Hvordan styre informasjonssikkerhet i et dynamisk trusselbilde? Tommy Molnes Security Manager Digital Sikkerhet AS

Hvordan styre informasjonssikkerhet i et dynamisk trusselbilde? Tommy Molnes Security Manager Digital Sikkerhet AS

Agenda Hva skal vi beskytte? Hvilke krav stilles? Forskrift om beredskap i kraftforsyningen Hvordan konsolidere krav til et styringssystem? Standarder og ressurser

Sikkerhetstiltak Hva skal vi beskytte? Trusler Sikre at informasjon/objekt er korrekt og fullstendig Risiko Sikkerhetstiltak Informasjon/ Objekt Integritet Tilgjengelighet Konfidensialitet Sikkerhetstiltak Sikkerhetstiltak Sikre at informasjon/objekt bare er tilgjengelig for de som skal ha tilgang Sårbarheter Sikre at informasjon/objekt er tilgjengelig innenfor de krav som er satt

Hvilke krav stilles til el-forsyningen Sikkerhetsarbeid er 80% organisasjon og 20% teknologi Lovmessige krav og hjemler Teknisk Policyer Sikkerhetsarbeid Retningslinjer Organisasjon Revisjon Utdanning

Lovmessige krav og hjemler Lovmessige krav og hjemler Policyer Energiloven Energilovforskriften Beredskapsforskriften for kraftforsyningen Sikkerhetsloven Retningslinjer Revisjon Bevisstgjøring Utdanning sluttbruker

Policyer Lovmessige krav og hjemler Policyer 6 4. Særlige krav til driftskontrollsystemer ( ) Både for utformingen av driftskontrollsystemet og for driften av dette, bør det utformes en samlet sikkerhetspolicy med beskrivelse av risiko, krav, tiltak og lignende. ( ) Retningslinjer Revisjon Utdanning Eksempler: Sikkerhetspolicy/Sikkerhetskonsept Policy for bruk av eksterne lagringsmedier Policy for bruk av internett

Retningslinjer Lovmessige krav og hjemler Policyer Retningslinjer Revisjon Bevisstgjøring Utdanning sluttbruker 6 2. Beskyttelse av informasjon ( ) Det skal utarbeides og implementeres sikkerhetsinstruks og gjennomføres tiltak og rutiner ( ) 6 4. Særlige krav til driftskontrollsystemer ( ) Alle enheter i KBO skal til en hver tid ha oppdatert dokumentasjon over de eksisterende og planlagte driftskontrollsystemer( ) Kan f.eks. omfatte: Sikker bruk av driftskontrollsystemer Konfigurasjonskontroll av informasjonssystemer Håndtering av lagringsmedier Sikring av objekter

Revisjon Lovmessige krav og hjemler Policyer Retningslinjer Revisjon 6 2. Beskyttelse av informasjon (...)Enheten skal gjennomføre tiltak og rutiner for å sikre at beskyttelsen er effektiv. Dette kan være i form av: Rutiner for rapportering av sikkerhetsbrudd/ sikkerhetstruende hendelser og behandling av slike rapporter Periodiske egenevalueringer Uavhengige, eksterne gjennomganger Interne revisjoner ( ) Bevisstgjøring Utdanning sluttbruker

Utdanning Lovmessige krav og hjemler Policyer Retningslinjer 3 2. Kompetanse ( ) Alle enheter i KBO skal ha personell med den kompetanse som kreves i ulike funksjoner for å kunne gjennomføre oppgaver i forbindelser med ulykker, skader og andre ekstraordinære situasjoner på en sikker og effektiv måte ( ) Revisjon Bevisstgjøring Utdanning sluttbruker

Teknisk Teknisk 6 4. Særlige krav til driftskontrollsystemer ( ) b) Tilgangskontroll Alle driftskontrollsystemer skal ha kontrollordninger som effektivt beskytter mot intern og ekstern uautorisert fysisk og elektronisk tilgang og spredning av ondsinnet programvare og lignende. ( ) Eksempel: Brannvegger, adgangskontrollsystemer, kameraovervåkning, nettverkssensorer, spamfiltre etc.

Kvalitetssystem 1 2. Kvalitetssystem Alle enheter i KBO skal ha et kvalitetssystem som dokumenterer at kravene i denne forskriften er oppfylt. Systemet skal inneholde opplysninger og dokumentasjon som er nødvendig for a gjennomføre tilsyn. Systemet skal gjenspeile faktisk tilstand og dette skal kunne kontrolleres.

Art of War 不 知 己, 每 戰 必 殆 If you do not know your enemies nor yourself, you will be imperiled in every single battle; 不 知 彼 而 知 己, 一 勝 一 負 if you do not know your enemies but do know yourself, you will win one and lose one; 知 彼 知 己, 百 戰 不 殆 if you know your enemies and know yourself, you will not be imperiled in a hundred battles. - Sun Tzu 600 f.kr

Lær deg selv å kjenne Er ledelsen med? Utarbeide sikkerhetspolicy Kommunisere ledelsens mål og behov for sikkerhet Rammeverk for informasjonssikkerhet Hva er akseptabel risiko? Identifiserer roller og ansvar

Lær deg selv å kjenne Identifisere og verdivurdere forretningskritiske prosesser, funksjoner og data Gjennomføre sårbarhetsanalyse på virksomhetens verdier (assets) Hvilke iboende sårbarheter har mine assets? Hvilken konsekvens vil et fravær medføre?

Lær din fiende å kjenne Kompetanse i egen organisasjon Kjenne til hvilke trusler virksomheten står ovenfor Gjennomføre risikoanalyse Hva er sannsynligheten for at en gitt hendelse inntreffer? Hvilken risiko står mine assets ovenfor?

Risikostyring Vi kjenner oss selv og vi «kjenner» vår fiende Utarbeide tiltak for å imøtekomme identifisert risiko Eksempel på kategorisering av tiltak: Tekniske Organisasjonsmessige Forsikringsmessige Kompetanse Risikoanalyser bør som minimum gjennomføres årlig

Sikkerhetsegenskaper Sikkerhetstiltak Informasjonstilstander Sikkerhetsegenskaper Informasjonstilstander Sikkerhetstiltak Policy & prosedyrer Personell Teknologi

Dynamisk styringsprosess Planlegging Overordnet sikkerhetspolitikk Risiko- og sårbarhetsanalyse Revisjon Identifisere forbedringsbehov Korrigerende tiltak Implementasjon Sikkerhetstiltak Policy og Retningslinjer Verifikasjon Monitorering Oppfølging og evaluering

Kjente standarder Man ma ikke finne opp hjulet pa nytt ISO 27000 COBIT (ISACA) Ressurser/ malverk: Nasjonal Sikkerhetsmyndighet (NSM) Veiledninger ift sikkerhetsloven Norsk Senter for Informasjonssikkerhet (NorSIS) Veiledninger ift best practice

Avdeling Oslo Digital Sikkerhet AS Fornebuveien 31 1366 Lysaker Kontakt: Telefon : +47 69 88 55 90 Faks : +47 69 88 37 71 E-Post : firmapost@disi.no