Enkätundersökning: En bild av myndigheternas informationssäkerhetsarbete

Transkript

1 Enkätundersökning: En bild av myndigheternas informationssäkerhetsarbete 2014

2 En bild av myndigheternas informationssäkerhet 2014 tillämpning av MSB:s föreskrifter Enkätundersökning februari 2014 Utskick till samtliga statliga myndigheter som omfattas av föreskrifterna MSBFS 2009:10 om statliga myndigheters informationssäkerhet Frågorna fokuserar på systematiskt informationssäkerhetsarbete med fokus på de delar som MSB utfärdat föreskrifter om Speglar respondenternas bild ingen bedömning av ändamålsenlighet Ingångsvärde vid översyn av föreskrifterna samt underlag för MSB:s arbete att ta fram stöd för informationssäkerhetsarbete

3 95 % besvarade enkäten 107 stycken (32 %) av dessa uppger att de inte själva har hand om sitt informationssäkerhetsarbete/informationshantering utan den administreras av en annan myndighet Enkätfrågorna har i huvudsak riktats till resterande 227 stycken (68 %) Antal anställda Antal myndigheter fler Totalt Procent (avrundat)

4 Några ingångsvärden MSBFS 2009:10 om statliga myndigheters informationssäkerhet innehåller en rad ska-krav rörande systematiskt informationssäkerhetsarbete Att arbeta systematiskt ställer krav på att arbeta processorienterat - flera av frågorna har sådant fokus (ex analysera-genomföra-följa upp) Organisationens förutsättningar, ex tillgång till modeller och strukturer, är i hög grad avgörande för ett systematiskt arbete

5 Styrning av arbetet MSB föreskriver En myndighet ska enligt 4 i MSBFS 2009:10 upprätta en informationssäkerhetspolicy och andra styrande dokument som behövs för myndighetens informations-säkerhet. Policyn är ledningens viljeyttring och besvarar frågorna om vad informationssäkerhet är, varför myndigheten behöver det, vilka ledningens ambitioner och mål är när det gäller informationssäkerhet, vem som ansvarar för vad i stort, samt var man får mer information.

6 Styrning av arbetet 84 % har en informationssäkerhetspolicy. 26 % kontrollerar inte efterlevnaden, det vill säga ifall policyer och riktlinjer följs av medarbetarna. Båda procentsatser visar andel av de myndigheter som besvarat hela enkäten

7 Styrning av arbetet MSB föreskriver En myndighet ska enligt 4 i MSBFS 2009:10 utse en eller flera personer som leder och samordnar arbetet med informationssäkerhet. Risk för att ingen driver frågan eller att den glöms bort Viktigt med rätt förutsättningar; kompetens, tid och resurser, mandat

8 Styrning av arbetet forts. 74 % har utsett någon informationssäkerhetschef eller motsvarande roll för att leda och samordna informationssäkerhetsarbetet. (vissa nämner att andra driver informationssäkerhetsfrågorna) 81 % av de som leder och samordnar informationssäkerhetsarbetet rapporterar direkt till myndighetens ledning. 38 % av de som leder och samordnar informationssäkerhetsarbetet uppges sakna tillräcklig kompetens, resurser eller mandat för att utgöra uppdraget på ett tillfredsställande sätt. Samtliga procentsatser visar andel av de myndigheter som besvarat hela enkäten

9 Informationsklassning MSB föreskriver En myndighet ska enligt 4 i MSBFS 2009:10 klassificera sin information med utgångspunkt i krav på konfidentialitet, riktighet och tillgänglighet. Informationsklassningen ger dels en överblick över vilken information myndigheten hanterar och dels att identifiera behov och krav på säkerhet för informationen

10 Informationsklassning 67 % har en informationsklassningsmodell 41% uppger att det inte är tydligt uttalat vem som ansvarar för att informationsklassning genomförs. 59 % uppger att det inte är fastslaget när informationsklassning ska ske. Samtliga procentsatser visar andel av de myndigheter som besvarat hela enkäten

11 Storleksskillnader informationsklassning

12 Riskanalys MSB föreskriver En myndighet ska enligt 4 i MSBFS 2009:10 utifrån risk- och sårbarhetsanalyser och inträffade incidenter avgöra hur risker ska hanteras, samt besluta om åtgärder för myndighetens informationssäkerhet. En myndighet ska enligt samma paragraf även dokumentera granskningar och säkerhetsåtgärder av större betydelse som har vidtagits. En risk analys ger beslutsunderlag som visar vilka de väsentliga riskerna gällande informationssäkerhet är, och därmed möjliggör för verksamheten att bedöma och prioritera riskerna, för att därefter kunna hantera riskerna genom ändamålsenliga åtgärder. Riskanalys är en central del i ett ledningssystem för informationssäkerhet.

13 Riskanalys 78 % har en metod för riskanalys. 42 % saknar regler för vad riskanalyser ska omfatta eller när det ska ske. 35 % saknar uttalat ansvar för vem som ska initiera riskanalyserna. Samtliga procentsatser visar andel av de myndigheter som besvarat hela enkäten

14

15

16 Kontinuitetsplanering MSB rekommenderar i allmänna råd En myndighet bör enligt de allmänna råden i MSBFS 2009:10 upprätta och införa kontinuitetsplaner för informationsförsörjningen för att säkerställa att verksamheten ska kunna bedrivas enligt den nivå av kontinuitet som beslutats efter genomförd riskanalys. Planerna bör hållas uppdaterade och övas så att de blir ett naturligt inslag i ledning av informationssäkerhetsarbetet. Planerna bör ange beslutad krisorganisation och även omfatta återgång till normal drift.

17 Kontinuitetsplanering 65 % har inte en kontinuitetsplan. 59 % använder inte riskanalyserna som stöd vid kontinuitetsplanering. Samtliga procentsatser visar andel av de myndigheter som besvarat hela enkäten Av de 35% med en kontinuitetsplan: 64 % har inte övat kontinuitetsplanen

18 Ledningens engagemang MSB föreskriver Enligt 5 i MSBFS 2009:10 ska myndighetens ledning löpande informera sig om arbetet med informationssäkerhet samt minst en gång per år följa upp och utvärdera informationssäkerhetsarbetet på myndigheten. Ledningen behöver engagera sig i frågorna och vara synlig i organisationen.

19 Ledningens engagemang 45 % uppger att myndighetens ledning i stor utsträckning löpande håller sig informerade om arbetet med informationssäkerhet. 37 % har ingen eller en mycket begränsad utvärdering av informationssäkerhetsarbetet på myndigheten. Samtliga procentsatser visar andel av de myndigheter som besvarat hela enkäten

20 Stöd Identifierade områden Kravställning och uppföljning Införande, förankring och utbildning kopplat till ledningssystem/systematis kt arbete Kontinuitetsplanering och krishantering Informationsklassning och riskanalys Molntjänster och outsourcing Former för stödet Best practice (konkreta praktiska exempel, checklistor) Metodstöd (enkelt) Malldokument (rörande policy och riktlinjer) Gemensamma säkerhetsåtgärder (vilka säkerhetsåtgärder bör viss klassning föranleda) Utbildningsmaterial (för traditionell utbildning, e- utbildning, filmer) Fysiska möten (workshops, möten)

21 Några reflektioner Ledningens styrning (styrande dokument, uppföljning, engagemang) Grundläggande förutsättningar (informationsklassning, riskanalys) Kontinuitetsplanering Uppföljning Ledningssystem för informationssäkerhet?

22 Nästa steg Analys under hösten Översyn av föreskrifterna MSBFS 2009:10 Särskild bearbetning av underlag om outsourcing och upphandling Utformning av stöd