Nytt metodstöd för systematiskt informationssäkerhetsarbete. Revidering av MSB:s metodstöd. Per Oscarson, Oscarson Security AB Carl Önne, MSB

Transkript

1

2 Nytt metodstöd för systematiskt informationssäkerhetsarbete Revidering av MSB:s metodstöd Per Oscarson, Oscarson Security AB Carl Önne, MSB

3 Vad är metodstödet för systematiskt informationssäkerhetsarbete? Del av stödet för systematiskt arbete med informationssäkerhet i organisationer Publicerat på informationssäkerhet.se MSB i samverkan med andra myndigheter

4 Innehåll Behovet av ett metodstöd för systematiskt informationssäkerhetsarbete Nuvarande metodstöd och motiv till revidering Upplägg och organisation Översikt av den (preliminära) nya versionen Fortsatt arbete

5 Behovet av ett metodstöd Stöd för att skapa ett systematiskt informationssäkerhetsarbete/lis Rådande standarder inte helt lättförståeliga och innehåller inte konkret metodik SS-EN ISO/IEC 27001:2017 SS-EN ISO/IEC 27002:2017 Metodstödet syftar till att ge konkret hjälp

6 Innehåll Behovet av ett metodstöd för systematiskt informationssäkerhetsarbete Nuvarande metodstöd och motiv till revidering Upplägg och organisation Översikt av den (preliminära) nya versionen Fortsatt arbete

7 Det nuvarande metodstödet

8 Målbild för revideringen Enkelhet: Mindre komplext, mer pedagogiskt, fler mallar Snabba resultat:att användarna snabbt förstår helheten och upplever att varje steg ger ett tydligt resultat Modernt: Tar sin utgångspunkt i den nya verkligheten Aptitligt: Layout och språk som tilltalar användarna Flexibelt: Levereras på ett sätt så att det är lätt att använda, anpassa, kommunicera (ej endast sekventiellt, går att använda efter behov)

9 Innehåll Behovet av ett metodstöd för systematiskt informationssäkerhetsarbete Motiv till revidering av metodstödet Upplägg och organisation Översikt av den (preliminära) nya versionen Fortsatt arbete

10 Upplägget i stora drag Arbetet pågått under hösten 2016 och våren 2017 Två öppna workshops har hållits Efterföljande analyser av framkomna behov Arbetsgruppens material färdigställs nu av två redaktörer; arbetsgruppen som referensgrupp

11 Organisation Kristina Starkerud, MSB (projektledare) Tina Andersson, MSB Helena Andersson, MSB Andreas Rappe, MSB Carl Önne, MSB Margareta Palmqvist, Socialstyrelsen/MSB Jan-Olov Andersson, Polisen/Ica Sverige Lars Grundström, Statens servicecenter Ingrid Holmström, Pensionsmyndigheten Eva Hyenstrand, Trafikverket Robert Lundberg, MSB/Arbetsförmedlingen Rose-Mharie Åhlfeldt, Högskolan i Skövde Fredrik Blix, konsult (redaktör) Per Oscarson, Örebro kommun/konsult (redaktör) Stöd av språkgranskare och illustratör

12 Innehåll Behovet av ett metodstöd för systematiskt informationssäkerhetsarbete Motiv till revidering av metodstödet Upplägg och organisation Översikt av den (preliminära) nya versionen Fortsatt arbete

13 Övergripande steg och ingående delar (preliminär)

14 Analysera Utvärdera Metodstöd Utforma Stegen mappade mot Använda Metodstöd 4. Organisationens förutsättningar Analysera 5. Ledarskap 6. Planering 7. Stöd 8. Verksamhet Utforma Använda 9. Utvärdering av prestanda Utvärdera 10. Förbättringar Utforma ( via Analysera)

15 Analysera Utvärdera Metodstöd Utforma Översyn av klassningsmodellen Använda Nuvarande klassningsmodell från 2009 Ej synkad med nuvarande metodstöd (2011) Mål: Stödja myndigheters efterlevande av MSBFS 2016:1 Harmonisera med nationella modellen och säkerhetsskyddslagstiftningen Underlätta för användarna

16 Målgrupp för metodstödet Alla typer av organisationer Den som arbetar med informationssäkerhet i en organisation Utbildningsmaterial m.m. kan användas av denna roll för att kommunicera med andra roller i organisationen

17 Metodstödet som produkt Fortfarande på informationssäkerhet.se Presenteras i HTML, PDF och RTF Mallar m.m. i ändringsbart format, t.ex. Word, Excel, PowerPoint

18 Struktur - exempel riskanalys Vägledning Om risk Riskhantering Riskanalys Att utbilda om risk Att genomföra riskanalyser Verktygslåda Utbildningsmaterial Riskanalysmetod(-er) Dagordning för genomförande Dokumentationsprotokoll Rapportmall Presentationsmall för inledning av riskanalyser Presentationsmallar för utbildning i risker och riskanalys Exempelbank Organisationers genomförande av riskanalys/-hantering Andra riskanalysmetoder, 31000, 27005, COSO, forskningsrapporter, incidenter, hot, sårbarheter m.m.

19 Navigering Rubriker och navigering inom sidan Vägledningen, text De tre övriga delarna

20 Expandera kategorin för att komma åt material Till en sida med allt material och ev. fördjupande text

21 Innehåll Behovet av ett metodstöd för systematiskt informationssäkerhetsarbete Motiv till revidering av metodstödet Upplägg och organisation Översikt av den (preliminära) nya versionen Fortsatt arbete

22 Fortsatt arbete Ytterligare en workshop 17 oktober Intern remiss på Verksamheten för cybersäkerhet och samhällsviktig verksamhet, MSB Remiss till Samfi-myndigheterna Lansering planeras ske i slutet på året 2017

23 Frågor?