Alle vi som jobber med sikkerhet innen informasjonsteknologi, blir stadig konfrontert med lover, forordninger og retningslinjer hva angår sikkerhetstiltak som må eller bør settes opp i virksomheter. Dette er knyttet til rammeverk. Her gis det en oversikt over de viktigste. HIPAA er bare gyldig i USA, men er tatt med siden loven stadig dukker opp i litteraturen om informasjonssikkerhet. PCI DSS er viktig for håndtering av kredittkort. NIST setter en føderal standard for cybersikkerhet og danner et godt utgangspunkt med sine anbefalinger. CIS-kontroller er ikke til å komme unna. Av primær interesse for oss i Norge er GDPR og ISO 2700-familien. Det finnes gode verktøy for å mappe mellom de ulike innfallsvinklene. Sånn kan du begynne med NIST, som er gratis, og gå over til ISO, som er en ganske dyr affære. Og fremfor alt er det ingen grunn til å finne opp hjulet på nytt.

Rammeverk

Gartner definerer informasjonsstyring som «spesifikasjon av beslutningsrettigheter og rammeverk for ansvarlighet». Hensikten er å sikre formålstjenlige fremgangsmåter når data opprettes, lagres, brukes, arkiveres og slettes. Det inkluderer prosesser, roller og retningslinjer, standarder og målinger som sikrer en effektiv bruk av informasjon som gjør det mulig for en virksomhet å nå sine mål. La oss se hvordan dette arter seg innenfor de forskjellige rammeverkene.

HIPAA

Health Insurance Portability and Accountability Act av 1996 (HIPAA) er en amerikansk føderal lov som moderniserer flyten av helseinformasjon, beskytter personlig identifiserbar informasjon mot svindel og tyveri og rydder opp i enkelte begrensninger i helseforsikringen. Loven forbyr helsepersonell og -foretak å avsløre konfidensiell informasjon til andre enn pasienter eller autoriserte representanter uten at det er innhentet samtykke. Pasienter kan med noen få unntak motta medisinsk informasjon om seg selv og frivillig dele den med andre, som kan ilegges taushetsplikt. HIPAA har i løpet av årene fått flere tillegg og er tilpasset vår moderne skyvirkelighet.

PCI DSS

Payment Card Industry Data Security Standard (PCI DSS) er en informasjonssikkerhetsstandard for organisasjoner som håndterer kredittkort fra de fem store kortselskapene, som omfatter Visa, MasterCard, American Express, Discover og JCB. Det stilles krav til nettverkssikkerhet, sikring av kortinformasjon og beskyttelse mot sårbarheter. Det kreves bruk av sikkerhetspolicyer samt kontroll av rutinene for autorisasjon og overvåking og testing. Overholdelse av PCI DSS er frivillig, men er et krav for dem som velger å delta i kredittkortbehandling, forhandlere som aksepterer betalinger med kredittkort. Deltakerne samtykker i å underkaste seg PCI-tilsyn, inkludert revisjoner og gjennomgang av deltakernes implementering av standarder og kontroller.

NIST CSF

National Institute of Standards and Technology (NIST) er en offentlig etat underlagt Department of Commerce, Handelsdepartementet i USA. Aktivitetene er organisert i laboratorieprogrammer, blant dem vitenskap og teknologi i nanoskala, forskning på nøytroner og informasjonsteknologi. I 2014 publiserte NIST Cybersecurity Framework (CSF), en frivillig og gratis veiledning for organisasjoner som ønsker å håndtere og redusere risikoer knyttet til cybersikkerhet.

I 2018 kom versjon 1.1 av rammeverket og ble obligatorisk for amerikanske føderale myndigheter. NIST CSF er ideelt for små og mellomstore bedrifter som trenger å utvikle en risikostyringsplan eller rette opp tidligere feil etter et datainnbrudd. Modellen hviler på fem søyler og er inndelt i totalt 23 kategorier. Hver av dem har flere underkategorier med i alt 108 sikkerhetskontroller:

• Identifisere innebærer å kartlegge hele IT-miljøet, med sårbarheter og utfordringer. På bakgrunn av denne oversikten foretar man en fullstendig risikovurdering av sikkerheten. Det utvikles en strategi for risikostyring.
• Beskytte inngår i den forebyggende fasen der det gjøres kontinuerlige forbedringer for å avverge mulige trusler mot brukere, enheter og systemer. Det omfatter tilgangskontroller, bevisstgjøring og opplæring, sikring av data, prosesser og prosedyrer for å sikre data, vedlikehold og andre beskyttende teknologier.
• Oppdage dreier seg om å avdekke forsøk på innbrudd og skadelige aktiviteter. Det krever vedvarende overvåking av sikkerhetshendelser og avvik kombinert med atferdsanalyse. Du bør ha programvare som samarbeider med kunstig intelligens og maskinlæring for å håndtere disse deteksjonsprosessene.
• Respondere betyr å handle raskt og omgående når du er utsatt for et angrep. Mindre hendelser bør utbedres automatisert. Ved mer alvorlige trusler skal det være gode rutiner på plass som er utviklet i forkant. Du må kunne analysere deg frem til hva som foregår for å isolere og slå ned på et innbrudd.
• Gjenopprette krever velprøvde og dokumenterte rutiner for sikkerhetskopiering og gjenoppretting. Det må være klare prosedyrer for hvem som gjør hva, og retningslinjer for hvilke kritiske systemer som må opp først. Du må tilbake til normal drift kjappest mulig.

Sentralt for denne type rammeverk er at man ikke bare skal pøse på med sikkerhetsprodukter og kontroller og så håpe på det beste. Forut for det må det foretas en analyse av virksomheten og en risikovurdering. Enkelte risikoer kan man se bort fra, andre kan være for dyre å gardere seg mot. Enhver bedrift har også en viss risikoappetitt, en toleransegrense for hva den kan leve med.

CIS-kontroller

Center for Internet Security (CIS) er en ideell organisasjon, grunnlagt i 2000. Misjonen er å gjøre vår tilkoblede verden til et tryggere sted. CIS utnytter kraften til det globale IT-fellesskapet for å beskytte offentlige og private organisasjoner mot cybertrusler. På nasjonalt og internasjonalt nivå spiller CIS en viktig rolle i å utforme sikkerhetspolicyer og -beslutninger ved å utvikle CIS-kontroller og CIS-benchmarks. Figuren viser anbefalingene deres. CIS-kontrollene og underkontrollene oppdateres jevnlig basert på virkelige angrepsmønstre. CIS har verktøy for å mappe mellom CIS, NIST og ISO. Kontrollene deres utfyller kravene som stilles av HIPAA og PCI DSS.

GDPR

EUs personvernforordning (også kalt GDPR – General Data Protection Regulation) fra 2018 er antakelig den mest betydningsfulle, kraftigste personvernloven i verden. Den angir hvordan personlig og privat informasjon for borgere i EU og EØS skal behandles, og hviler på disse sju prinsippene:

• Melding. Den enkelte må informeres om at personlig informasjon om dem samles inn eller opprettes.
• Valg. Hver enkelt kan velge om de vil avsløre sine personlige opplysninger. Ingen enhet kan samle inn eller opprette personlig informasjon om en person uten den personens eksplisitte samtykke.
• Formål. Individet må informeres om den spesifikke bruken informasjonen skal benyttes til. Dette inkluderer om dataene vil bli delt med en annen part.
• Tilgang. Individet har tillatelse til å få kopier av all sin egen informasjon som holdes av enhver aktør.
• Integritet. Individet må ha lov til å korrigere noe av sin egen informasjon hvis den er unøyaktig.
• Sikkerhet. Enhver part som har en persons personopplysninger, er ansvarlig for å beskytte denne informasjonen og er ansvarlig for enhver uautorisert utlevering av disse dataene.
• Håndhevelse. Alle enheter som har personopplysninger om en EU/EØS-borger, forstår at de er gjenstand for håndhevelse fra EU-myndighetene.

I loven er det også bygget inn en rett til å bli glemt. Alle personopplysninger – med visse unntak –skal slettes om et individ ber om det. Overtredelse av loven kan føre til skyhøye bøter og fengselsstraff.

ISO 27001

Den internasjonale standardiseringsorganisasjonen ISO utvikler standarder på alle områder med unntak av elektronikk og telekommunikasjon. Sammen med Den internasjonale elektrotekniske kommisjon (IEC) og Organisasjonen for økonomisk samarbeid og utvikling (OECD) har de etablert de facto-standardene for informasjonssikkerhet og personvern for store deler av verdenssamfunnet. Mens man i USA fortsatt benytter regler og forskrifter som HIPPA og PCI-DSS. ISO er ikke et akronym, men kommer fra gresk isos (lik). Organisasjonen består av eksperter fra hele verden og har sitt hovedkontor i Genève, Sveits.

ISO skapte konseptet med et styringssystem for informasjonssikkerhet som gir en oversikt over hele sikkerhetsprogrammet i en organisasjon. Med ISO får du en standardisert internasjonal modell for å utvikle og iverksette retningslinjer, prosedyrer og standarder som tar hensyn til alle involverte parter. Tilnærmingen er ovenfra-ned for å håndtere risiko. ISO bygger på forutsetningen om at informasjon skal være tilstrekkelig sikret, basert på en praksis som er akseptert og anerkjent av bransjen som helhet. ISO forholder seg agnostisk til plattformer og produkter og kan tilpasses hver organisasjon.

Dokumentasjonen for ISO 27001 bryter ned beste praksis i 14 separate kontroller. Her er en kort oppsummering av hver del av standarden:

1. Informasjonssikkerhetspolicyer dekker hvordan retningslinjer skal skrives i ISMS (Information Security Management System) og gjennomgås for samsvar.
2. Organisering av informasjonssikkerhet beskriver hvilke deler av en organisasjon som skal være ansvarlig for hvilke oppgaver og handlinger.
3. Sikkerhet for menneskelig ressurser behandler hvordan ansatte bør informeres om cybersikkerhet når de begynner, forlater jobber eller bytter stilling.
4. Styring av aktiva ​​beskriver prosessene som er involvert i å administrere dataressurser og hvordan de skal beskyttes og sikres.
5. Tilgangskontroll gir veiledning om hvordan ansattes tilgang bør begrenses til ulike typer data.
6. Kryptografi dekker beste praksis innen kryptering, som RSA eller AES.
7. Fysisk og miljømessig sikkerhet beskriver prosessene for sikring av bygninger og innvendig utstyr. Det omfatter tilgang til kontorer og datasentre.
8. Driftssikkerhet gir veiledning om hvordan man samler inn og lagrer data på en sikker måte, en prosess som er viktig i forbindelse med GDPR.
9. Kommunikasjonssikkerhet omfatter sikkerhet for alle overføringer innenfor en organisasjons nettverk. Det gjelder blant annet e-post og videokonferanser og hvordan dataene sikres.
10. Systemanskaffelse, utvikling og vedlikehold beskriver prosessene for å administrere systemer i et sikkert miljø. Det må holdes høye sikkerhetsstandarder.
11. Leverandørforhold dekker hvordan en organisasjon skal samhandle med tredjeparter samtidig som sikkerheten overholdes. Tilgang til sensitive data er et følsomt område.
12. Hendelseshåndtering av informasjonssikkerhet ​beskriver beste praksis for hvordan du skal reagere på sikkerhetsutfordringer. Det omfatter alt fra brannøvelse til et SIEM for logg-aggregering for å oppdage og kategorisere unormal systematferd.
13. Informasjonssikkerhetsaspekter ved håndtering av forretningskontinuitet ​​dekker hvordan forretningsforstyrrelser og store endringer skal håndteres.
14. Samsvar identifiserer hvilke myndighets- eller industriforskrifter som er relevante for organisasjonen. Det må forelegges bevis på full overholdelse for alle områder der virksomheten opererer.

En feil som mange organisasjoner gjør, er å legge alt ansvar for ISO-sertifisering på det lokale IT-teamet. Selv om informasjonsteknologi er kjernen i ISO 27001, må prosessene og prosedyrene deles av alle i organisasjonen – ovenfra og ned.

Avsluttende ord

ISO/IEC 27001 er globalt antakelig den mest anerkjente standarden for sikkerhet. Den hjelper virksomheter med å forsvare seg mot cybertrusler og risikoer knyttet til informasjonssikkerhet. Den dekker bortimot alle behov for cybersikkerhet, som klassifisering av aktiva, metoder for autentisering og bruk av privilegerte rettigheter, logging av hendelser og kryptering. Hva mer er: Revisorer vil med jevne mellomrom gjennomgå samtlige 14 punkter og kreve bevis på at sikkerhetstiltak og -kontroller er implementert i henhold til kravene. Så omfattende og kravstort er det ikke med rammeverkene for NIST og CIS. De kan imidlertid hjelpe deg med å komme raskt i gang med å sikre virksomheten på en forsvarlig måte. Det har ført til at mange organisasjoner velger å begynne med NIST eller CIS for så eventuelt å gå videre på ISO 27001. For de fleste små og mellomstore bedrifter blir ISO for kostbart.

Første bilde er fra LinkedIn, postet av Multiple Companies. NIST-plansjen er hentet fra NIST og fornorsket i Visio. CIS-plansjen er Microsoft. ISO-plansjen er fra Varonis, mens fremstillingen av de 14 punktene for ISO står i gjeld til samme selskap