![Page 1: Prosjektveiviser for sikkerhet · ID-porten, Feide) – Nasjonale anbefalinger/føringer (eks. Normen, ... – Sikkerhetstest –både knyttet til konkrete krav rundt f.eks. inputvalidering](https://reader034.vdocuments.net/reader034/viewer/2022050209/5f5b9f9ba07ba93858066d07/html5/thumbnails/1.jpg)
Prosjektveiviser for sikkerhet
Sikkerhet og Sårbarhet 2016/Jens Lien
![Page 2: Prosjektveiviser for sikkerhet · ID-porten, Feide) – Nasjonale anbefalinger/føringer (eks. Normen, ... – Sikkerhetstest –både knyttet til konkrete krav rundt f.eks. inputvalidering](https://reader034.vdocuments.net/reader034/viewer/2022050209/5f5b9f9ba07ba93858066d07/html5/thumbnails/2.jpg)
Når man endelig har fått til noe - og lagd noe som er bra, så kommer det ei «knetakling» inn fra sikkerhetshold og ødelegger alt!
![Page 3: Prosjektveiviser for sikkerhet · ID-porten, Feide) – Nasjonale anbefalinger/føringer (eks. Normen, ... – Sikkerhetstest –både knyttet til konkrete krav rundt f.eks. inputvalidering](https://reader034.vdocuments.net/reader034/viewer/2022050209/5f5b9f9ba07ba93858066d07/html5/thumbnails/3.jpg)
3
![Page 4: Prosjektveiviser for sikkerhet · ID-porten, Feide) – Nasjonale anbefalinger/føringer (eks. Normen, ... – Sikkerhetstest –både knyttet til konkrete krav rundt f.eks. inputvalidering](https://reader034.vdocuments.net/reader034/viewer/2022050209/5f5b9f9ba07ba93858066d07/html5/thumbnails/4.jpg)
4
– Vi ser alvorlig på de
svakhetene som er avdekket.
Større forbedringer forutsetter
kompetanse og systematisk
arbeid, men det er også mulig
å oppnå bedre sikkerhet med
tiltak som ikke krever store
ressurser, sier Foss.
![Page 5: Prosjektveiviser for sikkerhet · ID-porten, Feide) – Nasjonale anbefalinger/føringer (eks. Normen, ... – Sikkerhetstest –både knyttet til konkrete krav rundt f.eks. inputvalidering](https://reader034.vdocuments.net/reader034/viewer/2022050209/5f5b9f9ba07ba93858066d07/html5/thumbnails/5.jpg)
5
Prosjektveiviseren
![Page 6: Prosjektveiviser for sikkerhet · ID-porten, Feide) – Nasjonale anbefalinger/føringer (eks. Normen, ... – Sikkerhetstest –både knyttet til konkrete krav rundt f.eks. inputvalidering](https://reader034.vdocuments.net/reader034/viewer/2022050209/5f5b9f9ba07ba93858066d07/html5/thumbnails/6.jpg)
• Bidrar til bedre planlegging og prosjekteierstyring
• Felles modell for offentlig sektor: Erfaring og læring på tvers
• Mer effektiv samarbeid med leverandør/konsulentmiljøer
6
Prosjektveiviseren
![Page 7: Prosjektveiviser for sikkerhet · ID-porten, Feide) – Nasjonale anbefalinger/føringer (eks. Normen, ... – Sikkerhetstest –både knyttet til konkrete krav rundt f.eks. inputvalidering](https://reader034.vdocuments.net/reader034/viewer/2022050209/5f5b9f9ba07ba93858066d07/html5/thumbnails/7.jpg)
7
Prosjektveiviseren
![Page 8: Prosjektveiviser for sikkerhet · ID-porten, Feide) – Nasjonale anbefalinger/føringer (eks. Normen, ... – Sikkerhetstest –både knyttet til konkrete krav rundt f.eks. inputvalidering](https://reader034.vdocuments.net/reader034/viewer/2022050209/5f5b9f9ba07ba93858066d07/html5/thumbnails/8.jpg)
8
Prosjektveiviseren
![Page 9: Prosjektveiviser for sikkerhet · ID-porten, Feide) – Nasjonale anbefalinger/føringer (eks. Normen, ... – Sikkerhetstest –både knyttet til konkrete krav rundt f.eks. inputvalidering](https://reader034.vdocuments.net/reader034/viewer/2022050209/5f5b9f9ba07ba93858066d07/html5/thumbnails/9.jpg)
- En svakhet ved veiviseren er imidlertid hvordan arbeid med sikkerhet (og person-vern) bortimot utelates fra prosjektprosessen.
![Page 10: Prosjektveiviser for sikkerhet · ID-porten, Feide) – Nasjonale anbefalinger/føringer (eks. Normen, ... – Sikkerhetstest –både knyttet til konkrete krav rundt f.eks. inputvalidering](https://reader034.vdocuments.net/reader034/viewer/2022050209/5f5b9f9ba07ba93858066d07/html5/thumbnails/10.jpg)
10
Prosjektveiviseren og
informasjonssikkerhet
![Page 11: Prosjektveiviser for sikkerhet · ID-porten, Feide) – Nasjonale anbefalinger/føringer (eks. Normen, ... – Sikkerhetstest –både knyttet til konkrete krav rundt f.eks. inputvalidering](https://reader034.vdocuments.net/reader034/viewer/2022050209/5f5b9f9ba07ba93858066d07/html5/thumbnails/11.jpg)
11
Tillegg og utvidelser
![Page 12: Prosjektveiviser for sikkerhet · ID-porten, Feide) – Nasjonale anbefalinger/føringer (eks. Normen, ... – Sikkerhetstest –både knyttet til konkrete krav rundt f.eks. inputvalidering](https://reader034.vdocuments.net/reader034/viewer/2022050209/5f5b9f9ba07ba93858066d07/html5/thumbnails/12.jpg)
• Fange erfaringer:
– Etterspørre erfaringer fra sikkerhetsarbeid. Revisjonsrapporter.
• IT-politiske føringer:
– Eksisterende digitaliserings- eller sikkerhetsstrategier i organisasjonen?
– Felles sikkerhetskrav (ikke-funksjonelle krav)
– Nasjonale felleskomponenter (eks. ID-porten, Feide)
– Nasjonale anbefalinger/føringer (eks. Normen, veiledere fra datatilsynet)
• Utarbeide prosjektforslag
– Identifisere ansvarlig for informasjonssikkerhet
12
Tillegg og utvidelser - Konsept
![Page 13: Prosjektveiviser for sikkerhet · ID-porten, Feide) – Nasjonale anbefalinger/føringer (eks. Normen, ... – Sikkerhetstest –både knyttet til konkrete krav rundt f.eks. inputvalidering](https://reader034.vdocuments.net/reader034/viewer/2022050209/5f5b9f9ba07ba93858066d07/html5/thumbnails/13.jpg)
• Beskrive produkt/leveranser
– Bedømme kritikaliteskategori
– Tilpasse sikkerhetskrav (ikke-funksjonelle krav) basert på kritikalitetskategori
– Beskrive kvalitetskontroll/testrutiner mhp. sikkerhet.
– Krav til kompetanse og ferdigheter innen sikkerhet for utviklere/testere.
• Teknisk løsningsbeskrivelse
– Applikasjonsarkitektur med sikkerhetselementer. Egen sikkerhetsarkitektur?
– Grensesnittspesifikasjoner
– Bruk av felleskomponenter for sikkerhet
• Etablere prosjektplan
– Identifisere nødvendig arbeid for godkjenning av leveransen.
– Allokere sikkerhetsressurser (internt og hos leverandør)
– Kompetansetiltak?
13
Tillegg og utvidelser - Planlegge
![Page 14: Prosjektveiviser for sikkerhet · ID-porten, Feide) – Nasjonale anbefalinger/føringer (eks. Normen, ... – Sikkerhetstest –både knyttet til konkrete krav rundt f.eks. inputvalidering](https://reader034.vdocuments.net/reader034/viewer/2022050209/5f5b9f9ba07ba93858066d07/html5/thumbnails/14.jpg)
• Beskrive prosjektorganisasjon
– Identifiser ansvar for informasjonssikkerhet i prosjektet.
• Utarbeide styringsdokumentasjon
– RoS-analyser for informasjonselementer, systemet, komponentene (interne og eksterne).
Fokus på virksomhetsmessig risiko.
– Vurdere personvernkonsekvenser (Privacy Impact Assessment, prinsipper for innebygd
personvern)
– Trusselmodellering.
• Faseplan (første) gjennomføringsfase
– Utdypende beskrivelse av sikkerhetsarbeid med fokus på samarbeid med leverandør(er).
• BP3 - Beslutte gjennomføring
– Er prosjektets kartlegging av risiko og tiltak for informasjonssikkerhet tilfredsstillende?
14
Tillegg og utvidelser - Planlegge (forts)
![Page 15: Prosjektveiviser for sikkerhet · ID-porten, Feide) – Nasjonale anbefalinger/føringer (eks. Normen, ... – Sikkerhetstest –både knyttet til konkrete krav rundt f.eks. inputvalidering](https://reader034.vdocuments.net/reader034/viewer/2022050209/5f5b9f9ba07ba93858066d07/html5/thumbnails/15.jpg)
• Utvikle, teste og levere produkter
– Analyse av sikkerhetsarkitektur
– Analyse av angrepsflate (inkl fjerntilganger, utvikler-bakdører etc)
– Kodegjennomgang
– Etablere sikret testmiljø (både mhp. testdata og tilgangsstyring)
– Sikkerhetstest – både knyttet til konkrete krav rundt f.eks. inputvalidering samt inntrengings-
tester og analyser av kjente svakheter/angrepsmetoder
• Gjennomføre anskaffelser og inngå kontrakter
– Følge opp forhold rundt sikkerhetsoppdateringer, spesielt tredjepartskomponenter
– Databehandleravtale
• Overlevere produkt til linjen
– Nødvendige sikkerhetsrelaterte prosedyrer og –miljø er på plass (f.eks. for prosess for
sikkerhetsoppdateringer, konfigurasjonskontroll)
15
Tillegg og utvidelser - Gjennomføre
![Page 16: Prosjektveiviser for sikkerhet · ID-porten, Feide) – Nasjonale anbefalinger/føringer (eks. Normen, ... – Sikkerhetstest –både knyttet til konkrete krav rundt f.eks. inputvalidering](https://reader034.vdocuments.net/reader034/viewer/2022050209/5f5b9f9ba07ba93858066d07/html5/thumbnails/16.jpg)
• Avslutte og arkivere prosjektdokumentasjon
– Formell avslutning av kontrakter med fokus på oppfyllelse av sikkerhetskrav.
– Avslutte prosjektdokumentasjon: oppdatering av sikkerhetsrelevant informasjon.
– Avsluttende sikkerhetsgjennomgang.
– Etablere driftsplan for sikkerhet.
• Evaluere prosjektet og utarbeide sluttrapport
– Positive og negative erfaringer ifm. sikkerhetsarbeidet dokumentert for erfaringsoverføring.
16
Tillegg og utvidelser - Avslutte
![Page 17: Prosjektveiviser for sikkerhet · ID-porten, Feide) – Nasjonale anbefalinger/føringer (eks. Normen, ... – Sikkerhetstest –både knyttet til konkrete krav rundt f.eks. inputvalidering](https://reader034.vdocuments.net/reader034/viewer/2022050209/5f5b9f9ba07ba93858066d07/html5/thumbnails/17.jpg)
• Evaluering av konseptvalget
– I hvilken grad har sikkerhetsarbeid påvirket gevinstrealiseringen?
17
Tillegg og utvidelser - Realisere
![Page 18: Prosjektveiviser for sikkerhet · ID-porten, Feide) – Nasjonale anbefalinger/føringer (eks. Normen, ... – Sikkerhetstest –både knyttet til konkrete krav rundt f.eks. inputvalidering](https://reader034.vdocuments.net/reader034/viewer/2022050209/5f5b9f9ba07ba93858066d07/html5/thumbnails/18.jpg)
• Planlegge:
– Krav og systemskisse RoS Reviderte krav
• Gjennomføre:
– Teknisk implementasjon RoS Forbedret løsning
• Avslutte:
– Realisert system RoS Herdet drift
18
Risiko- og Sårbarhetsanalyser
![Page 19: Prosjektveiviser for sikkerhet · ID-porten, Feide) – Nasjonale anbefalinger/føringer (eks. Normen, ... – Sikkerhetstest –både knyttet til konkrete krav rundt f.eks. inputvalidering](https://reader034.vdocuments.net/reader034/viewer/2022050209/5f5b9f9ba07ba93858066d07/html5/thumbnails/19.jpg)
19