Tillsyn NIS via självskattning

Relevanta dokument
Regelverk och myndighetsstöd för ökad informationssäkerhet inom dricksvattenförsörjningen (NIS) Anders Östgaard

NIS-direktivet. 4 september Johanna Linder Martin Gynnerstedt

Bilaga 9 Säkerhet Dnr: /2015 Förfrågningsunderlag

Utredningen om genomförande av NIS-direktivet

Bilaga 3 Säkerhet Dnr: /

NIS-direktivet. Nya krav på informationssäkerhet i samhällsviktiga och digitala tjänster.

NIS-direktivet. - Därför är NIS viktigt för kommuner och landsting. 5 september 2018 Christoffer Karsberg

NIS-reglering.

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

Nuvarande MSBFS 2009:10 Förslag till ny föreskrift Tillämpningsområde Tillämpningsområde 1 1 första stycket 2 1 andra stycket 3 2 första stycket

Myndigheten för samhällsskydd och beredskaps författningssamling

Välkommen till enkäten!

Remissyttrande Informationssäkerhet för samhällsviktiga och digitala tjänster

Svensk författningssamling

Christoffer Karsberg Internationell samordnare, Enheten för verksamhetssamordning och strategisk analys, MSB

Informationssäkerhet för samhällsviktiga och digitala tjänster

Informationssäkerhetspolicy. Linköpings kommun

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

Avbrott i bredbandstelefonitjänst

Verksamhetsplan Informationssäkerhet

Informationssäkerhet för samhällsviktiga och digitala tjänster (SOU 2017:36) Remiss från Justitiedepartementet Remisstid den 24 augusti

- Vad du behöver veta om NIS

IT-säkerhet Externt och internt intrångstest

Enkätundersökning: En bild av myndigheternas informationssäkerhetsarbete

Informationssäkerhetspolicy för Sunne kommun KS2016/918/01 Antagen av kommunfullmäktige , 57

Informationssäkerhet en förutsättning för effektiv digitalisering. Moderator: William Linnefell, Ekonomistyrningsverket

Policy. Policy för informationssäkerhet och personuppgiftshantering i Herrljunga kommun DIARIENUMMER: KS 47/2018 FASTSTÄLLD: VERSION: 1

Kungsbacka Kommun. Rapport: Granskning av IT-säkerhet. Juni Max Wann-Hansson. Jesper Ehrner Vilhelmsson. Hardik Patel

NIS-DIREKTIVET SÅ PÅVERKAS DIN ORGANISATION

Informationssäkerhetspolicy för Ånge kommun

Programmet för säkerhet i industriella informations- och styrsystem

NIS-direktivet - Nya krav på informationssäkerhet i samhällsviktiga och digitala tjänster

Granskning av räddningstjänstens ITverksamhet

Bilaga 10 Säkerhet. Dnr: / stockholm.se. Stadsledningskontoret It-avdelningen

Vägledning om rapportering av incidenter för leverantörer av digitala tjänster enligt NISregleringen

Finansinspektionens författningssamling

Energimyndigheten och NIS-direktivet Panndagarna Tommy Wahlman Projektledare för införande av NIS-direktivet

ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) Kommunkansliet Antagen av Kommunfullmäktige , 14 Dnr ks 09/20. Innehållsförteckning

Nya krav på systematiskt informationssäkerhets arbete

Dnr UFV 2017/93. Informationssäkerhet. Riktlinjer för säkerhetsarbetet vid Uppsala universitet. Fastställda av Universitetsdirektören

Myndigheten för samhällsskydd och beredskaps författningssamling

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

Hur värnar kommuner digital säkerhet?

Status för.se:s kvalitets- och säkerhetsarbete. Anne-Marie Eklund Löwinder

Molntjänster och utkontraktering av kritisk verksamhet lagar och regler. Alireza Hafezi

DNR: KS2016/918/01. Informationssäkerhetspolicy för Sunne kommun KS2016/918/ (1) Kommunstyrelsen

Informationssäkerhetspolicy KS/2018:260

Informationssäkerhetspolicy

Din guide till en säkrare kommunikation

Koncernkontoret Enheten för säkerhet och intern miljöledning

Informationssäkerhet och SKLs verktyg KLASSA. Avdelningen för Digitalisering Sektionen för Informationshantering och Digital Arbetsmiljö (IDA)

Rätt informationssäkerhet är A&O vid införande av välfärdsteknologi. Jeanna Thorslund, Sveriges Kommuner och Landsting Thomas Nilsson, Certezza

Informationssäkerhetspolicy inom Stockholms läns landsting

Stöd för arbetet med regleringsbrevsuppdrag Informationssäkerhet i RSA

INFORMATIONSSÄKERHET 1 INLEDNING MÅL FÖR IT-SÄKERHETSARBETET... 2

Myndigheten för samhällsskydd och beredskaps författningssamling

TJÄNSTESKRIVELSE. Revidering av. informationssäkerhetspolicy TJÄNSTESKRIVELSE. Kommunstyrelsen KS/2019:63

Informationssäkerhetspolicy

Policy för informations- säkerhet och personuppgiftshantering

VÄGLEDNING ATT UPPHANDLA PÅ ETT SÄKERT SÄTT

SAMMANTRÄDESPROTOKOLL Kommunstyrelsens arbetsutskott Sammanträdesdatum

Finansinspektionens författningssamling

Riktlinjer för säkerhetsarbetet vid Uppsala universitet

Bilaga 3 till F:203. Säkerhet. Dnr Fasta och mobila operatörstjänster samt transmission -C. Bilaga 3. Säkerhet

Myndigheten för samhällsskydd och beredskaps författningssamling

Svensk författningssamling

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Konsthögskolan 2010.

Informationssäkerhetspolicy

Myndigheten för samhällsskydd och beredskaps författningssamling

RISKHANTERING FÖR SCADA

Finansinspektionens författningssamling

Policy för tekniska och organisatoriska åtgärder för dataskydd. 14 juni 2018 Peter Dickson

Lathund. IT-säkerhet, GDPR och NIS. Version 3.0

Version: Ska användas vid tillitsdeklaration enligt Sambi Tillitsramverk version 1.3.1

Informationssäkerhetspolicy för Nässjö kommun

Bilaga Från standard till komponent

Gräns för utkontraktering av skyddsvärd information

Yttrande över betänkandet Informationssäkerhet för samhällsviktiga och digitala tjänster (SOU 2017:36) 28 LS

Informationssäkerhetspolicy för Umeå universitet

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010.

Informationssäkerhetspolicy för Ystads kommun F 17:01

1(6) Informationssäkerhetspolicy. Styrdokument

Informationssäkerhetspolicy i Borlänge kommunkoncern. Beslutad av kommunfullmäktige , reviderad

BILAGA 3 Tillitsramverk Version: 1.2

BILAGA 3 Tillitsramverk Version: 1.3

EDA KOMMUN. nformationssäkerhet - Informationssäkerhetspolicy

Bilaga till rektorsbeslut RÖ28, (5)

Informationssäkerhet - Informationssäkerhetspolicy

Bilaga 2 - Ansvarsbeskrivningar Regler för informationssäkerhet vid Karolinska Institutet

Anders Mårtensson Säkerhetschef

TMALL 0141 Presentation v 1.0. Cybersäkerhet och ny lagstiftning

Informationssäkerhetsgranskning. ISO ledningssystem för informationssäkerhet

Administrativ säkerhet

Stadsrevisionen. Projektplan. Informationssäkerhetsarbetet i Göteborgs Stad. goteborg.se/stadsrevisionen

Tillsyn om störningar och avbrott i elektroniska kommunikationsnät och - tjänster

BESLUT. Ärendet Egeninitierad verksamhetstillsyn av vårdgivarens informationssäkerhet

BILAGA 3 Tillitsramverk Version: 2.1

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Musikhögskolan i Stockholm 2010.

Riktlinjer avseende Informationssäkerheten för Götene, Lidköping och Skara kommuner

5 säkerhetsaspekter att tänka på vid skapandet av din digitala assistent

Transkript:

Syftet med självskattning Livsmedelsverket utför en tillsyn för pågående informationssäkerhetsarbete i relation till NISdirektivet och lagen (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster. Tillsynen sker i form av en självskattning hos berörda aktörer. Självskattningen har ett antal syften, till exempel: - Ett referensvärde för att längre fram kunna mäta effekt och förändringar som skett - Ett ingångsvärde till utformning av föreskrifter - Ett ingångsvärde till en riskbaserad tillsyn - Eventuellt behov av informationsåtgärder Självskattningen är också en hjälp till organisationer att komma igång med sitt säkerhetsarbete genom att reflektera över både organisation och teknisk miljö. Självskattningen kan också ge viss statistik för att Livsmedelsverket ska få en helhetsbild av säkerhetsmedvetandet i Sverige inom vattensektorn. Redovisning av resultat Livsmedelsverket bedömer att svaren för varje enskild VA-huvudman kan komma att omfattas av sekretessbestämmelserna i 18 kap. 8 3 offentlighets- och sekretesslagen (2009:400). Sammanställning i form av statistik kan förmedlas vid konferenser och dylikt om Livsmedelsverket bedömer det möjligt ur ett sekretessperspektiv. Innehåll Områden som ingår i självskattningen är följande: - Beskrivning av organisation - Utgångsläget för er organisationen o Förutsättningar för säkerhetsarbete o Tekniskt utgångsläge - En bedömning av den egna förmågan - Skyddsbehov - Risker och åtgärder - Incidenthantering Vad som omfattas av frågorna Frågorna är i direkt relation till NIS-direktivet och rör således de styrsystem och system som kan påverka säkerheten i dricksvattenförsörjningen. Det gäller även för riskanalyser och åtgärder. Mer i detalj innebär det att den IT som kan påverka säkerheten i styrsystemen för vattenproduktion och distribution också omfattas om den inte separeras från styrsystemen. Frågorna eller frågeområdena föregås av motivet till att frågan/frågorna ställs. Svar sker genom kryssrutor för det alternativ som passar men det finns också utrymme att notera viss information i fritext efter frågeområdet.

Beskrivning av er organisation Organisationen ska beskriva sin kapacitet och storlek som den ser ut nu. Detta är relevant i bedömningen av den totala mognadsgraden hos olika aktörer där olika storlek på organisationen förmodligen har effekt på både förutsättningar och mognadsgrad avseende informationssäkerhet. 1. Uppgifter om verksamheten Namn hos Bolagsverket Postadress Verksamhetens namn Organisationsnummer Postnummer och ort Verksamhetens telefonnummer (vxl) 2. Hur många årsarbetskrafter arbetar inom er vattenverksamhet år 2019? 3. Hur är er verksamhet organiserad? Förvaltningsform - verksamheten är en del av kommunen. Kommunalt bolag enbart VA bolag Kommunalt bolag INTE enbart VA-bolag men s.k. multi-utility bolag Annan organisationsform, beskriv:

Utgångsläge Förutsättningar för informationssäkerhetsarbete Syftet med dessa frågor är att klarlägga hur många VA-huvudmän som redan bedriver ett etablerat informationssäkerhetsarbete där styrsystem för vatten antingen ingår eller inte ingår. Frågorna syftar också till att klarlägga vem som styr säkerhetsarbetet och vilket mandat VA-verksamheten har att bedriva säkerhetsarbete samt vilka beroenden som finns till andra organisationer till exempel kommunen och andra yttre faktorer. 4. Vilken organisation styr förutsättningarna för informationssäkerhetsarbete inom er verksamhet? Kommunledningen Ägaren av bolaget VA- verksamheten Annat: 5. Var bedrivs det praktiska arbetet med ökad informationssäkerhet för vattenverksamheten? Det drivs av vattenverksamheten Det drivs av tillsammans med vattenverksamheten Det drivs av med lite medverkan av vattenverksamheten Det drivs av utan medverkan av vattenverksamheten Det är otydligt i vår organisation Annat, beskriv: 6. Har VA-verksamheten beslutanderätt avseende integration av styrsystem för vattenverksamhet med övrig IT-verksamhet, dvs är det er verksamhet som beslutar över graden av integration med övriga IT-system? Till viss del, beskriv: 7. Finns ett ledningssystem för informationssäkerhet som gäller för er verksamhet?, det är anpassat till vattenverksamheten, det är inte specifikt anpassat till vattenverksamheten Delvis, ett ledningssystem är under framtagande Delvis, ett ledningssystem med anpassning till vattenverksamheten är under framtagande Vet ej

8. Vilken/vilka standarder används för informationssäkerhetsarbetet inom vattenverksamheten? Vet ej Ingen ISO/IEC 27001 ISO/IEC 27002 ISO/IEC 27005 ISO/IEC 27019 IEC 62443 Andra, lista:

Tekniskt utgångsläge Frågorna nedan rör hur den tekniska miljön för styrsystemen för vattenproduktion/distribution är uppbyggd och hanteras samt i viss mån vilka säkerhetsåtgärder som redan finns. Detta ger Livsmedelsverket en samlad bild av utgångsläget och är underlag för prioritering av tillsyn samt som underlag till föreskriftsarbete. Manuell styrning 9. Kan era styrsystem helt skärmas av från nätverk och system utanför styrsystemen, utan att det får konsekvenser för er vattenproduktion inklusive distribution, s.k. ö-drift/islanding?, utan tidsbegränsning, men endast under en viss tidsperiod, ange i antal timmar:, följande externa beroenden finns: 10. Kan er vattenproduktion och distribution skötas manuellt utan det övergripande styrsystemet, dvs driva processen utan datorstöd men med fungerande PLC:er?, utan tidsbegränsning, men endast under en viss tidsperiod, ange i antal timmar:, följande system är nödvändiga: 11. Vilka beroenden utöver era styrsystem finns för kontinuerlig drift? IP-telefoni Mobiltelefoni Internet 3G/4G Satellitkommunikation Andra, lista:

Dokumentation av styrsystemens IT-miljö 12. Har er verksamhet aktuell dokumentation avseende: Verksamhetens nätverk (nätverkskarta mm) Ej färdigt men prioriterat Verksamhetens system Ej färdigt men prioriterat Systemberoenden Ej färdigt men prioriterat Kommunikationsvägar till och från de Ej färdigt men prioriterat industriella informations- och styrsystemen Informationsflöden till och från de industriella informations- och styrsystemen Ej färdigt men prioriterat Separation av IT-miljöer 13. Är verksamhetens industriella styrsystem segmenterade från andra IT-system (t.ex. kontorsnätverk som epostsystem etc och övrig verksamhets IT)? Segmentering innebär att nätverket är fristående och att nätverkstrafik begränsas till det som är nödvändigt., de är logiskt segmenterade från all övrig verksamhet, de är fysiskt segmenterade från all övrig verksamhet Delvis, beskriv vilken verksamhet som de sitter ihop med: Annan relaterad verksamhet, exempelvis avloppshanteringen Administrativ verksamhet som kontors och epostsystem Offentlig verksamhet som skola eller bibliotek Annat, beskriv: 14. För de komponenter som delas med annan verksamhet och kan påverka IT-säkerheten för styrsystemen, styr ni över behörigheter, uppdateringar och konfigurationer för de komponenterna? Det finns inga delade komponenter Behörigheter Uppdateringar Konfigurationer, för flertalet, för flertalet, för flertalet

Fjärruppkoppling 15. Kan någon extern part godtyckligt koppla upp sig för distansarbete till IT-miljön för styrsystemen?, vi tillåter inte fjärruppkoppling, vi har teknisk styrning på när fjärranslutning kan användas 16. Om sk fjärruppkoppling eller distansarbete sker; används då alltid två-faktorsautentisering för samtliga användare? 17. Om sk fjärruppkoppling eller distansarbete sker; används då alltid användarunika inloggningsuppgifter för samtliga användare? Behörighetskontroll 18. Hanterar verksamheten själv all behörighetstilldelning till styrsystemen?, den hanteras av: 19. Har vattenverksamheten kontroll över behörighetstilldelning till system som kan påverka säkerheten i styrsystemen?, den hanteras av: 20. Med vilken regelbundenhet kontrolleras relevansen av alla användares behörigheter och åtkomsträttigheter till styrsystemen? Oftare än årsvis Årsvis Vartannat år Mer sällan än vartannat år

21. Med vilken regelbundenhet kontrolleras relevansen av alla användares behörigheter och åtkomsträttigheter system som kan påverka säkerheten i styrsystemen? Oftare än årsvis Årsvis Vartannat år Mer sällan än vartannat år Virusskydd 22. Finns antivirus installerat på datorer som kan drabbas av virusangrepp eller annan skadlig kod som kan påverka vattenproduktionen/distributionen? På färre än 50% På flertalet, beskriv varför 23. Har ytterligare åtgärder vidtagits för att minska spridning och effekten av oavsiktligt införd skadlig kod (t ex datavirus och ransomware)?, vilka:, varför: Backuper/återställning 24. Med vilken regelbundenhet testar ni att återställning av alla styrsystem och konfigurationsdata från utförd säkerhetskopiering (backup) verkligen fungerar i praktiken? Oftare än årsvis Årsvis Vartannat år Mer sällan än vartannat år Vi har aldrig testat att styrsystemen fungerar efter återställning

Externa leverantörer och molntjänster 25. Har ni avtal med leverantörer, som kan påverka styrsystemens säkerhet, om deras åtaganden om IT-säkerhet?, med alla leverantörer, med flertalet leverantörer 26. Följer ni upp att leverantörerna håller den IT-säkerhet som utlovats i avtal? Kritiska leverantörer Övriga leverantörer, oftare än årsvis, oftare än årsvis, årsvis, årsvis, vartannat år, vartannat år Utvärdering/tester av miljön för styrsystemen 27. Vilka säkerhetstester utförs i styrsystemen? Vi utför inga tester Sårbarhetsscanningar Penetrationstester Andra/fler, lista: Framtida uppgraderingsprojekt 28. Kommer ni att behöva uppgradera ert nuvarande styrsystem eller delar av det?, pågår nu, under 2019., inom 1-3 år, inom 4-5 år, inom 6-9 år Om 10 år eller senare

Den egna förmågan Följande frågor syftar till att ni ska skatta er förmåga att arbeta för att höja säkerheten inom vattenproduktionen/distributionen samt att klarlägga kompetensen som finns inom vattenverksamheten. 29. Anser ni att ni har förmågan att höja informations- och IT-säkerheten i er styrsystemsmiljö? Om nej, beskriv kort vad som saknas: 30. Finns det informationssäkerhetskompetens och erfarenhet i den egna organisationen? Om nej, beskriv kort hur ni går tillväga för att tillse tillgång på kompetens:

Skyddsbehov, riskanalyser och åtgärder Innan säkerhetsåtgärder införs bör organisationen ha rett ut vilka skyddsbehov som föreligger. Med det menas hur känslig informationen/trafiken är och vad som kan hända om störningar i de aktuella styrsystemen sker eller vid röjande av känslig information. Nedan frågor klarlägger om en bedömning av känslighet har utförts, om riskanalyser har utförts samt vilka riskområden och åtgärder ni ser och prioriterar. Informationssäkerhetsklassning 31. Har ni identifierat vilken information/vilka system/vilken nätverkskommunikation som är viktig(a) avseende driftssäkerhet? Ej färdigt men prioriterat 32. Har resultatet av ovan dokumenterats? Ej färdigt men prioriterat Riskanalyser 33. Har riskanalys genomförts avseende den information/de system/den trafik som identifierats som viktiga avseende driftssäkerhet? Vi har analyserat mer än 50% av det som identifierats som viktigt Vi har analyserat mindre än 50% av det som identifierats som viktigt 34. Medverkar verksamheten vid riskanalyserna för styrsystemen?, tillsammans med riskanalysexpert, på egen hand, den utförs av: Vi har inte påbörjat något riskanalysarbete

Risker och Åtgärder 35.. Har en åtgärdsplan för att hantera risker från riskanalysen tagits fram? Framtagning är pågående De tre tabellerna nedan syftar till bland annat att identifiera vilka risker/riskområden som branschen ser är prioriterade, om vissa risker inte hanteras och vad det kan bero på samt åtgärder som redan är införda eller under införande. Detta är även ingångsvärden för kommande tillsyner som sker på plats. För att svaren ska bli jämförbara så föreslår vi att ni vid behov använder liknande uttryck/nivå på beskrivning som nedan för att beskriva era riskområden och åtgärder: Exempel riskområden: - Bristande separation: styrsystemen sammankopplade med till exempel kontorsnätverk - Bristande kontroll över fjärråtkomst - Bristande kontroll av externa parter - Ransomware - Diskkrasch - Översvämning/inbrott/brand i miljön för styrsystemen Exempel åtgärder: - Tvåfaktors autentisering för fjärråtkomst - Separation av styrsystemen från kontorsnätverket - Utbildning inom informationssäkerhet - Införande av DMZ för kommunikation Valbara tidsspann: 3-5 mån, 6-8 mån, 1 år, 2 år, 3 år. 36. Lista upp till 10 högt prioriterade säkerhetsåtgärderna och ange inom vilket tidsspann de kommer att införas. Notera att tidsspannet inte nödvändigtvis avgör prioriteten. Prioritets Åtgärd Tid ordning 1 2 3 4 5 6 7 8 9 10

37. Lista upp till 5 risker med högst konsekvens, enligt er bedömning, som inte kommer att hanteras inom 3 år samt av vilken orsak. Med detta menas till exempel risker där befintliga åtgärder inte bedöms tillräckliga eller risker som inte kommer att åtgärdas. Orsaker till att man väljer att inte införa en åtgärd kan till exempel vara resursbrist, mandatbrist, ekonomi eller något annat. Nr Risk Orsak 1 2 3 4 5 Nr 38. Lista upp till 5 säkerhetshöjande åtgärder som är under införande eller som har införts de senaste 3 åren. Åtgärd 1 2 3 4 5

Incidenthantering Rapporteringspliktiga incidenter Med rapporteringspliktiga incidenter avses de i MSB föreskrifter för vattensektorn: Leverantörer inom leverans och distribution av dricksvatten ska rapportera incidenter som orsakat störning i den samhällsviktiga tjänsten som 1. har pågått i minst två timmar och som a) kan antas ha påverkat minst 2 000 personer, b) har påverkat akutsjukhus, eller 2. har påverkat styrning och övervakning av tjänsten. 39. Hur många incidenter som motsvarar den rapporteringspliktiga beskrivningen har inträffat de senaste: 1 åren (2018) 3 åren 5 åren Övriga IT-relaterade incidenter 40. Hur många IT-incidenter har inträffat de senaste: 1 åren (2018) 3 åren 5 åren

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss