SecureAware Policy Manual Manualen beskriver bruken av SecureAware versjon 3 Dokumentet oppdatert: November 2010 Om dette dokumentet Dette dokumentet er en veiledning i bruken av policymodulen i SecureAware. Dokumentet gir en detaljert beskrivelse av modulen og dennes funksjoner, og har som formål å lede deg gjennom arbeidet med å bygge opp en it-sikkerhetspolicy fra bunnen av.
Innholdsfortegnelse It-sikkerhetshåndbok i SecureAware...3 Opprett din it-sikkerhetshåndbok...4 Policyguiden (veileder)...4 Administrasjon av it-sikkerhetshåndboken...5 Overordnet policy...8 Regler...10 Sortering av regler...10 Redigering av regelsettet...10 Søk & erstatt i regler...14 Bruk av standardmapper...15 Prosedyrer...17 Opprettelse av prosedyrer...17 Knytt prosedyrer til regler...19 Hvordan tilknytte dokumenter og lenker...19 Strategi...21 Hvordan ser sluttbrukerne it-sikkerhetshåndboken?...22 Endring av navn på fanene...22 Hvem har lest it-sikkerhetshåndboken?...23 Basisadministrasjon...24 Regler...25 Regelstrukturer...28 Maler...29 Administrasjon av it-sikkerhetshåndboken...31 Kopiering av en it-sikkerhetshåndbok (import og eksport)...33 Logging av endringer...34 Kontaktinformasjon...36 2
It-sikkerhetshåndbok i SecureAware Policymodulen i SecureAware består av tre nivåer. Det øverste nivået er en overordnet policy/strategidokument, som benyttes til å beskrive en organisasjons informasjonssikkerhetspolicy, og vises i SecureAware som den øverste delen av en tredelt policy-pyramide. Det mellomste nivået gir muligheten til å beskrive hvilke regler (Rules) organisasjonens itsikkerhetshåndbok inneholder. F.eks. Vår bedrift skal foreta daglig sikkerhetskopi av data på serverne. Det nederste nivået er prosedyrene (Procedures), hvor det er mulig å definere hvordan reglene skal overholdes. F.eks. Slik foretar vi sikkerhetskopi av data på våre servere. Hvis du har utvidet lisens til policymodulen, har din policy et fjerde nivå. Dette kan navngis etter behov, og kan benyttes for eksempel til beskrivelse av ansvar, prinsipper eller annet innhold som tilhører policyen, men som ikke ser ut til å passe andre steder. SecureAware inneholder en rekke standardmaler som du kan bruke som utgangspunkt for å utarbeide din organisasjons informasjonssikkerhetshåndbok. Du kan også velge å definere dine egne maler. 3
Opprett din it-sikkerhetshåndbok Policy-pyramiden er vist øverst til høyre i skjermbildet, som ikon nr. 2 fra venstre. Det finnes også en snarvei til policyen på startsiden Min SecureAware. Policyguiden (veileder) Opprettelse av en ny it-sikkerhetspolicy kan gjøres med hjelp av policyguiden, som trinn for trinn leder deg gjennom det innledende arbeidet med opprettelsen av policyen. Ønsker du flere redigeringsmuligheter, klikker du på Gå direkte til hovedmenyen for policyadministrasjon. Policy-styringen beskrives i neste kapittel. Policyguiden kan ignoreres fullstendig ved å merke av i boksen Ikke start med denne hurtigveiledningen (kan aktiveres igjen fra hovedmenyen). Klikk på Opprett en ny it-sikkerhetshåndbok og tast inn et navn til håndboken.velg deretter den malen som håndboken skal baseres på (detaljert beskrevet på s. 5). Når malen er valgt, klikk på Opprett. En policy i SecureAware består av en overordnet policy, et sett med regler, et antall prosedyrer og evt. et fjerde nivå. Fra policyguiden har du adgang til å redigere disse delene. Les mer om redigering i senere avsnitt: Du kan til enhver tid se dine policydeler ved å klikke på Vis policy. Den valgte policydelen vil da vises i PDF, slik den ser ut på gitt tidspunkt. Klikker du på Aktiver policy, vil policyen bli aktiv og kan da benyttes av brukerne. 4
Administrasjon av it-sikkerhetshåndboken Når du går direkte til policyadministrasjon, vil du få se skjermbildet nedenfor. Det er her du senere vil styre og opprette alle policyer, regler og prosedyrer i SecureAware. For å opprette en ny policy herfra, klikker du på Opprett en ny it-sikkerhetshåndbok. Du vil da få vist skjermbildet nedenfor. Her gir du håndboken et navn og en beskrivelse. Versjonsnummeret vil i utgangspunktet være 1.0, men dette kan du selvfølgelig endre dersom du vil opprette en oppdatert versjon. Klikk deretter på Oppdater, for å gå videre. Du får da muligheten til å opprette din egen it-sikkerhetshåndbok med en standard som mal, eller benytte en tom mal og på den måten definere din egen struktur. Hvis din bedrift må overholde kravene i ISO27002:2005, PCI DSS eller deler av disse standardene, er det en god idé å benytte disse malene. Andre maler følger ikke standardenes struktur, men inneholder de samme reglene. 5
Når malen er valgt, opprettes håndboken ved å klikke på Opprett. I dette eksemplet er det opprettet en policy som har fått navnet It-sikkerhetshåndbok. Pyramiden vises nå i farger, noe som indikerer at håndboken ikke er låst og dermed kan redigeres. Den grønne viser at den gjeldende it-sikkerhetshåndboken er valgt for redigering. Dersom det er opprettet flere it-sikkerhetshåndbøker, vil de andre være merket med en grå pil. Alle endringer du foretar, vil alltid kun ha innvirkning på den itsikkerhetshåndboken som er merket med grønt. For å endre en annen it-sikkerhetshåndbok, klikker du på pilen ved siden av denne, som da vil endre farge til grønn og angi redigeringsmodus. 6
Den grønne haken betyr at it-sikkerhetshåndboken er aktiv. Det er altså denne itsikkerhetshåndbok dine sluttbrukere vil få presentert når de logger på SecureAware og velger fanen Policy. Sluttbrukermenyen Som standard vil den først opprettede it-sikkerhetshåndboken alltid være den aktive. For å aktivere en it-sikkerhetspolicy, markerer du den slik at den kommer i redigeringsmodus. Deretter klikker du på Aktiver på høyre side i skjermbildet. 7
Overordnet policy Når du klikker på Policy, vil du se hvordan den overordnede policyen (foreløpig) er bygget opp. Du kan her velge å slette deler av policyen ved å klikke på det røde krysset eller flere deler ved å klikke på det grønne sjekkmerket, eller bare deaktivere en. Du kan også endre de ulike delenes rekkefølge ved hjelp av de oransje pilene. Hvis du vil legge til avsnitt, klikker du på Opprett nytt avsnitt i Policy. Har du valgt en tom mal, vil det ikke finnes forhåndsdefinerte policydeler, og du må derfor selv opprette hele policyen. Du kan få en utskrift av din policy i PDF-format ved å klikke på ikonet. For å redigere i policyens avsnitt, klikker du på blyanten. Du vil da få se et skjermbilde med den teksten som tilhører den valgte policydelen. Som minimum må du skrive inn bedriftens navn for hver av delene, da malen benytter det fiktive firmanavnet ABC. 8
Du kan også endre overskriften eller formatere teksten ved hjelp av redigeringsverktøyene på bunnen av bildet. Når teksten er redigert, klikker du på Oppdater. Hvis du angrer på dine rettelser, klikker du Annuller. Nederst i skjermbildet kan du søke etter og lage lenke til regler som er relevante i forhold til nettopp denne delen av den overordnede policyen. Hvis du har et fjerde nivå i it-sikkerhetshåndboken, kan det også knyttes lenke til tekstavsnitt i denne. 9
Regler Selve reglene som er knyttet til en it-sikkerhetshåndbok, kan styres ved å klikke på Regler. Reglene beskriver, i motsetning til policyens generelle målsetninger, hva man kan og ikke kan gjøre i bedriften. Som vist nedenfor, er reglene delt inn i kategorier (vist som mapper). I dette eksemplet er det brukt en ISO 27002-mal til policyen It-sikkerhetshåndbok. Derfor er kategoriene (eller avsnittene om man vil) satt opp og nummerert på samme måte som i denne standarden. Du kan da endre, slette og tilføye regler og kategorier i din policy. Sortering av regler I øverste venstre hjørne finnes en sorteringsmeny:. Som standard er reglene vist etter hvilken sikkerhetskategori de tilhører, men du kan også få dem vist sortert etter emne ved å klikke på. Hvis du ønsker å se reglene inndelt etter hvilken målgruppe (sluttbruker/it-administrator/leder) reglene henvender seg til, må du klikke på. Klikker du på, vises reglene etter hvilke standarder de er tilknyttet. Ikonet sorterer alfabetisk, mens ikonet gjør det mulig å søke i reglene. Redigering av regelsettet I øverste høyre hjørne kan du se 4 redigerings-ikoner. Du kan komme tilbake til hovedmenyen for policyadministrasjon ved hjelp av. PDF-ikonet benyttes til standardmapper, noe som beskrives i et senere avsnitt. Ved å klikke på for å legge en målgruppe til ALLE regler i din it-sikkerhetspolicy., får du muligheten til å opprette en ny kategori. Klikk på 10
Oppretting av kategorier De kategoriene som vises i en policymal, kan slettes eller endres etter behov. Du kan også lage nye kategorier og underkategorier og sette disse inn i strukturen. Ønsker du å lage en ny kategori, klikker du på. Du kan da taste inn navnet på den nye kategorien og evt. gi den en beskrivelse. Dersom din nye kategori skal være en underkategori til en annen, velges denne ved å klikke på nedtrekksmenyen ved siden av Tilhører kategori. Klikk til slutt på Opprett. Når kategorien er opprettet, kan du flytte den opp og ned i policyen innenfor kategorier på samme nivå. Oppretting av regler Ved å klikke på brettes en kategori ut, og du kan se de underliggende kategoriene med tilhørende regler. Nedenfor vises regelen Overordnet risikovurdering brettet ut, slik at man kan se alternativene, hvor noen er krysset av, mens andre ikke er det. De alternativene som er krysset av, er de som vil bli tatt med i it-sikkerhetspolicyen. Du kan fjerne eller legge til eksisterende alternativer ved å krysse av for disse. 11
Dersom du ønsker å skrive dine egne, eller du vil redigere ordlyden på de eksisterende alternativene, klikker du på, slik at regelen (her: Overordnet risikovurdering) kommer i redigeringsmodus. Her kan du endre ordlyden ved å klikke på ved siden av de enkelte alternativene, eller du kan slette dem ved å klikke på. Vær oppmerksom på at du ikke trenger å slette et alternativ for å velge den bort som en regel. Det holder å deaktivere den. For å lage et nytt alternativ, klikker du på Legg til og skriver teksten inn i redigeringsruten. Klikk deretter på OK. Du kan på samme måte endre navnet på regelen, skrive en anmerkning til den eller bestemme hvilken kategori den skal tilhøre. 12
Lenker til andre policydeler For å lenke til andre deler av it-sikkerhetshåndboken, må du klikke på Legg til, deretter velge hva det skal lenkes til og så klikke på OK. Dette betyr at sluttbrukerne, når denne regelen vises, vil kunne klikke på en lenke og bli overført til den tilknyttede del. Målgrupper og emner På samme måte kan du gi regelen et emne eller en målgruppe. Dette gjør det enklere for sluttbrukeren å finne de reglene som er relevante for nettopp dem (målgruppe), samt enklere å søke på det emneområdet som regelen sorterer under. Klikk på for å legge en målgruppe til ALLE regler i din it-sikkerhetspolicy. Vær oppmerksom på at når du legger en målgruppe til samtlige regler, kan dette ha en innvirkning på andre policyer i SecureAware som benytter samme regler. Legge en regel til en kategori Hvis du vil legge regler til en kategori, starter du med å markere den kategorien regelen skal tilhøre. Du må da finne en passende regel. Dette gjør du ved å klikke på i øverste høyre hjørne. Dette gir deg muligheten til å søke etter eksisterende regler. Du behøver ikke skrive hele navnet på regelen for å søke etter den. Hvis du får flere regler frem når du søker, klikker du på for å legge til regelen. Når du har funnet den riktige regelen, markerer du den i oversikten og krysser av de reglene du vil bruke i din policy. Husk å klikke på Oppdater for å lagre dine endringer. Dersom du ønsker å lage en ny regel, markerer du igjen den kategorien regelen skal knyttes til og klikker på. Da får du muligheten til å gi den et navn og beskrive regelen. Når du deretter klikker 13
på Opprett er regelen lagt til, og du kan da redigere den ved å klikke på. Dette foregår på samme måte som med de forhåndsdefinerte reglene (se avsnittet Opprettelse av regler ovenfor). Søk & erstatt i regler Som nevnt tidligere kan du gjøre endringer i regelen ved å finne den aktuelle regelen og åpne den i redigeringsmodus. Av og til vil det imidlertid være enklere å benytte Søk & Erstatt-funksjonen. Dette kan for eksempel være dersom du ønsker at reglene i bedriftens policy skal inneholde bedriftens navn, i stedet for bare å referere til "bedriften" slik: Bedriften har muligheten til å filtrere og begrense Internett-adgang. Som kan endres til: ABC bedrift har muligheten til å filtrere og begrense Internett-adgang. Start med å velge Sikkerhetsobjekter i Administrasjon-delen. Velg deretter ikonet i øverste høyre hjørne. Du kan nå velge hvilket ord som skal erstattes, og hvilket ord det skal erstattes med. Du kan også velge om det skal skilles mellom store og små bokstaver. Klikk Start erstatt for å begynne. 14
Du kan da velge om du vil bytte alle forekomster av søkeordet på én gang, eller om du vil se forslaget først. Det siste kan som regel anbefales, da bøyninger av et ord kan gi problemer dersom du velger Erstatt alle. Bruk av standardmapper Standardmapper benyttes til å få oversikt over hvordan din aktive it-sikkerhetshåndboks regelsett forholder seg til en gitt standard. Du kan altså få forslag til regler som gjør at din virksomhet i høyere grad lever opp til standarden. Fra regel-editoren får du adgang til denne funksjonen ved å klikke på PDF-ikonet lengst til høyre. Du velger da hvilken standard du ønsker å måle bedriftens policy opp mot. Du har valget mellom NS7799:2005, ISO27002 eller PCI DSS (Payment Card Industry Data Security Standard). Deretter velges Full rapport eller Mangelrapport (se beskrivelsene nedenfor), klikk så på OK. Du kan da se rapportens karakteristika. Klikk på Tilbake for å endre, Retur for å angre eller Vis rapport for å generere og se rapporten. Full rapport Hvis du velger en full rapport, vil du se samtlige avsnitt i den valgte standarden, etterfulgt av de reglene i bedriftens it-sikkerhetshåndbok som forholder seg til nettopp dette avsnittet. 15
Mangelrapport Velger du Mangelrapport, vil du nå få se en liste over de avsnittene i standarden som bedriftens itsikkerhetshåndbok ikke forholder seg til, samt forslag til hvilke regler du kan overveie å legge til i bedriftens policy. 16
Prosedyrer Når du har opprettet regler i it-sikkerhetshåndboken, kan du så knytte prosedyrer til reglene. Som standard er det ikke knyttet prosedyre-innhold til reglene, men det er imidlertid opprettet noen eksempler på hendelser hvor innhold kan tillegges, redigeres etter behov og knyttes til itsikkerhetshåndbokens regler. Prosedyrer beskriver hvordan reglene overholdes. F.eks. kan regelen Adgangskoder skal byttes etter maksimalt 90 dager tilknyttes en prosedyre som heter Slik bytter du adgangskode, og som inneholder teksten: På Windows må du trykke på tastene Ctrl-Alt-Del samtidig. Velg deretter "bytt adgangskode". Opprettelse av prosedyrer For å få adgang til prosedyremodulen, klikk på Prosedyrer Du vil da få adgang til følgende skjermbilde med standardprosedyrer: Du kan nå velge en allerede eksisterende prosedyre ved å klikke på Legg til en eksisterende prosedyre eller utarbeide din egen ved å klikke på Opprett en ny prosedyre. Hvis du velger sistnevnte, vil du først måtte gi navn til din nye prosedyre. 17
Klikk deretter på Opprett. Nå er prosedyren opprettet og vil vises i listen over eksisterende prosedyrer. Fremgangsmåten er den samme om du her vil velge en eksisterende prosedyre eller redigere i en prosedyre du selv har opprettet. Hvis du selv har navngitt en prosedyre eller du har valgt å redigere en allerede eksisterende prosedyre, vil du se skjermbildet nedenfor: Som utgangspunkt vises fanen Prosedyre, hvor du kan redigere følgende felt: Navn på Prosedyre, hvor navnet på prosedyren kan endres. Dette gjøres ved å klikke på. Prosedyrebeskrivelse, hvor du kan skrive inn en tekst som beskriver prosedyren. Aktiver Prosedyre, hvor du kan velge om prosedyren skal være aktiv og vises i itsikkerhetshåndboken. Som utgangspunkt er alle prosedyrer aktive. Utdannelseskategorier. Prosedyren kan her tilknyttes en utdannelseskategori, slik at den kan benyttes i et Awareness-program. Dette krever at du har lisens til Awareness-modulen. Dette velges ved å klikke på, velg så en utdannelseskategori i nedtrekksmenyen og klikk på OK. 18
Målgruppe. Prosedyren kan tilknyttes én eller flere målgrupper ved å klikke på, velg så en målgruppe i nedtrekksmenyen og klikk på OK. Som standard kan det velges mellom 3 forskjellige grupper: Sluttbruker, it-administrator og leder. Prosedyre-eier. Her kan man tilknytte en bruker som er ansvarlig for vedlikeholdet av den aktuelle prosedyren, dette gjøres ved å klikke på. Deretter kan du søke etter brukere ved hjelp av deres ID, navn eller e-post. Du kan naturligvis kun søke på brukere som allerede er registrert i SecureAware. Når du har valgt en bruker, klikker du på OK. Begrens adgang til disse roller: For å begrense adgangen til å se prosedyren til bestemte roller, klikker du på, velg så en målgruppe i nedtrekksmenyen og klikk på OK. Når du har redigert disse utdannelseskategoriene, kan du trykke på Retur for å komme tilbake til listen over prosedyrer, eller gå videre til de neste fanene. Knytt prosedyrer til regler Prosedyrene kan knyttes til bestemte regler. Klikker du på fanebladet Regler, kan du finne frem til det eller de sikkerhetsobjektene som prosedyren skal knyttes til. Hvordan tilknytte dokumenter og lenker Fanen Eksterne referanser gjør det mulig å lage lenke til eksterne dokumenter eller referanser som ligger i SecureAwares dokumentbase, og få dette vist som en lenke i prosedyren. For å referere til et dokument, må du finne dokumentet i mappestrukturen og klikke på det. Du kan også laste opp et nytt dokument og lage lenke til dette. I feltet Referansenavn taster du inn navnet på referansen slik du ønsker det vist i prosedyren. Referansen kan etableres til forskjellige punkt i bedriftens infrastruktur, f.eks. via http/https, ftp, og 19
direkte til felles drivere (fileshares). Lenker til fileshares skal tastes inn med følgende format: \\sharenavn\folder\folder\dokumentnavn.doc. Man kan ikke angi lenker til lokale filer, f.eks. c:\testfil.txt. Du kan redigere i en allerede opprettet referanse ved å klikke på, eller slette en referanse ved å klikke på. Klikk til slutt på Oppdater for å lagre og vende tilbake til prosedyreadministratoren. 20
Strategi Strategi-delen i SecureAware (det nederste nivået) er i utgangspunktet tom. Opprettelse og redigering foregår på samme måte som for policydelen (se avsnittet om dette). Nederst i skjermbildet kan det lages lenke til både regler og policydeler. Husk å klikke Oppdater for å lagre. 21
Hvordan ser sluttbrukerne itsikkerhetshåndboken? Når sluttbrukere logger inn i SecureAware, vil de når de klikker på fanen Policy få se itsikkerhetshåndboken. Fanene brukes for å navigere mellom de forskjellige policydelene. Ovenfor vises den øverste delen av it-sikkerhetshåndbokens regler. Hvis brukeren er tilknyttet en målgruppe, vil det i utgangspunktet kun være regler som er relevante for denne målgruppen som vises. Ved å klikke på en utdannelseskategori på venstre side av skjermen, vil kun regler innen denne kategorien bli vist. Endring av navn på fanene Du kan endre fanenes navn eller deaktivere én eller flere av dem ved å klikke på Avansert administrasjon på policymenyens hovedside (høyre side) > Fanestyring. 22
Deaktivering av fanene gjøres ved å klikke på grønn V. Klikk på blyanten for å endre policydelens navn. Hvem har lest it-sikkerhetshåndboken? Ved å rulle ned til bunnen av siden, vil brukeren ved å klikke på ikonet angi at han eller hun har lest denne delen. Superbrukeren kan se en rapport over dette ved å klikke på ikonet siste gang brukeren leste den aktuelle delen.. Datoen angir På startsiden kan du også følge med på hvem som har lest hvilke deler av it-sikkerhetshåndboken. Hvis du vil sende påminnelser eller liknende til brukerne, må du klikke på ikonet for e-post. Du kan da velge hvilke brukere du vil skrive til: Vil du skrive til de som har lest it-sikkerhetshåndboken? De som ikke har lest den på lenge? Skal det kun være sluttbrukere eller samtlige målgrupper? Klikk på OK, skriv din melding og klikk på Send. 23
Basisadministrasjon I policystyringsmenyen finnes det også en administrasjonsmeny som gir en mer detaljert mulighet for administrering av policyene. I menyen finnes det snarveier som gjør det lettere å gå til og redigere elementene i policyen. Ved å klikke på Vis avansert behandling brettes menyen ut, og flere menyvalg vil vises. Prosedyrestyring. Her vises samtlige prosedyrer, inkludert de som ikke er tilknyttet en itsikkerhetshåndbok. Du kan her opprette og redigere prosedyrer, på samme måte som da du opprettet prosedyrer. Rapporter. Få vist hele eller deler av policyen i PDF- eller RTF-format. Rapportkonfigurasjon. Opprett en ny rapporttype eller rediger en eksisterende. Vær oppmerksom på at dersom din it-sikkerhetshåndbok har fire nivåer, må det siste nivået manuelt legges til rapporttypen "Full rapport" for å vises her. Regelbibliotek: Som standard følger det med flere hundre grupper av regler, som danner grunnlaget for de medfølgende standardene i SecureAware. En gjennomgang av regelene foretas i neste avsnitt. Importer it-sikkerhetshåndbok. Her kan du importere en it-sikkerhetshåndbok til SecureAware som f.eks. er generert i en annen portal. Importen støtter filer i formatet.saf. Vær oppmerksom på at det ikke er hensiktsmessig å benytte denne funksjonen som sikkerhetskopi. Bruk heller Sikkerhetskopi/Gjenopprett-prosedyren i systemadministratoren for SecureAware. 24
Struktur. Ved å klikke her, kommer du til administrasjonen av sikkerhetskategoriene. Her kan du administrere konfigurasjonen av de strukturene som skal benyttes i bedriftens it-sikkerhetshåndbok. Du finner en nærmere gjennomgang av dette under avsnittet "Struktur". Mal Her kan du bygge opp en it-sikkerhetshåndbok helt fra bunnen av. Dette gjøres ut ifra en selvvalgt struktur, fra menyvalget ovenfor. Dette blir nærmere gjennomgått i avsnittet "Maler". Logginformasjon Her blir alle endringer registrert. Her kan man se alle endringer til en gitt itsikkerhetshåndbok innenfor et angitt tidsintervall. Du kan også generere en pdf-fil, hvor endringene er listet, samt hvem som har foretatt disse endringene. Deaktiver hurtigstart. Hvis du alltid ønsker å utføre administrasjonen fra denne siden og ikke fra policyguiden, kan du deaktivere denne herfra. Regler Som nevnt ovenfor, kan man ved å klikke på Regler få adgang til å administrere regler i SecureAware. Som standard følger det med 392 regler, men det er også mulig å legge til sine egne, samt redigere i de eksisterende reglene. Du får adgang til å opprette nye regler ved hjelp av ikonet. 25
Du kan da navngi, beskrive og legge til valgmuligheter til regelen. Når du er ferdig med dette, klikker du på Opprett, og regelen vil da ligge i listen til venstre i skjermbildet. Fremgangsmåten for endring av regler er den samme enten du har opprettet din egen eller om du vil endre en eksisterende regel. Ved å markere en regel, vil selve regelen vises i skjermbildet til høyre. Her kan regelen rettes og redigeres. Fanen Regel brukes til å endre regelens navn og evt. legge til noter. Ved Opsjon type kan du velge om det skal være mulig å krysse av eller flere opsjoner (regler). Dette valget virker inn på hvilke svaralternativer sluttbrukeren vil ha i en quiz. I feltet Regelopsjon kan du legge til opsjoner. Denne opsjonen vil dermed kunne velges (eller velges bort) som en regel i itsikkerhetshåndboken, på samme måte som sluttbrukerne vil kunne bli presentert for denne i en quiz. Du kan dessuten slette, rette eller flytte opp eller ned på de enkelte opsjonene. Ved alle rettelser må du huske å trykke på oppdateringstasten for at eventuelle rettelser skal tre kraft. Viktig! Hvis redigeringstasten velges, må du huske å klikke på både Legg til- og Oppdater-tastene før endringene vil bli gyldige (vist i rammen). 26
Velger du fanen Adgangsrettigheter, kan du begrense adgangen til å se reglene ved å klikke på Legg til. I menyen som deretter vises, velger du de gruppene (rollene) som skal ha adgang til å se regelen. Hvis Ingen velges, vil det ikke være noen adgangsbegrensninger. Under fanen Innholdskategori bestemmer du hvilken kategori denne regelen skal tilhøre. Hvis du på et senere tidspunkt velger å kjøre en awareness-kampanje som omhandler denne kategorien, vil regelen kunne vises som en av kampanjens quiz-muligheter. Fanen Målgruppe gjør det mulig å definere hvilke målgrupper som skal kunne se regelen og bli spurt om denne i en eventuell awareness-kampanje. Fanen Standarder bruker du for å velge hvilken standard regelen skal relateres til. De fleste eksisterende regler er allerede tilknyttet en eller flere standarder. Du velger en standard ved hjelp av nedtrekksmenyen, klikk så på. Du vil da, på samme måte som i nedtrekksmenyen, få muligheten til å velge hvilket standardavsnitt regelen skal knyttes til. 27
Regelstrukturer SecureAware har som nevnt flere forhåndsdefinerte strukturer. Disse er inndelt i kategorier og underkategorier, og noen viser til standarder som for eksempel NS7799:2005. Det er imidlertid ikke sikkert at det er mest hensiktsmessig å benytte noen av disse strukturene i din bedrift. Du kan derfor endre konfigurasjonen av en struktur, slik at den avspeiler bedriftens sikkerhetspolicy best mulig. SecureAwares forhåndsdefinerte strukturer er: SecureAware 2: En struktur som passer til versjon 2.x.x. av SecureAware. SecureAware 3: En struktur som passer til versjon 3.x.x. av SecureAware. NS7799:2005-struktur: En struktur som følger NS7799-standarden. ISO27002:2005-struktur: En struktur som følger ISO27002-standarden. SecureAware 4: Svarer til struktur tre, men inneholder regler for overholdelse av PCI DSS. PCI DSS-struktur: En struktur som følger PCI-standarden. ISO27002:2005-struktur 3 nivåer: En struktur som følger ISO27002-standarden, og hvor nummereringen følger standarden fullstendig. SecureAware 5: Svarer til SecureAware 4, men inneholder regler om bruk av sosiale nettverk. Hvis du vil opprette en ny struktur eller redigere navnet på en eksisterende struktur, klikker du på Opprett og rediger policystruktur. Navnet på strukturen endres ved å velge og skrive inn det nye navnet. Du kan slette en struktur ved å klikke på, og aktivere/deaktivere en struktur med (hvis ikonet er grønt, er strukturen aktiv). Vil du eksportere en struktur fra SecureAware, klikker du på. 28
En ny struktur legges til ved å taste inn strukturens navn i tekstfeltet og deretter klikke på Legg til. Vil du importere en struktur, klikk på. Ved alle rettelser og oppdateringer må du klikke på Oppdater for å lagre endringene. Maler Når du har opprettet din struktur, kan du så lage den malen som du vil bygge din bedrifts itsikkerhetshåndbok på. Hvis du har opprettet din egen struktur, kan du bygge malen på denne. Du kan også velge en av de forhåndsdefinerte malene i SecureAware. 29
Du kan redigere navnet på en mal ved å klikke på. Ønsker du å slette en mal, klikker du på. Vær oppmerksom på at det ikke er nødvendig å slette de malene du ikke ønsker å benytte. Vil du eksportere en struktur fra SecureAware, klikker du på. Oppretting av en ny mal For å opprette en ny mal, taster du inn navnet på malen i det øverste tekstfeltet. I tekstfeltet nedenfor skrives inn en beskrivelse av malen. Denne beskrivelsen vil bli vist når det opprettes en ny it-sikkerhetshåndbok i "Policystyring". For å velge den strukturen som skal benyttes i malen, klikker du på pilen til høyre for nedtrekksmenyen Policyens layout. Deretter må du klikke på tasten Legg til og så på Oppdater for å lagre dine endringer. Du kan importere en mal ved hjelp av Importer policy mal. Klikker du på Synkroniser policy-mal og prosedyrer, kan du knytte en opprettet prosedyre til malen. Ved synkronisering vil alle prosedyrer som er utarbeidet bli tilknyttet alle opprettede maler. Funksjonen har ingen innvirkning på allerede opprettede policyer. Viktig! Ved alle rettelser og oppdateringer må du klikke på tasten Oppdater etter å ha klikket på Legg til for å lagre dine endringer. 30
Administrasjon av it-sikkerhetshåndboken På policystyringens høyre side finnes en administrasjonsmeny som brukes til å administrere den valgte policyen. Klikker du på tasten Vis avansert behandling brettes menyen ut ytterligere. De enkelte menyvalgene er relatert til den itsikkerhetshåndbok som er aktiv, og endringer vil derfor kun påvirke denne. En it-sikkerhetshåndbok er aktiv når den er markert med. Ved å klikke på Innstillinger, kan du gi nytt navn til en it-sikkerhetshåndbok, sette inn eller endre et versjonsnummer/dato, samt skrive inn en beskrivelse av policyen. Du kan her også endre hvilken struktur it-sikkerhetshåndboken skal være basert på. Du kan slette en policy ved å klikke på Slett. Når en itsikkerhetshåndbok først er slettet kan ikke dette gjøres om, så ofte vil det være en bedre idé kun å deaktivere den ved å klikke på Deaktiver. it-sikkerhetshåndboken aktiveres igjen ved å klikke Aktiver. Synes du ikke at betegnelsene "Policy" og "Prosedyrer" (eller navnet på et fjerde nivå) er passende, kan du klikke på Faner. Du kan da endre disse betegnelsene. Du kan også velge hvilke nivåer som skal være synlige for sluttbrukerne. 31
Særlig hvis du bruker en SecureAware portalløsning, er det nyttig å kunne eksportere en itsikkerhetshåndbok mellom portalene. Dette gjør du ved å klikke på Eksporter, som beskrevet i neste avsnitt. Husk at eksport av en it-sikkerhetshåndbok ikke er det samme som en sikkerhetskopifunksjon. Les om dette i SecureAwares standard for sikkerhetskopiering av databasen. 32
Kopiering av en it-sikkerhetshåndbok (import og eksport) Det kan ofte være nyttig å kopiere en it-sikkerhetshåndbok, slik at du kan redigere i en itsikkerhetshåndbok mens den andre er aktiv. Dette gjøres ved å eksportere it-sikkerhetshåndboken, og deretter importere den igjen. Aktiver den it-sikkerhetshåndbok du vil eksportere og klikk deretter på Eksporter. Itsikkerhetshåndboken vil da bli eksportert som en saf-fil, og du kan velge hvor den skal plasseres. Klikk så på Importer it-sikkerhetshåndbok, og hent itsikkerhetshåndboken der du har valgt å plassere den. Når filen er importert, vil du se den listet sammen med de andre it-sikkerhetshåndbokene. Den vil have samme navn som den originale policyen, samt dato og klokkeslett for importen, som vist nedenfor. Navnet kan endres ved å klikke på Innstillinger. Du kan da sette denne it-sikkerhetshåndboken i redigeringsmodus og foreta rettelser i den, mens den originale itsikkerhetshåndboken er aktiv og kan vises for brukerne. 33
Logging av endringer Loggfasilitetene i SecureAware har til formål å spore og dokumentere redigering i policymodulen, samt dokumentere øvrige feil i systemet. Der finnes derfor integrerte loggfasiliteter i policymodulen og i systemadministratorens administrasjonsfunksjoner. SecureAware inneholder for øvrig opplysninger i flere av modulene, som knytter data til en bestemt bruker. Her fremgår opplysninger om sporing og dokumentasjon av de generelle dataene systemet behandler, og ikke av en spesifikk logg. Policymodulens vedlikeholdslogg Rapporten viser dato, brukernavn og hendelser i forhold til regler og prosedyrer. Du får adgang til rapporten ved å velge Vis Avansert behandling og deretter klikke på Logginformasjon. Velg deretter policy og tidsrom for søket. Hvis du ønsker å se en feillogg, må du være innlogget som systemadministrator. Se systemadministratorguiden for mer informasjon om feilloggene. De andre loggene Dersom man benytter Microsoft Internet Information Server i SecureAware-installasjonen, kan de generelle loggfasilitetene her brukes til å spore brukernes anvendelse av systemet. SecureAware er ikke utarbeidet for offentlige myndigheters behandling av rapporteringspliktige personopplysninger, og systemet inneholder derfor ikke funksjoner for logging i henhold til sikkerhetskunngjøringen. Dersom det hos en offentlig myndighet er behov for å registrere rapportpliktige personopplysninger i tilknytning til SecureAware, anbefaler Neupart at opplysningene registreres i et ESDH-system eller 34
liknende, som har de nødvendige loggfasiliteter, og at SecureAwares mulighet for å lage lenke til eksterne dokumenter benyttes. 35
Kontaktinformasjon - For mer informasjon, kontakt Neuparts kontorer: Europa Neupart A/S Hollandsvej 12 2800 Lyngby Danmark Tlf. +45 7025 8030 Faks +45 7025 8031 Nord-Amerika United States Neupart Inc. 2553 Crescent St Ferndale, WA 98248 Tlf. 360-820-2545 Faks 360-392-6078 Neupart GmbH Kaiserwerther Strasse 115 40880 Ratingen/Düsseldorf Tyskland: Tlf. +49 (0) 2102/4209-26 Faks +49 (0) 2102/42062 Copyright 2006 Neupart A/S. Alle rettigheter forbeholdt. Dette dokumentets forfatter er Neupart A/S. Alt innhold, inkludert tekst og grafikk tilhører, med mindre annet er angitt, Neupart A/S og er beskyttet av opphavsretten i henhold til dansk og internasjonal lovgivning. Gjengivelse av dokumentet eller deler av dette er kun tillatt i den grad det skjer i uendret form, og ved at Neupart A/S uttrykkelig angis som kilde på samtlige kopier. Kopiering og distribuering må ikke foregå uten en på forhånd innhentet tillatelse, med uttrykkelig samtykke fra Neupart A/S. Neupart A/S forbeholder seg retten til på ethvert tidspunkt og uten forvarsel å kunne foreta endringer og/eller forbedringer av nevnte produkter. Produktene fra andre virksomheter, samt disses varemerker, kan være registrerte eller opphavsrettslig beskyttet. Logoene for Neupart, SecureAware samt navnet SecureAware er varemerker som tilhører Neupart A/S. Dokumentet leveres slik det er og foreligger", uten noen form for garanti, hverken uttrykkelig eller underforstått. Hverken forfatteren eller innehaveren av opphavsretten kan holdes til ansvar for noen form for skader eller hendelser som måtte oppstå i forbindelse med bruken av denne dokumentasjonen. Dokumentet samt tilhørende grafiske fremstillinger kan inneholde feil eller mangler. Neupart A/S forbeholder seg også alle, ikke uttrykkelig nevnte rettigheter. 36