Vägledning RSA EM-hot. Metodstöd vid genomförande av RSA m.a.p. EM-hot

Relevanta dokument
Erfarenheter från pilotstudier av RSA avseende EM-hot. Fokus: Antagonistiska elektromagnetiska hot mot samhällsviktig infrastruktur

Risk-och sårbarhetsanalyser Sekretess

Vägledning för risk- och sårbarhetsanalys avseende antagonistiska elektromagnetiska hot mot samhällsviktig verksamhet och kritisk infrastruktur

Risk- och sårbarhetsanalys samt elberedskapsåtgärder, SvK. EI Seminarium om risk- och sårbarhetsanalys 26/11

FORSA en mikrokurs. MSB:s RSA-konferens, WTC,

Bilaga Från standard till komponent

Risk- och sårbarhetsanalys

Krisledningsplan för Oxelösunds kommun

Stöd för arbetet med regleringsbrevsuppdrag Informationssäkerhet i RSA

Svenska kraftnäts arbete med risk- och sårbarhetsanalys

RSA från lokal- till europeisk nivå

DOM Meddelad i Jönköping

Förslag till Myndigheten för samhällsskydd och beredskaps föreskrifter om kommuners och landstings risk- och sårbarhetsanalyser

Riktlinjer för informationssäkerhet

Styrdokument för krisberedskap i Överkalix kommun

Risk- och sårbarhetsanalyser Återkoppling av landstingens risk- och sårbarhetsanalyser

Riktlinjer för säkerhetsarbetet vid Uppsala universitet

ISO 31000, ny standard i Trafikverket? Lennart Romin

Vägledning för skydd mot avsiktliga EM-hot. Fortifikationsverket

Nuvarande MSBFS 2009:10 Förslag till ny föreskrift Tillämpningsområde Tillämpningsområde 1 1 första stycket 2 1 andra stycket 3 2 första stycket

Verksamhetsrapport. Kommunens säkerhetsarbete 2014

Risk- och sårbarhetsanalys fritidsnämnden

SAMMANTRÄDESPROTOKOLL Kommunstyrelsens arbetsutskott Sammanträdesdatum

Lagstadgad plan. Plan för hantering av extraordinära händelser Diarienummer KS-345/2011. Beslutad av kommunfullmäktige den 20 juni 2011

Syfte - att stödja och utveckla myndigheternas arbete med risk- och sårbarhetsanalyser

Utvärdering och förebyggande åtgärder

Sekretess för risk- och sårbarhetsanalyser

Risk- och sårbarhetsanalys för miljö- och stadsbyggnadsnämnden

Riktlinjer för Hässleholms kommuns säkerhet och beredskap mandatperiod

Säkerhetsskyddsplan. Fastställd av kommunfullmäktige

Vägledning för riskanalys vid farlig verksamhet (LSO 2 kap. 4 )

1 (5) Säkerhetsskyddsplan för Motala kommun Antagen av kommunstyrelsen , 286

OBS! Kopior papper/filer kan vara ogiltiga, senaste utgåva se Intranet.

KOMMUNALA STYRDOKUMENT

Risk- och sårbarhetsanalyser Förmågebedömning

Nytt metodstöd för systematiskt informationssäkerhetsarbete. Revidering av MSB:s metodstöd. Per Oscarson, Oscarson Security AB Carl Önne, MSB

Riktlinjer. Informationssäkerhetsklassning

Styrande dokument. Styrdokument för krishantering Oskarshamns kommun. Fastställd av Kommunstyrelsen , 97

SÄKERHETSPOLICY FÖR VÄSTERVIKS KOMMUNKONCERN ANTAGEN AV KOMMUNFULLMÄKTIGE , 8

Enkätundersökning: En bild av myndigheternas informationssäkerhetsarbete

foi:s modell för risk- och sårbarhetsanalys (forsa)

Riktlinjer för säkerhetsarbetet vid Uppsala universitet

Instruktion för riskhantering

Kommunövergripande riktlinjer för säkerhet och krisberedskap i Östra Göinge kommun mandatperioden

Anders Mårtensson Säkerhetschef

Riktlinje för riskhantering

Mall för riskbedömning

Riskhantering i processen Investera och reinvestera transportsystemet

Överenskommelse om kommunernas arbete med civilt försvar

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

Kompletteringsuppgift: Verksamhetsanalys och riskanalys

BESLUT "-8S- O 5. Meddelat i Göteborg. SAKEN Rätt att ta del av allmän handling KAMMARRÄTTENS AVGÖRANDE. Kammarrätten avvisar överklagandet.

Civila aktörers beredskap SKYDD MOT OLYCKOR, KRISBEREDSKAP OCH CIVILT FÖRSVAR

Genomförande av huvudstudie rörande antagonistiska elektromagnetiska hot mot samhällsviktig verksamhet och kritisk infrastruktur

Risk- och sårbarhetsanalyser Återkoppling av myndigheters redovisningar baserade på risk- och sårbarhetsanalyser

Plan för att förebygga och hantera extraordinära händelser. Beslutad av kommunfullmäktige 25 september 2017, 102/17, Dnr KS2017.

ISO I PRAKTIKEN

Förmåga att motstå svåra påfrestningar genom alternativa lösningar

Revisionsrapport. Lantmäteriverket - Skydd mot mutor och annan otillbörlig påverkan. Sammanfattning

Riktlinjer för informationssäkerhet

Hur SVA har involverat hela myndigheten i sitt RSA-arbete

Förslag till Myndigheten för samhällsskydd och beredskaps allmänna råd och kommentarer om krav på informationssäkerhet.

Plan för hantering av extraordinära händelser i fredstid samt vid höjd beredskap

Myndigheten för samhällsskydd och beredskaps författningssamling

Svensk författningssamling

VÄGLEDNING ATT UPPHANDLA PÅ ETT SÄKERT SÄTT

Handlingsplan för Samhällsstörning

Överenskommelse om landstingens arbete med krisberedskap och civilt försvar

Policy för säkerhetsarbetet i. Södertälje kommun

Driftsäkerhet. Ett utbildningsmaterial för god funktion och säkerhet i stadsnäten

Anvisningar för användning av statlig ersättning för kommunernas arbete med krisberedskap och civilt försvar

Konferens om risk-och sårbarhetsanalyser 2015 Stockholm -World TradeCenter -4 maj 2015

ISO/IEC och Nyheter

Risk- och sårbarhetsanalyser

Reglemente för krisledningsnämnd KS/2014:322

Resultatet av ett 2:4-projekt Vägledning för skydd mot avsiktliga EM-hot

Förenklad rapportering av regionernas riskoch sårbarhetsanalys 2019

Tillsyn om störningar och avbrott i elektroniska kommunikationsnät och - tjänster

Molntjänster och utkontraktering av kritisk verksamhet lagar och regler. Alireza Hafezi

Administrativ säkerhet

Vad får man lämna ut om dricksvattenförsörjningen i form av kartor och handlingar? Ann-Sofie Wikström Vatten & Miljöbyrån, Luleå

Myndigheten för samhällsskydd och beredskaps författningssamling

Informationssäkerhet för samhällsviktiga och digitala tjänster

NYKVARNS KOMMUNS FÖRFATTNINGSSAMLING. Reglemente för Krisledningsnämnd. Antagen av kommunfullmäktige den [månad_år]

En gemensam riskhanteringsprocess

Säkerhetspolicy för Kristianstad kommun

RUTIN FÖR RISKANALYS

Kommunernas krisberedskap - uppföljningsprocessen. Tomas Ahlberg

Storumans kommun. Handlingsplan för extraordinära händelser och kriser. Fastställd av kommunfullmäktige

Säkerhetsanalys. Agenda. Säkerhetsanalys maj 2012 Svante Barck-Holst. Säkerhetspolisen Säkerhetsskydd Säkerhetsanalys

Scouternas Riskhanteringsutbildning

Plan för krishanteringsarbetet

Säkerhetspolicy för Västerviks kommunkoncern

Kommunernas krisberedskap - uppföljningsprocessen

Krisledning & kommunikation i kritiska lägen. Segla lugnt efter storm

Anvisningar för användning av statlig ersättning för landstingens arbete med krisberedskap och civilt försvar

Handlingsplan för extraordinära händelser i fredstid och höjd beredskap för Sollentuna kommun för mandatperioden

Äldre och personer med funktionsnedsättning - regiform 2014 SO0311

Fortsättning av MSB:s metodstöd

Integrerad krishantering. Jonas Borell

Transkript:

Vägledning RSA EM-hot Metodstöd vid genomförande av RSA m.a.p. EM-hot

Bakgrund RSA EM-hot del av övergripande RSA Avsikt: Genomföra RSA Genomförande Övergripande RSA Resultat RSA Genomförande RSA EM-hot

Vägledning Vägledning RSA baseras på MSB:s Vägledning för risk- och sårbarhetsanalyser SS-ISO 31000:2009 Beskrivning hur det går till (kompetenser, roller, hantering av sekretess, process, mm) Stegvis beskrivning: Syfte Resultat Stödfrågor för att nå fram till resultaten Checklistor med stödfrågor och mallar för sammanställning av resultat

Offentlighets- och sekretesslagen 15 kap. 2 : Sekretess gäller för uppgift som rör verksamhet för att försvara landet eller planläggning eller annan förberedelse av sådan verksamhet eller som i övrigt rör totalförsvaret, om det kan antas att det skadar landets försvar eller på annat sätt vållar fara för rikets säkerhet om uppgiften röjs. 18 kap. 13 : Sekretess gäller för uppgift som hänför sig till en myndighets verksamhet som består i risk- och sårbarhetsanalyser avseende fredstida krissituationer, planering och förberedelser inför sådana situationer eller hantering av sådana situationer, om det kan antas att det allmännas möjligheter att förebygga och hantera fredstida kriser motverkas om uppgiften röjs.

Innehåll Förord 4 Innehållsförteckning 5 Sammanfattning 7 1. Inledning 8 1.1 Bakgrund 8 1.2 Syfte och målgrupp 9 1.3 Läsanvisningar 10 1.4 Sekretess 11 1.5 Definitioner 11 2. Allmänt om risk och sårbarhetsanalys 14 2.1 Komponenter i en RSA 14 2.1.1 Utgångspunkter 15 2.1.2 Riskidentifiering Tekniska konsekvenser 16 2.1.3 Riskanalys Verksamhetskonsekvenser 16 2.1.4 Riskutvärdering 17 2.1.5 Sårbarhetsbedömning 18 2.1.6 Riskbehandling 19 2.2 Kompetenser vid genomförande av en RSA avseende EM-hot 20 2.3 Hotscenario 21 2.4 Dokumentation 25 3. EM-hot och påverkan på elektroniska system 25 3.1 Faktorer som påverkar sannolikheten för en EM-attack 26 3.2 Faktorer som påverkar konsekvenserna av en EM-attack 28 3.2.1 Avsiktlig icke-förstörande störning 29 3.2.2 Avsiktlig förstörande störning 30 4. Praktiskt metodstöd för genomförande 33 4.1 Översikt av arbetsgången 33 4.2 Förutsättningar 33 4.2.1 Roller uppgifter och ansvar 33 4.2.2 Tid för genomförande 35 4.2.3 Hotnivå 35 4.3 Förarbete 35 4.4 Genomförande 37 4.5 Efterarbete 39 4.6 Kommentarer till processen 40 5. Slutord 42 Referenser 43 Bilaga 1: Hotscenarier 45 Typfall med vidare kontext 45 Exempelscenarier 46 Exempelscenario 1 47 Exempelscenario 2 48 Exempelscenario 3 49 Bilaga 2: Mallar 50 Förberedelser 51 Förarbete 52 Genomförande 54 Efterarbete 59

RSA EM-hot baseras på en etablerad process för att genomföra RSA Speciellt här behövs kunskap om EM-hot Gemensamt genomförande

Ansvara för genomförandet Verksamhetsbeskrivning, systemkunskap och verksamhetskonsekvenser Ansvara för avrapportering och omhändertagande av resultat Verksamhetsägare EMkompetens Anpassa hotscenario Bedöma konsekvenser av EM-hot Bedöma effekter av åtgärdsförslag

Ansvara för genomförandet Verksamhetsbeskrivning, systemkunskap och verksamhetskonsekvenser Ansvara för avrapportering och omhändertagande av resultat Systemansvarig Underhållstekniker Operatör Konsult Konsult EMkompetens Verksamhetskompetens Användare Säkerhetschef Verksamhetsägare EMkompetens Anpassa hotscenario Bedöma konsekvenser av EM-hot Bedöma effekter av åtgärdsförslag Teknisk systemkompetens

Ansvara för genomförandet Verksamhetsbeskrivning, systemkunskap och verksamhetskonsekvenser Ansvara för avrapportering och omhändertagande av resultat Systemansvarig Underhållstekniker Operatör Konsult Konsult EMkompetens Verksamhetskompetens Användare Säkerhetschef Verksamhetsägare EMkompetens Anpassa hotscenario Bedöma konsekvenser av EM-hot Bedöma effekter av åtgärdsförslag Teknisk systemkompetens Rätt kompetens viktig! => Genomförandet kan ske effektivt

RSA avseende EM-hot Resultat från RSA EMhot in i övergripande RSA

RSA EM-hot Anpassning av hotscenario och inhämtning av systeminformation Analys och bedömning av åtgärder Steg 1:Förarbete Inledande samtal där engagemang och målsättning förklaras Information om EM-hot: utbildningsmaterial Insamling av information Förmöte Steg 2: Genomförande Genomförandemöte där risker och åtgärdsförslag diskuteras Checklistor Steg 3: Efterarbete Slutlig bedömning Rapportering Resultat från RSA EMhot in i övergripande RSA

RSA EM-hot Anpassning av hotscenario och inhämtning av systeminformation Analys och bedömning av åtgärder Steg 1:Förarbete Inledande samtal där engagemang och målsättning förklaras Information om EM-hot: utbildningsmaterial Insamling av information Förmöte Steg 2: Genomförande Genomförandemöte där risker och åtgärdsförslag diskuteras Steg 3: Efterarbete Slutlig bedömning Rapportering ~2-3 timmar ~1 arbetsdag Beror på dokumentationskrav Checklistor Checklistor => styrning och dokumentation av arbetet Resultat från RSA EMhot in i övergripande RSA

Förarbete Syfte med förarbetet: Att förbereda både verksamhetsägare och EMkompetens för arbetsgången och fastställa vilken typ av underlag som behövs, samt att ge EMkompetensen en översiktlig bild av verksamheten och väsentliga system för verksamheten. Beslut om att genomföra RSA mot EM-hot Verksamhetsägare Verksamhetsägare Steg 1: Förarbete - Inledande samtal - Information om EM-hot - Insamling av information - Förmöte Information: Verksamhet System, mm EMkompetens Information: Allmänt om EM-hot, konsekvenser, mm Resultat: Översikt av verksamhet och system

Genomförande Syfte med genomförandet: Att identifiera risker, analysera och att utvärdera effekter av dessa. Verksamhetsägare Kunskap om verksamhet och system Anpassat hotscenario Steg 2: Genomförande Genomförandemöte där risker och åtgärdsförslag diskuteras Resultat: Identifiering av sårbarheter, förslag på åtgärder Resultat: Identifierade sårbarheter och en utvärdering av riskerna som finns i verksamheten. EMkompetens Verksamhet System, mm EM-kompetens vid riskidentifiering och bedömning Dokumentation

Genomförande Genomgång av verksamheten/systemen Genomgång av hotscenario Riskidentifiering Riskanalys Riskutvärdering

Genomförande Genomgång av verksamheten/systemen Genomgång av hotscenario Riskidentifiering Riskanalys Riskutvärdering Strategi att identifiera: EM-hot som får regional/nationell påverkan? Redundans i systemen? Kända sårbarheter? System som är kritiska för verksamheten? Tidsskeden, hur upptäcks en skadan, hur snabbt kan den åtgärdas,?

Genomförande Genomgång av verksamheten/systemen Genomgång av hotscenario Riskidentifiering Riskanalys Riskutvärdering Analysera och bedöma sannolikheten för riskerna

Att bedöma sannolikhet för EM-attack Teknologisk kunskap finns spridd i samhället. Militär telekrigsförmåga är idag vanlig. Statistiskt underlag saknas pga. hittills få inträffade incidenter. Sårbarheten ökar vid ökad användning av elektroniska system. Sårbarheten ökar om det finns allmänt tillgänglig information om kritiska system (typ, placering, använda frekvenser, handhavandeprocedurer, )

Genomförande Genomgång av verksamheten/systemen Genomgång av hotscenario Riskidentifiering Riskanalys Riskutvärdering Diskutera möjliga åtgärder, utvärdera, ev bedöm mha riskmatris

Exempel på stödfrågor vid Riskidentifieringen

Riskbedömning

Efterarbete Syfte med efterarbetet: Att sammanfatta de sårbarheter och åtgärdsförslag som framkommit i RSA:n. Resultaten ska vara formulerade på sådan form att de kan inkluderas i verksamhetens övriga RSA-arbete. Resultat: En dokumenterad sammanfattning av sårbarheter och åtgärdsförslag för att minska sårbarheterna för EM-hot. Identifiering av sårbarheter Analys och riskbedömning Steg 3: Efterarbete Slutlig bedömning Rapportering Konsekvenser på verksamhet Bedömning av åtgärder, tex kostnad, genomförande Bedömning av åtgärder, map teknik Rapport Vidare arbete Verksamhetsägare EMkompetens Verksamhetsägare EMkompetens Verksamhetsägare

Kommentarer till processen Metoden som beskrivs är indelad i steg som sker i tur och ordning, men det kan vara nödvändigt att iterera arbetet Kan behöva modifiera EM-hotscenariot under genomförandet Dokumentation

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss