Lars Neupart Director GRC Stifter, Neupart

Transkript

1 PROCESSER FOR BEVISSIKRING I ET ISO PERSPEKTIV. Lars Neupart Director GRC Stifter, Neupart

2 Om Neupart (nu KMD) KMD s GRC afdeling: Udvikler og sælger SecureAware : En komplet og effektiv ISMS-løsning, som hjælper virksomheder med itrisikostyring og enklere efterlevelse af deres it-sikkerhedskrav. Leverer SecureConsult : Rådgivning og hjælp fra erfarne itsikkerhedskonsulenter kunder i mange brancher og størrelser. Stiftet i 2002 af Lars Neupart. En del af KMD, en ISO certificeret virksomhed.

3 DI s vejledning I bevissikring hop/forensics-vejledning-endeligudgave.pdf?productid=9410&downloa dtype=produkt

4 Udvalgte ISO 2700x- standarder ISO ISO27001 ISO27002 ISO Overview and vocabulary Information Security Management Systems Requirements Code of practice for information security management ISMS Implementation Guidelines ISO Information Security Management - Measurement ISO27005 Information Security Risk Management ISO27006 Requirements for bodies providing audit and certification

5 ISO/IEC 30121:2015 Governance of digital forensic risk framework Provides a framework for Governing bodies of organizations (including owners, board members, directors, partners, senior executives, or similar) on the best way to prepare an organization for digital investigations before they occur. This International Standard applies to the development of strategic processes (and decisions) relating to the retention, availability, access, and cost effectiveness of digital evidence disclosure.

6 Identificér relevante love Iso 27002, control 18.1 All relevant legislative statutory, regulatory, contractual requirements and the organization s approach to meet these requirements should be explictly identified, doumented, and kept up to date for each information system and the organization DI s vejledningnævner straffeloven og retsplejeloven

7 Sikkerhedshændelser Afsnit 16 om Incident Management ISO Management responsibilities and procedures...incl : Procedures for handling of forensic evidence

8 Og så til den centrale ISO control Collection of evidence The organization should define and apply procedures for the identification, collection, acquisition and preservation of information, which can serve as evidence.

9 a. Chain of custody b. Safety of evidence c. Safety of personel d. Roles and responsibilities e. Competency of personnel f. Documentation g. Briefing (ref ISO ) Procedures for collecting evidence

10 KMD De overordnede processer i Forensic er: Identificere (breach) Indsamling af bevis Sikre beviserne Analysere (hvad skete der) Rapportere

11 Proces-eksempel DI vejledning Hændelse ja/nej Øjeblikkelig handling? Eksterne parter, politi? Kriminelt? Hvis en hændelse opstår skal det hurtigt kunne afgøres om der er tale om en sikkerhedshændelse eller ej. Det skal hurtigt kunne besluttes om hændelsen har en sådan karakter for forretningen, at der skal gribes ind øjeblikkeligt (f.eks. penge der er ved at blive fjernet fra en konto eller et produktionsapparat der er ved at blive lukket ned) eller om man kan iagttage forbryderens handlinger over tid (f.eks. at han arbejder på at få adgang til uskadelige informationer) for at sikre de bedste beviser. Fx særdeleshed tekniske eksperter med kendskab til hændelsens IT-faglige område og med kendskab til bevissikring. Fx politi. Sørg for altid at have kontaktpersoner hos tekniske eksperter og hos politiet, så man hurtigt kan komme i gang hvis hændelsen skulle opstå. oplagt kriminel handling?. I tvivlstilfælde herunder om en handling er ulovlig i et givent land, hvorfra den kriminelle agerer kan en advokat eller politiet kontaktes.

12 En Neupart-konsulents råd Det jeg oplevede med vores kunde var at de ikke havde et beredskab for ondsindede insider handlinger (datalækage eller økonomisk kriminalitet) dvs Ingen viden om/proces for hvem man skal kontakte. En minimumsproces der sikrer at "bevis" ikke kontamineres. "Chain of custody " delen bør efterlades til eksterne parter. Det er tool understøttet og ikke noget der bør varetages af virksomheden selv.. Manglende overblik hvor de virkelige kritiske data ligger (risikovurderinger) Manglende stillingtagen til hvad skal logges i forhold til sensitiv data. Det gjorde det rigtig svært for mig, da al logning var vendorsat (out of the box) En logstrategi er alfa og omega..

13 Incident response Forensics, bevisindsamling kan først starte når man har opdaget en hændelse. Kræve logning, overvågning, analytics Forslag: Det er en klassisk awareness-opgaveat sikremedarbejdereved hvordan/hvornår incidents skal meldes ind EU-dataforordning Process for at melde et brudindenfor 72 timer

14 SecureAware løsningen IT Risk Management Professionel it-risikostyring på kortere tid ISO Policy & Compliance Styr på informationssikkerheden Business Continuity Planning Altid ajour og tilgængeligt it-beredskab

15 TAK Lars Neupart Director GRC Stifter,