VAD ÄR EN SÄKERHETSANALYS. Thomas Kårgren

Transkript

1 VAD ÄR EN SÄKERHETSANALYS Thomas Kårgren

2 2 Rättslig reglering > SVKFS 2013:1 1 Den säkerhetsanalys som ska genomföras enligt 5 säkerhetsskyddsförordningen ska göras minst en gång vartannat år. Resultatet av analysen ska dokumenteras. Svenska Kraftnät ska på anmodan delges resultat av sådan analys. > Säkerhetsskyddsförordningen 1996:633 5 Myndigheter och andra som förordningen gäller för skall undersöka vilka uppgifter i deras verksamhet som skall hållas hemliga med hänsyn till rikets säkerhet och vilka anläggningar som kräver ett säkerhetsskydd med hänsyn till rikets säkerhet eller skyddet mot terrorism. Resultatet av denna undersökning (säkerhetsanalys) skall dokumenteras.

3 SÄPO:s riktlinjer/exempel för/på vad som är skyddsvärt i sammanhanget > Dokumentation > IT-miljön > Verksamhet > Anläggningar > Telekommunikation > Elförsörjning > Vattenförsörjning

4 Identifiering skyddsvärda resurser > Hur identifiera vad som är skyddsvärt Uppgifter Verksamhet Anläggning System

5 Beroenden ger upphov till skyddsvärde ett exempel > En anläggning bedöms omfattas av säkerhetsskyddsbehov inom ramen för skydd mot terrorism vad innebär det i övrigt som följd av direkta och implicita beroenden? Uppgifter om anläggningens fysiska utförande och skyddsnivå Uppgifter om anläggningens tekniska system Vilka arbetar där och vilka uppgifter har de Vad finns det för skyddsvärda resurser i anläggningen Hur ser anläggningens detaljerade funktion ut Sårbarheter som är potentiella eller befintliga hos anläggningen

6 Åter till frågan VAD är en säkerhetsanalys? Resultatet av analysen ska dokumenteras Uppgifter, anläggningar, verksamhet och system! Tautologi då det i slutändan alltid rör sig om en uppgift om något! En förteckning tabell som innehåller uppgifter om anläggning, verksamhet eller system. Bättre uttryckt objekt eller resurser! Observera de lösa och vida definitionsbegreppen av uttrycken. Det är viktigt att inse att ett system kan utgöras t.ex. av en kombination av anläggning/ar, verksamhet, personal och IT-system som tillsammans utgör eller utför en funktion.

7 VAD? Kärnan i en säkerhetsanalys! Två viktiga saker att tänka på: 1. Bedömningarna om vad som är skyddsvärt ska göras gentemot antagonistiska hot, företrädesvis utan att ta hänsyn till sannolikhet utan endast med fokus på konsekvenser. Observera att det kan finnas implicita beroenden även till andra typer av hot som kan möjliggöra antagonistiska hot 2. Enkel och lättläst uppräkning av de identifierade resurserna och objekten Tabell med tillämpliga kolumner!

8 VAD? Kärnan i en säkerhetsanalys! Tabell Skyddsvärd uppgift eller anläggningsresurs GIS-information med attributdata i företagets förvaltningssystem för anläggningar. Benämns kvalificerad GIS-information Beskrivning och motivering GIS-information med attribut kan ge uppgift till aktör om hur denna kan utnyttjas för att, i värsta fall orsaka avbrott i företagets hela elförsörjningsverksamhet. Sådan påverkan kan ske med såväl IT-baserade angrepp som med fysisk/mekanisk påverkan eller kombinationer därav. Det går inte att utesluta att ett sådant avbrott blir svårt att avhjälpa (mer än 7 dygn till 75% kapacitet återställning). Ett sådant avbrott kan i värsta fall påverka abonnenter vars liv kan vara i fara, inte minst om detta sker vintertid. Informationen bedöms mot ovanstående vara av vikt att skydda med avseende på terrorism. Företagets informationsklass Företaget ansätter informationsklass K1

9 Att disponera innehållet i säkerhetsanalysen röda tråden > Inledning, bakgrund och identifiering av objektet > Formalia (bemanning, hålltider, avgränsningar etc.) > Beskrivning av delobjekt (littererade) som identifierats och vilka hot de utsätts eller kan utsättas för samt vilka konsekvenser detta ytterst kan medföra > Tabell med bedömningar kopplade till respektive littera > Avsnitt om åtgärder, uppföljning och kontroll [OBS!!!]

10 Säkerhetsanalysen som dokument!? Skyddsvärde för analysen konfidentialitet och klassiska fällor! > Innehållet i analysen ÄR skyddsvärt! > För att verka med innehållet utfallet krävs en delgivning till parter som behöver informationen för att utföra sitt värv på ett korrekt sätt. > Klassificering och kontrollerad delgivning med sunda rutiner.

11 Utkomst av en säkerhetsanalys Det viktigaste med analysen Säkerhetsskyddsåtgärder och andra säkerhetshöjande åtgärder Vad är skillnaden? Säkerhetsskyddsåtgärder Åtgärdsplaner, uppföljning, kontroll och revision Åtgärdsplanering är ofta i sig lika, eller mer omfattande, än säkerhetsanalysen vad avser dokumentvolym. Således är det rimligt att åtgärdsplaneringen hanteras separat men att det finns tydliga kopplingar med spårbarhet. Åtgärdsplan exempel på energisäkerhetsportalen