HUR GENOMFÖR MAN EN SÄKERHETSANALYS. Thomas Kårgren

Transkript

1 1 HUR GENOMFÖR MAN EN SÄKERHETSANALYS Thomas Kårgren

2 2 Säkerhetsanalys - genomförande > Vi har gått igenom vad en säkerhetsanalys är > Författningsstyrd > En inventering och förteckning över sådant som rör rikets säkerhet eller skyddet mot terrorism > Analysprodukten i sig är ett dokument som bygger på bedömningar av olika objekt kopplade mot hot, risker, sårbarheter och möjliga konsekvenser > En av de viktigaste sakerna med säkerhetsanalysen är utformningen av åtgärder, säkerhetshöjande åtgärder och säkerhetsskyddsåtgärder

3 Hur ska man????? > Var börjar man? > Vilka saker ska göras? > I vilken ordning ska de göras? > Vilka behöver delta? > Hur dokumenterar vi? > Vad gör vi sedan?

4 Var börjar man? Det första som måste göras är att definiera VAD det är som säkerhetsanalysen ska göras för. En mindre verksamhet kan kanske göra säkerhetsanalys för hela verksamheten i ett slag men för större organisationer och verksamheter är detta inte görbart och bör därför delas upp i mindre delar. Därmed inte sagt att en mindre organisation inte ska dela upp arbetet med säkerhetsanalys på flera olika objekt, anpassning till hur verkligheten ser ut måste alltid ske! Nyckelord: [Geografisk spridning] [Kraftigt varierade verksamhetsområden] [Stora skillnader i tekniska eller fysiska utföranden] [Ansvarsförhållanden]

5 Var börjar man? När man definierat VAD det är som säkerhetsanalysen ska göras för så måste några förutsättningar kontrolleras. > Har det genomförts hot-, risk- och sårbarhetsanalys som täcker det VAD som man definierat för säkerhetsanalysen? > Vad är status på analysen? (aktualitet, omfattning etc.) > Tillgänglighet och användbarhet! Är analysen tillgänglig för de som ska genomföra säkerhetsanalysen och är den dokumenterad på ett sätt som gör att den kan användas inom ramen för säkerhetsanalysen?

6 Vilka behöver delta? Personer som bör engageras inom ramen för arbetet med säkerhetsanalysen. Nyckelord: [VERKSAMHETSKUNSKAP] [SÄKERHETSKOMPETENS] Klassiska fällor! Inskränkning i deltagande med hänvisning till konfidentialitet! Hemmablindhet! (rädsla eller oförmåga att vidga vyerna)

7 Vilka saker ska göras? > Identifiera grupper av objekt (oavsett art och karaktär) som interagerar och beror av varandra på ett sådant sätt att de kan räknas som en samverkande enhet. Sådan grupper kan littereras för att kunna användas som ingående objekt i analysen A20-15/ #GB37

8 Vilka saker ska göras? > Bedömning av hur objektgruppens betydelse står sig kopplat mot rikets säkerhet eller skyddet mot terrorism > Hot, risker och sårbarheter som finns dokumenterade > Brainstorming med stöd av tillgänglig information > Dokumentera utfall/beslut om huruvida objektgruppen berörs eller ej samt varför

9 Vilka saker ska göras? Hur gör jag avdömningen kriterier!? > Påverkas ett större antal människors liv och hälsa? > Påverkas ett större geografiskt område? Är denna påverkan långvarig och/eller inträffar den vid en olämplig tidpunkt? > Får händelsen allvarliga sociala, ekonomiska och/eller politiska konsekvenser för samhället?. > Påverkas andra samhällsviktiga verksamheter allvarligt? > Finns det risk att allvarliga negativa konsekvenser uppstår i framtiden?

10 Vilka saker ska göras? Hur gör jag avdömningen kriterier!? Elakhatten på! 1 Påverkar ett upptagningsområde med mer än personer 3 B4 eller B3 anläggning Uppgifter 2 Medför ett totalt avbrott som överstiger 2 dygn Verksamhet KONSEKVENSER! Anläggning System

11 Vilka saker ska göras? Det paradoxala i bedömningarna! > Många objekt kommer att omfattas av säkerhetsskydd enligt kriterier och bedömningar > Åtgärder kan göra så att objekt faller utanför säkerhetsskyddet som följd av de effekter åtgärder medför, i.e. säkerhetsnivån är så pass hög så att avsedd händelse inte längre kan inträffa eller påverka objektet på tidigare identifierat sätt > Vikten av noga och väl utformade och genomförda åtgärdsplaner kan inte nog understrykas!

12 Vilka saker ska göras? Det paradoxala i bedömningarna - exempel Tillförd redundans medför att funktionen som sådan inte längre omfattas Reservkraft Driftcentral Reservkraft

13 I vilken ordning ska saker göras Formell betydelse och mening > VAD!? [OBJEKTET] Hitta lämpliga organisationsdelar i lämplig storlek och eller utformning > HOTBILD! Riskanalys, vilka hot, risker och sårbarheter finns eller kan finnas som kan påverka OBJEKTET > BEDÖMNING! Använd tillgängliga kriterier för att bedöma tillämpligheten > DOKUMENTERA! Säkerhetsanalys är i sin enklaste form en tabell

14 Hur dokumenterar vi Nyckelord som beskriver framgångsfaktorer inom säkerhetsanalys > Enkelhet (skippa de milslånga inledningarna) > Tydlighet (bilder är utmärkta hjälpmedel när man definierar objekt) > Definiera/Definitioner (se till att alla uttryck är kända och begripliga) > Förankrad (om man refererar till företagets klassificering, säkerställ att den är gällande)

15 Hur dokumenterar vi Kom ihåg tabellen! Kärnan i analysen ID OBJEKT BEDÖMNING FTG KLASS SA VKV-BECKFORS Verket kan om det utsätts för mekaniskt/elektriskt eller cyber angrepp möjligen orsaka kaskaderande effekter i nätet som i värsta fall kan påverka hela regionen. Verket och tillämplig berörd information bedöms behöva skyddas mot terrorism. K2 Information FS2 Fysiskt skydd SA SC/DC-SLÖBERG Det går inte att utesluta att centralen skulle kunna utnyttjas för ett elektroniskt cyberangrepp på ovanliggande styr-infrastruktur som tillhör VAFAON och på det viset påverka elförsörjningen i riket. Centralen bedöms röra rikets säkerhet. K1 Information FS1 Fysiskt skydd

16 Vad gör vi sedan Några viktiga saker att komma ihåg! Innehållet i analysen är oftast skyddsvärt! Det är dock av yttersta vikt att de som behöver ha tillgång till informationen i analysen för att kunna utföra ålagda uppgifter får det. Skyddet ska hålla OBEHÖRIGA borta från innehållet! Analysen ska utgöra grunden för utformning av åtgärder! En åtgärdsplan ska, om det inte är uppenbarligen obehövligt, upprättas. Säkerhetsanalys H

17 Vad gör vi sedan Åtgärdsplanering och utförande Huvudsaken är att åtgärdsplanen är utförd så att det finns tydliga aktiviteter, ansvar och tidplaner för åtgärder. Tabellformat fungerar utmärkt. Exempel på några kolumnrubriker: > ID En litterering som gör att aktiviteterna lätt kan identifieras > AKTIVITET Ska ge svar på frågan; Vad ska göras? > ANSVARIG Vem äger aktiviteten och ser till att den utförs? > TIDPLAN När ska aktiviteten, eller delaktiviteterna, vara klar(a)

18 Vad gör vi sedan Uppföljning och revision Säkerhetsanalysen är ingen produkt som blir färdig och arkiveras! > Uppföljning kan behöva ske som följd av förändrad hotbild eller förändringar i verksamheten. > SvkFS 2013:1 1 Den säkerhetsanalys som ska genomföras enligt 5 säkerhetsskyddsförordningen ska göras minst en gång vartannat år. Resultatet av analysen ska dokumenteras. Svenska Kraftnät ska på anmodan delges resultat av sådan analys.