Presentation infoklass i praktiken SIGsecurity 2014-09-22
Ett lyckat informationsklassificeringsprojekt! Agenda • • Om Marginalen • • • Projektet – vägen fram till klassningen • • Frågestund Om Andreas Bensträckare Projektet – vad hände sen Avslut OM MARGINALENKONCERNEN Bakgrund • Marginalen har rötter från 1979 och finns för närvarande i Sverige, Lettland och Litauen med cirka 620 anställda • VD och ägare för Marginalenkoncernen är Ewa Glennow Marginalen Bank • • • • Fernando Miranda är VD Banklicens 2010 Förvärv Citibanks svenska konsumentverksamhet Har i Sverige ca 200.000 privatkunder och 7.000 företagskunder Vision • Bidra till en bättre värld genom att skapa ekonomiskt försprång för människor som söker en bank och partner som inte bara tittar på siffror utan lika mycket på idéer och framtid. VÅRA PRODUKTOMRÅDEN Marginalen Bank Marginalen Bank privatpersoner företag LÅN KORT SPARA LEASING KONSULT INKASSO HR JURIDIK MARGINALEN CORE FINANSIERING FÖRSÄKRING ANDREAS ELVEBORG VEM ÄR ANDREAS? • • • Nyfiken, analytisk med behov av att komma till avslut. Helhetsperspektiv Drivit bolag sedan 1992 som konsult och VD för tjänsteföretag, anställd på Marginalen sedan 2009 • Verksamhetsutveckling • Informationshantering • Struktur: design/införa/förvalta/förbättra • Styrning & kontroll, riskbaserat angreppsätt Design – analys av interna förmågor & omvärld → lösningar anpassat för verksamheten DRIVKRAFT • MARGINALEN • • • Uppdrag CTO lyfta plattform (infrastruktur, data warehouse/BI, integration/BizTalk) & hantera förvärv Uppdrag genomlysa bankens hantering av operativa risker med fokus på informationssäkerhet Design för både grupp och bank (riskkontroll, kontinuitetshantering, CSO/CISO) INFORMATIONSKLASSIFICERING Projektdirektiv • Syfte & mål – Att identifiera skyddsnivåer för bankens information – Att säkerställa efterlevnad av regulatoriska krav (Finansinspektionen, Datainspektionen) – Att säkerställa förutsättningar för mer finmaskigt val av skyddsåtgärder (spara pengar) • Omfattning – Hela verksamheten – Processperspektiv – Mappar – Inte system i denna fas Projektets milstolpeplan Etablering & förberedelser Projektgrupp/staffning Metodik, fastställa kriterier Vägledning/frågebatteri Validering Kontrollfunktioner – godkännande metodik Pilot - verklighetstest Genomförande Uppstartsworkshop Inventering Workshop klassning Klassning Validering Projektavslut Förvaltning Effekthemtagning (analys & rapportering) December - Januari Februari Mars April Maj Nästa steg Etablering & förberedelser Projektgrupp/staffning Metodik, fastställa kriterier Vägledning/frågebatteri Validering Kontrollfunktioner – godkännande metodik Pilot - verklighetstest Genomförande Uppstartsworkshop Inventering Workshop klassning Klassning Validering Projektavslut Förvaltning Etablering och förberedelser Effekthemtagning (analys & rapportering) Nästa steg Etablering & förberedelser Staffning • • • Projektledare & projektassistent Styrgrupp – 2 medlemmar ur högsta ledningen Verksamheten – 15-tal affärsområden ur 3 divisioner – Stödfunktioner (ekonomi, IT, marknad, juridik, etc) – Kontrollfunktioner (andralinjen) – Totalt drygt 25 grupperingar – Processägare, övriga funktionsansvariga (specialister) – Chefer (alla nivåer) Etablering & förberedelser Kontext Informationsobjektets skyddsvärde Verksamhetskrav, Regulatoriska krav Befintliga skyddsåtgärder Hotbild & sårbarheter Incidenter Riskbedömning Etablering & förberedelser Definitioner Sekretess Riktighet Tillgänglighet Spårbarhet • Egenskap att information inte får göras tillgänglig eller avslöjas för obehöriga individer, enheter eller processer. • Dvs att rätt person kommer åt rätt uppgifter, exempelvis med behörighetssystem. • Egenskap hos tillgång som innebär att tillgångens exakthet och fullständighet skyddas. • Dvs att information innehåller rätt datakvalité och skyddas mot förvanskning, exempelvis med arkivering eller brandväggar. • Egenskapen att vara tillgänglig och användbar på begäran av en behörig enhet. • Dvs att information är tillgänglig och användbar för rätt person, exempelvis med SLA-nivåer eller teknisk redundans. • Möjlighet att entydigt kunna härleda dels utförda aktiviteter och dels vilken person eller systemfunktion som har utfört dessa • Exempelvis genom loggning och ”tolkningsverktyg” (SIEM) • Definitionerna är baserade på ISO 27001:2006 (sv) • Gallringsfrist Etablering & förberedelser Skyddsvärde Klassningskategori Konsekvensanalys • Kategorier vid bedömning av konsekvens vid brister i informationens: •Sekretess, •Riktighet, •Tillgänglighet, •Spårbarhet Klassning/skyddsnivå • Bedömning av konsekvens för banken och dess kunder • Konsekvensnivåer: •Ingen/Försumbar •Måttlig/Betydande •Allvarlig/Kritisk • Resulterar i klassningsnivå: •1 = Låg (publik) •2 = Medel (intern) •3 = Hög (konfidentiell) • Konsekvensnivå vs klassningsnivå/skyddsnivå • Undantaget tillgänglighet 0 - y tim Konsekvens → försumbar Konsekvens försumbar → måttlig Konsekvens måttlig → kritisk y - x tim minst x tim Klass 1 - brons 2 - silver 3 - guld Etablering & förberedelser Konsekvensnivåer Konsekvensnivå 2 - Måttlig/Betydande Med måttlig till betydande negativ påverkan avses Med ingen eller försumbar negativ påverkan avses förlust av sekretess, riktighet eller tillgänglighet som förlust av sekretess, riktighet eller tillgänglighet för egen eller annan verksamhet kan: som för egen eller annan verksamhet utan eller * orsaka en minskning i förmågan att lösa med försumbar påverkan på: verksamhetsuppgifterna i en utsträckning och * förmågan att lösa verksamhetsuppgifterna i varaktighet innebärande att verksamhetens en utsträckning och varaktighet innebärande att primära uppgifter kan fullföljas, men att verksamhetens primära uppgifter kan fullföljas effektiviteten är påvisbart/påtagligt reducerad 3 - Allvarlig/Kritisk Med allvarlig till kritisk negativ påverkan avses förlust av sekretess, riktighet eller tillgänglighet som för egen eller annan verksamhet kan: * orsaka en allvarlig till kritisk begränsning i förmågan att lösa verksamhetsuppgifterna i en utsträckning och varaktighet innebärande att verksamheten inte kan fullgöra en eller flera av sina primära uppgifter Med måttlig till betydande negativ påverkan avses förlust av sekretess, riktighet eller tillgänglighet som för egen eller annan verksamhet kan: * resultera i måttliga till betydande skador på verksamhetens tillgångar Med måttlig till betydande negativ påverkan avses förlust av sekretess, riktighet eller tillgänglighet som för egen eller annan verksamhet kan: * resultera i måttliga till betydande ekonomiska förluster Med allvarlig till kritisk negativ påverkan avses förlust av sekretess, riktighet eller tillgänglighet som för egen eller annan verksamhet kan: * resultera i omfattande skador på verksamhetens tillgångar Ekonomi (kvalitativ) Med ingen eller försumbar negativ påverkan avses förlust av sekretess, riktighet eller tillgänglighet som för egen eller annan verksamhet utan eller med försumbar påverkan på: * resultat i skador på verksamhetens tillgångar Med ingen eller försumbar negativ påverkan avses förlust av sekretess, riktighet eller tillgänglighet som för egen eller annan verksamhet utan eller med försumbar påverkan på: * resultat i ekonomiska förluster. Ekonomi (kvantitativ) Motsvarar konsekvensnivå 1-3 i Bankens riskmodell Motsvarar konsekvensnivå 7-9 i Bankens Motsvarar konsekvensnivå 4-6 i Bankens riskmodell riskmodell Individ och hälsa Med ingen eller försumbar negativ påverkan avses förlust av sekretess, riktighet eller tillgänglighet som för egen eller annan verksamhet utan eller med försumbar påverkan på: * möjlighet att förorsaka negativ påverkan på enskild individs rättigheter eller hälsa Med måttlig till betydande negativ påverkan avses förlust av sekretess, riktighet eller tillgänglighet som för egen eller annan verksamhet kan: * förorsakar måttliga till betydande negativ påverkan på enskild individs rättigheter eller hälsa Verksamhetsförmåga Tillgångar 1 - Ingen eller försumbar Med allvarlig till kritisk negativ påverkan avses förlust av sekretess, riktighet eller tillgänglighet som för egen eller annan verksamhet kan: * resultera i stora ekonomiska förluster Med allvarlig till kritisk negativ påverkan avses förlust av sekretess, riktighet eller tillgänglighet som för egen eller annan verksamhet kan: * förorsakar allvarligt negativ påverkan på enskild individs rättigheter eller liv och hälsa Etablering & förberedelser Operativ risk • Riskmodell för operativ risk – Synergi BIA och befintliga konsekvensnivåer Vänta med sannolikhet till riskbedömningen… Sannolikhet • 9 8 7 6 5 4 3 2 1 9 8 7 6 5 4 3 2 1 1 18 16 14 12 10 8 6 4 2 2 27 24 21 18 15 12 9 6 3 3 36 32 28 24 20 16 12 8 4 4 45 40 35 30 25 20 15 10 5 5 Ingen/ Måttlig/ Konsekvens Försumbar Betydande 54 48 42 36 30 24 18 12 6 6 63 56 49 42 35 28 21 14 7 7 72 64 56 48 40 32 24 16 8 8 Allvarlig/ Kritisk 81 72 63 54 45 36 27 18 9 9 Etablering & förberedelser Klassningsnivå Sekretess Riktighet Tillgänglighet Spårbarhet Skyddsnivå 1 - Låg Skyddsnivå 1 - Låg Skyddsnivå 1 - Låg Skyddsnivå 1 - Låg Skyddsnivå 2 - Medel Skyddsnivå 2 - Medel Skyddsnivå 2 - Medel Skyddsnivå 2 - Medel Skyddsnivå 3 - Hög Skyddsnivå 3 - Hög Skyddsnivå 3 - Hög Skyddsnivå 3 - Hög Etablering & förberedelser Klassningsnivå - exempel Sekretess Riktighet Tillgänglighet Spårbarhet Skyddsnivå 1 Låg/publik Information som är avsedd för allmänheten och kan komma till allmänhetens kännedom utan att någon person eller organisation lider skada. Spridning av information bedöms inte ge någon negativ effekt på verksamheten, dess tillgångar, enskilda individer eller annan part. Exempel: - Information som publiceras på Bankens publika hemsida - Den publicerade årsredovisningen, - Olika produktblad, marknadsinformation och tjänstebeskrivningar. Skyddsnivå 1 Låg Information som, på grund av otillräcklig riktighet, bedöms innebära en ej negativ eller försumbar negativ effekt på verksamheten och dess tillgångar eller på enskilda individer eller annan part. Exempel: - Mindre felaktigheter i informationen på intranätet - Arbetsdokument som inte utgör interna regler Skyddsnivå 2 Medel/intern Information som endast är avsedd för anställd och inhyrd personal vid Banken samt för behöriga externa intressenter. Information som, om den sprids utanför avsedd grupp, kan resultera i en måttlig eller betydande negativ effekt på verksamheten, dess tillgångar, enskilda individer eller annan part. Exempel: - Kunduppgifter (privat och företag) inklusive personuppgifter - Information om vilka vi samarbetar med (uppdragstagare, samarbetspartners, leverantörer) - Intern analysinformation som scoringmodeller, volymer trender men även kommande kampanjer och andra marknadsaktiviteter Skyddsnivå 3 Hög/konfidentiell Information som endast är avsedd för vissa medarbetare vid Banken och i undantagsfall för behöriga externa intressenter. Medarbetaren eller intressenten ska, för att få behörighet till denna information, ha ett uttalat behov av åtkomst för att kunna utföra sina arbetsuppgifter eller åtaganden. Information som, om den sprids utanför avsedd grupp, kan resultera i en allvarlig eller kritisk Skyddsnivå 2 Medel Information som, på grund av otillräcklig riktighet, bedöms innebära en måttlig eller betydande negativ effekt på verksamheten och dess tillgångar eller på enskilda individer eller annan part. Exempel: - Bankens medarbetares löneuppgifter, personalakt - Kunduppgifter offline (avier, kundengagemang, brev) - Interna regler (policys, instruktioner, processbeskrivningar) Skyddsnivå 1 Låg Information som, på grund av otillräcklig tillgänglighet, bedöms innebära en liten eller försumbar negativ effekt på verksamheten och dess tillgångar eller på enskilda individer eller annan part. • När konsekvensen vid otillgänglighet blir måttlig eller kritisk efter x timmar anses nivån som 1 (låg). Exempel: - Informationen på intranätet, ledningssystemet eller fysiskt lagrad information (pärmar) - Bankens medarbetares löneuppgifter Skyddsnivå 2 Medel Information som, på grund av otillräcklig tillgänglighet, bedöms innebära en måttligt negativ eller betydande negativ effekt på verksamheten och dess tillgångar eller på enskilda individer eller annan part. • När konsekvensen vid otillgänglighet går från försumbar till måttlig inom 0-x timmar och går från måttlig till kritisk inom y-x timmar anses nivån som 2 (medel). Exempel: - Dokument på gemensamma kataloger. - Information som behövs för att de vardagliga processerna ska fungera - Rapporter till myndigheter Skyddsnivå 1 Låg Brister i spårbarheten bedöms innebära en ej negativ eller måttlig negativ effekt på verksamheten och dess tillgångar eller på enskilda individer eller annan part. Avseende att exempelvis kunna: • Se vem som genomfört en viss aktivitet • Följa en transaktion • Se vem som loggat in och ut med angivande av tidpunkter. Exempel: - Information av tillfällig karaktär på intranätet. Skyddsnivå 2 Medel Brister i spårbarheten bedöms innebära en måttlig eller betydande negativ effekt på verksamheten och dess tillgångar eller på enskilda individer eller annan part. Avseende att exempelvis kunna: • Se vem som genomfört en viss aktivitet • Följa en transaktion • Se vem som loggat in och ut med angivande av tidpunkter. Exempel: - Dokument på gemensamma kataloger - Information på intranätet som inte är av tillfällig karaktär. Skyddsnivå 3 Hög Information som, på grund av otillräcklig tillgänglighet, bedöms innebära en allvarlig eller kritisk negativ effekt på verksamheten och dess tillgångar eller på enskilda individer eller annan part. • När konsekvensen vid otillgänglighet blir kritisk inom y timmar är nivån 3 (hög). Exempel: - Kunders åtkomst till Bankens digitala Skyddsnivå 3 Hög Brister i spårbarheten bedöms innebära en allvarlig eller kritisk negativ effekt på verksamheten och dess tillgångar eller på enskilda individer eller annan part. Avseende att exempelvis kunna: • Se vem som genomfört en viss aktivitet • Följa en transaktion • Se vem som loggat in och ut med angivande av tidpunkter. Exempel: Skyddsnivå 3 Hög Information som, på grund av otillräcklig riktighet, bedöms innebära ett krisläge eller en allvarlig negativ effekt på verksamheten och dess tillgångar eller på enskilda individer eller annan part. Exempel: - Rapporter till Myndigheter - Pressmeddelanden och övrig information till media - Kunduppgifter för bearbetning såsom de Etablering & förberedelser Stöd för verksamheten • • Mall för informationsklassning • • • Processperspektiv Vägledning för informationsklassning Standardnivå för klassning = 2 Fokus på avvikelser Etablering & förberedelser Sammanfattning: Etablering & förberedelser • • Att fastslå är viktigare än vad Anpassa nivå efter förmåga – 3 nivåer även om det skulle finnas behov av fler • Återanvänd kriterier som finns i verksamheten – Riskanalyser, operativ risk, riskaptit – Kontinuitetshantering – BIA • Skapa förutsättningar för verksamheten att göra jobbet själv! Etablering & förberedelser Projektgrupp/staffning Metodik, fastställa kriterier Vägledning/frågebatteri Validering Kontrollfunktioner – godkännande metodik Pilot - verklighetstest Genomförande Uppstartsworkshop Inventering Workshop klassning Klassning Validering Projektavslut Förvaltning VALIDERING Effekthemtagning (analys & rapportering) Nästa steg Validering Pilot • Urval pilot – Många dokumenttyper – Tillgång till kompetent personal • Delaktig i metodik och vägledning – Vad funkar i praktiken, test av metodik och vägledning – Direkt återföring av feedback i projektet (ingen prestige) – Framtagning av workshopmaterial Validering Kontrollfunktioner • • • • Nålsöga – test på de ”bråkigaste” först • Resultat: Granskning av regelefterlevnad Granskning riskmetodik (operativ risk) Granskning ”kompabilitet” ledningssystem – Ytterligare förenkling – Accept → styrgrupp Etablering & förberedelser Projektgrupp/staffning Metodik, fastställa kriterier Vägledning/frågebatteri Validering Kontrollfunktioner – godkännande metodik Pilot - verklighetstest Genomförande Uppstartsworkshop Inventering Workshop klassning Klassning Validering Projektavslut Förvaltning GENOMFÖRANDE Effekthemtagning (analys & rapportering) Nästa steg Genomförande Upplägg med verksamheten WS1 • Första presentation • Inventering -> ifyllnad mall • Uppdrag att genomföra inventeringen (1 vecka) WS2 • Klassning – exempel från ifylld mall • Vägledning (utbildning) • Uppdrag att genomföra klassningen (2 veckor) WS3 • Fysiskt möte för uppföljning • Stickprovskontroll validera verksamhetens svar • Extra stöd vid behov Genomförande Upplägg med verksamheten WS1 • Första presentation • Inventering & klassning -> ifyllnad mall, stöd av vägledning • Uppdrag att genomföra inventeringen & klassning (3 veckor) • Behövdes inte WS2 • Stickprovskontroll validera verksamhetens svar elektroniskt Validering • Anpassat stöd vid behov: telefon, mejl, möte Etablering & förberedelser Projektgrupp/staffning Metodik, fastställa kriterier Vägledning/frågebatteri Validering Kontrollfunktioner – godkännande metodik Pilot - verklighetstest Genomförande Uppstartsworkshop Inventering Workshop klassning Klassning Validering Projektavslut Förvaltning PROJEKTAVSLUT Effekthemtagning (analys & rapportering) Nästa steg Projektavslut Förvaltning • Intranätet och ledningssystemet kanaler för kommunikation – Tydligt projektavslut och överlämning – Mallar, styrdokument, vägledningar lättillgängliga • • Ansvar för förvaltning – chefer I praktiken delegerat till funktionsansvariga – Främst processägare och systemägare Projektavslut Key Success Factors • Projektets bemanning – Diametrala motsatser! – Kommunikation och kontakt med verksamheten • • • • • Ledningens godkännande & engagemang Vägledningen – verktyg för verksamheten Fastställande av kriterier Buy-in kontrollfunktioner Piloten Projektavslut Nästa steg • Klassningen gjord – och? – http://www.youtube.com/watch?v=PATapIobiso – 1:14 NOW WHAT? BENSTRÄCKARE! PRINCIPER! Verksamhetsnytta • Klassningen är gjord – hur ska vi använda den? Informationsobjektets skyddsvärde Verksamhetskrav, Regulatoriska krav Befintliga skyddsåtgärder Klassningsprofil Skyddsvärde Säkerhetsprinciper Skyddsåtgärd Hotbild & sårbarheter Incidenter Riskbedömning Riskbedömning Entitetsrisk Info obj Doktyp Filarea Sekretess Riktighet Tillgänglighet Skyddsnivå 1 Skyddsnivå 2 Skyddsnivå 3 Princip 1 Princip 5 Princip 7 Vidtagen åtgärd Spårbarhet Sekretess Riktighet Planerad åtgärd Åtgärd 2 Åtgärd 3 Hotbild Sårbarhet Hotbild 1 Hotbild 2 Hotbild 3 Sannolikhet H Sannolikhet M Sannolikhet L Konsekvens H Konsekvens M Entitetsrisk x Konsekvens L System Tillgänglighet Spårbarhet Klassningsprofil Klassningsprofil • Summering – Drygt 800 dokumenttyper – 32 unika mönster av 81 möjliga • • • (3 skyddsnivåer ^ 4 säkerhetskategorier) Kodifiering & reducering Resultat: – 7 unika mönster = klassningsprofiler – 12 standardiserade dokumenttyper Informationsobjektets identitet och innehåll Inkommande /utgående/icke applicerbart Behöriga Utgående Förvaring/ lagring av dokument System A Känsligt och kvalitetskritiskt rapport till myndighet Känsligt och kvalitetskritiskt dokument från kund Sekretess Riktighetsnivå Tillgänglighets- Spårbarhetsnivå nivå Avgränsad grupp intern Nivå 3 Konfidentiell Nivå 3 Hög Nivå 2 Medel Nivå 2 Medel Inkommande System A Avgränsad grupp intern Nivå 3 Konfidentiell Nivå 3 Hög Nivå 2 Medel Nivå 2 Medel Säkerhetsprinciper Skyddsåtgärder & säkerhetsprinciper • Skyddsåtgärder – Varierar med informationsobjektets art – En åtgärd kan påverka allt från hantering av fysiska dokument till enskilda system till verksamhetsförändringar • Säkerhetsprinciper – Förenkla och staka ut ”staketet” – How-to för efterlevnad av externa och interna regelverk – Utgångspunkt i branschpraxis – Anpassat för banken Säkerhetsprinciper Säkerhetsprinciper • Säkerhetsprinciper Princip 1 • Säkerhetsområde: Styrning av åtkomst • Säkerhetskategori: Sekretess • Skyddsnivå: 3 (konfidentiell information) • Innehåll: Extern åtkomst förutsätter stark autentisering Princip 2 • Säkerhetsområde: Drifts- och kommunikationssäkerhet • Säkerhetskategori: Riktighet • Skyddsnivå: 1 • Innehåll: Trådlöst internt nät endast för kontrollerade enheter Princip 3 • Säkerhetsområde: Drifts- och kommunikationssäkerhet • Säkerhetskategori: Tillgänglighet • Skyddsnivå: 3 (guld) • Innehåll: Jour 24/7/365 Princip 4 • Säkerhetsområde: Drifts- och kommunikationssäkerhet • Säkerhetskategori: Spårbarhet • Skyddsnivå: 1 • Innehåll: Alla system ska tidssynkronieras mot extern källa – Totalt: 62 – Prioriterade: 25 • ISO 27002:2014 – 14 områden – 35 mål – 114 kontroller (drygt) – Analysunderlaget Sammanfattning • Skyddsvärde vs skyddsåtgärder • Riskbedömning – Oacceptabel risk Klassningsprofil Skyddsvärde Säkerhetsprinciper Skyddsåtgärd Riskbedömning – Förhöjd risk – Acceptabel risk Nästa steg Initial • Samverka med verksamhet (inkl IT) – Förståelse för principer Managed – Identifiera gap – Lösningar för ändamålsenliga åtgärder • • • Defined Standardiserade dokumenttyper Gallringsfrister Mäta – KRI/KPI Quantitatively Managed Optimizing FRÅGOR? TACK FÖR IDAG! Kontaktuppgifter: Andreas Elveborg [email protected] 010-495 16 60 / 070-572 53 20 Finns på linked-in
© Copyright 2024