Innebygd informasjonssikkerhet – hvordan ivareta sikkerhet i prosjekter? Lillian Røstad Seksjonssjef Seksjon for informasjonssikkerhet Direktoratet for forvaltning og IKT Seksjon for informasjonssikkerhet Difi etablerte i 2013 et kompetansemiljø for informasjonssikkerhet som skal: Arbeide for en styrket og mer helhetlig tilnærming til informasjonssikkerhet i statsforvaltningen. Hvorfor programvaresikkerhet? Software Security is the practice of building software to be secure and to continue to function properly under malicious attack. Gary McGraw Sårbarhet Angrep Det handler om å lage færre av disse Hendelse The Trinity of Trouble Connectivity Complexity Extensibility Innebygd informasjonssikkerhet – hvordan jobbe med sikkerhet i utviklingsprosjekter The Trustworthy Computing Security Development Lifecycle Michael Howard, 2005 Risk Management Framework Sikkerhetskrav! Software Security Touchpoints The Touchpoints – rangert etter effekt 1.Code review 2.Architectural risk analysis 3.Penetration testing 4.Risk-based security tests 5.Abuse cases 6.Security requirements 7.Security operations The Building Security In Maturity Model BSIMM www.bsimm.com Et rammeverk basert på en studie av etablert praksis Studie av 67 programvaresikkerhetsinitiativer Siden 2008 Mål: risikostyring - også i utviklingsprosjekter The 12 most common activities observed in BSIMM 1.Use external penetration testers to find problems. (62) 2.Ensure host and network security basics are in place. (61) 3.Identify software defects found in operations monitoring and feed them back to development. (59) 4.Identify gate locations, gather necessary artifacts. (57) 5.Perform security feature review. (56) 6.Drive tests with security requirements and security features. (55) 7.Build and publish security features. (54) 8.Identify PII obligations. (52) 9.Provide awareness training. (50) 10.Use automated tools along with manual review. (50) 11.Create a data classification scheme and inventory. (43) 12.Create security standards. (48) En modenhetsstudie av programvaresikkerhet i offentlig sektor Direktoratet for forvaltning og IKT Hvor mange aktiviteter gjør man? Direktoratet for forvaltning og IKT https://www.flickr.com/photos/125207874@N04/14450220780/ Vanligste aktiviteter i studien Sikkerhetskrav – to hovedtyper Compliance («Fra lov til løsning») ● Lover og regelverk ● Felles for mange Risikobaserte krav ● ● Spesifikke for system og virksomhet Forutsetter at man jobber med risikoanalyser i kravprosessen Hvordan stille krav til informasjonssikkerhet? Direktoratet for forvaltning og IKT Hva er et sikkerhetskrav? ● ● Et krav som definerer hvilket nivå av sikkerhet som forventes fra et system, med utgangspunkt i en type trussel eller angrep. I en anskaffelseskontekst: gode krav gjør det mulig for oss å evaluere ulike løsninger opp mot hverandre – uten å legge for sterke føringer på hvordan løsningen må være realisert. Funksjonelle Ikke-funksjonelle Hva – ikke hvordan. Direktoratet for forvaltning og IKT Metoder for å utarbeide sikkerhetskrav Trusselmodellering Misbrukstilfeller Angrepstrær Direktoratet for forvaltning og IKT Dataflytdiagrammer Hva er trusselmodellering? En metode for å analysere mulige angrep mot et system (inkludert brukere, organisasjon og miljø). Fra trusselmodeller kan vi avlede nødvendige tiltak – eller sikkerhetskrav. Direktoratet for forvaltning og IKT Fra brukstilfeller til misbrukstilfeller Direktoratet for forvaltning og IKT Misbrukstilfeller - eksempel Direktoratet for forvaltning og IKT Sikkerhetskrav fra misbrukstilfeller ● Nye brukstilfeller som legges til som tiltak for å håndtere angrep er kandidater til sikkerhetskrav. – ● Kalles ofte «security use cases» Misbrukstilfeller er nyttige fordi – De kan brukes på et tidlig stadium i utvikling (eller anskaffelse) av et system – De er intuitive – forståelig både for teknologer og ikke-teknologer Direktoratet for forvaltning og IKT Oppsummering ● ● ● Sikkerhetskrav sier hva men ikke hvordan Visuelle modeller er gode utgangspunkter for diskusjon Å jobbe strukturert med trusler og angrep er en god måte å finne frem til hvilke sikkerhetskrav man har behov for Direktoratet for forvaltning og IKT Lære mer? 21. oktober: Konferanse – «Innebygd informasjonssikkerhet» Olav Lysne, Digitalt sårbarhetsutvalg Påmelding: kurs.difi.no infosikkerhet@difi.no
© Copyright 2024