Standard for informationssikkerhed

Transkript

1 Dansk standard DS udgave Standard for informationssikkerhed Code of practice for information security management

2 DS 484:2005 København DS projekt: M ICS: ; Første del af denne publikations betegnelse er: DS, hvilket betyder, at det er en standard udarbejdet på nationalt niveau. DS-publikationen er på dansk. Denne publikation erstatter: DS 484-1:2000 og DS 484-2:2000. DS-publikationstyper Dansk Standard udgiver forskellige publikationstyper. Typen på denne publikation fremgår af forsiden. Der kan være tale om: Dansk standard standard, der er udarbejdet på nationalt niveau, eller som er baseret på et andet lands nationale standard, eller standard, der er udarbejdet på internationalt og/eller europæisk niveau, og som har fået status som dansk standard DS-information publikation, der er udarbejdet på nationalt niveau, og som ikke har opnået status som standard, eller publikation, der er udarbejdet på internationalt og/eller europæisk niveau, og som ikke har fået status som standard, fx en teknisk rapport, eller europæisk præstandard DS-håndbog samling af standarder, eventuelt suppleret med informativt materiale DS-hæfte publikation med informativt materiale Til disse publikationstyper kan endvidere udgives tillæg og rettelsesblade DS-publikationsform Publikationstyperne udgives i forskellig form som henholdsvis fuldtekstpublikation (publikationen er trykt i sin helhed) godkendelsesblad (publikationen leveres i kopi med et trykt DS-omslag) elektronisk (publikationen leveres på et elektronisk medie) DS-betegnelse Alle DS-publikationers betegnelse begynder med DS efterfulgt af et eller flere præfikser og et nr., fx DS 383, DS/EN 5414 osv. Hvis der efter nr. er angivet et A eller Cor, betyder det, enten at det er et tillæg eller et rettelsesblad til hovedstandarden, eller at det er indført i hovedstandarden. DS-betegnelse angives på forsiden. Overensstemmelse med anden publikation: Overensstemmelse kan enten være IDT, EQV, NEQ eller MOD IDT: Når publikationen er identisk med en given publikation. EQV: Når publikationen teknisk er i overensstemmelse med en given publikation, men præsentationen er ændret. NEQ: Når publikationen teknisk eller præsentationsmæssigt ikke er i overensstemmelse med en given standard, men udarbejdet på baggrund af denne. MOD: Når publikationen er modificeret i forhold til en given publikation.

3 Indholdsfortegnelse Forord Indledning Hvad er informationssikkerhed? Hvorfor er informationssikkerhed nødvendig? Formulering af sikkerhedsbehov Opgørelse af sikkerhedsbehov Valg af sikringsforanstaltninger Det basale udgangspunkt Kritiske succesfaktorer Virksomhedens specifikke sikkerhedsretningslinjer Formål Termer og definitioner Ordforklaring Tilknyttede standarder med videre Standardens opbygning Risikovurdering og -håndtering Vurdering af sikkerhedsrisici Risikohåndtering Overordnede retningslinjer Informationssikkerhedsstrategi Formulering af en informationssikkerhedspolitik Løbende vedligeholdelse Organisering af informationssikkerhed Interne organisatoriske forhold Ledelsens rolle Koordinering af informationssikkerhed Ansvarsplacering Godkendelsesprocedure ved anskaffelser Tavshedserklæringer Kontakt med myndigheder Fagligt samarbejde med grupper og organisationer Periodisk opfølgning Eksterne samarbejdspartnere Identifikation af risici i forbindelse med eksternt samarbejde Sikkerhedsforhold i relation til kunder Samarbejdsaftaler Styring af informationsrelaterede aktiver Identifikation af og ansvar for informationsrelaterede aktiver Fortegnelse over informationsaktiver Ejerskab Accepteret brug af aktiver Klassifikation af informationer og data Klassifikation Mærkning og håndtering af informationer og data Medarbejdersikkerhed Sikkerhedsprocedure før ansættelse Opgaver og ansvar Efterprøvning Aftale om ansættelse Ansættelsesforholdet Ledelsens ansvar Uddannelse, træning og oplysning om informationssikkerhed Sanktioner Ansættelsens ophør Ansvar ved ansættelsens ophør Returnering af aktiver

4 8.3.3 Inddragelse af rettigheder Fysisk sikkerhed Sikre områder Fysisk afgrænsning Fysisk adgangskontrol Sikring af kontorer, lokaler og udstyr Beskyttelse mod eksterne trusler Arbejdsmæssige forhold i sikre områder Områder til af- og pålæsning med offentlig adgang Beskyttelse af udstyr Placering af udstyr Forsyningssikkerhed Sikring af kabler Udstyrs og anlægs vedligeholdelse Sikring af udstyr uden for virksomhedens overvågning Sikker bortskaffelse eller genbrug af udstyr Fjernelse af virksomhedens informationsaktiver Styring af netværk og drift Operationelle procedurer og ansvarsområder Driftsafviklingsprocedurer Ændringsstyring Funktionsadskillelse Adskillelse mellem udvikling, test og drift Ekstern serviceleverandør Serviceleverancen Overvågning og revision af serviceleverandøren Styring af ændringer hos ekstern serviceleverandør Styring af driftsmiljøet Kapacitetsstyring Godkendelse af nye eller ændrede systemer Skadevoldende programmer og mobil kode Beskyttelse mod skadevoldende programmer Beskyttelse mod mobil kode Sikkerhedskopiering Sikkerhedskopiering Netværkssikkerhed Netværket Netværkstjenester Databærende medier Bærbare datamedier Destruktion af datamedier Beskyttelse af datamediers indhold Beskyttelse af systemdokumentation Informationsudveksling Informationsudvekslingsretningslinjer og -procedurer Aftaler om informationsudveksling Fysiske datamediers sikkerhed under transport Elektronisk post og dokumentudveksling Virksomhedens informationssystemer Elektroniske forretningsydelser Elektronisk handel Onlinetransaktioner Offentligt tilgængelige informationer Logning og overvågning Opfølgningslogning Overvågning af systemanvendelse Beskyttelse af log-oplysninger Administrator- og operatørlog Fejllog Tidssynkronisering Adgangsstyring De forretningsmæssige krav til adgangsstyring

5 Retningslinjer for adgangsstyring Administration af brugeradgang Registrering af brugere Udvidede adgangsrettigheder Adgangskoder Periodisk gennemgang af brugernes adgangsrettigheder Brugernes ansvar Brug af adgangskoder Uovervåget udstyr Beskyttelse af datamedier på den personlige arbejdsplads Styring af netværksadgang Retningslinjer for brug af netværkstjenester Autentifikation af brugere med ekstern netværksforbindelse Identifikation af netværksudstyr Beskyttelse af diagnose- og konfigurationsporte Opdeling af netværk Styring af netværksadgang Rutekontrol i netværk Styring af systemadgang Sikker log-on Identifikation og autentifikation af brugere Styring af adgangskoder Brug af systemværktøjer Automatiske afbrydelser Begrænset netværksforbindelsestid Styring af adgang til brugersystemer og informationer Begrænset adgang til informationer Isolering af særligt kritiske brugersystemer Mobilt udstyr og fjernarbejdspladser Mobilt udstyr og datakommunikation Fjernarbejdspladser Anskaffelse, udvikling og vedligeholdelse af informationsbehandlingssystemer Sikkerhedskrav til informationsbehandlingssystemer Analyse og specifikation af krav til sikkerhed Korrekt informationsbehandling Validering af inddata Kontrol af den interne databehandling Meddelelsers integritet Validering af uddata Kryptografi Retningslinjer for brugen af kryptografi Nøglehåndtering Styring af driftsmiljøet Sikkerhed ved systemtekniske filer Sikring af testdata Styring af adgang til kildekode Sikkerhed i udviklings- og hjælpeprocesser Ændringsstyring Teknisk gennemgang af forretningssystemer efter ændringer i styresystemerne Begrænsninger i ændringer til standardsystemer Lækage af informationer Systemudvikling udført af en ekstern leverandør Sårbarhedsstyring Sårbarhedssikring Styring af sikkerhedshændelser Rapportering af sikkerhedshændelser og svagheder Rapportering af sikkerhedshændelser Rapportering af svagheder Håndtering af sikkerhedsbrud og forbedringer Ansvar og forretningsgange At lære af sikkerhedsbrud Indsamling af beviser

6 14 Beredskabsstyring Beredskabsstyring og informationssikkerhed Informationssikkerhed i beredskabsstyringen Beredskab og risikovurdering Udarbejdelse og implementering af beredskabsplaner Rammerne for beredskabsplanlægningen Afprøvning, vedligeholdelse og revurdering af beredskabsplaner Overensstemmelse med lovbestemte og kontraktlige krav Overensstemmelse med lovbestemte krav Identifikation af relevante eksterne krav Ophavsrettigheder Sikring af virksomhedens kritiske data Beskyttelse af personoplysninger Beskyttelse mod misbrug af informationsbehandlingsfaciliteter Lovgivning vedrørende kryptografi Overensstemmelse med sikkerhedspolitik og -retningslinjer Overensstemmelse med virksomhedens sikkerhedsretningslinjer Opfølgning på tekniske sikringsforanstaltninger Beskyttelsesforanstaltninger ved revision af informationsbehandlingssystemer Sikkerhed i forbindelse med systemrevision Beskyttelse af revisionsværktøjer Anneks A Eksempel på en informationssikkerhedspolitik Informationssikkerhedspolitik for Virksomhed NN A.1 Indledning A.2 Formål A.3 Omfang A.4 Sikkerhedsniveau A.5 Sikkerhedsbevidsthed A.6 Brud på informationssikkerheden Bilag 1 Anvendelse i praksis Anneks B Risikovurdering B.1 Den anvendte terminologi B.2 Fremgangsmåde i praksis B.3 Eksempel B.4 Konklusion

7 Forord Denne standard indeholder en række bestemmelser, der sigter mod at gøre informationssikkerhed til en specificerbar kvalitet. Standardens krav er i størst muligt omfang funktionelt betingede og baserede på teknisk og administrativ viden. Det er så vidt muligt undgået at give regler for standardiserede projekteringsmetoder, udførelsesmåder eller fysiske dele. I teksten forekommer henvisninger til andre danske og udenlandske standarder. Det vil dog kun i særlige tilfælde være nødvendigt at supplere med disse standarder. Standarden tager sit udgangspunkt i ISO/IEC 17799:2005, Information technology Security techniques Code of practice for information security management. Standarden er udarbejdet på en sådan måde, at det er muligt at referere mellem de to dokumenter. ISO/IEC er imidlertid af ren vejledende karakter. Der er ingen krav om konkret implementering af de enkelte sikrings- og kontrolforanstaltninger. En del af disse er dog karakteriseret ved: at være omfattet af generelle danske lov- og myndighedskrav, fx Persondataloven og Bogføringsloven at være et nødvendigt grundlag for overhovedet at anvende standarden, fx en overordnet risikovurdering og formulering af en informationssikkerhedspolitik at være så almene, at de ud fra en generel vurdering af god praksis bør være fundamentet for informationssikkerheden i enhver virksomhed. Disse foranstaltninger betegnes i den danske udgave som de basale sikringsforanstaltninger, der som minimum skal være etableret, for at en virksomhed kan påberåbe sig, at den lever op til DS 484. Herudover beskriver standarden en række skærpede sikringsforanstaltninger, som en virksomhed bør etablere, såfremt særlige forhold gør sig gældende. Disse forhold kan være: Særlige lovkrav, eksempelvis for banker, sparekasser, forsikringsselskaber, realkreditinstitutter, arbejdsløshedskasser og offentlige virksomheder. Særlige branchenormer, hvor brancheforeninger anbefaler deres medlemmer at etablere nogle supplerende sikringsforanstaltninger af hensyn til branchens etiske regler, omdømme osv. Særlige tilfælde, hvor risikoen for eller konsekvensen af et brud på informationssikkerheden er så stor, at skærpede sikringsforanstaltninger er påkrævet. Særlige forretningssystemer, eksempelvis elektronisk handel og kundevendte banksystemer, hvor den åbne kontaktflade og brugen af offentlige netværk samt kundernes forventninger til tilgængelighed nødvendiggør skærpede sikringsforanstaltninger. Det er således op til brugeren af denne standard selv at vurdere, om særlige forhold giver anledning til krav om skærpede sikringsforanstaltninger. De skærpede sikringsforanstaltninger er markeret med en *. Standardens krav skal vurderes og anvendes i overensstemmelse med dens hensigt og med hensyntagen til den udvikling, der finder sted inden for dens område. Derfor forudsættes det, at standardens brugere har et vist generelt kendskab til informationsbehandling. I visse tilfælde forekommer der henvisninger til love eller cirkulærer mv., hvor de har relevant sammenhæng med beskrivende tekster og vejledninger. Det forudsættes i øvrigt, at standardens brugere har fornødent kendskab til lovgivningen og andre eksterne bestemmelser, der har betydning for standardens praktiske brug. 7

8 0 Indledning 0.1 Hvad er informationssikkerhed? Information er et aktiv, der i lighed med øvrige virksomhedsaktiver er væsentlig for virksomhedens forretningsaktiviteter og derfor skal beskyttes på passende vis. Dette er specielt vigtigt med den øgede digitale informationsudveksling, som har medført en forøgelse af både trusler og sårbarheder, jf. eksempelvis OECD Guidelines. Information kan eksistere i mange former. Det kan være skrevet på papir, lagret elektronisk, transmitteret via kabler eller gennem luften, ligge på en film eller være fremført i en konversation. Uanset formen skal information beskyttes i henhold til dens betydning for virksomheden. Informationssikkerhed defineres som den samlede mængde af beskyttelsesforanstaltninger, der skal sikre virksomhedens daglige drift, minimere skader, samt beskytte virksomhedens investeringer og sikre grundlaget for nye forretningsmuligheder. Informationssikkerhed opnås ved at implementere, overvåge, revurdere og løbende ajourføre et passende sæt af beskyttelsesforanstaltninger bestående af politikker, praksis, procedurer, organisatoriske tiltag og system- eller maskintekniske funktioner. 0.2 Hvorfor er informationssikkerhed nødvendig? Information og informationsbehandlingsprocesser, -systemer og -netværk er væsentlige virksomhedsaktiver. At definere, etablere og vedligeholde en passende informationssikkerhed kan være afgørende for virksomhedens konkurrencedygtighed, rentabilitet, omdømme og efterlevelse af gældende lovgivning. Virksomhederne udsættes for en bred vifte af trusler spændende fra svindel, industrispionage, sabotage og terror til ildebrand og oversvømmelse. Trusler som skadevoldende programmer (virus m.m.), uautoriseret indtrængen og blokering af transmissionsforbindelser bliver mere og mere almindelige og mere og mere sofistikerede, jf. anneks B, Risikovurdering. Informationssikkerhed er væsentlig både for den offentlige og den private sektor og for at beskytte kritisk infrastruktur. En troværdig informationssikkerhed er en afgørende forudsætning for digital forvaltning og e-handel. Samtidigt giver det øgede antal adgangsmuligheder, hjemmearbejdspladser og private brugere en øget sårbarhed, da det ikke længere er muligt at forlade sig på traditionelle, centrale sikringsforanstaltninger. Mange informationssystemer er ikke konstrueret med et forsvarligt sikkerhedsniveau. Det er derfor begrænset, hvor meget sikkerhed der kan opnås med en ren teknisk indsats. Den fornødne sikkerhed må følgelig etableres ved hjælp af organisatoriske og ledelsesmæssige foranstaltninger. Etablering af disse foranstaltninger kræver omhyggelig og detaljeret planlægning. Implementeringen af en optimal informationssikkerhed kræver som minimum en aktiv medvirken fra alle i virksomheden. Herudover kan det også kræve medvirken fra leverandører, samarbejdspartnere, kunder og andre eksterne interessenter. Det kan endvidere være påkrævet at søge yderligere ekstern bistand. 0.3 Formulering af sikkerhedsbehov Det er af afgørende betydning, at virksomheden definerer sine sikkerhedsbehov. Man kan her tage udgangspunkt i tre hovedkilder: 1. Virksomhedens egen risikovurdering baseret på virksomhedens forretningsstrategi og -målsætning. Her vurderes trusselbilledet, virksomhedens sårbarhed og de forretningsmæssige konsekvenser, hvis et uheld skulle ske. 2. Eksterne krav til virksomheden, dens samarbejdspartnere og dens leverandører. Disse krav kan være lovgivning, bekendtgørelser, forordninger, samarbejdsaftaler eller hensyn til det omgivende samfund. 3. Interne krav afledt af virksomhedens egne kvalitetskrav for at støtte en specifik forretningsmålsætning. 0.4 Opgørelse af sikkerhedsbehov Sikkerhedsbehov identificeres ved en metodisk vurdering af sikkerhedsrisici. Udgifterne til sikringsforanstaltninger skal holdes op mod de forretningsmæssige tab herunder også de immaterielle tab som fx dårligt omdømme ved en given sikkerhedsbrist. En risikovurdering kan gennemføres for den samlede virksomhed, for enkelte afdelinger eller for specifikke informationssystemer, systemkomponenter eller -ydelser. 8

9 En risikovurdering omfatter en analyse af virksomhedens aktiver, trusler, sårbarheder og uheldskonsekvenser for at skabe et samlet risikobillede og derved afdække de enkelte risicis væsentlighed. I anneks B findes en yderligere uddybning af teknikken bag en risikovurdering. Mere detaljerede beskrivelser kan findes i BS :2002, Information security management Specification with guidance for use, og ISO/IEC TR , Information technology Guidelines for the management of IT Security Part 3: Techniques for the management of IT Security. Resultatet af risikovurderingen indgår i virksomhedsledelsens risikostyring, hvor de enkelte risici prioriteres, og det besluttes, hvilke sikringsforanstaltninger der skal iværksættes. Det vil i mange tilfælde være nødvendigt at gennemføre risikovurderingen i flere trin for at bevare det samlede overblik. Endelig skal det understreges, at en risikovurdering skal gentages regelmæssigt og ved større organisatoriske eller teknologiske ændringer. 0.5 Valg af sikringsforanstaltninger Når virksomhedens sikkerhedsbehov og risici er afdækket, og risiciene er prioriterede i henhold til deres væsentlighed, skal de basale sikringsforanstaltninger og relevante skærpede sikringsforanstaltninger udvælges og implementeres for at sikre, at risiciene bliver reduceret til et acceptabelt niveau. I enkelte specielle tilfælde kan det blive nødvendigt at udvikle og implementere yderligere foranstaltninger. Man skal dog være opmærksom på, at ingen sikringsforanstaltninger kan give fuldstændig sikkerhed. De skal altid suppleres med en ledelsesmæssig overvågning og en løbende ajourføring for at sikre deres effektivitet. En given risiko kan ofte reduceres med forskellige sikringsforanstaltninger. Det konkrete valg afhænger af risikoens væsentlighed og omkostningerne ved sikringsforanstaltningen. For at reducere omkostningerne og øge effektiviteten bør sikringsforanstaltninger integreres i en given systemløsning så tidligt som muligt i udviklingsforløbet. Jo senere i forløbet de integreres, jo større bliver omkostningerne, og man risikerer i værste fald, at det bliver umuligt at opnå en tilfredsstillende sikkerhed. 0.6 Det basale udgangspunkt Som nævnt i forordet er standardens sikringsforanstaltninger delt i to kategorier for at gøre det lettere og hurtigere for virksomhederne at få etableret og vedligeholdt et rimeligt og betryggende sikkerhedsniveau. De basale sikringsforanstaltninger er de sikrings- og kontrolforanstaltninger, der i henhold til god praksis bør være grundlaget for informationssikkerheden i enhver virksomhed. Langt de fleste af disse foranstaltninger vil sandsynligvis allerede være etableret, om end måske ikke videre systematisk og struktureret. Her vil standarden være en god hjælp som tjekliste ved en systematisk gennemgang. Herudover skal der gennemføres en overordnet risikovurdering for at afdække, om virksomheden har nogle sikkerhedsbehov, som ikke er dækket af de basale sikringsforanstaltninger. 0.7 Kritiske succesfaktorer Erfaringen har vist, at der er en række faktorer, som er afgørende for implementeringen af en betryggende informationssikkerhed i en virksomhed: a) En sikkerhedspolitik, -målsætning og -strategi, som afspejler virksomhedens forretningsmæssige målsætning. b) En organisatorisk tilgang til sikkerhedsimplementering, -vedligeholdelse, -overvågning og -ajourføring, som er i overensstemmelse med virksomhedens kultur. c) Ledelsens synlige støtte og engagement. d) En god forståelse for sikkerhedsbehov, risikovurdering og risikostyring. e) En effektiv markedsføring af sikkerhed over for ledelse og medarbejdere. f) God vejledning om sikkerhedspolitik og -retningslinjer til ledelse og medarbejdere. g) Tilstrækkelige midler til at gennemføre de nødvendige styringsaktiviteter. h) Tilstrækkelige midler til at gennemføre den nødvendige træning og uddannelse. i) Etablering af et effektivt hændelsesstyringssystem. j) Et ledelsesrapporteringssystem, som løbende kan vurdere sikringsforanstaltningernes effektivitet og sikre opfølgning på forslag til forbedringer. 9

10 0.8 Virksomhedens specifikke sikkerhedsretningslinjer Al sikkerhedsrelateret dokumentation i form af sikkerhedspolitik, -strategi og de mere specifikke retningslinjer og instrukser skal være samlet og struktureret på en sådan måde, at den er umiddelbart tilgængelig for de relevante personer. 10

11 1 Formål Det er denne standards formål at: udgøre et generelt grundlag for en virksomheds sikkerhedsmålsætning med henblik på udvikling, implementering, indførelse og effektiv styring af sikkerhedsmæssige kontroller, forholdsregler og sikringsforanstaltninger være generel referenceramme for virksomhedens interne og eksterne brug af informationsteknologiske faciliteter skabe grundlag for tillid til virksomhedens informationsbehandling både internt og eksternt være referenceramme ved anskaffelse og kontrahering af informationsteknologiske produkter og tjenesteydelser. 11

12 2 Termer og definitioner Nedenfor findes en ordforklaring for de begreber, som anvendes i denne standard. Begreberne er tilpasset internationale standarder i den udstrækning, det har været muligt. For de præcise internationale definitioner henvises til ISO/IEC Guide 73 og SC 27 Standing Document Ordforklaring adgangskontrol fysisk Enhver fysisk sikringsforanstaltning mod uautoriseret adgang til et sikkerhedsområde. adgangskontrol logisk Enhver programmerbar sikringsforanstaltning mod uautoriseret anvendelse af en virksomheds informationsaktiver. adgangskontrolliste En liste over brugere og deres tildelte autorisationer og rettigheder til at anvende virksomhedens informationsaktiver. Se også autorisation og rettigheder. adgangskode (password) Kombination af tegn, som benyttes til verifikation af en brugers identitet. adgangskort Et adgangskort er en identifikationsbærer, der fx er udformet som et plastikkort. Kortets dataindhold identificerer den person, kortet er udstedt til. aktiver Alt, der har værdi for virksomheden således også immaterielle værdier som fx informationsbehandlingssystemer, data, procedurer og dokumentation. Se også informationsaktiver. anråb/svarsystem En sikringsmekanisme, der validerer, hvorvidt en opkaldende brugers forsøg på at få tilladelse til at anvende et informationsbehandlingssystem kan godkendes. Inden godkendelsen gives, sender den opkaldte node et anråb til den opkaldende node med krav om et autenticitetsbevis. Kun, hvis det modtagne svar /autenticitetsbevis godkendes, gives der tilladelse. På engelsk kaldes det Challenge/Respons -system. applikationssystem Se informationsbehandlingssystemer. arbejdsstation/plads Betegnelse på en PC, skærmterminal eller lignende, der benyttes af en enkelt bruger, og som er tilkoblet et netværk, der giver mulighed for at anvende fælles ressourcer og datakommunikation. arkiv (dataarkiv) Opbevaringssted, hvor man systematisk opbevarer data på maskinlæsbare medier. autenticitet Egenskab, der sikrer, at en ressource eller person er den hævdede (anvendes fx ved log-on og elektronisk underskrift/digital signatur). autentificering/autentifikation Verifikation af en afsenders eller en modtagers autenticitet. autorisation Rettighed til at udføre specifikke funktioner samt tilladelse til at anvende på forhånd tildelte ressourcer. 12