Informationssäkerhetsgranskning. ISO ledningssystem för informationssäkerhet

Storlek: px

Starta visningen från sidan:

Download "Informationssäkerhetsgranskning. ISO ledningssystem för informationssäkerhet"

Charlotta Andersson
för 5 år sedan
Visningar:

1 Informationssäkerhetsgranskning ISO ledningssystem för informationssäkerhet

3 Agenda 1. Vad gör Affärsverket Svenska kraftnät 2. Vad är informationssäkerhet 3. Vad är ett ledningssystem lite om och Granskningsmetodik - min granskning - delar jag valde

4 1. Elens motorvägar = Svenska kraftnäts nät

5 Svenska kraftnäts verksamhet

6 2.Vilken säkerhet? Informationssäkerhet IT-säkerhet Cybersecurity

7 Definition på informationssäkerhet Konfidentialitet Riktighet Tillgänglighet

8 3. Ledningssystem Ett ledningssystem hjälper dig att få överblick och att lättare kunna ta rätt beslut. Det innehåller principer för hur du planerar, leder, följer upp, utvärderar och förbättrar din verksamhet på ett systematiskt sätt. Ofta reglerar ISO-standarder hur ditt systematiska arbete bör se ut. Jmf med miljöledningssystemet

9 Vilka krav ställs i förordningen? 5 Varje myndighet ska bedriva ett systematiskt och riskbaserat informationssäkerhetsarbete med stöd av ett ledningssystem för informationssäkerhet. I detta arbete ska standarderna ISO/IEC 27001:2014 och ISO/IEC 27002:2014 beaktas. Tillräckliga resurser ska tilldelas för informationssäkerhetsarbetet samt löpande och regelbunden information lämnas till myndighetsledningen.

10 Vilka krav ställs i förordningen? forts 6 Ledningssystemet ska utformas utifrån verksamhetens behov och vara styrande för all hantering av information som myndigheten ansvarar för. Genom ledningssystemet ska myndigheten 1. tydliggöra myndighetsledningens och den övriga organisationens ansvar för myndighetens informationssäkerhetsarbete, 2. tilldela nödvändiga befogenheter för de roller som arbetet med informationssäkerhet kräver, detta gäller särskilt för den eller de som ska utses för att leda och samordna arbetet, 3. säkerställa att informationssäkerhetsarbetet bedrivs samordnat samt att det regelbundet utvärderas och löpande utvecklas

11 Strukturen för ISO serien > SS-ISO/IEC Ledningssystem för informationssäkerhet Översikt och terminologi > SS-ISO/IEC Ledningssystem för informationssäkerhet Krav certifiering sker mot denna > SS-ISO/IEC Riktlinjer för styrning av informationssäkerhet > SS-ISO/IEC Vägledning för införande av ledningssystem för informationssäkerhet

12 Strukturen och 27002

13 Hur vet jag hur det ska vara? > Läs standarden > GAP-analys checklistor kommer snart att finnas att köpa på SIS > MSB s metodstöd

14 Organisationen ska avgöra vilka externa och interna frågor som är relevanta för dess syfte och som påverkar dess förmåga att nå de avsedda resultaten med sitt ledningssystem för informationssäkerhet. > Delar som ingår: > Idéer om hur ledningssystemet ska struktureras > Innehållet ska vara dokumenterat > Innehållet ska kommuniceras > Ledningssystemet ska kunna uppdateras/revideras > Organisationen ska känna till sina risker och dessa ska kunna kommuniceras.

15 Organisationen ska upprätta, införa, underhålla och ständigt förbättra ett ledningssystem för informationssäkerhet, inklusive nödvändiga processer och deras samverkan, enligt kraven i > Delar som ska ingå: > Ledningssystemet ska vara upprättat, underhållas och fungera under ständig förbättring. > Följande processer ska finnas: > Riskhantering > Incidenthantering > Kontinuitetshantering > Ledningsgenomgång > Ändringshantering

16 Delar i 2007:2 eller annex > 1 Omfattning > 2 Normativa hänvisningar > 3 Termer och definitioner > 4 Denna standards struktur > 5 Informationssäkerhetspolicy > 6 Organisation av informationssäkerhetsarbetet > 7 Personalsäkerhet > 8 Hantering av tillgångar > 9 Styrning av åtkomst > 10 Kryptering > 11 Fysisk och miljörelaterad säkerhet > 12 Driftsäkerhet > 13 Kommunikationssäkerhet > 14 Anskaffning, utveckling och underhåll av system > 15 Leverantörsrelationer > 16 Hantering av informationssäkerhetsincidenter > 17 Informationssäkerhetsaspekter avseende hantering av verksamhetens kontinuitet > 18 Efterlevnad

17 4a.Hur kan man inrikta granskningen? > Vad är skyddsvärd info? > Utgå från din myndighetsverklighet om vad som är skyddsvärt och vad de största riskerna ligger. > Vet man något om riskerna generellt och för organisationen?

18 Risker

19 4 b)välja vilka delar i standarden man granskar > Jämföra kraven i standarden mot verkligheten

20 4)Vad valde jag? Jag beaktade både ISO och 27002/annex Ledning av informationssystemet 2. Genomförande av informationssäkerhet

21 1. Ledning av informationssäkerhet > 1. Ledningssystemet samt anvisningar och regler > 2. Ledarskap och ledningens genomgång > 3. Riskanalyser > 4. Efterlevnad

22 2Genomförande av informationssäkerhet. > 7. Utbildning och medvetenhet > 9.Behörighetstilldelning IFS, AD, Agresso > 11. Fysisk åtkomst serverhall, driftcentral, fastighet > 11. Drift och förvaltning serverhall > 12. Loggning > 13. IT-kommunikation > 16. Incidenthantering

23 Granskningsmetodik > Intervjuer > Besök i serverhall, backuprum mmm > Läsa styrandedokument, processbeskrivningar, rollbeskrivningar, lathundar > Stickprov; > Genomförande och uppföljning av ledningssystem, utbildning, riskanalysarbete > Ledning och uppföljning av rutiner för loggning och incident > Dataanalyser mha ACL för behörigheter jämförde mot AD, lönelista, konsultmärkning och intranät och till slut frågor

24 Iakttagelser på olika nivåer Ledningsgruppen Årlig rapport från ledningssystem Samordningsgrupp Status för informationssäkerhet Informationsklassningsregler Arbetsgrupper Riktlinjer för kommunikation, drift Behörighetstilldelningsregler

25 Viktigaste iakttagelser - Ledning > Ett ledningssystem > Ledningens engagemang

27 27003

28 Viktigaste iakttagelser - genomförande

Relevanta dokument

Nuvarande MSBFS 2009:10 Förslag till ny föreskrift Tillämpningsområde Tillämpningsområde 1 1 första stycket 2 1 andra stycket 3 2 första stycket

Nuvarande MSBFS 2009:10 Förslag till ny föreskrift Tillämpningsområde Tillämpningsområde 1 1 första stycket 2 1 andra stycket 3 2 första stycket 15-12-07 1/6 Tillämpningsområde 1 Denna författning innehåller bestämmelser om myndigheternas arbete med informationssäkerhet och deras tillämpning av standarder i sådant arbete. 2 Författningen gäller