1 (7) Arbetsgången enligt BITS-konceptet

Transkript

1 1 (7) Arbetsgången enligt BITS-konceptet

2 2 (7) Innehållsförteckning ALLMÄNT OM BITS-KONCEPTET... 3 CENTRALA BEGREPP... 3 BITS-KONCEPTETS PRODUKTER... 3 KOPPLING TILL ISO ARBETSGÅNG ENLIGT BITS-KONCEPTET... 5 STEG 1: INITIERA INFORMATIONSSÄKERHETSARBETET... 5 STEG 2: KLARLÄGGA VERKSAMHETEN OCH DESS BEROENDE AV IT-STÖD... 5 STEG 3: UPPRÄTTA STYRANDE DOKUMENT... 6 STEG 4: GENOMFÖRA ANALYSER... 6 STEG 5: UPPRÄTTA ÅTGÄRDSPLAN... 7 STEG 6: DRIFTGODKÄNNA INFORMATIONSSYSTEM... 7 STEG 7: REVIDERA INFORMATIONSSÄKERHETEN... 7

3 3 (7) Allmänt om BITS-konceptet Centrala begrepp Utöver gängse begrepp och definitioner inom informationssäkerhetsområdet används följande centrala begrepp i BITS-konceptet. Systemägare: Organisationens chef eller av denne särskilt utsedd verksamhetsansvarig som stöds i sin verksamhet av aktuellt informationssystem och därmed är kravställare på systemets förmåga att upprätthålla önskad sekretess (konfidentialitet), riktighet och tillgänglighet. Central systemägare: Systemägare vid en organisation som har det övergripande ansvaret för ett informationssystem som används inom flera organisationer. Informationssäkerhetssamordnare/-funktion: Person eller grupp av personer som är den sammanhållande länken mellan den operativa verksamheten för informationssäkerhet och ledningen. Säkerhetsinstruktion: Konkreta regler och rutiner avseende informationssäkerhet som riktar sig till användare, driftpersonal och personal för samordning. Basnivå: Säkerhetsnivå som minst måste uppnås för ett informationssystem som bedöms nödvändigt för att upprätthålla en verksamhet på en acceptabel nivå. Driftgodkännande: Formellt organisationsbeslut att godkänna ett informationssystem för drift. BITS-konceptets produkter BITS-konceptet består av två produkter: BITS ( Basnivå för informationssäkerhet ) Skrift som definierar en rekommenderad lägsta säkerhetsnivå för informationssäkerhet som inte bör underskridas. (Kan rekvireras gratis från MSB eller hämtas som pdf-fil på MSB:s hemsida. Finns i det senare fallet även på engelska.) BITS Plus Analysverktyg (programvara) för informationssäkerhet som utifrån kraven på sekretess (konfidentialitet), riktighet och tillgänglighet genererar åtgärdsförslag som svarar mot vald kravnivå. (Programvaran kan laddas hem från MSB:s webbplats. Finns både i en version som kan installeras i ett internt nätverk och en version för en enskild dator.)

4 4 (7) Koppling till ISO BITS och BITS Plus är avstämd mot svenska standarden SS-ISO/IEC och åtgärderna som föreslås i produkterna omfattar de väsentliga delarna av svenska standarden kompletterade med erfarenheter baserade på ett mycket stort antal genomförda informationssäkerhetsanalyser inom offentlig och privat verksamhet.

5 5 (7) Arbetsgång enligt BITS-konceptet Steg 1: Initiera informationssäkerhetsarbetet Ledning har ansvaret för att organisationen har en informationssäkerhet som står i paritet med behovet av skydd av information och informationshantering. Informationssäkerhetssamordnaren/-samordningsfunktionen har en central roll när det gäller att initiera arbetet med en organisations informationssäkerhet. Detta innebär bland annat att stödja ledningen och tillsammans med denna planera arbetet inom informationssäkerhetsområdet. Steg 2: Klarlägga verksamheten och dess beroende av IT-stöd Utgångspunkten för informationssäkerhetsarbetet är att Klarlägga vilka verksamheter som är de viktigaste och som i första hand måste fungera. Identifiera de moment som ingår i det arbete som leder fram till de viktigaste produkterna/tjänsterna Klarlägga vilka informationssystem som stöder respektive moment och i vilken grad man är beroende av dem. Besluta vilka informationssystem som ska prioriteras och därför i första hand säkerhetsanalyseras Ansvaret för att ovanstående genomförs ligger hos ledningen. Bild: De informationssystem som stöder en kritisk process väljs för säkerhetsanalys med hjälp av BITS Plus.

6 6 (7) Steg 3: Upprätta styrande dokument OBS! Detta steg är inte en nödvändig förutsättning för efterföljande steg. I BITS-konceptet ingår fyra typer av dokument som styr informationssäkerhetsarbetet. Informationssäkerhetspolicy Av ledningen fastställt dokument som inriktar informationssäkerhetsarbetet på policynivå. Riktas till samtliga i organisationen. (Se exempel på MSB:s webbplats) Ansvaret för att detta dokument tas fram har ledningsnivån. Säkerhetsinstruktion användare Generella instruktioner för hanteringen av IT-stödet. Riktas till normalanvändare. (Se exempel på MSB:s webbplats) Ansvaret för att detta dokument tas fram har samordningsnivån. Säkerhetsinstruktion förvaltning Instruktioner som är av generell karaktär för IT-verksamheten som exempelvis behörighetsadministration, rutiner för incidenthantering o.dyl. Riktas till samordningsfunktionen. (Se exempel på MSB:s webbplats) Ansvaret för att detta dokument tas fram har samordningsnivån. Säkerhetsinstruktion kontinuitet och drift Instruktioner för driften av IT-verksamheten. Riktas till driftpersonal. (Se exempel på MSB:s webbplats) Ansvaret för att detta dokument tas fram har samordningsnivån. Steg 4: Genomföra analyser Den prioritering som görs i steg 2 styr vilka informationssystem som ska analyseras med avseende på säkerheten. För dessa analyser används BITS Plus. I analyserna av informationssystemen klarläggs kraven på sekretess (konfidentialitet), riktighet och tillgänglighet. Kraven baseras på hotidentifiering, sannolikheter och konsekvenser. BITS Plus utgår från att frågor och åtgärder avseende informationssäkerhet hanteras på fyra skilda ansvarsnivåer: Ledningsnivån Hanterar frågor och åtgärder som är av övergripande och principiell karaktär för informationssäkerhetsarbetet. Samordningsnivån Hanterar frågor och åtgärder som är gemensamma för säkerheten i informationshanteringen. Nätverksnivån Hanterar frågor och åtgärder som gäller säkerheten i det interna IT-nätverket. Applikationsnivån Hanterar frågor och åtgärder som gäller enskilda informationssystem.

7 7 (7) För att skapa en helhetsbild av en organisations informationssäkerhet räcker det inte med att endast göra analyser av prioriterade informationssystem. BITS Plus omfattar därför även analys av hur säkerhetskraven uppfylls avseende - ledningens ansvar - samordningen av IT-verksamheten - det interna IT-nätverket Varje åtgärdsförslag som genereras i analysverktyget BITS Plus riktas mot endera av dessa ansvarsnivåer. Steg 5: Upprätta åtgärdsplan Analyser med BITS Plus kan visa att ett antal av de åtgärder som föreslås i verktyget inte är genomförda. Den person/funktion som har informationssäkerhetsansvaret måste i samråd med ledningen och andra berörda ta ställning till vilka risker organisationen är villig att ta och utifrån detta upprätta en tid- och resursplan för kompletterande säkerhetsåtgärder. Steg 6: Driftgodkänna informationssystem Utifrån genomförda analyser och upprättad tid- och resursplan ska respektive systemägare (verksamhetsansvarig) formellt driftgodkänna informationssystemet. För ett slutligt driftgodkännande i organisationen måste även respektive system godkännas för implementering i organisationens IT-miljö. Steg 7: Revidera informationssäkerheten Revision av informationssäkerheten i en organisation ska ingå som en naturlig del i den generella årliga revisionen av verksamheten.