Team Samverkan Extern Myndigheter Försvarsindustri etc. Lokal IRT Samverkan Intern AE CMT Berörd AE Samverkan Extern AE Kunder AE Partner etc. 1st line support IT-Supply (7/24) Larmcentral
Saab Incident Response Team Central funktion för hantering av informationssäkerhetsincidenter Uppdrag från CIO CIO-office tillsammans med informationssäkerhetschefen Representanter från koncernens driftplatser
Dokumentation Operativt Ramverk och Riktlinjer Incidenthandbok
Kompetens och Kontaktförteckning Larmlistor: IRT Global Incidentgrupp Beslutsgrupp Kontaktförteckningar: Informationsansvarig på Koncernnivå Affärsenheterna (Ledningar, Säkerhetschefer, IT Chefer) IT Driftorganisationerna Externa kontakter och expertis Myndigheter Informationen finns tillgänglig off-line
SPOC för rapportering Nödlägesknapp Intranät BEVAKNINGSCENTRAL VID ICKE ORDINARIE ARBETSTID Telefon: +46 (0) 00-00 00 00 Saab IRT larm- och kontaktadress E-POST: XXX.XXX@SAABGROUP.COM
Övningar Med CMT Inom IRT-organisationen Givare på Distans Modul Media Övningsledning Modul Kunder
Tänk på 1. Hoten ökar, konsekvenserna blir större 2. Inte bara teknik 3. Verksamheten måste vara med 4. Levande
Frågor???????