ISMS Guiden 1.0

Search

SearchSearch

3.3.2 - Etabler og vedlikehold kompetanse om normaltilstanden i virksomhetens informasjonssystemer

May 03, 20242 min read

Etabler og vedlikehold kompetanse om normaltilstanden i virksomhetens informasjonssystemer for å kunne oppdage endringer eller unormaliteter som kan indikere uautoriserte handlinger. Normaltilstanden må forvaltes over tid og gjenspeiles av omstillinger og omorganiseringer, oppkjøp, sammenslåing, nedbemanning og endring av driftskonsept. Kunnskapen om informasjonssystemene bør være så god at det er mulig å identifisere avvik som representerer trusler. Dette kan være:

  • Dataflyt som er i strid med vedtatt dataflyt i henhold til prinsipp 2.5 - Kontroller dataflyt
  • Data som flyter på unormale tidspunkter og som ikke anses som normal trafikk.
  • Unormalt store datamengder som flyter i nettverket

Implementering

1. Definer normaltilstanden

Normaltilstanden defineres som den typiske og forventede tilstanden til et informasjonssystem. Man kan se etter flere ting:

  • Vanlige bruksmønster som hvilke brukere som logger seg på systemet, når og hvor de logger på, og hvilke handlinger de utfører.
  • Typisk datatrafikk: Hvilke typer data flyter i systemet?
  • Konfigurasjoner og innstillinger: Hvilke er gjeldende for systemet?

2. Etabler overvåking

Implementer verktøy og prosesser for kontinuerlig overvåkning av systemer. Her kan vi nevne:

  • Loggadministrasjonsverktøy
  • Nettverksovervåkning
  • Intrusion Detection Systems (IDS)
  • Security Information and Event Management (SIEM)

Det må også bestemmes hvile datakilder som skal overvåkes:

  • Systemlogger
  • Nettverkstrafikk
  • Brukeraktivitet
  • Tilgang til filer og databaser

Her må det også etableres en prosess for å håndtere nevnte varsler og undersøke avvik. Nivåer av avvik kan baseres på type, hyppighet eller alvorlighetsgrad.

Definer roller og ansvarsområder og dokumenter prosessen for håndtering av varsler og undersøkelser av avvik.

3. Oppretthold kompetanse

Tilby opplæring for ansatte om normaltilstand i systemene og hvordan de kan identifisere avvik. Her kan det også gjennomføres øvelser for å teste evnen til å oppdage og håndtere avvik.

4. Regelmessige oppdateringer

Gjennomgå og oppdater baselinen regelmessig ettersom endringer kan forekomme i virksomheten. Overvåkningspraksisen må ta hensyn til nye systemer og datakilder, og endringer bør kommuniseres til ansatte.

5. Eksempler på avvik

Her er noen eksempler for avvik som man kan se etter:

  • Dataflyt som avviker fra vedtatt dataflyt.
  • Data som flyter på unormale tidspunkter.
  • Unormalt store menger data som flyter i nettverket.
  • Mislykkede innloggingsforsøk.
  • Endringer i brukeradferd.
  • Nye programvareinstallasjoner.

Graph View

Backlinks