SecureAware Compliance Analysis Manual Manualen beskriver bruken av SecureAware versjon 3 Dokumentet oppdatert: November 2010 Om dette dokumentet Dette dokumentet er en veiledning i hvordan du oppretter compliance-sjekker. Manualen beskriver samtidig hvordan disse sjekkene utføres.
Innholdsfortegnelse Compliance...3 Start en compliance-sjekk...4 Rapporttekst...5 Valg av kapitler...5 Respondenter...6 Besvaring av en compliance-sjekk...7 Bruk av underspørsmål...8 Respekteres IT-sikkerhetspolicyen?...10 Spørreskjemaer laget fra bunnen av...11 Administrasjon av svaralternativer...12 Kontaktinformasjon...14 2
Compliance Compliance-modulen i SecureAware er et arbeidsverktøy som kan benyttes i forbindelse med en eventuell sertifisering eller verifisering av samsvar etter en standard. Dersom bedriften har lisens til compliance-analyse, kan modulen også benyttes til å kontrollere samsvar av regler, prosedyrer eller andre typer policy, som er beskrevet i policymodulen. Det er dessuten også mulig å opprette egne spørreskjemaer. Dersom ikke bedriften har den nevnte lisensen, vil ikke alle funksjoner som er beskrevet i denne manualen være tilgjengelige. Ved en compliance-sjekk kan compliance-modulen holde styr på, samt fungere som sjekkliste for, om det kan gis positivt svar til de sikkerhetstiltakene som er nødvendige for å være i samsvar med standarden. Flesteparten av de overordnede sikkerhetstiltakene inneholder også en rekke retningslinjer for implementering. Dette er detaljerte krav som i prinsippet også skal være oppfylt for å være i samsvar med det overordnede sikkerhetstiltaket, og dermed standarden. De overordnede sikkerhetstiltakene og retningslinjene for implementering er i SecureAware Compliance omformulert til en rekke kontrollspørsmål som organisasjonen skal ta stilling til om den oppfyller. Vær oppmerksom på at en compliance-sjekk i SecureAware ikke kan erstatte en sertifisering. Kun standarden kan danne grunnlag for sertifisering. SecureAware inneholder dessuten fire spørreskjemaer, disse tilsvarer de fire evalueringsspørreskjemaene som er utarbeidet av PCI Standards Security Council. Spørreskjemaene er relevante for bedrifter som oppbevarer, behandler eller overfører kortholderdata. Her kan du se om dere må være i samsvar med kravene i PCI DSS: https://www.pcisecuritystandards.org/saq/instructions_dss.shtml 3
Start en compliance-sjekk Compliance-hovedsiden finner du ved å velge compliance-ikonet øverst i skjermbildet til høyre eller på fanen Snarveier på Min SecureAware. For å opprette en compliance-sjekk må du velge Opprett ny compliance-sjekk. Du må deretter angi et navn og en beskrivelse til compliance-sjekken og velge hvilke av dine spørreskjemaer du ønsker å bruke som grunnlag for sjekken. I eksemplet er ISO27002 valgt i nedtrekksmenyen Navn. I feltet Innledende spørsmål kan du skrive den teksten respondentene av spørreskjemaene vil få se som en innledende tekst. Dette kan f.eks. være: Vennligst angi om vi er i samsvar med dette kravet / denne regelen. Klikk deretter på Opprett. Dersom dette er den første compliance-sjekken du oppretter, vil du som utgangspunkt selv bli satt som ansvarlig for å utføre sjekk på samtlige avsnitt i DS484. Har du tidligere opprettet compliancesjekker, vil du i nedtrekksmenyen Bruk konfigurasjon fra kunne velge en brukerkonfigurasjon som allerede er opprettet. Hvis du velger Tildel ansvar til denne brukeren for alle avsnitt, vil du selv bli opprettet som compliance-ansvarlig for samtlige avsnitt i sjekken. Ansvarstildelingen for utfyllingen 4
kan endres senere. Klikk på Oppdater for å lagre dine endringer. Du kan nå velge å starte compliance-sjekken ved å klikke på Start. Det er likevel en god idé først å gjennomgå de resterende punktene i konfigureringen. Rapporttekst Ved å velge fanen Rapporttekst, kan du nå skrive inn innledning og konklusjon for den rapporten som kan skrives ut etter at sjekken har blitt utført. Valg av kapitler Under fanen Valg av kapitler kan du velge bort de kapitlene som du ikke ønsker å benytte i compliancesjekken. 5
Respondenter På fanen Respondenter kan du delegere ut ansvaret for utførelsen av compliance-sjekken til relevante personer. Du kan tildele forskjellige personer ansvar for hvert enkelt avsnitt av compliance-sjekken. Når disse ansvarlige logger på, vil de kun få presentert den delen de har fått ansvaret for. Klikker du på Legg til, kan du velge å finne en bruker ved å søke på bruker-id, navn eller e-post. For å velge brukeren blant søkeresultatene, klikker du på ved siden av brukernavnet. Når du har valgt brukeradministratorer til avsnittene, klikker du på Tilbake. Dine endringer blir da lagret, og du kommer tilbake til compliance-hovedmenyen. Ved å klikke på navnet for din compliance-sjekk, kan du så starte sjekken ved å klikke på Start. Sjekken avsluttes også herfra, ved å klikke på Avslutt. Du kan hele tiden følge med på din compliance-sjekk ved å skrive ut en rapport. Fra hovedsiden kan du gå til rapporten ved å klikke på compliancesjekkens navn i menyen Rapporter. Rapporten vil vises som en pdf-fil, og den inneholder informasjon som har blitt samlet inn om den enkelte compliancesjekken. 6
Besvaring av en compliance-sjekk Når en compliance-sjekk har startet, kan brukeradministratorene begynne å besvare spørreskjemaet. Når vedkommende er logget inn i SecureAware, vil compliance-oppgaver vises på Min SecureAware under fanen Oppgaver og ansvarsområder (alternativt kan de øverste fanene benyttes. Her må brukeren klikke på Compliance). Derfra får brukeren mulighet til å starte eller fortsette gjennomgangen av de områdene vedkommende har fått tildelt. Når et område velges, kommer brukeren til kontrollspørsmålene og må da velge nedtrekksmenyen for å angi om et krav er oppfylt eller ikke. Hvis standard-svaralternativene benyttes, kan følgende svares: Oppfylt: Organisasjonen kan svare positivt på dette kontrollspørsmålet. Ikke oppfylt: Organisasjonen kan ikke svare positivt på kontrollspørsmålet. Delvis oppfylt: Organisasjonen kan delvis svare positivt på kontrollspørsmålet. Det kan f.eks. være enkelte sikkerhetstiltak som mangler implementering for å kunne tilfredsstille kravet fullstendig. 7
Ikke relevant: Dette svaret kan velges hvis organisasjonen ikke mener at det enkelte kontrollspørsmålet er relevant for dem. Dokumentasjon: Dette punktet kan brukes til å skrive inn kommentarer til hvert enkelt kontrollspørsmål. Det kan angis hvilke handlinger som må gjennomføres for å tilfredsstille et krav, samt en beskrivelse av hva som har blitt gjennomført. Referanser: Referanser kan benyttes til å henvise til dokumentasjon som ligger på organisasjonens intranett eller på filservere. En URL-referanse kan da skrives inn. Ekstra: Dette punktet gir muligheten til å godkjenne sikkerhetstiltaket til pre-audit og audit. Utover dette kan følge punkter utfylles: Gjennomføres senest (når samsvar senest skal være gjennomført), Prioritet (prioritet for implementering og samsvar med kravet) samt Estimert budsjett i kr. (En vurdering av hva det vil koste å være i samsvar med kravet.) Bruk av underspørsmål Utover hvert enkelt overordnet kontrollspørsmål, kan et spørreskjema også inneholde en rekke detaljerte underspørsmål. Brukeren må trykke på for å brette ut de detaljerte spørsmålene. Hvis de detaljerte spørsmålene benyttes, vil svarene på disse ha innflytelse på det overordnede svaret. Hvis ISO27002/DS484-spørreskjemaet benyttes, kalles de detaljerte spørsmålene "implementeringsretningslinjer", og generelt må det være samsvar med alle disse for at det overordnede sikkerhetstiltaket (kontrollspørsmål) kan være oppfylt. Noen av de detaljerte spørsmålene er merket med en *. Det betyr at dette er et skjerpet krav. Det er opp til organisasjonen og en gjennomgående risikovurdering å fastslå om disse skjerpede kravene også må overholdes. Da SecureAware hele tiden lagrer de valgene som brukeren har foretatt, er det mulig for vedkommende å stoppe compliance-gjennomgangen og gjenoppta denne på et senere tidspunkt. 8
Brukernes besvarelser vil, etterhvert som de blir registrert, kunne ses i rapporten som vist her. 9
Respekteres IT-sikkerhetspolicyen? Hvis du ønsker å kontrollere at IT-sikkerhetspolicyens regler, prosedyrer osv. respekteres, går du til compliance-modulens forside og klikker på Spørreskjemaer> Nytt spørreskjema basert på policyen. Nedenfor kan man se at spørreskjemaet vil bli basert på den aktive policy "Policy for Virksomhet ABC". Spørreskjemaets ID og navn bruker policyens navn som utgangspunkt, samt datoen for opprettelse av spørreskjemaet. I nedtrekksmenyen Velg svaralternativsett velges hvilke svaralternativer brukerne får velge fra. Som utgangspunkt kan kun compliance-nivå velges, noe som gir svarmulighetene: Oppfylt, Ikke oppfylt, Delvis oppfylt og Ikke relevant. Det er mulig å endre disse svaralternativene eller lage helt nye (se avsnittet Administrasjon av svaralternativer). Deretter velges hvilke deler av policyen spørreskjemaet skal inneholde. I utgangspunktet er alle regler, prosedyrer osv. tatt med i spørreskjemaet. Du kan imidlertid velge bort regler som er tilknyttet bestemte områder eller målgrupper ved å klikke på de røde kryssene. Klikk på Opprett, så har du et spørreskjema som kan benyttes i en compliance-sjekk. 10
Spørreskjemaer laget fra bunnen av For å opprette dine egne spørreskjemaer, må du på compliance-modulens forside klikke på Spørreskjemaer > Nytt spørreskjema. Tast inn ID, navn og evt. en beskrivelse. Du kan også velge svaralternativer i nedtrekksmenyen (les om svaralternativer i neste kapittel). Klikk Opprett. Du kan nå begynne å legge til kapitler og underkapitler til ditt spørreskjema. Når du har opprettet et kapittel, kan du skrive inn ett eller flere spørsmål til dette. Hver gang du har opprettet et kapittel eller et spørsmål, må du huske å velge hvilket kapittel eller spørsmål det skal ligge under. I nedtrekksmenyen Foreldredel velger du hvilket avsnitt spørsmålet/avsnittet skal ligge under (foreldreavsnitt/-spørsmål). I menyen Plasser del etter velger du hvilket avsnitt/spørsmål det skal etterfølge. Husk å klikke på for å lagre ditt valg. 11
Administrasjon av svaralternativer For å arbeide med svaralternativene i SecureAware, må du fra Compliancehovedsiden klikke på Spørreskjemaer > Svaralternativsett og deretter velge det settet du vil redigere. Klikk på blyanten ved siden av et av svaralternativene for å redigere svar, farge og prosentvis vekt (0-100) for hvert svaralternativ. Farger skal angis med hexadesimal fargeverdi, for eksempel ##FFFFFF for fargen hvit. Fargen benyttes både i nedtrekksmenyer og i rapporter. Hvis du trenger hjelp til hexadesimale fargeverdier, kan det være nyttig å se på http://kuler.adobe.com/. Her er et par eksempler på farger: Du kan skrive en forklaring til svaralternativene i Beskrivelse -feltet. Forklaringen vil vises i sluttbrukerens hjelpetekst. Det er også mulig å opprette helt nye svaralternativsett. Fra hovedsiden går du til Administrasjon av spørreskjemaer > Administrasjon av svaralternativsett > Opprett nye svaralternativsett og skriv inn navnet på svaralternativsettet. Deretter kan du legge til og redigere svaralternativsettene. Vekting av svaralternativsett Vektingen av svaralternativsettene gjør at det kan regnes ut et gjennomsnitt 12
for et avsnitt i et spørreskjema når det blir svart ulikt på spørsmålene Ønsker du at et spørsmål/kapittel kun skal kunne være positivt oppfylt, hvis samtlige underspørsmål også er oppfylt, må dette svaralternativet settes til 100. Skal et svaralternativ ikke regnes med i den totale utregningen (f.eks. hvis det svares "Ikke relevant"), skal dette svaralternativet settes til -1. For alle andre verdier (0-99) vil vektingens intervall regnes ut som fortløpende fra halvdelen av intervallet fra nærmeste mindre vekting (såfremt ikke denne er -1) til halvdelen av intervallet til nærmeste høyere vekting (såfremt ikke denne er 100). Opprettes svaralternativene Ja / Delvis / Nei / Ikke relevant, vil vektingen kunne se slik ut: Vekting Intervall Ja: 100 (100) Delvis: 50 (25-99) Nei: 0 (0-24) Ikke relevant: -1 (Ingen) Alt du trenger å gjøre, er å taste inn vektingen. SecureAware beregner intervallet. 13
Kontaktinformasjon - For mer informasjon, kontakt Neuparts kontorer: Europa Neupart A/S Hollandsvej 12 2800 Lyngby Danmark Tlf. +45 7025 8030 Faks +45 7025 8031 Nord-Amerika United States Neupart Inc. 2553 Crescent St Ferndale, WA 98248 Tlf. 360-820-2545 Faks 360-392-6078 Neupart GmbH Kaiserwerther Strasse 115 40880 Ratingen/Düsseldorf Tyskland: Tlf. +49 (0) 2102/4209-26 Faks +49 (0) 2102/42062 Copyright 2006 Neupart A/S. Alle rettigheter forbeholdt. Dette dokumentets forfatter er Neupart A/S. Alt innhold, inkludert tekst og grafikk tilhører, med mindre annet er angitt, Neupart A/S og er beskyttet av opphavsretten i henhold til dansk og internasjonal lovgivning. Gjengivelse av dokumentet eller deler av dette er kun tillatt i den grad det skjer i uendret form, og ved at Neupart A/S uttrykkelig angis som kilde på samtlige kopier. Kopiering og distribuering må ikke foregå uten en på forhånd innhentet tillatelse, med uttrykkelig samtykke fra Neupart A/S. Neupart A/S forbeholder seg retten til på ethvert tidspunkt og uten forvarsel å kunne foreta endringer og/eller forbedringer av nevnte produkter. Produktene fra andre virksomheter, samt disses varemerker, kan være registrerte eller opphavsrettslig beskyttet. Logoene for Neupart, SecureAware samt navnet SecureAware er varemerker som tilhører Neupart A/S. Dokumentet leveres slik det foreligger", uten noen form for garanti. Dokumentet samt tilhørende grafiske fremstillinger kan inneholde feil eller mangler. Det gis ingen garanti for at resultater oppnås ved bruk av denne dokumentasjonen. Neupart A/S forbeholder seg også alle, ikke uttrykkelig nevnte rettigheter. 14