Hvordan styre informasjonssikkerhet i et dynamisk trusselbilde? Tommy Molnes Security Manager Digital Sikkerhet AS
Agenda Hva skal vi beskytte? Hvilke krav stilles? Forskrift om beredskap i kraftforsyningen Hvordan konsolidere krav til et styringssystem? Standarder og ressurser
Sikkerhetstiltak Hva skal vi beskytte? Trusler Sikre at informasjon/objekt er korrekt og fullstendig Risiko Sikkerhetstiltak Informasjon/ Objekt Integritet Tilgjengelighet Konfidensialitet Sikkerhetstiltak Sikkerhetstiltak Sikre at informasjon/objekt bare er tilgjengelig for de som skal ha tilgang Sårbarheter Sikre at informasjon/objekt er tilgjengelig innenfor de krav som er satt
Hvilke krav stilles til el-forsyningen Sikkerhetsarbeid er 80% organisasjon og 20% teknologi Lovmessige krav og hjemler Teknisk Policyer Sikkerhetsarbeid Retningslinjer Organisasjon Revisjon Utdanning
Lovmessige krav og hjemler Lovmessige krav og hjemler Policyer Energiloven Energilovforskriften Beredskapsforskriften for kraftforsyningen Sikkerhetsloven Retningslinjer Revisjon Bevisstgjøring Utdanning sluttbruker
Policyer Lovmessige krav og hjemler Policyer 6 4. Særlige krav til driftskontrollsystemer ( ) Både for utformingen av driftskontrollsystemet og for driften av dette, bør det utformes en samlet sikkerhetspolicy med beskrivelse av risiko, krav, tiltak og lignende. ( ) Retningslinjer Revisjon Utdanning Eksempler: Sikkerhetspolicy/Sikkerhetskonsept Policy for bruk av eksterne lagringsmedier Policy for bruk av internett
Retningslinjer Lovmessige krav og hjemler Policyer Retningslinjer Revisjon Bevisstgjøring Utdanning sluttbruker 6 2. Beskyttelse av informasjon ( ) Det skal utarbeides og implementeres sikkerhetsinstruks og gjennomføres tiltak og rutiner ( ) 6 4. Særlige krav til driftskontrollsystemer ( ) Alle enheter i KBO skal til en hver tid ha oppdatert dokumentasjon over de eksisterende og planlagte driftskontrollsystemer( ) Kan f.eks. omfatte: Sikker bruk av driftskontrollsystemer Konfigurasjonskontroll av informasjonssystemer Håndtering av lagringsmedier Sikring av objekter
Revisjon Lovmessige krav og hjemler Policyer Retningslinjer Revisjon 6 2. Beskyttelse av informasjon (...)Enheten skal gjennomføre tiltak og rutiner for å sikre at beskyttelsen er effektiv. Dette kan være i form av: Rutiner for rapportering av sikkerhetsbrudd/ sikkerhetstruende hendelser og behandling av slike rapporter Periodiske egenevalueringer Uavhengige, eksterne gjennomganger Interne revisjoner ( ) Bevisstgjøring Utdanning sluttbruker
Utdanning Lovmessige krav og hjemler Policyer Retningslinjer 3 2. Kompetanse ( ) Alle enheter i KBO skal ha personell med den kompetanse som kreves i ulike funksjoner for å kunne gjennomføre oppgaver i forbindelser med ulykker, skader og andre ekstraordinære situasjoner på en sikker og effektiv måte ( ) Revisjon Bevisstgjøring Utdanning sluttbruker
Teknisk Teknisk 6 4. Særlige krav til driftskontrollsystemer ( ) b) Tilgangskontroll Alle driftskontrollsystemer skal ha kontrollordninger som effektivt beskytter mot intern og ekstern uautorisert fysisk og elektronisk tilgang og spredning av ondsinnet programvare og lignende. ( ) Eksempel: Brannvegger, adgangskontrollsystemer, kameraovervåkning, nettverkssensorer, spamfiltre etc.
Kvalitetssystem 1 2. Kvalitetssystem Alle enheter i KBO skal ha et kvalitetssystem som dokumenterer at kravene i denne forskriften er oppfylt. Systemet skal inneholde opplysninger og dokumentasjon som er nødvendig for a gjennomføre tilsyn. Systemet skal gjenspeile faktisk tilstand og dette skal kunne kontrolleres.
Art of War 不 知 己, 每 戰 必 殆 If you do not know your enemies nor yourself, you will be imperiled in every single battle; 不 知 彼 而 知 己, 一 勝 一 負 if you do not know your enemies but do know yourself, you will win one and lose one; 知 彼 知 己, 百 戰 不 殆 if you know your enemies and know yourself, you will not be imperiled in a hundred battles. - Sun Tzu 600 f.kr
Lær deg selv å kjenne Er ledelsen med? Utarbeide sikkerhetspolicy Kommunisere ledelsens mål og behov for sikkerhet Rammeverk for informasjonssikkerhet Hva er akseptabel risiko? Identifiserer roller og ansvar
Lær deg selv å kjenne Identifisere og verdivurdere forretningskritiske prosesser, funksjoner og data Gjennomføre sårbarhetsanalyse på virksomhetens verdier (assets) Hvilke iboende sårbarheter har mine assets? Hvilken konsekvens vil et fravær medføre?
Lær din fiende å kjenne Kompetanse i egen organisasjon Kjenne til hvilke trusler virksomheten står ovenfor Gjennomføre risikoanalyse Hva er sannsynligheten for at en gitt hendelse inntreffer? Hvilken risiko står mine assets ovenfor?
Risikostyring Vi kjenner oss selv og vi «kjenner» vår fiende Utarbeide tiltak for å imøtekomme identifisert risiko Eksempel på kategorisering av tiltak: Tekniske Organisasjonsmessige Forsikringsmessige Kompetanse Risikoanalyser bør som minimum gjennomføres årlig
Sikkerhetsegenskaper Sikkerhetstiltak Informasjonstilstander Sikkerhetsegenskaper Informasjonstilstander Sikkerhetstiltak Policy & prosedyrer Personell Teknologi
Dynamisk styringsprosess Planlegging Overordnet sikkerhetspolitikk Risiko- og sårbarhetsanalyse Revisjon Identifisere forbedringsbehov Korrigerende tiltak Implementasjon Sikkerhetstiltak Policy og Retningslinjer Verifikasjon Monitorering Oppfølging og evaluering
Kjente standarder Man ma ikke finne opp hjulet pa nytt ISO 27000 COBIT (ISACA) Ressurser/ malverk: Nasjonal Sikkerhetsmyndighet (NSM) Veiledninger ift sikkerhetsloven Norsk Senter for Informasjonssikkerhet (NorSIS) Veiledninger ift best practice
Avdeling Oslo Digital Sikkerhet AS Fornebuveien 31 1366 Lysaker Kontakt: Telefon : +47 69 88 55 90 Faks : +47 69 88 37 71 E-Post : firmapost@disi.no