Gode råd til sikkerhetsansvarlige

Transkript

1 Gode råd til sikkerhetsansvarlige Lillian Røstad, PhD Leder, seksjon for informasjonssikkerhet Difi Førsteamanuensis II, IDI, NTNU

2 Om Difi Visjon: utvikle offentlig sektor Digitalisering Anskaffelser Organisering og ledelse 240 Oslo Leikanger

3 Seksjon for informasjonssikkerhet Difi skal i 2013 etablere en permanent enhet for informasjonssikkerhet. Enheten skal legge til rette for en styrket og mer helhetlig tilnærming til informasjonssikkerhet i statsforvaltningen. Dato Direktoratet for forvaltning og IKT

4 Hva tenker vi å levere? Styring og kultur Teknologi Regelverk Veiledninger Eksempler Rådgivning/dialog Informasjonsdeling/nettverk Direktoratet for forvaltning og IKT

5 Ledelsen Brukerne (ansatte) Brukerne (studenter) Forankring Leverandører Utviklere Driftsteknikere

6 How The Human Brain Buys Security - eller hvorfor sikkerhet er så innmari vanskelig å selge Blogpost fra Bruce Schneier juli/august 2008,

7 Gjør det relevant Fortell historier Bruk øvelser

8 Forankring: ledelsen Min historie i Lånekassen Start: 1. juni 2009 Brev fra Riksrevisjonen Revisjon av IT-sikkerhet : 2. juli 2009 Forankring sikret! For en stund ja..men så: Bygge styringssystem (ISO 2700X), policy, roller og ansvar, IT-reglement, virksomhetsvid RoS, klassifisering av informasjonsverdier, holdningskampanjer, etablering av sikkerhetsnettverk etc etc etc Type informasjon - Operasjonalisering er nøkkelen! klassifisering Klassifiseringsnøkkel Personinformasjon Finansiell informasjon Anskaffelseinformasjon Virksomhetsintern informasjon Relevant regelverk Personopplysningsloven Personopplysningsforskriften Finansavtaleloven Reglement for økonomistyring i staten Bestemmelser om økonomistyring i staten Lov om offentlige anskaffelser Forskrift om offentlige anskaffelser Virksomhetsinterne regler Internkontrollsystemet

9 Januar/februar Revisjon av brukere og tilganger November/desember Planlegge neste års holdningskampanje September/oktober Ledelsens gjennomgang Årsplan informasjonssikkerhet Lånekassen Mars/april Revisjon brannmurregler Mai/juni Revidere RoS Juli/august Identifisere og legge plan for neste års hovedfokus

10 Forankring: ledelsen Tips Vær tydelig på konsekvenser av sikkerhetsbrudd Trusselbildet er ofte noe diffust for ledelsen å forholde seg til Om mulig: synliggjør konsekvens i form av kostnader Gjør konsekvensene relevante for organisasjonen Vis effekt på forretningsmål Rapporter på tall der du kan: Antall brukere som ikke var slettet men burde være det Antall unødvendige/utdaterte brannmuråpninger Antall forsøk på virusinfeksjoner stoppen Antall faktiske infeksjoner Antall angrep stoppe i IDS Før et hendelsesregister og oppsummer hvor mange og hva

11 Forankring: brukere (ansatte) Det handler om å bygge en sikkerhetskultur Små drypp hele veien hvorfor sikkerhet er viktig for deg og for oss! Holdningskampanjer kan man gjerne dele med andre Humor funker!

12

13

14

15 Forankring: studenter fremtidens ansatte/leverandører/utviklere/ driftere etc TDT4237 Programvaresikkerhet antall studenter

16 TDT4237 Programvaresikkerhet Faginndeling Sikkerhetsfunksjonalitet Hacking + Forsvare Secure Software Development Lifecycle (SSDL) + Etikk Øvinger! Learning by failing and fixing!

17

18

19

20

21

22

23 Forankring: leverandører Du må stille krav! Sørg for å få alt som er viktig for deg inn i avtaler ISO27001 er et must men husk scope! Så også en sikkerhetshåndbok Operative rutiner og regler for eksempel brukeradministrasjon Klassifisering og håndtering av hendelser Ikke regn med at leverandører er proaktive på sikkerhetsområdet! Oppfølging er nødvendig Gjennomfør revisjoner og øvelser Beredskapsøvelser Eksterne sikkerhetstester Finn dine kontakter hos leverandøren som er interessert i sikkerhet og kan være ambassadører Sørg for å bli god venn med disse menneskene!

24 Hva er et sikkerhetskrav? Et krav som definerer hvilket nivå av sikkerhet som forventes fra et system, med utgangspunkt i en type trussel eller angrep. I en anskaffelseskontekst: gode krav gjør det mulig for oss å evaluere ulike løsninger opp mot hverandre uten å legge for sterke føringer på hvordan løsningen må være realisert. Funksjonelle Ikke-funksjonelle Hva ikke hvordan. Direktoratet for forvaltning og IKT

25 Er disse gode sikkerhetskrav? Systemet skal la brukerne logge inn med passord som er minst 8 tegn langt, består av både små og store bokstaver, tall og spesialtegn. Systemet skal bruke F-Secure antivirus. Systemet skal sette i karantene alle filer som det oppdages at inneholder ondsinnet programvare (ormer, virus) for å hindre at disse forårsaker skade. Systemet skal kryptere alle konfidensielle data med RSA-algoritmen. Systemet skal bekrefte identiteten til alle brukere før de får tilgang til noen ressurser. Systemet skal være sertifisert på Common Criteria EAL 3. Bedriften som leverer systemet skal være ISO27001-setifisert. Direktoratet for forvaltning og IKT

26 Forankring: utviklere

27 Forankring handler om å forstå risiko!

28 Kan vi garantere 100% sikkerhet? Direktoratet for forvaltning og IKT

29 Gjør det relevant Fortell historier Bruk øvelser

30