Nytt fra sekretariatet Sikkerhetsforum 2013 Øivind Høiem, CISA CRISC Seniorrådgiver
Trusselbilder fra PST «Offentlig og privat ansatte med tilgang til sensitiv informasjon smigres, bestikkes og presses til å gi fra seg informasjon eller til å bidra til å påvirke beslutningsprosesser.» 2
Trusselbilder fra PST «Et nyere trekk i etterretningen mot høyteknologi er enkelte etterretningstjenesters utilbørlige press mot studenter og forskere for å utlevere forskningsresultater til hjemlandet, nettopp for å styrke egen forskning og utvikling.» 3
Trusselbilder fra NSM «Fremmede staters etterretningstjenester søker primært å innhente informasjon som kan fremme landets politiske og økonomiske interesser.» «Aktiviteten er hovedsakelig rettet mot forsvars- og sikkerhetspolitikk, olje- og gassektoren, høyteknologi-/ forsknings-/undervisningsmiljøer og eksilmiljøer.» 4
Trusselaktører Nasjonalstater har både vilje og midler til å jobbe langsiktig for å oppnå sine mål Nasjonalstater Virksomheter (industrispionasje) 5 Aktivister (har kortsiktig fokus) «Vanlige» kriminelle (økonomisk vinning) Sporadiske hackere (nysgjerrighet, «ære og berømmelse»)
UH-sektorens sekretariat for informasjonssikkerhet Opprettet på oppdrag av KD Bakgrunnen er Riksrevisjonens kritikk av sektorens ivaretagelse av informasjonssikkerhet Skal støtte UH-sektoren i informasjonssikkerhetsspørsmål De nasjonale retningslinjene for informasjonssikkerhet legges til grunn for sekretariatets arbeid 6
I sekretariatet, er vi ikke late Rammeverk og metodikk Maler og informasjonsmateriell Risiko og sårbarhetsvurderinger Kontinuitet og beredskapsplaner Revisjoner Ledelsens gjennomgang Informasjon om trusselbilder Sikkerhetskulturbygging Arrangør av sikkerhetskonferanser Sikkerhetsportal på nettet Internasjonalt samarbeid 7
UNINETT CERT UNINETT håndterer hendelser i forskningsnettet Vi har et eget CERT - Computer Emergency Response Team Samarbeider med tilsvarende enheter i Norge og utlandet. Er medlem i FIRST - Forum of Incident Response and Security Teams og TI-Trusted Introducer 8
Uninytt: den sikre siden 9
den sikre siden 10
Utveksling av beste praksis i Norge Vi produserer fagspesifikasjoner i samarbeid med UHsektoren som en del av @campus programmet 11 https://www.uninett.no/ufs
og i Europa Noen av fag-spesifikasjonene blir oversatt til engelsk og gjort tilgjengelig som «Campus Best Practice» dokumenter i regi av EUprosjektet Géant 12 Vårt dokument «Information Security Policy» var det mest nedlastede dokumentet i 2012 http://www.geant.net/network/campus-best-practice/pages/home.aspx
NY UFS 136 RETNINGSLINJER FOR KLASSIFISERING AV INFORMASJON 13
Hvorfor Før man kan utføre en risiko og sårbarhetsvurdering må man vite hva man skal beskytte 14
Hensikt Å beskrive hvordan man klassifiserer informasjonsobjekter i forhold til f.eks. sensitivitet, kritikalitet, oppbevaringsperiode og avhending. 15 Å være et verktøy for informasjonseiere til å bidra til at virksomhetskritisk innhold blir opprettet, behandlet og avhendet i samsvar med interne og eksterne krav og beste praksis. Og så på dette grunnlag foreta en risiko- og sårbarhetsvurdering
Innhold Anbefaling om hvordan vi skal klassifisere informasjon Eksempler på hvordan informasjonsobjekter som er hyppig brukt i UH-sektoren kan klassifiseres Referanser til relevante standarder, lover og forskrifter 16
Digresjon: Metadata Metadata er informasjon om informasjonsobjekter som Type (dokument, presentasjon, regneark m.fl) Størrelse Forfatter Tittel Opprettelsesdato Sist modifisert osv. 17 Vi har også metadatatyper som tydeligere er relatert til informasjonssikkerhet, og det er de vi er ute etter.
Metadatatyper som bør klassifiseres Informasjonseier (eks. organisasjonsenhet, rolle eller prosess) Innhold (f.eks. forskningsdata) Lovhjemmel (f.eks. Offentlegslova 24.6.) Lagringssted (system) Åpne data i offentlig sektor? Sikkerhetsklassifisering (Åpen, Intern, Konfidensiell) Sikkerhetsbehov (Konfidensialitet, Integritet, Tilgjengelighet) Maks. nedetid Hvorfor har informasjonen bevaringsverdi? Personopplysninger (J/N) Arkivnøkkel Oppbevaringsperiode Avhendingsmetode 18
Eksempler basert på input fra UH-sektoren 19
Sikkerhetsportalen 20 https://www.uninett.no/infosikkerhet
Nasjonal sikkerhetsmåned i oktober Sekretariatet har planer om å arrangere aktiviteter i samarbeid med UHsektoren under den nasjonale sikkerhetsmåneden i oktober. 21 Info. på sidene til NorSIS norsis.no
Takk for meg 22 Øivind Høiem, CISA CRISC Seniorrådgiver informasjonssikkerhet +47 97104968 oivindh@uninett.no https://twitter.com/oivindhoiem