SecureAware Policy Manual Manualen beskriver brugen af SecureAware version 3 Dokument opdateret: november 2009 Om dette dokument Dette dokument er en vejledning i brug af policy-modulet i SecureAware. Dokumentet giver en detaljeret beskrivelse af modulet og dets funktioner og har til formål at guide dig igennem opbygning af en it-sikkerhedshåndbog fra bunden.
Indholdsfortegnelse It-sikkerhedshåndbog i SecureAware...3 Opret din it-sikkerhedshåndbog...4 Politikguiden (Wizard)...4 Administration af it-sikkerhedshåndbogen...5 Den overordnede politik...8 Regler...10 Sortering af regler...10 Redigering af regelsættet...10 Søg & Erstat i regler...14 Standardmapning...15 Procedurer...18 Oprettelse af procedurer...18 Link proceduren til regler...20 Eksterne referencer...20 Strategi...22 Hvordan ser slutbrugerne politikken?...23 Ændring af navne på faneblade...23 Hvem har læst politikken?...24 Bagvedliggende administration...25 Regelbiblioteket...26 Regelstrukturer...29 Skabeloner...30 Administration af it-sikkerhedshåndbogen...33 Kopiering af en politik (import og eksport)...34 Logning af ændringer...35 Kontaktinformation...37 2
It-sikkerhedshåndbog i SecureAware Politikmodulet i SecureAware består af tre niveauer. Det øverste niveau er en overordnet politik/strategidokument, der benyttes til at beskrive en organisations informationssikkerhedspolitik. Modulet giver også mulighed for at opbygge en informationssikkerheds-håndbog, og er i SecureAware vist som den øverste del af en tredelt politik-pyramide. Det mellemste niveau giver mulighed for, at beskrive hvilke regler (Rules) organisationens politik (eller politikker) indeholder. F.eks. Vores firma skal tage daglig backup af data på serverne. Det nederste niveau er procedurerne (Procedures), hvor det er muligt at definere, hvordan reglerne skal overholdes. F.eks. Sådan tager vi backup af data på vores servere. Har du udvidet licens til politikmodulet, har din politik et fjerde niveau. Dette kan navngives efter behov, og kan benyttes til eksempelvis beskrivelse af ansvar, principper, eller andet indhold, som hører til politikken, men som ikke synes at passe ind andre steder. SecureAware indeholder en række standardskabeloner, som du kan bruge som udgangspunkt for udarbejdelse af din organisations informationssikkerhedspolitik. Du kan også vælge at definere dine egne skabeloner. 3
Opret din it-sikkerhedshåndbog Politik-pyramiden er vist øverst til højre i skærmbilledet, som det andet ikon fra venstre. Der er desuden genveje til politikken på startsiden Min SecureAware. Politikguiden (Wizard) Oprettelse af en ny it-sikkerhedshåndbog kan ske ved hjælp af politikguiden, som skridt for skridt leder dig igennem det indledende arbejde med politikoprettelsen. Ønsker du flere redigeringsmuligheder, klikker du på Flere muligheder... Politikstyringen beskrives i næste kapitel. Politikguiden kan slås helt fra ved at sætte flueben i Skjul denne guide næste gang (kan genaktiveres fra hovedmenuen). Klik på Ny it-sikkerhedshåndbog og indtast et navn til håndbogen.vælg herefter den skabelon, som politikken skal baseres på (detaljeret beskrevet på s. 5 ) Når skabelonen er valgt, klikkes på Opret. Du har nu en standardpolitik, som du kan begynde at tilrette. En politik i SecureAware består af en overordnet politik, et regelsæt, et antal procedurer og evt et fjerde niveau (ikke vist på skærmbilledet). Fra politikguiden har du adgang til at redigere disse dele. Læs mere om redigering i senere afsnit: Du kan til enhver tid se dine politikdele ved at klikke på Vis politik. Den valgte politikdel vil nu vises i PDF, som den ser ud på det givne tidspunkt. Klikker du på Aktiver politik, vil politikken blive aktiv og kan nu tilgås af brugerne. 4
Administration af it-sikkerhedshåndbogen Når du går direkte til politikstyring, vil du se nedenstående skærmbillede. Det er herfra du efterfølgende håndterer og opretter alle politikker, regler og procedurer i SecureAware. For at oprette en ny politik herfra, klikker du på Ny it-sikkerhedshåndbog, hvorefter du vil se nedenstående skærmbillede. Her tildeler du politikken et navn og en beskrivelse. Versionsnummeret vil som udgangspunkt være 1.0, men dette kan du naturligvis ændre, hvis du vil oprette en opdateret version af en eksisterende politik. Klik herefter på Næste, for at gå videre. Du får nu mulighed for at oprette din it-sikkerhedshåndbog med en standard som skabelon, eller benytte en tom skabelon og på denne måde definere din egen struktur. Hvis din virksomhed skal efterleve kravene i DS484:2005, ISO27002:2005, PCI DSS eller dele af disse standarder, er det en god idé at benytte disse skabeloner. Andre skabeloner følger ikke standardernes struktur, men indeholder samme regler. 5
Når skabelonen er valgt, oprettes politikken ved at klikke på Opret. I dette eksempel er der oprettet en politik, som er navngivet It-sikkerhedshåndbog. Pyramiden fremstår nu i farver, hvilket indikerer, at politikken ikke er låst og derfor kan redigeres. Den grønne, indikerer, at den pågældende håndbog er valgt som genstand for redigering. Er der oprettet flere håndbøger, vil de 6
resterende håndbøger have en grå pil. Alle ændringer du foretager dig, vil altid kun have indflydelse på den, med grønt, markerede håndbog. For at ændre i en anden it-sikkerhedshåndbog, klikker du på pilen ud for denne, som så vil ændre farve til grøn og indikere redigeringstilstand. Det grønne checkmark betyder, at politikken er aktiv. Det er altså denne politik dine slutbrugere vil blive præsenteret for, når de logger på SecureAware og vælger fanebladet Politik. Slutbrugermenuen Som standard vil den først oprettede it-sikkerhedshåndbog altid være den aktive. For at aktivere en it-sikkerhedshåndbog, markerer du den, så den er i redigeringstilstand. Herefter klikker du på Aktiver i højre side af skærmbilledet. 7
Den overordnede politik Når du klikker på Politik, vil du se, hvordan den overordnede politik (indtil videre) er opbygget. Du kan her vælge at slette dele af politikken ved at klikke på det røde kryds en eller flere dele ved at klikke på det grønne checkmark, eller bare at deaktivere. Du kan også ændre de forskellige deles rækkefølge ved hjælp af de orange pile. Vil du tilføje afsnit, klikker du på Ny sektion i politik. Har du valgt en tom skabelon, vil der ikke være prædefinerede politikdele, og du skal derfor selv oprette hele politikken. Du kan få udskrevet din politik i PDF ved at klikke på ikonet. For at redigere i politikkens afsnit, klikker du på blyanten. Du vil nu se et skærmbillede med den tekst, der hører til den valgte politikdel. Som minimum skal du indsætte din virksomheds navn i alle delene, da skabelonen benytter det fiktive firmanavn VIRKSOMHEDABC. 8
Du kan også ændre overskriften, eller formattere teksten ved hjælp af redigeringsværktøjerne i bunden af billedet. Når teksten er rettet til, klikker du på Opdater. Hvis du fortryder dine rettelser, vælger du Annuller. Nederst i skærmbilledet kan du søge efter og linke til regler, som er relevante i forhold til netop denne del af den overordnede politik. Har du et fjerde lag i politikken, kan der også linkes til tekstafsnit i denne. 9
Regler Selve reglerne, der er knyttet til en politik, kan håndteres ved at klikke på Regler. Reglerne beskriver, i modsætning til politikkens generelle målsætninger, hvad man må og ikke må i virksomheden. Som vist nedenfor, er reglerne opdelt i kategorier (vist som mapper). I dette eksempel er der brugt en DS484:2005 skabelon til politikken test3. Derfor er kategorierne (eller afsnittene, om man vil) opsat og nummereret på samme måde som i denne standard. Du kan nu ændre, slette og tilføje regler og kategorier i din politik. Sortering af regler I øverste venstre hjørne findes en sorteringsmenu:. Som standard er reglerne vist efter hvilken sikkerhedskategori de tilhører, men du kan også få dem vist sorteret efter emne ved at klikke på. Ønsker du at se reglerne opdelt efter, hvilken målgruppe (slutbruger/it-administrator/leder) reglerne henvender sig til, skal du klikke på. Klikker du på, vises reglerne efter hvilke standarder, de er knyttet til. Ikonet sorterer alfabetisk, mens ikonet giver dig mulighed for at søge i reglerne. Redigering af regelsættet I øverste højre hjørne ses 4 redigerings-ikoner. Du kan komme tilbage til politikstyringshovedmenuen ved hjælp af beskrives i et senere afsnit. Ved at klikke på. PDF-ikonet benyttes til standardmapning, hvilket, får du mulighed for, at oprette en ny kategori. Klik på for at tilføje en målgruppe til ALLE regler i din it-sikkerhedshåndbog. 10
Oprettelse af kategorier De kategorier, der er vist i en politikskabelon, kan slettes eller ændres efter behov. Du kan også lave nye kategorier og underkategorier og indsætte dem i strukturen. Ønsker du at lave en ny kategori, klikker du på. Du kan nu Indtaste navnet på den nye kategori og evt. tildele den en beskrivelse. Skal din nye kategori være en underkategori til en anden, vælges denne ved at klikke på rullemenuen ud for Tilhører kategori. Klik til sidst på Opret. Når kategorien er oprettet, kan du flytte den op og ned i politikken indenfor kategorier på samme niveau. Oprettelse af regler Ved at klikke på foldes en kategori ud, og du kan se de underliggende kategorier med tilhørende regler. Nedenfor ses reglen Overordnet risikovurdering udfoldet, så man kan se optionerne, hvoraf nogle er afkrydsede, mens andre ikke er. De afkrydsede optioner er dem, der vil blive medtaget i itsikkerhedshåndbogen. Du kan fjerne eller tilføje eksisterende optioner, ved at afkrydse dem. 11
Ønsker du at skrive dine egne, eller at redigere ordlyden af de eksisterende optioner, klikker du på, så reglen (her: Overordnet risikovurdering) kommer i redigeringstilstand. Her kan ændre ordlyd, ved at klikke på ud for de enkelte optioner, ligesom du kan slette dem ved at klikke på. Vær opmærksom på, at du ikke behøver slette en option for at fravælge den som en regel. Det er nok at deaktivere den. For at lave en ny option, klikker du på Tilføj og indtaster teksten i redigeringsboksen. Klik herefter på OK. Du kan ligeledes ændre navnet på reglen, skrive en note til det, eller bestemme hvilken kategori, det skal høre til. 12
Links til andre politikdele For at linke til procedurer eller dele af den overordnede politik (evt det fjerde lag i politikken), skal du klikke på Tilføj, vælge, hvad der skal linkes til, og derefter klikke på OK. Dette medfører, at slutbrugere, når denne regel vises, vil kunne klikke på et link og blive ledt til den relaterede procedure/overordnede politikdel. Målgrupper og emner På samme måde kan du give reglen et emne eller en målgruppe. Dette gør det nemmere for slutbrugeren at finde de regler, der er relevante for netop dem (målgruppe) og at søge på det emneområde, som reglen hører under. Klik på for at tilføje en målgruppe til ALLE regler i din itsikkerhedshåndbog. Vær opmærksom på, at når du tilføjer en målgruppe til samtlige regler kan dette have effekt på andre politikker i SecureAware, som benytter samme regler. Tilføjelse af en regel til en kategori Hvis du vil føje regler til en kategori, starter du med at markere den kategori, reglen skal tilhøre. Du skal nu finde en passende regel. Dette gør du ved at klikke på i øverste højre hjørne. Dette giver dig mulighed for at søge efter eksisterende regler. Du behøver ikke skrive hele navnet på reglen for at søge det frem. Hvis du får flere regler frem når du søger, klikker du på, for at tilføje reglen. Når du har fundet den rigtige regel, markerer du det i oversigten, og afkrydser de regler, du vil bruge din politik. Husk at klikke på Opdater for at gemme dine ændringer. Ønsker du at lave en nyt regel, markerer du igen den kategori, reglen skal knyttes til og klikker på, hvorefter du får mulighed for at navngive og beskrive reglen. Når du herefter klikker på Opret er 13
reglen tilføjet og du kan nu redigere det ved at klikke på de prædefinerede regler (se afsnittet Oprettelse af regler ovenfor).. Dette foregår på samme måde som med Søg & Erstat i regler Som før nævnt kan du rette i reglen ved at finde den pågældende regel og åbne dette i redigeringstilstand. Nogle gange vil det dog være nemmere at benytte Søg & Erstat-funktionen. Dette kan eksempelvis være, hvis du ønsker at reglerne i jeres politik skal indeholde virksomhedens navn, i stedet for blot at referere til virksomheden som i: Virksomheden har mulighed for at filtrere og begrænse internetadgang. Som kan ændres til: Virksomhed ABC har mulighed for at filtrere og begrænse internetadgang. Start med at vælge Regelbibliotek i Administrations-delen. Vælg herefter ikonet i øverste højre hjørne. Du kan nu vælge hvilket ord, der skal erstattes, og hvilket det skal erstattes med. Du kan også vælge, om der skal skelnes mellem store og små bogstaver. Klik Start erstat for at begynde. 14
Du kan nu vælge, om du vil erstatte alle forekomster af søgeordet på én gang, eller om du vil se forslaget først. Det sidste kan som regel anbefales, da bøjninger af et ord kan give problemer, hvis du vælger Erstat alle. Standardmapning Standardmapning benyttes til at få overblik over, hvordan din aktive politiks regelsæt forholder sig til en given standard. Du kan altså få forslag til regler, som gør, at jeres virksomhed i højere grad lever op til standarden. Fra regel-editoren får du adgang til denne funktion, ved at klikke på PDF-ikonet længst til højre. Du vælger nu hvilken standard du vil måle jeres politik op imod. Du har valget mellem DS484:2005, ISO17799 eller PCI DSS (Payment Card Industry Data Security Standard). Herefter vælges Fuld rapport eller Mangelrapport (se beskrivelserne nedenfor) og klikkes på OK. Du kan nu se rapportens egenskaber. Klik på Tilbage for at ændre dette, Retur for at fortryde eller Vis rapport for at generere og se rapporten. 15
Fuld rapport Hvis du vælger en fuld rapport, vil du se samtlige afsnit i den valgte standard efterfulgt af de regler i jeres aktive politik, som forholder sig til netop dette afsnit. Mangelrapport Vælger du Mangelrapport, vil du nu se en liste over de afsnit i standarden, som jeres politik ikke forholder sig til, samt forslag til, hvilke regler du kan overveje at tilføje til jeres politik. 16
17
Procedurer Når du har oprettet regler i politikken, kan du nu tilknytte procedurer til reglerne. Som standard er der ikke tilknyttet procedure-indhold til reglerne, men der er dog oprettet nogle eksempler på hændelser, som kan tilføjes indhold, tilrettes efter behov og tilknyttes reglerne i politikken. Procedurer beskriver hvordan reglerne overholdes. F.eks. kan reglen Adgangskoder skal skiftes efter højst 90 dage, tilknyttes en procedure der hedder Sådan skifter du adgangskode og som indeholder teksten: På Windows skal du trykke på tasterne Ctrl-Alt-Del samtidigt. Vælg derefter "skift adgangskode". Oprettelse af procedurer For at få adgang til proceduremodulet, klikkes på Procedurer Du vil nu få adgang til følgende skærmbillede med standardprocedurer: Du kan nu vælge en allerede eksisterende procedure ved at klikke på Tilføj en eksisterende procedure eller udarbejde din egen ved at klikke på Opret en ny procedure. Vælger du sidstnævnte, vil du først skulle navngive din nye procedure. Klik herefter på Opret. 18
Nu er proceduren oprettet og vil vises i listen af eksisterende procedurer. Om du herfra vælger en eksisterende procedure eller redigerer i en procedure, du selv har oprettet, er fremgangsmåden den samme. Har du selv navngivet en procedure, eller har du valgt at redigere en allerede eksisterende, vil du se nedenstående skærmbillede: Som udgangspunkt vises fanebladet Procedure, hvor du kan redigere følgende felter: Procedurenavn, hvor navnet på proceduren kan ændres. Dette gøres ved at klikke på. Beskrivelse, i hvilken du kan indtaste en tekst, der beskriver proceduren. Aktiver proceduren, hvor du kan vælge om proceduren skal være aktiv og vises i politikken. Som udgangspunkt er alle procedurer aktive. Emne. Proceduren kan her tilknyttes et emne, så den kan benyttes i et Awareness program. Dette kræver, at du har licens til Awareness-modulet. Dette vælges ved at klikke på rullemenuen og klikke på OK., vælge et emne i 19
Målgruppe. Proceduren kan tilknyttes én eller flere målgrupper ved at klikke på, vælge en målgruppe i rullemenuen og klikke på OK. Som standard kan der vælges mellem 3 forskellige grupper: Slutbruger, It-administrator og Leder. Procedureejer. Her kan tilknyttes en bruger, som er ansvarlig for vedligeholdelsen af den pågældende procedure, dette gøres ved at klikke på. Herefter får du mulighed for at søge på brugere ved hjælp af deres ID, navn eller e-mail. Du kan naturligvis kun søge på brugere, der allerede er registreret i SecureAware. Når du har valgt en bruger, klikker du på OK. Begræns adgangen til disse roller: For at begrænse adgangen til at se proceduren til bestemte roller, klikker du på, vælger en målgruppe i rullemenuen og klikker på OK. Når du har redigeret disse emner, kan du trykke på Retur, for at komme tilbage til listen over procedurer, eller gå videre til de næste faneblade. Link proceduren til regler Procedurene kan tilknyttes bestemte regler i regelsættet. Klikker du på fanebladet Regler, kan du finde frem til den eller de regler som proceduren skal tilknyttes. Eksterne referencer Fanebladet Eksterne referencer giver mulighed for at referere til eksterne dokumenter eller dokumenter, der ligger i SecureAwares dokumentbase, og få dette vist som et link i proceduren. For at referere til et dokument, skal du finde dokumentet i mappestrukturen og klikke på 20
det. Du kan også uploade et nyt dokument og herefter linke til det. I feltet Referencenavn indtaster du navnet på referencen, som du ønsker den vist i proceduren. Referencen kan etableres til forskellige punkter i virksomhedens infrastruktur, f.eks. via http/https, ftp, og direkte til fællesdrev (fileshares). Links til fileshares skal indskrives på formen: \\sharenavn\folder\folder\dokumentnavn.doc. Man kan ikke angive links til lokale filer f.eks. c:\testfil.txt. Du kan redigere i en allerede oprettet reference ved at klikke på, eller slette en reference ved klik på. Linket vil, i procedurerne, komme til at fremstå som illustreret her: Klik til sidst på Opdater for at gemme og vende tilbage til proceduremanageren. 21
Strategi Strategi-delen i SecureAware (det nederste lag) er som udgangsunkt tomt. Oprettelse og redigering foregår på samme måde som politik-delen (se afsnit om dette). Nederst i skærmbilledet kan linkes til både regler og politikdele. Husk at klikke Opdater for at gemme. 22
Hvordan ser slutbrugerne politikken? Når slutbrugere logger ind i SecureAware, vil de, når de klikker på fanebladet Politik, blive præsenteret for it-sikkerhedshåndbogen. Fanebladene bruges til at navigere mellem de forskellige politikdele. Ovenfor vises den øverste del af politikkens regler. Er brugeren tilknyttet en målgruppe, vil det, som udgangspunkt kun være regler, som er relevante for denne målgruppe, som vises. Ved at klikke på et emne i venstre side af skærmen, vil kun regler indenfor dette emne blive vist. Ændring af navne på faneblade Du kan ændre fanebladenes navne eller deaktivere én eller flere af disse ved, fra politikmenuens hovedside at klikke på Avanceret administration (højre side) > Faneblade. Deaktivering af faneblade sker ved at klikke på det grønne V. Klik på blyanten for at ændre politkdelens navn. 23
Hvem har læst politikken? Scrolles der ned til bunden af siden, vil brugeren, ved at klikke på ikonet angive, at han eller hun har læst denne politikdel. Superbrugeren kan se en rapport over dette, ved at klikke på ikonet. Datoen angiver sidste gang brugeren læste den pågældende politikdel. På startsiden kan du også følge med i, hvem der har læst hvilke dele af politikken. Hvis du vil sende rykkere el.lign. ud til brugerne, skal du klikke på mail-ikonet. Du får nu mulighed for at vælge, hvilke brugere du vil skrive til: skal det være dem, som har læst politikken? De som ikke har læst den i lang tid? Skal det kun være slutbrugere eller samtlige målgrupper? Klik på OK, skriv din meddelelse og klik på Send. 24
Bagvedliggende administration I politikstyringsmenuen findes der også en administrationsmenu, som giver en mere detaljeret mulighed for at kunne administrere politikkerne. I menuen er der genveje, som gør det lettere at tilgå og redigere elementerne i politikken. Ved at klikke på muligheder foldes menuen ud, og flere menupunkter vil fremkomme. Flere Procedurebibliotek. Her vises samtlige procedurer, inklusive dem, der ikke er tilknyttet en politik. Du kan her oprette og redigere procedurer, på samme måde som da du oprettede procedurer. Udskrift. Få vist hele eller dele af politikken i PDF eller RTF. Udskriftsindstillinger. Opret en ny rapporttype eller rediger en eksisterende. Vær opmærksom på, at hvis din politik har fire lag, skal det sidste lag manuelt tilføjes rapporttypen Fuld rapport for at vises i denne. Regelbibliotek: Som standard medfølger der flere hundrede regelgrupper, der danner grundlag for de medfølgende standarder i SecureAware. Der er en gennemgang af reglerne i næste afsnit. Importer. Her kan du importere en politik til SecureAware som f.eks. er genereret i en anden portal. Importen understøtter filer i formatet.saf. Vær opmærksom på, at det ikke er hensigtsmæssigt at bruge denne funktion som backup. Benyt i stedet Backup/Restore-proceduren i SecureAware System Administrator. 25
Strukturer. Ved at klikke her, kommer du til sikkerhedskategori-administrationen. Her kan du administrere opsætningen af de strukturer, der skal benyttes i jeres sikkerhedspolitikker. Du finder en nærmere gennemgang af dette i afsnittet Struktur. Skabeloner Her kan du opbygge politikker helt fra bunden. Dette gøres ud fra en selvvalgt struktur, fra ovenstående menupunkt. Dette er nærmere gennemgået i afsnittet Skabeloner. Log-information Her bliver alle politikændringer registreret. Det er her muligt at se alle ændringer til en given politik indenfor et angivet tidsinterval. Du kan også generere en pdf-fil, hvor ændringerne, samt hvem der har foretaget dem, er listet. Deaktivér politikguide. Ønsker du altid at administrere fra denne side, og ikke fra politikguiden, kan du deaktivere denne herfra. Regelbiblioteket Som nævnt i det foregående, kan man, ved at klikke på Regelbibliotek få adgang til at administrere regler i SecureAwares regelbibliotek. Som standard medfølger 384 regler (egtl. Regelgrupper), men det er også muligt at tilføje sine egne, samt redigere i de eksisterende regler. Du kan få adgang til at oprette nye regler ved hjælp af ikonet. 26
Du kan nu navngive, beskrive og tilføje optioner til reglen. Når du er færdig med dette, klikker du på Opret, hvorefter reglen vil ligge i listen til venstre i skærmbilledet. Fremgangsmåden for ændring af regler er nu den samme, om du har oprettet din egen eller om du vil ændre i en eksisterende. Ved at markere en regel, vil selve reglen fremkomme i skærmbilledet til højre. Her kan der rettes og redigeres i reglen. Fanebladet Sikkerhedsregel bruges til at ændre reglens navn og evt. føje noter. Ved Optionstype kan du vælge, om det skal være muligt at afkrydse en eller flere optioner (regler). Dette valg har indflydelse på, hvilke svarmuligheder slutbrugeren vil have i en quiz. I feltet Option kan du tilføje optioner. Denne option vil således kunne vælges (eller fravælges) som en regel i it-sikkerhedshåndbogen, lige som slutbrugere vil kunne blive præsenteret for den i en quiz. Du kan desuden slette, rette eller flytte op eller ned på de enkelte optioner. Ved alle rettelser, skal du huske at trykke på opdateringsknappen før eventuelle rettelser træder i kraft. Vigtigt! Vælges edit knappen, skal du huske at klikke på begge opdateringsknapper før ændringerne vil slå igennem (illustreret i rammen). Vælger du fanebladet Adgangsrettigheder, kan begrænse adgangen til at se reglerne ved at klikke på Tilføj og derefter, i menuen der fremkommer, vælge de grupper (roller), der skal have adgang til at se reglen. Vælges værdien Ingen, vil der ikke være adgangsbegrænsninger. Under fanebladet Emne bestemmer du, hvilket emne reglen skal tilhøre. Hvis du, på et senere tidspunkt, vælger at køre en awareness-kampagne, der omhandler dette emne, vil reglen kunne vises som et af kampagnens quiz-muligheder. Fanebladet Målgruppe giver dig mulighed for at definere hvilke målgrupper, der skal kunne se reglen og blive quizzet i denne i en eventuel awareness-kampagne. 27
Fanebladet Standarder bruger du til at vælge, hvilken standard reglen skal relateres til. De fleste eksisterende regler er allerede tilknyttet en eller flere standarder. Du vælger en standard ved hjælp af rullemenuen og klikker på. Du vil nu, ligeledes i rullemenuen, få mulighed for at vælge hvilket standardafsnit reglen skal tilknyttes. 28
Regelstrukturer SecureAware har, som nævnt, flere prædefinerede strukturer. Disse er opdelt i kategorier og underkategorier, og nogle afspejler standarder som eksempelvis DS484:2005. Det er dog ikke sikkert at nogle af disse strukturer er de mest hensigtsmæssige at benytte i din virksomhed. Du kan derfor ændre i opsætningen af en struktur, så den kommer til at afspejle jeres sikkerhedspolitik bedst muligt. SecureAwares 4 prædefinerede strukturer er: SecureAware 2: En struktur der passer til version 2.x.x. af SecureAware. SecureAware 3: En struktur der passer til version 3.x.x af SecureAware. DS484:2005-struktur: En struktur der følger DS484 standarden. ISO17799:2005-struktur: En struktur der følger ISO17799 standarden. SecureAware 4: Svarer til struktur tre, men indholder regler til efterlevelse af PCI DSS. Vil du oprette en ny struktur eller redigere navnet på en eksisterende, klikker du på Opret og rediger politikstruktur. Navnet på strukturen ændres ved at vælge: og indtaste det nye navn. Du kan slette en struktur ved at klikke på, og aktivere/deaktivere en struktur med (hvis ikonet er grønt er strukturen aktiv). Vil du 29
eksportere en struktur fra SecureAware med, klikker du på. En ny struktur tilføjes ved at taste strukturens navn i tekstfeltet og efterfølgende klikke på Tilføj. Vil du importere en struktur, klikkes på. Ved alle rettelser og opdateringer skal du klikke på Opdater for at gemme ændringerne. Skabeloner Når du har oprettet din struktur, kan du nu lave den skabelon, som du vil opbygge din virksomheds itsikkerhedshåndbog over. Hvis du har oprettet din egen struktur, kan du bygge skabelonen over denne. Du kan også vælge en af de prædefinerede skabeloner i SecureAware. De prædefinerede skabeloner er som følger: DS484:2005: En fuld politik, som følger DS484 standarden. DS484:2005 i DS-struktur: En fuld politik som følger DS484 standarden og inkluderer den afsnitsnummerering, som er benyttet i standarden. Afsnitsnummereringen gør det nemmere at overskue, hvilke krav i DS484, reglerne knytter sig til. ISO17799:2005 i ISO-struktur : Krav fra ISO17799:2005 præsenteret med dennes struktur. Denne skabelon inkluderer ligeledes afsnitsnummerering fra standarden. 30
Skabelon høj sikkerhed : Denne skabelon giver et godt udgangspunkt til en itsikkerhedshåndbog hvis din virksomhed ønsker et relativt højt it-sikkerhedsniveau uden specifikt at ville efterleve alle krav fra ISO17799 eller DS484. Strukturen er inspireret af disse standarder. Brugervenlighed er tilstræbt. Skabelon medium sikkerhed : Denne skabelon giver et godt udgangspunkt til en itsikkerhedshåndbog hvis din virksomhed ikke har brug for et meget højt it-sikkerhedsniveau. Strukturen er inspireret af standarderne ISO17799 og DS484, uden at indeholde samtlige krav fra disse. Denne skabelon er velegnet til eksempelvis mellemstore produktionsvirksomheder og mindre service-virksomheder. Du kan redigere navnet på en skabelon ved at klikke på. Ønsker du at slette en skabelon med, klikker du på. Vær opmærksom på, at det ikke er nødvendigt at slette de skabeloner, du ikke ønsker at benytte. Vil du eksportere en struktur fra SecureAware med, klikker du på. Oprettelse af en ny skabelon For at oprette et ny skabelon, indtaster du navnet på skabelonen i øverste tekstfelt. I tekstfeltet nedenunder indtastes en beskrivelse af skabelonen. Denne beskrivelse vil blive vist, når der oprettes en ny politik i Politikstyring. For at vælge den struktur, som skal bruges i skabelonen, klikker du på pilen til højre for rullemenuen Politikkens struktur. Herefter skal du klikke på knappen Tilføj og derefter på Opdater for at gemme dine indtastninger. Du kan importere en skabelon ved hjælp af Importér Portal-skabelon. Klikker du på Synchronize Policy template and procedure, kan du tilknytte en oprettet procedure til skabelonen. Når der synkroniseres, vil alle procedurer, der er udarbejdet, blive 31
tilknyttet alle oprettede skabeloner. Funktionen har ingen påvirkning på allerede oprettede politikker. Vigtigt! Ved alle rettelser og opdateringer skal du klikke på knappen Opdater efter at have klikket på Tilføj for at gemme dine indtastninger. 32
Administration af it-sikkerhedshåndbogen I politikstyringens højre side findes en administrationsmenu, som bruges til at administrere den valgte politik. Klikker du på knappen Flere muligheder... foldes menuen yderligere ud. Med knappen Skjul... foldes den sammen igen. De enkelte menupunkter er relateret til den politik, der er aktiv, og ændringer vil derfor kun påvirke denne. En politik er aktiv, når den er markeret med. Ved at klikke på Indstillinger, får du mulighed for, at omdøbe en politik, indsættes eller ændre et versionsnummer/ dato, samt at indtaste en beskrivelse af politikken. Du kan her også ændre hvilken struktur politikken skal være bygget over. Du kan slette en politik ved at klikke på Slet. Når først en politik er slettet, kan dette ikke fortrydes, så ofte vil det være en bedre idé blot at deaktivere den, ved at klikke på Deaktiver. Politikken aktiveres igen ved klik på Aktiver. Synes du ikke at betegnelserne Politik, Regler og Procedurer (eller navnet på et fjerde niveau) er passende, kan du klikke på Faneblade. Du får nu mulighed for at ændre disse betegnelser. Ligeledes kan du vælge, hvilke niveauer, der skal være synlige for slutbrugerne. Specielt hvis du anvender en SecureAware portalløsning, er det nyttigt at kunne eksportere en politik mellem portalerne. Dette gør du ved at klikke på Eksporter, som beskrevet i næste afsnit. Husk på, at eksport af en politik ikke er beregnet som en backup-funktion. Læs om dette i SecureAwares standard for backupprocedure af databasen. 33
Kopiering af en politik (import og eksport) Ofte vil det være formålstjenstligt at kopiere en politik således, at der kan redigeres i én politik, mens den anden er aktiv. Dette gøres ved at eksportere politikken for derefter at importere den igen. Aktivér den politik du vil eksportere og klik derefter på Eksporter politik. Politikken vil nu blive eksporteret som en saf-fil, og du kan vælge, hvor den skal placeres. Klik nu på Importer, og find politikken på det sted, du har valgt at placere den. Når filen er importeret, vil du se den listet under de øvrige politikker. Den vil have samme navn som den originale politik samt dato og klokkeslet for importen, som vist nedenfor. Navnet kan ændres ved at klikke på Rediger politikinformation. Du kan nu sætte denne politik i redigeringstilstand og rette i denne, mens den originale politik er aktiv og kan vises for brugerne. 34
Logning af ændringer Logningsfaciliteterne i SecureAware har til formål at spore og dokumentere redigering i Policymodulet og at dokumentere fejlhændelser i systemet i øvrigt. Der er således indbyggede logningsfaciliteter i Policy-modulet og i systemadministratorens administrations-funktioner. SecureAware indeholder i øvrigt i flere af modulerne oplysninger, som knytter data til en bestemt bruger. Her fremgår sporings- og dokumentationsoplysninger af de almindelige data, systemet behandler, og ikke af en særlig log. Policy-modulets vedligeholdelses-log Rapporten viser dato, brugernavn og hændelser i forhold til regler og procedurer. Du får adgang til rapporten ved at vælge Flere muligheder og derefter klikke på Log-information Vælg derefter politik og tidsrum for søgningen. 35
Ønskes en fejllog, skal man være logget ind som Systemadministrator. Se Systemadministratorguide for en uddybning af fejllog. Logning i øvrigt Såfremt man i sin SecureAware-installation benytter Microsoft Internet Information Server, kan de generelle logningsfaciliteter heri anvendes til at spore brugernes anvendelse af systemet. SecureAware er ikke konstrueret til offentlige myndigheders behandling af anmeldelsespligtige personoplysninger, og systemet indeholder derfor ikke funktioner til logning i henhold til sikkerhedsbekendtgørelsens 19. Såfremt der hos en offentlig myndighed er behov for at registre anmeldelsespligtige personoplysninger i tilknytning til SecureAware, anbefaler Neupart, at man registrerer oplysningerne i et ESDH-system e.l., som har de nødvendige logningsfaciliteter, og benytter SecureAwares mulighed for at linke til eksterne dokumenter. 36
Kontaktinformation - For yderligere information, kontakt Neuparts kontorer: Europa Neupart A/S Hollandsvej 12 2800 Lyngby Danmark Tel +45 7025 8030 Fax +45 7025 8031 Nordamerika United States Neupart Inc. 2553 Crescent St Ferndale, WA 98248 Tel. 360-820-2545 Fax 360-392-6078 Neupart GmbH Kaiserwerther Strasse 115 40880 Ratingen/Düsseldorf Germany: Tel. +49 (0) 2102/4209-26 Fax +49 (0) 2102/42062 Copyright 2006 Neupart A/S. Alle rettigheder forbeholdes. Dette dokuments forfatter er Neupart A/S. Alt indhold, inkl. tekst og grafik tilhører, medmindre andet er angivet, Neupart A/S og er ophavsretligt beskyttet i henhold til dansk og international lovgivning. Gengivelse af dokumentet eller dele heraf, tillades kun i det omfang, at dette sker i uændret form, og at Neupart A/S udtrykkeligt angives som kilde på samtlige kopier. Kopiering og distribuering må ikke foregå uden forudgående og udtrykkelig tilladelse fra NeupartA/S. Neupart A/S forbeholder sig ret til, på ethvert tidspunkt og uden varsel, at foretage ændringer og/eller forbedringer af de nævnte produkter. Andre virksomheders produkter, samt disses varemærker kan være registrerede eller ophavsretlige beskyttede. Logoerne for Neupart, SecureAware samt navnet SecureAware er varemærker, som tilhører Neupart A/S. Dokumentet leveres som det er og foreligger uden nogen form for garanti, hverken udtrykkeligt eller underforstået. Hverken forfatteren eller ophavsretindehaveren kan drages til ansvar for nogen form for skader eller hændelser opstået i forbindelse med brugen af denne dokumentation. Dokumentet samt tilhørende grafiske fremstillinger kan muligvis indeholde fejl eller mangler. Neupart A/S forbeholder sig ligeledes alle, ikke udtrykkeligt nævnte, rettigheder. 37