Informasjonssikkerhetsstyring

Transkript

1 Informasjonssikkerhetsstyring Greta Hjertø (Revidert av Bjørn Klefstad), Institutt for informatikk og e-læring, NTNU Lærestoffet er utviklet for emnet IBED2003 og IINI2009 Resymé: I denne leksjonen får du en introduksjon til Informasjonssikkerhetsstyring. Vi skal se nærmere på hva et slikt styringssystem for informasjonssikkerhet er, hva det inneholder og hvilken struktur det kan ha. I tillegg ser vi nærmere på standardene ISO og ISO for styringssystemer for sikkerhet LÆRINGSUTBYTTER OG PENSUM HENSIKTEN MED INFORMASJONSSIKKERHETSSTYRING Fokus i informasjonssikkerhetsstyring En spesiell takk FAGET FØLGER DEMINGS PRINSIPPER FOR KONTINUERLIG FORBEDRING Hvorfor Demingsirkelen - hva var det Deming ville? SÅ GJØR VI SÅ EN PLAN FOR ARBEIDET Oppstart Planlegging Gjennomføring av kulturprogram Gjennomføring av teknisk program Evaluering Kontinuerlig forbedring av ISMS ISMS ER EN DEL AV BEDRIFTENS KVALITETSSYSTEM DET FORMELLE OG DET UFORMELLE KVALITETSSYSTEMET STANDARDER FOR ISMS ISO Informasjonsteknologi Administrasjon av informasjonssikkerhet ISO Informasjonsikkerhetsstyring Retningslinjer for hvordan vi etablerer informasjonssikkerhetsstyringssystemer Hvorfor bygger ISO27001 på prinsippene i Demingsirkelen? Et alternativ til ISO 27002? Å STRUKTURERE OG DOKUMENTERE ET ISMS DEN PAPIRLØSE HÅNDBOKEN REFERANSER OPPSUMMERING HOVEDPUNKTENE I LEKSJONEN Opphavsrett: Forfatter og AITeL

2 Informasjonssikkerhetsstyring side 2 av Læringsutbytter og pensum Detaljerte læringsutbytter Kunne forklare hva et ISMS er for noe, og forstå hvilken rolle det har i styring av bedriften Vite hvorfor sikkerhet er viktig både for bedriftens omdømme og bedriftens økonomi Ha kjennskap til prinsippene i Demings sirkel for kontinuerlig forbedring og hvordan disse prinsippene kan anvendes som rettesnor i arbeidet med sikkerhetsledelse Vite at kontinuerlig forbedring og prosesstankegangen står sentralt i ISO-standarden, og kunne forklare hvorfor vi legger opp arbeidet med sikkerhetsledelse etter disse prinsippene. Kjenne ISO 9000:2000-serien og hva den brukes til, og forstå hvorfor vi trekker den inn i en diskusjon om ISMS Kjenne til standardene ISO og og forholdet mellom dem, og kunne bruke dem for å få på plass et ISMS for en konkret bedrift Kunne legge opp strukturen for et ISMS for en konkret bedrift Pensum i lærebok (Håndbok i datasikkerhet 3. utgave) Kap Sikkerhetsrelaterte standarder Støttelitteratur ISO (elektronisk tilgang) ISO (elektronisk tilgang) 1.2. Hensikten med informasjonssikkerhetsstyring I emnet informasjonssikkerhetsstyring skal vi behandle sikkerhet sett fra organisasjonens synsvinkel. Det spørsmålet vi vil ha svar på er: Hva må en bedrift gjøre for å få på plass et styringssystem for informasjonssikring? På engelsk kalles et slikt styringssystem for ISMS. Dette er forkortelse for: Information Security Management System. Vi kommer til å bruke denne forkortelsen i faget, da vi ikke er kjent med en like innarbeidet forkortelse for den norske oversettelsen: Styringssystem for informasjonssikring. Målet med det vi gjennomgår og det vi jobber med i informasjonssikkerhetsstyring er å bli i stand til å bygge opp et ISMS for en konkret bedrift. Studentene skal kunne vurdere hvilke behov en konkret bedrift har for å beskytte sine informasjonsressurser. Dette er grunnlaget for å velge de prinsippene, retningslinjene, prosedyrene, standardene etc. som er nødvendige for at bedriften kan være sikker på at informasjonens integritet, konfidensialitet og tilgjengelighet bevares.

3 Informasjonssikkerhetsstyring side 3 av 18 For å lykkes med dette, må vi se ulike sikkerhetshensyn i sammenheng med hverandre og i forhold til resten av virksomheten, og vi må forstå hva som kreves av et styringssystem for informasjonssikring. I praksis gjennomfører vi da det som kalles sikkerhetsledelse. Vi skal lære at omfang og innhold av sikkerhetsledelse kan være vesensforskjellig i forskjellige bedrifter fordi behovet er vesensforskjellig. Det er bedriftens konkrete situasjon som avgjør. For å diskutere dette, tar dette delemnet utgangspunkt i: - Anbefalingene i standardene ISO og ISO Prinsippene i Demings sirkel for kontinuerlig forbedring (sikkerhetsstandarden ISO har dette utgangspunktet) - To case-beskrivelser for ulike firma (En beskrivelse av disse finner dere i it s learning) - De kravene som stilles til behandling av informasjon fra lovpålagte forskrifter, spesielt bestemmelsene i personopplysningsloven - Forskjellige aspekter ved informasjonssikkerhet, både hva som skal beskyttes, hva det skal beskyttes imot og hva vi gjør for å beskytte. - Forholdet til bedriftens omgivelser. Vi ser både på organisasjoner som stiller krav i form av lover og regler, og organisasjoner som kan bidra med støtte i arbeidet Fokus i informasjonssikkerhetsstyring I Informasjonssikkerhetsstyring kommer vi til å fokusere både på teknologi, personer og på det systematiske sikkerhetsarbeidet i organisasjonen. Vi skal diskutere hva som må gjøres, hvordan arbeidet best gripes an og hvem som bør være med. Videre peker vi på sentrale områder som må underlegges kontroll, men vi sier ikke noe om hvilke løsninger som i ulike tilfeller skal velges. Et systematisk sikkerhetsarbeid krever at vi kjenner IKT-teknologien og de mulighetene og utfordringene den gir oss. Dette er nødvendig for å forstå hvor de største truslene mot informasjonssikkerheten finnes og hvilke teknologiske løsninger vi kan ta i bruk for å beskytte oss. Vi vil derfor trekke inn en del teknologiske løsninger i dette emnet. Dette vil bidra til en dypere forståelse av hva sikkerhetsarbeidet går ut på og hva som er mulig. Dagens generelle trusselbilde kommer i neste leksjon og det er viktig å vite om de vanligste sikkerhetsmessige utfordringene en organisasjon står overfor. Det endrer seg hele tiden og det er en utfordring å holde seg oppdatert. Med det generelle trusselbildet som utgangspunkt skal vi komme frem til det spesielle trusselbildet for en bestemt organisasjon. Dette er ingen enkel oppgave og krever svært god kjennskap til den aktuelle organisasjonen. I tillegg til kunnskap både om hva som truer og hvilke muligheter vi har for å beskytte oss, må vi forstå hvordan vi setter det hele i system. Dette er grunnlaget for å kunne gjøre valg ut fra organisasjonens konkrete behov. Det blir fokus i dette emnet En spesiell takk En spesiell takk til Tomas M. Huseby som har bistått i utformingen av eksemplene, basert på hans mangeårige erfaringer med tilsvarende arbeid Faget følger Demings prinsipper for kontinuerlig forbedring I standarden ISO anbefales det at bedriftens arbeid med sikkerhet styres etter prinsippene fra Demings sirkel for kontinuerlig forbedring. Arbeidet med

4 Informasjonssikkerhetsstyring side 4 av 18 informasjonssikkerheten i bedriften vil da ha fire faser: Planlegge sikringstiltak, Utføre de planlagte tiltakene, Følge opp hvor godt de fungerer og Iverksette vedlikehold og forbedringer på grunnlag av resultatet av oppfølgingen. Deretter starter en ny runde i sirkelen, hvor nye behov og tiltak blir identifisert, slik at arbeidet med sikkerheten går kontinuerlig. Vi har valgt å bygge opp faget etter disse fire fasene. Det betyr at vi gjennom leksjonene og øvingene gjennomfører en runde i Demingsirkelen. For hver fase har vi valgt ut de viktigste aktivitetene som må gjennomføres. I figuren nedenfor ser du en oversikt over temaene i faget i forhold til Demingsirkelens faser. Du vil få både teori og praktiske øvinger knyttet til disse emnene etter hvert som vi går utover i faget. Identifikasjon av forbedringsbehov Gjennomføring av korrigerende tiltak Læring av uønskede hendelser Iverksette Forankring Mål for sikkerhetsarbeidet Overordnet sikkerhetspolitikk Gapanalyse Risikoanalyse Valg av tiltak for å håndtere risiko Planlegge Følge opp Revisjoner Måling Oppfølging og evaluering Trendanalyser Benchmarking Sikring av bevis Utføre Opplæring, motivasjon, informasjon Sikkerhetskultur, etikk Detaljert sikkerhetspolitikk Prosedyrer og retningslinjer Sertifisering av produkter og systemer Hvorfor Demingsirkelen - hva var det Deming ville? Deming ( er en av de såkalte kvalitetsguruene. Det vil si at han var opptatt av kvalitet og teorier for kvalitetsledelse, og var en av pionerene i dette arbeidet. Han var amerikaner, men arbeidet først og fremst med kvalitetsspørsmål i Japan etter annen verdenskrig. Han er en av dem som har fått æren for Japans utvikling som produsent, fra å være kjent for plastjuggel, til å være kjent for Toyota og lignende kvalitetsvarer. Noe som førte til at Japan plutselig utkonkurrerte USA på mange områder. Mange av prinsippene i ISO 9000:2000-serien kommer fra han. Og Deminghjulet. Deminghjulet henger sammen med et annet viktig prinsipp, nemlig prosesstankegangen. Deming mener at all aktivitet i en bedrift bør styres som prosesser. En prosess er definert som en samling av beslektede eller samvirkende aktiviteter som omformer tilført grunnlag til resultater. Poenget med å se det som foregår i bedriften som prosesser, er å se helheten, å se hvilke aktiviteter som er avhengige av og påvirker hverandre. Dermed har vi det beste grunnlaget, mener Deming, for å styre all virksomhet i bedriften på en god måte. I dette synspunktet ligger også den forutsetningen at en god prosess er nødvendig for å produsere gode resultater. Prosessene må derfor styres slik at de blir best mulige. Da er det nødvendig å

5 Informasjonssikkerhetsstyring side 5 av 18 forbedre prosessene, kontinuerlig. Det er her Deminghjulet kommer inn i bildet. Det viser oss hvordan arbeidet med kontinuerlig forbedring av prosessene bør foregå. Kort oppsummert: - Arbeidet må gå kontinuerlig, vi blir aldri ferdige - Det vi gjør, må baseres på fakta som vi skaffer oss gjennom målinger og evaluering - Arbeidet starter med at vi velger ut og planlegger tiltak for forbedring - Disse tiltakene gjennomfører vi - Så måler vi hvordan det gikk og hvordan effekten var - Basert på dette, vurderer vi om forbedringene var riktige og skal fortsette, eller om det må gjøres nye forbedringer - Basert på det vi nå har lært, identifiserer og planlegger vi nye tiltak Det kan være litt ugreit å få taket på Deminghjulet. For eksempel kan det være uklart hva som er forskjellen mellom Utføre og Iverksette, og mellom de justeringene vi gjør i Iverksette og det å Planlegge en ny runde. Det gjør ingen ting. Det viktigste er å forstå at arbeidet går kontinuerlig, at vi måler og at vi planlegger det vi skal gjøre før vi gjør det Så gjør vi så en plan for arbeidet Vi har nå introdusert prinsippene i Deminghjulet og Demings fire faser som en strukturert og god angrepsmåte for arbeidet med å innføre og kontinuerlig forbedre sikkerhetsstyringssystemet i bedriften. Dette er en bra begynnelse for å få en god struktur på arbeidet, men vi velger å gå et skritt lengre og definere seks sentrale faser eller hovedaktiviteter som vi skal følge. Se figuren nedenfor. Gjennomfør kulturprogram Oppstart Planlegg Evaluer Gjennomfør teknisk program Kontinuerlig forbedring Hvis du mener at denne figuren har bare fem faser, så legg merke til tilbakekoblingspilen fra Evaluer til Oppstart, denne pilen representerer fasen Iverksett i Deminghjulet. Disse seks fasene og innholdet i dem er like generelle som fasene i Deminghjulet. De gir god støtte i alt

6 Informasjonssikkerhetsstyring side 6 av 18 arbeid med å innføre større og viktige endringer i infrastrukturen, styringssystemet eller arbeidsmåten i en bedrift. De vil for eksempel være helt i tråd med den angrepsmåten vi ville velge om målet vårt var å legge på plass et overordnet kvalitetssystem eller styringssystem i en bedrift. Siden ISMS har sin naturlige plass innenfor et kvalitetssystem, passer denne fremgangsmåten veldig bra for oss. Grunnen til at vi går fra Deminghjulets fire faser til de seks du ser i figuren, er at vi vil ha sterk fokus på forankring i fasen Oppstart, og vi vil markere skillet mellom kulturprogram og teknisk program i fasen Utføre. Som vi skal se senere, så vil et ISMS ha både en formell del og en uformell del. Hvis det ikke er samsvar mellom disse to vil vi aldri lykkes med sikkerhetsarbeidet i bedriften. Fokus på kulturprogrammet er nettopp fokus på den uformelle delen av sikkerhetssystemet, den vi finner i folks holdninger og bedriftens kultur i vid forstand. Det er bra å ha en egen aktivitet for dette, da minner vi oss selv på hvor viktig det er. La oss se nærmer på hva som skjer i hver av boksene Oppstart I denne fasen skal vi forankre sikkerhetsarbeidet i bedriften. Den aller viktigste aktiviteten her er at ledelsen formulerer mål og strategi for arbeidet og en overordnet sikkerhetspolitikk for bedriften. Hensikten er å fortelle hva ledelsen forventer av sikkerhetsarbeidet i bedriften og hva ISMS skal gi av resultater. Dette skal også gi klart utrykk for hvilke holdninger de ansatte forventes å ha til sikkerhet. Mer om sikkerhetspolitikken i en senere leksjon. Mål og strategi for arbeidet og den overordnede sikkerhetspolitikken gjøres kjent for alle ansatte. Den andre viktige aktiviteten i denne fasen er å opprette en støtteorganisasjon for arbeidet. Dette er en gruppe som skal være pådrivere for arbeidet, og må derfor kunne representere både ledelsen og alle kategorier av de ansatte. Det er viktig at ingen grupper kan stå utenfor og si at sikkerhet er alle andres ansvar. Mer om denne gruppen senere. Oppstart hører hjemme i Demingsirkelens første kvadrant: Planlegge Aktiviteten Oppstart behandles i leksjonen: Oppstart og forankring. Oppstart og forankring bygger også på innholdet i følgende leksjoner: Aktører, lover og regler Generelt om informasjonssikkerhetsstyring Planlegging Planleggingen starter med å skaffe seg en oversikt over status. Bedriften har høyst sannsynlig elementer av et ISMS på plass allerede. Noe sikkerhetsarbeid driver alle! Husk at deler av ISMS kan være både uformelt og udokumentert. (I en liten bedrift kan det allikevel være godt nok, men generelt kan dette være ting man nå vil ha mer formalisme på). Det er viktig å få oversikt over hvordan ting faktisk gjøres, og det er viktig å vite hva som er bra og hva som er mindre bra. Det gjelder både de dokumenterte retningslinjene og den måten folk faktisk jobber på. Oversikt over status er alfa og omega for å kunne innføre et ISMS på en målrettet måte. Vi ser allikevel forbausende ofte at bedrifter setter i gang uten å gjennomføre denne viktige biten.

7 Informasjonssikkerhetsstyring side 7 av 18 Videre i planleggingsfasen må vi kartlegge gapet mellom status og det nivået vi ønsker å ha på ISMS. En risikoanalyse er viktige hjelpemiddel i dette arbeidet. Med oversikt over status og innsikt i trusler og risiko har vi så skaffet oss grunnlag for å formulere mål og krav til ISMS, og velge hva vi konkret må gjøre. Med det utgangspunktet kan vi lage en detaljert plan for arbeidet. Planlegging hører hjemme i Demingsirkelens første fase: Planlegge Aktiviteten planlegging behandles i leksjonen: Generelt om risikoanalyse. Planlegging bygger også på innholdet i følgende leksjoner: Generelt om trusselbildet Gjennomføring av kulturprogram For at et sikkerhetsarbeid skal bli vellykket må hele organisasjonen stå bak. Hensikten med kulturprogrammet er å skaffe slik støtte. Her skal vi arbeide med folks holdninger og kompetanse og gjøre alle delaktige i arbeidet. Målet er å: - øke bevisstheten angående sikkerhet hos alle - få engasjert alle i arbeidet med informasjonssikkerheten - sikre at alle har eierskap til det som skal skje Det vi her kaller eierskap, er helt avgjørende for å lykkes. Eierskap betyr at alle skal føle at dette angår dem. Vi må unngå noe som er veldig vanlig at folk dukker ned og gjemmer seg og venter på at dette maset skal gå over. Arbeidet med kulturprogrammet består av informasjon og opplæring. I tillegg bør alle være med å sette mål for sikkerhetsnivået og finne mulige forbedringstiltak når det gjelder informasjonssikkerhet for sine egne arbeidsområder. Gjennom hele kulturprogrammet må ledelsen være synlig som frontfigur. Dette er veldig viktig. Kulturprogram hører hjemme i Demingsirkelens andre fase: Utføre Aktiviteten kulturprogram behandles i leksjon: Kulturprogrammet Gjennomføring av teknisk program. Dette er kort sagt å få på plass all krav, retningslinjer og prosedyrer som skal gjelde. Her vil standarden ISO være til uvurderlig hjelp. Den forteller på hvilke områder det er viktig å ha retningslinjer og gir føringer for hva retningslinjene skal dekke. Et måleprogram er et annet viktig element i det tekniske programmet. Det er måleprogrammet som skal sikre at vi kan overvåke effektiviteten og godheten til det ISMS vi legger på plass og det er gjennom måleprogrammet vi samler informasjon om hva som bør forbedres. Teknisk program hører hjemme i Demingsirkelens andre fase: Utføre Gjennomføring av teknisk program bygger også på innholdet i følgende leksjoner: Trusler og beskyttelse PC Beredskapsplaner, drift og vedlikeholdsrutiner Trusler og beskyttelse Nettverk Trusler og beskyttelse Kryptering

8 Informasjonssikkerhetsstyring side 8 av 18 Fysiske sikringstiltak og driftsmiljø Sikkerhetspolicy Evaluering Evaluering er en typisk representant for det gode vi vil, men som vi ikke gjør. Å evaluere er kanskje den viktigste og mest oversette hovedaktiviteten ved innføring av et ISMS. Det hender alt for ofte at en bedrift med stor innsats satser på økt informasjonssikkerhet og gjennomfører alle de andre aktivitetene vi har snakket om, men stopper før evalueringen. Et ISMS, som alle andre styringssystemer, må kontinuerlig måles, evalueres og forbedres hvis det skal gi den effekten som er ønsket. Det må det, det er ingen vei utenom. Vi har ulike evalueringsaktiviteter: rutinekontroller, benchmarking, ledelsesgjennomganger, måling, revisjoner, trend-analyser. Målet for alle er å for å samle data om effektiviteten av ISMS, og vi skal omtale de viktigste av dem. I tillegg må vi også ha: - et opplegg for å analysere data og kunne trekke konklusjoner av data; hvis vi ikke vet hva et resultat betyr har det liten verdi - et opplegg for å kunne benytte konklusjonene til å gjøre noe Evaluering hører hjemme i Demingsirkelens tredje fase: Følge opp Aktiviteten Evaluering behandles i leksjonene: Oppfølging og kontinuerlig forbedring, Kontinuerlig forbedring av ISMS All verdens målinger og revisjoner har ingen verdi med mindre vi bruker resultatet til å få svar på spørsmålet: hva kan bli bedre. Dette skal vi bruke som grunnlag for å starte en ny syklus: planlegge nye tiltak, gjennomføre dem og måle hvor godt de fungerer, og bruke resultatet til å starte på nytt, osv. Kontinuerlig forbedring hører hjemme i Demingsirkelens fjerde fase: Iverksette og dels også ved å gjennomføre en ny runde i sirkelen. Aktiviteten Kontinuerlig forbedring behandles i leksjonen: Oppfølging og kontinuerlig forbedring 1.5. ISMS er en del av bedriftens kvalitetssystem Før vi går nærmere inn på styringssystemet for informasjonssikring, må se nærmere på bedriftens kvalitetssystem. Spørsmålet er hva er et kvalitetssystem og hva har det med informasjonssikkerhet å gjøre? Kortfattet kan vi definere et kvalitetssystem slik, hentet fra ISO 9000:2000 (mer om denne standarden senere): styringssystem for å rettlede og styre en organisasjon når det gjelder kvalitet Når vi studerer standardens prinsipper for dette styringssystemet, vil vi se at det omfatter hele bedriften. Standarden sier at bedriften styres gjennom fire hovedprosesser:

9 Informasjonssikkerhetsstyring side 9 av 18 ledelsens ansvar ressursstyring realisering av produkt måling, analyse og forbedring For hver av hovedprosessene inneholder standarden krav til hvilke styringselementer som må være på plass. I tillegg gir den noen overordnede prinsipper for styring, her er de viktigste for oss: - sterkt kundefokus - toppledelsens klare engasjement - prosesstankegangen, dvs. en systematisk identifisering og styring av bedriftens prosesser og spesielt samspillet mellom dem - at prosessene skal kontinuerlig forbedres, basert på faktiske hendelser Enhver bedrift har et kvalitetssystem. Men det er ikke sikkert det er oppbygd etter kravene i verken ISO-standarden eller andre standarder. Kvalitetssystemet er samlingen av de elementene som ledelsen innfører i bedriften rett og slett for å kunne styre den. I en liten bedrift finner vi antagelig ikke noe formelt system. Her vil vi finne vår måte eller slik gjør vi det her. Antagelig er vår måte heller ikke skrevet ned, men finnes i ledelsens hode og formidles i det daglige i den direkte kontakten. Når en bedrift vokser og får flere ansatte, vil det etter hvert være nødvendig å skrive ned noe regler for hvordan ting skal gjøres, få på plass noen jobbeskrivelser og bli enige om noen standarder. Hensikten er å sikre at alle gjør det de skal, at det er en viss orden i bedriften og at ressursene utnyttes på best mulig måte. Jo større bedriften er, jo mer øker behovet for systematikk og dokumentasjon. I en stor bedrift vil vi finne et temmelig omfattende, formelt og dokumentert system. En slik bedrift kan ikke fungere uten et formelt og dokumentert styringssystem. Det er ikke sikkert bedriften kaller det et kvalitetssystem, men vær sikker kvalitetssystemet er der. Skal dette kvalitetssystemet være effektivt, må det inneholde de riktige elementene, det må ha en struktur som gjør innholdet lett tilgjengelig og det må holdes oppdatert. Det er her ulike standarder kommer til nytte. Ved å følge en standard får bedriften en modell som viser en anerkjent måte å bygge opp systemet på. En standard gir ingen fasitsvar på hvordan en virksomhet skal styres, men den setter opp en del viktige krav til hva styringssystemet bør omfatte. Med andre ord hva bedriften skal ha regler for. Grunnen til at vi diskuterer dette her, er at ISMS har sin naturlige plass innenfor kvalitetssystemet. En bedrift kan ikke styres mot å ha kvalitet i alle ledd, slik ISO-standardene legger opp til, uten at den også har nødvendig fokus på arbeidet med informasjonssikkerhet. Når vi skal diskutere utvikling og innføring av et hensiktsmessig ISMS for en bedrift, er det derfor naturlig at vi starter med de prinsippene som gjelder for det overordnede systemet som ISMS er en del av. Vi summerer opp:

10 Informasjonssikkerhetsstyring side 10 av 18 Kvalitetssystemet omfatter hele bedriften og all virksomhet i bedriften. Det omfatter dermed også bedriftens retningslinjer og holdninger når det gjelder informasjonssikkerhet. De overordnede prinsippene som gjelder for kvalitetssystemer, og som vi blant annet finner i ISO 9000:2000-serien, vil også være overordnede prinsipper når vi skal etablere et ISMS i en bedrift. Et ISMS kan også være mer eller mindre formelt, på samme måte som kvalitetssystemet. Hvor formelt og veldokumentert vårt ISMS må være, vil, som for kvalitetssystemet, avhenge av bedriftens behov Det formelle og det uformelle kvalitetssystemet La oss se litt nærmere på det formelle og det uformelle kvalitetssystemet. Det totale kvalitetssystemet i en bedrift alltid vil bestå av tre delsystemer: Uformelt K-system Formalisert K-system Dokumentert K-system Kjernen er det dokumenterte systemet. Det omfatter alt som er formalisert og dokumentert. Hvis vi går til en bedrifts styrende dokumenter, kvalitetshåndbøker, stillingsinstrukser og så videre, er alt dette deler av det dokumenterte systemet. Det dokumenterte systemet er lett å få øye på. Dette er det formelle i organisasjonen. Det er ledelsens intensjoner vi finner her. Som nyansatt i en bedrift vil vi kunne sette oss ned med en rekke håndbøker og ganske raskt bli kjent med det dokumenterte styringssystemet. Tar vi med oss neste delsystem, har vi det formaliserte systemet. I tillegg til det dokumenterte systemet består det av alt som er formalisert i bedriftens behandling av ulike styringsspørsmål, selv om det ikke er dokumentert. Eksempel kan være ledermøtet, hvor kvalitetsspørsmål eller informasjonssikkerhet regelmessig er satt på agendaen, og det kan være medarbeidersamtaler, hvor man blir enige om kvalitetsmål for medarbeiderne eller medarbeiderens holdning til sikkerhet blir vurdert. Tar vi med også det uformelle, får vi Det i praksis fungerende systemet. Det omfatter alt slik gjør vi det hos oss. Det vil si både det formaliserte systemet og i tillegg alt uformelt arbeid som angår styringen av bedriften. Den ytre ringen i det i praksis fungerende systemet er svært viktig. Her finner vi organisasjonens kultur og verdier. Her finner vi normer, ritualer, holdninger og regler for adferd som ikke lar seg dokumentere i form av prosedyrer og instrukser. Som nyansatte i en bedrift vil det ta oss lang tid før vi har knekt koden og får full oversikt over dette. Det er ikke engang sikkert det hjelper å spørre. De som har vært ansatt i bedriften lenge, tar mye av dette som en selvfølge, og er kanskje ikke engang klar over at de følger noen uskrevne regler. Det er av flere grunner viktig å være oppmerksom på disse delsystemene. For det første må vi være oppmerksomme på at alle tre systemer spiller en rolle. Hvis det ikke er samsvar mellom det dokumenterte og formelle systemet og det i praksis fungerende systemet, er det vanskelig

11 Informasjonssikkerhetsstyring side 11 av 18 å gjennomføre ledelsens gode intensjoner i praksis. Det er dette som er grunnen til at mange regler brytes i bedriftene. Reglene skal ikke bare kunne leses i det formelle systemet, de skal trenge helt ut i den ytterste ringen og følges i praksis. Dette er krevende, mye mer krevende enn ledelsen mange ganger har forståelse for. Det er svært mange bedrifter som har sitt formelle system i orden, men hvor dette får liten betydning for den måten de ansatte oppfører seg på, fordi det ikke er samsvar mellom det formelle og det som finnes i folks hoder. Et eksempel: vårt regionsykehus innførte absolutt røykeforbud, også utendørs i umiddelbar nærhet av sykehuset. Reglene var tindrende klare. Men en oppfølgingsrapport viste at det fremdeles ble røykt i stor stil på sykehuset. Og verre, folk fant svært kreative plasser å røyke på, noen av dem ytterst brannfarlige. Nå diskuteres tiltak for å få folk til å følge forbudet. Det foreslås straffetiltak og det foreslås å lempe på reglene. Med referanse også til informasjonssikkerhet, vil vi si at både straffetiltak og en nøye vurdering av hvilke regler vi må ha, er nødvendig for å få folk til å følge reglene. Hvis reglene ikke stemmer med folks rettsoppfatning, kan det hende de må lempes på. Og regler som ikke følges opp hvis de brytes, blir ikke respektert. Mer om dette senere. Det andre problemet med disse delsystemene, er å finne det riktige omfanget på hver av dem. Foran sier vi at kvalitetssystemet, og ISMS som en del av det, kan være mer eller mindre formelt, avhengig av bedriftens behov. Det er da det relative omfanget på de tre delsystemene vi tenker på. En liten bedrift kan for eksempel krympe det formaliserte systemet til nesten ingen ting, og fremdeles ha tilstrekkelig fokus på både kvalitet og informasjonssikkerhet. Et større firma som prøver på det samme, vil helt klart få problemer. Et vanlig problem er at et firma starter som lite, og klarer seg fint med det uformelle systemet, så vokser firmaet uten at styringssystemet tilpasses den nye situasjonen, og prøver etter hvert å styre en komplisert forretning basert på tro og håp og muntlige overleveringer. Dette gjelder kanskje ikke minst for informasjonssikkerheten? Det må gå galt. Vær oppmerksom på at standarder for kvalitetssystemet og for ISMS gjelder for det dokumenterte systemet. Når det gjelder revisjoner og kontroller av systemene, vil alltid det dokumenterte systemet bli lagt til grunn. Det betyr at for det første vil det dokumenterte systemet bli vurdert, for eksempel mot en standard, og bli godkjent eller ikke. Deretter vil praksisen i bedriften bli vurdert mot det dokumenterte systemet. Skal en bedrift vurderes til å ha et tilfredsstillende sikkerhetssystem, må altså det dokumenterte systemet være dekkende for bedriftens behov, og det må følges i praksis Standarder for ISMS Vi har slått fast at ISO 9000:2000- serien er viktig for oss. Dette er en utbredt og anerkjent serie standarder for utforming av kvalitetssystemer. ISO 9000:2000-serien gir dermed overordnede prinsipper og føringer som det kan være naturlig å ta utgangspunkt i når vi skal forme vårt ISMS. (Hvis bedriftens kvalitetssystem er bygd opp etter ISO 9000:2000-serien, må vi antagelig følge dem). Men ISO 9000:2000-serien hjelper oss ikke konkret med utformingen når det gjelder styring av informasjonssikkerheten. Her får vi imidlertid hjelp av to andre standarder: ISO27001 (2013) og ISO (2013). Vi skal gi en kort introduksjon til hver av dem. Før vi gjør det vil vi imidlertid si noe viktig om standarder for både kvalitetssystemer og ISMS:

12 Informasjonssikkerhetsstyring side 12 av 18 - En standard er et hjelpemiddel og et rammeverk for et styringssystem, det er ikke et styringssystem - En standard sier hvilke prinsipper vi skal bygge på og hvilke styringselementer som bør være på plass. Den sier ikke hvordan disse konkret skal utformes - En standard forteller ikke hvor lista skal ligge - Enhver bedrift må tilpasse standardens anbefalinger til sine egne behov - Behovene avhenger av type bedrift, størrelse, type produksjon osv. - To bedrifter vil derfor med utgangspunkt i samme standard få ulike styringssystemer - Du kan aldri innføre en standard og dermed få innført en sikkerhetshåndbok (eller et styringssystem) - For å bruke standarden til å utarbeide en sikkerhetshåndbok trenger du i tillegg kunnskap om din egen bedrift, om IT-sikkerhet og om IT generelt Mer om standarder og standardisering kan dere lese på standard.no. Der finner vi blant annet følgende kommentarer om en standard. En standard: utarbeides etter initiativ fra interessegrupper gir retningslinjer for hvilke krav som skal settes til varer og tjenester regulerer for hvordan prøving, sertifisering og akkreditering skal gjennomføres er et forslag til valg av løsning bidrar til utvikling av formålstjenlige og sikre produkter, produksjonsprosesser og tjenester er ofte frivillig å bruke gir mer detaljerte beskrivelser til EU-direktiver, nasjonale lover og forskrifter ISO Informasjonsteknologi Administrasjon av informasjonssikkerhet Dette er en standard som gir anbefalinger om hvordan informasjonssikkerheten i en bedrift bør administreres. Standarden er ment å brukes som utgangspunkt for den konkrete utformingen av sikkerhetstiltakene i en bedrift. Standarden er grundig og omfattende og gir anbefalinger på de fleste, om ikke alle aktuelle områder. For å få en oversikt over hvilke områder standarden dekker, bør du lese kapittel på side 119 i læreboka. Som et typisk eksempel på standardens anbefalinger tar vi med et utdrag fra selve standarden. Det gjelder administrasjon av passord. Passord er en vanlig metode for å verifisere en brukers autorisasjon til å bruke et informasjonssystem eller en informasjonstjeneste. Tildelingen av passord bør styres av en formell administrasjonsprosess som omfatter: - krav om at brukere undertegner en erklæring om å holde personlige passord hemmelig og gruppepassord utelukkende innenfor arbeidsgruppen (dette kan inkluderes i betingelser og vilkår for ansettelse) - prosedyre for å sikre at brukere i de tilfeller der de har ansvar for å vedlikeholde sine egne passord, blir utstyrt med et sikkert, midlertidig passord som de er nødt til å endre ved første gangs bruk. Midlertidige passord som utleveres når brukerne har glemt passordet sitt, bør bare gis etter en sikker identifikasjon av brukeren - prosedyre for å sikre at midlertidig passord utleveres brukeren på en sikker måte. Overlevering via tredjepart eller via ubeskyttet (klartekst) e-post bør unngås. Brukerne bør bekrefte mottagelse av passordet. Passord bør aldri lagres på datasystemet i ubeskyttet form. Andre teknologier for brukeridentifikasjon og autentisering, som biometri, for eksempel fingeravtrykk eller verifisert signatur, og fysiske enheter, for eksempel smartkort, er tilgjengelige og bør vurderes dersom det er hensiktsmessig.

13 Informasjonssikkerhetsstyring side 13 av 18 Legg her merke til vårt poeng fra tidligere: Standarden sier ikke hvordan noe skal gjøres, men hva som skal gjøres. Den sier for eksempel ikke hvordan prosedyren og reglene skal være for å sikre at passord utleveres til rett person, men den sier at en slik prosedyre og slike regler bør finnes. Den sier heller ingenting om graden av formalisme, om prosedyrene skal være dokumentert etc. Den sier at det skal være regler. Punktum. Resten er opp til bedriften. Her er et annet eksempel, utdrag fra kapittel 10.8 i standarden Policy og prosedyrer for utveksling av informasjon (herunder e-post): Prosedyrene og sikringstiltakene som skal følges ved bruk av elektronisk kommunikasjonsutstyr for informasjonsutvekslng bør ta hensyn til føglende forhold: - prosedyrer utformet for å beskytte utvekslet informasjon motavlytting, kopiering, endring, feilredigering og ødeleggelse; - prosedyrer for å avdekke og beskytte mot ødeleggende kode som kan overføres ved bruk av elektronisk kommunikasjon - prosedyrer for å beskytte sensitiv elektronisk informasjonbeskyttelse som er formidlet i form av et vedlegg; - policy og retningslinjer som markerer akseptabel bruk av lektronisk kommunikasjonsutstyr; - den ansattes, kontraktørens og andre brukeres ansvar for ikke å kompromittere virksomheten, for eksempel gjennom ærekrenkelse, trakassering, etterligning, videresending av kjedebrev, uautoriserte innkjøp, etc.; - osv. (se standarden) Igjen har vi det samme forholdet: standarden sier hva vi skal ha regler for, men gir oss ikke reglene. Denne standarden skal være til hjelp for den som har ansvar for å opprette, iverksette og videreutvikle sikkerhetsarbeidet i en bedrift. Det betyr at den dagen sjefen din sier: Sørg for at informasjonssikkerheten er i orden hos oss, kundene begynner å bli skeptiske, er denne standarden et uvurderlig hjelpemiddel. Her vil du finne en utmerket oversikt over områder du bør tenke på, og hva som kan være lurt innenfor hver av dem. (Standarden starter forresten med å slå fast at Ledelsen skal gi rettledning og støtte i forbindelse med informasjonssikkerhet, så du kan jo starte med å presentere det for sjefen). De retningslinjene som gis i denne standarden er anerkjente og vil være et nyttig utgangspunkt for enhver bedrift for å kunne velge konkrete tiltak og utforme sitt ISMS ISO Informasjonsikkerhetsstyring Retningslinjer for hvordan vi etablerer informasjonssikkerhetsstyringssystemer. Denne standarden gir retningslinjer for å etablere et ISMS i en bedrift. Standarden er harmonisert med prinsippene i ISO 9000:2000-serien for å provide consistent and integrated implementation and operation of management systems. Den introduserer en overordnet plan for innføringen basert på Deminghjulet for kontinuerlig forbedring. Denne planen har de fire fasene fra Deminghjulet som vi beskrev i introduksjonen til faget. Hovedelementene i standarden er: - Definisjon og etablering av en sikkerhetspolicy - Fastsette omfanget av arbeidet med informasjonssikkerheten - Risikoanalyse - Risikostyring behandle risiko

14 Informasjonssikkerhetsstyring side 14 av 18 - Velge og iverksette kontrolltiltak - Utarbeide anvendelses-erklæring Vi har fulgt denne standardens plan (basert på Deminghjulet) som utgangspunkt for oppbyggingen av dette faget. Fagets overordnede mål er jo å følge arbeidet med innføring av et ISMS i en bedrift, og dette var derfor veldig naturlig. Skal vi se på forholdet mellom ISO27001 og ISO 27002, kan vi si at ISO gir hovedlinjene i arbeidet med ISMS, altså forteller oss hva vi må gjøre for å få ISMS på plass, mens ISO gir anbefalinger om innholdet. Hvis en bedrift ønsker å få sertifisert sitt ISMS vil det skje i henhold til ISO27001 (mer om sertifisering senere): Et av kravene i ISO27001 er imidlertid at bedriftens ISMS for å kunne bli sertifisert følger anbefalingene som er gitt i ISO Se forsøk på å klargjøre bruk av standardene i figuren nedenfor. ISMS Grunnlag for å sertifisere ISO27001 Grunnlag for å utarbeide innholdet ISO Grunnlag for å planlegge og organisere sikkerhetsarbeidet ISO27001 Grunnlag for å kontrollere om krav er oppfylt ISO Læreboka omtaler disse standardene i kapittel 4.3. I tillegg er det selvfølgelig en stor fordel for forståelsen å studere selve standarden. En beskrivelse av hvordan dere får tilgang til standarden finnes i it s learning Hvorfor bygger ISO27001 på prinsippene i Demingsirkelen? Vi har tidligere omtalt prinsippene bak Demings sirkel som en anerkjent måte å gå frem på for å sørge for at en hvilken som helst prosess fungere som den skal. Vi planlegger, vi gjennomfører, vi følger opp og vi forbedrer. Dette er et kontinuerlig arbeid, sier prinsippene, som aldri går over. Den mest kjente standarden for bedriftens kvalitetssystem ISO 9000:2000-serien bygger på disse prinsippene. Standarden ISO27001 slår fast at styringssystemet for informasjonssikkerhet bør være i samsvar med, og aller helst integrert i, bedriftens øvrige styringssystem (kvalitetssystemet). Å etablere et ISMS, sier standarden, krever den samme angrepsmåten som å etablere et hvilket som helst annet styringssystem i bedriften. ISO27001 er (på samme måte som ISO 9000:2000-serien) prosessorientert. (Det betyr at den definerer arbeidet med informasjonssikkerhet som en rekke samvirkende prosesser). Når standarden tar utgangspunkt i prinsippene i Demingsirkelen er målet å sørge for at: - arbeidet med informasjonssikkerhet foregår på en slik måte at de bygger på bedriftens egne sikkerhetsbehov

15 Informasjonssikkerhetsstyring side 15 av 18 - vi etablerer en sikkerhetspolicy og setter mål for sikkerhetsarbeidet i samsvar med behovene - vi gjennomfører sikkerhetstiltakene innenfor rammene av bedriftens totale styringssystem (kvalitetssystemet) - vi overvåker og måler godheten av sikkerhetstiltakene og sørger for kontinuerlig forbedring av sikkerhetstiltakene basert på fakta Et alternativ til ISO 27002? NorSIS ( har utarbeidet en innholdsfortegnelse for det de kaller Håndbok for informasjonssikkerhet. De sier dette om utgangspunktet for håndboken: En standard, et regelverk eller en håndbok for informasjonssikkerhet kan bygges opp på mange ulike måter. Det finnes en internasjonal/ norsk standard for informasjonssikkerhet, ISO som gjerne kan brukes, og som NorSIS anbefaler. Mange små og mellomstore virksomheter synes denne blir for omfattende. NorSIS har derfor laget et eksempel på en enklere håndbok for informasjonssikkerhet. Denne kan integreres som et kapittel i virksomhetens rutiner eller den kan stå for seg selv. I tillegg til en håndbok bør det finnes overordnede retningslinjer i form av en informasjonssikkerhetspolicy for virksomheten. Håndboken er inndelt i: sikkerhetsledelse, personellsikkerhet, fysisk sikring, behandling av informasjon, teknisk sikring. I denne håndboken finner vi igjen flere av de temaene vi tar opp i dette kurset. Så dette kan være en nyttig ressurs, ikke minst for å aktualisere de temaene vi tar opp. I skrivende stund er dessverre denne håndboken borte fra NorSIS sine websider Å strukturere og dokumentere et ISMS Vi har hittil sagt følgende om ISMS: - det er en del av bedriftens totale kvalitetssystem - det består av en rekke samvirkende prosesser som sørger for at vi setter i verk nødvendige tiltak for informasjonssikring - det består av både en formalisert, dokumentert del og en formalisert udokumentert del og en uformell del - vi kan bruke anbefalingene i standarden ISO som utgangspunkt når vi etablerer det formelle, dokumenterte systemet. Men bortsett fra det, hvordan ser den dokumenterte delen ut? Hvilke dokumenter er det snakk om? Hvordan er strukturen på dem? Som tidligere nevnt, omfanget på det dokumenterte systemet vil variere mye, avhengig av hvilken bedrift vi snakker om og hvilke behov den har. Som ISO sier: It is expected that simple situations require simple ISMS solutions. Standarden sier videre at det vil variere om det dokumenterte ISMS er en del av bedriftens dokumenterte kvalitetssystem eller et selvstendig system av dokumenter, og om det dekker hele bedriften eller en del av den. Vi har altså mange mulige situasjoner og mange måter å gjøre det på. Vi skal allikevel forsøke å si noe generelt om hvordan dokumentstrukturen i et typisk ISMS vil være.

16 Informasjonssikkerhetsstyring side 16 av 18 Generelt vil vi finne det dokumenterte kvalitetssystemet i en kvalitetshåndbok. Det dokumenterte styringssystemet for informasjonssikkerhet ISMS kan vi vente å finne som en del av denne håndboken, eller kanskje vanligere, skilt ut som en separat sikkerhetshåndbok. Vi snakker om håndbok, men dette er vanligvis flere dokumenter som henger sammen i en felles dokumentstruktur. For en bedrift er det aller viktigst å finne en struktur som gjør håndboken lett tilgjengelig og lett å vedlikeholde. Det gjelder både for kvalitetshåndboken og for sikkerhetshåndboken, enten denne er en del av kvalitetshåndboken eller en separat håndbok. Vi skal i fortsettelsen omtale sikkerhetshåndboken som om den var en separat håndbok, men det vi sier gjelder akkurat like mye om den er integrert i kvalitetshåndboken. En sikkerhetshåndbok vil inneholde retningslinjer for sikkerhetsarbeidet på minst tre nivåer: 1. Øverst har vi ledelsens mål for sikkerhetsarbeidet i bedriften. Her finner vi også formulert ledelsens overordnede sikkerhetspolitikk. Disse dokumentene er kortfattede, overordnede og staker ut retningen for arbeidet. 2. På neste nivå har vi de dokumenterte prinsippene og den detaljerte politikken for sikkerhetsarbeidet. Her ligger alle ansvarsforhold beskrevet dette er rammeverket for de detaljerte instruksene på neste nivå og gir føringer og felles rammeverk for områder hvor det ikke er hensiktsmessig med detaljerte instrukser. Det er vanlig at dette, og det forrige nivået er åpent tilgjengelig for å vise utenforstående hvordan arbeidet med sikkerheten foregår i bedriften. 3. På det nederste nivået finner vi de detaljerte instruksene for hvordan arbeidet skal foregå. Her vil vi finne prosedyrer og regler. I en stor bedrift med ulik virksomhet kan vi ha et hierarki av slike håndbøker. Toppledelsen vil da ha utarbeidet felles overordnende prinsipper som alle underliggende håndbøker skal ta utgangspunkt i. Security charter felles Generic policies Specific policies spesifikk for hver enhet Prosedyrer og rutiner I figuren ser du eksempel på dokumentstruktur fra en større bedrift: Legg merke til at denne bedriften har dokumenter på fire nivåer, hvor de to øverste nivåene er felles for hele bedriften og gir overordnede føringer for sikkerhetssystemet. De to neste nivåene er dokumenter på mer detaljert nivå, spesifikk for hver enhet. I dette emnet skal vi fokusere på følgende dokumenter, som kan plasseres i tre nivåer: Nivå 1: mål og strategi, overordnet sikkerhetspolitikk Nivå 2: organisering av sikkerhetsarbeidet i bedriften, detaljert sikkerhetspolitikk

17 Informasjonssikkerhetsstyring side 17 av 18 Nivå 3: prosedyrer, opplæringsplaner Den papirløse håndboken Tidligere fant vi sikkerhetshåndbøker i en, eller helst flere permer. Alle ansatte skulle ha sitt eget eksemplar stående i hylla. Hvert eksemplar var gjerne personlig tildelt og nummerert, og revisjonshistorien til håndboken var viktig, slik at en kunne vite om en satt med en gyldig versjon. Nå er det antagelig mest vanlig å ha sikkerhetshåndboken, så vel som andre håndbøker, tilgjengelig på bedriftens intranett, i maskinlesbar form. Håndboken er da alltid tilgjengelig i siste versjon. Dette gir åpenbare fordeler når sikkerhetshåndboken skal oppdateres. Noe den skal nærmest kontinuerlig, hvis vi følger prinsippene fra ISO i sikkerhetsarbeidet. Alt vi gjør for å lette oppdateringene er derfor viktig. I en intranettbasert sikkerhetshåndbok kan nye retningslinjer og prosedyrer raskt komme på plass uten det store apparatet som ville være nødvendig hvis sikkerhetshåndboken skulle trykkes opp og distribueres, og de ugyldige eksemplarene samles inn for å makuleres. En slik løsning er derfor langt å foretrekke. De standardene vi har omtalt sier ikke så mye om hvordan sikkerhetshåndboken skal struktureres, heller ikke hvilket medium den skal presenteres på. De slår imidlertid fast en ubrytelig regel: Når sikkerhetssystemet er endret skal håndboken umiddelbart oppdateres. Og ikke bare det, alle interessenter skal varsles om endringen umiddelbart og få tilstrekkelig opplæring i det som er nytt Referanser Deming ( standard.no. NorSIS

18 Informasjonssikkerhetsstyring side 18 av Oppsummering hovedpunktene i leksjonen 1. Kvalitetssystemet omfatter hele bedriften og all virksomhet i bedriften. Det omfatter dermed også bedriftens retningslinjer og holdninger når det gjelder informasjonssikkerhet. 2. De overordnede prinsippene som gjelder for kvalitetssystemer, og som vi blant annet finner i ISO 9000:2000-serien, vil også være overordnede prinsipper når vi skal etablere et ISMS i en bedrift. 3. Et ISMS kan også være mer eller mindre formelt, på samme måte som kvalitetssystemet. Hvor formelt og veldokumentert vårt ISMS må være, vil, som for kvalitetssystemet, avhenge av bedriftens behov. 4. Det er viktig å være oppmerksom på at ISMS har både en formell og en uformell del, og at bare deler av den formelle kan finnes igjen i dokumentene. Hvis vi vil lykkes med sikkerhetsarbeidet, må vi sørge for at det er samsvar mellom alle delene av ISMS. Det hjelper ikke om vi har verdens beste system på papiret, hvis ingen i bedriften gjør det etter boka. 5. Følgende standarder er av særlig interesse i sikkerhetsarbeidet: ISO 900:2000-serien som gir retningslinjer for etablering av kvalitetssystemer ISO som gir anbefalinger om hvordan arbeidet med informasjonssikkerheten i en bedrift bør administreres ISO27001 som gir retningslinjer for å etablere et ISMS i en bedrift 6. Generelt vil vi finne bedriftens kvalitetssystem i en kvalitetshåndbok og ISMS i en sikkerhetshåndbok. Sikkerhetshåndboka kan være en del av kvalitetshåndboka eller en separat håndbok. Den kan dekke hele bedriften eller bare en del av bedriften. Vi snakker om det som en håndbok, men dette er vanligvis flere dokumenter som henger sammen i en dokumentstruktur. 7. En sikkerhetshåndbok vil inneholde retningslinjer for sikkerhetsarbeidet på minst tre nivå: Mål og policy for arbeidet Dokumenterte prinsipper, ansvarsforhold. Dette er rammeverket for neste nivå. Detaljerte instrukser, prosedyrer og regler.