Tiltaksbankar
Innanfor informasjonssikkerheit finst det ei rekkje oversikter over anerkjende tryggingstiltak som risikoeigarar kan vurdere å bruke for å redusere risikoar til eit akseptabelt nivå. Dette kan gjere det enklare å handtere risiko.
Slike oversikter kjem i form av rammeverk, lister og katalogar. Digitaliseringsdirektoratet nyttar omgrepet tiltaksbank for ei slik samling med tiltaksskildringar.
Ved å hente tryggingstiltak frå ein tiltaksbank treng ein ikkje bruke så mykje tid og ressursar på å utforme desse sjølv, men ein må samstundes passe på at tryggingstiltaka er eigna til å møte dei utfordringane verksemda står overfor.
1. Om tiltaksbankar
1.1 Risikobasert bruk av tiltaksbankar
Det er viktig at ein har gode prosessar for å gjere eigne vurderingar av risikoar og handteringa av desse. Sjølv om det finst mange gode tiltaksbankar, er det ikkje nødvendigvis slik at det som fungerer for éi verksemd, passar for ei anna. Mange verksemder møter likevel dei same utfordringane, og tiltaksbankar utvikla av internasjonal ekspertise er gode kjelder til tryggingstiltak og rettleiing om etablering av spesifikke tryggingstiltak.
Digitaliseringsdirektoratet tilrår å basere seg på ISO/IEC 27001 ved etablering av internkontroll/styringssystem på informasjonssikkerheitsområdet. Dette betyr at alle val av tiltak bør vere baserte på behov for handtering av risiko. Det er sjeldan eller aldri føremålstenleg å etablere alle tiltak i ein tiltaksbank, utan tanke på verksemda sine faktiske behov.
1.2 Rammeverk for sortering av og oversikt over tiltak
I tillegg til å bruke ein tiltaksbank for å finne eigna tryggingstiltak kan ein også bruke strukturen i ein tiltaksbank til å sortere eigne tiltak. Ein brukar taksonomien i tiltaksbanken til å sortere eigne tiltak i kategoriar. Dette bidreg til at ein får betre oversikt over tryggingstiltaka.
1.3 Ulike tiltaksbankar
Det er mykje felles og overlappande tankegods i ulike tiltaksbankar, og det finst ei rekkje oversikter over samanhengar mellom ulike tiltaksbankar – som regel kalla «mapping» på engelsk – der ein finn kryssreferansar mellom tiltak med tilsvarande innhald.
Til dømes er NS-ISO/IEC 27001 mykje brukt i informasjonssikkerheitsmiljø, medan COBIT er mykje brukt av IT-revisorar og for internkontroll av IT-området. Slike kryssreferansar kan betre kommunikasjonen mellom faggrupper. Ein blir meir medviten om kva som er dei same tiltaka i ulike tiltaksbankar, og ein får betre forståing for omgrepsbruk og likskapar og forskjellar mellom dei ulike tiltaksbankane.
Ved val og implementering av risikoreduserande tiltak, peikar Referansekatalog for IT-standardar i offentleg sektor på nytta ved å søkje inspirasjon i fleire anerkjende kjelder. Dette kan til dømes vere ISO/IEC 27002, faktaark og rettleiarar i Norm for informasjonssikkerheit i Helse og omsorgstenesta, rettleiingar frå NSM, Digitaliseringsdirektoratet og Datatilsynet og ulike rammeverk.
Det er ein del kjende og mykje brukte tiltaksbankar som er tilgjengelege – nokre fritt tilgjengelege, og andre kan kjøpast. Nedanfor har vi skildra nokre av desse.
Ettersom NS-ISO/IEC 27001 inneheld ein tiltaksbank i Annex A får denne ein litt breiare omtale enn dei andre, og ein del generelle vurderingar er lagde til omtalen av denne.
2. NS-ISO/IEC 27001 Annex A + NS-ISO/IEC 27002
NS-ISO/IEC 27001 har eit tillegg med ein referansekatalog med tryggingstiltak. Dette tillegget blir kalla «Annex A» og blir brukt i 6.1.3 c) i standarden som ei sjekkliste, der brukar av standarden kan samanlikne sine valde tryggingstiltak mot referanselista for å undersøkje om noko vesentleg er utelate.
Innhaldet i Annex A er henta frå NS-ISO/IEC 27002. Annex A listar opp referansetiltaka, med referansenummer og namn på tiltak, samt kort tiltaksskildring. NS-ISO/IEC 27002 inneheld utfyllande tekst med rettleiing til alle tryggingstiltaka.
Annex A er ei internasjonal, erfaringsbasert oversikt over potensielle tiltak innan ulike område. Oversikta er ikkje meint å vere komplett, og verksemdene må sjølv, avhengig av type og karakter på risikoen, også vurdere kva andre tiltak som bør etablerast. Desse kan hentast frå andre kjelder eller ein kan definere dei sjølv.
Det er også viktig å merke seg at ei rekkje av tiltaka er generelle tiltak som kan vere relevante også på andre område enn informasjonssikkerheit.
Eigne tiltak, og tiltak frå andre kjelder, kan plasserast inn i strukturen i Annex A – slik at ein brukar strukturen til å sortere og halde oversikt og orden på tryggingstiltaka.
Legg merke til at NS-ISO/IEC 27002 brukar ordet «should» (bør), medan NS-ISO/IEC 27001 Annex A brukar «shall» (skal) i tiltaksskildringane. Teksten elles er identisk. Når ei verksemd som sertifiserer seg i samsvar med NS-ISO/IEC 27001 vel spesifikke tiltak frå Annex A, blir desse for krav å rekne i samband med ein sertifiseringsrevisjon. Verksemder som ikkje skal sertifisere seg, treng ikkje å bry seg om denne språklege nyansen, men kan støtte seg til strukturen i Annex A og bruke det som tiltaksbank.
Tiltaksområda i Annex A har ei nummerering som startar på 5. Dette for å skape ei god kopling til den utdjupande rettleiinga i NS-ISO/IEC 27002, der omtalen av tiltaka startar i kapittel 5.
2.1 Innhaldet i Annex A
Annex A i NS-ISO/IEC 27001 er ei oversikt over 14 hovudområde der det kan vere aktuelt med tiltak. Desse er delte inn i 35 underliggjande delområde, fordelte på frå eitt til sju delområde på kvart hovudområde. Kvart delområde har overordna, men konkrete tilhøyrande føremål («objective»).
Under delområda finst det totalt 133 tiltak («controls») fordelte på frå eitt til ni tiltak på kvart delområde (føremål). Mange av dei 133 tiltaka er på eit overordna nivå, som kan gje grunnlag for fleire underliggjande tiltak. Desse underliggjande tiltaka kjem fram av rettleiinga i NS-ISO/IEC 27002, om hovudtiltaket frå vedlegg A i NS-ISO/IEC 27001 først blir rekna som relevant.
Rettleiinga NS-ISO/IEC 27002 er inga oppskrift, men inneheld ofte vurderingar som må gjerast for å tilpasse tryggingstiltaka til den aktuelle risikoen dei skal redusere. Det er spesielt viktig å vere klar over moglege negative sideeffektar.
Å forhalde seg til mange av dei detaljerte tiltaka i NS-ISO/IEC 27002 vil oftast vere altfor detaljert for ordinære risikoeigarar i linja. Dette understrekar nytteverdien av at risikoeigarane konsentrerer seg om tryggingsmål eller hovudtiltak, og stiller krav til interne og eksterne tiltaksleverandørar av dei detaljerte tiltaka.
3. NIST SP 800-53
National Institute of Standards and Technology (NIST) publiserer ein standard som inneheld ein katalog med tryggingstiltak som skal støtte forvaltninga til USA i å sikre informasjonssystem og etterleve krav til informasjonssikkerheit. Tryggingstiltaka nyttast i prosessane i risikostyringsrammeverket som er skildra i NIST 800-39.
Den fulle tittelen på standarden er «Security and Privacy Controls for Federal Information Systems and Organizations», og som namnet tilseier så inneheld han også personverntiltak.
Tiltaksbanken er omfattande og tidvis veldig strukturert, men han er ryddig og har god struktur. Ein bør setje seg inn i korleis tiltaka er strukturerte, korleis dei er samla i «baselines» for system av ulik kritikalitet, og korleis dei er brukte i risikostyringsrammeverket til NIST, før ein hentar tiltak herfrå.
Sjølv om ei verksemd tar utgangspunkt i NS-ISO/IEC 27001 Annex A eller NS-ISO/IEC 27002, og strukturen som brukast der, kan ein likevel bruke NIST 800-53 som tiltaksbank. Standarden inneheld kryssreferansar til NS-ISO/IEC 27001 Annex A.
Gjeldande versjon er «Revision 5», som vart publisert i 2020, og standarden er tilgjengeleg på nettsidene til NIST. Dette er ein kombinert tiltaksbank, med både tryggingstiltak og personverntiltak.
https://csrc.nist.gov/publications/detail/sp/800-53/rev-5/final
4. NSM sine grunnprinsipp for IKT-sikkerheit
NSM sine grunnprinsipp for IKT-sikkerheit definerer eit sett med prinsipp og underliggjande tiltak for å verne informasjonssystem (maskinvare, programvare og infrastruktur i tilknyting til dei), data og tenestene dei tilbyr mot uautorisert tilgang, skade eller misbruk.
NSM har dessutan andre grunnprinsipp for fysisk sikkerheit, personellsikkerheit og sikkerheitsstyring som saman gir eit godt utgangspunkt for korleis verksemder kan beskytte sine verdiar.
Målgruppa er verksemder som forvaltar kritiske samfunnsfunksjonar eller kritisk infrastruktur, men ettersom ein stor del av dei tryggingstiltaka ei verksemd kan ha bruk for er skildra på norsk, så vil alle verksemder ha nytte av å bruke det som tiltaksbank. Det er ikkje eigna til bruk som einaste kjelde til tryggingstiltak, då det også vil vere behov for tryggingstiltak på områda personellsikkerheit, fysisk sikkerheit, systemutvikling mv.
https://nsm.no/regelverk-og-hjelp/grunnprinsipper/
5. Normen – faktaark
Norm for informasjonssikkerheit og personvern i helse-, og omsorgssektoren er ei samling krav og retningslinjer som skal bidra til tilfredsstillande informasjonssikkerheit hos den enkelte verksemda og i sektoren generelt, og er kjend som «Normen».
Normen si samling med faktaark skildrar tilrådingar til løysingar og gjev alternativ for korleis krava i Normen kan takast hand om. Faktaarka er rettleiande for dei som er omfatta av Normen (offentlege og private verksemder som er knytte til Norsk Helsenett).
Det er meir enn 50 faktaark, og dei omhandlar tryggingstiltak på mange område. Sjølv om skildringa ofte omtalar informasjon og tilhøve som er spesielle for helsesektoren, kan tryggingstiltaka som er skildra, også tilpassast og brukast av andre verksemder.
Normen og faktaarka er tilgjengelege på nettsidene til Direktoratet for e-helse
6. ISF Standard of Good Practice
Standard of Good Practice publiserast av Information Security Forum (ISF).
Standarden inneheld styringssystem-element som styringsprosessar, strategi, risikovurderingar og kravanalyse – men hovudvekta av innhaldet er «Control Framework», som er ein omfattande katalog med tryggingstiltak. Standarden blir jamleg oppdatert, og mykje oftare enn NS-ISO/IEC 27002.
Standarden er tilgjengeleg for verksemder som er medlemer av ISF, og kan kjøpast av dei som ikkje er medlemer.
https://www.securityforum.org/tool/standard-of-good-practice-for-information-security-2020/
7. COBIT
COBIT er eit rammeverk for styring av IT. COBIT er utvikla av ISACA og vart første gong publisert i 1996. Nyaste versjon er COBIT 2019. Som rammeverk for IT-styring er COBIT omfattande, men har innhald og tiltak spesifikt retta inn mot informasjonssikkerheit.
8. CIS Critical Security Controls
CIC Critical Security Controls er ei liste på 18 tryggingstiltak opphavleg utarbeidde av amerikanske styresmakter og SANS Institute. Dei har tidlegare vore kjende som «Critical Security Controls for Effective Cyber Defense» og «SANS Top 20». Du finn dei no hos Center for Internet Security (CIS).
Lista inneheld hovudsakleg tekniske tiltak med sikte på å hindre menneskestyrte angrep.
https://www.cisecurity.org/controls/
9. IT-Grundschutz-Kataloge
Tyskland sin «Bundesamt für Sicherheit in der Informationstechnik (BSI)» er ein styresmaktsorganisasjon som arbeider med IKT-sikkerheit.
Dei har «IT-sikringskatalogar» som inneheld skildringar relaterte til IT-sikkerheit, mellom anna av ei lang rekkje tryggingstiltak. Samlinga består av over 4000 sider tekst og inneheld trugsmålskatalog, støttemateriale mv.
«Maßnahmenkataloge» er tiltakskatalogen, og han skildrar tiltak innanfor følgjande område:
- infrastruktur
- organisasjon
- personell
- maskinvare og programvare
- kommunikasjon
- beredskap
BSI har ein del publikasjonar på engelsk, men det meste er publisert på tysk. Tiltakskatalogen er tilgjengeleg på engelsk.