Måling av informasjonssikkerhet ISO/IEC 27004:2016 Håkon Styri Seniorrådgiver Oslo, 2017-11-29
Disposisjon Hvorfor måler vi, og hva måler vi? Måling av styringssystemet Hvordan beskrive en måling? Måling av informasjonssikkerhet generelt Måling av sikkerhetskultur i en virksomhet
«Inspection does not improve the quality, nor guarantee quality. Inspection is too late. The quality, good or bad, is already in the product.» (W. Edwards Deming) «You can not inspect quality into a product.»
Hvorfor måler vi? Vi måler for å redusere usikkerhet. Hva måler vi? Arbeidet med å iverksette et sikkerhetstiltak. Kostnad for å opprettholde sikkerhetstiltaket over tid. Formålseffektivitet. Hvor stort bidrag gir sikkerhetstiltaket for reduksjon av total risiko?
Tips fra prosjektarbeidets verden En målsetning bør være SMART Spesifikk (konkret) Målbar Akseptert Realistisk Tidsbestemt
ISO/IEC 27004:2016 - innledning Standarden tar utgangspunkt i ISO/IEC 27001:2013 clause 9.1 «Monitoring, measurement, analysis and evaluation». 9.1 a) What to monitor and measure 9.1 c) When to monitor and measure 9.1 e) When the results should be analysed and evaluated 9.1 d) Who shall monitor and measure 9.1 f) Who shall analyse and evaluate the results 9.1 b) Monitoring, measurement, analysis and evaluation methods
ISO/27004:2016 hva kan overvåkes? Implementering av ISMSprosesser Hendelseshåndtering Sårbarhetsstyring Konfigurasjonsstyring Sikkerhetsforståelse og opplæring Logging av tilgangskontroll og andre avvik/hendelser Revisjonsaktiviteter Risikovurdering Risikohåndtering Risikostyring hos tredjepart Virksomhetskontinuitetsstyring Styring av fysisk sikkerhet Systemovervåking
Eksempler på attributter som kan måles I hvor stor grad reduserer et sikkerhetstiltak sannsynligheten for en hendelse I hvor stor grad reduserer et sikkerhetstiltak konsekvensen av en hendelse Hvor høy frekvens av hendelser kan et sikkerhetstiltak klare før effekten blir dårligere eller tiltaket slutter å virke? Hvor lang tid tar det fra en hendelse inntreffer til et sikkerhetstiltak detekterer hendelsen?
Måleprosessen overordnet beskrivelse Identifiser hvilken informasjon vi ønsker å få frem (informasjonsbehov) Beskriv måleaktiviteter (datakilder) som er nødvendig for å fremskaffe denne informasjonen Etabler prosedyrer Overvåk og utfør målinger Analyser resultater (målinger -> informasjon) Evaluer informasjonen (opp mot målsetninger)
Utfordring ved målinger Vær oppmerksom på datakilder som brukes til flere formål kan samles inn (observeres, registreres, e.l.) en gang for å brukes til flere formål (til å dekke flere informasjonsbehov). Ikke utfør målinger for målingenes skyld, eller i håp om at opplysningene kanskje kan komme til nytte.
Modellen som brukes i ISO/IEC 27004:2016 Start med informasjonsbehov Hva kan måles? Hvilke datakilder er relevante? Hvilke enkeltmålinger kan defineres for overvåking? Hvordan skal målingene analyseres? Kilde: ISO/IEC 27004:2016 Kriterier for evaluering
Eksempel på beskrivelse Identifikasjon av måle-informasjon (Measure-ID) Beskrivelse av informasjonsbehov: hva er det informasjonen bidrar med (hvorfor måler vi dette)? Hva slags måling er dette? (Utsagn som angir f.eks. prosentandel, frekvens, gjennomsnittsverdi, tallverdi) Formel eller utregningsmetode. Målsetning eller forventet resultat. Hvor ofte skal målingen gjennomføres? Hvem skal utføre måling, analyse og vurdering? Hvem eier informasjonen? Hvilke datakilder skal eller kan benyttes? På hvilket format skal resultatet rapporteres?
Referanser til nyttige standarder / bøker ISO/IEC 27004:2016 Information Security Management Monitoring, measurement, analysis and evaluation ISO/TR 10017:2003 Guidance on statistical techniques for ISO 9001:2000 ISO/IEC 15939:2017 Systems and software engineering Measurement process NIST Special Publication 800-55, Revision 1 Performance Measurement Guide for Information Security, July 2008. Aligning Organizations Through Measurement: The GQM+Strategies Approach. Springer 2014.