1. Styringssystemet for informasjonssikkerhet

Transkript

1 Avdeling for informatikk og e-læring, Høgskolen i Sør-Trøndelag Styringssystemet for informasjonssikkerhet Greta Hjertø (revidert av Bjørn Klefstad) Lærestoffet er utviklet for faget Informasjonssikkerhetsstyring 1. Styringssystemet for informasjonssikkerhet Resymé: I denne leksjonen skal vi se nærmere på styringssystemet for informasjonssikkerhet.vi skal diskutere hva det er og hva det inneholder og hvilken struktur det kan ha. I tillegg ser vi nærmere på noen standarder for styringssystemer, både styringssystemer generelt og styringssystemer for sikkerhetssystemer Innhold 1. STYRINGSSYSTEMET FOR INFORMASJONSSIKKERHET INNHOLD INNLEDNING Referanser Læringsutbytter Å lese: ISMS ER EN DEL AV BEDRIFTENS KVALITETSSYSTEM DET FORMELLE OG DET UFORMELLE KVALITETSSYSTEMET STANDARDER FOR ISMS ISO Informasjonsteknologi Administrasjon av informasjonssikkerhet ISO Informasjonsikkerhetsstyring Retningslinjer for hvordan vi etablerer informasjonssikkerhetsstyringssystemer Hvorfor bygger ISO27001 på prinsippene i Demingsirkelen? Et alternativ til ISO 27002? Standarden ISO Enda noen standarder Å STRUKTURERE OG DOKUMENTERE ET ISMS DEN PAPIRLØSE HÅNDBOKEN OPPSUMMERING HOVEDPUNKTENE I LEKSJONEN... 14

2 Styringssystemet for informasjonssikkerhet side 2 av Innledning Som vi sa i introduksjonen, skal vi i dette faget følge arbeidet med å få på plass et styringssystem for informasjonssikring. Vi har introdusert forkortelsen ISMS for styringssystemet, fordi det er et begrep som brukes på engelsk og som er kjent i litteraturen. Vi kommer til å bruke denne forkortelsen videre. Oppgaven vår i dette faget er for det første å kunne vurdere hvilke behov en konkret bedrift har for å beskytte informasjonen. Deretter skal vi, med utgangspunkt i behovet, kunne velge de riktige tiltakene, slik at vi i tilstrekkelig grad beskytter integriteten, konfidensialiteten og tilgjengeligheten for bedriftens informasjonsressurser. Før arbeidet starter, må vi imidlertid vite hva det er vi skal etablere. Vi skal derfor i denne leksjonen starte med å se nærmere på hva et ISMS egentlig er for noe. Leksjonen behandler følgende tema: - ISMS, bedriftens kvalitetssystem og ISO 9000:2000-serien - Standardene ISO27001 og 27002, og forholdet mellom dem - Formelle og uformelle styringssystemer - Dokumentstrukturen i styringssystemet Tørt stoff? Ja vi kan sikkert være enige om det. Men dette må du forstå hvis du skal gjøre en god jobb med resten Referanser Tore Berg Hansen, Greta Hjertø: Kvalitet og programvareutvikling Gyldendal Her vil du finne mer om kvalitetssystemet og om prinsipper for kvalitetsforbedring. Dette er ikke pensum. NorSIS Norsk senter for informasjonssikkerhet. Ikke direkte pensum men en viktig kilde til informasjon i denne sammenhengen. NorCERT - Norges nasjonale senter for håndtering av alvorlige dataangrep mot samfunnskritisk infrastruktur og informasjon. Ikke direkte pensum men en viktig kilde til informasjon i denne sammenhengen. Nasjonal sikkerhetsmyndighet - er fagmyndigheten som skal koordinere forebyggende sikkerhetstiltak og kontrollere sikkerhetstilstanden i de virksomheter som omfattes av sikkerhetsloven. Ikke direkte pensum men en viktig kilde til informasjon i denne sammenhengen Læringsutbytter Når du har vært igjennom denne leksjonen og øvingen skal du - Kunne forklare hva et ISMS er for noe, og forstå hvilken rolle det har i styring av bedriften - Kjenne ISO 9000:2000-serien og hva den brukes til, og forstå hvorfor vi trekker den inn i en diskusjon om ISMS.

3 Styringssystemet for informasjonssikkerhet side 3 av 14 - Vite at kontinuerlig forbedring og prosesstankegangen står sentralt i ISO-standarden, og kunne forklare hvorfor vi legger opp arbeidet med sikkerhetsledelse etter disse prinsippene. - Kjenne til standardene ISO og og forholdet mellom dem, og kunne bruke dem for å få på plass et ISMS for en konkret bedrift - Kunne legge opp strukturen for ISMS for en konkret bedrift Å lese: Håndbok i datasikkerhet: informasjonsteknologi og risikostyring Kapittel 4. Dette er pensum. Hvis du har tilgang til ISO 9000: 2000-serien, kan du lese kapittel 1 og 2 i ISO 9000:2000, disse kapitlene forklarer de prinsippene denne serien legger til grunn for oppbygging av bedriftens kvalitetssystem. Dette er støttelitteratur. Hvis du har tilgang til ISO27001, kan du lese kapitlene 1-4. Dette er støttelitteratur ISMS er en del av bedriftens kvalitetssystem Før vi går nærmere inn på styringssystemet for informasjonssikring, må se nærmere på bedriftens kvalitetssystem. Spørsmålet er hva er et kvalitetssystem og hva har det med informasjonssikkerhet å gjøre? Kortfattet kan vi definere et kvalitetssystem slik, hentet fra ISO 9000:2000 (mer om denne standarden senere): styringssystem for å rettlede og styre en organisasjon når det gjelder kvalitet Når vi studerer standardens prinsipper for dette styringssystemet, vil vi se at det omfatter hele bedriften. Standarden sier at bedriften styres gjennom fire hovedprosesser: ledelsens ansvar ressursstyring realisering av produkt måling, analyse og forbedring For hver av hovedprosessene inneholder standarden krav til hvilke styringselementer som må være på plass. I tillegg gir den noen overordnede prinsipper for styring, her er de viktigste for oss: - sterkt kundefokus - toppledelsens klare engasjement - prosesstankegangen, dvs en systematisk identifisering og styring av bedriftens prosesser og spesielt samspillet mellom dem - at prosessene skal kontinuerlig forbedres, basert på faktiske hendelser

4 Styringssystemet for informasjonssikkerhet side 4 av 14 Enhver bedrift har et kvalitetssystem. Men det er ikke sikkert det er oppbygd etter kravene i verken ISO-standarden eller andre standarder. Kvalitetssystemet er samlingen av de elementene som ledelsen innfører i bedriften rett og slett for å kunne styre den. I en liten bedrift finner vi antagelig ikke noe formelt system. Her vil vi finne vår måte eller slik gjør vi det her. Antagelig er vår måte heller ikke skrevet ned, men finnes i ledelsens hode og formidles i det daglige i den direkte kontakten. Når en bedrift vokser og får flere ansatte, vil det etter hvert være nødvendig å skrive ned noe regler for hvordan ting skal gjøres, få på plass noen jobbeskrivelser og bli enige om noen standarder. Hensikten er å sikre at alle gjør det de skal, at det er en viss orden i bedriften og at ressursene utnyttes på best mulig måte. Jo større bedriften er, jo mer øker behovet for systematikk og dokumentasjon. I en stor bedrift vil vi finne et temmelig omfattende, formelt og dokumentert system. En slik bedrift kan ikke fungere uten et formelt og dokumentert styringssystem. Det er ikke sikkert bedriften kaller det et kvalitetssystem, men vær sikker kvalitetssystemet er der. Skal dette kvalitetssystemet være effektivt, må det inneholde de riktige elementene, det må ha en struktur som gjør innholdet lett tilgjengelig og det må holdes oppdatert. Det er her ulike standarder kommer til nytte. Ved å følge en standard får bedriften en modell som viser en anerkjent måte å bygge opp systemet på. En standard gir ingen fasitsvar på hvordan en virksomhet skal styres, men den setter opp en del viktige krav til hva styringssystemet bør omfatte. Med andre ord hva bedriften skal ha regler for. Grunnen til at vi diskuterer dette her, er at ISMS har sin naturlige plass innenfor kvalitetssystemet. En bedrift kan ikke styres mot å ha kvalitet i alle ledd, slik ISO-standardene legger opp til, uten at den også har nødvendig fokus på arbeidet med informasjonssikkerhet. Når vi skal diskutere utvikling og innføring av et hensiktsmessig ISMS for en bedrift, er det derfor naturlig at vi starter med de prinsippene som gjelder for det overordnede systemet som ISMS er en del av. Vi summerer opp: Kvalitetssystemet omfatter hele bedriften og all virksomhet i bedriften. Det omfatter dermed også bedriftens retningslinjer og holdninger når det gjelder informasjonssikkerhet. De overordnede prinsippene som gjelder for kvalitetssystemer, og som vi blant annet finner i ISO 9000:2000-serien, vil også være overordnede prinsipper når vi skal etablere et ISMS i en bedrift. Et ISMS kan også være mer eller mindre formelt, på samme måte som kvalitetssystemet. Hvor formelt og veldokumentert vårt ISMS må være, vil, som for kvalitetssystemet, avhenge av bedriftens behov Det formelle og det uformelle kvalitetssystemet La oss se litt nærmere på det formelle og det uformelle kvalitetssystemet. Det totale kvalitetssystemet i en bedrift alltid vil bestå av tre delsystemer:

5 Styringssystemet for informasjonssikkerhet side 5 av 14 Uformelt K-system Formalisert K-system Dokumentert K-system Kjernen er det dokumenterte systemet. Det omfatter alt som er formalisert og dokumentert. Hvis vi går til en bedrifts styrende dokumenter, kvalitetshåndbøker, stillingsinstrukser og så videre, er alt dette deler av det dokumenterte systemet. Det dokumenterte systemet er lett å få øye på. Dette er det formelle i organisasjonen. Det er ledelsens intensjoner vi finner her. Som nyansatt i en bedrift vil vi kunne sette oss ned med en rekke håndbøker og ganske raskt bli kjent med det dokumenterte styringssystemet. Tar vi med oss neste delsystem, har vi det formaliserte systemet. I tillegg til det dokumenterte systemet består det av alt som er formalisert i bedriftens behandling av ulike styringsspørsmål, selv om det ikke er dokumentert. Eksempel kan være ledermøtet, hvor kvalitetsspørsmål eller informasjonssikkerhet regelmessig er satt på agendaen, og det kan være medarbeidersamtaler, hvor man blir enige om kvalitetsmål for medarbeiderne eller medarbeiderens holdning til sikkerhet blir vurdert. Tar vi med også det uformelle, får vi Det i praksis fungerende systemet. Det omfatter alt slik gjør vi det hos oss. Det vil si både det formaliserte systemet og i tillegg alt uformelt arbeid som angår styringen av bedriften. Den ytre ringen i det i praksis fungerende systemet er svært viktig. Her finner vi organisasjonens kultur og verdier. Her finner vi normer, ritualer, holdninger og regler for adferd som ikke lar seg dokumentere i form av prosedyrer og instrukser. Som nyansatte i en bedrift vil det ta oss lang tid før vi har knekt koden og får full oversikt over dette. Det er ikke engang sikkert det hjelper å spørre. De som har vært ansatt i bedriften lenge, tar mye av dette som en selvfølge, og er kanskje ikke engang klar over at de følger noen uskrevne regler. Det er av flere grunner viktig å være oppmerksom på disse delsystemene. For det første må vi være oppmerksomme på at alle tre systemer spiller en rolle. Hvis det ikke er samsvar mellom det dokumenterte og formelle systemet og det i praksis fungerende systemet, er det vanskelig å gjennomføre ledelsens gode intensjoner i praksis. Det er dette som er grunnen til at mange regler brytes i bedriftene. Reglene skal ikke bare kunne leses i det formelle systemet, de skal trenge helt ut i den ytterste ringen og følges i praksis. Dette er krevende, mye mer krevende enn ledelsen mange ganger har forståelse for. Det er svært mange bedrifter som har sitt formelle system i orden, men hvor dette får liten betydning for den måten de ansatte oppfører seg på, fordi det ikke er samsvar mellom det formelle og det som finnes i folks hoder. Et eksempel: vårt regionsykehus innførte absolutt røykeforbud, også utendørs i umiddelbar nærhet av sykehuset. Reglene var tindrende klare. Men en oppfølgingsrapport viste at det fremdeles ble røykt i stor stil på sykehuset. Og verre, folk fant svært kreative plasser å røyke på, noen av dem ytterst brannfarlige. Nå diskuteres tiltak for å få folk til å følge forbudet. Det foreslås straffetiltak og det foreslås å lempe på reglene. Med referanse også til informasjonssikkerhet, vil vi si at både straffetiltak og en nøye vurdering av hvilke regler vi må ha, er nødvendig for å få folk til å følge reglene. Hvis reglene ikke stemmer med folks rettsoppfatning, kan det hende de må lempes på. Og regler som ikke følges opp hvis de brytes, blir ikke respektert. Mer om dette senere.

6 Styringssystemet for informasjonssikkerhet side 6 av 14 Det andre problemet med disse delsystemene, er å finne det riktige omfanget på hver av dem. Foran sier vi at kvalitetssystemet, og ISMS som en del av det, kan være mer eller mindre formelt, avhengig av bedriftens behov. Det er da det relative omfanget på de tre delsystemene vi tenker på. En liten bedrift kan for eksempel krympe det formaliserte systemet til nesten ingen ting, og fremdeles ha tilstrekkelig fokus på både kvalitet og informasjonssikkerhet. Et større firma som prøver på det samme, vil helt klart få problemer. Et vanlig problem er at et firma starter som lite, og klarer seg fint med det uformelle systemet, så vokser firmaet uten at styringssystemet tilpasses den nye situasjonen, og prøver etter hvert å styre en komplisert foretning basert på tro og håp og muntlige overleveringer. Dette gjelder kanskje ikke minst for informasjonssikkerheten? Det må gå galt. Vær oppmerksom på at standarder for kvalitetssystemet og for ISMS gjelder for det dokumenterte systemet. Når det gjelder revisjoner og kontroller av systemene, vil alltid det dokumenterte systemet bli lagt til grunn. Det betyr at for det første vil det dokumenterte systemet bli vurdert, for eksempel mot en standard, og bli godkjent eller ikke. Deretter vil praksisen i bedriften bli vurdert mot det dokumenterte systemet. Skal en bedrift vurderes til å ha et tilfredsstillende sikkerhetssystem, må altså det dokumenterte systemet være dekkende for bedriftens behov, og det må følges i praksis Standarder for ISMS Vi har slått fast at ISO 9000:2000- serien er viktig for oss. Dette er en utbredt og anerkjent serie standarder for utforming av kvalitetssystemer. ISO 9000:2000-serien gir dermed overordnede prinsipper og føringer som det kan være naturlig å ta utgangspunkt i når vi skal forme vårt ISMS. (Hvis bedriftens kvalitetssystem er bygd opp etter ISO 9000:2000-serien, må vi antagelig følge dem). Men ISO 9000:2000-serien hjelper oss ikke konkret med utformingen når det gjelder styring av informasjonssikkerheten. Her får vi imidlertid hjelp av to andre standarder: ISO27001 og ISO Vi skal gi en kort introduksjon til hver av dem. Før vi gjør det vil vi imidlertid si noe viktig om standarder for både kvalitetssystemer og ISMS: - En standard er et hjelpemiddel og et rammeverk for et styringssystem, det er ikke et styringssystem - En standard sier hvilke prinsipper vi skal bygge på og hvilke styringselementer som bør være på plass. Den sier ikke hvordan disse konkret skal utformes - En standard forteller ikke hvor lista skal ligge - Enhver bedrift må tilpasse standardens anbefalinger til sine egne behov - Behovene avhenger av type bedrift, størrelse, type produksjon osv. - To bedrifter vil derfor med utgangspunkt i samme standard få ulike styringssystemer - Du kan aldri innføre en standard og dermed få innført en sikkerhetshåndbok (eller et styringssystem) - For å bruke standarden til å utarbeide en sikkerhetshåndbok trenger du i tillegg kunnskap om din egen bedrift, om IT-sikkerhet og om IT generelt Mer om standarder og standardisering kan dere lese på standard.no. Der finner vi blant annet følgende kommentarer om en standard. En standard:

7 Styringssystemet for informasjonssikkerhet side 7 av 14 utarbeides etter initiativ fra interessegrupper gir retningslinjer for hvilke krav som skal settes til varer og tjenester regulerer for hvordan prøving, sertifisering og akkreditering skal gjennomføres er et forslag til valg av løsning bidrar til utvikling av formålstjenlige og sikre produkter, produksjonsprosesser og tjenester er ofte frivillig å bruke gir mer detaljerte beskrivelser til EU-direktiver, nasjonale lover og forskrifter ISO Informasjonsteknologi Administrasjon av informasjonssikkerhet Dette er en standard som gir anbefalinger om hvordan informasjonssikkerheten i en bedrift bør administreres. Standarden er ment å brukes som utgangspunkt for den konkrete utformingen av sikkerhetstiltakene i en bedrift. Standarden er grundig og omfattende og gir anbefalinger på de fleste, om ikke alle aktuelle områder. For å få en oversikt over hvilke områder standarden dekker, bør du lese kapittel på side 119 i læreboka. Som et typisk eksempel på standardens anbefalinger tar vi med et utdrag fra selve standarden. Det gjelder administrasjon av passord. Passord er en vanlig metode for å verifisere en brukers autorisasjon til å bruke et informasjonssystem eller en informasjonstjeneste. Tildelingen av passord bør styres av en formell administrasjonsprosess som omfatter: - krav om at brukere undertegner en erklæring om å holde personlige passord hemmelig og gruppepassord utelukkende innenfor arbeidsgruppen (dette kan inkluderes i betingelser og vilkår for ansettelse) - prosedyre for å sikre at brukere i de tilfeller der de har ansvar for å vedlikeholde sine egne passord, blir utstyrt med et sikkert, midlertidig passord som de er nødt til å endre ved første gangs bruk. Midlertidige passord som utleveres når brukerne har glemt passordet sitt, bør bare gis etter en sikker identifikasjon av brukeren - prosedyre for å sikre at midlertidig passord utleveres brukeren på en sikker måte. Overlevering via tredjepart eller via ubeskyttet (klartekst) e-post bør unngås. Brukerne bør bekrefte mottagelse av passordet. Passord bør aldri lagres på datasystemet i ubeskyttet form. Andre teknologier for brukeridentifikasjon og autentisering, som biometri, for eksempel fingeravtrykk eller verifisert signatur, og fysiske enheter, for eksempel smartkort, er tilgjengelige og bør vurderes dersom det er hensiktsmessig. Legg her merke til vårt poeng fra tidligere: Standarden sier ikke hvordan noe skal gjøres, men hva som skal gjøres. Den sier for eksempel ikke hvordan prosedyren og reglene skal være for å sikre at passord utleveres til rett person, men den sier at en slik prosedyre og slike regler bør finnes. Den sier heller ingenting om graden av formalisme, om prosedyrene skal være dokumentert etc. Den sier at det skal være regler. Punktum. Resten er opp til bedriften. Her er et annet eksempel, utdrag fra kapittel 10.8 i standarden Policy og prosedyrer for utveksling av informasjon (herunder e-post): Prosedyrene og sikringstiltakene som skal følges ved bruk av elektronisk kommunikasjonsutstyr for informasjonsutvekslng bør ta hensyn til føglende forhold: - prosedyrer utformet for å beskytte utvekslet informasjon motavlytting, kopiering, endring, feilredigering og ødeleggelse; - prosedyrer for å avdekke og beskytte mot ødeleggende kode som kan overføres ved bruk av elektronisk kommunikasjon - prosedyrer for å beskytte sensitiv elektronisk informasjonbeskyttelse som er formidlet i form av et vedlegg; - policy og retningslinjer som markerer akseptabel bruk av lektronisk kommunikasjonsutstyr;

8 Styringssystemet for informasjonssikkerhet side 8 av 14 - den ansattes, kontraktørens og andre brukeres ansvar for ikke å kompromittere virksomheten, for eksempel gjennom ærekrenkelse, trakassering, etterligning, videresending av kjedebrev, uautoriserte innkjøp, etc.; - osv. (se standarden) Igjen har vi det samme forholdet: standarden sier hva vi skal ha regler for, men gir oss ikke reglene. Denne standarden skal være til hjelp for den som: har ansvar for å opprette, iverksette og videreutvikle sikkerhetsarbeidet i en bedrift. Det betyr at den dagen sjefen din sier: Sørg for at informasjonssikkerheten er i orden hos oss, kundene begynner å bli skeptiske, er denne standarden et uvurderlig hjelpemiddel. Her vil du finne en utmerket oversikt over områder du bør tenke på, og hva som kan være lurt innenfor hver av dem. (Standarden starter forresten med å slå fast at: Ledelsen skal gi rettledning og støtte i forbindelse med informasjonssikkerhet, så du kan jo starte med å presentere det for sjefen). De retningslinjene som gis i denne standarden er anerkjente og vil være et nyttig utgangspunkt for en hver bedrift for å kunne velge konkrete tiltak og utforme sitt ISMS. Standarden er oversatt til norsk. NS som prefiks angir at det er en norsk standard ISO Informasjonsikkerhetsstyring Retningslinjer for hvordan vi etablerer informasjonssikkerhetsstyringssystemer. Denne standarden gir retningslinjer for å etablere et ISMS i en bedrift. Standarden er harmonisert med prinsippene i ISO 9000:2000-serien for å: provide consistent and integrated implementation and operation of management systems. Den introduserer en overordnet plan for innføringen basert på Deminghjulet for kontinuerlig forbedring. Denne planen har de fire fasene fra Deminghjulet som vi beskrev i introduksjonen til faget. Hovedelementene i standarden er: - Definisjon og etablering av en sikkerhetspolicy - Fastsette omfanget av arbeidet med informasjonssikkerheten - Risikoanalyse - Risikostyring behandle risiko - Velge og iverksette kontrolltiltak - Utarbeide anvendelses-erklæring Vi har fulgt denne standardens plan (basert på Deminghjulet) som utgangspunkt for oppbyggingen av dette faget. Fagets overordnede mål er jo å følge arbeidet med innføring av et ISMS i en bedrift, og dette var derfor veldig naturlig. Skal vi se på forholdet mellom ISO27001 og ISO 27002, kan vi si at ISO gir hovedlinjene i arbeidet med ISMS, altså forteller oss hva vi må gjøre for å få ISMS på plass, mens ISO gir anbefalinger om innholdet. Hvis en bedrift ønsker å få sertifisert sitt ISMS vil det skje i henhold til ISO27001 (mer om sertifisering senere): Et av kravene i ISO27001 er imidlertid at bedriftens ISMS for å kunne bli sertifisert følger anbefalingene som er gitt i ISO Se forsøk på å klargjøre bruk av standardene i figuren nedenfor.

9 Styringssystemet for informasjonssikkerhet side 9 av 14 ISMS Grunnlag for å sertifisere ISO27001 Grunnlag for å utarbeide innholdet ISO Grunnlag for å planlegge og organisere sikkerhetsarbeidet ISO27001 Grunnlag for å kontrollere om krav er oppfylt ISO Læreboka omtaler disse standardene i kapittel 4.3. I tillegg er det selvfølgelig en stor fordel for forståelsen å studere selve standarden Hvorfor bygger ISO27001 på prinsippene i Demingsirkelen? Vi har ført omtalt prinsippene bak Demings sirkel som en anerkjent måte å gå frem på for å sørge for at en hvilken som helst prosess fungere som den skal. Vi planlegger, vi gjennomfører, vi følger opp og vi forbedrer. Dette er et kontinuerlig arbeid, sier prinsippene, som aldri går over. Den mest kjente standarden for bedriftens kvalitetssystem ISO 9000:2000-serien bygger på disse prinsippene.. Standarden ISO27001 slår fast at styringssystemet for informasjonssikkerhet bør være i samsvar med, og aller helst integrert i, bedriftens øvrige styringssystem (kvalitetssystemet). Å etablere et ISMS, sier standarden, krever den samme angrepsmåten som å etablere et hvilket som helst annet styringssystem i bedriften. ISO27001 er (på samme måte som ISO 9000:2000-serien) prosessorientert. (Det betyr at den definerer arbeidet med informasjonssikkerhet som en rekke samvirkende prosesser). Når standarden tar utgangspunkt i prinsippene i Demingsirkelen er målet å sørge for at: - arbeidet med informasjonssikkerhet foregår på en slik måte at de bygger på bedriftens egne sikkerhetsbehov - vi etablerer en sikkerhetspolicy og setter mål for sikkerhetsarbeidet i samsvar med behovene - vi gjennomfører sikkerhetstiltakene innefor rammene av bedriftens totale styringssystem (kvalitetssystemet) - vi overvåker og måler godheten av sikkerhetstiltakene og sørger for kontinuerlig forbedring av sikkerhetstiltakene basert på fakta Et alternativ til ISO 27002? NorSIS ( har utarbeidet en innholdsfortegnelse for det de kaller Håndbok for informasjonssikkerhet. De sier dette om utgangspunktet for håndboken: En standard, et regelverk eller en håndbok for informasjonssikkerhet kan bygges opp på mange ulike måter. Det finnes en internasjonal/ norsk standard for informasjonssikkerhet,

10 Styringssystemet for informasjonssikkerhet side 10 av 14 ISO/IEC som gjerne kan brukes, og som NorSIS anbefaler. Mange små og mellomstore virksomheter synes denne blir for omfattende. NorSIS har derfor laget et eksempel på en enklere håndbok for informasjonssikkerhet. Denne kan integreres som et kapittel i virksomhetens rutiner eller den kan stå for seg selv. I tillegg til en håndbok bør det finnes overordnede retningslinjer i form av en informasjonssikkerhetspolicy for virksomheten. Håndboken er inndelt i: sikkerhetsledelse, personellsikkerhet, fysisk sikring, behandling av informasjon, teknisk sikring. I denne håndboken finner vi igjen flere av de temaene vi tar opp i dette kurset. Så dette kan være en nyttig ressurs, ikke minst for å aktualisere de temaene vi tar opp Standarden ISO For ordens skyld må vi i denne sammenheng også nevne standarden ISO Evaluation criteria for IT Security (også kalt Common Criteria). Denne standarden består av tre deler: - Part 1: Introduction and general model - Part 2: Security functional requirements - Part 3: Security assurance requirements Denne standarden skiller seg fra de standardene vi har omtalt over, ved at den gjelder for ITsystemer og ikke for ISMS. De standardene vi har omtalt over beskriver enkelt sagt hvordan arbeidet i bedriften bør styres og gjennomføres, mend denne standarden beskriver krav til resultatet av arbeidet, som i dette tilfellet er produkter av typen IT-systemer. Dette er en viktig og sentral standard for IT-sikkerhet som vi må kjenne til og vi kommer tilbake til denne standarden i en senere leksjon Enda noen standarder I tillegg til de nevnte standardene, kan følgende standarder være interessante når vi setter i gang for alvor med sikkerhetsarbeidet: - IS Management of information and communications technology security (MICTS - tidligere GMITS - Guidelines for the Management of IT Security) Part 1: Concepts and models for information and communications technology security management Part 2: Techniques for information and communications technology security risk management Part 5: Management guidance on network security (revideres i 2004) - TR IT intrusion detection framework - WD Guidelines for the selection, deployment and operations of intrusion detection systems (IDS) - WD Information security incident management - IS IT network security -Part 1: Network security management -Part 2: Network security architecture -Part 3: Securing communications between networks using security gateways -Part 4: Remote access -Part 5: Securing communications across networks using Virtual Private Networks - TR A framework for IT security assurance

11 Styringssystemet for informasjonssikkerhet side 11 av 14 -Part 1: Overview and framework -Part 2: Assurance methods -Part 3: Analysis of assurance methods - WD Methodology for IT security evaluation Ingen av disse siste standardene er pensum, dette er kun ment som en informasjon/bakgrunnsmateriale Å strukturere og dokumentere et ISMS Vi har hittil sagt følgende om ISMS: - det er en del av bedriftens totale kvalitetssystem - det består av en rekke samvirkende prosesser som sørger for at vi setter iverk nødvendige tiltak for informasjonssikring - det består av både en formalisert, dokumentert del og en formalisert udokumentert del og en uformell del - vi kan bruke anbefalingene i standarden ISO som utgangspunkt når vi etablerer det formelle, dokumenterte systemet. Men bortsett fra det, hvordan ser den dokumenterte delen ut? Hvilke dokumenter er det snakk om? Hvordan er strukturen på dem? Som tidligere nevnt, omfanget på det dokumenterte systemet vil variere mye, avhengig av hvilken bedrift vi snakker om og hvilke behov den har. Som ISO sier: It is expected that simple situations require simple ISMS solutions. Standarden sier videre at det vil variere om det dokumenterte ISMS er en del av bedriftens dokumenterte kvalitetssystem eller et selvstendig system av dokumenter, og om det dekker hele bedriften eller en del av den. Vi har altså mange mulige situasjoner og mange måter å gjøre det på. Vi skal allikevel forsøke å si noe generelt om hvordan dokumentstrukturen i et typisk ISMS vil være. Generelt vil vi finne det dokumenterte kvalitetssystemet i en kvalitetshåndbok. Det dokumenterte styringssystemet for informasjonssikkerhet ISMS kan vi vente å finne som en del av denne håndboken, eller kanskje vanligere, skilt ut som en separat sikkerhetshåndbok. Vi snakker om håndbok, men dette er vanligvis flere dokumenter som henger sammen i en felles dokumentstruktur. For en bedrift er det aller viktigst å finne en struktur som gjør håndboken lett tilgjengelig og lett å vedlikeholde. Det gjelder både for kvalitetshåndboken og for sikkerhetshåndboken, enten denne er en del av kvalitetshåndboken eller en separat håndbok. Vi skal i fortsettelsen omtale sikkerhetshåndboken som om den var en separat håndbok, men det vi sier gjelder akkurat like mye om den er integrert i kvalitetshåndboken. En sikkerhetshåndbok vil inneholde retningslinjer for sikkerhetsarbeidet på minst tre nivåer: 1. Øverst har vi ledelsens mål for sikkerhetsarbeidet i bedriften. Her finner vi også formulert ledelsens overordnede sikkerhetspolitikk. Disse dokumentene er kortfattede, overordnede og staker ut retningen for arbeidet. 2. På neste nivå har vi de dokumenterte prinsippene og den detaljerte politikken for sikkerhetsarbeidet. Her ligger alle ansvarsforhold beskrevet dette er rammeverket for de detaljerte instruksene på neste nivå og gir føringer og felles rammeverk for områder hvor

12 Styringssystemet for informasjonssikkerhet side 12 av 14 det ikke er hensiktsmessig med detaljerte instrukser. Det er vanlig at dette, og det forrige nivået er åpent tilgjengelig for å vise utenforstående hvordan arbeidet med sikkerheten foregår i bedriften. 3. På det nederste nivået finner vi de detaljerte instruksene for hvordan arbeidet skal foregå. Her vil vi finne prosedyrer og regler. I en stor bedrift med ulik virksomhet kan vi ha et hierarki av slike håndbøker. Toppledelsen vil da ha utarbeidet felles overordnende prinsipper som alle underliggende håndbøker skal ta utgangspunkt i. Security charter felles Generic policies Specific policies spesifikk for hver enhet Prosedyrer og rutiner I figuren ser du eksempel på dokumentstruktur fra en større bedrift: Legg merke til at denne bedriften har dokumenter på fire nivåer, hvor de to øverste nivåene er felles for hele bedriften og gir overordnede føringer for sikkerhetssystemet. De to neste nivåene er dokumenter på mer detaljert nivå, spesifikk for hver enhet. I dette faget skal vi utarbeide følgende dokumenter, som kan plasseres i tre nivåer: Nivå 1: mål og strategi, overordnet sikkerhetspolitikk Nivå 2: organisering av sikkerhetsarbeidet i bedriften, detaljert sikkerhetspolitikk Nivå 3: prosedyrer, opplæringsplaner Den papirløse håndboken Tidligere fant vi sikkerhetshåndbøker i en, eller helst flere permer. Alle ansatte skulle ha sitt eget eksemplar stående i hylla. Hvert eksemplar var gjerne personlig tildelt og nummerert, og revisjonshistorien til håndboken var viktig, slik at en kunne vite om en satt med en gyldig versjon. Nå er det antagelig mest vanlig å ha sikkerhetshåndboken, så vel som andre håndbøker, tilgjengelig på bedriftens intranett, i maskinlesbar form. Håndboken er da alltid tilgjengelig i siste versjon. Dette gir åpenbare fordeler når sikkerhetshåndboken skal oppdateres. Noe den skal nærmest kontinuerlig, hvis vi følger prinsippene fra ISO i sikkerhetsarbeidet. Alt vi gjør for å lette oppdateringene er derfor viktig. I en intranettbasert sikkerhetshåndbok kan nye retningslinjer og prosedyrer raskt komme på plass uten det store apparatet som ville være nødvendig hvis sikkerhetshåndboken skulle trykkes opp og distribueres, og de ugyldige eksemplarene samles inn for å makuleres. En slik løsning er derfor langt å foretrekke.

13 Styringssystemet for informasjonssikkerhet side 13 av 14 De standardene vi har omtalt sier ikke så mye om hvordan sikkerhetshåndboken skal struktureres, heller ikke hvilket medium den skal presenteres på. De slår imidlertid fast en ubrytelig regel: Når sikkerhetssystemet er endret skal håndboken umiddelbart oppdateres. Og ikke bare det, alle interessenter skal varsles om endringen umiddelbart og få tilstrekkelig opplæring i det som er nytt.

14 Styringssystemet for informasjonssikkerhet side 14 av Oppsummering hovedpunktene i leksjonen 1. Kvalitetssystemet omfatter hele bedriften og all virksomhet i bedriften. Det omfatter dermed også bedriftens retningslinjer og holdninger når det gjelder informasjonssikkerhet. 2. De overordnede prinsippene som gjelder for kvalitetssystemer, og som vi blant annet finner i ISO 9000:2000-serien, vil også være overordnede prinsipper når vi skal etablere et ISMS i en bedrift. 3. Et ISMS kan også være mer eller mindre formelt, på samme måte som kvalitetssystemet. Hvor formelt og veldokumentert vårt ISMS må være, vil, som for kvalitetssystemet, avhenge av bedriftens behov. 4. Det er viktig å være oppmerksom på at ISMS har både en formell og en uformell del, og at bare deler av den formelle kan finnes igjen i dokumentene. Hvis vi vil lykkes med sikkerhetsarbeidet, må vi sørge for at det er samsvar mellom alle delene av ISMS. Det hjelper ikke om vi har verdens beste system på papiret, hvis ingen i bedriften gjør det etter boka. 5. Følgende standarder er av særlig interesse i sikkerhetsarbeidet: ISO 900:2000-serien som gir retningslinjer for etablering av kvalitetssystemer ISO som gir anbefalinger om hvordan arbeidet med informasjonssikkerheten i en bedrift bør administreres ISO27001 som gir retningslinjer for å etablere et ISMS i en bedrift ISO15408 som benyttes for å vurdere graden av sikkerhet i et IT-system 6. Generelt vil vi finne bedriftens kvalitetssystem i en kvalitetshåndbok og ISMS i en sikkerhetshåndbok. Sikkerhetshåndboka kan være en del av kvalitetshåndboka eller en separat håndbok. Den kan dekke hele bedriften eller bare en del av bedriften. Vi snakker om det som en håndbok, men dette er vanligvis flere dokumenter som henger sammen i en dokumentstruktur. 7. En sikkerhetshåndbok vil inneholde retningslinjer for sikkerhetsarbeidet på minst tre nivå: Mål og policy for arbeidet Dokumenterte prinsipper, ansvarsforhold. Dette er rammeverket for neste nivå. Detaljerte instrukser, prosedyrer og regler.