Sikker bruk av Internett: Hvordan velge riktige opplæringstiltak for informasjonssikkerhet?
IN1030 Systemer, krav og konsekvenser...2020/04/16 · (Information Security Management) IN1030...
Transcript of IN1030 Systemer, krav og konsekvenser...2020/04/16 · (Information Security Management) IN1030...
![Page 1: IN1030 Systemer, krav og konsekvenser...2020/04/16 · (Information Security Management) IN1030 2020 Innebygd informasjonssikkerhet 21 IT Security Operations Drift/Administrasjon](https://reader034.fdocuments.net/reader034/viewer/2022042401/5f1097ad7e708231d449de0f/html5/thumbnails/1.jpg)
IN1030
Systemer, krav og konsekvenser
Innebygd informasjonssikkerhet
Audun Jøsang
Institutt for Informatikk
Universitetet i Oslo
16. april 2020
![Page 2: IN1030 Systemer, krav og konsekvenser...2020/04/16 · (Information Security Management) IN1030 2020 Innebygd informasjonssikkerhet 21 IT Security Operations Drift/Administrasjon](https://reader034.fdocuments.net/reader034/viewer/2022042401/5f1097ad7e708231d449de0f/html5/thumbnails/2.jpg)
God og dårlig oversettelse
Engelsk
• Security
• Safety
• Certainty
• Security
• Safety
• Certainty
Norsk
• Sikkerhet
• Trygghet
• Visshet
• SikkerhetDårlig
God
IN1030 2020 Innebygd informasjonssikkerhet 2
![Page 3: IN1030 Systemer, krav og konsekvenser...2020/04/16 · (Information Security Management) IN1030 2020 Innebygd informasjonssikkerhet 21 IT Security Operations Drift/Administrasjon](https://reader034.fdocuments.net/reader034/viewer/2022042401/5f1097ad7e708231d449de0f/html5/thumbnails/3.jpg)
Hva er sikkerhet ?
Sikkerhet er beskyttelse av verdier mot skadeeiendom, infrastruktur, demokrati, liv/helse, miljø, informasjon
– Fysisk sikkerhet (hindre innbrudd og tyveri)
– Samfunnssikkerhet (opprettholdelse av kritisk infrastruktur)
– Nasjonal sikkerhet (politisk stabilitet)
– Trygghet (beskyttelse av liv og helse)
– Miljøsikkerhet (hindre forurensing og fremmede arter)
– Informasjonssikkerhet og personvern
IN1030 2020 Innebygd informasjonssikkerhet 3
![Page 4: IN1030 Systemer, krav og konsekvenser...2020/04/16 · (Information Security Management) IN1030 2020 Innebygd informasjonssikkerhet 21 IT Security Operations Drift/Administrasjon](https://reader034.fdocuments.net/reader034/viewer/2022042401/5f1097ad7e708231d449de0f/html5/thumbnails/4.jpg)
Hva er informasjonssikkerhet ?
• Informasjonssikkerhet betyr å beskytte informasjonsressurser
mot skade.
• Hvilke informasjonsressurser skal beskyttes?
– Eksempel: data, programvare, konfigureringer, utstyr og infrastruktur
• Dekker både tilsiktet og utilsiktet skade
– Trusselagenter kan være mennesker eller naturlige hendelser
– Mennesker kan gjøre skade både tilsiktet og utilsiktet
• Definisjon av informasjonssikkerhet:
– Beskyttelse av informasjonens konfidensialitet, integritet og tilgjengelighet.
I tillegg kan andre egenskaper, f.eks. autentisitet, sporbarhet,
uavviselighet og pålitelighet omfattes. (ISO 27000:2016)
IN1030 2020 Innebygd informasjonssikkerhet 4
![Page 5: IN1030 Systemer, krav og konsekvenser...2020/04/16 · (Information Security Management) IN1030 2020 Innebygd informasjonssikkerhet 21 IT Security Operations Drift/Administrasjon](https://reader034.fdocuments.net/reader034/viewer/2022042401/5f1097ad7e708231d449de0f/html5/thumbnails/5.jpg)
IN1030 2020 Innebygd informasjonssikkerhet 5
Generelle informasjonssikkerhetsmål: KIT+P
• Informasjonssikkerhet er tradisjonelt definert som
opprettholdelse av KIT:
• Engelsk: CIA
– Confidentiality
– Integrity
– Availability:
• Personopplysningsvern (data protection) er et tilleggsmål
som bl.a. forutsetter KIT.
Tilgjengelighet
Informasjons-
sikkerhet
Personopplysningsvern
![Page 6: IN1030 Systemer, krav og konsekvenser...2020/04/16 · (Information Security Management) IN1030 2020 Innebygd informasjonssikkerhet 21 IT Security Operations Drift/Administrasjon](https://reader034.fdocuments.net/reader034/viewer/2022042401/5f1097ad7e708231d449de0f/html5/thumbnails/6.jpg)
Konfidensialitet
• Egenskapen av at informasjon ikke blir gjort tilgjengelig
eller vist til uautoriserte individer, entiteter eller
prosesser. (ISO 27000)
• Trusler:
– Datatyveri (ekstern trussel)
– Datalekkasje (intern trussel).
• Sikkerhetstiltak eksempler:
– Kryptering,
– Kryptografiske kommunikasjonsprotokoller, f.eks. TLS
– Autentisering og tilgangskontroll,
– Anonymisering, f.eks. gjennom pseudonym eller VPN
– Skallsikring
– Bevissthet
– …IN1030 2020 Innebygd informasjonssikkerhet 6
![Page 7: IN1030 Systemer, krav og konsekvenser...2020/04/16 · (Information Security Management) IN1030 2020 Innebygd informasjonssikkerhet 21 IT Security Operations Drift/Administrasjon](https://reader034.fdocuments.net/reader034/viewer/2022042401/5f1097ad7e708231d449de0f/html5/thumbnails/7.jpg)
Integritet
• Dataintegritet: Egenskapen av at data ikke har blitt
endret eller slettet på en uautorisert måte. (X.800)
• Systemintegritet: Egenskapen av å opprettholde
korrekthet og kompletthet av dataressurser (ISO 27000)
• Trusler: Ødelagte data og miskonfigurerte systemer
• Sikkerhetstiltak eksempler:
– Kryptografisk integritetssjekk, hashing
– Konfigurasjonsstyring
– Endringsledelse
– Tilgangskontroll
– Skallsikring
– Sertifisert programvare
– Bevissthet
– …IN1030 2020 Innebygd informasjonssikkerhet 7
![Page 8: IN1030 Systemer, krav og konsekvenser...2020/04/16 · (Information Security Management) IN1030 2020 Innebygd informasjonssikkerhet 21 IT Security Operations Drift/Administrasjon](https://reader034.fdocuments.net/reader034/viewer/2022042401/5f1097ad7e708231d449de0f/html5/thumbnails/8.jpg)
Tilgjengelighet
• Egenskapen av at data og tjenester er
tilgjengelige og anvendbare ved forespørsel
fra en autorisert entitet. (ISO 27000
• Trusler:
– Tjenestenekt (DoS / DDoS)
– Hindring av autorisert tilgang til ressurser
– Forsinkelse av tidskritiske funksjoner.
• Sikkerhetstiltak eksempler:
– Redundans av ressurser,
– Backup
– Hendelsesrespons og beredskap,
– Failover-konfigurasjon
IN1030 2020 Innebygd informasjonssikkerhet 8
![Page 9: IN1030 Systemer, krav og konsekvenser...2020/04/16 · (Information Security Management) IN1030 2020 Innebygd informasjonssikkerhet 21 IT Security Operations Drift/Administrasjon](https://reader034.fdocuments.net/reader034/viewer/2022042401/5f1097ad7e708231d449de0f/html5/thumbnails/9.jpg)
Typer av autentisering
IN1030 2020 Innebygd informasjonssikkerhet 9
Autentisering
Entitets-
autentisering
Bruker-
authentisering
System-
autentisering
Data-
autentisering
Basert på
kryptografiske
teknikker,
f.eks MAC & DigSig
Basert på passord
og andre typer av
autentifikatorer
Basert på
kryptografiske
protokoller f.eks. TLS
![Page 10: IN1030 Systemer, krav og konsekvenser...2020/04/16 · (Information Security Management) IN1030 2020 Innebygd informasjonssikkerhet 21 IT Security Operations Drift/Administrasjon](https://reader034.fdocuments.net/reader034/viewer/2022042401/5f1097ad7e708231d449de0f/html5/thumbnails/10.jpg)
Identitets- og tilgangshåndtering
IAMIdentity and Access Management
IN1030 2020 Innebygd informasjonssikkerhet 10
Tilgangs-
håndtering
Oppgi login-
identitet
Autentisering med
autentifikator(er)
Tilgangskontroll
Registrering av
ny identitet
Klargjøring av
autentifikator(er)
Tilgangs-
autorisering
Identitets-
håndtering
I konfigureringsfasen I driftsfasen
![Page 11: IN1030 Systemer, krav og konsekvenser...2020/04/16 · (Information Security Management) IN1030 2020 Innebygd informasjonssikkerhet 21 IT Security Operations Drift/Administrasjon](https://reader034.fdocuments.net/reader034/viewer/2022042401/5f1097ad7e708231d449de0f/html5/thumbnails/11.jpg)
IAM scenarioSystem Owner Domain
Identity Provider
System Owner
Access approval function
registration
System resource
PAP
PAP: Policy Administration Point PEP: Policy Enforcement Point Configuration
PDP: Policy Decision Point IdP: Identity Provider Operations
policy
PDP
PEP
provisioning2
1
3
67
8
User
authentication
function
decision
access
request
request
authorization
request
resource &access type
5
4
log-on
Id
Cr+
User
IN1030 2020 11Innebygd informasjonssikkerhet
![Page 12: IN1030 Systemer, krav og konsekvenser...2020/04/16 · (Information Security Management) IN1030 2020 Innebygd informasjonssikkerhet 21 IT Security Operations Drift/Administrasjon](https://reader034.fdocuments.net/reader034/viewer/2022042401/5f1097ad7e708231d449de0f/html5/thumbnails/12.jpg)
Personvern i grunnloven
• § 102: Enhver har rett til respekt for sitt privatliv og
familieliv, sitt hjem og sin kommunikasjon.
Husransakelse må ikke finne sted, unntatt i
kriminelle tilfeller. Statens myndigheter skal sikre et
vern om den personlige integritet.
IN1030 2020 Innebygd informasjonssikkerhet 12
![Page 13: IN1030 Systemer, krav og konsekvenser...2020/04/16 · (Information Security Management) IN1030 2020 Innebygd informasjonssikkerhet 21 IT Security Operations Drift/Administrasjon](https://reader034.fdocuments.net/reader034/viewer/2022042401/5f1097ad7e708231d449de0f/html5/thumbnails/13.jpg)
IN1030 2020 Innebygd informasjonssikkerhet 13
![Page 14: IN1030 Systemer, krav og konsekvenser...2020/04/16 · (Information Security Management) IN1030 2020 Innebygd informasjonssikkerhet 21 IT Security Operations Drift/Administrasjon](https://reader034.fdocuments.net/reader034/viewer/2022042401/5f1097ad7e708231d449de0f/html5/thumbnails/14.jpg)
Personopplysningsvern
Hva er det personopplysningsloven skal beskytte?
Er det kun sikkerheten rundt selve informasjonen ?
Nei – ikke bare det
En krenkelse av personvernet kan skje selv om du
beskytter personinformasjonen aldri så godt …
• … hvis informasjonen du har er feil
• … hvis personen selv skal bestemme om det er lov å innhente og
behandle informasjonen, men du har ikke fått samtykke
Personopplysningsvern er mer enn bare informasjonssikkerhet
IN1030 2020 Innebygd informasjonssikkerhet 14
![Page 15: IN1030 Systemer, krav og konsekvenser...2020/04/16 · (Information Security Management) IN1030 2020 Innebygd informasjonssikkerhet 21 IT Security Operations Drift/Administrasjon](https://reader034.fdocuments.net/reader034/viewer/2022042401/5f1097ad7e708231d449de0f/html5/thumbnails/15.jpg)
10101
01101101
10110
Personopplysningsvern
Beskytte spesifikke aspekter ved informasjon som kan
relateres til fysiske personer (personinformasjon)
• Forhindre urettmessig innsamling og oppbevaring av
personinformasjon
• Forhindre urettmessig bruk av innsamlet personinformasjon
• Sørge for at personinformasjon er korrekt
• Sørge for åpenhet og innsyn
• Sørge for adekvat informasjonssikkerhet (KIT) rundt
personinformasjon
• Definere klar ansvarsfordeling
IN1030 2020 Innebygd informasjonssikkerhet 15
![Page 16: IN1030 Systemer, krav og konsekvenser...2020/04/16 · (Information Security Management) IN1030 2020 Innebygd informasjonssikkerhet 21 IT Security Operations Drift/Administrasjon](https://reader034.fdocuments.net/reader034/viewer/2022042401/5f1097ad7e708231d449de0f/html5/thumbnails/16.jpg)
General Data Protection Regulation
Personvernforordningen (PVF)
• Tredde ikraft som lov i EU 25.05.2018, i Norge 20.07.2018
(Personopplysningsloven)
• Brudd kan medføre bøter opp til €20 mill. eller 4% av omsetning
• Håndheves av Datatilsynet
• EUs lovtekst (GDPR) oversatt uten endring, 99 artikler
• Art. 5: Prinsipper for behandling av personopplysninger
• Art. 25: Innebygd personvern
• Art. 32: Innebygd informasjonssikkerhet
• Krever at den behandlingsansvarlige har personvernombud
ved betydelig behandling av personopplysninger
IN1030 2020 Innebygd informasjonssikkerhet 16
![Page 17: IN1030 Systemer, krav og konsekvenser...2020/04/16 · (Information Security Management) IN1030 2020 Innebygd informasjonssikkerhet 21 IT Security Operations Drift/Administrasjon](https://reader034.fdocuments.net/reader034/viewer/2022042401/5f1097ad7e708231d449de0f/html5/thumbnails/17.jpg)
Roller i GDPR
IN1030 2020 Innebygd informasjonssikkerhet 17
Den registrerte
(Data Subject)
Personopplysninger
(Personal Data)
Den behandlings-
ansvarlige
(Data Controller)
Databehandleren
(Data Processor)
(Data Protection Authority)
Databehandleravtale
(Data Processing Agreement)
Tilsyn
(Audit)
![Page 18: IN1030 Systemer, krav og konsekvenser...2020/04/16 · (Information Security Management) IN1030 2020 Innebygd informasjonssikkerhet 21 IT Security Operations Drift/Administrasjon](https://reader034.fdocuments.net/reader034/viewer/2022042401/5f1097ad7e708231d449de0f/html5/thumbnails/18.jpg)
Art. 5: Prinsipper for behandling av
personopplysninger
1. Personopplysninger skal behandles med:
a) Lovlighet, rettferdighet og åpenhet
b) Formålsbegrensning
c) Dataminimering
d) Riktighet
e) Lagringsbegrensning
f) Integritet og konfidensialitet
2. Den behandlingsansvarlige har ansvar for pkt. 1 ovenfor.
IN1030 2020 Innebygd informasjonssikkerhet 18
![Page 19: IN1030 Systemer, krav og konsekvenser...2020/04/16 · (Information Security Management) IN1030 2020 Innebygd informasjonssikkerhet 21 IT Security Operations Drift/Administrasjon](https://reader034.fdocuments.net/reader034/viewer/2022042401/5f1097ad7e708231d449de0f/html5/thumbnails/19.jpg)
Art. 25: Innebygd personvern og
personvern som standardinnsstilling
Det skal gjennomføres egnede tekniske og organisatoriske
tiltak for å sikre at det som standard bare behandles
personopplysninger som er nødvendige for spesifikke
formål. Dette gjelder mengden personopplysninger som
samles inn, omfanget av behandlingen av opplysningene,
hvor lenge de lagres og deres tilgjengelighet.
IN1030 2020 Innebygd informasjonssikkerhet 19
![Page 20: IN1030 Systemer, krav og konsekvenser...2020/04/16 · (Information Security Management) IN1030 2020 Innebygd informasjonssikkerhet 21 IT Security Operations Drift/Administrasjon](https://reader034.fdocuments.net/reader034/viewer/2022042401/5f1097ad7e708231d449de0f/html5/thumbnails/20.jpg)
Art. 32: Sikkerhet ved behandlingen
Det skal gjennomføre egnede tekniske og organisatoriske
tiltak for å oppnå et sikkerhetsnivå som er egnet i forhold til
risikoen, herunder blant annet:
a) pseudonymisering og kryptering av personopplysninger
b) evne til å sikre vedvarende fortrolighet, integritet, tilgjengelighet
og robusthet i behandlingssystemene og -tjenestene,
c) evne til å gjenopprette tilgjengeligheten og tilgangen til
personopplysninger i rett tid ved tekniske hendelser
d) regelmessig testing, analysering og vurdering av hvor effektive
behandlingens tekniske og organisatoriske sikkerhetstiltak er
IN1030 2020 Innebygd informasjonssikkerhet 20
![Page 21: IN1030 Systemer, krav og konsekvenser...2020/04/16 · (Information Security Management) IN1030 2020 Innebygd informasjonssikkerhet 21 IT Security Operations Drift/Administrasjon](https://reader034.fdocuments.net/reader034/viewer/2022042401/5f1097ad7e708231d449de0f/html5/thumbnails/21.jpg)
Begreper rundt ledelse av informasjonssikkerhet
(Information Security Management)
IN1030 2020 Innebygd informasjonssikkerhet 21
IT Security OperationsDrift/Administrasjon av informasjonssikkerhet
Information Security ManagementLedelse av informasjonssikkerhet
(Internkontroll)
InformationSecurity
GovernanceStyring
av informasjonssikkerhet
Oppfylle foretakets
mål.
Definere foretakets visjoner og
verdier. Balansere
eieres mål og prioriteter.
![Page 22: IN1030 Systemer, krav og konsekvenser...2020/04/16 · (Information Security Management) IN1030 2020 Innebygd informasjonssikkerhet 21 IT Security Operations Drift/Administrasjon](https://reader034.fdocuments.net/reader034/viewer/2022042401/5f1097ad7e708231d449de0f/html5/thumbnails/22.jpg)
Styringshjulfor ledelse av informasjons-
sikkerhet
Ledelse av informasjonssikkerhet (ISO27001)
IN1030 2020 Innebygd informasjonssikkerhet 22
Plan-legging
Sikkerhetsrisiko-
vurdering
TiltakOppfølging og kontroll
Rapport-ering
![Page 23: IN1030 Systemer, krav og konsekvenser...2020/04/16 · (Information Security Management) IN1030 2020 Innebygd informasjonssikkerhet 21 IT Security Operations Drift/Administrasjon](https://reader034.fdocuments.net/reader034/viewer/2022042401/5f1097ad7e708231d449de0f/html5/thumbnails/23.jpg)
Generell risikomodell for IT-sikkerhet
• Generell modell for risiko
– Jo mere verdier du har, jo flere trusler du er utsatt for, og jo mere
sårbar du er, desto større risiko har du.
IN1030 2020 Innebygd informasjonssikkerhet 23
Trusler Sårbarheter
Verdier
Risiko
![Page 24: IN1030 Systemer, krav og konsekvenser...2020/04/16 · (Information Security Management) IN1030 2020 Innebygd informasjonssikkerhet 21 IT Security Operations Drift/Administrasjon](https://reader034.fdocuments.net/reader034/viewer/2022042401/5f1097ad7e708231d449de0f/html5/thumbnails/24.jpg)
Detaljert risikomodell
• Enhver risiko er et
resultat av et gitt
trusselscenario som kan
fører til en hendelse som
skader verdier.
• Motivasjon, kapasitet,
sårbarhet og konsekvens
bestemmer risikonivået.
IN1030 2020 Innebygd informasjonssikkerhet 24
Trusselaktør-
styrke
Sårbarhet for
trusselscenario
Sannsynlighet for (at
trusselscenario skal
forårsake) hendelseHendelsens
konsekvens
Konkret risikonivå
Trusselaktør-
motivasjon
Trusselaktør-
kapasitet
Forklaring:
har aspekt
bidrar til
Trussel-
scenario
Trusselaktør
Hendelse
![Page 25: IN1030 Systemer, krav og konsekvenser...2020/04/16 · (Information Security Management) IN1030 2020 Innebygd informasjonssikkerhet 21 IT Security Operations Drift/Administrasjon](https://reader034.fdocuments.net/reader034/viewer/2022042401/5f1097ad7e708231d449de0f/html5/thumbnails/25.jpg)
Verdier, Trusler, Sårbarheter og Tiltak• Verdier: Informasjon av verdi.
– KIT (konfidensialitet, integritet og tilgjengelighet) for data og
systemressurser tilhørende organisasjoner
– Personopplysningsvern for de registrerte (privatpersoner)
• Trussel: Et potensielt angrepsscenario som styres eller
trigges av en trusselaktør, og som kan ha negative
konsekvenser for verdier (brudd på sikkerhet/personvern)
• Sårbarhet: Fravær av sikkerhetstiltak mot trusler.
• Sikkerhetstiltak (Security Control): Metode for å forhindre
trusler eller redusere konsekvenser
IN1030 2020 Innebygd informasjonssikkerhet 25
Trinn 1
Trusselaktør
Trinn 2 Trinn 3
Trusselscenario / Angrep
utfører skaper hendelse
verdiSårbarheter
konsekvens
![Page 26: IN1030 Systemer, krav og konsekvenser...2020/04/16 · (Information Security Management) IN1030 2020 Innebygd informasjonssikkerhet 21 IT Security Operations Drift/Administrasjon](https://reader034.fdocuments.net/reader034/viewer/2022042401/5f1097ad7e708231d449de0f/html5/thumbnails/26.jpg)
Ingen sårbarhet
uten en trussel
IN1030 2020 Innebygd informasjonssikkerhet 26
Ny trussel
oppstod i 2016
Trussel blokkert
(dvs. sårbarhet fjernet)
Nice
Berlin
London
Barcelona
![Page 27: IN1030 Systemer, krav og konsekvenser...2020/04/16 · (Information Security Management) IN1030 2020 Innebygd informasjonssikkerhet 21 IT Security Operations Drift/Administrasjon](https://reader034.fdocuments.net/reader034/viewer/2022042401/5f1097ad7e708231d449de0f/html5/thumbnails/27.jpg)
Trusselmodellering
• Nye trusler oppstår hele tiden (trusselinnovasjon)
• Utfordringen er å identifisere relevante trusler
• Tenk: Hva kan skje? Hvordan kan våre verdier skades?
Hvem kunne være interessert i å skade oss og hvordan?
IN1030 2020 Innebygd informasjonssikkerhet 27
Front-end
webtjener
Back-end
app. logikk
MySQL
databaseInternett
KlientplattformBruker
Trusselaktør med angrepsmålsettinger
Trusselscenarier
![Page 28: IN1030 Systemer, krav og konsekvenser...2020/04/16 · (Information Security Management) IN1030 2020 Innebygd informasjonssikkerhet 21 IT Security Operations Drift/Administrasjon](https://reader034.fdocuments.net/reader034/viewer/2022042401/5f1097ad7e708231d449de0f/html5/thumbnails/28.jpg)
Mange risikoer
• Flere ulike trusler (scenarier) kan identifiseres
• Hver trussel kan potensielt forårsake en sikkerhetshendelse
• Hver potensielle hendelse har et risikonivå
• Mange trusler ⇒ mange risikoer
•
IN1030 2020 Innebygd informasjonssikkerhet 28
Trussel 1 Hendelse 1 Risiko 1
Trussel 2 Risiko 2
Trussel 3 Risiko 3
Hendelse 2
Hendelse 3
![Page 29: IN1030 Systemer, krav og konsekvenser...2020/04/16 · (Information Security Management) IN1030 2020 Innebygd informasjonssikkerhet 21 IT Security Operations Drift/Administrasjon](https://reader034.fdocuments.net/reader034/viewer/2022042401/5f1097ad7e708231d449de0f/html5/thumbnails/29.jpg)
Innebygd informasjonssikkerhet 29
Strategier for risikostyring
• Etter å ha fullført risikovurderingen, må sikkerhetsteamet velge
en av fire strategier for å kontrollere hver risiko:
1. Redusere risikoen med sikkerhetstiltak (stoppe trussel
eller redusere konsekvens)
2. Dele/overføre risikoen til andre (cyberforsikring eller
outsourcing av aktivitet som medfører risiko)
3. Beholde risikoen (forstå og tolerere potensiell skade)
4. Unngå risikoen (stanse aktivitet som skaper risikoen)
IN1030 2020
![Page 30: IN1030 Systemer, krav og konsekvenser...2020/04/16 · (Information Security Management) IN1030 2020 Innebygd informasjonssikkerhet 21 IT Security Operations Drift/Administrasjon](https://reader034.fdocuments.net/reader034/viewer/2022042401/5f1097ad7e708231d449de0f/html5/thumbnails/30.jpg)
Ris
iko
redu
ksjo
n($
)
Negativ ROI
Det lønner seg
ikke å innføre
sikkehetstiltaket
Null ROI
Gjør en vurdering
om det er
fornuftig å innføre
sikkerhetstiltaket
Positiv ROI
God grunn til
å innføre
sikkerhets-
tiltaket
ROI for sikkerhetstiltak (Return on Investment)
?
IN1030 202030
Innebygd informasjonssikkerhet
ROI =
Kostnad av sikkerhetstiltaket ($)
Risikoreduksjon − Kostnad av tiltak
Kostnad av tiltak
![Page 31: IN1030 Systemer, krav og konsekvenser...2020/04/16 · (Information Security Management) IN1030 2020 Innebygd informasjonssikkerhet 21 IT Security Operations Drift/Administrasjon](https://reader034.fdocuments.net/reader034/viewer/2022042401/5f1097ad7e708231d449de0f/html5/thumbnails/31.jpg)
Tiltak/virkemidler/controller for
sikkerhet
IN1030 2020 Innebygd informasjonssikkerhet 31
Fysiske tiltak•Adgangskontroll
•Vektere
•Låser
•Overvåking
•Alarmer
•Utrykning
•Strøm / VVS
Tekniske tiltak•Brukerautentisering
•Tilgangskontroll
•Kryptografi
•Systemsikkerhet
•Nettverksikkerhet
•Inntrengingsalarm
•Digital etterforskning
Administrative
tiltak•Internkontroll / ISMS
•Policyer / Standarder
•Prosedyrer og praksis
•Bagrunnsjekk
•Bevissthetstrening
•Hendelseshåndtering
Informasjonssikkerhet
![Page 32: IN1030 Systemer, krav og konsekvenser...2020/04/16 · (Information Security Management) IN1030 2020 Innebygd informasjonssikkerhet 21 IT Security Operations Drift/Administrasjon](https://reader034.fdocuments.net/reader034/viewer/2022042401/5f1097ad7e708231d449de0f/html5/thumbnails/32.jpg)
IN1030 2020 Innebygd informasjonssikkerhet 32
Sikkerhetstiltak – ulike faser
• Preventive tiltak: – Forhindre og avskrekke angrepsforsøk
• Eksempel: kryptering av filer for konfidensialitet
• Detektive tiltak: – Varsle angrep som forsøkes eller som allerede er skjedd.
Eksempel: Inntrengingsdeteksjon (IDS)
• Korrigerende tiltak:– Gjenopprette skade på dataressurser etter angrep.
• Eksempel: Hendelseshåndterering og hente backup vedødelagte data
• Det er alltid nødvendig å benytte en kombinasjon av tiltak fra alle tre faser for å opprettholde dekkende beskyttelse.
![Page 33: IN1030 Systemer, krav og konsekvenser...2020/04/16 · (Information Security Management) IN1030 2020 Innebygd informasjonssikkerhet 21 IT Security Operations Drift/Administrasjon](https://reader034.fdocuments.net/reader034/viewer/2022042401/5f1097ad7e708231d449de0f/html5/thumbnails/33.jpg)
Sikkerhetstjenester og tiltak/controller
• Sikkerhetsmål
– Uavhengig av spesifikk implementering
– Kan implementers med ulike tiltak/controller
• Sikkerhetstiltak / controller / mekanismer
– Basert på spesifikk implemntering, ofte bundet til spesifikke
produkter
IN1030 2020 Innebygd informasjonssikkerhet 33
f.eks. konfidensialitet – integritet – tilgjengelighet
f.eks. låser – kryptering – bevissthet
Sikkerhetstjenester:
Sikkerhetstiltak/controller:
støtter
![Page 34: IN1030 Systemer, krav og konsekvenser...2020/04/16 · (Information Security Management) IN1030 2020 Innebygd informasjonssikkerhet 21 IT Security Operations Drift/Administrasjon](https://reader034.fdocuments.net/reader034/viewer/2022042401/5f1097ad7e708231d449de0f/html5/thumbnails/34.jpg)
Innebygd personvern og
informasjonssikkerhet
Veileder fra Datatilsynet
• Rutiner for metode
• Regler for koding
• Verktøyvalg
• Gjennomtenkt testing
• Gjør nødvendige sikkerhetstiltak
Oppsummering: Programmer seriøst!
IN1030 2020 Innebygd informasjonssikkerhet 34
![Page 35: IN1030 Systemer, krav og konsekvenser...2020/04/16 · (Information Security Management) IN1030 2020 Innebygd informasjonssikkerhet 21 IT Security Operations Drift/Administrasjon](https://reader034.fdocuments.net/reader034/viewer/2022042401/5f1097ad7e708231d449de0f/html5/thumbnails/35.jpg)
Opplæring i personvern og
informasjonssikkerhet
• Mål: Basiskunnskap og forståelse for personvern og
informasjonssikkerhet, og risiko tilknyttet dette
• Hva skal det gis opplæring i: Når og hvorfor
personvern og informasjonssikkerhet er viktig i de
ansattes daglige arbeidsoppgaver.
• Suksesskriterier er at virksomheten har etablert
retningslinjer for personvern og informasjonssikkerhet,
og at det gis opplæring i disse retningslinjene
IN1030 2020 Innebygd informasjonssikkerhet 35
![Page 36: IN1030 Systemer, krav og konsekvenser...2020/04/16 · (Information Security Management) IN1030 2020 Innebygd informasjonssikkerhet 21 IT Security Operations Drift/Administrasjon](https://reader034.fdocuments.net/reader034/viewer/2022042401/5f1097ad7e708231d449de0f/html5/thumbnails/36.jpg)
Krav til sikkerhet og personvern
• Definer type personopplysninger som skal behandles
• Definer behandlingsansvarlig og databehandler
• Hvem er 3.parts mottager av personinformasjon
• Åpenhet, vis hvilken informasjon som lagres, så den
registrerte kan ivareta sine rettigheter.
• Velg adekvate tiltak for informasjonssikkerhet
• Dokumenter
IN1030 2020 Innebygd informasjonssikkerhet 36
![Page 37: IN1030 Systemer, krav og konsekvenser...2020/04/16 · (Information Security Management) IN1030 2020 Innebygd informasjonssikkerhet 21 IT Security Operations Drift/Administrasjon](https://reader034.fdocuments.net/reader034/viewer/2022042401/5f1097ad7e708231d449de0f/html5/thumbnails/37.jpg)
To typer personvernrisiko
Tilfelle og konsekvens av
personvernhendelser
(Personvernkonsekvens) f.eks.:
• Urettmessig diskriminering basert
på personinfo og profilering
• Re-identifisering basert på data
som skal være anonyme eller
pseudonym
• Uønsket innsamling
• Lagring lenger enn nødvendig
• … (se neste side)
Vurderes med DPIA (Data
Protection Impact Assessment) Personvernkonsekvensanalyse, Art.29
Sannsynlighet og
konsekvens av
sikkerhetshendelser, f.eks.:
• Brudd på KIT (konfidensialitet,
integritet, tilgjengelighet) for
personinfo.
• Tyveri og publisering av
personinfo
Vurderes med
sikkerhetsrisikoanalyse.
IN1030 2020 Innebygd informasjonssikkerhet 37
![Page 38: IN1030 Systemer, krav og konsekvenser...2020/04/16 · (Information Security Management) IN1030 2020 Innebygd informasjonssikkerhet 21 IT Security Operations Drift/Administrasjon](https://reader034.fdocuments.net/reader034/viewer/2022042401/5f1097ad7e708231d449de0f/html5/thumbnails/38.jpg)
Design av innebygd personvern
• Dataorienterte designkrav:
– Minimer innhenting - «Select before you collect»
– Minimer prosessering og overføring - «gjem og skjul»
– Separer behandlinger
– Personvern som standardinnstilling
• Prosessorienterte designkrav
– Styre
– Håndheve
– Informere
– Demonstrere
IN1030 2020 Innebygd informasjonssikkerhet 38
![Page 39: IN1030 Systemer, krav og konsekvenser...2020/04/16 · (Information Security Management) IN1030 2020 Innebygd informasjonssikkerhet 21 IT Security Operations Drift/Administrasjon](https://reader034.fdocuments.net/reader034/viewer/2022042401/5f1097ad7e708231d449de0f/html5/thumbnails/39.jpg)
Design av innebygd sikkerhet
• Analyser angrepsflaten på det planlagte systemet og
vurdere hvordan man kan redusere muligheter til å utnytte
eventuelle svake punkter og sårbarheter.
• Trusselmodellering for å se om det fins mulighet for
misbruk av tilgangspunkter, funksjoner, og dataflyt i systemet
– avdekke relevante trusselscenarier for misbruk av programvaren
– hvordan designet kan forbedres for å stoppe trusselscenarier
(dvs. å fjerne sårbarheter)
• Resultatet er et mer herdet og robust sluttprodukt.
IN1030 2020 Innebygd informasjonssikkerhet 39
![Page 40: IN1030 Systemer, krav og konsekvenser...2020/04/16 · (Information Security Management) IN1030 2020 Innebygd informasjonssikkerhet 21 IT Security Operations Drift/Administrasjon](https://reader034.fdocuments.net/reader034/viewer/2022042401/5f1097ad7e708231d449de0f/html5/thumbnails/40.jpg)
Sikker koding
• Beskriv bruksområde for
koden
• Vurder trusselmodeller fra
design-fasen
• Vurder sårbarheter i
støttekomponenter
• Vurder sårbarheter i
verktøy
• Sørg for at sårbarheter er
fjernet eller tilstrekkelig
redusert
IN1030 2020 Innebygd informasjonssikkerhet 40
![Page 41: IN1030 Systemer, krav og konsekvenser...2020/04/16 · (Information Security Management) IN1030 2020 Innebygd informasjonssikkerhet 21 IT Security Operations Drift/Administrasjon](https://reader034.fdocuments.net/reader034/viewer/2022042401/5f1097ad7e708231d449de0f/html5/thumbnails/41.jpg)
Test om kravene er implementert
• Er personvern- og
sikkerhetskrav ivaretatt gjennom
design og koding?
• Er kravene riktig implementert?
• Er alle komponenter med?
IN1030 2020 Innebygd informasjonssikkerhet 41
![Page 42: IN1030 Systemer, krav og konsekvenser...2020/04/16 · (Information Security Management) IN1030 2020 Innebygd informasjonssikkerhet 21 IT Security Operations Drift/Administrasjon](https://reader034.fdocuments.net/reader034/viewer/2022042401/5f1097ad7e708231d449de0f/html5/thumbnails/42.jpg)
Sikkerhetstesting
• Dynamisk testing
– Test funksjonalitet i kjørende kode
(verktøy eller manuelt)
– Undersøk ulike brukerrettigheter, også
ved simulerte sikkerhetsfeil
• Fuzz testing
– Fremprovoser feil i programvaren
– Bruk verktøy som sender tilfeldig og
misformet data inn i programvaren
– Test alle grensesnitt
• Penetrasjonstesting / sårbarhetsanalyse
– Kjøres før produksjonssetting og jevnlig
– Lovlig og autorisert forsøk på å finne og
utnytte sårbarheter
IN1030 2020 Innebygd informasjonssikkerhet 42
![Page 43: IN1030 Systemer, krav og konsekvenser...2020/04/16 · (Information Security Management) IN1030 2020 Innebygd informasjonssikkerhet 21 IT Security Operations Drift/Administrasjon](https://reader034.fdocuments.net/reader034/viewer/2022042401/5f1097ad7e708231d449de0f/html5/thumbnails/43.jpg)
Produksjonssetting
• Utarbeid plan for hendelseshåndtering for effektiv
håndtering av hendelser som kan oppstå etter
produksjonssetting.
– Hva en hendelse er og hvilken livssyklus den har (omfatter å
detektere, analysere, rapportere, håndtere og normalisere)
– Ressurser, kontaktpunkt/responssenter, kontaktinformasjon,
responstid, kanaler, logger, rutiner, patching, evaluering mm.
– Plan for varsling av ledelse, den registrerte, Datatilsynet, og presse
IN1030 2020 Innebygd informasjonssikkerhet 43
![Page 44: IN1030 Systemer, krav og konsekvenser...2020/04/16 · (Information Security Management) IN1030 2020 Innebygd informasjonssikkerhet 21 IT Security Operations Drift/Administrasjon](https://reader034.fdocuments.net/reader034/viewer/2022042401/5f1097ad7e708231d449de0f/html5/thumbnails/44.jpg)
Forvaltning
• Håndtere hendelser og avvik etter planen
– Når akutte hendelser opptrer, er det viktig å bevare roen og å
bruke tid på å analysere hendelsen.
– Responsteamet skal kunne håndtere situasjonen, og vite hvem
som er i stand til å bygge, teste og installere oppdateringer.
– Responsteamet må vite hvilke prioriteringer som gjelder, samt
vite nøyaktig hva de kan og skal gjøre, og hvem de skal
kontakte når det virkelig er krise.
– Øv !!!
IN1030 2020 Innebygd informasjonssikkerhet 44
![Page 45: IN1030 Systemer, krav og konsekvenser...2020/04/16 · (Information Security Management) IN1030 2020 Innebygd informasjonssikkerhet 21 IT Security Operations Drift/Administrasjon](https://reader034.fdocuments.net/reader034/viewer/2022042401/5f1097ad7e708231d449de0f/html5/thumbnails/45.jpg)
Forvaltning
• Forvaltning, drift og vedlikehold av programvaren
skal følge etablerte rutiner for hvordan
personvern og sikkerhet skal ivaretas over tid.
IN1030 2020 Innebygd informasjonssikkerhet 45
• Ha styringssystem for personvern
og informasjonssikkerhet
(internkontroll) som omfatter
anskaffelse, forvaltning, drift og
vedlikehold.
– Rutiner for regelmessige testing og
revidering, sikkerhetsovervåkning,
målinger, forbedring mm.
![Page 46: IN1030 Systemer, krav og konsekvenser...2020/04/16 · (Information Security Management) IN1030 2020 Innebygd informasjonssikkerhet 21 IT Security Operations Drift/Administrasjon](https://reader034.fdocuments.net/reader034/viewer/2022042401/5f1097ad7e708231d449de0f/html5/thumbnails/46.jpg)
Referanser
Veiledere fra Datatilsynet:
• Hva betyr de nye personvernreglene for din virksomhet?https://www.datatilsynet.no/regelverk-og-skjema/veiledere/hva-betyr/
• Programvareutvikling med innebygd personvernhttps://www.datatilsynet.no/regelverk-og-skjema/veiledere/programvareutvikling-med-innebygd-personvern/
IN1030 2020 Innebygd informasjonssikkerhet 46