EBITS
2003-01-24 1 (13)
Energibranschens IT-säkerhet
Att införa LIS
Förberedelser inför anpassning till ISO/IEC 17799
EBITS 2003-02-11
Vad är informationssäkerhet? Information är en tillgång som, liksom andra viktiga tillgångar i en organisation, har ett värde och följaktligen måste få ett adekvat skydd. Informationssäkerhet syftar till att skydda information mot förekommande hot, förhindra avbrott i verksamheten och minska skador och bidrar därigenom till att maximera värdet av organisationens verksamhet. Information förekommer i många former. Den kan exempelvis vara tryckt eller skriven, elektroniskt lagrad, skickad med post eller e-post, visad på film eller talad. Oavsett vilken form informationen har, eller det sätt på vilket den överförs eller lagras, måste den alltid få ett godtagbart skydd. Informationssäkerhet karaktäriseras som bevarandet av: • • •
sekretess - säkerställande av att information är tillgänglig endast för dem som har behörighet för åtkomst riktighet/tillförlitlighet - skydd av information och behandlingsmetoder så att de förblir korrekta och fullständiga tillgänglighet - säkerställande av att behöriga användare vid behov har tillgång till information och tillhörande tillgångar
Informationssäkerhet uppnås genom att lämpliga styrmedel införs. Dessa kan vara t.ex. riktlinjer, rutiner, organisation och programfunktioner. Därigenom säkerställs att organisationens specifika säkerhetsmål uppnås.
EBITS
EBITS
2003-01-24 2 (13)
Energibranschens IT-säkerhet
Kloka och tänkvärda ord
Det spelar ingen roll i vilken riktning du går, om du inte vet vart du ska!
EBITS 2003-02-11
För att lyckas med informationssäkerhetsarbetet så måste företagets ledning ha en uttalad strategi när det gäller informationssäkerhet och vara engagerad i arbetet. Att inte skydda företagets viktiga information är en affärsrisk, och måste alltså behandlas och beaktas på ledningsnivå. Traditionellt har man satt likhetstecken mellan Informationssäkerhet och IT-säkerhet vilket har fått till följd att man delegerat ansvaret för att upprätthålla säkerheten på IT-avdelningen. Resultatet kan ses i dagsläget när företag har lagt stora resurser på tekniska säkerhetslösningar utan förankring i verksamhetens krav och behov.
EBITS
EBITS
2003-01-24 3 (13)
Energibranschens IT-säkerhet
Informationssäkerhet, en investering
•
Informationssäkerhet är en investering i organisationens och företagets framtid
•
Informationssäkerhet är ingen kostnad utan en förutsättning för framtida överlevnad
EBITS 2003-02-11
EBITS
EBITS
2003-01-24 4 (13)
Energibranschens IT-säkerhet
Optimal säkerhetsnivå Hög
Kostnader för skyddsåtgärder Kostnader för händelse
Kostnader
Låg Låg
Hög
Grad av skyddsåtgärder EBITS 2003-02-11
All informationssäkerhet handlar om att hitta den optimala säkerhetsnivån för företaget. Om säkerhetsnivån sätts ”på känn” eller utefter tekniska önskemål och framsteg riskerar företaget att satsa pengar på säkerhetslösningar som inte står i relation till kostnaderna för händelsen om den skulle inträffa. Det här handlar om att göra traditionella riskbedömningar, och det som ska bedömas och skyddas är företagets viktiga information, inte tekniken. • • • • • • • •
Vad är företagets viktigaste information? Var finns den? Vad händer om någon obehörig använder, förfalskar eller tar bort informationen? Vad kostar det företaget i pengar och förlorad Goodwill? Hur ofta har något liknande hänt fram till dagsläget? Hur ofta beräknar vi att det skulle kunna hända i framtiden? Hur handskas vi med risken? Ska vi minimera, försäkra bort eller acceptera risken?
EBITS
EBITS
2003-01-24 5 (13)
Energibranschens IT-säkerhet
Olika säkerhetsstandarder
ITSEC (ISO/IEC 15408) ISO-standard för IT-säkerhet vid framtagning av datorprogram
CC (Common Criteria) Sammanslagning av ITSEC, amerikansk och kanadensisk programutvecklingsstandard
ISO/IEC 17799 Informationssäkerhetsstandard oberoende av media
EBITS 2003-02-11
Det finns olika ISO-standarden som handlar om IT-säkerhet, men det finns bara en som handlar om Informationssäkerhet. ISO/IEC 17799 är en informationssäkerhetsstandard som hanterar all information oavsett media. Det innebär att det är samma krav och regler för information som kommuniceras via tal, telefon eller datanät, skickas via fax, brev eller mail, lagras i kassaskåp, arkiv, servrar eller på band. Det är alltså informationens klassning som styr hur den ska skyddas, oavsett om informationen finns i pappersform eller digitalt i IT-servrar etc.
EBITS
EBITS
2003-01-24 6 (13)
Energibranschens IT-säkerhet
BS 7799 - SS 627799 – ISO/IEC 17799 BS 7799 är en brittisk standard för informationssäkerhet som översattes till svenska och fick beteckningen SS 627799. Det är en direkt översättning med undantag av avsnitt 12.1.7 som handlar om insamling av bevis. Detta avsnitt ansågs inte tillämpligt i Sverige och har därför utelämnats. I början av 2000 blev BS 7799 en internationell ISO-standard ISO/IEC 17799.
EBITS 2003-02-11
Den brittiska standarden BS 7799 blev en defacto-standard i nästan hela världen, dock inte i USA. De flesta europeiska länderna översatte standarden till sitt språk, så gjorde även vi i Sverige, och vi kallade den SS 627799. I början av år 2000 blev det en ISO-standard gemensam för hela världen inklusive USA. ISO-standarden bygger på BS 7799, det skiljer inte ett kommatecken dem emellan. LIS står för Ledningssystem för InformationsSäkerhet, och det är ledningssystemet du inför när du säger att du anpassar din verksamhet till standarden.
EBITS
EBITS
2003-01-24 7 (13)
Energibranschens IT-säkerhet
Vad ska vi med en standard till? •
Möjliggör säkerhetscertifiering, motsvarande ISO 9000, av oberoende instans som SWEDAC accrediterar
•
Garanti för att nödvändiga säkerhetsåtgärder vidtagits i företaget/organisationen
•
Standarden riktar sig till ledningsnivån inom företag och organisationer
•
Mätstock för säkerhetsnivån i en organisation
•
Internationella krav på säkerheten EBITS 2003-02-11
Vad skiljer Informationssäkerhetsstandarden från Kvalitets- och Miljöstandarderna? När du certifierar dig på ISO 9000 och ISO 14000 är det ditt lands lagar och regler samt dina rutiner och löften att hålla dessa du blir certifierad på. Det innebär att ett företag i landet X kan ha ett miljöcertifikat fast att de inte uppfyller andra länders krav. Man kan inte jämföra olika företag och det innebär att vi inte kan dra slutsatsen att man har en hög kvalitet eller högt miljömedvetande bara för att man har ett certifikat. Så är inte fallet med Informationssäkerhetsstandarden. Det är den första standarden med mycket specifika och uttalade skallkrav. Nu kan vi för första gången använda certifieringen för att mäta nivån på informationssäkerheten i olika företag. Nivån blir en uppfyllnadsgrad gentemot standarden, exempelvis företag X uppfyller standarden till 86 %, företag Y till 78 %. Uppfyller du samtliga skallkrav har du 100 % uppfyllnadsgrad eller nivå. För att ens börja fundera på att bli certifierad bör man minst ha 75 % uppfyllnadsgrad. SWEDAC är den svenska instans som accrediterar certifieringsinstanser såsom t.ex.Veritas. Enligt SWEDAC kommer ISO/IEC 17799 att bli den i särklass största standarden som företag certifierar sig på.
EBITS
EBITS
2003-01-24 8 (13)
Energibranschens IT-säkerhet
Vad är informationssäkerhet ? Informationssäkerhet karaktäriseras som bevarandet av: • Sekretess - säkerställande av att information är • •
tillgänglig endast för dem som har behörighet för åtkomst Riktighet - skydd av information och behandlingsmetoder så att de förblir korrekta och fullständiga Tillgänglighet - säkerställande av att behöriga användare vid behov har tillgång till information och tillhörande tillgångar
EBITS 2003-02-11
Sekretess, riktighet och tillgänglighet är standardens stöttepelare, men först måste du säkerhetsklassa din information. Det handlar inte om att skydda all information på samma vis, utan att skydda den information som ledningen uttalat är viktig för företaget. Förslagsvis använder man sig av fyra säkerhetsklasser: 1. Öppen 2. Intern 3. Företagshemlig 4. Kvalificerat företagshemligt
EBITS
EBITS
2003-01-24 9 (13)
Energibranschens IT-säkerhet
Trappstegen
Ž Certifiering • Ledningssystem Nivå Nivå 33 Certifieringssteg. Certifieringssteg. Karakteriseras Karakteriseras av av ny ny GAP-analys. GAP-analys. Œ Basnivå
Nivå Nivå 22 Implementerande Implementerande steg. steg. Karakteriseras Karakteriseras av av genomförande genomförande av av åtgärdsplanerna. åtgärdsplanerna.
Nivå Nivå 11 Förberedande Förberedande steg, steg, inventering inventering och och nuläge. nuläge. Karakteriseras Karakteriseras av av systeminventering, systeminventering, informationsklassning, informationsklassning, riskanalyser, riskanalyser, GAP-analys, GAP-analys, avgränsningar avgränsningar och och åtgärdsplaner. åtgärdsplaner.
EBITS 2003-02-11
Att införa LIS är som att be medarbetarna att äta en elefant! För att detta ska fungera måste vi göra införandet i rätt ordning. Ingen kan äta en elefant om du serverar den på en gång, men om man först serverar ett öra och därefter en svanssoppa, så har man ett-tu-tre ätit elefanten. Glöm inte att göra avgränsningar, vad ska LIS inte omfatta, det gör att du kan minska elefanten i storlek. Se till att du har tillräckligt god tid på dig för införandet. Att införa LIS är en lärande process i företaget som fortgår år efter år. Börja försiktigt på en rimlig nivå och låt så många som möjligt vara engagerade i förloppet. Egentligen är själva resan målet och certifieringen bara ett kvitto på att ni har ökat er medvetenhet och kunskap om informationssäkerhet inom företaget. Den största effekten fås när medarbetarnas säkerhetsmedvetande ökar i takt med att de deltar i informationssäkerhetsarbetet. Om ett fåtal personer inom företaget inför LIS, så blir det ännu en ”papperstiger” med policies och regler som få känner till, förstår eller efterlever. Då har man missat själva poängen, att öka informationssäkerheten i företaget.
EBITS
EBITS
2003-01-24 10 (13)
Energibranschens IT-säkerhet
Vad måste göras först?
1
2
3
4
5
Basnivå
1.
VD-beslut och förankring
2.
Nulägesanalys
3.
Genomföra riskanalyser
4.
Definiera vad ledningssystemet ska omfatta
5.
Definiera en informationssäkerhetspolicy EBITS 2003-02-11
1. VD-beslut och förankring • Beslut om anpassning till ISO/IEC 17799 måste tas av företagets ledning • Om det är en koncern måste beslutet förankras hos samtliga dotterbolags VD • Varje VD är ansvarig för att informera sin organisation och avsätta resurser för genomförandet 2. Nulägesanalys Varför börjar vi med en nulägesanalys? • För att ta fram en ändamålsenlig åtgärdsplan för anpassning till ISO/IEC 17799 startar vi med en genomgång av nuläget. Resultatet mäts mot standarden som då visar bolagets uppfyllnadsgrad. Vi får en för bolaget anpassad åtgärdsplan att följa. • I nulägesanalysen dokumenteras och uppskattas även risker och hot, dock ej i samma omfattning som en riskanalys. I en nulägesanalys ingå följande : • Systeminventering (se dokument Nulägesanalys – Systeminventering) - Systembeskrivning - Fysisk placering - Beroendeförhållande - Systemägare - Informationsklassning - Kostnad för avbrott - Avbrotts- och felfrekvens
EBITS
EBITS
2003-01-24
Energibranschens IT-säkerhet
•
11 (13)
Enkätfrågor (GAP-analys) inom följande områden: - Säkerhetspolicy - Säkerhetsorganisation - Klassificering och kontroll av tillgångar - Personal och säkerhet - Fysiska och miljörelaterad säkerhet - Styrning av kommunikation och drift - Styrning av åtkomst - Systemutveckling och systemunderhåll - Kontinuitetsplanering - Efterlevnad
3. Genomföra riskanalyser Gör riskanalyser för de system som ni tidigare klassat att de hanterar känslig information, men gör även riskanalys för bolaget som helhet. Förslagsvis görs tre scenarier per system som är relaterade till: - sekretess, obehörig får tillgång till känslig information - riktighet, obehörig förändring av information - tillgänglighet, hindrad åtkomst till känslig information samt tre scenario per företag/företagsdel som är relaterade till: - natur, typ brand, översvämning etc - teknik, typ avbrott, fel i system/applikationer - människor, typ nyckelpersonsberoende, kunskap etc •
•
•
•
Bedöm riskerna - Varje del inom företaget tar fram sin specifika risk- och hotbild för sina klassade system. - Riskbilden är sannolikheten för att händelsen ska inträffa gånger konsekvensen av händelsen. Bestäm hur riskerna ska hanteras - Identifierade risker måste hanteras på ett kostnadseffektivt sätt - Varje risk ska reduceras, elimineras, undvikas, överföras eller godtas Välj kontroller och säkerhetsåtgärder - Välj kontroller och åtgärder från ISO-standarden, ISO/IEC 17799:2 för att hantera riskerna Dokumentera - Dokumentera de valda kontrollerna och åtgärderna - Sammanställ i det standarden kallar ”uttalande om tillämpning”
4. Definiera vad ledningssystemet ska omfatta • Ledningssystemet måste vara tydligt och väl avgränsat • Företaget hanterar gemensamma resurser/system • Eventuella dotterbolag/avdelningar hanterar egna resurser/system • Omfattningen ska definieras och dokumenteras i organisationsschema, flödesschema över ingående system, applikationer, utrustning och datanätverk.
EBITS
EBITS Energibranschens IT-säkerhet
2003-01-24 12 (13)
5. Definiera en informationssäkerhetspolicy • Nödvändigt för ett framgångsrikt säkerhetsarbete och utgör grunden för säkerhetsarbetet och införandet av LIS. • Övergripande Informationssäkerhetspolicy skrivs för en koncern • Varje dotterbolag kan komplettera, dock icke exkludera, innehåll i koncernens Informationssäkerhetspolicy. • VD är ansvarig för att ange de mål i Informationssäkerhetspolicyn som ska uppnås.
EBITS
EBITS
2003-01-24 13 (13)
Energibranschens IT-säkerhet
Nu först kan vi börja införa LIS! Nu vet vi – Vilken nivå varje avdelning och företaget som helhet ligger på – Vilka risker vi har och tar samt hur vi ska åtgärda dem – Vilka system som ska ingå i LIS – Vilka mål som ska uppnås
EBITS 2003-02-11
Nu har vi klarat av första trappsteget (Basnivån). Trappsteg nummer två kommer att behandlas i separat dokument.
EBITS