Anbefaling til God IT-skikk (nr. 2) Tilgangskontroll Styring av informasjonstilgang
Innhold 1 Innledning... 4 1.1 Formål og definisjon... 4 1.2 Hva er tilgangskontroll... 4 1.3 Målgruppen for dokumentet... 4 1.4 Ansvar... 4 1.5 Oversikt over aktuell lovgivning og standarder... 5 2. Virksomhetens organisering (for å håndtere tilgangskontroll)... 5 2.1 Ledelsens styring og kontroll... 5 2.2 Sikkerhetspolicy og retningslinjer for tilgangskontroll... 6 2.3 Informasjonssikkerhetssjef (CISO)... 6 2.4 Eierskap til informasjon og systemer... 6 2.5 Nærmeste leder... 7 2.6 Virksomhetens holdninger og sikkerhetskultur... 7 3 Tekniske tiltak... 7 3.1 Identitet i IT-systemer... 7 3.2 Autentisering... 8 3.3 Rollestyring og systemtilgang... 9 3.4 Aktivitetsoppfølging (logging og oppfølging)... 9 Referanser... 10 3
Innledning 1.1 Formål og definisjon Formålet med denne anbefalingen er å bidra til å konkretisere krav til tilgangskontroll som norske virksomheter bør oppfylle for å imøtekomme kravene i det rettslige begrepet betryggende kontroll, de krav som stilles i lover, forskrifter og allment 1 aksepterte standarder. 1.2 Hva er tilgangskontroll Virksomhetsprosesser er i dagens samfunn helt avhengig av rettidig tilgang til IT-systemer. Samtidig representerer informasjon som lagres og behandles ofte store verdier. Effektiv kontroll med tilgang til informasjon er derfor en viktig forutsetning for å sikre virksomhetens verdier og drift. Større grad av distribuerte ressurser medfører utvidede muligheter for tilgang til informasjon for flere personer gjennom nettverk og kommunikasjonskanaler fra omverdenen, for eksempel Internett. Med tilgangskontroll menes metoder for å tildele, endre, slette og føre kontroll med autorisasjon for tilgang til IT-ressursene for å opprettholde konfidensialitet, integritet og tilgjengelighet til informasjon. Dette gjelder så vel interne brukere i virksomheten som eksterne brukere/kunder som får tilgang til virksomhetens informasjon gjennom webbaserte tjenester på internett. Tilgangskontroll er en viktig forutsetning for å sikre forsvarlig utvikling/anskaffelse, drift, bruk, vedlikehold og avvikling av virksomhetens informasjonssystemer og skal forhindre at IT-ressursene blir brukt eller påvirket på en ukontrollert måte. God tilgangskontroll kan føre til: Kontroll med at informasjon ikke kommer på avveie Redusert risiko for svindel og interne misligheter Reduserte økonomiske tap som følge av ukontrollert nedetid Redusert risiko for misbruk av informasjon, systemer og ressurser som ikke fremmer virksomhetens interesse Redusert risiko for svekket omdømme og tillit Informasjon kan i mange tilfeller være virksomhetens beslutningsgrunnlag og konkurransefortrinn og på den måten være avgjørende for dens eksistens. 1.3 Målgruppen for dokumentet Beslutningstakere med et Sørge-for -ansvar De som beslutter investeringene, de som definerer krav til virksomheten og de forretningsenhetene som bruker og/ eller har eierskap til IT-tjenestene. Aktører som har et Utføre-ansvar Interne eller eksterne interessenter som tilbyr IT-tjenester. Dette kan være IT-linjeledere, prosjektledere, prosessledere, utviklere eller driftspersonell med ansvar for daglig drift. De med et Påse -ansvar Interne og eksterne interessenter som har ansvar for kontroll og risikohåndtering. Dette kan være personell med oppgaver innen sikkerhet, kontroll med behandling av personopplysninger samt personell med ansvar for risikohåndtering For personell med ansvar for internkontroll og revisjon anbefales i tillegg ISACAs G38 Access Controls, se referanseliste. 1.4 Ansvar Det er styret og den daglige ledelsen som har ansvaret for at et tilfredsstillende nivå av tilgangskontroll innføres og opprettholdes. Ansvar for å ivareta sikkerhet i en virksomhet er både i privat og offentlig sektor regulert i lov. Dersom deler av virksomhetens IT-behandling utføres av eksterne leverandører, fritar ikke dette ledelsen for kontrollansvaret. 4
Virksomhetens organisering 1.5 Oversikt over aktuell lovgivning og standarder. Det er viktig å ha oversikt over aktuell lovgivning som gir føring for tilgangskontroll i din virksomhet og din sektor og som gir føringer for forsvarlig implementering av tilgangskontroll. Personopplysningsloven med forskrifter gjelder på tvers av sektorer og virksomheter i Norge. Andre viktige lover som gir føringer for tilgangskontroll er: Sikkerhetsloven med forskrifter (for offentlig sektor og enkelte andre virksomheter som er underlagt denne) Økonomireglementet i staten 1 Offentleglova IKT-forskriften (for finanssektoren) Helseregisterloven med forskrifter (for helsesektoren) Mange norske virksomheter er også underlagt sektorspesifikt lovverk med taushetsbestemmelser Det finnes også standarder som gir informasjon om tilgangskontroll, for eksempel NS ISO 27000-serien og ISACAs G38 Access Controls. 2 Virksomhetens organisering (for å håndtere tilgangskontroll) 2.1 Ledelsens styring og kontroll Det er virksomhetens ledelse som er ansvarlig for at det innføres hensiktsmessige retningslinjer, rutiner og egnede tekniske løsninger for tilgangskontroll. Ledelsen skal sørge for at gode holdninger til tilgangskontroll er en integrert del av virksomhetens kultur og at det er kjent for brukerne hvilke regler som gjelder. Basert på virksomhetens vurdering av egen profil rundt åpenhet, risikovurdering og krav i lover og forskrifter, må virksomheten fastsette og opprettholde et ønskelig nivå for sikring av informasjon og ressurser. Ønsket nivå for virksomhetens sikring av informasjon og ressurser kan endre seg over tid. Det må derfor etableres hensiktsmessige rutiner for å fange opp dette slik at nødvendige tiltak kan iverksettes. Ledelsen må gjøre kjent i organisasjonen hvilke reaksjoner som kan bli iverksatt ved brudd eller forsøk på brudd på virksomhetens sikkerhetsretningslinjer. Dette kan for eksempel innarbeides i ansettelsesvilkårene eller i annen styrende dokumentasjon. 1 Hovedprinsippet er offentlighet, men at restriksjoner kan settes. 5
2.2 Sikkerhetspolicy og retningslinjer for tilgangskontroll En virksomhet bør ha en overordnet sikkerhetspolicy og i tillegg et eller flere mer detaljerte dokumenter som beskriver de konkrete retningslinjene (standarder, rutiner og retningslinjer) for tilgangskontroll. Sikkerhetspolicy er et overordnet dokument som beskriver ledelsens og organisasjonens ansvar og målsetninger for å sikre selskapets informasjon og ressurser. Dokumentet skal kommunisere ledelsens holdninger til sikkerhet og kan også omfatte forhold utenfor ITområdet. Overordnet sikkerhetspolicy skal formelt godkjennes av virksomhetens styre. De konkrete retningslinjene for tilgangskontroll må gjenspeile intensjon og målsetninger fastsatt i overordnet sikkerhetspolicy. Konsekvenser av brudd på retningslinjene skal være reflektert i disse. Retningslinjene for tilgangskontroll skal formelt godkjennes på riktig nivå i den aktuelle virksomhet. Målsetninger for tilgangskontroll bør være målbare, slik at det er mulig å få til god oppfølging og rapportering på disse. Normalt er det virksomhetens informasjonssikkerhetssjef (se neste kap.) som har ansvar for å utarbeide de konkrete retningslinjene for tilgangskontroll. 2.3 Informasjonssikkerhetssjef (CISO) Informasjonssikkerhetssjef skal vedlikeholde den delen av virksomhetens sikkerhetspolicy som gjelder informasjonssikkerhet, gjøre den kjent i organisasjonen samt å se til at virksomhetens retningslinjer for informasjonssikkerhet blir fulgt. Inkludert i dette er retningslinjene for tilgangskontroll. Retningslinjene for etablering, endring og sletting av tilgangsrettigheter bør blant annet inneholde: regler om at tildelte tilgangsrettigheter skal være formelt godkjent og legitimert på en slik måte at tildelingen kan kontrolleres i ettertid regler om meldeplikt ved fratreden, nyansettelse og endring av stilling regler for vurdering av tilgangsrettigheter i oppsigelsesperioden regler om at bruker skal bekrefte ansvar for alle handlinger foretatt med egen brukeridentifikasjon Informasjonssikkerhetssjef skal sørge for at virksomheten har: etablerte funksjoner i linjen som sørger for løpende/periodisk kontroll av gitte tilganger etablerte retningslinjer for rapportering av brudd på virksomhetens retningslinjer for tilgangskontroll Informasjonssikkerhetssjef skal rapportere brudd på selskapets retningslinjer samt avvik avdekket under løpende /periodiske kontroller til riktig nivå i egen virksomhet. Informasjonssikkerhetssjef må ha et nært samarbeid med informasjonseiere, systemeiere og ledere. Vedkommende vil også være ansvarlig overfor toppledelsen for å sørge for at aktivitetene blir tilfredsstillende utført. 2.4 Eierskap til informasjon og systemer Det er viktig å definere eierskap til selve informasjonen. Informasjonseier har ansvar for informasjonsarkitektur og skal sørge for datakvalitet og kontroll med hvilke systemer som bruker den aktuelle informasjonen. Gjenbruk av samme informasjon i flere systemer er i dag vanlig. Likeledes kan et system inneholde informasjon fra flere informasjonseiere. Informasjon som flyter gjennom flere systemer kan skifte eier underveis i prosessen. Det er viktig å ha rutiner for å håndtere slike skifter i eierskap på en ryddig måte. Alle systemer skal ha en ansvarlig systemeier. Systemeier skal sørge for at det er implementert tilgangkontroll for systemet, i tråd med virksomhetens generelle tilgangskontrollregime. Ansvaret ivaretas i større virksomheter normalt ved å benytte etablerte funksjoner i linjen. Systemeier er ansvarlig for å påse at det føres kontroll med tilganger i systemet gjennom regelmessig gjennomgang/ revisjon som sikrer at kun autoriserte brukere har tilgang og at tilganger er gitt i henhold til tjenstlig behov. I større virksomheter vil normalt slike gjennomganger utføres ved å benytte etablerte funksjoner i linjen. Systemeieren har ansvaret for å sørge for at nødvendige kontroller er innebygget i systemet og prosessen, for eksempel, sporbarhet og etterprøvbarhet. 6
3 Tekniske tiltak 2.5 Nærmeste leder Nærmeste leder skal sørge for at egne medarbeidere har riktige rettigheter i systemene. Lederen har ansvar for tildeling, fjerning og endring av brukers rettigheter, herunder at tilgang til ressurser fjernes når brukeren slutter eller går over i annen funksjon/stiling. Nærmeste leder har også en oppgave med å utføre regelmessig tilgangsrevisjon for egne medarbeidere, 2.6 Virksomhetens holdninger og sikkerhetskultur Virksomhetens holdninger og sikkerhetskultur er avgjørende for virksomhetens informasjonssikkerhet. Ledelsen bør derfor vektlegge tiltak for å informere og skape en god sikkerhetskultur og gode holdninger til sikring av og tilgang til informasjon. 3 Tekniske tiltak 3.1 Identitet i IT-systemer For oppfølging og kontroll av tilgang til informasjon og administrasjon av IT-ressurser er det nødvendig å knytte bruken opp mot personlige og unike brukeridentifikatorer. Det kan forenkle oppfølging og administrasjon dersom man i så stor utstrekning som mulig klarer å knytte den enkelte bruker til en og samme brukeridentifikator (brukerident) på tvers av systemer, for eksempel ved hjelp av katalogtjenester som Microsoft Active Directory og/eller andre LDAP (Lightweight Directory Access Protocol) -kataloger. Gjenbruk av den ansattes identitet (ansattident) kan være et godt utgangspunkt. Det anbefales å ha en gjennomtenkt standard for brukeridentifikator som skiller på egne ansatte, driftsbrukere, eksternt/ innleid personell samt brukere av virksomhetens eventuelle webbaserte tjenester på internett. Av hensyn til personvernet bør fødselsnummer ikke benyttes som identifikator. Eventuell bruk av fødselsnummer som identifikator må begrunnes særskilt. 7
3.2 Autentisering Brukeridentifikator og passord er per i dag mest utbredt for autentisering av brukere i interne IT-systemer. Dette betegnes som en enfaktor-løsning, hvor passordet er sikkerhetsfaktoren. Andre autentiseringsmekanismer er for eksempel tofaktorløsninger der passord kombineres med bruk av smartkort, engangspassord og biometri. Autentisering av bruker kan gjøres ved en eller flere av: noe bruker vet (f.eks. passord, PIN-kode) noe bruker har (f.eks. nøkkel, magnetstripekort) noe bruker er (biometrisk signatur) hvor brukeren befinner seg Fysiske tilgangsnøkler og biometrisk gjenkjennelse kan også benyttes sammen med passord. Ved biometrisk gjenkjennelse identifiseres brukeren på grunnlag personlige karaktertrekk som for eksempel stemme, fingeravtrykk og signatur; og er en Brukeridentifikator og ingen sikkerhetsfaktor. Ideelt sett må derfor Brukerident og biometrisk gjenkjennelse ikke brukes alene, men sammen med en av de andre nevnte sikkerhetsfaktorene. Sikkerhetsretningslinjene må gjøre kjent brukerens personlige ansvar for hemmeligholdelse av egne passord/- PIN-koder. Passord må ikke enkelt kunne gjettes eller assosieres med brukeren. Brukeren skal være ansvarlig for all bruk av IT-ressursene foretatt med brukerens brukeridentifikator. Den enkelte ressurs betydning for virksomheten avgjør hvilke krav som må settes til autentisering. Skifte av passord bør fremtvinges av systemet, men den enkelte bruker må også gis anledning til selv å endre passord etter behov. I sikkerhetsretningslinjene må det tas stilling til: passordlengde og innhold (tegnsammensetning) hvor ofte passord skal skiftes (endringsfrekvens) regler for gjenbruk av passord (eksempelvis antall generasjoner/tid før gjenbruk) hvor mange tegn som må være ulike for nytt og gammelt passord rutiner for automatisk nedkobling av tilgang til ressurser ved inaktivitet (f.eks. avlogging av bruker eller låsing av arbeidsstasjon) antall mislykkede autentiseringsforsøk som skal aksepteres med tilhørende sanksjoner (f.eks. sperring av brukeridentifikasjon). Graden av sikkerhet øker vanligvis ved passordets lengde og endringsfrekvens. Man skal imidlertid være oppmerksom på at for lange og kompliserte passord samt for hyppig endringsfrekvens lett kan føre til at brukeren må skrive ned passord for å være i stand til å huske det. Kravene bør tilpasses de rettigheter og tilganger brukerne har. Eksempelvis må det være strenge krav til passordlengde og endringsfrekvens for brukere med omfattende tilgang til sensitive ressurser. Spesielle sikringstiltak kan være bruk av engangspassord og/eller prosedyrer der passord oppbevart i forseglet konvolutt utkvitteres ved akutt behov. Dersom brukere har tilgang til operativsystemets kommandolinje og/eller andre systemkommandoer, kan dette innebære en høyere risiko fordi dette kan gi brukeren tilgang til å endre, slette eller kopiere data. I slike miljøer må det legges spesiell vekt på å begrense den tilgang til ressurser som kan oppnås gjennom direkte bruk av systemkommandoer. 8
3.3 Rollestyring og systemtilgang Tilgangen til IT-ressurser må styres ut fra prinsippet om at en medarbeider kun skal ha tilgang til de ressurser / systemer 2 vedkommende trenger for å utføre sine ordinære arbeidsoppgaver. Dette prinsippet kalles minste privilegiums prinsipp. Vellykket implementering av minste privilegiums prinsipp i en virksomhet krever meget god forståelse av virksomheten, risikobildet knyttet til den informasjonen som behandles, lover og regler som gir føringer for tilgangskontrollen og de ITsystemene virksomheten benytter. Ved implementering av tilgangskontroll i virksomheten, må en ha en praktisk tilnærming til hvordan minste privilegiums prinsipp best realiseres. Systematisk forståelse for risikobildet knyttet til informasjonen som behandles, forutsetter at virksomheten har et klassifiseringssystem for informasjon. Eksempler på informasjonsklasser i et slikt system kan være åpen informasjon og taushetsbelagt informasjon. Vi deler ofte opp tilgangskontroll i mandatory, discretionary og rollebasert. Rollebasert tilgangskontroll er etter hver blitt det mest vanlige. De ulike brukerne tildeles roller, for eksempel som selger, rådgiver eller IT-plattformdrift. Rollene kan også knyttes mot hvilke kunder man behandler, for eksempel kunder tilhørende spesielle kundesegmenter eller kunder i et geografisk område i landet. Ulike roller gis tilgang til den informasjonen som er nødvendig for å utføre aktuelle oppgaver basert på virksomhetens organisering og forretningsprosesser. Det kan også være nødvendig å gjennomføre organisasjonsmessige grep for å hindre for brede tilganger til spesielt sensitiv informasjon som utredninger om enkeltpersoners helsesituasjon. For eksempel ved å opprette spesialrådgiverfunksjoner som behandler denne type opplysningene i virksomheten. Omorganiseringer og /eller endring av virksomhetsprosesser kan medføre behov for å endre tilgangskontrollregimet i virksomheten. For å oppnå god intern kontroll bør man innrette seg slik at kritiske arbeidsoppgaver deles mellom to eller flere personer. Ved å begrense den enkeltes rettigheter, kan man sikre en slik ansvars- og arbeidsdeling (- på engelsk kjent som Segregation of duties ). Personene vil da kontrollere hverandre og på denne måten bidra til korrekt behandling. Det anbefales å etablere deling av kritiske arbeidsoppgaver der dette har praktisk betydning for sikring av virksomhetens verdier og der kostnaden ved en slik kontroll står i forhold til risiko og tapspotensial. Tilgangskontroller på et riktig nivå vil også være en beskyttelse for brukeren i en situasjon der det er mistanke om sikkerhetsbrudd eller det kan gi en viss beskyttelse der noen ønsker å misbruke brukerens rettigheter i kriminelle handlinger. Ved for eksempel å kryss-sjekke brukerens aktivitetslogg mot bygningens adgangssystem kan man ekskludere en bruker som ikke fysisk var tilstede dersom aktiviteten spores tilbake til en spesiell arbeidsstasjon eller arbeidsplass. 3 3.4 Aktivitetsoppfølging (logging og oppfølging) Her beskrives krav til sikkerhetslogger på brukernivå. I tillegg vil det i de fleste systemer være krav til driftslogging blant annet til bruk ved feilsøking i forbindelse med driftshendelser. Så langt det er mulig, skal det være sporing på brukernivå gjennom alle lag i systemet. Systemet skal ha godkjent referanseklokke for å sikre riktig tid i loggen. Det skal for alle vesentlige hendelser være mulig å identifisere tidspunkt, bruker og hva som er utført. Både vellykkede og mislykkede påloggingsforsøk, leseoperasjoner og endringer skal logges. Loggen skal gi tilstrekkelig informasjon til å følge opp eventuelle sikkerhetsbrudd. Logger skal oppbevares i henhold til krav i lover og forskrifter. Både minste og lengste oppbevaringstid av logger skal normalt fastsettes. Loggene skal revideres jevnlig og unormale hendelser skal rapporteres og følges opp. Sikkerhetsrelaterte hendelser eller brudd bør saksbehandles i et eget hendelsessystem hvor kun høyt betrodde ansatte har tilgang. Når man implementerer loggfunksjonalitet, må man ta høyde for den lasten logging av hendelser påfører systemet når det kommer i drift. Virksomheten må sørge for å etablere tilstrekkelige mekanismer for å sikre integritet i loggen. Sekvensnummerering av logghendelser, signering av loggen og/eller overføring til sikrere lagringsområder kan være aktuelle tilleggsmekanismer. 2 På engelsk omtales dette som Need to access -prinsippet som et alternativ til Need to know -prinsipp som vil gi større privilegier enn det som er ønskelig for enkelte brukere. 3 Se for eksempel NIST sin RBAC-site: http://csrc.nist.gov/groups/sns/rbac/ 9
Referanser ISACAs G38 Access Controls. Lov om rett til innsyn i dokument i offentleg verksemd (Offentleglova) IKT-forskriften (for finanssektoren) 4 Helseregisterloven med forskrifter (for helsesektoren) COBIT versjon 4.1 Cobit Assurance Guide Cobit Control Practices Enterprise Value: Governance of IT Investments; The Val IT Framework 2.0 ITIL versjon 3 NS ISO 17799 og NS ISO 27001 NS ISO 9001 Software Engineering Institute: Capability Maturity Model CISA Review Manual 2009 Helhetlig risikostyring et integrert rammeverk COSO 2 Sikkerhetsloven med forskrifter Aksjeloven med forskrifter Personopplysningsloven med forskrifter Bokføringsloven med forskrifter Økonomireglementet i staten Hvitvaskingsloven med forskrifter Kapitalkravsforskriften Høringsnotat Om endring av internkontrollforskriften av 20. juni 1997 nr. 1057, Kredittilsynet COSO (the Committee of Sponsoring Organisations of the Treadway Commission) sitt rammeverk COSO ERM 4 4 Hovedprinsippet er offentlighet, men at restriksjoner kan settes. 10
ISACA-medlemmer som har deltatt i arbeidet: Åshild Johnsen,Kredittilsynet, CISA Andrew Aus. Ernst & Young AS, CISA, CITP, MBCS, MIBC, ARCS Jan T. Bjørnsen, Ageto Råggivning, CISA, CISM, CGEIT Kåre Prestun, Mnemonic, CISSP, CISA, PCI-QSAP, PCI-PA-QSAP Eirik Thormodsrud, Ernst & Young AS, CISA, GSOC Kjetil Kvernflaten, CIBER Norge AS, CISA, ITIL Service Manager Camilla Olsen, FFI, CISA Liubov Kokorina, Oslo kommunerevisjon Gaute Brynildsen, DnB NOR ASA, CISA Øivind Høiem, Statoil ASA, CISA Mari Grini, SpareBank 1, CISA, CISSP