Ökat säkerhetsmedvetande 2002-10-23 Mittkretsen, Örnsköldsvik SBA är Dataföreningens verksamhet för programprodukter inom säkerhetsområdet. SBA bildades 1983 och är ursprungligen en förkortning för SårBarhetsAnalys. 1 1
Kontaktuppgifter SBA Mats Lundquist, Produktansvarig SBA Servi-Data AB (Dataföreningen i Sveriges servicebolag) Box 451 53, 104 30 Stockholm Tel:08-506 40 400, Direkt 08-506 40 411 Mobil: 070-399 51 20. Fax: 08-506 40 415 E-post mats.lundquist@dfs.se www.dfs.se/sba/ Håkan Bergman, Säljansvarig SBA Norra Sverige Upwind Infotech Vegagatan 12 911 31 Vännes Tel: 0935-141 09 Mobil: 070-269 90 80. Fax 0935-141 07 E-post h.bergman@upwind.se www.upwind.se/infotech 2 2
Mekanismer för ökat säkerhetsmedvetande 1. Ledningens engagemang, förståelse och prioritering 2. Övergripande hotbild identifierad och värderad 3. Existens av policy och regler 4. Organisation för säkerhetsarbete etablerad 5. Personalen får utbildning i säkerhet 6. Uppföljning genomförs via granskning/revision 3 3
Vision SBA verktyg de facto standard inom informationssäkerhet Väl spritt Gott renommé Känt och allmänt accepterat 4 4
SBA s kännetecken hjälp till självhjälp SBA-verktygen skall: Vara enkla att använda och lätta att anpassa Tillhandahålla mervärde i form av kunskapsinnehåll Utvecklas genom aktivt samarbete med svenskt näringsliv. 5 5
Historik 1983 RDF&Sårb utvecklar SBA 10 metoder för att hantera sårbarhet i datoriserade verksamheter. 1990 RDF fusionerar med Dataföreningen 1991 1995 SBA-verktygen datoriseras 1997 SBA Analys (scenario) utvecklas och ersätter SBA Safer 1999 - Medveten investering i produktutveckling 2000 SBA - en produktfamilj 2001 - Internationella versioner 6 6
Referenser Myndigheter: Industri: Telekom: Kommun/ Landsting: Revisorer: IT och Konsultbranchen: Försvarsmakten, RPS, PPM, Statskontoret, Luftfartsverket, RFV, PRV, RSV Pharmacia, AvestaPolarit, Sandvik, ABB, Volvo, StoraEnso, Vattenfall, Holmen Telia, Tele2, Europolitan, Ericsson Stockholm Stad, Gävle, Göteborg, Helsingborg, Västra Götaland, Halland KPMG, Ernst&Young, Price Waterhouse Coopers TietoEnator, WM-data, Sema, Cap Gemini, EDS, Protect Data, Ekelöw 7 7
SBA Expertråd Bernt Linton, Primosec och Sig Security, Christer Magnusson DSV/KTH, Mats Lundquist Dataföreningen, Kent Larsson Stockholm Stad, Kjell Andersson - Sig Com, Fredrik Björck DSV/KTH (infälld) Hiie Silberfeldt Dataföreningen (infälld) 8 8
Praktisk riskanalys SBA den Svenska modellen för risk- och sårbarhetsanalyser Stark tilltro till personalens kunskaper. Människor som praktiskt arbetar med de vardagsnära problemen är nyckeln till framgång. SBA-metoden och SBA-verktygen bygger på att samla en grupp av människor inom verksamheten som tillsammans representerar de olika nödvändiga kunskaperna. så vad handlar det om? värdera risker, bli säkerhetsmedveten, åtgärda i innan det smäller, fatta genomtänkta beslut! 9 9
När är det praktiskt att använda SBA? När det finns behov av: Att snabbt nå resultat, dvs krav på effektivitet i analysprocessen att hantera säkerhetsfrågor metodiskt spårbarhet vid identifiering och värdering av hot, problem och brister ett trovärdigt och objektivt sätt att analysera problem. hemligheten ligger i att använda rätt verktyg vid rätt tillfälle och på rätt sätt 10 10
Syftet styr valet av riskanalysmetod Syftet/avsikten är att identifiera och värdera (säkerhets-)risker i en/ett produkt/system/infrastruktur identifiera sårbarheten i ett projekt och dess förmåga att nå uppsatta mål få en grov bild av riskerna i förhållande till generellt acceptabel nivå Målet med riskanalysen är att följa koncernpolicy för utvecklingsarbete (ha ryggen fri ) leva med kända risker (leva utan risker är dyrt ) skapa en handlingsplan (åtgärda i tid ) skapa beslutsunderlag inför en investering/offert (tala beställarens språk ) 11 11
Olika typer av metodiska angreppssätt Hot-konsekvensanalys - SBA Scenario Utgångspunkten är medvetna och omedvetna hotbilder som värderas utifrån sannolikhet och konsekvens. Värdering av skadekostnad/scenariokostnad är centralt. Nulägesanalys/Gapanalys - SBA Check Det finns en etablerad och accepterad nivå för området och som är formulerad på ett sådant sätt att det går att jämföra det aktuella statusläget på ett enkelt sätt. Ex standards, koncernpolicy, regelverk. Analysen är kvalitativ en granskning/review, dvs risker kvantifieras inte utan beskrivs verbalt relativt nivån. Erfarenhetsbaserad riskanalys - SBA Projekt Det existerar kända riskfaktorer eller nyckeltal för vissa identifierbara förhållanden. Utifrån det kända nuläget värderas risknivån av verktyget.riskvärderingen finns inbakad i riskanalysmetoden i form av bakomliggande algoritm/beräkning. 12 12
SBA Scenario Förbered analysen Beskriv Scenarier Prioritera Utforma Handlingsplan Ta ut resultatrapporter Riskanalys Riskhantering Kreativ process Händelser/hot Beskrivningar Sannolikhet/ Konsekvenser Brister Åtgärder 13 13
SBA Projekt verktyg för risk- sårbarhetsanalys av projekt Levereras med två frågedatabaser, Generell och Systemutveckling vilka är indelade i tre olika analysfaser. Starta Generell 125 frågor Systemutveckling 178 frågor Genomföra 85 frågor 144 frågor Avsluta 88 frågor 119 frågor 14 14
SBA Check ISO/IEC 17799: FA22: PUL: 146 kontroller 30 kontroller 16/46 kontroller 15 15
Att öka Säkerhetsmedvetandet! Genom utbildning Virusvarning och Helsäkert! Utbildningspaket i grundläggande informationssäkerhet 16 16
Bakgrund Bok steg för steg mot bättre IT-säkerhet Förstudie, våren 1999, rekommenderar utveckling av modernt utbildningspaket Projekt 2000 mål: Att förändra beteenden hos individer e-learning: Förändra beteenden & attityder med humor och vardagliga situationer Bok: Fakta & kunskap 17 17
Mål - säkerhetsutbildning En säkerhetsmedveten personalstyrka som förstår: att agera på ett säkrare sätt att säkerhet är en naturlig del av arbetet vad som är acceptabelt och inte ur ett säkerhetsperspektiv att incidenter inträffar och vet vad de skall göra att individens egna beteende är viktigt för företaget och/eller organisationen vikten av att hantera information på ett säkert sätt 18 18