SecureAware Compliance Analysis Manual Manualen beskriver brugen af SecureAware version 3 Dokument opdateret: november 2009 Om dette dokument Dette dokument er en vejledning i, hvordan du opretter compliance-checks. Manualen beskriver samtidig, hvordan disse checks udføres.
Indholdsfortegnelse Compliance...3 Start et compliance-check...5 Rapporter...6 Valg af kapitler...6 Respondenter...7 Besvarelse af et compliance-check...8 Brug af underspørgsmål...9 Efterleves it-sikkerhedspolitikken?...11 Spørgeskemaer fra bunden...12 Administration af svarmuligheder...13 Kontaktinformation...15 2
Compliance Compliance-modulet i SecureAware er et arbejdsværktøj, der kan benyttes i forbindelse med en eventuel certificering eller efterlevelse af DS 484:2005. Har virksomheden licens til Compliance Analysis, kan modulet ligeledes benyttes til at checke efterlevelse af regler, procedurer eller andre politikdele, som er beskrevet i politikmodulet. Det er desuden også muligt at oprette egne spørgeskemaer. Har virksomheden ikke føromtalte licens, vil ikke alle funktionaliteter, beskrevet i denn manual, være tilgængelige. Ved et DS484-check, kan compliance-modulet holder styr på, og være en checkliste for, om der kan svares positivt opfyldende til de sikringsforanstaltninger, der er nødvendige for at efterleve DS 484:2005 standarden. Standarden indeholder i alt 135 sikringsforanstaltninger fordelt på 39 sikringsområder. Disse er beskrevet i standardens kapitel 5 til 15. Størstedelen af de overordnede sikringsforanstaltninger indeholder også en række implementeringsretningslinier, som er detaljerede krav, der i princippet også skal opfyldes for at efterleve den overordnede sikringsforanstaltning, og derved standarden. De overordnede sikringsforanstaltninger samt implementeringsretningslinier er i SecureAware Compliance omformuleret til en række checkspørgsmål, som organisationen skal tage stilling til om den opfylder. Vær opmærksom på, at et compliance-check i SecureAware ikke kan stå i stedet for en DS484:2005- certificering. Kun standarden kan danne grundlag for certificering. SecureAware Compliance er udarbejdet i overensstemmelse med DS 484:2005, og der henvises til denne standard for uddybende bemærkninger til de enkelte checkspørgsmål og implementeringsretningslinier. ISO/IEC 17799:2005 og ISO/IEC 27001 indeholder samme kontroller, eller checkspørgsmål, med samme nummerering som DS484:2005. SecureAware Compliance giver derfor ligeledes svar på hvorvidt ISO/IEC 17799 og ISO/IEC 27001 er efterlevet. 3
SecureAware indholder desuden fire spørgeskemaer, der svarer til de fire self assessment questionnaires udarbejdet af PCI Standards Security Council. Spørgeskemaerne er relevante for firmaer, der opbevarer, behandler eller transmitterer kortholderdata. Du kan se, om I skal efterleve kravene i PCI DSS her: https://www.pcisecuritystandards.org/saq/instructions_dss.shtml 4
Start et compliance-check Compliance-hovedsiden finder du ved at vælge Compliance-ikonet øverst i skærmbilledet til højre eller fanebladet Genveje på Min SecureAware. For at oprette et compliance-check skal du vælge Nyt compliance-check. Du skal nu angive et navn og en beskrivelse til compliancechecket og vælge, hvilke af dine spørgeskemaer, du vil bruge som basis for checket. I eksemplet er valgt ISO27002 i dropdown-menuen Spørgeskema-ID. I feltet Indledende spørgsmål kan du skrive den tekst, som de personer, der skal besvare spørgeskeamerne, vil blive præsenteret for som start-tekst. Dette kunne være: Angiv venligst, om vi efterlever dette krav/denne regel. Klik herefter på Opret. Hvis dette er det første compliance-check du opretter, vil du, som udgangspunkt, selv blive sat som ansvarlig for at udføre check på samtlige afsnit i DS484. Har du tidligere oprettet compliance-checks, vil du, i rullemenuen Brug opsætning fra, få mulighed for at vælge en allerede oprettet brugerkonfiguration. Vælger du Jeg vil selv besvare hele compliance checket, vil du selv blive oprettet som compliance-ansvarlig for samtlige afsnit i checket. Tildelingen af ansvar for udfyldelse 5
kan ændres senere. Klik på Opdater for at gemme dine ændringer. Du kan nu vælge at starte compliance-checket ved at klikke på Start. Det vil dog være en god idé, først at gennemgå de resterende punkter i opsætningen. Rapporter Du kan nu, ved at vælge fanebladet Rapporttekst, indtaste indledning og konklusion på den rapport, der kan udskrives efter checket er blevet udført. Valg af kapitler Under fanebladet Valg af kapitler, kan du fravælge de kapitler, som du ikke vil benytte i compliance checket. 6
Respondenter I fanebladet Respondenter kan du uddelegere ansvaret for udførelsen af compliance-checket til de relevante personer. Du kan tildele forskellige personer ansvar for hvert enkelt afsnit af compliancechecket. Når disse ansvarlige logger på, vil de kun blive præsenteret for den del, de har ansvaret for. Klikker du på Tilføj, kan du vælge at finde en bruger ved at søge på bruger-id, navn eller e-mail. For at vælge brugeren blandt søgeresultaterne, klikker du på ud for brugernavnet. Når du har valgt respondenter til afsnittene klikker du på retur. Dine ændringer gemmes herved, og du vender tilbage til compliance-hovedmenuen. Du kan nu, ved at klikke på dit compliance-checks navn, komme til at starte checket ved at klikke på Start. Checket afsluttes også herfra, ved at klikke på Slut. Du kan løbende følge med i dit compliancecheck, ved at udskrive en rapport på dette. Fra hovedsiden kan du tilgå rapporten ved at klikke på compliance-checkets navn under menuen Rapporter. Denne vil vises som en.pdf-fil, der indeholder den information, der er blevet indsamlet omkring det enkelte compliancecheck. 7
Besvarelse af et compliance-check Når et compliance-check er startet, kan respondenterne begynde at besvare spørgeskemaet. Når vedkommende er logget ind i SecureAware, vil complianceopgaver vises på Min SecureAware under fanebladet Ansvar og Opgaver (alternativt kan de øverste faneblade benyttes. Her skal brugeren klikke på Compliance). Herfra får brugeren mulighed for at starte eller fortsætte gennemgangen af de områder, de har fået tildelt. Når et område vælges, kommer brugeren til checkspørgsmålene og skal nu benytte rullemenuen for at angive, om et krav er opfyldt eller ej. Benyttes standard-svarmulighederne, kan der svares følgende: Opfyldt: Organisationen kan svare positivt opfyldende til dette checkspørgsmål. Ikke opfyldt: Organisationen kan ikke svare positivt opfyldende på checkspørgsmålet. 8
Delvist opfyldt: Organisationen kan til dels svare positivt opfyldende på checkspørgsmålet. Det kan f.eks. være enkelte sikringsforanstaltninger mangler at blive implementeret for at kunne efterleve kravet fuldt ud. Ikke relevant: Dette svar kan vælges hvis organisationen ikke mener at det enkelte checkspørgsmål er relevant for dem. Dokumentation: Dette punkt kan bruges til at indtaste kommentarer til det enkelte checkspørgsmål. Der kan angives hvilke handlinger, der skal gennemføres for at opfylde et krav, Samt beskrives hvad der er blevet gennemført. Referencer: Punktet referencer kan benyttes til at referere til dokumentation der ligger på organisationens intranet eller filservere. Der kan indtastes en URL til dette. Ekstra: Dette punkt indeholder mulighed for at godkende sikringsforanstaltningen til pre-audit og audit. Derudover kan følgende punkter udfyldes: Gennemføres senest (hvornår efterlevelsen senest skal være gennemført), Prioritet (prioritet for implementering og efterlevelse af kravet) samt Estimeret budget i kr. (En vurdering over hvad det vil koste at kunne efterleve kravet). Brug af underspørgsmål Udover de enkelte overordnede checkspørgsmål, kan et spørgeskema også indeholde en række detaljerede underspørgsmål. Brugeren skal trykke på for at folde de detaljerede spørgsmål ud. Hvis de detaljerede spørgsmål benyttes, vil svarene på disse have indflydelse på det overordnede svar. Benyttes ISO27002/DS484-spørgeskemaet hedder de detaljerede spørgsmål implementeringsretningslinier, og generelt skal alle disse efterleves for, at den overordnede sikringsforanstaltning (checkspørgsmål) kan være opfyldt. Enkelte af de detaljerede spørgsmål er markeret med et *. Dette betyder at dette er et skærpet krav. Det er op til organisationen og en gennemgående risikovurdering at fastslå om disse skærpede krav også skal efterleves. Da SecureAware hele tiden gemmer de valg som brugeren har gjort er det muligt for vedkommende at stoppe Compliance gennemgangen, og genoptage denne på et senere tidspunkt. 9
Brugernes besvarelser vil, efterhånden som de bliver registreret, kunne ses i rapporten, som vist her. 10
Efterleves it-sikkerhedspolitikken? Ønsker du at checke efterlevelsen af it-sikkerhedspolitikkens regler, procedurer mv., skal du, på Compliance-modulets forside, klikke på Spørgeskemaer > Nyt spørgeskema baseret på politikken. Nedenfor ses, at spørgeskemaet vil blive baseret på den aktive politik Sikkerhedshåndbog. spørgeskemaets ID og navn har, som udgangspunkt, politikkens navn samt datoen for oprettelse af spørgeskemaet. I dropdown-menuen Vælg svarmuligheder vælges, hvilken svarmuligheder respondenterne får at vælge imellem. Som udgangspunkt kan kun Compliance niveau vælges, hvilket giver svarmulighederne: Opfyldt, Ikke opfyldt, Delvist opfyldt og Ikke relevant. Det er muligt at ændre disse svarmuligheder, eller lave helt nye (se afsnittet Administration af svarmuligheder). Herefter vælges hvilke dele af politikken, spørgeskemaet skal indeholde. Som udgangspunkt er alle regler, procedurer m.m. medtaget i spørgeskemaet. Du kan dog fravælge regler, som er tilknyttet bestemte emner eller målgrupper ved at klikke på de røde krydser. Klik på Opret, og du har nu et spørgeskema, som kan benyttes i et compliance-check. 11
Spørgeskemaer fra bunden For at oprette dine egne spørgeskemaer, skal du, på Compliance-modulets forside, klikke på Spørgeskemaer > Nyt spørgeskema. Indtast et ID, navn, og evt. en beskrivelse. Du kan også vælge svarmuligheder i dropdown-menuen (læs om svarmuligheder i næste kapitel). Klik Opret. Du kan nu begynde at tilføje kapitler og underkapitler til dit spørgeskema. Når du har oprettet et kapitel, kan du indtaste ét eller flere spørgsmål til dette. Hver gang du har oprettet et kapitel eller et spørgsmål, skal du huske at vælge hvilket kapitel eller spørgsmål, det skal ligge i/under. I dropdown-menuen Tilhører afsnit vælger du, hvilket afsnit afsnittet/spørgsmålet skal ligge (forælder- afsnit/spørgsmål). I menuen Indsæt kapitlet/spørgsmålet efter, vælger du, hvilket afsnit/spørgsmål, det skal efterfølge. Husk at klikke på for at gemme dit valg. 12
Administration af svarmuligheder For at tilrette svarmuligheder i SecureAware, skal du, fra Compliancehovedsiden klikke på Spørgeskemaer > Svarmuligheder og herefter vælge den svargruppe, du vil redigere. Klik på blyanten ud for en af svarmulighederne for at redigere svar, farve og procentvis vægtning (0-100) for hver svarmulighed. Farver skal angives med den hexadecimale farveværdi, eksempelvis ##FFFFFF for farven hvid. Farven benyttes både i dropdown-menuer og i rapporter. Har du brug for hjælp til hexadecimale farveværdier, kan du med fordel besøge http://kuler.adobe.com/. Her er et par eksempler på farver: Du kan skrive en forklaring til svarmulighederne i Beskrivelse -feltet. Forklaringen vil optræde i slutbrugerens hjælpetekst. Det er også muligt at oprette helt nye svargrupper. Fra hovedsiden skal du til Administration af spørgeskemaer > Administration af svarmuligheder > Opret nye svarmuligheder, og indtast svargruppens navn. Herefter kan du tilføje og tilrette svarmulighederne. Vægtning af svarmuligheder Svarmulighedernes vægtning gør, at der kan udregnes et gennemsnit for et afsnit i et spørgeskema, når der bliver svaret forskelligt på spørgsmålene. Ønsker du, at et spørgsmål/kapitel kun skal kunne være positivt opfyldt, hvis samtlige underspørgsmål også er opfyldt, skal denne svarmulighed sættes 13
til 100. Skal en svarmulighed ikke tælles med i den samtlige udregning (f.eks. hvis der svares Ikke relevant ), skal denne svarmulighed sættes til -1. For alle andre værdier (0-99) vil vægtningens interval udregnes som løbende fra halvdelen af intervallet fra nærmeste mindre vægtning (medmindre denne er -1) til halvdelen af intervallet til nærmeste højere vægtning (medmindre denne er 100). Oprettes svarmulighederne Ja / Delvist / Nej / Ikke relevant, kunne vægtningen se således ud: Vægtning Interval Ja: 100 (100) Delvist: 50 (25-99) Nej: 0 (0-24) Ikke relevant: -1 (Ingen) Du behøver kun selv indtaste vægtningen. SecureAware beregner intervallet. 14
Kontaktinformation - For yderligere information, kontakt Neuparts kontorer: Europa Neupart A/S Hollandsvej 12 2800 Lyngby Danmark Tel +45 7025 8030 Fax +45 7025 8031 Nordamerika United States Neupart Inc. 2553 Crescent St Ferndale, WA 98248 Tel. 360-820-2545 Fax 360-392-6078 Neupart GmbH Kaiserwerther Strasse 115 40880 Ratingen/Düsseldorf Germany: Tel. +49 (0) 2102/4209-26 Fax +49 (0) 2102/42062 Copyright 2006 Neupart A/S. Alle rettigheder forbeholdes. Dette dokuments forfatter er Neupart A/S. Alt indhold, inkl. tekst og grafik tilhører, medmindre andet er angivet, Neupart A/S og er ophavsretligt beskyttet i henhold til dansk og international lovgivning. Gengivelse af dokumentet eller dele heraf, tillades kun i det omfang, at dette sker i uændret form, og at Neupart A/S udtrykkeligt angives som kilde på samtlige kopier. Kopiering og distribuering må ikke foregå uden forudgående og udtrykkelig tilladelse fra NeupartA/S. Neupart A/S forbeholder sig ret til, på ethvert tidspunkt og uden varsel, at foretage ændringer og/eller forbedringer af de nævnte produkter. Andre virksomheders produkter, samt disses varemærker kan være registrerede eller ophavsretlige beskyttede. Logoerne for Neupart, SecureAware samt navnet SecureAware er varemærker, som tilhører Neupart A/S. Dokumentet leveres som det er og foreligger uden nogen form for garanti. Dokumentet samt tilhørende grafiske fremstillinger kan muligvis indeholde fejl eller mangler. Der gives ingen garantier for opnåelsen af resultater ved brug af denne dokumentation. Neupart A/S forbeholder sig ligeledes alle, ikke udtrykkeligt nævnte, rettigheder. 15