Vägledning RSA EM-hot. Metodstöd vid genomförande av RSA m.a.p. EM-hot

Transkript

1 Vägledning RSA EM-hot Metodstöd vid genomförande av RSA m.a.p. EM-hot

2 Bakgrund RSA EM-hot del av övergripande RSA Avsikt: Genomföra RSA Genomförande Övergripande RSA Resultat RSA Genomförande RSA EM-hot

3 Vägledning Vägledning RSA baseras på MSB:s Vägledning för risk- och sårbarhetsanalyser SS-ISO 31000:2009 Beskrivning hur det går till (kompetenser, roller, hantering av sekretess, process, mm) Stegvis beskrivning: Syfte Resultat Stödfrågor för att nå fram till resultaten Checklistor med stödfrågor och mallar för sammanställning av resultat

4 Offentlighets- och sekretesslagen 15 kap. 2 : Sekretess gäller för uppgift som rör verksamhet för att försvara landet eller planläggning eller annan förberedelse av sådan verksamhet eller som i övrigt rör totalförsvaret, om det kan antas att det skadar landets försvar eller på annat sätt vållar fara för rikets säkerhet om uppgiften röjs. 18 kap. 13 : Sekretess gäller för uppgift som hänför sig till en myndighets verksamhet som består i risk- och sårbarhetsanalyser avseende fredstida krissituationer, planering och förberedelser inför sådana situationer eller hantering av sådana situationer, om det kan antas att det allmännas möjligheter att förebygga och hantera fredstida kriser motverkas om uppgiften röjs.

5 Innehåll Förord 4 Innehållsförteckning 5 Sammanfattning 7 1. Inledning Bakgrund Syfte och målgrupp Läsanvisningar Sekretess Definitioner Allmänt om risk och sårbarhetsanalys Komponenter i en RSA Utgångspunkter Riskidentifiering Tekniska konsekvenser Riskanalys Verksamhetskonsekvenser Riskutvärdering Sårbarhetsbedömning Riskbehandling Kompetenser vid genomförande av en RSA avseende EM-hot Hotscenario Dokumentation EM-hot och påverkan på elektroniska system Faktorer som påverkar sannolikheten för en EM-attack Faktorer som påverkar konsekvenserna av en EM-attack Avsiktlig icke-förstörande störning Avsiktlig förstörande störning Praktiskt metodstöd för genomförande Översikt av arbetsgången Förutsättningar Roller uppgifter och ansvar Tid för genomförande Hotnivå Förarbete Genomförande Efterarbete Kommentarer till processen Slutord 42 Referenser 43 Bilaga 1: Hotscenarier 45 Typfall med vidare kontext 45 Exempelscenarier 46 Exempelscenario 1 47 Exempelscenario 2 48 Exempelscenario 3 49 Bilaga 2: Mallar 50 Förberedelser 51 Förarbete 52 Genomförande 54 Efterarbete 59

6 RSA EM-hot baseras på en etablerad process för att genomföra RSA Speciellt här behövs kunskap om EM-hot Gemensamt genomförande

7 Ansvara för genomförandet Verksamhetsbeskrivning, systemkunskap och verksamhetskonsekvenser Ansvara för avrapportering och omhändertagande av resultat Verksamhetsägare EMkompetens Anpassa hotscenario Bedöma konsekvenser av EM-hot Bedöma effekter av åtgärdsförslag

8 Ansvara för genomförandet Verksamhetsbeskrivning, systemkunskap och verksamhetskonsekvenser Ansvara för avrapportering och omhändertagande av resultat Systemansvarig Underhållstekniker Operatör Konsult Konsult EMkompetens Verksamhetskompetens Användare Säkerhetschef Verksamhetsägare EMkompetens Anpassa hotscenario Bedöma konsekvenser av EM-hot Bedöma effekter av åtgärdsförslag Teknisk systemkompetens

9 Ansvara för genomförandet Verksamhetsbeskrivning, systemkunskap och verksamhetskonsekvenser Ansvara för avrapportering och omhändertagande av resultat Systemansvarig Underhållstekniker Operatör Konsult Konsult EMkompetens Verksamhetskompetens Användare Säkerhetschef Verksamhetsägare EMkompetens Anpassa hotscenario Bedöma konsekvenser av EM-hot Bedöma effekter av åtgärdsförslag Teknisk systemkompetens Rätt kompetens viktig! => Genomförandet kan ske effektivt

10 RSA avseende EM-hot Resultat från RSA EMhot in i övergripande RSA

11 RSA EM-hot Anpassning av hotscenario och inhämtning av systeminformation Analys och bedömning av åtgärder Steg 1:Förarbete Inledande samtal där engagemang och målsättning förklaras Information om EM-hot: utbildningsmaterial Insamling av information Förmöte Steg 2: Genomförande Genomförandemöte där risker och åtgärdsförslag diskuteras Checklistor Steg 3: Efterarbete Slutlig bedömning Rapportering Resultat från RSA EMhot in i övergripande RSA

12 RSA EM-hot Anpassning av hotscenario och inhämtning av systeminformation Analys och bedömning av åtgärder Steg 1:Förarbete Inledande samtal där engagemang och målsättning förklaras Information om EM-hot: utbildningsmaterial Insamling av information Förmöte Steg 2: Genomförande Genomförandemöte där risker och åtgärdsförslag diskuteras Steg 3: Efterarbete Slutlig bedömning Rapportering ~2-3 timmar ~1 arbetsdag Beror på dokumentationskrav Checklistor Checklistor => styrning och dokumentation av arbetet Resultat från RSA EMhot in i övergripande RSA

13 Förarbete Syfte med förarbetet: Att förbereda både verksamhetsägare och EMkompetens för arbetsgången och fastställa vilken typ av underlag som behövs, samt att ge EMkompetensen en översiktlig bild av verksamheten och väsentliga system för verksamheten. Beslut om att genomföra RSA mot EM-hot Verksamhetsägare Verksamhetsägare Steg 1: Förarbete - Inledande samtal - Information om EM-hot - Insamling av information - Förmöte Information: Verksamhet System, mm EMkompetens Information: Allmänt om EM-hot, konsekvenser, mm Resultat: Översikt av verksamhet och system

14 Genomförande Syfte med genomförandet: Att identifiera risker, analysera och att utvärdera effekter av dessa. Verksamhetsägare Kunskap om verksamhet och system Anpassat hotscenario Steg 2: Genomförande Genomförandemöte där risker och åtgärdsförslag diskuteras Resultat: Identifiering av sårbarheter, förslag på åtgärder Resultat: Identifierade sårbarheter och en utvärdering av riskerna som finns i verksamheten. EMkompetens Verksamhet System, mm EM-kompetens vid riskidentifiering och bedömning Dokumentation

15 Genomförande Genomgång av verksamheten/systemen Genomgång av hotscenario Riskidentifiering Riskanalys Riskutvärdering

16 Genomförande Genomgång av verksamheten/systemen Genomgång av hotscenario Riskidentifiering Riskanalys Riskutvärdering Strategi att identifiera: EM-hot som får regional/nationell påverkan? Redundans i systemen? Kända sårbarheter? System som är kritiska för verksamheten? Tidsskeden, hur upptäcks en skadan, hur snabbt kan den åtgärdas,?

17 Genomförande Genomgång av verksamheten/systemen Genomgång av hotscenario Riskidentifiering Riskanalys Riskutvärdering Analysera och bedöma sannolikheten för riskerna

18 Att bedöma sannolikhet för EM-attack Teknologisk kunskap finns spridd i samhället. Militär telekrigsförmåga är idag vanlig. Statistiskt underlag saknas pga. hittills få inträffade incidenter. Sårbarheten ökar vid ökad användning av elektroniska system. Sårbarheten ökar om det finns allmänt tillgänglig information om kritiska system (typ, placering, använda frekvenser, handhavandeprocedurer, )

19 Genomförande Genomgång av verksamheten/systemen Genomgång av hotscenario Riskidentifiering Riskanalys Riskutvärdering Diskutera möjliga åtgärder, utvärdera, ev bedöm mha riskmatris

20 Exempel på stödfrågor vid Riskidentifieringen

21 Riskbedömning

22 Efterarbete Syfte med efterarbetet: Att sammanfatta de sårbarheter och åtgärdsförslag som framkommit i RSA:n. Resultaten ska vara formulerade på sådan form att de kan inkluderas i verksamhetens övriga RSA-arbete. Resultat: En dokumenterad sammanfattning av sårbarheter och åtgärdsförslag för att minska sårbarheterna för EM-hot. Identifiering av sårbarheter Analys och riskbedömning Steg 3: Efterarbete Slutlig bedömning Rapportering Konsekvenser på verksamhet Bedömning av åtgärder, tex kostnad, genomförande Bedömning av åtgärder, map teknik Rapport Vidare arbete Verksamhetsägare EMkompetens Verksamhetsägare EMkompetens Verksamhetsägare

23 Kommentarer till processen Metoden som beskrivs är indelad i steg som sker i tur och ordning, men det kan vara nödvändigt att iterera arbetet Kan behöva modifiera EM-hotscenariot under genomförandet Dokumentation