Referansearkitektur sikkerhet

Transkript

1 NAV IKT Styring/Arkitektur Referansearkitektur sikkerhet Senior sikkerhetsarkitekt Robert Knudsen Webinar Den Norske Dataforening 22. Mai 2013

2 Agenda Har vi felles forståelse og oversikt på sikkerhetsområdet? Hva og hvorfor en referansearkitektur Interessenter Referansemodeller Kapabilitetsbeskrivelse Veikart og tiltak NAV, Side 2

3 Ledelsen i NAV-IKT ønsket en felles forståelse av: NÅ-situasjon Målbilde Nødvendige tiltak og leveranser NAV, Side 3

4 Ledelsen i NAV-IKT ønsket kontroll på: Alle aktuelle sikkerhets kapabiliteter Kapabiliteter som er ivaretatt Kapabiliteter som ivaretar prinsipper og krav Kapabiliteter som er leveranseplassert Hva som ikke er ivaretatt og leveranseplassert NAV, Side 4

5 Hvorfor en referansearkitektur Mindre totalkostnad Kartlegge NÅ situasjon Effektiv arkitekturstyring Kartlegge Målbilder Beskrive et veikart En del av Helhetlig Arkitektur NAV, Side 5

6 Hva er en referansearkitektur for sikkerhet En del av en helhetlig arkitekturutvikling (TOGAF/SABSA) Gir en sortering av Arkitekturprinsipper, -krav og -føringer Kartlegging av alle sikkerhets kapabiliteter (evner) Grunnlag for dialog med prosjekter, porteføljer og IT drift Viser sammenhengen mellom informasjonssikkerhet og arkitektur Sikrer helhetlig anvendbarhet for teknologi NAV, Side 6

7 Interessenter Ledelse Kommunisere felles forståelse og synliggjøring av målbilder og leveranser Synliggjøre hvilke kapabiliteter som er ivaretatt og hvilke som ikke er ivaretatt eller leveranseplassert Prosjekter Tydeliggjør forventninger til prosjektets innhold og omfang Definerte tiltak og ansvarsfordeling Beskrivelse av rammer og føringer Porteføljene Definerte tiltak og ansvarsfordeling Beskrivelse av rammer og føringer Grunnlag for implementering iht. til felles arkitekturrammeverk IT Drift Definerte tiltak og ansvarsfordeling Beskrivelse av rammer og føringer NAV, Side 7

8 Helhetlig IKT arkitektur referansemodell Forretning Informasjon Applikasjon Teknologi Sikkerhet Tjenesteorientering Etterlevelse NAV, Side 8

9 Referansemodell sikkerhetsarkitektur NAV, Side 9

10 Område Ident- og tilgangsstyring Innholdssikring Sikkerhetsovervåking Kontinuitetsstyring Sikkerhet i utvikling og anskaffelse Driftssikkerhet Sikkerhetsstyring Beskrivelse av områder i referansemodellen Sørger for at de riktige brukerne får tilgang til de riktige ressurser til riktig tid, på riktig grunnlag. Gir evnen til å kontrollere og ha kontroll med hvem som behandler hvilken informasjon i virksomheten. Området dekker kapabiliteter som går direkte på sikring av informasjon (data) med hensyn på egenskapene konfidensialitet og integritet. Området dekker kapabiliteter som bidrar til operativ og strategisk overvåking og analyse/rapportering med hensyn på IKT-sikkerhet. Området dekker kapabiliteter som bidrar til at informasjon og -systemer er tilgjengelige når virksomheten har behov for det, inkludert krise/ katastrofescenarier. Området dekker kapabiliteter som kreves for å sørge for informasjonssikkerheten i utvikling, anskaffelse og forvaltning av informasjonssystemer. Dekker kapabiliteter som gir evne til å sikre informasjon og systemer i operativ IKT-drift. Området dekker kapabiliteter som gir evne til å arbeide strukturert og målrettet med informasjonssikkerhet og risikostyring i virksomheten. NAV, Side 10

11 Område Ident- og tilgangsstyring Innholdssikring Sikkerhetsovervåking Kontinuitetsstyring Sikkerhet i utvikling og anskaffelse Driftssikkerhet Sikkerhetsstyring Forretningsnytte Gir nødvendige prosesser med verktøystøtte for styre tilgang til ressurser (systemer og informasjon) iht. definert beskyttelsesbehov og pålagte krav i bl.a. lov og forskrifter. Gir nødvendige verktøy for å beskytte informasjon iht. definert beskyttelsesbehov og pålagte krav i bl.a. lov og forskrifter. Området gir organisasjonen evne til å oppdage og reagere operativt på sikkerhetshendelser og -brudd (interne og eksterne/cybersikkerhetshendelser), samt kontinuerlig forbedring på operativ IKT-sikkerhet. Sørger for at virksomheten og samfunnet har riktig tilgang på kritisk informasjon og systemer også i krise/katastrofescenarier. Gir nødvendige verktøy for å beskytte informasjon iht. definert beskyttelsesbehov og pålagte krav i bl.a. lov og forskrifter. Gir nødvendige prosesser og verktøy for å beskytte informasjon iht. definert beskyttelsesbehov og pålagte krav i bl.a. lov og forskrifter i IKT-drift. Gir evne til å vise at man har riktig sikkerhetsnivå (f.eks. overfor omverden, eierdepartement og revisjon), og at ressursene som brukes til sikring brukes på de riktige tingene, samt at det gir evne til å si om man får høyere eller lavere sikkerhetsrisiko over tid. NAV, Side 11

12 Detaljert referansemodell sikkerhetsarkitektur NAV, Side 12

13 Detaljert beskrivelse pr. kapabilitet Kapabiliteter NAV, Side 13

14 Veikart for sikkerhetsarkitektur (eksempel) Ident- og tilgangsstyring Innholdssikring Autentisering (eid Nivå 4) Autorisering Single- SignOn Tilgangskontroll Identifikasjon Sertifikathåndtering Sikkerhetsklassifisering Kryptering Audit, analyse, rapportering Tilgangsregler Monitorering og analyse Ident- og tilgangsadministrasjon. Føderering Dataflytkontroll Ikke-benektbarhet Høytilgjengelighet (HA) Forsyning av tilganger Hendelseshåndtering (CSIRT) Testdata-håndtering Signering Logging Sikkerhetstesting Målbilde Helhetlig sikkerhetsarkitektur Avvikshåndtering Sikkerhetsforståelse og etterlevelse Ledelsessystem for sikkerhet Sikkerhetsmonitorering Katastrofesikring og gjenoppretting Utviklingsmetode og retningslinjer Kravspesifikasjon Felles sikkerhetsrammeverk Konfigurasjonsstyring Soner Risikostyring Styringsinformasjon for sikkerhet Internkontrollsystem Personvern Domene Kontinuitetsstyring Sikkerhet i utvikling og anskaffelse Driftssikkerhet Sikkerhetsstyring. Realiseres i linjen. Realiseres i prosjekt. Realiseres av DIFI. Informasjonssikkerhetsavd. NAV, Side 14

15 Oversikt tiltak (eksempel) Område Kapabilitet Tiltak Tid År Ansvar kommentar Ident- og tilgangsstyring Ident- og tilgangsstyring Autentisering Tilgangskontroll Selvbetjening: Autentisering Nivå 4 mot ID-porten Etablere ett tilgangsadministras jonspunkt Innholdssikring Signering Støtte for signering av meldinger Innholdssikring Kryptering Støtte for https ekstern klient Sikkerhet i utvikling og anskaffelse Driftssikkerhet Kravspesifikasjon Sikring mot ondsinnet kode og trafikk Strukturere ikkefunksjonelle krav til sikkerhet Etablere IPS og WebService Security Gateway Kontinuitetsstyring Patchhåndtering Sikkerhetspatching av servere Juni 2013 Drift desember 2014 Prosjekt 1 Mars 2014 Prosjekt 2 Mai 2013 Forvaltning Juni 2013 Prosjekt 3 April 2015 Drift Juli 2013 Drift NAV, Side 15