Innebygd informasjonssikkerhet –

Innebygd informasjonssikkerhet –
hvordan ivareta sikkerhet i prosjekter?
Lillian Røstad
Seksjonssjef
Seksjon for informasjonssikkerhet
Direktoratet for forvaltning og IKT
Seksjon for informasjonssikkerhet
Difi etablerte i 2013 et kompetansemiljø for
informasjonssikkerhet som skal:
Arbeide for en styrket og mer helhetlig tilnærming
til informasjonssikkerhet i statsforvaltningen.
Hvorfor programvaresikkerhet?
Software Security is the practice of building software
to be secure and to continue to function properly
under malicious attack.
Gary McGraw
Sårbarhet
Angrep
Det handler om å lage færre av disse
Hendelse
The Trinity of Trouble
Connectivity
Complexity
Extensibility
Innebygd informasjonssikkerhet
– hvordan jobbe med sikkerhet i
utviklingsprosjekter
The Trustworthy Computing
Security Development
Lifecycle
Michael Howard, 2005
Risk Management Framework
Sikkerhetskrav!
Software Security Touchpoints
The Touchpoints – rangert etter effekt
1.Code review
2.Architectural risk analysis
3.Penetration testing
4.Risk-based security tests
5.Abuse cases
6.Security requirements
7.Security operations
The Building Security In Maturity Model
BSIMM
www.bsimm.com
Et rammeverk basert på
en studie av etablert praksis
Studie av 67 programvaresikkerhetsinitiativer
Siden 2008
Mål: risikostyring - også i utviklingsprosjekter
The 12 most common activities observed
in BSIMM
1.Use external penetration testers to find problems. (62)
2.Ensure host and network security basics are in place. (61)
3.Identify software defects found in operations monitoring and feed
them back to development. (59)
4.Identify gate locations, gather necessary artifacts. (57)
5.Perform security feature review. (56)
6.Drive tests with security requirements and security features. (55)
7.Build and publish security features. (54)
8.Identify PII obligations. (52)
9.Provide awareness training. (50)
10.Use automated tools along with manual review. (50)
11.Create a data classification scheme and inventory. (43)
12.Create security standards. (48)
En modenhetsstudie av
programvaresikkerhet i
offentlig sektor
Direktoratet for forvaltning og IKT
Hvor mange aktiviteter gjør man?
Direktoratet for forvaltning og IKT
https://www.flickr.com/photos/125207874@N04/14450220780/
Vanligste aktiviteter i studien
Sikkerhetskrav – to hovedtyper
Compliance («Fra lov til løsning»)
●
Lover og regelverk
●
Felles for mange
Risikobaserte krav
●
●
Spesifikke for system og virksomhet
Forutsetter at man jobber med risikoanalyser i
kravprosessen
Hvordan stille krav til
informasjonssikkerhet?
Direktoratet for forvaltning og IKT
Hva er et sikkerhetskrav?
●
●
Et krav som definerer hvilket nivå av sikkerhet som forventes fra et
system, med utgangspunkt i en type trussel eller angrep.
I en anskaffelseskontekst: gode krav gjør det mulig for oss å evaluere
ulike løsninger opp mot hverandre – uten å legge for sterke føringer
på hvordan løsningen må være realisert.
Funksjonelle
Ikke-funksjonelle
Hva – ikke hvordan.
Direktoratet for forvaltning og IKT
Metoder for å utarbeide
sikkerhetskrav
Trusselmodellering
Misbrukstilfeller
Angrepstrær
Direktoratet for forvaltning og IKT
Dataflytdiagrammer
Hva er trusselmodellering?
En metode for å analysere mulige angrep mot et system (inkludert brukere,
organisasjon og miljø).
Fra trusselmodeller kan vi avlede nødvendige tiltak – eller sikkerhetskrav.
Direktoratet for forvaltning og IKT
Fra brukstilfeller til misbrukstilfeller
Direktoratet for forvaltning og IKT
Misbrukstilfeller - eksempel
Direktoratet for forvaltning og IKT
Sikkerhetskrav fra misbrukstilfeller
●
Nye brukstilfeller som legges til som tiltak for å
håndtere angrep er kandidater til sikkerhetskrav.
–
●
Kalles ofte «security use cases»
Misbrukstilfeller er nyttige fordi
–
De kan brukes på et tidlig stadium i utvikling (eller anskaffelse) av et
system
–
De er intuitive – forståelig både for teknologer og ikke-teknologer
Direktoratet for forvaltning og IKT
Oppsummering
●
●
●
Sikkerhetskrav sier hva men ikke hvordan
Visuelle modeller er gode utgangspunkter for
diskusjon
Å jobbe strukturert med trusler og angrep er en
god måte å finne frem til hvilke sikkerhetskrav
man har behov for
Direktoratet for forvaltning og IKT
Lære mer?
21. oktober: Konferanse – «Innebygd informasjonssikkerhet»
Olav Lysne, Digitalt sårbarhetsutvalg
Påmelding: kurs.difi.no
infosikkerhet@difi.no