Vurdering av risiko og sikkerhet i skytjenester...2018/11/27 · 5. Få oversikt over dataflyten...

Vurdering av risiko og sikkerheti skytjenester

Håvard Rekneshmr@difi.no+47 469 28 494

• LinkedIn Password Hack 2012 – Hva skjedde?

• ENISA - Top security risks

• CSA - En praktisk veiledning for vurdering av sikkerheti skytjenester

• Gruppeoppgaver

• LinkedIn Password Hack 2012 – Hvilke tiltak ble iverksatt?

https://www.enisa.europa.eu/

Top Security Risks

Tap av styring og kontroll

Usikker eller ufullstendig sletting av data

“The mother of all cloud computing security certifications” *

* CIO June 28, 2018https://www.cio.com/article/3207553/certifications/the-most-valuable-cloud-computing-certifications-today.html

https://cloudsecurityalliance.org/guidance/#_overview

En praktisk veiledning for vurdering av

sikkerheti skytjenester

https://cloudsecurityalliance.org/download/security-guidance-v4/

Del I: Generelt

Del II: Styring

Del III: Drift

133 kontrollkrav (16 kontrollområder)

295 Ja/Nei-spørsmål (CAIQ)

Security, Trust & Assurance Registry (STAR)

https://cloudsecurityalliance.org/star/#_registry

16 kontrollområder

AISApplication & Interface Security

DSIData Security & Information Lifecycle Management

HRSHuman Resources

MOSMobile Security

AACAudit Assurance & Compliance

DCSDatacenter Security

IAMIdentity & Access Management

SEFSecurity Incident Management, E-Discovery, & Cloud Forensics

BCRBusiness Continuity Management & Operational Resilience

EKMEncryption & Key Management

IVSInfrastructure & Virtualization Security

STASupply Chain Management, Transparency, and Accountability

CCCChange Control & Configuration Management

GRMGovernance and Risk Management

IPYInteroperability & Portability

TVMThreat and VulnerabilityManagement

Control specificationDSI-01 ClassificationDSI-02 Data Inventory / FlowsDSI-03 E-commerce TransactionsDSI-04 Handling / Labeling / Security PolicyDSI-05 Nonproduction DataDSI-06 Ownership / StewardshipDSI-07 Secure Disposal

7 spørsmål

DSI-01Classification

Kontrollspørsmål (CAIQ)DSI-01.4 Can you provide the physical location/geography of storage

of a tenant’s data upon request?DSI-01.5 Can you provide the physical location/geography of storage

of a tenant's data in advance?

16 kontrollområder

AISApplication & Interface Security

HRSHuman Resources

MOSMobile Security

DCSDatacenter Security

IAMIdentity & Access Management

SEFSecurity Incident Management, E-Discovery, & Cloud Forensics

BCRBusiness Continuity Management & Operational Resilience

EKMEncryption & Key Management

IVSInfrastructure & Virtualization Security

STASupply Chain Management, Transparency, and Accountability

CCCChange Control & Configuration Management

GRMGovernance and Risk Management

IPYInteroperability & Portability

TVMThreat and VulnerabilityManagement

Control specificationAAC-01 Audit PlanningAAC-02 Independent AuditsAAC-03 Information System Regulatory Mapping

8 spørsmål

Gruppearbeid - Datacenter SecurityKontrollområdet «DCS Datacenter Security» har 9 kontrollkrav:DCS-01 - Asset ManagementDCS-02 - Controlled Access PointsDCS-03 - Equipment IdentificationDCS-04 - Offsite AuthorizationDCS-05 - Offsite EquipmentDCS-06 - PolicyDCS-07 - Secure Area AuthorizationDCS-08 - Unauthorized Persons EntryDCS-09 - User Access

Krav DCS-07 har følgende spørsmål: Do you allow tenants to specify which of your geographic locations their data isallowed to move into/out of (to address legal jurisdictional considerations basedon where data is stored vs. accessed)?

Oppgave: Vurder svaret på kontrollkrav DCS-07 på et par utvalgte tjenester som dufinner i STAR-registeret https://cloudsecurityalliance.org/star/#_registry

Gruppearbeid – Threat and Vulnerability ManagementKontrollområdet «TVM Threat and Vulnerability Management» har 3 kontrollkrav:TVM-01 - Antivirus / Malicious SoftwareTVM-02 - Vulnerability / Patch ManagementTVM-03 - Mobile Code

Krav TVM-01 har to spørsmål: TVM-01.1 Do you have anti-malware programs that support or connect to your cloud service offerings installed on all of your systems?

TVM-01.2 Do you ensure that security threat detection systems using signatures, lists, or behavioral patterns are updated across all infrastructure components within industry accepted time frames?

Oppgave: Vurder svaret på kontrollkrav TVM-01 på et par utvalgte tjenester som dufinner i STAR-registeret https://cloudsecurityalliance.org/star/#_registry

Preventative Detective CorrectiveEKM-02 IVS-01 GRM-07IAM-12 IVS-06 GRM-08

GRM-03 SEF-04 GRM-09GRM-06 GRM-05 SEF-01

GRM-10 SEF-05TVM-02

CCM Oppsummert…

• Er ikke et rammeverk for risikovurdering

• Er ikke en metode for å identifisere alle dine sikkerhetskrav

• CCM er metode for å raskt evaluere ulike skytjenester og om det er akseptabelt for din virksomhet å flytte dine data og applikasjoner til skyen.

Sikkerhetsvurdering steg-for-steg…1. Hvilke data og applikasjoner/prosesser er aktuelt å flytte til skyen?

2. Hvor viktig er disse dataene eller denne funksjonen for din virksomhet?• Hva vil konsekvensen være om våre data blir gjort tilgjengelig og distribuert offentlig?• Hva vil konsekvensen være om skyleverandørens ansatte får tilgang til våre data?• Hva vil konsekvensen være om våre prosesser eller funksjoner blir manipulert av en

utenforstående?• Hva vil konsekvensen være om våre prosesser eller funksjoner ikke leverer forventet

resultat?• Hva vil konsekvensen være om våre data plutselig blir endret?• Hva vil konsekvensen være om våre data og systemer ikke er tilgjengelig over tid?

3. Vurder hvilken leveransemodell som passer best• Public cloud• Private, internal/on-premises• Private, external (both dedicated or shared infrastructure)• Community• Hybrid

4. Vurder leveransemodell og evaluer aktuelle leverandører• Hvilken grad av kontroll vil du ha hos den enkelte skyintegrator?• Vurder å gjennomføre en full risk assessment.

5. Få oversikt over dataflyten• Hvordan ser dataflyten ut mellom din virksomhet, skytjenesten og evt.

dine kunder og/eller andre noder?

6. Konkluder• For å kunne ta beslutning må du forstå:

- hvor viktig de aktuelle data eller funksjonen er for din virksomhet- hvor stor risiko du er villig til å ta- hvilke kombinasjoner av leveransemodell og tjenestemodell er akseptable- potensiell risiko for sensitiv informasjon og drift

Vurdering av risiko og sikkerhet i skytjenester...2018/11/27 · 5. Få oversikt over dataflyten...

Documents

Transcript of Vurdering av risiko og sikkerhet i skytjenester...2018/11/27 · 5. Få oversikt over dataflyten...

Mettler Toledo Ax Og Mx Og Umx

Ulike typer risikovurdering - dok.ebl-kompetanse.nodok.ebl-kompetanse.no/Foredrag/2009/SjaAbs/Wiencke.pdf · Innhold Ulike typer av risikovurderinger –generell oversikt, –sammenhenger,

Tips og Triks Lønn og HR · 2021. 1. 14. · Tekst 1: Begrep. C0 (ressurs) og CG (stilling) Tekst 2: Relasjonsgruppe. In business for people. Relasjonsgrupper Bedre oversikt over

innovation og forskning innovation og forskning

Fishtalk Equipment - AKVA Group Equipment … · F is h t a l k-Eq u ip men t-2013061 3 Oversikt og kontroll over fortøyningssystemer og merder • Lagerstyring - finnes det utstyr

clubportalne.blob.core.windows.net... · Web viewMix D. Charlie & Natalie - Sanne og John HD B: Kurt og Ole - Frank og Johannes HD M: Christian og Jørg - Rasmus og Kim U14 Cecilie

Oversikt over fysioterapeuter med doktorgrader pr ...fysiofondet.no/content/download/380/2879/version/1/file/Doktorgradsoversikt alfabetisk...Oversikt over fysioterapeuter med doktorgrader

SYSTEMATISK OVERSIKT Dødelighet ved forskrivning av

Oversikt - When I Dream · 2017-09-15 · When I Dream spilles gjennom en serie runder tilsvarende antallet spillere. Hver runde er delt opp i to faser: natt og dag. Hver natt må

apps.fas.usda.gov · Web view8 µg Smør Vitamin D 8 µg Fettredusert melk, alle typer Vitamin D 0,4 µg Brunost og primprodukter til barn Jern 10 mg Salt (NaCl) Jod 0,5 mg Oversikt

OG-100, OG-175 and OG-250 Oxygen Generators …ogsi.com/clientuploads/Product Mannuals/OG-100 thru OG-250... · Effective 11/2010 OG-100, OG-175 and OG-250 Oxygen Generators Installation,

AcademyOnlineacademyonline.eu/onlinenoorsb1/w07 tekstbok.pdf · CV betyr livsløp (Curriculwm vitae på latin). C V-en er en kort oversikt over utdanningen din og praksis. Referanse

ISTQB Oversikt Eng

Processer og metoder i det fejlfrie byggeri Erfaringer og ... · dataanalyse, og selvfølgelig gerne give anledning til yderligere debat om gode og dårlige rammer og metoder for

Pareto Trader for Android Trader...PARETO TRADER FOR ANDROID HANDEL & PORTEFØLJE Portfolio: Her har du full oversikt over din aksjeportefølje.I tillegg vil du ha full oversikt over

Mikrobiologi: Infeksjonar og resistens, globalt og lokalt...Mikrobiologi: Infeksjonar og resistens, globalt og lokalt Fagdag 12.04.18 Reidar Hjetland Agenda •Globalt •Særlege

Seremonihefter komplett oversikt

Oversikt over FFIs publisering i fagtidsskrifter 2012 og 2013Multi-channel and multi-polarisation ship detection. IEEE Geoscience and Remote Sensing Letters 2012 s. 5149-5152 FFI 5.

OG-25 and OG-50 Oxygen Generators Installation, Operation and Maintenance Manualogsi.com/clientuploads/Product Mannuals/OG- 25 and OG-50... · 2016-06-13 · Effective 11/2010 OG-25

ETTERRNEGTNSI DONKETR I FOR POLITIET€¦ · samt verne om lovlig virksomhet og opprettholde offentlig orden og sikkerhet. I tillegg skal politiet yte befolkningen hjelp og tjenester