Strukturerat informationssäkerhetsarbete

Relevanta dokument
Ledningens informationssäkerhet

Informationssäkerhet och SKLs verktyg KLASSA. Avdelningen för Digitalisering Sektionen för Informationshantering och Digital Arbetsmiljö (IDA)

Policy. Policy för informationssäkerhet och personuppgiftshantering i Herrljunga kommun DIARIENUMMER: KS 47/2018 FASTSTÄLLD: VERSION: 1

BILAGA 3 Tillitsramverk Version: 1.2

VISION STRATEGI REGLEMENTE PROGRAM POLICY PLAN» RIKTLINJE REGEL. Riktlinjer för informationssäkerhet

Säkerhet och Tillit vid elektronisk identifiering. Fredrik Ljunggren

Nuvarande MSBFS 2009:10 Förslag till ny föreskrift Tillämpningsområde Tillämpningsområde 1 1 första stycket 2 1 andra stycket 3 2 första stycket

Verktygsstöd för Informationssäkerhet KLASSA

Tillitskrav för Valfrihetssystem 2017 E-legitimering

Informationssäkerhetspolicy för Ystads kommun F 17:01

Informationssäkerhetspolicy inom Stockholms läns landsting

Riktlinjer för dataskydd

Myndigheten för samhällsskydd och beredskaps författningssamling

Informationssäkerhetspolicy för Stockholms läns landsting. Informationssäkerhetspolicy för Stockholms läns landsting

Policy för informations- säkerhet och personuppgiftshantering

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010.

Informationsklassning och systemsäkerhetsanalys en guide

Tillitsramverk för Svensk e-legitimation

Huddinge kommun - första godkända utfärdare med kvalitetsmärket Svensk e- legitimation.

Informationssäkerhetspolicy KS/2018:260

Att införa LIS. Informationssäkerhet för offentlig sektor Johan Kallum Säkerhetschef/Informationssäkerhetschef

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

IT-revision Martin Malm CISA CISSP Verksamhetschef IT Governance Transcendent Group

Informationssäkerhetspolicy

Tillitsramverk för Svensk e-legitimation. 1 (11) Ref.nr: ELN-0700-v1.2 Tillitsramverk för Svensk e-legitimation

BILAGA 3 Tillitsramverk

BILAGA 3 Tillitsramverk Version: 2.02

Informationssäkerhetspolicy i Borlänge kommunkoncern. Beslutad av kommunfullmäktige , reviderad

Tillitsramverk ÄRENDENUMMER: Tillitsramverk. för kvalitetsmärket Svensk e-legitimation. Version digg.se 1

BILAGA 3 Tillitsramverk Version: 2.1

Informationssäkerhet, säker identifikation och KLASSA. Webbseminarium

Innehåll 1(14) Granskningsdokumentation

Nya krav på systematiskt informationssäkerhets arbete

TJÄNSTESKRIVELSE. Revidering av. informationssäkerhetspolicy TJÄNSTESKRIVELSE. Kommunstyrelsen KS/2019:63

Myndigheten för samhällsskydd och beredskaps författningssamling

Styrande dokument. Policy och riktlinje för hantering av personuppgifter i Göteborgs Stad

Informationssäkerhetspolicy. Linköpings kommun

Myndigheten för samhällsskydd och beredskaps författningssamling

Riktlinje för informationssäkerhet

Tillitsdeklarationen och revisionsprocessen. Åsa Wikenståhl Efosdagen

Verksamhetsplan Informationssäkerhet

EU:s dataskyddsförordning

Styrande dokument. Riktlinjer för dataskydd. Fastställd av Kommunstyrelsen. Senast reviderad av Gäller från och med

Rätt informationssäkerhet är A&O vid införande av välfärdsteknologi. Jeanna Thorslund, Sveriges Kommuner och Landsting Thomas Nilsson, Certezza

Koncernkontoret Enheten för säkerhet och intern miljöledning

Informationssäkerhetspolicy för Ånge kommun

SAMMANTRÄDESPROTOKOLL Kommunstyrelsens arbetsutskott Sammanträdesdatum

INTEGRITETSPOLICY FÖR HUFVUDSTADENS HYRESGÄSTER

myndigheter En andra granskning av informationssäkerhet i staten RiR 2016:8 Informationssäkerhetsarbete

EU:s allmänna dataskyddsförordning - hur förbereder man sig? SNS 8 april Elisabeth Wallin, Jurist, Datainspektionen

Informationssäkerhet en förutsättning för effektiv digitalisering. Moderator: William Linnefell, Ekonomistyrningsverket

Policy. Dataskyddspolicy. För kommunstyrelse och nämnder KS Föreskrifter Plan. Program Reglemente Riktlinjer Strategi Taxa

Policy för informationssäkerhet

Finansinspektionens författningssamling

Bilaga till rektorsbeslut RÖ28, (5)

I n fo r m a ti o n ssä k e r h e t

Informationssäkerhetspolicy

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Konsthögskolan 2010.

Policy och riktlinje för hantering av personuppgifter i Trosa kommun

Kommunstyrelsens förslag till antagande av reviderad informationssäkerhetspolicy Ärende 11 KS 2017/336

Informationssäkerhet Informationssäkerhet. Medicinteknisk säkerhetskurs

Informationssäkerhetspolicy IT (0:0:0)

Riktlinjer för IT-säkerhet i Halmstads kommun

Verket för förvaltningsutvecklings författningssamling ISSN Utgivare: Lena Jönsson, Verva, Box 214, Stockholm

PRINCIPER FÖR BEHANDLING AV PERSONUPPGIFTER I SALA KOMMUN

Administrativ säkerhet

Informationssäkerhet och earkiv Rimforsa 14 april 2016

BILAGA 3 Tillitsramverk Version: 1.3

Välkommen till enkäten!

Stadsrevisionen. Projektplan. Informationssäkerhetsarbetet i Göteborgs Stad. goteborg.se/stadsrevisionen

Informationssäkerhetspolicy för Sunne kommun KS2016/918/01 Antagen av kommunfullmäktige , 57

Granskning av e-legitimationer och kvalitetsmärket Svensk e-legitimation. Varför och för vem?

Informationssäkerhetspolicy för Umeå universitet

Informationssäkerhetspolicy

Förslag till Myndigheten för samhällsskydd och beredskaps allmänna råd och kommentarer om krav på informationssäkerhet.

1(6) Informationssäkerhetspolicy. Styrdokument

KOMMUNAL FÖRFATTNINGSSAMLING 2018: Policy och riktlinjer för hantering av personuppgifter. Antagen av kommunfullmäktige

Informationssäkerhetspolicy

Anslutningsavtal. inom Infrastrukturen för Svensk e-legitimation. Bilaga 4 Rapporteringsrutiner. för Utfärdare av Svensk e-legitimation

Informationssäkerhetspolicy

Dataskyddsförordningen GDPR - General Data Protection Regulation

Policy för informationssäkerhet och dataskydd 2018

Finansinspektionens författningssamling

Koncernkontoret Enheten för juridik

BILAGA 3 Tillitsramverk Version 0.8

Modell för klassificering av information

Program för informationssäkerhet 2008:490. kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning

Ledningssystem för Informationssäkerhet (LIS) vid Linköpings universitet

PuL och GDPR en översiktlig genomgång

Handlingsplan för Uppsala universitets anpassning inför EU:s dataskyddsförordning

Version: Ska användas vid tillitsdeklaration enligt Sambi Tillitsramverk version 1.3.1

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Gymnastik- och idrottshögskolan 2010.

GDPR. Dataskyddsförordningen

Policy för behandling av personuppgifter

Identifieringstjänst SITHS. - Beskrivning och tjänstespecifika villkor

Vi skyddar din information. Vårt informationssäkerhetsarbete och skydd av personuppgifter

Dataskyddsförordningen

Checklista inför att den nya Dataskyddsförordningen, GDPR, träder i kraft den. 25 maj Detta är i princip taget från SKLs checklista.

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Karolinska institutet

Enkätundersökning: En bild av myndigheternas informationssäkerhetsarbete

Transkript:

Strukturerat informationssäkerhetsarbete Thomas Nilsson thomas@certezza.net

Organismen Certezza STRATEGI JURIDIK INFOSÄK UTV PKI / HSM IAM INFRA S Ä L J PENTEST CIRT SOC HR EKONOMI

Vad är utmaningen med infosäk? Överväldigande? Otydliga nyttor? Inte prioriterat? För teoretiskt? Hinner inte!

Utmaningar i den vanlig vardagen Förändringstakten är enorm! Ny användarmönster Ändrade beteenden Teknisk utveckling Faktiskt informationssäkerhetsarbete underlättar Det kan ju va fruktansvärt långtråkig, o dötrist o tråkig o alldeles... alldeles underbart! Våga göra informationssäkerhetsarbetet enkelt!

En första målbild tre parallella spår Fullmäktige Policy Styrelsen Riktlinjer Verksamheten Klassning Mönster Riskanalys Kontinuitetsplanering Säkerhetsarkitektur Kontrollkatalog Skyddsåtgärder (krav)

Klassning Fyra kravområden Konfidentialitet att informationen kan åtkomstbegränsas Riktighet att informationen ska vara tillförlitlig, korrekt och fullständig Tillgänglighet att informationen ska kunna nyttjas efter behov, i förväntad utsträckning samt av rätt person med rätt behörighet Spårbarhet att aktiviteter som rör informationen kan spåras Källa SS-ISO/IEC 27000

Klassning Fyra konsekvensnivåer Allvarlig skada ex massiv informationsförlust, verksamhetsförlust, oöverskådliga konsekvenser, samt fara för liv och hälsa Betydande skada ex tillgänglighetsstörningar, brott mot regelverk, rättsliga krav och avtal, samt förlust av skapat förtroende Måttlig skada ex minskad förmåga att genomföra verksamhetens uppgifter, men effektiviteten är påvisbart reducerad Försumbar skada Källa SIS/MSB/SKL

Ett klassiskt(?) övningsexempel System Applikation Informationstillgång Konfidentialitet Riktighet Tillgänglighet Spårbarhet Nattillsyn???? Allvarlig skada - ex massiv informationsförlust, verksamhetsförlust, oöverskådliga konsekvenser, samt fara för liv och hälsa Betydande skada - ex tillgänglighetsstörningar, brott mot regelverk, rättsliga krav och avtal, samt förlust av skapat förtroende Måttlig skada - ex minskad förmåga att genomföra verksamhetens uppgifter, men effektiviteten är påvisbart reducerad Försumbar skada

Ett klassiskt (?) övningsexempel System Applikation Informationstillgång Konfidentialitet Riktighet Tillgänglighet Spårbarhet Nattillsyn Betydande Allvarlig Måttlig Betydande Allvarlig skada - ex massiv informationsförlust, verksamhetsförlust, oöverskådliga konsekvenser, samt fara för liv och hälsa Betydande skada - ex tillgänglighetsstörningar, brott mot regelverk, rättsliga krav och avtal, samt förlust av skapat förtroende Måttlig skada - ex minskad förmåga att genomföra verksamhetens uppgifter, men effektiviteten är påvisbart reducerad Försumbar skada

Förmågan att tillämpa resultatet är A&O Fullmäktige Policy Styrelsen Riktlinjer Verksamheten Klassning Mönster Riskanalys Kontinuitetsplanering Säkerhetsarkitektur Kontrollkatalog Skyddsåtgärder (krav)

Förmågan att tillämpa resultatet är A&O Fullmäktige Policy Styrelsen Riktlinjer Verksamheten Klassning KLASSA? Mönster Riskanalys Kontinuitetsplanering Kontrollkatalog Skyddsåtgärder (krav)

Dataskyddsförordningen Uppdatering av Dataskyddsdirektivet 95/46/EG Det är en förordning, inte direktiv En förordning är en bindande rättsakt som alla EU-länder ska tillämpa i sin helhet En rimlig väg fram för varje organisation är att mäta nuläget och identifiera gap Känns PUL bra i magen så är det ju inte så dum början

GAP-analys 1. Ledning - Finns det styrande dokument som beskriver principer runt hanteringen av personuppgifter och integritet? 2. Organisation Är roller och ansvar tydliga och förankrade? Finns rätt kunskap? 3. Hantering av tillgångar Finns process så anpassa för personuppgifter, annars ta fram process. (Förteckning, ansvar, samtycke, ändamål, mm)

GAP-analys 4. Risker och säkerhetsåtgärder Finns process för klassning, riskanalys och säkerhetsåtgärder? integrera arbetet med data protection by design och data protection impact assessment 5. Drift och förvaltning Finns incidenthanteringprocess? integrera bedömning om personuppgifter berörs och eventuell rapportering till DI

GAP-analys 6. Informationshantering Ta fram process för att hantera radering, dataportabillitet och utlämnande av information till medborgare om behandlingar vid förfrågan

Kort om Huddinges e-tjänstekort Hanterningen av känsliga personuppgifter och annan skyddsvärd information ställer krav på bland annat stark autentisering Merparten av alla anställda har behovet Ett breddinförande är kanske enklare i längden I stället för sporadiska lösningar I stället för allt sämre lösenord Cirka 6000 kort är utfärdade (personal)

Kravbild E-legitimationsnämndens tillitsramverk (ELN-0700- v1.3) vars syfte är att skapa tillit till E-legitimationer. Organisation och styrning Fysisk, administrativ och personorienterad säkerhet Teknisk säkerhet Ansökan, identifiering och registrering Utformning av tekniska hjälpmedel Kontroll av elektronisk identitet och utställande av identitetsintyg

Exempel på krav Tillitsnivå 3 (LoA3) Ledning och styrning Samtliga säkerhetskritiska administrativa och tekniska processer ska dokumenteras och vila på en formell grund, där roller, ansvar och befogenheter finns tydligt definierade. Utfärdaren ska regelbundet utvärdera informationssäkerhetsskyddet och införa förbättringsåtgärder i ledningssystemet och säkerhetskontroller.

Exempel på krav Tillitsnivå 3 (LoA3) Teknisk säkerhet Utfärdaren ska säkerställa att de tekniska kontroller som finns införda är tillräckliga och att dessa kontroller fungerar och är effektiva. Utfärdaren ska ha dokumenterade rutiner som säkerställer att erforderlig skyddsnivå i den berörda ITmiljön kan upprätthållas över tid och i samband med förändringar, innefattande ändamålsenlig beredskap för att möta förändrade risknivåer och inträffade incidenter.

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss