Nulägesanalys. System. Bolag AB

Transkript

1 Energibranschens IT-säkerhet 1 (11) Nulägesanalys System Bolag AB Skall mailas/skickas till namn.namn@bolag.se senast den XX xxxxxx Ort: Datum: Uppgiftslämnare: Bolag och befattning:

2 Energibranschens IT-säkerhet 2 (11) 1 INFÖR NULÄGESANLYSEN VAD ÄR INFORMATIONSSÄKERHET? INSAMLING AV GRUNDLÄGGANDE INFORMATION Beskrivning Informations- och systemklassning Kostnader Avbrott Fel Formellt ansvariga... 11

3 Energibranschens IT-säkerhet 3 (11) Inför Nulägesanalysen Vad är informationssäkerhet? Information är en tillgång som, liksom andra viktiga tillgångar i en organisation, har ett värde och följaktligen måste få ett adekvat skydd. Informationssäkerhet syftar till att skydda information mot förekommande hot, förhindra avbrott i verksamheten och minska skador och bidrar därigenom till att maximera värdet av organisationens verksamhet. Information förekommer i många former. Den kan exempelvis vara tryckt eller skriven, elektroniskt lagrad, skickad med post eller e-post, visad på film eller talad. Oavsett vilken form informationen har, eller det sätt på vilket den överförs eller lagras, måste den alltid få ett godtagbart skydd. Informationssäkerhet karaktäriseras som bevarandet av: sekretess - säkerställande av att information är tillgänglig endast för dem som har behörighet för åtkomst riktighet/tillförlitlighet - skydd av information och behandlingsmetoder så att de förblir korrekta och fullständiga tillgänglighet - säkerställande av att behöriga användare vid behov har tillgång till information och tillhörande tillgångar Informationssäkerhet uppnås genom att lämpliga styrmedel införs. Dessa kan vara t.ex. riktlinjer, rutiner, organisation och programfunktioner. Därigenom säkerställs att organisationens specifika säkerhetsmål uppnås.

4 Energibranschens IT-säkerhet 4 (11) Insamling av grundläggande information Beskrivning Jag önskar en förteckning och beskrivning av de informationssystem som finns i er verksamhet. Detta för att utröna om de tekniska system som används vid informationshanteringen är utformade och anpassade på ett säkerhetsmässigt sätt. Vad räknas som ett system? Ett informationssystem ska uppfylla nedanstående krav: Är en helhet och kan bestå av ett eller flera program/applikationer (t.ex. mail, Officepaket, Ekonomisystem) Har ett syfte (t.ex. skicka mail, löneadministration) Har en systemägare (t.ex. ägs av IT-avd, ägare av mindre system är den som köpt systemet) Har ett namn (t.ex. Opus, Restid) Har en förvaltare/driftsansvarig (t.ex IT-drift) Har en eller flera användare Utför någon form av förändring eller bearbetning av information Exempel : System (Ange systemets namn) Beskrivning (Vad är syftet med systemet) 1. RESTID Registrering av arbetad tid och reseräkning Beroende (Ange om systemet är beroende av något annat system för att fungera) Beroende av att Intranätet är åtkomligt

5 Energibranschens IT-säkerhet 5 (11) Fyll i nedanstående tabell enligt exemplet: System (Ange systemets namn) 10. Beskrivning (Vad är syftet med systemet) Beroende (Ange om systemet är beroende av något annat system för att fungera)

6 Energibranschens IT-säkerhet 6 (11) Informations- och systemklassning Information som hanteras inom ett bolag skall säkerhetsklassas. De säkerhetsklasser som generellt brukar användas när det gäller manuell hantering är: 1. Öppen 2. Intern 3. Företagshemlig 4. Kvalificerat företagshemlig För att kunna säkerhetsklassa system efter ISO/IEC ska vi klassa systemen inom samtliga tre områden: Tillgänglighet, Sekretess och Riktighet. Vi ska klassa systemen med utgångspunkt för hur beroende man är av dem i sitt dagliga arbete avseende tillgänglighet, sekretess och riktighet. Använd skalan 1-5 där 5 betyder ovärderlig och 1 oviktigt, se förklaring nedan. Förklaring av skalan 1 Oviktigt Det har ingen betydelse att jag inte kan nå systemet när jag försöker. Jag kan använda systemet en annan dag eller vecka. Ingen ekonomisk påverkan. 2 Inte speciellt viktigt Tillgänglighet Sekretess Riktighet Det gör inget att andra Det gör inget att jag kan komma åt och läsa inte kan lita på informationen. Jag siffrorna eller om behöver inte veta vem någon annan ändrar i som kan läsa den. informationen. Öppen. Öppen. Jag är inte beroende av att nå systemet direkt, men det gör att jag får extraarbete. Kan klara ett avbrott på en dag utan nämnvärd ekonomisk förlust. 3 Viktigt Jag är beroende av att nå systemet på dagtid annars kan jag inte fullfölja mina arbetsuppgifter. Maximal avbrottstid är ett par timmar. Kan innebära ekonomiska förluster. Det är bra om jag vet vem som kan läsa informationen. Informationen klassas som Öppen. Informationen bör inte läsas av extern part. Annan information som inte är hemlig och inte är avsedd för externt bruk. klassad som Intern. Det är inte speciellt viktigt att informationen är helt korrekt, men jag bör kunna lita på att den är någorlunda korrekt. Informationen klassas som Öppen. Informationen ska inte kunna ändras av extern part. Annan information som inte är hemlig och inte är avsedd för externt bruk klassad som Intern.

7 Energibranschens IT-säkerhet 7 (11) 4 Mycket viktigt Jag måste kunna nå systemet alltid. Jag kan inte acceptera avbrott längre än en timme. Den ekonomiska effekten blir kännbar för företaget. 5 Ovärderligt Jag måste kunna nå systemet alltid. Inga avbrott får förekomma då det kommer att medföra mycket höga ekonomiska kostnader. Den ekonomiska effekten kan medföra att verksamheten tvingas upphöra. Informationen får inte läsas av obehörig. Information som vid otillbörlig läsning orsakar ekonomisk skada på företaget. Ekonomisk information som kan ge otillbörlig personlig vinst. Känslig information ur integritetssynpunkt. klassad som företagshemlig. Informationen får absolut inte läsas av obehörig. Information som vid otillbörlig läsning kan äventyra företagets framtida marknadsposition. Information som innehåller strategier, framtidsplanering, nya produkter, säkerhetsinformation, marknads- och konkurrentanalyser. klassad som kvalificerat företagshemlig. Informationen måste garanterat vara korrekt. Information som vid otillbörlig förändring orsakar ekonomisk skada på företaget. Ekonomisk information som kan ge otillbörlig personlig vinst. Känslig information ur integritetssynpunkt klassad som företagshemlig. Informationen måste garanterat vara korrekt. Information som vid otillbörlig förändring kan äventyra företagets framtida marknadsposition. Information som innehåller strategier, framtidsplanering, nya produkter, säkerhetsinformation, marknads- och konkurrentanalyser. klassad som kvalificerat företagshemlig.

8 Energibranschens IT-säkerhet 8 (11) Klassa enligt ovanstående skala varje system med hänsyn till informationens tillgänglighet, sekretess och riktighet. Ange i siffror 1 5. System Tillgänglighet Sekretess Riktighet

9 Energibranschens IT-säkerhet 9 (11) Kostnader Uppskatta hur stora kostnaderna blir i kr/dygn vid ett avbrott. Räkna in ev. konsulttid/-kostnad, egen personalkostnad för stillestånd och ev. merarbete samt ev. skadestånd. Ta bara hänsyn till DINA/ERA kostnader. Ange konsult- och personalkostnader i mantimmar var för sig. Uppskatta hur stora kostnaderna blir i kr/dygn eller mantimmar/dygn vid ett avbrott: 1. System kr/dygn alt mantimmar/dygn (kort avbrott, mindre än en dag) kr/dygn alt mantimmar/dygn (långt avbrott, mer än en dag)

10 Energibranschens IT-säkerhet 10 (11) Avbrott Med avbrott menas att du inte kan nå eller starta programmet. Ungefär hur ofta förekommer avbrott i ovan beskrivna system? System => Avbrott har aldrig hänt Avbrott är sällsynta (har inträffat) Avbrott förekommer (händer varje år) Avbrott är ganska vanliga (händer varjemånad) Avbrott förekommer ofta (händer varje vecka) Avbrott förekommer ständigt (händer varje dag) Fel Med fel menas att du kan starta programmet men det hänger sig eller något går fel när du t.ex. ska skriva ut. Hur ofta inträffar fel som medför akuta åtgärder? System => Fel som medför akuta åtgärder har aldrig hänt Fel som medför akuta åtgärder är sällsynta (har inträffat) Fel som medför akuta åtgärder förekommer (händer varje år) Fel som medför akuta åtgärder är ganska vanliga (händer varje månad) Fel som medför akuta åtgärder förekommer ofta (händer varje vecka) Fel som medför akuta åtgärder förekommer ständigt (händer varje dag)

11 Energibranschens IT-säkerhet 11 (11) Formellt ansvariga Vissa system är gemensamma som t.ex. mail, då är det troligt att ansvarig är IT-drift. Andra system är lokala och då kan det tex. vara den som köpt in systemet som är ansvarig. Fråga dig runt i din organisation om du är osäker. Vilka personer är formellt ansvariga för respektive system? System Namn Befattning TACK FÖR HJÄLPEN!