Informationssäkerhet nyckeln till nya affärer
Introduktion Denna skrift ger dig ett underlag för att diskutera frågor kring informationssäkerhet och även för att komma igång med konkreta åtgärder. Först beskrivs vad informationssäkerhet är och varför det är viktigt för alla verksamheter: privata som offentliga företag och organisationer. Skriften behandlar också hur du bestämmer vilka säkerhetskrav som ska ställas i just din verksamhet och hur du kommer fram till lämpliga säkerhetslösningar. I detta ingår t.ex. hur du tar fram en informationssäkerhetspolicy, vilka säkerhetsfunktioner och ansvarsfrågor som bör övervägas och hur du genomför de nödvändiga åtgärderna. Slutligen får du råd om var du kan få mer information. Utgångspunkten för oss är att presentera hur man kan hantera säkerhetsfrågorna på ett strukturerat sätt utifrån den svenska och internationella standarden SS-ISO/IEC 17799 Ledningssystem för informationssäkerhet. Det är viktigt att från början säga att denna ger dig en struktur att arbeta efter. Hur höga kraven på säkerhet är, vilka värden som ska skyddas och hur, är frågor du själv besvarar utifrån de förutsättningar som gäller i din verksamhet. Innehåll Vad är informationssäkerhet? 4 Varför ska du skydda din information? 5 Hur ska jag bäst angripa säkerhetsfrågorna? 6 Vad innehåller standarden? 8 Vem ska ta ansvar för vad? 10 Vilken säkerhetsnivå behöver du? 13 Hur tar jag fram en policy för säkerheten? 14 Börja ett säkerhetsarbete 15 Vad är certifiering? 17 Mer information 18 Denna skrift är utgiven av projektet Ledningssystem för informationssäkerhet, LIS, inom SIS, Swedish Standards Institute. Innehållet i denna skrift får återges med uppgivande av källa Deltagare i projektet är september 2001: ABB Facilities Management AB, Acando AB, Aerotech- Telub, Andersen, AU-system, Bureau Veritas Quality International, Cap Gemini Sverige AB, CCNOX, Combitech Network, Comex Electronics AB, Competenskraft Säkerhetsanalys AB, Computer Security Nordic AB, DNV Certification AB, Ekelöw InfoSecurity AB, Electrolux@ITS, Ernst & Young AB, Folksam, FMV - Försvarets materielverk, Guardian IT, IBM Svenska AB, Integris, Know IT Information Security AB, KPMG, Kungliga Tekniska Högskolan, Lan International AB, Lindebergs Grant Thornton AB, Lloyds Register, Länsförsäkringar, Protect Data AB, Rote Consult, Semko-Dekra Certification AB, Siemens Business Services AB, Sigma CC AB, SIS Forum AB, Skanska AB, Statskontoret, Stockholms Universitet, Svenska stöldskyddsföreningen, Svenskt Näringsliv, Sveriges provnings- och forskningsinstitut, Sveriges Riksbank, SWEDAC,Telia AB,Validation AB,Veriscan Security AB,WM-Data Security, Öhrlings Price Waterhouse Coopers, Överstyrelsen för civil beredskap.
VILKA FRÅGOR KRING INFORMATIONSSÄKERHET FINNS I DIN ORGANISATION?
Vad är informationssäkerhet? I affärsvärlden kan rätt information vid rätt tidpunkt innebära skillnaden mellan vinst och förlust, framgång och misslyckande. För offentliga organisationer kan läckande information skada samhälle och den enskilda människan. Informationssäkerhet innebär tillgång till information. Informationen måste alltid finnas när du behöver den och du måste kunna lita på att den alltid är rätt. Därför måste du skydda dig mot förlust av information, men också mot oavsiktlig eller obehörig ändring av den. Informationssäkerhet innebär också att de som inte är behöriga inte ska få tillgång till information. Därför måste du försäkra dig om att det bara är behöriga som har tillgång. Vilken information ska skyddas? Information är ett vitt begrepp. Här används det för såväl den kunskap som de enskilda medarbetarna besitter som uppgifter lagrade i en databas. Här är exempel på vilken information som kan innefattas i begreppet: talad (även i telefon) tryckt och skriven på papper faxmeddelanden lagrad i datorer, inklusive webb och intranät sänd och mottagen via nät lagrad på band eller skivor telex e-post lagrad i databaser lagrad på microfilm eller -fiche presenterad på overhead medarbetares kunskap/kompetens. 4
Varför ska du skydda din information? Information är en tillgång i alla organisationer; den är nyckeln till tillväxt och framgång. Den har ett värde som går att mäta i olika termer: I form av kostnader för att återskapa information, stillestånd i produktionen, förlorade kunder, skadestånd eller förlorat förtroende på marknaden. Information i vid bemärkelse representerar ett allt större värde i dagens organisationer. Många företag baserar sin verksamhet på idéer och kunskap. Dessutom sker kommunikation både inom och utanför organisationerna alltmer med elektroniska medier. Utvecklingen går mot att man allt oftare använder öppna system som t.ex. Internet. Dessa har i grunden låg säkerhet. Risken för att rätt information inte är tillgänglig när du behöver den, att den förvanskats eller försvunnit är i många organisationer hög. Dagligen läser vi i tidningar om hur företag utsätts för obehörigt intrång på hemsidan, hur affärshemligheter om en ny produkt läcker ut, hur sjukhusjournaler eller annan känslig information om enskilda kommer ut till obehöriga. Exemplen är otaliga. Följderna av sådana incidenter är svåra att överblicka, men kan visa sig vara allvarligare än man först kan tro. För ett konsultföretag som har hand om kunders information kan ett enda läckage av kritiska uppgifter innebära att man försvinner från marknaden. Vi kan med säkerhet säga att informationen i din organisation har ett värde som bör skyddas.vilka dessa värden är, hur stora resurser du ska lägga ner på att skydda dem, hur de ska skyddas m.fl. frågor måste du själv besvara utifrån din egen kartläggning av tillgångarna och vilka risker dessa är utsatta för. 5
Hur ska jag bäst angripa säkerhetsfrågorna? Vårt råd är att du bäst angriper säkerhetsfrågorna genom ett systematiskt tillvägagångssätt. Här har du hjälp av en internationell standard som också är svensk standard på området. Den heter Ledningssystem för informationssäkerhet och har beteckningen SS-ISO/IEC 17799. Många organisationer använder ledningssystem för kvalitet (ISO 9001), för miljöledning (ISO 14001) och för systematiskt arbetsmiljöarbete (AFS 2001:1). Att arbeta med informationssäkerhet på ett liknande sätt och att samordna ledningssystemen ger effektivitet och överblick över verksamheten. Att standarden är internationellt accepterad och används i många andra länder ger dig fördelar om du t.ex. vill visa för kunder eller samarbetspartners att du tar säkerhetsfrågorna på allvar. 6
Vad innehåller standarden? I standarden SS-ISO/IEC 17799 definieras informationssäkerhet i termerna: Tillgänglighet. Att behöriga användare har tillgång till de resurser de är behöriga till i rätt tid och omfattning. Riktighet. Att information inte obehörigt ändras eller modifieras. Sekretess. Att endast behöriga användare kommer åt information. Ytterligare ett behov som standarden tar upp är spårbarhet att kunna se vem som gjort vad och vid vilken tidpunkt. Standarden består av två delar, varav den första delen är den som används när du själv ska bygga upp ditt verksamhetssystem. Den andra delen, som är en kravspecifikation, kan användas vid internrevision eller revision av ett oberoende certifieringsorgan. Del I omfattar ett antal områden för åtgärder grupperade under olika rubriker. Inom vissa särskilt viktiga eller känsliga affärsområden kan finnas skäl att därutöver införa ytterligare säkerhetsåtgärder.vi ska i korta punkter ge en uppfattning om vad dessa kapitel innehåller. 1. Omfattning Talar om standardens syfte och tillämpning. 2.Termer och definitioner Förklarar de begrepp som används. 3. Säkerhetspolicy Ger råd om hur en säkerhetspolicy bör skapas, hur den bör utformas, införas i en organisation och utvärderas. 7
4. Organisatorisk säkerhet Här ges riktlinjer för hur man kan organisera säkerhetsarbetet, hur rollerna kan fördelas internt och hur beslutsgången bör vara. Externa specialisters roll, avtal med utomstående om åtkomst av organisationens resurser och liknande problem behandlas. 5. Klassificering och styrning av tillgångar I detta kapitel får du råd om hur du bedömer vilka organisationens informationstillgångar är och förtecknar dem. Syftet är att kunna identifiera och värdera tillgångarna för att därmed kunna bestämma vilka åtgärder som är lämpliga för att skydda dem. 6. Personal och säkerhet Syftet med säkerhet i fråga om personal är att minimera risker för misstag, missbruk, stöld, bedrägeri el dyl. Detta kan uppnås t.ex. genom att säkerhetsfrågor beaktas vid rekrytering och vid anställnings upphörande, genom sekretessavtal och befattningsbeskrivningar som bl a definierar ansvar, skyldigheter och befogenheter. Utbildning och övning i informationssäkerhet är också områden som tas upp i detta kapitel. 7. Fysisk och miljörelaterad säkerhet Du får exempel på hur du kan förhindra obehörigt tillträde, skador och störningar. Detta kan uppnås genom t.ex. stängsel, larm, passagekontroll och andra fysiska åtgärder. Detta kapitel handlar också om skydd av utrustning och driftskydd av t.ex. elförsörjning. 8. Styrning av kommunikation och drift Här handlar det om drift av och säkerhetsrutiner för utrustning för informationsbehandling. Exempel är datorutrustning och mjukvara för e-post och annan elektronisk kommunikation.vilka rutiner finns? Ansvarsfördelning? Hur följs incidenter upp och hur undviks de i framtiden? Hur återställs system efter avbrott? 8
9. Styrning av åtkomst Här får du veta hur du kan gå igenom vilka krav som utifrån din verksamhet är viktiga att ställa på kontroll av åtkomst av olika system.vilka ska ha vilken behörighet? Hur ska registrering och log hanteras? Åtkomst handlar både om fysiska åtgärder som lösenord och inloggning och om avtal med och kunskap hos de anställda. 10. Systemutveckling och systemunderhåll Säkerhet ska byggas in i informationssystemen vid kravspecifikationen innan systemen utvecklas eller upphandlas. Här finns exempel på olika säkerhetskrav som kan ställas på systemen och även på hur underhållet av systemen kan bidra till säkerheten. 11. Kontinuitetsplanering för verksamheten Detta kapitel tar upp avbrott i verksamheten och vilka konsekvenser dessa kan få. Planering för att verksamheten ska kunna fortgå kontinuerligt är en viktig del i säkerhetsarbetet. Här måste du utgå från din egen verksamhet och vilka krav du själv och omvärlden ställer på den. Hur långt avbrott klarar verksamheten? Hur kan du förebygga avbrott och skapa en beredskap för händelser om de ändå inträffar? 13. Efterlevnad Här handlar det om vilka rutiner du bör ha för att vara säker på att din verksamhet följer lagar, föreskrifter, avtal och andra regler för verksamheten t.ex. upphovs-, patent- och varumärkesrätt, personuppgiftslagen, fackliga avtal och tjänsteavtal, säkerhetspolicy och andra interna säkerhetsregler samt revisionskrav. 9
Vem ska ta ansvar för vad? Där ansvaret för verksamheten ligger bör även ansvaret för säkerheten ligga. Avgörande för hur bra informationssäkerheten blir, är ledningens engagemang och föredöme. Alla medarbetare ska veta vilka som har de olika rollerna och vad det egna ansvaret omfattar. I standarden definieras vissa roller som företagsledning, verksamhetschefer, informationssäkerhetschef m.fl. kan ha. Alla situationer kan inte förutses och behandlas i rutiner. Därför måste man också satsa på utbildning, information och diskussion inom organisationen. Om alla har en hög medvetenhet om säkerhetsarbetet och tycker det är viktigt kan alla vara delaktiga och ta sitt ansvar. Målet är att få igång en process som innebär att alla medverkar till en ständig förbättring av arbetet. 10
ALLA MEDARBETARE SKA VETA VAD DET EGNA ANSVARET OMFATTAR.
VILKA BLIR KONSEKVENSERNA FÖR DIN ORGANISATION VID T.EX. ETT ELAVBROTT?
Vilken säkerhetsnivå behöver du? Otillräckliga säkerhetsåtgärder och rutiner kan leda till incidenter och i värsta fall till katastrof. Överdriven säkerhet blir dyr och tidskrävande. Affärsrisker är en del av företagsledarens dagliga liv. Informationssäkerhetsrisker kan bedömas på motsvarande sätt. En riskanalys gör det möjligt att fatta kloka investeringsbeslut och tillgodose affärsverksamhetens krav. Grunden för riskanalysen är en riktig bedömning av värdet av de informationstillgångar som ska skyddas. Vet du hur mycket den information som en säljare bär med sig i sin bärbara dator är värd för företaget? När du bedömer risker måste du räkna in inte bara kostnaden för att ersätta t.ex. en stulen dator utan också för att återskapa information som kan gå förlorad. Du måste också bedöma skador som kan orsakas av utomståendes och anställdas missbruk av den information som gått förlorad. Efter att informationen värderats måste man bedöma vad som i värsta fall kan inträffa. Vad skulle det betyda för säljaren om informationen på den bärbara datorn inte längre är tillgänglig. En situation som kan inträffa är att konfidentiell företagsinformation hamnar hos konkurrenter eller media. För ett företag kan vissa skador, t.ex. intäkterna av försäljarens uteblivna försäljning, direkt uppskattas i kronor och ören. Förlorat förtroende hos kunder, att konkurrenter får tillgång till hemlig information och liknade är svårare att bedöma värdet på, men helst bör man ändå försöka för att få underlag till bedömningen av säkerhetsåtgärderna. När värderingen av tillgångarna är gjord måste du också bedöma hur stor sannolikheten är för olika händelser/hot mot tillgångarna. Hoten kan vara av alla tänkbara slag som elavbrott, stöld eller brand. Du måste också tänka igenom konsekvenserna av olika hot. Större händelser som brand är kanske mindre sannolika, men konsekvenserna blir desto mer allvarliga. Smärre incidenter som driftstörningar i datorförbindelser kanske orsakar små skador, men om de inträffar ofta kan skadorna totalt omfatta stora summor. Med utgångspunkt från dessa uppgifter kan du bedöma lämplig säkerhetsnivå för att skydda informationstillgångarna. Elektronisk handel mellan ett företag och underleverantörer eller andra samarbetspartners medför också ett krav att bedöma riskerna i dessa företags system. Med kännedom om riskerna är det lättare att fatta riktiga och effektiva beslut. 13
Hur tar jag fram en policy för säkerheten? Informationssäkerhetspolicyn är företagets gemensamma plattform för arbetet med informationssäkerhet. Policyn bör arbetas fram och undertecknas av verksamhetens ledning och den bör förankras hos alla anställda. Policyn bör ses som ett komplement till företagets affärsplan och innehålla t.ex.: En definition av informationssäkerhet, allmänna mål och omfattning. Ledningens mål och principer. Olika krav på säkerhetsåtgärder utifrån verksamhetens krav, men som minimum bör finnas krav på efterlevnad av lagar, förordningar, avtal säkerhetsutbildning virusskydd kontinuitetsplan/beredskap för avbrott definition av ansvar och befogenheter för informationssäkerhetsfrågor hänvisning till annan styrande dokumentation och rutiner för individuella informationssystem eller andra säkerhetsregler som ska efterföljas. rutiner för rapportering av misstänkta incidenter. Ledningens syn på informationssäkerhetens betydelse för affärsverksamheten. 14
Börja ett säkerhetsarbete Standarden SS-ISO/IEC 17799 ger dig ramar för hur du kan arbeta med säkerhetsfrågorna. Med standarden som grund kan du bygga upp ett ledningssystem som ger rutiner för hur du systematiskt kan höja säkerheten i din verksamhet. Standarden innehåller inte de konkreta lösningarna för olika problem. Steg för steg kan processen se ut så här: Verksamhetens ledning sätter sig in i standarden SS-ISO/IEC 17799. Ledningen skriver en säkerhetspolicy där ansvaret och befogenheter för säkerhetsfrågorna fördelas på olika personer i organisationen, en säkerhetsorganisation skapas. I policyn läggs också fast de grundläggande riktlinjerna, t.ex. vissa miniminivåer för säkerheten och vissa grundläggande prioriteringar. Här bör också beslutas hur policyn ska kommuniceras ut i organisationen. När det finns en organisation och policy fördelas arbetet på dem som utsetts som ansvariga för olika delar av verksamheten. De ska stegvis gå igenom standardens kapitel. Utifrån ansvarsfördelningen gör de utsedda personerna en inventering och klassificering av tillgångarna. En riskanalys görs.värderingen av tillgångarna och riskerna är grunden för en bedömning av vilka åtgärder som ska vidtas och av vem. Många av åtgärderna kan vara konkreta inköp av program för virusskydd, säkrare placering av säkerhetskopior av data. Men det är också viktigt att i skriftliga rutiner slå fast hur arbetet måste bedrivas för att bli säkert, t.ex. frågor om behörigheter, krav på kompetens, utbildning, uppföljning och rapportering. Utbilda all personal i säkerhetsfrågor:alla måste känna till organisationen för säkerhetsfrågorna, vem som ansvarar för vad och de grundläggande principerna.alla måste känna till de säkerhetsrutiner som berör den egna befattningen. 15
Kontrollera efterlevnaden.att fortlöpande följa upp att såväl policy som rutiner följs är en viktig del i systemtänkandet. Det bör finnas skriftliga rutiner för hur detta ska skötas. Uppföljning. I ett ledningssystem för informationssäkerhet ska ligga i rutinerna att alla delar från policy till inventering och värdering av tillgångar, riskanalys, kontinuitetsplanering etc måste uppdateras och förbättras hela tiden. Med jämna mellanrum bör de ses över helt. Utbildning måste ske kontinuerligt av nyanställda och de som t.ex. får ändrade arbetsuppgifter.allt eftersom verksamheten och säkerhetskraven ändras måste utbildningen också upprepas. Ledningen utarbetar/ uppdaterar säkerhetspolicy/ riktlinjer. Möjliga förbättringar identifieras. Korrigerande och förebyggande åtgärder genomförs. Krav från intressenter Behövliga åtgärder genomförs. Nödvändiga rutiner införs. Man säkerställer att tillräckliga resurser finns. Uppföljning av efterlevnad. Intressenternas krav tillfredsställs 16
Vad är certifiering? Många gånger vill du ha ett kvitto på att din verksamhet ligger rätt till. Du kanske vill bevisa för kunder, samarbetspartners eller andra att din verksamhet uppfyller vissa krav. Det finns möjlighet att låta en oberoende part granska att din verksamhet uppfyller kraven i standarden SS-ISO/IEC 17799. Detta kallas certifiering. För att få ett internationellt accepterat certifikat bör du vända dig till ett certifieringsföretag som arbetar under ackreditering. Med detta menas att företaget är godkänt för denna uppgift av ett ackrediteringsorgan. I Sverige är detta den statliga myndigheten SWEDAC, Styrelsen för ackreditering och teknisk kontroll. I andra industriländer finns motsvarande ackrediteringsorgan. De godkända certifieringsorganen gör en granskning och utfärdar certifikat som är giltiga i högst tre år. Under denna period görs regelbundna tillsyner. Certifieringsföretagen sätter själva priset på sina tjänster och arbetar i konkurrens med varandra. En god investering Ett ledningssystem gör det möjligt att arbeta effektivt och systematiskt. Du får också hjälp att göra prioriteringar så att åtgärderna sätts in där de bäst behövs. Och du utgår hela tiden från din egen verksamhet. Därför kan ledningssystemet användas oavsett om din verksamhet är stor eller liten, privat eller offentlig. De pengar och den tid du lägger ner på att öka säkerheten är en god investering. Och god säkerhet är ett konkurrensmedel, särskilt i kunskapsföretag, där kundernas förtroende är det som ger affärer. Säkerhet enligt en internationell standard ger möjligheter för verksamheten att konkurrera på samma plan även med företag från övriga världen. 17
Mer information Om du behöver veta mer om informationssäkerhet kan följande källor rekommenderas: Standarder, utbildning, handböcker SIS Forum AB, för utbildning och rådgivning inom området ledningssystem. För mer information, tel 08-555 522 50, forum@sis.se, www.sisforum.se. För följande standarder och handböcker, kontakta SIS Förlag AB, tfn 08-555 523 10, sis.sales@sis.se, www.sisforlag.se: SS-ISO/IEC 17799-1 Riktlinjer för ledningssystem för informationssäkerhet Denna del av standarden innehåller förklarande text och är avsedd för den som ska bygga upp ett ledningssystem för informationssäkerhet. SS 62 77 99-2 Specifikation för ledningssystem för informationssäkerhet Denna del av standarden innehåller de krav som ska uppfyllas vid certifiering. Elektroniska signaturer möjligheter, affärsnytta och ansvar Utgiven av GEA, Svenskt Näringsliv och SWEDAC. Kan hämtas på www.swedac.se eller beställas tfn: 033-17 77 00. Handbok i informationssäkerhetsarbete Baserad på SS-ISO/IEC 17799 och SS 62 77 99-2 Kan beställas från SIS Förlag AB eller laddas ned som pdf-fil från www.sis.se/projekt/lis eller www.swedac.se. 18
DISC PD 3000 Information Security Management: An introduction Översikt på engelska av BS 7799. DISC PD 3001 Preparing for BS 7799 certification Handbok på engelska för den som avser att certifiera sitt informationssäkerhetssystem mot BS 7799. DISC PD 3002 Guide to BS 7799 Risk assessment and Risk Management Handbokpå engelska för den som vill sätta sig in i riskbedömning och riskhantering kopplat till certifiering mot BS 7799. DISC PD 3003 Are you ready for a BS 7799 audit? Informationsskrift på engelska för den som förbereder certifiering enligt BS 7799. DISC PD 3004 Guide to BS 7799 Auditing Handbok på engelska för certifieringsorgan. DISC PD 3005 Guide on the selection of BS 7799 controls Handbok på engelska för stöd vid införande av BS 7799. Ackreditering, certifiering För uppgifter om ackreditering och ackrediterade certifieringsföretag SWEDAC, tfn 033-17 77 00, registrator@swedac.se, www.swedac.se 19
Vill du veta mer om LIS-projektet kan du kontakta oss på sekretariatet.vi föreslår också att du surfar in på vår webb-sida. Där hittar du en hel del matnyttig information om projektet. www.sis.se/projekt/lis Det går självklart att kontakta oss via telefon och e-post också, se nedan. SIS, Swedish Standards Institute 118 80 Stockholm Besöksadress: Sankt Paulsgatan 6 Tfn: 08-555 520 00 Fax: 08-555 520 01 Webb: www.sis.se E-post: info@sis.se Grafisk form och produktion: PURE design- och kommunikationsbyrå.text: LIS-projektet.Tryck:TK tryck, Uppsala, 2001