Følgende elementer bør behandles i en informasjonssikkerhetsstrategi:
Administrasjon av hvem som skal ha tilgang
Retningslinjer for hvem skal ha tilgang til hva og hvordan arbeidet med dette skal utføres i organisasjonen.
For å beskytte informasjonen bør tilgangen begrenses. Truslene finnes både innad i organisasjonen og utenfor, eksempelvis leverandører og konsulenter. Truslene trenger ikke være bevisst. Et uhell kan få store konsekvenser. Det er derfor veldig viktig at tilgang bare gis til de IT-systemene som de respektive brukerkategoriene har behov for og kan bruke.
Dette bør vurderes:
Hvem skal ha tilgang til IT-systemene?
Hva skal de få tilgang til, hva skal de kunne endre, og hva skal de kunne slette i IT-systemene og på egen datamaskin?
Hvem er ansvarlig for å ta beslutninger om tilgang?
Rutiner for tildeling, oppfølging og oppdateringer
Tilgangskontroll
Retningslinjer for tekniske løsninger for tilgang, både på applikasjons- og systemnivå, må være med. Hva en skal ha tilgang til utenfra og fra eget intranett bør defineres. Retningslinjene bør også behandle regler for etablering av intranett på et overordnet nivå. Ettersom området innebærer teknikk-, system- og leverandørvalg, er det viktig at disse valgene er bevisste og langsiktige, slik at man slipper galopperende kostnader i form av omfattende oppgraderinger eller sikkerhetssystemer med separate løsninger per produkt.
Dette bør vurderes:
Sikkerhet framover i tid
Administrativ arbeidsbyrde
Tilgangskontroll for de som skal administrere systemene
Kostnader for å leie forbindelser/VPN-løsninger
Logging og sporbarhet
Logging er å ta vare på data om hvilke aktiviteter som har funnet sted, hva som har blitt gjort og av hvem. Sporbarhet er at det gjennom logging skal kunne la seg gjøre å identifisere og følge hele hendelsesforløpet for ulike aktiviteter i eget nett. Dette er nødvendig for å kunne finne den ansvarlige ved sikkerhetsrelaterte hendelser.
Husk på at logging av aktivitet vil omfattes av personopplysningsloven og vil kunne krenke en arbeidstakers personlige integritet.
Dette bør vurderes:
Hva skal logges
Hvordan følges loggene opp
Hvem følger opp loggene
Hvor lenge skal man spare på loggene
Hvor skal de lagres
Sikkerhet rundt tilgang og lagring av loggene
Klassifisering av informasjon
Å klassifisere informasjon er en grunnpilar i informasjonssikkerhetsarbeidet. På denne måten fastsetter man hvilket sikkerhetsnivå ulike typer informasjon bør ha. Klassifiseringen bør skje ut fra tre aspekter: Konfidensialitet (at informasjonen ikke kan nås av uvedkommende), integritet (at informasjonen er riktig og ikke er blitt endret) og tilgjengelighet (at informasjonen kan nås av de som skal ha tilgang).
Dette bør vurderes:
Lag et enkelt klassifiseringssystem der antallet klasser er bestemt fra begynnelsen
Pek ut eiere for all informasjon
Innføring
Alle IT-systemer som innføres bør innen de tas i bruk bli gransket ut fra de sikkerhetskrav som finnes for organisasjonen. Rutiner bør lages for hva som skal gjøres i forbindelse med at et IT-system skal kjøpes og settes i drift.
Dette bør vurderes:
Eventuelle krav om å bruke sertifiserte og evaluerte produkter
Tester og testmiljø
Løpende sikkerhetsarbeid for systemet
Systemsikkerhetsplan
Ethvert IT-system bør ha en plan som spesifiserer hvilke sikkerhetskrav som stilles til det. Ulike systemer behandler ulike data og oppgaver, og derfor stilles det forskjellige krav fra system til system. En risikoanalyse med trusler og konsekvenser bør gjennomføres for hvert system. Ut fra risikoanalysen formuleres så systemsikkerhetsplanen.
Systemsikkerhetsplaner kan tas ut av strategien og være separate dokumenter.
Dette bør vurderes:
Peke ut systemeiere
Definere sikkerhetskrav for å sikre konfidensialiteten
Definere sikkerhetskrav for å sikre integriteten
Definere sikkerhetskrav for å sikre tilgjengeligheten
Ta hensyn til lovgivning som eventuelt omfatter systemet
IT-sikkerhetsinstrukser
IT-sikkerhetsinstrukser er håndfaste regler og rutiner for hva og hvordan ulike brukergrupper skal anvende IT-systemene. Tre typer IT-instrukser bør finnes: brukerinstruks, forvaltningsinstruks og driftsinstruks.
IT-sikkerhetsinstrukser kan tas ut av stategien og være separate dokumenter.
Dette bør vurderes:
Alle systemer skal ha en instruks
Instruksene skal være godkjent av ledelsen
Beskyttelse mot skadelig programkode
Det er viktig med retningslinjer for hva slags beskyttelse som bør finnes mot skadelig kode som for eksempel mot virus, ormer, trojaner og liknende. Beskyttelse og rutiner bør finnes i slik utstrekning at man skal kunne oppdage skadelig kode, forebygge smitte, forhindre spreding og gjenopprette systemer som er smittet.
Dette bør vurderes:
Tilpasse beskyttelsen etter trusselbildet
Installere beskyttelse på flere nivåer i IT-miljøet
Gjennom innføring av regler i IT-brukerinstruks begrense bruken av ikke-godkjente programmer og nedlastning av filer fra ekstern kilde
IT-nettverk (internt)
Retningslinjer for hvordan det interne nettet skal håndteres bør finnes. En organisasjons nettverk bør deles opp i ulike deler avhengig av hvilke tjenester som finnes og hvilken sikkerhet disse krever. Ansvaret for IT-nettverket bør skilles fra ansvaret for IT-driften.
Bygge tilgangskontroll basert på sikkerhetsdomener
Brukernes tilgang til nettverkstjenestene bør begrenses med hjelp av tilgangskontroll
Begrense administrators rettigheter til hva de trenger for å utføre jobben
IT-nettverk (eksternt)
Ekstern tilknytning innebærer eksponering for potensielt stor risiko. Det er derfor meget viktig å ha kontroll over hvem som får koble seg til og hvordan.
Se også ovenfor, avsnittet ”Regler for infrastruktur”
Dette bør vurderes:
Bestem hvilke typer tilkoblinger som tillates
Dokumenter og ha en oppdatert oversikt over tilkoblinger
Bruk autentisering ved eksterne tilkoblinger
Brannmur
Brannmuren kontrollerer og begrenser trafikken mellom to datanett, vanligvis det interne nettet og Internett. Brannmuren er en nødvendighet.
Den eneste måten for IP-kommunikasjon å komme til og fra organisasjonen er gjennom brannmuren
Brannmuren skal inneholde beskyttelse mot skadelig kode
Retningslinjer for logging av trafikken (Se også ovenfor, under avsnittet Logging og sporbarhet)
E-post
E-post er en effektiv og enkel måte å kommunisere på, og har blitt et meget populært arbeidsverktøy. Siden e-post er en kommunikasjonsmetode som bruker Internet, medfører bruk av e-posten visse trusler. E-posten kan for eksempel avlyttes og innhold eller avsendere kan forandres av uvedkommende. Dessuten er e-post en meget vanlig måte å spre skadelig kode på.
Dette bør vurderes:
Hvem skal ha tilgang til e-post
Hvilken informasjon skal sendes med e-post
Beskyttelse mot skadelig kode
Håndtering av vedlagte filer
Kryptering
Fjernarbeid og bruk av bærbare datamaskiner (Koble til fra hjemmekontor)
Det innebærer spesielt stor risiko å jobbe utenfor den ordinære arbeidsplassen, enten det er på en mobil dataløsning eller arbeid hjemmefra.
Kryptering ved overføring og lagring av informasjon
Håndtering av utskrifter
Autentisering ved oppkobling mot arbeidsplassen
Beredskapsplanlegging
Det bør finnes retningslinjer for hva som skal gjøres dersom IT-systemene blir rammet av ødeleggelse eller brudd. To ulike planer bør opprettes; beredskapsplan ved brudd og beredskapsplan ved katastrofer. Den første skal håndtere vanlige brudd og feil samt ødeleggelser, mens den andre skal kunne håndtere eventuelle katastrofer. Dette kan naturligvis også handle om brudd, feil eller ødeleggelser i bedriftskritiske systemer.
Dette bør vurderes:
Gi IT-systemene en prioriteringsordning – ta utgangspunkt i systemsikkerhetsplanene
Definer hva som blir sett på som en katastrofe
Håndtering av IT-hendelser
For på best mulig måte å forebygge og håndtere IT-hendelser bør retningslinjer finnes for både vanlige brukere og for IT-personell.
Tjenesten Nettvett leveres