ISD. Etablering av ISD inom FMV. Dan Olofsson PrL ISD

Transkript

1 ISD Etablering av ISD inom FMV Dan Olofsson PrL ISD

2 Definition Informationssäkerhet Informationssäkerhet Administrativ säkerhet Teknisk säkerhet Policy Rutiner etc Fysisk säkerhet IT-säkerhet Datasäkerhet Kommunikationssäkerhet

3 Definition ISD Informationssäkerhetsdeklaration (ISD) är en stödprocess för ackrediteringsarbete enligt gällande SAMO 2012 (HKV :69018; 12FMV7115-5:1). Denna deklaration fastställer att FMV: - Tar ett designansvar för IT säkerhetslösningen - Uppfyller FM krav på informationssäkerhet - Dokumentationen är utformad enligt den norm som gäller inom FMV med stöd från FM regelverk och handböcker

4 ISD - Integreras i och stöder ISD är en förutsättning för: FMV designansvar ISD integreras med: FMV VHL och därmed SE-arbete inklusive VoV ISD säkerställer leveranser till: FM Auktorisationsprocess ISD integrerar: FM KSF 3.0 FM IT-styrningsprocess

5 ISD - Integration med FMV VHL

6 Planera Systemsäkerhetsarbete Planera systemarbete Planera Informationssäkerhetsarbete Planera VoV Planera Överlämning Planerat systemarbete Planerad VoV Planerad Överlämning Vägledning Ackreditering o SE Ackrediteringsplan, Kravfångst, Arkitektur, VÅ, TS Vägledning Ackreditering o Verifiering Oberoende granskning Teknisk Ackrediteringsunderlag ISD

7 ISD - FM Auktorisationsprocess

8 B1 1 (Mål) B2/S1 (Behov) B3/S2 (Kravbild) B4/S3 (Lösning) B5/S4 (Granskning) FM Beslutet ger inriktning/styr ISD-plan Inriktning/styr ISD-plan Inriktning/styr ISD-plan Underlag till B3 Underlag till B4 Underlag till B5 FMV Initial Analys Kravspec/ upphandling Leverans FM Output: Kravfångst Ackrediteringsplan Output: Övergripande säkerhets- Arkitektur Teknisk spec Verksamhetsåtagande Output: Slutgiltigt Tekniskt ackrediteringsunderlag IT-säkerhetsdeklaration Produktion Leverantör Output: Lev Tekniskt ackrediteringsunderlag ISU IT-säkerhetsutlåtande ISU-plan

9 Scope för ackrediteringsarbetet Omfattning Definition och exempel Hur Obligatoriskt Signalskydds - produkter Anpassad Full Ackrediteringsarbetet sköts av projektet och separat godkännande utfärdas av MUST. Används vid utveckling av signalskyddsprodukter som enskild komponent. Signalskyddskomponenter är integrationsprodukter och påverkar därför såväl kommunikations- som applikationssystem och skall följa relevanta standarder. Används i de fall då redan godkända system skall återanvändas eller uppdateras. Används även vid utveckling av vissa komponenter. Används när nya system skall utvecklas. Användningsfall och funktionella krav kommuniceras vid beslutspunkter till SysGL I dessa fall genomförs en deltaanalys av respektive systems STAU. Deltat behandlas och beskrivs i STAU. Om deltaanalysen visar på stor förändring av säkerhetslösningen skall ambitionsnivå Full gälla. ISD-processen följs fullt ut. ISD-plan STAU 4 ISD ISD-plan STAU 4 ISD

10 ISD ISD - Process - Granskning Input Säkerhetsmålsättning TTEM ISD -styrning internt FMV Granskning TC Granskning PrL Granskning PrL TC avseende granskningsplan Granskning TC Initial Analys Kravspec/ upphandling Produktion Leverans FM MUST erbjuds möjlighet att lämna synpunkter MUST erbjuds möjlighet att lämna synpunkter MUST erbjuds möjlighet att lämna synpunkter Output: Kravfångst Ackrediteringplan Output: IT säkarkitektur) Teknisk spec VÅ Output: Lev ackrediteringsunderlag Ackrediteringsplan IT säkerhetsutlåtande Output: Slutgiltigt Tekn ackredunderlag ISD deklaration

11 Sys GL - Systemgranskningsledare Instruktion åt projektet i form av ISD-styrning internt FMV. Övervakar graden av oberoende i projektets ISD-process. Sys GL upphandlas externt eller en resurs inom Teknisk Ledning. Deltagarna i AG-ISD = Sys GL inom respektive domän.

12 Metodstöd ISD Management Säkerhetsmålsättning IT- Säkerhetsarkitektur Verksamhetsåtagande Oberoende granskning STAU/ ITSS KSF 3.0 IT-styrning FMV VHL

13 Verksamhetsåtagande Krav på: Planering av IT-säkerhetsarbetet (ISPP) Test och verifiering Ändringshantering Roller och organisation Nedbrytning av IT-säkerhetsarkitektur Milstolpeleveranser

14 Oberoende granskning Granskningsplan Scope Roller Resultat Realiserbarhet Granskningsrapport Vilka slutsatser kan beställaren dra?

15 Ramavtal Position 1: Analyser, Säkerhetsmålsättning Position 2: Oberoende granskning Position 3: Common Criteria Position 4: Förenklad evaluering Position 5: Processen

16 Mer info Se FMV Sharepoint, Communities, ISD. Eller kontakta Dan Sys GL IA AK Led Tekn Ledn PrL ISD