BSI-standard Ledningssystem för informationssäkerhet (LIS) Version 1.0

Transkript

1 BSI-standard Ledningssystem för informationssäkerhet (LIS) Version 1.0

2 Innehållsförteckning 1 Inledning Versionshistorik Målsättning Målgrupp Tillämpning Litteraturförteckning Introduktion i informationssäkerhet Översikt över standarder för IT-säkerhet ISO-standarder för IT-säkerhet Utvalda BSI-publikationer och standarder avseende ledningssystem för informationssäkerhet LIS - Definition och processbeskrivning Komponenter i ett ledningssystem för informationssäkerhet Processbeskrivning och livscykelmodell Livscykeln i IT-säkerheten Beskrivning av IT-säkerhetsprocessen Ledningsprinciper Ledningens uppgifter och ansvar Upprätthålla IT-säkerheten och kontinuerliga förbättringar Kommunikation och kunskap Resurser för IT-drift och IT-säkerhet Involvering av medarbetarna i IT-säkerhetsprocessen IT-säkerhetsprocessen Planering av IT-säkerhetsprocessen Genomförande av IT-säkerhetspolicyn Resultatkontroll i IT-säkerhetsprocessen IT-säkerhetskoncept Upprättande av IT-säkerhetskonceptet Genomförande av IT-säkerhetskonceptet Resultatkontroll och förbättring av IT-säkerhetskonceptet BSI:s LIS: IT-grundskydd Inledning IT-säkerhetprocessen enligt IT-grundskydd Riskbedömning Upprättande av IT-säkerhetskonceptet BSI-standard 100-1: Ledningssystem för informationssäkerhet (LIS) Sidan 2

3 1 Inledning 1.1 Versionshistorik Utgåva Version Författare December BSI 1.2 Målsättning Inom näringsliv och offentlig förvaltning är det i dag ingen som förnekar att det är nödvändigt att på ett lämpligt sätt skydda den egna IT-miljön. IT-säkerhetsincidenter kan medföra långtgående skador på verksamheten eller förhindra att uppgifter kan genomföras, vilket i båda fallen leder till höga kostnader. Praktisk erfarenhet visar att en optimering av ledningssystemet för informationssäkerhet ofta förbättrar informationssäkerheten effektivare och mer långsiktigt än vad investeringar i säkerhetsteknik gör. Åtgärder som ursprungligen genomfördes för att förbättra informationssäkerheten kan emellertid även vara till nytta i andra avseenden än säkerhet och visa sig påverka det ekonomiska utfallet positivt. Investeringar i informationssäkerhet kan i många fall till och med på relativt kort tid bidra till kostnadsbesparingar. Genom en bättre integrering av informationssäkerheten i befintliga organisatoriska strukturer kan man förvänta sig följande positiva sidoeffekter: högre arbetskvalitet, ökat kundförtroende, optimering av IT-miljön och arbetsprocesser samt tillvaratagande av synergieffekter. En lämplig nivå på informationssäkerheten beror i första hand av ledningssystemet för informationssäkerhet och i andra hand på enskilda tekniska åtgärder. Följande överväganden förtydligar denna tes: Ledningsnivån har ansvar för att lagar och förordningar samt avtal med tredje part efterlevs. Vidare ansvarar ledningsnivån för att viktiga affärsprocesser löper störningsfritt. Informationssäkerhet har beröringspunkter med många delar av en organisation och berör viktiga affärsprocesser och uppgifter. Därför kan endast ledningsnivån genomföra en friktionsfri integrering av ledningssystemet för informationssäkerhet i befintliga organisationsstrukturer och processer. Ledningsnivån ansvarar dessutom för tilldelning av ekonomiska resurser. Det innebär att ledningsnivån har ett stort ansvar för informationssäkerheten. Avsaknad av styrning, en olämplig IT-säkerhetsstrategi eller felaktiga beslut kan få långtgående negativa konsekvenser på grund av säkerhetsincidenter, missade möjligheter och felinvesteringar. Denna standard beskriver därför steg för steg vad som utgör ett framgångsrikt ledningssystem för informationssäkerhet och vilka uppgifter som ledningsnivån inom myndigheter och företag har. 1.3 Målgrupp Detta dokument riktar sig till alla som ansvarar för IT-drift och IT-säkerhet, IT-säkerhetschefer, ITexperter, IT-rådgivare och alla intresserade som har ledningsansvar avseende informationssäkerhet. Styrning av IT-säkerhet är inte bara en viktig fråga för stora organisationer utan även för små och BSI-standard 100-1: Ledningssystem för informationssäkerhet (LIS) Sidan 3

4 medelstora myndigheter och företag samt egenföretagare. Hur ett lämpligt ledningssystem för informationssäkerhet ser ut beror naturligtvis på institutionens storlek. Denna standard och framförallt de mycket konkreta rekommendationerna i IT-Grundschutz (IT-grundskydd) hjälper alla ansvariga personer som vill förbättra IT-säkerheten inom det område de kan påverka. Nedan lämnas information hur rekommendationerna i denna standard kan behovsanpassas efter en myndighets eller ett företags storlek. 1.4 Tillämpning Denna standard beskriver hur ett ledningssystem för informationssäkerhet (LIS) kan vara uppbyggt. Ett ledningssystem omfattar alla regler som är ett hjälpmedel för att styra och leda en organisation och för att uppsatta mål kan uppnås. Ett ledningssystem för informationssäkerhet beskriver med vilka instrument och metoder som en institutions ledningsnivå på ett spårbart sätt styr de uppgifter och aktiviteter som behövs för informationssäkerheten. Denna BSI-standard ger bland annat svar på följande frågor: Vilka är framgångsfaktorerna vid ledning av informationssäkerhet? Hur kan IT-säkerhetsprocessen styras och övervakas av den ansvariga ledningen? Hur tas IT-säkerhetsmål och en lämplig IT-säkerhetsstrategi fram? Hur väljs IT-säkerhetsåtgärder ut och hur upprättas ett IT-säkerhetskoncept? Hur kan en uppnådd säkerhetsnivå permanent bibehållas och förbättras? Denna standard för ledningssystem beskriver kort och översiktligt de viktigaste uppgifterna för ledningssystemet för säkerhet. Vid tillämpning av dessa rekommendationer är BSI med metodiken i ITgrundskydd ett hjälpmedel. IT-grundskydd är en anvisning steg för steg för utveckling av ett ledningssystem för informationssäkerhet i praktiken och den innehåller mycket konkreta åtgärder för alla aspekter av IT-säkerhet. Tillvägagångssättet enligt IT-grundskydd beskrivs i BSI-Standard ([se [BSI2]) och är så utformat att en lämplig IT-säkerhetsnivå kan uppnås så billigt som möjligt. Som komplement här till rekommenderas i IT-grundskydd-katalogerna standardsäkerhetsåtgärder för det praktiska genomförandet av den lämpliga IT-säkerhetsnivån. 1.5 Litteraturförteckning [BSI1] Managementsysteme für Informationssicherheit (ISMS), BSI-Standard 100-1, Version 1.0, Dezember 2005, [BSI2] IT-Grundschutz-Vorgehensweise, BSI-Standard 100-2, Version 1.0, Dezember 2005, [BSI3] Risikoanalyse auf der Basis von IT-Grundschutz, BSI-Standard 100-3, Version 1.0, Februar 2004, [GSHB] IT-Grundschutzhandbuch - Standard-Sicherheitsmaßnahmen, BSI, jährlich neu, [SHB] IT-Sicherheitshandbuch - Handbuch für die sichere Anwendung der Informationstechnik, BSI, Version März 1992, Bundesdruckerei [OECD] Organisation for Economic Co-operation and Development (OECD), Guidelines for the Security of Information Systems and Networks, 2002, [ZERT] Allgemeine Informationen zum IT-Grundschutz-Zertifikat, zum Lizenzierungsschema für Auditoren und zum Zertifizierungsschema für IT-Grundschutz unter BSI-standard 100-1: Ledningssystem för informationssäkerhet (LIS) Sidan 4

5 [13335] ISO/IEC "Management of information and communications technology security", ISO/IEC JTC1/SC27 [17799] ISO/IEC "Management of information and communications technology security", ISO/IEC JTC1/SC27 [27001] ISO/IEC "Management of information and communications technology security", ISO/IEC JTC1/SC27 BSI-standard 100-1: Ledningssystem för informationssäkerhet (LIS) Sidan 5

6 2 Introduktion i informationssäkerhet Vad är informationssäkerhet? Målet med informationssäkerhet är att skydda information. Det kan vara fråga om information på papper, i datorer eller i personers huvuden. IT-säkerhet avser i första hand skyddet av elektroniskt lagrad information och bearbetningen av denna. De klassiska grundidealen ínom IT-säkerhet, konfidentialitet, riktighet och tillgänglighet, är basen för skydd av information. Informationens säkerhet hotas inte enbart genom uppsåtliga handlingar (t.ex. datorvirus, avlyssning, stöld av datorer). Följande exempel förklarar detta faktum: Genom force majeure (t.ex. brand, vatten, storm, jordbävning) påverkas IT-system eller det går inte att komma in i datorcentralen. IT-system eller tjänster är därmed inte längre åtkomliga på önskat sätt. Efter en misslyckad programuppdatering fungerar system inte längre eller data har obemärkt ändrats. En viktig affärsprocess blir fördröjd eftersom de enda medarbetare som är i insatta i programmet är sjuka. En medarbetare lämnar av misstag konfidentiell information till en obehörig person därför att dokumenten eller filerna inte var märkta konfidentiellt. Ordval: IT-säkerhet kontra informationssäkerhet På tyska används följande begrepp ofta synonymt: informationsteknik, informations- och kommunikationsteknik eller informations- och telekommunikationsteknik. På grund av ordens längd har respektive förkortningar blivit vanliga så att man oftast talar om IT-säkerhet. Eftersom elektronisk bearbetning av information förekommer nästan i alla sammanhang är det inte längre aktuellt att skilja på om information bearbetas med informationsteknik, med kommunikationsteknik eller på papper. Begreppet informationssäkerhet i stället för IT-säkerhet är därför mer omfattande och lämpligare. Eftersom begreppet IT-säkerhet fortfarande är vanligast i litteraturen (bland annat för att det är kortare) används det fortsatt i denna skrift samt i IT-grundskydd-katalogerna. 2.1 Översikt över standarder för IT-säkerhet ISO-standarder för IT-säkerhet ISO Standarden ISO "Management of information and communications technology security" (tidigare "Guidelines on the Management of IT Security") (Riktlinjer för styrning av IT-säkerhet) är en allmän riktlinje för att initiera och implementera ledningssystem för informationssäkerhet. Standarden innehåller anvisningar men däremot inte lösningar för ledning och styrning av IT-säkerhet. Standarden är ett grundläggande verk på detta område och är utgångs- eller referenspunkt för en rad dokument avseende ledningssystem för informationssäkerhet. Standarden består för närvarande av följande delar: Part 1: Concepts and models for information and communications technology security management Part 2: Techniques for information security risk management Part 5: Management guidance on network security De tidigare delarna 3 och 4 ingår nu i delarna 1 och 2. Standarden ISO innehåller olika metoder för riskanalys. En certifiering är inte planerad. BSI-standard 100-1: Ledningssystem för informationssäkerhet (LIS) Sidan 6

7 ISO Målet med ISO Information technology Code of practice for information security management " är att definiera ett ramverk för ledningssystem för informationssäkerhet. ISO behandlar därför huvudsakligen de steg som krävs för att bygga upp ett fungerande ledningssystem för informationssäkerhet och hur detta förankras i organisationen. De erforderliga åtgärderna för ITsäkerhet behandlas kortfattat på de ca 100 sidorna i ISO-standarden ISO/IEC Rekommendationerna ligger på ledningsnivå och innehåller knappast konkret teknisk information. En implementering av dem är en av många möjligheter för att uppfylla kraven i ISO-standarden ISO På grund av informationsteknikens komplexitet och efterfrågan på certifiering har det under de senaste åren utarbetats flera anvisningar, standarder och nationella normer som rör IT-säkerhet. ISOstandarden "Information technology - Security techniques - Information security management systems requirements specification" är den första internationella standarden för ledningssystem för informationssäkerhet som också möjliggör en certifiering. ISO ger på ca tio sidor allmänna rekommendationer. I en normerande bilaga hänvisas till kontrollerna i ISO/IEC Läsaren får dock ingen hjälp för det praktiska genomförandet Utvalda BSI-publikationer och standarder avseende ledningssystem för informationssäkerhet IT-grundskydd-kataloger Den mest kända publikationen från BSI avseende informationssäkerhet är IT-Grundschutzhandbuch (Handbok för IT-grundskydd) som sedan 1994 mycket utförligt beskriver inte bara ledningssystem för informationssäkerhet utan även detaljerade IT-säkerhetsåtgärder inom områdena teknik, organisation, personal och infrastruktur. Handbok för IT-grundskydd har under år 2005 omstrukturerats inom olika delar. I samband med detta har beskrivningarna av tillvägagångssättet enligt IT-grundskydd och ITgrundskyddkatalogerna skiljts åt. BSI-standard 100-1: Ledningssystem för informationssäkerhet (LIS) Sidan 7

8 Figur 1: Översikt över BSI-publikationer avseende ledningssystem för informationssäkerhet IT-grundskyddkatalogerna är uppbyggda i moduler och innehåller komponenter för typiska processer, tillämpningar och IT-komponenter. Till varje ämne rekommenderas inte endast IT-säkerhetsåtgärder utan det finns även en beskrivning av de viktigaste hoten som en organisation bör skydda sig mot. En användare kan på så sätt koncentrera sig på de komponenter som rent faktiskt är relevanta för honom. ITgrundskydd-katalogerna uppdateras och kompletteras ofta för att omfatta ny teknik. Därför publiceras de som lösblad, på cd respektive dvd och på Internet. IT-grundskyddtillvägagångssättet beskriver hur ITsäkerhetslösningar kan väljas ut, byggas upp och kontrolleras utifrån standardsäkerhetsåtgärder. Denna metod har publicerats som BSI-Standard bland standarderna avseende informationssäkerhet. BSI-standarder för informationssäkerhet: ledningssystem för informationssäkerhet Ledningssystem för informationssäkerhet (LIS) I denna standard definieras allmänna krav på ett LIS. Den är helt kompatibel med ISO-standarden och här beaktas dessutom rekommendationerna i ISO-standarderna och Den ger läsaren en lättförstålig och systematisk anvisning oberoende av med vilken metod som denne önskar implementera kraven. BSI presenterar denna ISO-standards innehåll i en egen BSI-standard för att kunna beskriva några ämnen mer utförligt och på så sätt möjliggöra en mer pedagogisk presentation av innehållet. Dessutom har dispositionen gjorts så att den är kompatibel med IT-grundskyddtillvägagångssättet. Genom de enhetliga rubrikerna i båda dokumenten är det enkelt för läsaren att orientera sig IT-grundskydd-tillvägagångssätt IT-grundskyddtillvägagångssättet beskriver steg för steg hur ett ledningssystem för informationssäkerhet byggs upp och drivs i praktiken. Uppgifterna för ledningssystemet för informationssäkerhet och uppbyggnaden av en IT-säkerhetsorganisation är här viktiga teman. IT-grundskyddtillvägagångssätt går mycket utförligt in på hur ett IT-säkerhetskoncept kan utarbetas i praktiken, hur lämpliga IT-säkerhetsåtgärder kan väljas ut och vad som ska beaktas vid genomförandet av IT-säkerhetskonceptet. Även frågan om hur IT-säkerheten upprätthålls och förbättras under normal drift besvaras. IT-grundskydd tolkar därmed de mycket allmänt hållna kraven i de ovannämnda ISO-standarderna 13335, och och hjälper användaren i praktiken vid genomförandet genom mycket information, bakgrunder, know-how och exempel. IT-grundskydd-katalogerna förklarar inte bara vad som ska göras utan ger mycket konkret information hur ett genomförande (även på teknisk nivå) kan se ut. Att arbeta enligt IT-grundskydd är på så sätt en beprövad och effektiv möjlighet att beakta alla krav i de ovan nämnda ISO-standarderna Riskanalys på grundval av IT-grundskydd BSI har tagit fram en metodik för riskanalys som bygger på IT-grundskydd. Detta tillvägagångssätt kan användas när företag eller myndigheter redan med gott resultat arbetar med IT-grundskydd och önskar ansluta en kompletterande säkerhetsanalys till IT-grundskydd-analysen så smidigt som möjligt. ISO Certifiering på grundval av IT-grundskydd BSI certifierar IT-miljöer alltså samspelet mellan infrastrukturella, organisatoriska, personella och tekniska komponenter som är avsedda för implementering av affärsprocesser och fackuppgifter. BSIcertifieringen omfattar såväl en kontroll av ledningssystemet för informationssäkerhet som en kontroll av de konkreta IT-säkerhetsåtgärderna utifrån IT-grundskydd. BSI-certifieringen innehåller alltid en officiell ISO-certifiering enligt ISO men den säger mycket mer än en ren ISO-certifiering eftersom fler tekniska aspekter kontrolleras. De viktigaste kraven för kontrollen av ledningssystemet för informationssäkerhet inom ramen för en revision framgår av åtgärderna i grundskyddskomponenten B 1.0 IT- Sicherheitsmanagement (IT-säkerhetsledning). Åtgärderna i denna komponent är skrivna så att de viktiga BSI-standard 100-1: Ledningssystem för informationssäkerhet (LIS) Sidan 8

9 kraven i BSI-standarden för ledningssystem för informationssäkerhet direkt kan identifieras. Den enhetliga dispositionen av BSI-dokumenten framgår av figur 1. Denna standard beskriver kontrollkriterier för revisorer och certifierare. För anpassningen till ISO har anpassningar gjorts i certifieringsschemat för IT-miljöer och i licensieringsschemat (se [ZERT]). BSI-standard 100-1: Ledningssystem för informationssäkerhet (LIS) Sidan 9

10 3 LIS - Definition och processbeskrivning 3.1 Komponenter i ett ledningssystem för informationssäkerhet Varje företag och varje myndighet har en ledning, nedan kallad ledningsnivå när ansvariga personer i ledningen avses och det inte är någon risk för förväxling med ledning som ledningsprocess (leda, styra och planera). Strategi Ledningsprinciper Resurser Medarbetare Figur 2: Komponenter i ett ledningssystem för informationssäkerhet (LIS) Ett ledningssystem omfattar alla regler som är ett hjälpmedel för styrning och ledning av en organisation så att uppsatta mål kan uppnås. Den del av ledningssystemet som behandlar informationssäkerhet betecknas ledningssystem för informationssäkerhet (LIS). LIS fastlägger med vilka instrument och metoder som ledningen spårbart styr (planerar, sätter in, genomför, övervakar och förbättrar) de uppgifter och aktiviteter som berör informationssäkerhet. Till en LIS hör följande grundläggande komponenter (se figur 2): Ledningsprinciper Resurser Medarbetare IT-säkerhetsprocess IT-säkerhetspolicy i vilken IT-säkerhetsmålen och strategin för att uppnå dessa är dokumenterade IT-säkerhetskoncept IT-säkerhetsorganisation BSI-standard 100-1: Ledningssystem för informationssäkerhet (LIS) Sidan 10

11 Figur 3: IT-säkerhetsstrategi som central komponent i LIS IT-säkerhetsorganisation och IT-säkerhetskoncept är därvid ledningens verktyg för omsättning av dess ITsäkerhetsstrategi. Figurerna 3 och 4 förtydligar detta sammanhang. IT-strategins kärnpunkter dokumenteras i IT-säkerhetspolicyn. IT-säkerhetspolicyn är av central betydelse eftersom den innehåller ledningsnivåns synliga tilltro till dess strategi. Figur 4: Genomförande av IT-säkerhetsstrategin med hjälp av IT-säkerhetskonceptet och en IT-säkerhetsorganisation 3.2 Processbeskrivning och livscykelmodell Livscykeln i IT-säkerheten Säkerhet är inget oföränderligt tillstånd som en gång uppnås och som aldrig förändras därefter. Varje företag och myndighet genomgår ständiga förändringar. Många av dessa förändringar berör via ändringar i affärsprocesserna, uppgifter, infrastruktur, organisationsstrukturer och informationsteknik även ITsäkerheten. Förutom de tydliga ändringarna inom en verksamhet kan dessutom ramvillkoren förändras t.ex. lagar och förordningar eller träffade avtal men även den tillgängliga informations- och kommunikationstekniken kan ändras på ett genomgripande sätt. Det är därför nödvändigt att aktivt arbeta med säkerhet för att en gång uppnådd säkerhetsnivå ska bibehållas. Det räcker till exempel inte att endast en gång införa affärsprocesser eller införa ett nytt IT-system och genomföra de beslutade IT-säkerhetsåtgärderna. När IT-säkerhetsåtgärderna har införts måste de BSI-standard 100-1: Ledningssystem för informationssäkerhet (LIS) Sidan 11

12 regelbundet undersökas ned avseende på verkan och lämplighet. Åtgärdernas användbarhet och hur de faktiskt används ska också undersökas. Om svaga punkter eller förbättringsmöjligheter upptäcks måste åtgärderna anpassas och förbättras. Dessa ändringar måste planeras och genomföras. Om affärsprocesser avslutas eller komponenter respektive IT-system byts ut eller tas ur drift ska IT-säkerhetsaspekter beaktas (t.ex. behörigheter ska upphöra att gälla eller att hårddiskar raderas på ett säkert sätt). I IT-grundskydd-- katalogerna delas därför IT-säkerhetsåtgärderna in i följande faser för att läsaren ska få en bättre överblick: planering och koncept anskaffning (vid behov) genomförande drift (åtgärder för att upprätthålla IT-säkerheten, vari ingår övervakning och resultatkontroll), gallring (vid behov) och förebyggande av nödsituationer Beskrivning av IT-säkerhetsprocessen Inte enbart IT-system har en livscykel. Även ett IT-säkerhetskoncept, en IT-säkerhetsorganisation och slutligen hela IT-säkerhetsprocessen har en livscykel. För att så enkelt som möjligt kunna beskriva ITsäkerhetsprocessens dynamik delas IT-säkerhetsprocessen ofta in i följande faser: 1. Planering 2. Genomförande av planeringen respektive implementering av processen 3. Kontroll av uppnått resultat respektive övervakning av hur målen uppfylls 4. Eliminering av registrerade brister och svagheter respektive optimering och förbättring. Fas 4 beskriver den direkta elimineringen av smärre brister. Vid fundamentala eller omfattande förändringar ska man naturligtvis åter starta med planeringsfasen. Denna modell kallas även PDCA-modell efter den engelska benämningen av de enskilda faserna (Plan- Do-Check-Act). BSI-standard 100-1: Ledningssystem för informationssäkerhet (LIS) Sidan 12

13 Figur 5: Livscykel i PDCA-modellen PDCA-modellen återfinns i ISO-standarden Modellen kan i princip användas för alla uppgifter inom IT-säkerhetsprocessen. Även IT-säkerhetskonceptets och IT-säkerhetsorganisationens livscykel kan beskrivas enkelt på detta sätt. Motsvarande kapitel i detta dokument anknyter därför till denna livscykels fyra faser. I IT-säkerhetsproccesens planeringsfas analyseras ramvillkoren, bestäms IT-säkerhetsmålen och en ITsäkerhetsstrategi utarbetas. Den senare innehåller grundläggande information om hur uppsatta mål ska nås. IT-säkerhetsstrategin genomförs med hjälp av IT-säkerhetskonceptet och en lämplig ITsäkerhetsorganisation. IT-säkerhetskoncept och IT-säkerhetsorganisation måste därför återigen planeras och genomförs samt kontrolleras beträffande resultat. Vid resultatkontrollen av den överordnade ITsäkerhetsprocessen kontrolleras därefter regelbundet om ramvillkoren (t.ex. lagar och förordningar eller företagsmålen) har ändrats och huruvida IT-säkerhetskoncept och IT-säkerhetsorganisation har visat sig vara verksamma och effektiva. Eftersom olika institutioner däremot har olika förutsättningar, krav på säkerhet och ekonomiska tillgångar erbjuder detta tillvägagångssätt förvisso en god orientering men måste av varje myndighet och företag fyllas med ett innehåll. Varje institution måste individuellt fastställa och konkretisera vilken typ av livscykelmodell som är lämplig. Små myndigheter och företag ska inte avskräckas eftersom arbetsomfattningen för IT-säkerhetsprocessen i regel beror av verksamhetens storlek. I ett mycket stort företag med många inblandade avdelningar och personer är en mer formell process troligen nödvändig. Denna fastlägger exakt vilka interna och externa revisioner som är nödvändiga, vem som rapporterar till vem, vem som tar fram beslutsunderlag och när ledningen sammanträder om IT-säkerhetsprocessen. I ett litet företag däremot kan en årlig överläggning mellan vd och den som svarar för IT-verksamheten vara helt tillräcklig för att kritiskt granska huruvida IT-säkerhetsprocessen är framgångsrik. Vid samtalet behandlas frågor som problem under det senaste året, uppkomna kostnader, ny teknisk utveckling etc. BSI-standard 100-1: Ledningssystem för informationssäkerhet (LIS) Sidan 13

14 4 Ledningsprinciper Med ledningssystem för informationssäkerhet betecknas planeringen och styrningen som krävs för en ändamålsenlig uppbyggnad, för praktiskt utnyttjande av och för att säkerställa effektiviteten hos en genomtänkt och metodiskt IT-säkerhetsprocess samt alla därför erforderliga IT-säkerhetsåtgärder. Det finns många koncept för hur ett effektivt ledningssystem för informationssäkerhet kan se ut och vilka organisationsstrukturer som är ändamålsenliga. Oberoende av hur ett ledningssystem för informationssäkerhet specificeras ska några fundamentala principer beaktas. Några av de ledningsprinciper som anges här kan synas vara banala och att de tillämpas betraktar de flesta chefer som självklart. Paradoxalt nog är det gång på gång de enkla sakerna som utförs fel eller inte utförs alls. Disciplin, tålamod, ansvarstagande samt en noggrann och realistisk förberedelse av projekt är värden som gäller teoretiskt i många organisationer men som i praktiken inte alltid gäller. Säkerhetsnivån förbättras i praktiken ofta klart av mindre spektakulära åtgärder som processoptimering, utbildning och motivation av medarbetare eller framtagning av förstålig dokumentation. Komplexa och därmed dyra åtgärder, stora projekt och investeringar i teknik presenteras ofta helt felaktigt som verksamma och är anledningen till säkerhetsåtgärders dåliga rykte som orsak till höga kostnader. Nedan presenteras därför ledningsprinciper som om de beaktas utgör en grund för ett framgångsrikt ledningssystem för informationssäkerhet. 4.1 Ledningens uppgifter och ansvar Ledningens uppgifter och ansvar avseende informationssäkerhet kan sammanfattas i följande punkter: 1. Totalansvar för IT-säkerheten Varje myndighets eller företags högsta ledning ansvarar för att verksamheten fungerar målstyrt och organiserat och därigenom garanterar man IT-säkerheten internt och utåt. Det kan vara reglerat i olika lagar allt efter land och organisationsform. Ledningsnivån, men även varje enskild chef, måste klart visa att den tar sitt ansvar och för alla medarbetare klargöra vikten av IT-säkerheten. 2. Integrera IT-säkerhet IT-säkerhet måste integreras i verksamhetens alla processer och projekt i vilka information bearbetas och IT används. Det betyder till exempel att säkerhetskraven inte endast ska beaktas vid anskaffning av IT utan även vid när affärsprocesserna utformas och likaså vid personalutbildning. 3. Styra och upprätthålla IT-säkerhet Ledningsnivån måste aktivt initiera, styra och övervaka IT-säkerhetsprocessen. I den uppgiften ingår till exempel följande uppgifter: - En IT-säkerhetsstrategi och IT-säkerhetsmål måste beslutas. - Konsekvenserna av IT-säkerhetsrisker på affärsverksamheten respektive av hur arbetsuppgifter utföres måste undersökas. - Organisatoriska ramvillkor för IT-säkerhet ska skapas. - För IT-drift och IT-säkerhet måste tillräckliga resurser ställas till förfogande. - IT-säkerhetsstrategin måste kontrolleras regelbundet och övervakning av att uppställda mål uppnås ska ske. Registrerade svaga punkter och fel måste korrigeras. För att klara det måste ett innovationspositivt arbetsklimat skapas och viljan till ständiga förbättringar inom verksamheten klart uttryckas. BSI-standard 100-1: Ledningssystem för informationssäkerhet (LIS) Sidan 14

15 - Medarbetare måste motiveras beträffande behovet av säkerhet och de ska se IT-säkerhet som en viktig aspekt i arbetet. För att uppnå detta ska medarbetarna erbjudas tillräcklig utbildning och åtgärder för att öka medvetenheten. 4. Sätta realistiska mål Projekt misslyckas ofta till följd av orealistiska eller för ambitiösa mål. Det är inte annorlunda inom området IT-säkerhet. Därför måste IT-strategin anpassas till de befintliga resurserna. För att uppnå det lämpliga säkerhetsmålet kan det vara effektivare att arbeta i många små steg i en långfristig, kontinuerlig förbättringsprocess utan höga investeringskostnader i starten än att påbörja ett stort projekt. Det kan därvid vara lämpligt att först införa den erforderliga säkerhetsnivån endast inom utvalda områden. Därifrån måste säkerheten inom verksamheten emellertid snabbt komma upp på den eftersträvade nivån. 5. Avväga kostnaden för IT-säkerhet gentemot nyttan En av de svåraste uppgifterna är att avväga kostnaderna för informationssäkerhet gentemot nyttan respektive riskerna. Det är mycket viktigt att först investera i åtgärder som är särskilt effektiva eller som skyddar mot särskilt stora risker. De effektivaste åtgärderna är av erfarenhet inte alltid de dyraste. Det är därför absolut nödvändigt att känna till hur affärsprocesserna och uppgifterna beror av informationsbearbetningen för att kunna välja ut lämpliga IT-säkerhetsåtgärder. Det är viktigt att tänka på att IT-säkerheten alltid uppnås genom ett samspel mellan tekniska och organisatoriska åtgärder. Investeringarna i teknik kan avläsas direkt i budgeten. För att dessa kostnader ska kunna accepteras måste IT-säkerhetsprodukterna användas så att de ger optimal nytta. För att uppnå det måste de även väljas ut utifrån ändamålet och användas på lämpligt sätt. Det betyder exempelvis att de måste integreras i det övergripande säkerhetskonceptet och medarbetarna ska vara utbildade för att använda dem. Tekniska lösningar kan ofta ersättas med organisatoriska säkerhetsåtgärder. Av erfarenhet är det emellertid svårare att säkerställa att organisatoriska åtgärder konsekvent genomförs. Dessutom ökar de personella insatserna därigenom och belastar därmed även resurserna. 6. Funktion som förebild Ledningsnivån måste även utgöra en förebild inom området IT-säkerhet. Det innebär bland annat att ledningsnivån beaktar alla föreskrivna säkerhetsregler och själv deltar i utbildningar. 4.2 Upprätthålla IT-säkerheten och kontinuerliga förbättringar Att skapa IT-säkerhet är inte ett tidsbegränsat projekt utan en kontinuerlig process. Alla delar i ett ledningssystem för informationssäkerhet måste ständigt kontrolleras med avseende på lämplighet och verkan. Det betyder att inte endast enskilda IT-säkerhetsåtgärder måste kontrolleras utan att ITsäkerhetsstrategin även måste tänkas igenom regelbundet. Genomförandet av IT-säkerhetsåtgärderna bör utvärderas regelbundet genom interna revisioner. Dessa har även till syfte att samla ihop erfarenheter från den dagliga verksamheten och utvärdera dessa. Förutom revisioner är det nödvändigt att genomföra övningar och åtgärder för att öka medvetenheten eftersom det endast är därigenom som det går att fastställa huruvida alla förutsedda förlopp och beteendet i nödsituationer faktiskt fungerar. Insikt om svaga punkter och förbättringsmöjligheter måste medföra konsekvenser i säkerhetsorganisationen. Det är även viktigt att tidigt se framtida utveckling av både den använda tekniken och inom affärsprocesser och organisationsstrukturer för att i tid kunna identifiera risker, vidta förebyggande åtgärder och införa säkerhetsåtgärder. När det finns tecken på betydande ändringar av affärsprocesser och organisationsstrukturer måste ledningen för informationssäkerhet involveras. Även om detta är förutsett i organisationsbestämmelserna bör man inte vänta på att bli BSI-standard 100-1: Ledningssystem för informationssäkerhet (LIS) Sidan 15

16 involverad enligt plan utan man bör i god tid förutsättningslöst ta tag i de aktuella processerna. Vid alla revisioner bör man tänka på att dessa inte utföres av personer som har varit med om att planera eller ta fram säkerhetsföreskrifter eftersom det är svårt att finna egna fel. Allt efter institutionens storlek han det vara bra att ta hjälp av externa revisorer för att undvika hemmablindhet. Att upprätthålla IT-säkerheten är även viktigt för små och medelstora myndigheter och företag. Revisionerna har mindre omfattning än inom stora institutioner men de ska genomföras. Vid ledningens årliga genomgång måste ledningsnivån även kontrollera om det finns nya lagar och föreskrifter eller om andra ramvillkor har ändrats. Kontrollen av IT-säkerhetsprocessen är slutligen till för förbättring av denna. Resultaten bör därför användas till att bedöma verkan och effektivitet hos den valda IT-säkerhetsstrategin och för att göra eventuella anpassningar. Även vid förändring av IT-säkerhetsmålen eller ramvillkoren måste ITsäkerhetsstrategin revideras med hänsyn därtill. Detta ämne behandlas utförligt i kapitel Kommunikation och kunskap I alla faser av säkerhetsprocessen är kommunikation en viktig hörnpelare för att uppnå de IT-säkerhetsmål som har satts upp. Missuppfattningar och bristande kunskap är bland de vanligaste orsakerna när säkerhetsproblem uppträder. Därför måste man inom en institution på alla nivåer och inom alla områden se till att det finns ett friktionsfritt informationsflöde rörande säkerhetsincidenter och -åtgärder. För att uppnå det ska följande finnas: Rapporter till ledningsnivån Den högsta ledningen måste för att kunna utföra sin ledningsfunktion regelbundet få information om problem, resultat av kontroller och revisioner men även om ny utveckling, ändrade ramvillkor eller förbättringsmöjligheter. Informationsflöde Bristande kommunikation och avsaknad av information kan leda till IT-säkerhetsproblem och även till att felaktiga beslut tas eller överflödiga arbetsmoment. Det måste undvikas genom lämpliga åtgärder och organisatoriska regler. Medarbetare måste informeras om syftet med säkerhetsåtgärder framförallt om det medför extra arbete eller besvär. IT-användare bör dessutom involveras när genomförandet av åtgärder planeras för att idéer ska beaktas och för en bedömning av vad som är praktiskt genomförbart. Dokumentation För att säkerställa hela IT-säkerhetsprocessens kontinuitet och konsistens är det mycket viktigt att dokumentera den. Endast på så sätt förblir processteg och beslut spårbara. Dessutom säkerställer en bra dokumentation att likartade arbeten utförs på ett jämförbart sätt dvs. processer är mätbara och kan upprepas. Dessutom är dokumentation till hjälp för att visa på principiella svagheter i processen och för att undvika att fel upprepas. Den erforderliga dokumentationen för de olika säkerhetsaktiviteterna uppfyller olika funktioner och är riktad till olika målgrupper. Följande typer av dokumentation finns: 1. Teknisk dokumentation och dokumentation av arbetsförlopp (målgrupp: experter) Vid störningar eller IT-säkerhetsincidenter måste det vara möjligt att kunna återställa det önskade börtillståndet i affärsprocesser samt tillhörande IT. Tekniska detaljer och arbetsförlopp ska därför dokumenteras så att detta är möjligt inom lämplig tid. Exempel på detta är anvisningar för installation av IT-tillämpningar, genomförande av säkerhetskopiering, inläsning av säkerhetskopierat material, för konfigurering av telekommunikationssystem, för återstart av server efter ett strömavbrott liksom dokumentationen av test- och godkännandemetoder och anvisningar för vad som ska göras vid störningar och IT- BSI-standard 100-1: Ledningssystem för informationssäkerhet (LIS) Sidan 16

17 säkerhetsincidenter. 2. Anvisningar för IT-användare (målgrupp: IT-användare) Arbetsförlopp, organisatoriska föreskrifter och tekniska IT-säkerhetsåtgärder måste dokumenteras så att IT-säkerhetsincidenter till följd av okunskap eller felaktiga åtgärder kan undvikas. Exempel på detta är säkerhetsriktlinjer för användning av e-post och Internet, information för att förhindra virusincidenter eller för att upptäcka social manipulation samt vad användare ska göra vid misstanke om en IT-säkerhetsincident. 3. Rapporter för ledningsuppgifter (målgrupp: ledningsnivå, ledningen för informationssäkerhet) All information som ledningen behöver för att utföra sina lednings- och styrningsuppgifter ska finnas nedtecknad med erforderlig detaljeringsgrad (t.ex. resultat av revisioner, effektivitetsmätningar, rapporter över IT-säkerhetsincidenter). 4. Registrering av ledningsbeslut (målgrupp: ledningsnivå) Ledningsnivån måste registrera och motivera den valda IT-säkerhetsstrategin. Dessutom måste på alla andra nivåer de beslut som berör säkerhetsrelevanta aspekter likaså registreras så att dessa när som helst kan spåras och upprepas. I de följande kapitlen är därför varje handling som måste dokumenteras på lämpligt sätt respektive registreras märkt med DOK. Formella krav på dokumentationen: Det är inte absolut nödvändigt att dokumentationen finns i pappersform. Dokumentationsmedium bör väljas utifrån behovet. Exempelvis kan användning av en programvara vara till hjälp för ledning i nödsituationer om alla nödåtgärder och kontaktpersoner sedan tidigare finns registrerade i programmet och programmet kan användas mobilt. Då måste i ett nödläge detta verktyg och all erforderlig information samt de IT-system som behövs vara tillgängliga, t.ex. på en bärbar dator. Allt efter krissituation kan det emellertid vara mer ändamålsenligt att ha all information på papper i en praktisk handbok. Det kan finnas lagstadgade eller avtalsmässiga krav på dokumentation vilka ska beaktas. Det kan röra sig om t.ex. hur länge dokumentation ska sparas och detaljeringsgrad. Dokumentationen uppfyller endast sitt ändamål om den upprättas regelbundet och uppdateras. Dessutom måste den märkas och förvaras så att den kan användas när den behövs. Det måste tydligt framgå av vem och när dokumentationen har gjorts. När hänvisning görs till andra dokument måste källorna beskrivas. Mer detaljerad dokumentation måste dessutom finnas tillgänglig vid behov. Säkerhetsrelevant dokumentation kan innehålla information som kräver skydd och måste därför skyddas på lämpligt sätt. Förutom skyddsbehovet måste följande fastställas: förvaringssätt och tid samt hur dokumentationen ska förstöras. I processbeskrivningarna ska det finnas en beskrivning om och hur dokumentationen ska utvärderas. Användning av tillgängliga informationskällor och erfarenheter IT-säkerhet är ett komplext tema så att de som ansvarar för den måste sätta sig in i ämnet noggrant. För detta ändamål finns det ett stort antal informationskällor som kan användas. Det finns bland annat gällande normer och standarder, information på Internet och andra publikationer. Dessutom kan man samarbeta med föreningar, partners, kommittéer, andra företag eller myndigheter samt CERTorganisationer för erfarenhetsutbyte beträffande framgångsrika IT-säkerhetsprojekt. Eftersom ämnet IT-säkerhet är mycket omfattande är det viktigt att identifiera och dokumentera de till respektive institution och ramvillkor passande informationskällorna och samarbetspartners. BSI-standard 100-1: Ledningssystem för informationssäkerhet (LIS) Sidan 17

18 5 Resurser för IT-drift och IT-säkerhet Att leva upp till en viss IT-säkerhetsnivå kräver alltid ekonomiska, personella och tidsmässiga resurser som ledningsnivån måste ställa till förfogande i tillräcklig omfattning. Om uppsatta mål inte kan nås till följd av att resurser saknas är det inte de personer som svarar för genomförandet som bär ansvaret utan det är deras chefer. Dessa har satt orealistiska mål respektive inte ställt de resurser som krävs till förfogande. För att inte missa de uppsatta målen är det viktigt att göra en första uppskattning av kostnadsnyttan redan då målen fastställs. Denna aspekt bör fortsatt spela en viktig roll under IT-säkerhetsprocessens förlopp. Å ena sidan för att inte slösa med resurser och å andra sidan för att garantera de investeringar som behövs för att nå den lämpliga säkerhetsnivån. Eftersom IT-säkerhet ofta är sammankopplad med tekniska lösningar är det viktigt att tänka på att investeringar i personella resurser ofta är effektivare än att investeringar i säkerhetsteknik. Enbart teknik löser inga problem. Den måste alltid vävas samman med de organisatoriska ramvillkoren. Även kontrollen av effektivitet och lämplighet hos IT-säkerhetsåtgärder måste säkerställas genom tillräckliga resurser. I praktiken saknar de interna IT-säkerhetsexperterna ofta tid för att analysera alla säkerhetsrelevanta påverkansfaktorer och ramvillkor (t.ex. lagstadgade krav eller tekniska frågor). Delvis saknar de även motsvarande underlag. Det är alltid ändamålsenligt att ta hjälp av externa experter när frågor och problem inte kan redas ut med egna medel. Det måste dokumenteras av de interna IT-säkerhetsexperterna så att ledningsnivån ställer nödvändiga resurser till förfogande. En grundförutsättning för en säker IT-drift är en väl fungerande IT-drift. Därför måste tillräckliga resurser ställas till förfogande för IT-driften. Typiska problem för IT-driften (knappa resurser, överbelastade förvaltare eller en ostrukturerad och dåligt underhållen IT-miljö) måste i regel lösas så att de egentliga ITsäkerhetsåtgärderna kan genomföras verksamt och effektivt. BSI-standard 100-1: Ledningssystem för informationssäkerhet (LIS) Sidan 18

19 6 Involvering av medarbetarna i IT-säkerhetsprocessen IT-säkerhet berör alla medarbetare utan undantag. Varje enskild medarbetare kan genom ett ansvars- och kvalitetsmedvetet handlande undvika skador och bidra till framgången. Att öka medvetenheten om ITsäkerhet och motsvarande utbildning av medarbetarna samt alla chefer är därför en grundförutsättning för IT-säkerhet. För att säkerhetsåtgärder ska kunna genomföras som planerat måste medarbetarna förfoga över den bas som behövs. Till denna hör förutom hur säkerhetsmekanismer hanteras även kännedom om ändamålet med säkerhetsåtgärder. IT-säkerheten påverkas i avgörande grad även av arbetsklimat, gemensamma ideal och medarbetarnas engagemang. En grundlig introduktion och utbildning krävs för nyanställd personal och för medarbetare som får nya arbetsuppgifter. I detta sammanhang ska beaktas att säkerhetsrelevanta aspekter rörande respektive arbetsplats förmedlas. När medarbetare lämnar institutionen eller deras ansvarsområde ändras måste denna process kompletteras med lämpliga säkerhetsåtgärder (t.ex. att rättigheter upphör, nycklar och idhandlingar lämnas tillbaka). BSI-standard 100-1: Ledningssystem för informationssäkerhet (LIS) Sidan 19

20 7 IT-säkerhetsprocessen Ledningsnivån måste känna till alla relevanta ramvillkor och fastställa IT-säkerhetsmål baserade på företagsmålen respektive myndighetens uppdrag samt skapa förutsättningar för genomförandet. Med en IT-säkerhetsstrategi planeras tillvägagångssättet för att etablera en kontinuerlig IT-säkerhetsprocess. Strategin omsätts med hjälp av ett IT-säkerhetskoncept och en IT-säkerhetsorganisation. Nedan följer därför en beskrivning av de relevanta ledningsverksamheterna för varje livscykelfas. På grund av omfattningen och för att få en bättre översikt beskrivs verksamheterna runt IT-säkerhetskonceptet i ett eget kapitel. 7.1 Planering av IT-säkerhetsprocessen Fastställande av giltighetsområdet i vilket LIS ska gälla [DOK] Ett ledningssystem för informationssäkerhet måste inte nödvändigtvis införas för en hel institution. Därför ska giltighetsområdet för vilket LIS ska gälla först fastställas. Giltighetsområdet omfattar ofta hela institutionen men kan emellertid även avse en eller flera fackuppgifter eller affärsprocesser eller en organisatorisk enhet. Det är här viktigt att de aktuella fackuppgifterna och affärsprocesserna till fullo ingår i det valda giltighetsområdet. I IT-grundskydd används begreppet "IT-miljö" för giltighetsområdet. Den omfattar dessutom alla infrastrukturella, personella och tekniska komponenter som är till hjälp för att lösa uppgifterna i inom detta tillämpningsområde av informationsbearbetningen. Fastställande av ramvillkor Att skapa IT-säkerhet ät inget självändamål. Informations- och kommunikationsteknik bör på ett ändamålsenligt sätt vara ett stöd för en institutions mål och utgör stöd för affärsprocesser. När IT-strategin tas fram bör minst följande punkter beaktas: företagets mål respektive myndighetens uppdrag lagstadgade krav och föreskrifter kundkrav och befintliga avtal interna ramvillkor (t.ex. riskhantering inom hela organisationen eller IT-infrastruktur), (IT-stödda) affärsprocesser och fackuppgifter globala hot mot affärsverksamheten genom IT-säkerhetsrisker (t.ex. imageskador, lagbrott, brott mot avtalade åligganden, stöld av forskningsresultat). Formulering av IT-säkerhetsmål och en IT-säkerhetspolicy [DOK] IT-säkerhetsmål måste fastställas och strategiska riktlinjer upprättas hur målen ska uppnås. Kärnpunkterna dokumenteras i en IT-säkerhetspolicy (engelska: information security policy eller IT security policy). ITsäkerhetspolicyn bör minst innehålla uppgifter om följande: myndighetens eller företagets IT-säkerhetsmål IT-säkerhetsmålens relation till affärsmålen eller institutionens uppgifter eftersträvad IT-säkerhetsnivå riktlinjer hur den eftersträvade IT-säkerhetsnivån ska uppnås riktlinjer huruvida och på vilket sätt IT-säkerhetsnivån ska påvisas. Policyn beslutas av ledningen och tillkännages inom organisationen. BSI-standard 100-1: Ledningssystem för informationssäkerhet (LIS) Sidan 20

21 Uppbyggnad av en IT-säkerhetsorganisation [DOK] Till planeringen av en IT-säkerhetsorganisation hör fastställandet av organisationsstrukturer (t.ex. avdelningar, grupper, kompetenscenter) och att definiera roller och uppgifter. På översta ledningsnivå ska en för informationssäkerhet ansvarig chef utnämnas, det kan t.ex. vara en person ur ledningsgruppen. Dessutom måste minst en IT-säkerhetsansvarig utses. Denne måste regelbundet kunna rapportera oberoende av den högsta ledningsnivån. 7.2 Genomförande av IT-säkerhetspolicyn För att de uppsatta IT-målen ska nås måste ett IT-säkerhetskoncept upprättas. För att erhålla en bättre översikt beskrivs i ett eget kapitel hur ett IT-säkerhetskoncept kan planeras och genomföras samt hur ITsäkerhetsnivån kan upprätthållas och förbättras. Resultaten från kontrollen av IT-säkerhetsåtgärderna tas sedan med i IT-säkerhetsprocessens resultatkontroll och bedöms av ledningsnivån. 7.3 Resultatkontroll i IT-säkerhetsprocessen En resultatkontroll och bedömning av IT-säkerhetsprocessen genom ledningsnivån bör äga rum regelbundet (ledningens bedömning). Vid behov (t.ex. vid ökat antal IT-säkerhetsincidenter eller viktiga ändringar av ramvillkoren) måste sammanträden hållas utöver det planerade sammanträdesprogrammet. Alla resultat och beslut måste dokumenteras så att de är spårbara [DOK]. Vid diskussion bör bland annat följande frågor behandlas: Har ramvillkoren ändrats vilket medför att tillvägagångssättet vad gäller IT-säkerhet måste ändras? Är IT-säkerhetsmålen fortfarande lämpliga? Är IT-säkerhetspolicyn fortfarande aktuell? Vid resultatkontroll av IT-säkerhetsprocessen ligger tyngdpunkten inte på kontroll av enskilda ITsäkerhetsåtgärder eller organisatoriska bestämmelser utan på en helhetsbedömning. Till exempel kan det visa sig att den säkra driften av en Internetportal är för dyr för ett litet företag. Ledningsnivån skulle då som alternativ kunna låta ett annat företag sköta driften. Härvid är det till hjälp att kontrollera hur bra IT-säkerhetskonceptet och IT-säkerhetsorganisationen hittills har visat sig vara. I kapitlet om IT-säkerhetskonceptet beskrivs olika aktiviteter för resultatkontroll av enskilda IT-säkerhetsåtgärder. De där samlade resultaten bör beaktas vid resultatkontrollen av ITsäkerhetsstrategin. Om det till exempel visar sig at IT-säkerhetsåtgärderna inte är effektiva eller att de är uttalat dyra kan det vara ett skäl till att tänka över hela IT-säkerhetsstrategin och göra anpassningar. Följande frågor bör ställas: Är IT-säkerhetsstrategin fortfarande lämplig? Är IT-säkerhetskonceptet lämplig för att nå de uppsatta målen? Uppfylls till exempel kraven enligt lagar och förordningar? Är IT-säkerhetsorganisationen lämplig för att nå målen? Måste dess position inom organisationen stärkas eller skall den kopplas närmare till de interna processerna? Står insatsen dvs. kostnader, personal och material som krävs för att uppnå IT-säkerhetsmålen i ett meningsfullt förhållande till nyttan för institutionen? Resultatkontrollens resultat måste utnyttjas konsekvent för lämpliga ändringar. Det kan betyda att ITsäkerhetsmålen, IT-säkerhetsstrategin eller IT-säkerhetskonceptet ändras och att IT-säkerhetsorganisationen anpassas till kraven. I vissa fall är det lämpligt att göra fundamentala ändringar av IT- BSI-standard 100-1: Ledningssystem för informationssäkerhet (LIS) Sidan 21

22 miljön eller av affärsprocesser eller att lägga ut driften när det inte går att garantera en säker drift med de resurser som finns till förfogande. Om stora förändringar utförs och omfattande förbättringar införs sluter sig ledningscirkeln åter genom att planeringsfasen startar på nytt. BSI-standard 100-1: Ledningssystem för informationssäkerhet (LIS) Sidan 22

23 8 IT-säkerhetskoncept 8.1 Upprättande av IT-säkerhetskonceptet För att IT-säkerhetsmålen ska uppfyllas och den eftersträvade IT-säkerhetsnivån uppnås måste man först klart förstå hur IT-risker kan utgöra ett hot mot affärsprocesser och fullgörandet av uppgifter. Därefter måste man ta beslut om hur dessa risker ska hanteras. I detalj är följande moment nödvändiga. Val av en metod för riskbedömning [DOK] Möjliga skador på affärsverksamheten och en institutions uppgifter till följd av IT-säkerhetsincidenter måste analyseras och bedömas. En metod för riskbedömning ingår därför i varje ledningssystem för informationssäkerhet. För att kunna bestämma en risk måste hoten fastställas och en bedömning ske av deras skadepotential och sannolikheten för att de uppkommer. Olika metoder för riskbedömning används beroende på aktuell situation, organisatoriska randvillkor, aktuell bransch samt eftersträvad ITsäkerhetsnivå. Ledningen för informationssäkerhet måste välja ut en metod som är lämplig med hänsyn till institutionens typ och storlek. Metodvalet påverkar i hög grad arbetsinsatsen för att ta fram ITsäkerhetskonceptet. Olika typer av riskbedömning finns beskrivna i normen ISO/IEC Utifrån denna norm har BSI utvecklat flera metoder och provat dessa i praktiken. I IT-grundskydd-tillvägagångssättet beskrivs en mycket verklighetsanknuten metod för riskbedömning vilken kan genomföras med hjälp av ITgrundskydd-katalogen. Detta tillvägagångssätt kompletteras genom BSI-standarden "Risikoanalyse basierend auf IT-Grundschutz" (Riskanalys baserad på IT-grundskydd). Tillämpningen av IT-grundskydd eller andra kända framgångsrika arbetssätt har fördelen att den egna arbetsinsatsen klart reduceras eftersom författarna redan beskriver en konkret metod och förslår lämpliga IT-säkerhetsåtgärder. Figur 6: Översikt över ett IT-säkerhetskoncepts livscykel BSI-standard 100-1: Ledningssystem för informationssäkerhet (LIS) Sidan 23