Nettverksmøte i DnD: «Virksomhetsarkitektur og risiko hånd i hånd» Sikkerhetsarkitektur i NAV Senior sikkerhetsarkitekt Robert Knudsen Arbeids- og velferdsdirektoratet IKT-avdelingen Agenda Trusselbilde i NAV Etterlevelse av sikkerhet Hva er prinsipper for sikkerhetsarkitektur? Rammeverk og modeller Sikre kontroll på sikkerhetsarkitektur Referansearkitektur og modeller Veikart og tiltak Målbilde NAV, 11.06.2014 Side 2
Trusselbilde i NAV (utdrag) Personer som truer eller øver vold mot våre ansatte Utilsiktede handlinger som fører til at personopplysninger kommer på avveie Medarbeidere som ser i informasjon de ikke skal eller formidler taushetsbelagt informasjon til andre. Medarbeidere som medvirker til mislighold av NAVs ytelser eller ved anskaffelser Personer som ønsker å bryte seg inn i NAVs IKT-systemer IKT-utstyr eller løsninger kan ha feil eller svikte NAV, 11.06.2014 Side 3 Etterlevelse Helhetlig arkitektur Lover og Forskrifter Interne regler og policy Risikovurdering NAV, 11.06.2014 Side 4
Prinsipper for hvordan vi bygger sikkerhetsarkitektur? Rammeverk, metode og prosess for hvordan vi fremskaffer og etablerer sikkerhetsarkitektur basert på: Arkitekturkrav, føringer Drivere Forretning Strategisk Teknologisk Arkitektur Forretningsbehov Tekniske behov Bruk av rammeverk og verktøy Bruk av modeller NAV, 11.06.2014 Side 5 Overordnede sikkerhetsprinsipper IKT-løsninger skal sørge for sikker behandling og tilfredsstille krav til konfidensialitet, integritet, tilgjengelighet og sporbarhet. Prinsippet om tjenstlig behov Tjenestedelingsprinsippet Prinsippet om sikkerhetsmessig lønnsomhet Ansvarlighetsprinsippet Ansvarsprinsipp Overordnede IT-arkitekturprinsipper for offentlig sektor (DiFi Direktoratet for forvaltning og IKT) NAV, 11.06.2014 Side 6
Sikkerhetsprinsipper for sikkerhetsarkitektur Enkelhetsprinsippet Sikring i dybde Autoriserte aktiviteter Sikkerhet ved feil Tillitsprinsipper Sikkerhet ved design Strukturprinsipper Velstrukturhet. Sikkerhetsmessige forutsetninger defineres og forvaltes (f. eks. avhengigheter) Lagdelt sikkerhetsarkitektur Egnet sikkerhetsmodellering: Anvende kontekstuelle, konseptuelle, logiske og fysiske modeller NAV, 11.06.2014 Side 7 Hva vil vi og hvor vil vi med sikkerhetsarkitektur? Etterlevelse og mindre totalkostnad NÅ situasjon Effektiv arkitekturstyring Målbilder Veikart og Planverk GAP NAV, 11.06.2014 Side 8
Rammeverk TOGAF NAV IKT TOGAF ADM Arkitekturmetode i NAV IKT (under utarbeiding) Arkitekturutvikling Bygge arkitekturinnhold (Sparx EA, Archimate) SABSA NAV, 11.06.2014 Enterprise Security Architecture format Side 9 Hvordan får vi kontroll på sikkerhetsarkitektur? Etablere og organisere en helhetlig arkitekturutvikling Etablere arkitekturprinsipper, - krav og -føringer Kartlegge alle sikkerhetskapabiliteter (evner) Benytte hensiktsmessige rammeverk og verktøy Beskrive målbilder og tiltak i henhold til risikovurderinger Beskrive veikart og etablere langsiktige planer NAV, 11.06.2014 Side 10
Klassifisering av kritikalitetsnivå for K I T Klassifiseringsskala for KIT: Svært høyt (Samfunnskritisk Høyt (Virksomhetskritisk) Middels Moderat Lavt K - konfidensialitet I - integritet T - tilgjengelighet NAV, 11.06.2014 Side 11 IKT- avdelingen ønsker kontroll på: 1 Alle aktuelle sikkerhets kapabiliteter 2 4 3 Kapabiliteter som er ivaretatt Modenhet for kapabilitetene Kapabiliteter som ivaretar prinsipper og krav 5 Veikart for kapabilitetene NAV, 11.06.2014 Side 12
Referansemodell sikkerhetsarkitektur NAV, 11.06.2014 Side 13 Detaljert referansemodell sikkerhetsarkitektur NAV, 11.06.2014 Side 14
Veikart for sikkerhetsarkitektur (eksempel) Ident- og tilgangsstyring Innholdssikring Autentisering (eid Nivå 4) Autorisering Single- SignOn 2014 2015 2016 Tilgangskontroll Identifikasjon Sertifikathåndtering Sikkerhetsklassifisering Kryptering Audit, analyse, rapportering Tilgangsregler Monitorering og analyse Ident- og tilgangsadministrasjon. Føderering Dataflytkontroll Ikke-benektbarhet Høytilgjengelighet (HA) Forsyning av tilganger Hendelseshåndtering (CSIRT) Testdata-håndtering Signering Logging Sikkerhetstesting Målbilde Helhetlig sikkerhetsarkitektur Avvikshåndtering Sikkerhetsforståelse og etterlevelse Ledelsessystem for sikkerhet Sikkerhetsmonitorering Domene Kontinuitetsstyring Katastrofesikring og gjenoppretting Sikkerhet i utvikling og anskaffelse Utviklingsmetode og retningslinjer Kravspesifikasjon Driftssikkerhet Felles sikkerhetsrammeverk Konfigurasjonsstyring Soner Risikostyring Internkontrollsystem Personvern Sikkerhetsstyring. Realiseres i linjen. Realiseres i prosjekt. Realiseres av DIFI. Informasjonssikkerhetsavd. NAV, 11.06.2014 Side 15 Skjema for detaljert beskrivelse pr. kapabilitet Kapabiliteter eller tiltak NAV, 11.06.2014 Side 16
ET EKSEMPEL PÅ KAPABILITET TILGANGSKONTROLL NAV, 11.06.2014 Side 17 Under-kapabiliteter Policybasert tilgangskontroll (XACML) Policy based access control (PBAC) Attributed based access control (ABAC) Role based access control (RBAC) Reverse proxy SSO Security Token Service (STS) Security Assertion Markup Language (SAML) Tjeneste, Tjeneste-konsument og tjenestetilbyder AS-IS 1. Intern kontroll i eksisterende applikasjoner 2. Intern kontroll av konsument på tjenestebuss 3. Separate proxy-løsninger TO-BE 1. Etablere felles reverse proxy for Single Sign-On 2. Etablere STS for applikasjonstjenere 3. Etablere policybaserte tilgangskontrollpunkter 4. Etablere et felles tilgangsadministrasjonspunkt 5. Se også målbildet for sikkerhet Nøkkelkonsepter Det finnes flere modeller for tilgangskontroll, bl.a. policybasert tilgangskontroll (PBAC), attributt-basert tilgangskontroll (ABAC) og rollebasert tilgangskontrol (RBAC). Alle modeller er relevante og aktuelle og har sine kvaliteter på hvert sitt område. Policy basert tilgangskontroll definert i henhold til XACML standarden (extensible Access Control Markup Language), definert av OASIS Standard Organization, er primært attributt basert (ABAC), hvor attributter assosiert med en bruker, ressurs eller handling er input til en beslutning om en gitt bruker har tilgang til en gitt ressurs. Rollebasert tilgangskontroll (RBAC) kan også benyttes i policybasert tilgangskontroll (XACML) som en spesialisering av ABAC. Granulariteten på tilgangskontrollen er viktig; svært fingranulert tilgangskontroll er ressurskrevende å forvalte. Grovt granulert tilgangskontroll oppfyller ikke krav i lov og forskrifter. En kombinasjon av begge er aktuelt og relevant der det er formålstjenlig Tilganger kan gis på bakgrunn av klassifisering av informasjon, tjenester, rolle, organisasjonstilhørighet o.l. Det finnes mange ulike strategier for tilgangskontroll, f.eks: I applikasjonen (konsumenten nær brukeren) Prosesser (konsument) Nær data På tjenestenivå (tilbyder) Forretningsverdi Hvilken verdi gir det NAV å ha en detaljert sikkerhetsarkitektur på dette området Tilgangskontroll er pålagt, bl.a. i lov og forskrift (bl.a. Personopplysningsloven med forskrift.) Gir NAV muligheten til å styre tilgangen til informasjon, tjenester og applikasjoner, slik at kun de som skal ha tilgang får det. Reglene for tilgang er separert fra programmeringskode og kan vedlikeholdes og administreres felles og helhetlig på tvers av løsningene. Styring av sikkerhetspolicy kan derfor utføres av et felles organ eller forum på tvers av fagområdene. Sikkerhetskrav 1. Når det gis tilgang til Informasjon som har gitte klassifiseringer skal fysisk bruker være entydig identifisert, forsvarlig autentisert og autorisert 2. Autentisering skal være løst koblet med tilgangskontroll 3. Sikkerhetskapabiliteter skal realiseres gjennom bruk av felles sikkerhetstjenester 4. Tilgangskontroll og datafiltrering skal håndheves nær datakilden 5. Sikkerhetskapabiliteter skal realiseres gjennom bruk av standard løsninger Relevante Arkitekturprinsipper 1. IKT-løsninger skal sørge for sikker behandling og tilfredsstille krav til konfidensialitet, integritet, tilgjengelighet og sporbarhet. 2. Prinsippet om tjenstlig behov 3. Tjenestedelingsprinsippet 4. Prinsippet om sikkerhetsmessig lønnsomhet 5. Ansvarlighetsprinsippet 6. Ansvarsprinsippet Relevant dokumentasjon 1. «IKT-strategi» 2. «Tilgangskontroll implementert i moderniserte tjenester, konsumenter og infrastrukturskomponenter i NAV for å understøtte ny sikkerhetsmodell» 3. «Strategi for innføring av Policybasert Tilgangskontroll» 4. Sikkerhetskontekst for System til System integrasjon: «System til System sikkerhet» 5. «SAML Token» for moderniserte løsninger. 6. «Modell for sikkerhet i tjenesteorientert arkitektur» 7. «IAM Nåsituasjon» (tilgangs- og identitetsstyring) 8. OASIS Open group XACML: OASIS extensible Access Control Markup Language (XACML)
Strategiske og forretningsmessige drivere (eks.) DRIV1 Trusselbilde og risikovurdering. DRIV2 Etterlevelse av lover og regler DRIV3 Økt grad av selvbetjening DRIV4 Realisering av IKT Strategi DRIV5 Offentlig samhandling NAV, 11.06.2014 Side 19 Teknologiske drivere (eksempler) DRIV6 Helhetlig håndtering av sikkerhet. DRIV7 Kompleks og heterogent landskap DRIV8 Produksjon av IKT-tjenester DRIV9 Teknologiutvikling og modenhet DRIV10 Prinsipper for sikkerhetsarkitektur NAV, 11.06.2014 Side 20
Målbilde for sikkerhetsarkitektur Strategier Risikovurderinger Prinsipper og krav Lover og forskrifter NAV, 11.06.2014 Side 21 Tekniske behov (eksempler) TB1 Tjenesteorientert sikkerhetsarkitektur og policybasert tilgangskontroll TB2 Standardiserte og felles sikkerhetstjenester TB3 Felles løsning for Single Sign-on TB4 Felles og helhetlig identitets- og tilgangsadministrasjon TB5 Utvidet analyse av sporingslogger og sikkerhetslogger TB6 Utvidet kontroll av innkommende dokumenter og meldinger TB7 Sikring og tilgangskontroll på køer (hendelseshåndtering) NAV, 11.06.2014 Side 22
Tjenesteorientering av sikkerhet (tiltak) Tjenesteorientering av sikkerhet er et viktig mål for sikkerhetsarkitektur da dette understøtter deler av forretningsbehovene Ulik håndhevelse av tilganger på tvers av tjenestekonsumenter Bidra til å øke tjenesteorienteringsgrad av IKTløsninger Tjenesteorientering av sikkerhetsfunksjonene Bedre evne til samhandling (internt/eksternt) NAV, 11.06.2014 Side 23 Spørsmål? NAV, 11.06.2014 Side 24