Sikkerhetsrevisjon av Applica basert på "NSM Grunnprinsipper for IKT-sikkerhet v 2.0"

Abstract

Denne Bachelor oppgaven tar for seg en sikkerhetsrevisjon av selskapet Applica som ønsket seg et overordnet blide hvordan bedriften og driftsplattformen holdt opp mot NSM Grunnprinsipper for IKT-sikkerhet v 2.0. I NSM grunnprinsipper for IKT sikkerhet v 2.0. finnes det 21 grunnprinsipper med tilhørende sikringstiltak. NSM grunnprinsipper for IKT-sikkerhet v2.0 er et tiltaksrammeverk lignende ISO27002 for informasjonssikkerhet. I tillegg til revisjonen er det implementert en teknisk løsning basert på funn fra revisjonen.

Det første steget i selve revisjonen er datainnsamling. Datainnsamlingsmetodene benyttet i denne oppgaven er intervjuer, dokument innhenting, IT tekniske gjennomgang samt passive IT tekniske tester. Det er benyttet et modifisert vedlegg fra NSM for dokumentasjon og vurderingen av hvert enkelt tiltak i grunnprinsippene. Dette vedlegget gir Applica et kart på hvordan de ligger an. Deretter er funnene presentert for oppdragsgiver samt en liste med de tiltakene som var mest prekære.

Siste delen av oppgaven inneholder noe implementasjon tilknyttet et av funnene. Implementasjonene er tilknyttet herding og «deaktivering av ubrukt funksjonalitet» på en HPE Aruba Switch og en Windows server 2022.

This thesis addresses a security audit of the company Applica who wanted an overview how the company and the IT systems stood up against “NSM Grunnprinsipper for IKT-sikkerhet v 2.0”. “NSM Grunnprinsipper for IKT sikkerhet v 2.0” contains 21 principles with corresponding measures. “NSM grunnprinipper for IKT-sikkerhet v2.0” are in many ways similar to ISO27002 for information security. In addition to an audit there is implemented a technical solution based on findings from the audit.

The first step in the audit was data collection. Data collection methods used in this thesis are interviews, document collection, IT technical review and IT technical passive tests.

It has been used a modified attachment from NSM for documentation and rating on each measure in “grunnprinsippene”. This attachment gives Applica a status overview. After the audit the findings were presented to Applica together with a list with the most important measures.

One tasks in the last part of the thesis contains an implementation to improve one of the topics related to one of the findings from the audit. The implementation is based on hardening and deactivation of unused functionalities on HPE Aruba switch and a Windows server 2022 server.