Utbildningsdag om informationssäkerhet

Transkript

1 Utbildningsdag om informationssäkerhet Jeanna Thorslund, Jurist och Samordnare Informationssäkerhet, SKL & Leif Carlson, Informationssäkerhetschef Inera AB

2 Avdelningen för Digitalisering, Center för esamhället Sektionschef Åsa Zetterberg E-hälsa Patrik Sundström Skola och lärande Johanna Karlén Näringsliv och arbete Bengt Svenson Samhällsbyggnad, transporter och miljö Daniel Antonsson Kultur, fritid och besöksnäring Demokrati och delaktighet Bengt Svenson Anders Nordh Gemensamma funktioner och tjänster, Anna Gillquist Grundläggande förutsättningar (arkitektur, informationssäkerhet, juridik), Ulf Palmgren, Jeanna Thorslund, Sarah Meunier J

3 Inera AB L

4 Informationssäkerhet prioriterat område för SKL J Från planeringsdokument för 2015: IT och datakommunikation är kritiskt i stora delar av kommuner och landstings verksamhet, men kunskapen om informationssäkerhetens betydelse och roll finns inte i tillräcklig utsträckning hos medlemmar. SKL gör bedömningen att en kraftsamling behöver genomföras där kunskapen höjs likväl som förståelsen för de möjligheter som informationssäkerheten skapar om det beaktas tillräckligt tidigt i utvecklingen.

5 J Agenda för dagen Vad är informationssäkerhet och varför är det viktigt? Hur får man in informationssäkerhet i verksamhetens processer? Verktyg och metoder Hur går man från teori till verklighet?

6 Vad är informationssäkerhet och varför är det viktigt? J

7 Vad är Informationssäkerhet? J Information som är viktig för verksamheten Finns något som kan hota den? Skydda den Verksamhetens mål

8 Definition Informationssäkerhet SIS-standard ISO J Informationssäkerhet Flytta fokus från IT till verksamhet! Administrativ säkerhet Teknisk säkerhet Fysisk säkerhet IT-säkerhet Datasäkerhet Kommunikationssäkerhet

9 Ansvar och roller J Genomföra Följa avtal och instruktioner Ansvar Beställare Behov Personuppgiftsansvar Leverantörer Verksamheten IT-Drift Intern IT Genomföra Följa avtal och instruktioner Förmedla krav Stödja verksamheten

10 Vad är Informationssäkerhet? J Hur länge kan vi vara utan den? Tillgänglighet Vem har ändrat? Information Hur viktigt att den är rätt? Spårbarhet Riktighet Hur hemlig är den? Konfidentialitet

11 Ett annat sätt att beskriva samma sak L Patientsäkerhet Patientintegritet Tillgänglighet Riktighet Konfidentialitet Spårbarhet Skyddsvärt Skyddsåtgärder Informationssäkerhet Administrativ säkerhet Insikt & Acceptans Teknisk säkerhet Regler & Roller Rutiner & utbildning Uppföljning & revision Fysisk säkerhet Kommunika tionssäkerhet ITsäkerhet

12 Varför är det viktigt? J Lagkrav Bevara tillit Kvalitet Undvika negativa händelser Verksamhet ens behov

13

14 Undersökning av Askus och Handelshögskolan Syfte med studien att bedöma risk för företag med att inte hantera eller få kris inom olika ansvarsområden Metoder för och effekt av åtgärder för riskminimering respondenter, bl.a. konsumenter Prof. Richard Wahlund, Handelshögskolan i Stockholm Daniel Dellham, Askus CR-Monitor

15 Källa: Askus CR-Monitor

16 L Om ni inte använder det här skyddet, kommer ni att råka ut för en katastrof Känner ni igen detta...

17 L eller detta Incidenten gjorde att vi fick medel att åtgärda det vi tjatat och bett om i åratal. - Vad var det jag sa..

18 L

19 Låt oss vända på steken! L

20 L Alternativt förhållningssätt En mer hållbar strategi är att fokusera på det som upplevs som positivt t.ex. nyttoeffekter och att nå verksamhetens mål. Det kommer vi ihåg! Naturligtvis en balans mellan att hantera risker/hot och möjlighet att nå mål och nytta. Undvika naivitet och strutsbeteende

21 Parallella synsätt Information som är viktig för verksamheten Finns något som kan hota den? Skydda den Mål som är viktiga för verksamheten Finns något som kan hindra måluppfyllnad? Undvik hindren och nå målen Informationssäkerhet = Kvalitet

22 Lagkrav på informationssäkerhet? J LSS SoL PDL PUL SäkL OSL

23 Kommande lagkrav på informationssäkerhet! J LSS SoL PDL Dataskyddsförordning EU SäkL OSL

24 Hur får man in informationssäkerhet i verksamhetens processer? L

25 J Informationssäkerhet i olika processer ITförvaltning Projekt Intern styrning Upphandling

26 Projektarbete och Informationssäkerhet J

27 J Time over Quality!!! Tid Kvalitet

28 Projektbeställning och kvalitet J Tid Rättsäkerhet God kvalitet Patientsäkerhet Trygghet Integritet Informationssäkerhet

29 J När ska informationssäkerhet tas in? Beskriv informationsprocessen Klassa Preliminär bedömning av säkerhetskrav Förstudie Projektarbete / Förändring Genomföra Införa Beslut om klassning Godkänn Beslut om kravnivå Resultat / Införande Förvaltning Ny analys vid förändring Kontroll och uppföljning

30 Exempel: Upphandlingsprocess J Behovsbeskrivning Informationsprocess? Typ av information? Särskilda krav? Använd klassning Krav som pekar mot effekten vid införandet Kravformulering Skyddsnivåer? Färdiga krav? Leverans Leveransgodkänna nde?

31 Informationssäkerhet för IT-förvaltning i vardagen J Leverantörer Uppföljning Förändringar Utveckling Systemförvaltning Klassning Riskanalys Budget Uppföljning, brister Medarbetare Utbildning Awareness

32 L

33 Mognadstrappan Ordning & Reda Klassa & Prioritera Genomföra & Införa Strukturerat & Genomgående Upprätthålla kontinuerligt

34 Mognadstrappan Act Plan Ordning & Reda Klassa & Prioritera Genomföra & Införa Strukturerat & Genomgående Check Upprätthålla kontinuerligt Do

35 Verktyg och metoder J

36 Informationssäkerhet - Verktygslådan: L EASY KLASSA Informationsklassning Risk- och Sårbarhetsanalyser RSA DISA Utbildning Ledningssystem för kvalitet Q LIS Ledningssystem för Informationssäkerhet

37 L Act Plan Check Do

38 L Utbildning och Ledning Medarbetare Användare

39 Insikt!

40 Deltagare WS för informationsklassning och riskanalys L Specialist? Leverantör Verksamhet Verksamhetschef Användare Informationssäkerhetssamordnare Jurist? Arkivarie? IT-drift Intern IT IT-systemförvaltare Systemförvaltning IT-arkitekt

41 Riskhantering L Risk S K R 1. Risk att Risk att Risk om Risk att Fokusera inte för mycket på metoden det viktigaste är att risker hanteras!

42 J Informationsklassificering Bestämmer värdet på informationen Utgår från verksamhetens behov Blir en beställning om önskat skydd Utgår ifrån Kriterierna: - Riktighet - Konfidentialitet - Tillgänglighet - Spårbarhet

43 J

44 Skyddsnivåer J 4 Allvarlig konsekvens Mycket hög skyddsnivå 3 Betydande konsekvens Hög skyddsnivå 2 Måttlig konsekvens Normal skyddsnivå (grundnivå) 1 Obetydlig konsekvens för verksamheten Låg skyddsnivå

45 KLASSA verktyg för informationsklassning J Informationssäkerhetsklassa Riktighet Konfidentialitet Tillgänglighet Spårbarhet Handlingsplan Riktad mot verksamhet Riktad mot IT Upphandlingskrav Ger ett underlag

46 J KLASSA Du hittar KLASSA här: Filmer om KLASSA:

47 HUR GÅR MAN FRÅN TEORI TILL VERKLIGHET? L

48 Sammanfattning: Vad är informationssäkerhet och varför är det viktigt? I enskilda projekt /System: - Verksamhetens ansvar att analyser sker - KLASSA - Efterfråga riskanalyser - Återrapportering Strategisk nivå: - Övergripande Policydokument krävs - Instruktioner och anvisningar om - Behörighet och loggning - ATT analyser ska göras och metod - Uppföljning

49 Mål och kvalitet Enas om mål för informationssäkerheten - Sätt i förhållande till verksamhetsmålen Förankra hos övriga ledningen Övergripande styrdokument? Långsiktig plan? Kvalitetsledningssystem? - Komplettera styrdokument som redan finns

50 Sammanfattning: Hur får man in informationssäkerhet i verksamhetens processer? Se över projektmodellen - Riskanalys för säkerhet Riktlinjer för upphandling - Krav på säkerhet ska ställas Systemförvaltningsmodellen - Årliga uppföljningar Strategisk styrning - Ledningssystem!

51 Sammanfattning: Verktyg och metoder Informationsklassificera - Nyttigt att enas om informationsprocess - Vad är viktigt - Bättre chans att säkerhetsåtgärder kan genomföras - Ta hjälp av KLASSA Risk- och sårbarhetsanalys - Verksamheten ska ta besluten - Ta tid till diskussion - Dokumentera och gå tillbaka

52 Goda råd: Betrakta informationssäkerhet som en aspekt av kvalitet Bättre att göra något än inget! Sunt förnuft! Värna individernas tillit! Hoppa inte över riskanalyser! Beställ kvalitet inte tid!

53 TACK FÖR UPPMÄRKSAMHETEN!