IT-sikkerhedspolitik

Formålet med en IT-sikkerhedspolitik, kan beskrives med følgende 3 ord:

Tilgængelighed: Der skal sikre, at informationer med tilhørende service er tilgængelige på de tidspunkter, autoriserede brugere ønsker det.

Integritet: Som skal sikre, at informationerne er akkurate og fuldstændige, og at anvendte edb-programmer fungerer korrekt.

Fortrolighed: Der skal sikre, at informationer beskyttes mod afsløring og uautoriseret anvendelse, samt eventuelle øvrige krav, der stilles af kunder, myndigheder og koncernens ledelse.

IT-sikkerhedspolitikken er et produkt af et udviklingsarbejde, der er unikt, fordi den enkelte virksomhed eller institution er unik i struktur, kultur og holdninger.

Derfor er det også vigtigt at udviklingen af en IT-sikkerhedspolitik angribes på den rigtige måde. For at opnå succes, i den endelige implementering, bør nogle af nøgleordene være:

Efterlevbarhed: Så brugerne kan efterleve IT-sikkerhedspolitikken, uden at dette betyder unødigt besvær, eller stor nedgang i produktiviteten.

Implementerbarhed: Der gør IT-sikkerhedspolitikken mulig at føre ud i livet, og indarbejde i virksomhedens almindelige struktur og forretningsgang.

Afgrænsning

IT-sikkerhedspolitikken bør omfatte følgende hoved og delområder:

Overordnet sikkerhedspolitik: 

• Baggrund
• Målsætning
• Gyldighed
• Organisation
• Overtrædelse

Politik for adgangsrettigheder: 

• Hvem kan godkende en bruger oprettelse?
• Hvem kan få adgang til hvilke ressourcer (systemer)?
• Rettigheder og pligter
• Hvornår og hvordan bliver en brugeradgang lukket og arkiveret?
• Hvor længe må en brugeradgang være inaktiv før den bliver lukket?
• Password , længde opbygning og ændrings frekvens.

Fjernadgang til systemer 

• Acceptable teknikker for adgang til det interne netværk
• Definerer alle former for fjernadgang
• Hvem har mulighed for at benytte fjernadgang / distancearbejdspladser
• Modems på lokalnet opkoblede maskiner, eller fjernopkoblede maskiner på andre netværk
• Højhastigheds RAS
• Hvem har mulighed
• Hvilke restriktioner gælder
• Restriktioner i dataadgang
• Hvordan kontrolleres fjernadgang adgang

Internet anvendelse

• Definerer Firewall brug
• Definerer platform og fysisk sikkerhed
• Definerer lognings niveau og håndtering
• Ændringer i Hardware og software konfiguration
• Privilegeret adgang til Firewall's
• Procedure for ændrings forespørgsler
• Oplysninger om konfiguration og opsætninger
• Test af Firewall'ens konfiguration
• Andre servere i Internet zonen

Incident håndtering

• Definerer hvordan man håndtere uautoriseret indtrængen, angreb eller virus.
• Definerer ansvarsområder
• Definerer hvilken information der skal gemmes eller nedskrives
• Definerer hvem der skal informeres og hvornår
• Definerer hvem der kan informerer udadtil, og hvordan informationen frigives
• Definerer hvilken opfølgning der skal være.

 Informations beskyttelse 

• Definerer hvem der har adgang til følsomme data
• Definerer hvordan følsomme data opbevares og sendes
• Definerer hvordan man opbevarer følsomme data
• Definerer hvilke følsomme data der bliver printet
• Definerer hvordan følsomme data bliver fjernet fra mediet
• Definerer hvilke filrettigheder der opsættes for den enkelte bruger på systemet

 Data backup 

• Definerer hvad der tages backup af
• Definerer hvor ofte der tages backup
• Definerer backup rotations cyklus
• Definerer hvordan backup opbevares i fjernlager
• Definerer hvordan backup er mærket og dokumenteret

Netværk

• Definerer betingelserne for at tilslutte nye enheder til netværket
• Definerer hvilke standarder, krav og protokoller tilsluttet udstyr skal overholde.
• Definerer termer: Intranet, Internet , DMZ …..
• Hvem kan tilslutte enheder til netværket?
• Hvilken godkendelse, og hvem skal informeres?
• Hvordan dokumenteres?
• Hvilke betingelser er der for sikkerhed på nettet?
• Hvordan håndteres usikre enheder?

 Applikations sikkerhed 

• Hvordan giver applikationer adgang til data?
• Hvordan sikres applikations koden?
• Hvordan sikres applikationen, så input data's størrelse og indhold ikke giver utilsigtet adgang, eller skader applikationen?
• Hvordan sikres at applikationen kun udleverer de ønskede oplysninger?
• Hvordan sikres applikations platformen.

Special access 

• Definerer hvem der kan benytte administrator rettigheder
• Definerer hvordan opgaver udført under administrator rettigheder bliver auditeret
• Definerer password politik for administrator konti
• Definerer hvordan og hvorfor en administrator konti bliver lukket

Fysisk sikkerhed

• Fysisk adgangskontrol
• Beskyttelse af tekniske installationer og sikringsanlæg
• Vedligeholdelse af udstyr
• Arkivering af materiale.

 Config og Change Management 

• Definerer hvordan hardware/software installeres og testes
• Definerer hvordan hardware/software ændringer dokumenteres
• Definerer hvem der skal informeres om hardware/software ændringer
• Definerer hvem der må foretage hardware/software ændringer

Katastrofeplan

• En katastrofe er en begivenhed af en størrelse er berøre størstedelen af organisationen
• Målet er at have en plan der kan minimerer katastrofens omfang og konsekvens for virksomheden
• Sikrer at kritisk information er tilgængeligt fra fjernlager, og kan tilvejebringes hurtigt
• Test af katastrofeplan

E-Business sikkerhed

• Definerer hvilken metoder der benyttes i løsningen.
• Definerer platformen hvor løsningen eksekvere.
• Sikrer at adgangen til applikation og data er begrænset mest muligt.
• Sikrer at applikationen og platformen yder tilstrækkeligt beskyttelse af data.

Derudover bør følgende områder behandles:

Acceptabel Adfærds notat / brugerhåndbog

• Der giver brugerne lettilgængelig besked om hvad der er tilladt, og hvad der ikke er.
• Der kan indgå, evt. i medarbejder introduktion.

Risikovurdering

• Der sikrer at nye projekter og installationer overholder IT-sikkerhedspolitikken

Udover disse områder, kan der være emner, der enten kan være specifikke for den enkelte virksomhed/institution, eller som man ønsker at fremhæve i en IT-sikkerhedspolitik.

Metode

Vi opfatter udviklingen af en IT-sikkerhedspolitik på følgende måde:

Sikkerhedspolitikken: Er de overordnede målsætninger for IT-sikkerheden. Det er udetaljerede definitioner af det ønskede sikkerhedsniveau indenfor de enkelte delområder

Sikkerhedsbestemmelser: Er de detaljerede bestemmelser på den enkelte delområder. Bestemmelserne er de koncise regler der sikrer at sikkerhedspolitikken opfyldes.

Sikkerhedsprocedurer: Er de operationelle beskrivelser af de handlinger der skal udføres for at sikkerhedsbestemmelserne kan overholdes.

Det er mit ansvar, at der foreligger en færdig dokumenteret sikkerhedspolitik, der modsvarer den beskrivelse, der er opstillet i nærværende dokument.

Ansvaret for, at sikkerhedspolitikken er  operationel og implementerbar, er interessenternes  fælles ansvar.

Ansvaret for implementering af sikkerhedspolitikken ligger udenfor opgaven at formulere en IT-sikkerhedspolitik. .

Processen

Selve udviklingen af IT-sikkerhedspolitikken foregår på følgende måde:

Introduktion: Ledelsen af virksomheden/institutionen samt interessenterne introduceres for en projektplan. Samtidigt bliver baggrund og målsætning for IT-sikkerhedspolitikken. Resultatet af introduktionen er en revideret projektplan, hvorefter projektet herefter bliver gennemført.

Workshops: Et antal workshops behandler de enkelte delområder, med repræsentation af dem der fremover vil være ansvarlig for IT-sikkerhedspolitikken, og interessenter for de enkelte detailområder som behandles.

Formulering: Vi formulere på baggrund af de notater behandlingen af de enkelte delområder har afstedkommet, et forslag til en sikkerhedspolitik. Den nedskrevne IT-sikkerhedspolitik tilpasses i rimeligt omfang virksomhedens/institutionens  dokumentationsstandard.

Revision: Interessenterne modtager forslaget til IT-sikkerhedspolitik, og tilbagemelder kommentarer eller ændringer indenfor en given tidsfrist.

Fremlæggelse: Vi fremlægger den færdige IT-sikkerhedspolitik.

Implementering: Selve processen kan starte, efter den endelige godkendelse af politikken.

Periodisk revision:  IT-sikkerhedspolitikken bør, udover en løbende revision, hvor eventuelle ændringer i metoder og praksis afspejler sig på politikken, systematisk revideres en gang årligt.

Standarder

I udarbejdelsen af IT-sikkerhedspolitikken, vil følgende materiale blive anvendt som reference materiale:

DS/ISO/IEC 17799:2001 Informationsteknologi - Regelsæt for styring af informationssikkerhed 

BS 7799:1-1999 British Standard; Information security management - Part 1: Code of practice for information security management.

DS 484-1 Dansk Standard; Norm for edb-sikkerhed - Del 1: Basale krav

DS 484-2 Dansk Standard; Norm for edb-sikkerhed - Del 1: Skærpede krav