När du tar datasäkerhetsfrågor på allvar






 Startsida
 Tjänster
 Kunder
 Kontakt
 Utbildning
-------------------

ODIT

E-mail: posta@odit.se

Tel:
08-449 72 29


Mobil:
070 521 69 25

 

INFORMATIONSSÄKERHET

Administrativ säkerhet

ODIT hjälper dig att utforma och införa strategier, policyer och andra styrdokument för att upprätthålla administrativ och personal säkerhet som är anpassad till din verksamhet och din organisations kultur och -miljö

 

Organisationens ledningen måste ta i beaktande att den dagliga verksamheten är utsatt för säkerhetsrisker. Personalhantering är en form av administrativ säkerhet och är en viktig faktor för att säkra den dagliga verksamheten. En klar definition av personalhantering skall inkluderas i säkerhetspolicyn och följaktligen formaliserar säkerhetsstrukturen i dokumentationer sådana som standarder, riktlinjer och procedurer.

Administrativ säkerhet är ledningens ansvar eftersom hantering av personal kan påverka säkerheten och den dagliga driften. Administrativ säkerhet är ett sätt att underhålla IT infrastruktur genom styrning och kontroll av hårdvara, media och användare för att skydda tillgångarna mot hoten.

Administrativ säkerhetskoncept

Syftet med administrativ säkerhet är att dagligen skydda systemens informationstillgångar, att identifiera och skydda verksamheten mot sårbarheter, att förebygga exploatering av hoten samt att införa instruktioner för Internetanvändning. Relationen mellan tillgångar, sårbarhet och hot brukar kallas för administrativ säkerhetstrippel.

Administrativ säkerhet är en samling koncept som är båda distinkta och inter-relaterade. I konceptet ingår:

  • hantering av antivirus

  • driftförsäkring

  • underhåll av backup

  • lokalbyte

  • privilegier

  • tillförlitlig återställning

  • konfigurationskontroll och ändringshantering

  • Due Care och Due Diligence

  • personintegritet (privacy)

  • säkerhet

  • driftkontroll.

Hantering och administration av antivirus

Virus är den mest förekommen form av säkerhetsrisk i IT världen. Alla kommunikationsvägar är eller har blivit exploaterade som en bärande mekanism för virus och andra illvilliga koder. Virus distribueras via e-post (vanligast), webbsidor, dokument och t o m. i kommersiella program. Hantering av antivirus beskrivs som att designa, utveckla och underhålla antiviruslösningar för organisationens IT miljö. Att tänka på:

  • tillåt aldrig användare att installera och exekvera program utan restriktioner

  • program ska alltid undersökas

  • användare ska alltid installera och exekvera endast godkända organisationens program

  • alla nya program skall ordentligt testas

  • användare skall ges en utbildning om virus och andra skadliga koder

  • testa aldrig ett exekverbart program genom att exekvera det

  • rapportera allt misstänkt till säkerhetsadministratören

  • all trafik extern som intern skall virusscannas

  • olika antivirusprogram skall installeras på alla enheter, server och klienter

Se vidare Illvillig kod och applikationsattacker

 

Driftförsäkring och livscykelsäkerhet

  • Driftförsäkring fokuserar på systemets grundläggande egenskaper och arkitektur som stödjer säkerheten. Det finns 5 krav på driftförsäkring

  1. systemets arkitektur

  2. systemets tillförlitlighet

  3. cover channel analys

  4. trusted facility management

  5. trusted recovery

  • livscykelsäkerhet fokuserar på skydd och standarder som är nödvändiga för att designa, bilda och underhålla ett system. Det finna 4 krav eller element för att upprätthålla livscykelsäkerhet:

  1. test av säkerhet

  2. utformning och test av specifikation

  3. hantering av konfigurationskontroll

  4. distributionstillit

Underhåll av backup

Backupens syfte är att tillgodose tillgänglighet och tillförlitlighet av data. System kraschar eller misslyckas av olika skäl: det kan vara hårdvarfel, fysisk skada, korrupta program, illvilliga koder och systemattacker. En pålitlig backup är en garanti för dataintegritet och för att återställa system. Backup är den enda garanti mot förlust av data. Backupen skall dock periodiskt testas.

Byte av lokal/arbetsstation

Byte av arbetsstation eller lokal kan användas som ett medel för att förbättra eller underhålla säkerheten, desamma gäller arbetsrotation. Att byte arbetsstation kan förhindra användare att ändra i systemet eller installera ej godkända program dessutom, att inte ha en permanent arbetsstation gör att användaren lagrar data i nätverkets servrar där den kan enkelt skyddas, ses över och granskas.

Need to know och principle of least privilege

Need to know och principle of least privilege är 2 högsäkerhetsaxiom i IT miljö. Användaren måste ha ”Need to know” för att ha rättighetsaccessen till dataresurser, oberoende på säkerhetsklassen som informationen kräver. Need to know är kraven på att ha access till, kunskap om eller ägande av data eller resurser för att utföra specifika uppgifter. Principle of least privileg kännetecknar att användare godkännes den lägsta graden av access till den säkra miljön för att utföra deras uppgifter.

Privilegierade driftfunktioner

Privilegierade driftfunktioner är de aktiviteter som kräver särskilda accesser till privilegium för utförande i en säker IT miljö. Dessa funktioner är i de flesta fall begränsade till systemadministratören. Kontroll över dessa funktioner är av särskild vikt för att understödja systemsäkerheten. Många av dessa funktioner är enkla att exploatera som kan leda till brott mot konfidentialitet eller tillgänglighet på systemresurser. Följande är exempel på privilegierade driftfunktioner:

  • användning av operativsystemets kommando

  • konfigurering av gränssnitten

  • tillträda till loggen

  • administration av användarens konto

  • konfiguration av kontrollen av säkerhetsmekanismer

  • körning av skripts automatiska funktioner

  • backup och restaurering av systemet

  • kontroll av kommunikation

  • användning av databasens återställnings verktyg och logfiler

  • kontroll av systemets omstart

Att administrera privilegierade access är en viktig funktion för att ha säkerhet under kontroll. Vidare för att begränsa privilegierade driftfunktioner, ska du också tillämpa separation av uppgifter. Separation av uppgifter säkerställer att ingen enskild person kan ha total kontroll av systemets säkerhetsmekanismer. Detta är viktigt för att säkerställa att ingen person kan äventyra systemet. Det kallas även för delad kunskap. Användning av separation av uppgifter tvingas genom att tillförlitliga användare har olika funktioner och administrativa uppgifter.

Ytterligare kontroll och restriktioner av privilegierade förmåga kan implementeras genom två manskontroll och rotation av uppgifter. Två manskontroll är hantering av privilegierade aktiviteter så att de kräver två administratörer att samverka för att uppfylla uppgiften. Detta reducerar bl a nyckelpersonens makt

Tillförlitlig återställning

Tillförlitlig återställnings syfte är att säkert återställa systemet efter ett driftavbrott eller systemkrasch. För att erhålla detta ska man först ha en pålitlig backuplösning som erhåller aktuell backup av all data, för det andra ska man se till att systemet startar om i singel-user non-privileged state. Med detta menas att systemet startar om så att en vanlig användarkonto kan användas för att logga in samt att systemet inte tillåter access till icke godkända användare. Systemåterställning inkluderar även återställning av alla infekterade filer och tjänster som har använts vid systemkraschen.

Varje missade eller förstörd fil återställs, varje ändring angående klassning rättas till och alla säkerhetskritiska filer verifieras. Common criteria definierar 3 hierarkiska typnivåer av tillförlitlig återställning:

  1. manuell återställning: systemadministratören skall manuellt utföra de nödvändiga åtgärderna för att implementera en säker och tillförlitlig återställning av systemet

  2. automatisk återställning: systemet ska ha förmåga att utföra åtgärderna för att återställa sig självt, men endast mot ett enda avbrott

  3. automatisk återställning utan onödig förlust: systemet isig ska ha förmåga att utföra pålitliga återställningsaktiviteter för att återställa systemet. Denna nivå av tillförlitligåterställning tillåts för ytterligare steg för att erhålla verifikation och skydd av klassificerade objekt. Dessa skyddsmekanismer inkluderar återställning av korrupta filer, återuppbyggande av data från transaktionsloggen samt verifiering av tillförlitlighet av huvudsystemet och säkerhetskomponenterna.

konfigurationskontroll och ändringshantering

Efter att grundligt och noggrant säkrat systemet, är det viktigt att bibehålla säkerheten intakt. Ändring i en säker miljö kan introducera kryphål, överlappning, missade objekt och förbiseende som kan leda till nya sårbarheter. Enda sättet att bibehålla säkerheten i denna fas av ändring är att systematiskt hantera ändringarna. Detta involverar loggning, revision och övervakning av aktiviteter som är relaterade till säkerhetskontroll och säkerhetsmekanismer. Erhållna data används sedan till att identifiera ändringens agenter, sådana som objekt, subjekt, program, kommunikationsvägar och nätverket. Detta görs genom att implementera konfigurationshanterings kontroll eller ändringshanterings kontroll. Dessa mekanismer säkerställer att alla ändringarna /förändringarna i systemet inte ska resultera i försvagning av säkerheten. Kontroll av konfiguration och kontroll av ändringshantering är en process i vilken alla systemändringarna spåras, kontrolleras, identifieras och godkännas. Detta kräver att alla systemändringarna genomgår en rigorös testprocedur innan systemet sätts i produktion. Detta kräver också dokumentation av alla ändringarna för användarens uppgifter och utbildning av berörda användare. Kontroll av konfiguration och kontroll av ändringshantering minimerar effekten på säkerheten på varje ändring i systemet. De erhåller ofta ett medel för att roll backa en ändring ifall den orsakar en negativ eller oönskad påverkan på systemet eller på säkerheten.

Kontroll av konfiguration och kontroll av ändringshantering innehåller 5 steg eller faser

  1. införande av en ändring

  2. katalogisering av den avsedda ändringen

  3. åstadkomma en tidtabell/schema för ändringen

  4. implementera ändringen

  5. rapportera ändringen

Standarderna Due Care och Due Diligence

Due Cares syfte är att skydda organisationens intressen. Due diligens´s syfte är att utföra de aktiviteterna som vidmakthåller Due Care. För exempel Due Care är utveckling av den formaliserad säkerhetsstruktur som innehåller säkerhetspolicy, standarder, riktlinjer och procedurer. Due Diligence är den kontinuerlig tillämpning av denna säkerhetsstruktur i organisationens IT infrastrukturen. Driftsäkerhet är den pågående skötseln, av fortsatta Due Care och Due Diligence, av alla ansvariga parter i organisationen.

I dagens verksamhetsmiljö, en välbetänkt Due Care och Due Diligence är det enda sättet att vederlägga motbevis av försumlighet i händelse av förlust. Högsta ledningen måste visa resonabel Due Care och Due Diligenceför för att reducera deras skuld och ansvar i händelse av förlust. Högsta ledningen kan dock vara skyldiga till ekonomisk förlust.

Due diligence: law reasonable steps taken by a person in order to avoid committing an offence “The New Oxford Dictionary of English”.

Tagna åtgärder för att för att frambringa en god säkerhet och undvika lagbrott

Due diligence är ledningens uppgift och ansvar. Due diligencens syfte är att utföra de aktiviteterna som vidmakthåller en god säkerhet dvs.  Due Care. Due diligence handlar om att:

-          upptäcka potentiella faror

-          utföra utvärderingar (assessments)

-          genomföra analys på utvärderade data

-          genomföra riskhantering

-          utforska och förstå samt tolka miljöns sårbarheter, hot och risker

Due care: agera utifrån analysresultatet för att minska risker

Due Cares syfte är att skydda organisationens tillgångar och intressen. Due care handlar om att:

-          göra rätt sak

-          implementera lösningar grundade på analyserade data

-          ordentligt skydda organisationen och dess tillgångar

-          agera ansvarfullt

 

Personintegritet och skydd

Personintegritet är skydd av personlig data/information från avslöjande till otillåtna individer eller enheter. I dagens online världen, bandet mellan offentlig och privat information är ofta suddig. Tex. är information om din webbsurfings vanor privat eller publik? Kan denna information insamlas på ett legalt sätt utan din medgivande? Och kan organisationen sälja dessa information säljas utan att du får del av vinsten?

Din personliga dat/information inrymmer även information om vem du är, (namn, adress, telnr., Ursprung, religionsbekännelse, ålder, etc), ditt hälsotillstånd, ekonomi och även brottsregister.

Att ta itu med personintegritet och privatliv är ett krav på organisation. Skydd av personintegritet och privatliv är ett mål i organisationens säkerhetspolicyn.

  • Legala krav

    Varje organisation verkar inom en viss industri och/eller i ett visst land. Dessa ställer legala krav, restriktioner och regler på verksamheten. Dessa legala krav kan tillämpas på licensierade användning av program, hantering av känslig material och efterlevnad av regler lagar och föreskrifter. Legala krav skall tas i beaktande vid uppbyggnad av organisationens säkerhetsinfrastruktur

  • Illegala aktiviteterna

    Illegala aktiviteter är de åtgärderna som bryter mot legala instruktioner, regler eller andra krav. Det kan inbegripa fusk, förskingring, otillåten avslöjning, stöld, förstöring, spionage, förledning, osv. En säker miljö ska erbjuda mekanismer för att förhindra utförande av illegala aktiviteter och medel för att spåra illegala aktiviteter och upprätthålla ansvarsskyldighet från de individer som begår brott.

    Preventiv kontrollmekanismer inkluderar identifikation och autentisering, access kontroll, separation av uppgifter, jobbrotation, tvingande semester, bakgrundsundersökning, utbildning, least privilege, mm. Detektiva mekanismer inkluderar revision, intrångsdetekteringssystem, mm.

  • Bevarande av register

    bevarande av register är den organrationella policy som definierar vilken information som ska bibehållas och för hur lång tid. En separat backupmekanism används för att skapa en arkiverad kopia av känslig logg och ansvarsinformation. Detta möjliggör huvudbackupsystemet att periodiskt återanvända sitt media utan att bryta mot de kraven på att bibehålla logg och liknande.

    Om data om individen kvarhålls av organisationen (ex. kontrakt och avtal) skall den anställde vara varse om.

  • Känslig information och media

    Ordentlig hantering av information och media -särskilt i en säker miljö där känslig och konfidentiell data bearbetas- är avgörande för organisationens säkerhet och stabilitet. Eftersom värdet av den lagrade data är av stor betydelse i jämförelse med lagringskostnad av media, skall man alltid köpa media av hög kvalitet. För val av media, finns det flera områden av informations- och mediahantering: märkning, hantering, livsspann, återanvändning och förstörelse. Märkning, hantering och iakttagande av livsspann säkerställer livsduglighet av data i en lagrad media. Återanvändning och förstörelse fokuserar på att inte bibehålla data.

  • Märkning av media

    märkning av media är den enkla och tydliga åtgärd som klart och noggrant definiera medians innehåll. Den viktigaste aspekt av märkning är att tydliggöra säkerhetsklassning av data som är lagrad i media så att media i sig kan ordentligt hanteras. Band med oklassificerad data behöver inte ha hög säkerhet vid lagring eller transport så som är fallet med klassad data. Dataetikett ska skapas automatiskt och lagras som en del av backupmängd på media. Vidare en fysisk etikett skall tillämpas på media och bibehålls under medians livslängd. Media som används för att lagra klassificerad information ska aldrig återanvändas för att lagra lägre känslig data.. media-etiketter hjälper till att på ett säkert sätt hantera känslig, klassificerad eller konfidentiell data. All flyttbara media, inkluderar band, USB drives, diskett, CD, hårddisk, utskrifter skall märkas.

  • Hantering av data

    Hantering refererar till säker transport av data från uppköp till lagring och slutligen förstöring. Media måste hanteras i enlighet med den klassifikation av data som finns lagrad i det. Miljön där media lagras kan påverka dess livstids användning. ex. en varm eller dammig miljö kan orsaka skada på media, förkortning av livsspann. Några riktlinjer för hantering av media:

    • behåll media i sin original förpackning tills det kommer att användas

    • vid öppning av paketet, var extra försiktig så att inte ska det. Använd t ex. inte skarpa föremål

    • utsätt inte media för extrem temperatur. Det kan inte vara intill värmeelement, luftkonditionering, eller något annat som kan orsaka extrem temperatur

    • använd inte media som skadat, utsatt för onormal högnivå av damm eller smuts

    • media skall transporteras i en temperaturkontrollerad fordon

    • media skall skyddas från yttre miljö, undvik solljus, fukt, värmen och kylan. Transportera alltid media i en lufttät, vattentät, säker container.

    • Media skall acklimatiserad i 34 timmar innan användning

    • lämplig säkerhet skall upprätthållas över media vid transport av backup till den säkra miljön. Media är sårbart för skada och stöld under hela transporttiden.

    • Lämplig säkerhet skall upprätthållas över media vid alla tillfällen (även när det återanvändas) alltigenom dess livstid tills det förstörs.

 

  • Lagring av media

    Media ska endast sparas i en söker lokal där är temperatur och fukt kontrollerade och inte utsättas för magnetiska fälten och särskilda typer av media. Hissmotor, skrivare och övervakningskameror har alla stark elektriska fält. En rent lagringsarea direkt påverkar livsspann och användningen av media. Access till lagringsenheten skall alltid kontrolleras. Fysisk säkerhet är viktig för att bibehålla konfidentialitet, tillförlitlighet och tillgänglighet av backup-media.

  • Hantering av medias livsspann

    All media har en användbar livsspann. Återanvänt media har mean time to failure (MTTF) som normalt medges i antal timmar media kan återanvändes. De flesta bandmedia-backup kan återanvändas mellan 3 och 10 gånger. När media återanvändes, skall det vara ordentligt rensat. Clearing är en metod av tillräcklig borttagning av data så att media kan återanvänds i samma säker miljö. Purging är radering av data så att media kan återanvänds i en mindre säker miljö. Om inte absolut nödvändigt skall man inte använda sig av Purging. Kostnaden av att tillhandahålla varje klassningsnivå med sitt eget media skall jämförs med skadan som orsakas av att data/information avslöjas. Om media inte ska arkiveras eller återanvändas skall det på ett säkert sätt förstöras.

    När en backup-media nått sitt MTTF, skall det förstöras . Säker förstöring av media som innehåller konfidentiell eller känslig data är lika viktigt som lagring av sådant media. När man förstör media, skall detta raderas ordentligt. När man ordentligt rensat (Purging) data, skall media fysiskt förstöras. Detta för att undvika återanvändning och försök till datainsamling (gleaning) genom tillfällig tangentbords attack) eller high-tech (laborativ attack) . Att fysiskt krossa media är ofta tillräckligt men förbränning kan vara nödvändigt.