Verifying security since 1999 Kort om Veriscan Security Etablert i Karlstad i 1999 Spesialkompetanse innen o måling av informasjonssikkerhet o implementering av styringssystem for informasjonssikkerhet (ISMS) Organisatorisk, fysisk og IT-sikkerhet Egenutviklede metoder og verktøy o Veriscan Rating (patentert) o Veriscan ISM o Veriscan IRM o Veriscan BCM Internasjonal deltakelse i utvikling av standardene i ISO/IEC 270xx-familien 1
Kort om Veriscan Security Etablert som søsterselskap i Norge i 2012 Eies av de ansatte Mer enn 55 år samlet erfaring innen IT og informasjonssikkerhet Ressursdeling over landegrensene Rune Ask CISA, CISM, ITIL foundation v.3 Styreleder og seniorrådgiver i Veriscan Security AS Tidligere IT Security Risk & Compliance Manager i DNV, daglig leder i programvarefirma, IT-sjef i rederi og sikkerhetskonsulent i revisjonsog konsulentselskaper pluss mye mer Tidligere nestleder i ISF (Norsk Informasjonssikkerhetsforum) i seks år Tidligere fast plass i det offentlige Forum for IT-sikkerhet ISACA Information Systems Audit & Control Association CISA Certified Information Systems Auditor siden 1995 CISM Certified Information Security Manager siden 2003 Deltok i utarbeidelsen av God IT-Skikk nr. 2 (GITS-2) Tilgangskontroll Skrev GITS-5 Bruk av Internett ISO/IEC JTC1/SC27 Deltok i utviklingen av den siste versjonen av BS 7799-2 Norges Head-of-Delegation under møter i ISO/IEC JTC1/SC27 Aktiv deltaker i utvikling av standarder for informasjonssikkerhet o ISO/IEC 27000, 27001, 27002, 27004, 27005, 27014, mm. Leder av Standard Norge sin arbeidsgruppe for info.sikkerhet K171 Foretok den offisielle oversettelsen av standarden til norsk NS 7799 (IS 27001) Satt i redaksjonskomitéen for den norske oversettelsen av ISO/IEC 17799 (IS 27002) 2
Spørsmål om sikkerhet Hvor sikker er virksomheten jeg jobber i? Hvilket nivå av informasjonssikkerhet har vi? Har virksomheten et tilstrekkelig sikkerhetsnivå? Har vi samme sikkerhetsnivå i hele virksomheten? Er det mulig for virksomheten å bli sikrere? Hvor mye sikrere bør/kan vi bli? På hvilke områder kan vi bli sikrere? Hva vil det koste virksomheten å bli sikrere? Er de pengene vi bruker på informasjonssikkerhet i dag investert riktig? Hvor sikre er de virksomhetene vi deler konfidensiell eller sensitiv informasjon med? Hensikten med å måle sikkerheten Evaluere effektiviteten til separate eller grupper av sikringstiltak Evaluere effektiviteten på prosessen for kontinuerlig forbedring Evaluere i hvilken grad krav til informasjonssikkerhet blir oppfylt o Lover og forskrifter o Interne pålegg o Kunder og samarbeidspartnere Muliggjøre forbedringer i informasjonssikkerheten relatert til den overordnede virksomhetsrisikoen Vurdere virksomhetens ressursbruk relatert til oppnådd informasjonssikkerhet 3
Hensikten med å måle sikkerheten Gi innspill til revisjon av styringssystemet for informasjonssikkerhet (ISMS) Gi måleresultater som kan bistå ledelsens gjennomgang og beslutninger relatert til ISMS, samt understøtte forbedringer av ISMS-et (mål, omfang, tiltak, prosesser, prosedyrer osv.) Kommunisere effektiviteten på ISMS-et til relevante interessenter Gi innspill til risikostyringsprosessen Gi bidrag til styring av virksomheten Litt historie Ingen krav om måling av effektivitet i BS 7799-2 Det som ikke måles blir ikke gjort You measure what treasure Krav om måling introdusert i ISO/IEC 27001 Ingen standard som beskriver hvordan det skal gjøres New Work Item - ISO/IEC 27004 ISMS Metrics and measurement o April 2004: Forslag fra Spania o Oktober 2004: Nytt totalt omarbeidet forslag fra Spania o Flere land stemte mot standarden o 4 Working Draft o 1st CD Desember 2006, 2nd CD Juni 2007, 3rd CD Oktober 2007 o 1st FCD April 2008, 2nd FCD Oktober 2008 o Effectiveness vs. Efficiency - Virkningsgrad vs. Yteevne ISO/IEC 27004:2009 - Information technology - Security techniques - Information security management - Measurement 4
ISO/IEC 27001 ISMS Information Security Management System Planlegg Plan Etablere ISMS-et Interessenter Utfør Do Iverksette og forvalte ISMS-et Kretsløp for utvikling, vedlikehold og forbedring Vedlikeholde og forbedre ISMS-et Forbedre Act Interessenter Krav og forventninger til informasjonssikkerhet Overvåke og revidere ISMS-et Kontroller Check Styrt informasjonssikkerhet Dr. William Edwards Deming Deming s Cycle Planlegge, Utføre, Kontrollere, Korrigere Planlegge, Utføre, Følge opp, Forbedre Planlegge, Gjennomføre, Kontrollere, Reagere Planlegge, Utføre, Sjekke, Handle Planlegge, Utføre, Evaluere, Handle Planlegge, Utføre, Finne ut, Forbedre ISO/IEC 27001 Plan Etablere et ISMS Definere omfanget til ISMS Definere en ISMS-policy Do Act Definere tilnærmingsmåte for Check risikovurderinger Identifisere risikoene Analysere og evaluere risikoene Identifisere og evaluere alternativer for håndtering av risikoene Velge mål for tiltakene og tiltak for å behandle risikoene Innhente ledelsens godkjenning for restrisikoene Innhente ledelsens godkjenning til å iverksette og drifte ISMS Utarbeide anvendelighetserklæringen (SoA) 5
ISO/IEC 27001 Plan Implementere og forvalte ISMS Formulere en handlingsplan for risiko Do Implementere handlingsplanen for risiko Implementere valgte sikringstiltak som Check oppfyller målet for informasjonssikkerhet Definere hvordan effektiviteten på tiltakene skal måles, og spesifisere hvordan målingene skal benyttes til å avdekke tiltakenes virkningsgrad på en måte som kan sammenliknes og repeteres Iverksette bevisstgjørings- og opplæringsprogrammer Administrere oppgavene i styringssystemet Administrere ressursene i styringssystemet Implementere prosedyrer og andre tiltak for raskt å kunne oppdage og håndtere sikkerhetsbrudd Act ISO/IEC 27001 Monitorere og revidere ISMS Plan Gjennomføre prosedyrer for overvåking Gjennomføre regelmessig gjennomganger Do Act av effektiviteten til styringssystemet Måle effektiviteten på sikringstiltakene Check for å verifisere at kravene til sikkerhet oppfylles Jevnlig gjennomføre risikovurderinger og vurdere om nivået på restrisiko og akseptabel risiko er riktig Jevnlig gjennomføre interne revisjoner av styringssystemet Jevnlig gjennomføre ledelsens gjennomgang av ISMS for å verifisere at omfanget er riktig og at forbedringer av styringssystemet kan identifiseres Oppdatere planer sikring basert på observasjoner gjort under revisjoner og gjennomganger Dokumentere aktiviteter og hendelser som kan påvirke egnetheten og effektiviteten til styringssystemet 6
ISO/IEC 27001 Vedlikeholde og forbedre ISMS Implementere de identifiserte Do forbedringene i styringssystemet Iverksette dekkende korrektive og preventive tiltak og aktiviteter Kommunisere aktivitetene og forbedringene til alle interessenter og dersom det er relevant, innhente samtykke til videre aktiviteter Sikre at forbedringene oppnår de forventede målene Plan Check Act Måling i Plan/Do/Check/Act 7
Filosofisk om måling Til daglig forbinder vi ofte dette med skala og enhet Distanse eksempelvis kilometer o Vi bruker en definisjon og noen verktøy for å få resultater vi må lære hva en km er og med erfaring og sammenlikning kan vi evaluere resultatene o 100 km vil ikke gi noen mening for en mann fra Mars o Kanskje fot er en bedre referanse? Frekvens eksempelvis Hertz o 100 Hertz er det mye? o Er 10 ganger i året mye? Vel, det er definitivt avhengig av subjektet. o Hvis vi relaterer det til hjerteslag, ville det være enklere men det ville også være langt mindre eksakt. Filosofisk om måling Til daglig forbinder vi ofte dette med skala og enhet Antall eksempelvis 10 personer i et rom o Bruk av et grunnleggende tallsystem for å avvike fra 0 (= ingen er i rommet) o Er 10 personer en folkemengde? Det avhenger av situasjonen og muligens også rommet. Vi trenger mer informasjon for å kunne evaluere det men vi vet at det er mennesker i rommet! Andel 10% av menneskene i rommet er kvinner o Dette gir oss en ny dimension. Vi har talt opp antallet personer i rommet og antallet kvinner. Deretter har vi brukt en formel og fått resultatet 10%. o Men er 10% en god eller dårlig andel det avhenger fremdeles av situasjonen og muligens også rommet. 8
Filosofisk om måling Til daglig forbinder vi ofte dette med skala og enhet Kunnskap eksempelvis karakteren B på skolen o Hvor bra er karakteren B? o Vi vet sannsynligvis at B er bedre enn C, men ikke så god som A Holdning eksempelvis politisk preferanse o Hva skiller venstre fra høyre eller vice versa? o Har vi det samme referansegrunnlaget når vi tolker svarene? Atferd Jeg pusser alltid tennene mine! o Hvordan vet vi det? o Hva er det vi egentlig ønsker å vite: Forteller personen sannheten? Hvor ofte pusser han/hun tennene? Hva er alltid? Og det er selvfølgelig mye mer Filosofisk om måling Det er tolkningen av resultatene som er grunnlaget for en vellykket måling ikke selve målingen. Jan Branzell, Veriscan Security 9
Terminologi Metrikk standard for måling Måling Kvantitativ representasjon av en status eller et faktum o Measure o Measurment Base measure measure defined in terms of an attribute and the method for quantifying it Derived measure measure that is defined as a function of two or more values of base measures Indicator measure that provides an estimate or evaluation of specified attributes derived from an analytical model with respect to defined information needs Attribute property or characteristic of an object that can be distinguished quantitatively or qualitatively by human or automated means Hva skal måles? Sikringstiltak er listet i Appendix A i ISO/IEC 27001 Tilsvarer sikringstiltakene som er beskrevet i ISO/IEC 27002 men BØR er erstattet med SKAL Documentation requirements (ISO/IEC 27001 Chapter 4.3) - documented procedures needed by the organization to ensure the effective planning, operation and control of its information security processes and describe how to measure the effectiveness of controls 10
Hva skal måles? Omfanget er stort - 11 temaområder (security control clause) - 39 sikringsmål (security objectives) - 133 sikringstiltak (security controls) - Ytterligere egne nødvendige tiltak Look for metrics that can be measured today, but which impact future outcomes. John R. Hauser & Gerald M. Katz Hva skal måles? 11
Den kjente bil-allegorien Choosing the right metrics system is not easy. John R. Hauser & Gerald M. Katz Hvordan skal vi måle det? 9.2.3 Sikkerhet for kabling Kabler for strømforsyning og telekommunikasjonskabler som frakter data eller IT-støttetjenester, skal beskyttes mot avlytting og skade. 6.1.6 Kontakt med myndigheter 13.2.2 Lærdom fra informasjonssikkerhetsbrudd Det skal sørges for hensiktsmessig kontakt med relevante myndigheter. Det skal foreligge mekanismer for å gjøre det mulig å kvantifisere og overvåke typer og volumer av og kostnader ved informasjonssikkerhetshendelser. 9.2.7 Fjerning av eiendeler Utstyr, informasjon eller programvare skal ikke fjernes fra virksomhetens lokaler uten autorisasjon. 11.7.2 Hjemmearbeid Det skal utarbeides og iverksettes en policy, driftsplaner og prosedyrer for hjemmearbeid. 12.5.4 Informasjonslekkasje Muligheter for at informasjon kan lekke ut skal forhindres. Consider only "lean" metrics, i.e. those that do not require a great deal of additional cost or effort to measure. John R. Hauser & Gerald M. Katz 12
Management overview Krav til basisprosedyrer for å: Utarbeide målepunkter (basismåling, utledede målinger og indikatorer) Implementere og forvalte et program for måling av informasjonssikkerhet (ISMP - Information Security Measurement Programme) Innhente og analysere data Utarbeide måleresultater Management overview Krav til basisprosedyrer for å (fortsetter): Kommunisere resulter til relevante interessenter Bruke måleresultater som innspill til ISMSrelaterte beslutninger Bruke måleresultater til å identifisere behov for forbedring av det implementerte ISMS-et, inklusive omfang, policyer, mål, tiltak, prosesser og prosedyrer Støtte opp for kontinuerlig forbedring av programmet for måling av informasjonssikkerhet 13
ISMP Information Security Measurement Programme Fokusområde: ISMS-et og forretningsvirksomheten Inngå i PDCA-syklusen Rammeverk for måling, analyse og rapportering av data o Repeterbart o Objektivt o Formålstjenlig Beskrivelse av innholdet av programmet o Hva skal måles o Hvor ofte skal det måles o Hvordan skal det måles og analyseres o Hvilken skalaer skal benyttes o Hvem skal måle/analysere/godkjenne dataene o Hvem skal det rapporteres til Størrelsen og kompleksiteten på ISMS-et er førende Suksessfaktorer Ledelsesforankring med tilhørende ressurser Eksisterende ISMS med prosesser, prosedyrer og rutiner Målbare sikringstiltak basert på formålet for ISMS-et Lett tilgjengelige måledata En repeterbar prosess som innhenter data og rapporterer meningsfulle resultater som kan brukes til trendanalyser Metrics empower managers and employees to make the decisions and take the actions that they believe are the best decisions and actions to achieve their metrics. John R. Hauser & Gerald M. Katz 14
Modell for måling ISO/IEC 27004 Basert på ISO/IEC 15939 Hvordan måle? Bottom-Up Top-Down Ledelsens behov Styringssystem for informasjonssikkerhet (ISMS) Operative behov 15
Målepunkter og metrikk SMART Specific målepunkt må være avgrenset og presist definert Measurable målbart Achievable metrikken må være forståelig og klart definert (hva er bra/hva er dårlig, slik at man vet når tiltak må iverksettes Relevant relevant Timely tidsriktig Timely Reliable Trustable Accurate Simple (at a certain level) Provable Meaningful and easily understandable Repeatable Verifiable Scaleable Attributter som kan måles Ytelsen til sikringstiltak som er iverksatt i styringssystemet (ISMS) Status til informasjonsaktiva som er beskyttet av sikringstiltak Ytelsen til prosesser som er implementert i styringssystemet Atferd til personell som omfattes av styringssystemet Aktiviteter til organisasjonsenheter som har ansvar for informasjonssikkerhet Graden av interessenters tilfredshet Measure what is truly important, not just what is easy to measure. Vaguely right is better than precisely wrong! John R. Hauser & Gerald M. Katz 16
Innspill til måleprosessen Resultater fra risikovurderinger Spørreskjemaer og intervjuer Interne og/eller eksterne revisjonsrapporter Beskrivelser av sikkerhetsrelaterte aktiviteter Aktivitetslogger, revisjonsspor og statistikk Rapporter om sikkerhetshendelser og -brudd Testresultater fra penetrasjonstester, sosial manipulering og verktøy for sårbarhetsskanning Resultater fra bevisstgjøringsprogram om informasjonsikkerhet Registreringer fra sikkerhetsrelaterte organisatoriske prosedyrer, rutiner, kurser og annen utdanning Hvordan går vi videre Derived measure Utledet måling Vurdering eller kalkulasjon basert på to eller flere basismålinger o Høyeste verdi o Laveste verdi o Gjennomsnitt o Antall o Prosent Vekting Analyserte måleresultater gir indikatorer Indikatorene vurderes opp mot gitte kriterier Indikatorene rapporteres til interessentene Resultatene gir grunnlag for iverksetting av nye sikringstiltak eller justering av eksisterende tiltak 17
Avvik Non-compliance by implementation failure of risk treatment plan o controls or ISMS processes which are expected to be implemented but are either: not implemented at all are insufficiently implemented, operated and managed (eg. can be bypassed by threats) Risk assessment failure o Controls or ISMS processes are implemented, operated and managed properly, but ineffective because: do not have the ability to counter estimated threats (e.g. because likelihood of threats is underestimated) of new or overlooked threats in risk assessment activities o Controls or ISMS processes are not implemented, because of overlooked threats in risk assessment activities Avvik Minor non-conformity A single identified lapse, which would not in itself either lead to non-conforming controls, products or services being delivered. Major non-conformity A breakdown in, or a significant doubt as to the capability of, the management system to achieve the policy and objectives of the organisation, to effectively control the processes for which it was intended. A minor nonconformity may escalate into a major non-conformity if left unattended. 18
Presentasjon av resultater Dokumentasjon av måling 19
Dokumentasjon av måling Dokumentasjon av måling 20
Dokumentasjon av måling Måleeksempel - Bevisstgjøring Krav: Informasjonssikkerhet skal stå på agendaen til avdelingsmøter i virksomheten minst to ganger i året. Beslutningskriterium: Bra: >90% Akseptabelt: 90%-70% Dårlig: <70% Avdeling # Møter Sikkerhet % Krav Avdeling 1 12 3 25 Ja Avdeling 2 10 2 20 Ja Avdeling 3 4 0 0 Nei Avdeling 4 6 1 17 Nei Avdeling 5 8 2 25 Ja Avdeling 6 12 6 50 Ja 14 23 66 % 21
Riktig og galt Riktig Mål det du har behov for Galt Mål det du kan Basismåling deretter KPI Vær bred start med organisatorisk sikkerhet Planlegg, velg og styr tiden for å få de riktige resultatene til rett tid Måling & beslutninger Effektivitet er en vurdering ikke en måling Verktøy er bare til støtte det er ikke løsningen Uavhengig og selvstendig måling Repetisjon er veien til suksess Søk etter den ene KPI-en Bare måle tekniske aspekter Mål så mye som mulig Måling er en separat prosess Ikke mål pengebruken Det magiske verktøyet Egenvurderinger virker ikke i lengden Ferdig!! Pekere ISO/IEC 27004 - Information technology - Security techniques - Information security management Measurement http://www.standard.no/no/sok-ogkjop/produktkatalogen/produktpresentasjon/?productid=529526 Measuring effectiveness of your ISMS implementations based on ISOIEC 27001 Ted Humphreys and Angelica Plate - bip 0074-2006 - 36.50 http://www.bsi-global.com/shop/publication-detail/?pid=000000000030133292 NIST SP 800-55 - Performance Measurement Guide for Information Security http://csrc.nist.gov/publications/nistpubs/800-55-rev1/sp800-55-rev1.pdf Metrics: You Are What You Measure! - John R. Hauser and Gerald M. Katz http://web.mit.edu/hauser/www/papers/hauser-katz%20measure%2004-98.pdf Analysis of business driven metrics: Measuring for security value Robert Ayoub http://i.cmpnet.com/financetech/download/frost_securitymetricswhitepaper.pdf? cid=rc_rm_wp Modelling Static and Dynamic Aspects of Security: A Socio-Technical View on Information Security Metrics - Stewart Kowalski, Rostyslav Barabanov http://www.iiis.org/cds2011/cd2011imc/mmmse_2011/paperspdf/mb223zy.pdf Seven myths about information security metrics - Dr Gary Hinson http://www.noticebored.com/html/metrics.html 22
Pekere Consensus Security Metrics - Center for Internet Security https://benchmarks.cisecurity.org/tools2/metrics/cis_security_metrics_v1.1. 0.pdf Why Security Metrics http://www.mhprofessional.com/downloads/products/0071744002/0071744002- ch01.pdf God praksis for måling av informasjonssikkerhetsnivå - Tone Hoddø Bakås http://www.hig.no/content/download/3292/70438/file/bak%c3%a5s%20- %20God%20praksis%20for%20m%C3%A5ling%20av%20informasjonssikkerhetsniv%C3%A5.pdf Hvor god er sikkerheten på en skala fra en til ti? - Inger Anne Tøndel http://infosec.sintef.no/2012/07/hvor-god-er-sikkerheten-pa-en-skala-fraen-til-ti/ NIST SP 800-88 DRAFT Guide for Developing Performance Metrics for Information Security (Utgått) http://trygstad.rice.iit.edu:8000/policies%20&%20tools/sp800-80guidefordevelopingperformancemetricsforinformationsecurity-draft-nist.pdf ISO/IEC International Organization for Standardization / International Electrotechnical Commission BSI British Standards Institution NIST National Institute of Standards and Technology (US) Takk for oppmerksomheten Verifying security since 1999 Rune Ask Rune.Ask@Veriscan.no 994 96 322 23