Informationstillgångar, hot och säkerhet
Informationstillgångar kan vara av fysisk eller logisk karaktär. Exempel på informationstillgångar är: Information som dokument eller databaser, program som operativsystem eller applikationer, tjänster som abonnemang eller kommunikation, fysiska tillgångar som datorer, datamedia eller lokala nätverk. Allt detta måste skyddas mot potentiella hot.
För att kunna skydda informationstillgångarna på ett adekvat sätt är det viktigt att först inventera och därefter klassificera dessa. Nästa steg är att utreda följder av eventuell informationsförlust och eventuella funktionsskador samt de därav kommande konsekvenserna, till exempel juridiska och ekonomiska. För detta finns olika modeller och utgångspunkten är ofta kravnivåer utgående från säkerhetsaspekterna konfidentialitet, riktighet och tillgänglighet.
Hot och risk
Ett hot är en möjlig, oönskad händelse som kan vara aktiv, passiv, avsiktlig eller oavsiktlig, inre eller yttre. Ett hot kan existera trots att illasinnad avsikt saknas. Ett avsiktligt hot orsakas av någon med syfte att skada en verksamhet.
Analys av hot kan ske med inriktning på dess ursprung och då kan en potentiell hotaktör – antagonist - ses som ett hot i sig. Angriparen kan vara mer eller mindre sofistikerad. I det följande anges i ökande grad olika angripares förmåga att utnyttja eller införa sårbarheter i en IT-produkt: nyfiken användare, intresserad användare, erfaren användare, hacker eller programmerare, kvalificerad expert, främmande makt eller organisation, insider eller konstruktör.
En angripares motiv kan också vara av värde att utreda. Hur kan den egna förlusten av informationstillgångar vara av värde för en eventuell angripare? Hur stor kan kostnaden för ett angrepp bli och vad blir konsekvensen av en eventuell upptäckt?
Risk är en kombination av sannolikheten för att ett givet hot realiseras och därmed uppkommande skadekostnad. Genom en riskanalys uppskattas storleken hos relaterade risker.
Säkerhet och sårbarhet
Säkerhet är alltid en fråga om säkerhet både för någonting och mot någonting. Frågor som man måste ställa sig är: Vilka är de skyddsvärda tillgångarna? Vilka är hoten? Vilka skyddsåtgärder behövs för att kunna möta hoten? Vilka är de eventuellt tillkommande policykraven? Är de valda skyddsåtgärderna - tekniska och administrativa - effektiva och heltäckande?
Säkerhetsområdet karakteriseras dessutom av två särskilda aspekter: För det första antagandet om en aktiv angripare som strävar efter att hitta lämpliga svagheter att utnyttja. För det andra det faktum att testning av funktionsmässig överensstämmelse kan vara relativt enkelt men att säkerheten även berör frånvaron av egenskaper - det vill säga sårbarheter.
Det är viktigt att vara medveten om den egna förmågan inom detta område. Detta innefattar inte bara kunskap om hot utan även medvetenhet om den egna sårbarheten. Man måste kunna formulera sina egna säkerhetskrav för att kunna anskaffa, införa och upprätthålla skyddsfunktioner. Man måste med andra ord ha tillit till den egna förmågan och detta kan åstadkommas till exempel genom evaluering med varierande noggrannhet.
En absolut säkerhet är aldrig möjlig att uppnå och därför måste man alltid vara beredd att ta vissa risker som måste balanseras mot förväntade vinstmöjligheter och kostnader. Detta kallas grad av riskvillighet.
Säkerhet i produkter och system
Granskning av tekniska säkerhetsegenskaper hos produkter eller system kallas evaluering. Denna typ av granskning sker oftast av en oberoende, särskilt godkänd part, ett evalueringsföretag. Evalueringen följer en fastställd standard och kraven ställs enligt en standardiserad metod utifrån risker och hot mot produkten eller systemet och dess användning. Syftet med evalueringen är att skapa förtroende.
Resultatet av en evaluering fastställs genom certifiering av ett certifieringsorgan som även har till uppgift att övervaka evalueringsföretagets rutiner, metoder och kompetens. I många länder är certifieringsorganen själva godkända – ackrediterade – av en nationell ackrediteringsmyndighet. I Sverige heter det nationella ackrediteringsorganet Swedac.
Evalueringen kan ske med varierande noggrannhet och kan därmed genomföras till varierande kostnad och resultera i olika grad av tillit till produkten. Facktermen för måttet på detta förtroende är assurans.
Åtgärder för att skapa assurans kan normalt inte hanteras inom en organisation eftersom få organisationer har resurser och kompetens för att kunna bedöma säkerheten i produkter. Man är här beroende av generella, gemensamma åtgärder. Detta gäller i första hand åtgärder som syftar till att reducera sannolikheten för att det förekommer svagheter som någon kan utnyttja i tekniska system.
Säkerhet i en IT-produkts livscykel
Inledning
Att inkludera säkerhet tidigt i en IT-produkts livscykel resulterar normalt i ett mindre kostsamt och effektivare säkerhetsarbete jämfört med att lägga till säkerhet i en redan befintlig produkt. I detta avsnitt presenteras ett ramverk för hur man kan inkludera säkerhet i aktuella delar av livscykeln från initialskedet till utrangering samt var standarden Common Criteria (CC) kan komma in i denna cykel.
En generell utvecklingsprocess för en IT-produkt innehåller följande faser:
- Initiering/planering,
- utveckling/implementering,
- användande/underhåll samt,
- utrangering.
I var och en av dessa fyra faser behöver ett antal åtgärder vidtas för att på ett effektivt sätt inkludera säkerhet i IT-produkten. CC kan med fördel användas huvudsakligen i utvecklings-/implementeringsfasen.
Initierings-/planeringsfasen
Initierings-/planeringsfasen inleds med en preliminär riskanalys i avsikt att få en inledande överblick av den tilltänkta IT-produktens behov av säkerhet. Den preliminära riskanalysen bör inkludera en beskrivning av den förväntade hotmiljön där produkten ska användas.
Därefter genomförs en inventering och klassificering av den information som ska hanteras i IT-produkten. Detta sker genom att definiera förslagsvis tre konsekvensnivåer (till exempel måttlig, betydande och allvarlig) utgående från konsekvenser för användaren i händelse av kompromettering av informationssäkerheten. Härvid beaktas krav på informationens konfidentialitet, riktighet och tillgänglighet.
Det finns ett antal metoder och modeller för klassificering av information. Klassificeringen är i likhet med analys och värdering av hot och sårbarheter ett underlag för genomförande av en hot- och riskanalys samt för beslut om vilken assuransnivå som är lämplig att använda vid en eventuell evaluering och certifiering. MSB har tillsammans med SIS och ett flertal centrala myndigheter utvecklat en modell för informationsklassificering som visas nedan och som rekommenderas för användning.
| Säkerhetsaspekt/konsekvensnivå |
Konfidentialitet |
Riktighet |
Tillgänglighet |
| Allvarlig |
Information där förlust av konfidentialitet innebär allvarlig/ katastrofal negativ påverkan på egen eller annan organisation och dess tillgångar, eller på enskild individ. |
Information där förlust av riktighet innebär allvarlig/katastrofal negativ påverkan på egen eller annan organisation och dess tillgångar, eller på enskild individ. |
Information där förlust av tillgänglighet innebär allvarlig/katastrofal negativ påverkan på egen eller annan organisation och dess tillgångar, eller på enskild individ. |
| Betydande |
Information där förlust av konfidentialitet innebär betydande negativ påverkan på egen eller annan organisation och dess tillgångar, eller på enskild individ. |
Information där förlust av riktighet innebär betydande negativ påverkan på egen eller annan organisation och dess tillgångar, eller på enskild individ. |
Information där förlust av tillgänglighet innebär betydande negativ påverkan på egen eller annan organisation och dess tillgångar, eller på enskild individ. |
| Måttlig |
Information där förlust av konfidentialitet innebär måttlig negativ påverkan på egen eller annan organisation och dess tillgångar, eller på enskild individ. |
Information där förlust av riktighet innebär måttlig negativ påverkan på egen eller annan organisation och dess tillgångar, eller på enskild individ. |
Information där förlust av tillgänglighet innebär måttlig negativ påverkan på egen eller annan organisation och dess tillgångar, eller på enskild individ. |
Den kompletta modellen innehåller även konsekvensnivån ”ingen eller försumbar” men denna nivå bedöms inte vara relevant i detta sammanhang. Klicka här för att läsa MSB:s rekommendationer om klassificering av information (öppnas i nytt fönster).
Utvecklings-/implementeringsfasen
Riskanalys
För att kunna bedöma hot och risker samt kunna välja adekvata skyddsåtgärder behöver en grundlig riskanalys genomföras. Denna analys ska bygga på den i initierings-/planeringsfasen genomförda preliminära riskanalysen men måste vara mer detaljerad och djupgående. Analysen ska utgå från den genomförda informationsklassificeringen och ska även inkludera antaganden om IT-produktens förväntade säkerhetsmiljö, en tilltänkt användares informationssäkerhetspolicy samt lagar och förordningar som kan vara eller bli aktuella.
Riskanalysen inleds med att identifiera de hot som kan finnas och vem eller vad som kan tänkas utlösa dessa hot samt vilka resurser samt vilken tid och kompetens som en angripare kan tänkas disponera. Genom analysen uppskattas storleken hos risker.
Val av skyddsåtgärder
Med hjälp av riskanalysen analyseras och fastställs behov av skyddsåtgärder. För detta ändamål kan det vara lämpligt att använda en standard som CC.
Skyddsåtgärder generellt kan innefatta ledning av säkerhetsverksamheten genom till exempel policy, rutiner, organisation och utbildning. Skyddsåtgärder kan också innefatta installation och övervakning av tekniska funktioner som till exempel reglerar behörigheter, säkerställer ansvar eller är motståndskraftiga mot identifierade hot. Detta i syfte att minska sårbarheten, begränsa konsekvenserna vid eventuell förlust av informationstillgångar samt för att upptäcka incidenter eller angrepp och möjliggöra återtagning efter ett eventuellt tillbud. Ett effektivt säkerhetsarbete kräver oftast en kombination av olika åtgärder.
Exempel på områden där åtgärder kan behöva vidtas är; den fysiska miljön, den tekniska miljön (hårdvara, mjukvara och kommunikation) samt personal och utbildning. Exempel på vad skyddsåtgärder kan åstadkomma är följande; förhindra, avskräcka, upptäcka, begränsa, korrigera, återställa, övervaka och medvetandegöra.
Evaluering och certifiering
Den uppnådda säkerheten i IT-produkter evalueras normalt genom granskning och kontroll av säkerhetsegenskaperna. Evalueringen kan genomföras inom den egna organisationen, om aktuell kompetens finns, men om CC används görs detta lämpligen av ett oberoende evalueringsföretag. Resultatet av evalueringen kan sedan fastställas av ett certifieringsorgan som också utfärdar ett CC-certifikat.
Implementering
För en organisation som upphandlar en IT-produkten utgör CC-certifikatet och den relaterade dokumentationen ett viktigt beslutsunderlag som underlättar den senare hanteringen av produkten. Denna hantering går till ungefär enligt följande beskrivning:
- Genom inspektion och acceptanstest säkerställs att organisationen godkänner att funktionaliteten som beskrivs i specifikationerna inkluderas vid leveransen av IT-produkten. Vid initiering av skyddsåtgärderna måste säkerställas att dessa är anpassade till den miljö där IT-produkten ska verka samt att skyddsåtgärdernas inställningar är i enlighet med leverantörernas rekommendationer och enligt säkerhetsdokumentationen.
- Genom en eventuell ytterligare evaluering eller enklare test och utvärdering säkerställs att skyddsåtgärderna är tillfredsställande implementerade genom etablerad teknik och procedurer samt ger organisationens ledning tillit till att korrekta skyddsåtgärder finns för att skydda informationen.
- Genom ett formellt driftgodkännande säkerställs auktorisation av tillräcklig säkerhet i IT-produkten för att den på ett säkert sätt ska kunna bearbeta, lagra och vidarebefordra nödvändig information. Driftgodkännande beviljas av organisationens ledande befattningshavare baserad på verifierad funktion hos skyddsåtgärderna till en överenskommen assuransnivå och en överenskommen kvarstående risk för organisationens tillgångar och verksamhet.
Ett CC-certifikat underlättar eller gör vissa moment enligt ovan överflödiga.
Övrigt
Det bör säkerställas att hänsyn tagits till alla övriga nödvändiga delar av utvecklingsprocessen i samband med implementeringen av säkerhet i en IT-produkts livscykel. Detta kan inkludera aktuella avtal med tilltänkta kunder och underleverantörer samt medverkan av eventuella evaluerare och certifierare.
Genom en analys fastställs hur mycket av IT-produktens kostnader som kan härledas till informationssäkerheten genom IT-produktens livscykel. Dessa kostnader inkluderar hårdvara, mjukvara, personalkostnader och utbildningskostnader.
I en säkerhetsplan beskrivs beslutade säkerhetsåtgärder som också måste vara väl dokumenterade. Säkerhetsplanen ska även innehålla en fullständig beskrivning av IT-produkten med referenser till organisationens tilltänkta informationssäkerhetspolicy.
Användande-/underhållsfasen
Genom periodisk testning och utvärdering säkerställer organisationen skyddsåtgärdernas effektivitet. Övervakning av skyddsåtgärderna och rapportering av IT-produktens säkerhetsstatus till aktuella kontrollinstanser är en viktig aktivitet i ett effektivt säkerhetsprogram.
Regelbunden kontroll och övervakning av en IT-produkts konfigurering och av den miljö produkten verkar i är en grundförutsättning för god säkerhet. Viktigt är därför att man säkerställer medvetandet om betydelsen av detta i en organisation.
Utrangeringsfasen
Inför utrangering av en IT-produkt är det viktigt att säkerställa att informationen som finns däri blir bevarad på ett sätt som tillfredsställer både organisationens krav och eventuella juridiska krav samt anpassning till kommande teknisk utveckling som kan medföra att dagens lagringsmetoder kan bli obrukbara i framtiden.
Lagringsmedia rensas för att säkerställa att informationen blir bortagen och raderad samt vid behov överskriven.
Avslutningsvis avyttras eller skrotas hård- och mjukvara på sätt som är godkänt av en ansvarig chef i organisationen.