Rapport Informationsklassning och riskanalys Mobila enheter Umeå Fritid

Relevanta dokument
Rapport Riskanalys Acano videokonferenssystem

Riktlinjer. Informationssäkerhetsklassning

Informationsklassning och systemsäkerhetsanalys en guide

Riktlinjer för säkerhetsarbetet vid Uppsala universitet

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

Föreskrifter och riktlinjer för intern styrning och kontroll på Universitetskanslersämbetet

Administrativ säkerhet

VÄGLEDNING INFORMATIONSKLASSNING

Riktlinjer informationssäkerhetsklassning

Juridik och informationssäkerhet

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010.

Roller för information behöver också fastställas, använd gärna nedanstående roller som kommer från SKL och deras verktyg

DNR: KS2016/918/01. Informationssäkerhetspolicy för Sunne kommun KS2016/918/ (1) Kommunstyrelsen

Tillväxtverkets riktlinjer för intern styrning och kontroll

Informationssäkerhetspolicy för Sunne kommun KS2016/918/01 Antagen av kommunfullmäktige , 57

RUTIN FÖR RISKANALYS

Myndigheten för samhällsskydd och beredskaps författningssamling

Riktlinjer för informationssäkerhet

Informationssäkerhet. Hur skall jag som chef hantera detta?? Vad är det??

Systemsäkerhetsanalys förutsättningar för mobil åtkomst inom hemsjukvård.

Anvisningar för intern styrning och kontroll vid Karolinska Institutet

Informationssäkerhetspolicy för Ånge kommun

Informationssäkerhetspolicy för Ystads kommun F 17:01

1(6) Informationssäkerhetspolicy. Styrdokument

Informationssäkerhetspolicy inom Stockholms läns landsting

Nuvarande MSBFS 2009:10 Förslag till ny föreskrift Tillämpningsområde Tillämpningsområde 1 1 första stycket 2 1 andra stycket 3 2 första stycket

Policy. Policy för informationssäkerhet och personuppgiftshantering i Herrljunga kommun DIARIENUMMER: KS 47/2018 FASTSTÄLLD: VERSION: 1

Guide för säker behörighetshantering

Dnr UFV 2018/211. Riskhantering. Rutiner för informationssäkerhet. Fastställda av Säkerhetschefen Senast reviderade

Information för dig som använder en kommunägd ipad

Policy för informations- säkerhet och personuppgiftshantering

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter

Informationssäkerhetspolicy för Stockholms läns landsting. Informationssäkerhetspolicy för Stockholms läns landsting

Informationssäkerhet. Varför jobbar vi med informationssäkerhet? Vad är informationssäkerhet? Presentation

Lokala regler och anvisningar för intern kontroll

Riskanalys och riskhantering

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Karolinska institutet

Informationssäkerhetspolicy

I Central förvaltning Administrativ enhet

Svar på revisionsskrivelse informationssäkerhet

Riktlinjer vid lån av surfplatta för förtroendevalda

Rätt informationssäkerhet är A&O vid införande av välfärdsteknologi. Jeanna Thorslund, Sveriges Kommuner och Landsting Thomas Nilsson, Certezza

Vägledning för smarta telefoner, surfplattor och andra mobila enheter

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Konsthögskolan 2010.

Informationssäkerhetspolicy för Umeå universitet

Riktlinjer för informationssäkerhet

Riskhantering för anmälningspliktiga företag

Mobila arbetssätt inom vård- och omsorgsförvaltningen

PuL-bedömning och riskanalys av Google Apps for Education (GAFE), Simrishamns kommun

Handbok för Energimyndighetens e-tjänster

Informationssäkerhet vid upphandling och inköp av IT-system och tjänster

Metodstöd 2

IT-säkerhetspolicy för Landstinget Sörmland

Informationssäkerhet, Linköpings kommun

SÅ HÄR GÖR VI I NACKA

Ledningssystem för Informationssäkerhet (LIS) vid Linköpings universitet

Vetenskapsrådets informationssäkerhetspolicy

Myndigheten för samhällsskydd och beredskaps författningssamling

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Malmö Högskola Sammanfattning

RISKANALYS Humanistiska fakulteten. Dnr V 2016/705. DATUM: Förslag till beslut BESLUTAD AV: Humanistiska fakultetsstyrelsen

Kommunens författningssamling

Riktlinje för riskanalys

1.1 VAD ÄR EN RISKANALYS NÄR SKA EN RISKANALYS GÖRAS? HUR GÖR MAN EN RISKANALYS?...

Mina Meddelanden - Risk- och Sårbarhetsanalys för anslutande kommuner

Hur du bokar med app QT kund eller webb

Riskanalys. Version 0.3

1 Risk- och sårbarhetsanalys

Vägledning för säkrare hantering av mobila enheter

Plan för intern kontroll 2017

Bilaga Från standard till komponent

Policy och strategi för informationssäkerhet

VÄGLEDNING ATT UPPHANDLA PÅ ETT SÄKERT SÄTT

Regler och riktlinjer för intern styrning och kontroll vid KI

MobileIron Uppdaterad

RISKANALYS JMG, Institutionen för journalistik, medier och kommunikation, inkl SOMinstitutet DNR V 2015/965 DATUM:

MobileIron. installationsguide för ios-enhet

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Musikhögskolan i Stockholm 2010.

Utbildningsdag om informationssäkerhet

ipad i skolan Vanliga frågor och svar (FAQ) för skolledare och personal

Modernt arbete kräver moderna verktyg

Riktlinjer för intern kontroll

Reglemente för intern kontroll

Informationssäkerhetspolicy

RIKTLINJE RISKANALYS

Riktlinjer för intern kontroll

Internkontrollplan

REGLEMENTE FÖR. Intern kontroll. Antaget Tillsvidare, dock längst fyra år från antagande

Frågor att ställa om IK

Informationssäkerhetspolicy KS/2018:260

Övergripande säkerhetsgranskning av kommunens säkerhet angående externa och interna dataintrång. Klippans kommun

RIKTLINJER. Riktlinjer för användning av sociala medier i Tranemo kommun

TOMELILLA KOMMUN KOMMUNAL FÖRFATTNINGSSAMLING Nr B 17:1

ANVÄNDARMANUAL applikation CBRNE

Välkommen till enkäten!

Vad är säker information? En kritisk diskussion. Björn Lundgren Doktorand, Avdelningen för Filosofi, KTH

RISKHANTERING FÖR SCADA

Policy för tekniska och organisatoriska åtgärder för dataskydd. 14 juni 2018 Peter Dickson

Webinar Profil för multifaktorinloggning via SWAMID

Informationssäkerhet Informationssäkerhet. Medicinteknisk säkerhetskurs

Bilaga 3 Säkerhet Dnr: /

Transkript:

Rapport Informationsklassning och riskanalys Mobila enheter Umeå Fritid Umeå 2016-10-18 Analysledare Tommy Rampling, Umeå kommun

Innehållsförteckning 1 Bakgrund... 3 2 Deltagare... 3 3 Sammanfattning... 3 4 Metod och bedömningsmall... 4 4.1 Identifiering av tillgångar... 4 4.2 Hot/händelser... 4 4.3 Informationsklassning... 5 4.4 Riskhantering... 6 4.4.1 Sannolikhet (S) att händelsen skall inträffa... 6 4.4.2 Konsekvens (K) för verksamheten om händelsen skulle inträffa... 6 4.4.3 Risknivå... 7 4.5 Beskrivning av hot och eventuella åtgärder... 7 4.6 Åtgärdsplanering... 8 4.6.1 Prioritering... 8 4.6.2 Ansvarig... 8 5 Handlingsplan... 8 Rapport Informationssäkerhetklassning och riskanalys Sida 2 av 9

1 Bakgrund Umeå kommun kommer att implementera ett IT-stöd för att kunna hantera mobila enheter. Många organisationer står idag inför utmaningen att arbeta med mobilitet i främsta rummet. Med ökad mobilitet blir också risken större för olika typer av attacker och störningar. För att medarbetare ska kunna använda sig av mobila enheter så måste dessa också skyddas. Tanken med Mobileiron är att det ska kunna ge bättre kontroll och flexibilitet för användning av mobila enheter vilket också innebär en högre säkerhet för den information som kommer att hanteras. En informationsklassning och riskanalys har tidigare genomförts för själva verktyget MobileIron. Nästa steg är att låta Fritid vara pilot för att testa hur verktyget kommer att fungera i den verksamheten. Syftet med informationsklassningen och riskanalysen är dels att tydliggöra vilken information som Fritid använder i sina mobila enheter och dokumentera vilka risker som kan finnas. Detta för att ta fram förslag och åtgärder för att minska dessa risker. Vi använder oss av ett IT-stöd som SKL, Sveriges kommuner och landsting och MSB, Myndigheten för skydd och beredskap tagit fram. Det heter KLASSA och kan löpande användas i systemförvaltningsarbetet. Klassningen går i korthet ut på att klassificera hur känslig informationen är, hur viktigt den är, att den är korrekt och tillgänglig samt vilken spårbarhet som kan behövas. 2 Deltagare Matilda Johansson, projektledare, IT Göran Backlund, servicesamordnare, IT Per Hansson, arbetsledare, Fritid Tommy Rampling, analysledare 3 Sammanfattning Den riskanalys som genomförts visar på att de hot som identifierats inte innebär några större risker. Den mesta informationen som hanteras är av mindre känslig karaktär. Undantaget kan vara om positionering av mobila enheter kommer att användas. Vid den riskanalys som genomfördes av MobileIron framkom att det var viktigt att det finns tydliga regler och rutiner hur positioneringsfunktionaliteten ska användas. Om positionering ska används är det mycket viktigt att samtliga berörda får information om den och syftet med dess användning. Informationsklassningen klassificeras utifrån fyra olika perspektiv, konfidentialitet, riktighet, tillgänglighet samt spårbarhet. I samtliga fall så klassas information på nivå 1. Det innebär att skador som skulle kunna uppstå skulle vara ingen, försumbar eller måttlig. Trots att gruppen har kommit fram till att informationen inte är så känslig så finns det ett antal åtgärder som bör genomföras för att förbättra hanteringen om vissa saker skulle inträffa. Om en mobil enhet slutar fungera, blir stulen eller tappas bort så ska det finnas rutiner så att den störning som detta ger upphov till blir så kort som möjligt. Tekniska lösningen finns till för att öka säkerheten men det räcker inte. Den absoluta svagaste länken när det gäller säkerhet är den enskilde medarbetaren. Därför är det mycket viktigt att medarbetare får Rapport Informationssäkerhetklassning och riskanalys Sida 3 av 9

information/utbildning om varför det är viktigt att hantera mobila enheter på ett säkert sätt. Med dagens mobiler och plattor får du oftast samma tillgång till information som om du använder en stationär dator. En annan åtgärd som också behöver ses över är hur mobila enheter hanteras när de avvecklas. För att rensa en mobil enhet på all information så behöver det genomföras på ett säkert sätt. Det räcker inte med att användaren själv tar bort informationen. Den finns ändå kvar och obehöriga kan därför ta del av informationen. Det som återstår att göra är att hantera de åtgärdsförslag som kommit fram i samband med denna informationsklassning och riskanalys. 4 Metod och bedömningsmall Analysen genomfördes i workshopform i följande steg: 1. Identifiering av tillgångar 2. Hot och sårbarheter 3. Informationsklassning 4. Riskhantering 4.1 Identifiering av tillgångar För att kunna genomföra en informationsklassning så behöver man kännedom om vilken information som hanteras i systemet. Exempel på information som hanteras: Felanmälan Mejl Fritidsappen SMS-koder Fingeravtryck Anläggningsinformation exempel: adresser Driftregister E-post authenticator Telefonlista Dokument (word, excel, powerpoint, pdf) Facebook Bilder och filmer Att göra-lista Historik SMS VPN BankID Bankappen Positionering - GPS 4.2 Hot/händelser Samtliga deltagare beskriver ett antal hot som har inträffat eller kan tänkas inträffa. Därefter görs en sammanställning av dessa då vissa kan vara likartade. Händelserna beskrivs kortfattat. Rapport Informationssäkerhetklassning och riskanalys Sida 4 av 9

Gruppen kommer fram till följande hot/händelser: 1. Vid byte av mobil enhet finns det risk att information finns kvar på mobil enhet, och informationen kan bli tillgänglig för personer som inte bör få tillgång till den 2. Obehörig har på något sätt kommit över en enhet med tillgång till dess innehåll 2.1. Tappat enheten 2.2. Enheten stulen 2.3. Sparade lösenord på enheten 2.4. Obehöriga får kännedom om pinkod på enheten 2.5. Mobilt internet 2.6. Glömmer AppleID / Google kod 2.7. Obehörig får tillgång till mobil och inloggningsuppgifter 2.8. Mobil går sönder 2.9. Roota 3. Möjliga funktioner kan inte användas 4.3 Informationsklassning Klassning av informationen görs utifrån följande områden: 1. Konfidentialitet - endast behöriga får ta del av informationen 2. Riktighet kunna lita på att informationen är korrekt och inte manipulerad eller förstörd 3. Tillgänglighet informationen kan nås när man behöver den 4. Spårbarhet går att följa hur och när informationen har hanterats och kommunicerats Redovisas i nedanstående matris med kommentarer. Konfidentialitet. Även om någon obehörig skulle komma över information som Fritid använder för att hantera sina uppgifter så skulle skadan vara försumbar eller måttligt. Det finns dock en viktig sak att ta mig sig från Rapport Informationssäkerhetklassning och riskanalys Sida 5 av 9

denna informationsklassning och det är hur personer som har en sekretessmarkering ska hanteras. Det är oklart om det idag går att se vem/vilka som bokat en specifik lokal/plats men om så är fallet skulle det kunna innebära en måttlig skada om någon vill komma åt någon annan person eller gruppering. Viktigt att tänka på är att inte ha mer uppgifter i en bokning än nödvändigt om någon obehörig skulle ta del av uppgifterna. Riktighet Om informationen inte skulle vara korrekt så skulle det kunna innebära att bokningar inte stämmer vilket i sin tur skulle leda till irritation för berörda. Det skulle också kunna innebära ekonomisk skada. Det handlar mer om bokningssystemet säkerhet och inte förhållandet till ett EMM-verktyg. Kraven för ett säkert bokningssystem måste ställas på det systemet. Samtidigt är det den enskilde medarbetaren som också måste ta ansvar för att informationen hanteras på ett säkert sätt. Tillgänglighet Det kan bli störningar om det inte går att nå exempelvis en app för att kunna hantera öppning av dörrar till en anläggning. För att minimera störningar så måste det finnas tydliga rutiner hur en sådan situation ska hanteras. Spårbarhet Det finns en mängd information i en mobil enhet som det är möjligt att få fram. Varje verksamhetssystem har sina egna loggar och dessa är framtagna utifrån de behov som finns för respektive system och hantering av den aktuella informationen i respektive system. 4.4 Riskhantering Riskvärdering innebär ett uppskattat värde på den risk som man har identifierat. Riskvärdet får man fram genom att uppskatta sannolikheten att händelsen skall inträffa samt nivån på den konsekvens som detta skulle innebära. Produkten av dessa värden är uppskattad risknivå. Analysen har använts sig av de rekommendationer som MSB (Myndigheten för samhällsskydd och beredskap) har gett ut. Vad de olika nivåerna för konsekvenserna innebär varierar mellan olika verksamheter. Det viktiga är att få en inbördes rangordning mellan de olika hoten. Dessa värden är ingen faktisk sanning men den diskussion som leder fram till vilket värde som sätts är viktig och ger en förståelse för vilka hot som kan finnas mot verksamheten. När samtliga hot är analyserade är det viktigt att se över om den inbördes riskvärderingen verkar rimlig. 4.4.1 Sannolikhet (S) att händelsen skall inträffa 1 = En gång på100 år 2 = En gång på 10 år 3 = Årligen 4 = Mer än 1 gång per år 4.4.2 Konsekvens (K) för verksamheten om händelsen skulle inträffa 1 = Försumbar 2 = Måttlig Rapport Informationssäkerhetklassning och riskanalys Sida 6 av 9

3 = Betydande 4 = Allvarlig 4.4.3 Risknivå Risknivån räknas fram genom att multiplicera värdet för sannolikhet med värdet för konsekvens. 4.5 Beskrivning av hot och eventuella åtgärder Hot 1 HOT Vid byte av mobil enhet finns det risk att information inte lagras på ett säkert sätt ÅTGÄRDSPLAN Rutin vid byte av mobil Utbildning/information till användare Användning av EMM-verktyg minimerar den mänskliga faktorn - Web@work - Docks@work Bättre kontroll på att mobila enheter raderas Konfigurera MobileIron Bättre kontroll hos förvaltningarna vilka mobila enheter som finns Hot 2 HOT Obehörig har på något sätt kommit över en enhet med tillgång till dess innehåll ÅTGÄRDSPLAN Backup-plan ex. om en IPAD går sönder Tydlig rutin om mobil tappas bort eller blir stulen. - Gäller både verksamheten och ansvariga för MobileIron Upprätta rutin om bl.a. uppdateringar av enheter Tydliggöra det egna ansvaret Företagsbubbla EMM för att underlätta radering vid behov Rapport Informationssäkerhetklassning och riskanalys Sida 7 av 9

Hot 3 HOT Möjliga mobila funktioner kan inte användas ÅTGÄRDSPLAN Backupplan måste finnas för att användare ska veta vad som gäller om denna situation inträffar 4.6 Åtgärdsplanering Åtgärdsplanering innebär att gruppen föreslår skadeförebyggande och skadebegränsande åtgärder. Innan man tar fram förslagsåtgärder så bör man ställa följande frågor för respektive hot: - Det nuvarande skyddet bedöms vara tillräckligt Ja/Nej - Det nuvarande skyddet bedöms inte vara tillräckligt men verksamheten accepterar de kvarvarande riskerna Ja/Nej - Det nuvarande skyddet bedöms inte vara tillräckligt och det behövs ytterligare åtgärder Ja/Nej Steg 1: Beskriv vilka ytterligare åtgärder som bör genomföras och vad som behöver prioriteras. Steg 2: Uppskatta kostnaden för åtgärden. Detta skall ställas i relation till den verksamhetsnytta som åtgärden kommer att ge. Att genomföra åtgärder innebär utgifter och därför är det viktigt att tydligöra nyttan med att genomföra åtgärden. 4.6.1 Prioritering Till samtliga åtgärder finns också en rekommendation om genomförande ur ett tidsperspektiv angiven. Förslag på när åtgärden bör vara genomförd: 1 = Åtgärden bör genomföras omgående 2 = Åtgärden bör genomföras inom 6 månader 3 = Åtgärden bör genomföras inom 12 månader 4.6.2 Ansvarig Namn på den som är ansvarig för att den framtagna åtgärdsplanen hanteras. 5 Handlingsplan I handlingsplanen ges förslag på vilka åtgärder som bör genomföras samt en prioritering av dessa. Prioritet Åtgärd Tid Ansv. Klart En backup-plan ska finnas så att det är tydligt vilka åtgärder som ska Fritid vidtas om mobila funktioner inte går att använda Rutin som tydliggör vilka åtgärder som behöver vidtas om en mobil Fritid enhet går sönder Rutin som tydliggör vilka åtgärder som behöver vidtas om en mobil Fritid/IT enhet blir stulen eller tappas bort Tydliggöra det egna ansvaret hos respektive medarbetare när det Fritid/IT gäller hantering av mobila enheter utbildning/information Upprätta policy om bl.a. uppdateringar av enheter IT Företagsbubbla EMM för att underlätta radering vid behov IT Rapport Informationssäkerhetklassning och riskanalys Sida 8 av 9

Kontrollera att mobila enheter raderas på ett säkert sätt Fritid/IT Rapport Informationssäkerhetklassning och riskanalys Sida 9 av 9

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss