Process 8 Skyddsstrategi

Transkript

1 Process 8 Skyddsstrategi

2 Planera för Fas 1: Organisatorisk bild Fas 2: Teknisk bild Fas 3: Riskanalys Process 1: Kunskapsinsamling - chefsnivå Process 5: Identifiera nyckelkomponenter Process 7: Utför riskanalys Process 2: Kunskapsinsamling - handläggarnivå Process 6: Utvärdera valda komponenter Process 8: Framta skyddsstrategi Process 3: Kunskapsinsamling IT-stödsnivå Process 4: Skapa hotprofiler Nästa steg:

3 Process 8 Process 8A framta skyddsstrategi Process 8B fastställa skyddsstrategi

4 Mål för process 8A Skapa skyddsstrategi avhjälpningsplaner åtgärdslista

5 Utdata från OCTAVE Skyddsstrategi Organisationen Avhjälpningsplan Tillgångar Åtgärdslista Kortsiktiga åtgärder

6 Utdata från OCTAVE, forts Skyddsstrategi Lång sikt Avhjälpningsplan Åtgärdslista Kort sikt

7 Process Process 8A: 8A: Framta Framta skyddsstrategi Slutprodukter Ingångsvärden Nuvarande rutiner enligt Analysgruppens skyddsstrategi kunskaper Nuvarande organisatoriska Resultat från process 1-7 sårbarheter Förslag på skyddsstrategi avhjälpningsplaner Arbetspapper åtgärdslista Arbetsblad Nuvarande strategiska rutiner (AB8A.1) Arbetsblad Nuvarande operationella rutiner (AB8A.2) Arbetsblad Skyddsstrategi för strategiska rutiner (AB8A.3) Arbetsblad Skyddsstrategi för operationella rutiner (AB8A.4) Arbetsblad Åtgärdslista (AB8A.5) Arbetsbok

8 Tidsramar för Process 8A Förarbete: sammanställ information Introduktion Granska information Skapa skyddsstrategi Skapa avhjälpningsplan Skapa åtgärdslista Sammanfattning 2-5 timmar 15 minuter 30 minuter - 1 timme 1,5-2 timmar 2-2,5 timmar 30 minuter - 1 timme 15 minuter Total tid: 5 7 timmar utan rast Total tid utanför grupparbete: 2-5 timmar

9 Generell standard Standard Strategiska rutiner Operationella rutiner

10 Områden för strategiska rutiner Strategiska rutiner Förståelse för och utbildning inom säkerhet Säkerhetsstrategi Kontinuitetsoch krishanteringsplaner Säkerhetspolicies och reglementen Hantering av externa aktörer Hantering av säkerhetsarbetet

11 Områden för operationella rutiner Operationella rutiner Fysisk säkerhet Fysiskt skydd säkerhetsplaner och procedurer Kontroll av fysisk tillgänglighet Övervakning och granskning av fysisk säkerhet IT-säkerhet Hantering av system och nätverk Sysadmverktyg Övervakning och granskning av ITsäkerhet Autenticering och godkännande Hantering av sårbarheter Kryptering Säkerhetsarkitektur och -design Personalsäkerhet Incidenthantering Allmänna rutiner

12 Förarbeten Sammanställ information Sammanställ resultaten från enkätundersökningen från process 1-3 efter organisationsnivå Konsolidera information rörande skyddsstrategi Gå till Arbetsblad Nuvarande strategiska rutiner (AB8A.1) och Arbetsblad Nuvarande operationella rutiner (AB8A.2)

13 Granska skyddsstrategi och riskinformation (A8A.1) Granska följande information rutiner enligt skyddsstrategi organisatoriska sårbarheter tekniska sårbarheter säkerhetskrav riskprofiler Granska Arbetsblad Nuvarande strategiska rutiner (AB8A.1), Arbetsblad Nuvarande operationella rutiner (AB8A.2) och Arbetsbok.

14 Skyddsstrategi Utgör riktningen för framtida satsningar inom informationssäkerhet Anger de strategier som organisationen använder för att möjliggöra säkerhet initiera säkerhet implementera säkerhet upprätthålla säkerhet

15 Skyddsstrategi, forts. Strukturera kring standard och behandla följande områden Förståelse för och utbildning inom säkerhet Säkerhetsstrategi Hantering av säkerhetsarbetet Säkerhetspolicies och reglementen Hantering av externa aktörer Kontinuitets- och krishanteringsplaner Fysisk säkerhet IT-säkerhet Personalsäkerhet

16 Skapa strategi för strategiska rutiner (A8A.2) Ta fram en strategi för de strategiska rutinerna med tanke på nuvarande rutinerna som er organisationen borde fortsätta använda inom respektive område nya strategier som er organisation borde bruka inom respektive område Gå till Arbetsblad Skyddsstrategi för strategiska rutiner (AB8A.3)

17 Skapa strategi för operationella rutiner (A8A.2 forts.) Ta fram en strategi för de operationella rutinerna med tanke på träning och utbildning finansiering policies och procedurer roller och ansvar samarbete med andra organisationer samt med externa experter Gå till Arbetsblad Skyddsstrategi för operationella rutiner (AB8A.4)

18 Avhjälpningsplan Ange de aktiviteter som krävs för att avhjälpa risker/hot En avhjälpningsplan fokuserar på aktiviteter för att känna igen och upptäcka hot som uppkommer motstå eller förebygga hot att uppstå återhämta sig

19 Skapa avhjälpningsplan (A8A.3) Skapa avhjälpningsplaner, för varje kritisk tillgång, som beaktar åtgärder för att känna igen eller upptäcka när hot av denna typ sker åtgärder för att motstå eller förebygga att hot av denna typ sker åtgärder för att återhämta sig om hot av denna typ skett Andra åtgärder som kan vidtas vid hot av denna typ Gå till Arbetsbok

20 Åtgärdslista Ange de åtgärder som organisationens personal på kort sikt kan vidta Åtgärder på åtgärdslistan behöver generellt sett ingen specialträning, policyförändringar eller ändringar på roller och ansvar.

21 Skapa åtgärdslista (A8A.4) Skapa åtgärdslista som beaktar kortsiktiga åtgärder som behöver vidtas vem som ansvarar för åtgärden när åtgärder behöver vara vidtagna åtgärder som ledningen behöver vidta för att underlätta aktiviteten Gå till Arbetsblad Åtgärdslista (AB8A.5)

22 Sammanfattning Följande har framtagits i detta grupparbete skyddsstrategi för organisationen avhjälpningsplaner för varje kritisk tillgång kortsiktiga åtgärdspunkter i form av en åtgärdslista

23 Mål för process 8B Fastställa skyddsstrategi avhjälpningsplaner åtgärdslista nästa steg

24 Ingångsvärden Analysgruppens kunskaper Resultat från process 1-8A Process Process 8A: 8A: Fastställa skyddsstrategi Slutprodukter Skyddsstrategi Avhjälpningsplaner Åtgärdslista Arbetspapper Arbetsblad Nuvarande strategiska rutiner (AB8A.1) Arbetsblad Nuvarande operationella rutiner (AB8A.2) Arbetsblad Skyddsstrategi för strategiska rutiner (AB8A.3) Arbetsblad Skyddsstrategi för operationella rutiner (AB8A.4) Arbetsblad Åtgärdslista (AB8A.5) Arbetsbok Arbetsblad Summering av tillgångar (AB8B.1) Arbetsblad Riskprofil för kritisk tillgång (AB8B.2) Arbetsblad Organisatorisk skyddsstrategi (AB8B.3) Arbetsblad Avhjälpningsplan (AB8B.4) Arbetsblad Summering av åtgärdslista (AB8B.5) Arbetsblad Nästa steg (AB8B.6)

25 Tidsramar för Process 8B Förarbete: sammanställ information Introduktion Granskar information Granska och förfina skyddsstrategi, avhjälpningsplaner och åtgärdslista Skapa nästa steg Sammanfattning Efterarbete: dokumentera skyddsstrategi, avhjälpningsplaner och åtgärdslista, samt nästa steg 4-6 timmar 15 minuter 45 minuter-1,5 timme 45-minuter-1,5 timme 30 minuter-1 timme 15 minuter 1-2 timmar Total tid: 2,5-4,5 timmar utan rast Total tid utanför grupparbete: 5-8 timmar

26 Analysgruppens roll i process 8B Vägled aktiviteterna och diskussionerna inom grupparbetet Ledningen skall Göra nödvändiga justeringar av planer och åtgärder Besluta om nästa steg och fördela ansvar Gå till arbetsbladen process 8B