Spillemyndighedens certificeringsprogram Retningslinjer for sårbarhedsscanning

Transkript

1 SCP DK.1.0

2 Indhold Indhold Indledning Spillemyndighedens certificeringsprogram Formålet med retningslinjer for sårbarhedsscanning Overblik over dette dokument Definitioner Lovmæssigt grundlag for dokumentet Version Dokumentkode Henvendelser Certificering Rammen for certificeringen Krav til certificeringen Certificeringsfrekvens Overførsel af tidligere udførte inspektioner og prøvninger Inspektioner og prøvninger udført i henhold til Spillemyndighedens certificeringsprogram Inspektioner og prøvninger udført i henhold til andre standarder Tilladelsesindehaveres underleverandører Certificering af en underleverandør Integration i tilladelsesindehavers spilsystem Periodeforskydning Kompilering af certificeringerne Akkrediterede testvirksomheder Krav til testvirksomheden Krav til personale, der superviserer og attesterer certificeringen Rammen for sårbarhedsscanning Formål med sårbarhedsscanning Beskyttede komponenter Opdatering af software og hardware Bortfald af certificering Intern funktion hos tilladelsesindehaver Processen for gennemførsel af sårbarhedsscanning SCP DK.1.0 Side 2 af 10

3 1 Indledning Spillemyndighedens certificeringsprogram har til formål at sikre, at spilsystemet afvikler spil på en korrekt måde, og at sikkerheden omkring spilsystemets opretholdes. Kravene i certificeringsprogrammet er tilpasset de forskellige spiltyper ud fra en væsentligheds- og risikovurdering af spillets omfang, udbredelse, sikkerhed, karakter, gevinsternes størrelse og risikoen for, at spillerne kan blive snydt m.v. På nuværende tidspunkt opereres med følgende spiltyper: Online væddemål Landbaseret væddemål Onlinekasino Landbaseret kasino Spilleautomater Lotteri Den akkrediterede testvirksomhed foretager prøvning, inspektion og certificering af tilladelsesindehavers spilsystemer, forretningsgange og forretningssystemer og skal tilpasses den enkelte tilladelsesindehavers spiludbud. 1.1 Spillemyndighedens certificeringsprogram Hele Spillemyndighedens certificeringsprogram udgøres af en række dokumenter, der løbende tilpasses den teknologiske udvikling. Tilladelsesindehavere skal til hver en tid oppebære certificeringer i overensstemmelse med de dele af certificeringsprogrammet, der gør sig gældende for deres spiludbud. Spiltyper, der ikke udbydes af tilladelsesindehaver, skal ikke certificeres. For hver af de seks spiltype er der tilknyttet et sæt teststandarder og et sæt inspektionsstandarder, som gælder for den pågældende spiltype. Yderligere 4 dokumenter gælder for alle spiltyper og omhandler ledelsessystem for informationssikkerhed, indtrængningsefterprøvning, sårbarhedsefterprøvning og program for styring af systemændringer. Hvert dokument fastsætter minimumskrav til indretningen af tilladelsesindehavers spilsystem, forretningsgange og forretningssystemer. Spillemyndighedens certificeringsprogram supplerer spillovgivningen, de vilkår, der er fastsat for spiludbyderne i tilladelserne, og den administrative praksis, som Spillemyndigheden fastsætter. 1.2 Formålet med retningslinjer for sårbarhedsscanning er med til at sikre, at tilladelsesindehavers spilsystem og forretningssystemer scannes med henblik på at afdække eventuelle svagheder i systemerne. Svagheder, der potentielt kan udnyttes til at opnå adgang til følsomme oplysninger. 1.3 Overblik over dette dokument Der er fastsat en række krav til, hvordan testvirksomheder bliver akkrediteret til at foretage certificering af tilladelsesindehaveres spilsystem, forretningsgange og forretningssystemer, samt hvordan selve certifice- SCP DK.1.0 Side 3 af 10

4 ringen skal foretages. Selve akkrediteringen foretages af Den Danske Akkrediterings- og Metrologifond (DANAK) eller et tilsvarende akkrediteringsorgan, som er omfattet af European co-operation for Accreditations multilaterale aftale om gensidig anerkendelse eller medlem af International Laboratory Accreditation Cooperation. Disse krav til akkreditering af testvirksomheder og certificering af tilladelsesindehavere beskrives i afsnit 2 Certificering. Sårbarhedsscanning skal gennemføres ved at scanne spilsystemet og forretningssystemerne på en måde, der afdækker svagheder i komponenter. Dette kan være særligt relevant, når der sker opdateringer af systemet. Disse krav beskrives i afsnit 3 Rammen for sårbarhedsscanning. Spillemyndigheden foreslår en metodik til sårbarhedsscanningen. Denne metodik beskrives i afsnit 4 Processen for gennemførsel af sårbarhedsscanning. 1.4 Definitioner Inspektion: Følsomme oplysninger: Prøvning: Revisionsegnet log: Spilsystem: Den akkrediteret testvirksomheds undersøgelse af tilladelsesindehavers spilsystem, forretningsgange og forretningssystem, med henblik på at konstatere, om de krav Spillemyndigheden har fastsat, er opfyldt. Oplysninger, der enten er af forretnings- eller personfølsom karakter. Den akkrediteret testvirksomheds prøvning af tilladelsesindehavers spilsystem, analyse af de indsamlede data og evaluering af resultatet, med henblik på at konstatere, om de krav Spillemyndigheden har fastsat, er opfyldt. En log, der opsamler data, hvor der ikke kan manipuleres med data efter, at de er registreret i loggen. Hvis data skal ændres, skal det ske ved at oprette en ny optegning i loggen i stedet for at rette eller slette den eksisterede optegning. Elektronisk eller andet udstyr, der anvendes af eller på vegne af tilladelsesindehaver til udbud af spil, herunder udstyr der: 1. anvendes til lagring af oplysninger vedrørende en persons deltagelse i spil, herunder historiske data og resultatoplysninger, 2. frembringer og/eller præsenterer spil for spilleren, eller 3. fastlægger resultatet af et spil, eller beregner hvorvidt spilleren har vundet eller tabt ved spillet. 1.5 Lovmæssigt grundlag for dokumentet Retningslinjer for sårbarhedsefterprøvning (SCP DK.1.0) er udstedt af Spillemyndigheden i henhold til lov nr. 848 af 1. juli 2010 om spil 41 og bekendtgørelse nr. 65 af 25. januar 2012 om landbaseret væddemål 11, bekendtgørelse nr. 66 af 25. januar 2012 om online væddemål 26 og bekendtgørelse nr. 67 af 25. januar 2012 om onlinekasino Version Spillemyndigheden vil løbende revidere certificeringsprogrammet og seneste version samt versionshistorik er tilgængelig på spillemyndighedens hjemmeside: SCP DK.1.0 Side 4 af 10

5 Dato Version Beskrivelse Beskrivelse Ved ændringer i certificeringsprogrammet vil certificeringer som udgangspunkt fortsat være gyldige i den periode, de er udstedt for. Det skal fremhæves, at det er den danske version, der er bindende og at den engelske version udelukkende er af vejledende karakter. 1.7 Dokumentkode Hvert dokument i Spillemyndighedens certificeringsprogram har en dokumentkode, der udgøres af: SCP Der angiver at der er tale om Spillemyndighedens Certificerings Program. To tal Der angiver hvilken dokumenttype der er tale om. Koderne er: "01" Teststandarder "02" Inspektionsstandarder "03" Ledelsessystem for informationssikkerhed "04" Indtrængningsefterprøvning "05" Sårbarhedsefterprøvning "06" Program for styring af systemændringer To tal Der angiver hvilken spiltype dokumentet omhandler. Koderne er: "00" Alle spiltyper "01" Online væddemål "02" Landbaseret væddemål "03" Onlinekasino "04" Landbaseret kasino "05" Gevinstgivende spilleautomater "06" Lotterispil DK eller EN Der angiver sprogversionen. DK for dansk og EN for engelsk. Versionsnummer Der er beskrevet ovenfor i afsnit 1.6. Dokumentkoden SCP DK.1.0 er således inspektionsstandarder for landbaseret væddemål. Til hvert dokument er der tilknyttet en standardrapport med dokumentkoden SCP.XX.XX.ST, der skal bruges ved meddelelser til Spillemyndigheden om certificeringer. Dokumentkoden for standardrapporter bruger samme systematik som ovenfor. 1.8 Henvendelser Alle henvendelser, der vedrører dette dokument, bør stilles skriftligt til denne adresse: mail@spillemyndigheden.dk eller SCP DK.1.0 Side 5 af 10

6 Spillemyndigheden Helgeshøj Allé Taastrup 2 Certificering 2.1 Rammen for certificeringen En certificering er baseret på inspektion og prøvning af en tilladelsesindehavers spilsystem, forretningsgange og forretningssystemer i forhold til kriterier fastsat i Spillemyndighedens certificeringsprogram. Det er tilladelsesindehavers ansvar at opnå de påkrævede certificeringer og, at disse er udfærdiget af en akkrediteret testvirksomhed i henhold til certificeringsprogrammet, ved at tilrettelægge sin virksomhed med udgangspunkt i dette. Det er altid tilladelsesindehavers ansvar, at certificeringsprogrammet til enhver tid er opfyldt. 2.2 Krav til certificeringen Certificering udført på baggrund af dette dokument skal indleveres ved brug af formularen SCP ST Den akkrediterede testvirksomhed skal attestere, at tilladelsesindehavers spilsystem, forretningsgange og forretningssystemer efterlever kravene i dette dokument. Rent undtagelsesvist kan det accepteres, at den akkrediterede testvirksomhed attesterer certificeringen på trods af, at alle kravene ikke er opfyldt som beskrevet i dette dokument. Dette skal ske på baggrund af en risikovurdering med udgangspunkt i formålet med spilleloven og tilhørende bekendtgørelser. Risikovurderingen skal være baseret på ISO/IEC Risk management - Risk assessment techniques. Det skal fremgå tydeligt af certificeringen, hvorvidt denne fremgangsmåde er anvendt. 2.3 Certificeringsfrekvens Tilladelsesindehavers spilsystem, forretningsgange og forretningssystemer skal til enhver tid være certificeret. Tilladelsesindehaver er derfor til enhver tid ansvarlig for at sikre, at der løbende og med et interval på maksimalt 3 kalendermåneder sker certificering af tilladelsesindehavers spilsystem, forretningsgange og forretningssystemer, i overensstemmelse med kravene i dette dokument. Følgende retningslinjer er gældende i forbindelse med fornyelse af certificeringen og tidsfristerne for indlevering heraf: Inspektionen skal være påbegyndt inden udløbet af den eksisterende certificering, og skal være færdiggjort senest 1 måneder fra udløbet af den eksisterende certificering. Inden for samme frist skal det være Spillemyndigheden i hænde. Gen-certificeringen dateres med datoen for færdiggørelsen af inspektionen, medmindre inspektionen fortsætter efter udløbsdatoen for den eksisterende certificering. I så fald skal den nye certificering dateres med udløbsdatoen for den eksisterende certificering, da en certificeringsperiode ikke kan overskride 3 måneder. SCP DK.1.0 Side 6 af 10

7 2.4 Overførsel af tidligere udførte inspektioner og prøvninger Inspektioner og prøvninger udført i henhold til Spillemyndighedens certificeringsprogram Når en akkrediteret testvirksomhed har certificeret et givent krav i Spillemyndighedens certificeringsprogram og dette krav indgår i flere forskellige dele af certificeringsprogrammet fx SCP DK Teststandarder for online væddemål og SCP DK Teststandarder for landbaseret væddemål, er det ikke nødvendigt at gentage certificeringen af kravet. I sådanne tilfælde kan der i stedet henvises til den allerede udførte certificering. Dette er også tilfældet, hvis certificeringen er udført af en anden akkrediteret testvirksomhed Inspektioner og prøvninger udført i henhold til andre standarder Det er muligt at lægge tidligere inspektioner og prøvninger, foretaget på baggrund af lignende kriterier, til grund for certificeringen. Det skal dog understreges, at det faktiske tidspunkt for den seneste inspektion eller prøvning i sådanne tilfælde danner grundlag for fastlæggelsen af certificeringsfrekvensen. Det vil eksempelvis sige, at hvis en seks måneder gammel inspektion eller prøvning lægges til grund for certificeringen, skal der ske en fornyelse af certificeringen seks måneder tidligere end normalt. Ovenstående er også muligt, selv om certificeringen er udført af en anden akkrediteret testvirksomhed. Når den akkrediterede testvirksomhed skal tage stilling til om en inspektion eller prøvning, foretaget på baggrund af lignende kriterier, kan overføres, skal dette ske på baggrund af en risikovurdering med udgangspunkt i formålet med spilleloven og tilhørende bekendtgørelser. Risikovurderingen skal være baseret på ISO/IEC Risk management - Risk assessment techniques. Det skal fremgå tydeligt af certificeringen, hvorvidt denne fremgangsmåde er anvendt. 2.5 Tilladelsesindehaveres underleverandører Certificering af en underleverandør En underleverandør til en tilladelsesindehaver kan lade deres produkter certificere helt eller delvist efter Spillemyndighedens certificeringsprogram. I sådanne situationer udfylder underleverandørens akkrediterede testvirksomhed en tilsvarende formular, som beskrevet i afsnit 2.2. Tilladelsesindehavers akkrediterede testvirksomhed skal ved test af tilladelsesindehaverens spilsystem alene teste de dele af spilsystemet, der ikke er certificeret i forbindelse med underleverandørens certificering. Tilladelsesindehavers akkrediterede testvirksomhed behøver i denne sammenhæng ikke at forholde sig til det arbejde, underleverandørens akkrediterede testvirksomhed har udført, men skal alene i certificeringen henvise til dette Integration i tilladelsesindehavers spilsystem Den akkrediterede testvirksomhed skal være særligt opmærksom på, at selvom underleverandørens produkt allerede er certificeret, kan det være nødvendigt at gentage dele af certificeringen, når produktet integreres i tilladelsesindehaverens samlede spilsystem. Dette vil særligt være relevant, når der ved implementeringen sker ændringer i det certificerede produkt. SCP DK.1.0 Side 7 af 10

8 2.5.3 Periodeforskydning Perioden mellem underleverandørens certificering og tilladelsesindehavers certificering, som beskrevet i afsnit 2.3, kan afvige med maksimalt én kalendermåned. Vejledning: Dette kunne fx betyde, at en tilladelsesindehaver bruger en certificeringsperiode fra 1. maj til 30. april, mens dennes underleverandør bruger en certificeringsperiode fra 1. april til 31. marts Kompilering af certificeringerne Det er tilladelsesindehavers akkrediterede testvirksomheds opgave at sikre, at der er taget stilling til samtlige krav i dette dokument. Det skal fremgå af tilladelsesindehavers certificering, hvorvidt det enkelte krav er testet af tilladelsesindehavers akkrediterede testvirksomhed, en underleverandørs akkrediterede testvirksomhed eller ikke er en del af tilladelsesindehavers udbud af spil. 2.6 Akkrediterede testvirksomheder Testvirksomheder skal opnå ISO/IEC akkreditering og/eller ISO/IEC akkreditering med udgangspunkt i de kriterier, der er beskrevet i de følgende afsnit. Akkrediteringens scope skal udvides, så Spillemyndighedens certificeringsprogram SCP DK.1.0 fremgår eksplicit heraf. For at sikre, at de nødvendige kvalifikationer er til stede, når en certificering udføres, skal testvirksomheden og dennes ansatte leve op til følgende minimumskrav. Dokumentation for, at kravene er opfyldt, skal vedlægges certificeringen Krav til testvirksomheden Testvirksomheden skal: a) have mindst 2 års erfaring med sårbarhedsscanning af systemer eller et lignende nært beslægtet fagområde, b) være akkrediteret som Payment Card Industry (PCI) Approved Scanning Vendor (ASV) c) arbejde med udgangspunkt i ISO/IEC akkrediteringen og/eller ISO/IEC akkrediteringen, der henviser til kravene i SCP DK.1.0, og d) sikre, at tilstrækkeligt kvalificeret personale udfører certificeringen Krav til personale, der superviserer og attesterer certificeringen Certificeringen skal udføres af personale, der er tilstrækkeligt kvalificeret, jævnfør afsnit ovenfor. Udførslen skal superviseres, og certificeringserklæringen skal attesteres af én eller flere personer, der indestår for, at arbejdet er udført fagligt forsvarligt. Disse personer skal opfylde følgende krav: a) 5 års erhvervsmæssig erfaring med sårbarhedsefterprøvning af systemer, eller et lignende nært beslægtet fagområde, og b) være certificeret som International Council of E-Commerce (EC-Council) Certified Ethical Hacker (CEH), International Council of E-Commerce (EC-Council) Licensed Penetration Tester (LPT), Information Assurance Certification Review Board (IACRB) Certified Penetration Tester (CPT), SCP DK.1.0 Side 8 af 10

9 Global Information Assurance Certification (GIAC) Certified Penetration Tester (GPEN), CESG CHECK Team Leader, CESG CHECK Team Member, CREST Infrastructure Certification, CREST Registered Tester, Tiger Scheme Senior Security Tester, eller Tiger Scheme Qualified Security Tester. Vejledning: Certificeringen og attesteringen kan foretages af flere personer, der i fællesskab opfylder kravene. 3 Rammen for sårbarhedsscanning Spillemyndighedens program for sårbarhedsscanning er til dels inspireret af Payment Card Industry Data Security Standard (PCI-DSS). 3.1 Formål med sårbarhedsscanning Ved sårbarhedsscanning skal den akkrediterede testvirksomhed foretage en scanning af tilladelsesindehavers systemer med henblik på at afdække svagheder i den tekniske infrastruktur. Svagheder, som potentielt kunne blive udnyttet til uautoriseret indtrængen i tilladelsesindehavers systemer. 3.2 Beskyttede komponenter Spilsystemet og forretningssystemerne skal være beskyttet mod eventuelle angreb fra udefrakommende. I særdeleshed skal komponenter, som indeholder følsomme oplysninger om kunder, beskyttes. Definitionen af komponenter og disses væsentlighed skal ses i sammenhæng med Spillemyndighedens program for styring af systemændringer SCP DK, afsnit Tilladelsesindehaver kan ved segmentering af deres interne netværk, herunder hvilke dele af systemet, som kommunikerer via offentlige netværk med følsomme oplysninger, mindske risikoen for uautoriseret adgang. 3.3 Opdatering af software og hardware Det er tilladelsesindehavers ansvar, at systemernes komponenter er opdateret til et niveau, der frembyder den højest mulige sikkerhed og ikke kompromitterer systemernes integritet. Herved mindskes risikoen for uautoriseret adgang til følsomme oplysninger Bortfald af certificering Hvis der sker opdatering af komponenter hos tilladelsesindehaver eller en underleverandør, anbefales det at scanne for sårbarheder for at sikre, at de eksisterende interne kontroller stadig er effektive og funktionelle. Det skal fremgå af certificeringen for sårbarhedsscanning, at denne bortfalder ved væsentlige opdateringer eller ændringer i infrastrukturen eller brugen heraf (f.eks. installation af nye systemkomponenter, tilføjelse af et under-netværk eller tilføjelse af en webserver). Hvad der bedømmes som væsentligt, afhænger i høj SCP DK.1.0 Side 9 af 10

10 grad af opsætningen af et givent miljø, og det kan som sådan ikke foruddefineres af Spillemyndigheden. Det betragtes altid som væsentligt, hvis opdateringen eller ændringen kan påvirke eller give adgang til følsomme oplysninger og/eller komponenter, jf. Spillemyndighedens program for styring af systemændringer SCP DK, afsnit Intern funktion hos tilladelsesindehaver Den akkrediterede testvirksomhed kan tillade, at certificeringen ikke bortfalder som beskrevet i afsnit 3.3.1, hvis tilladelsesindehaver har en intern funktion, hvis primære formål er at foretage løbende sårbarhedsscanning af systemerne. Funktionen skal være bemandet med kvalificeret personale samt være organisatorisk adskilt fra funktionen, der implementerer systemændringer. Såfremt certificeringen udskydes, vurderer, godkender og certificerer den akkrediterede testvirksomhed scanningerne hver tredje måned. Det skal fremgå tydeligt af certificeringen, hvorvidt denne fremgangsmåde er anvendt. Muligheden for udskydelse af certificering til hver tredje måned kan kun benyttes af tilladelsesindehavere. Den kan ikke benyttes af underleverandører uden selvstændig tilladelse til udbud af spil i Danmark. 4 Processen for gennemførsel af sårbarhedsscanning Den akkrediterede testvirksomhed kan anvende National Vulnerability Database Common Vulnerability Scoring System version 2-skalaen (NVD CVSS v2) eller et lignende scoringssystem med tilsvarende niveau, til at vurdere om tilladelsesindehavers systemer har et tilfredsstillende niveau af sikkerhed. Hvis den samlede score for tilladelsesindehavers sårbarhedsscanning overstiger 4 på NVD CVSS v2-skalaen, kan den akkrediterede testvirksomhed ikke godkende testen. Tilladelsesindehaver skal udbedre de afdækkede sårbarheder i systemerne, og testes på ny for at opnå en certificering. SCP DK.1.0 Side 10 af 10