Risikostyring og informasjonssikkerhet i en åpen verden Infosikkerhetsarkitektur i et risikostyringsperspektiv Ivar Aasgaard, seniorrådgiver Steria ivaa@steria.no, Mobil: 992 82 936 LinkedIn: http://www.linkedin.com/pub/ivar-aasgaard/0/255/639 25/10/2012
Innhold Kort introduksjon til risikostyring Introduksjon til sikkerhetsarkitektur med SABSA (Sherwood Applied Business Security Architecture) Hvordan håndtere sikkerhetskrav i The Open Group Architecture Framework (TOGAF) Hvordan håndtere sikkerhetsspørsmål ifm. Cloud mobile dingser tjenesteutsetting 25/10/2012 2
Avgrensning Dette er ikke et teknisk foredrag! Vi skal snakke om hvordan styre risiko innenfor (inn under) akseptabelt nivå operasjonell risiko dvs. hvordan unngå uønskede hendelser 25/10/2012 3
Risikostyring «Koordinerte aktiviteter for å styre en organisasjon med hensyn til risiko» (ISO) omfatter risikovurdering og risikobehandling hvor risikovurdering omfatter risikoidentifisering risikoanalyse risikoevaluering 25/10/2012 4
Virksomhetssystemarkitektur en referansemodell Business Architecture Information Architecture Risk Management Architecture Applications Architecture Infrastructure Architecture Management and Governance Architecture 25/10/2012 5
Sikkerhetsarkitektur Hensikten med sikkerhetsarkitektur er å håndtere risiko i et komplekst miljø med mange avhengigheter Øke fleksibilitet og forbedre kommunikasjon redusere risiko ifm. prosjekter og endringer effektivisere hendelseshåndtering Ivareta ulike perspektiv, fra ulike interessenter Eksempel: Byarkitektur; veier, bygninger, broer og sikkerhet 25/10/2012 6
SABSA Utarbeidet av John Sherwood 2. halvdel av 1990-tallet Fokus på virksomheten risiko og «muliggjører» Rammeverk for å utarbeide virksomhetssikkerhetsarkitektur Metode og innholdsrammeverk (Content Framework) Mål: Konsistent håndtering av informasjonssikkerhet i hele virksomheten (helhetsbilde) 25/10/2012 7
Eksempler virksomhetsdrivere for sikkerhet Beskytte virksomhetens omdømme Sikre at virksomhetssystemer fungerer korrekt Sikre at korrekt informasjon er tilgjengelig på forespørsel Sikre overvåking av etterlevelse av policies og mulighet for oppdagelse, etterforskning og utbedring av sikkerhetsbrudd 25/10/2012 8
Eksempler - Business Attributes Operational Attribute: Business Attribute Attribute Explanation Metric Type Suggested Measurement Approach Important events must be Detectable detected and reported Hard Functional testing Risk Management Attribute: Business Attribute Attribute Explanation Metric Type Integrityassured The integrity of information Hard should be protected to provide assurance that it has not suffered unauthorised modification, duplication or deletion. Soft Suggested Measurement Approach Reporting of all incidents of compromise, including number of incidents pr. period, severity and type of compromise. Independant audit and review against <requirement> 25/10/2012 9
SABSA -matrisen (Bygge) Assets (What) Motivation (Why) Process (How) People (Who) Location (Where) Time (When) Contextual The Business Business Risk Model Business Process Model Business Organis. and Relationships Business Geography Business Time Dependencies Conceptual Business Attributes Profile Control Objectives Security Strategies and Architectural Layering Security Entity Model and Trust Framework Security Domain Model Security-related Lifetimes and Deadlines Logical Business Information Model Security Policies Security Services Entity Schema and Privilege Profiles Security Domain Definitions and Associations Security Processing Cycle Physical Business Data Model Security Rules, Practices and Procedures Security Mechanisms Users, Applicsand the User Interface Platform and Network Infrastructure Control Structure Execution Component Detailed Data Structures Security Standards Security Products and Tools Identities, Functions, Actions and ACLs Processes, Addresses and Protocols Security Step Timing and Sequencing Operational Assurance of Operational Continuity OperationalRisk Management Security Service Management and Support Application and User Mngt. Support Security of Sites, Networks and Platforms Security Operations Schedule 25/10/2012 10
SABSA utviklingsprosess - Oversikt Strategy and Concept Phase Define Contextual Security Architecture Define Conceptual Security Architecture Design Phase Define Logical Security Architecture Define Physical Security Architecture Define Component Security Architecture Define Operational Security Architecture in parallell with these Implementation Phase Manage and Measure Phase 25/10/2012 11
TOGAF Versjon 1 1995 ved The Open Group Basert på TAFIM, utviklet av Department of Defense i USA Rammeverk (metode og verktøy) for utvikling av virksomhetsarkitektur Formål å optimalisere prosesser med ulikt opphav/generasjon støtte fleksibilitet; rask respons på endring av forutsetninger redusert kompleksitet, redusert risiko 25/10/2012 12
ADM Architecture Development Method ADM-metoden viktig i TOGAF Kan også bruke ADM med andre innholdsrammeverk Viktig å sikre sikkerhetsrelatert informasjon inn i ADM i riktig fase det vil si START I PRELIMINARY Eksempler på anbefalt sikkerhetsinfo inn i og behandlet i ADM kommer; 25/10/2012 13
TOGAF Content Framework Metamodell 25/10/2012 14
TOGAF ADM 25/10/2012 15
Sikkerhet i Preliminary-fasen Viktigste aktiviteter Identifisere myndighetskrav og krav fra sikkerhetspolicy Identifisere foreløpige forutsetninger og eksterne grensesnitt Viktigste leveranser Liste over lover/forskrifter og andre eksterne krav Liste over sikkerhetspolicies Liste over forutsetninger og eksterne grensesnitt 25/10/2012 16
Sikkerhet i Architecture Vision-fasen Viktigste aktiviteter Etabler støtte i virksomhetsledelsen for sikkerhetstiltak Definer sikkerhetsrelaterte milepeler for sign-off av ledelsen under arkitekturutviklingen Kartlegg og dokumenter hvor kritisk systemene er med hensyn til hhv. liv og helse og for virksomheten Kartlegg og dokumenter katastrofe- og kontinuitetsplaner som kommer til anvendelse Viktigste leveranser: Signert sikkerhetspolicy av virksomhetsleder eller delegert Liste over sign-off av ledelsen ved sikkerhetsrelaterte milepeler Beskrivelse(r) av kritiskhet av systemer/applikasjoner Liste over relevante katastrofe- og kontinuitetsplaner 25/10/2012 17
Sikkerhet i Virksomhetsarkitektur-fasen (1) Viktigste aktiviteter Kartlegg brukere av systemet (sluttbrukere, applikasjoner, støttesystemer..) Vurder og beskriv sikkerhetsspesifikke virksomhetsprosesser Gjennomfør trusselanalyse med overordnede trusler og sannsynlighet Kartlegg og dokumenter virksomhetsverdier som blir utsatt for risiko gjennom bruk av systemet verditap som følge av uønskede hendelser "eiere" av virksomhetsverdier grad av kritiskhet av tilgjengelighet og korrekt operasjon av systemet 25/10/2012 18
Sikkerhet i Virksomhetsarkitektur-fasen (2) Viktigste leveranser Liste over nye krav til katastrofe- og kontinuitetsplaner Liste over validerte sikkerhetspolicies Liste over planlagte sikkerhetsprosesser Trusselanalysematrise Liste over aktiva med verdier og eiere Beskrivelse av konsekvenser av utilgjengelighet 25/10/2012 19
Risikostyring felles for prosjekt/endring med Cloud, mobile dingser og tjenesteutsetting Intern sikkerhetspolicy? Hvilke informasjonsaktiva? Hvem er «eier»? Underlagt eksterne krav til beskyttelse? Hva er beskyttelsesbehovet («KIT»)? Hvilke nye trusler kan informasjonen bli utsatt for? Er virksomheten din sårbar for disse truslene? 25/10/2012 20
Risikostyring felles for prosjekt/endring med Cloud, mobile dingser og tjenesteutsetting (forts) Viktig å tenke vidt! Hva kan skje som følge av dette prosjektet, endringen eller endrede forutsetninger; Ingeniørarbeid svinger mellom suksess og katastrofe Gjør risikovurdering! 25/10/2012 21
Eksempel på risikomatrise Meget høy Sannsynlighet Risikoprodukt = sannsynlighet x konsekvens Meget lav Ubetydelig Konsekvens Virksomhetskritisk Rød farge: Tiltak må iverksettes Grønn farge: Akseptabel risiko Gul farge: Tiltak skal vurderes Akseptabel risiko? 25/10/2012 22
Risikostyring ifm. vurdering av bruk av Cloud (1) Hva mener jeg med Cloud-tjenester? National Institute of Science and Technology (NIST), USA; Cloud karakteristika: Broad Network access Rapid Elasticity Measured Service On-Demand Self-Service Resource Pooling Cloud Security Alliance legger til: Multi-kunde (Multi-Tenancy) 25/10/2012 23
Risikostyring ifm. vurdering av bruk av Cloud (2) Avtaletekst? Henvisninger til «nettet»? Avtale med et norsk(registrert) selskap? Oversikt over lover og regler i landet hvor du vil benytte tjeneste? Garantier fra leverandøren om integritet og konfidensialitet? Erstatning i kroner vil du motta ved en alvorlig hendelse mht. utilgjengelighet? Driftskostnad vs. risiko 3. parts revisjon? Geografisk plassering av informasjon? Ny informasjon fra Datatilsynet! Les bl.a. om Narvik og Moss kommune, http://datatilsynet.no/nyheter/2012/bruk-av-nettskytjenester/ 25/10/2012 24
Risikostyring ifm. vurdering av bruk av mobile dingser Mobile dingser er vanskeligere å beskytte Hva er mulig å lagre av virksomhetsinformasjon på mobildingsen? Kan man klare seg med terminaltilgang? Tekniske tiltak? (Autentisering, kryptering, AV, sletting..) Policy/instruks for akseptabel bruk av mobile dingser? Skal virksomheten eie dingsen eller tillates ansattes egne? Behov for kunnskap om mange plattformer? Risiko ved å tillate lagring mm. - vs. ikke tilgang til informasjonen 25/10/2012 25
Risikostyring ifm. vurdering av tjenesteutsetting (1) Ansvar ref. IKT-forskriften, Personopplysningsforskriften, PCI DSS Viktig - avtale rett til innsyn og revisjon Viktig - avtale detaljerte krav til basis sikkerhet. Målbare! Gjør revisjoner av leverandøren, evt. ved 3. part ISO-standard under utarbeidelse 25/10/2012 26
Risikostyring ifm. vurdering av tjenesteutsetting (2) ISO 27001 App. A gir struktur men se til ISO 27002 for detaljer SLA for annet enn tilgjengelighet? Konsekvenser for leverandøren om sikkerhetstiltak ikke på plass? Avtalefestet frist for utbedring? Dog; høyere sikkerhetsnivå høyere kostnader 25/10/2012 27
Mulig påvirkning ved Cloud, dingser og tj.utsetting Assets (What) Motivation (Why) Process (How) People (Who) Location (Where) Time (When) Contextual The Business Business Risk Model Business Process Model Business Organisation and Relationships Business Geography Business Time Dependencies Conceptual Business Attributes Profile Control Objectives Security Strategies and Architectural Layering Security Entity Model and Trust Framework Security Domain Model Security-related Lifetimes and Deadlines Logical Business Information Model Security Policies Security Services Entity Schema and Privilege Profiles Security Domain Definitions and Associations Security Processing Cycle Physical Business Data Model Security Rules, Practices and Procedures Security Mechanisms Platform and Users, Applications Network and the User InterfaceInfrastructure Control Structure Execution Component DetailedData Structures Security Standards Security Products and Tools Identities, Functions, Actions and ACLs Etc. Processes, Modes, Addressesand Protocols Security Step Timing and Sequencing Operational Assurance of Operational Continuity OperationalRisk Management Security Service Management and Support Security of Sites, Application and User Networks and Management Support Platforms Security Operations Schedule 25/10/2012 28
OPPSUMMERING Etabler sikkerhetsarkitektur iht. standarder minimum ha struktur i løsninger og fullstendig og oppdatert dokumentasjon Innfør prosjekt- og endringsstyring med risikovurderinger Samarbeid mellom virksomhet/systemeier og IKT/forvalter Sørg for tilgang på kompetanse på risikovurdering og teknologier++ Behandle risiko og iverksett sikkerhetstiltak Internkontroll! Ivar Aasgaard ivaa@steria.no, Mobil: 992 82 936 25/10/2012 29
Spørsmål? 25/10/2012
25/10/2012 31