140 likes | 314 Views
Dokumentsikkerhed fra vugge til grav. Om DI og DI ITEKs sikkerhedsarbejde. Mission Udvalgets mission er at bidrage til forbedring af informationssikkerheden i DI’s medlemskreds og i det øvrige samfund. Organisation Leverandører, brugere og omverdenen (forbrugere, forskere, ITST og andre
E N D
Om DI og DI ITEKs sikkerhedsarbejde • Mission • Udvalgets mission er at bidrage til forbedring af informationssikkerheden • i DI’s medlemskreds og i det øvrige samfund. • Organisation • Leverandører, brugere og omverdenen (forbrugere, forskere, ITST og andre • interessenter) • Produkter • Netværk, vejledninger, bøger, politiske udspil, høringssvar • Emner: ledelse, trusler, løsninger, forretningen, infrastruktur, spam, spyware, fysisk • sikkerhed, cloud computing, hjemmearbejdspladser, privacy (PbD, PIA, PET) • Aktuelle indsatsområder • National strategi for bekæmpelse af BOTs • Copenhagen Privacy Principles • Cookiebekendtgørelsen • Kommende: Sikkerheden i produktionen og produkterne • Dagens emne: Dokumentsikkerhed fra vugge til grav
Motivation: kopiering og outsourcing • Motivation • - Outsourcing (og cloud computing) • - Virksomheder tættere integreret med hinanden elektronisk • Dansk kultur • Andre landes eller konkurrenters interesser • Andre landes kultur • Trusselsbillede • Brug f.eks. OCTAVE • Kopiering - case med emballage • Spionage • Social engineering • Hacking: Opsnapning ved lagring eller transmission • Glemte, tabte eller stjålne terminaler • Udskiftning i medarbejderstaben
Vejledningens formål • Arbejdshypotese • Vi skal gøre det vanskeligere for de kriminelle at få adgang til forretningskritiske data, • som: • Skabes på en harddisk i Danmark • Transmitteres via internettet eller en bærbar terminal • Anvendes hos en outsourcingpartner et sted ude i verden • Bagvedliggende formål • Sikre at danske virksomheder i en global verden ikke mister deres forretningskritiske • data - f.eks. forskningsresultater eller patenterede opskrifter eller produktionstegninger • Sikre at der fortsat eksisterer danske virksomheder, som begår sig i en global verden • Sikre at der stadig er arbejdspladser i Danmark • Altså beskyttelse af dokumenter som supplement til klassisk • perimetersikkerhed
De første skridt til at beskytte data • Hvilke data har vi? • Hvor er data henne? • Hjemme • Under transmission • Ude
Klassifikationsmodel • Baggrund • DS 484 • Lavet på baggrund af Statsministeriets cirkulære nr. 2004 • Igen baseret på et fælles klassifikationssystem fra NATO, EU og WEU • Klasser • Offentlige informationer / data • - f.eks. reklamer, årsberetninger, hjemmeside • Interne informationer / data • f.eks. Arbejdsplaner, driftsoplysninger og rabatordninger • Følsomme informationer / data • Kun for betroede medarbejdere – f.eks. medarbejderoplysninger, kontrakter • Fortrolige informationer / data • Kun for særligt betroede medarbejdere – f.eks. patenter, skabeloner, produktionsdata, • produktionsmetoder, arbejdstegninger, opskrifter, forretningsstrategi
Risikoanalyse • Hvilke risici står informationer / data overfor? • Trussel, konsekvens (høj, middel, lav), sandsynlighed (høj, middel, lav) • Personrelaterede trusler • Sure medarbejdere, tidligere medarbejdere • Uopmærksomme kolleger • Konkurrenter • Kriminelle • Metoder: tyveri, hacking, skadelig kode, økonomi, manglende opdatering, manglende • viden, sårlige procedurer/politikker • Systemmæssige trusler • - F.eks. sårbare programmer • Trusler udenfor virksomhedens kontrol • F.eks. naturkatastrofer • Sikkerheden hos modtager af data • På baggrund af risikoanalysen laves der politikker, procedurer og • iværksættes korrigerende foranstaltninger
Summa sumarum Hvilke data har vi? Hvor er data henne? (Hjemme, under transmission, ude) Hvilken klassifikation skal de have? (Offentlig, intern, følsom, fortrolig) Hvilken risiko er der for at miste kontrol med data? Trussel, konsekvens (høj, middel, lav), sandsynlighed (høj, middel, lav) Hvilke korrigerende foranstaltninger kan iværksættes? (Politik, procedurer, teknologi, uddannelse, restrisiko)
Hjemme og under transmission Hjemme Beskyt perimeteren: Firewall, antivirus, IDS, netværkssegmentering, rollebaseret adgangskontrol, mængdemæssig begrænsning på adgang til data, logning, kryptering Også på bærbare terminaler Under transmission Krypter: VPN site-to-site
Ude – del 1 • Sikkerheden skal tilknyttes det enkelte dokument • I dokumentet • Forsegling af dokument via certifikat, hvor dokumentet ikke kan åbnes førend • brugeren har autentificeret sig • Kontrollen med brugeren • Centraliseret rettighedsstyring af dokumenter (hvem må tilgå dem) • Autentifikation af bruger mod brugerdatabase der kontrolleres af modervirksomhed • Klientløsning (som skal installeres) eller serverløsning (adgang til certifikatserver) • Fordeling af rettigheder • - Automatisk tidsudløb af rettigheder • Rettighedsstyring i forhold til åbne, gemme, redigere, videresende, printe, faxe, • kopiere og slette • Blokering af skærmdumps • Anmodning om nye rettigheder bør kunne ske fra dokumentet • Tildelte brugerrettigheder håndteres automatisk i tilknytning til bruger (directory • over nye brugere, nuværende brugere og slettede brugere)
Ude – del 2 • Andre nyttige forhold • Skal fungere bag en anden virksomheds firewall • Anvende anerkendt kryptering uanset lokalitet • Logning af brugeradfærd • Test for sårbarheder i applikationer tillige med patchstyring • Vurdering af funktionalitet på forskellige platforme – herunder mobile terminaler • Åben kode, således at 3. parter kan udvikle add ons • Overholde lovgivning om krav til tilstrækkelig beskyttelse • Evt. tillade skanning for virus
Oversigt over produkter • Oracle Information Rights Management • Symantec Data Loss Prevention, Endpoint Encryption, E-mail gateway • IBM Secure File Encryption for Deaktop • McAfee Total Data Protection for Data • ScanArmor – BitArmor DataControl • Der kan findes flere produkter på markedet. • DI anbefaler ikke disse produkter, men angiver dem muligheder, der kan overvejes til • at løse en konkret udfordring.
Kontakt Henning Mortensen hem@di.dk