Forordningens sikkerhedskrav

Transkript

1 Forordningens sikkerhedskrav Klaus Kongsted, Dubex DI, 12. oktober 2016

2 Agenda Hvordan håndteres Risikovurdering Passende tekniske og organisatoriske foranstaltninger Godkendte adfærdskodekser og certificering Accountability ( Ansvarlighed )

3 Hvad siger forordningen? Præambel (78) i EU-persondataforordningen: Beskyttelse af fysiske personers rettigheder og frihedsrettigheder i forbindelse med behandling af personoplysninger kræver, at der træffes passende tekniske og organisatoriske foranstaltninger for at sikre, at denne forordnings krav opfyldes. Artikel 24 i EU-persondataforordningen: Under hensyntagen til den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder gennemfører den dataansvarlige passende tekniske og organisatoriske foranstaltninger for at sikre og for at være i stand til at påvise, at behandling er i overensstemmelse med denne forordning Artikel 32, stk. 2 i EU-persondataforordningen: Ved vurderingen af, hvilket sikkerhedsniveau der er passende, tages der navnlig hensyn til de risici, som behandling udgør,

4 Risikobaseret tilgang Risikostyring er et værktøj til at sikre korrekt anvendelse af ressourcer Identificerer informationsaktiver i relation til persondatabehandling Sikkerhed er altid et spørgsmål om prioritering Implementering af sikkerhed forbundet med udgifter Som regel begrænsede ressourcer Beslutninger baseres på en vurdering af risici Informationscenteret Viser de faktiske sårbarheder i en forretningsmæssig sammenhæng Risikobaseret Klar prioritering og baggrund for sikkerhedsinvesteringer Information Risiko Foranstaltninger Risikostyring er en løbende proces

5 Risikovurdering i praksis Risikoen baseres på konsekvenser, vægtet med deres sandsynlighed Vurderingen af konsekvenserne baseres f.eks. på de finansielle omkostninger, mistet omdømme, bødekrav m.m. Vurderingen af sandsynligheden for at noget sker, baseres på trusler og sårbarheder, holdt op i mod foranstaltningerne (kontrollerne) Hacker Konkurrent Terrorist Utilfreds medarbejder Software fejl Dårlige passwords Default værdier Design fejl Sårbarheder forstærker trusselspotentialet Risiko = Trussel * Sårbarheder Sikkerhedsløsninger Backup Uddannelse Procedurer Foranstaltninger Foranstaltninger mindsker trusselspotentialet * Konsekvenser / værdi Katastrofal Alvorlig Forstyrrende Ingen Konsekvenser forstærker trusselspotentialet Omkostninger Besvær / forsinkelse Omdømme

6 Trusler Der findes mange trusler Se fx appendiks C i ISO 27005:2011 standarden Kan mere generelt gruppers som trusler om Brud på fortroligheden (F) Brud på integriteten (I) Brud på tilgængeligheden (T) Sammenhold truslerne med de sårbarheder det enkelte persondata-aktiv har Det viser hvilke trusler der er relevante for det aktiv I praksis ses trusler og sårbarheder ofte under ét som brud

7 Sårbarheder Der findes mange sårbarheder Se fx appendiks D i ISO 27005:2011 standarden Overordnet kan et aktiv være sårbar over for: Ondsindede handlinger (forsæt) Fejl og ubevidste handlinger (uforsætligt) Uheld/ulykker Naturkatastrofer/Force Majeure En række af sårbarhederne er dækket af nuværende kontroller Disse bør også identificeres og knyttes til de anvendte kontroller Som en del af den samlede dokumentation Brud er trusler, der kan udnytte sårbarheder

8 Konsekvens Overordnet skal man beskytte sine persondata mod: Brud på fortroligheden (F) Brud på integriteten (I) Brud på tilgængeligheden (T) Brudene har alle har en konsekvens, som vurderes af aktivets ejer, typisk fra forretningen, men kunne eksempelvis også være HR Brug f.eks. en skala fra 1 (lav) til 5 (høj) til at vurdere konsekvensen af de tre typer af brud

9 Sandsynlighed Brud har en sandsynlighed, som vurderes fx af den teknisk ansvarlige for sikring af aktivet Fx i en dialog med en erfaren sikkerhedskonsulent Kan også håndteres vha. risikostyringsværktøjer Sandsynligheden afhænger bl.a. af de sikringsforanstaltninger, der allerede er på plads Brug fx en skala fra 1 (lav) til 5 (høj) til at vurdere sandsynligheden for de forskellige typer af brud Det kan give mening at samle/gruppere brudene Overvej at samle dem til sandsynlighederne for brud på: Fortroligheden Integriteten Tilgængeligheden

10 Organisationens risikoappetit Højere Lavere Konsekvens Konsekvens Sandsynlighed inkl. Sikkerhedsmiljø Sandsynlighed inkl. Sikkerhedsmiljø Attribut Grøn Gul Rød Data Her kan risiko accepteres uden at der gennemføres ændringer Her skal risiko normalt håndteres, så restrisiko bringes ned i det grønne område, enten ved ændringer i løsning/procedurer eller kompenserende kontroller Her skal risiko overføres eller nedbringes, f.eks. kan der indføres tekniske foranstaltninger, som bringer risiko ned i det gule område, og resterende risiko fjernes med kompenserende kontroller.

11 Risikohåndteringsplan Er risikoen gul eller rød skal den håndteres Det kan generelt ske ved, at den nedbringes, f.eks. ved hjælp af nye/ekstra sikringsforanstaltninger undgås, f.eks. ved at man holder op med noget eller ændrer det overføres til andre, f.eks. ved forsikring accepteres alligevel, evt. bare for en periode Dette beskrives i en risikohåndteringsplan (RTP), som godkendes af ledelsen Kan også bruges til at dokumentere hvor de forskellige kontroller anvendes Det kan være en iterativ proces at nå til en godkendt plan Kan også være en simpel proces ja/nej

12 Hvad er godkendte adfærdskodekser og certificering Vi kender ikke Godkendte adfærdskodekser endnu Vi kender ikke Certificeringsmekanismer endnu Men vi har en rimelig antagelse :

13 Grundlæggende sikkerhedsforanstaltninger Er ISO svaret?

14 Grundlæggende sikkerhedsproces Hvad er ISO 27001? Ledelsessystem for informationssikkerhed (ISMS) Grundlaget er ledelsens engagement og accept Fokus er på forretningen og på at beskytte de forretningskritiske aktiver Procesorienteret Valg af kontroller baseret på risikovurdering Udvælgelsen er en vigtig del af processen Kontrollerne er beskrevet i bl.a. ISO Implementering skal være hensigtsmæssig Der lægges vægt på ledelsesrapportering Plan Act Do Check

15 Kontrollerne - ISO 27002:2013 (2014) 5. Informationssikkerhedspolitik og vedligeholdelse 6. Organisering og styring af informationssikkerhed internt og eksternt 7. Personalesikkerhed ifm. ansættelser, afskedigelser og under ansættelsen 8. Styring af aktiver (klassifikation og retningslinjer for brug af faciliteter) 9. Adgangsstyring (brugeradministration og passwords) 10.Kryptografi 11.Fysisk sikkerhed, samt miljøsikring og beskyttelse af udstyr 12.Driftssikkerhed (teknologier, inkl. backup, logning mv.) 13.Kommunikationssikkerhed (sikring af netværkstjenester, segmentering mv.) 14.Anskaffelse, udvikling og vedligeholdelse af informationssystemer 15.Informationssikkerhed i leverandørforhold og outsourcing 16.Styring af informationssikkerhedshændelser og forbedringer 17.Beredskabsstyring, nødplaner og kontinuitet 18.Overensstemmelse med eksterne krav, lovgivning mv

16 Tekniske og organisatoriske foranstaltninger Pointen er, at alle er blevet hacket Sikkerhed generelt drejer sig i dag om vores proces og tilgang til at Risikostyre vores aktiver (Predict & Identify) Implementere passende afvejede kontroller (Prevent & protect) Opdage når vi bliver kompromitteret (Detect) Reagere hurtigt på en kompromittering (Respond & recover) Understøttelse med værktøjer og processer (Capabilities) Predict & Identify Prevent & Protect Detect Respond & Recover capabilities Risk Management Vulnerability Management Fundamental Monitoring Incident Handling Disaster Recovery Visibility Analytics Advanced Threat Intelligence Containment Forensic

17 Anvendelige værktøjer passende foranstaltninger Predict & Identify Prevent & Protect Detect Respond & Recover Capabilities Risk Management Visibility Vulnerability Management Analytics Fundamental Advanced Monitoring Threat Intelligence Incident Handling Containment Disaster Recovery Forensics Lean Forward DLP/DAM Awareness APT/Threat Intelligence Sandboxing Incident Response Advanced Network Access control Next generation firewall Mobile App W/B listing SIEM Fundamental Vulnerability scan Antivirus IAM Patch Firewall/IPS WWW Wireless Network segmentation End Point Protection Professionals Governance Risk Compliance Penetration test Service Design Program Management SOC Support & Operations Service Management SAC & Threat Intelligence Centre DIRT

18 Tak! Klaus Kongsted,