Grunnprinsipper for IKT-sikkerhet 2.0
Forbered virksomheten på håndtering av hendelser
Målet med prinsippet: Virksomheten har implementert effektive prosesser for hendelseshåndtering slik at hendelser oppdages hurtig, kontrolleres, skaden minimeres og hendelsesårsaken fjernes effektivt. Dette inkluderer gjenopprettelse av integriteten til systemer og nettverk.
Hvorfor er dette viktig?
Dataangrep har blitt en del av dagliglivet. Selv store, teknisk sofistikerte virksomheter med mange ressurser har utfordringer med å holde følge med frekvensen og kompleksiteten på dataangrep. Spørsmålet er ikke «om» en virksomhet blir offer for et vellykket dataangrep, men «når». Uten en plan og en prosess for hendelseshåndtering vil det være vanskelig for virksomheten å begrense skaden og gjenopprette normaltilstanden.
Når hendelsen inntreffer er det for sent å utarbeide gode prosedyrer, rapporteringsrutiner, datainnsamling, ledelsesansvar og kommunikasjonsstrategier. Disse må utarbeides og øves jevnlig for å gjøre virksomheten i stand til å forstå, håndtere og gjenopprette normaltilstanden.
Anbefalte tiltak: Forbered virksomheten på håndtering av hendelser
| ID | Beskrivelse |
|---|---|
| 4.1.1 | Etabler et planverk for hendelseshåndtering som ivaretar behovet for virksomhetskontinuitet ved beredskap og krise. Dette bør inkludere a) en oversikt over krav til gjenopprettelse av IKTfunksjoner, IKT-tjenester og IKT-systemer basert på en analyse av konsekvenser for virksomheten («BIA – Business Impact Analysis»), b) rolle- og ansvarsbeskrivelser for relevant personell, c) krav til opplæring for relevant personell, d) klassifiseringsregime for hendelser og grenseverdier for å aktivere krisestab, e) krav til testing og øving av planverk og personell. f) Revider og oppdater planverket jevnlig, minst en gang i året og i etterkant av øvelser og større hendelser eller angrep. |
| 4.1.2 | Gjennomfør en analyse av virksomhetskritiske effekter. Denne bør inkludere: a) prioritering av vitale forretningsfunksjoner og krav til sikkerhetsnivå for disse, b) identifiserte avhengigheter til IKT-funksjoner, IKT-tjenester, IKT-systemer, mm., c) krav til gjenopprettelsestid, tap av data og tjenestenivå. |
| 4.1.3 | Utarbeid rolle- og ansvarsbeskrivelse for personell som skal involveres i hendelseshåndtering. Dette inkluderer: a) Personell med sentrale oppgaver, for eksempel IT-sjef, applikasjonsansvarlig, plattformansvarlig mm. b) Ledere med beslutningsansvar på ulike nivåer. c) Beredskapsvakter som er tilgjengelig utenom normal arbeidstid og i ferieperioder. d) Sørg for tilstrekkelig opplæring og øving av personell i henhold til beskrivelse i planverk. |
| 4.1.4 | Utarbeid avtaler med relevante tredjeparter slik at disse er klare til å yte støtte dersom det kreves ved en hendelse. Dette kan være sektorvise responsmiljøer, IT-spesialister innen ulike fagfelt, leverandører av utstyr og programvare mm. |
| 4.1.5 | Fastsett hvilke kommunikasjonskanaler som skal benyttes i forbindelse med hendelser. a) Distribuer kontaktinformasjon for relevant personell. b) Lag en plan for alternative kommunikasjonskanaler. c) Etabler en plan for intern og ekstern kommunikasjon rundt hendelser. |
| 4.1.6 | Test og øv på planer jevnlig slik at disse er godt innøvd. a) Øvelser bør inkludere relevante underleverandører. b) Øvelser bør inkludere testing av rutiner for deteksjon og beredskap, se 3.4.5. |
Utdypende informasjon
For å unngå forsinkelse, behov for godkjenninger, diskusjoner, etc. når man blir truffet av alvorlig skadevare er det en fordel å ha forhåndsgodkjente handlingsmønstre: Eksempelvis at man kutter virksomhetens tilgang til Internett når situasjon X inntreffer, man slår på svært restriktive regelsett på brannmurene når situasjon Y inntreffer, osv. En slik plan må være godkjent av forretningen, ikke bare av IT.
Hva gjør man hvis et dataangrep blir oppdaget utenfor arbeidstid?
- Hvor fort kan man mobilisere responsfunksjoner i virksomheten?
- Er virksomhetens telefonliste oppdatert?
- Har man betalt underleverandører og støttepersonell som kan trå til på kort varsel?
- Hva gjør man hvis nøkkelpersoner er på ferie i utlandet?
Ved oppdagelse av selvspredende skadevare må man reagere hurtig for å hindre omfattende skader. Virksomheter har ofte bare en time eller to på seg fra skadevaren oppdages til de må ta en avgjørelse.
- Skal brannmurer stenges?
- Skal strømmen tas fra sentrale servere?
- Har man tjenester som må isoleres fra øvrig IKT-infrastruktur?
- Fungerer responsfunksjoner dersom informasjonssystemene er nede?
- Fungerer sikkerhetskopier hvis man må slette alle servere?
God planlegging, et oppdatert og veltestet planverk og en døgnkontinuerlig vaktordning kan bety vinn eller forsvinn for virksomheter når dataangrep inntreffer.
Lenker
NSM: Rammeverk for handtering av IKT-hendelser
UK GOV: (10-steps) incident management
UK GOV: Planning your response to cyber incidents
UK GOV: Small business guidance, incidents
ISO/IEC 27035-1 Information security incident management - Part 1: Principles of incident management