Verktygsstöd för Informationssäkerhet KLASSA

Transkript

1 Verktygsstöd för Informationssäkerhet KLASSA

2 Lidingö stad Styra Stötta Starta Björn Söderlund CIO och CISO Stadsledningskontoret, Lidingö stad DIGITALISERING? 2. Informationssäkerhet 3. earkiv 4. ehälsa 5. eblomlåda 6. LIKA 7. etjänsteutveckling 8. Öppna Data enkäter

3 Informationssäkerhet?

4 Informationssäkerhet? Huah! ISO 27001, ISO 27002, NIST SP800-53, DSF, PUL, Lagrum många lagrum.

5 Svära i kyrkan

6 Reflektioner vad är INTE informationssäkerhet?

7 Reflektioner borde vi prata mer vi än vi och dom?

8 Reflektioner Om de flesta driver utveckling mot fler dokument, krav, formalia vem är motvikt?

9 Reflektioner vem tar bollen att göra det svåra lättare?

10 Koncept

11 Dokumentation

12 Lagrum som ofta påverkar användning av it 7 kap 3 Konkurrens mellan sekretessbestämmelser 18 kap. Sekretess till skydd främst för intresset av att förebygga eller beivra brott Förundersökningar, underrättelseverksamhet, m.m. 1-4, 8-10, kap. Sekretess till skydd för det allmännas ekonomiska intresse Myndighets affärsverksamhet m.m kap. Sekretess till skydd för uppgift om enskilds personliga förhållanden oavsett i vilket sammanhang uppgiften förekommer Förundersökningar m.m. Underrättelseverksamhet m.m Myndigheter som biträder åklagarmyndigheter m.fl Sekretessbrytande bestämmelser. Säkerhets- eller bevakningsåtgärd Chiffer, kod, m.m. Körkorts referensnummer Spridning av kärnvapen, m.m. Upphandling m.m. Hälsa och sexualliv Sekretessbrytande bestämmelse Förföljda personer, m.m. Adress, telefon, m.m. Sekretessbrytande bestämmelse Hälsotillstånd m.m. 1, 2,3,4, 7 Behandling i strid med personuppgiftslagen 23 kap. Sekretess till skydd för enskild i Förskola och viss annan pedagogisk verksamhet utbildningsverksamhet, m.m. Fritidshem och viss annan pedagogisk verksamhet 2-5 Specialpedagogisk stödverksamhet Annan utbildningsverksamhet 25 kap Sekretess till skydd för enskild i verksamhet Hälso- och sjukvård och annan medicinsk verksamhet som avser hälso- och sjukvård, m.m. Sammanhållen journalföring Omprövning och tillsyn Hälso- och sjukvård m.m. Patientnämndsverksamhet 1-6, 8, 10-11, Omhändertagande av patientjournal Sekretess i förhållande till den vård- eller behandlingsbehövande Inspektionen för vård och omsorg Sekretess gäller hos Socialstyrelsen i ärende om legitimation, särskilt förordnande att utöva yrke eller bevis om specialistkompetens Hälso- och sjukvårdens ansvarsnämnd i ärende om prövotid, återkallelse av legitimation eller annan behörighet, Undantag från sekretess Sekretessbrytande bestämmelser 26 kap 1-8, 10 Socialtjänst och därmed jämställd verksamhet Underårigs vistelseort Familjerådgivning Omhändertagande av personakt Anmälningar m.m. uppgift om en enskilds personliga förhållanden i anmälan i ärende om klagomål mot kommunal hälso- och sjukvård eller dess personal Undantag från sekretess Sekretessbrytande bestämmelser 31 kap Affärsförbindelse med myndighet Affärsförbindelse med vissa bolag m.m. Överföring av sekretess Dispens av regeringen

13 Hur skyddsvärd är en informationstillgång? Vem gör bedömningen? Hur görs bedömning? Vad leder bedömningen till? Vem följer upp?

14 Vad KLASSA är Handlingsplan för informationssäkerhet för enskilda system med konkreta krav på systemförvaltningsarbete utifrån informationsklassning Informationssäkerhets-relaterade krav vid upphandling utifrån informationsklassning. Med syfte att Minska behov av utbildning Naturalisera i praktiskt arbete Förenkla Vara konkret och tydlig Skapa likvärdig bedömning

15 Vad KLASSA inte är Ledningsmodell för informationssäkerhet IT säkerhet Risk och sårbarhetsanalys Kontinuitetsplan Katastrofplan Strategi för informationssäkerhetsarbete Upphandlingskrav Systemförvaltningsplan Enkät Utbildningsmaterial

16 Mognadstrappa Best in Class Good enough KLASSA? Wait and see

17 Infoklassning

18 Process - Informationsklassning INFORMATIONS- INFORMATIONS- TILLGÅNG INFORMATIONS- TILLGÅNG TILLGÅNG KRAV METOD KLASSIFICERA KLASSAD INFORMATION S-TILLGÅNG

19 Tillämpning av resultatet KLASSA Kontrollkatalog Klassning Mönster Riskanalys Åtgärder

20 Fyra kravområden Konfidentialitet Riktighet Spårbarhet Tillgänglighet

21 Klassning Fyra kravområden Konfidentialitet att informationen kan åtkomstbegränsas Riktighet att informationen ska vara tillförlitlig, korrekt och fullständig Tillgänglighet att informationen ska kunna nyttjas efter behov, i förväntad utsträckning samt av rätt person med rätt behörighet Spårbarhet att aktiviteter som rör informationen kan spåras

22 Klassning Fyra konsekvensnivåer Allvarlig skada ex massiv informationsförlust, verksamhetsförlust, oöverskådliga konsekvenser, samt fara för liv och hälsa Betydande skada ex tillgänglighetsstörningar, brott mot regelverk, rättsliga krav och avtal, samt förlust av skapat förtroende Måttlig skada ex minskad förmåga att genomföra verksamhetens uppgifter, men effektiviteten är påvisbart reducerad Försumbar skada

23 Klassning - Exempel System Applikation Informations -tillgång Konfidentialitet Riktighet Tillgänglighet Spårbarhet Journalsystem Allvarlig skada Allvarlig skada Inbrottslarm Måttlig skada Måttlig skada Pressmeddelande (vid utskick) Försumbar skada Betydande skada Betydande/ Måttlig skada Betydande skada Måttlig skada Allvarlig skada Betydande skada Försumbar skada

24 Övning - Nattillsyn Allvarlig skada ex massiv informationsförlust, verksamhetsförlust, oöverskådliga konsekvenser, samt fara för liv och hälsa Betydande skada ex tillgänglighetsstörningar, brott mot regelverk, rättsliga krav och avtal, samt förlust av skapat förtroende Måttlig skada ex minskad förmåga att genomföra verksamhetens uppgifter, men effektiviteten är påvisbart reducerad Informationstillgång Konfidentialitet Riktighet Tillgänglighet Spårbarhet Nattillsyn????

25 Så här kommer KLASSA in

26 Mittköping

27 Struktur Konfidentialitet Spårbarhet Tillgänglighet Riktighet Uppfyller helt Uppfyller delvis Uppfyller inte alls Ej relevant Kriterie nivå 1 Systemförvaltning Kriterie nivå 2 Kriterie nivå 3 (Kriterie nivå 4) Handlingsplan systemförvaltning Skall/ Bör Upphandling Krav nivå 1 Krav nivå 2 Krav nivå 3 (Krav nivå 4) Infosäk-krav Upphandling

28 Målgrupp IT verksamhet Leverantörer Systemägare Upphandlare System förvaltare Informations säkerhets ansvariga Användare Myndigheter Ledning

29 Driftansvarig Infosäksamordnare Systemförvaltare

30 Jurist Infoägare Driftansvarig Systemägare Specialist Infosäksamordnare Systemförvaltare

31 Följ upp Klassa informationen Genomför handlingsplan Ta ställning till krav

32 Följ upp Klassa informationen Genomför handlingsplan Ta ställning till krav

33 Tips Samordnare Tänk information i systemet- avgränsa! Tempo- målet är handlingsplanen Övertolka inte formuleringar Inte så många användare- använd Excel! Högre krav leder till merarbete

34 Erfarenheter från Lidingö Tredje varvet- Uthållighet. Trendmätning spelar ingen roll- nästa steg är fokus! Skapa teaser ( - Nå 80% så slipper ni oss ) Respektera svårighet att prioritera infosäkarbete Får inte alla att göra rätt, når inte alla Vi har ett mellanår Andra frågor tar fokus. Fokusera på verksamhetssystem- inte infrastruktursystem. Tänk att Excel kan göra mycket som är komplext i ett system

35 Någonting gör vi i alla fall rätt!

36 Demo dags! detta kommer aldrig fungera rect=%2fmyimpactassesments%2fimpactasses ment%2f2#clear

37 Styrgrupp Christer Fredrik Joachim Håkan Josefina Sanchez vakant Stephen Jeanna Thorslund Systemägare Jörgen Sponsor Björn tf Systemägare Calissendorff Systemförvaltare KONSULTSTÖD Nilsson

38 Ny version KLASSAv2 Oktober..nåja November

39 Tack för mig också!