Slaget om informationssäkerheten kommer inte att vinnas på brandväggen utan i styrelserummet! Jan-Olof Andersson, Sveriges riksbank

Slaget om informationssäkerheten kommer inte att vinnas på brandväggen utan i styrelserummet! Jan-Olof Andersson, Sveriges riksbank

Sponsorer Partners: Krisberedskapsmyndigheten, Datainspektionen, Verva, Försvarets Materielverk, Post- och Telestyrelsen, Commissum, ISACA Sweden Chapter, Svenskt Näringsliv/NSD, ISG, SIS Forum och SIS Förlag.

Ett informationsregelverk!! ISO 27000-serien för att du ska få rätt informationssäkerhet i din verksamhet. Presentation av LIS kommitténs arbete, vision och innehållet i ISO 27000-serien.

Vem är jag? Jan-Olof Andersson Arbetat över 20 år med säkerhet på: - Vattenfall - Ericsson - Trygg-Hansa -Bull Arbetar idag som säkerhetschef på Sveriges riksbank. Ordförande i SIS kommitté för LIS och ISO 27000-serien

Principer för standardisering Öppenhet Konsensus Standardisering Frivillighet Intressentstyrt

Hur är arbetet organiserat? IEC ISO ISO/IEC JTC 1 IT SIS SC 27 Security Techniques WG 1 ISMS SIS TK 318 LIS

TK 318s organisation TK 318 Jan-Olof Andersson AG 1 Marknad Bengt Rydstedt AG 2 Strategi Jan-Olof Andersson AG 4 Tolkning AG 3 Mätning Lars Gunnerholm AG 5 Regelverk Anders Carlstedt AG 6 Handbok Gunnar Lindström AG 7 Grund- Standard Lars Söderlund AG 8 Riskhantering Anders Carlstedt AG 10 Införande Dan Larsson

Att vara med i ISO 27000-arbetet Löpande öppet för nya projektdeltagare Mer bredd bland projektdeltagarna Användare behövs Deltagaren satsar: - Egen kompetens och tid - Delfinansiering av projektet Deltagaren får: - Möjlighet att påverka ISO 27000-serien - Tillgång till alla standarder i ISO 27000-serien och relaterande standardiseringsområden - Tillgång till svenskt och internationellt nätverk - Tidig information om de nya standarderna - Ny kompetens Intresseanmälan finns i SIS monter!

Vår vision informationssäkerhet?! Skapat förutsättningar för rätt säkerhet i samhället genom att standarderna i ISO 27000-serien är det naturliga valet för styrt informationssäkerhetsarbete. Hemlig info. enl. rikets säkerhet Hemlig info enl. sekretesslagen/lag om företagshemligheter All myndighetens information/företags information

Strategiska målområden, 3-5 år Kommittén arbetar med nedanstående målområden där arbetsgrupperna tar fram detaljerade mål: Kunskap Produkter/verktyg Forum, nätverk och mötesplatser Bredare medvetenhet, verksamhetsnytta Opinionsbildare Strategiska samverkansparter

Detaljerade mål, 1-3 år, exempel Kunskap Förstå riskbilden och genom standarderna och övriga verktyg få kunskaper om lämpliga skyddsåtgärder. Produkter/verktyg ISO 27000-serien komplett ISO 27000 kopplat till ITIL Tillämpningsdokument för branscher. Proaktivt delta i det internationella standardiseringsarbetet. Hålla handböcker uppdaterade i paritet med internationella och nationella förändringar. Skapa kopplingar till andra standarder, verktyg och metoder som t.ex. BITS. Forum, nätverk och mötesplatser Skapa och stärk nätverk genom årliga möten, seminarier och webbplats. Stärk kontakterna med gymnasie- och högskoleutbildningar Bredare medvetenhet, verksamhetsnytta Ökad förståelse hos en bredare målgrupp för att skapa nytta. Opinionsbildare Genom att synas där informationssäkerhet diskuteras. Strategiska samverkansparter Genom samverkan med strategiska parter som har likartade mål.

Få ledningen att förstå!

Ständig förbättring Affärsmål Legala krav/avtal Kontrollsystem Kontinuitetsskydd Kontrollera/ verifiera Övervakning/ test IT-mål Etik/moral Utvärdera Analys: Riskanalys Affärsberoende Säkerhetsanalys Skyddsåtgärder Planera Verifiera Teknisk realisering av kraven Införande av lösningar: Fysiska Logiska Organisatoriska/adm. Styr nivån på skyddet Policy/ riktlinjer/ anvisningar/ Instruktioner Org./kompetens Genomföra VAD HUR Säkerhetsprocess: I projekt Under utveckling Vid köp av standard system I verksamheten Fortlöpande dialog med ledningen och val av metoder och tekniker

Har myndigheter ett fungerande system för informationssäkerhet? JA och Nej Brister: funktioner som skapar överblick rapportering riskanalys utbildning uppföljning och förvaltning av styrningen

Presentation av LIS Ledningssystem för Informationssäkerhet

Informationssäkerhetsarkitektur Governance principles för information security OECD Information security objectives 27001 Technical information security principles Information security services Identity Mgmt Access Mgmt Config. Mgmt Access control services Border Detection protection monitoring services services Content control services

OECD principer 1) Medvetenhet Deltagarna bör göras medvetna om behovet av säkerhet i informationssystem och nät och om vad de kan göra för att förbättra säkerheten. 2) Ansvar Alla deltagare är ansvariga för säkerheten i system och nät. 3) Reaktion Deltagarna bör agera snabbt och samarbeta för att förhindra, upptäcka och reagera på säkerhetsincidenter. 4) Etiska aspekter Deltagarna bör respektera andra deltagares rättmätiga intressen. 5) Demokrati Säkerhet i informationssystem och nät bör vara förenlig med de grundläggande värderingarna i ett demokratiskt samhälle. 6) Riskbedömning Deltagarna bör genomföra riskbedömningar. 7) Utformning och genomförande av säkerhetsåtgärder Deltagarna bör införliva säkerheten som ett centralt inslag i informationssystem och nät. 8) Säkerhetshantering Deltagarna bör ha ett helhetsgrepp om säkerhetsarbetet. 9) Omprövning Deltagarna bör se över och ompröva säkerheten i informationssystem och nät och vidta nödvändiga förändringar i fråga om regler, förfaranden, åtgärder och rutiner på säkerhetsområdet.

Technical information security principles A - Security by Design B - Managed Risk C - Usability and Manageability D - Defense in Depth E - Simplicity F - Resilience G - Integrity H - Enforced Policy Source:NAC - Enterprise Security Architecture A Framework and Template for Policy- Driven Security

Terminology 27000 Overview & Vocabulary Requirement 27001 ISMS Requirements 27006 Accreditation Requirements Support PDCA 27002 Code of Practice 27003 Implementation Guidance 27004 Management Measurement 27005 Risk Management 27007 ISMS Auditor Guidelines Guideline Sector Specific 27031 Telecom WLA Automotive Health and care (27799) Control Implementation 13335-X ICT Security - 3 4 5 15947 IDS Framework 18028-X Network Security - 1 2 3 18043 IDS Management 4 5 18044 Incident Management

WG1 ISMS Standards Chair Prof. Ted Humphreys WG4 ISMS Services Chair Meng-Chow Kang ISO/IEC JTC1 SC27 Chair Dr. Walter Fumy Vice Chair Dr. Marijike de Soete Secretary Krystyna Passia (DIN) WG5 Privacy, ID management and Biometrics Chair Kai Rannenberg WG2 Security Techniques Chair Prof. Kenji Namura WG3 Security Evaluation Chair Mats Ohlin Källa: Ted Humphreys 21

Design the ISMS (risk assessment, risk treatment, selection of controls ) Update & Improve the ISMS (improve or implement new controls, policies, procedures, procedures ) Monitor & Review the ISMS (incident, changes, reassess of the risks, scorecards, audits ) Implement & Utilization of the ISMS (implement and test the controls, policies, procedures, process ) Källa: Ted Humphreys 22

Motiv till 27000 serien Relevant nivå på säkerheten till rimlig kostnad Olika myndigheter och organisationer har olika behov och hotbilder. Standarden ger en basstruktur inom vilken varje organisation kan anpassa nivån till sin verkliga och dagsaktuella situation. Enhetligt ramverk ger fokus på konkret förbättrad säkerhet Genom att tillämpa ramverket i standarden får ledningen kontroll över informationssäkerheten. Världen har valt ISO/IEC 17799 som sin informationssäkerhetsstandard ISO/IEC 17799 antogs som global ISO-standard 2000 och är den gällande informationssäkerhetsstandarden världen över.

Varför standarden? Den är själv självgenererande: Alla säger att de följer standarden! Andra standarder anpassas för att kunna kommunicera enligt ISO 27001 Kunder börjar kräva ISO 27001-certifiering i upphandlingar Internationellt kompletterande standarder klustras och ensas med ISO 27001 för att underlätta användning (ISO 27000-serien) ISO 27001 på väg att erhålla ett marknadsvärde, en bred acceptans och status som naturlig referenspunkt

LIS-certifikat i världen (BS 7799 och ISO 27001) 4000 3500 3000 2500 3350 Antal 2000 1500 1000 500 0 79 2001 612 2004 2007 År Japan (1910) och England (326) i topp.

Certifiering Geografisk fördelning 2% 20% 75% 1% 1% 1%

Gemensamt språk och verktyg Ledning Verksamhet ISO 27000 Säkerhetschef (samordnare) IT-avdelning

Centrala delar i ISO 27002 : Målbeskrivning, krav och beskrivning av skyddsåtgärder Riskanalys basen för val av skyddsåtgärder Informationssäkerhet, inte bara IT Flexibel anpassas efter verksamhetens behov av skydd - baselinekatalog Ger ett ledningssystem för styrning

ISO 27002s uppdelning 1.a nivån 11 11 Huvudområden 2:a nivån 39 39 Målområden 3:e nivån 133 133 Skyddsåtgärder 4:e nivån Vägledning för förinförande

Säkerhetspolicy Organisation av informationssäkerheten Hantering av tillgångar Personalresurser och säkerhet Fysisk och miljörelaterad säkerhet Styrning av kommunikation och drift Styrning av åtkomst Anskaffning, utveckling och uh. av info.system Hantering av säkerhetsincidenter Kontinuitetsplanering i verksamheten Efterlevnad

10.10 Övervakning 10.9 Elektronisk handel Mål områden 10.8 Utbyte av information 10.1 Driftrutiner och driftansvar 10: Styrning av kommunikation och drift 10.2 Kontroll av utomstående tjänsteleverantöre 10.3 Systemplanering och systemgodkännade 10.7 Hantering av media 10.6 Hantering av säkerhet I nätverk 10.5 Säkerhetskopiering 10.4 Skydd mot skadlig och mobil kod.

10.1.4 Uppdelning av utvecklings- test- och driftresurser. Åtgärder 10.1.1 Dokumenterade drifrutiner 10.1: Driftrutiner Och driftansvar 10.1.2 Ändringshantering 10.1.3 Uppdelning av arbetsuppgifter

10.1 Driftrutiner och driftansvar Example: Control Mål: Att säkerställa korrekt och säker drift av informationsbehandlingsutrustning. Ansvar och rutiner för ledning och drift av all informationsbehandlingsutrustning bör fastställas. Detta omfattar utveckling Objectives/Security av lämpliga driftrutiner. Control Uppdelning av arbetsuppgifter bör i förekommande fall tillämpas för att minska risken för försummelse eller avsiktligt missbruk av system 10.1.1 Dokumenterade driftrutiner Åtgärd Driftrutiner bör dokumenteras, underhållas och göras tillgängliga för alla användare som behöver dom. Vägledning för införande Dokumenterade rutiner bör tas fram för systemaktiviteter kopplade till informations- och kommunikationstill-gångar såsom start- och avstängningsrutiner för datorer, säkerhetskopiering, underhåll av utrustning, mediahantering, datorrums- och posthantering och säkerhet. Driftrutinerna bör omfatta detaljerade instruktionerna för att utföra varje arbetsuppgift inklusive: a) bearbetning och hantering av information; b) säkerhetskopiering (se 10.5); c) krav på tidsplanering, innefattande beroenden av andra system; tidigaste start- och senaste färdigställningstider för arbetsuppgifter; d) instruktioner för hantering av fel och andra exceptionella förhållanden som kan uppstå under arbetets gång, inklusive restriktioner i användningen av hjälpprogram (se 11.5.4); e) lista över kontaktpersoner vid oväntade drift- eller tekniska problem; f) särskilda instruktioner för hantering av utdata och media som t.ex. användning av särskilda blanketter eller hanteringsregler för sekretessbelagda utdata, inklusive rutiner för att på ett säkert sätt ta hand om utdata från misslyckade körningar (se 10.7.2 och 10.7.3) g) återstart- och återställningsrutiner att användas vid eventuellt systemfel; h) hantering av revisionsspår och systemens logg-information (se 10.10). Driftrutiner och dokumenterade rutiner för systemaktiviteter bör behandlas som formella dokument där änd-ringar bör godkännas av ledningen. Där det är tekniskt lämpligt bör informationssystem hanteras konsekvent med användning av samma rutiner, verktyg och hjälpprogram.

Måste man använda en standard? Nej, men Färdigt ramverk Best practice Jämförbart Tillgång till kompetens Långsiktigt hållbara system och processer Internationellt accepterad

Drivkrafter enligt användare Skydda kunders och andra intressenters intressen Stärker organisationens varumärke Skapar gemensamma värderingar om säkerhet Skyddar alla informationstillgångar på bästa möjliga sätt Stärker säkerhetsmedvetandet hos alla anställda Förbättrar strukturen på informationshantering Reducerar kostnader för olika skyddsåtgärder Skapar bättre möjligheter för att leda säkerhetsarbetet

Statligt stöd och bruk Exponentiell tillväxt i antalet registreringar Näringslivet måste ha marknadsincitament Erfarenheten visar att statligt stöd är av stor vikt vid introduktionen av en standard som ISO 27000. Storbritannien Krav i central förvaltning, rekommendation/krav för lokal förvaltning Holland Statlig subvention av kostnader

Ät elefanten i bitar Analys av förutsättningar Basnivå Ordning ISO 17799 ISO-nivå ISO 27001 Certifierings-nivå Implementering Analysdel Genomförande

Frågor! Sveriges gemensamma säkerhetsregelverk!

Lycka till!!!!

Gå till www.iso27000.se för mer information!

Länkar / kontaktpunkter www.swedac.se; svensk ackreditering www.sis.se; Swedish standards institute www.iso.org www.xisec.com www.aexis.de

Sponsorer Partners: Krisberedskapsmyndigheten, Datainspektionen, Verva, Försvarets Materielverk, Post- och Telestyrelsen, Commissum, ISACA Sweden Chapter, Svenskt Näringsliv/NSD, ISG, SIS Forum och SIS Förlag.