SecureAware Risk Manual Manualen beskriver brugen af SecureAware version 3 Dokument opdateret: april 2009 Om dette dokument Dette dokument er en vejledning i brug af Risk-modulet i SecureAware. Dokumentet giver en detaljeret beskrivelse af modulet og dets funktioner og har til formål at guide dig igennem opbygning af risikovurderinger, samt uddelegering af ansvar for udførelse af disse.
Indholdsfortegnelse Risikovurderinger i SecureAware... 3 Tilpasning af systemer... 4 Oprettelse af en risikovurdering... 6 Om at udføre en risikovurdering... 7 Opsætning af vurderingsparametre... 8 Valg af systemer... 8 Rapporter... 9 Oprettelse af nye elementer...10 Processer...10 Aktiver...11 Oprettelse af nyt system...13 Oprettelse af alvorlighedsskala...14 Udregning af risiko...16 Start risikovurdering...19 Opret ny rapporttype...21 Import/Eksport...21 Kontaktinformation...22 2
Risikovurderinger i SecureAware For at få adgang til at oprette risikovurderinger i SecureAware, skal du klikke på i øverste højre hjørne eller benytte genvejen fra startsiden. Herfra får du adgang til Risk-hovedmenuen. I venstre side af skærmbilledet i hovedmenuen ses RisikoMenuen. Her vises de forskellige elementer, der kan eller skal benyttes i risikovurderingen. Hovedbilledet Risikostyring benyttes til at oprette nye elementer. 3
Tilpasning af systemer Før du kan begynde at oprette risikovurderinger, skal du sikre dig, at de ønskede systemer er oprettet. Dette gør du ved at klikke på System i Risikomenuen til venstre. Du kan nu ændre, slette eller oprette nye systemer. Vil du ændre i et system, markerer du systemet i menuen til højre, og får nu mulighed for at ændre systemets navn og beskrivelse. Du kan ligeledes søge på og tilføje systemog dataejere. Når søgeresultaterne vises, klikker du på for at tilføje vedkommende. System- og dataejere kan slettes igen ved at klikke på. Klik på Opdater for at gemme dine ændringer. Du sletter et system ved at klikke på Slet-knappen. Ønsker du at oprette et nyt system, klikkes på, hvorefter systemet kan oprettes. Læs mere om oprettelse af et nyt system i afsnittet Oprettelse af nyt system.har du allerede markeret et eksisterende system, skal du klikke på enten Opdater eller Annuller, før -knappen bliver aktiv. For at et system kan indgå i en risikovurderingvurdering, skal det angives, hvem der er ansvarlig for konsekvensvurdering og sårbarhedsvurdering af det enkelte system. Ved at markere det ønskede system og vælge fanebladet Vurderingsbrugere, kan du søge efter de brugere, som skal vurdere henholdsvis konsekvens og sårbarhed. Du kan, ved hjælp af rullemenuen, vælge at søge på bruger-id, navn eller e-mail. Når du 4
har valgt brugere, skal du klikke på Opdater for at gemme dine ændringer. Du kan nu gå videre med at tildele vurderingsbrugere til de øvrige systemer. Når dette er gjort, kan du starte en risikovurdering. Du kan dog også vælge at ændre opsætningen yderligere, før vurderingen startes. 5
Oprettelse af en risikovurdering I Risk-hovedmenuen klikkes nu på Opret ny vurdering. Du kan nu føje et navn og en beskrivelse til din risikovurdering. Du kan ligeledes vælge, hvilken alvorlighedsskala risikovurderingen skal beregnes efter. SecureAware bruger som default alvorlighedsskalaen 1-5. Muligvis har en SuperUser tilføjet andre skalaer, men du kan også selv vælge at oprette en ny alvorlighedsskala. Hvordan dette gøres, er beskrevet i afsnittet Oprettelse af alvorlighedsskala. Klik på knappen Opret for at oprette den nye vurdering. Du kan nu starte vurderingen ved at klikke på knappen Start. Det vil dog være en god idé at vente med at starte risikovurderingen, til de resterende parametre i risikomodulet er blevet sat op, som beskrevet i de følgende afsnit. Du kan løbende få et overblik over vurderingen ved at klikke på vurderingens navn i RisikoMenuen til venstre og herefter vælge fanebladet Status i billedet til højre. Aktive vurderinger vil her blive vist med et farvet vurderingsikon, hvorimod inaktive (ikke-påbegyndte og afsluttede) vurderinger, vil have et gråt ikon. Du har adgang til alle risikovurderinger fra hovedmenuen. Rapporter, som endnu ikke er aktive, vil være listet under Vurdering, aktive rapporter under Rapportudkast og afsluttede rapporter under Sidste endelige rapporter. 6
Om at udføre en risikovurdering På SecureAwares forside kan du se, om du har nogle risikovurderingsopgaver. Klik på opgaven for at begynde din vurdering. Du kan dog også vælge at klikke på fanebladet Risikovurdering. Du kan nu læse en introduktion til risikovurderinger, eller gå direkte til at vurdere sårbarhed eller konsekvens for de systemer, du er ansvarlig for. Konsekvens bedømmes ved at vælge et svar i rullemenuen indenfor kategorierne fortrolighed, pålidelighed og tilgængelighed samt interesse. Sårbarhed bedømmes ved at benytte de mere detaljerede spørgeskemaer. Hvis man ønsker at benytte rullemenuen, på samme måde som ved konsekvensvurdering, skal fluebenet i Anvend spørgeskema fjernes. Vær opmærksom på, at du, hvis du anvender spørgeskemaet, skal klikke på Send efter hvert svar. Nederst kan du se, hvor langt du er nået. 7
Opsætning af vurderingsparametre For at opsætte yderligere vurderingsparametre i risikovurderingen, vælger du vurderingen i hovedmenuen. Du får nu, ved hjælp af fanebladene øverst, mulighed for at tilpasse vurderingen. Du kan her vælge hvilke systemer, der skal indgå i vurderingen, tilpasse vurderingsrapporter og se den samlede status for din vurdering. Som før nævnt, vil du, på ethvert tidspunkt, kunne se status for vurderingen ved hjælp af fanebladet Status, ligesom du kan ændre navn og beskrivelse samt starte eller afslutte en vurdering i fanebladet Vurderingsopsætning. Valg af systemer Fanebladet Vurdering og Systemforbindelse, giver et overblik over de systemer, der er medtaget i risikovurderingen. Her kan du, ved at klikke på de røde krydser, fjerne systemer, der ikke skal medtages i vurderingen. Husk at klikke på Opdater, for at gemme dine ændringer. 8
Rapporter SecureAware har som udgangspunkt 3 indbyggede rapporttyper. Disse kan ses ved at vælge fanebladet Rapporter. Rapporterne Risikorapport for ledelsen, Risikorapport standard og Risikorapport fuld indeholder hver især nogle af følgende delelementer: Introduktion, Metodebeskrivelse, Systemoverblik, Systemdetaljer, Systemgraf, Procesdetaljer, Procesrisiko, Aktiv information, Aktiv risiko, Hovedkonklusion, Anbefalinger, Afslutning samt Detaljer vedrørende spørgsmål. Rapporterne kan ses og udskrives i enten Word eller PDF-format, ved at klikke på rapporternes navne eller ikoner. Du kan også vælge at tilføje en indledende tekst til rapporternes afsnit, ved at vælge fanebladet Rapporttekst. Når du klikker på de enkelte afsnit, får du mulighed for at indtaste og formattere en forklarende tekst, metodebeskrivelse eller andet, der vil blive vist i starten af afsnittet i rapporterne. Det er også muligt at generere din egen rapporttype. Dette beskrives i afsnittet Opret ny rapporttype. 9
Oprettelse af nye elementer I Risk hovedmenuen kan du oprette nye systemer, aktiver, processer, rapporttyper samt vurderinger. Processer For at kunne danne dig et mere detaljeret overblik over det risikobillede, der tegner sig over virksomhedens systemer, kan du tilknytte processer til de systemer, der er indeholdt i en risikovurdering. For at oprette en ny proces, klikker du på Opret ny proces i hovedmenuen. I procesmenuen til venstre, vil du nu se nogle proceseksempler. Disse er ment som eksempler på, hvordan processer kan indtastes. Du kan rette i eller slette disse. Klikker du på under Funktioner i øverste venstre hjørne, kan du oprette en ny proces fra bunden. Efter at have angivet et procesnavn og beskrivelse, kan du, ved at søge på bruger-id, navn eller e-mail, vælge hvem der skal være procesejer. Når søgeresultaterne vises, klikkes på ud for navnet for at tilføje denne person som procesejer. Du kan fortryde tilføjelsen ved at klikke på. Klik tilsidst på Opret for at gemme din ændringer. Du kan nu knytte processen til et system. Dette gøres ved at markere din proces i procesmenuen til venstre og vælge fanebladet Proces og systemforbindelse. Vælg nu et system i rullemenuen. Når du har valgt et system, klikker du på Tilføj. Gentag dette, hvis du ønsker at tilføje flere systemer. 10
Fortryder du, kan systemet slettes ved at klikke på ud for systemets navn. Klik nu på Opdater for at gemme, eller Annuller for at fortryde. Aktiver På samme måde som med processer, kan systemerne, der indgår i risikovurderingen, tilknyttes forskellige aktiver. Aktiverne er de infastrukturkomponenter som et system anvender sig af, og kan eksempelvis være servere, kommunikationslinier eller programmer, der anvendes til behandling af systeminformationer. Fra hovedmenuen vælges Opret nyt aktiv, hvorefter du kommer til Aktivmenuen. Når du har navngivet og beskrevet aktivet, kan du vælge ejeren af aktivet ved at søge på bruger-id, navn eller e- mail. Når søgeresultaterne vises, vælges aktiv-ejeren ved at klikke på. Rullemenuen herunder benyttes til at tildele aktivet en sikkerhedsklassifikation, eksempelvis virksomhedskritisk, uklassificeret eller fortroligt. Herefter kan aktivets placering og type angives. Husk at klikke på Opdater for at gemme, eller Annuller for at fortryde. Herefter kan et nyt aktiv oprettes ved at klikke på i øverste venstre hjørne. Nye felter i aktivmenuen Måske ønsker du at kunne tilføje flere oplysninger til dine aktiver end dem, der er felter til. Måske skal felterne vises i en anden rækkefølge. Du kan tilføje flere felter, ved at klikke på Ikonet Aktivfeltopsætning i 11
øverste venstre hjørne under Funktioner. Du kan nu slette, rette i, eller flytte rundt på felterne, ligesom du kan oprette et nyt felt. For at lave et nyt felt, taster du feltnavnet i tekstfeltet Navn, og vælger en felttype i rullemenuen. Som udgangspunkt kan du vælge mellem tre slags felter: En Ja/Nej afkrydsning, et tekstfelt og et talfelt. Når du har foretaget dit valg, skal du klikke på Tilføj og derefter Opdater. Ønsker du et rullemenufelt, hvor det er muligt at vælge mellem prædefinerede indtastninger, skal du tilbage til Aktivmenuen og vælge ikonet Aktivfeltværdiliste i øverste venstre hjørne under Funktioner. Du kan nu klikke på Opret liste, for at navngive din liste og indtaste de valgmuligheder, listen skal indeholde Valgmulighederne skal indtastes i feltet Elementværdi, og der skal klikkes på Tilføj efter hver indtastning. Du kan sætte én af valgmulighederne som default i listen. Klik til sidst på Opdater for at gemme. Klik igen på Tilbage til Aktiver for at vende tilbage til Aktivfeltopsætning og benytte den nyoprettede liste. Du kan nu forbinde aktiverne til de systemer de hører under. Dette gør du under fanebladet Aktiv og systemforbindelse. Markér det aktiv, du vil knytte systemer til, og vælg et system i rullemenuen. Når du klikker på Tilføj, er systemet knyttet til det valgte aktiv. Gentag dette, for at tilknytte yderligere systemer. Systemerne kan slettes igen ved at klikke på. Klik tilsidst på Opdater. 12
Oprettelse af nyt system Fra hovedmenuen har du adgang til at oprette nye systemer til brug i risikovurderingen. Klik på Opret nyt system, og indtast, i menuen, navn og beskrivelse af det nye system. Du kan nu vælge system- og dataejere i rullemenuerne. Du kan søge på bruger-id, navn eller email. For at vælge blandt dine søgemuligheder, klikker du på for at tilføje en person. Denne kan slettes igen ved at klikke på. Husk at klikke på Opdater for at gemme systemoplysningerne. For at der skal kunne foretages en risikovurdering, skal der være oprettet vurderingsbrugere Du kan nu, ved at vælge fanebladet Vurderingsbrugere, vælge hvem der skal vurdere henholdsvis konsekvens og sårbarhed (se også afsnittet: Tilpasning af systemer). Det er nødvendigt for at starte en risikovurdering, at der er oprettet vurderingsbrugere. På samme måde som du måske har tilknyttet eksisterende systemer til aktiver og processer, kan du, ved hjælp af fanebladene Aktivrelationer og Procesrelationer, linke aktiver og processer til dit nyoprettede system. 13
Oprettelse af alvorlighedsskala Alvorlighedsskalaen benyttes af virksomhedens konsekvensvurderingsansvarlige til at sætte tal på på konsekvensen af fortroligheds-, pålideligheds- og tilgængelighedstab i et givent system. Som nævnt benytter SecureAware som default en alvorlighedsskala, der går fra 1-5. Dette betyder at de vurderingsansvarlige eksempelvis kan vælge om interessen i at kompromittere et system er meget lav, lav, middel, stor eller særdeles stor. Ligeledes vil den ansvarlige for sårbarhedsvurdering benytte skalaen i sin vurdering, enten ved hjælp af et spørgeskema, eller i en rullemenu. De vurderingsansvarliges besvarelser vil ligge til grund for udregningen af risikovurderingen, og det er derfor vigtigt, at du, hvis dette er dit ansvar, overvejer, om denne alvorlighedsskala er den mest formålstjenstlige. Fra Risk hovedmenuen vælger du Alvorlighedsskala og får adgang til alvorlighedsskala-valg. Vælger du nu Setting-list 1-5 i menuen til højre, vil du, ved hjælp af fanebladene øverst, kunne klikke dig gennem (og evt. ændre i) opsætningen for denne alvorlighedsskala. I fanebladet Alvorlighedsskalastyring, kan navnet og beskrivelsen af skalaen ændres. Fanebladene Fortrolighed, Pålidelighed og Tilgængelighed giver dig mulighed for at ændre, slette eller tilføje navn og vægtning af de listeelementer, de vurderingsansvarlige bliver præsenteret for. For alle tre faktorer, kan du redigere listen for både konsekvens og sandsynlighed. Ændrer eller tilføjer du noget, skal du huske at klikke på Tilføj og tilsidst på Opdater. 14
I den endelige risikovurdering, vil udregningen af risici for de enkelte systemer afhænge af vægtningen mellem konsekvens og sandsynlighed. Denne vægtning kan du kontrollere i fanebladet Konvertering. Du kan her justere i hvor høj grad valget af interesse- henholdsvis konsekvensniveau skal give udslag i den endelige vurdering. Øverst i billedet (under fanebladene) kan du skifte mellem Fortrolighed, Pålidelighed og Konsekvens. Klik på Gem og Opdater efter ændringer. Vil du oprette en helt ny alvorlighedsskala, klikker du på i øverste venstre hjørne af skærmbilledet. Du vil så få samme muligheder som når du redigerer, men i blanke formularer. 15
Udregning af risiko Risiko udregnes som sandsynligheden for, at en hændelse indtræffer ganget med konsekvensen af denne hændelse: Risiko = sandsynlighed * konsekvens Sandsynligheden for, at en hændelse indtræffer afhænger af et givent systems sårbarhed kombineret med interessen i at påvirke dette system. Sårbarhed afhænger af trusler og forebyggende foranstaltninger. I SecureAware Risk vurderes sårbarhed på én af følgende måder: 1. Den hurtige: Den sårbarhedsvurderingsansvarlige vælger sårbarhedsniveau på en prædefineret skala (som regel fra 1-5). 2. Den detaljerede: Den sårbarhedsvurderingsansvarlige besvarer et spørgeskema. Svarene indgår herefter i vurdering af systemets sårbarhed. Da det er praktisk umuligt at tage højde for samtlige mulige trusler mod et system, baseres trusselvurderingen i SecureAware på, hvilke forebyggende foranstaltninger der er taget for at beskytte systemet. Besvarelsen af spørgeskemaerne omhandler disse foranstaltninger og benyttes i udregningen af systemets sårbarhed. Besvares spørgsmålene med det højeste antal point (alle forebyggende foranstaltninger er implementeret og best practice for it-ledelse overholdes) vil systemets sårbarhed vurderes til at være meget lav. 16
Giver besvarelserne derimod lavest mulige point (ingen forebyggende foranstaltninger er implementeret og best practice for it-ledelse overholdes ikke), vil systemets sårbarhed vurderes som meget højt. Pointene fra spørgeskemaerne omsættes til en sårbarheds-score. Denne score udregnes på baggrund af den sårbarhedsvurderingsskala, som risikovurderingen benytter. Som superuser kan du justere denne skala for både fortrolighed, integritet og tilgængelighed i menupunktet Alvorlighedsskala. Sårbarheds-scoren og interesse-faktoren benyttes til at udregne sandsynligheden for brud på henholdsvis fortrolighed, integritet og tilgængelighed for et givent system. Det er denne sandsynlighed, der vises i risikorapporten. Sandsynlighed udregnes på baggrund af en prædefineret skala fra 1-5. Denne skala kan ligeledes ændres i menuen Alvorlighedsskala. 1-5-skalaen fungerer således: Hvis interesseniveauet er medium, beregnes sandsynligheden som værende den samme som sårbarhedsnivauet. Hvis interesseniveauet er over medium, stiger den beregnede sandsynlighed for, at en hændelse indtræffer. Hvis interesseniveauet er under medium, falder den beregnede sandsynlighed for, at en hændelse indtræffer. Dette konverteringsprincip kan også forklares på denne måde: Selv om et systems tekniske sårbarhed vurderes som værende meget lavt, vil sandsynligheden for at en hændelse indtræffer være højere end meget lavt, hvis interessen i at kompromittere systemet er højt. Hvis der, på den anden side, ikke er nogen særlig interesse i at kompromittere et system, vil sandsynligheden for, at en hændelse indtræffer falde uanset systemets vurderede sårbarhed. Sandsynligheden vil naturligvis ikke falde til nul, men vil reduceres sammenlignet med et system, for hvilket interessen er større. Udregningen af sandsynlighed kan ligeledes tilrettes af superuser. 17
Farvekodningen i rapporter I risikorapporterne vil systemers risiko farvekodes i grøn gul rød. Det giver sig selv, at røde systemer er de, hvor der er den mindste sandsynlighed for, at en hændelse indtræffer, og grønne er de mindst risikobehæftede. Hvis der benyttes en 1-5 skala, vil et system kunne opnå en score mellem 1 (meget lav sandsynlighed (1) x meget lille konsekvens (1) ) og 25 (meget høj sandsynlighed (5) x meget stor konsekvens (5) ). Grænseværdierne er opsat således: 1-6 = Grøn 7-15 = Gul 16-25 = Rød 18
Start risikovurdering Risikovurderingen kan nu startes. I Risk hovedmenuen, vil du se din(e) oprettede risikovurdering(er) listet i menuen Vurdering. Vurderingen startes ved at klikke på dens navn. Og derefter klikke på start i vurderingsopsætningen. Vurderingen vil nu starte, og de vurderingsansvarlige vil, når de logger ind, kunne se, hvilke risikovurderinger, de er ansvarlige for at foretage. Du vil, til enhver tid, kunne se status på dine vurderinger ved at vælge en vurdering i hovedmenuen og derefter klikke på fanebladet Status. Du vil her kunne se, hvem der er blevet pålagt ansvar for at udføre risikovurderinger på hvilke systemer, og om vurderingerne er blevet foretaget. For at kunne danne dig et overblik over oprettede, påbegyndte og afsluttede vurderinger, kan du, i hovedmenuens øverste venstre hjørne, klikke på Risikovurdering. Du vil nu se en liste over samtlige risikovurderinger, deres eventuelle start- og slutdato, samt hvor mange systemer der mangler at få tildelt konsekvens- og sårbarheds-ansvarlige. Du kan også se hvor mange systemer, der er blevet vurderet. Igangværende vurderinger er markeret med et farvet ikon vurderinger, er markeret med et gråt ikon., og ikke-opstartede samt afsluttede På ovenstående skærmbillede ses det, at 9 systemer ikke har tildelt konsekvens- og sårbarhedsansvarlige. Du retter nemmest op på dette fra hovedmenuen, hvor du under menuen Opret ny vurderingsansvarlig, vil kunne se de første 3 systemer, der ikke har fået tildelt ansvarlige. Når du vælger en af disse, får du adgang til at tildele systemet 19
vurderingsansvarlige. Når en vurdering skal afsluttes, vælger du den igen i hovedmenuen, klikker på fanebladet Vurderingsopsætning og klikker på Slut. Risikovurderingen låses nu, så der ikke længere kan foretages ændringer. 20
Opret ny rapporttype Som før nævnt, indeholder SecureAware Risk 3 prædefinerede rapporttyper. Ønsker du rapporter med en anderledes opsætning end disse, kan du enten redigere i en eksisterende rapporttype eller oprette en ny fra bunden. Fra Risk hovedmenuen klikker du på Administration af rapporttyper i menuen Rapporter. Vil du ændre opsætningen i en eksisterende rapporttype, klikker du på rapporttypens navn, hvorefter du kan ændre rapportens navn eller beskrivelse ved at klikke på. Vælg for at gemme indtastningen. Du kan ændre rækkefølgen af afsnittene i rapporten ved hjælp af piletasterne og slette et afsnit ved at klikke på. For at tilføje et afsnit, vælger du Tilføj og finder afsnittet i rullemenuen. Husk igen at vælge for at tilføje afsnittet. Klik tilsidst på Retur, for at vende tilbage til rapporttypestyringen. Import/Eksport For at importere eller eksportere en risikovurdering, vælger du en af disse muligheder fra hovedmenuen. Import risikovurderingsindhold giver dig mulighed for at browse efter den vurdering du ønsker at importere. Med Eksport risikovurderingsindhold, kan du gemme dit indhold som en.saf-fil. 21
Kontaktinformation - For yderligere information, kontakt Neuparts kontorer: Europa Neupart A/S Hollandsvej 12 2800 Lyngby Danmark Tel +45 7025 8030 Fax +45 7025 8031 Nordamerika United States Neupart Inc. 2553 Crescent St Ferndale, WA 98248 Tel. 360-820-2545 Fax 360-392-6078 Neupart GmbH Kaiserwerther Strasse 115 40880 Ratingen/Düsseldorf Germany: Tel. +49 (0) 2102/4209-26 Fax +49 (0) 2102/42062 Copyright 2006 Neupart A/S. Alle rettigheder forbeholdes. Dette dokuments forfatter er Neupart A/S. Alt indhold, inkl. tekst og grafik tilhører, medmindre andet er angivet, Neupart A/S og er ophavsretligt beskyttet i henhold til dansk og international lovgivning. Gengivelse af dokumentet eller dele heraf, tillades kun i det omfang, at dette sker i uændret form, og at Neupart A/S udtrykkeligt angives som kilde på samtlige kopier. Kopiering og distribuering må ikke foregå uden forudgående og udtrykkelig tilladelse fra NeupartA/S. Neupart A/S forbeholder sig ret til, på ethvert tidspunkt og uden varsel, at foretage ændringer og/eller forbedringer af de nævnte produkter. Andre virksomheders produkter, samt disses varemærker kan være registrerede eller ophavsretlige beskyttede. Logoerne for Neupart, SecureAware samt navnet SecureAware er varemærker, som tilhører Neupart A/S. Dokumentet leveres som det er og foreligger uden nogen form for garanti. Dokumentet samt tilhørende grafiske fremstillinger kan muligvis indeholde fejl eller mangler. Der gives ingen garantier for opnåelsen af resultater ved brug af denne dokumentation. Neupart A/S forbeholder sig ligeledes alle, ikke udtrykkeligt nævnte, rettigheder. 22