Hendelseshåndtering - organisering, infrastruktur og rammeverk

Like dokumenter
Behovet for formalisering/etablering av institusjonsvise responsteam (IRT) i sektoren

Erfaringer fra etableringen av institusjonsvise sikkerhetsteam

Operativ Sikkerhet. Nett- og infrastruktursamling Per Arne Enstad, UNINETT

Velkommen til fagsamling

Statlige universiteter og høyskolers ansvar for IKT-sikkerhet og digital hendelseshåndtering

Veiledning i kryptering med Open PGP

Anbefalinger om åpenhet rundt IKT-hendelser

Angrepet mot Helse Sør-Øst. Norsk sykehus- og helsetjenesteforening

HÅNDTERING AV NETTANGREP I FINANS

Sekretariat for informasjonssikkerhet i UHsektoren. Rolf Sture Normann

Nytt fra sekretariatet

Fra sikkerhetsledelse til handling ambisjoner og forventninger

UTS Operativ Sikkerhet - felles løft

DIREKTORATET FOR IKT OG FELLESTJENESTER I HØYERE UTDANNING OG FORSKNING

Ifølge Stortingsmelding nr. 17 ( ) «Et informasjonssamfunn for alle» bygger begrepet IKT-sikkerhet på tre basisegenskaper:

Etableringsplan. Internkontroll for informasjonssikkerhet og personvern

Si fra- systemet i drift ved UiB

Sikkerhetsforum 2018

Statlige universiteter og høyskolers ansvar for IKT-sikkerhet og digital hendelseshåndtering

NASJONAL SIKKERHETSMYNDIGHET. Hvordan forebygge, oppdage og håndtere dataangrep HÅNDTERING AV DIGITAL SPIONASJE

HVILKE RISIKOER LØPER VI NÅR ALLE DATAENE VÅRE ER I NETTSKYEN?

Informasjonssikkerhet i kommunene. Gaute Wangen, seniorrådgiver Seksjon for digital sikkerhet, NTNU

Avtale for BUAordninger

Presentasjon sikkerhetsforum Avdelingsdirektør Arne Lunde Uh-avdelingen KD

Mandat informasjonssikkerhet. Avdelingsdirektør Arne Lunde Uh-avdelingen KD

Overordnet IT beredskapsplan

Ofte stilte spørsmål.

KOMMUNIKASJONSSTRATEGI

Tilsiktede uønskede handlinger

Brudd på personopplysningssikkerheten

Erfaring fra opplæringsprogrammer

Helhetlig arbeid med informasjonssikkerhet. Remi Longva

VELKOMMEN TIL KURS I SOSIALE MEDIER #SIOKURS

NTNU Retningslinje for fysisk sikring av IKTinfrastruktur

SUHS konferansen 2012 CSO forum for sikkerhetsansvarlige. Rolf Sture Normann CSO, UNINETT

Vedlegg C: Behandling i Standardiseringsrådet, DMARC

Ketil Øyesvold Melhus Registrert Gestaltterapeut MNGF DOKUMENTASJON AV PERSONVERN

Etter gjennomgang og diskusjon av høringsdokumentet ble det formulert et høringssvar (se vedlegg).

Nytt personvernregelverk på 1-2-3

Personvern, taushetsplikt og sosiale medier

Om respondenten. U.off jf. offl. 15. Virksomhetens navn: Hvem svarer på undersøkelsen: Virksomhetsleder (direktør) Andre (angi rolle):

Informasjon om håndtering av IKT-sikkerhetshendelser

ETISKE RETNINGSLINJER

HENDELSESHÅNDTERING HVORDAN HÅNDTERE DATAINNBRUDD? NASJONAL SIKKERHETSMYNDIGHET

Bruk av sosiale medier i Agder og Telemark bispedømme

Alt du trenger å vite om digital postkasse. Informasjon til ansatte i offentlig sektor

Samhandlingsreformen IKT i helse- og omsorgssektoren

Varsling- veileder for deg som ønsker å varsle

Post mortem-erfaringer fra incident response -om å gjøre det beste ut av en dårlig situasjon. Margrete Raaum (MIS) FIRST SC og UiO-CERT

ID-Porten bruk av elektronisk ID i offentlige tjenester på nett

Definisjon: Tre avgjørende kriterier for å kalle det mobbing er:

3.1 Prosedyremal. Omfang

Referansearkitektur sikkerhet

RUTINER OG SKJEMA FOR VARSLING OM KRITIKKVERDIGE FORHOLD

Hvordan utfordrer sosiale medier og sosiale verktøy forvaltningen?

VELKOMMEN TIL KURS I SOSIALE MEDIER #SIOKURS

RETNINGSLINJE for klassifisering av informasjon

MEDISINSK UTSTYR OG DIGITALE SÅRBARHETER

GDPR. General Data Protection Regulation Personvernforordningen, erstatning for personopplysningsloven - fra 2018

«State of the union»

Epost og Anti-spam. Standard autentisering AUTH-metode. Receiver s server. Receiver. Your server

Personvern og informasjonssikkerhet

Ny styringsmodell for informasjonssikkerhet og personvern

Sikkerhedstrusler i sundhedsvæsenet - hvordan kan risiko og sårbarhed reduceres

IRT-konsepter. Hva handler hendelseshåndtering om? 2. mai 2017

Nasjonalt ID-kort og eid Sikker e-forvaltning

Kommu nikasjo nsplan

Call-Center.no HVA ER TELEVAKT?

Nye personvernregler

Kommunikasjonsplan for Oslofjordfondet Vedtatt av fondsstyret

Retningslinjer for pasientrelatert elektronisk meldingsutveksling mellom Oslo kommune og sektorsykehusene Ahus, Diakonhjemmet, Lovisenberg og OUS

Høringsnotat forskrift om Nasjonal vitnemåls- og karakterportal

IKT-reglement for Norges musikkhøgskole

BRUKERVEILEDNING - P360 VED NMBU

Brukerdokumentasjon. Adresseregisteret Om Adresseregisteret

Personvern og informasjonssikkerhet ved samhandling

Rutine for varsling av kritikkverdige forhold

Avvikshåndtering og egenkontroll

Sviktende tilgangsstyring i elektroniske pasientjournaler? Ragnhild Castberg, seniorådgiver Norsk Arkivråds arkivseminar,18.

Regler og informasjon til foresatte om bruk av datautstyr for trinn

Kommunikasjonsstrategi Innledning 2. Mål, visjon og verdier 3. Kommunikasjonsmål 4. Roller og ansvar 5. Forankring

Helseforskningsrett med fokus på personvern

Strategisk plan for Forbrukertilsynet

Høring - EU direktiv om tiltak for et høyt felles sikkerhetsnivå i nettverk og informasjonssystemer i EU (NIS-direktivet)

Etiske retningslinjer for JobbIntro AS

Sosiale medier og offentlig forvaltning. Norsk Arkivråds høstseminar, 27. oktober 2010 Difi, Sissel Kr. Hansen

Informasjonssikkerhet? - vi er da politiet!

Metoder og verktøy i operativt sikkerhetsarbeid

HVEM ER JEG OG HVOR «BOR» JEG?

Personvernerklæring for Søknadsweb

Status for følgeforskningen av Nærpolitireformen i Trøndelag Politidistrikt. Samarbeid politi og kommuner Kriminalitetsforebygging

Introduksjon til. For studenter ved NTNU

Hva betyr nasjonal IKTstrategi. 20. okt 2016 Tord Tjeldnes IT direktør UiA

ENKEL BRUKERMANUAL. SP Telekom Mars 2017/revidert BBach; Side 1

Langtidsplan. Revidert: Januar 2010 av Styret Unge SPOR

Status for arbeidet med ID-Porten, eid i markedet

Veileder for kommunikasjon i Nmf

Behandling av personopplysninger. DIGITAL ARENA BARNEHAGE 2018 Tone Tenold

Nasjonal sikkerhetsmyndighet

Transkript:

Hendelseshåndtering - organisering, infrastruktur og rammeverk Per Arne Enstad, UNINETT CERT 02. Mai 2017

Startpunkt for etablering av et IRT 2

Organisering Sørg for forankring i ledelsen! Ledelsessystem for informasjonssikkerhet Det er viktig å gi ledelsen løpende noe tilbake for deres støtte Rapportering, synliggjøring Sørg for finansiering Skap bevissthet om hvilke potensielle kostnader et FRAVÆR av IRT kan medføre Ny personvernlovgiving som gjelder fra mai 2018 gir myndighetene anledning til å ilegge bøter som svir! Kostnader som følge av et skadet omdømme Hva er vårt oppdrag? (mission statement/mandat) Legitimitet og bemyndigelse Myndighet til å kunne utføre akutte inngrep når det er nødvendig Hvem skal vi betjene? Lag gjerne et aktørkart! Ta en beslutning på hvor IRT hører hjemme i egen organisasjon Identifiser støttespillere (IT-avdelinger, HR, ledergruppe, sektorcert etc) Hvilke verdier skal vi passe på? Verdifull/sensitiv informasjon, systemer, nettverk, servere, klienter, Ledelssystemet skal definere denne oversikten 3

Hendelseshåndtering starter med å definere teamet Teamleder Koordinator, har hovedansvar for at hendelser blir håndtert Teammedlemmer God mix av tekniske ferdigheter og oversikt over egen organisasjon Profesjonell holdning, pålitelig, holde informasjon tett til brystet Teammedlemmer er ikke nødvendigvis i IRT-modus på fulltid Dere skal gjøre mye av det samme som i dag, men bedre organisert! Sørg for tilstrekkelig bemanning og tilstedeværelse 4

Teamets plassering i virksomheten De færreste UH-virksomheter har et aktivitetsnivå med hensyn til hendelseshåndtering som kan forsvare et dedikert IRT på heltid Den mest hensiktsmessige organiseringen er sannsynligvis et virtuelt IRT Ikke ulikt et frivillig brannkorps Hendelseshåndtering er intimt knyttet til IKT-kompetanse Det er derfor ikke unaturlig at et IRT er organisasjonsmessig tilknyttet IT-avdelingen MEN: andre måter å organisere seg på kan i noen tilfeller være like bra, dette avhenger av hvordan organisasjonen ellers er bygget opp Husk imidlertid at plikter og rettigheter er uavhengig av organisasjonsmessig plassering! Det viktigste av alt er imidlertid at man organiserer seg! 5

Rekruttering Basisegenskaper: Sunt bondevett! Evne til å kommunisere klart og tydelig Må kunne være diplomatisk Må kunne tåle å arbeide under press, i det minste over et kortere tidsrom Lagspiller Løsningsorientert Et IRT er helt avhengig av tillit Personer i et IRT må ha plettfri vandel, og være til å stole på! Diskresjon er en selvfølge Tillit bygges i millimeter, men rives metervis Ferdigheter/kompetanse Velg personer som er i stand til å løse de oppgavene som teamet er tildelt Komplementære ferdigheter 6

Synliggjøring av IRT - internt Lanseringen bør markeres Kick-off Få med ledelsen på dette! Dette er en fin anledning for dem å vise at de tar sikkerhet på alvor! Snorklipping med et infiserendevedlegg ;-) Utarbeid og gi informasjon om IRT til alle ansatte og studenter Kontaktpunkt hvordan kan dere nås? (ikke slik) List opp alternative kommunikasjonskanaler Åpningstider når kan dere kontaktes? Hvilke tjenester tilbyr ditt IRT? 7

Synliggjøring av IRT eksternt Lag informasjon om IRT og publiser denne på en lett tilgjengelig måte på virksomhetens eksterne websider: Kontaktinformasjon (epost, telefon, ) Hvem som er teamets målgruppe Si gjerne noe om forventet responstid på innmeldte saker Søk samarbeid med andre team i inn- og utland Dette skaper gjensidig tillit og er en viktig arena for læring! 8

Hvilke tjenester skal dere tilby? Det er en masse ting å velge i: Basis hendelseshåndtering Koordinering Varsling Sårbarhetshåndtering Anomalideteksjon Analyse av ondsinnet programvare Vær oppmerksom på at selv de mest avanserte team ikke gjør alt Velg med omhu kvalitet er bedre enn kvantitet Informer også om hva ditt IRT IKKE gjør (eller ikke tar ansvar for) 9

Kontaktpunkter Alle skal ha postboksen abuse@institusjon.no (RFC 2142)! Deling av sensitiv informasjon med andre team forutsetter avtaler om hvordan slik informasjon skal håndteres (TLP-avtaler) TLP-avtaler forutsetter team identifisert som f.eks. irt@institusjon.no, soc@institusjon.no, csirt@institusjon.no eller cert@institusjon.no. (CERT er registrert varemerke for CMU, vi anbefaler irt eller csirt) Sørg for å opprette en PGP-nøkkel for teamet og få denne signert av andre team (og enkeltpersoner) Telefon dagtid Akutt kontaktpunkt utenfor arbeidstid? Andre kontaktpunkter? 10

Håndtering av informasjon 11

TLP - Trafikklysprotokoll Bilateral avtale med betingelser for informasjonsdeling En hjørnestein i sikkerhetsarbeidet En beskjed fra kilden om at Slik vil jeg at du skal behandle denne informasjonen TLP Rød: kun til personlig mottaker, alltid kryptert og signert TLP Gul: kun til mottakende sikkerhetsteam, fortrinnsvis kryptert, alltid signert. TLP Grønn; kan deles men ikke publiseres åpent, fortrinnsvis signert TLP Hvit: kan gjøres offentlig tilgjengelig 12

Hva kan vi bruke betrodd informasjon til? Farget informasjon (iht TLP) er utsteders eiendom. Vær lojal til de betingelser som vedkommende stiller for håndtering og deling Generelt: Budskapet du mottar er ment å være til din informasjon Dette innebærer at du kan bruke innholdet til å beskytte dine egne informasjonsverdier, f.eks lage regler i brannmurer, søke i logger etc Hvis budskapet inneholder indikatorer (ip-adresser, protokoll, porter ) må du betrakte dette som et mulig åsted for en kriminell handling Ikke bruk denne kunnskapen (uten å være i dialog med kilden) til å probe indikatoren, ved f.eks pinging, forsøk på oppkopling eller gjøre DNS-oppslag Det skal veldig lite til før man kan komme i skade for å forkludre bevis, eller gjøre inntrengere oppmerksom på at de er under oppsikt Etterforskning med passive kilder er selvsagt OK (eks logger, Netflow, passiv DNS) 13

Autentisitet, integritet og konfidensialitet Man trenger å vite sikkert hvem avsender er (autentisitet) Signering Man trenger å vite at informasjonen ikke er tuklet med (integritet) Signering Man behøver å sikre seg mot at uvedkommende kan lese informasjonen (konfidensialitet) Kryptering God praksis er å signere alt, kryptere når nødvendig PGP-nøkler og signering er å regne som et basisverktøy for et IRT 14

Kommunikasjon og nettverk 15

Sikkerhetsarbeid handler mye om kommunikasjon Lag et aktørkart for egen virksomhet Kommuniser gjerne direkte med andre team Det kan være en fordel å holde sektorvise responsmiljø orientert, særlig viktig hvis saken skulle eskalere Tillit og en profesjonell holdning er en forutsetning Beskytt informasjonen du besitter Taushetsplikt Anonymiser informasjon når du må formidle. 16

Aktørkart for UNINETT CERT

Andre team og organisasjoner NorCERT Andre norske IRT: FinansCERT, KraftCERT, HelseCERT... Tilsvarende IRT i andre land FIRST TI (Trusted Introducer) Listed, accredited, certified Sammen blir vi sterke(re)! Og sammen er vi i realiteten en viktig del av Norges og internettsamfunnets totalforsvar! 18

Rammeverk 19

20

NSMs rammeverk for hendelseshåndtering Work in progress Siste versjon var klar til den nasjonale øvelsen IKT16 i månedsskiftet november/desember 2016 Dette skal bli et best practise dokument som beskriver hvordan hendelseshåndtering og utveksling av informasjon skal foregå NorCERT vil gi dere mer informasjon om dette senere i dag 21

Oppfølging Hver institusjon skal rapportere til departementet om status for innføring av ledelsessystem for informasjonssikkerhet husk at IRT inngår som en vesentlig del av dette UNINETT ønsker å være en støttespiller for IRT i sektoren Faglige samlinger Erfaringsutveksling Relasjonsbygging Fortell oss gjerne om hvordan det går! 22

Litteratur og videre løft: http://www.cert.org http://www.trusted-introducer.org/ccopv21.pdf UNINETT CERT kan bidra til ytterligere løft i sektoren for institusjoner som ønsker å gå enda lengre TRANSITS 2 dagers kurs for IRT arrangert av GÉANT 23

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding