SSF Säkerhetschef. Informationssäkerhet Per Oscarson

Transkript

1 SSF Säkerhetschef Informationssäkerhet Per Oscarson

2 Organisation av informationssäkerhetsarbetet Informationssäkerhet stödjande verksamhet Informationssäkerhetsansvarig Informationssäkerhetsorganisationen Beslutande och rådgivande fora Informationssäkerhet i projektstyrning Verksamhetsdriven informationssäkerhet Outsourcing och molntjänster

3 Informationssäkerhet en stödjande verksamhet Input och förutsättningar Uppdrag och finansiering Kärnverksamhet Input och förutsättningar Stödverksamheter Ekonomi Säkerhet HR IT Juridik Lokaler Kommunikation m.m. Produktion av varor och tjänster Andra resultat och konsekvenser Resultat Output resultat och konsekvenser

4 Ansvaret följer verksamhetsansvaret Har det övergripande ansvaret och beslutar om informationssäkerhetspolicy Ledning Ansvarar för verksamhetens informationstillgångar och säkerheten i dessa Linjechefer Projekt- och processägare Medarbetare ska följa policy, riktlinjer och instruktioner. Särskilda regler för konfidentiell information Medarbetare

5 Informationssäkerhetsansvar Verksamheten ansvarig för informationssäkerheten Informationssäkerhetsansvarig (el. motsv.) ansvarig för informationssäkerhetsarbetet

6 CISO Chief Information Security Officer Den som leder arbetet med en organisations informationssäkerhet Informationssäkerhetschef Informationssäkerhetsansvarig Informationssäkerhetsstrateg Informationssäkerhetssamordnare

7 CISO:s uppgift Att stödja organisationen i området Analysera Utforma och reglera Stödja Granska och kontrollera Tillämpa ett beprövat och systematiskt arbetssätt Tillämpning av standarder och ramverk Nätverkande Omvärldsanalys Kompetensutveckling

8 CISO:s kompetens Krishantering Fysisk säkerhet Personsäkerhet Pedagogik Ledarskap Nätverk Ledarskap Juridik Internet Verksamhetskunskap Kontinuitetshantering Risk Ekonomi Beteende Informationssäkerhet Kommunikation Sociala medier Compliance

9 CISO Tusenkonstnär? Visionär/strateg Ledare Utbildare Kommunikatör Rådgivare Tekniker/sakkunnig Inspektör/granskare Medlare/diplomat

10 Nätverkande Kontakter med myndigheter, nätverk, intressegrupper, branschkollegor m.m. nödvändigt Onödigt att uppfinna hjul själv! Andra har samma/liknande utmaningar Hotbild, legala krav, informationstillgångar, säkerhetsåtgärder är till stor del gemensam Åtgärd i SS-ISO/IEC 27002

11 Placering av CISO Bör vara i en stabsfunktion Ej underställd IT-chef (drift) Flera alternativ finns, t.ex. Säkerhetsavdelning Kvalitetsfunktion GRC Governance, Risk & Compliance Kansli/juridik Under CIO/Strategisk IT (om skild från drift) Kan (bör) rapportera direkt till ledningen

12 Relation till andra områden Informationssäkerhet vs Annan säkerhet (personal, fastigheter etc.) IT Kvalitet Risk Compliance Beror på organisationens utformning Ofta beror det på personliga relationer

13 Organisation av informationssäkerhetsarbetet CSO Ledning CIO Stab CSO CISO CISO IT-säk. Chef Kärnverksamhet Stödverksamhet Infosäk. Samordn. Infosäk. Samordn. IT IT-säk. Tekniker. Stab CIO IT-säk. Chef IT-säk. Tekniker. Infosäk. Samordn.

14 Beslutande och rådgivande fora Beslutande Regelverk (ej policy) och dispenser från regelverk Godkännande av produkter och tjänster Remissinstans Informationssäkerhet eller all säkerhet Rådgivande Representanter från verksamheter inkl. IT Förankring, beredningar, utkast till dokument m.m. Kunskapsdelning Informationssäkerhet eller all säkerhet

15 Bikupa två och två Hur ser det ut i era organisationer? CISO:s existens, placering IT-säkerhetschef/-ansvarig Säkerhet vs informationssäkerhet Beslutande och rådgivande fora Vad kan förbättras? Kort redovisning

16 Hantering av personuppgifter Personuppgiftsansvarig Normalt juridisk person (till exempel aktiebolag, stiftelse, myndighet eller förening) Personuppgiftsombud Utsedd av personuppgiftsansvarig Ska se till att behandlingen är korrekt och laglig Personuppgiftsbiträde Då personuppgifter behandlas utanför organisationen Skriftligt personuppgiftsbiträdesavtal ska finnas Dataskyddsombud Enligt EU:s nya Dataskyddsförordning

17 Informationssäkerhet i projektstyrning Informationssäkerhet bör integreras i organisationens metoder för projektstyrning Projektägare ansvarig för informationssäkerhet Projekt- och effektrisker ska innefatta informationssäkerhetsrisker

18 Verksamhetsdriven informationssäkerhet Stödverksamheter Externa aktörer Personal IT Fastigheter Administration Interna krav Externa krav Kärn-/affärsverksamhet Kapitalförvaltning Kommunikation Ekonomi Inköp/ upphandling

19 Verksamhetsdriven informationssäkerhet Verksamheter klassar information och/eller system Är krav kopplade till klasserna behöver verksamheter inte uppfinna kraven själva Stödverksamheter och externa aktörer ska leva upp till kraven Klassningsmodellen inklusive kravkatalog kan fungera som en kommunikationsmodell

20 Konfidentiell inf ormation som, om den sprids till obehöriga, kan medf öra allv arliga konsekv enser f ör Örebro kommun, externa aktörer eller individer Intern inf ormation som, om den sprids till obehöriga, kan medf öra måttliga negativ påv erkan på Örebro kommun, externa aktörer eller individer Öppen inf ormation som kan spridas f ritt inom och utom Örebro kommun Inf ormation som, om den ej är riktig och f ullständig, kan medf öra allv arliga konsekv enser f ör Örebro kommun, externa aktörer eller individer Inf ormation som, om den ej är riktig och f ullständig, kan medf öra måttlig negativ påv erkan på Örebro kommun, externa aktörer eller individer Inf ormation som, om den ej är tillgänglig, kan medf öra allv arliga konsekv enser f ör Örebro kommun, externa aktörer eller indiv ider Inf ormation som, om den ej är tillgänglig, kan medf öra måttlig negativ påv erkan på Örebro kommun, externa aktörer eller individer *Krav finns alltid att information ska vara riktig och tillgänglig! Verksamhetsdriven informationssäkerhet Verksamhet Använder systemet Äger systemet Klassar systemet Ställer krav på systemets säkerhet Leverantör av IT-tjänster Driftar systemet Säkerhetsåtgärder utifrån klassningen Underliggande IT-resurser ges samma säkerhetskrav Kravnivå Konfidentialitet Riktighet Tillgänglighet Konfidentiell inf ormation Inf ormation som, om den Inf ormation som, om den som, om den sprids till ej är riktig och f ullständig, ej är tillgänglig, kan obehöriga, kan medf öra kan medf öra allv arliga medf öra allv arliga allv arliga konsekv enser f ör konsekv enser f ör Örebro konsekv enser f ör Örebro Örebro kommun, externa kommun, externa aktörer kommun, externa aktörer aktörer eller individer eller individer eller indiv ider Intern inf ormation som, om Inf ormation som, om den Inf ormation som, om den den sprids till obehöriga, ej är riktig och f ullständig, ej är tillgänglig, kan kan medf öra måttliga kan medf öra måttlig medf öra måttlig negativ negativ påv erkan på Örebro negativ påv erkan på påv erkan på Örebro kommun, externa aktörer Örebro kommun, externa kommun, externa aktörer eller individer aktörer eller individer eller individer Öppen inf ormation som kan spridas f ritt inom och *Krav finns alltid att information utom Örebro kommun ska vara riktig och tillgänglig! Krav Leverans Kravnivå Konfidentialitet Riktighet Tillgänglighet Höga skyddskrav Normala skyddskrav Inga skyddskrav* Höga skyddskrav Normala skyddskrav Inga skyddskrav* Kravkatalog Stödsystem, infrastruktur m.m.

21 Informationssäkerhet i förvaltning Modeller för förvaltningsstyrning av ITsystem, t.ex. pm3, är mycket utbredda Kan användas för att styra säkerheten i förvaltade system Fördelar: Tydligt ägarskap och ansvar mellan verksamheter och IT Budgeterade förvaltningsplaner Kontinuerlig förbättring av säkerheten

22 Objekt-/systemägares ansvar Informationsklassning/objektklassning Behörigheter och loggning Användarinstruktioner Incidenthantering Riskanalyser Kontinuitetshantering

23 Kravnivå Konfidentialitet Riktighet Tillgänglighet Höga skyddskrav Normala skyddskrav Inga skyddskrav* Konfidentiell inf ormation som, om den sprids till obehöriga, kan medf öra allv arliga konsekv enser f ör Örebro kommun, externa aktörer eller individer Intern inf ormation som, om den sprids till obehöriga, kan medf öra måttliga negativ påv erkan på Örebro kommun, externa aktörer eller individer Öppen inf ormation som kan spridas f ritt inom och utom Örebro kommun Inf ormation som, om den ej är riktig och f ullständig, kan medf öra allv arliga konsekv enser f ör Örebro kommun, externa aktörer eller individer Inf ormation som, om den ej är riktig och f ullständig, kan medf öra måttlig negativ påv erkan på Örebro kommun, externa aktörer eller individer Inf ormation som, om den ej är tillgänglig, kan medf öra allv arliga konsekv enser f ör Örebro kommun, externa aktörer eller indiv ider Inf ormation som, om den ej är tillgänglig, kan medf öra måttlig negativ påv erkan på Örebro kommun, externa aktörer eller individer *Krav finns alltid att information ska vara riktig och tillgänglig! Informationsklass Behörighet/spridning Exempel Konfidentiell information Intern information Öppen information Konfidentiell inf ormation f år endast v ara tillgänglig f ör medarbetare som har särskild behörighet att hantera inf ormationen Intern inf ormation ska endast spridas till medarbetare inom Örebro kommun och till externa som har behov av inf ormationen Öppen inf ormation kan spridas f ritt inom och utom Örebro kommun Känsliga personuppgif ter Patientjournaler Sekretessbelagd inf ormation Riktlinjer Instruktioner Inf ormation på intranät Pressmeddelanden Broschy rer Inf ormation på Kravnivå Konfidentialitet Riktighet Tillgänglighet Höga skyddskrav Normala skyddskrav Inga skyddskrav* Konfidentiell inf ormation som, om den sprids till obehöriga, kan medf öra allv arliga konsekv enser f ör Örebro kommun, externa aktörer eller indiv ider Intern inf ormation som, om den sprids till obehöriga, kan medf öra måttliga negativ påv erkan på Örebro kommun, externa aktörer eller indiv ider Öppen inf ormation som kan spridas f ritt inom och utom Örebro kommun Inf ormation som, om den ej är riktig och f ullständig, kan medf öra allv arliga konsekv enser f ör Örebro kommun, externa aktörer eller indiv ider Inf ormation som, om den ej är riktig och f ullständig, kan medf öra måttlig negativ påv erkan på Örebro kommun, externa aktörer eller indiv ider Inf ormation som, om den ej är tillgänglig, kan medf öra allv arliga konsekv enser f ör Örebro kommun, externa aktörer eller indiv ider Inf ormation som, om den ej är tillgänglig, kan medf öra måttlig negativ påv erkan på Örebro kommun, externa aktörer eller indiv ider *Krav finns alltid att information ska vara riktig och tillgänglig! Policy, riktlinjer, klassning och förvaltning exempel Informationssäkerhetspolicy Infosäkansv. Stöd B. Styrning av informationssäkerhet Organisation Dokumentstruktur Informationsklassning LIS Personalsäkerhet Leverantörsrelationer Efterlevnad Verksamhet IT-avdelning C. Informationssäkerhet i verksamhetsnära förvaltning Förvaltningsobjekt D. Informationssäkerhet i IT-miljön Klassning Behörighetshantering Loggning Ändringshantering Användarinstruktioner Riskanalyser Incidenthantering Kontinuitetshantering Förvaltningsledare Verksamhetsutvecklare Objektspecialister Roller verksamhet Instruktioner Metoder Vägledningar A. Informationssäkerhet för medarbetare Roller IT Instruktioner Standarder Vägledningar Förvaltningsledare IT IT-säkerhetsansvarig IT-resurser Hantering av tillgångar Styrning av åtkomst Kryptering Fysisk säkerhet Driftsäkerhet Kommunikationssäk. Anskaffning och utveckl. Incidenthantering Kontinuitetsshantering Granskning och kontroll Kravkatalog

24 Krav på externa aktörer (1) Leverantörer som levererar System, IT-produkter Hantering eller lagring av information Molntjänster Informationssäkerhetskrav med från början Leverantörens säkerhet Krav på leverans, SLA (Service Level Agreement) Personuppgiftsbiträdesavtal Informationsklassning bra grund

25 Krav på externa aktörer (2) Standarder bra stöd Åtgärderna i SS-ISO/IEC SS-ISO/IEC Informationssäkerhet vid leverantörsrelationer Vägledning MSB Informationssäkerhet i upphandling Samverka med inköp/upphandling Styr kravhantering i styrande dokument T.ex. kravkatalog utifrån informationsklassning

26 Krav på externa aktörer (3) Revisionsrätt kontroll att krav efterlevs Rutin för incidentrapportering Gemensam krishantering och -övningar