EBITS Energibranschens IT-säkerhetsforum

Transkript

1 EBITS Energibranschens ITsäkerhetsforum Fastställa ett systems säkerhetsprofil Varje system som är viktigt för verksamheten ska klassas i avseende på sekretess, riktighet och. Det handlar här om att välja skydds för var och av de tre klasserna och riskanalys måste ligga till grund för en sådan bedömning. Resultatet blir ett systems säkerhetsprofil. Denna profil ligger till grund för att vaska fram tillämpliga ITsäkerhetskrav ur kravdatabasen. Vi kallar detta grundsäkerhetsprocessen. Princip för val av skydds för en enskild skyddsklass Om ett ITsystem har bristande skydd lider företaget och/eller elbranschen skada. Denna skada kan indelas i tre allvarlighetsgrader: Allvarlig skada ( 3) Skada ( 2) Ingen skada ( 1) Var och en av de tre skyddsklasserna indelas således i ovanstående tre er och det är omfattningen av skadan vid brister i skydden som ligger till grund för val av skydds. Se bilaga 1 3 där skyddserna för var och en av de tre skyddsklasserna beskrivs explicit. Revisionshistorik L Castenhag En första utgåva Fastställa ett systems säkerhetsprofil.doc

2 2(5) Tillvägagångssätt för att bedöma skyddser Följande tillvägagångssätt ligger till grund för att upprätthålla ett fullgott skydd för ett enskilt ITsystem: 1. Inventera informationstillgångarna i systemet. Se figur nedan. 2. Gör en förhandsbedömning av sekretessen för de olika grupper av information som identifierats. 3. Genomför en riskanalys. Se till att få en god sammansättning på analysgruppen. 4. Bedöm systemets säkerhetsprofil, dvs fastställ skyddserna. 5. Bedöm innebörden av en, dvs specificera tider. 6. Låt säkerhetsprofilen ligga till grund för de specifika ITsäkerhetskraven i Grundsäkerhetsprocessen. Informationstillgångar som hanteras av ett system Systemets totala informationsmängd Informationsmängd A Informationsmängd B Informationsmängd C Informationsmängd D Färgkoder Grön = öppen information Rött = hemlig information

3 3(5) Bilaga 1 Bedömning av skydds för skyddsklassen SEKRETESS 3 Allvarlig skada om informationen kommer i orätta händer. Kvalificerat företagshemlig information. Exempel: strategier, framtidsplaner, nya produkter, säkerhetsinformation, marknads och konkurrentanalyser. 2 Skada om informationen kommer i orätta händer. Företagshemlig information. Exempel: produktionsplaner och ekonomisk information som kan ge otillbörlig personlig vinst. Information som är känslig med avseende på integritet som t ex individuella löneuppgifter 1 Ringa eller ingen skada om informationen kommer i orätta händer. Öppen information (I vissa fall skiljer man på öppen och intern information, men eftersom det här handlar om skydds för ITsystem, slår vi samman dessa er till en skydds).

4 4(5) Bilaga 2 Bedömning av skydds för skyddsklassen RIKTIGHET 3 Allvarlig skada vid brister i riktigheten hos informatione n. Kvalificerat företagshemlig information Informationen måste garanterat vara korrekt. Vid otillbörlig förändring äventyras företagets framtida marknadsposition. Exempel: strategier, framtidsplaner, säkerhetsinformation, marknads och konkurrentanalyser. 2 Skada vid brister i riktigheten hos informatione n. Företagshemlig information Informationen måste garanterat vara korrekt. Vid otillbörlig förändring lider företaget ekonomisk skada. Exempel: produktionsplaner. 1 Ringa eller ingen skada vid brister i riktigheten hos informationen. Öppen information Det är inte speciellt viktigt att informationen är helt korrekt, men jag bör kunna lita på att den är någorlunda korrekt. (I vissa fall skiljer man på öppen och intern information, men eftersom det här handlar om skydds för ITsystem, slår vi samman dessa er till en skydds).

5 5(5) Bilaga 3 Bedömning av skydds för skyddsklassen TILLGÄNGLIGHET 3 Allvarlig skada vid bristande hos informationen. Det är ett absolut krav att informationen eller funktionen är tillgänglig. Vid bristande lider företaget så stor skada att dess verksamhet tvingas upphöra. Exempel: ITsystem för kontrollrum. 2 Skada vid bristande hos informationen. Det är viktigt att informationen eller funktionen är tillgänglig. Exempel: produktionsplaner. 1 Ingen eller ringa skada vid bristande hos informationen eller funktionen. Tillgängligheten är inte speciellt viktig för verksamheten. Vid bristande störs ej verksamheten nämnvärt. Informationen kan t ex gå att nå på annat sätt eller det är tillräckligt att den kan nås vid ett senare tillfälle. Att observera Efter det att skyddsn fastställts för en skall det för varje enskilt system beskrivas t ex under vilka tider på dygnet som en är högre eller lägre, under vilka veckodagar som en är högre eller lägre, under vilka månader som en är högre eller lägre, hur många oförutsedda avbrott som kan tillåtas per år under de tider då hög skall råda samt varaktigheten av dessa, hur många planerade avbrott som kan tillåtas per år under de tider då låg skall råda samt varaktigheten av dessa.