SSF Säkerhetschef. Informationssäkerhet Per Oscarson

Transkript

1 SSF Säkerhetschef Informationssäkerhet Per Oscarson

2 Styrning av informationssäkerhet Organisationens förutsättningar Ledningssystem för informationssäkerhet Standarder inom informationssäkerhet Säkerhetsåtgärder/ skyddsområden Informationsklassning Styrande dokument Uppföljning

3 Organisationens förutsättningar Interna förutsättningar Externa förutsättningar Påverkar hur man kan/bör arbeta med informationssäkerhet Påverkar val och utformning av säkerhetsåtgärder

4 Organisationens förutsättningar Externa förutsättningar Informationssäkerhet i samhället Rättsliga krav Behov och förväntningar Extern information Ska korrespondera Hotbild Säkerhetsåtgärder (SS-ISO/IEC 27001:2014 Bilaga A) 5. Policy 6. Organisation 7. Personal 8. Tillgångar 9. Åtkomst 10. Kryptering 11. Fysisk säkerhet 12. Drift 13. Kommunikation 14. System 15. Leverantörer 16. Incidenter 17. Kontinuitet 18. Efterlevnad Ska korrespondera Interna förutsättningar Verksamheter Styrning Behov och mål Informationstillgångar

5 Externa förutsättningar Informationssäkerhet i samhället Strömningar och trender, standarder och andra ramverk, ny teknik, nya metoder m.m. Rättsliga krav Lagar, förordningar och föreskrifter Befintliga och kommande Behov och förväntningar Vilka är intressenterna? Även informella behov och förväntningar Extern information och hantering Utlagd drift, externt informationsbehov

6 Interna förutsättningar Vilka verksamheter bedrivs i organisationen? Kärnverksamheter och stödverksamheter Homogen eller heterogen organisation? Hur styrs organisationen? Ledning, styrmodeller, ledningssystem m.m. Informella aspekter kultur, starka personer IT-styrning, säkerhetsstyrning, kvalitetsstyrning Vilka behov och mål finns? Visioner, mål, behov, värdegrunder m.m. Vilka informationstillgångar finns? Information och informationshanterande resurser Vilka är mest kritiska för organisationen och dess intressenter (KRT)? För samhället?

7 Förutsättningarna grund för arbetet Externa förutsättningar Informationssäkerhetsrisker i samhället Övergripande riskanalys Riskbild/ nulägesnivå Kommunikation till ledning Beslut Handlingsplaner Interna förutsättningar Informationstillgångar GAP-analys

8 Ledningssystem Uppbyggd struktur för hantering av verksamhetens processer, t.ex. kvalitet, arbetsmiljö, säkerhet Innefattar bl.a. mål, metoder och rutiner Exempel på ledningssystemsstandarder: Kvalitet SS-EN ISO 9001 Kvalitet SS-EN ISO (medicinska produkter) SS-ISO (livsmedelssäkerhet) SS-ISO/IEC (informationssäkerhet) Miljö SS-EN ISO Arbetsmiljö AFS 2001:1

9 Ledningssystem för informationssäkerhet LIS På engelska ISMS (Information Security Management System) Beskrivs i standardserien SS-ISO/IEC Ett verksamhetsorienterat ledningssystem för informationssäkerhet Bygger på ett riskbaserat angreppssätt

10 Ledningssystem för informationssäkerhet LIS Ett LIS innebär en metodik som syftar till att upprätta, införa, driva, övervaka, granska, underhålla och förbättra organisationens informationssäkerhet. LIS avser alltså inte ett IT-baserat system, men IT kan användas för att stödja delar av ett LIS.

11 Syfte med ett LIS Externa förutsättningar Informationssäkerhet i samhället Rättsliga krav Behov och förväntningar Extern information Ska korrespondera Hotbild LIS (SS-ISO/IEC 27001:2014) Säkerhetsåtgärder (SS-ISO/IEC 27001:2014 Bilaga A) 5. Policy 6. Organisation 7. Personal 8. Tillgångar 9. Åtkomst 10. Kryptering 11. Fysisk säkerhet 12. Drift 13. Kommunikation 14. System 15. Leverantörer 16. Incidenter 17. Kontinuitet 18. Efterlevnad Tid Interna förutsättningar Ska korrespondera Verksamheter Styrning Behov och mål Informationstillgångar

12 Syfte med ett LIS Informationssäkerhetsbehovet är dynamiskt, eftersom de externa och interna förutsättningarna ständigt förändras, som hot, teknik, legala krav och organisationers målsättningar och behov Ett LIS innebär ett systematiskt arbetssätt som över tid anpassar informationssäkerheten efter interna och externa förutsättningar och som därigenom upprätthåller en lämplig skyddsnivå

13 Standardserien ISO/IEC Två huvudstandarder SS-ISO/IEC 27001:2014 Kravstandard Krav på ledningssystem för informationssäkerhet (LIS) 114 säkerhetsåtgärder i bilaga A Är certifierbar SS-ISO/IEC 27002:2014 Vägledning för införande av säkerhetsåtgärder En mängd andra standarder finns, t.ex: Mätning, revision, riskhantering och incidenthantering

14 Innehåll i SS-ISO/IEC Avsnitt Organisationens förutsättningar Ledarskap Planering Stöd Verksamhet Utvärdering av prestanda Förbättringar Innehåll Att förstå organisationen och dess förutsättningar, intressenters behov och förväntningar, ledningssystemets omfattning m.m. Att skapa ledarskap och engagemang, informationssäkerhetspolicy, och att definiera befattningar, ansvar och befogenheter inom organisationen Att vidta åtgärder för att hantera risker och möjligheter, att skapa informationssäkerhetsmål och att planera för att uppnå dessa Att ge förutsättningar för resurser, kompetens, medvetenhet, kommunikation och dokumenterad information Att planera och styra verksamheten, att bedöma och behandla löpande informationssäkerhetsrisker Att övervaka, mäta, analysera och utvärdera informationssäkerhetsarbetet och att genomföra ledningens genomgång Att hantera avvikelser och genomföra korrigerande åtgärder för att nå ständig förbättring

15 SS-ISO/IEC och Bilaga A: Säkerhetsåtgärder Vägledning för införande av säkerhetsåtgärder

16 Åtgärdsområden i SS-ISO/IEC (Bilaga A i SS-ISO/IEC 27001) Åtgärdsområde 5 Informationssäkerhetspolicy 6 Organisation av informationssäkerhetsarbetet 7 Personalsäkerhet 8 Hantering av tillgångar 9 Styrning av åtkomst 10 Kryptering 11 Fysisk och miljörelaterad säkerhet 12 Driftsäkerhet 13 Kommunikationssäkerhet 14 Anskaffning, utveckling och underhåll av system 15 Leverantörsrelationer 16 Hantering av informationssäkerhetsincidenter 17 Informationssäkerhetsaspekter avseende hantering av verksamhetens kontinuitet 18 Efterlevnad

17 Några standarder i serien Standard SS-ISO/IEC 27000:2014 SS-ISO/IEC 27001:2014 SS-ISO/IEC 27002:2014 SS-ISO/IEC 27003:2010 SS-ISO/IEC 27004:2010 SS-ISO/IEC 27005:2013 Innehåll Översikt och terminologi Krav på ledningssystem för informationssäkerhet Vägledning för införande av säkerhetsåtgärder Vägledning för ledningssystem för informationssäkerhet Mätning av informationssäkerhet Hantering av informationssäkerhetsrisker SS-ISO/IEC 27006:2015 Krav på certifieringsorgan (certifiering av 27001) SS-ISO/IEC 27007:2011 SS-ISO/IEC 27017:2015 ISO/IEC 27031:2011 SS-ISO/IEC 27035:2012 SS-ISO/IEC :2014 SS-ISO/IEC :2014 SS-ISO/IEC :2014 Revision av ledningssystem för informationssäkerhet Säkerhetsåtgärder för molntjänster Avbrottshantering IT Hantering av informationssäkerhetsincidenter Informationssäkerhet vid leverantörsrelationer Översikt och begrepp Informationssäkerhet vid leverantörsrelationer Allmänna krav Informationssäkerhet vid leverantörsrelationer Riktlinjer för informations- och kommunikationssäkerhet i leverantörskedjor

18 Andra standarder och ramverk COBIT ITIL NIST Metodstöd på informationssäkerhet.se Samfi-myndigheterna (MSB, Försvarsmakten, FRA, FMV, PTS, Polismyndigheten, Säpo)

19 Fördelar med etablerade ramverk Ordning och reda Best practice Nyttjande av andras erfarenheter Transparens Underlättar att uppvisa, t.ex. vid revisioner Känd terminologi och arbetssätt Underlättar vid rekrytering, anlitande av konsulter, utbildning osv.

20 Informationsklassning Grundbult i informationssäkerhetsarbetet Syfte: Att ge skilja ut kritisk information och ge denna ett högre skydd Säkerhetsåtgärder ska baseras på hur informationen är klassad Konfidentialitet, riktighet, tillgänglighet Informationen i fokus System och IT-infrastruktur kan klassas på basis av vilken information som hanteras

21 Modell för informationsklassning Det bör finnas en gemensam modell för informationsklassning i organisationen Modellen bör utgå från rekommendationer från MSB och/eller i sektor/bransch Modellen måste anpassas till den egna organisationen

22 Modell för informationsklassning - Exempel från Örebro kommun Kravnivå Konfidentialitet Riktighet Tillgänglighet 2Höga skyddskrav Konfidentiell inf ormation som, om den sprids till obehöriga, kan medf öra allv arliga konsekv enser f ör Örebro kommun, externa aktörer eller indiv ider Inf ormation som, om den ej är riktig och f ullständig, kan medf öra allv arliga konsekv enser f ör Örebro kommun, externa aktörer eller indiv ider Inf ormation som, om den ej är tillgänglig, kan medf öra allv arliga konsekv enser f ör Örebro kommun, externa aktörer eller indiv ider 1 Normala skyddskrav Intern inf ormation som, om den sprids till obehöriga, kan medf öra måttliga negativ påv erkan på Örebro kommun, externa aktörer eller indiv ider Inf ormation som, om den ej är riktig och f ullständig, kan medf öra måttlig negativ påv erkan på Örebro kommun, externa aktörer eller indiv ider Inf ormation som, om den ej är tillgänglig, kan medf öra måttlig negativ påv erkan på Örebro kommun, externa aktörer eller indiv ider 0 Inga skyddskrav* Öppen inf ormation som kan spridas f ritt inom och utom Örebro kommun *Krav finns alltid att information ska vara riktig och tillgänglig!

23 Exempel på informationsklassning Informationstyp Konfidentialitet Riktighet Tillgänglighet Verksamhetsplan Personalregister Patientjournal Krisplan 1 2 2

24 Krav på säkerhetsåtgärder Exempel Skyddsnivå/aspekt Konfidentialitet Riktighet Tillgänglighet 2. Höga skyddskrav Krypterad lagring och kommunikation 1. Normala skyddskrav Behörighetsstyrda åtkomsträttigheter till filareor osv. Stark autentisering Användarnamn och lösenord 0. Inga skyddskrav Inga N/A N/A Redundanta system Backuper dygnsvis För medarbetare brukar man endast ha regler kopplade till konfidentialitet

25 Informationsklassning vs riskanalys Informationsklassning: fokus på konsekvenser Sannolikhet svår att bedöma okända hot osv. Informationsklassning = kommunikationsmodell Gemensam kravbild i hela organisationen och gentemot externa aktörer Klassningsnivåer, skyddskrav, och hur information klassas bör baseras på en övergripande riskanalys Lokala riskanalyser kan motivera lägre eller högre skyddskrav

26 Konfidentiell inf ormation som, om den sprids till obehöriga, kan medf öra allv arliga konsekv enser f ör Örebro kommun, externa aktörer eller individer Intern inf ormation som, om den sprids till obehöriga, kan medf öra måttliga negativ påv erkan på Örebro kommun, externa aktörer eller individer Öppen inf ormation som kan spridas f ritt inom och utom Örebro kommun Inf ormation som, om den ej är riktig och f ullständig, kan medf öra allv arliga konsekv enser f ör Örebro kommun, externa aktörer eller individer Inf ormation som, om den ej är riktig och f ullständig, kan medf öra måttlig negativ påv erkan på Örebro kommun, externa aktörer eller individer Inf ormation som, om den ej är tillgänglig, kan medf öra allv arliga konsekv enser f ör Örebro kommun, externa aktörer eller indiv ider Inf ormation som, om den ej är tillgänglig, kan medf öra måttlig negativ påv erkan på Örebro kommun, externa aktörer eller individer *Krav finns alltid att information ska vara riktig och tillgänglig! Informationsklassning vs riskanalys Externa förutsättningar Informationssäkerhetsrisker i samhället Kravnivå Konfidentialitet Riktighet Tillgänglighet Höga skyddskrav Normala skyddskrav Inga skyddskrav* Säkerhetsåtgärder kopplade till informationsklasser. Entydigt regelverk utan om och men Övergripande riskanalys Riskbild/ nulägesnivå Val av säkerhetsåtgärder Riktlinjer och instruktioner - Normala eller höga skyddskrav Interna förutsättningar Informationstillgångar GAP-analys Separering av åtgärder i nivåer främst beroende på konsekvens för KRT 1. Sannolikhet svår att bedöma (okända hot osv. 2. Majoriteten kan härledas från krav (interna och externa) Riskanalyser Dispenser Specifika verksamheter, miljöer, händelser osv.

27 Principer för styrning Reglering Stöd Uppföljning Styrande dokument, t.ex.: Policyer Riktlinjer Instruktioner Material och insatser, t.ex.: Metoder Vägledningar Utbildningar Deltagande i projekt m.m. Kontroll av efterlevnad, t.ex.: Granskningar Revisioner Säkerhetstester

28 Styrande dokument - hierarki Varför (även övergripande vad och hur) Vad (även övergripande hur) Hur Policy Riktlinjer Anvisningar Instruktioner Ansvar och roller (vem) bör finnas på alla nivåer Struktur måste anpassas till den egna organisationen

29 Informationssäkerhetspolicy Ska uttrycka ledningens viljeinriktning Specifik för den egna organisationen Inte bara allmänna klyschor Övergripande mål, ansvar och principer Måste ta hänsyn till övriga mål Ska kommuniceras i hela organisationen och till externa intressenter Kan ingå i en övergripande säkerhetspolicy men ej IT-policy el.motsv.

30 Struktur informationssäkerhetspolicy - Exempel Örebro kommun Om denna informationssäkerhetspolicy Om informationssäkerhet Kort introduktion, definitioner Mål med informationssäkerhet Anknytning till kommunens mål Principer och arbetssätt T.ex. systematiskt arbete utifrån standarder Roller och ansvar Uppföljning och rapportering

31 Riktlinjer för informationssäkerhet Övergripande regelverk Bör ta utgångspunkt i SS-ISO/IEC Bör vara anpassad till mottagarna Kan behöva indelas utifrån funktioner, t.ex. medarbetare, IT, och verksamheter Kan konkretiseras/kompletteras Med vägledningar, metoder, instruktioner T.ex. för områden, system eller avdelningar

32 Riktlinjer för informationssäkerhet - Exempel Örebro kommun Kapitel Innehåll Målgrupper Stödmaterial (Internt och externt) Inledning Omfattning, struktur m.m. Introduktion till infosäk Dispenser Alla medarbetare Kapitel A Informationssäkerhet för medarbetare Medarbetares ansvar Informationsklasser Åtta avsnitt utifrån DISA (A1 A8) Alla medarbetare Externa som kommer åt informationstillgångar E-utbildning Intranät Instruktioner Kapitel B Styrning av informationssäkerhet Övergripande organisation, roller och ansvar Sju avsnitt om hur informationssäkerhet styrs i kommunen (B1 B7) Roller som deltar i infosäkarbete Roller med verksamhetsansvar Standarder Mtrl. från MSB Litteratur, forskning m.m. Kapitel C Informationssäkerhet i verksamhetsnära förvaltning Roller och ansvar Åtta områden inkl. klassning av information och objekt (C1 C8) Roller i verksamhetsnära förvaltning: objektägare, förvaltningsledare m fl. Metoder Vägledningar Kapitel D Informationssäkerhet i IT-miljön Roller och ansvar Tio avsnitt utifrån kapitel i med IT-inriktning (D1 D10) Chefer och medarbetare på IT-avdelningen Roller i IT-nära förvaltning Standarder Vägledningar Instruktioner Kravkatalog

33 Styrning av informationssäkerhet och annan säkerhet Kan vara lämpligt att integrera Beroende på organisationens inriktning Antal styrande dokument bör minimeras Vad som helst går att styra med ett LIS Finns organisationer som har ett övergripande säkerhetsledningssystem Kontinuitetshantering har en ledningssystemsstandard (SS-ISO 22301)

34 Uppföljning Granskningar, kontroller och revisioner Vad man följer upp LIS Säkerhetsåtgärder Medarbetares efterlevnad Hur man följer upp Självkontroll Observationer Tekniska tester, t.ex. penetrationstester