ISO27001 og klassifikation Case Dubex A/S 14. maj 2012 Jacob Herbst jhe@dubex.dk
Agenda Dubex A/S Hvorfor en ISO27001 certificering? Sikkerhedshåndbogen Dubex dataklassifikation Klassifikation i praksis Retningslinjer Eksempler Awareness ISO27001 certificering Fremtiden
Præsentation af Dubex A/S Specialister i og laver kun IT-sikkerhed siden 1997 50 medarbejdere i København og Århus - over 2/3 arbejder med teknisk IT-sikkerhed Privatejet af de tre stiftere, samt medarbejderaktier Vækst og overskud alle år siden etableringen Omsætning 2011 ca. 80 mio. DKK Selvfinansierende - Dun & Bradstreet AAA Det største dedikerede IT-sikkerhedsfirma i DK Løsninger og ydelser bl.a. inden for netværks- og indholdssikkerhed, fjernadgang, mobility og autentificering, samt loghåndtering og compliance Eneste ISO 27001 certificerede danske ITsikkerheds-leverandør Dubex, Aarhus Dubex, Copenhagen (from June 2012)
Hvorfor et certificeringsprojekt? Dubex er vokset som organisation Flere medarbejdere mindre overblik Drift og overvågning af kundesystemer Behov for opstramning omkring intern IT Håndtering af stadig mere fortrolig information Flere ikke-tekniske medarbejdere Begrænsning af risici Sikkerhedsbrud kan få alvorlige konsekvenser for vores kunder Sikkerhedsbrud vil få alvorlige forretningsmæssige konsekvenser for vores image Store omkostninger ved nedbrud af IT-systemer Sikre ordentlig beskyttelse af vores data Vi er utroligt afhængige af fungerende IT-systerm Vi behandler fortrolige data
Hvorfor et certificeringsprojekt? Dubex er en professionel organisation Metode til at få indført bedre og mere formelle arbejdsgange Stigende krav om dokumentation af sikre arbejdsgange Krav fra kunder vi behandler deres fortrolige data Revionserklæringer og udbudsforretninger Vi skal kunne dokumentere, at vi har styr på vores egen sikkerhed Vi skal kunne dokumentere, at vi har styr på vores processer Vi tager vores egen medicin Vi er specialister i sikkerhed - det skal vi kunne dokumentere Det vil være et stærkt signal til vores kunder, at Dubex er certificeret
Intentioner ISO27001 skal understøtte vores forretning Alle foranstaltninger skal baseres på en konkret risikovurdering Ingen regler for reglernes skyld Det skal gøres så nemt som muligt Mange default valg fx ved brug af templates Teknisk understøttelse af processen Inddragelse af brugerne Forklare værdien af vores ISO27001 projekt
Forløb 2008 - Projektet defineret og besluttet medio 2008 Startet som et DS484 projekt Nedsættelse af projektgruppe Klassifikation af data en af de første opgaver 2009 Egentlig opstart af projektet Klassifikation af data i praksis Makulator og pengeskab Etablering af gæsteregistrering Sikring af bærbare computere med diskkryptering 2010 Beslutning om skift fra DS484 til ISO27001 2011 Fysiske ændringer ombygning af receptionsområde Etablering af alternativt backup driftscenter Vi får vores ISO27001 certificering
Forløb - formelt
Proces - opsummeret Definition af aktiver og deres klassifikation Gennemførelse af risikovurdering, samt udarbejdelse af håndteringsplan Implementering af fysiske tiltag (inkl. dokumentation.) Implementering af organisatoriske tiltag (inkl. dok.) Implementering af IT og fysiske tiltag (inkl. dok.) Implementering af andre ISO 27001 processer (inkl. dok.)
Information behandlet hos Dubex Kontoradministrative data Personfølsomme data fx personnumre og løninformation Information om kunder og leverandører Kommerciel information om kunder Tilbud og aftaler Licensoversigter Licensinformation Information om leverandører Aftaler Information under Nondisclosure Kommercielle aftaler Markedsføring Marketingmateriale Kundelister Kundeinformation Dokumentation Konfiguration og backupdata Password informationer Drift og support Logdata Systembackup Supportsager Udvikling Kildekode Testdata ofte fra kunder
Dubex dataklassifikation Hvorfor? Et vigtigt krav i forbindelse med certificeringen Klassifikationen er grundlæggende for alt videre sikkerhedsarbejde Viden om hvad det er, vi skal passe på Hvordan? Identifikation af informationsaktiver Informationer tildeles en klassifikation, der bestemmer hvordan de skal behandles Retningslinjer beskrevet i sikkerhedshåndbog Hvornår? Fokus på alle nye dokumenter/informationer Gamle dokumenter mærkes ikke før de bruges men behandles efter deres klassifikation!
Sikkerhedshåndbog
Informationsaktiver Informationsaktiver er informationer, hardware, software, services, bygninger, personer og andet, der har en forretningsmæssig værdi for Dubex, og som derfor skal beskyttes Informationsaktiver har en ejer, der er ansvarlig for klassificering og for at stille krav til sikkerheden og til håndteringen, så aktivet beskyttes
Klassifikation af information Ansvar for klassifikation Dataejeren er ansvarlig for klassifikationen Klassifikationen sker typisk ved oprettelse Klassifikationsmærkning Informationsbærende medier skal markeres med højeste klassifikation fx i lukket kuvert Alle Dubex-udarbejdede dokumenter (breve, kontrakter, e-mails etc.), der ikke er åbenlyst offentlige (brochurer o.lign.), skal have påført deres klassificeringsniveau Øvrige dokumenter påføres klassifikation ved udprint Ved tvivl skal dokumenter behandles som Fortrolig Dubex
Tommelfingerregler Offentlig Informationer på åben web, brochurer og hvad vi ellers generelt udleverer til alle Fortrolig Dubex Interne dokumenter Fortrolig Kunde eller Partner Kunde- eller leverandørspecifikke informationer fx tilbud, kontrakter, aftaler og korrespondance Hemmelig Gruppe, Afdeling eller Projekt Følsomme informationer (fx løn eller passwords) eller informationer som ikke alle hos en kunde skal kende (fx en sikkerhedsanalyse: Hemmelig Sikkerhedsgruppe) Top Hemmelig (ikke vist på skema) Fx klassificeret arbejde for myndigheder fingrene væk
Instruktion for klassifikation Nye emails, breve, rapporter og andre dokumenter klassificeres af forfatteren, når de oprettes, ved at tilføje informationen husk initialer fx ved brug af stempel Indkommende post klassificeres af modtageren, der påfører klassifikationen default er Fortrolig mellem parterne, der automatisk kommer på, når receptionen stempler posten Indkommende emails klassificeres automatisk af modtageren, når de gemmes i de korrekte Outlook foldere Indkommende elektroniske dokumenter og informationer klassificeres automatisk af modtageren, når de gemmes i de korrekte foldere på filserverne (eller på korrekt lagerplads) Gamle dokumenter mærkes, når de bruges igen fx printes ud
Husk at klassifikationen gælder Fysisk opbevaring fx af papirkopier hvem kan og må se hvad! Elektronisk opbevaring fx på laptops, på filservere, på USB sticks/diske, mv. Fysisk transport fx breve, pakkepost og ved personlig overbringelse Elektronisk transmission fx emails og upload af filer Al kommunikation fx samtaler og telefoner husk, hvem der kan overhøre hvad, og ikke mindst, hvem der må høre hvad! Gamle dokumenter klassificeres ikke Makulering både fysiske og elektroniske informationer brug makulator og wipe data ved sletning/genbrug Kasserede datamedier overdrages til intern IT for destruktion
Instruktion
Klassificering af informationer i Dubex Ansvar for klassifikation ligger altid hos dataejer, dvs. den der opretter dokument/mail osv.
Eksempler Brevpapir & email Standard brev templates tilføjet klassifikation Mail signaturer tilføjet klassifikation
Eksempler - Tilbud
Eksempler - Dokumenter
Eksempler Standardaftaler
Elektroniske sikringer/tiltag Beskyttelse af digital information Adgangsstyring på filservere Kryptering og passwordbeskyttelse af hemmelige filer ud af huset Udbredt brug af separate adskilte servere, netværksmæssig segmentering m.m. Sikring af bærbare med fulldisk kryptering Mulighed for kryptering af bærbare medier fx USB-enheder Løsning til sikker håndtering af mobiltelefoner Udfordringer Sikkerhedskonsulenter har ofte brug for fortrolige eller hemmelige data fx på en ukrypteret USB-enhed Ved håndtering af supportsager er det ikke altid muligt at kommunikere sikkert med leverandører
Fysisk sikkerhed Dubex lokaler er opdelt i en række zoner Sikre zoner: Serverrummet og arkivet Interne zoner: Kontorer, printerrum, elevator mv. Gæstezoner: Reception, kantine, mødelokaler Offentligt område: Områder uden for Dubex kontrol Århus kontoret er en gæstezone Etablering af fysisk adskillelse mellem gæstezone og intern zone Adgang mellem zoner kræver brug af adgangsbrikker og styres via adgangskontrol Adgangsbrikker er personlige, skal opbevares forsvarligt, og må ikke overlades til andre
Intern awareness undervisning
Awareness Gennemførelse af awareness undervisning Mange sikkerhedskyndige personer Vigtig for alle, også for sikkerhedskyndige personer Fast del af introduktion for nye medarbejdere Sikre kendskab til reglerne i vores sikkerhedshåndbog Awareness test Bestod af 25 spørgsmål i alle dele af vores sikkerhedsregler Understøttet ledelsesmæssigt i form af bonusmål ved over 90% beståelsesgrad 90% bestod i første forsøg resten i andet Årlig awareness test Målet er nu ikke at dumpe/bestå, men dels at skærpe bevidstheden Måle det niveauet i firmaet Og det er vores auditør helt enig i.
Dubex ISO27001 certificering
Tilbagemelding fra Dansk Standard
Tilbagemelding fra Dansk Standard
Opfølgende audit
Erfaringer Kompleks og omsiggribende proces Gik noget nemmere da vi fulgte ISO 27001 forfra Organisatoriske udfordringer Awareness vigtig hvorfor gør vi det? Hjælp til formalisering og strømlining af interne processer og systemer Overvej fokus for håndbogen dokumentation eller vejledning for brugere? Kritisk med commitment fra ledelsen
Fremtiden Flere tekniske foranstaltninger Skal hjælpe brugerne med at opføre sig hensigtsmæssigt Tekniske kontroller forbedret SIEM løsninger Administrative kontroller som IT-CRM og hændelseslogs Fortsat indarbejdning af ISMS i dagligdagen Det skal være endnu mere naturligt for folk at komme med forslag og kommentarer Endnu mere skal være risikovurderet/-begrundet Etablering central håndtering af krypteret e-mail Date Leak Prevention Beskytte mod fejl såsom at sende XLS-udgaven af et tilbud i stedet for PDFudgaven Beskytte mod fejlagtig afsendelse af hemmelig information Kritisk med fortsat commitment fra ledelsen Dette er en proces!
ISO 27001 forløb - opsummeret Begynd med ledelsesaccept, scope og politik Identificer de forretningskritiske informationsaktiver, samt deres ejere Gennemfør risikovurdering og udarbejd en risikohåndteringsplan, inkl. valg af kontroller De store aktiviteter kan udføres i faser og i parallel: Implementer processerne (ISMS) Implementer de valgte kontroller Dokumenter det hele, inkl. udarbejdelse af procedurer og instruktioner Medarbejderuddannelse (awareness) Vedligehold systemet
Hvad kan man genbruge? Man har nok allerede en del kontroller Firewalls, proxy, antivirus, UPS mv. Backups og katastrofeplaner Adgangskontrol, brandsikring, tyverialarm mv. Kontrakter med fortrolighedserklæringer Overordnet sikkerhedspolitik Regler i personalehåndbog Vejledning om e-mail og internetbrug Husk de lavthængende frugter
TAK Jacob Herbst jhe@dubex.dk